個人情報保護法とは?


個人情報の漏洩など、日々ニュースで見ない日はないくらいに「個人情報」という言葉を多く耳にするようになっていますが、そもそも個人情報とはなんであるのか?

なぜ「個人情報保護法」という法律があり守らないといけないのか?など。

「個人情報保護法」の基本を学びながら理解を深めていきましょう。

「個人情報保護法」とは

 

個人の権利・利益の保護と個人情報の有用性 (社会生活やビジネス等への活用)とのバランスを図るための法律
民間事業者の個人情報の取扱いについて規定 従来は、取り扱う個人情報の数が5,000人分以下の事業者には適用されていませんでしたが、 平成29年5月30日からは、すべての事業者に適 用されています

「個人情報」とは

生存する個人に関する情報で、 特定の個人を識別することができるもの (例)「氏名」、「生年月日と氏名の組合せ」、「顔写真」等 (※その情報単体でも個人情報に該当することとした「個人識別符号」も個人情報に該当します。)

「個人識別符号」とは?

以下①②のいずれかに該当するものであり、政令・規則で個別に指定されています ①身体の一部の特徴を電子計算機のために変換した符号  ⇒DNA、顔認証データ、虹彩、声紋、歩行の態様、手指の静脈、指紋・掌紋 ②サービス利用や書類において対象者ごとに割り振られる符号(公的な番号)  ⇒旅券番号、基礎年金番号、免許証番号、住民票コード、マイナンバー等

個人情報保護に関して事業者が守るべき4つのルール

(1)取得・利用

⿟ 利用目的を特定して、その範囲内で利用する。

⿟ 利用目的を通知又は公表する。

(2)保管

⿟ 漏えい等が生じないよう、安全 に管理する。

⿟ 従業者・委託先にも安全管理を 徹底する。(持ち運ぶ場合も要注意)

(3)提供

⿟ 第三者に提供する場合は、あら かじめ本人から同意を得る。

⿟ 第三者に提供した場合・第三者 から提供を受けた場合は、一定 事項を記録する。

(4)開示請求等への対応

⿟ 本人から開示等の請求があった 場合はこれに対応する。

⿟ 苦情等に適切・迅速に対応する。

(※)(2)~(4)は個人情報をデータベース化(特定の個人を検索できるようにまとめたもの)した場合にかかるルールです。なお、これらの個人情報データベース等を構成する個人情報を、「個人データ」といいます。

(1)取得・利用に関するルール

個人情報の「取得・利用」に当たって守るべきことは主に下記の2つがあります。

  • 利用目的を特定して、その範囲内で利用する。
  • 利用目的を通知又は公表する。

「利用目的の特定」とは、何のために個人情報を利用するのか 具体的に決めることです。

利用目的の通知・公表方法は、特に定めはありません。通知であれば、本人に口頭・書面・ メール等で通知することが考えられ、公表であれば、WEBサイトの分かりやすい場所や店舗等の事業所への掲示、申込書等への記載等が考えられます。なお、同意までの義務はありません。

利用目的の特定方法

「利用目的はどのように特定すればよいですか?」といった質問をよく受けますが、

例えば、以下のように特定することが考えられます。

「当社の新商品のご案内の送付のため」
「当社の商品の配送及びアフターサービスのご案内のため」など

このようなことはWEBサイトを持っている企業の多くが「プライバシーポリシー」のページなどで定めていますね。

なお、取得の状況から、利用目的が明らかであれば、利用目的の通知又は公表は不要の場合があります。その主な例としては、

配送伝票の記入内容を配送のために利用することは明らか

また、利用目的を変更(追加)する場合は、原則本人の同意が必要になりますので注意が必要です(関連性のある範囲内での変更なら通知又は公表のみで可)

「要配慮個人情報」の「取得」に当たって守るべきこと

個人情報保護法を理解する上で、重要なポイントとなる「要配慮個人情報」とはどのような情報のことかご存知ですか?

