企業と法務 - 23.法務 - 2.セキュリティ関連法規 - 4.個人情報保護法, マイナンバー法

Last Update : April 14 2021 10:40:52

     

a. 個人情報保護法

個人情報の有用性に配慮しながら、個人の権利・利益を保護するために、個人情報取扱事業者の守るべき義務などが定められている。

  1. 個人情報の安全管理処置
    個人情報取扱事業者は、個人情報の取扱について、安全管理処置を講じることが義務付けられている。
  2. 利用目的の通知や制限
    事前に個人情報の利用目的や利用範囲を明確にしておかなければならない。
  3. 個人が自分の個人情報をコントロール出来る権利
    個人情報取扱事業者の有する個人情報に対して、本人から個人情報の開示、誤りの訂正、利用停止の申し出があった場合、または、苦情を受け付けた場合は、速やかに対処しなければならない。

個人情報
特定の個人を識別できる情報のこと。氏名、生年月日、住所など。また、職業や所得、家族や健康状態なども含まれる。

個人情報取扱事業者
特定の個人情報を簡単に検索できるようにされたデータベースを業務で使用し、データ件数が過去6ヶ月以内に1日でも5000件を超える日があった場合の事業者をいう。

個人情報保護に関するガイドライン
個人情報保護ガイドラインは、個人情報保護に関する活動を支援するための具体的な指針のこと。

プライバシーマーク
個人情報保護に関する認証制度。
「JIS Q 15001 個人情報保護マネジメントシステム―要求事項」を満たし、個人情報の取り扱いに関して、適切な保護措置を講じている組織にプライバシーマークの使用を許可する制度。
マイナンバー法が施行された後からプライバシーマークを更新したり取得したりする場合は、マイナンバー法に則った運用が求められる。


b. 個人情報保護・プライバシー保護に関する手法・技法

● 第三者提供に関する本人同意
個人情報取扱事業者が個人データを第三者に提供する場合は、本人の同意が必要です。

  • 例外として「法令に基づく場合」「人の生命、身体又は財産の保護を目的とし、本人の同意を得ることが困難な場合」等が挙げられます。
  • 第三者提供について、あらかじめ本人の同意を得ていなければ、第三者提供の可否について改めて本人に確認をする必要があります。

本人の同意をもって個人データを第三者に提供を行う場合でも、データの提供者・受領者それぞれに記録・保存 の義務があります。

  • データ提供者となる個人情報取扱事業者は、データの受領者、本人の氏名等を記録し、保存する義務があります。
  • データ受領者となる個人情報取扱事業者は、データの提供元、取得経緯、本人の氏名等を記録し、保存する義務があります。

● オプトイン・オプトアウトによる本人同意
第三者提供に関する本人の同意の確認方法は、オプトインとオプトアウトの二種類の形式があります。

  • オプトイン(opt in)
    「提示した情報での第三者に提供しても良いですか?」と尋ねて、 本人から「提供しても良い」との回答を得る形式
    本人からの回答なしは 「同意なし」とみなす。
  • オプトアウト(opt out)
    「提示した情報での第三者への提供を断るなら教えてください。」と尋ねて、 本人から「提供を断る」との回答がなければ、同意と見なす形式
    本人からの回答なしは 「同意あり」とみなす。

※ オプト(opt)には「選ぶ、選択する」という意味があり、オプトインは「同意に入ることを選ぶ」、オプトアウトは「同意に入らないことを選ぶ」ことを指します。

オプトアウトによって本人同意を得ようとする事業者は、「第三者に提供される個人データの項目」 「本人の求めを受け付ける方法」等を個人情報保護委員会に届け出る義務が課せられました。

  • 届出義務に加えて、第三者への提供に関する内容を「あらかじめ本人に通知」または「本人が容易に知り得る状態に置く」必要があります。
  • オプトアウトによる本人同意の届出を受けた個人情報保護委員会は、個人情報保護法第23条4に基づきウェブサイト等で届出の内容を公表します。

● 匿名加工情報
本人同意不要でのデータ提供が可能な匿名加工情報の条項が新設されました。
個人情報保護法における「匿名加工情報」は、特定の個人を識別できないように個人情報を加工し、当該個人情報を復元できないようにした情報を指しています。
匿名加工情報は個人データとは異なり、本人の同意不要で第三者へのデータの提供を行うことが可能です。
※ 個人情報保護法の第2条10より、匿名加工情報を取り扱う事業者は、匿名加工情報取扱事業者と呼ばれます。

● 匿名加工情報の提供時の公表義務
匿名加工情報の提供する場合は、「個人に関わる情報項目」「提供方法」を提供を行う事業者のウェブサイト等を通じて公表する義務があります。
匿名加工情報の提供先には、提供するデータが匿名加工情報である旨を明示する必要があります。
匿名加工情報を提供を受けた事業者は、識別行為の禁止義務や匿名加工情報の安全管理措置が課されますが、 匿名加工情報の提供を受けたことの公表は不要です。

