法律(2)
個人情報保護
個人情報保護法
個人情報関連の法律
- 個人情報の保護に関する法律(基本法制)
- 行政機関の保有する個人情報の保護に関する法律
- 独立行政法人等の保有する個人情報の保護に関する法律
- 情報公開・個人情報保護審査会設置法
- 行政機関の保有する個人情報の保護に関する法律等の施行に伴う関係法律の整備等に関する法律(整備法)
個人情報保護法とは
個人個人情報の保護に関する法律
個人情報を取り扱う事業者の順守すべき義務を規定
対象は「事業者」、個人は対象にならない
法の目的(一般法部分)
個人の権利利益を保護することを目的として、民間事業者が、個人情報を取り扱う上でのルールを定めている
個人情報保護法の対象
- 個人情報保護法義務の対象は、個人ではなく「個人情報取扱事業者」
- すべての企業ではなく、事業の用に供する個人情報データベース等を構成する個人情報によって特定される個人の数の合計が、過去6か月以内のいずれの日においても5,000を超えない場合は除外される。
「個人情報」の定義
- 生存する個人に関する情報
- 当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの
(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)
(例)
- メールアドレス:ユーザ名及びドメイン名から特定の個人を識別することができる場合、個人情報に該当。記号や文字がランダムに並べられているものなどは、個人情報には該当しない。
- 死者の情報:生存する個人に限定されているので、対象外
- カメラで撮影した映像:それによって特定の個人が識別できる場合には、「個人情報」に該当
- 法人に関する情報:会社名や所在地は「個人情報」ではないが、法人情報の中に、役員の氏名などの個人に関する情報が含まれている部分については、「個人情報」
安全管理措置
個人情報保護法では個人情報取扱事業者に対して安全管理措置を講じることを求めている。経済産業分野のガイドラインでは、安全管理措置は「技術的安全管理措置」、「組織的安全管理措置」、「人的安全管理措置」、「物理的安全管理措置」に分類している。
組織的安全管理措置
安全管理について従業者の責任と権限を明確に定め、安全管理に対する規程や手順書を整備運用し、その実施状況を確認すること
【組織的安全管理措置として講じなければならない事項】
- 個人データの安全管理措置を講じるための組織体制の整備
- 個人データの安全管理措置を定める規程等の整備と規程等に従った運用
- 個人データの取扱い状況を一覧できる手段の整備
- 個人データの安全管理措置の評価、見直し及び改善
- 事故又は違反への対処
(例)個人データの漏えいなどの事故が発生した場合の、代表者などへの報告連絡体制を整備する
人的安全管理措置
従業者に対する、業務上秘密と指定された個人データの非開示契約の締結や教育・訓練等を行うこと
【人的安全管理措置として講じなければならない事項】
- 雇用契約時及び委託契約時における非開示契約の締結
- 従業者に対する教育・訓練の実施
(例)個人データの安全管理に関わる従業者の役割及び責任についての教育・訓練を実施する。
物理的安全管理措置
入退館(室)の管理、個人データの盗難の防止等の措置
【物理的安全管理措置として講じなければならない事項】
- 入退館(室)管理の実施
- 盗難等の防止
- 機器・装置等の物理的な保護
(例)個人データを取り扱う情報システムを,ICカードによる入退室管理を実施している室内に設置する。
技術的安全管理措置
個人データ及びそれを取り扱う情報システムへのアクセス制御、不正ソフトウェア対策、情報システムの監視等、個人データに対する技術的な安全管理措置
【技術的安全管理措置として講じなければならない事項】
- 個人データへのアクセスにおける識別と認証
- 個人データへのアクセス制御
- 個人データへのアクセス権限の管理
- 個人データのアクセスの記録
- 個人データを取り扱う情報システムについての不正ソフトウェア対策
- 個人データの移送・送信時の対策
