個人情報の保護に関する法律(個人情報保護法)は、個人のプライバシーを守るため、デジタル技術の進展や個人の意識の高まりなど、時代の変化に応じて何度も改正されています。法で保護すべき個人情報の定義と範囲は非常に広範囲に渡り、名前や住所といった情報だけでなく、デジタル化された多様なデータや機微情報も含まれます。これらの情報は、個人を識別できるすべての要素を意味し、企業や公的機関はこれらを適切に保護し、法的基準を遵守することが不可欠です。このような背景から、個人情報保護法の保護対象の範囲はさらに明確になりました。
今回は、個人情報に該当する情報の詳細と、企業が取るべき個人情報保護対策を見ていきましょう。
個人情報保護法で保護対象となる情報
「個人情報保護法」では、個人情報を「生存する個人に関する情報」と定義しています。具体的には、氏名や生年月日、住所、顔写真などによって特定の個人を識別できる情報のことを指します。加えて、指紋認証データやパスポート番号、マイナンバーといった個人識別符号が含まれるもの、人種や病歴など、不当な差別や偏見、不利益が生じないよう、取り扱いに特に配慮を要するものも該当します。
名称 |
定義 |
個人情報 |
特定の個人を識別できるもの |
個人識別符号 |
①個人の身体的特徴に関する個人識別符号 ②個人に割り当てられる個人識別符号 パスポート番号、マイナンバー、運転免許証番号、基礎年金番号、住民票コード、国民健康保険や介護保険の保険者番号と被保険者記号・番号、在留カード番号など |
要配慮個人情報 |
不当な差別や偏見、その他の不利益が生じないよう、取り扱いに特に配慮を要するもの 人種、信条、社会的身分、病歴、障害、犯罪歴、犯罪被害など |
また、個人情報と関連する概念として、「仮名加工情報」、「匿名加工情報」、「個人関連情報」も定義されており、取り扱いに注意が必要です。
名称 |
定義 |
仮名加工情報 |
他の情報と照合しない限り、特定の個人を識別することができないように加工して得られる個人に関する情報 |
匿名加工情報 |
特定の個人を識別することができないように、個人情報を加工して得られる個人に関する情報で、当該個人情報を復元することができないようにしたもの |
個人関連情報 |
個人情報・仮名加工情報・匿名加工情報のいずれにも該当しないもの 位置情報、IPアドレス、Cookie、インターネットの閲覧・利用・購入履歴、端末IDや広告ID等の識別子など |
個人情報保護法ガイドラインによる事例
個人情報保護委員会が、事業者向けに個人情報保護法をかみ砕いて具体的な指針となる情報を示した「個人情報保護法ガイドライン(通則編)」によると、「個人に関する情報」とは、名前、住所、性別、生年月日、顔画像など、個人を特定する情報に限定されず、個人の身体、財産、職種、役職などの属性に関して事実、判断、評価を示すすべての情報が含まれます。また、評価情報、刊行物などに公開されている情報、映像・音声情報も含まれ、暗号化などによって隠蔽された情報も個人に関する情報に含まれると説明しています。さらに、個人情報に該当する例として以下の情報を示しています。
- 本人の氏名
- 生年月日、連絡先(住所・居所・電話番号・メールアドレス)、会社の職位または所属に関する情報について、それらと本人の氏名を組み合わせた情報
- 防犯カメラに記録された情報等本人が判別できる映像情報
- 本人の氏名が含まれる等の理由により、特定の個人を識別できる音声録音情報
- 特定の個人を識別できるメールアドレス(kojin_ichiro@example.com等のようにメールアドレスだけの情報であってもexample社に所属する「コジンイチロウ」のメールアドレスであることがわかるような場合等)
- 個人情報を取得後に当該情報に付加された個人に関する情報(取得時に生存する特定の個人を識別できなかったとしても、取得後、新たな情報が付加され、または照合された結果、生存する特定の個人を識別できる場合は、その時点で個人情報に該当する)
- 官報、電話帳、職員録、法定開示書類(有価証券報告書等)、新聞、ホームページ、SNS等で公にされている特定の個人を識別できる情報
引用 : 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」
https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/
上記の事例を考慮すると、情報が識別可能な状態であるというだけでは個人情報とは見なさず、氏名や顔が含まれている場合、または氏名や顔が新たに収集されて特定の個人を識別できる時点において初めて個人情報と見なすと理解できます。
個人情報を保護するために企業が行うべき対策
個人情報を取り扱う企業は、個人情報保護法のルールに沿った個人情報の取り扱いが求められます。企業が注意すべき点をいくつか挙げます。
- 個人情報の取得と利用
利用目的を特定して、その範囲内で利用する必要があります。また、利用目的をあらかじめ公表、もしくは本人に通知しなくてはなりません。要配慮情報を取得する場合は、あらかじめ本人の同意が必要です。 - 個人データの保管と管理
