個人情報保護法

目次

個人情報

個人情報とは、
「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述などによって特定の個人を識別できるもの(他の情報と容易に照合することができ、それによって特定の個人を識別することができることとなるものを含む。)、または個人識別符号が含まれるもの」

個人識別符号とは、特定の個人を識別することができるもので、例として次の2点があります。
①指紋、DNA、顔の骨格などの身体の特徴データ
②マイナンバー、パスポートや運転免許証の番号といった、個々人に対して割り当てられる公的な番号

要配慮個人情報

個人情報の中でも、個人の人種、身上、身分、病歴、犯罪歴など特に取扱いに配慮を要する情報のことをいいます。

匿名加工情報

匿名加工情報とは、特定の個人を識別することができないように個人情報を加工し、当該個人情報を復元できないようにした情報のことをいいます。
個人情報取扱事業者は個人情報保護委員会規則で定める基準に従って加工しなければなりません。「情報」は次の3つに大別できます。

1.個人情報を含むデータ(パーソナルデータ)
2. 匿名加工されたデータ
3.個人に関わらないデータ (IoT端末からのセンシングデータ等)

匿名加工情報は、一定のルールの下で、本人同意を得ることなく、事業者間におけるデータ取引やデータ連携を含むパーソナルデータの利活用を促進することを目的に個人情報保護法の改正により導入されました。

個人情報の保護措置

2023年4月施行から、これまで別々に定められていた民間事業者、行政機関、独立行政法人等、地方公共団体の機関及び地方独立行政法人のルールを集約・一体化するため、行政機関個人情報保護法、独立行政法人等個人情報保護法が個人情報保護法に統合されるとともに、地方公共団体の個人情報保護制度も個人情報保護法に統合され、個人情報保護に関する全国的な共通ルールが定められました。

個人情報保護法の基本ルールは次の4点です。

1.取得・利用 : 勝手に使わない
2.保管・管理;なくさない、漏らさない
3.提供:勝手に第三者に渡さない
4.開示請求などへの対応:本人からの開示請求、苦情に適切・迅速に対応

オプトインとオプトアウト

個人情報の保護に関する法律における個人情報の第三者への提供に関する本人の同意を確認する方法です。

オプトイン

個人情報(個人データ)の本人から「私の個人データを第三者に提供してよい」という同意を得て、個人データを第三者に提供する

オプトアウト

個人情報(個人データ)の本人から「私の個人データを第三者に提供してよい」という同意はとらないが、本人が「私の個人データの第三者提供を止めてください」と求めたときは、個人データの第三者提供をやめる、という形で、個人データを第三者に提供する


個人情報保護法のルールのひとつに、「民間企業(個人情報取扱事業者)が個人データを第三者に提供するには、その個人データの本人から同意をとらなければならない」というものがあります。つまり、「オプトイン」の形式が原則です。よって、「オプトアウト」の形式を使うためには、次の2点を満たさなければなりません。
(a) プライバシーポリシーなどに必要な事項を記載して公表
(b) 個人情報保護委員会に「当社は個人データを第三者に提供するにあたり、本人の同意はオプトアウトでとります」と、事前に届出(個人情報保護法23条2項)

オプトアウトで第三者に提供できないデータ

2020年の法改正によって、次のいずれかに該当する個人データはオプトアウトの方法で第三者提供することはできません。

  1. 要配慮個人情報
  2. 不正な手段で取得された個人情報
  3. オプトアウトの方法による第三者提供の方法によって取得した個人情報
  4. 上記(2.) または(3.)を複製(コピー)したり加工したりしたもの

医療情報は(1.)に含まれるためオプトイン適用となりますが、2018年施行の次世代医療基盤法によって、あらかじめつういとぉ受けた本人または遺族が停止を求めない場合はオプトアウトを適用できます。

個人情報の活用・流通

2017年施行の改正個人情報保護法は、時代に即した個人情報の活用・流通を、情報漏洩リスクとのバランスをとりながら促進する目的で改正されました。

個人情報の漏洩時対応

個人情報取扱事業者は、漏洩など事案が発覚した場合、事実関係及び再発防止策などについて、個人情報保護委員会などに対して、速やかに報告するよう努めること、とされています。

「個人情報取扱事業者」とは、個人情報保護法第2条第5項において、「個人情報データベースなどを事業の用に供している者」と定義されています。
以前の個人情報保護法では、事業のために使用している個人情報データベースに含まれる個人情報の数が5,000を超えない場合は、「個人情報取扱事業者」に該当しないとされていましたが、数の制限が削除され、個人情報を取り扱う事業者すべてが「個人情報取扱事業者」に該当します。

  • URLをコピーしました!
  • URLをコピーしました!
目次