近年、IT化が爆発的に進み業界が伸び続けている現代、今や個人情報の流出は会社を傾けかねないほど重要な問題です。
「個人情報の保護」の意識も高まりつつあります。ですが、セキュリティ対策をしようにも、個人情報の取扱いに困っている人も多いのではないでしょうか。
そもそも「個人情報」と漠然と聞いても、イマイチどんな情報かを理解している人は少ないと思います。
そこで今回は、個人情報の種類と注意点について、わかりやすく解説します。 セキュリティ対策の第一歩として、ぜひ参考にしてみてください。
また、個人情報保護法の改正に伴い企業が対応すべきポイントをまとめた資料を無料で配布しております。こちらからダウンロードしていただけますので、ぜひご活用ください。
個人情報の定義をふりかえる
まず、そもそも「個人情報」とはどんな情報をさすのかおさらいしてみましょう。
法律には「個人情報保護法第二条」には以下のような記載があります。
第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
個人情報の保護に関する法律より
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二 個人識別符号が含まれるもの
「個人情報」とは、”生存する”個人に関する情報で、その情報に含まれる氏名や生年月日などによって特定の個人を識別できる情報を指します。
氏名や生年月日以外にも、
- 連絡先(住所・電話番号・メールアドレス等)
- 会社での役職
などの情報も個人情報に該当します。
もっと意外なところでは、本人と特定できる映像と音声、履歴書などに記載された情報も個人情報に分類されるので、イメージよりも範囲が広いのがわかります。
個人情報の種類とは
個人情報は5つに分けられます。
- 個人データ
- 個人情報の取り扱い
- 要配慮個人情報
- 匿名加工情報
- 仮名加工情報
聞きなれない単語が多くあるかと思いますが1つずつ解説していきます。
個人データ
「個人データ」とは、個人情報の「データベース等」を構成する個人情報をいいます。
具体的には、個人情報を「あいうえお順」「会員登録が早い順」などと言った、一定の規則で整理・分類し、特定の個人情報を容易に検索できるように順番に並べてあれば、個人データベース等に分類されます。
この個人データベース等を構成している「個人情報」が「個人データ」です。
個人情報の取り扱い
個人情報の取り扱いに関し、事業者は以下の事項を守らなければなりません。
取得・利用
利用目的を特定し、本人に通知や公表する必要があり、利用目的の範囲内でのみ利用することを守る必要があります。
取得した個人情報の取扱いを、第三者に委託する場合には個人情報の取り扱いを正しくできるように指導・管理をして適切に取り扱います。
保管
情報漏洩が生じないように鍵付きの金庫やロッカーなどに保管し、委託者等の安全管理を徹底する必要があります。
人為的ミスの他にも、内部に悪意を持って情報を盗んでしまう事件は過去にも何件かあります。 その原因は「保管が正しくできていなかった」に尽きるでしょう。
提供
なにか事情があり、第三者に個人情報を提供する際には、原則として事前に本人の同意を得る必要があります。
同意なしに個人情報を第三者に提供してしまうと重大な問題となってしまいます。
開示請求等への対応
個人情報は個人情報保護法により、本人から開示請求があった際、無視せず対応しなくてはいけません。
「自分に関するどんな情報が、どのように保管されているか確認したい」「自分の個人情報が間違っていないか確認したい」「誰かに偽造、改ざんされていないか調べたい」といった場合に利用可能です。
要配慮個人情報
個人情報保護法は、「個人情報」のうち一部の情報を「要配慮個人情報」と定めています。
その理由は、不当な差別や偏見を生じさせるような可能性のある情報(人種、信条、社会的身分、病歴、前科、犯罪被害情報、身体・知的・精神障がい、健康診断結果などなど)が要配慮個人情報に指定されています。
「個人情報」の中でも取り扱いに配慮すべきとして、要配慮情報の取得には、原則として事前に本人の同意を得る必要があると定められています。
匿名加工情報
また、個人情報保護法は、特定の個人を識別することができないように個人情報を加工した情報を「匿名加工情報」と定義し、特定された利用目的外での利用や第三者への提供ができると定めています。
