【基礎のキソ】個人情報保護法が果たす役割について

この記事では、個人情報保護法の基礎のキソを解説します!
Twitterアカウント

この記事で取り扱うテーマとなるのは、正式には「個人情報の保護に関する法律」で、一般的には「個人情報保護法」と略称で呼ばれている法律のことです。

そもそも法律はわかるのですが、どのような位置づけで、結局のところ、その個人情報を取扱う事業者は、何をしなければならないのかを、一般の会社員目線でもわかるように丁寧に解説しますので、じっくり読み込んでみてください。

個人情報の保護に関する法律の立ち位置

そもそも、個人情報保護法ってどんな法律なんだろう?

個人情報保護法の法的種類(ジャンル)について

日本には、下の一覧表をみるとお分かりいただけると思いますが様々な「法」の種類があります。

法律の種類としては、政府が企業に対して一定の義務を課す、いわゆる「公法」の一種です。

よく私たちがテレビの弁護士や裁判官ものの番組などで耳にする「六法全書」がありますよね。

その六法である憲法、民法、刑法、商法、民事訴訟法、刑事訴訟法もそれぞれの種類の法律に含まれているのです。

では、僕たちがこの記事で扱っている「個人情報保護法」が含まれる法の種類の立ち位置は度のなのでしょうか?

ジャンルとしてはズバリ、それは上の一覧表の「ココ」で示している『行政法』に該当する法律なのです。

ズバリ、個人情報保護法は、こんな法律だ!

個人情報保護法って一言でどんな法律かというと…

個人情報を取り扱う民間事業者の遵守すべき義務等を定める法律

個人情報保護法は、あくまで「個人情報の適正な取扱い」に関して、「個人情報の有用性に配慮しつつ」、一定の規制を課している法律に過ぎません。

よく個人の権利みたいに勘違いされがちですが、その法律は、個人情報によって識別される特定の個人に強力な権利を付与するような法律ではないのです。

決めている事柄を超簡単に…

何をうたっているのかを簡単にまとめてみました!

第一章 総則(目的・定義・基本理念
第二章 国及び地方公共団体の責務
第三章 個人情報の保護に関する施策等(基本方針・施策)
第四章 個人情報取扱事業者の義務等(義務・監督・推進)
第五章 個人情報保護委員会(設置・任務等)
第六章 雑則(範囲・除外等)
第七章 罰則

個人情報保護法の所轄は…

内閣府の外局*である個人情報保護委員会

*外局とは、日本政府の内閣府または省に置かれる、特殊な事務、独立性の強い事務を行うための組織で、内部部局(本府または本省)と並立する地位を有するものである。(Wikipediaより)

なので、ここの働いている方は基本的には国家公務員や期間限定契約の弁護士の方々です。

公布と制定の時期について.

平成15年5月(2003年)に公布、平成17年4月(2005年)に全面施行

個人情報保護法 取扱う事業者と情報データについて

 

ところで、この法律って個人情報を守らなくっちゃいけない事業者ってどんなどういう人たちのこなのかなあ?

そうだよね、法律である以上、ちゃんとした定義付けをしているので紹介するね。

適用者(この法律を守らないといけない人)について

ズバリ、それは…

個人情報取扱事業者* です!

個人情報取扱事業者とは

個人情報データベース等を利用して継続的な事業を行っている者のこと(営利、非営利は問わない)

だから、個人情報データベース等**を利用していない事業者は、個人情報保護法を守らなくてもよいという事になりますが、情報社会の中にあって個人情報データベース等を使っていない会社はまずありえないですね。

ただし、国の機関や自治体などは適用除外となっているので個人情報取扱事業者にはあたりません。

個人情報データベース等とは

①パソコンなどを使って検索することができるように体系的になっている個人情報を含む情報の集合物

 

