日本で個人情報保護を規定する法律として、個人情報保護法があります。平成29年5月に施行された改正法により、それまで適用対象外となっていた中小企業・小規模事業者も含め、すべての事業者に個人情報保護法が適用されることとなりました。取り扱う個人情報の数に関わらず、例えば、紙やデータで名簿を管理されている事業者は全て「個人情報取扱事業者」となり、法の対象となりますので、注意が必要です。なお、個人情報保護法の下に、関連の政令や規則があり、個人情報の取り扱いについて詳細に規定されています。
(1) 個人情報の定義
個人情報とは、生存する個人に関する情報であって、①氏名や生年月日等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなる者を含む。)、または、②個人識別符号が含まれるものをいいます(個人情報保護法第2条)。
(2) 民間事業者の個人情報の取り扱いについての基本ルール
① 個人情報の取得・利用
個人情報取扱事業者は、個人情報を取り扱うにあたって、利用目的をできる限り特定し(個人情報保護法第15条第1項)。その利用目的は、あらかじめ公表しておくか、個人情報を取得する際に本人に通知する必要があります(個人情報保護法第18条)。
② 個人データの安全管理措置
在宅勤務の増加に伴い、これまで以上に具体的な取り組みが求められる事項といえます。個人情報取扱事業者は、個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければなりません(個人情報保護法第20条)。個人データの取り扱いを委託する場合は、個人データの安全管理が図られるよう、委託先に対しても必要かつ適切な監督を行わなければなりません(個人情報保護法第22条)。「個人情報の保護に関する法律についてのガイドライン(個人情報保護委員会)」に、個人データの適正な取り扱いの確保について組織として取り組むために、基本方針や個人データの取り扱いについての規定の策定、組織体制の整備、従業員の教育、不正アクセスや漏えいの防止等の技術的な安全管理措置を講ずることが挙げられています。なお、同ガイドラインでは、従業員の数が100人以下の中小規模事業者に対して、事業を円滑に行われることに配慮し、特例的な対応方法が示されています。
③ 個人データの第三者提供
個人情報取扱事業者は、個人データを第三者に提供する場合、原則としてあらかじめ本人の同意を得なければなりません(個人情報保護法第23条第1項)。
④ 個人データの外国にいる第三者への提供
外国にいる第三者への提供は、次のいずれかに該当する必要があります(個人情報保護法第24条)。(a) 外国にある第三者へ提供することについて、本人の同意を得ること、(b) 外国にある第三者が個人情報保護委員会の規則で定める基準に適合する体制を整備していること、(c) 外国にある第三者が個人情報保護委員会が認めた国(本誌発行時点でEU加盟国および英国)に所在すること。(a)本人の同意について、上記第三者提供とは別に取得する必要があります。また、外国にいる第三者への提供の場合は、委託や共同利用等の場合も含まれます。そのため、委託の場合は契約内容に個人情報保護法の義務と同等の扱いを求める規定を置く、海外子会社・現地法人については、日本の本社と同等の扱いが担保することなどにより、個別の同意取得が難しい場合に(b)体制の整備を行う必要があります。なお、外国から日本へのデータの提供については、当該国の法令に従うことになりますが、二国間の協定等によって対応が異なることもありますので、ケースごとに確認が必要です。
⑤ 保有個人データの開示請求
個人情報取扱事業者は、本人から保有個人データの開示請求を受けたときは、本人に対し、原則として当該保有個人データを開示しなければならないとされています(個人情報保護法第28条)。
(3) 個人データの漏えい等への対応
個人情報取扱事業者には「個人データの漏えい等の事案が発生した場合等の対応について」(平成29年委員会告示第1号)に基づく措置が求められています。個人データの漏えい等の事案が発覚した場合に講ずるべき措置としては、①事業者内部における報告及び被害の拡大防止、②事実関係の調査及び原因の究明、③影響範囲の特定、④再発防止策の検討及び実施、⑤影響を受ける可能性のある本人への連絡等、⑥事実関係及び再発防止策の公表があげられており、また、内容によって、個人情報保護員会等への報告が求められます。