中小企業も対象に！改正個人情報保護法における名刺管理の注意点を解説

改正個人情報保護法によって、個人情報の流出に対するリスク管理と企業の責任が大きく問われるようになりました。

今回は企業の情報管理の中でも「名刺の管理」に特化して、改正個人情報保護法における名刺管理の注意点について解説していきます。

 

 

┃名刺も保管状況によっては個人情報に該当する

そもそも個人情報とはどのような情報を指すのでしょうか。

個人情報保護法では、個人情報を以下のように定義しています。

引用：個人情報の保護に関する法律（第1章第2条）

 

この定義から考えると、雑然と束にしてまとめている名刺や、名刺入れに入れっぱなしにしている名刺は個人情報とはいえません。しかし名刺をファイリングしたり、データベース化したりした場合は、特定の個人を検索できる状況になるため、個人情報として取り扱う必要があります。

 

 

 

┃改正個人情報保護法では中小企業も適用される

 

今回の個人情報保護法の改正で、最も注意すべき点は、法律の適用範囲です。

改正前の個人情報保護法では「5,001件以上の個人情報を個人情報データベース等として所持し事業に用いている事業者」が個人情報取扱事業者と定義されていました。

しかし、改正個人情報保護法ではすべての事業者が対象となることとなったのです。

 

そのため、管理する名刺が5,000枚以下の中小企業でも「個人情報取扱事業者」として扱われ、正しく名刺を管理する義務が発生します。

これまでのように「大企業だけが適用される法律」ではなくなったということです。

 

 

 

┃改正個人情報保護法が2022年4月1日から全面施行

 

2020年6月12日に公布された改正個人情報保護法は、2022年4月1日より全面施行されました。

ここで、改正個人情報保護法の主な変更点を抑えておきましょう。

参考：個人情報保護委員会「令和２年 改正個人情報保護法について」

 

このように改正点は多岐に渡っていますが、全体に共通していえることは「個人情報の取扱が強化され、法令違反をした場合の罰則が強化された」ということです。特に⑤の罰則強化については、大幅な改正が見られる点となっています。

 

以下の表で、法令違反をした場合に課される罰則の変更点について確認しましょう。

引用：個人情報保護委員会「令和２年 改正個人情報保護法について」

 

特に個人情報保護委員会からの命令違反や、個人情報データベース等の不正提供等について、法人に最大1億円の罰金が科されるように改正しており、大きく厳罰化されていることが分かります。

 

これほど厳重な罰が与えられることからも、個人情報の保護は企業にとっても重要な責務であるといえるでしょう。

 

 

 

┃改正個人情報保護法での名刺管理の注意点

 

前項にて、改正個人情報保護法において、より個人情報の取り扱いや違反した場合の罰則が強化されたことについて見てきました。では、個人情報に該当する名刺の管理では、どのような点に気を付ければよいのでしょうか。ここからは、名刺を管理する際の注意点について解説していきます。

 

 

①安全管理措置を徹底する

名刺は個人情報に該当するため、その管理には徹底的な安全管理を施さなければいけません。

経済産業省では、個人情報の安全管理措置を、以下の4つで定義しています。

参考：経済産業省「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」

 

たとえば「人的安全管理措置」では、名刺管理の保管方法や取り扱いについての研修を行うなど、従業員に個人情報取り扱いの重要性についての教育を行うことが挙げられます。

また「技術的安全管理措置」では、名刺管理システムを導入することも効果的です。セキュリティ対策が行われている名刺管理システムであれば、社外の人間はアクセスできないため、情報漏洩を起こすリスクを回避できるといえます。

 

②利用目的外の使用を禁止する

個人情報保護法では、当初の利用目的外で個人情報を活用する場合には事前に本人に通知することが定められています。名刺を交換する際の「当初の利用目的」とは、業務上で電話やメールでの連絡を取ることです。

そのため、業務連絡で名刺に書かれた電話番号やメールアドレスを利用することは問題ないでしょう。

しかしそのメールアドレスや会社の住所宛てにDMを送付することは、「当初の目的」を逸脱した行為とみなされます。したがって、名刺に記載された情報であっても業務上の連絡以外に使用することは社内で禁止する必要があります。

DMを送付する際には、先方へ事前に「利用目的の通知」を行うことを覚えておきましょう。

 

