事業で取得・利用している個人情報の取扱いは、個人情報保護法に適合したものになっていますか？

　「個人情報」とは、生存する個人に関する情報のことで、氏名、生年月日等のデータによって特定の個人を識別できる情報、または個人識別符号（たとえば、運転免許証の番号やマイナンバーなど）を含む情報のことをいいます。そして、「個人情報取扱事業者」とは、「個人情報データベース等を事業の用に供している者」と定義されています。以前は、保有する個人情報の件数が５０００件を超えない小規模事業者については「個人情報取扱事業者」には該当しないルールでしたが、今では法改正されており、５０００件以下の場合でも「個人情報取扱事業者」に該当することになっています。

　「個人情報取扱業者」に該当すると、
①個人情報を取り扱うに当たっては利用目的をできる限り特定し、原則として利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはならない。
②個人情報を取得する場合には、利用目的を通知・公表しなければならない。
③個人データを安全に管理し、従業員や委託先も監督しなければならない。
④あらかじめ本人の同意を得ずに第三者に個人データを提供してはならない。
⑤事業者の保有する個人データに関し、本人からの求めがあった場合には、その開示を行わなければならない。
⑥事業者が保有する個人データの内容が事実でないという理由で本人から個人データの訂正や削除を求められた場合、訂正や削除に応じなければならない。
⑦個人情報の取扱いに関する苦情を、適切かつ迅速に処理しなければならない。
といったことが個人情報保護法によって義務付けられます。

　たとえば、②については、自社のホームページに「プライバシーポリシー」を掲載して公表するような対策が必要ですし、その場合には利用目的を可能な限り特定しなければなりません（①）。また、③については、個人データの安全管理のために従業員を適切に監督することが必要ですし、従業員のみならず委託先への適切な監督も必要になります。

　こういった義務に違反すると、以下のようなリスクがあります。

1. 　個人情報保護法違反
   　個人情報保護委員会からの報告徴収・立入検査を受け、指導・助言、勧告・命令を受けることがあります。これらに応じなかった場合等には、刑事罰（たとえば、命令違反をした者には１年以下の懲役又は１００万円以下の罰金が、法人には１億円以下の罰金）が科される可能性があります。
2. 　損害賠償請求
   　個人情報が漏洩等した場合、本人に対して損害賠償義務を負うことがあります。本人一人当たりの損害賠償額（慰謝料）は、裁判例上、多額とまではいえないものの、漏洩数が多い場合には莫大な金額になる可能性があります。たとえば、一人につき１万円であった場合でも個人情報が１０００件漏洩した場合には、最大１０００万円の損害賠償リスク（弁護士費用を含めると１１００万円）が発生します。
3. 　レピュテーションリスク
   　万が一、報道などされた場合には、社会的信頼は失墜し、顧客離れや取引先との取引停止が発生するリスクがあります。

　弊所では、「そもそも、これって個人情報にあたるのか？」といったご質問から、「自社のプライバシーポリシーの規定や、個人情報の管理は適正なものなのか」、「万が一、個人情報が漏洩してしまった場合、どういった手段を講じれば最小限のダメージで済むのか」といったご相談を、多くの企業様から頂いております。ぜひ、お気兼ねなくご連絡下さい。