例えば、ICカードから電車によく乗る時間帯などを事業者間で共有することにより、業務の効率化や改札などといった機材の増設など、新たなサービスに生かされたり、医療情報を共有して新たな薬の発展などに活用されます。
仮名加工情報
令和2年改正個人情報保護法から新設された個人情報の種類です。
仮名加工情報とは、他の情報と照合しない限り、特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいいます。
匿名加工情報とは異なり、他の情報と照合することによって、特定の個人を識別可能な情報です。
「ID、氏名、年齢、性別」などが含まれる個人情報のうち、氏名を削除したりイニシャルに入れ替えるなどの加工によって得られる情報が、「仮名加工情報」です。
この仮名加工情報は、匿名加工情報より簡単に作成することができるぶん利用がしやすいというメリットがあります。
また、制限なく利用目的の変更が可能で、情報が漏洩した場合の報告義務もないなど、使いやすい情報と言えます。
各個人情報の種類ごとに注意すべき点
個人情報の種類について解説しました。
聞きなれない単語が多いですが、説明を聞いてみるとなんとなくイメージがつかめたのではないでしょうか。
では次に、各種類ごとに注意すべき点を紹介します。
個人データ
個人データに該当するものと該当しないものの境界が分かりづらく間違いやすいです。
例えば、個人情報データベースをプリントアウトした帳票等に印字されている個人情報は、「個人データ」に該当すると考えられます。
他方、個人情報データベース等を構成する前の段階の、入力用の帳票等に記載されている個人情報は、「個人データ」には該当しません。
個人情報の取り扱い
個人情報を取得、利用する時には以下のルールがあります。
利用目的を本人に通知
個人情報を取得した場合は、あらかじめ利用目的を公表している場合や、法令に基づく命令などを除き、あらかじめお客様の同意を得ることなく第三者に提供すること、目的外利用をしてはいけないというルールが決められているので、確実に遵守しましょう。
管理を徹底すること
もし個人情報を流出した際、そこら辺の机にそのまま書類が置いてあった状態だったとしたら、情報の管理が杜撰であることが指摘されるでしょう。
誰がどこで見ているかわかりませんし、情報漏洩はどこから起きるかわかりません。
管理体制はしっかりと整えておきましょう。
第三者に渡す際は本人の同意が必要
繰り返しになりますが、個人情報を第三者に渡すには本人の同意が必要です。
本人の許可なしに第三者に情報を提供してしまうと法律違反となり、2年以内の懲役もしくは100万円以下の罰金を課せられてしまいます。
本人から個人情報の開示を求められたら対応する
繰り返しになりますが、個人情報の開示請求の場合、請求した本人に関する情報は、原則開示する必要があります。
また、本人からの請求に応じて、個人情報を開示、訂正、利用停止等をすることも必ず実施しなくてはなりません。
要配慮個人情報
個人情報のうち、差別や偏見に繋がりかねず慎重な取り扱いが求められる項目を「要配慮個人情報」と定義し、本人の明示的な同意を得ずに取得したり第三者に提供することが禁じられています。
また、国籍や本籍地は、単独では差別を受ける情報とはみなされず、要配慮個人情報に該当しないとされています。
匿名加工情報
特定の個人を割り出せないように一部のデータを置き換えるなどして、復元できない匿名加工情報については、本人の同意を得ずに第三者提供などの利用ができることが定められています。
仮名加工情報は、第三者への提供は制限されていますので、間違えないようにしましょう。
仮名加工情報
仮名加工情報作成する際、利用目的をできる限り特定し、公表する必要があります。
また、本人の特定が可能なため、内部での分析に限るなど第三者提供も制限されており、完全な匿名性を保っている匿名加工情報に比べて利用できる範囲は制限されています。
まとめ
個人情報の種類について解説しました。
個人情報の種類は思ったより多く、似た単語があったりとややこしいと感じたかもしれません。
ですが、この単語を正しく理解することが、セキュリティ対策の第一歩となります。
勘違いで重大な問題を起こしてしまった!
そんな事態を避けるためにも、今一度正しく個人情報を扱えているか確認しましょう。
また、個人情報保護法の改正に伴い企業は自社のプライバシーポリシーや規定を変更するなどの対応が必要となってきます。
どう対応すればいいのか悩んでいる方に向けて、対応すべきポイントをまとめた資料を作成しております。こちらから無料でダウンロードしてご活用ください。