情報の漏えいなどが生じないよう、安全に管理しなくてはなりません。また、情報を扱う際は、従業員や委託先に対しても適切な監督を行う必要があります。保有する情報について、利用する必要がなくなった時は、すみやかに消去するように努めなければなりません。 - 個人データ漏えい時の報告
個人データの漏えい等が発覚した場合は、内容等に応じて必要な措置を講じなければなりません。また、個人情報保護委員会規則で定められた、個人の権利利益を害するおそれが大きいものに該当する場合は、個人情報保護委員会に報告し、本人へ通知しなければなりません。 - 個人データの第三者提供
個人データを第三者に提供する場合は、あらかじめ本人から同意を得る必要があります。また、第三者に提供した時は、提供した年月日などを記録しておかなければなりません。記録の保存期間は3年間です。 - 開示請求などへの対応
本人からの請求があった場合は、保有情報の開示、訂正、利用停止などに対応する必要があります。 - 苦情への対応
個人情報の取り扱いに関する苦情に対して、適切かつ迅速な処理に努めなければなりません。
さらに、個人情報保護法では、安全に管理する方法(安全管理措置)について、具体的に定めています。安全管理措置は、組織的安全管理措置、人的安全管理措置、物理的安全管理措置、技術的安全管理措置の4つに分けられます。
- 組織的安全管理措置の例
- 個人データを取り扱う従業者が複数いる場合、責任ある立場の者とその他の者を区分する
- あらかじめ整備された基本的な取扱方法に従って個人データが取り扱われていることを、責任ある立場の者が確認する
- 漏えい等事案の発生時に備え、従業者から責任ある立場の者に対する報告連絡体制等をあらかじめ確認する
- 責任ある立場の者が、個人データの取扱状況について、定期的に点検を行う
- 人的安全管理措置の例
- 個人データの取り扱いに関する留意事項について、従業者に定期的な研修等を行う
- 個人データについての秘密保持に関する事項を就業規則等に盛り込む
- 物理的安全管理措置の例
- 個人データを取り扱うことのできる従業者および本人以外が容易に個人データを閲覧等できないような措置を講ずる
- 個人データを取り扱う機器、個人データが記録された電子媒体または個人データが記載された書類等を、施錠できるキャビネット・書庫等に保管する
- 個人データが記録された電子媒体または個人データが記載された書類等を持ち運ぶ場合、パスワードの設定、封筒に封入し鞄に入れて搬送する等、紛失・盗難等を防ぐための安全な方策を講ずる
- 個人データを削除し、または、個人データが記録された機器、電子媒体等を廃棄したことを、責任ある立場の者が確認する。個人データを取り扱うことのできる従業者および本人以外が容易に個人データを閲覧等できないような措置を講ずる
- 技術的安全管理措置
- 個人データを取り扱うことのできる機器および当該機器を取り扱う従業者を明確化し、個人データへの不要なアクセスを防止する
- 機器に標準装備されているユーザー制御機能(ユーザーアカウント制御)により、個人情報データベース等を取り扱う情報システムを使用する従業者を識別・認証する
- 情報システムと外部ネットワークとの接続箇所にファイアウォール等を設置し、不正アクセスを遮断する
- 個人データを取り扱う機器等にセキュリティ対策ソフトウェア等を導入し、自動更新機能等の活用により、これを最新状態とする
- 情報システムの設計時に安全性を確保し、継続的に見直す
- 個人データを含む通信の経路または内容を暗号化する
- 移送する個人データについて、パスワード等による保護を行う
引用 : 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」
https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/
参考:政府広報オンライン「『個人情報保護法』をわかりやすく解説」
https://www.gov-online.go.jp/useful/article/201703/1.html
まとめ
個人情報保護法では、個人情報および関連する情報を細かく定義し、個人の権利や利益を守るため、企業に適切な対策を求めています。企業は、個人情報の内容や種類に応じて詳細な内部規定とポリシーを策定し、従業員はこれらを遵守する必要があります。また、個人情報は暗号化して保存し、アクセス制御を実施するなど技術的な保護措置を講じ、継続的に関連法規や規制の変更を監視し、それに応じて企業のポリシーや手続きを更新しなければなりません。これらの対策は、法令遵守だけでなく、企業の信頼性や評判を維持するためにも重要です。継続的な教育、ポリシーの策定、技術的なセキュリティ強化などを通じて、企業は個人情報を適切に保護し、同時にこれらを活用してビジネスの価値を創出することができます。
参考:個人情報の保護に関する法律
https://laws.e-gov.go.jp/law/415AC0000000057/20250401_505AC0000000047