Skip to content(本文へジャンプ)

Amelys Journal

企業内情報管理シリーズ③
正しい「個人情報ルール」本当に知っていますか?2022年法改正も解説

  • 2023-02-06
  • 情報管理コラム

個人情報漏えいなど、企業の不適切な個人情報の取り扱いに関する事件が増えています。個人情報に関するトラブルは、消費者の関心も高く、一般ユーザーの不利益に直結するため、企業の信頼低下や業績悪化など大きなダメージにつながります。このコラムでは、具体的にどのような情報が個人情報にあたるのかという事例と、適切な個人情報の取得・利用・管理ルールを解説します。

「個人情報」の法律的な定義とは?

企業内だけでなく、消費者の間でも関心が高く、一般的に広く使われている「個人情報」という言葉。そんな個人情報とは、法律的には何を指すのでしょうか。

個人情報保護法第2条第1項によると、個人情報とは、『生存する「個人に関する情報」であって、その情報に含まれる氏名や生年月日その他の記述等によって特定の個人を識別することができるもの』と定義されています。

たとえばこんな情報は「個人情報」

では、個人に関するすべての情報が、個人情報にあたるのでしょうか。企業が扱う情報のうちどのようなものが個人情報にあたるのか、具体例をお伝えします。

個人情報に該当する例

  • 個人の氏名
  • 名刺に記載された情報
  • 防犯カメラに記録された映像情報(個人を判別できるもの)
  • メールアドレス情報
  • 音声録音情報
  • 個人識別符号(DNA、指紋認証データ、マイナンバー、パスポート番号など)

個人情報に該当しない例

  • 死者に関する情報(歴史上の人物の情報も含む)
  • 個人を特定できない統計情報
  • 法人に関する情報(ただし、法人の役職員情報は個人情報にあたる)

なお、「趣味」「性別」「血液型」など、それ単体では個人情報に該当しない情報も、履歴書に「趣味」や「性別」が記載されている場合など、氏名などの特定の個人を識別できる情報と一緒に記載されていれば、これらも個人情報とみなされる可能性があるので、注意しましょう。

個人情報について企業が守るべき主な4つのルール

社員や顧客、採用時の応募者の情報など、個人情報は企業活動においても欠かせません。では、その取り扱いはどのように行えばよいのでしょうか。企業は、個人情報の取り扱いについて次の4つのルールを守る必要があります。

  1. 取得・利用
    個人情報を企業が好き勝手に使うことは禁止されています。利用目的を特定して取得し、その範囲内で利用しなければいけません。また、利用目的は、通知または公表する必要があります。
  2. 保管
    個人情報は、紛失したり、漏らしたりすることのないように、安全に管理しなければいけません。従業員や業務の委託先に対しても、安全管理の徹底に関するよう、適切な監督が求められます。また個人情報を持ち運ぶ場合にも、十分な注意が必要です。
  3. 提供
    個人情報は、許可なく他人に渡してはいけません。第三者に提供する場合は、あらかじめ本人から同意を得ることが求められます。また、第三者間の譲受については、受領年月日、確認した事項などの一定事項を記録し、一定期間保存する必要があります。
  4. 開示請求等への対応
    本人からの請求があった場合には、個人情報の開示、訂正、利用停止等の対応を行います。また、個人情報の取り扱いに関する苦情等を受けた際には、適切かつ迅速に対応する必要があります。

2022年の個人情報保護法改正内容とは?

個人情報を扱う企業がもうひとつ注意しなければいけないのは、法律の改正です。2022年4月に、改正個人情報保護法が施行されました。その主な改正内容は、個人の権利の保護強化、事業者の守るべき責務の追加、ペナルティ(法定刑)の強化、外国事業者への罰則追加などとなります。そのうちで企業側の義務に関する特に大きな改正内容が、次のふたつです。

  1. 個人データが漏えいした場合の報告義務
    個人情報保護法22条で、個人情報漏えい等が発生した場合、個人情報取扱事業者は、個人情報保護委員会への報告に加えて、本人に通知することが義務化されました。
  2. 不適正な個人情報利用の禁止
    違法・不当な行為を助長・誘発するおそれがある方法による個人情報の利用の禁止が、明文化されました。禁止される不適切な個人情報の利用とは、「個人情報を提供した場合、提供先において第3者への違反提供がなされることを予見できるにもかかわらず、当該提供先に対して、個人情報を提供する場合」や、「採用選考を通じて個人情報を取得した事業者が、性別、国籍等の特定の属性のみにより、正当な理由なく本人に対する違法な差別的取扱いを行うために、個人情報を利用する場合」などです。詳しくは、個人情報の保護に関する法律についてのガイドライン(通則編)に示されています。

なお、個人情報保護法は、社会・経済情勢の変化に応じて、個人情報の活用と個人の権利保護のバランスを保つため、3年に一度、改正されます。現行の内容を知って安心するのではなく、見直される法律の内容を常に把握し、企業として対応を行うことが大切です。

自社内に存在する「個人情報」を特定し、
全社員の意識を向上させることが重要

社員たちが「個人情報の適切な取り扱いが大切」ということはわかっていても、どれが「個人情報」にあたるのか、適切に扱うにはどうしたらいいのかということを正しく知らないことから、漏えいなどのトラブルが起こるケースもあります。自社内で個人情報に該当する情報と、守るべきルールに関するガイドラインを作り周知することで、社員による正しい取り扱いが可能になります。

また、前述のように個人情報保護法は3年に一度改正され、社会の情勢やビジネス環境も変わります。ガイドラインは一度作って終わりではなく、変化に応じて見直せる体制を作っておくことが重要です。

そんな個人情報に関するガイドライン策定の際のベースになるのが、業務整理とそれぞれの業務に紐づく個人情報の可視化です。個人情報の取り扱い体制の強化をきっかけに、業務整理もあわせて進めてみてはいかがでしょうか。

次回のコラムでは、企業内情報の中で、営業秘密、個人情報と並んで重要な「インサイダー情報」等について解説します。

  1. HOME
  2. Amelys Journal
  3. 企業の信頼を左右する情報管理。
    守るべき3つの企業内重要情報とは?