2005年に制定された「個人情報保護法」。
ITの発達などにより、2017年に大きく改正されました。
まず大きな改正点としては「全ての会社が規制対象」になったことです。
かつての個人情報保護法では、扱っている個人情報の数が5,000人分以下の企業は規制対象外でした。
しかし改正後は、全ての企業が規制の対象に。
「うちの会社は大丈夫」などと思っていたら、個人情報保護法違反を犯しており、損害賠償や罰金を支払うことになった・・・などという可能性も出てきます
ここでは個人情報保護法を取り扱う際の注意点を、改正ポイントも合わせて解説していきます。
目次
個人情報の取り扱い、ポイントはこの5つ!
個人情報を扱う際は、以下の5つを守ることが鉄則です。
- 取得するとき:個人情報を何のために使うのか、利用目的を伝える。
- 利用するとき:取得した個人情報は、決めた目的以外に使わない。
- 保管するとき:取得した個人情報は、安全に管理する。
- 他人に渡すとき:取得した個人情報を、無断で他人に渡さない。
- 開示を求められたとき:本人から「自分の個人情報を開示してほしい」と言われたら、断ってはいけない。
この5つは「個人情報を取り扱う際の掟」といえるものですが、細かな例外もあります。
迷ったら、個人情報保護委員会のサイトなどを参考にしてみましょう。
そもそも個人情報とは?
さて、個人情報を適切に取り扱うためには、「個人情報の定義」を知ることが大切です。
個人情報を一言でいうと、「特定の個人を識別できる情報」です。
この「個人」とは「生存する個人」を指し、亡くなった人の情報は個人情報にはあたりません。
では、具体的にどのようなものが個人情報になるのでしょうか。
- 本人の氏名。
- 生年月日、連絡先(住所・電話番号等)、会社における職位または所属に関する情報について、それらと本人の氏名とを組み合わせた情報。「生年月日」や「住所」、「部長」という役職名だけでは個人情報にはなりません。「佐藤一郎部長」などと氏名がセットになると個人情報となります。
- 本人が判別できる画像・映像情報。防犯カメラに記録されたお客様の画像は、その人の氏名がわからなくても、特定の個人を識別できる情報です。よって個人情報にあたります。
- 特定の個人を識別できる音声録音情報。本人の氏名が含まれている場合などは、音声も個人情報になります。
- 特定の個人を識別できるメールアドレス。ichiro_satoh@kojinjouhousha.ne.jp等というように、メールアドレスから「個人情報社に所属するサトウイチロウさん」とわかるようなメールアドレスは個人情報になります。
- 他の情報と容易に照合でき、その照合により特定の個人を識別できるもの。たとえば「A00001」などといった顧客番号だけなら個人情報にはなりませんが、顧客データベースに「A00001 佐藤一郎 平成2年1月1日生まれ」などと入ったデータがあれば個人情報にあたります。
- 官報・電話帳・職員録・法定開示書類・新聞・ホームページ・SNSなどで公にされている、特定の個人を識別できる情報。
以上のようなものが個人情報にあたりますが、改正個人情報保護法で新たな「個人情報の定義」が設けられました。
それは「個人識別符号」と「要配慮個人情報」。
では、それぞれについて説明していきます。
個人識別符号
身体的特徴や対象者個々に異なるようつけられた符号で、以下のようなものが当てはまります。
- 指紋・掌紋
- 静脈や虹彩
- 歩くときの姿勢や動作
- DNAを構成する塩基配列
- 旅券番号
- 基礎年金番号
- 運転免許証の番号
要配慮個人情報
人種・信条・病歴・障害・犯罪歴などで差別や不利益を受けないよう「取り扱いに特に配慮すべき個人情報」です。
要配慮個人情報は、本人が同意しないかぎり取得してはいけません。
また改正個人情報保護法では、新たに「匿名加工情報」を新設。
匿名加工情報とは、「特定の個人を識別できないように加工され、復元できないようにしたもの」です。
たとえば「大阪・20代・男性・海外旅行経験の有無」などといった情報は、個人が特定できないよう加工されており、復元もできないため「匿名加工情報」といえます。
匿名加工情報にすることで、売上を予測したり、店頭に並べる商品を客層に合わせたりするなど、マーケティングに利用できます。
なお、匿名加工情報にするには氏名、顔画像や指紋はもちとん、特定の個人とつなげることができるIDなども全て削除しなければなりません。
個人情報の取得は、利用目的をできるかぎり特定しよう
個人情報の定義がわかったら、次は「個人情報を取得する際」の注意点に入ります。
まず個人情報を取得するときは、「何のために使うのか、利用目的をできるだけ特定すること」が必要です。
「できるだけ特定する」ということは、「曖昧な説明ではダメ」ということです。
たとえば、このような伝え方はNGです。
- 「事業活動に使うため」
- 「お客様のサービス向上のため」
一見これでも良さそうに思えますが、もっと絞り込まないと個人情報保護法に触れることとなります。
よって、以下のように細かく特定して伝えるようにしましょう。
- 「本商品の発送やアフターサービス、および新商品のご連絡・メールマガジン・DM・各種お知らせ等の配信・送付のため」
このように特定した利用目的を、本人に通知するか公表することが必要です。
会社のウェブサイト上の「プライバシーポリシー」などで、利用目的を明記してもOKです。
個人情報は、利用目的以外に使うとNG
個人情報は、あらかじめ伝えた利用目的以外で使うことはできません。
たとえばお客様から、商品の配送先として利用する目的で個人情報を得たとします。
後日、お客様の同意なしに、その個人情報を使ってダイレクトメールを送ってはいけません。
なお、この規制には例外があります。
それは「人の生命や財産保護に必要な場合で、本人の同意を得ることが困難な場合」です。
(個人情報保護法第16条第3項)
たとえば社員が会社で突然倒れて意識不明になり、血液型や家族の連絡先などを医師に提供する場合は、本人の同意なしで個人情報を提供することができます。
個人情報の保管は、怠ると企業ダメージ大!
