個人情報保護法の改定について

今まで対象でなかった小規模企業も対象となることが大きなポイントですね。
具体的には保有個人情報が5000件以下の会社も対象となることです。
社員数30名でも社員、顧客など個人情報を5000件以上保有していれば、従来も対象だったわけです。２点についてコメントさせていただきます。

①今まで対象外だった規模の事務員様、今後どのような対策をとる（どのようなシステムを導入する）予定ですか？
　→当社は従来も対象であり、Ｐマークを取得していますが、どのような対応を
　　取る必要があるかをここで書くのは非常に難しいですね。
　　なお、システム導入の必要はありません。
　　次のサイトを参照してください。最後の方に記載がありますが、実際に個人
　　情報が漏えいしないよう対策を取る事は重要です。といっても、すでに実施
　　済みではないかと思いますが、次のことは必須と思います。
　　　・紙の情報は施錠管理する。
　　　・データ情報は、パスワードを設置する、アクセス制限する。
　　　・必要な社員だけアクセスできるようにする。
　　　・保管期限を定める。
　　　・不要になったら削除する。
　　　・事務所の施錠ルールなど決めて実施する。
　　　＊その他「個人情報」「安全管理措置」というワードで検索してみてくだ
　　　　さい。
http://yglpc.com/contents/qa/topics/18_kojinjoho/kojin_a007/index.html
　　　
②マイナンバー施行の際、特定個人情報取扱規定を作成しましたが、これとは別に個人情報取扱規定を作成しなければならないのでしょうか？
また、個人情報保護取扱規定は就業規則のようにどこかに提出義務がありますか？
　→マイナンバー以外の個人情報（顧客の氏名、連絡先、社員の住所、家族の住所、氏名など）すべてが個人情報ですから、先に個人情報保護規定を作成しておいた方がよかったと思います。従って、今からでも作成されることをお勧めします。なお、どこにも規定は提出する必要はありません。

トライトン　様

ご回答ありがとうございます。
お礼のお返事が大変遅くなり、すみませんでした。

先日セミナーにも参加してみましたが、顔や指紋なんかも個人情報になるのですね。
聞けば聞くほど逆に不安になってきました。
厳重にしようと思えばいくらでも対策があるので、もう何がなんだか…^^;

ご回答いただいた中でさらに質問があるのですが、よろしいでしょうか。。

>・紙の情報は施錠管理する。
とありますが、
紙の情報とはどこまでを指しますか？
例えば、社員の名前と使用PCを一覧にしたファイルがあります。
名前は個人情報になるかと思いますが、このように名前の記載があるだけ(他に住所や連絡先、家族等の情報は何もない)でも施錠管理の必要がありますか？

>・必要な社員だけアクセスできるようにする。
私の会社は、会社事務所に数名、現場Aに数名、現場Bに数名、現場Cに数名…
というように散らばっており(現場は支社ではありません)、連絡手段は社員の個人携帯です。
そのため現在は社員名簿をメールで全社員に送っているのですが、今後は各人に利用目的を明示し許可を得る必要があるということでしょうか？
それとも、そもそもメールで全社員に送ること自体問題がありますでしょうか？

もしお時間がありましたらご回答いただけると幸いです。




> 今まで対象でなかった小規模企業も対象となることが大きなポイントですね。
> 具体的には保有個人情報が5000件以下の会社も対象となることです。
> 社員数30名でも社員、顧客など個人情報を5000件以上保有していれば、従来も対象だったわけです。２点についてコメントさせていただきます。
>
> ①今まで対象外だった規模の事務員様、今後どのような対策をとる（どのようなシステムを導入する）予定ですか？
> 　→当社は従来も対象であり、Ｐマークを取得していますが、どのような対応を
> 　　取る必要があるかをここで書くのは非常に難しいですね。
> 　　なお、システム導入の必要はありません。
> 　　次のサイトを参照してください。最後の方に記載がありますが、実際に個人
> 　　情報が漏えいしないよう対策を取る事は重要です。といっても、すでに実施
> 　　済みではないかと思いますが、次のことは必須と思います。
> 　　　・紙の情報は施錠管理する。
> 　　　・データ情報は、パスワードを設置する、アクセス制限する。
> 　　　・必要な社員だけアクセスできるようにする。
> 　　　・保管期限を定める。
> 　　　・不要になったら削除する。
> 　　　・事務所の施錠ルールなど決めて実施する。
> 　　　＊その他「個人情報」「安全管理措置」というワードで検索してみてくだ
> 　　　　さい。
> http://yglpc.com/contents/qa/topics/18_kojinjoho/kojin_a007/index.html
> 　　　
> ②マイナンバー施行の際、特定個人情報取扱規定を作成しましたが、これとは別に個人情報取扱規定を作成しなければならないのでしょうか？
> また、個人情報保護取扱規定は就業規則のようにどこかに提出義務がありますか？
> 　→マイナンバー以外の個人情報（顧客の氏名、連絡先、社員の住所、家族の住所、氏名など）すべてが個人情報ですから、先に個人情報保護規定を作成しておいた方がよかったと思います。従って、今からでも作成されることをお勧めします。なお、どこにも規定は提出する必要はありません。

