目次
ニュースで「個人情報の流出」という言葉を耳にした経験があると思いますが、定義や取り扱う際のルールについて詳しく知らない人も多いのではないでしょうか。
この記事では、個人情報の定義や具体例、取り扱う際のルールについて解説します。個人情報を扱う人には必須のは、正しい知識を身につけるために活用してください。
※時間がない方へ・・記事を読む時間が無い方でバックオフィス系の転職を検討中の方は、まずは「WARCエージェント」に無料登録してみましょう!
個人情報とは?
「個人情報」とは氏名や生年月日、その他の記述等により、特定の個人を識別できる情報です。
個人情報は、個人情報の有用性に配慮して、個人の権利や利益を守ることを目的とした法律である「個人情報保護法第二条」により、以下のとおり定められています。
> 第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二 個人識別符号が含まれるもの
(※1)
(※1)出典:e-Gov法令検索「個人情報の保護に関する法律」
個人情報にあたる具体的な情報とは?
個人情報の概要について見てきましたが、個人情報には具体的にどのようなものがあるのでしょうか?ここからは、個人情報にあたる具体的な情報について解説します。
特定の個人を識別できるもの
個人情報は情報自体で特定の個人を識別できるものと、他の情報と照合することで特定の個人を識別できるものがあります。
すなわち、生存する個人に関する情報で、名前、生年月日、住所、電話番号など特定の個人を識別できるものです。他の情報と簡単に照合できるため、特定の個人を識別することができます。
たとえば、電話番号や生年月日だけでは特定の個人を識別できませんが、名前などと組み合わせることで特定の個人を識別できる場合、個人情報に該当します。また、メールアドレスについても、ユーザー名やドメイン名と組み合わせることにより、特定の個人を識別できる場合には個人情報に該当するのです。
個人の身体のデータ
個人情報は名前や住所のほか、個人の身体データも該当する場合があります。身体データとは身体の一部の特徴を、電子処理のために変換した生体情報です。具体的には、DNA、顔認証データ、指紋・静脈認証データ、声紋、歩行の容態などが挙げられます。
たとえば、顔認識データの場合、人物の顔の特徴を数値化し、同じ特徴値を持っている人物を判定できるようにしたデータです。顔写真や画像の場合にも、具体的に人物の顔が判別できる程度のものは個人情報にあたります。
個人に割り振られる公的な番号
個人情報には、書類やサービス利用で個人に割り振られる公的な番号、記号、符号などの「個人識別符号」も該当します。個人識別符号は、法令や規則で定められたもので、その情報から特定の個人を識別できる情報です。
具体的には、健康保険証番号、マイナンバー、基礎年金番号、住民票コード、運転免許証番号、パスポート番号などがあります。
一方で、携帯電話番号、クレジットカード番号、会員IDなどは、基本的には個人識別符号に該当しません。
要配慮個人情報とは?
個人情報の中には「要配慮個人情報」と呼ばれるものがあり、取り扱いには特に配慮が必要です。要配慮個人情報とは、その情報が他人に公開されることにより、不当な差別や偏見、不利益が生じるなどの可能性がある個人情報を指します。具体的には社会的身分、病歴、本人の人種や信条、犯罪の経歴、犯罪により害を被った事実などです。
たとえば、身体的障がいがある場合、障害を理由に差別につながる可能性があるため、配慮が必要です。また、犯罪歴があり、すでに服役を終えて社会復帰を目指している際には、就職などの障害となることが考えられます。
一方、遺伝子(ハーフ)などの情報は、本人が開示していることもあるため、個人情報と捉えられにくいですが「外人」という表現は侮辱にあたるため、配慮が必要です。
個人情報に関する用語の解説
ここからは個人情報に関する用語について解説します。混同しがちな言葉ですが、個人情報を扱う人は、違いをしっかり理解しておきましょう。
個人情報データベース等とは?
