個人情報保護法とは
個人情報保護法は、2005年4月に施行された法律で個人情報を保護するための法律です。
施行を受け、各省庁ごとに法案で使われている用語や、各業界向けの安全管理の具体的な例が公開されています。
- 個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン
http://www.meti.go.jp/policy/it_policy/privacy/041012_hontai.pdf - 金融分野における個人情報保護に関するガイドライン
https://www.fsa.go.jp/common/law/kj-hogo/01.pdf
また、ビッグデータやIoTの流れを受け、2017年5月30日には改正個人情報保護法が施行されました。
個人情報保護法における個人情報の定義
第二条
この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
改正個人情報保護法における個人情報の定義
第二条
この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。第十八条第二項において同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二 個人識別符号が含まれるもの
個人識別符号とは
- 身体の一部の特徴を電子計算機のために変換した符号
DNA、顔、虹彩、声紋、歩行の態様、手指の静脈、指紋・掌紋 - サービス利用や書類において対象者ごとに割り振られる符号
公的な番号(旅券番号、基礎年金番号、免許証番号、住民票コード、マイナンバー、各種保険証等)
個人情報保護法の適用範囲
5000件以上の情報を持つ個人情報取扱事業者が対象です。
事業として行っていることで個人情報を使用する場合は対象となります。
また、所持している個人情報が「過去6カ月以内に5000人」を超える日がある場合は対象となります。
改正個人情報保護法の適用範囲
改正により全ての事業者に対し、情報の取得・保管・提供・開示等において、法的規制がかかるようになりました。
これまで適用除外であった「取り扱う個人情報の数が5,000人以下」の企業も対象になり、監督官庁が個人情報保護委員会に一元化されます。
改正個人情報保護法の変更点
| 項番 | 概要 | 詳細 |
| 1 | 小規模事業者への対応 | 個人情報が5,000件以下の場合でも法律が適用される |
| 2 | 努力義務の追加 | 「利用する必要がなくなったときは、 当該個人データを遅滞なく消去するよう努めなければならない」 (第十九条) |
| 3 | 開示等請求権の明確化(新設) | 第三十四条訴えを提起するときは、あらかじめ請求 |
| 4 | 個人情報データベース提供罪の新設 | 第八十三条自己若しくは第三者の不正な利益を図る目的で提供し、 又は登用したとき |
| 5 | 外国への個人情報の第三者提供 | 原則、本人の同意取得が必要国内において第三者提供の 例外となる委託、事業承継、共同利用も対象 |
| 6 | 利用目的の制限 | 第十五条利用目的を変更する場合には、 変更前の利用目的と 関連を有すると合理的に見取られる範囲 |
| 7 | 情報の利用方法から見た規約対象の縮小 | 第二条第4項利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く |
| 8 | 匿名加工情報の新設 | 一定の基準と加工方法に基づき加工された情報であって、 再識別の禁止を義務付けることで、 本人の同意不要で第三者提供が可能 |
関連:JIS Q 15001とプライバシーマーク
JIS Q 15001(個人情報保護マネジメントシステム ― 要求事項)は、事業者が業務上取り扱う個人情報を安全で適切に管理するための要求事項です。個人情報保護に関する規格にはJIS Q 15001を基にしたプライバシーマーク認証もあります。
JIS Q 15001とプライバシーマーク認証の比較
| JIS Q 15001 認証サービス | プライバシーマーク認証 | |
| 対象・単位 | 基本的に任意 | 法人単位 |
| 適用/認定基準 | JIS Q 15001 | JIS Q 15001 |
| 有効期間 (更新期間) |
3年更新 (その間1年ごとに定期審査) |
2年更新 |
| 審査機関 | JQA | 指定審査機関 |
| 証書 | JQA発行のJIS Q 15001登録証 | JIPDEC発行のプライバシーマーク登録証 |
| 他規格との組合せ | ISO/IEC 27001との組合せ審査が可能 | プライバシーマークの単独審査 |
参考にさせていただいたサイト
https://www.ppc.go.jp/files/pdf/kojinjouhou_handbook.pdf
https://www.ppc.go.jp/files/pdf/28_setsumeikai_siryou.pdf
