あなたは日々の生活の中で、ご自身の個人情報をしっかりと守れていますか?
例えば、どこかであなたの住所やメールアドレスが記載された名簿が流出してしまい、
ダイレクトメールが頻繁に送り付けられることがあります。
それだけならともかく、銀行の口座番号が漏れてしまい、
勝手に預金が下ろされていた事件も起こりえます。
これらは個人情報が保護されていないために起きたことです。
日本では2003年5月に「個人情報の保護に関する法律」が公布されました。
通称「個人情報保護法」です。
今回はニュースなどでよく聞く個人情報保護法の詳細についてわかりやすく紹介したいと思います。
もうやだなー。変な勧誘メールがいっぱい届くよ
むやみやたらにサイトに個人情報を書き込んでいないか?情報はどこからもれるかわからないぞ
別に住所や名前がバレたってたいしたことないよ
油断大敵じゃ。住所だけでなく、クレジットカード番号やマイナンバーが誰かに知られていたらどうする?悪用されて預金を勝手におろされることもあるぞ
それは困る!ほとんど無いけど困る
高度情報社会において個人情報の保護は各人が徹底しなければならぬ、そのために個人情報保護法が作られたのじゃ
わかった!気を付けるよ!でも、その法律って名前は知っているけれど、よくわからないんだよね。どういう内容なの?詳しく教えて!
目次
個人情報保護法の概要は?
個人情報保護法の正式な法律名は、「個人情報の保護に関する法律」です。
2003年5月に公布され、2005年4月に全面施行されました。
主に個人情報を取り扱う民間事業者の遵守すべき義務等を定める法律です。
高度情報通信社会の進展に伴い個人情報の利用が拡大しておる。そのため、個人情報の適切な扱いについて遵守すべき義務等をまとめたものがこの法律じゃ。以下の内容が定められておる。
・個人情報の適正な取り扱いに関する基本理念
・個人情報の適切な取り扱いに関する政府の基本方針
・個人情報の保護に関する施策の基本
・個人情報の保護に関する国及び地方公共団体の責務
・個人情報を取り扱い事業者の遵守すべき義務
・個人情報の適切な取り扱いに関する政府の基本方針
・個人情報の保護に関する施策の基本
・個人情報の保護に関する国及び地方公共団体の責務
・個人情報を取り扱い事業者の遵守すべき義務
国が個人情報を取り扱う基本方針を定めて、事業者に遵守させるための法律なんだね
顧客の情報を取り扱う業者は特に厳密に情報を守らねばならん。個人情報保護法によって、個人情報を個人情報データベース等として所持している事業者は、取扱件数に関係なく個人情報取扱事業者とされることとなった。個人情報取扱事業者は主務大臣への報告やそれに伴う改善措置に従わない等の適切な対処を行わなかった場合は、刑事罰が科されるのじゃ
個人情報を厳密に扱わない業者を罰することができるようになったってことだね。罰則を設けることで、個人情報が流出しないように気を付けてくれるようになるといいんだけれど。ところで個人情報って具体的には何のこと?生年月日や住所?
それだけれはない。個人を特定できる全てが個人情報じゃ。詳細を説明しよう
個人情報とは?
