Last Updated on 2021年6月18日 by 勝
個人情報に関する定義
個人情報とは
個人情報とは、「生存する個人の情報であり、特定個人を識別できる情報」のことと説明されています。
例えば、氏名や生年月日、そして、個人識別符号です。
個人識別符号とは、指紋認証や顔認証データのような身体の一部の特徴をデータ化した文字や、旅券番号、運転免許証番号のような個人に割り当てられた番号などのことです。
個人データとは
個人情報のうち、紙や電子媒体などで、特定の個人情報を検索できるように体系的に構成したものに含まれる個人情報です。紙で作成した一覧表や、データベースなどです。
保有個人データとは
個人データのうち、開示・訂正・消去等の請求対象になり、かつ6か月を超えて保有するものです。
本人からの請求に応じて開示し、調査し事実でない場合は訂正する義務があります。
個人情報取扱事業者
仕事で個人情報を取扱う法人、個人が個人情報保護法に定める義務を負います。
改正前は、5,000人を超える個人情報を管理する事業者が対象でした。改正後(平成29年施行)では、1人でも従業員がいる場合、1件でも顧客情報を扱う場合は、義務規定の適用対象者となります。
オプトアウトとは
個人情報取扱事業者は、一定の要件が満たされた場合、本人の同意なしに、個人データを第三者に提供できるが、本人からの拒否があればそれ以後は第三者に提供することはできないという制度をオプトアウトといいます。オプトアウトは、あらかじめ本人に通知し、又は本人が容易に知り得る状態に置かなければなりません。また、オプトアウトに関する事項を個人情報保護委員会にあらかじめ届けなければなりません。また、要配慮個人情報を含む個人データについてはオプトアウトの方法による第三者提供は認められません。
個人情報を取得する際の注意事項
利用目的の特定 個人情報を得るには、利用目的を具体的に特定し、それを公表または本人に通知しなければなりません。
また、同窓会名簿の作成など、あらかじめ個人情報を第三者に提供することを想定している場合があります。この場合には、「会員名簿を作成し名簿に掲載される会員に対して配布するため」と利用目的を示さなければなりません。
通知した利用目的以外には利用できません。例えば商品発送のために知った住所氏名に自社商品のダイレクトメールを送ることはできません。ただし、取得時の目的と関連性があれば一定の範囲内で利用目的を変更できる。また、本人の同意を得ればよい。などの例外があります。直接の目的から外れる利用をするときは、許される場合かどうか確認をしましょう。
個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはなりません
さらに、要配慮個人情報というものがあります。これは、人種や信条、病歴、前科などの他、身体の障害や健康診断の結果のような情報をいい、一般の個人情報より一段高い保護対象になります。
個人情報の利用目的を公表する義務
個人情報の利用目的等を公表しなければなりません。
関連記事:プライバシーポリシー
関連記事:募集・採用についてのプライバシーポリシー
個人情報を管理する際の注意事項
ガイドラインを参考にして自社に適合する措置を実施しましょう。
データ内容の正確性
個人情報を、それぞれの利用目的に応じて、その必要な範囲内で、正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人情報を遅滞なく消去するよう努めなければなりません。
安全管理措置
個人情報の漏えい、滅失又はき損の防止その他の個人情報の安全管理のために、以下の措置を講じなければなりません。
1 組織的安全管理措置
組織的安全管理措置とは、従業者の責任と権限を明確に定め、安全管理に対する規程や手順書を整備運用し、その実施状況を確認することをいいます。
2 人的安全管理措置
人的安全管理措置とは、従業者、役員等に対して、業務上秘密と指定された個人情報の非開示契約の締結や教育・訓練等を行うことをいいます。
3 物理的安全管理措置
物理的安全管理措置とは、入退室の管理、個人情報の盗難の防止等の措置をいいます。
4 技術的安全管理措置
技術的安全管理措置とは、個人情報及びそれを取り扱う情報システムへのアクセス制御、不正ソフトウェア対策、情報システムの監視等、個人情報に対する技術的な安全管理措置をいいます。
5 従業者の監督
従業者等に個人情報を取り扱わせるにあたっては、必要かつ適切な監督を行わなければなりません。
6 委託先の監督
個人情報の全部又は一部を委託する場合は、その取扱いを委託された個人情報の安全管理が図られるよう、委託先を適切に選定し、委託先に安全管理措置を遵守させるために契約を締結し、委託先における個人情報の取扱状況を把握するなど、必要かつ適切な監督を行わなければなりません。
個人情報を第三者に提供する際の注意事項
第三者提供のルール
例えば、従業員の氏名等ですが、これらの情報を取引先に伝えたり、自社のホームページに掲載したりすることは、個人データの第三者提供に当たります。
そのため、このようなケースでは、従業員本人の同意が必要です。あるいは、オプトアウトの手続が必要です。
従業員の氏名を取引先に伝えるようなことがある企業は、例えば、雇用契約書において、個人データの第三者提供について従業員の同意を確認する条項を盛り込むなどの対処が必要です。
第三者提供の記録
第三者提供時の記録義務があります。
先ほどの例でいうと、従業員の氏名を取引先に伝えるときは、記録の作成と保存が義務付けられるということです。
第三者と個人データをやり取りする場合において、誰に情報を渡すか、誰から受け取った情報なのか、適切に情報がやり取りされたことの記録を残し、保存する必要があります。
メールでやり取りするのであれば、メールの送受信データを記録しておくということになります。単に氏名を伝えるだけでなく、利用目的等、必要な事項を記載した書式を決めてやり取りするとよいでしょうう。
個人情報の開示等の請求
開示等を請求されたときは適切に対応しなければなりません。
関連記事:開示、訂正、利用停止の請求
マイナンバーとの関連
個人情報とは氏名や住所、生年月日など個人を特定できる情報ですが、その個人情報にマイナンバーが含まれることによってただの個人情報ではなくなり「特定個人情報」に変化します。特定個人情報は個人情報保護法の対象になります。
関連記事:マイナンバー管理のあらまし
個人情報取扱いのリスク管理
個人情報保護法に違反したらどうなるのでしょうか。法律上の罰則もありますが、不適切な個人情報の取扱いにより被害を与えた場合、損害賠償のリスクが大きいと懸念されています。大規模漏えいの場合は巨額の賠償金支払いに直面する可能性もあります。そのため、十分な安全対策を打ち、また、損害保険の準備もあった方がよいでしょう。
個人情報の取り扱いを点検し不備があれば補強し、規程という形で明文化しましょう。
関連規程:個人情報|就業規則
関連規程:個人情報保護規程のサンプル
自覚を促すためにも個人情報に接する従業員から誓約書を出してもらいましょう。
関連規程:個人情報保護に関する誓約書のサンプル
手間が多くなることは確かですが、情報を悪用するものから従業員や顧客を守るためです。
個人情報保護法改正について
改正個人情報保護法が、2020年6月12日に公布されました。2022年4月1日の施行です。
改正のポイント
1.本人の権利保護が強化される
2.事業者の責務が追加される
3.企業の特定分野を対象とする団体の認定団体制度が新設される
4.データの利活用が促進される
5.法令違反に対するペナルティが強化される(措置命令・報告義務違反の罰則について法定刑を引き上げ)
6.外国の事業者に対する、報告徴収・立入検査などの罰則が追加される
ただし、5の法令違反に対するペナルティの強化については、2021年12月12日施行です。
詳細は、個人情報保護委員会のホームページ「令和2年 改正個人情報保護法について」 ↓