お知らせ・コラム
Columnカテゴリ
Category中小企業の個人情報の保護
中小企業の個人情報
今回は、中小企業の個人情報の保護についてご説明したいと思います。個人情報保護法では「個人情報」、「個人情報データベース等」、「個人データ」、「保有個人データ」、「要配慮個人情報」、「匿名加工情報」等の概念が使い分けられています。
個人情報の定義
「個人情報」とは、「生存する個人に関する情報」であって、「当該情報に含まれる氏名、生年月日その他の記述等……により特定の個人を識別できることができるもの」または「個人識別符号が含まれるもの」をいいます。「特定の個人を識別することができる」とは、「社会通念上、一般人の判断力や理解力をもって、生存する具体的な人物と情報との間に同一性を認める」ことができることであり、氏名のほか、生年月日や連絡先等を氏名と組み合わせた情報等も個人情報に当たります。「個人識別符号が含まれるもの」とは、具体的には、DNAの塩基の配列、容貌、マイナンバー等がこれに当たります。
個人情報データベース
「個人情報を含む情報の集合物」であって、特定の個人情報をコンピュータを用いて検索することができるように体系的に構成したもの、又はコンピュータを用いていない場合であっても、特定の個人情報を五十音順に並べる等して、容易に検索できるように体系的に構成したものをいいます。「個人データ」とは、「個人情報データベース等を構成する個人情報」を意味し、「保有個人データ」とは、「個人情報取扱事業者が、開示、内容の訂正、追加または削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データ」をいいます。
個人情報取扱事業者
個人情報保護法の規制の対象となるのは「個人情報取扱事業者」であるが、個人情報取扱事業者とは、「個人情報データベース等を事業の用に供している者」のことをいいます。
個人情報保護法の規制について
①個人情報取扱事業者は、個人情報の利用目的をできる限り特定しなければならず、変更前の利用目的と関連性を有する範囲を超えて利用目的の変更を行ってはなりません。利用目的の特定は、「事業活動のため」のように、抽象的、一般的に行うのではなく、具体的に特定することが求められています。個人情報を取得した際は、事前に利用目的を公表している場合を除き、速やかに、利用目的を本人に通知し、又は公表しなければなりません。
②個人情報取扱事業者は、利用目的の達成に必要な範囲内で、個人データを正確かつ最新の内容に保ち、利用の必要性がなくなった時は、個人データを遅滞なく消去する努力義務を課せられています。又、取り扱う個人データの漏えい、滅失又はき損の防止等のため、必要かつ適切な安全管理措置を講じなければなりません。安全管理措置は、基本方針の策定、個人データの取扱いに係る規律の整備、組織的安全管理措置、人的安全管理措置、物理的安全管理措置、技術的安全管理措置に分類されます。
第三者への提供
個人情報取扱事業者は、原則として、本人の同意を得なければ、個人データを第三者に提供してはならないとされています。個人データを第三者に提供したときは、個人データを提供した年月日、第三者の氏名又は名称その他の事項に関する記録を作成し、記録を保管しなければなりません。また、個人データの提供を受ける側にも、提供者となる第三者の氏名、住所及び法人の場合は代表者の氏名、並びに、第三者による個人データ取得の経緯を確認し、確認についての記録を作成・保存する義務があります。