事業活動を行ううえでデータの利活用はとても重要なことです。しかし、データに個人情報が含まれる場合は、当該個人の権利保護にも配慮しなければなりません。

「個人情報保護法」でも個人情報の取り扱いに関して一定の規制がかけられており、企業の方は同法の内容を知っている必要があります。この記事では、個人情報保護法の概要、そして改正法に対応する方法について解説していきます。

 

個人情報保護法とは

「個人情報保護法」とは、その名の通り、個人情報を守るために設けられた法律です。個人情報を扱う企業や行政機関が遵守すべき義務などを定めています。

しかし、同法は「保護」だけではなく、「データの有効活用」にも着目しています。個人情報の効果的な活用が新しい産業の創出や経済の活性化を生み、結果として国民生活を豊かにすると期待しているのです。

そこで単に規制をかけるだけではなく、さまざまな情報区分を設け、一定の安全性を確保しつつもデータ利活用の妨げとなり過ぎないように配慮しています。

また、同法は改正が頻繁に行われていることも特徴のひとつといえます。例えば、2022年4月から施行された改正法のポイントをまとめると以下のようになります。

・開示請求など、個人の権利が拡充された
・企業がする通知などの義務が追加された
・仮名加工情報と個人関連情報の情報区分が新たに設けられた
・法定刑が重くなった

個人情報保護法で知っておくべき用語

企業の方は、個人情報保護法の細かな規定を把握していく前に、まずは用語を理解しておく必要があります。同法において基本となる用語を下表にまとめましたので参照してください。

用語	意味
個人情報	1：「特定の個人が識別できる情報」のこと ※当該個人が生存している必要がある 例）氏名や生年月日などが含まれる情報、誰の音声なのか識別が可能な録音データ、本人の判断が可能な程度に鮮明な顔画像など 2：「個人識別符号を含む情報」のこと 例）マイナンバーやパスポートの番号、指紋やDNAといった身体の特徴を示すデータなど
個人データ	「個人情報データベース等を構成する個人情報」のこと ※個人情報データベース等とは、個人情報が検索できるよう体系的に構成された情報の集合物 ※必ずしもコンピュータによる管理である必要はなく、索引が容易な水準にあれば書面でも個人情報データベース等にあたる 例）Excelなどで保存・管理されている個人情報など
要配慮個人情報	「本人に対する不当な差別や偏見、その他不利益が生じないよう特に配慮が必要として、政令が定める記述等を含む個人情報」のこと 例）人種・病歴・前科・身体障害などの有無などの情報、健康診断結果なども
匿名加工情報	「特定の個人が識別できないよう、個人情報を加工した情報」のこと 例）交通系ICカードから得た移動履歴から氏名や住所などの記録を抜いた情報、購買履歴のうち氏名や生年月日などの記録を抜いた情報 ※いずれも個人の識別ができなくなっていることが要件

2022年施行の改正法で新設された用語

2022年4月からは、上表にある情報区分に加え、「仮名加工情報」「個人関連情報」も追加されています。新設された2つの用語についても理解しておきましょう。

仮名加工情報

「ほかの情報と照らし合わせなければ、特定個人が識別できないように加工された、個人に関する情報」のこと。ほかの情報との照合をもっても識別ができない点、「匿名加工情報」と異なる。
例）ID・氏名・年齢・性別・生年月日・利用履歴といったアカウント情報がある場合において、氏名のみを削除した情報など

個⼈関連情報

「個人情報や仮名加工情報、匿名加工情報のいずれにも該当しない情報」のこと。
例）Cookieなどから取得された履歴など

仮名加工情報に関しては、社内のデータ解析を行いやすくするという利点があります。匿名加工情報より作成の手間が少なく、利用目的の変更なども容易です。第三者提供などが制限される反面、内部での取り扱いに関しては規律が緩和されているのです。

