個人情報のことを知って、守ることが情報セキュリテイの第一歩

個人情報保護と個人情報保護法って何?

事業活動を進めるために企業などでは、顧客や従業員などの個人情報を収集し利用していま

す。

しかし、情報漏えいや紛失、目的外の利用などが発生しないように様々な対策を講じなければ

なりません。

それは、個人情報は機微な情報であるためです。

個人情報保護が必要となった契機は、「プライバシー保護と個人データの国際流通についての

ガイドラインに関するOECD理事会勧告」(1980年9月)と言えるでしょう。

これを契機に、経済産業省(当時は通商産業省)などの監督官庁が個人情報保護ガイドライン

を策定し、これを受け各業界団体での個人情報保護ガイドラインが策定されました。

個人情報保護の法制化としては、「行政機関の保有する電子計算機処理に係る個人情報の保護

に関する法律」(1988年12月16日公布)、「個人情報の保護に関する法律」(個人情報保護

法、2003年5月公布、2005年4月全面施行)が挙げられます。

これにより、個人情報保護の取り組みが本格化し、そのなかでも特に個人情報保護法を契機と

して、企業においての個人情報保護体制、プライバシーポリシー、規程などの整備したり、個

人情報保護監査が実施されました。

さらに、「行政手続における特定の個人を識別するための番号の利用等に関する法律」(マイ

ナンバー法、2013年5月31日公布)によって、マイナンバーが企業にとって重要な問題となり

ました。

実施すべき個人情報保護法の主な重要規定とは?

個人情報保護法では、国が実施すべき事項などを定めていて、他に事業者が実施すべき事項を

定めています。

個人情報保護法において重要な規定としては、下記の通りで、情報セキユリテイ担当者は、内

容と規定のをしっかり理解しておく必要があります。

規定のうち特には、利用目的の特定、利用目的の通知等の規定には特に注意が必要です。

また、誤った個人情報による顧客等への影響があるためデータ内容の正確性の確保について十

分配慮する必要があります。

利用目的の特定

・個人情報保護法第15条

取得に際しての利用目的の通知等

・個人情報保護法第18条

データ内容の正確性の確保

・個人情報保護法第19条

適正な取得

・個人情報保護法第17条

保有個人データに関する事項の公表等

・個人情報保護法第24条
・個人情報保護法施行令第5条

開示

・個人情報保護法第25条
・個人情報保護法施行令第6条

訂正等

・個人情報保護法第26条

個人情報取扱事業者による利用停止等

・個人情報保護法第27条

理由の説明

・個人情報保護法第28条

開示等の求めに応じる手続

・個人情報保護法第29条
・個人情報保護法施行令第7条、第8条

手数料

・個人情報保護法第30条

個人情報取扱事業者による苦情の処理

・個人情報保護法第31条

全面施行された個人情報保護法の改正のポイント

2015年9月に改正個人情報保護法(「個人情報の保護に関する法律及び行政手続における特定

の個人を識別するための番号の利用等に関する法律の一部を改正する法律」)が制定されて、

2017年5月30日に全面施行されました。

個人情報保護法の改正のポイントは下記に示したとおりです。

個人情報の定義の明確化

改正前の個人情報保護法では、個人情報の定義があやふやな部分があったため、
身体的特徴等が該当することを明確に定義することとともに、要配慮個人情報(
信教や門地といった機微情報)について明確に規定した

適切な規律の下で個人情報の有用性を確保

個人情報の活用の視点から個人を特定できないようにするなどの一定の条件を満たせば
第三者提供ができるようになった

個人情報保護委員会の新設およびその権限

個人情報保護委員会を新設して、業界で別々だった個人情報の主務大臣の権限を一元化した

個人情報の取り扱いのグローバル化

国境を越えた個人情報の流通に関する取り扱いを明確にした

その他

本人の同意を得ない第三者提供の届け出、公表等の厳格化、利用目的の変更を可能と
する規定の整備、個人情報取扱事業者(取り扱い個人情報が5,000人超)の制限をなくし小規模事業者も対象とした

