アイピア

個人情報保護法とは?知っているようで知らない基本

システム導入や企業経営にあたって重要なポイントである「セキュリティ」の観念。
誰もが大切であると思いながらも、何をどうやって守るべきかは各社認識が異なるのが正直なところではないでしょうか。

今回は、それらの基本となりうる個人情報保護法について確認することでポイントを押さえていきましょう。

まずは基本的な、「誰が」「どんな情報を」「どう守るのか」という3点です。

個人情報保護法とは

個人情報保護法(正式名称:個人情報の保護に関する法律)は、
一言でいえば、「個人情報を取り扱う事業者」が「どのように個人情報を扱うべきか」を定めた法律です。

「別に個人情報なんて扱ってないぞ!」という方もいらっしゃるかもしれませんがまずは「個人情報」とは何を指すのか見てみましょう。
今の時代、扱っていないところは無いくらい幅広いものです。

そもそも「個人情報」ってなに?

一言に個人情報といっても、個人情報保護法においては
内容によって、「個人情報」「個人データ」「保有個人データ」と名称が異なります。
1つずつ見ていきましょう。

個人情報とは

個人情報は、個人情報保護法では以下のように定義されています。

  1. 生存する個人に関する情報。当該情報に含まれる氏名、生年月日その他の記述等により個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することが出来るものも含む)
  2. 個人識別符号

1のポイントは、「生存する個人に関する」ということと、「個人が特定できる情報」であるということ。
例えば以下のようなものが該当します。

個人情報に該当するもの
  • 本人の氏名
  • 生年月日と本人の氏名を組み合わせた情報
  • 連絡先(住所、電話番号、メールアドレスなど)
  • 働いている会社やそこでの所属、役職
  • 特定の個人を識別できる音声録音
  • 特定の個人を識別できるメールアドレスやアカウントID
  • 官報、電話帳、法的開示書類、新聞、ホームページ、SNSなどで公開されている個人を特定できる情報

氏名のように「一目見て誰のことか分かる情報」はもちろんのこと、
「特定の個人を識別できる」条件を満たしていれば多くの情報が個人情報に該当します。

例えば「YAMADA@aippear.co.jp」というメールアドレスをお持ちなら
「これはアイピアのヤマダさんのメールアドレスなんだな」ということが分かりますよね?
そういった場合には、メールアドレスも個人情報になります。

また、注意が必要な点として情報があとから個人情報になるケースもあります。
例えばその情報単体では誰のものか分からなかったとしても
他の情報と照らし合わせることで個人が特定出来たり、
あとから手に入れた情報によって個人が特定できるケースでは、それらも個人情報として取り扱われます。

 

保有個人データとは

個人情報のうち、データベース等に蓄積された情報を個人保有データと言います。
例えば社内の情報管理システム、基幹システムなどに入力されている個人情報はもちろんのこと、
病院のカルテや名簿冊子のようなものに入っているものも個人保有データです。

個人保有データに該当するもの
  • 自社の事業活動に用いている顧客情報
  • 事業として第三者に提供している個人情報
  • 従業員などの人事管理情報

また、上記の表などに該当しないものは「個人データ」と呼ばれます。
社内で活用することなく、外部から委託を受けて入力や編集、加工などを行っているだけの個人情報が個人データに該当します。

個人情報データベース等

ここまで紹介してきた個人情報を整理して管理し、
検索などができるように管理システムや紙面のカルテなどを構築していることと思いますが、
そういった管理ツールを個人情報保護法では「個人情報データベース等」といいます。

個人情報データベースに該当するもの
  • メールシステムに内蔵しているメールアドレス帳(※メールアドレス、氏名を保存している場合)
  • 名刺の情報などを入力、整理して管理しているExcel等の表計算ソフトや顧客管理システム
  • 人材派遣会社が管理している登録者カードの管理ファイル
  • 病院で管理している患者カルテのファイル

個人情報は誰が守るもの?

