企業が押さえるべき個人情報の基本と実務のポイントを解説
氏名や性別、生年月日、住所などの情報は、個人のプライバシーに関わる大切な情報です。
そんな大切な情報をである個人情報の有用性に配慮しながら、個人の権利や利益を守ることを目的とした「個人情報保護法」正式には「個人情報の保護に関する法律」という名前を持つ日本の法律があります。
個人情報保護法に基づいて、どのような情報が個人情報になるのか、個人情報をどう取り扱わなければならないのかなど、基本的なルールを紹介します。
この記事を読んで分かること
・個人情報の種類や対象が分かる
・個人情報の取扱いが分かる
個人情報保護法とは
個人情報保護法とは、個人の権利を守る、外部に漏らさないと言ったイメージが強いかもしれませんが、実は個人情報を適切かつ有効に活用する側面も持っているのが法の趣旨となります。
個人情報の目的は
- 個人情報の有用性に配慮しつつ
- 個人の権利・利益を保護する
という2つのバランスを取ることを目指しています。(個人情報保護法第1条)
この目的を実現するため、国や自治体の責務、そして民間企業が守るべき義務が定められています。
どこまでを個人情報として取り扱うのか
まず、個人情報保護法において「個人情報」とは、生存する個人に関する情報で、氏名、生年月日、住所、顔写真などにより特定の個人を識別できる情報をいいます。すでに亡くなっている人に関する情報は、「個人情報」に該当しません。
「個人情報」とは、次の①、②、③のどれかひとつにあてはまる情報のことをいいます(個人情報保護法2条1項)。
- その中に含まれる内容によって、特定の個人を識別することができる情報
- その中に含まれる内容と、他の情報とを「容易に照合」することができ、それによって特定の個人を識別することができることとなる情報
- その情報の中に「個人識別符号」が含まれる情報
要配慮個人情報は特に注意!!
個人情報の中には、他人に公開されることで、本人が不当な差別や偏見などの不利益を被らないようにその取扱いに特に配慮すべき情報を「要配慮個人情報」呼び、取扱いに特に配慮しなければいけません。
人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により被害を被った事実のほか、身体障害・知的障害・精神障害などの障害があること、医師等により行われた健康診断その他の検査の結果、保健指導、診療・調剤情報、本人を被疑者又は被告人として逮捕等の刑事事件に関する手続が行われたこと、非行・保護処分等の少年の保護事件に関する手続が行われたことの記述などが含まれる個人情報
このような「要配慮個人情報」の取得には、原則としてあらかじめ本人の同意が必要です。
個人情報の種類
「個人情報」には、3つの種類があります。個人情報保護法では「個人情報」に該当する情報を、3つにわけています。「個人情報」、「個人データ」、「保有個人データ」があります。
個人情報
「個人情報」は、上記ですでに説明したとおり、次の3つのうちのいずれかに該当する情報のことです。
- 個人を特定できる情報
- ほかの情報と容易に照合することで個人を特定できる情報
- 個人識別符号を含む情報
この3つのいずれかに該当する情報は、すべて「個人情報」に該当します。
個人データ
「個人データ」とは、「個人情報データベースを構成する個人情報」をいいます(個人情報保護法2条6項)。
「個人情報データベース」とは、たとえば「個人情報を含む情報の集合物であって、特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの」をいいます(個人情報保護法2条4項1号)
また、「電子計算機」とは、コンピュータ(サーバ、PC、スマホなど)のことを指します。
| 個人情報データベース | たくさんの個人情報を含む情報が集められていて、そのうちの特定の個人情報をコンピュータで検索できるようにしたもの(ただしこれだけではありません。) |
|---|---|
| 個人データ | 個人情報データベースの中のひとつひとつの個人情報 |
保有個人データ
「保有個人データ」とは、「個人データ」に該当するもののうち、ある企業が、その個人データを開示したり、内容を変更したり、消去したりできる権限を持つものをいいます(個人情報保護法2条7項)。
これらの情報を企業が取り扱う際にどのような点に注意するのかを説明します。
個人情報や個人データを取り扱いについて
個人情報保護法の取扱いを行う必要がある企業の種類を確認しておきましょう。
個人情報取扱事業者
