目次
個人情報保護法とは
個人情報保護法(正式名称:個人情報の保護に関する法律)は、個人情報の有用性に配慮しながら、個人の権利や利益を守ることを目的として、事業者が取引先などから取得した「個人情報」の取り扱いに関するルールを定めた法律です。
個人情報保護法は、2003年5月に制定され、2005年4月に全面施行されました。
施行された当時の旧法では、保有している個人情報の件数が5000件を超えていなければ個人情報保護法の規制対象から外されていましたが、2017年の法改正により、1件でも個人情報を取り扱っている事業者は、すべて個人情報保護法が適用されることになりました。
その後も、デジタル技術の進展やグローバル化などの経済・社会情勢の変化や、世の中の個人情報に対する意識の高まりなどに対応するため、見直し改正が行われています。
個人情報の漏えいや不正利用のニュースが多く見られる昨今では、ますます個人情報に対する意識改革が求められることになります。
1件でも個人情報を扱う小規模事業者は、法規制の対象となりますので、ルールを把握し対応していくことが必要です。
個人情報とは
生存する個人に関する情報で、氏名、生年月日、住所、顔写真などにより特定の個人を識別できる情報をいいます。
これには、他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものも含まれます。
①それ単体では特定の個人を識別できないが、氏名などと組み合わせることで特定の個人を識別できるもの
(例)生年月日、電話番号など
②ユーザー名やドメイン名から特定の個人を識別することができる場合は、それ自体が単体で、個人情報に該当します
(例)メールアドレスなど
個人情報とは(個人識別符号)
番号、記号、符号などで、その情報単体から特定の個人を識別できる情報で、政令・規則で定められたものを「個人識別符号」といい、個人識別符号が含まれる情報は個人情報となります。
③ 身体の一部の特徴を電子処理のために変換した符号
(例)顔認証データ、指紋認証データ、虹彩、声紋、歩行の態様、手指の静脈、掌紋など
④ サービス利用や書類において利用者ごとに割り振られる符号
(例)パスポート番号、基礎年金番号、運転免許証番号、住民票コード、マイナンバー、保険者番号など
要配慮個人情報とは
個人情報の中には、他人に公開されることで、本人が不当な差別や偏見などの不利益を被らないようにその取扱いに特に配慮すべき情報があります。
このような情報は「要配慮個人情報」として、取扱いに特に配慮を要するものとして下記のものが定められています(個人情報保護法第2条第3項)。
- 人種
- 信条
- 社会的身分
- 病歴
- 犯罪の経歴
- 犯罪により被害を被った事実
- 身体障害・知的障害・精神障害(発達障害を含む)
- 医師等により行われた疾病の予防および早期発見のための健康診断その他の検査の結果
- 健康診断等の結果に基づき、または疾病、負傷その他の心身の変化を理由として、本人に対して医師等により心身の状態の改善のために行われた保健指導または診療・調剤情報
- 本人を被疑者又は被告人として逮捕等の刑事事件に関する手続が行われたこと
- 非行・保護処分等の少年の保護事件に関する手続が行われたこと
要配慮個人情報の収集について
「要配慮個人情報」の収集には、原則としてあらかじめ本人の同意が必要です(個人情報保護法第20条第2項)。
ただし、個人情報保護法は、同意なく情報を収集することを禁止しているのであり、病歴といえども採用のための情報として収集することを禁止しているわけではありません。
本人の同意は必要ですが、採用にあたり、労務提供を行い得る一定の身体的条件・能力を有するかを確認する目的で、健康情報や病歴を確認することは可能です。
現在の健康状態が分からないと、企業は安全配慮義務を履行することができず、無理をして勤務をしても、本人のためにもなりません。
また、言った言わないのトラブルを回避するためにも、健康情報や病歴は書面に記入していただくことが望ましいと考えられます。
個人情報と個人データ
個人情報保護法では、「個人情報」と「個人データ」という異なる概念があり、個人情報のうちデータベース化されていない散財情報は個人情報、特定の個人情報を検索することができるように体系的にデータベース化された情報は個人データとして扱います。
