ITの利活用が進むにつれ、重要視されるようになったのがデジタルデータをはじめとした情報の取り扱いです。
特に企業の機密情報と個人情報の取り扱いでは、問題が発生した場合の影響が大きく、慎重さが求められます。
企業においては個人情報保護法に沿った個人情報の運用が必要とされています。
個人情報保護法は2003年の施行からデジタル技術や情報の取り扱いに関する意識の変化に沿って、複数回の改正が行われており、法整備が進められている状況です。2017年や2022年に適用開始となった改正もあり、知識のアップデートが求められます。今一度、事業においてのチェックポイントを整理しておきたいところです。
本記事では個人情報、個人情報保護法、改正における変更点とQ&Aなどを紹介します。
また、こうした法令の改正への対応はなかなか骨が折れる反面、避けては通れないものです。
セキュリオの法令管理では、数百種類以上の法令・規制・条例の改定内容・履歴を確認することができ、さらに、ISMS、Pマークの審査でもそのまま活用・クリアできます。
個人情報の定義についておさらい
本記事では個人情報の取り扱いについて記載していきますが、まずは個人情報保護法における個人情報の定義をあらためて確認しておきましょう。
少し長いですが、個人情報保護法の条文よりその定義を引用します。
『第二条 この法律において「個人情報」とは生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。第十八条第二項において同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるも
のを含む。)
二 個人識別符号が含まれるもの2 この法律において「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、政令で定めるものをいう。
一 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの
e-Gov ポータル
二 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの』
ざっくり捉えると、個人情報とは「個人に関する情報」であり、「特定の個人の識別ができる情報」であると言えます。
注意点として、一つの情報だけでは個人が特定できなくとも、複数の情報の組み合わせにより個人が特定できるものも個人情報にあたります。例えば、苗字だけでは個人を特定するのは難しいですが、XX株式会社の○○さんとした場合には高い精度で個人が識別可能なため、個人情報となります。
改正個人情報保護法の変更点
個人情報保護法はこれまで複数回改正がおこなわれました。本項では、近年実施された個人情報保護法の改正について記載します。
2020年に改正が行われ、2022年4月より適用開始となった個人情報保護法改正では、「個人の権利利益の保護」、「情報活用の推進」、「AI・ビッグデータへの対応」などを目的とした改正が行われました。
主な改正のポイントは下記の6つです。
- 個人情報の対象者となる本人による請求権の拡大
- 個人情報取扱事業者の責務の強化
- 事業者の自主的な取り組みの推進
- データ利活用の促進
- 保護法違反の罰則強化
- 外国の事業者への適用拡大
また、2021年に実施され、2022年4月(一部は 2022年1月)より適用開始となる改正もあります。こちらは「デジタル社会の形成を図るための関係法律の整備に関する法律」と関連されて改正されており、主な内容には下記があげられます。
- 官民通じた個人情報の保護と活用の強化
- 医療分野・学術分野における規制の統一
- 学術研究に係る適用除外規定の見直し
改正個人情報関連の言葉の定義
2022年4月より適用開始となった個人情報保護法の改正について、重要性の高い言葉の定義を確認しておきましょう。個人情報保護法上の定義と要約を記載します。
要配慮個人情報
『この法律において「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。』
出典:e-Gov ポータル
個人の情報のうち、取り扱いに特に配慮が必要なものが要配慮個人情報と言えます。
仮名加工情報
『この法律において「仮名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいう。
出典:e-Gov ポータル
一 第一項第一号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
二 第一項第二号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。』
仮名加工情報は、他の情報と照合しない限り、個人が特定できないように加工した個人情報です。
匿名加工情報
『この法律において「匿名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。
一 第一項第一号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
出典:e-Gov ポータル
二 第一項第二号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。』
匿名加工情報は、復元できないレベルまで加工された個人情報です。
個人関連情報
『この法律において「個人関連情報」とは生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。』
出典:e-Gov ポータル
個人関連情報は個人に関する情報のうち、個人情報、仮名加工情報、匿名加工情報に入らないものを指した言葉です。
改正個人情報保護法に関する Q&A
改正された個人情報保護法について、よくある質問と回答をまとめています。
- 個人情報保護法とは何を規制する法律でしょうか?
