2017年5月に施行された改正個人情報保護法は、取り扱う個人情報件数や会社の規模に関わらず日本のほとんどの事業者に適用されます。しかし、多くの中小企業や個人商店ではいまだに個人情報の管理がずさんなまま、おざなりになっています。企業として個人情報をどのように管理していくべきか、一般社団法人日本個人情報管理協会の坪井晋一常務理事に聞きました。（Soysauce Magazine Online編集部）

改正個人情報保護法は従業員1人でも対象です

改正個人情報保護法の大きなポイントとして、これまで5001人分以上の個人情報を取り扱う事業者を対象としていたものが、取り扱い人数の制限がなくなり、個人商店も含めた日本のほとんどの事業者が対象になったことが挙げられます。

この改正で、これまで対象外だった小規模な会社や町の八百屋さん、クリーニング屋さんまでもが同法の対象になりました。しかし、そのことを知らずにおざなりにしている企業や個人商店があまりにも多いのが現実です。

今回の個人情報保護法改正では、身体的特徴や病歴、人種といった「要配慮個人情報」に関する規定や、名簿業者に対しての記録作成の義務化、第三者提供（オプトアウト規定）の届出などいくつかのルールが設けられました。

一見、「うちの会社は顧客の個人情報を扱うことは少ないから、関係がない」と思うような場合でも、たとえば従業員の履歴書や健康診断結果、業務委託先の個人情報の管理方法にまで視野を広げてみると、個人情報保護法違反に抵触しかねないケースも少なくないのです。

特に中小企業や個人商店の場合、個人情報の管理についてのルールが不明瞭なケースが非常に多い。ですからまずは、そういった個人情報をどこで、誰が責任を持って管理するのかを決めておかなければなりません。これは、どんな小さな企業であっても例外ではありません。