 ・電子メールソフトに保管されているメールアドレス帳

 ・ユーザーログ情報がユーザーID で整理保管されている電子ファイル

 ・パソコンの表計算ソフト等を用いて入力・整理した名刺の情報 など

または

②目次や索引、符号などをつくって、簡単に検索可能で体系的になっている個人情報

 

 ・五十音順に整理してインデックスを付けた人材派遣会社の登録名簿ファイル

 ・病院の50音順に整理された患者ごとのカルテのファイル
 ・社名50音順に整理された名刺ファイル など

この法が適用される個人情報の取扱数の条件

個人情報の保有数での条件はない撤廃された

個人情報データベース等を事業の用に供する者はすべて適用される

6つの重要な義務について

「個人情報取扱事業者」が負う義務が条文として書かれています。

つまり、しなくてはいけない、守らなくてはならないことが、「義務」として法律になっているのです。

取扱い業者にとって、最も大切で、重要なところですのでこのポイントは、おさえておいたほうが絶対にいいです。

  • 利用目的の特定する義務
  • 適正な取得、取得時の利用目的の通知等をする義務

  • 個人デ一タ内容の正確性の確保する義務

  • 安全管理措置をとる義務

  • 第三者提供の制限の義務

  • 利用目的の公表・通知、開示、訂正、利用停止等の義務

利用目的の特定する義務

個人情報を利用するときには、出来るだけその利用目的を特定しなければならない

要は、ぼやけて抽象的なものではダメとちゃんと具体的にその情報は何のために使うのかを決めないといけないという事です。

「特定」しなければならないので、”事業に利用するため”とか”サービスの向上のため”などというようにその利用目的が抽象的な場合は利用目的を「特定」しているとはいえないので、具体的にする必要があります。

適正な取得、取得時の利用目的の通知等をする義務

個人情報を偽りその他不正な手段によって取得してはらず、取得した際には、利用目的を本人に通知または公表しなければならない

あらかじめ利用目的を公表している場合は除き、その利用目的を本人に通知または公表しなければならない決まりになっているのです。

個人情報を本人から直接書面で取得する場合には、あらかじめ本人に利用目的を明示*しなければなりません。

*明示とは・・・本人に利用目的を明確に示すことをいい、利用目的を明記した書面を手渡し、または送付すること等。

さらに、利用目的を変更した場合も原則として、変更後の利用目的を本人に通知または公表しなければならない決まりになっているので注意が必要です。

個人デ一タ内容の正確性の確保する義務

個人データを正確で最新の内容にしなければならない

個人情報取扱事業者は、利用目的の達成に必要な範囲内で、個人データを正確かつ最新の内容に保たなければなりません。

さらにその個人データが利用する必要がなくなったときにはその個人データを速やかに消去するよう努めなければならない努力義務があるのです。

安全管理措置をとる義務

個人データの安全管理のために必要な措置を講じなければならない

個人情報取扱事業者は、個人データを安全に管理するために必要な対策を取らないといけないのです。

<そのための義務>
・従業員を適切に監督することの義務
・個人データの取り扱いを外部に委託する場合には、受託者への適切な監督の義務

万一、個人情報が漏えいすると悪用されてしまうリスクがあるので本当に大変なことになってしまいいます。

さらに一度個人情報が漏えいしてしまうと、本人ばかりでなく、漏えいしてしまったその事業者への信用はなくなってしまいかねす、事業の継続が難しくなり、信用回復できずに事業を停止しなくてはならない場合も出てくるでしょう。

ですので、事業者にとっては安全管理措置の義務は非常に重要な義務のうちの一つなのです。

第三者提供の制限の義務

本人の同意を得ないで、第三者に個人データを提供してはならない

本人の知らないところで、第三者に個人情報を提供されてしまうともしかしたら悪用されるのではないかと不安になってしまいますよね。

このように個人情報となるその本人を保護するために第三者への提供に対しては、制限が設けられているのです。

そのように、あらかじめ本人が同意するという仕組みを「オプトインといいます。

ですので、「オプトイン」をしないで、本人の個人情報を第三者へ提供することはNGなのです。

<第三者の注意点>
グループ会社や子会社も「第三者」です!
その事業者のグループ会社や子会社であれば、第三者にはあたらないだろうと思うかもしれませんが、間違いです。
なので、個人情報を提供するためには、あらかじめ本人の同意を得る必要があるので注意が必要です。

