このページの目次
⑴ 個人情報保護
個人情報の取扱いについては、「個人情報の保護に関する法律」(以下では「個人情報保護法」と呼びます)において、取り扱いの方法等が定められています。
個人情報を取り扱う事業者は、この法律に従って個人情報の取扱いを定めなければなりませんので、以下ではこの法律の内容について簡単にまとめていきます。
⑵ 個人情報とは
個人情報保護法での「個人情報」とは、生存する個人に関する情報であって
- 当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの若しくは
- 個人識別符号(文字、番号、記号当で個人を識別できるもの。たとえば運転免許証番号やパスポート番号など)とされています(2条1、2項)。
たとえば、生年月日単独(昭和50年12月10日生など)では個人を得的することはできませんが、「〇〇市〇〇町に住む昭和50年12月10日生まれの男性」というように条件を付していくと、必ずしも氏名がなくとも個人を特定することが可能になってきます。
「その他の記述等により」というのは、このようなことを意味します。
そして、この個人情報の中で、特に取扱いに注意が必要なものとして「要配慮個人情報」が定められており、具体的には「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報」を指しており(2条3項)、たとえば病院のカルテなどはこれに該当します。
⑶ 個人情報取扱事業者
個人情報取扱事業者とは、個人情報データベース等を事業の用に供しているものを指します(16条2項)。
個人情報データベースとは、個人情報を含む情報の集合物で、特定の個人情報を容易に検索できるよう構成したものを指します。
かつては取り扱いの件数によって個人情報取扱事業者から除外されることがありましたが、現在はその規制はなくなり、少ない件数でも体系的に個人情報を扱っている以上個人情報取扱事業者となります。
また、データベースのようなものがあっても、市販されているものや、一般に公開されているもの(たとえば弁護士会の弁護士一覧など)は、個人の権利利益を害するおそれが少ないということで個人情報データベースから除外されているほか、体系的な検索ができないような形で個人情報が取り扱われている場合には、個人情報データベースに含まれません。
⑷ 個人情報取扱事業者の義務
個人情報取扱事業者は、個人情報を取り扱うにあたり、以下のような義務を負います。
- 利用目的をできる限り特定する(17条1項)
- 利用目的達成に必要な範囲を超えて取り扱ってはならない(18条1項)
- 違法、不当な行為を助長し、誘発するおそれのある不適切な方法での利用の禁止(19条)
- 偽りその他不正な手段による取得の禁止(20条1項)
- 取得に際して利用目的を通知若しくは目的の公表(21条)
また、取得した個人情報(個人データ)についても、第三者への提供が制限されたり(27条)します。
⑸ 個人情報漏えいの際の措置
個人情報が漏えい、滅失、毀損等した場合で、個人の権利利益を害するおそれが大きいものについては、個人情報保護委員会に漏えい等の事態を報告しなければなりません。
個人の権利利益を害するおそれが大きい場合とは
- 要配慮個人情報が含まれる個人情報データが漏えい等した場合
- 不正に利用されることにより財産的被害が生じるおそれがある個人データが漏えい等した場合
- 不正の目的をもって行われたおそれのある個人データの漏えい等(ハッキングを想定しています)
- 個人データに係る本人の数が1000人を超える場合
です。規定から明らかなとおり、①~③の場合には、漏えい等した件数は問われません。たとえ1件であっても個人情報保護委員会への報告が必要となります。
また、このような①から④に該当する事態が生じた場合には、個人情報取扱事業者は、本人に対して漏えい等の事態が生じたことを通知しなければなりません(26条2項)。
そのため、個人情報が漏えいしたような場合には、内部的な処理のみをすることは許されず、必ず社外に漏えい等の事態が明らかになる仕組みとなっていますから、個人情報の取扱いには一層注意を払う必要があります。