● 匿名加工情報を作成するための手法

  • 項目削除/レコード削除/ セル削除
    加工対象となる個人情報データベース等に含まれる個人情報の記述等を削除するもの。例えば、年齢のデータを全ての 個人情報から削除すること(項目削除)、特定の個人の情報を全て削除すること(レコード削除)、又は特定の個人 の年齢のデータを削除すること(セル削除)。
  • 一般化
    加工対象となる情報に含まれる記述等について、上位概念若しくは数値に置き換えること又は数値を四捨五入などして 丸めることとするもの。例えば、購買履歴のデータで「きゅうり」を「野菜」に置き換えること。
  • トップ(ボトム)コーディング
    加工対象となる個人情報データベース等に含まれる数値に対して、特に大きい又は小さい数値をまとめることとするもの。 例えば、年齢に関するデータで、80歳以上の数値データを「80歳以上」というデータにまとめること。
  • ミクロアグリゲーション
    加工対象となる個人情報データベース等を構成する個人情報をグループ化した後、グループの代表的な記述等に置き換 えることとするもの。
  • データ交換(スワップ)
    加工対象となる個人情報データベース等を構成する個人情報相互に含まれる記述等を(確率的に)入れ替えることと するもの。
  • ノイズ(誤差)付加
    一定の分布に従った乱数的な数値を付加することにより、他の任意の数値へと置き換えることとするもの。
  • 疑似データ生成
    人工的な合成データを作成し、これを加工対象となる個人情報データベース等に含ませることとするもの。

c. 個人情報保護に関する国際的な取り組み

OECDプライバシーガイドライン

OECD(経済協力開発機構)で、個人情報保護の基本となるガイドライン「OECD 8原則」が定められました。

  • 収集制限の原則
    個人データを収集する際には、法律にのっとり、また公正な手段によって、個人データの主体(本人)に通知または同意を得て収集するべきである。
  • データ内容の原則
    個人データの内容は、利用の目的に沿ったものであり、かつ正確、完全、最新であるべきである。
  • 目的明確化の原則
    個人データを収集する目的を明確にし、データを利用する際は収集したときの目的に合致しているべきである。
  • 利用制限の原則
    個人データの主体(本人)の同意がある場合、もしくは法律の規定がある場合を除いては、収集したデータをその目的以外のために利用してはならない。
  • 安全保護の原則
    合理的な安全保護の措置によって、紛失や破壊、使用、改ざん、漏えいなどから保護すべきである。
  • 公開の原則
    個人データの収集を実施する方針などを公開し、データの存在やその利用目的、管理者などを明確に示すべきである。
  • 個人参加の原則
    個人データの主体が、自分に関するデータの所在やその内容を確認できるとともに、異議を申し立てることを保証すべきである。
  • 責任の原則
    個人データの管理者は、これらの諸原則を実施する上での責任を有するべきである。

APECプライバシーフレームワーク

APEC(アジア太平洋経済協力)におけるパーソナルデータの保護の原則を定める枠組である

  • 被害防止の原則
  • 通知の原則
  • 収集制限の原則
  • 個人情報使用の原則
  • 選択の原則
  • 個人情報完全性の原則
  • セキュリティ保護の原則
  • アクセスと訂正の原則
  • 説明責任の原則

EUデータ保護指令

「個人データの取扱いに係る個人の保護及び当該データの自由な移動に関する指令」が採択され、加盟国は当該指令を遵守するために必要な国内法の整備を義務づけられた

  • データ内容に関する原則(特定された明示的かつ適法な目的のための取扱い等)
  • データ取扱いの正当性の基準(データ主体の明確な同意等)
  • センシティブデータ※の取扱い ※人種又は民族、政治的見解、宗教的又は思想的信条、労働組合への加入、健康又は性生活に関するデータ
  • データ主体のデータへのアクセス権
  • 取扱いの機密性及び安全性
  • 第三国への個人データの移転に関する規律(第三国が十分なレベルの保護措置を確保していることを条件とする等)
  • 独立した監督機関

EU eプライバシー指令

データ保護指令に加え、電子通信部門におけるパーソナルデータ保護に関する特則を規定するものとして、2002年に「電子通信部門における個人データの処理とプライバシーの保護に関する指令」が採択された。

EU データ保護規則提案

プライバシー保護の枠組みとしてこれまでEU加盟国に適用されてきたデータ保護指令に替わり、あらたに一般データ保護規則(GDPR: General Data Protection Regulation)が採択されました。
個人には、現行のEU指令に規定されているデータ削除に関する個人の権利をより明確化した「忘れられる権利」や、利用者がサービスを他のサービスに切り替える際など、管理者に妨害されることなく自分のデータを取得し、他のサービスに移転できる「データ持ち運びの権利」の保障、パーソナルデータの取得に当たって必要な同意は明示的であることを要する、いわゆるオプトイン原則を適用することとする「同意の明示」等がある。
また、サービス提供事業者に対しては、プライバシー・バイ・デザインの原則を適用し、新サービスの導入時におけるデータ保護への考慮の義務づけの導入やプライバシー影響評価の実施、データ保護職員の任命義務が盛り込まれているほか、パーソナルデータ漏えい時の通知義務も規定されている



c. マイナンバー法

国民一人ひとりに番号を割り振り、社会保障や納税に関する情報を一元的に管理する「共通番号(マイナンバー)制度」を導入するための法律。2013年5月24日に成立した。16年1月から番号の利用がスタートした。正式名称は、「行政手続における特定の個人を識別するための番号の利用等に関する法律」。
年金や納税など異なる分野の個人情報を照合できるようにし、行政の効率化や公正な給付と負担を実現し、手続きの簡素化による国民の負担軽減を図ることなどが目的。
マイナンバーを含む個人情報を「特定個人情報」といい、特定個人情報の扱いは、マイナンバー法では、個人情報保護法とは異なり、本人の同意があったとしても、利用目的を超えて特定個人情報を利用してはならないと定められています。 よって、個人番号についても利用目的(個人番号を利用できる事務の範囲で特定した利用目的)の範囲内でのみ利用することができます。

特定個人情報保護委員会

マイナンバー法で定められた第三者機関で、行政や企業で特定個人情報が適切に取り扱われているか監視・監督を行ったり適切な処置を行ったりする役割がある。

特定個人情報の適正な取り扱いに関するガイドライン

行政機関や企業でマイナンバーを適切に取り扱うためのガイドライン。行うべきことや禁止事項が書かれている。


     

www.it-shikaku.jp