個人情報保護法についておさらい
個人情報保護法とは、個人の権利・利益の保護と個人情報の有用性とのバランスを図るための法律です。
個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであることに鑑み、その適正な取扱いが図られなければならない。
個人情報の保護に関する法律 第3条
このように基本理念を定めるほか、民間事業者の個人情報の取扱いについて規定されています。
個人情報の定義とは
では、個人情報の定義とは一体なんでしょうか。
個人情報の保護に関する法律には以下の記載があります。
第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
個人情報の保護に関する法律
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二 個人識別符号が含まれるもの
「個人情報」とは、”生存する”個人に関する情報で、その情報に含まれる氏名や生年月日などによって特定の個人を識別できる情報を指します。
氏名や生年月日以外にも、
- 連絡先(住所・電話番号・メールアドレス等)
- 会社での役職
などの情報も個人情報に該当します。
もっと意外なところでは、本人と特定できる映像と音声、履歴書などに記載された情報も個人情報に分類されるので、イメージよりも範囲が広いのがわかります。
個人情報保護法における個人データの定義
「個人データ」とは、「個人情報データベース等」を構成する個人情報を言います。
個人データとは、個人情報データベース等を構成する個人情報のことです。
「個人情報データベース等」とは、特定の個人情報を検索ができるように体系的に構成した、個人情報を含む情報の集合物を指します。
特定の個人情報をデータベースに入力し、容易に検索できるように目次、索引などによって順番に並べてあれば、「個人データベース等」に該当します。
この「個人データベース等」を構成している「個人情報」を「個人データ」と定義しています。
コールセンターで問い合わせを受けた際、問い合わせをしてきたか人の名前と、電話番号をデータベースに記憶させておき、名前で検索できるようにしていたら、それは個人データと言えるでしょう。
個人情報保護法における個人情報の取り扱いの定義
個人情報の取り扱いに関し、事業者は、一定の事項を守らなければいけません。
項目は以下の4つです。
| 取得・利用 | 利用目的を特定し、通知又は公表する。利用目的の範囲内でのみ利用する。 |
|---|---|
| 保管 | 漏洩等が生じないように保管し、委託者等の安全管理を徹底する。 |
| 提供 | 第三者に提供する際には、あらかじめ本人の同意を取得する。 第三者に提供し、または提供された場合には、一定事項を記録する。 |
| 開示請求等への対応 | 本人から開示等の請求がなされた場合に対応する。 |
個人情報保護法における要配慮個人情報の定義
個人情報保護法は、「個人情報」のうち一部の情報を「要配慮個人情報」と定めています。
「要配慮個人情報」は、政令で定められています。具体的には、
- 人種
- 信条
- 社会的身分
- 病歴
- 前科
- 犯罪被害情報
- 身体、知的、精神障がいがあること
- 健康診断結果
などが、「要配慮個人情報」にあたります。
要配慮となっている理由は、不当な差別や偏見を生じさせるような情報だからです。
「個人情報」の中でも取り扱いに配慮すべきとして、情報の取得には、原則として事前に本人の同意を得る必要があります。
ちなみに、国籍や本籍地は、単独では「要配慮個人情報」に該当しません。
個人情報保護法における匿名加工情報の定義
特定の個人を識別することができないように個人情報を加工した情報を「匿名加工情報」と定義されています。
また、個人情報を加工した後、個人情報を復元することができない情報であり、匿名性が担保されています。
加工例は以下のようなイメージです。
【加工前】
| 名前 | 山田太郎 |
|---|---|
| 年齢 | 30歳 |
| 職業 | プログラマー |
| 住所 | 〒131-0045 東京都墨田区押上1丁目1-2 |
| 服用中の薬 | コンサータ錠18mg |
【加工後】
| 名前 | 〇〇〇〇 |
|---|---|
| 年齢 | 30代~40代 |
| 職業 | 会社員 |
| 住所 | 東京 |
| 服用中の薬 | 精神刺激薬 |
このように、名前が伏せられ、年齢も大きな分類のみ。職業や住所、薬でも特定の人物を絞り切れる程の情報ではありません。
また、匿名加工情報は、特定された利用目的外での利用や第三者への提供ができると定められてる特徴があります。
例えば、医療機関が保有する医療情報を共有して創薬に役立てたり、交通カードの移動履歴を事業者間で共有することにより、新たなサービスを生み出すなど、社会的な利用が主です。
匿名性を維持しつつ、社会の発展に繋げるために制定された定義と言えるでしょう。
個人情報保護法における仮名加工情報の定義
令和2年に改正された個人情報保護法では、「仮名加工情報」が新設されました。
先述の「匿名加工情報」と混同されがちですが、他の情報と照合させても個人を識別できない匿名加工情報と違い、他の情報と照合することによって特定の個人を識別できる情報です。
【照合データ】
| 名前 | 山田太郎(A-11001) |
|---|---|
| 年齢 | 30歳 |
| 職業 | プログラマー |
| 住所 | 〒131-0045 東京都墨田区押上1丁目1-2 |
| 服用中の薬 | コンサータ錠18mg |
【加工後】
| 名前 | A-11001 |
|---|---|
| 年齢 | – |