個人情報取扱事業者とは、個人情報データベースを事業に使用している事業者です。例えば、ユーザーから申込み時に氏名や性別などの情報を取得してデータベース化し、サービスの提供に利用している事業者は個人情報取扱事業者にあたります。
仮名加工情報取扱事業者
仮名加工情報とは、事業者が取得した個人情報を、個人情報保護法の定める基準にしたがって加工した情報です。加工の際には、他の情報と照合しない限り個人を特定できないようにする必要があります。
匿名加工情報取扱事業者
匿名加工情報は、個人情報を加工した上で復元できないようにした情報を指します。個人が特定できないように個人情報を加工する点は仮名加工情報と同様です。しかし、仮名加工情報が他の情報と照合すれば個人の特定ができる情報であるのに対し、匿名加工情報では他の情報と照合して個人を特定できる場合は加工したとみなされません。
次に上記の企業が個人情報や個人データを取り扱うときの5つのパターンを確認しておきましょう。
個人情報を取得する場合
- 個人情報を取り扱うに当たっては、どのような目的で個人情報を利用するのか具体的に特定する必要があります。
- 個人情報の利用目的は、あらかじめホームページ等により公表するか、本人に知らせなければなりません。
- 個人情報は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により利用してはなりません。
- 「要配慮個人情報」を取得するときはあらかじめ本人の同意が必要です。
- 取得した個人情報は、特定した利用目的の範囲で利用しなければなりません。
- 取得している個人情報を、特定した利用目的の範囲外のことに利用する場合、あらかじめ本人の同意が必要です。
個人情報を取り扱う際には、以下の情報を公表する必要があります。
- 個人情報取扱事業者の氏名又は名称、住所
- 全ての保有個人データの利用目的
- 保有個人データの利用目的の通知の求め又は開示などの請求手続
- 保有個人データの安全管理のために講じた措置
- 保有個人データの取扱いに関する苦情の申出先
個人データを管理する
- 個人データの漏えい等が生じないように、安全に管理するために必要な措置を講じる。
- 従業者や委託先においても、個人データの安全管理が図られるよう、必要かつ適切な監督を行う。
- 個人データの漏えい等が発生し、個人の権利利益を害するおそれが大きい場合は、個人情報保護委員会に報告し、本人に通知する義務があります。
個人データを第三者に提供する場合
- 個人データを本人以外の第三者に提供するときは、原則として、あらかじめ本人の同意が必要です。ただし、本人の同意を得なくても、例外的に個人データを第三者に提供できる場合があります。
- 第三者に個人データを提供した場合は「いつ・誰の・どんな情報を・誰に」提供したか、第三者から個人データの提供を受けた場合は「いつ・誰の・どんな情報を・誰から」提供されたかを確認・記録する必要があります。記録の保存期間は原則3年です。
本人から保有個人データの開示等を求められたとき
- 第三者に個人データを提供した記録も開示請求の対象となります。
- 保有個人データの開示方法について、電子データなどによる提供を含め、本人が請求した方法で対応する必要があります。
- 本人からの請求があった場合は、保有個人データの開示、訂正、利用停止などに対応する必要があります。
- 個人情報の取扱いに対する苦情を受けたときは、適切かつ迅速に対処する必要があります。
個人情報が漏洩した場合
漏えい等の事案が発生した場合、又は発生したおそれがある場合は、個人の権利や利益を侵害するおそれが大きいため、個人情報取扱事業者は、速やかに個人情報保護委員会に報告し、本人へ通知しなければいけません。
以下の場合は個人情報保護委員会に報告し、本人通知が必要です。
- 要配慮個人情報の漏えい
- 財産的被害のおそれがある漏えい
- 不正の目的によるおそれがある漏えい
- 1,000人を超える個人データの漏えい
よくある質問
企業が取り扱う個人情報についてよくある質問をまとめました。
まとめ
個人情報保護法とは、個人の権利や利益を守りながらも個人情報の有効活用することを目的とした法律です。個人情報保護法をしっかりと守ったうえで、情報を活用しましょう。
大阪の福祉系地方公務員が障害福祉に関連する知識を収集し、情報提供するブロガー
【資格】
・福祉系の資格あり
・行政書士試験合格
【略歴】
・大阪在住
・福祉専門の行政書士として開業準備中!!
お問い合わせはこちら
コメント