目次
個人情報保護
個人情報保護法
1 個人情報保護法の目的
個人情報保護法(「個人情報の保護に関する法律」)は、個人情報の適正な取扱いに関し、国及び地方公共団体の責務、個人情報取扱事業者の義務を定め、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする法律です(同法第1条)。
2 個人情報保護法における定義(同法第2条)
1号 当該情報に含まれる氏名、生年月日その他の記述等(略)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)2号 個人識別符号が含まれるもの」
「個人識別符号」(第2項)
第3項(略)
個人情報を含む情報の集合物であって、次に掲げるもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。)をいう。 1号 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの 2号 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの」
個人情報データベース等を事業の用に供している者。ただし、次に掲げる者を除く。 1号 国の機関 2号 地方公共団体 3号 独立行政法人等(略) 4号 地方独立行政法人」
「個人情報データベース等を構成する個人情報をいう。」
「個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの又は一年以内の政令で定める期間以内に消去することとなるもの以外のものをいう。」
「個人情報によって保護される特定の個人をいう。」
第9項・第10項(略)
3 個人情報取扱事業者の義務(法第4章第1節:第15条~第35条)
個人事業取扱事業主の主な義務は、以下の通りです。
- 利用目的の特定(法第15条)
- 利用目的による制限(法第16条)
- 適正な取得(法第17条)
- 取得に際しての利用目的の通知等(法第18条)
- データの正確性の確保等(法第19条)
- 安全管理措置(法第20条)
- 従業者の監督(法第21条)
- 委託先の監督(法第22条)
- 第三者提供の制限(法第23条)
- 第三者提供に係る記録の作成等(法第25条)
- 第三者提供を受ける際の確認等(法第26条)
- 保有個人データに関する事項の公表等(法第27条)
- 開示(法第28条)
- 訂正等(法第29条)
- 利用停止等(法第30条)
- 理由の説明(法第31条)
- 開示等の請求に応じる手続(法第32条)
- 苦情の処理(法第35条)
GDPR(General Data Protection Regulation:一般データ保護規則)
EUでは、EU域内の個人データ保護を規定する法として、2016年4月に制定された「GDPR(General Data Protection Regulation:一般データ保護規則)」が2018年5月25日に施行されました。
GDPRはEU域外の事業者へも適用されます。各組織・企業等の業務への影響について、あらかじめ備えておく必要があります。
個人情報保護方針など個人情報取扱体制を整備し公開する意義
- データ社会化
- 情報価値の向上
- データに関する技術力の向上
- データが漏えい等した場合のリスクの大きさ
- 平時にデータ漏えい等のリスクマネジメント体制を構築することの重要性
- 構築したリスクマネジメント体制を公開し、外部への安心性をアピールすること
- 個人情報保護法制の趣旨や重要性を理解し、これを遵守すること 等
→時代が進み、情報の価値が上がれば上がるほど、情報が漏えい等した時のリスクが高まります。漏えい等が起きる前段階で、適切な個人情報保護体制を構築することが重要です。個人情報保護体制の構築を怠ったまま、個人情報の流出等が起きた場合、個人情報取扱事業主は、損害賠償責任を負うことにとどまらず、大きな信用失墜につながりえます。
したがって、個人情報取扱事業主である以上、個人情報保護法やGDPRに適合する適切な個人情報保護体制を構築する必要があります。
