「個人情報保護法ってどんな内容?」
「個人情報保護法のガイドライン改正についていけない!」
などとお悩みではありませんか?
「個人情報の保護に関する法律についてのガイドライン」は、事業者が個人情報を適切に扱うことを支援することを目的としており、個人情報保護法を分かりやすくし、具体的な例を追加して指針としてまとめたものです。
この記事では、
- 個人情報とは
- 個人情報保護法ガイドラインの最新改正項目
- 事業者が守るべきガイドラインの内容
などを誰でも理解できるように分かりやすく解説していきます。
個人情報取扱事業者や個人情報を取り扱う予定のある方はぜひ参考にしてください。
目次
個人情報とは
個人情報保護法においての「個人情報」とは、
- 名前
- 生年月日
- 住所
- 顔写真
などの単体で特定の個人を識別することができる情報をいいます。
その他にも、
- 血液型
- 性別
- 職業
- 電話番号
- 生体情報
- クレジットカード番号
などは単体では特定の個人を特定できませんが、氏名などと組み合わせることによって特定の個人を認識できるため、個人情報に該当する場合があります。
また、メールアドレスはユーザ名やドメイン名から特定の個人を識別できる場合は、それ自体が単体で個人情報に該当します。
このほか、番号、記号、符号などで制令・規則で定められたものを「個人識別番号」といい、個人識別符号が含まれる情報は個人情報となります。
マイナンバーや旅券番号(パスポート番号)などはこれに振り分けられます。
※引用:政府広報オンライン「どんな情報が個人情報になるの?」
また、「要配慮個人情報」とは、個人情報の中の「他人に公開されることで、本人が不当な差別や偏見などの不利益を被らないように特に取り扱いに注意すべき情報」のことを言います。
具体例として以下のようなものがあります。
人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により被害を被った事実のほか、身体障害・知的障害・精神障害などの障害があること、医師等により行われた健康診断その他の検査の結果、保健指導、診療・調剤情報、本人を被疑者又は被告人として逮捕等の刑事事件に関する手続が行われたこと、非行・保護処分等の少年の保護事件に関する手続が行われたことの記述などが含まれる個人情報
※引用:政府広報オンライン
個人情報と個人データの違い
「個人情報保護法」及び「個人情報の保護に関する法律についてのガイドライン」の中には、「個人情報」と「個人データ」が出てきます。
この2つの違いを説明すると、以下のようになります。
- 個人情報:氏名、生年月日その他特定の個人を識別できるもの、個人識別符号が含まれるもの
- 個人データ:個人情報を容易に検索できるように体系的にまとめた「個人情報データベース等」を構成する個人情報
また、「個人情報保護法」及び「個人情報の保護に関する法律についてのガイドライン」の中には、「保有個人データ」というものも出てきます。
保有個人データとは、「個人データ」のうち、個人情報取扱事業者が、開示・内容の訂正・追加または削除、消去及び第三者への提供の停止のすべてに応じることのできる権限を有するもののことを言います。
「個人データ」と「保有個人データ」では、守るべき事項が異なる場合があるため、注意しましょう。
なぜ個人情報は守らないといけないの?
