個人情報

個人情報保護法とは

個人情報保護法とは、高度情報通信社会の進展に伴い、個人情報の利用が著しく拡大していることに鑑み、個人情報のてきせいな取扱に関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにするとともに、個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的として定められた法律です。

もっとも、個人情報保護法では、個人情報の管理について概括的に規定するにとどまっており、具体的には、個々の業界の主務官庁が定めるガイドラインや認定個人情報保護団体の指針等を参考に企業は対策を取る必要があります。

また、個々の業界を規制する法律の中に個人情報保護について規制しているものもありますし、地方公共団体の条例によって規制が強化されている場合もありますので注意が必要です。

個人情報保護法の対象

1.個人情報とは

個人情報とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含みます)をいいます。

個人情報に該当する事例

  1. 本人の氏名
  2. 生年月日、連絡先(住所・居所・電話番号・メールアドレス)、会社における職位又は所属に関する情報について、それらと本人の氏名を組み合わせた情報
  3. 防犯カメラに記録された情報等本人が判別できる映像情報
  4. 特定の個人を識別できるメールアドレス情報(keizai_ichiro@meti.go.jp等の用にメールアドレスだけの情報の場合であっても、日本の政府機関である経済産業省に所属するケイザイイチローのメールアドレスであることがわかるような場合等)
  5. 特定個人を識別できる情報が記述されていなくても、周知の情報を補って認識することにより特定の個人を識別できる情報
  6. 雇用管理情報(会社が従業員を評価した情報を含む。)
  7. 個人情報を取得後に当該情報に付加された個人に関する情報(取得時に生存する特定の個人を識別することができなかったとしても、取得後、新たな情報が付加され、又は照合された結果、生存する特定の個人を識別できた場合は、その時点で個人情報となる。)
  8. 官報、電話帳、職員録等で公にされている情報(本人の氏名等)

個人情報に該当しない事例

  1. 企業の財務情報等、法人等の団体そのものに関する情報(団体情報)
  2. 記号や数字等の文字列だけから特定個人の情報であるか否かの区別がつかないメールアドレス情報(例えば、abc012345@xyzisp.jp。ただし、他の情報と容易に照合することによって特定の個人を識別できる場合は、個人情報となる。)
  3. 特定の個人を識別することができない統計情報

2.個人情報データベース等とは

個人情報データベース等とは、個人情報を含む情報の集合物であって、特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したものや、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定められたものをいいます。

そして、政令では、個人情報を一定の規則に従って整理することにより特定の個人情報を容易に検索することができるように体系的に構成した情報の集合物で、目次、索引その他検索を容易にするためのものを有するものをいいます。

個人情報データベース等にあたる事例

  1. 電子メールソフトに保管されているメールアドレス帳
  2. ユーザーIDとユーザーが利用した取引についてログ情報が保管されている電子ファイル
  3. 従業者が、名刺の情報を業務用パソコン(所有者を問わない。)の表計算ソフト等を用いて入力、整理し、他の従業者等によっても検索できる状態にしている場合
  4. 人材派遣会社が登録カードを、氏名の五十音順に整理し、五十音順のインデックスを付してファイルにしている場合
  5. 氏名、住所、企業別に分類整理されている市販の人名録

個人情報データベース等にあたらない事例

  1. 従業者が、自己の名刺入れについて他人が自由に検索できる状況に置いていても、他人には容易に検索できない独自の分類方法により名刺を分類した状態である場合
  2. アンケートの戻りはがきが、氏名、住所等により分類整理されていない状態である場合

3.個人情報取扱事業者とは

個人情報取扱業者とは、個人情報データベース等を事業の用に供している者をいいます。

もっとも、国の機関や地方公共団体、独立行政法人、地方独立行政法人並びにその取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ない者として政令で定められた者は個人情報保護法上の個人情報取扱業者から除外されています。

そして、政令では、その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数の合計が過去6か月以内のいずれの日においても5000名を超えない者を個人情報取扱業者から除外するものとして規定しています。

