コンプライアンス研修 (2) 個人情報と情報漏えい

個人情報保護法とは?

(目的)
第一条 この法律は、デジタル社会の進展に伴い個人情報の利用が著しく拡大していることに鑑み、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにし、個人情報を取り扱う事業者及び行政機関等についてこれらの特性に応じて遵守すべき義務等を定めるとともに、個人情報保護委員会を設置することにより、行政機関等の事務及び事業の適正かつ円滑な運営を図り、並びに個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。

ポイント!
個人情報を活用することで 行政や医療 ビジネスなど様々な分野においてサービスの向上や業務の効率化ができる
個人情報の有用性に配慮しながら個人の権利や利益を守ることを目的としたルール=個人情報保護法

対象~ 個人情報取扱事業者

→「個人情報データベースなどを事業の用に供している者」(個人情報保護法第2条第3項)
※個人情報を扱うほとんどの事業者等

個人情報取扱事業者は、「個人データを安全に管理し、従業員や委託先も監督しなければならない」「本人の同意を得ずに第三者に個人データを提供してはならない」など個人情報保護法で規定された様々な義務が生じ、それらに違反した場合は罰則を科せられる。

そもそも個人情報とは?

個人情報保護法において「個人情報」とは生存する個人に関する情報で、氏名、生年月日、住所、顔写真などで 特定の個人を識別できる情報のこと。

メールアドレスは、ユーザー名やドメイン名から特定の個人を識別することができる場合は個人情報に該当。

要配慮個人情報には特に配慮が必要である。
要配慮個人情報とは・・・
公開されることで本人が不当な差別や偏見などの不利益を被らないようにその取扱いに特に配慮すべき情報のこと。
例)病歴、健康診断結果など

「個人識別符号」…番号,記号,符号などで,その情報単体から特定の個人を識別できる情報で,政令・規則で定められたもの
ex,①身体の一部の特長を電子処理のために変換した符号
顔認証データ,指紋認証データ,声紋,手指の静脈等
②個人に割り当てられた公的番号
免許証番号,パスポート番号等

「個人情報データベース等」、「個人データ」、「保有個人データ」等

(1)個人情報データベース等

「個人情報データベース等」とは、特定の個人情報を検索することができるように体系的に構成された、個人情報を含む情報の集合物をいう。コンピュータを用いて検索できるように体系的に構成したものや、紙面で処理した個人情報を一定の規則に従って整理・分類し、簡単に検索できるように目次や索引を付けているものが該当。例えば、五十音順で整理された名簿などがこれに当たる。

(2)個人データ

「個人情報データベース等」を構成する個人情報を「個人データ」という。例えば、名簿を構成する氏名・誕生日・住所・電話番号などの個人情報がこれに当たる。

(3)保有個人データ

個人データのうち、個人情報取扱事業者が本人から請求される開示・訂正・削除などに応じることができる権限を有するものを「保有個人データ」という。

「個人情報保護法」をわかりやすく解説 個人情報の取扱いルールとは?より抜粋
出典元:政府広報オンライン 令和4年8月5日

個人情報の取り扱いの基本ルール

個人情報保護法」をわかりやすく解説 個人情報の取扱いルールとは?より
出典元:政府広報オンライン 令和4年8月5日

(1)個人情報を取得・利用するとき

•どのような目的で個人情報を利用するのか具体的に特定する必要有。
•個人情報の利用目的は、あらかじめホームページ等により公表するか、本人に知らせる。
•違法又は不当な行為を助長し、又は誘発するおそれがある方法により利用は不可。
•「要配慮個人情報」を取得する時はあらかじめ本人の同意が必要。
•取得した個人情報は、利用目的の範囲で利用する。
•取得している個人情報を、特定した利用目的の範囲外のことに利用する場合、あらかじめ本人の同意が必要。

(2)個人データを保管・管理するとき

•個人データの漏えい等が生じないように、安全に管理するために必要な措置を講じなければならない。
(例) 紙の場合 :鍵のかかるキャビネットに保管
PCの場合:ファイルにパスワードを設定
その他  :セキュリティ対策ソフトを導入
•従業者や委託先においても、個人データの安全管理が図られるよう、必要かつ適切な監督を実施。
•個人データの漏えい等が発生し、個人の権利利益を害するおそれが大きい場合は、個人情報保護委員会に報告し、本人に通知する義務がある。

(3)個人データを第三者に提供するとき

•原則としてあらかじめ本人の同意が必要。ただし、本人の同意を得なくても、例外的に個人データを第三者に提供できる場合あり。
(例) 法令に基づく場合(警察、裁判所、税務署等からの照会)、人の生命・身体・財産の保護に必要で本人の同意取得が困難な場合、公衆衛生・児童の健全育成に必要で本人の同意取得が困難な場合、学術研究目的など

•外国にある第三者に提供する際には、次のいずれかを満たす必要あり。
[1] あらかじめ本人の同意を得る
同意を得る際、その外国の個人情報保護制度や提供先が講じる保護措置などの情報を本人に提供する必要あり。
[2] 外国にある第三者が適切な体制を整備している
提供先における個人データの取扱い実施状況等の定期的な確認及び問題が生じた場合の対応の実施。更には本人の求めに応じて移転先における個人情報保護委員会が定める基準に適合する体制の整備の方法に関する情報などを提供する必要あり。
[3] 外国にある第三者が個人情報保護委員会が認めた国又は地域に所在
第三者に個人データを提供した、または提供を受けた場合は「いつ・誰の・どんな情報を・誰から」提供されたかを確認・記録する必要があり。記録の保存期間は原則3年。

(4-1)保有個人データの開示等を求められたとき

•本人からの請求があった場合は、保有個人データの開示、訂正、利用停止などに対応する必要あり。
•個人情報の取扱いに対する苦情を受けたときは、適切かつ迅速に対処する必要あり。

(4-2)保有個人データの開示等を求められたとき

•以下の内容について、ウェブサイトで公表するなど本人が知り得る状態にしておかねばならない。
[1]個人情報取扱事業者の氏名又は名称、住所
[2]全ての保有個人データの利用目的
[3]保有個人データの利用目的の通知又は開示などの請求手続
[4]保有個人データの安全管理のために講じた措置
[5]保有個人データの取扱いに関する苦情の申出先
•第三者に個人データを提供した記録も開示請求の対象となる。
•保有個人データの開示方法について、電子データなどによる提供を含め、本人が請求した方法で対応する必要あり。

令和5年4月施行の改正個人情報保護法のポイント

① これまで別々に決められていた民間、国、地方などのルールが集約・一本化されました。これにより個人情報保護に関する全国的な共通ルールが定められました。
② これまで個人情報の漏えいは、個人情報保護委員会への報告は努力義務でしたが、改正法では,これが義務化されました。
これにより、事態の把握がしやすくなり、また個人情報の利用停止や消去などを請求しやすくなります。

漏えい等報告の 報告・対応

漏えい報告をすべき類型4つと事例
■要配慮個人情報の漏えい等
例)健康診断結果
■財産的被害のおそれがある漏えい等
例)クレジットカード番号 送金用IDとパスワードの両方
■不正の目的によるおそれがある漏えい等
例)不正アクセスにより個人データが漏えい
■1000件を超える漏えい等

コンプライアンス研修 (1) 総論

コンプライアンス研修 (3) ハラスメント

投稿者プロフィール

山田 訓敬
山田 訓敬弁護士 
弁護士法人山田総合法律事務所 代表弁護士
平成8年 最高裁判所司法研修所入所(50期)
平成10年 弁護士登録
福岡県弁護士会所属