法改正により中小企業でも対象に!今からでも知っておきたい「個人情報保護法」とは
「個人情報保護法」って、テレビや新聞でも聞いたことがありますよね。企業の情報流出のニュースなどで、必ずといっていいほど登場する「個人情報保護法」。よく見かけるし、なんとなくわかるけど、細かくはちょっと・・・という方も多いのではないでしょうか。
しかも2017年に法改正が行なわれ、時代に合わせて内容も新しいルールが多数追加されました。情報化社会の今、みなさんの個人情報管理はキチンとできていますか?改めて「個人情報保護法」について、しっかり学んでおきましょう!
「個人情報保護法」とは、本人の個人情報に対する権利と利益の保護と、個人情報を活用する有効性の維持を目的として制定された法律です。この2つのバランスを保つため、個人情報を取り扱う企業や団体に、個人情報を大切に取り扱ってもらったうえで有効に活用できるよう共通のルールを定めました。
個人情報保護法は、2005年に施行されました。そしてこの10年余りで社会の環境は大きく変化してきました。この変化に対応するため、2017年に法改正が行なわれたのです。
では「個人情報」とは、一体どこまでが当てはまるのでしょうか。
「個人情報」の定義は、その情報に含まれる氏名や生年月日などによって、特定の個人を識別できるもの、また他の情報と簡単に照合ができて、それにより個人の識別ができるものを指します。個人情報に該当する例としては、氏名・生年月日はもちろん、住所や電話番号・メールアドレスなどの連絡先、会社の所属や職位などがあります。他にも、本人が判別できる防犯カメラの記録映像や、雇用管理情報など。ちなみに、メールアドレスは特定の個人が識別できるようなアドレスだけでなく、英数字の羅列であっても他の情報と組み合わせて個人が特定できる場合は個人情報となります。
また2017年度の法改正により、個人情報の定義の明確化を図るため、新たな項目が追加となりました。その情報だけでも特定の個人を識別できる文字や番号、記号や符号について「個人識別符号」という定義が設けられたものです。以下が「個人識別符号」にあたります。
近年、情報通信技術が発展し、膨大なパーソナルデータが収集・分析されるビッグデータ時代となりました。そんな時代に対応しビッグデータの活用促進を図るため、改正個人情報保護法で「匿名加工情報」という概念が導入されました。
「匿名加工情報」とは、個人情報を本人が特定できないように加工し、個人情報を復元することができないようにした情報のことです。個人情報よりも規律は緩やかで、自由な流通・活用を促すことを目的としています。作成方法の基準は、個人情報保護委員会の規則で最低限の規律が定められています。その規律に則って、民間事業者で自主的なルールの策定は可能ですが、その場合は匿名加工情報に含まれる情報の項目を公表する義務があります。
「個人情報保護法」の目的
「個人情報保護法」とは、本人の個人情報に対する権利と利益の保護と、個人情報を活用する有効性の維持を目的として制定された法律です。この2つのバランスを保つため、個人情報を取り扱う企業や団体に、個人情報を大切に取り扱ってもらったうえで有効に活用できるよう共通のルールを定めました。
個人情報保護法は、2005年に施行されました。そしてこの10年余りで社会の環境は大きく変化してきました。この変化に対応するため、2017年に法改正が行なわれたのです。
「個人情報取扱事業者」とは
「改正個人情報保護法」で大きく変わったポイントとして、個人情報の取扱事業者の範囲があります。これまで5,000人以上の個人情報を扱う企業が対象となっていましたが、法改正により5,000人以下の個人情報しか持たない中小規模の企業も対象となり『すべての事業者』に適用されることになりました。 この『すべての事業者』は、紙やデータで名簿を管理されている事業者全てが対象で、法人だけでなく、マンションの管理組合やNPO法人、自治会などの非営利組織も含まれます。 https://sma-locker.jp/article/security_qa/守るべき「個人情報」の種類
