個人情報保護法とは、個人情報の扱いにて、個人の権利や利益を保護するよう目的とする法律です。2020年の改正ポイントや企業が守るべきルール、注意点や基本ガイドラインなどを詳しく解説します。
目次
1.個人情報保護法とは?
個人情報保護法とは、個人の権利や利益を保護しつつ、個人情報を扱えるようにする日本の法律で、正式名称を「個人情報の保護に関する法律」といいます。
「個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであり、その適正な取扱いが図られなければならない」という基本理念のもと、「個人情報取扱事業者」などを定義し、国や地方自治体、事業者が遵守すべき義務などを定めているのです。
GDPRとの違い
GDPRとは、個人データの処理と移転に関するルールです。IPアドレスやIDFAなどの端末識別子が個人情報として取り扱われ、データを利用する際はユーザーから明確な同意を得る必要があります。個人情報保護法よりも厳格なルールが定められているのです。
2.2020年の個人情報保護法改正のポイント
個人情報保護法は大企業や中小企業、個人事業主、町内会や自治会などの団体、学校の同窓会など個人情報を取り扱うすべての事業所や団体に義務づけられています。
2020(令和2)年3月10日に第201回通常国会に提出された「個人情報の保護に関する法律等の一部を改正する法律案」は、6月5日の国会にて可決・成立しました。
そののち、6月12日に「個人情報の保護に関する法律等の一部を改正する法律」が公布されたのです。
改正の理由
改正された理由は、インターネット、ビッグデータ活用技術などの進歩により、個人情報悪用のリスクが高まったこと。
近年、大手就活情報サイトが学生の個人情報から内定辞退率を予測・販売したことが問題となりました。また世界中で個人のプライバシーを守る法律が誕生しており、日本の個人情報保護法も厳罰化の方向に進んだとされています。
個人情報の定義
個人情報とは、「生存する個人に関する情報であって、その情報に含まれる氏名、生年月日その他の記述等により当該情報が誰の情報であるかを識別することができるもの」とされています。改正法に導入された新しい3つの定義を解説しましょう。
- 個人識別符号
- 要配慮個人情報
- 匿名加工情報
①個人識別符号
「体の一部の特徴を電子計算機のために変換した符号(DNA・顔・虹彩・声紋・歩行の態様・手指の静脈・指紋や掌紋など)」「サービス利用や書類において対象者ごとに割り振られる符号(旅券番号・基礎年金番号・免許証番号・住民票コード・マイナンバー・各種保険証など)」といった政令・規則で個別に指定されたものです。
②要配慮個人情報
本人に対する不当な差別、偏見そのほか不利益が生じないよう取扱いに特に配慮を要する個人情報のこと。
たとえば人種や信条、社会的身分や病歴、犯罪の経歴や犯罪により害を被った事実、個人情報保護委員会規則で定める心身の機能障がいがあるといったものです。これらの情報を取得する際、あらかじめ本人の同意が必要となります。
③匿名加工情報
特定の個人を識別することおよび復元できないように加工した個人情報のこと。一定のルールのもと、事業者間におけるデータ取引やデータ連携を含むパーソナルデータの利活用が可能になりました。
事業者の義務
事業者の義務は、下記のとおりです。
- 個人情報の適切な加工を行うこと。たとえば個人識別符号のすべてを削除または置き換えるといったもの
- 情報の漏えいを防止するといった、安全管理の措置を取る
- 匿名加工情報に含まれている個人情報の項目を公表する義務
- 作成元となった個人情報の本人を識別する目的で行う識別行為の禁止
具体例
たとえば、「富士花子・女性・山川町・50歳」というデータを「A・女性・山川町・50歳」に書き換えたとします。しかしこのデータでは、個人情報から完全な匿名加工情報になったとはいえません。
なぜならば「山川町に住む50歳以上の女性」がひとりだけだったら、かんたんに個人が特定されてしまうからです。また個人情報の加工手順や手法がわかれば、データの復元は可能です。
個人情報漏えい時の報告・通知
改定法では「漏えい等が発生し、個人の権利利益を害するおそれがある場合に、個人情報保護委員会への報告及び本人への通知を義務化している」(改正法22条の2)となりました。
個人情報漏洩時の報告・通知が必要な場合、「個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたとき」(改正法22条の2第1項、2項)とされています。
個人情報保護委員会とは?
