システム導入や企業経営にあたって重要なポイントである「セキュリティ」の観念。
誰もが大切であると思いながらも、何をどうやって守るべきかは各社認識が異なるのが正直なところではないでしょうか。
今回は、それらの基本となりうる個人情報保護法について確認することでポイントを押さえていきましょう。
まずは基本的な、「誰が」「どんな情報を」「どう守るのか」という3点です。
個人情報保護法とは
個人情報保護法(正式名称:個人情報の保護に関する法律)は、一言でいえば「個人情報を取り扱う事業者」が「どのように個人情報を扱うべきか」を定めた法律です。
「別に個人情報なんて扱ってないぞ!」という方もいらっしゃるかもしれませんがまずは「個人情報」とは何を指すのか見てみましょう。
今の時代、扱っていないところは無いくらい幅広いものです。
そもそも「個人情報」ってなに?
一言に個人情報といっても、個人情報保護法においては内容によって、「個人情報」「個人データ」「保有個人データ」と名称が異なります。
1つずつ見ていきましょう。
個人情報とは
個人情報は、個人情報保護法では以下のように定義されています。
- 生存する個人に関する情報。
当該情報に含まれる氏名、生年月日その他の記述等により個人を識別することができるもの。
(他の情報と容易に照合することができ、それにより特定の個人を識別することが出来るものも含む) - 個人識別符号
1のポイントは、「生存する個人に関する」ということと、「個人が特定できる情報」であるということ。
例えば以下のようなものが該当します。
個人情報に 該当するもの |
|
---|
氏名のように「一目見て誰のことか分かる情報」はもちろんのこと、「特定の個人を識別できる」条件を満たしていれば多くの情報が個人情報に該当します。
例えば「YAMADA@aippear.co.jp」というメールアドレスをお持ちなら、「これはアイピアのヤマダさんのメールアドレスなんだな」ということが分かりますよね。
そういった場合には、メールアドレスも個人情報になります。
また、注意が必要な点として情報があとから個人情報になるケースもあります。
例えばその情報単体では誰のものか分からなかったとしても、他の情報と照らし合わせることで個人が特定出来たり、あとから手に入れた情報によって個人が特定できるケースでは、それらも個人情報として取り扱われます。
保有個人データとは
個人情報のうち、データベース等に蓄積された情報を個人保有データと言います。
例えば社内の情報管理システム、基幹システムなどに入力されている個人情報はもちろんのこと、病院のカルテや名簿冊子のようなものに入っているものも個人保有データです。
個人保有データに 該当するもの |
|
---|
また、上記の表などに該当しないものは「個人データ」と呼ばれます。
社内で活用することなく、外部から委託を受けて入力や編集、加工などを行っているだけの個人情報が個人データに該当します。
個人情報データベース等
実際の現場では、前述した個人情報を整理して管理し、検索などができるように管理システムや紙面のカルテなどを構築します。
そういった管理ツールを個人情報保護法では「個人情報データベース等」といいます。
個人情報データベースに 該当するもの |
|
---|
個人情報は誰が守るもの?
ここまで個人情報の種類と、個人情報に該当する様々な情報について紹介してきました。
冒頭で、個人情報保護法は「個人情報を取り扱う事業者」が「どのように個人情報を扱うべきか」を定めた法律であると説明しましたが、ここからは「個人情報を取り扱う事業者」について解説します。
個人情報取扱事業者
個人情報保護法に基づいて個人情報の取り扱いに関する義務が生じる方々のことを「個人情報取扱事業者」と言います。
具体的には、前述した「個人情報データベース等」を事業に活用している方々のことですが、都道府県庁、役所、公立学校、公立病院などには適応されません。
あくまで民間事業者を対象とした法律であることを覚えておきましょう。
過去には組織規模によっては所有する個人データ件数が少ない場合に個人情報保護法に該当しないケースもありましたが、法改正によって件数に関わらず適用されるようになりました。
ちなみに、個人情報データベース等を「事業に活用している」という表現ですが、法規では「事業の用に供する」と表現します。
日常会話に使う表現ではないうえに少し細かい定義がありますので、気になる方はぜひ調べてみてください。
個人情報取扱事業者が守るべき義務
個人情報に当たる情報の種類と、それらを扱う個人情報取扱事業者について解説しました。
最後に、個人情報取扱事業者が個人情報を取り扱うにあたって、守るべき義務について説明していきましょう。
個人情報の「利用目的の特定」と「目的外利用の禁止」
個人情報取扱事業者は、個人情報を取り扱うにあたって利用目的をできるだけ明確に特定しなければなりません。
また、特定した目的以外で個人情報を取り扱ってはいけません。
「適正な取得」と「取得時の利用目的の通知」
個人情報を取得する際、不正な手段を用いて取得してはいけません。
個人情報取得にあたり 「不正手段」とされる方法 |
|
---|
また、人種、信条、社会的身分、病歴や犯罪歴などは「要配慮個人情報」と呼ばれ、これを取得する場合にはあらかじめ本人の同意が必要になります。
さらに、個人情報を取得した際には、本人に利用目的の通知や公表を行う必要があります。
個人データ内容の正確性の確保
取り扱う個人データは、可能な限り正確かつ最新の内容に保つよう努めなければなりません。
取り扱っているうちは、個人情報の更新は不可欠ということですね。
また、利用の必要がなくなった個人データは、速やかに削除するなども努力義務として定められています。
安全管理措置/従業員・委託先の監督
個人情報取扱事業者は、個人データの漏えいや滅失(失くしてしまうこと)を防ぐ為に、安全管理措置を講じる必要があります。
管理システムなどを利用している場合の情報セキュリティ対策は必須ですね。
また、安全に個人データを管理する為に、従業員に必要な監督を行わなければなりません。データの取り扱いを外部委託する場合も同様です。
個人情報や個人データの利用目的の公表・通知、改正、利用停止等の申し出
個人情報取扱事業者は、保有個人データの利用目的や、開示等に必要な手続き、苦情の申し出先などについて本人が知りえる状態にしておく必要があります。
セキュリティに関する記事はこちら
セキュリティ対策も安心『建築業向け管理システム アイピア』
アイピアは建築業に特化した一元管理システムであり、顧客情報、見積情報、原価情報、発注情報など工事に関する情報を一括で管理できるため、情報集約の手間が削減されます。
さらに、アイピアはクラウドシステム。外出先からでも作成・変更・確認ができます。
アイピアはここが便利!6つのポイント
まとめ
今回は、個人情報保護法について知っておくべき情報をまとめました。
今回ご紹介した内容はあくまで個人情報保護法についての「知っておくべき認識」に過ぎません。
どんな法律でもそうですが、法律独特の言い回しや、言い回しに込められた意味・解釈などが存在します。
普段業務を行うにあたってどこまで認識しておくかは各社で差があるところです。
厳密に把握したい方は、ぜひご自分でお調べになられることをおすすめします。
建設・建築業界の法律・制度に関する記事
"社内のデータを一元管理"工務店・リフォーム会社が選ぶ!
建築業向け管理システム
Aippear(アイピア)