会社は、個人情報の管理において次の5つを守らなければなりません。
- 個人データについての安全管理措置
- 従業員に対する監督
- 委託先に対する監督
- データ内容の正確性と最新性の確保
- 利用する必要のなくなった個人データの速やかな消去
これらの義務を怠り、データ漏洩などが起こると企業ダメージは甚大。
大規模な損害賠償に発展したり、企業経営が大きく傾いたりする場合もあります。
取得した個人情報や従業員情報は、以下のようにして管理しましょう。
- 個人情報の入ったファイルにパスワードを設定する。
- パソコンにセキュリティ対策ウェアを入れる。
- パスワードを入れないと、パソコンが起動しないようにする。
- 個人情報をスマホやUSBに入れて外部に持ち出す行為を禁止する。
- 個人情報の入った書類は、鍵のかかる引き出しやキャビネットに入れ、鍵の管理も厳重に行なう。
また、個人情報の取り扱いを外部に委託する場合は、監督義務が発生します。
「委託」とは、お客様からもらった住所や氏名などの情報で、配送業者に配送を依頼する場合などが該当します。
外部に委託するときは適切な委託先を選び、「安全管理措置に関する契約」を締結し監督するようにしましょう。
さらに、取得した個人情報は常に最新かつ正確なものであるよう努めます。
利用の必要のなくなった個人データは、速やかに消去しましょう。
第三者への提供は「本人の同意」と「記録保存」を厳守!
個人情報を第三者に渡すときは、まず本人の同意が必要です。
なお、前項で述べた「配送業者への委託」の場合は同意は不要です。
本人に同意を得る方法は、主に次の4つです。
- 同意する旨の書面を受け取る。
- 同意する旨のメールを受け取る。
- 同意する旨の確認欄にチェックをしてもらう。
- 同意する旨のHP上のボタンをクリックしてもらう。
なお、「オプトアウトによる第三者提供」では、本人の同意が不要となります。
「オプトアウト」とは、「不参加・辞退・拒否(アウト)することを選ぶ(オプト)」という意味。
「オプトアウトによる第三者提供」とは、「個人データの提供を拒否できることを、本人が知りうる状態にしておけば、本人の同意がなくても、個人データを第三者に提供できる」ことを言います。
「オプトアウトによる第三者提供」を行なう場合は、あらかじめ「第三者への提供を利用目的とすること」や「提供される個人データの項目」「本人の求めに応じて第三者への提供を停止すること」などを明示することが必要。
さらに、個人情報保護委員会に届け出ることも必要です。
https://www.ppc.go.jp/personal/legal/optout/
さらに改正個人情報保護法では、第三者提供に関し新たな規制を追加。
個人情報を第三者に提供した(された)場合は、「提供の際の確認・記録義務」をとることが義務づけられました。
たとえば「提供をした・された年月日」「第三者の氏名」「取得の経緯」「本人の氏名」「個人データの項目」などの記録をとっておきます。
なお提供を受けた第三者は、この記録を3年間は保存しなければなりません。
これはいわゆる「名簿屋対策」。
万が一、名簿屋に個人情報が転売された場合などに、流出ルートを追えるようにするためです。
もちろん個人情報を第三者に提供した側も、記録を一定期間保存することが必要です。
個人情報の開示請求・苦情には迅速に対処を
本人から「どんな個人データを持っているか」などを聞かれた場合、原則として開示しなければなりません。
また、その個人データが誤っていると指摘があった場合は、速やかに訂正の請求に応じる必要があります。
さらに「目的外の利用」「取得方法が不適切」「第三者への無断提供」が見受けられた場合、本人は個人情報の利用停止を請求できます。
個人情報の開示請求や、取り扱いに関して苦情を受けた場合は、迅速に対応しなければなりません。
以上、個人情報取扱いの注意点と改正のポイントについてお伝えしました。
このように改正された背景には、ITの進歩や、2014年に起きた「通信教育系企業による個人情報流出事件」などがあります。
個人情報への不正アクセスによる事件は、現在も後を絶ちません。
パソコンやファイルにパスワードをかけていますか?
書類や鍵のかかるキャビネットなどにしまっていますか?
無断で第三者に提供していませんか?
提供した・された情報は、適切に管理・監督していますか?
今一度、気を引き締めて、個人情報の厳密な管理に努めましょう。