個人情報は人間のプライバシーと密接に関係しており、個人情報が守られない場合、人権が侵害される恐れがあります。
企業が取得した個人情報を守らない場合、本人への影響として
- クレジットカードの番号が漏えいし、不正利用されてしまう
- 住所や名前などが漏えいし、犯罪行為に使われてしまう
ことが考えられます。
このようなことが起こると、被害者は金銭的な影響や精神的なダメージを受け、生活が脅かされてしまいます。
企業への影響としては
- 個人情報保護法違反で罰せられる
- 情報漏えいが起こった場合、被害者に損害賠償を請求される
- 企業が個人情報を守れないとわかると、情報漏えいが怖い利用者は企業に個人情報を提供しなくなる
- 企業が個人情報を取得できなくなると、商品の発送やPR活動ができなくなる
ことが考えられます。
個人情報を守ることは個人の権利や安全を確保するために不可欠であり、守られない場合には、個人だけでなく企業の活動にも悪影響を及ぼします。
個人情報を取り扱うすべての事業者は個人情報保護法を順守しましょう。
個人情報の保護に関する法律についてのガイドラインとは
「個人情報の保護に関する法律についてのガイドライン」は、事業者が個人情報を適切に扱うことを支援することを目的としており、個人情報保護法をわかりやすくし、具体的な例を追加して指針としてまとめたものです。
本来、ガイドラインは法的に厳守が義務付けられているわけではありません。
しかし、個人情報保護法のガイドライン内で「しなければならない」「する必要がある」と記述してある箇所に関しては、取り組まないと法律違反になります。
個人情報取扱事業者は必ずガイドラインの内容を確認し、対応しましょう。
個人情報保護法のガイドラインの最新の改正項目3つ
個人情報保護法施行規則が、令和5年12月27日に改正され、令和6年4月1日付けで施行されました。
この改正の背景にあるのは、「Webスキミング」の増加です。
「Webスキミング」とは、Webサイトに不正なスクリプト(簡易的なプログラム)が埋め込まれ、それが「スキマー」となり情報を盗み取られるという犯罪行為です。
今回の改正では、3つの項目においてそれぞれ「個人データ」までが適用範囲だとされていたものに「個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、当該個人情報取り扱い事業者が個人データとして取り扱うことを予定しているもの」が追加となり、法律の適用範囲が拡大されました。
Webスキミングについては以下の記事で詳しく説明しています。ぜひ読んでみてください。
法律の改正に伴い、ガイドライン通則編やQ&Aも更新されています。
今回改正された項目は以下の3つです。
- 安全管理措置の対象に関する改正
- 保有個人データに関する事項の公表等に関する改正
- 漏えい等発生時の報告等義務に関する改正
一つずつ解説していきます。
安全管理措置の対象に関する改正
個人情報保護法では、個人情報取扱事業者に対して「安全管理措置」つまり、「個人データの漏えい、滅失または毀損等を防止するための適切な措置を取ること」を義務づけています。
今回の改正では、今までこの安全管理措置の適用範囲が「個人データ」のみであったのが、「個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、当該個人情報取り扱い事業者が個人データとして取り扱うことを予定しているもの」までに拡大されました。
つまり、個人情報取扱事業者は、安全管理措置の対象の範囲を広げる必要がある=広い範囲での漏えい等の対策をしなければならなくなったということです。
保有個人データに関する事項の公表等に関する改正
個人情報保護法では、個人情報取扱事業者に対して「保有個人データに関する事項の公表」を義務付けています。
個人情報取扱事業者が、本人の知り得る状態に置かなければいけないものは以下の5つです。
- 個人情報取扱事業者の氏名または名称、住所、法人の場合は代表者氏名
- すべての保有個人データの利用目的
- 保有個人データの利用目的の通知の求めまたは開示等の請求、それに伴う手数料の額
- 保有個人データの安全管理のために講じた措置(安全管理措置)
- 保有個人データの取り扱いに関する苦情の申出先
この中の4.保有個人データの安全管理のために講じた措置(安全管理措置)は「3.1安全管理措置の対象に関する改正」で内容が改正されたため、それに伴い内容が改正されました。
漏えい等発生時の報告等義務に関する改正
