個人情報について、法人・企業が知っておきたいこと

個人情報を扱う法人や企業には、その適切な管理が求められます。どのような情報を個人情報とし、どのような管理をする必要があるのでしょうか。
この記事では、個人情報に関する基礎知識を確認した後に、個人情報を扱う企業や法人が注意すべきポイントと、万が一個人情報が漏えいした際の対応を解説します。

改めて、「個人情報」って何？

普段何気なく「個人情報」という言葉を使っていると思いますが、改めて定義を聞かれるとなかなか範囲を特定することが難しいのではないでしょうか。個人情報保護法で定められている個人情報の定義をここで確認しましょう。

まず、個人情報は「生存する個人に関する情報」です。亡くなった方の情報は個人情報には含まれないということです。
次に、「氏名、生年月日その他の記述等により特定の個人を識別できるもの」とされています。「その他の記述等」と範囲は曖昧に書かれていますが、「特定の個人を識別できる」か否かで判断することができるでしょう。
また、「個人識別符号が含まれるもの」という記載もあります。個人識別符号とはクレジットカード番号や免許証番号などの個人に割り当てられる番号や、DNA・指紋などコンピューターで用いる身体的な情報のことを指します。

以上をまとめると、個人情報とは

生存する個人に関する
・特定の個人を識別できる情報：氏名、生年月日など
・個人識別符号
となります。

メールアドレスは個人情報？

「個人情報にメールアドレスは含まれるのか？」と疑問に思われる方も多いと思います。メールアドレスは個人に割り振られたものですが、個人情報に該当するのでしょうか。
答えは「該当する場合も該当しない場合もある」です。
たとえば、個人の氏名や生年月日がアドレス名に使われており、メールアドレスから特定の個人を識別できる場合は個人情報に該当します。
一方で、数字や記号を無作為に羅列したアドレスであり、特定の個人を識別できない場合は基本的に個人情報に該当しません。なお、社員名簿等で誰のメールアドレスか識別することができる状況でも、個人情報に該当するため注意が必要です。

守秘義務がある個人情報はどれ？

個人情報に関連するキーワードとして「守秘義務」があります。守秘義務とは、職務の中で知った秘密を守る義務のことです。守秘義務では秘密の全てが保護の対象となりますが、個人情報も全体としてこの「秘密」に含まれると考えられるため、全ての個人情報を守る義務があると言えます。

個人情報には含まれない情報

ここまで個人情報に含まれる項目を確認してきましたが、反対に個人情報には含まれない項目もあります。大きく分けて、①亡くなった人に関する情報、②法人の情報、③個人を識別できない情報の3つです。

亡くなった人に関する情報

個人情報に該当する要件として確認した通り、個人情報は「生存する個人に関する情報」であるため、亡くなった人の情報は個人情報とはなりません。
しかし、亡くなった方の情報であっても、遺族などの生存する個人に関する情報にも含まれる場合は個人情報に該当するため、注意が必要です。相続人の氏名などがこれに該当します。

法人の情報

会社の所在地や設立年月日、財務の情報などは法人の情報のため、個人情報には該当しません。これらは機密情報などとして保護されている可能性もありますが、この記事で取り扱う個人情報からは範囲外となります。ただし、法人の代表者に関する情報は個人情報に該当する場合もありますので、見極めが必要です。

個人を識別できない情報

その情報だけでは特定の個人を識別できない、不特定多数の人が該当する項目は個人情報に該当しません。例えば、年齢や性別などは、それ単体であれば特定の個人を識別できないため、個人情報には該当しません。ただし、それらが組み合わされることで特定の個人を識別できる場合は、個人情報になり得るので注意しましょう。
また、防犯カメラの映像や音声についても、特定の個人を識別できないのであれば個人情報には該当しません。もちろん、特定の個人が識別可能な映像や音声は個人情報に該当します。