「個人情報」とは、生存する個人に関する情報であって、
特定の個人を識別することができるもの及び、個人識別符号のことを言います。
他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものは
全て個人情報とされます。
映像、音声による情報も含まれ、暗号化等によって秘匿化(ひとくか)されているかどうかを問いません。
住所・氏名・生年月日などの他、クレジットカードやマイナンバーの情報など、個人を特定、もしくは個人に帰属するプライバシーに関わる情報の全てが個人情報じゃ。
そんなに色々とあるんだね
まだある、例えば指紋や虹彩(こうさい)、手のひらの静脈情報など明確に個人を特定し区別することができる身体的特徴も個人情報に含まれるぞ。こういった情報がセキュリティ事故などによって不正に外部に流出してしまうと、悪意を持った者に犯罪等に悪用される可能性もある
つまり個人を特定できるものは全部個人情報ってことだね!個人情報が流出するとどんな犯罪に巻き込まれるかわからないから全部守らないと
まとめておくと、以下のもの全てが個人情報だ。覚えておくように
・本人の氏名
・生年月日
・連絡先(住所・居所・電話番号・メールアドレス)
・会社における職位又は所属に関する情報について、それらと本人の氏名を組み合わせた情報
・防犯カメラに記録された情報等本人が判別できる映像情報
・本人の氏名が含まれる等の理由により、特定の個人を識別できる音声録音情報
・特定の個人を識別できるメールアドレス(メールアドレスの情報から本名・会社名等がわかってしまうもの)
・官報、電話帳、職員録、法定開示書類(有価証券報告書等)新聞、ホームページ、SNS(ソーシャル・ネットワーク・サービス)等で公にされている特定の個人を識別できる情報
・生年月日
・連絡先(住所・居所・電話番号・メールアドレス)
・会社における職位又は所属に関する情報について、それらと本人の氏名を組み合わせた情報
・防犯カメラに記録された情報等本人が判別できる映像情報
・本人の氏名が含まれる等の理由により、特定の個人を識別できる音声録音情報
・特定の個人を識別できるメールアドレス(メールアドレスの情報から本名・会社名等がわかってしまうもの)
・官報、電話帳、職員録、法定開示書類(有価証券報告書等)新聞、ホームページ、SNS(ソーシャル・ネットワーク・サービス)等で公にされている特定の個人を識別できる情報
※2017年5月30日の改正により、生存する個人に関する身体的な特徴で本人認証が可能なもの(指紋認証データや顔認証データ)や個人に割り当てられる公的な番号(運転免許証番号や旅券番号)も含まれるようになりました。
個人情報取り扱い事業者とその責務は?
個人情報取り扱い事業者は個人情報保護法を遵守する責務があります。
しかし、個人情報取り扱い事業者に当てはまるのはどのような事業者なのでしょうか?
また、個人情報取り扱い事業者が遵守すべきこととは何でしょうか?
ところで個人情報取り扱い事業者って何?
国、地方公共団体、独立行政法人等および地方独立行政法人や、民間事業者……個人情報保護法の対象は個人情報を扱うすべての組織じゃ。
ほとんど全部だね
うむ、個人情報を、紙媒体・電子媒体を問わず、データベース化し、その事業活動に利用している団体は全部対象となるのじゃ。しかも法人に限定されず、営利・非営利の別は問わない
フリーランスの人とかはどうなの?
良い質問じゃ、個人事業主やNPO、自治会等の非営利組織もこれに該当する。改正前は5000件以下の個人情報のみ扱っている場合は、個人情報取扱事業者の対象外とされていたが今は情報件数は関係なくなったのじゃ
なるほど、ということはほとんどの団体が対象になるね
うむ、今や誰もが関係のある法律ということじゃな。ちなみに個人情報取り扱い事業者には以下のようなことが求められるぞ
①利用目的の明確化・利用目的による制限(第15条、第16条)
個人情報を取り扱うときは、利用目的をできる限り具体的かつ明確にせねばならない
事前に決めた利用目的以外で個人情報を利用しちゃいけないんだね
②個人情報の適正な取得・利用目的の通知、公表(第17条、第18条)
偽証やその他不正な手段によって個人情報を取得してはならぬ。また、個人情報を取得したときは、速やかに利用目的を本人に通知又は公表しなければならん。ただし、あらかじめ利用目的を公表している場合は通知の必要はないのじゃ
本人から直接書面などで個人情報を取得するときは、あらかじめ本人に利用目的を明らかにしなくちゃいけないってことだね
③個人情報の正確性の確保(第19条)
利用目的を達成するのに必要な範囲で、個人データを正確かつ最新の内容に保つように努めるということじゃ
必要以上に情報を集めたり、情報の更新を怠ったりしちゃいけないってことだね
④個人情報の安全管理措置・従業者、委託先の適切な監督(第20条、第21条、第22条)
個人データの漏洩(ろうえい)や、滅失(めっしつ)又は毀損(きそん)を防ぐための安全管理措置を講じるという意味じゃ。特に個人データの取扱いを他の事業者に委託する場合は、委託先に対し必要かつ適切な監督を行うべし!