特に、いままで対象外となっていた小規模事業者が個人情報保護法が適用されることなりまし

たので、個人情報保護法の中小企業や中堅企業などでは注意が必要です。

改正個人情報保護法(匿名個人情報)への具体的な対応

改正個人情報保護法が全面施行されたことにより、企業において個人情報を活用することへの

道が開かれました。

近年、ビッグデータの活用が注目を集めておりマーケティング以外でも拡大していて、様々な

場面でのビッグデータの分析による新たな取り組みが促進しています。

そして、改正前の個人情報保護法では、目的外の個人情報の利用が制限されていたため、個人

情報の活用が行なえるような柔軟な仕組みが求められていました。

過去をみてみると、例えば、電車乗降データの外部への販売が問題になった事件があり、個人

情報の利用が問題になりました。

この電車乗降データを分析することにより、乗客の流れを把握することは、出店計画や都市開

発計画に活用することができます。

また、より精度の高いマーケティングを行なうために乗降記録のほかに年齢や性別なども分析

することで可能になります。

そこで、個人情報保護法を改正して、この個人情報の活用していくことができるよになったの

です。

改正法では、個人情報を活用する原則としては、匿名加工情報にすることにより、個人を特定

できないようにすることが定められています。

したがって、個人情報を匿名化すれば、本人の合意がなくても活用することができるようにな

ります。

この個人情報保護法の改正に伴い、個人情報を匿名化する仕組みやプロセスの整備が企業など

では求められますが、具体的には、次のようなことが挙げられます。

なお、個人情報保護委員会規則で定める基準に従う必要があることも注意が必要です。

・個人情報の匿名化の依頼・承認・確認などの手続を定める

・個人情報の匿名化の責任者・担当者を定める

・個人情報の匿名化の技法および作業手順を定める

・個人情報が匿名化されたことを作業者以外の者が確認する

・作業記録を残す

・個人情報の匿名化に関する作業について外部に委託する場合には、事前に適切な契約を締結し、作業状況を管理する

リスクの見落を防ぐために「個人情報のライフサイクル」でセキュリティを考える

個人情報のライフサイクルで考えると個人情報保護は、リスクの見落としやセキュリティ対策

の脆弱な部分の発生を防ぐことが可能となります。

例えば、次のように個人情報のライフサイクルを把握しましょう。

誰がどこでどのような方法で個人情報を取得するのか

取得した個人情報を誰がどのように情報システムに入力するのか

入力時にはどのようなチェックが行なわれるのか

入力のもととなる契約書などの書類を誰がどこにどのように保管しているのか

情報システムに登録された情報を誰が何の目的でどのように利用しているのか

情報システムへのアクセス管理を誰がどのように行なっているのか

情報システムの利用状況をチェックする人はいるのか

不要になった個人情報や書類を誰がいつどのように廃棄しているのか

個人情報へのアクセスポイントを図でわかりやすく把握して考える

個人情報保護をライフサイクルの視点から把握するだけではなく、アクセスポイントとして個

人情報がどこに存在しているのか把握することも重要です。

この場合には、図にすることによりわかりやすくなり、企業などにおいて個人情報がどこにあ

るのかを容易に把握することができます。

例えば、事務所の図面に個人情報が記載された’帳票の場所やパソコンやサーバの設置場所を示

すことによって、その場所のリスクを考えることができます。

例えば、個人情報に関係するリスクを把握するために、第三者が立ち入りやすい場所か、施錠

保管をしているか、パソコンはワイヤーで紛失・盗難防止を行なっているか、サーバがサーバ

ルームに設置されてサーバラックは施錠されているか、といったことも図に入れておけば、全

体を把握しやすくなります。

個人情報は利用は、どんな目的に利用できるのか?

企業活動を行なううえで、貴重な経営資源である個人情報ですが、不特定に利用することがで

きるわけではなく、個人情報を取得するときに通知・公表している内容に従い、個人情報の利

用目的の範囲内で利用しなければなりません。

顧客の個人情報の利用に対する関心は高まっている現在では、目的外の利用を行うことによ

り、企業の社会的信用が失墜することになります。

例えば、アンケートだけに限られた利用すると説明して取得した情報を、他のサービスの販売

目的で利用することや転売しないようにすることが大切です。

そのため、経営者や管理者は、個人情報の利用目的を誤らないように、個人情報の目的内利用

を認識し実践するように部下を指導・教育することが重要です。

まとめ

ビッグデータとはインターネットの普及とIT技術の進化によって生まれた、これまで企業が

扱ってきた以上に、より大容量かつ多様なデータを扱う新たな仕組みを表すもので、その特性

は量、頻度(更新速度)、多様性(データの種類)によって表されます。

「ビッグデータ」を活用すれば、すべてが上手くいくわけではありません。

たとえデータを分析して、来週売れる物が分かったとしても、供給できないのでは宝の持ち腐

れになってしまいます。

また、利益以上にデータ分析のためのコストがかかっては本末転倒になってしまいます。

シェアする

  • このエントリーをはてなブックマークに追加

フォローする