平成２７年９月に改正個人情報保護法が成立しました。

個人情報とは、生存する個人に関する情報で、当該情報に含まれる氏名、生年月日、その他の基準により特定の個人を識別することが出来るもののことです。

分かりやすい例では、クレジットカードの審査情報などは、口座に関する情報と氏名が載っているため、個人情報に該当します。

逆に、山田太郎など極めて複数の人が存在する情報であれば、個人情報に該当しないと言えます。

その内容は、個人情報の定義の明確化、要配慮個人情報に関する規定の整備、個人情報保護委員会の設置、本人の同意を得ない第三者提供（オプトアウト規定）の届出、公表等の厳格化など様々です。

特に中小企業の方にご注意いただきたいのが、これまで、５０００人を超える個人情報を取り扱う事業者だけが規制されていたものが、今回の改正でこの要件が撤廃され、全ての個人情報を取り扱う事業者について、法律の規制が及ぶことになったという点です。

では、具体的に何をしなければならないかというと、個人情報の管理について、①個人データの漏洩、滅失または毀損の防止その他の個人データの安全管理のために必要かつ適切な措置（各省庁のガイドラインに個別の規定あり。）、②従業員に対する必要かつ適切な監督（従業員への情報管理に関する教育、監督）、③個人情報の管理を外部に委託している場合は委託先に対する必要かつ適切な監督、④データの内容の正確性確保、⑤保有個人データに関する本人からの請求に基づく開示などの対応などが主な事項です。

また、仮に個人情報を第三者に提供する場合（法令に基づく場合など一定の例外あり）には、必ず、事前に本人の同意を得なければなりません。

このほかにも、第三者から個人情報の提供を受ける際の第三者の氏名等及び個人データ取得の経緯の確認が必要となるなど、様々な対応が求められます。

既に、マイナンバー法関連の情報管理対策と併せて今回の改正に必要な態勢を整備されている企業の方も大勢いらっしゃると思いますが、この機会にマイナンバー法に関する情報管理対策と併せて会社の対応が万全か、今一度確認してみてはいかがでしょうか。