【情報ITにおける個人情報保護法の理解】企業が知っておくべきルールと対策方法をわかりやすく解説!

最終更新日 2024年9月29日

【情報ITにおける個人情報保護法の理解】企業が知っておくべきルールと対策方法をわかりやすく解説!

記事の概要

個人情報保護法は情報セキュリティマネジメントにおいて非常に重要です。
特に企業や組織が個人情報を扱い場合、この法律に準拠することが必須です。

個人情報保護法は、個人のプライバシーとデータの適切な保護を目的としており、
企業が個人データを収集、使用、保存、提供する際のガイドラインを定めています。

今回の記事では個人情報保護法について以下の内容を説明します。

  1. 個人情報保護法の概要
  2. 個人情報保護法における法体系の変更
  3. 個人情報保護法の主な内容
  4. 個人情報取扱事業者が守るべきルール

この記事はこんな人にオススメ!

● 情報ITの観点で個人情報の安全な取り扱い方法を学びたい人!

● 組織全体のセキュリティを統括する経営者や管理職など、個人情報を取り扱うことがある人!

● 情報安全確保支援士試験を受験する人!

個人情報保護法

個人情報保護法の概要

一言で簡単に言うと

簡単に言うと、個人情報保護法は、個人のプライバシーを守るために、
企業や組織が個人情報(氏名、住所、電話番号など)を安全に扱うように決めたルール
です。

もう少し詳しく言うと

個人情報保護法(正式名称:個人情報の保護に関する法律)は、個人のプライバシーを保護するために、日本で制定された法律です。
この法律は個人情報を取り扱う組織や企業が、個人情報を安全かつ適切に管理し、利用するためのルールを定めています。

この法律では、個人情報を集めるときにはその目的を説明し、本人の同意を得ること、集めた情報を適切に管理して、
漏洩や不正アクセスから守ることをが求められています。

情報を提供する場合も本人の許可が必要で、本人は自分の情報を確認したり、修正したり、利用を止めてもらう権利があります。

身近なものに例えると!

個人情報保護法を身近なものに例えると、「図書館の本の貸し出しシステム」のようなものです。

1.個人情報の収集:
図書館カードを作るとき、名前や住所を記入します。この情報が「個人情報」です。図書館は「本を貸し出すために必要」という目的で、あなたの情報を集めます。

2.利用目的の範囲内での使用:
図書館は、集めた情報を「本の貸し出し管理」だけに使います。例えば、あなたの名前や住所を他の目的(宣伝や勧誘など)に勝手に使うことはできません。

3.安全な管理:
図書館はあなたの個人情報をしっかり管理し、不正に他の人が見たり使ったりできないように、データベースを守ります。例えば、コンピュータのパスワードを設定したり、紙の申込書を鍵のかかったキャビネットに保管します。

4.情報の提供や訂正:
あなたが「私の住所が変わったので、情報を更新してください」と言えば、図書館はそれに応じて住所を修正してくれます。また、自分の個人情報がどう使われているかを確認することもできます。

5.第三者への提供:
図書館が、あなたの情報を他の人や会社に渡す場合、基本的にあなたの許可が必要です。例えば、勝手にあなたの情報を出版社に売ることはできません。

これが、図書館の本を借りる仕組みと同じように、企業や組織が個人情報を扱うときのルールを定めているのが個人情報保護法です。

個人情報保護法における法体系の変更

令和3年(2021年)の個人情報保護法改正では、行政機関、独立行政法人、地方公共団体などでそれぞれ異なっていた個人情報保護に関するルールが統合され、一元的なルールが適用されるようになりました。

