個人情報保護法は、個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しながら、個人の権利利益を保護することを目的としています。
皆さん、こんにちは。
業務改善を行う業務コンサルタント、高橋です。
昨今、マイナンバー制度が開始されていることもありマイナンバーの取り扱いに対することばかりに注目が集まっていますが、マイナンバーの取り扱いがない場合においても個人情報は非常に大切なものです。
そこで、『個人情報保護とは』を改めて確認しておきましょう。
個人情報・個人データ・保有個人データ
『個人情報』とは、『生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別できるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)』をいいます。
また、個人情報をデータベース化した場合、そのデータベースを構成する個人情報を、特に『個人データ』といい、そのうち、事業者が開示等の権限を有し6か月以上にわたって保有する個人情報を、特に『保有個人データ』といいます。
個人情報取扱事業者
『個人情報取扱事業者』とは、個人情報データベース等(紙媒体、電子媒体を問わず、特定の個人情報を検索できるように体系的に構成したもの)を事業活動に利用している者のことをいい、個人情報保護法に定める各種義務が課されています。
(※)改正前の個人情報保護法では、事業活動に利用している個人情報が5,000人分以下の事業者は、個人情報取扱事業者に該当せず、義務の対象から除外されています。しかし、インターネットの急速な普及等により、取り扱う個人情報に係る個人の数が少なくても個人の権利利益を侵害するリスクが高まっていることから、改正後は、5,000人分以下の個人情報を取り扱う事業者についても個人情報保護法の義務の対象となるため、注意が必要です。
上記の赤字で記載した部分に注目してください。
昨年の9月、個人情報取扱事業者の5,000人要件が撤廃される法案が成立しました。まだ施行はされていませんが、成立から2年以内には施行されますので今後は人数に関係なく義務の対象となります。
利用目的の特定・目的外利用の禁止
個人情報を取り扱うに当たっては、利用目的をできるだけ特定しなければなりません。また、原則として、あらかじめ本人の同意を得ずに、その利用目的の達成に必要な範囲を超えて個人情報を取り扱うことは禁止されています。
適正な取得・取得時の利用目的の通知等
偽りその他不正な手段によって個人情報を取得することは禁止されています。また、個人情報の取得に当たっては、取得前にあらかじめ利用目的を公表し、又は取得後に速やかに本人に利用目的を通知又は公表しなければなりません。
安全管理措置・従業者や委託先の監督
個人データの漏えいや滅失を防ぐため、必要かつ適切な保護措置を講じなければなりません。また安全にデータを管理するため、従業者や委託先に対し必要かつ適切な監督を行わなければなりません。
第三者提供の制限
原則として、あらかじめ本人の同意を得ずに本人以外の者に個人データを提供することは禁止されています。ただし、委託、事業承継及び共同利用に該当する場合は、第三者提供に該当しないこととされています。
開示、訂正、利用停止等の求め
本人からの求めに応じて、保有個人データを開示し、内容に誤りのあるときは訂正等を行い、法律上の義務に違反する取扱い(目的外利用(法16条)、不適正な取得(法17条)、本人同意のない第三者提供(法23条1項))については利用停止等を行わなければなりません。
このように、ITの進化や環境の変化などとともに個人情報保護はより厳格に取り扱うべきものとなっています。
マイナンバーの取り扱いに限らず、個人情報は全てにおいて細心の注意を払って取り扱わなければいけません。