個人情報保護法は、個人情報の適正な取扱いに関する適切なルールを定め、個人の権利・利益を保護することを目的とした法律です。
特に近年では、「デジタル社会の進展に伴い個人情報の利用が著しく拡大していること」(同法1条)に鑑み、DXを念頭に置いたさまざまな法改正がおこなわれました。
DXに取り組む事業者は、個人情報保護法で定められたルールをよく理解し、その遵守に努めなければなりません。
今回は、DXに取り組む事業者が遵守すべき、個人情報保護法上の義務内容についてまとめました。
個人情報・個人データの取得・利用に関する義務
個人情報・個人データの取得・利用に関して、個人情報取扱事業者には以下の義務が課されています。
(1)利用目的の特定(個人情報保護法17条)
個人情報の利用目的は、できる限り特定しなければなりません。また、利用目的の変更は、変更前の利用目的と合理的関連性を有する範囲に限られます。
(2)目的外利用の制限(同法18条)
原則として、あらかじめ本人の同意を得ることなく、利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはいけません。ただし、法令に基づく利用などの例外が設けられています。
(3)不適正利用の禁止(同法19条)
違法・不当な行為を助長し、または誘発するおそれがある方法によって個人情報を利用してはいけません。
(4)適正な個人情報の取得(同法20条)
偽りその他の不正な手段を用いて、個人情報を取得してはいけません。また、要配慮個人情報を取得する際には、法令に基づく場合などを除いて、あらかじめ本人の同意を得る必要があります。
(5)本人に対する利用目的の通知・公表(同法21条)
個人情報を取得した場合、あらかじめ利用目的を公表している場合を除いて、速やかに利用目的を本人へ通知し、または公表しなければなりません。ただし、生命・身体・財産等への権利侵害が発生するおそれがある場合などには、例外的に通知・公表が不要となります。
(6)データ内容の正確性の確保・不必要なデータの消去(同法22条)
個人データを正確かつ最新の内容に保ち、利用する必要性がなくなった場合には、遅滞なく個人データを消去するよう努めなければなりません。
個人データの安全管理に関する義務
個人データの漏えい・滅失・毀損などを防止するため、個人情報取扱事業者には以下の義務が課されています。
(1)安全管理措置(同法23条)
個人データの漏えい・滅失・毀損の防止など、安全管理のために適切な措置を講じなければなりません。
(例)社内規程や社内組織の整備、従業員の教育、パスワードやアクセス権の設定、セキュリティソフトの導入など
(2)従業者の監督(同法24条)
従業員等に個人データを取り扱わせる場合、安全管理を徹底するため、当該従業者に対して必要かつ適切な監督をおこなわなければなりません。
(3)委託先の監督(同法25条)
個人データの取扱いを他社に委託する場合、安全管理を徹底するため、委託先に対して必要かつ適切な監督をおこなわなければなりません。
(4)漏えい報告等(同法26条)
個人データの漏えい・滅失・毀損などが生じた場合、原則として個人情報保護委員会に報告するとともに、本人にその旨を通知しなければなりません。
個人データ等の第三者提供に関する義務
個人データ等を他の事業者に提供する場合、個人情報取扱事業者には以下の義務が課されます。
(1)第三者提供の制限等(同法27条~30条)
個人データを第三者に提供する場合、原則としてあらかじめ本人の同意を得る必要があります。
また、個人データの第三者提供をおこなう際には、その記録を作成・保存することが必要です。
さらに、他の事業者から個人データの提供を受ける場合、個人データの取得経緯などについての確認が必要となります。
(2)個人関連情報の第三者提供制限等(同法31条)
個人関連情報※を他の事業者へ提供する際、提供先が個人データとして取得することが想定される場合には、取得につき本人の同意があることなどを確認しなければなりません。
※個人関連情報:個人情報・匿名加工情報・仮名加工情報のいずれにも該当しない個人に関する情報。Cookieなど。
保有個人データに関する事項の公表・本人の請求への対応
個人データに関する本人の権利を保護するため、個人情報取扱事業者には以下の対応が義務付けられています。
(1)保有個人データに関する事項の公表等(同法32条)
保有する個人データに関して、利用目的や開示請求等の手続きなどを、公表・回答などを通じて本人の知り得る状態に置かなければなりません。
(2)本人の請求への対応(同法33条~38条)
個人データに関して、本人から開示請求、訂正・追加・削除請求、利用停止・消去請求があった場合、適切な審査をおこなったうえで対応しなければなりません。
なお、各請求に関しては手数料を定めることができますが、実費を勘案して合理的と認められる範囲内の金額とする必要があります。
(3)苦情の処理(同法39条)
個人情報の取扱いに関する苦情を適切・迅速に処理し、かつそのために必要な体制の整備に努めなければなりません。
仮名加工情報・匿名加工情報の取扱い
個人情報を加工した「仮名加工情報」および「匿名加工情報」の取扱いについて、事業者には以下の規制を遵守しなければなりません。
(1)仮名加工情報の取扱い(同法41条、42条)
「仮名加工情報」とは、他の情報と照合しない限り、特定の個人を識別できないように加工された、個人に関する情報です。
(例)プレゼン用の社内資料などに掲載する利用者データ
仮名加工情報の作成に当たっては、個人情報保護法施行規則の基準に従う必要があるほか(同法41条1項)、安全管理措置を講じる必要があります(同条2項)。
また、仮名加工情報を他の情報と照合して、本人を識別しようとする行為は禁止されます(同条7項)。
さらに、法令に基づく場合を除いて、仮名加工情報の第三者提供はできません(同条6項)。
ただし、以下の各点について、個人情報よりも規制が緩やかとなっています。
・仮名加工情報の利用目的は、本人に通知しなくてよい(同条4項)
・仮名加工情報は最新の状態に保つ必要がない(同条5項)
・仮名加工情報の利用目的は、事業者が自由に変更できる(同条9項)
・仮名加工情報については、本人の開示請求、訂正・追加・削除請求、利用停止・消去請求に関する権利が認められない(同条9項)
(2)匿名加工情報の取扱い(同法43条~46条)
「匿名加工情報」とは、復元不可能な形で特定の個人を識別できないようにした、個人に関する情報です。
(例)いわゆる「ビッグデータ」として提供される利用者情報
仮名加工情報の作成に当たっては、個人情報保護法施行規則の基準に従う必要があります(同法43条1項)。
また、仮名加工情報と同様に安全管理措置を講ずる必要があるほか(同条2項、46条)、他の情報との照合による識別行為も禁止されています(同条5項、同法45条)。
ただし匿名加工情報は、仮名加工情報よりも匿名性が高い形で加工されていることに鑑み、以下の各点についてさらに規制が緩和されています。
・匿名加工情報には、利用目的の制限がない
・匿名加工情報は、本人の同意を得ずに第三者提供をおこなうことができる(同法44条)
まとめ
DX戦略を安定的に推進するためには、個人情報保護法に関する法令遵守の取り組みが欠かせません。体制整備や従業員教育などを通じて、社内全体に個人情報保護に関するコンプライアンス意識を浸透させましょう。
