「個人情報」とは何でしょうか。

住所、氏名、生年月日、電話番号はもちろんこれに該当しますが、所属する企業や部署名、人種や病歴、免許証の番号など、単独情報では個人が特定できなくても簡単に入手可能な情報を組み合わせることで個人が特定しうる情報は、個人情報にあたります。

このような個人情報を取り扱う事業者に対して、個人情報を適切に利用し、個人の権利や利益を保護することを目的とした法律が「個人情報保護法」です。

個人情報保護法とは

情報化社会になるにつれて事業者が扱う個人情報が劇的に増えると同時に、個人情報を利用・保存・保管するデバイスや端末が増え管理が複雑化することで、情報漏洩の危機感が高まっています。また、昨今ではパスワードの脆弱性や不正アクセスにより情報が大量漏洩する問題も多発しており、個人情報を事業者に提供することにリスクを感じている消費者も多くいます。

「個人情報保護法」は、個人情報を取り扱う事業者に対する法律で、事業のために利用・保持するすべての個人情報について、法律を守る義務を負います。
この法律は2005年に施行されましたが、社会環境の変化などを踏まえ2015年に改正、2017年に全面施行されました。当初は取り扱う個人情報が5000以下の事業者のみ対象でしたが、この改正により、個人情報の数に関わらず「個人情報をデータベース化して事業に利用している事業者」すべてが法律の適用対象となりました。

また改正に伴い、個人情報を活用するための新しい仕組みとして「匿名加工情報」という分類ができました。これは、ビッグデータを活用して様々な経済活動を行い経済発展に寄与することを目的に、特定の個人を識別できないように加工したデータについては、一定のルールのもとで活用できるものです。

参考:個人情報保護法とは?改正の今更聞けない変更ポイントを解説

個人情報を扱う時のルール

個人情報を扱う事業者は、以下のルールに則って個人情報を適切に取得し、管理、利用する必要があります。

① 個人情報を取得・利用する時のルール 個人情報を取得した場合は、その利用目的を本人に通知、又は公表すること (あらかじめ利用目的を公表している場合を除く)

② 個人情報を保管する時のルール
情報の漏えい等が生じないように安全に管理すること

③ 個人情報を他人に渡す時のルール
個人情報を本人以外の第三者に渡すときは、原則として、あらかじめ本人の 同意を得ること

④ 個人情報を外国にいる第三者に渡す時のルール
外国にある第三者へ提供することについて、本人の同意を得ること。また外国にある第三者が個人情報保護委員会の規則で定める基準に適合すること

⑤ 本人から個人情報の開示を求められた時のルール
本人からの請求に応じて、個人情報を開示、訂正、利用停止等すること

引用:改正個人情報保護法の基本

本人の同意を得ることとは

事業者が個人情報を取得する際に気を付ける点として、「利用目的を具体的に明示する」「明示した目的以外の用途で勝手に使わない」「情報漏洩のないようしっかり保管する」が挙げられます。

特に個人情報を取得する際には、その個人情報をどのような目的で利用するのかを明確に示し、利用者に同意を取る必要があります。また、明示した利用目的はあらかじめ公表しておくか、個人情報を取得する際に利用者に通知する必要があります。

具体的な利用方法の明示事例は以下です。

【利用目的の明示例】
○新製品の情報を電子メールおよびDMで提供するために利用いたします。
×マーケティング活動に利用いたします。

○アフターサービス、問い合わせのため利用いたします。
×サービス向上のために利用いたします。

○緊急のお知らせがある場合に、お客様と連絡をとるために利用いたします。
×各種ご案内のために利用いたします。

本人同意が必要な場合

基本的に何かしらの個人情報を取得する場合は、利用者に利用目的を具体的に明示し通知を行い、同意を得るなど本人の意思を確認する必要があります。
同意を得る方法としては、申込書など個人情報を記入するものに利用目的を明示し、きちんと理解いただいた上で同意の意思を記入してもらいます。ここで同意を強要したり、他人や利用者の子どもに代わりに同意の意思を記入させるなどの行為は、適切ではないので気を付けましょう。

本人の同意が不必要な場合

個人情報を取得する場合は本人の合意を得る必要がありますが、以下の場合は、通知・公表する必要はありません。

①法令に基づく場合

②人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。

③公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。

④国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

引用:個人情報保護法ガイドライン

同意を得ていない場合

個人情報を取り扱う事業者は、上記の「本人の同意が不必要な場合」を除いて、あらかじめ本人の同意を得ていない場合は個人情報を取り扱うことはできません。
同意を得ていない場合、利用者が想定していない目的で利用されてしまった際にトラブルになる可能性があるほか、それが原因で会社の社会的信用も失いかねません。

また、事業者が個人情報保護法に基づいて活動しているかの状況確認は、個人情報保護委員会が監督します。監督に従わない場合は罰則が適用される可能性もあります。

【罰則】 ●国からの命令に違反した場合:6ヶ月以下の懲役又は30万円以下の罰金

●虚偽の報告等をした場合:30万円以下の罰金

●従業員等が不正な利益を図る目的で個人情報データベース等を提供、 又は、盗用した場合(個人情報データベース等不正提供罪):1年以下の懲役又は50万円以下の罰

引用:改正個人情報保護法の基本

 情報の取り扱いに注意しよう

事業運営において、サービス利用者の個人情報を取得する機会は年々増えています。また、インターネットやSNSはもちろん、スマートデバイスやAI技術など新しい情報化社会の流れが生まれる度に、個人情報の範囲も多様化しています。

事業者によって事業内容や取り扱う個人情報は異なり、また利用者に開示する利用目的や管理の方法もそれぞれです。健全な事業運営を行うためにも、全社的なコンプライアンス研修などを行い、社員一人ひとりが意識的に情報の取り扱いに注意をはかり、適切に管理する意識を持つよう促すことも大切です。

参考:個人情報保護委員会 個人情報保護法ハンドブック

参考:『どうなるどうする個人情報保護がよくわかる <改正対応>』

この記事を読んだ方におすすめ

信頼向上の為に知っておきたい!個人情報を正しく扱うための「Pマーク(プライバシーマーク)」を理解しよう

信頼向上の為に知っておきたい!個人情報を正しく扱うための「Pマーク(プライバシーマーク)」を理解しよう

今回は、プライバシーマークの概要から取得のメリット、取得方法を解説します。少しでもユーザーの安心感を高め、信頼を獲得するための手段として、一度登録を検討してみてもいいでしょう。