飲食店舗専門情報サイト 店サポ

飲食店舗専門情報サイト

懲役刑も 飲食店が知るべき 改正個人情報保護法

2020/4/27 飲食店 繁盛, 飲食店 開業

飲食-個人情報

geralt / Pixabay

平成29年5月30日より個人情報保護法が改正されました。これまでと違い個人情報を扱うであろうすべての事業者が対象となります。これによりこれまで当たり前だったことがこの日を境に当たり前で無くなるどころか、ともすると懲役や罰金などの刑罰を受ける可能性も出てきたのです。携帯電話番号やメールアドレス、マイナンバーなど個人を容易に特定できるものが増えて来たことはそれはそれで便利な世の中なのですが、クレジットカード情報など悪用されやすくなったことも事実です。

知らず知らずのうちに個人情報が溜まる飲食店で、保護対象になる情報とは何かを整理して行き間違っても罰金や懲役刑を受けない対策を確認したいと思います。

令和3年6月小型飲食店舗でも「HACCP」導入化~食品衛生管理法改正~

Contents

そもそも個人情報とは何か

改正前の個人情報の定義、大きく3つの要素からなっています。

  1. 生存する個人に関わる情報
  2. 情報に含まれる名前や生年月日など、個人を特定するもの
  3. 別の情報と一緒にすることで特定の個人を特定する情報

原則は、生存する個人に向けられた法律であることが前提になっています。そこから徐々に絞り込まれて行きます。例えば名前だったり、生年月日だったり。不動産的な発想で言えば、土地取引や連帯保証人の引き受けをめぐる本人確認の3要素というものがあって、

  • 自署による、署名
  • 生年月日
  • 印鑑証明(実印の捺印)

と言われています。つまり、自署を求めると言うことは、生きている人が書いたと言うことの証明ですし、個人を特定する生年月日、さらにはその個人しか使うことのできない実印と印鑑証明が揃うことで、後日取引を知らない、関係ないと否定できない個人の特定方法となっています。

また、一見関係のなさそうな情報でも、データベース化することで個人を割出せるものに加工することで立派な個人情報として成立するとされてきました。さて、これまででも厳しく管理されていた様に思う個人情報ですが何が改正になったのか見てみましょう。

改正個人情報保護法の4つのポイント

  1. 個人識別符号
  2. 匿名加工情報
  3. 要配慮個人情報
  4. 追跡可能性の確保

一つ一つ見て行きましょう。

個人識別符号

これまで個人を特定する要素が具体的に示されていない為に現場レベルで混乱する事が頻発したことを反省し、より具体的に表現されました。例えば、2020年に開催される東京オリンピック、パラリンピックに向け準備が進む顔認証サービスなどがこれにあたります。既に海外ではパスポートと併用して個人を特定する方式がとられています。つまり、顔認証に使用されるデータや指紋データ、網膜データ、静脈データなども個人情報として扱われることになりました。

それ以外にも個人を特定する符号としては、運転免許書番号やパスポート、マイナンバー、年金番号などもこれにあたります。

匿名加工情報

これは、事細かに個人情報を特定し過ぎるとかえって利用価値を損ねてしまいかねない為に新設された部分です。例えばビックデータへの活用やこれまで旧法で蓄積されてきた膨大な個人情報が無駄にならないよう考え出されたものです。簡単に言ってしまえば、個人を特定していた個人情報を今度は逆に個人を特定できない情報に加工することで、個人に了解を得ることなく活用できるようにしたのです。それにはいくつかの条件が付きます。

  • 適正加工義務
  • 安全管理措置
  • 公表義務
  • 匿名加工の表明
  • 識別行為の禁止

簡単に説明をします。個人を特定する情報が匿名性を確保できるよう加工された上で、再加工により元に戻せないようことが求められます。匿名性が増したと言えどもその後情報が流出しないよう適正に管理される必要があります。加工された情報に含まれる情報に何が含まれているのか表示する必要があり併せて匿名加工がなされている旨告知する義務を負います。当然ですが、それらの情報を扱う事業者及び個人は、それらの情報を利用し再度個人を識別できるような個人情報に加工してはならないと規定したのです。

速報 加熱式たばこも規制対象に 飲食店の対応は

要配慮個人情報

お店で顧客登録などをしてバーゲンやセールの案内を送付する、購入実績によりポイントなどが溜まるサービスを行う小売店は多いのですが、これらの情報は登録カードや店頭で個人情報の取り扱いについて表示をしておくだけでOKとされています。つまりプライバシーポリシーの表明です。

これに対し要配慮個人情報は本人の同意がないと取得する事すらできないとなりました。さて、この要配慮個人情報とは何でしょうか

  • 犯罪履歴
  • 犯罪被害履歴
  • 病歴
  • 信条
  • 宗教

等がそれにあたります。もっと、個人が既に公表していた場合はこれにあたらないとされていますが、もし飲食店側でお客様との会話で知りえたり、お客様同士の会話から知りえた内容が要配慮個人情報にあたる場合、顧客台帳等に記載をしてしまうと違反行為となってしまうのです。

追加可能性の確保

以前に大量の個人情報を流出させた通信教育会社や携帯電話会社があり個人に対する莫大な金銭保証が発生し世間を揺るがす事件となったことは記憶に新しいと思います。流出した個人情報は複数の業者を通じて散逸し実態を把握できない状態となったことを踏まえ、個人情報を提供する事業者、またそれらの情報を取得する事業者共に情報のやり取りがあった日時などを記録し一定期間保存することとなりました。また、情報の提供者は必要に応じて情報を受領する会社にどのような経緯で知りえたか明らかにすることと定められたのです。

違反した場合の刑事罰とは

これまでの個人情報漏洩をめぐる経緯から、個人情報を扱う会社とその従業員に対しても刑罰が適用されることとなりました。

  • 従業員:最大6ヶ月の懲役または30万円の罰金
  • 会 社:最大30万円の罰金

これ以外に、個人情報の対象となる個人からの賠償請求訴訟がある可能性もあります。また、上場企業のような場合など自主的な損害賠償を実施することもあると思いますが、ケタ違いの金額になることは間違いないでしょう。

2018年2月に日本飲食店協会が始めたドタキャン防止に向けたキャンセル者電話番号を集めたデータベースの作成は、この改正個人情報保護法ではアウトだったようです。改めてデータの取り扱いについて表明し収拾をゼロから集めるとの報道がありました。電話番号一つとってみても別の情報とあわせることで個人が特定されるからだそうです。

マイナンバーやビックデータの活用で個人の煩わしさが減り便利な世の中になる反面、顔認証データなどその気になれば個人の所在地が常時特定できる環境にも近づいているともいえる今日、飲食店と言えども顧客データの管理、取り扱いに注意を払わないといけない時代となっているようです。

それって違法?いまさら聞けない飲食店「風営法」(2016年6月施行)の要点

  • このエントリーをはてなブックマークに追加

店サポ