顔や指紋なんかも個人を特定できるので、個人情報ですね。

>・紙の情報は施錠管理する。とありますが、
紙の情報とはどこまでを指しますか？
例えば、社員の名前と使用PCを一覧にしたファイルがあります。
名前は個人情報になるかと思いますが、このように名前の記載があるだけ(他に住所や連絡先、家族等の情報は何もない)でも施錠管理の必要がありますか？

＊＊社員の名前と使用PCを一覧にしたファイルは個人情報として取扱わなくても
　　いいと思います。名前は確かに個人情報ですが、例えば、名前だけのリストがあったとしても、それだけでは何の価値もないので管理の必要はないと思います。もし、社員の名前、使用ＰＣとメールアドレスのファイルでしたら、個人情報として管理が必要になるでしょう。


>・必要な社員だけアクセスできるようにする。
私の会社は、会社事務所に数名、現場Aに数名、現場Bに数名、現場Cに数名…
というように散らばっており(現場は支社ではありません)、連絡手段は社員の個人携帯です。
そのため現在は社員名簿をメールで全社員に送っているのですが、今後は各人に利用目的を明示し許可を得る必要があるということでしょうか？
それとも、そもそもメールで全社員に送ること自体問題がありますでしょうか？

＊＊まず、社員名簿を全社員に送る必要があるかという判断があります。
　　社員名簿を全員に送る目的、理由は何ですか？
　　事務所、現場Ａ、Ｂ、Ｃの社員と連絡を取るために必要、ということであれ　　ば、書面に
目的を記載し、全員から同意を得ておいた方がいいですね。　（署名又は捺印）
　　ただ、一般的に会社では、下記のように様々な個人情報を社員から入手する必要があり
　　ます。
　　「業務上の連絡、社会保険の手続き、福利厚生の提供、社員名簿の作成、慶弔関係手続
　　き、その他雇用管理業務のため、賃金、賞与、諸手当等の決定及び支払、源泉徴収手続き等のため、人事考課等々、その他法令上要求される諸手続きのため」
　　これら利用目的、第三者への提供、委託、安全管理、個人情報の開示・訂正・利用停止など、会社のルールを書面に記載し、一括して全社員から署　　　名、捺印して提出していただいたらいかがでしょうか？　当社ではそのようにしています。

トライトン　様

再度のご回答ありがとうございます。
大変参考になります。

名前だけでは特に問題はないんですね。
それ以外の個人が特定できる情報がある場合は施錠の必要がある。
例えばですが、その「個人のメールアドレス」が会社で使用している会社で指定したメールアドレスだとしても、それはやはり個人情報なのでしょうか？
細かいことがいになりだすとキリがないのですが…^^;

個人情報の明示も、一括して行えばよいのですね！
とても勉強になります。
社員名簿を全員に送る必要があるのは、各現場間で連絡を取る際に使います。
メールでの連絡もですが、急ぎの際電話をよく使用します。
ただ、社員名簿には、
・役職名
・氏名
・住所
・電話番号（携帯電話、固定電話がある人はそちらも）
・生年月日
・年齢
・入社年月
・在職年数
が記載されています。
私は職務上、住所や生年月日など使用する必要があるのですが、正直現場の方たちは役職名と氏名と電話番号（携帯のみ）があれば十分です。
つまり、何の意味もなく住所や生年月日等まで全社員に配るのはやはり問題でしょうか？
配布するなら役職、氏名、電話番号だけのものにすべきでしょうか？