「要配慮個人情報」とは、不当な差別、偏見などで不利益が生じないように取扱いに配慮を要する情報として、法律・政 令に定められた情報のことです。

例えば、「人種」、「信条(宗教など)」、「社会的身分」、「病歴」、「犯罪の経歴」 、「犯罪により害を被った事実」、「身体障害等の障害があること」等

初めて会う人、またはまだあったことのない人の上記のような情報を知ってしまうと、勝手な先入観から対応が変わってしまったりする可能性がありますよね。そのような情報のことを「要配慮個人情報」と言い、取得する場合はあらかじめ本人の同意が必要になりますので注意しましょう。

しかし、法令に基づいて取得する場合等は同意は不要となります。

例えば、労働安全衛生法に基づき健康診断を実施し、これにより従業員の身体状況、病状、治療等の情報を健康診断実施機関から取得する場合 また、本人から直接書面や口頭で取得する場合は、同意があったものとみなされるため、あらためて同意をとる必要は無くなります。

(2)保管に関するルール

個人情報の「保管」に当たって守るべきことは主に下記の2つがあります。

  • 漏えい等が生じないよう、安全に管理する。
  • 従業者・委託先にも安全管理を徹底する。

基本的なことかもしれませんが、これができていない事業者は多いのです。

では、具体的にどのような方法で管理するのかを見ていきましょう。

「安全に管理」するための方法とは?

安全に管理するための方法には、取り扱う個人情報の性質及び量等によってきますが、具体的には以下のような方法が考えられます。

  • 取扱いの基本的なルールを決める。
  • 従業者を教育する。
  • 紙で管理している場合は、鍵のかかる引き出しで保管する。
  • パソコン等で管理している場合は、ファイルにパスワードを設定する。
  • セキュリティ対策ソフトウェアを導入する。  等

個人情報の管理を委託をする場合は、適切な委託先を選択し、安全管理措置に関する契約を締結するなど、委託先にも適切な管理を求める必要があります。

小規模事業者向けの安全管理措置の手法例とヒント

2017年5月30日より、個人情報を取り扱うすべての事業者に個人情報保護法が適用されました。これにより小規模事業者も含む全ての事業者が対象になりましたので、この文章を読んでいる全ての事業者で、個人情報を保管するための「安全管理措置」を行わなければいけません。

では具体的にはどのようなことが必要なのか「個人情報保護委員会WEBサイト」を参考に下記に整理しました。

講じなければならない措置 手法例 ヒント
1 基本方針の策定 ※この項目は、義務ではありません。 義務ではありませんが、策定しておくことで、従業員教育に役立ちます。
2 個人データの取扱いに係る規律の整備 個人データの取得、利用、保存等を行う場合の基本的な取扱方法を整備する。 既存の業務マニュアル・チェックリスト・フローチャート等に個人情報の取扱いの項目を入れるのも一案。
3 組織的安全管理措置
(1)組織体制の整備 個人データを取り扱う従業者が複数いる場合、責任ある立場の者とその他の者を区分する。 個人データの取扱いを担当者任せにせず、責任者がチェックすることで不適切な取扱いを防ぐことができます。
(2)個人データの取扱いに係る規律に従った運用
(3)個人データの取扱状況を確認する手段の整備
あらかじめ整備された基本的な取扱方法に従って個人データが取り扱われていることを、責任ある立場の者が確認する。 業務日誌やチェックリスト等を活用し、確認を。
(4)漏えい等の事案に対応する体制の整備 漏えい等の事案の発生時に備え、従業者から責任ある立場の者に対する報告連絡体制等をあらかじめ確認する。 「ほう・れん・そう」の中に、個人情報の漏えい事案を。
(5)取扱状況の把握及び安全管理措置の見直し 責任ある立場の者が、個人データの取扱状況について、定期的に確認を行う。 (1)〜(4)のプロセスで気づいたリスクがあれば、改善を。
4 人的安全管理措置
従業者の教育 個人データの取扱いに関する留意事項について、従業者に定期的な研修等を行う。
個人データについての秘密保持に関する事項を就業規則等に盛り込む。
集合研修に限らず、朝礼等の際に定期的に注意喚起を。
5 物理的安全管理措置
(1)個人データを取り扱う区域の管理 個人データを取り扱うことのできる従業者及び本人以外が容易に個人データを閲覧等できないような措置を講ずる。 誰でも見られる場所に放置しない。
(2)機器及び電子媒体等の盗難等の防止 個人データを取り扱う機器、個人データが記録された電子媒体又は個人データが記載された書類等を、施錠できるキャビネット・書庫等に保管する。
個人データを取り扱う情報システムが機器のみで運用されている場合は、当該機器をセキュリティワイヤー等により固定する。
書類や電子媒体をきちんと管理。
(3)電子媒体等を持ち運ぶ場合の漏えい等の防止 個人データが記録された電子媒体又は個人データが記載された書類等を持ち運ぶ場合、パスワードの設定、封筒に封入し鞄に入れて搬送する等、紛失・盗難等を防ぐための安全な方策を講ずる。 電子媒体にはパスワードを。置き忘れ等にも注意を。
(4)個人データの削除及び機器、電子媒体等の廃棄 個人データを削除し、又は、個人データが記録された機器、電子媒体等を廃棄したことを、責任ある立場の者が確認する。 書類であれば、焼却、シュレッダー処理を、機器・電子媒体等であれば、データ削除ソフトウェアの利用や物理的な破壊等を。