令和2年の改正では、漏えい等が発生した場合に、それが委員会規則で定める事態に当てはまる場合、「個人情報保護委員会への報告・本人への通知」が義務となりました。
※引用:個人情報保護委員会「漏えい等報告・本人通知の義務化」
令和6年の今回の改正では、報告が必要になる事態の「不正の目的による恐れがある漏えい等」に、追加の記載がされました。
※引用:個人情報保護委員会「3-5-3個人情報保護委員会への報告」
これも先ほどの2つと同じく、漏えい時に報告しなければいけない事態の適用範囲が、今までは「個人データ」のみであったのが「個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、当該個人情報取り扱い事業者が個人データとして取り扱うことを予定しているもの」が追加されています。
つまり、漏えいが起こったとき、報告しなければいけない対象の範囲が広がったということです。
また、改正に伴い事例5~8が追加されており、事例6.7は改正の背景となったWebスキミングの事例です。
【事例5】従業者の私用の端末又は取引先の端末が情報を窃取するマルウェアに感染し、その後、当該端末と個人情報取扱事業者のサーバとの電気通信に起因して、当該サーバも当該マルウェアに感染し、個人データが漏えいした場合
【事例6】個人情報取扱事業者のウェブサイトの入力ページが第三者に改ざんされ、ユーザーが当該ページに入力した個人情報が当該第三者に送信された場合であり、かつ、当該個人情報取扱事業者が、当該ページに入力される個人情報を個人情報データベース等へ入力することを予定していたとき
【事例7】個人情報取扱事業者のウェブサイト上に設置された、入力ページに遷移するためのリンクやボタンが第三者に改ざんされ、当該リンクやボタンをユーザーがクリックした結果、偽の入力ページに遷移し、当該ユーザーが当該偽の入力ページに入力した個人情報が当該第三者に送信された場合であり、かつ、当該個人情報取扱事業者が、当該個人情報取扱事業者の入力ページに入力される個人情報を個人情報データベース等へ入力することを予定していたとき
【事例8】個人情報取扱事業者が、第三者により宛先の改ざんされた返信用封筒を顧客に送付した結果、当該返信用封筒により返信されたアンケート用紙に記入された個人情報が当該第三者に送付された場合であり、かつ、当該個人情報取扱事業者が、当該個人情報を個人情報データベース等へ入力することを予定していたとき
引用:個人情報保護委員会「3-5-3-1報告対象となる事態」
この改正によって今までより一層、個人情報の漏えい対策に力を入れる必要があるでしょう。
個人情報の漏えいを未然に防ぐためには、「不正アクセス検知サービス」の導入が有効です。
このメディアを運営するかっこ株式会社が開発・提供する不正アクセス検知サービス「O-MOTION」は、情報の漏えいが起こる前の段階である「不正アクセス・ログイン」を検知するサービスです。
個人情報漏えい対策としてぜひご検討ください。
自社の不正アクセス状況が分かるトライアル利用受付中!
O-MOTIONの資料DLはこちら
個人情報取扱事業者が対応すべき6つのこと
ここからは、「個人情報保護の法律に関するガイドライン」を読んだうえで、個人情報取扱事業者が必ず対応すべきことを以下6つの項目に分けて説明していきます。
- 個人情報の利用範囲を定める
- 個人情報を適切に取得する
- 個人データを適切に管理する
- 個人情報の漏えい等が起こった際には個人情報保護委員会・本人に報告する
- 個人情報の第三者提供時には同意を得る
- 保有個人データに関する事項を公表する
個人情報扱事業者は、6つの内容を必ず確認して、適切に個人情報を取り扱ってください。
①個人情報の利用目的を定める
まず1つ目は、「個人情報の利用目的を定める」ことです。
個人情報保護法のガイドラインでは、個人情報の利用目的をできる限り特定することが義務とされています。
また、利用目的の範囲を超えての取り扱いはできないので、定めた目的の範囲内での利用をしましょう。
そして利用目的の変更についても、関連があると認められる範囲内での変更をすること、変更した際は本人に通知することが決められています。
「個人情報の利用目的を提示すること」において個人情報取扱事業者がすべきことをまとめると以下のようになります。
②個人情報を適正に取得する
2つ目は、「個人情報を適正に取得する」ことです。
個人情報保護法のガイドラインには、個人情報を適正に取得することが義務とされています。
つまり、個人情報を不正な手段で取得することは禁止されています。
また、要配慮個人情報を取得する場合は本人の同意を取る必要があります。
