Last Updated on 2024年11月13日 by 勝
個人情報保護法に基づく取り扱い
個人情報保護法は、個人情報を保有する事業者が遵守すべき義務などを定めた法律です。個人情報を取り扱う全ての事業者や組織が守らなければならない共通のルールを定めています。
個人情報保護法は、個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的としています。(第1条)
定義
個人情報とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいいます。(第2条)
一 当該情報に含まれる氏名、生年月日その他の記述等
(氏名、生年月日、住所、顔写真などにより特定の個人を識別できる情報をいいます。)
二 個人識別符号が含まれるもの
(身体の一部の特徴を電子処理のために変換した符号で、顔認証データ、指紋認証データ、虹彩、声紋、歩行の態様、手指の静脈、掌紋などのデータ。サービス利用や書類において利用者ごとに割り振られる符号で、パスポート番号、基礎年金番号、運転免許証番号、住民票コード、マイナンバー、保険者番号など)
要配慮個人情報とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいいます。
個人情報取扱事業者とは
個人情報取扱事業者とは、個人情報データベース等を事業の用に供している者をいいます。個人情報データベース等とは、個人情報を含む情報の集合物をいいます。(第16条)
法人に限定されず、営利・非営利の別は問わないため、個人事業主やNPO、町内会等もこれに該当します。
個人情報取扱事業者が守るべきルール
利用目的の明確化・利用目的による制限
個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的をできる限り特定しなければならない。(第17条)
個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。(第18条)
個人情報の適正な取得・利用目的の通知、公表
個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。(第20条)
個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。(第21条)
個人情報の取得
利用目的の特定 個人情報を得るには、利用目的を具体的に特定し、それを公表または本人に通知しなければなりません。
また、同窓会名簿の作成など、あらかじめ個人情報を第三者に提供することを想定している場合があります。この場合には、「会員名簿を作成し名簿に掲載される会員に対して配布するため」と利用目的を示さなければなりません。
通知した利用目的以外には利用できません。例えば商品発送のために知った住所氏名に自社商品のダイレクトメールを送ることはできません。ただし、取得時の目的と関連性があれば一定の範囲内で利用目的を変更できる。また、本人の同意を得ればよい。などの例外があります。直接の目的から外れる利用をするときは、許される場合かどうか確認をしましょう。
個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはなりません
さらに、要配慮個人情報というものがあります。これは、人種や信条、病歴、前科などの他、身体の障害や健康診断の結果のような情報をいい、一般の個人情報より一段高い保護対象になります。
個人情報の利用目的等を公表しなければなりません。
関連記事:プライバシーポリシー
個人情報の利用
個人情報は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により利用してはなりません。
「要配慮個人情報」を取得するときはあらかじめ本人の同意が必要です。
取得した個人情報は、利用目的の範囲で利用しなければなりません。
取得している個人情報を、特定した利用目的の範囲外のことに利用する場合、あらかじめ本人の同意が必要です。
個人情報の安全管理措置・従業者、委託先の適切な監督
安全管理措置
個人情報の漏えい、滅失又はき損の防止その他の個人情報の安全管理のために、以下の措置を講じなければなりません。
具体的にはガイドラインで示されています。(個人情報保護委員会のホームページに掲載されています。)
ガイドラインでは、「講ずべき安全管理措置の内容」として以下の項目を示しています。そこでは「講じなければならない措置」の「手法の例示」が示されています。併せて、「中小規模事業者における手法の例示」も示されています。
基本方針の策定
個人情報取扱事業者は、個人データの適正な取扱いの確保について組織として取り組むために、基本方針を策定することが重要です。
個人データの取扱いに係る規律の整備
個人情報取扱事業者は、その取り扱う個人データの漏えい等の防止その他の個人データの安全管理のために、個人データの具体的な取扱いに係る規律を整備しなければなりません。
関連規程:個人情報保護規程のサンプル
組織的安全管理措置
組織的安全管理措置とは、従業者の責任と権限を明確に定め、安全管理に対する規程や手順書を整備運用し、その実施状況を確認することをいいます。
人的安全管理措置
人的安全管理措置とは、従業者、役員等に対して、業務上秘密と指定された個人情報の非開示契約の締結や教育・訓練等を行うことをいいます。
物理的安全管理措置
物理的安全管理措置とは、入退室の管理、個人情報の盗難の防止等の措置をいいます。
技術的安全管理措置
技術的安全管理措置とは、個人情報及びそれを取り扱う情報システムへのアクセス制御、不正ソフトウェア対策、情報システムの監視等、個人情報に対する技術的な安全管理措置をいいます。
従業者や委託先においても、個人データの安全管理が図られるよう、必要かつ適切な監督を行わなければなりません。
漏えい等の報告義務
次のような漏えい等の事案が発生した場合、又は発生したおそれがある場合は、個人の権利や利益を侵害するおそれが大きいため、個人情報取扱事業者は、速やかに個人情報保護委員会に報告し、本人へ通知しなければいけません。
(1)要配慮個人情報の漏えい等
例 従業者の健康診断等の結果を含む個人データが漏えいした場合など(1件でも)
(2)財産的被害のおそれがある漏えい等
例 ECサイトからクレジットカード番号を含む個人データが漏えいした場合など(1件でも)
(3)不正の目的によるおそれがある漏えい等
例 不正アクセスにより個人データが漏えいした場合など(1件でも)
(4)1000人を超える個人データの漏えい等
個人情報保護委員会への報告や本人への通知は令和4年(2022年)4月から義務となっています。
個人情報を第三者に提供する場合の制限
例えば、従業員の氏名等ですが、これらの情報を取引先に伝えたり、自社のホームページに掲載したりすることは、個人データの第三者提供に当たります。
そのため、このようなケースでは、従業員本人の同意が必要です。あるいは、オプトアウトの手続が必要です。
従業員の氏名を取引先に伝えるようなことがある企業は、例えば、雇用契約書において、個人データの第三者提供について従業員の同意を確認する条項を盛り込むなどの対処が必要です。
第三者提供時の記録義務があります。
先ほどの例でいうと、従業員の氏名を取引先に伝えるときは、記録の作成と保存が義務付けられるということです。
第三者と個人データをやり取りする場合において、誰に情報を渡すか、誰から受け取った情報なのか、適切に情報がやり取りされたことの記録を残し、保存する必要があります。
メールでやり取りするのであれば、メールの送受信データを記録しておくということになります。単に氏名を伝えるだけでなく、利用目的等、必要な事項を記載した書式を決めてやり取りするとよいでしょう。
利用目的等の公表・個人情報の開示、訂正、利用停止
本人からの請求があった場合は、保有個人データの開示、訂正、利用停止などに対応する必要があります。(第33条)
関連記事:開示、訂正、利用停止の請求に対する対処
ガイドライン
以上、会社等の担当者が特に注目すべき事項について記載しましたが、実際の運用にあたっては、「個人情報取扱事業者等に係るガイドライン」を読む必要があります。
マイナンバーとの関連
個人情報とは氏名や住所、生年月日など個人を特定できる情報ですが、その個人情報にマイナンバーが含まれることによってただの個人情報ではなくなり「特定個人情報」に変化します。特定個人情報については、マイナンバー法と個人情報保護法の両方が適用されます。
関連記事:マイナンバー管理のあらまし
関連記事:個人情報と特定個人情報の違い
会社事務入門>このページ