出典:個人情報保護委員会WEBサイト
https://www.ppc.go.jp/

(3)提供に関するルール

個人情報の「提供」に当たって守るべきことは主に下記の2つがあります。

  • 第三者に提供する場合は、あらかじめ本人から同意を得る。
  • 第三者に提供した場合・第三者から提供を受けた場合は、一定事項を記録する。

本人の同意を得る方法は、特に定めはありません。口頭・書面で同意を得る方法のほか、ホームページで同意欄にチェックいただく方法も考えられます。

記録事項・保存期間について

基本的な記録事項は、以下のとおり(保管期間は原則3年)。

(提供した場合)
「いつ・誰の・どんな情報を・誰に」提供したか?

(提供を受けた場合)
「いつ・誰の・どんな情報を・誰から」提供されたか?

「相手方の取得経緯」

ただし、本規定は個人データの不正な流通の防止が目的であるため、一般的なビジネスの実態に配慮して、以下の通り例外規定があります。

本人同意や記録が不要となる例外

  • 法令に基づく場合
    (例:警察、裁判所、税務署等からの照会)
  • 人の生命・身体・財産の保護に必要且つ、本人の同意取得が困難
    (例:災害時の被災者情報の家族・自治体等への提供)
  • 公衆衛生・児童の健全育成に必要且つ、本人の同意取得が困難
    (例:児童生徒の不登校や、児童虐待のおそれのある情報を関係機関で共有)
  • 国の機関等の法令の定める事務への協力
    (例:国や地方公共団体の統計調査等への回答)
  • 委託、事業承継、共同利用  等

外国にある第三者に提供する場合に守るべきこと

◦ 次の①〜③のいずれかを満たす必要があります。 (委託、共同利用を行おうとする場合であっても例外ではありません。)

① 外国にある第三者に提供することについて、本人の同意を得る。

② 外国にある第三者が、適切な体制を整備している(※)。

③ 外国にある第三者が個人情報保護委員会が認めた国に所在している。

(4)本人からの開示請求等に関するルール

個人情報の「開示請求等への対応」に当たって守るべきことは主に下記の2つがあります。

  • 本人から開示等の請求があった場合はこれに対応する。
  • 苦情等に適切・迅速に対応する。

「開示等の請求」とは、 自分の個人情報について 「見せてほしい」、「誤り を訂正してほしい」等の 請求のことをいいます。

開示請求等への対応に当たっての留意点

  • 一時的に保有しているにすぎない個人情報(=半年以内に消去するもの)や、他 の事業者からデータ編集作業のみを委託されて取り扱っているだけの個人情報 (=開示等の権限がないもの)は、対応は不要です。
  • 以下の①〜⑤について、「本人が知り得る状態」に置く必要があります。
    (例:HP公表、事業所での掲示等。また、それらを行わず、以下の事項に 関する問合せに対して遅滞なく答えられるようにしておくことでもOK)
    ①事業者の名称、②利用目的、③請求手続、④苦情申出先、⑤加入している認定団体個人情報保護団体の名称・苦情申出先(※⑤は認定個人情報保護団体に加入している場合のみ)