本人の同意を得ずに個人情報を第三者に提供できる場合があります。

①法令や人命、財産にかかわる場合

②オプトアウトの場合

オプトアウト」とは、一定の要件*などを満たすことによって、本人の同意を得ないでも個人情報を第三者提供できるが、本人から苦情が入った場合に提供できなする仕組みのことをいいます。

*オプトアウトのための2つの要件

  1. 本人から求められた場合は第三者提供を停止すること
  2. 一定事項を本人に通知もしくは本人が知ることが容易な状態にしておくこと

「一定事項」とは、第三者提供を利用目的とする旨や第三者に提供される個人データの項目、第三者への提供方法などのことです。

一定事項は、個人情報保護委員会に届出をしなければならないので注意が必要です!

更に、届け出をするだけではなく、誰に第三者提供をしたかが明らかになるよう、第三者提供に係る確認・記録の義務があります。
こういった規制を知らなかったことによって知らずに法令違反行為につながる行為をしてしまう可能性もありますので、十分な注意が必要です。

③第三者に該当しない場合

1.個人データの全部または一部の取扱いを委託する場合

2.合併等の事業承継の場合

3.共同利用をする場合

利用目的の公表・通知、開示、訂正、利用停止等の義務

保有個人データの利用目的、開示等に必要な手続、苦情の申出先について本人が認識出来るようにしておかなければならない

個人情報取扱事業者は、保有個人データの利用目的、開示等に必要な手続、苦情の申出先等について本人の知り得る状態に置かなければなりません(個人情報保護法27条)。

そして、本人からの請求等に応じて、

保有個人データを開示しなければならない
保有個人データの内容に誤りのあるときは、利用目的の達成に必要な範囲内で、調査し訂正をしなければならない
保有個人データを個人情報保護法の義務に違反して取り扱っているときは、利用停止をしなければならない

匿名加工情報取扱事業者等の義務について

「匿名加工情報」の取扱業者が負う義務が条文として書かれています。

匿名加工情報の類型を設けて個人情報の取扱いよりも緩やかな規律の下、自由な流通・利活用を促進するためのものです。

匿名加工情報とその安全措置について

匿名加工情報とは

特定の個人を識別することができないように個人情報を加工した情報で、当該個人情報を復元できないようにしたもの

匿名加工情報に求められる安全措置とは

法令上努力義務のみ

個人を特定できないばかりか、復元が不可能であるので、その取り扱いも個人情報に比べて緩くなっています。

匿名加工情報の作成者としての義務

安全管理義務

個人情報を特定の個人を識別することができなく復元できないように加工しなければならない

そのためには、個人情報保護委員会規則で定める基準に従って当該個人情報を加工しなければならない規則になっています。

さらに、匿名加工情報の作成に用いた個人情報から削除した記述等及び個人識別符号とともに規定により行った「加工の方法」に関する情報の漏えいを防止するため個人情報保護委員会規則で定める基準に従って、これらの情報の安全管理のための措置を講じなければならないのです。

匿名加工情報の公表義務

匿名加工情報を作成したとき遅滞なく、公表しなければならない

匿名加工情報を作成したときには、個人情報保護委員会規則で定めにより、当該匿名加工情報に含まれる個人に関する情報の項目を遅滞なく、インターネットの利用その他の適切な方法により公表しなければならないことになっています。