用語の整理・解説

ここで、「個人情報」に似た言葉の定義と「個人情報」との違いについて整理しておきましょう。

個人情報データベース

個人情報データベースとは、特定の個人情報を検索できるように体系的に構成したものを指します。つまり、個人情報とその他の情報の集合体ということです。形としては、PCで検索できるようなリストや、個人情報を整理・分類して索引などを付したものが考えられます。具体的には、五十音順に並べられた名簿などが該当します。

個人データ

上で確認した個人情報データベースを構成する個人情報を、個人データと呼びます。

保有個人データ

上記の個人データのうち、本人から請求された開示・訂正・削除などに個人情報取扱事業者が応じる権限を有する情報を「保有個人データ」と言います。
図解すると以下のようになります。

個人情報に関する企業側の注意ポイント

個人情報を取り扱う際に企業が注意すべきポイントを、4つの段階にわけてご説明します。

①取得・利用時

個人情報を取得・利用する際には、次に挙げる2点に注意する必要があります。

• 利用目的の特定と公表
  個人情報をどのような目的で利用するか、具体的に特定しなければなりません。その目的はあらかじめホームページなどで公表するか、本人に通知する必要があります。
  また、利用目的の範囲を超えて利用することはできません。もし範囲外のことに利用したい場合は、あらかじめ本人の同意を得ることが必要です。
• 違法・不当な行為を助長したり誘発したりする方法で利用してはならない

②保管・管理時

個人情報などの漏えいが生じないように、安全に管理する必要があります。具体的には、紙で管理する場合は鍵のかかるキャビネットでの保管、パソコンで管理する場合はパスワードの設定やセキュリティ対策ソフトの導入などが考えられます。また、従業員や委託先についても、適切な監督が必要です。
もし、漏えいが発生した場合は、個人情報保護委員会への報告や本人への通知が必要となるケースもあります。

③第三者への提供時

個人情報を第三者に提供する際は、原則として本人の同意を事前に得る必要があります。
本人の同意が必要ない例外的なケースは、主に以下の通りです。

• 法令に基く場合
• 人の生命や財産などの保護に必要で、本人の同意取得が困難な場合
• 学術研究目的での提供や利用

また、第三者に個人情報を提供した場合や、第三者から提供を受けた場合は、以下の記録を3年間保存する必要があります。

• 提供の日時
• 誰のどのような情報か
• 提供先/提供元

④開示請求時

本人から保有個人データの開示・訂正・利用停止などの請求があった場合は、適切に対応しなければなりません。開示方法は、本人の請求した方法で対応する必要があります。個人情報の取扱いに関する苦情を受けた際にも、適切・迅速に対処しましょう。

また、開示に関して、以下の内容を本人が知り得る状態にしておく必要があります。手段としては、ホームページでの公表等が考えられます。

• 個人情報取扱事業者の名称や住所
• 保有個人データの利用目的
• 利用目的の通知や開示などの請求手続き
• 安全管理のために講じた措置
• 苦情の申出先

本人から利用停止等の請求ができるとき

先ほど「本人から利用停止などの請求があった場合には～」と説明を進めましたが、そもそもどのような場合に利用停止などの請求ができるのでしょうか。

利用停止等の請求が可能なケースは4つあります。

• 個人情報保護法を違反する行為：(例) 個人情報の不正取得
• 個人情報を利用する必要がなくなった時
• 個人情報保護委員会への報告義務が発生するような重大な漏えい事件等が発生した時
• 本人の権利や正当な利益が害される危険性がある時

万が一、個人情報が漏えいしてしまったら

企業が個人情報を扱う際に最も危惧すべき状況は、個人情報の漏えい事件の発生ではないでしょうか。以下で紹介する状況は、個人の権利や利益を侵害するおそれが特に大きいため、情報漏えいが発生した場合は、個人情報保護委員会への報告と本人への通知が義務となっています。対応が必要な状況を見過ごさないために、概要を頭に入れておきましょう。