4.個人情報保護法による規制を受ける者とは

個人情報保護法により規制を受けるのは、上記の「個人情報取扱事業者」です。

もっとも、個人情報取扱事業者に当たらない場合であっても、個人情報を漏えいした場合には、不法行為による損害賠償義務を負う場合がありますし、業種によっては守秘義務として個人情報保護法の規定以上に規制がある場合もありますので注意が必要です。

個人情報取扱業者の義務

1. 個人情報に関する義務

個人情報取扱業者は、個人情報の取扱いの際に利用目的を特定し、一度利用目的を定めた場合には、相当の関連性を有すると合理的に認められる範囲を超えて変更することは許されないことになります。

この利用目的については、個人情報の取得の際に本人に通知、公表、明示することが義務付けられ、犯罪行為と同一視できるような違法行為等の不正な手段を用いることは禁止されています。

そして、個人情報の利用については、明示した個人情報の利用目的以外に利用することはできません。

また、苦情の適切かつ迅速な処理、及びそれに必要な苦情相談窓口などの設置を行うよう努めなければなりません。

2.個人データに関する義務

個人データとは、個人情報取扱事業者個人情報データベース等を構成する個人情報を意味します。

個人データについては、1.の個人情報に関する義務に加えて、個人データの内容を正確かつ最新のものとなるように努めるとともに、個人データを安全に管理し、従業員を適切に監督する義務が課されます。

また、個人データの取り扱いを委託する場合には、委託先について個人データの安全管理が図られるよう、必要かつ適切な監督を行わなければなりません。

さらに、個人データをあらかじめ本人の同意を得ずに第三者に提供することはできません。

3.保有個人データに関する義務

保有個人データとは、個人情報取扱事業者が、本人又はその代理人から求められる開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止のすべてに応じることができる権限を有する個人データをいいます。

保有個人データについては、1.の個人情報に関する義務及び2.個人データに関する義務に加えて、保有個人データの利用目的などについて、本人の知り得る状態に置くとともに、本人の求めに応じて利用目的等を通知しなければならない義務があります。

また、保有個人データは、本人からの求めに応じて開示する必要があり、本人から訂正、追加、削除の請求があった場合には調査の上で、その調査結果を反映させなければいけません。

4.個人情報保護法上の罰則

個人情報保護法では、上記の義務規定を確実に実行させるために、勧告、通常命令、緊急命令及び罰則の制度を設けています。

もっとも、個人情報の漏えい等については特に罰則はありませんが、この場合は漏えいされた個人から民事上の責任追及がされることになるので注意が必要です。

義務の内容 勧告 通常命令 緊急命令 罰則
利用目的の特定        
利用目的による制限
適正な取得
取得に際しての利用目的の通知等
 
個人データ内容の正確性の確保        
安全管理措置
従業者の監督
委託先の監督
第三者提供の制限
保有個人データに関する事項の公表
 
保有個人データの開示
 
保有個人データの訂正、追加または削除
 
保有個人データの利用停止等
   
開示の際の合理的な手数料額の設定
 
苦情の処理        

個人情報取扱事業者の対策

個人情報取扱事業者としては、まず個人情報保護法上の義務を履行するとともに、個人情報の漏えいを防ぐために、個人情報保護法に従った社内組織や個人情報取扱規程等のルール作成を早急に行い、従業員にルールに従った運用をさせる必要があります。

組織やルール作成の段階では、個人情報保護法に精通するとともに、企業内のことを良く知る弁護士にチェックを依頼することが必要でしょう。

また、弁護士に依頼して、個人情報保護に関する研修等を定期的に開催することも有用といえます。

さらに、高度情報通信社会の進展により、社内システム等の技術的な安全管理措置等については高度の知識が必要となる場面も多いことから、個人情報等の漏えい対策として、情報セキュリティの専門家に依頼すると良いでしょう。

そして、適切な個人情報保護の措置を講じていることは、取引先の信用を得ることにもつながります。

そこで、財団法人日本情報処理開発協会が認定するプライバシーマークの取得や情報セキュリティマネジメントシステム(ISMS)適合性評価制度による認証を受けることで自社の情報セキュリティの高さを示すことを検討すると良いでしょう。