では「個人情報」とは、一体どこまでが当てはまるのでしょうか。
「個人情報」の定義は、その情報に含まれる氏名や生年月日などによって、特定の個人を識別できるもの、また他の情報と簡単に照合ができて、それにより個人の識別ができるものを指します。個人情報に該当する例としては、氏名・生年月日はもちろん、住所や電話番号・メールアドレスなどの連絡先、会社の所属や職位などがあります。他にも、本人が判別できる防犯カメラの記録映像や、雇用管理情報など。ちなみに、メールアドレスは特定の個人が識別できるようなアドレスだけでなく、英数字の羅列であっても他の情報と組み合わせて個人が特定できる場合は個人情報となります。
また2017年度の法改正により、個人情報の定義の明確化を図るため、新たな項目が追加となりました。その情報だけでも特定の個人を識別できる文字や番号、記号や符号について「個人識別符号」という定義が設けられたものです。以下が「個人識別符号」にあたります。
- 身体の一部の特徴を変換した符号 DNA・顔・虹彩・声紋・指紋・静脈・掌紋や歩き方など
- サービスの利用や書類において対象者に割り振られる公的番号である符号 旅券番号・基礎年金番号・免許証番号・住民票コード・マイナンバー・各種保険証など
「個人情報保護法」で守るべき3つのルール
①個人情報の取得と利用
個人情報の取扱事業者は、個人情報を取り扱うにあたり、利用目的を出来る限り特定しなければいけません。利用目的は具体的に特定し、あらかじめ公表しておくか、個人情報を取得する際に本人に通知する必要があります。基本的に個人情報を書面で取得する場合は、その利用目的を本人に明示する必要がありますが、利用目的が明らかであれば、公表する必要がありません。 なお取得した個人情報は、特定した目的の範囲内で利用する必要があり、その範囲外で利用する際は、あらかじめ本人の同意が必要です。利用目的達成後、取得した個人情報が必要なくなった時は、すみやかに消去するようにしなくてはいけません。※新たに定められた「要配慮個人情報」
「要配慮個人情報」とは、不当な差別や偏見など本人へ不利益が生じないように、取扱に配慮が必要な情報として定められた情報のことです。「要配慮個人情報」を取得する際は、利用目的の特定とその通知または公表に加え、あらかじめ本人の同意が必要となります。また「要配慮個人情報」は、オプトアウトによる第三者提供はできません。「要配慮個人情報」にあたる項目
- 人種・信条・社会的身分・病歴・犯罪歴・犯罪により害を被った事実
- 身体障害・精神障害などの障害があること・健康診断やその他の検査結果・保険指導・診療・調剤情報
- 本人を被疑者または被告人として逮捕・捜索など刑事事件に関する手続きが行なわれたこと・本人を非行少年またはその疑いある者として、保護処分等の少年の保護事件に関する手続きが行なわれたこと
②個人情報データを安全に管理する
個人情報取扱事業者は、個人情報保護法第20 条により、個人データを安全に管理するため必要かつ適切な措置をしなければならないと定められています。情報漏えいなどが発生しないよう安全に管理を行うほか、取引業者や委託先へも安全管理の徹底が必要です。 個人情報データの管理は、個人データが漏えいした場合に被る利益侵害の大きさを考え、事業規模や性質、個人データの取扱状況や記録媒体の性質に関わるリスクに応じて、適切な措置を講じる必要があります。個人データを組織として適正に取り扱うためにも、基本方針の策定や個人データの取り扱いに関する規定を定める必要があります。また従業員数が100人以下の中小規模事業者の場合は、特例的な対応方法がガイドラインにて記されています。◆具体的な管理措置また従業員数が100人以下の中小規模事業者の場合は、特例的な対応方法がガイドラインにて記されています。
- 組織的安全管理措置:組織体制の整備、個人データの取扱いに係る規律に従った運用、個人データの取扱状況を確認する手段の整備、漏えい等の事案に対応する体制の整備、取扱状況の把握及び安全管理措置の見直し
- 人的安全管理措置:従業者の教育