- 個人情報保護法とは、個人情報の取扱いを規制する法律です。法律全文はこちらからご確認いただけます。
- 個人情報保護法の改正概要についてまとめられた資料はありますか?
- 個人情報保護委員会が作成している『個人情報保護法令和2年度改正及び令和3年改正案について』が参考になります。
- 個人情報保護法を順守すべき対象者は誰ですか?
- 個人情報をデータベース化して事業に用いている事業者です。法律では、個人情報取扱事業者と定められています。該当するデータベースについては、『個人情報の保護に関する法律についてのガイドライン』P.17に記載されています。
- なぜ個人情報保護法を順守する必要があるの でしょうか?
- 個人情報の利用拡大に伴い、個人情報保護に関する基本となる事項を定め、国や地方公共団体、個人情報を取り扱う事業者の責務を明らかにすることで、個人情報の適正な利活用と個人の権利利益を保護することを目的としています。
- 個人情報保護法の改正はいつ行われ、いつから順守する必要がありますか?
- 令和2年改正と令和3年改正の2つがあります。令和2年度改正は来年4月に施行(法律が適応される期間が始まること)が開始されるため、早急な対応が必要です。令和3年改正は、施行日は未定です。それぞれの詳細に関しては個人情報保護委員会が作成している『個人情報保護法令和2年度改正及び令和3年改正案について』をご参照ください。
- 個人情報保護法準拠の費用や期間はどのくらいですか?
- それぞれの組織・企業が保有している個人情報データベース等に応じて対応が必要となります。
- 個人情報保護法のメリットを教えてください。
- プライバシーを損害することなく個人情報の利活用を行うことで、消費者の信頼を損なわず企業活動の促進が図ることができます。
- 体重は個人情報ですか?
- 個人情報ではありません。体重の情報単体では個人の特定に繋がらないためです。ただし、個人を特定しうるような特異な値である場合には、体重自体が個人情報になる場合もあります。
- 携帯電話やスマートフォンの番号は、個人情報保護法における「個人識別符号」に該当しますか?
- 該当しません。携帯電話やスマートフォンの番号やクレジットカード番号は、さまざまな契約形態があり、いかなる場合においても特定の個人を識別することができるとは限らないことなどから、個人識別符号に位置づけられていません。
ただし、このような番号が、他の情報と容易に照合することが可能で、それにより特定の個人を識別することができる場合には個人情報に該当します。 - ネットニュースやインターネット等で既に公表されている個人情報は、個人情報保護法の対象となりますか?
- 対象となります。公知の情報であっても、その利用目的や他の個人情報との照合など、取扱いによっては個人の権利利益の侵害につながる恐れがあります。そのため個人情報保護法では、既に公表されている情報も他の個人情報と区別せず、保護の対象としています。
既に公表されている個人情報を、単に閲覧するに過ぎない場合は「個人情報の取得」に該当しません。ただし、データベース化する場合には「個人情報の取得」に該当します。 - 個人情報に該当する情報はどれですか?
- 個人情報とは、生きている人に対し、「その人が誰かわかる」情報のことです。個人情報には大きく分けて以下の2つが該当します。
- 特定の個人を識別可能な情報
- 個人識別符号
2つ目の「個人識別符号」の例としては、マイナンバーなどの行政手続きにおいて個人識別に利用される情報や、指紋などの個人の身体的な特徴を電子化したデータなどが挙げられます。
詳細は『個人情報の保護に関する法律についてのガイドライン』P.5-P.10をご参照ください。 - 個人情報データベースとは何ですか?
- 個人情報データベースとは、特定の個人情報をコンピュータを用いて検索することができるように構成したものを言います。
例えば、懸賞などを実施した際に受け取ったハガキを整理せずに保管している場合は、個人情報データベースには該当しません。しかし、これを Excel にデータ入力を行なって検索ができるようにしたり、ハガキを50音順に並び替えて特定の個人を検索可能としたりして管理している場合は、個人情報データベースに該当する場合があります。
詳細は『個人情報の保護に関する法律についてのガイドライン』P.16をご参照ください。 - 防犯カメラやビデオカメラで記録された映像は、本人が識別可能であれば、個人情報データベース等に該当しますか?
