1.「個人情報保護法」の目的は?

「個人情報保護法」は、個人情報を取り扱う際のルールを定めた法律で、平成29年5月30日から、すべての事業者が対象となりました。

名前や性別、生年月日、住所などは、個人のプライバシーに関わる大切な個人情報です。一方、個人情報を活用することで、行政や医療、ビジネスなど様々な分野で、業務の効率化やサービス向上を図ることができます。
そこで、個人情報の保護を図るとともに適切な活用ができるよう、「個人情報保護法」(正式名称「個人情報の保護に関する法律」)が平成15年(2003年)5月に成立、平成17年(2005年)4月に全面施行されました。

個人情報保護法は、平成27年(2015年)に改正され、この改正個人情報保護法が、平成29年(2017年)5月30日から全面施行されました。
この改正により、法律の適用対象の拡大され、個人情報の数にかかわらず「個人情報をデータベース化して事業に利用している事業者」すべてが法律の適用対象となりました。

大勢の従業員を抱える企業や大量の個人情報を事業に利用していた企業はもちろん、中小企業や個人事業主、町内会・自治会、学校の同窓会なども、個人情報を取り扱う際のルールが義務づけられます。

改正個人情報保護法に基づいて、どのような情報が「個人情報」になるのか、また、個人情報を取り扱う際にはどのようなルールを守らなければならないのかを説明します。

改正個人情報保護法のもうひとつのポイント
~個人情報を活用するための新しい仕組み

今回の改正のもうひとつの大きなポイントに、「匿名加工情報」という、個人情報を活用するための新しい仕組みがあります。これは、特定の個人を識別できないように加工したデータについては、一定のルールのもとで活用できるようにしたものです。

例えば、最近の自動車の中には、カーナビゲーションシステムなどを通じて情報通信ネットワークにつながるものが多数あります。そうした自動車が走行している位置情報と窓のワイパーの動きに関するデータを集め、運転者が誰であるのかは分からないように加工して分析することで、ゲリラ豪雨など局地的な天候の変化をリアルタイムで把握することができる可能性があります。
このように、個人情報を匿名加工することで、いろいろな用途に活用できれば、私たちの生活がもっと便利になることが期待できます。

2.「個人情報」とは?

氏名や生年月日、住所だけでなく、マイナンバーや指紋データなども個人情報です

そもそも「個人情報」とは、どのような情報を言うのでしょうか。改正個人情報保護法では、下記のような情報が「個人情報」と定義されます。

【個人情報とは?】

生きている個人に関する情報で、
(1)氏名、生年月日、住所、顔写真などにより特定の個人を識別できるもの(他の情報と容易に照合でき、それにより、特定の個人を識別できるものを含みます)

(2)個人識別符号(下記の(1)、(2))が含まれるもの
(1)特定の個人の身体の一部の特徴を電子的に利用するために変換した以下の符号
顔、指紋・掌紋、虹彩、手指の静脈、声紋、DNAなど

(2)サービス利用や書類において対象者ごとに割り振られる以下の公的な番号
マイナンバー、旅券番号、免許証番号、基礎年金番号、住民票コード、各種保険証の記号番号など

また、個人に関する情報の中でも、人種、信条、病歴など不当な差別・偏見が生じる可能性がある個人情報は、「要配慮個人情報」として、その取扱いについて特別な規定(3章(1)を参照)が設けられました。

個人情報とプライバシーは違うの?

個人情報保護法でいう「個人情報」とは、生存する個人に関する情報(パーソナルデータ)のうち、特定の個人を識別できる情報のことです。一方、プライバシーとは、私生活や私事、個人の秘密のような他人にみだりに知られたくない情報のことで、個人情報=プライバシーではありません。

個人情報保護法上、プライバシーの保護や取扱いに関する規定はありませんが、個人情報保護法は、「個人情報」の適正な取扱いにより、プライバシーを含む個人の権利利益の保護を図るものです。 一方、プライバシーは「個人情報」の取扱いとの関連に留まらず、幅広い内容を含むと考えられます。そのようなプライバシーの侵害が発生した場合には、民法上の不法行為等として侵害に対する救済が図られることとなります。

3.個人情報の取扱いのチェックポイントは?

基本的には常識的な注意で十分。でも念のためご確認を

個人情報を扱う際の基本的なルールは、「使う目的をきちんと説明する」「勝手に目的外に使わない」「しっかり保管する」などで、これまで個人情報を扱ってきた事業者や団体にとっては常識的なことばかりでしょう。ただ、この機会に個人情報の取扱いのポイントをご確認ください。もちろん、新たに個人情報保護法上の義務の適用対象となった小規模事業者等の方も、下記を参考にご確認を。

(1)個人情報を取得するとき

  • 個人情報を取得する際は、どのような目的で個人情報を利用するのかについて、具体的に特定しなければなりません。
  • 個人情報の利用目的は、あらかじめ公表するか、本人に知らせる必要があります。
  • 個人情報のうち、本人に対する不当な差別・偏見が生じないように特に配慮を要する情報(人種、信条、社会的身分、病歴、犯罪の経歴、犯罪被害情報など)は、「要配慮個人情報」として、取得するときは本人の同意が必要です。

(2)個人情報を利用するとき

  • 取得した個人情報は、利用目的の範囲で利用しなければなりません。
  • すでに取得している個人情報を、取得時と異なる目的で利用する際には、本人の同意を得る必要があります。

(3)個人情報を保管するとき

  • 取得した個人情報は漏洩などが生じないように、安全に管理しなければなりません。
    例:
    紙の個人情報は鍵のかかる引き出しで保管する
    パソコンの個人情報ファイルにはパスワードを設定する
    個人情報を扱うパソコンにはウイルス対策ソフトを入れる
    など
  • また、個人情報を取り扱う従業員に教育を行うことや、業務を委託する場合に委託先を監督することも必要です。

(4)個人情報を他人に渡すとき

  • 個人情報を本人以外の第三者に渡すときは、原則として、あらかじめ本人の同意を得なければなりません。
    ※業務の委託、事業の承継、共同利用は、第三者には当たりません。

以下の場合は、本人の同意を得なくても個人情報を他人に渡すことができます。

  1. 法令に基づく場合(例:警察からの照会)
  2. 人の生命、身体または財産の保護のために必要で、かつ本人からの同意を得るのが困難なとき(例:災害時)
  3. 公衆衛生・児童の健全育成に特に必要な場合で、かつ本人の同意が難しいとき(例:児童虐待からの保護)
  4. 国や地方公共団体などへの協力

(5)本人から個人情報の開示を求められたとき

  • 本人からの請求があった場合、個人情報の開示、訂正、利用停止などに対応しなければなりません。
  • 個人情報の取扱いに対する苦情を受けたときは、適切かつ迅速に対処しなければなりません。
  • 個人情報を扱う事業者や団体の名称や個人情報の利用目的、個人情報開示などの請求手続の方法、苦情の申出先などについて、ウェブサイトでの公表や、聞かれたら答えられるようにしておくなど、本人が知り得る状態にしておかなければなりません。

詳しい内容はガイドラインに掲載されていますので、個人情報保護委員会ウェブサイトからご覧ください。