個人情報の有用性に配慮しつつ、適正な取り扱いを確保するために設置された独立性の高い機関のこと。個人情報保護法および番号法にもとづきさまざまな業務を行っています。
具体的には、個人情報の保護に関する基本方針の策定・推進、個人情報等の取扱いに関する監督、認定個人情報保護団体に関する事務などの業務です。
オプトアウトの厳格化
個人情報保護法改正により、オプトアウト方式で個人情報を第三者に提供する場合、事前に個人情報保護委員会への届出が必要となりました。個人情報保護法の第23条2項にて、以下の情報を提出するよう定められています。
- 第三者への提供を利用目的とする
- 第三者に提供される個人データの項目
- 第三者への提供の方法
- 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止する
- 本人の求めを受け付ける方法
オプトアウトとは?
原則「可」としていて、問題があるときや意思表示があるときのみ「不可」とする方式のこと。
個人情報を第三者に提供する際、事業者が事前に本人へ第三者へ個人情報を提供する旨を通知しておけば、本人の同意があったと見なされ、事業者は個人情報の提供を行えるのです。
外国の事業者に対する強化
日本国内にある者の個人情報を取り扱う外国事業者を、罰則によって担保された報告徴収・命令の対象としたうえで命令に従わない場合、公表できます。
また提供先の国の法制度によっては、個人データの越境移転にリスクが存在する点を踏まえ、移転先の外国事業者やその事業者がおかれた外国の状況について、本人へ情報提供することが義務づけられています。
罰則の強化
個人情報保護委員会による命令違反・委員会に対する虚偽報告の法定刑は、下記のように定められています。
- 命令違反の場合、1年以下の懲役または100万円以下の罰金
- 虚偽報告といった場合、50万円以下の罰金
個人情報保護方針(プライバシーポリシー)
個人情報保護方針(プライバシーポリシー)は以下の3点です。
- 保有個人データの「利用」に関する透明性の担保(保有個人データの処理の方法など)
- 開示請求・利用停止請求におけるユーザー主導権の明確化(ターゲティング広告などで用いられるCookieも個人関連情報に定義)
- 個人関連情報の第三者提供についての同意取得と情報提供
短期保存データも対象
短期保存データは保有個人データに含まれ、本人からの開示や利用停止などの請求対象となります。改正前は6カ月以内に消去する個人データは、「保有個人データ」に含まれないとしていました。
3.個人情報保護法遵守のために企業が守るべきルール
個人情報保護法には、個人情報取扱事業者が守るべき4つのルールが定められています。詳しく解説しましょう。
- 取得や利用に関するルール
- 保管に関するルール
- 提供に関するルール
- 情報開示に関するルール
①取得や利用に関するルール
個人情報取扱事業者が個人情報を取り扱う際の取得・利用ルールは次のとおりです。
- 利用目的を特定して、その範囲内で利用する
- 利用目的を通知または公表する
- 要配慮個人情報(人種・信条・社会的身分・病歴・犯罪の経歴・身体・障がい・健康診断結果など)を取得する場合、あらかじめ本人の同意が必要
②保管に関するルール
個人情報の保管で守るべきルールは次のとおりです。
- 漏えいが生じないよう安全に管理する
- 従業員や委託先にも安全管理を徹底する
安全管理の方法のポイントは、「個人データの取り扱いルールを決める」「セキュリティ対策ソフトウエアの導入」「適切な委託先の選択、安全管理措置に関する契約を結ぶ」などです。
③提供に関するルール
個人データを第三者に提供する際、一定の事項に関する記録を作成し、一定期間(通常は3年間)保存する義務があります。記録しなければならない一定の事項は次のとおりです。
- 個人データを提供した年月日
- 提供先の氏名または名称、そのほか提供先を特定できる事項(不特定多数に提供した場合にはその旨)
- 個人データによって識別される本人の氏名、そのほか本人を特定できる事項
- 提供する個人データに含まれる項目
④情報開示に関するルール
個人情報開示請求とは、個人が事業者に対して自身の情報を開示するよう求めることで、個人情報保護法で認められている権利です。情報開示についてのルールは以下のようになっています。
- 事業者は開示請求書を受理後、原則、30日以内に個人情報の開示決定を実施する
- 開示できない場合、不開示決定通知書を請求者へ送付する