- 本人が識別できる映像情報であれば個人情報には該当しますが、特定の個人情報を検索することができるように「体系的に構成」されたものでない限り、個人情報データベース等には該当しません。
- 私たちの組織が個人情報取扱事業者に該当しているかわかりません。
どのように判断すれば良いでしょうか? - 組織が保有する情報資産について、個人情報データベース等に該当するものがあるか、またそれを事業において利用しているかを確認する必要があります。個人情報データベースに該当する事例については、『個人情報の保護に関する法律についてのガイドライン』P.17をご参照ください。
- 保有個人データとは何ですか?
- 保有個人データとは、個人データのうち、個人情報取扱事業者が開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供を行う権限を有する個人データのことです。
従来は、保存期間が6ヶ月に満たない個人データは保有個人データとなりませんでしたが、令和2年度改正により、保存期間に関わらず、保有個人データに含められることとなります。 - オプトイン・オプトアウトとは何ですか?
- オプトイン、オプトアウトは、個人情報の第三者提供に関する本人同意の確認方法のことを指します。
オプトインは事前に本人から提供への同意を取得する方法です。オプトアウトは本人から提供を拒否する旨の回答がない限り、本人が同意したものとして扱うことを指します。 - 住所や電話番号だけであっても個人情報に該当しますか?
- 他の情報と容易に照合することにより特定の個人を識別できる場合、他の情報とあわせて全体として、個人情報に該当することがあります。
- 個人情報に該当しない事例としてはどのようなものが挙げられますか?
- 企業の財務情報など法人等の団体そのものに関する情報や、統計情報などが挙げられます。
- 令和2年の改正個人情報保護法の変更点はどこですか?
- 大きく下記6点が変更となりました。個人の権利のさらなる保護と事業者の責務の明確化が図られ、仮名加工情報が創設されるなどの変更がありました。
- 個人の権利のあり方
- 事業者の守るべき責務のあり方
- 事業者による自主的な取り組みを促す仕組みのあり方
- データ利活用に関する施策のあり方
- ペナルティのあり方
- 法の域外適用・越境移転のあり方
- 仮名加工情報とは何ですか?
- 他の情報と照合しない限り、個人を識別できない情報のことを指します。従来存在していた匿名加工情報よりも条件を緩和したものとなっています。
- 個人関連情報とは何ですか?
- 個人に関する情報のうち、個人情報や匿名加工情報、仮名加工情報に該当しないものを指します。
具体例としては、Webサイトを閲覧した際のCookieや位置情報などが挙げられます。 - 保有個人データの開示についての変更はどのようなものですか?
- 開示方法について本人が指示できるようになりました。従来は、原則として書面による交付と定められていましたが、改正に伴い、電磁的記録の提供、つまり、メールなどの媒体を用いた提供での開示が可能となります。
- 保有個人データとなる個人データの対象に関する変更はどのようなものですか?
- 保存期間に関わらず、保有個人データとみなされるようになりました。従来は保存期間が6ヶ月に満たない個人データは、保有個人データとはならないとされていました。しかし改正に伴い、期間による適応の基準がなくなったため、個人 データを業務において取り扱っている事業者は保有個人データに関する義務を負う必要があります。
- オプトアウトで取得した個人データは利用できなくなりますか?
- 利用は可能ですが、第三者提供ができなくなります。
改正に伴い、第三者提供できる個人データの範囲から、下記2点が対象外となりました。
- 不正取得された個人データ
- オプトアウト規定により提供された個人データ
- 漏えいが発生した場合の対応の変更点はありますか?
- 個人情報保護委員会への報告及び本人への通知が義務化されました。
- 罰則に関する変更点はありますか?
- 法改正に伴い、下記のとおり、罰則が強化されました。
従来:- 命令違反 → 6月以下の懲役又は30万円以下の罰金
- 虚偽報告等 → 30万円以下の罰金
- 命令違反 → 1年以下の懲役又は100万円以下の罰金
- 虚偽報告等 → 50万円以下の罰金
- 越境移転をする場合の注意点はありますか?
