個人情報保護の考え方の源泉は1980年にOECDが定めた“OECD個人情報保護 8原則”にあります。この8原則を基本として、日本やその他各国の法律等が作られています。
個人情報保護法には個人情報保護に関する規律が「匿名加工情報取扱事業者の義務」として第4章第15条から第35条で述べられています。また第36条から第39条には「匿名加工情報の取扱」について述べられています。
個人情報保護法の具体的な遵守方法については個人情報保護法に付随する「政令」、「基本方針」、「ガイドライン」に具体的に述べられています。つまり、個人情報保護法を理解し、遵守するためには、個人情報保護法のほか、政令、基本方針、ガイドライン等を理解する必要があります。
附則 *
凡例 * 改正個人情報保護法で追加された条文JISQ15001 日本における個人情報保護マネジメントシステムの構築維持のベースになっていると同時に、JISの認証基準でもあります。JISQ15001では、トップダウンで個人情報保護方針を定め、Plan(計画)、Do(実施・運用)、Check(点検・監査)、Action(事業者の代表者による見直し・改善)するマネジメントサイクルを回すことで、管理レベルをスパイラル状に向上させていく仕組みです。
個人情報保護や情報セキュリティが適正、適切に実施されている証として、「認証マーク」が付与される制度があります。「JISQ15001」「TRUSTe」「ISMS」などがよく知られています。
個人情報保護を適正に実施できる体制を構築していることを、お客様にアピールするためには第三者認証の取得が有効です。
個人情報保護法の対象となるのは、個人情報取扱事業者と匿名加工情報取扱事業者です。
ここでは、個人情報取扱事業者と匿名加工情報取扱事業者を含む個人情報保護法第2条の定義を説明しています。
「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者のうち、国の機関、地方公共団体、独立行政法人、地方独立行政法人を除いた者をいいます。
ここでいう「事業の用に供している」の「事業」とは、一定の目的の下で継続して遂行される同種の活動のことで、社会通念上事業と認められるものをいい、営利・非営利の別は問いません。また、個人情報データベース等を事業の用に供している者であれば、データベースに含まれる特定の個人の数の多寡にかかわらず個人情報取扱事業者に該当します。さらに、法人格がなく権利能力のない社団(任意団体)又は個人であっても、個人情報データベース等を事業の用に供している場合は個人情報取扱事業者に該当します。
「匿名加工情報取扱事業者」とは、「匿名加工情報データベース」を事業の用に供している者のうち、国の機関、地方公共団体、独立行政法人、地方独立行政法人を除いた者をいいます。
個人の氏名、住所、生年月日、電話番号はもちろん個人情報ですが、防犯カメラに記録された情報や音声であっても特定の個人を識別できるものであれば個人情報となります。
また、数字と記号からなるメールアドレスやIDなど、それ自体では本人を特定できなくても、他の情報と照合することによって容易に特定の個人を識別することができれば個人情報となります。例えば、第三者にとっては個人を特定できないIDであっても、社内にIDと住所・氏名が対応づけられた情報がある場合、そのIDは個人情報となります。同様に Cookie等のWeb-beacon についても、個人情報に絡めて収集し、DB化すれば個人情報となるので注意が必要です。
また、「個人識別符号が含まれるもの」も個人情報です。
「個人識別符号」とは、当該情報単体で特定の個人を識別できるものをいい、文字、番号、記号その他の符号など以下に掲げるものなどが該当します。
「要配慮個人情報」とは、不当な差別や偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして、次の(1)から(11)までの記述等が含まれる個人情報をいいます。
要配慮個人情報の取得や第三者提供には、原則として本人の同意が必要であり、法第23条第2項の規定による第三者提供(オプトアウトによる第三者提供)は認められていないので、注意が必要です。
なお、次に掲げる情報を推知させる情報にすぎないもの(例:宗教に関する書籍の購買や貸出しに係る情報等)は、要配慮個人情報には含まれません。
「個人情報データベース等」とは、特定の個人情報を検索することができるように体系的に構成した、個人情報を含む情報の集合物をいいます。また、コンピュータを用いていない場合であっても、紙面で処理した個人情報を一定の規則(例えば、五十音順等)に従って整理・分類し、特定の個人情報を容易に検索することができるよう、目次、索引、符号等を付し、他人によっても容易に検索可能な状態に置いているものも該当します。
ただし、次の(1)から(3)までの、いずれにも該当するものは、利用方法からみて個人の権利利益を害するおそれが少ないため、個人情報データベース等には該当しません。
「個人データ」とは、個人情報取扱事業者が管理する「個人情報データベース等」を構成する個人情報をいいます。
ただし、次の(1)から(3)までの、いずれにも該当するものは、利用方法からみて個人の権利利益を害するおそれが少ないため、個人情報データベース等には該当しませんから、それらの中にあるデータも個人データに該当しません。
「保有個人データ」とは、個人情報取扱事業者が、本人又はその代理人から請求される開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止の全てに応じることができる権限を有する「個人データ」のことをいいます。つまり、本人は保有個人データに関して、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止の請求をすることができるのです。
ただし、その「個人データ」のうち、次の(1)~(4)に掲げるもの又は6か月以内に消去する(更新することは除く。)こととなるものは、「保有個人データ」ではありません。
「匿名加工情報」とは、次の(1)、(2)に掲げる個人情報の区分に応じて、特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいいます。
法は、「個人情報」、「個人データ」、「保有個人データ」、「要配慮個人情報」、「匿名加工情報」等の語を使い分けており、個人情報取扱事業者等に課される義務は次の表のようにそれぞれ異なるので、注意を要します。
保有個人データ | 個人データ | 個人情報 | 匿名加工情報 | |
---|---|---|---|---|
利用目的の特定 通知・公表 | ○ | ○ | ○ | |
目的外利用の禁止 | ○ | ○ | ○ | |
適正な取得 | ○ | ○ | ○ | ─ |
安全管理措置 | ○ | ○ | ○ | |
第三者提供の制限 | ○ | ○ | ||
事業者名等の公表 | ○ | ○ | ||
開示・訂正・利用停止 対応 | ○ |
ご入会のお手続きはこちら
会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。