これにより、公的機関が保有する個人情報の管理が民間と同じように、より透明性や一貫性のある形で運用されることが目指されています。

整理すると以下のような法体系の変更がありました。

変更内容

1.法律の統合
3つの法律(個人情報保護法、行政機関個人情報保護法、独立行政法人個人情報保護法)を1本に統合し、地方公共団体も全国共通ルールの下で運用し、監督は個人情報保護委員会が一元管理。
2.医療・学術分野の規律の統合
医療・学術分野の規律を統一し、公的な病院や大学にも民間と同様の規則を適用。
3.GDPRの適合
GDPRの基準に対応するため、学術研究の適用除外規定を精緻化。
4.定義の統一
個人情報の定義や規則を統一し、匿名加工情報の扱いを明確化。

令和3年の改正により、行政機関、独立行政法人、地方公共団体がそれぞれ別々に個人情報保護を運用していた状況が改善され、
民間を含む一元的な法体系が整備されました。

これにより、国民にとってより分かりやすく、また公的機関に対しても厳格な個人情報の管理と保護が求められるようになりました。

用語の定義(個人情報・個人データ・保有個人データ)とは

「個人情報」「個人データ」「保有個人データ」の違いを簡単に説明すると以下になります。

項目内容
個人情報特定の個人を識別できる情報のこと
氏名、住所、電話番号など
個人データ個人情報の中で、コンピューターで管理されているデータ
保有個人データ企業や組織が継続的に保有し、本人が開示や訂正を請求できるデータのこと
※保有期間が6か月未満のものは除外される

身近なものに例えると!

「個人情報」「個人データ」「保有個人データ」を身近なものに例えると、次のように説明できます。

保有個人データ:
図書館が保管している、借りた本の履歴や登録情報で、利用者がいつでも確認や修正を依頼できるもの。

個人情報:
図書館カードの申込書に書かれた名前や住所。これが特定の個人を識別できる情報です。

個人データ:
図書館のコンピュータに登録された貸出情報などのデータ。

個人情報保護員会は、個人情報、個人データ、保有個人データについて以下のように定義しています。

個人情報

「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日、その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)、又は個人識別符号が含まれるものをいいます。

この「個人に関する情報」とは、氏名、性別、生年月日、顔画像等個人を識別する情報に限られず、個人の身体、財産、職種、肩書き等の属性に関して、事実、判断、評価を表す全ての情報であり、評価情報、公刊物等によって公にされている情報や、映像、音声による情報も含まれ、暗号化等によって秘匿化されているか否かを問いません。

また、個人情報保護法では、死者に関する情報は対象ではありませんが、死者に関する情報が同時に遺族等の生存する個人に関する情報でもある場合には、当該生存する個人に関する情報となり法律の対象となります。

本ガイダンスは、医療・介護関係事業者が保有する医療・介護関係の個人情報を対象とするものであり、診療録等の形態に整理されていない場合でも、患者の氏名等が書かれたメモ等であれば個人情報に該当します。

②個人データ

「個人データ」とは、「個人情報データベース等」を構成する個人情報をいいます。 この「個人情報データベース等」とは、特定の個人情報をコンピュータを用い て検索することができるように体系的に構成した個人情報を含む情報の集合体、又はコンピュータを用いていない場合であっても、紙面で処理した個人情報を 一定の規則(例えば、五十音順、生年月日順など)に従って整理・分類し、特定 の個人情報を容易に検索することができるよう、目次、索引、符号等を付し、他 人によっても容易に検索可能な状態においているものをいいます。

したがって、診療録等の診療記録や介護関係記録については、通常、媒体の如何にかかわらず、体系的に整理され、特定の個人情報を容易に検索できる状態で保有していることから、「個人データ」に該当します。

③保有個人データ

「保有個人データ」とは、個人データのうち、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有するものをいいます。したがって、委託を受けて取り扱っている個人データや、個人情報のうち体系的に整理されていないものについては、「保有個人データ」には該当しません。

「個人情報」「個人データ」「保有個人データ」とは、どのようなものですか。 |個人情報保護委員会 (ppc.go.jp)

