【解説】個人情報保護法について

1.はじめに
平成29年5月30日より、改正個人情報保護法が全面施行されました。それに先立ち、個人情報保護委員会が新設され、個人情報取扱事業者に対する監督権限が各省庁の主務大臣から委員会に一元化されました。個人情報保護法とは、「個人の権利・利益の保護と個人情報の有用性とのバランスを図るための」法律です。今回の改正により、取り扱う個人情報の数が5000以下である事業者を規制の対象外とする制度が廃止されました。1人で事業を行う個人事業主も含み、全ての事業者が規制の対象になりました。

2.個人情報の定義の明確化
「個人情報」とは生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項をいう。)により特定の個人が識別できるもの(他の情報と容易に照合することで特定の個人を識別することができる情報を含む)は、改正後も現行法と同様に個人情報に該当します。
それに加え、個人情報保護の明確化を図るため、その情報単体でも個人情報に該当することとした個人識別符号の定義が設けられました。
個人識別符号はその情報だけで特定の個人を識別できるもので、以下のいずれかに該当するものです。具体的には政令・規則で個別に指定されます。
①身体の一部の特徴を電子計算機のために変換した符号(DNA、顔、声紋、歩行の様態、手指の静脈、指紋など)
②サービス利用や書類において対象者ごとに割り振られる符号。(公的な番号で、旅券番号、基礎年金番号、免許証番号、住民コード、マイナンバー、各種保険証など)

3.事業者が守るべき4つのルール

(1)取得・利用に関するルール
○利用目的を特定して、その範囲内で利用する。
○利用目的を通知又は公表する。
例えば「当社の新商品のご案内の送付のため」「当社の商品の配送及びアフターサービスのご連絡のため」等の表示をHPの分かりやすい場所や店舗等への表示することや、申込書等への記載があげられます。
なお、例えば配送伝票の記入内容が配送のためである場合など、利用目的が明らかであれば、利用目的の通知又は公表は不要です。また。利用目的を変更・追加する場合は、原則本人の同意が必要です。(関連性のある範囲内での変更なら通知又は公表のみで可)
○要配慮個人情報の規定の新設
要配慮個人情報とは人種、信条、社会的身分、病歴、犯罪歴、犯罪被害、障害、健康診断結果等不当な差別、偏見その他の不利益が生じないように取扱いに配慮を要する情報として、法律・政令に定められた情報です。
この情報の取得には上記利用目的の「特定」「通知又は公表」だけでなく。あらかじめ本人の同意が必要です。
なお、法令に基づいて取得する場合等では同意は不要です。また、本人から直接書面や口頭で取得する場合は、同意があったものとみなされるため、改めて同意をとる必要はありません。

(2)保管に関するルール
○漏えい等が生じないよう、安全に管理する。
○従業者・委託先にも安全管理を徹底する。
安全に管理するためには例えば以下のようなことが考えられます。

・取扱の基本的なルールを決める。
・従業員を教育する。
・紙で管理している場合は、カギのかかる引出しで保管する。
・パソコン等で管理している場合は、ファイルにパスワードを設定する。セキュリティー対策ソフトを導入する。
・正確で最新の内容に保ち、必要がなくなったときはデータを消去する。
・個人情報の取扱を委託する場合、委託先に対して必要かつ適切な監督を行なう。

(3)第三者に提供する場合のルール
○第三者に提供する場合は、あらかじめ本人から同意を得る。
本人同意や記録が不要となる例外
・法令に基づく場合(例:警察、裁判所、税務署からの照会)
・本人同意取得が困難な場合で人の生命・身体・財産の保護に必要(例:災害時の被災者情報の家族・自治体等への提供)
・本人同意取得が困難な場合で公衆衛生・児童の健全育成に必要(例:児童生徒の不登校や児童虐待のおそれのある情報を関係機関で共有)
・国の機関等の法令の定める事務への協力(例:国や地方公共団体の統計調査等への回答)
・委託、事業継承、共同利用の場合
(なお、社会保険労務士が顧問先等と業務委託契約を結んでいる場合は第三者にはあたらず、その業務に必要な個人情報の提供に際して本人同意は不要です。)
○第三者に提供した場合・第三者から提供を受けた場合は、一定事項を記録する。
基本的な記録事項は以下のとおりです。保存期間は原則3年ですが、本人に対する物品等の提供に関連して本人の同意のもとで第三者に提供した場合は1年となります。
・提供した場合⇒いつ・誰の・どんな情報を・誰に提供したか
・提供を受けた場合⇒いつ・誰の・どんな情報を・誰から提供されたか。さらに相手方の取得経緯も記録

具体的な記録方法は以下の様な項目を各個人ごとの記録シートや一覧表等にして保存することが考えられます。
・取得又は提供年月日、
・個人データを取得又は提供した本人の氏名、
・個人データの内容(氏名・住所・生年月日等の項目であり、住所や生年月日そのものの記入ではありません)、
・取得又は提供先の所在地住所・氏名会社名・電話番号・担当者名等
・取得先の取得経緯

また、記録義務にあたっては以下の様な例外があります。
・本人との契約に基づいて提供した場合は、記録は契約書での代替でよい。
・反復継続して提供する場合は、各回ごとの記録ではなく、包括的な記録で済ますことができる。
下記の様な場合も記録義務はありません
・本人による提供と整理できる場合(例:SNSでの個人投稿)
・本人に代わって提供していると整理できる場合(例:銀行振込)
・本人側への提供と整理できる場合(例:同席している家族への提供)
・「個人データ」に該当していないと整理できる場合(例:名刺1枚のコピー)
○外国にある第三者に提供する場合に守るべきこと
①外国にある第三者に提供することについて、本人の同意を得る。
②外国にある第三者が適切な体制を整備している。
・外国の第三者が個人情報の取扱に関する国際的な枠組み(例:APEC越境プライバシールール(CBPR)システム)に基づく認定を受けていること。
③外国にある第三者が個人情報保護委員会が認めた国に所在している。

(4)開示請求等への対応ルール
○本人から開示等の請求があった場合はこれに対応する。
○苦情等に適切・迅速に対応する。
本人からの請求に応じて、個人情報を開示、訂正、利用停止する等の対応をする必要があります。なお、一時的に保有しているにすぎない個人情報(半年以内に消去するもの)や他の事業者からデータの編集作業のみを委託されて取り扱っているだけの個人情報(開示等の権限がないもの)は対応不要です。
個人情報の取扱に関する苦情を受けた時は適切かつ迅速に対処することが求められます。
また、以下の①~⑤について本人が知りうる状態にしておく必要があります。
①事業者の名称②利用目的③請求手続④苦情申出先⑤加入している認定団体個人情報保護団体の名称・苦情申出先(認定個人情報保護団体に加入している場合)
方法としてはHP公表や事業所での掲示等で行います。また①~⑤についての問い合わせに対して遅滞なく答えられるようにしておくことでも可能です。

4.その他

匿名加工情報について
匿名加工情報とは特定の個人を識別できないように個人情報を加工し、その個人情報を復元出来ないようにした情報です。
これは利用目的や第三者提供の制限が無く、一定の取扱ルールの下、自由な流通・利活用を促進することを目的に改正個人情報保護法により新たに導入したものです。

(参考文献)個人情報保護委員会資料
https://www.ppc.go.jp/