個人情報とは
個人情報とは、生存する個人に関する情報で、氏名や生年月日などによって特定の個人を識別できる情報をさす。氏名のほか、氏名と社名が含まれるメールアドレス(例:kojin_ichiro@example.com)などは、個人情報に該当する。住所や電話番号などは、他の情報と容易に照合することで特定の個人を識別することができる場合は、個人情報に該当する。
この他、留守番電話などで誰の音声か識別できる場合や、防犯カメラで本人と判別がつくほどはっきりと記録された顔画像なども、個人情報に該当する例として挙げられる。
個人情報保護法の適用対象と改正ポイント
2022年4月1日に改正個人情報保護法が施行され、個人情報を扱うすべての事業者は企業規模にかかわらず適用対象となった。改正の目的は、デジタル化の普及で個人情報が取得しやすくなったことで、個人の権利や利益の保護を強化することにある。個人情報保護法については、国際的な動向や情報通信技術の進展、新しい産業の創出や発展など、世の中の状況が変化することを踏まえ、3年ごとに制度の見直しが行われることになっている。改正のポイントは以下の6つだ。
(1)本人の権利保護が強化される
本人が事業者に対して、保有個人データの利用停止・消去・第三者への提供の停止を請求しやすくなった。事業者が保有個人データを利用する必要がなくなったとき・保有個人データの漏洩が生じたとき・個人の権利や利益が損なわれる恐れがある場合が条件である。
(2)事業者の責務が追加される
保有している個人データが漏洩したとき、事業者は個人情報委員会への報告と本人への通知する義務がある。本人に直接通知することが難しいケースでは、漏洩の事実を公表して個人の問い合わせに対応するなどの措置を取ることで、本人への通知義務は免除となる。
(3)企業の特定分野を対象とする団体の認定団体制度が新設される
旧法では、事業者の全ての分野における個人情報の取り扱いを対象とする団体に対して認定する「認定団体制度」があった。改正によって、事業者の個人情報の取り扱いを対象とする団体を認定することが可能となった。
(4)データの利活用が促進される
個人情報を加工し、他の情報と組み合わせなければ個人を特定できないようにした情報は、内部分析に使う場合のみ情報開示・利用停止請求に対応する義務が緩和される。
(5)法令違反に対するペナルティが強化される
「措置命令」「報告義務違反」「個人情報データベースの不正流用」のペナルティが強化された。また、法人に対する罰金刑も引き上げられた。
(6)外国の事業者に対する、報告徴収・立入検査などの罰則が追加される
旧法では報告徴収・命令・立ち入り検査の対象外だった外国事業者も、新法では「日本国内にあるものに係る個人情報」を取り扱う場合、適用対象となった。
刑事罰による罰金は以下のとおりとなる。これは法令違反に対するペナルティであり、個人情報の対象である本人から別途損害請求訴訟を起こされる可能性も考えられる。
個人情報保護法違反の罰金 | 懲役刑 | 罰金刑 | |||
---|---|---|---|---|---|
旧法 | 改正後 | 旧法 | 改正後 | ||
個人情報保護委員会からの命令違反 | 行為者 | 6カ月以下 | 1年以下 | 30万円以下 | 100万円以下 |
法人等 | - | - | 30万円以下 | 1億円以下 | |
個人情報データベース等の不正提供等 | 行為者 | 1年以下 | 1年以下 | 50万円以下 | 50万円以下 |
法人等 | - | - | 50万円以下 | 1億円以下 | |
個人情報保護委員会への虚偽報告など | 行為者 | - | - | 30万円以下 | 50万円以下 |
法人等 | - | - | 30万円以下 | 50万円以下 |
トラブルになり得るケース
コロナ禍における売上低迷を受け、飲食店の中には従来のグルメサイトを介した予約サービスのほか、事業者自身が運営するLINE公式アカウントの開設や予約可能なミニアプリを提供するケースが増えている。顧客の取りこぼしを防ぐための有効な工夫といえるが、一方で事業者が取得できる個人情報が従来よりも増え、法律に抵触する可能性が高くなってしまうことも事実だ。
これまでは法令上問題なく、効果的な取り組みと思われてきた業務が、今まで以上に情報管理レベルを引き上げる必要が出てくることはもちろん、最悪の場合懲役刑や罰金刑の対象となる可能性があることについて十分な理解が必要だ。
飲食店へのメリット・デメリット
消費者の生年月日や住所などの個人情報を飲食店が利用して、限定サービスなどの販促活動をすることは、より効果的なマーケティング施策の打ち出しに繋がる。
一方で、情報流出については充分な警戒が必要だ。万が一個人情報の漏洩が起きてしまった場合は、漏洩件数に関係なく個人情報委員会と本人への報告する必要がある。違反によって生じるペナルティや信用の低下も事業の痛手である。また、外国事業者と共に飲食店を運営している場合、報告徴収・立ち入り検査について認識を合わせておくことも必要だ。
飲食店が取り組むべき6つの対策
個人情報保護委員会は、2022年4月1日の改正個人情報保護法施行に向けて中小企業が取り組むべき重点ポイントを以下の6つにまとめた。
その1:万が一に備え、漏洩等報告・本人通知の手順を整備しましょう
その2:個人データを外国の第三者へ提供しているか確認しましょう
その3:安全管理措置を公表する等、本人の知り得る状況に置きましょう
その4:保有個人データを棚卸し、開示請求等に備えましょう
その5:個人情報を不適正に利用していないか、確認しましょう
その6:個人関連情報の利用状況や提供先を確認しましょう
引用:個人情報保護委員会「改正個人情報保護法対応チェックポイント 」
飲食業界は慢性的な人材不足とコロナ禍における非接触対応の求めを受け、ITの活用が進んでいる。一方で、精通した人材の確保が難しいのも現状だ。例えば本改正によって、Cookieや位置情報、広告IDなどの識別情報も個人関連情報と認識されるようになった。こうした情報は、普段ITに触れている人材でなければなかなか理解できないものである。
改正個人情報保護法の重要性の周知や、従業員に対する研修・勉強会の実施、万が一トラブルが生じた際のルール徹底が求められる。
個人情報の取り扱い方法の見直しを行い上手く活用しよう
ウィズコロナによって飲食業界にDXの波が一気に押し寄せた。大手グルメサイトや予約サービスからのWEB予約受付はもちろん、現金の受け渡しを避けるのに効果的とされるクレジットカード決済や電子マネーによるタッチ決済など、既に導入を決めた飲食店は多く、従来以上に取得できる個人情報が増えたと実感する事業者も多いだろう。
2022年4月1日に施行された改正個人情報保護法は、飲食店にとって個人情報の有効活用ができるチャンスだ。一方で取り扱いに失敗したときに大きなダメージを受けることになる法律でもある。
企業活動に個人情報を活用するメリットとリスクの両面を理解し、各店舗で個人情報の取り扱い方法の見直しや、万が一情報漏洩が発生したときの対策を立てておくことが必要である。
[参考]
個人情報保護委員会「個人情報保護委員会ウェブサイト」を編集して作成