ここまで個人情報の種類と、個人情報に該当する様々な情報について紹介してきました。
冒頭で、個人情報保護法は「個人情報を取り扱う事業者」が「どのように個人情報を扱うべきか」を定めた法律であると説明しましたが、
ここからは「個人情報を取り扱う事業者」について解説します。

個人情報取扱事業者

個人情報保護法に基づいて個人情報の取り扱いに関する義務が生じる方々のことを、「個人情報取扱事業者」と言います。

具体的には、前述した「個人情報データベース等」を事業に活用している方々のことですが、
都道府県庁、役所、公立学校、公立病院などには適応されません。
あくまで民間事業者を対象とした法律であることを覚えておきましょう。

過去には組織規模によっては所有する個人データ件数が少ない場合に個人情報保護法に該当しないケースもありましたが
法改正によって件数に関わらず適用されるようになりました。

ちなみに、個人情報データベース等を「事業に活用している」という表現ですが
法規では「事業の用に供する」と表現します。

日常会話に使う表現ではないうえに少し細かい定義がありますので、
気になる方はぜひ調べてみてください。

個人情報取扱事業者が守るべき義務

個人情報に当たる情報の種類と、それらを扱う個人情報取扱事業者について解説しました。
最後に、個人情報取扱事業者が個人情報を取り扱うにあたって
守るべき義務について説明していきましょう。

個人情報の「利用目的の特定」と「目的外利用の禁止」

個人情報取扱事業者は、個人情報を取り扱うにあたって利用目的をできるだけ明確に特定しなければなりません。
また、特定した目的以外で個人情報を取り扱ってはいけません。

「適正な取得」と「取得時の利用目的の通知」

個人情報を取得する際、不正な手段を用いて取得してはいけません。

個人情報の死取得にあたって「不正手段」とされる方法
  • 窃盗や脅迫
  • 十分な判断能力のない子供からの取得
  • 第三者提供制限に違反して個人情報の提供を受ける(本人の同意が無い状態で第三者に提供する等)
  • 不正な手段により取得させた個人情報の提供を受ける
  • 提供者が不当な手段で取得した個人情報であることを知りながら、提供を受ける

また、人種、信条、社会的身分、病歴や犯罪歴などは「要配慮個人情報」と呼ばれ
これを取得する場合にはあらかじめ本人の同意が必要になります。

また、個人情報を取得した際には、本人に利用目的の通知や好評を行う必要があります。

個人データ内容の正確性の確保

取り扱う個人データは、可能な限り正確かつ最新の内容に保つよう努めなければなりません。
取り扱っているうちは、個人情報の更新は不可欠ということですね。

また、利用の必要がなくなった個人データは、速やかに削除するなども努力義務として定められています。

安全管理措置/従業員・委託先の監督

個人情報取扱事業者は、個人データの漏えいや滅失(失くしてしまうこと)を防ぐ為に
安全管理措置を講じる必要があります。
管理システムなどを利用している場合の情報セキュリティ対策は必須ですね。

また、安全に個人データを管理する為に、従業員に必要な監督を行わなければなりません。データの取り扱いを外部委託する場合も同様です。

個人情報や個人データの利用目的の公表・通知、改正、利用停止等の申し出

個人情報取扱事業者は、保有個人データの利用目的や、開示等に必要な手続き、
苦情の申し出先などについて本人が知りえる状態にしておく必要があります。

まとめ

今回は、個人情報保護法について知っておくべき情報をまとめました。
今回ご紹介した内容はあくまで個人情報保護法についての「知っておくべき認識」に過ぎません。
どんな法律でもそうですが、法律独特の言い回しや、言い回しに込められた意味・解釈などが存在します。

普段業務を行うにあたってどこまで認識しておくかは各社で差があるところです。
厳密に把握したい方は、ぜひご自分でお調べになられることをおすすめします。

おすすめ記事

  1. 生産管理 システム 方式 製造
  2. 経営理念伝え方
PAGE TOP

最新の記事情報やオススメITツール情報をお届けします!
メルマガ登録はこちら

 

過去のメールマガジンはこちら