顧客の氏名・連絡先を1件でも保有していれば、個人情報保護法の対象です。
しかし「どこから手をつければいいかわからない」「専門家に頼む予算がない」という経営者の方も多いのではないでしょうか。
この記事では、個人情報保護法対応について、従業員10~100名規模の中小企業向けにわかりやすく解説します。
2022年改正で変わったポイント、社内ルール整備の実践手順、費用の目安まで、自社で動けるレベルで整理しました。
個人情報保護法とは?中小企業が押さえるべき範囲
個人情報保護法(個人情報の保護に関する法律)は、氏名・住所・メールアドレスなどを取り扱う事業者に対して、適切な管理と利用を義務づける法律です。
かつては「5,000件以上の個人情報を保有する事業者のみ対象」という規定がありましたが、2005年の全面施行後に撤廃されました。現在は1件でも個人情報を持つ事業者はすべて対象です。
顧客の名刺1枚、問い合わせフォームの入力1件でも、法律の適用範囲に含まれます。
自社が保有している個人情報の主な例
・顧客情報: 氏名、電話番号、メールアドレス、住所、購入履歴
・従業員情報: 氏名、生年月日、住所、給与、マイナンバー
・取引先情報: 担当者名、名刺の連絡先
・ウェブサイト: 問い合わせフォームの入力内容、Cookieによるアクセスデータ
2022年改正で中小企業に影響する4つのポイント
2022年4月に全面施行された改正個人情報保護法では、中小企業にも直接影響する変更が複数ありました。
| 改正ポイント | 変更前 | 変更後(2022年〜) |
|---|---|---|
| 漏えい時の報告義務 | 任意(努力義務) | 個人情報保護委員会への報告が義務化 |
| 開示請求への対応 | 書面のみで対応可 | 電子データでの提供も必要 |
| オプトアウト規制 | 届出で第三者提供が可能 | 不正取得データの提供は禁止 |
| Cookie等の個人関連情報 | 明確な規定なし | 第三者提供に制限・確認義務が発生 |
特に重要なのが「漏えい時の報告義務」です。顧客情報が外部に漏れた場合、個人情報保護委員会への報告(速報は原則3〜5日以内、確報は30日以内)と本人への通知が義務になりました。報告が遅れると行政指導や命令の対象になります。
個人情報保護法への対応手順(ステップ別)
1. 保有する個人情報を棚卸しする
最初のステップは「自社にどんな個人情報がどこにあるか」を把握することです。Excelでシンプルな一覧(個人情報管理台帳)を作るだけで十分です。
確認すべき場所の例:
・会計ソフト(顧客・仕入先の連絡先)
・メールソフトの受信トレイ(顧客とのやり取り)
・クラウドストレージ(契約書・名簿のPDF)
・給与計算ソフト(従業員情報)
・紙の名刺ファイルやバインダー
棚卸しの目安時間は従業員20〜30名の企業で1〜2日程度です。最初は完璧でなくてもかまいません。「どこに何がある」を把握することが優先です。
2. プライバシーポリシーを整備する
ウェブサイトで顧客情報を収集している場合、プライバシーポリシー(個人情報保護方針)の公開は義務です。
記載が必要な主な項目:
・個人情報の利用目的
・第三者提供の有無と提供先
・個人情報の管理責任者と連絡先
・開示・訂正・削除の請求方法
テンプレートは個人情報保護委員会の公式サイトから無料で入手できます。弁護士に依頼すると5〜10万円程度かかりますが、まずテンプレートを自社でカスタマイズする方法で対応できる企業がほとんどです。
3. 社内ルールと管理体制を整える
個人情報を扱う責任者(情報管理責任者)を1名決め、以下のルールを文書化します。
・アクセス制限: 個人情報ファイルは必要な担当者だけが開けるよう権限設定
・パスワード設定: 個人情報が入ったファイルにはパスワードをかける
・持ち出し禁止: USBメモリ等への無断コピーや社外への持ち出しを禁止
・廃棄ルール: 不要になった個人情報はシュレッダー・データ消去で適切に廃棄
