個人情報の有用性に配慮しながら、個人の権利・利益を保護するために、個人情報取扱事業者の守るべき義務などが定められている。
【 個人情報 】
特定の個人を識別できる情報のこと。氏名、生年月日、住所など。また、職業や所得、家族や健康状態なども含まれる。
【 個人情報取扱事業者 】
特定の個人情報を簡単に検索できるようにされたデータベースを業務で使用し、データ件数が過去6ヶ月以内に1日でも5000件を超える日があった場合の事業者をいう。
【 個人情報保護に関するガイドライン 】
個人情報保護ガイドラインは、個人情報保護に関する活動を支援するための具体的な指針のこと。
【 プライバシーマーク 】
個人情報保護に関する認証制度。
「JIS Q 15001 個人情報保護マネジメントシステム―要求事項」を満たし、個人情報の取り扱いに関して、適切な保護措置を講じている組織にプライバシーマークの使用を許可する制度。
マイナンバー法が施行された後からプライバシーマークを更新したり取得したりする場合は、マイナンバー法に則った運用が求められる。
● 第三者提供に関する本人同意
個人情報取扱事業者が個人データを第三者に提供する場合は、本人の同意が必要です。
本人の同意をもって個人データを第三者に提供を行う場合でも、データの提供者・受領者それぞれに記録・保存 の義務があります。
● オプトイン・オプトアウトによる本人同意
第三者提供に関する本人の同意の確認方法は、オプトインとオプトアウトの二種類の形式があります。
※ オプト(opt)には「選ぶ、選択する」という意味があり、オプトインは「同意に入ることを選ぶ」、オプトアウトは「同意に入らないことを選ぶ」ことを指します。
オプトアウトによって本人同意を得ようとする事業者は、「第三者に提供される個人データの項目」 「本人の求めを受け付ける方法」等を個人情報保護委員会に届け出る義務が課せられました。
● 匿名加工情報
本人同意不要でのデータ提供が可能な匿名加工情報の条項が新設されました。
個人情報保護法における「匿名加工情報」は、特定の個人を識別できないように個人情報を加工し、当該個人情報を復元できないようにした情報を指しています。
匿名加工情報は個人データとは異なり、本人の同意不要で第三者へのデータの提供を行うことが可能です。
※ 個人情報保護法の第2条10より、匿名加工情報を取り扱う事業者は、匿名加工情報取扱事業者と呼ばれます。
● 匿名加工情報の提供時の公表義務
匿名加工情報の提供する場合は、「個人に関わる情報項目」「提供方法」を提供を行う事業者のウェブサイト等を通じて公表する義務があります。
匿名加工情報の提供先には、提供するデータが匿名加工情報である旨を明示する必要があります。
匿名加工情報を提供を受けた事業者は、識別行為の禁止義務や匿名加工情報の安全管理措置が課されますが、 匿名加工情報の提供を受けたことの公表は不要です。
● 匿名加工情報を作成するための手法
【 OECDプライバシーガイドライン 】
OECD(経済協力開発機構)で、個人情報保護の基本となるガイドライン「OECD 8原則」が定められました。
【 APECプライバシーフレームワーク 】
APEC(アジア太平洋経済協力)におけるパーソナルデータの保護の原則を定める枠組である
【 EUデータ保護指令 】
「個人データの取扱いに係る個人の保護及び当該データの自由な移動に関する指令」が採択され、加盟国は当該指令を遵守するために必要な国内法の整備を義務づけられた
【 EU eプライバシー指令 】
データ保護指令に加え、電子通信部門におけるパーソナルデータ保護に関する特則を規定するものとして、2002年に「電子通信部門における個人データの処理とプライバシーの保護に関する指令」が採択された。
【 EU データ保護規則提案 】
プライバシー保護の枠組みとしてこれまでEU加盟国に適用されてきたデータ保護指令に替わり、あらたに一般データ保護規則(GDPR: General Data Protection Regulation)が採択されました。
個人には、現行のEU指令に規定されているデータ削除に関する個人の権利をより明確化した「忘れられる権利」や、利用者がサービスを他のサービスに切り替える際など、管理者に妨害されることなく自分のデータを取得し、他のサービスに移転できる「データ持ち運びの権利」の保障、パーソナルデータの取得に当たって必要な同意は明示的であることを要する、いわゆるオプトイン原則を適用することとする「同意の明示」等がある。
また、サービス提供事業者に対しては、プライバシー・バイ・デザインの原則を適用し、新サービスの導入時におけるデータ保護への考慮の義務づけの導入やプライバシー影響評価の実施、データ保護職員の任命義務が盛り込まれているほか、パーソナルデータ漏えい時の通知義務も規定されている
国民一人ひとりに番号を割り振り、社会保障や納税に関する情報を一元的に管理する「共通番号(マイナンバー)制度」を導入するための法律。2013年5月24日に成立した。16年1月から番号の利用がスタートした。正式名称は、「行政手続における特定の個人を識別するための番号の利用等に関する法律」。
年金や納税など異なる分野の個人情報を照合できるようにし、行政の効率化や公正な給付と負担を実現し、手続きの簡素化による国民の負担軽減を図ることなどが目的。
マイナンバーを含む個人情報を「特定個人情報」といい、特定個人情報の扱いは、マイナンバー法では、個人情報保護法とは異なり、本人の同意があったとしても、利用目的を超えて特定個人情報を利用してはならないと定められています。 よって、個人番号についても利用目的(個人番号を利用できる事務の範囲で特定した利用目的)の範囲内でのみ利用することができます。
【 特定個人情報保護委員会 】
マイナンバー法で定められた第三者機関で、行政や企業で特定個人情報が適切に取り扱われているか監視・監督を行ったり適切な処置を行ったりする役割がある。
【 特定個人情報の適正な取り扱いに関するガイドライン 】
行政機関や企業でマイナンバーを適切に取り扱うためのガイドライン。行うべきことや禁止事項が書かれている。
www.it-shikaku.jp