個人情報は個人の情報を特定できる重要な情報であるため、適切な取り扱いが求められます。
万が一、企業から個人情報が漏洩すると、企業の存続にかかわる重大なインシデントに発展しかねません。この記事では個人情報の定義から、取り扱うときに守られるルールについて詳しく解説します。
また、個人情報保護法の改正に伴い企業が対応すべきポイントをまとめた資料を用意しましたのでぜひ無料でダウンロードしてくだされば幸いです。
改正法について徹底解説!企業がすべき対応が分かる!
個人情報の定義をふりかえる
まずは個人情報の定義をふりかえりましょう。個人情報の定義は個人情報保護法第二条に記載があります。
第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
個人情報の保護に関する法律より
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二 個人識別符号が含まれるもの
この定義における「個人識別符号」とは以下の情報のことです。
- 身体の一部の特徴を電子計算機のために変換した符号
例)顔、虹彩、声紋、DNA、歩行の様態、手指の静脈、指紋、掌紋 - サービス利用や書類において対象者ごとに割り振られる符号
例)基礎年金番号、免許証番号、住民票コード、マイナンバー、各種保険証など
この1および2のいずれかに該当するものであり、政令や規則などで指定されているものが個人識別符号であるとされています。
個人情報の取り扱いについて守るべきルールとは
事業者が個人情報を取り扱うときには、守るべきルールがあります。ここでは取り扱い時のルールについて、個人情報保護委員会事務局が公開している「個人情報保護法の基本」の資料に基づいて紹介します。
個人情報の取得・利用
「個人情報保護法の基本」によると、個人情報の取得・利用時には以下のルールに従う必要があります。
- どのような目的で個人情報を利用するのかについて、具体的に特定する。
- 特定した目的は、公表しておく。あらかじめ公表していない場合には、本人に通知、又は公表する。
- 取得した個人情報は特定した利用目的の範囲内で利用する。
- すでに取得した個人情報を他の目的で利用したい場合には、本人の同意を得る。
- 要配慮個人情報を取得する時は、本人の同意が必要
最後に記載されている「要配慮個人情報」とは具体的には以下のような情報です。
- 人種、信条、社会的身分、病歴、前科、犯罪被害情報
- その他本人に対する不当な差別、偏見が生じないように特に配慮を要するものとして政令で定めるもの
例)身体障害・知的障害・精神障害等があること/健康診断その他の検査の結果/保健指導、診療・調剤情報/本人を被疑者又は被告人として、逮捕、捜索等の刑事事件に関する手続が行われたこと/本人を非行少年又はその疑いのある者として、保護処分等の少年の保護事件に関する手続が行われたこと
個人情報の保管
「個人情報保護法の基本」によると、個人情報の保管時には以下のルールに従う必要があります。
- 安全に管理するための措置をとる
- 正確で最新の内容に保ち、必要がなくなったときはデータを消去するよう努める。
- 従業員に対して、必要かつ適切な監督を行う。
- 個人情報の取扱いを委託する場合、委託先に対して必要かつ適切な監督を行う。
個人情報の譲渡
「個人情報保護法の基本」によると、個人情報の譲渡時には以下のルールに従う必要があります。
個人情報を第三者に提供する時は、原則として本人の同意が必要。本人の同意を得ない場合には、以下1~3の手続をする(いわゆるオプトアウト手続)。
ただし、要配慮個人情報については、この手続による提供は禁止。
- 本人の求めに応じて、その本人のデータの提供を停止することとする。
- 以下の小項目1~5をHPに掲載するなど、本人が容易に知ることができる状態にしておく。
- 第三者提供を利用目的としていること本人の求めに応じて、その本人のデータの提供を停止することとする。
- 提供される個人データの項目
- 提供の方法
- 本人の求めに応じて提供を停止すること
