昨日、『個人情報保護法のWEBへの影響』という記事にて、改正個人情報保護法の施行による『個人情報利用目的の公表』に関して触れました。
皆さん、こんにちは。
業務改善を行うIT・業務コンサルタント、高橋です。
昨日の記事を読んでいただければお分かり頂けると思いますが、2017年5月30日施行の『改正個人情報保護法』の施行により、事業用のホームページサイトにて個人情報を取得する場合(お問い合わせフォームなど)、その個人情報の利用目的をサイト内にて公表する必要性があることをお話ししました。
これとは別に、個人情報保護法上のガイドラインにある、『安全管理措置』という観点から考えた場合、個人情報取得時における施策は何もなくて良いのでしょうか?
個人情報保護法上のガイドライン
以前、『改正個人情報保護法施行日迫る』という記事でも触れましたが、今回の『改正個人情報保護法』において『5,000人要件』が撤廃されましたので、5,000人以下の個人情報を取り扱う事業者であっても『個人情報取扱事業者』となります。
そのため、個人情報を保護するための『安全管理措置』は必要です。
ただし、個人情報保護法上のガイドラインにて示されているのはあくまでも手法の例示であり、個別具体的に何が必要であるかは明記されているわけではありません。
※ 安全管理措置が何もされておらずに問題が発生した場合は行政指導が入ることがあるでしょう。
個人情報保護法とWEBのhttps化(暗号化)
前述の通り、個人情報保護法上の『安全管理措置』に対して事業者のホームページサイトにおける個人情報の取得にWEBの暗号化が必須条件となっているわけではありません。
しかし、これは今回の個人情報保護法改正以前の問題であり、ホームページサイトなどにおいて個人情報を取得する場合、最低限そのページが暗号化されているのは当り前の話しです。
万が一それが原因で問題が発生した場合(それがなされていれば問題が発生しなかった場合)、そのホームページサイトの運営事業者は民事的に訴えられることもあり得ます。
もし未だWEBのhttps化(暗号化)がされていないのであれば、これを機にSSL証明書を取得してWEBを安全な状態で運営することです。
各ブラウザにおいても、httpsではない、httpのままの非暗号化ページに対しては警告を出しはじめており、近い将来においてユーザーからの信頼を失墜するものにもなり得てしまいます。
それを避けるためにも、このような改正を機に、ホームページサイトに対する『安全管理措置』に対しても考えるべきでしょう。