- 越境移転について、下記のとおり、情報提供が義務化されました。
従来の要件:- 本人の同意取得
- 基準に適合する体制を整備した事業者
- 日本と同等の水準国
- 同意取得時に、移転先の国名や、その国における個人情報保護の制度について本人に情報提供
- 移転先の事業者の定期的な確認 + 本人の求めに応じて関連した情報を提供
- 個人関連情報への規制はどのようなものですか?
- 個人関連情報は令和2年の法改正により新設されました。提供元では個人データに該当しないものの、提供先において個人データとなることが想定される個人関連情報の第三者提供について、本人同意が得られていること等の確認が義務付けられました。
- 令和3年改正は令和2年改正と違うのでしょうか?
- 令和2年改正は、個人情報保護法の3年ごと見直しに基づく改正で、令和4年4月に全面施行されます。 一方、令和3年改正案は、個人情報保護制度の官民一元化がなされており、交付後1年以内に施行されるとされています。
- 従業員に関する情報も個人情報となるのでしょうか?
- 個人情報に該当します。従業員に関する情報であっても、法第2条第1項の定義(当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの)に該当する場合には個人情報に該当するため、同法の規律に従って取り扱う必要があります。
- 従業員に関する個人情報データベース等しか保有していない場合であっても、個人情報取扱事業者に該当しますか?
- 該当します。
- 個人情報を取り扱う件数が少ない事業者も個人情報取扱事業者に該当しますか?
- 個人情報データベース等を事業で利用している場合、当該個人情報データベース等を構成する個人情報によって識別される個人の数の大小にかかわらず、個人情報取扱事業者に該当します。
- 取得した個人情報はいつ破棄する必要がありますか?
- 破棄の時期に関する、明確な規定はありません。ただし、個人情報取扱事業者は、その取扱いに係る個人データを利用する必要がなくなった際は、当該個人データを遅滞なく消去するよう努めなければなりません。
- 「従業員の教育」としての研修は、全従業者を一堂に集めて講義形式で行う必要がありますか?
- 講義形式以外での実施も可能です。個人データの安全管理に関して留意すべき事項は、事業の規模及び 性質、取り扱う個人データの性質・量等によって異なるため、研修の形式も個人情報取扱事業者ごとに異なります。Eラーニングのようなオンラインでの実施でも問題ありません。
- 個人情報保護法は個人に対しても適用されるのでしょうか?
- 個人情報保護法は、それぞれの種類の情報取扱事業者に対して適応される法律であるため、事業者に該当すれば適応対象となります。
- LINE等のSNSで特定個人の電話番号、住所、メールアドレスについて聞かれた際、これを本人の許可なく教えてしまった場合は個人情報保護法違反になりますか?
- 個人情報保護法という観点からは違反となりません。個人情報保護法は、それぞれの種類の情報取扱事業者に対して適応される法律であるためです。ただし、企業活動の一環で他の顧客に関する個人情報を勝手に第三者に教えてしまうことは違反となります。
- 個人識別符号を利用したなりすましが海外で発生しているとあったのですが、日本で同様のことが生じる可能性はありますか?
- アメリカでは、他人の社会保障番号を使って年金を不正受給した事例、韓国では、他人の住民登録番号を不正に入手し、海外からオンラインゲームに登録した事例などが挙げられます。
原因としては、本人確認も番号のみで行えてしまうことが考えられています。
日本のマイナンバー制度では、こうした海外の事例を踏まえ、利用範囲を法律で制限し、マイナンバーを利用する際の厳格な本人確認も義務付けられています。 - 個人情報と特定個人情報の違いは何ですか?
- 利用目的に違いがあります。個人情報は、特定の個人を識別できる情報であるのに対し、特定個人情報は、行政による業務を効率化するために使用される情報のことを指します。
まとめ
個人情報保護法は個人が特定できる情報を保護することを目的とした法律です。
事業で個人情報を取り扱う場合には、個人情報保護法に沿った取り扱いが必要となります。適切な情報セキュリティ対策を行い、あらためて個人情報の取り扱いについての確認、周知を行いましょう。