そして個人情報を取得する場合には、利用目的を取得後速やかに本人に通知・公表する必要があります。(事前に公表している場合を除く)
もし、アンケートなど本人から個人情報を直接取得する場合は、利用目的は事前に明示しましょう。
「個人情報の適正に取得すること」において個人情報取扱事業者がすべきことをまとめると以下のようになります。
③個人データを適切に管理する
3つ目は、「個人データを適切に管理する」ことです。
個人データは、利用目的の達成に必要な範囲内で更新する(常に最新化する必要はなく、あくまで必要な範囲で更新する)こと、利用目的を達成した個人データは削除することが決められています。
また、個人データの漏えい・滅失・毀損を防ぐ措置(安全管理措置)を講じなければいけません。
安全管理措置には、以下の4種類があります。
この安全管理措置については、「3.1安全管理措置の対象に関する改正」で説明した通り改正で適用範囲が拡大しているので注意が必要です。
そして、個人データを取り扱う委託先に対する監督も義務となっています。
委託先に対する監督とは、自らがすべき「安全管理措置」の内容を委託先も同等の措置が講じられるようにすることをいいます。
「個人データを適切に管理すること」において個人情報取扱事業者がすべきことをまとめると以下のようになります。
④個人情報の漏えい等が起こった際には個人情報保護委員会・本人に報告する
4つ目は、「個人情報の漏えい等が起こった際には、個人情報保護委員会・本人に報告する」ことです。
漏えい等とは、漏えい・滅失・毀損のことを指します。
個人情報保護法のガイドラインでは、個人情報保護委員会規則で定めている「個人の権利利益を害するおそれが大きいもの」に漏えい等が生じた場合は、個人情報保護委員会への報告・本人への通知が義務とされています。
※引用:個人情報保護委員会「漏えい等の報告・本人への通知の義務化について」
「3.不正の目的をもって行われた漏えい等が発生した事態」については「3.3漏えい等発生時の報告等義務に関する改正」でも紹介した通り、適用範囲が実質拡大しているため、注意が必要です。
個人情報保護委員会への報告の際には、以下の事項(規則8条)を個人情報保護委員会のホームページの報告フォームに入力する方法により行います。
規則8条(第1項)
- 概要
- 漏えい等が発生し、又は発生した恐れがある個人データの項目
- 漏えい等が発生し、又は発生した恐れがある個人データに係る本人の数
- 原因
- 二次被害またはその恐れの有無及びその内容
- 本人への対応の実施状況
- 公表の実施状況
- 再発防止のための措置
- その他参考となる事項
※引用:個人情報保護委員会「3-5-3個人情報保護委員会への報告」
漏えいがわかった時から3~5日以内に個人情報保護委員会に【速報】を報告し、30日または60日(不正な目的で行われた恐れがある場合)までに【確報(続報)】を送らなければいけません。
また、漏えいが起こった際は、本人に電子メールや文書の送付で漏えいを通知することが義務となっています。
「個人情報の漏えい等が起こった際に行う報告・通知」において個人情報取扱事業者がすべきことをまとめると以下のようになります。
個人情報の漏えいが起こった場合の対応は以下の記事で詳しく説明していますので、ぜひお読みください。
なお、企業の評判を守るための風評被害対策に関する資料を、以下から無料でダウンロードできるのでご活用ください。
⑤個人情報の第三者提供時には同意を得る
5つ目は、「個人情報の第三者提供時には同意を得る」ことです。
個人情報保護法のガイドラインでは、本人の同意なしに第三者に個人データを提供してはいけないと決められています。
また、第三者提供時には記録を残す必要があります。
第三者提供時には必ず本人の同意を得てから提供し、第三者提供したという記録を残しましょう。
例外として、第三者提供時に同意を得ずに提供できる「オプトアウト」という仕組みがあります。
「オプトアウト」とは、個人情報を第三者提供するにあたり、本人が反対しない限り個人情報の第三者提供に同意したものとみなし、個人情報を第三者提供できるという仕組みです。
「オプトアウト」を利用するためには、以下の事項を個人情報保護委員会に届け出る、本人が簡単に知ることができるようにする必要があります。
- 第三者への提供を行う個人情報取扱事業者の情報
- 第三者への提供を利用目的にすること
- 提供される個人データの対象項目・取得方法、第三者への提供方法
- 本人からの求めに応じて第三者提供を停止すること