また、最初のご回答に書かれていました
＞データ情報はパスワード設定する、アクセス制限する
について教えていただきたいのですが、
現在は会社事務所のサーバーに社員名簿やその他個人情報が入っているので、事務所内の人間は誰でも個人情報を見ることができます（マイナンバーは見れませんが）。
これを私の個人PCフォルダに入れ、私のPCのパスワードを設定し他の人間が開けないようにする、という対処法では問題ありますか？
正直、当社の個人情報データなんてその程度の量しかないので、その程度の対策でいいのではないか…と思っているのですが、外部からのアクセス等の危険を考えると甘いのでしょうか？

本当に初歩的な質問であり、また何度も申し訳ありません。



> 顔や指紋なんかも個人を特定できるので、個人情報ですね。
>
> >・紙の情報は施錠管理する。とありますが、
> 紙の情報とはどこまでを指しますか？
> 例えば、社員の名前と使用PCを一覧にしたファイルがあります。
> 名前は個人情報になるかと思いますが、このように名前の記載があるだけ(他に住所や連絡先、家族等の情報は何もない)でも施錠管理の必要がありますか？
>
> ＊＊社員の名前と使用PCを一覧にしたファイルは個人情報として取扱わなくても
> 　　いいと思います。名前は確かに個人情報ですが、例えば、名前だけのリストがあったとしても、それだけでは何の価値もないので管理の必要はないと思います。もし、社員の名前、使用ＰＣとメールアドレスのファイルでしたら、個人情報として管理が必要になるでしょう。
>
>
> >・必要な社員だけアクセスできるようにする。
> 私の会社は、会社事務所に数名、現場Aに数名、現場Bに数名、現場Cに数名…
> というように散らばっており(現場は支社ではありません)、連絡手段は社員の個人携帯です。
> そのため現在は社員名簿をメールで全社員に送っているのですが、今後は各人に利用目的を明示し許可を得る必要があるということでしょうか？
> それとも、そもそもメールで全社員に送ること自体問題がありますでしょうか？
>
> ＊＊まず、社員名簿を全社員に送る必要があるかという判断があります。
> 　　社員名簿を全員に送る目的、理由は何ですか？
> 　　事務所、現場Ａ、Ｂ、Ｃの社員と連絡を取るために必要、ということであれ　　ば、書面に
> 目的を記載し、全員から同意を得ておいた方がいいですね。　（署名又は捺印）
> 　　ただ、一般的に会社では、下記のように様々な個人情報を社員から入手する必要があり
> 　　ます。
> 　　「業務上の連絡、社会保険の手続き、福利厚生の提供、社員名簿の作成、慶弔関係手続
> 　　き、その他雇用管理業務のため、賃金、賞与、諸手当等の決定及び支払、源泉徴収手続き等のため、人事考課等々、その他法令上要求される諸手続きのため」
> 　　これら利用目的、第三者への提供、委託、安全管理、個人情報の開示・訂正・利用停止など、会社のルールを書面に記載し、一括して全社員から署　　　名、捺印して提出していただいたらいかがでしょうか？　当社ではそのようにしています。

１．その「個人のメールアドレス」が会社で使用している会社で指定したメールアドレスだとしても、それはやはり個人情報なのでしょうか？
　＊よく大企業だと「社員名＠会社名.co.jp」という形式がありますね。これだと、どこの会社の誰々さんと個人が特定できるため、メールアドレスは個人情報になります。しかし、例えば、「d.rep145@nifty.com」というものだと個人を特定できないので個人情報ではありません。

２．私が以前いた会社でも昔はそのような社員名簿を社員に配布していました。社員間のコミュニケーションという目的もあったと思います。ただ、最近は個人情報に厳しくなってきており、「必要な社員に必要な情報を配布する」というのが基本になり、不必要な情報を必要としない社員には配布しないのが基本だと思います。全社員には連絡手段として必要な役職、氏名、電話番号のみ配布し、その他の情報は、例えば、人事、総務など必要な社員のみに開示するのが望ましいと考えます。