匿名加工情報を第三者に提供にするときは、その情報項目、提供方法を公表するとともに第三者に対してそれが匿名加工情報であることを明示しなければならない

個人情報保護委員会について

個人情報保護委員会は、内閣府設置法第49条第3項の規定に基づいて、設置されていいて、内閣総理大臣の所轄に属す、ポジションにあります。

ここのでは、個人情報保護法と、それを管轄する個人情報保護委員会の関係性、役割などを簡単に解説していきます。

委員会の任務

個人情報保護委員会の任務は、個人情報保護法51条に記載されています。

  1. 個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護するため、個人情報の適正な取扱いの確保を図ること
  2. 個人番号利用事務等実施者に対する指導及び助言その他の措置を講ずること

ととありますが、分かりやすく説明すると以下の2点が任務といえます。

  • 個人情報の適正な取扱いの確保
  • 個人番号利用事務等実施者に対する指導及び助言

委員会の権限

それぞれの業種を管轄する主務大臣がもっていた監督権限を個人情報保護委員会へ一元化され、必要に応じて報告を求めたり立入検査を実施でき、実態に応じて、指導・助言、勧告・命令を行うことができる権限を持っています。

  • 報告徴求
  • 立入検査指導・助言
  • 勧告・命令

所轄事務と組織構成

所轄事務

要は、大きくは、個人情報保護法とマイナンバー制度に関して任務を遂行しています。

少し細かく9つもありますが、分かりやすくは下記のとおり。

  1. 基本方針の策定及び推進に関すること。
  2. 特定個人情報の取扱いに関する監視又は監督並びに苦情の申出についての必要なあっせん及びその処理を行う事業者への協力に関すること。(マイナンバー制度)
  3. 特定個人情報保護評価に関すること。(マイナンバー制度)
  4. 個人情報の保護及び適正かつ効果的な活用についての広報及び啓発に関すること。
  5. 前各号に掲げる事務を行うために必要な調査及び研究に関すること。
  6. 掌事務に係る国際協力に関すること。
  7. 前各号に掲げるもののほか、法律に基づき委員会に属させられた事務。
  8. 個人情報及び匿名加工情報の取扱いに関する監督並びに苦情の申出についての必要なあっせん及びその処理を行う事業者への協力に関すること。
  9. 認定個人情報保護団体に関すること。

組織

どのような、メンバー、人数で構成されているかということで、下記のとおり。
マイナンバーも管轄なんですよ!

  • 委員長1名・委員8名(合計9名)の合議制(行政委員会)
  •  委員長・委員は独立して職権を行使し任期は5年
  •  委員会事務局の職員数は約150名(年々増加)

まとめ

 

この「個人情報取扱事業者」について、事業者にあたる条件や事業者が負う義務などをわかりやすく解説しましたが、いかがでしたでしょうか。

現在において、個人情報を取り扱っている事業者は数多く存在します。
上の記事を読んでいただけたならお分かりになると思いますが、この世の中で個人データを扱わなくって事業ができる企業や事業者は、ないのではないでしょか。

というか、まずないですよね。

ですので基本的には、この日本のすべての事業者は「個人情報取扱事業者」として個人情報保護法の規制対象となるといえます。

個人情報は、本人にとっては非常に大切な情報ですので、事業者は慎重に慎重を重ねて取り扱う必要があります。

わたしたち一般人も、とくにネット社会の現代においては、パソコンやスマホでの個人情報の登録を条件に様々な利便性のあるメリットを享受できているというのも現実です。

個人情の報漏えいが、その人本人だけでなく、家族はもとよりさまざまに関係ある人の個人情報の漏えいにもつながりかねません。

安易に、入力や記載するのではなく、ちゃんとその目的やプライマシーマークがうたわれているのか、情報を渡すにあたって同意を求められているのかが大切になってきます。

「個人情報」とは、どういうのもで、だれがどのように守る法律なのかを理解することによって、私たち一人ひとりの気にかけ方が、自分や自分の周りの人たちを守るのという事を、少しでも感じていただけたなら幸いです。

kenko-mind!