- 誰かの権利利害を害する恐れがある、法令違反になる場合、情報のすべてまたは一部を開示しないのも可能
4.個人情報保護法遵守のために企業が注意すべき点
個人情報保護法は個人の情報を保護する法律で、個人情報をひとつでも扱う事業者すべてが対象となります。企業が注意すべき点について、解説しましょう。
- グループ会社でも第三者提供になる
- 要配慮個人情報の取得基準を決めておく
- 社内ルールを制定しておく
- 研修や勉強会を設ける
①グループ会社でも第三者提供になる
グループ会社間でも、法人間での個人情報の移動は第三者提供となり原則、本人の同意が必要です。
マイナンバーといった特定の個人情報は、行政への届出以外、本人の同意があったとしても第三者への提供は禁止です。要配慮個人情報は、本人の同意を得るのが困難な場合、同意を得ずに第三者に提供してはならないとされています。
②要配慮個人情報の取得基準を決めておく
要配慮個人情報の取得基準例は、次のとおりです。
- 業務上必要な範囲以外は取得しない(障がい者を採用する際、障がいの有無や状態について聞く。業務に差し支える疾病の有無や会社が配慮するための情報など)
- 安全配慮義務に必要な情報以外は取得しない
- 本当に必要な情報は取得する
③社内ルールを制定しておく
個人情報取扱い事務のルールの項目は、次のようなものがあげられます。
- 漏えいといった事故が起きないよう、担当者や運用方法を明確にする
- 個人情報の取り扱いの記録がわかるようにする
- 個人情報取り扱いのガイドラインに則って、安全管理措置を講じておく
- ガイドラインに基本方針、取り扱いをルール化した規程を作成する
④研修や勉強会を設ける
定期的な社員研修や勉強会を行う方法は、下記のとおりです。
- 専門家を呼んで講義を行う
- 各部署の責任者が講話を行う
- eラーニングで個別に受講する
研修会では、個人情報やマイナンバー規制の説明、漏えい事故の事例や漏えいや法律違反の事実を知った際の対応方法を取り上げます。
5.個人情報保護法の基本ガイドライン「OECD8原則」
プライバシーの尊重と情報化社会における個人情報保護への取り組みとして、「OECD8原則」があります。それぞれについて解説しましょう。
- 目的明確化の原則
- 利用制限の原則
- 収集制限の原則
- データ内容の原則
- 安全保護の原則
- 公開の原則
- 個人参加の原則
- 責任の原則
①目的明確化の原則
個人データの収集目的を明確にすること。「提出いただいた個人情報は、商品の発送にのみ使用いたします」といった表記です。また利用目的が変更になった場合もその都度利用目的を明確にします。
②利用制限の原則
「個人情報の持ち主の同意がある」「法律の規定による」場合を除き、収集した個人データは目的以外に利用できないといったものです。個人情報保護法第16条(利用目的による制限)と第23条(第三者提供の制限)に反映されています。
③収集制限の原則
個人データの収集には制限を設ける必要があります。適法・公正な手段によりかつ本人に通知または同意を得て収集されなければなりません。また個人情報は本人の同意無しには収集できないのです。第17条(適正な取得)に対応しています。
④データ内容の原則
個人データは、利用目的に沿っていなくてはなりません。なおかつ利用目的に必要な範囲内で正確性・完全性・最新に保つ必要があるのです。個人情報保護法第19条(データ内容の正確性の確保)に対応しています。
⑤安全保護の原則
個人データは紛失や不当なアクセス、破壊や使用、修正や開示などの危険に対し合理的な安全保護措置のもと保護する必要があるのです。第20条(安全管理措置)、第21条(従業者の監督)、第22条(委託先の監督)に反映されています。
⑥公開の原則
個人情報の取り扱いについて情報を公開しなければならないという原則です。プライバシーマーク取得会社は個人情報保護方針や利用目的などの情報を一般に向けて公表します。18条(取得に際しての利用目的の通知)に反映されているのです。
⑦個人参加の原則
本人には自身の個人情報に対する情報の開示を求める権利や、個人情報の削除・更新・訂正・停止を要求する権利があるのです。プライバシーマーク取得会社は、顧客がこの権利を行使できるよう、手順を整備する必要があります。
⑧責任の原則
個人データの管理者は上記の諸原則を実施する責任があります。収集した個人情報はあくまで預かり物で、預かった側に原則を踏まえた責任が発生するのです。個人情報保護法第31条(苦情処理)に反映されています。