【現行法対応】個人情報保護のガイドライン概要

法律 2021.01.26
【現行法対応】個人情報保護のガイドライン概要

「個人情報の保護に関する法律についてのガイドライン」は、事業者が個人情報を適切に扱えるよう支援を目的としており、個人情報保護法をかみ砕いて具体的な指針となる情報をまとめたものです。

ここでは、ガイドラインを読み進めるにあたり必要な前提知識をまとめつつ、特に事業者にとって重要なポイントを取り上げます。

なお、本記事は現行法のガイドラインに基づいた解説であり、令和3年の夏頃に発表を予定されている「改正法のガイドライン」を基準としたものではない点にご留意ください。

1. 「個人情報の保護に関する法律についてのガイドライン」の概要

改正法のガイドラインは、以下の通り令和3年の夏頃に発表を予定されています。

改正法のガイドラインスケジュール

出典:個人情報保護委員会「個人情報の保護に関する法律等の一部を改正する法律の成立を受けた個人情報保護委員会の今後の取組(案)について

改正法のガイドラインが発表されるまで、本記事では現行法のガイドラインに基づいた情報を取り扱っている点にご留意ください。

また、より即効性のあるアクションとして、個人情報保護委員会が「自己点検チェックリスト」を公開しています。自社の個人情報の取り扱い方を素早く見直す場合には、本記事の6章「自己点検チェックリストとガイドラインの活用」をご参照ください。

2. ガイドラインを読む際に押さえておくべき定義一覧

ガイドラインに頻出する用語のうち、その定義が一般的に知られていないものを一覧で解説します。本章で紹介する定義は、ガイドラインに目を通す前に確認しておくことをおすすめします。

2.1 個人情報

個人情報とは、特定の個人を識別できる情報のことです。氏名や生年月日だけでなく、個人の身体や職種をあらわす情報など、あらゆるものが個人情報に分類されます。個人情報が記載されている代表的な例としては運転免許証や健康保険証といった証明書が挙げられるでしょう。

また、単体で個人を識別できる情報だけでなく、ほかの情報との照合で容易に個人を識別できるものも個人情報に分類されます。これらを踏まえると、個人情報は以下のように2つの定義で説明できます。

  • 単体、あるいは別の情報との照合で容易に個人を識別できる情報
  • 個人識別符号が含まれるもの

2.2 個人識別符号

個人識別符号とは、以下条件に該当する情報を指す言葉です。

個人識別符号とは

出典:個人情報保護委員会「パーソナルデータの利活用促進と消費者の信頼性確保の両立に向けて

法律上の解説だけでは理解が難しいため、具体的な例をいくつかご用意しました。まずは上記画像の「一」に該当するものの一例をご紹介します。

  • DNAを構成する塩基の配列
  • 顔の骨格・皮膚の色・顔の部位の位置や形状により決まる容貌
  • 虹彩(眼球の色のある部分)の起伏による線状の模様

この他、発声時の声帯の振動や歩行時の姿勢など、身体的特徴にまつわる文字・番号・記号も個人識別符号の「一」に分類されます。個人識別符号のうち「二」に該当するものは、以下のような情報です。

  • 旅券(パスポート)の番号
  • 基礎年金番号
  • 運転免許証の番号

上記を始め、住民票コードや個人番号、国民健康保険の被保険者証の番号も「二」に該当する個人識別符号です。

2.3 要配慮個人情報

要配慮個人情報とは、本人に対する差別・偏見が生じないよう取り扱いに配慮すべき個人情報を指します。以下、要配慮個人情報に該当する具体例をいくつか挙げました。

  • 人種・信条(思想や信仰)・社会的身分
  • 病歴・心身の機能の障害がある事実
  • 犯罪歴・犯罪に遭遇した事実

一部例外を除き、本人の同意を得ない要配慮個人情報の取得や第三者提供は禁止されています。

2.4 個人情報データベース等

個人情報データベース等は、特定の個人情報を容易に検索できるよう体系的にまとめられたものを指します。

ただし、法律・規定に違反しておらず、不特定多数に販売するために発行されたもの、不特定多数が随時購入できる・購入できたなど一定の条件を満たすものは個人データベース等に該当しません。

たとえば、メールアドレスと氏名を紐付けたアドレス帳は個人情報データベース等に該当しますが、市販されている電話帳は個人情報データベース等に該当しません。

2.5 個人情報取扱事業者

個人情報取扱事業者とは、営利・非営利を問わず個人情報データベース等を事業のために継続して利用している事業者を指す言葉で、個人や法人にかかわらずこの定義が適用されます。

ただし、国の機関や地方公共団体、独立行政法人や地方独立行政法人などの一部の組織は、個人情報取扱事業者に分類されません。

2.6 個人データ

個人データは、個人情報データベース等を構成する個人情報のことです。

2.7 保有個人データ

保有個人データは、個人情報取扱事業者が以下の対応を実施できる権限を持った個人データを指します。

  • 開示
  • 内容の訂正
  • 追加・削除
  • 利用の停止
  • 消去
  • 第三者への提供の停止

ただし、次に該当する個人データやは、保有個人データに分類されません。

  • 生命や身体、財産に危害を及ぼす恐れのあるもの
  • 違法行為や不当行為を助長したり誘発したりする恐れのあるもの
  • 国の安全が害される、また他国や国際機関との信頼関係を損ねるもの
  • 他国や国際機関との交渉時に不利益を被る可能性があるもの
  • 犯罪の予防・鎮圧・捜査など安全と秩序の維持に支障が及ぶ恐れのあるもの

