運営ノウハウ

個人情報保護法

個人情報保護法

個人情報の保護に関する法律(平成15年法律第57号)

個人情報保護法の目的

  • 個人情報を取り扱う事業者の遵守すべき義務等を定める
  • 個人情報の有用性に配慮しつつ、個人の権利利益を保護する

個人情報の定義

生存する個人に関する情報
氏名、生年月日、その他の記述等、特定の個人を識別できるもの
※文書、図面、電子データに記録されたものを含む

個人識別符号
※体の一部の特徴を電子計算機のために変換した符号
 指紋データ、声紋、DNA
※サービス利用や書類などで対象者ごとに割り当てられる公的な番号
 マイナンバー、旅行番号

個人情報を取得・利用するとき

  • 個人情報の利用目的を本人に知らせる
  • 特に要配慮個人情報を取得する場合は、原則、本人の同意が必要
    (※要配慮時個人情報は、人種、病歴、犯罪歴など本人に対する不当な差別、偏見が生じないように特に配慮を要するもの)
  • 利用目的の範囲内で利用する
  • 利用目的の範囲を超える場合は、改めて本人の同意を得る
    どんな利用目的か理解した上で個人情報を渡してもらうようにする

同意を得る方法

オプトイン
チェックボックスをチェックする
同意ボタンを押す
明確な意思として、事前に同意を得る方法のこと。
はじめから「同意」にチェックがされている場合は、正確にはオプトインにはなりません

オプトアウト
本人が求めれば個人情報の利用を停止できるようにした上で同意したとみなし個人情報を取得する方法

個人情報を保管するとき

個人情報を利用する必要がなくなったときは、消去するようにつとめる
安全管理措置を講じる
個人データの取扱に係る法律の整備、組織体制の整備(責任者の設置など)、人的安全管理措置(従業員の定期的な研修など)、物理的安全管理措置(取扱機器の権限など)、技術的安全管理措置(アクセス制限など)
個人情報を扱う従業員に対して、適切な監督を行う
委託する場合、委託先に対して適切な監督を行う
個人情報保護方針やプライバシーポリシーの策定は規定にはないけれど、体制の整備をする上でも姿勢を公表する上でもあったほうが良い

第三者に提供するとき

本人の同意を得る
提供側、受領側ともに記録を取る
※第三者提供と委託は異なる
※オプトアウトで個人情報を取得している場合は、個人情報保護委員会に提出が必要

保有個人データに対する開示請求の対応

本人から開示を請求された場合、本人に開示する
本内容に誤りがあり、本人から請求があった場合には内容を訂正する
・本人は開示請求する権利を持つ。改定により明確化された
・保有個人データは6ヶ月以上保有する個人データのこと

罰則

国からの勧告に違反した場合、6ヶ月以下の懲役又は30万円以下の罰金
従業員が不正な利益を得るため、第三者に提供または盗用した場合、個人情報データベース等不正提供罪となる

GDPR対策も重要だれど、まずは個人情報保護法に準拠しているか確認することから始めるのもいいかもしれません。
まずは取得している個人情報が妥当であるか。例えば、ユーザ登録などで利用目的のないものまでついでに取得していないか。個人情報の閲覧権限が管理されているかなどの管理の見直しなど。
結構、ガッチガチにルールだけつくって守ろうとすると面倒だし
なんでここまでしないといけないんだろう?と思ったりする。そんなときは
個人情報は預かり物
って考えると納得できるかな、と。

個人情報保護法とGDPRの違い

個人情報の定義に
オンライン識別子(IPアドレス、クッキーなど)
位置情報
が追加