個人情報保護法について詳しく解説!
個人情報を取り扱う事業を行ううえで、個人情報保護法についてしっかりとした理解を持っておくことは非常に大切です。
2022年に改正がなされ、個人情報の保護について、世間的にも関心は高まっています。
この記事を読んで、個人情報保護法についてしっかりと理解しましょう!
個人情報保護法とは?
個人情報はプライバシーに関わる大切な情報です。これらの情報を活用することで、行政やビジネスなど様々な場面でサービスの質の向上や業務の効率化が可能になります。
上記で述べたような個人情報の有用性に配慮しながら、個人の権利や利益を守ることを目的とした「個人情報保護法」が平成15年5月に制定され、平成17年4月に全面施行されました。
法律の対象となるのは?
個人情報保護法は全国民が対象となる法律ではありません。
5000人以上の情報を取り扱う企業・団体・個人が「個人情報取扱事業者」となり、「個人情報保護法」を守る義務があります。
5000人以上と言われると多すぎて、対象となる企業はあまりないのではと思うかもしれません。しかし、この5000人分には社員・顧客・取引先など社内外に関係なく全ての個人情報が含まれます。
例えば、200人の社員が25人分の取引先などの名刺を持っているだけで、個人情報取扱事業者という判断になります。
つまり、大抵の個人情報を取り扱う企業はこの法律の対象になるということです。
個人情報とは?
簡単にいうと、「特定の個人を識別できる情報」のことです。
これは直接的に個人を識別できるものでなくても他の様々な情報を組み合わせ照合することで、個人を識別することができるものも含みます。
例えば、生年月日や電話番号などひとつの情報では特定の個人を識別できないようなものでも、氏名などと組み合わせることで特定の個人を識別できるため、個人情報に該当する場合があります。
氏名、住所、電話番号は個人情報としてよく知られていますが、メールアドレスや顔写真も個人情報に該当する場合があります。
また、企業では顧客リストなどはもちろん、社員の情報、家族の情報、求人に応募してきた人の履歴書なども全て個人情報です。
個人情報の中にも「要配慮個人情報」というものがあります。
これは他人に公開されることで、本人が不当な差別や偏見などの不利益を被らないために特に取り扱いに注意が必要な情報です。
この「要配慮個人情報」の取得には、原則としてあらかじめ本人の同意が必要とされています。
わかりにくい3つの用語の解説
ここまで、法律の概要について説明してきました。
ここからは、個人情報保護法をさらに理解するために必要な、3つの用語について解説していきます。
① 個人情報データベース等
「個人情報データベース等」とは、特定の個人の情報を検索できるように作られた、個人情報を含む情報の集合のことです。
特定の個人情報をコンピュータを用いて検索できるように構築されたものや、紙面で処理した個人情報を一定の規則に従って整理・分類されたものも該当します。
例えば、五十音順に並べられた名簿などがこれに該当します。
② 個人データ
「個人データ」とは、個人情報データベース等を構築する個人情報のことをいいます。
名簿を例に挙げると、名簿を構成する氏名や生年月日、住所などがこれに該当します。
③ 保有個人データ
「保有個人データ」とは、個人データのうち、個人情報取扱事業者が本人から請求される開示や訂正、削除などに対応することができる権限を有するもののことをいいます。
個人情報などを取り扱う際のルール
ここでは、個人情報を取り扱うにあたっての基本的なルールを確認していきましょう。
① 個人情報を取得・利用するときのルール
- 個人情報の利用目的はあらかじめHP等で公開したり、本人に知らせなければなりません
- 「要配慮個人情報」を取得するときはあらかじめ本人の同意が必要です
- 取得した個人情報は、利用目的の範囲で利用する必要があります
- 取得している個人情報を、利用目的以外の範囲外のことで利用したいときには、あらかじめ本人の同意が必要になります
② 個人データを保管・管理するときのルール
- 個人データの漏えいなどが起きてしまわないように安全に管理することのできる措置を講じる必要があります
(例) 個人情報の書かれた書類を破棄するときはシュレッダーにかける
パソコンで管理しているものはファイルごとにパスワードをしっかりかける
セキュリティ対策のソフトを導入する - 従業員や委託先へも個人データの管理が安全に行われるようにしっかりと監督する必要があります
- 個人データの漏えい等が起こってしまい、個人の権利利益を害する可能性が高い場合は、個人情報保護委員会に報告する義務があります。また、この旨を本人に通知する必要もあります
③ 個人データを第三者に提供するときのルール
- 個人データを本人以外の第三者に提供するときには原則として本人の同意が必要になります。ただし、本人の同意を得なくても、個人データを第三者に提供できるときがあります
- 外国の第三者に提供するときには次のいずれかを満たしている必要があります
(1) あらかじめ本人の同意を得る
同意を得る際に、その外国の個人情報保護制度や、提供先が講じる保護措置などの情報を本人に提供する必要があります。
(2) 外国の第三者が適切な体制を整備している
提供先における個人データの取扱い実施状況等の定期的な確認および問題が生じた場合の対応の実施、さらには本人の求めに応じて移転先における個人情報保護委員会が定める基準に適合する体制の整備の方法に関する情報などを提供する必要があります。