個人情報データベース等とは、特定の個人情報を検索できるように体系的に構成された、個人情報を含む情報の集合物です。個人情報データベースは主に以下の2つが挙げられます。
* 特定の個人情報を体系的に構成して、PCで検索できるもの
例:ExcelやWordで管理されている顧客管理名簿や介護記録、診療記録など
* PCを用いないで、紙面で処理した特定の個人情報を簡単に検索できるように体系的に構成したもの
例:紙媒体で、五十音順や生年月日順に目次や索引をつけた、顧客管理名簿や介護記録、診療記録など
個人データとは?
個人データとは、特定の個人を検索できるように、個人情報データベース等を構成する個人情報です。個人情報の中でも、特定の個人を検索できるように登録した個人情報のみを個人データと呼び、ピンポイントな表現と言えます。
データという語感から、デジタル化されたものと捉えがちですが、紙ベースであっても、情報を整理・分類して、目次・牽引・符号などをつけ、簡単に検索できるようになっていれば「個人データ」です。
たとえば、名刺を例に挙げると、名刺は個人情報ですが、未整理のまま保管している場合には個人データとは言いません。この名刺を五十音順に並べて、名刺ケースに綴じたり、顧客管理システムに入力すると、情報の質が変化して個人データとなるのです。
保有個人データとは?
保有個人データとは、個人情報取扱業者が本人から開示・内容の訂正・追加または削除・利用の停止・消去・第三者への提供の停止を求められた際に応じることができる権限を有するものです。
たとえば、自社社員の個人情報や自社の顧客情報など、自社で保有している個人情報は保有個人データに該当します。一方、委託元から提供を受けた個人情報に関しては、開示・訂正・消去等の権限を有していないため、保有個人データには該当せず、個人データとしての扱いです。
個人情報を取り扱うときの基本的な4つのルール
個人情報を取り扱う際には、慎重に取り扱う必要があります。ここからは、個人情報を取り扱うときの基本的な4つのルールを解説します。
個人情報を取得・利用するときのルール
個人情報を取得する際には、どのような目的で個人情報を利用するか目的を特定し、その範囲内で使用しなければいけません。取得した個人情報を、特定した利用目的の範囲外で使用する場合は、あらかじめ本人の同意が必要です。
個人情報の利用目的は、本人に知らせるまたは、あらかじめホームページ等によって公表する必要があります。
たとえば、利用目的を特定していない場合の例として「取得した個人情報をマーケティング活動のために使用します」というのは、利用目的を特定していない場合にあたります。以下のように利用目的を具体的に特定するのが正しい表現です。「○○事業における商品発送やサービス実施、資料請求の発送、お問い合わせへの回答、商品やサービスの案内のために使用します。」
また、要配慮個人情報を取得する際はあらかじめ本人の同意が必要です。
個人データを保管・管理するときのルール
個人情報を保管・管理する際には、漏えいなどが起こらないように、細心の注意を払って安全に管理しなければいけません。保管をする場合には、誰もが簡単に見れないよう、以下のような措置を講じます。
* 紙ベースで保管の場合:鍵のついたキャビネットなどに保管し、鍵の保管もキーセーフなどに入れて管理するのが望ましい
* PCで保管の場合:個人情報をクラウドなどに入れておくとサイバー犯罪の被害につながることがあるため、セキュリティソフトの導入、ファイルにパスワードを設定する
また、従業員や委託先に対しても、個人データの適切な管理をするよう指導、監督する必要があります。
* 個人情報を放置したまま離席しない:パソコン画面上にはスクリーンセーバーを活用したり、書類の場合には鍵付きの引き出しにしまうなどの工夫をする
万が一、個人データの漏えいなどが発生した場合には、個人情報保護委員会への報告と、本人への通知義務があります。
個人データを第三者に提供するときのルール