個人関連情報に関しては、該当するだけで規制がかかるわけではありません。第三者提供をする場面で一定の規制がかけられるにとどまります。

個人情報保護教育とは？改定で必要性が増した社員教育のポイントや方法を解説

個人情報保護法に基づいて企業が対応すべきポイント

それでは、個人情報保護法に基づいて企業がとるべき対応の内容に入っていきましょう。

個人情報の利用目的の明確化

同法では、個人情報の取得にあたってその利用目的を定めることを求めています。多くの場合、プライバシーポリシーにて「利用目的」などと題した条項を設け、具体的に目的を記載しています。企業のWebサイトトップページからワンクリックでアクセスできるようにプライバシーポリシーのページを配置しておき、本人がすぐに利用目的などを確認できるようにしておきましょう。

また、利用目的はできるだけ詳細に記載しなければなりません。「本人が、個人情報をどのように利用されるのかがイメージできるか」がひとつの指標と捉えるとよいでしょう。

個人情報の安全管理

企業は、個人情報に関する安全管理の措置をとらなければなりません。

改正法の影響で、2022年4月からは、安全管理に向けて講じた措置について公表することも求められています。利用目的などを記すのと併せて、プライバシーポリシーに記載をしておきましょう。

また、外国で個人データを取り扱う場合には、当該外国で適用される制度に配慮のうえ、安全管理措置を講じなくてはなりません。

さらに、匿名加工情報に関してはその加工方法などの情報が漏れないように対策を打つことも求められています（こちらは努力義務）。

第三者提供をするなら同意を得る

個人情報は、取得して自社で管理しているからといって、自由に提供ができるわけではありません。原則として第三者提供をするには本人の同意が必要です。

ただし例外として、人の生命や財産を保護するために必要があるケースや、オプトアウトによる第三者提供であれば許されます。オプトアウトによる第三者提供とは、第三者へ提供することを利用目的に定めており、提供するデータの項目、提供方法を公表し、個人情報保護委員会に届出をしている場合における第三者提供のことです。このとき企業は、本人の求めに応じて提供の停止に応じるなどの対応も必要となります。

また、個人関連情報となるCookieに関しても注意が必要です。Cookieなどのデータを提供し、提供先企業が持つIDに紐づけて広告配信を行うといったケースでは、一定の規制がかかります。少し複雑ですが、提供先企業は本人から同意を得て、提供元企業は「提供先が、本人から同意を得ている」ことの確認が必要となります。（※提供元企業が代行で同意を得てもよい）

開示請求に応じる

企業の方は、本人からの開示請求に応じること、本人が開示請求をできるように体制を整えることが必要です。

特に2022年4月から適用されている改正法の内容で押さえておくべきは以下の点です。

・6カ月以内に消去するデータに関しても開示請求の対象
・個人データの第三者提供記録も開示請求の対象
・本人の指示に応じて電子的手段による開示手続きに応じること

個人情報保護法に違反するリスク

個人情報保護法違反には、刑罰を科されるリスクがあります。違反の内容に応じて法定刑が異なります。

例えば、個人情報保護委員会からの命令に背いた場合には、「1年以下の懲役または100万円以下の罰金（企業に対しては1億円以下の罰金）」、個人情報データベース等の不正流出に対しては「1年以下の懲役または50万円以下の罰金（企業には1億円以下）」と定められています。

またこうしたペナルティとは別に、同法違反の事実が世間に広まることで企業の信用を失ってしまうというリスクもあります。

個人情報保護教育とは？改定で必要性が増した社員教育のポイントや方法を解説

情報セキュリティやコンプライアンスの研修におすすめのツール

個人情報の保護は、世界的なトレンドでもあり、国内における関心も高まってきています。そのため企業による情報漏えいの防止がより重要なものになっており、いかに安全管理措置を講ずるか、いかに社員の意識を高めるかが今後の企業活動におけるポイントとなります。

この点、「playse.ラーニング」なら効率的に情報セキュリティやコンプライアンスに関する研修を受けることができます。社員の意識向上、そして知識の定着に役立ち、より安全な企業活動が実現されます。

詳しいサービス資料のダウンロード、社員研修のオンライン化やeラーニングシステムの活用に関するご相談など、お気軽にお問い合わせください。