個人情報や個人データの取り扱い
個人情報や個人データを取り扱うときは、下記のようなルールがあります。
(例)
- 利用目的を具体的に特定して、その範囲内で利用すること
- 利用目的は通知又は公表すること
- 「要配慮個人情報」を取得するときはあらかじめ本人の同意を得ること
- 漏洩等が生じないように、安全に管理する(ファイルにパスワードを設定する、セキュリティ対策ソフトを導入するなど)こと
- 第三者に提供するときは、原則としてあらかじめ本人の同意を得ること
- 第三者に提供するときは、必要かつ適切な監督を行うこと
以上は一例ですが、個人情報の取り扱いにはその他も慎重な対応が求められますので、個人情報を取り扱う担当者はあらためて確認しておくことが大切です。
個人データの漏洩(報告義務)
個人データの漏洩、滅失、毀損が発生し、下記のいずれかに該当する場合は、個人情報保護委員会への報告が必要です。
- 要配慮個人情報の漏洩
- 財産的被害が生じるおそれのある情報の漏洩
- 不正行為による漏洩
- 1,000人を超える個人データの漏洩
不正行為による漏洩については、委託先や外部の事業者などの第三者に対する不正行為による個人データの漏洩についても、報告対象となります。
個人情報の入力フォームを設置したWebサイトの運用・管理を業務委託している委託先などが想定されます。
また、2024年4月1日に施行される個人情報保護法規則の改正案に対するパブリックコメントの中では、下記のような報告義務に関する回答が示されています。
- 顧客が申込書を事業者に郵送したが、配送過程で窃盗にあったケースは、報告対象に該当する
- 個人情報取扱事業者のWebサイトを偽装したサイトに個人情報が入力された場合は、報告対象に該当しない
いずれの場合も、事業者に責任がないように考えられますが、「個人情報取扱事業者に対する行為」に該当するか否かで判断が分かれたものという見解があります。
個人データの漏洩(責任)
個人データの安全管理は、従業員だけでなく委託先においても必要かつ適切な監督を行うことが求められます。
情報漏洩が生じてしまった場合は、会社は被害者というだけではなく、従業員等の個人情報を漏洩させてしまった加害者になり得ることも注意が必要です。
個人情報漏洩はプライバシー権の侵害にあたり、損害賠償の責任が発生します。
また、個人情報保護法の安全管理義務違反に該当する場合は、刑事罰に課される可能性もあります。
結果として、下記のようなことが考えられます。
- 原因の調査・対応によって人的コストが生じる
- 民事・刑事上の責任が発生する
- 企業イメージのダウンに繋がる
安全管理措置
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならないと定められています(個人情報保護法第23条)。
2024年4月1日に施行される個人情報保護法規則及びガイドラインでは、「個人データの安全管理措置」には、データベース化される前の個人情報であっても、データベース化される予定であれば、「取得しようとしている個人情報」や「データベース化されていない個人情報」も対象となることが明らかになりました。
「取得しようとしている個人情報」とは、〈8. 個人データの漏洩(報告義務)〉で説明したような、配送過程で窃盗にあった個人情報などが該当します。
従来は、個人情報を体系的にデータベース化した個人データが安全管理措置の対象でした。
しかし、今回の改正により、「取得しようとしている個人情報」なども、個人データの安全管理措置の一環として安全管理措置が求められることが明らかになりました。
まとめ:情報漏洩対策
不正行為による情報漏洩は、非常に巧妙に行われます。
セキュリティ対策ソフトを導入することはもちろん、定期更新を行うことも忘れないようにすることが求められます。
また、情報漏洩によるリスクに対する意識が薄いことも、情報漏洩を生じさせる原因です。
社員に対して、情報の取り扱い方法や情報漏洩したときのリスク、刑事罰の対象となることなど、教育を行うことも大切です。
個人情報は身近に存在していますので、まずは会社全体での意識を変えることから始めてみるのが良いでしょう。