過去は「個人情報」の取り扱いについては、明確に決まったものがあるわけではなく、取り扱う側もそれほど注意深く取り扱うことはなかったのではないでしょうか。しかし、情報化社会の進展とともに氏名や住所、クレジットカードの番号といった個人情報の重要性が増し、それとともに不正に取得された個人情報が犯罪などに悪用されるケースが増えてきました。
企業にとって、またはこれから起業・開業する人にとって、あいまいなままの個人情報の取り扱いというのは非常にリスクの高いものとなっています。個人情報を扱っている場合は、個人情報保護法の内容に則って個人情報の適切な管理と取り扱いを行うことが必要となります。
今回は、個人情報及び個人情報保護法について解説します。
※この記事を書いているVector Venture Supportを運営している株式会社ベクターホールディングスが発行している「起業のミカタ(小冊子)」では、更に詳しい情報を解説しています。無料でお送りしていますので、是非取り寄せをしてみて下さい。
何が「個人情報」なのか?
個人情報という言葉はよく聞きますが、具体的に「何が個人情報か」と言われると明確に答えるのは難しいという方もいるのではないでしょうか。
「個人情報」とは、生存する個人に関する情報で、住所・氏名・生年月日などのほか、クレジットカードやマイナンバーの情報など、個人を特定、もしくは個人に帰属するプライバシーに関わる情報のことを指します。また、これに加えて指紋や虹彩、手のひらの静脈情報など明確に個人を特定し区別することができる身体的特徴も個人情報に含まれます。
こういった情報がセキュリティ事故などによって不正に外部に流出してしまうと、悪意を持った者に犯罪等に悪用される可能性もあるなど、非常に大きなリスクであり問題となります。そういったことを防ぐ意味でも個人情報保護法では、対象や罰則規定をそれぞれ以下のような形で明確に定義しています。
個人情報保護法とは?
個人情報保護法とは、個人情報の扱いについてのルールを定めた法律です。ここでいう「個人の情報」とは、氏名や生年月日など、個人を特定できるデータを指します。該当するデータは顧客データだけではありません。従業員や取引先のデータも、個人情報保護法に該当するため注意しましょう。
また個人情報保護法はあくまでも、知り得た個人情報の「適正な」保護管理を基本理念としています。つまり必要かつ正当な目的での使用であれば規制されないので、いくつかの例外が制定されている場合があります。個人情報の使用の全てを制限しているわけではありませんので、経済産業省のホームページなどでよく調べておくことが必要です。
引用:(経済産業省)個人情報の保護に関する法律、ガイドライン等(個人情報保護委員会に移管済み)
個人保護法の改正によって対象の明確化と拡大
個人情報保護法は、2005年から始まり、2015年に改正案が成立、2017年5月30日に改正案が全面施行されましたが、この改正により、今までは個人情報に該当しなかった情報も、新たに「個人情報」として定められる情報があります。
たとえば「顔認識データ」や「指紋データ」「遺伝子データ」といった身体の一部の特徴を活用した情報です。また、他の情報と照合することにより、個人を特定しうる「購買履歴」や「移動履歴」も、今後は個人情報になります。
個人情報保護法が運用される「個人情報取扱事業者」の範疇も変更されました。この改正により、ほとんどの事業所や個人事業主のほか、これまでは対象外であったNPOや自治会などの非営利団体も含まれることになります。自分の所属団体が該当しないか注意しましょう。
社内でマネジメントの立場にある人間の役割は、まず個人情報保護法について、この度の改正を含めてよく理解することです。その上で、社内での個人情報の取扱ルールを正しく策定・改正すること、同時に勉強会を開くなどして社員の意識啓発に努めることです。個人情報への取り組み姿勢は、その事業のイメージを大きく左右します。万全の注意を払い、注力することが必要です。
個人情報保護法の対象とは?
対象となる組織
個人情報を扱うすべての組織(国、地方公共団体、独立行政法人等および地方独立行政法人や、民間事業者)が対象となっています。※情報件数は関係ありません。
改正前の個人情報保護法では5,000件以下の個人情報のみ扱っている場合は、個人情報取扱事業者の対象外となっていましたが、2017年の改正で、この件数条項は廃止されました。そのため、現在では、個人情報を扱うすべての事業者が対象となっています。
対象となる個人情報
死者の情報であっても遺族等生存する個人に関する情報が含まれるものが対象になります。住所・氏名・生年月日やクレジットカードなどの情報に加えて虹彩・指紋・手のひらの静脈などの身体的特徴など個人に帰属するすべての情報が含まれます。
個人情報保護法の罰則規定
個人情報保護法では、個人情報を扱う事業者に対して守るべき義務を課していますが、これに違反し、個人情報保護委員会からの改善命令にも従わない場合は、以下の罰則が適用されます。
・「6ヶ月以下の懲役または30万円以下の罰金」の刑事罰
また、加えて漏洩等の被害が発生した場合は、情報漏洩の対象となった被害者からの損害賠償訴訟をされるリスクや、訴訟の結果によっては賠償金の支払いが必要になるケースがあります。
このように、個人情報が不正に流出してしまったり、適切な取り扱いを怠ってしまったりしている場合は、個人情報保護法の規定に違反する結果となる可能性があります。もし、個人情報保護法の規定に違反するとされた場合は、ここで掲げたような罰則が適用される可能性があるだけでなく、損害賠償請求の提起により、多額の賠償金の支払いが発生する可能性もあります。
まとめ
新聞やTVなどのメディアで「個人情報」や「個人情報保護法」といった言葉を聞くことがあります。高度情報社会において、情報が電算化されたために大量流出する事件・事故が非常に多くなってきています。インターネットの普及により、流出する個人情報の量と流出する範囲が格段に大きくなったことは、この問題をより深刻にしています。
個人情報保護法により企業の個人情報に対する管理体制構築が促進され、相次ぐ個人情報の流出をストップすることが期待されていますし、自身の会社で個人情報を取り扱っている会社は注意して個人情報を取り扱うようにしましょう。