本資料は、社内研修で実施された個人情報保護法に関する講義内容をもとに作成されています。データを活用するビジネスにおいて必須となる個人情報保護法の基本的な知識と実務上の注意点をまとめました。
目的
- 個人情報保護法の基本概念を理解する
- 個人データ取り扱いにおける各フェーズの注意点を把握する
- 改正個人情報保護法のポイントを理解する
- 違反事例を学び、リスク回避の意識を高める
対象者
- データを取り扱う全ての従業員
- マーケティング部門
- システム部門
- 新入社員
1. 個人情報保護法の基本概念
個人情報保護法は、個人情報の有用性と個人の権利利益の保護の両立を図るための法律です。
個人情報保護法は、個人データの取扱いを4つのフェーズに分けて規制しています。
1. 個人情報該当性の判断
取り扱うデータが個人情報に該当するかを判断する
2. 取得フェーズ
個人情報を取得する際の利用目的の特定・通知・公表
3. 管理フェーズ
個人データの安全管理、従業員・委託先の監督、開示請求対応
4. 提供フェーズ
第三者提供の際の同意取得、委託、共同利用の適切な判断
2. 個人情報の該当性
個人情報とは、「生存する個人に関する情報であって、下記のいずれかに該当するもの」を指します。
- 特定の個人を識別できるもの(氏名、メールアドレスなど)
- 他の情報と容易に照合でき、それにより特定の個人を識別できるもの
- 個人識別符号が含まれるもの(生体情報、マイナンバーなど)
ポイント
データが個人情報に該当するかどうかは、単体で判断するのではなく、他の情報と組み合わせて特定の個人が識別できるかという観点で判断することが重要です。
単体で個人情報に該当
- 氏名
- 個人の固有メールアドレス
(例:terashima@tmi.gr.jp)
- 顔写真
- マイナンバー
- 運転免許証番号
- パスポート番号
他情報と組み合わせて個人情報
- 社員番号
- ログインIDと行動履歴
- ネットワークログ(名前と紐づく場合)
- 名前と紐づくアンケート回答
- 会員管理と紐づくクッキー情報
- 名前と一緒に取得した購買履歴
要配慮個人情報
特に取扱いに注意が必要
- 人種・民族
- 思想・信条
- 宗教
- 社会的身分
- 病歴・健康診断結果
- 犯罪歴・犯罪被害情報
注意点
要配慮個人情報は、取得時に本人の同意が必要です。それ以外の個人情報は取得時の同意は不要ですが、利用目的の通知・公表は必要です。
3. 取得フェーズの注意点
個人情報を取得する際は、利用目的を明確に特定し、本人に通知または公表する必要があります。一般的には、プライバシーポリシーに記載します。
好ましい利用目的の記載例
- お客様の当社ウェブサイト・アプリの利用状況の解析
- お客様の趣味・志向に合った広告配信
- 新商品・サービスの開発
- お客様サポートの品質向上
推奨されない利用目的の記載例
- 「マーケティング目的で利用します」
- 「情報提供目的で利用します」
上記は抽象的すぎて、具体的な利用目的が不明確です。
4. 提供フェーズの注意点
個人データを第三者に提供する場合、原則として本人の同意が必要です。ただし、以下の場合は例外的に同意不要となります。
委託(同意不要)
共同利用(同意不要)
データ提供の注意点
以下のケースは第三者提供に該当し、原則として本人同意が必要です:
- データの物理的な移転だけでなく、閲覧可能な状態にすることも提供に該当
- グループ会社であっても法人が異なれば第三者(共同利用の手続きがない場合)
- 提供側で個人を特定できる状態から一部データを抽出して渡す場合も第三者提供に該当
- 委託先が、委託された業務以外の目的でデータを利用する場合
個人データを海外の第三者に提供する際は、国内の第三者提供規制に加えて、以下のいずれかの条件を満たす必要があります。
本人の同意
移転先の国名、個人情報保護制度、安全管理措置について情報提供した上での同意
個人情報保護委員会指定国
日本と同等の水準の個人情報保護制度を有する国(現在はEU加盟国とイギリスのみ)
基準適合体制
提供先企業が個人情報保護委員会の定める基準に適合する体制を整備している場合