個人データを第三者に提供する際には、原則としてあらかじめ本人の同意を得なければいけません。本人の同意を得られない場合には、例外的に個人データを第三者に提供できる例外規定を活用し提供できるかを検討します。
例外規定に該当する内容は、法令に基づく場合(警察・検察・弁護士からの照会)、人の生命、身体または財産の保護に必要な場合、公衆衛生・児童の健全育成に特に必要な場合、国等に協力する場合などです。
また、個人情報取扱事業者が、外国にある第三者に個人データを提供する場合には、以下のいずれかの条件を満たす必要があります。
1 . あらかじめ本人の同意を得る
本人の同意を得る場合には、あらかじめ情報を提供する国の個人情報の保護に関する制度や個人情報の保護措置などの情報を本人に提供しなければならない。
2 . 外国にある第三者が適切な体制を整備している
提供先において、個人データの取り扱い状況などを定期的に確認し、問題が生じた場合に対応の実施をし、本人からの請求がある場合には、体制の整備の方法に関する情報を提供する必要があります。
3 . 外国にある第三者の所在が個人情報保護委員会が認めた国または地域である
本人から保有個人データの開示等を求められたときのルール
本人から保有個人データの開示が求められた場合には、開示、訂正、利用停止などに応じる必要があります。第三者に個人データを提供した記録についても、開示請求の対象です。
開示方法については、電子データなどを含め、本人が請求した方法に対応します。個人情報の取扱いに関する苦情などを受けた際には、適切かつ迅速に対応する必要があります。
個人情報の不正取得など、一定の個人情報保護法違反以外にも、以下の場合には保有個人データの開示、訂正、利用停止などに応じなければいけません。
* 個人データを利用する必要がなくなったとき
* 重大な個人データの漏えいなどの事案が発生したとき
* 本人の正当な利害や権利が害される可能性がある場合
また、個人情報を取得した際には、以下の内容をウェブサイトなどで公表し、本人が知り得る状態にしておく必要があります。
* 取扱者の氏名または名称・住所
* すべての保有個人データの利用目的
* 保有個人データの取扱いに関しての苦情の申し出先
* 保有個人データの安全管理のために取った措置
* 保有個人データの利用目的の通知の求めまたは、開示などの請求手続き
個人情報に関わる資格・個人情報保護士とは?
「個人情報保護士」とは個人情報保護に関する正しい理解と専門知識を有し、個人情報管理や運営におけるエキスパートであることを証明する資格です。2005年から施行された個人情報保護法に合わせ、認定試験として受験がスタートしました。資格の取得には、個人保護士認定試験に合格し認定を受ける必要があります。
個人情報保護士の試験概要
* 主催:一般財団法人 全日本情報学習振興協会
* 開催地:札幌・仙台・東京・横浜・埼玉・千葉・名古屋・大阪・神戸・京都・福岡の11都市またはオンライン受験
* 年間実施回数:4回(例年3月・6月・9月・12月)
* 受験資格:国籍・年齢制限なし
* 検定料:11,000円(税込)学割8,800円(税込)(2024年2月時点)(※2)
* 申込方法:主催団体の公式ホームページまたは郵送
* 試験時間:2つの分野を合わせて合計150分
* 問題数・出題形式:課題ⅠとⅡをそれぞれ50問ずつの計100問のでマークシート形式
(※2)参考:個人情報保護士認定試験「個人情報を保護し、適正な取扱を身に付けたエキスパートを要請する」
個人情報を理解して正しい取り扱いを
個人情報とは名前、生年月日、住所、電話番号など特定の個人を識別できるものです。情報技術の発展に伴い多くの情報がデータ化されて便利になった反面、セキュリティにも気を配る必要があります。個人情報の正しい取り扱い方法を理解して、細心の注意を払って扱う洋子悪露がけることが重要です。
個人情報保護士の資格取得することで、転職などにもプラスになるでしょう。転職を検討されている方には、管理部門に特化した転職サービス・WARC エージェントがオススメです。