企業が守るべき義務とは?今さら聞けない個人情報保護法の基本

道端で話すスーツを来た男性

インターネットが普及し、ネットショッピングやインターネットバンキング、オンラインサービス等の利用を通して個人情報のやり取りが当たり前になった現在、「個人情報保護」は私たちにとって身近なテーマとなりました。しかし、2005年に施行された個人情報保護法について、それが何のために必要とされ、どのような義務を定めているのかご存じの方は決して多くはないかもしれません。本記事では個人情報保護法の目的や制定に至る背景とともに、法律で規定されている「企業の義務」についてご紹介します。企業で個人情報を扱う方はもちろん、自社の個人情報保護法への対応の見直しを検討されている方は必読です。

「個人情報保護法」はなぜ必要?制定の目的や背景を解説

個人情報保護法は、同法第1条にて「個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする」と記しています(※1)。個人情報の有効活用とその保護を行うことで、国民の権利及び利益を保護し、事業者の個人情報に対する取り扱いに関して規制を行うことが可能になります。つまり、個人情報保護法とは、「個人の権利・利益の保護」と「個人情報の有用性」のバランスを図るための法律なのです(※2)。

個人情報保護法が制定された背景には、情報通信技術の発展が大きく関わっていました(※3)。1980年代以降、コンピュータのネットワーク化が進み、「情報化社会におけるプライバシー権のあり方」が問題となり顕在化します。そうしたなかで、個人情報の保護・利用の検討が進められ、2003年5月に個人情報保護法が成立、2年後の2005年4月に全面施行されました。

しかし、制定後も情報通信技術の発展は続き、さらに企業活動のグローバル化などさまざまな環境変化が起こります。それに伴い、制定時には想定されなかった個人情報の利活用が可能になったことから、個人情報保護法の改正が求められました(※4)。そこで、「個人情報の適正な活用・流通の確保」「グローバル化への対応」などを目的として、2015年9月に改正個人情報保護法が成立、2017年5月に全面施行されます。2021年3月現在、施行されている法律は、この際に改正された個人情報保護法になります。

そもそも「個人情報」とは何か?その定義を解説

しばしば用いられる「個人情報」という言葉ですが、具体的に何を指しているのかご存知でしょうか。改正個人情報保護法の第2条では、その範囲を「生存する個人に関する情報であって、その情報に含まれる氏名、生年月日その他の記述などにより当該情報が誰の情報であるか識別できるもの(他の情報と容易に照合することができ、それにより個人が誰であるかを識別できるものを含む)」と定義しています 。つまり、生存する個人の住所、氏名、学歴などのほか、「他の情報と容易に照合でき、個人が識別できる情報」も個人情報と定義されています。例えば、氏名と所属する企業名が特定できるメールアドレスなども個人情報に該当するとされています(※5)。

また、2015年の改正時には、個人情報の定義をより明確化するため、「個人識別符号」という新たな定義が設けられました。個人識別符号とは、①身体の一部の特徴を電子計算機のために変換した符号(DNAや顔などの身体的特徴を示すデータ)②サービス利用や書類において対象者ごとに割り振られる符号(マイナンバーや免許証番号など)の2点を指します。これらはその情報単体でも個人情報に該当するとされています。

おすすめ記事:次はあなたが被害に遭うかも?個人情報を盗むネット詐欺から身を守る方法

個人情報保護法における「企業の義務」とは?

個人情報保護法は7つの章で構成されており、1~3章で基礎理念等を規定し、4~7章で個人情報取扱事業者等の義務や罰則を規定しています。個人情報取扱事業者とは、個人情報保護法第2条第5項において「個人情報データベース等を事業の用に供している者をいう」と定義されており、個人情報を事業で取り扱う企業はこれに該当します。では、具体的に個人情報を取り扱う企業の義務とはどのようなものでしょうか。以下で解説します(※5)。

  • 利用目的の明確化、利用目的による制限(第15条、第16条)

個人情報を取り扱う際には利用目的を明確にします。かつ、その利用目的以外で個人情報を利用してはいけません。そのため、「事業活動のために利用」などの漠然とした表現では不適切と判断されます。

  • 適正な取得・利用目的の通知、公表(第17条、第18条)

不正な手段を用いて、個人情報を取得してはいけません。個人情報を取得した際には、すみやかに利用目的を本人に通知又は公表します。また、要配慮個人情報(病歴や犯罪歴など、本人に不利益が生じるおそれのある情報)を取得する際には、あらかじめ本人の同意を得る必要があります。

  • 正確性の確保(第19条)

利用目的に必要な範囲で、個人情報を正確に保ち、利用の必要がなくなった際にはすみやかに消去するよう努めます。

  • 安全管理措置、従業者・委託先の監督(第20条、第21条、第22条)

個人情報の漏えいなどを防ぐために適切な安全管理措置を講じる必要があります。また、従業者や個人情報の取り扱いを委託する委託先には、適切な監督を行います。

  • 第三者に提供する場合の制限(第23条)

本人の同意を得ずに、第三者に個人情報を提供してはいけません。ただし、法令に基づく場合など、一定の条件に合致する場合は同意を得ない第三者提供が可能になります。

  • 個人データの提供を行う場合、受ける場合の記録義務(第25条、第26条)

個人情報を第三者に提供する場合や、第三者から提供を受ける場合は、いつ・どのような情報を提供した(された)のかなど、所定の事項を記録し、原則3年間保存する必要があります。

  • 利用目的等の公表・開示、訂正、利用停止(第27条〜34条)

事業者の氏名や名称、苦情の申出先等を本人に分かる状態で公表し、本人から開示請求された場合には遅滞なく開示します。また、利用目的の制限や取得の義務に反しているとして、本人から消去又は利用停止を求められた際には、違反を是正し、消去や利用停止を行います。

  • 苦情の処理(第35条)

個人情報の取扱いに関する苦情処理に必要な体制を整え、苦情の申し出があった際には、迅速に処理するよう努めます。

今後も続く個人情報保護法の改正。企業は先を見据えた対応が必要

改正個人情報保護法には、3年ごとの必要に応じた改正が明記されています (※1)。事実、仮名加工情報などが盛り込まれた改正法が2020年6月に成立し、2022年春ごろの全面施行が予定されています。近年の個人情報をめぐる環境の変化は急速であり、個人情報保護法も時代の変化とともに改正されていく見通しです。EUでは2018年5月にGDPR(General Data Protection Regulation)が施行され、個人に関するデータの保護が厳格化されました。こうした流れや、世界的な意識の高まりが、個人情報保護法の改正に影響を与えることも考えられます。

そうしためまぐるしい変化のなかで、企業は社会の動向を注視し、今後も改正が続く個人情報保護法に対応し続けなければなりません。以下の記事では2022年施行予定の改正法について紹介しています。まずはその概要を把握し、今後とるべき対策について検討を進めてみてはいかがでしょうか。

2022年施行予定の改正個人情報保護法。企業が取るべき対応とは →

 

参考資料:

筆者
Tomohiro Adachi
Content Marketing Manager
公開