- 個人データを取り扱う情報システムの動作確認時の対策
- 個人データを取り扱う情報システムの監視
(例)個人データを取り扱う情報システムへのアクセスの成功と失敗の記録を取得する。
国際的な個人情報流通を背景として1980年に「プライバシー保護と個人データの国際流通についてのガイドラインに関する理事会勧告」(OECDのプライバシーガイドライン)が採択された。 OECD加盟国に対し、プライバシーと個人の自由の保護に係る基本原則(基本8原則)を国内法の中で考慮すること、プライバシー保護の名目で設けられた個人データの国際流通に対する不当な障害を除去することに努めることなどを勧告している。 以後、世界各国でこのガイドラインに基づく法律やガイドラインの整備が行われてきた
| 収集制限の原則 | 個人情報収集の手段が適法かつ公正で、必要に応じて対象者の同意を得る |
|---|---|
| データ内容の原則 | 個人情報の収集は利用目的の範囲に限定され、かつ正確、完全、最新に保たれなければならない |
| 目的明確化の原則 | 個人情報収集の目的を事前に明確にすること。収集後の利用についても目的に矛盾しない。 |
| 利用制限の原則 | 収集された個人情報は目的以外には利用してはならない。ただし、法律の規定や本人の同意がある場合はこの限りではない。 |
| 安全保護の原則 | 収集された個人情報は改ざん、破壊、不正利用などのリスクから適切に保護されなければならない |
| 公開の原則 | 個人情報の運用/管理方法などについては公開されなければならない |
| 個人参加の原則 | 各個人は、自己に関する情報の有無や内容を確認することができる。情報に誤りがあった場合には意義を申し立て、内容の修正や削除を要求することができる。 |
| 責任の原則 | 個人情報の収集者には、これらの原則を実施する責任がある |
JIS Q 15001とプライバシーマーク(Pマーク)制度
JIS Q 15001とは
- JIS Q 15001は個人情報保護マネジメントシステムの要求事項
- JIS Q 15001が求める要求事項を満たしていれば、個人情報の取り扱いが適切と判断される。
個人情報保護マネジメントシステム
事業者が、自らの事業の用に供する個人情報を保護するための方針、体制、計画、実施、監査及び見直しを含むマネジメントシスム
個人情報保護マネジメントシステムの要求事項
一般要求事項
事業者は、個人情報保護マネジメントシステムを確立し、実施し、維持し、及び改善しなければならない
個人情報保護方針
事業者の代表者は、個人情報保護の理念を明確にした上で、次の事項を含む個人情報保護方針を定めるとともに、これを実行し、かつ、維持しなければならない
- 事業の内容及び規模を考慮した適切な個人情報の取得、利用及び提供に関すること(特定された利用目的の達成に必要な範囲を超えた個人情報の取扱いを行わないこと及びそのための措置を講じることを含む。)。
- 個人情報の取扱いに関する法令、国が定める指針その他の規範を遵守すること。
- 個人情報の漏えい、滅失又はき損の防止及び是正に関すること。
- 苦情及び相談への対応に関すること。
- 個人情報保護マネジメントシステムの継続的改善に関すること。
- 代表者の氏名事業者の代表者は、この方針を文書(電子的方式,磁気的方式など人の知覚によっては認識できない方式で作られる記録を含む。)化し、従業者に周知させるとともに、一般の人が入手可能な措置を講じなければならない。
プライバシーマーク制度とは
事業者が個人情報の取扱いを適切に行うための体制などを整備していることを認定する制度
1998年に運用が開始された
内容は、OECDによる「プライバシー保護と個人データの流通についてのガイドラインに関する理事会勧告」を包括している
個人情報保護マネジメントシステムの要求事項であるJIS Q 15001に準拠している事業者を認定する
プライバシーマークを使用するためには、この要求事項を満たした上で、JIPDEC(日本情報処理開発協会)が指定する指定機関の審査に合格する必要がある
※プライバシーマークは会社で一つの申請(事務所や業務単位で取得するISMSとは異なる)