- 本人からの「第三者提供停止」を受け付ける方法
参考:個人情報保護委員会「3-6-2-1オプトアウトによる第三者提供」
「個人情報の第三者提供」において個人情報取扱事業者がすべきことをまとめると以下のようになります。
⑥保有個人データに関する事項を公表する
6つ目は、「保有個人データに関する事項を公表する」ことです。
保有個人データとは、「個人データの中の個人情報取扱事業者が開示・訂正・追加・削除の権限をもつもの」のことを言います。
個人情報取扱事業者は、保有個人データについて決められた事項を本人が知り得る状態に置く必要があります。
【保有個人データについて本人が知り得る状態(ホームページへの掲載・パンフレットの配布など)に置くべき事項】
- 個人情報取扱事業者の氏名または名称、住所、法人の場合は代表者氏名
- すべての保有個人データの利用目的
- 保有個人データの利用目的の通知の求めまたは開示等の請求、それに伴う手数料の額
- 保有個人データの安全管理のために講じた措置(安全管理措置)
- 保有個人データの取り扱いに関する苦情の申出先
※参考:個人情報保護委員会「3-8-1保有個人データに関する事項の公表等」」
また、取り扱う保有個人データについて本人からの請求があった場合には、開示・請求・利用停止などに応じ、苦情にも適切に対応しなければなりません。
「保有個人データに関する事項の公表」において個人情報取扱事業者がすべきことをまとめると以下のようになります。
以上、6つに分けて個人情報保護法のガイドラインの内容を解説しました。
個人情報保護法のガイドラインに対応しないと起こるリスク
個人情報保護法のガイドラインに対応しないと起こりうることとして、
- 法令違反で罰則、罰金が科される
- 個人情報漏えいが発生する可能性が高くなる
ことが挙げられます。
個人情報保護法のガイドライン内には、以下のような文章があります。
本ガイドラインの中で、「しなければならない」及び「してはならない」と記述している事項については、これらに従わなかった場合、法違反と判断される可能性がある。
※引用:個人情報保護委員会「1-1目的」
つまり、ガイドライン内で「しなければならない」および「してはならない」と記述がある事項を守らない場合は法律違反となり、個人であれば1年以下の懲役または100万円以下の罰金、法人であれば1億円以下の罰金が科されます。
また、ガイドライン内では、個人情報漏えいに対する対策(安全管理措置)を講じることが求められていますが、これに沿わない場合、個人情報漏えいが起こる可能性が高くなります。
個人情報漏えいが起こった場合、損害賠償などによる金銭の損失や社会的信用を失うなどのリスクが伴います。
個人情報漏えいが起こった場合に発生するリスクについては以下の記事で詳しく解説していますので、ぜひご確認ください。
以上のことから、個人情報保護法のガイドラインを遵守することは、会社のためでもあり、本人のためにもなります。
個人情報取扱事業者は、ガイドラインの内容を理解し、改正にも迅速に対応しましょう。
まとめ
この記事では、個人情報保護法のガイドラインの改正内容と、個人情報保護法のガイドラインの内容を6つに分けて解説しました。
個人情報を守るべき理由から、ガイドラインに対応しないと起こりうることまでを紹介したので、個人情報保護法のガイドラインに対応することの大切さが理解できたと思います。
令和6年4月1日付けで個人情報保護法と個人情報保護法のガイドラインが改正されました。
その内容は「Webスキミングの増加」という背景から、
- 安全管理措置
- 保有個人データに関する事項の公表
- 漏えい等発生時の報告等義務
の適用範囲が「個人データ」から「個人情報取扱事業者が手に入れる予定がある個人情報」までに拡大されました。
個人情報取扱事業者は、ガイドラインの改正に対応するとともに「Webスキミング対策」を講じる必要があります。
また、個人情報保護法のガイドラインの内容は以下の6つに分けられます。
- 個人情報の利用目的を定める
- 個人情報を適正に取得する
- 個人データを適切に管理する
- 漏えい時には、個人情報保護保護委員会・本人に報告する
- 個人情報の第三者提供時には同意を得る
- 保有個人データに関する事項を公表する
これら6つの項目に、個人情報保護法のガイドラインの事例等を参考にしながら対応しましょう。
Webスキミング・個人情報漏えい対策として、不正アクセス検知サービス「O-MOTION」の導入をぜひご検討ください。
自社の不正アクセス状況が分かるトライアル利用受付中!
O-MOTIONの資料DLはこちら