「個人情報」
この言葉は聞きなれていますが、それはどんな情報ですか?と聞かれると困る人も多いのではないでしょうか。
社内でセキュリティを担当しているのであれば、「知らないうちに個人情報を流出してしまった」という事態はあってはいけません。
認識のズレがないように、正しい知識を身につけましょう。
今回は、
「個人情報の範囲を押さえられる」
「適切な個人情報に対する対応を実施できる」
「自社のセキュリティ強化に貢献できる」
そんなセキュリティ担当者になれるよう、個人情報の範囲を具体例を交えながら解説いたします。
また、個人情報保護法の改正に伴い企業が対応すべきポイントをまとめた資料を用意しましたのでぜひ無料でダウンロードしてくだされば幸いです。
改正法について徹底解説!企業がすべき対応が分かる!
個人情報の定義についておさらい
まず、そもそも「個人情報」とはどんな情報をさすのかおさらいしてみましょう。
法律には「個人情報保護法第二条」には以下のような記載があります。
第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
個人情報の保護に関する法律より
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二 個人識別符号が含まれるもの
端的に言えば、”生きている人”の個人に関する情報の中で、特定の個人だと識別できる情報を個人情報と言います。
個人情報の範囲とは?
では、個人情報はいったいどこまでを個人情報というのでしょうか。
その情報に含まれる氏名や生年月日などによって特定の個人を識別できる情報を指します。
氏名や生年月日以外にも、
- 連絡先(住所・電話番号・メールアドレス等)
- 会社での役職
などの情報も個人情報に該当します。
もっと意外なところでは、本人と特定できる映像と音声、履歴書などに記載された情報も個人情報に分類されるので、イメージよりも範囲が広いのがわかります。
反対に電話で話した内容や、防犯カメラの映像でも「特定の個人だと識別できない」場合は個人情報とはなりえません。
あくまで、その内容で「あの人だ!」と分からないようなものに個人情報は適用されないんです。
これが、個人情報の範囲で曖昧になりがちなポイントと言えるでしょう。
また、他にも個人情報の範囲に入らない情報は以下のようなものがあげられます。
- 企業の財務情報等、法人等の団体そのものに関する情報(団体情報)
- 統計情報(複数人の情報から共通要素に係る項目を抽出して同じ分類ごとに集計して得られる情報)
- ゲームのニックネーム、ID(プロストリーマーのような例を除く)
個人データ
個人データの定義は、以下のように記載されています。
第二条六項
個人情報の保護に関する法律より
この法律において「個人データ」とは、個人情報データベース等を構成する個人情報をいう。
つまり、個人情報を特定するために検索できるような構成にしたものを個人データと言います。
名前が似ているので、同じもの、もしくは全く違うものをイメージしたかもしれませんが、個人情報の中でも、データベースに登録して検索できるようにした個人情報のみを「個人データ」と呼ぶので、かなりピンポイントな表現と言えます。
個人情報の取り扱い
個人情報を取得する必要がある際には、以下のルールを守らなくてはいけません。
ルール違反をすると懲役や罰金などのペナルティがあります。
個人情報の取り扱いには細心の注意を払いましょう。
本人に個人情報の収集目的を伝える
企業が個人情報を利用するにあたっては、あらかじめ利用目的を本人に伝える、もしくはサイトに掲載しておく必要があります。
ただし、宅配便や出前の配送で利用するなど、個人情報を取得する際に利用目的が明らかであれば、逐一相手に伝える必要はありません。
取得した個人情報は安全に管理する
個人情報をパソコンで管理したり、名簿等にまとめた場合は、安全に管理する必要があります。
電子ファイルであればパスワードを設定したり、紙媒体であればロッカーなどの施錠できるところに保管をしましょう。
個人情報を他人に渡す際は、本人の同意を得る