- 本人の求めを受け付ける方法
- 本人に通知した事項を個人情報保護委員会に届け出る(個人情報保護委員会はこれを公表する)
- 業務の委託、事業の承継、共同利用は、第三者提供には当たらない。
- 第三者へ提供した時は、受領者の氏名等を記録し、一定期間保存する。
- 第三者から個人データを受け取るときは、提供者の氏名等、取得経緯を確認し、受領年月日、確認した事項等を記録し、一定期間保存する。
個人情報の海外への譲渡
「個人情報保護法の基本」によると、個人情報の海外への譲渡時には以下のルールに従う必要があります。
次の1~3のいずれかに該当する必要がある。
- 外国にある第三者へ提供することについて、本人の同意を得る。
- 外国にある第三者が個人情報保護委員会の規則で定める基準に適合する体制を整備している。
- 外国にある第三者が個人情報保護委員会が認めた国に所在する。
個人情報の開示要求への対応
「個人情報保護法の基本」によると、個人情報の開示要求への対応には以下のルールに従う必要があります。
- 本人からの請求に応じて、個人情報を開示、訂正、利用停止等する。
- 以下の小項目1~5について、HPに公表するなど本人の知り得る状態に置く。
- 事業者の名称本人からの請求に応じて、個人情報を開示、訂正、利用停止等する。
- 利用目的
- 請求手続の方法
- 苦情の申出先
- 認定個人情報保護団体に加入している場合、当該団体の名称及び苦情申出先
- 個人情報の取扱いに関する苦情を受けた時は、適切かつ迅速に対処する。
AI時代の個人情報の取り扱いとは
AI時代とも言われる現在では、大量な情報を高速に処理できるようになりました。個人情報も例外ではなく、より安全な取り扱いと管理が求められています。特に注意したいのが、これから紹介する「匿名加工情報」です
匿名加工情報とは、特定の個人を識別することができないように個人情報を加工し、当該個人情報を復元できないようにした情報のことです。特定の個人を識別できない個人情報であるため、通常の個人情報の取り扱いよりも緩やかなルールで運用されています。
この匿名加工情報は、一定のルールであれば本人の同意がなくても、事業者間でデータ取引やデータ連携などにより個人情報の利活用を促進することを目的に導入されました。
この匿名加工情報の作成方法に関して、最低限の規律として、次の措置を講ずる必要があります。
- 特定の個人を識別することができる記述等(例:氏名)の全部又は一部を削除(置換を含む。以下同じ。)すること
- 個人識別符号の全部を削除すること
- 個人情報と他の情報とを連結する符号(例:委託先に渡すために分割したデータとひも付けるID)を削除すること
- 特異な記述等(例:年齢116歳)を削除すること
- 上記のほか、個人情報とデータベース内の他の個人情報との差異等の性質を勘案し、適切な措置を講ずること
また匿名加工情報の作成時および第三者への提供時には、事業者に対して公表義務が課されることになっています。
匿名加工情報は個人の識別ができない情報ですが、自らが作成した匿名個人情報をほかの情報と照合して本人を識別したり、受領した匿名加工情報の加工方法等の情報を取得したりすることなどは禁止されています。
まとめ
この記事ではAI時代における個人情報の取り扱いのポイントについて解説しました。
企業活動では非常に多くの個人情報を取り扱う場面がありますが、現在はITにより大量のデータを高速に処理することが可能です。もちろん個人情報もその例外ではありません。しかし一人一人の個人情報は慎重に取り扱われるべき重要な情報です。
この記事で紹介した個人情報の取り扱いのルールを徹底することが、企業活動においても大きなメリットになると思いますのでぜひ参考にしてください。
また、個人情報保護法の改正に伴い企業は自社のプライバシーポリシーや規定を変更するなどの対応が必要となります。
どう対応すればいいのか悩んでいる方向けに、対応すべきポイントをまとめた資料を作成しておりますのでぜひ無料でダウンロードして参考にしてくだされば幸いです。