従業員向けのA4一枚の説明資料と、年1回30分の簡単な説明会を実施するだけで、インシデント発生リスクは大きく下がります。
4. 漏えい時の対応フローを決めておく
万が一、個人情報が漏えいした場合の対応フローを事前に決めておくことが重要です。
・発見→報告: 気づいた社員がすぐに情報管理責任者へ報告
・初動対応: 被害範囲の確認と拡大防止(アカウント停止・アクセス遮断など)
・行政報告: 個人情報保護委員会への速報(原則3〜5日以内)・確報(30日以内)
・本人通知: 漏えいした個人情報の本人への通知
このフローをA4一枚にまとめ、担当者の手元に置いておくだけで十分です。年に一度、想定シナリオを確認する時間(10〜15分)を設けると、いざという時の動きが格段に変わります。
かかるコストと使える補助金
【コスト】自社対応の場合の費用目安(執筆時点: 2026年5月)
| 対応内容 | 費用目安 | 備考 |
|---|---|---|
| プライバシーポリシー作成(自社) | ほぼ無料 | テンプレート活用。弁護士依頼の場合5〜10万円 |
| 社内教育資料作成 | 無料〜3万円 | 自作なら無料。外注の場合3万円前後 |
| 情報セキュリティ管理ツール(クラウド型) | 月1〜3万円(20名の場合) | アクセスログ管理が必要な場合に導入 |
| 外部セキュリティ診断 | 10〜30万円(一回) | 個人情報取り扱い状況の専門家診断 |
プライバシーポリシーの整備と社内ルール策定だけであれば、自社作業でほぼ無料〜数万円の範囲で対応できます。「専門家に高い費用を払わなければ対応できない」という心理的なハードルは、実際にはありません。
【補助金】IT導入補助金の活用
個人情報管理ツール(クラウド型)やエンドポイントセキュリティ製品は、IT導入補助金2026の対象ツールに含まれる場合があります(補助率1/2〜3/4、上限額はツールの種別・申請枠によって異なります)。
※ 申請年度や公募回によって対象ツールと補助率が変わります。詳細は公募要領を必ずご確認ください。
セキュリティ対策全般については、姉妹サイトSecurityMaster.JPでも詳しく解説しています。
よくある失敗と回避策
失敗1: プライバシーポリシーを作ったまま更新しない
プライバシーポリシーは「一度作って終わり」ではありません。新サービス開始や新ツール導入のタイミングで内容を見直す必要があります。年1回の確認を社内カレンダーに登録しておくだけで防げます。
失敗2: 担当者だけが理解して現場に伝わっていない
「情報管理責任者」を決めただけで、現場への周知を怠るケースが多いです。顧客情報を実際に扱うのは現場の担当者です。30分の説明会とA4一枚のメモ配布だけでも、現場の行動は大きく変わります。
失敗3: 漏えい発生時に報告期限を守れない
平常時に対応フローを決めていないと、いざという時に初動が遅れます。速報の期限(原則3〜5日以内)を守れないと、行政指導や企業への信頼失墜につながります。年に一度、フローを声に出して確認するだけで十分です。
本記事のまとめ
中小企業の個人情報保護法対応は、難しく考える必要はありません。順番に進めれば、自社だけで対応できる範囲がほとんどです。
・棚卸し: 保有個人情報の種類と保管場所を一覧化する
・ポリシー公開: プライバシーポリシーをウェブサイトに掲載する
・社内ルール: アクセス制限・廃棄・漏えい対応フローを文書化する
2022年改正で漏えい時の報告義務が強化されました。「漏えいしたらどうするか」を事前に決めておくことが、今最も重要な対応です。
まずは個人情報の棚卸しから、今日始めてみてください。
個人情報保護の次は、DX全体の推進が課題ですか?
社内ルール整備だけでなく、業務効率化・コスト削減まで一歩ずつ進めたい方へ。
中小企業のDXを身近な業務改善から始めたい方へ、メルマガで実践的なDX推進ノウハウをお届けしています。
コメント