３．事務所にいる方がみなさんアクセスできるのはあまり良くないですね。
　ただ、個人のＰＣ保存というより、サーバ内に貴方しかアクセスできないようアクセス制限を掛けたフィルダーを作成し、そこに保存する方がいいと思います。サーバの方が安全性は高いと思いますので。あるいは個人情報が保存されたファイルは全てパスワードをつけてサーバに保存するとか。最悪、貴方のＰＣに保管でもいいかもしれませんが、データが消滅した場合を考えて、バックアップも考慮しておく必要がありますね。
何かさらにありましたら、いつでもどうぞ。また、回答漏れがありましたら言ってください。

トライトン　様


年度末でバタバタしており、お礼のお返事が大変遅くなりました。
せっかくご回答いただきましたのに、本当に申し訳ありません。

前回の質問のご回答、ありがとうございました。
とても詳しく説明してくださり、初心者の私でも理解できました。

実は色々と作業をしているうち、また新たに細かい疑問が湧いてきてしまいました。
こちらで質問させていただくとトライトン様を指名しているようで、トライトン様のみにご負担がかかってしまいそうですので一旦締めさせていただきます。
また新たに質問を立てようかと思っておりますので、もしお時間がありご負担でなければまたご回答いただければ幸いです。

ありがとうございました。








> １．その「個人のメールアドレス」が会社で使用している会社で指定したメールアドレスだとしても、それはやはり個人情報なのでしょうか？
> 　＊よく大企業だと「社員名＠会社名.co.jp」という形式がありますね。これだと、どこの会社の誰々さんと個人が特定できるため、メールアドレスは個人情報になります。しかし、例えば、「d.rep145@nifty.com」というものだと個人を特定できないので個人情報ではありません。
>
> ２．私が以前いた会社でも昔はそのような社員名簿を社員に配布していました。社員間のコミュニケーションという目的もあったと思います。ただ、最近は個人情報に厳しくなってきており、「必要な社員に必要な情報を配布する」というのが基本になり、不必要な情報を必要としない社員には配布しないのが基本だと思います。全社員には連絡手段として必要な役職、氏名、電話番号のみ配布し、その他の情報は、例えば、人事、総務など必要な社員のみに開示するのが望ましいと考えます。
>
> ３．事務所にいる方がみなさんアクセスできるのはあまり良くないですね。
> 　ただ、個人のＰＣ保存というより、サーバ内に貴方しかアクセスできないようアクセス制限を掛けたフィルダーを作成し、そこに保存する方がいいと思います。サーバの方が安全性は高いと思いますので。あるいは個人情報が保存されたファイルは全てパスワードをつけてサーバに保存するとか。最悪、貴方のＰＣに保管でもいいかもしれませんが、データが消滅した場合を考えて、バックアップも考慮しておく必要がありますね。
> 何かさらにありましたら、いつでもどうぞ。また、回答漏れがありましたら言ってください。

天災とにゃーすけ子さんの返信は忘れた頃にやってくる！（笑）

新たな質問はここでもいいですし、別に立てればまた別の方の違う意見も出てくるので、その方がいいですね。

私はＰマーク事務局を会社で長年やっており、暇ですのでまたそちらで回答してしまうかもしれませんが、ご容赦を。
ここでは、自分で調べてから回答しているので自分の勉強にもなるのです。

トライトン　様

ご返信ありがとうございます。
トライトン様をはじめ、総務の森には優しい方が多いですね。
本当に感謝しかありません（泣）

Ｐマーク事務局を担当されているのですね！
私の以前働いていた会社もＰマークを取得していましたが（私は担当していませんでしたが）、Ｐマークは個人情報保護法の何倍も厳しいのですよね（友人談）？
トライトン様の回答が、私の素人感満載なわかりづらい質問の意図をきちんと読み取ってくださる理由がわかりました。

お言葉に甘えてまたこちらで質問をしてしまうことがあるかもしれません、また別の質問に気づいていただけましたらお時間があればぜひご回答いただければ幸いです。




> 天災とにゃーすけ子さんの返信は忘れた頃にやってくる！（笑）
>
> 新たな質問はここでもいいですし、別に立てればまた別の方の違う意見も出てくるので、その方がいいですね。
>
> 私はＰマーク事務局を会社で長年やっており、暇ですのでまたそちらで回答してしまうかもしれませんが、ご容赦を。
> ここでは、自分で調べてから回答しているので自分の勉強にもなるのです。