①要配慮個人情報の漏えいの場合

従業員の健康診断の結果を含む個人データの漏えいが考えられます。他にも、人種や社会的身分を含む個人データの漏えいもこれに該当します。
要配慮個人情報が1件でも漏えいしてしまった場合は、個人情報保護委員会への報告や、本人への通知が必要となります。

そもそも要配慮個人情報とは

要配慮個人情報とは、一般の個人情報よりも扱いに注意・配慮が必要になる個人情報のことです。具体的には、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実などが挙げられます。不当な差別や偏見を防止するため、一般の個人情報よりも厳しい規則が定められています。
要配慮個人情報についてさらに知りたい方は、「要配慮個人情報とセンシティブ情報は何が違う？」をご覧ください。

②財産への被害の可能性がある漏えいの場合

財産への被害の可能性がある漏えいとは、例えばクレジットカード番号を含む個人データの漏えいや、決済機能を含むウェブサービスのログインIDやパスワードの漏えいなどが挙げられます。
この場合も、1件でも漏えいが発生したら個人情報保護委員会への報告と本人の通知が必要です。

③不正な目的による漏えいの場合

「不正な目的」による漏えいとは、例えば以下のような状況です。

• 個人データが記録されたUSB等の盗難
• コンピューターウイルスにより個人データが消滅・暗号化され、復元できなくなった
• 従業員が顧客の個人データを不正に持ち出した
• 不正アクセスによる漏えい

この場合も、1件でも漏えいが発生したら個人情報保護委員会への報告と本人の通知が必要です。

④大規模な漏えいの場合

1000人を超えるような大規模な個人データが漏えいした場合、個人情報保護委員会への報告や本人への通知をしなければなりません。たとえば、一斉メールを配信する際に、宛先のメールアドレスをCC欄に入れて送信するなどが考えられます。

「個人情報保護法」についておさらい

ここで、個人情報について定めた個人情報保護法について改めて確認します。ここまで確認してきた内容も、個人情報保護法やその規則に定められています。
2015年や2020年の改正によって、「匿名加工情報」や「仮名加工情報」の制度が創設され、情報漏えい発生時の報告・通知義務化などが定められました。
その後、個人情報保護法は2021年にも改正されました。

2021年の改正

2021年の改正法は、2022年4月に一部施行され、地方公共団体に関する部分は2023年4月に施行されます。これまで事業者や機関ごとに定められていたルール・法律を集約し、個人情報保護に関する全国的な共通のルールが定められました。

もし個人情報保護法に違反してしまったら？

個人情報保護法を事業者が遵守しているか、個人情報保護委員会が監督・管理をしています。この委員会は、必要に応じて報告や立ち入り検査を求め、指導・助言・勧告・命令を行うことがあります。事業者がこれらに従わない場合は、罰則が定められています。

企業・法人の個人情報の取り扱いはプロに頼る！

ここまで、個人情報を取り扱う企業や法人が注意すべき点や取るべき対応について確認してきました。情報漏洩時の影響が大きい分、取り扱いは慎重に行わなければなりません。電子機器などハード面の情報管理体制を整えることも大事ですが、個人情報を管理する担当者や会社全体の意識・知識を高めることも必要です。
その際におすすめなのが、プライバシーマーク(Pマーク)の取得です。プライバシーマークとは個人情報の適切な管理体制が整備されている会社を認定する仕組みであり、プライバシーマークを取得することで取引先や一般消費者に安心感を与えることができます。
プライバシーマーク教育では、すべての従業員に、個人情報の重要性や取扱方法に関する知識を正しく身につけてもらうことが、何よりも重要となってきます。

プライバシーマーク取得には厳しい審査がありますが、株式会社UPFには、業界No.1を誇る実績に基づく、プライバシーマーク教育のノウハウがございます。
教育実施でお悩みの企業様・ご担当社様は、どうぞお気軽にお問い合わせください。

お問い合わせはこちらから。
株式会社UPFについて詳しくはこちらから。