2022年4月から改正個人情報保護法が全面施行され、個人情報を持つ本人の権利保護が一層強化されました。特に個人情報保護委員会の措置命令違反について、法人などに対して30万円以下の罰金刑とされていましたが、改正では1億円以下の罰金刑が科されると規定されています(2020年12月施行)。こうしたペナルティを回避するためにも、個人情報保護法についての理解を深めることが大切です。本稿では、個人情報保護法の基礎知識とともに、保護の対象について解説していきます。
個人情報保護法とは
「個人情報の保護に関する法律」(以下「個人情報保護法」)とは、個人情報の有用性に配慮しながら、個人の権利や利益を守ることを目的とする法律です。情報化の急速な進展により、個人の権利利益の侵害の危険性が高じたことや、国際的な法制定の動向を背景に2003年5月に公布され、翌2005年4月に全面施行されました。
その後、デジタル技術の進展や経済・社会活動のグローバル化に伴い、これまで3度の大きな改正が行われています。
個人情報保護法では、前述の目的を実現するために個人情報を取り扱う事業者が遵守しなければならない義務を定めています。個人情報を取り扱う事業者に対して遵守義務を課し、それによって個人情報の保護と活用を図るという2つの目的を達成するという仕組みになっています。
個人情報保護の対象情報とは
個人情報保護法では、複数の用語が使用されています。そもそも「個人情報」とは何を意味するのでしょうか。
どのような情報が個人情報になるのか
個人情報とは、
この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二 個人識別符号が含まれるもの
出典:「個人情報保護法」e-gov法令検索
例えば、生年月日だけでは特定の個人を特定することはできません。しかし、氏名を組み合わせれば特定の個人を識別できます。
パソコンやモバイルのメールアドレスについては、単体でもユーザー名やドメイン名から特定の個人を識別できる場合があります。カード会社・氏名などと結びついているクレジットカード番号や鮮明な映像情報も同様です。法2条で定める定義に該当すれば、個人情報保護法における個人情報ということになります。
法律では、「個人情報データベース等」「個人データ」「保有個人データ」などの用語も使用されており、区別しておく必要があるでしょう。
- 個人情報データベース等:特定の個人情報を検索できるように体系的に構成された、個人情報を含む情報の集合物とされている。50音順で編集された顧客名簿などが該当
- 個人データ:個人情報データベース等を構成する個人情報のこと。顧客名簿に記載された氏名、住所、電話番号、誕生日などの個人情報が該当
- 保有個人データ:個人情報取扱事業者が本人から請求されて開示・訂正・削除などに応じることができる権限を持つ個人データ
なお、個人情報取扱事業者とは、個人情報をデータベース化し、事業に利用している者を意味します。制定当初は取り扱う個人情報の数が5,000人分以下の小規模事業者は対象外でしたが、法改正によって現在では、ほぼすべての事業者が適用されています。
企業が個人情報を扱う上で押さえるべき4つのポイント
企業が個人情報を扱う上で押さえるべき4つのポイントは以下の通りです。
①取得・利用に関するルール
- 利用目的を特定し、その範囲内で利用すること
- 利用目的を通知または公表すること
- 違法または不当な行為を助長し、または誘発するおそれのある方法では利用しないこと
- 偽りその他、不正の手段によって個人情報を取得しないこと
②保管・管理に関するルール
- データ内容を正確かつ最新の内容に保つとともに利用が不要になったときは消去するように努めること
- 漏えいが生じないように安全管理すること
- 従業員、委託先に対しても安全管理を徹底すること
- 個人情報保護委員会規則で定める漏えいなどが生じたときには、委員会に対して報告を行うとともに本人への通知を行うこと
③第三者提供に関するルール
- 第三者に提供するときはあらかじめ本人から同意を得ること
- 外国にいる第三者に提供するときは、参考情報を提供した上で情報提供について同意を得ること
- 第三者に提供したとき、第三者から提供を受けたときは一定事項を記録すること
④公示事項・開示請求への対応に関するルール
- 事業者の名称、利用目的、開示などの手続きについて公表すること
- 本人から開示などの請求があったときは対応すること
- 苦情には適切かつ迅速に対応すること
個人情報保護教育とは?改定で必要性が増した社員教育のポイントや方法を解説
個人情報漏えいのリスクと対処法
個人情報が漏えいした場合、個人情報保護法違反であれば、罰則が適用されることになります。
まず、個人情報保護委員会が、個人情報取扱事業者等に対し、是正勧告することができます(法145条1項)。そして、勧告を受けたにもかかわらず、正当な理由がなく勧告にかかわる措置をとらなかった場合、委員会は勧告にかかわる措置をとるべきことを命令することができます。
委員会が設定した期間中に措置が講じられない場合は、公表の対象となるほか、個人の場合は1年以下の懲役または100万円以下の罰金、法人の場合は1億円以下の罰金刑が科されることがあります(法173条、法179条1項1号)。
こうした法定刑だけでなく、民事上の損害賠償請求をされたり、企業として社会的信用を失ったりしてしまう可能性もあります。リスクを回避するためには、しっかりした対処法を講じておく必要があります。
具体的な安全管理措置としては、次のような対策が挙げられます。
- 組織体制の整備
- 規程類の整備
- 個人データ取扱状況の把握
- 電子媒体の取扱管理
- セキュリティ対策
- 個人情報保護法研修
個人情報保護研修とは?実施内容と押さえておきたいポイントを解説
個人情報保護法研修におすすめのツール
ヒューマンエラーに対応するには、全従業員が常日頃から個人情報保護に対し、高い意識を持っていることが重要になります。その意味では、安全管理措置のうち、個人情報保護研修は重要な役割を果たすといえるでしょう。
コストを抑えつつ質の高い個人情報保護法研修をオンラインで行うなら、「manebi eラーニング」がおすすめです。
「manebi eラーニング」は、個人情報保護法関連のコンテンツを含む約5,000レッスンが見放題のeラーニングシステムです。スマートフォンやパソコンからいつでもどこでも学習でき、テスト・アンケート機能付きなので、理解度チェックも可能です。
また、搭載コンテンツだけでなく自社教材のアップロードも可能。搭載コンテンツと自社教材を自由に組み合わせて、より自社に合った研修を実施することができます。
詳しいサービス資料やオンライン研修、eラーニングシステムの活用に関するご相談など、お気軽にお問い合わせください。