- 物理的安全管理措置:個人データを取り扱う区域の管理、機器及び電子媒体等の盗難等の防止、電子媒体等を持ち運ぶ場合の漏えい等の防止、個人データの削除及び機器、電子媒体等の廃棄
- 技術的安全管理措置:アクセス制御、アクセス者の識別と認証、外部からの不正アクセス等の防止、情報システムの使用に伴う漏えい等の防止
③個人データの第三者への提供
個人情報取扱従事者は、個人データを第三者に提供する場合、原則として事前に本人の同意を得る必要があります。また第三者に個人データを提供したり、提供を受けたりした場合には、データの受け渡し日時や名前など、個人情報保護委員会規則で定められた事項の記録をとり、原則3年間は保存しておかなければいけません。受け渡し時の基本的な記録項目は「いつ・誰の・どんな情報を・誰に(誰から)」提供されたかを記録しなくてはいけません。提供を受けた場合は、加えて「相手側が取得した経緯」も記録が必要です。なおSNSでの個人の投稿や、本人に代わって提供していると判断できる銀行振込、同席している家族への提供のように本人側への提供と判断出来る場合などは、例外とされ記録する義務はありません。 以下の場合は、本人の同意なしで提供することが出来る。- 法令に基づく場合(警察・裁判所・税務署からの照会)
- 人の生命・身体・財産の保護に必要な場合(本人同意取得が困難)
- 公衆衛生・児童の健全な育成の推進のために必要な場合
- 国の機関や地方公共団体などが、法令の定める事務を遂行することへ協力が必要な場合
※新たに設定さられた「オプトアウト方式」
「オプトアウト方式」とは、個人情報を第三者に提供するにあたって、その個人情報を持つ本人が反対しない限り、個人情報の第三者提供に同意したものとみなすこと。逆に、本人が事前に許可した情報だけを第三者提供することを「オプトイン方式」と言います。 これまでは、あらかじめ本人に対して利用目的を明示しつつ、本人の希望があれば第三者提供を停止すると事前に通知しておけば問題ありませんでした。しかし法改正により、個人データを第三者提供する場合には、事前に必要事項を個人情報保護委員会に届出なくてはいけなくなりました。届出のあった項目は公表する必要があり、委員会のサイトで事業者や第三者提供されている個人データ項目を確認することで、本人が第三者提供の停止を求めることができます。 https://sma-locker.jp/article/nyuutaishitukanri/改正個人情報保護法で導入された「匿名加工情報」
近年、情報通信技術が発展し、膨大なパーソナルデータが収集・分析されるビッグデータ時代となりました。そんな時代に対応しビッグデータの活用促進を図るため、改正個人情報保護法で「匿名加工情報」という概念が導入されました。
「匿名加工情報」とは、個人情報を本人が特定できないように加工し、個人情報を復元することができないようにした情報のことです。個人情報よりも規律は緩やかで、自由な流通・活用を促すことを目的としています。作成方法の基準は、個人情報保護委員会の規則で最低限の規律が定められています。その規律に則って、民間事業者で自主的なルールの策定は可能ですが、その場合は匿名加工情報に含まれる情報の項目を公表する義務があります。
まとめ
いかがでしたか?この記事で、少しでも個人情報保護法を知っていただけたらと思います。今回から中小規模の企業なども対象となり、オフィス内のセキュリティも今まで通りとはいかなくなったのではないでしょうか。どこから漏えいに繋がるか分かりません、オフィス内にある個人情報データを守るためにも、入退室管理や出入り口の鍵などは安全性の高いものが求められます。今までのような物理的な鍵を持ち歩くのではなく、自動で鍵の開け閉めを記録できたり、必要に応じて合鍵がシェアできたり、そんなスマートロックがこれからの情報を守る助けとなっていくでしょう。 スマロッカーでは、個人情報や機密情報で溢れるオフィスを中からも外からも守ってくれる、スマートロックを多数ご紹介しています。新しく法改正の行なわれたこの機会に、一度のぞいてみてください。
この記事を書いたライター
スマロッカー編集部