これらは保有個人データの対象から外れます。

2.8 匿名加工情報

匿名加工情報とは、個人情報に含まれる記述を削除したり、個人識別符号を削除したりして復元できない状態にしたものです。

2.9 匿名加工情報取扱事業者

匿名加工情報取扱事業者とは、匿名加工情報を容易に検索できるよう体系的にまとめたものを事業のために反復して利用している事業者を指します。個人情報取扱事業者と同様、国の機関や地方公共団体、独立行政法人や地方独立行政法人といった一部の組織は、匿名加工情報取扱事業者に分類されません。

個人情報データベース等を事業に利用する事業者は「個人情報取扱事業者」、匿名加工情報をまとめたものを事業に利用する事業者は「匿名加工情報取扱事業者」と認識すれば覚えやすいでしょう。

3. 個人情報取扱事業者の義務

個人情報を取り扱うにあたり、個人情報取扱事業者はいくつかの点で義務を負わなければなりません。そのなかで特に重要度の高い義務を抜粋して説明します。

なお、ここで記述する「本人」とは、データの主体である個人を指しています。

個人情報取扱事業者の義務

特に重要度の高い事項(抜粋・改編)

個人情報の利用目的

個人情報の利用目的は具体化して明示し、変更前との関連性が合理的に認められる範囲を超えて利用目的の変更を行ってはならない

個人情報の取得

不正な手段により個人情報を取得してはならず、特定の場合を除き利用目的を公表・通知しなければならない

個人データの管理

個人データは正確性・新しさ・安全性を保つよう管理し、不要になった場合は遅滞なく削除するよう努めなければならない

個人データの第三者への提供

特定の場合を除き、本人の同意を得ないまま第三者へ個人データを提供してはならない

保有個人データにまつわる公表・開示・訂正・利用停止など

個人情報取扱事業者の名称、全ての保有個人データの利用目的の通知・請求手続きなどは本人が確認できる状態にしなければならない

個人情報の取扱いに関する

苦情処理

個人情報の取り扱いに関する苦情を、いち早く適切に処理できるよう努めなければならない

匿名加工情報取扱事業者等の義務

匿名加工情報は適切な加工を行い、かつ加工方法などの情報は安全管理措置を講じること。また第三者に提供する場合は匿名加工情報であることを明示しなければならない

参考:個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」、「個人情報の保護に関する法律についてのガイドライン(匿名加工情報編)

それぞれ複数の項目から特に重要度の高い義務を抜粋したものであるため、全文を参照する場合はガイドラインの「個人情報取扱事業者の義務」をご参照ください。また、匿名加工情報取扱事業者等の義務に関して詳しく確認する場合は、ガイドラインの「匿名加工情報編」を参照してください。

4. 漏えい等が発生した場合の対応について

ガイドラインには「漏えい等の事案に対応する体制の整備」として、情報漏えい時はどのような手法で対応すべきか一例が示されています。以下は、対応の具体例として挙げられたものです。

個人情報保護法ガイドライン(通則編)

  • 事実関係の調査・原因究明
  • 影響を受ける恐れのある本人への連絡
  • 個人情報保護委員会など特定組織への報告
  • 再発防止策の検討と決定
  • 事実関係・再発防止策などの公表

特に中小企業は漏えい発覚時の対応が未整備になっている可能性があるため、有事の際にどのような経路で連絡・報告を実施するのか定めておく必要があります。より詳細な事項については、ガイドラインとは別に「個人データの漏えい等の事案が発生した場合等の対応について」で公開されています。

5. ガイドライン・事案発生時に関するQ&A

下記にまつわるQ&Aのうち、特に基本的な項目だと判断されたものは「「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&Aより(抜粋)」に質問と回答が抜粋して記述されています。

  • 個人情報の保護に関する法律についてのガイドライン
  • 個人データの漏えい等の事案が発生した場合等の対応について

以下のような目次形式になっており、質問箇所をクリックすると回答が記載されたページへジャンプできるため、個人情報の扱いに関して疑問点があった場合に適切な対応を確認できます。

個人情報保護委員会「「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&Aより(抜粋)

出典:個人情報保護委員会「「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&Aより(抜粋)

6. 自己点検チェックリストとガイドラインの活用

自社の個人情報の取り扱いが適切か否かを確かめられるよう、中小企業を想定した「自己点検チェックリスト」が公開されています。チェックリストとして7つの項目が用意されており、各項目に対してガイドラインの参照先が記されているため、いち早く現状の体制を見直すために活用できます。

まずは自己点検チェックリストを利用し、現状のどこに重大な問題がありそうなのか把握しましょう。重点的に見直すべき点が把握できたら、ガイドラインの対応箇所を参照しつつマニュアルの作成・修正を進めると、効率的に体制作りを実施できるでしょう。

7. まとめ

個人情報を取り扱う事業者にとって、個人情報保護法に対する理解は必須です。どのような義務が課せられているのか、漏えい時にどのような対応を求められるのかを把握できていない場合は、本記事で解説した要点を押さえながら、あらためて自社の体制を見直してみることをおすすめします。

パーソナルデータの取扱いにお悩みの方に

  • 海外ツールは同意取得バナーがごちゃごちゃしていてわかりにくい…
  • 誰にどこまで同意を取ったか管理するのが大変…
  • ツールを導入するたびに手作業で全部同意を取り直すのは面倒…
  • 同意は管理できても他社システムを上手く連携して使えないと…

Trust 360で、すべて解決!