(3) 外国の第三者が個人情報保護委員会が認めた国または地域に所在している - 第三者に個人データを提供したときは「いつ・誰に・誰の・どんな情報を」提供したのかを確認する必要があります。また、提供を受けるときは「いつ・誰から・誰の・どんな情報を」提供されたかを記録する必要があります。記録の保存期間は3年です
④ 本人から保有個人データの開示を求められたときのルール
- 本人からの請求があったときは、保有個人データの開示、訂正、利用停止などに対応しなければなりません
- 個人情報の取扱いについてクレームを受けたときは素早い対応が求められます
- 以下の内容についてウェブサイトで公表するなどの方法で本人が知ることができる状況にしておく必要があります
① 個人情報取扱事業者の氏名または名称、住所
② 全ての保有個人データの利用目的
③ 保有個人データの利用目的の通知の求めまたは開示の請求手続
④ 保有個人データの安全管理のために講じた措置
⑤ 保有個人データの取扱いに関する苦情の申し出先
- 第三者に個人データを提供した記録も開示請求の対象になります
- 保有個人データの開示方法を電子データなどによる提供の方法も含めて、本人が請求された方法で対応しなければなりません
個人情報保護を怠ってしまうと起こること
個人情報保護を怠ると最悪の場合罰則が科せられます。また、個人情報が流失してしまった場合には様々な対応をする必要があります。ひとつずつ確認していきましょう。
① 罰則など
主務大臣の勧告・命令に従わない場合、違反者:懲役(6ヶ月以下) 、罰金(30万円以下) 企業にも罰則が科せられることがあります。
② 個人情報の漏えい
以下のような個人情報の漏えいが起こってしまったとき、または発生した可能性があるときは、個人の権利や利益を侵害してしまう可能性が大きくなります。
個人情報取扱事業者は、速やかに個人情報保護委員会に報告し、本人へ通知する必要があります。
(1) 要配慮個人情報の漏えい等について
例1:従業員の健康診断の結果などの個人データが漏えいした場合
例2:患者の診断結果や調剤情報などのデータが記録されているUSBメモリを紛失してしまった場合
(2) 財産的被害のおそれがある漏えい等について
例1:ECサイト内から顧客のクレジットカード番号などの個人データが漏えいしてしまった場合
例2:電子決済のサービスのログインIDとパスワードが漏えいしてしまった場合
(3) 不正の目的によるおそれがある漏えい等について
例1:外部からの不正アクセスによって個人データが漏えいしてしまった場合
例2:個人データが記録されている書類を盗難されてしまった場合
例3:従業員が個人データを不正に外部に持ち出し第三者に提供してしまった場合
(4) 1000人を超える個人データの漏えい等について
例:顧客へのメール送信において個人データであるマールアドレスをBCCに入力しなければならないところ誤ってCCに入力してしまったことで1000人以上へ一斉送信が行われてしまった場合
※ (1)〜 (3)は1件でも漏えい等が起こってしまった場合でも、報告と通知の対象になります。
まとめ
個人情報保護法について解説してきました。
個人情報保護法を理解することで個人情報保護のためにしっかりとした体制を整えることがいかに大切かということを、ご理解いただけたと思います。
しかし、この体制を整えることはとても難しいです。Pマークの取得にむけた取り組みを行うことで、個人情報保護の体制を整えることができます。
Pマークの取得には他にも様々なメリットがあります。私たちと一緒にPマーク取得へ向けて取り組んでみませんか?
株式会社UPFには、業界No.1を誇る実績に基づく、プライバシーマーク(Pマーク)取得・教育のノウハウがございます。
教育実施でお悩みの企業様・ご担当社様は、どうぞお気軽にお問い合わせください。
お問い合わせはこちらから。
株式会社UPFについて詳しくはこちらから。
この記事を書いた人
株式会社UPF
同じテーマの記事はこちら
JIS Q 15001とは何か?Pマークとの関連性から活用メリットまで解説します
JIS Q 15001とはどのように活用されるものなのでしょうか。また、JIS Q 15001について調べると必ず目にするPマークはどのようなもので、JIS Q 15001とはどの […]
ISMAP管理基準とは?徹底的に解説!
日本初の情報セキュリティ評価制度ISMAPについてご存じでしょうか? 近年テレワークの拡大やDX化の促進によりクラウドサービスへの関心が高まっています。 本記事ではISMAPの概要 […]
ISMAPクラウドサービスリストとは?徹底的に解説!
日本初の情報セキュリティ評価制度ISMAPについてご存じでしょうか? まだまだ馴染みのない言葉だと思います。今後デジタル化がさらに加速する中で多くのクラウドサービスが開発されていく […]
isms認証とiso27001認証との違いを徹底解説!
情報セキュリティの管理を考える上で、無視できないのがISMS認証です。この名称を聞いたことがある人も多いのではないでしょうか。その他にはISO27001認証、Pマーク等、ISMS認 […]
ISMAPのメリット、登録方法まで徹底解説!
ISMAPは2020年6月から運用が始まっています。2021年3月に初めてISMAPのクラウドサービスリストが公開され、四半期ごとに更新されています。 この記事では、ISMAPの解 […]