個人情報を本人以外の第三者に渡す場合は、以下の特例以外では原則として本人の同意が必要です。
特例は以下の通りです。
- 法令に基づく場合
- 警察などによる本人紹介などが当てはまります。
- 人命に関わる場合
- 交通事故に巻き込まれた際、意識が無い中では同意を得るのは不可能なためです。
- 業務を委託する場合
- 宅配を依頼された際、その運送業者の下請けに住所と荷物を渡すケースです。
本人からの「個人情報の開示請求」には応じる
会社が保有している個人情報について”本人から”開示請求をされた際には、対応が必要です。
また、その個人情報の利用目的を問われた場合に、しっかりと答えられるようにしておきましょう。
平成29年5月30日の改正個人情報保護法の全面施行により、中小企業をはじめとするすべての事業者が個人情報保護法の適用対象となりました。
事業者には営利・非営利を問わず、個人情報をデータベース化して事業活動に利用していれば該当します。
このため、企業だけでなく、個人事業主・NPO法人なども個人情報保護法が適用されます。
「開示請求なんてされたことないから、多少ルールを破ってもウチは大丈夫」という甘い考えは一切通用しません。
正しい取り扱い方法を遵守しましょう。
要配慮個人情報
要配慮個人情報は、差別や偏見の被害を受ける可能性がある情報に配慮し、以下の内容の情報を第三者に提供には原則として本人の同意が必要な個人情報を指します。
この情報が、意図しないところで流出することで不利益が起きないように細心の注意を払いましょう。
病歴・障がい・遺伝子
身体や精神に障害がある場合、病歴や障害を理由として差別につながる可能性があるため、配慮が必要です。
また遺伝子(ハーフ)などの情報は、本人が開示しているケースが多いため、個人情報のイメージはあまりありませんが、外人という言葉は元々蔑称であり、配慮が必要な情報と言えます。
犯罪歴
過去に犯罪を犯してしまい服役を終えて社会復帰する際、就職の際に障がいとなりうる可能性があるためです。
匿名加工情報
「匿名加工情報」は、特定の個人を識別することが”できないように”個人情報を加工して、特定ができないようにした個人情報のことを指します。
後述する仮名加工情報はデータベースなどを参照すれば特定の人物を判別できる情報ではありますが、匿名加工情報の場合は特定する手段がなく、完全な匿名を維持した情報です。
その匿名性の高さから、第三者への情報提供が仮名加工情報よりもしやすく、新たな薬を作る際に役立てられています。
仮名加工情報
「仮名加工情報」は、データベースなどを参照すれば特定の人物を判別できるような加工を施した情報です。
加工が容易且つ、特定の人物だと判別する手段があるため、匿名加工情報よりも利便性が高いのが特徴ですが、第三者への提供等ができないなど、利用できる範囲に制限がかかっています。
守秘義務の対象になる個人情報の範囲とは?
「守秘義務」とは、職務上知ることとなった秘密を守る義務です。
また、法律上の守秘義務とは別に、当事者間の契約による守秘義務が発生する場合もあります。
個人情報保護法では「個人情報データベース等」上の「個人情報」のみを保護の対象とするのに対し、守秘義務は、職務上知ることとなった秘密の”全て”が保護の対象です。
したがって、個人情報保護法と守秘義務とでは、その保護の対象が異なり、守秘義務の方が対象となる範囲がより広く定められています。
まとめ
個人情報の範囲について解説しました。
とにかくなんでもかんでも個人情報として認められるわけではなく、「個人を特定できる」情報であることが限られます。
反対に「個人を特定できない情報」は映像や音声であっても個人情報としては認められません。
曖昧になりがちですが、正しく理解してより適切な個人情報の取り扱いを徹底していきましょう。
また、個人情報保護法の改正に伴い企業は自社のプライバシーポリシーや規定を変更するなどの対応が必要となってきます。
どう対応すればいいのか悩んでいる方に向けて、対応すべきポイントをまとめた資料を作成しておりますのでぜひ無料でダウンロードして参考にしてくだされば幸いです。