ずさんな処理で情報がダダ漏れとかありえないよね!個人情報流出、ダメ、絶対!
利用する必要がなくなったときは、データを消去するよう努めるのじゃ
⑤個人情報を第三者に提供する場合の制限(第23条~第26条)
あらかじめ本人の同意を得ないで、他の事業者などの第三者に個人データを提供してはならぬ。ただし、一定の条件に合致する場合は、本人の同意を得ずに第三者に提供することができる。一定の条件とは、具体的に以下の通りじゃ
・法令に基づく場合(捜査に必要な取調べや捜査関係事項照会への対応など)
・人の生命、身体又は財産の保護に必要で、本人の同意を得ることが困難である場合(急病や災害、事故の場合など)
・公衆衛生・児童の健全育成に特に必要で、本人の同意を得ることが困難である場合(疫学調査、児童虐待防止の情報提供など)
・国の機関等に協力する必要があり、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがある場合(税務調査、統計調査に協力する場合)
・人の生命、身体又は財産の保護に必要で、本人の同意を得ることが困難である場合(急病や災害、事故の場合など)
・公衆衛生・児童の健全育成に特に必要で、本人の同意を得ることが困難である場合(疫学調査、児童虐待防止の情報提供など)
・国の機関等に協力する必要があり、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがある場合(税務調査、統計調査に協力する場合)
つまり、どうしても必要な場合のみ第三者提供が許されるってことだね
当たり前のことじゃが個人情報は基本的に第三者に提供してはいけないものなのじゃ。そのため個人データの第三者提供時・受領時は記録作成が必要となっておる
⑥利用目的等の公表・個人情報の開示、訂正、利用停止(第27条~第34条)
事業者の氏名又は名称、保有個人データ(個人情報事業者が保有する個人情報データ)の利用目的、開示等に必要な手続、苦情の申出先等について本人に分かる状態にしないといけない。
必要だけど面倒くさいなぁ
つまり、保有個人データの開示を求められたときは、遅滞なく開示を行い、内容に誤りがあるときは、本人からの求めに応じて、訂正、追加、削除を行う必要があるのじゃ。保有個人データを利用目的の制限や適正な取得の義務に反して取り扱っているとの理由で利用の停止、又は、消去を求められた場合は、違反の是正に必要な限度で利用の停止や消去を行う
むむっ。難しいぞ……
例えばネットで誹謗中傷した人を訴える際に、裁判などに必要で個人情報を保持する会社が情報の開示を求められることがある。その際は速やかに開示し、手続き内容がわかるようにしなければいけないということじゃ
⑥苦情の処理(第35条)
個人情報の取扱いについて苦情の申出があった場合は、適切かつ迅速な処理に努めねばならない。
苦情受付窓口があったり、苦情処理マニュアルを作成して備え付けてあるといいね!
個人情報保護法に違反したらどうなる?
ところで、個人情報保護法にはどのような罰則があるのでしょうか?
個人情報保護法では、個人情報を扱う事業者に対して守るべき義務を課していますが、
これに違反し、個人情報保護委員会からの改善命令にも従わない場合は、罰則が適用されます。
罰則ってどんなものなの?
6ヶ月以下の懲役または30万円以下の罰金という刑事罰じゃ。また、加えて漏洩(ろうえい)等の被害が発生した場合は、情報漏洩の対象となった被害者からの損害賠償訴訟をされる。裁判の結果によっては賠償金を支払うことになるだろう
30万円以下の罰金より賠償金の方がすごいことになりそう。裁判の記録にも残るから会社の信用も落ちてしまうね
だからこそ、企業は個人情報保護法は遵守せねばならんのじゃ
個人情報保護法違反の事例を紹介
では、個人情報取扱事業者が違反してしまうのはどのような場合なのでしょうか?
個人情報保護委員会では違反しやすい事例として「ヒヤリハット事例」のいくつかをご紹介します。
①第三者に勝手に提供する例
販売業者が販売した商品に異物が混入していたとして、購入者から連絡があり、その際、販売業者は、製造業者に購入者の連絡先(電話番号のみ)を伝えることについて購入者の了承を得ていた。そこで製造業者に相談したところ、製造業者から代替品を送りたいとの申し出を受けたため、購入者の住所を伝えそうになった
え?それってダメなの?
