個人情報の保護にどの企業もシビアになっております。ユーザ目線としては勝手に使われては困るのでありがたいのですが、業務進める上で個人情報保護の管理についての監査や対応方法等を考えるのは大変です。
一回個人情報保護法とは、どのようなルールで実務上気を付けるべきか整理してみました。
- 個人情報の定義
- 要配慮個人情報(更に配慮すべき情報)
- 改正個人情報保護法の概要(対象企業の拡大と4つの原則)
- ①取得・利用(目的を通知し、また達成したら消す)
- ②保管(委託先も厳重管理)
- ③提供(第三者に提供する場合は同意が必要)
- ④開示請求への対応(求められたら誠実に対応)
- 匿名加工情報の利用可能に(円滑な技術発展にむけて)
- 漏えい時の公表義務化
- まとめ
- 参考
個人情報の定義
生存する個人が対象であり、下記の2つの情報は該当する。
①氏名や生年月日またはその他の記述等
ほかの情報と照合するもので特定の個人を特定できる情報を含む
②個人個別符号
身体の一部を電子情報に変換したもの(DNA・歩行パターン・指紋・声紋など)
対象者ごとに振られた番号(マイナンバー・免許証番号など)
要配慮個人情報(更に配慮すべき情報)
人種や犯罪歴や犯罪被害歴・健康診断結果・病歴等、不当な差別をおこしやすい情報に関しては更に厳しいルールがある。
改正個人情報保護法の概要(対象企業の拡大と4つの原則)
従来は、5000名以下の個人情報を扱う企業は、本法律の対象外だったが、改正された法律では1件でも扱う以上対象となる。 基本的に4つの原則がある。
①取得・利用(目的を通知し、また達成したら消す)
利用目的を通知し、その目的内でのみ取得した個人情報を使う事。
また、目的が変更となった場合は必ずその変更目的での個人情報の利用について同意を得る事。
※本人から口頭や書面で共有されたものは同意を得られたとみなせる。
利用目的を達成した時に、合理的な期間が経過したら情報を削除する事。
②保管(委託先も厳重管理)
漏洩が生じないように厳密に管理する事。
例、従業員教育、施錠される部屋での管理、セキュリティ対策、アクセス権の制限等
また、 委託先にも厳重に管理する事。発注側には監督責任がある。
③提供(第三者に提供する場合は同意が必要)
第三者に提供する旨について、本人の同意が必要。
提供した側・受ける側ともにルールがあり。(3年保存)
(提供した場合) 「いつ・誰の・どんな情報を・誰に」提供したか?
(提供を受けた場合)「いつ・誰の・どんな情報を・誰から」提供されたか?
「相手方の取得経緯」
※外国の第三者の場合、更にルール有
④開示請求への対応(求められたら誠実に対応)
開示請求には誠実に対応し、苦情等あれば迅速に対応する事。
匿名加工情報の利用可能に(円滑な技術発展にむけて)
匿名加工情報は、一定のルールの下で、本人同意を得ることなく、事業者間におけるデータ取引やデータ連携を含むデータの利活用が可能。ただし、匿名加工情報の作り方や厳守事項などの厳密なルールがある。
(個人が特定できないようにマスクする事・識別しようと解析しない など)
漏えい時の公表義務化
かつては少件数なら義務はなかったようですが、改正されてからは規模によらず発生した時点で報告義務がある。また、再発防止策等も考え発表する。
まとめ
個人情報保護法の義務もあって、PCやUSB等の記録媒体も厳しく管理されるわけです。(※勿論、営業・技術・機密情報も含まれているので当然ですが)
厳格なルールが求められおり、容易に個人情報を使う事ができなっており、戦略的に使いかたを考えて同意をえるようにする事が非常に大事です。また、これは日本以上に厳しいと言われているEUのルールもあります。
私自身もそうですが、部下や上司等まわりで個人情報を扱う必要があるなら、法務にしっかり相談した方がいい旨、上記の事伝えながら案件遂行していきたいと思います。
※法務もわからなそうで、個人情報取らないで下さいと言われる方向もありそう。
参考
はじめての個人情報保護法~シンプルレッスン~
(平成29年3月個人情報保護委員会事務局)
https://www.city.kami.lg.jp/uploaded/attachment/14846.pdf