③個人情報を第三者へ提供する際はオプトアウトが必要

改正個人情報保護法では、個人情報を第三者へ提供する際にオプトアウトを行うことが義務付けられています。

オプトアウトとは、個人情報を第三者へ提供する際に事前に本人へ通知を行うことです。

さらに個人情報取扱事業者は、第三者に提供する情報の項目を個人情報保護委員会に届け出るとともに、届け出を行った項目はインターネットなどで公表しなければいけません。個人情報保護委員会側も、個人情報取扱事業者から届け出があった項目を公表することとなっています。

 

たとえば取引先の名刺を他の部署と共有することは、「第三者への提供」とまではいわないでしょう。しかし、名刺に記載された情報を他の企業などに渡すことは「第三者への提供」となります。

その際には事前にオプトアウトを行うことが必要である上、データを渡した相手の氏名やデータを渡した目的などを記録・保存する義務があるため注意が必要です。

 

 

 

┃名刺管理システム導入による改正個人情報法対策の効果

改正個人情報保護法の全面施行を受けて、名刺管理システムの導入を検討する企業も多いのではないでしょうか。

ここからは名刺管理システムの導入による改正個人情報保護法対策の効果について解説していきます。

 

 

①情報が暗号化されており、高いセキュリティで個人情報が保管できる

個人情報を取り扱う名刺管理システムでは、「通信が暗号化されているか」といった点が重要です。いくら名刺管理システムの導入で利便性が向上しても、誰でも情報にアクセスできる状態では、かえってリスクが高まってしまいます。

 

名刺管理システムでは、データを送受信する際や保管する際のネットワークは全て暗号化されており、セキュリティの高い状態で個人情報を保管できます。

 

②個人情報を一元管理できる

名刺管理システムの導入による効果として、個人情報漏洩のリスクを低減することが挙げられます。名刺管理を導入することにより、個人情報を高いセキュリティのもと一元管理することが可能です。

もし名刺の管理を各従業員に任せている場合、社内に個人情報が点在している状況となります。

たとえ従業員数が少ない中小企業であっても、各従業員がどのような環境で個人情報を管理しているのか常に把握しておくことは難しいでしょう。そのような環境下で、もし従業員の1人でもきちんとした管理を行っていなければ、個人情報漏洩のリスクが非常に高くなるといえます。

 

その点、名刺管理システムであれば名刺の情報を一元化できるため、各従業員が手元で名刺の管理を行う必要がありません。管理する人によって保管方法が違うということもないため、常に適切な環境で個人情報を保管できます。

また、名刺管理システムには、「従業員の不注意によって名刺を紛失する」といった事態を防ぐ効果もあります。

名刺の情報は全て名刺管理システム内で保管されるため、不注意や誤廃棄による個人情報漏洩のリスクが抑えられるのです。

 

③高いセキュリティのもと個人情報が管理できる

「プライバシーマーク」の導入よりセキュリティが高い環境で名刺情報を管理するためには、「プライバシーマーク」がついたシステムを選ぶことも大切です。

「プライバシーマーク」とは、個人情報保護に適切な措置を講じている事業者に対して与えられるものです。

厳しい基準をクリアしてプライバシーマークを取得している名刺管理システムであれば、より安全に個人情報を管理できます。

 

④PMS（個人情報保護マネジメントシステム）の遵守

従業員がスキャンして取り込んだ名刺のデータは、オペレーターによってデータ化されます。

オペレーターは入力に必要な情報だけが開示される仕組みとなっているため、「どの会社の誰が送ってきた名刺データなのか」といったことは一切分からないようになっています。

また、オペレーターはPMS（個人情報保護マネジメントシステム）を遵守する契約のもと雇用されているため、データを外部へ持ち出したり、私的にダウンロードしたりといった心配もありません。

 

 

 

┃名刺管理システムで適切な個人情報の管理を行おう

名刺管理システムは業務効率の改善だけでなく、個人情報漏洩のリスク軽減の役割もあります。

 

名刺の管理を会社で一元化させることによって、従業員個人で名刺を管理する必要がなく、誤廃棄などの個人情報漏洩のリスクを回避できるものです。

 

改正個人情報保護法では、個人情報の取り扱いや罰則が強化されていることから、是非この機会に名刺管理システムの導入を検討してみてはいかがでしょうか。