ダメじゃ、なぜなら購入者が了承したのは電話番号のみじゃ。勝手に住所を教えてはいけない。購入者に許可を取ってからじゃろう。面倒だからといって確認を怠ってはいかんぞ
②利用目的を間違える例
ある人は小売店を営んでおり、人手不足のためアルバイトを募集していた。ところがなかなか人が集まらなかったため、店のポイントプログラムに登録している顧客をアルバイトに勧誘しようと思い、事前にその顧客の同意を得ることなく、登録された電話番号に電話をかけそうになった
それはダメでしょ!目的が違う!お客さんたちはポイントプログラムのために登録しているんだから!
その通り!集めた個人情報は違う目的のために利用してはならない
③電子媒体等の取扱いを間違える例
ある社員が顧客Aを訪問するため、社内の所定の手続を行った上で、顧客Aの個人データが記録されたUSBメモリを持ち出した。そして、用件が終わり帰社しようとしたところ、顧客Bを訪問することを思い付き、一旦帰社することなくそのまま顧客Bを訪問した。その社員は顧客Bを辞去する際、顧客Aの個人データが記録されたUSBメモリが入った封筒を置き忘れそうになった
危なーい!A社のデータがB社に見られたらどうするの?悪用されたら大変だよ
個人データが記録された電子媒体を安全に持ち出す際には、持出しデータの暗号化、パスワードによる保護、施錠できる搬送容器の使用などが有効じゃ。また個人データが記録された書類等を安全に持ち運ぶ方法としては、目隠しシールの貼付等を行おう
それよりもまず、不必要な情報を持ち出さないことが重要だよね。個人データが記録された電子媒体や書類等は持ち運ばなきゃいけないときはちゃんと記録して管理しないと!
④メールの送信を間違える例
これはよくある例じゃが、複数の顧客にイベントの案内を電子メールで知らせる際にBCC に顧客のメールアドレスを入力すべきところ、CCに入力し送信しそうになった
やりがちなミスだね。宛先はちゃんとチェックしないと危ないよ
フルネームや名前+会社名が入っているようなメールアドレスについては、個人情報に該当する可能性があり、事例については、同意のない第三者提供、漏えいに該当する場合があるので注意するのじゃ。特に電子メールは、情報漏えいしやすいものじゃ。電子メールを使用するにあたっては、誤送信等が生じないよう、送信時に宛先の確認等を行う工夫をした方がいい
『そのメール送信しても大丈夫ですか?』というポップアップが表示されるようにすると間違えないかもね!でも、本当に些細な事で個人情報って漏れてしまうんだね
うむ、個人情報の流出の危険は日常のどこにでも潜んでいる。個人情報保護委員会のホームページには他にも失敗例が載っているので確認してみてほしい
個人情報保護法とは?違反したら罰則は?事例をわかりやすくご紹介 おわりに
いかがでしたでしょうか。
今の時代、個人情報はいつどこで流出するかわかりません。
思わぬ犯罪に巻き込まれぬよう、一つ一つ確認し、厳重に保護しておきましょう。
一方、私たちもまた知識がないと労働する際などに顧客情報に対して悪気が無くてもいつの間にか加害者となってしまうかもしれないのです。
本当にささいな情報でも個人の特定につながることもあります。
情報を取り扱う際には責任を持って細心の注意を払う習慣をつけていきましょう。
自分は働いていないから関係ないと思った主婦の方!例えば子どもの学校の連絡網なども個人情報じゃ。そのため最近は連絡網を作らぬ学校が増えているとか……。個人で連絡先を交換する際にも情報が洩れぬように注意するのじゃぞ。例えば人のメールアドレスを勝手に誰かに教えるのもまた情報の漏洩と言えるだろう
ぎくっ!そういえば友達と遊ぶときメールをCCで一斉送信しちゃったことある。確認とってからじゃないとまずかったよね。これからは気をつけよう
些細なトラブルが訴訟問題に発展することもある。個人情報の大切さをしっかりと認識しておこう
最後までお読みいただきありがとうございました。