重要キーワード

個人情報保護法について知る上で、予め覚えておくべき重要なキーワードを以下にまとめました。

項目内容
仮名加工情報個人を直接識別できないように加工されたが、特定の方法で再識別可能な情報。
個人関連情報個人そのものを識別できないが、個人に関連する情報(例:クッキー情報)。
個人情報特定の個人を識別できる情報(例:名前、住所、電話番号)。
個人情報データベース等個人情報を検索できるよう整理されたデータベースの集合体(例:顧客管理システム)。
個人情報取扱事業者個人情報を業務で取り扱うすべての事業者(例外:小規模事業者など)。
個人データ個人情報のうち、データベースやファイルで管理されている情報。
保有個人データ事業者が一定期間以上保有し、本人から開示や訂正の請求が可能な個人データ。
匿名加工情報個人を特定できないように加工された情報で、個人情報とは区別されるもの。
用配慮個人情報人種、信条、健康状態など、慎重に扱うべき情報。

上記を図解すると以下のようなイメージになります。

個人情報保護法重要ワード図解

個人情報保護法の主な内容

個人情報保護法の主な内容は以下の通りです。

1.個人情報の定義

氏名、住所、生年月日などの特定の個人を識別できる情報。また、IDやマイナンバーも含まれます。

2.利用目的の明示

事業者は、個人情報を収集する際にその目的を明示し、その範囲内で使用しなければいけません。
目的が変更になる場合は、本人に通知または公表が必要です。

3.個人情報の安全管理措置

事業者は個人情報の漏洩や改ざん、紛失を防ぐために、適切なセキュリティ対策を講じる義務があります。
例えば、システムのアクセス制限やデータの暗号化などです。

4.第三者提供の制限

個人情報を第三者に提供するには、基本的に本人の同意が必要です。
例外として法令に基づく場合や緊急事態では同意なしで提供することが認められる場合があります。

5.本人の権利

個人は事業者に対して自分の個人情報の開示、訂正、利用停止、削除などを請求する権利を持ちます。

6.匿名加工情報の活用

個人を特定できないように加工された情報(匿名加工情報)は、本人の同意なく、統計や分析目的で活用できますが、
厳格な管理が求められます。

7.刑罰

個人情報保護法に違反すると、行政指導や罰金、企業イメージの低下といった社会的な影響もあります。

罰金が科されるケースには、以下のような状況が該当します。

虚偽の報告:
個人情報保護委員会からの報告要求に対して虚偽の情報を提供した場合。

報告義務違反:
個人情報の漏洩が発生した際、個人情報保護委員会や当事者への報告を怠った場合。

命令違反:
個人情報保護委員会からの改善命令に従わなかった場合。

不正な第三者提供:
本人の同意なしに営利目的で個人情報を第三者に提供した場合。

これらの違反には、通常30万円から50万円以下の過料が課されます。

個人情報取扱事業者が守るべきルール

個人情報取扱事業者が守るべきルールは以下です。
これらは、個人データの適切な取り扱いと保護を確保するための重要な基本ルールです。

ルール内容
利用目的の明示個人情報を収集する際には、事前にその利用目的を明確にし、本人に通知または公表する必要があります。
適正な取得不正な手段で個人情報を取得してはいけません。
第三者提供の制限本人の同意なしに個人情報を第三者に提供することはできません。
安全管理措置適切な技術的・組織的対策を講じ、個人情報の漏洩や不正アクセスを防止することが求められます。
開示・訂正等の権利個人は、事業者に対して自分の個人情報の開示や訂正を求めることができます。
継続的な保護個人情報を使用し終えた場合、不要な個人情報は速やかに適切に廃棄しなければなりません。

この記事も参考になるかも!
この記事を書いた人!

ゴリタン

インフラエンジニアとして、ネットワークとサーバーの運用・保守・構築・設計に幅広く携わり、
現在は大規模政府公共データの移行プロジェクトを担当。

CCNPやLPICレベル3、AWSセキュリティスペシャリストなどの資格を保有しています。