5. 管理フェーズの注意点
個人データの漏えい、滅失、き損を防ぐため、安全管理措置を講じる必要があります。
必要な対策
- 組織的安全管理措置(責任者の設置、内部規程の整備等)
- 人的安全管理措置(従業員教育、誓約書等)
- 物理的安全管理措置(入退室管理、盗難防止等)
- 技術的安全管理措置(アクセス制御、暗号化等)
漏えい等発生時の対応
2022年4月の改正法施行により、一定の場合には個人情報保護委員会への報告と本人通知が義務化されました。
- 要配慮個人情報の漏えい(1件でも対象)
- 財産的被害が生じるおそれのある情報の漏えい(1件でも対象)
- 不正アクセスによる漏えい
- 1,000人超の個人データの漏えい
事案判明後速やかに(原則3日~5日以内)報告する必要があります。
従業員の監督
- 個人情報保護に関する教育・研修の実施
- 内部規程の周知徹底
- アクセス権限の適切な管理
- 監査やモニタリングの実施
ポイント
従業員への教育は単発ではなく、定期的に実施することが重要です。この研修もその一環です。
委託先の監督
- 委託先の選定基準の策定
- 委託契約書での個人情報保護条項の規定
- 必要に応じた監査・報告の実施
- アクセス権限の必要最小限化
注意点
委託先で個人情報漏えいが発生した場合も、委託元の監督責任が問われます。特に海外の委託先には注意が必要です。
個人情報保護法では、個人に対して以下の権利を保障しており、請求があった場合は適切に対応する必要があります。
対応の重要性
これらの請求があった場合は、社内規定に沿って適切に対応してください。判断が難しい場合は、すぐに上司やコンプライアンス担当部門に相談しましょう。
6. 改正個人情報保護法(2022年4月施行)のポイント
個人情報ではないが、個人に関する情報として取り扱われるもの
- Cookie等で収集した閲覧履歴
- 端末識別子に紐づく情報
- 位置情報
規制内容
提供先で個人データになることが想定される場合、提供先での本人同意取得の確認が必要
海外へのデータ移転時の規制強化
- 移転先国の制度に関する情報提供義務
- 移転先事業者の個人情報保護体制の確認
- 定期的な確認と記録の保持
対象
クラウドサービス、グループ会社間の情報共有等も対象
一定の条件に該当する漏えい等が発生した場合の報告義務
- 要配慮個人情報の漏えい
- 財産的被害が生じるおそれのある情報の漏えい
- 不正アクセスによる漏えい
- 1,000人超の個人データの漏えい
報告期限
速報:事案判明後3〜5日以内
確報:原則30日以内
個人関連情報を提供する際に、提供先で個人データとなる場合の規制についてのイメージ図です。
個人関連情報の例
- Cookieで取得したウェブサイト閲覧履歴
- 端末識別子に紐づく閲覧履歴・行動履歴
- 特定の個人を識別しない属性情報
- IPアドレスなどの端末情報
注意点
提供元は提供先での同意取得を確認する義務があり、確認・記録も必要です。IDを突合して個人を特定するようなサービスを提供する場合に特に注意が必要です。
7. 違反事例と注意点
就職情報サイト「リクナビ」の「内定辞退率予測モデル」に関する事案
問題点
- ユーザーから同意を得ずに閲覧履歴等を取得
- 内定辞退率のスコアリングを企業に提供
- 利用目的の不明確な記載・同意取得の不備
行政措置
個人情報保護委員会から勧告を受け、サービス停止
タクシー内の広告配信のための乗客の顔分析に関する事案
問題点
- タクシー車内カメラで顔を撮影し年齢・性別を推定
- その情報を基に広告を配信
- 顔の撮影・分析について適切な通知・説明不足
行政措置
個人情報保護委員会から指導を受け、通知方法を改善
違反回避のポイント
個人情報保護法の制限だけでなく、プライバシーへの配慮が重要です。下記の原則を念頭に置いてください:
- 透明性の確保:データの取得・利用・提供について明確に説明する
- 公正な取扱い:目的を明確にし、その範囲内で利用する
- ユーザーへの価値提供:データ活用によるユーザーへのメリットを提供する
- 一貫したデータガバナンス:取得・管理・利用・提供の全フェーズを適切に管理する