| 職業 | – |
| 住所 | – |
| 服用中の薬 | – |
このように、加工後のデータだけでは個人を特定できる情報はありませんが、元データを見ればこの情報は、山田氏だと特定できます。
この「仮名加工情報」は、制限なく利用目的の変更が可能であること、さらに「匿名加工情報」より簡単に作成することができ、また匿名加工情報に比べて加工が少ないため、匿名加工情報より詳細な分析を行うことが可能です。
ただし、仮名加工情報は第三者への提供が制限されているため、匿名加工情報ほど自由に情報を活用することはできません。
個人情報保護法に違反した場合の定義
事業者が個人情報保護法を遵守しているかについては、内閣府の下に置かれた「個人情報保護委員会」が監督しています。
「個人情報の利用目的を公開しない」「不正に個人情報を手に入れた」など、個人情報保護法に違反する行動をした場合は、個人情報保護委員会の改善命令が入ります。
事業者がこれらの改善命令にも従わない場合には「2年以下の懲役または100万円以下の罰金」など、様々な罰則が定められています。
第百七十一条 行政機関等の職員若しくは職員であった者、第六十六条第二項各号に定める業務若しくは第七十三条第五項若しくは第百十九条第三項の委託を受けた業務に従事している者若しくは従事していた者又は行政機関等において個人情報、仮名加工情報若しくは匿名加工情報の取扱いに従事している派遣労働者若しくは従事していた派遣労働者が、正当な理由がないのに、個人の秘密に属する事項が記録された第六十条第二項第一号に係る個人情報ファイル(その全部又は一部を複製し、又は加工したものを含む。)を提供したときは、二年以下の懲役又は百万円以下の罰金に処する。
個人情報の保護に関する法律
第百七十二条 第百四十条の規定に違反して秘密を漏らし、又は盗用した者は、二年以下の懲役又は百万円以下の罰金に処する。
第百七十三条 第百四十五条第二項又は第三項の規定による命令に違反した場合には、当該違反行為をした者は、一年以下の懲役又は百万円以下の罰金に処する。
第百七十四条 個人情報取扱事業者(その者が法人(法人でない団体で代表者又は管理人の定めのあるものを含む。第百七十九条第一項において同じ。)である場合にあっては、その役員、代表者又は管理人)若しくはその従業者又はこれらであった者が、その業務に関して取り扱った個人情報データベース等(その全部又は一部を複製し、又は加工したものを含む。)を自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、一年以下の懲役又は五十万円以下の罰金に処する。
第百七十五条 第百七十一条に規定する者が、その業務に関して知り得た保有個人情報を自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、一年以下の懲役又は五十万円以下の罰金に処する。
第百七十六条 行政機関等の職員がその職権を濫用して、専らその職務の用以外の用に供する目的で個人の秘密に属する事項が記録された文書、図画又は電磁的記録を収集したときは、一年以下の懲役又は五十万円以下の罰金に処する。
第百七十七条 次の各号のいずれかに該当する場合には、当該違反行為をした者は、五十万円以下の罰金に処する。
一 第百四十三条第一項の規定による報告若しくは資料の提出をせず、若しくは虚偽の報告をし、若しくは虚偽の資料を提出し、又は当該職員の質問に対して答弁をせず、若しくは虚偽の答弁をし、若しくは検査を拒み、妨げ、若しくは忌避したとき。
二 第百五十条の規定による報告をせず、又は虚偽の報告をしたとき。
第百七十八条 第百七十一条、第百七十二条及び第百七十四条から第百七十六条までの規定は、日本国外においてこれらの条の罪を犯した者にも適用する。
第百七十九条 法人の代表者又は法人若しくは人の代理人、使用人その他の従業者が、その法人又は人の業務に関して、次の各号に掲げる違反行為をしたときは、行為者を罰するほか、その法人に対して当該各号に定める罰金刑を、その人に対して各本条の罰金刑を科する。
一 第百七十三条及び第百七十四条 一億円以下の罰金刑
二 第百七十七条 同条の罰金刑
2 法人でない団体について前項の規定の適用がある場合には、その代表者又は管理人が、その訴訟行為につき法人でない団体を代表するほか、法人を被告人又は被疑者とする場合の刑事訴訟に関する法律の規定を準用する。
第百八十条 次の各号のいずれかに該当する者は、十万円以下の過料に処する。
一 第三十条第二項(第三十一条第三項において準用する場合を含む。)又は第五十六条の規定に違反した者
二 第五十一条第一項の規定による届出をせず、又は虚偽の届出をした者
三 偽りその他不正の手段により、第八十五条第三項に規定する開示決定に基づく保有個人情報の開示を受けた者
年々、違反した事業者への罰則は厳格化しています。
くれぐれも情報の取り扱いには気を付けましょう。
まとめ
個人情報の定義について解説しました。
個人情報とひとえに言っても、内容が違ったり、活用方法の違いがあったりなどの違いがあることがわかりました。
特に、匿名加工情報と、仮名加工情報を勘違いしないよう知識は正しく覚えておきましょう。
また、故意であっても、故意でなくても、個人情報保護法を違反をしてしまった場合は、厳しい罰則があります。
個人情報には細心の注意を払って普段の業務に活用していきましょう。
また、個人情報保護法の改正に伴い企業は自社のプライバシーポリシーや規定を変更するなどの対応が必要となってきます。
どう対応すればいいのか悩んでいる方に向けて、対応すべきポイントをまとめた資料を作成しておりますのでぜひ無料でダウンロードして参考にしてくだされば幸いです。
