情報セキュリティ基礎知識


そもそも個人情報とは

皆さんは情報を取得した時に、これが個人情報であるのか、そうでないのか、すぐに分かりますか。不安がある人もいると思いますので、個人情報保護法での定義を掲載したいと思います。
「個人情報」とは、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別できるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)」をいいます。また、個人情報をデータベース化した場合、そのデータベースを構成する個人情報を、特に「個人データ」といい、そのうち、事業者が開示等の権限を有し6か月以上にわたって保有する個人情報を、特に「保有個人データ」といいます。

「個人情報保護に関する法律」より一部引用

個人情報取扱業者

個人情報を含むデータを事業活動に利用している事業者のことであり、個人情報保護法上の義務を負う事業者のことです。
個人情報保護法では明確に定義されており、個人情報の適切な取扱いを求められています。

改正個人情報保護法(2017年5月末施行)の影響

これまで年間5000件以上の個人情報を取扱う事業者に限定されていましたが、その条件が撤廃され小規模事業者も対象となります。1件でも業務使用する事業者が対象となります。例えば、ホームページ等で取得した個人情報を業務使用(メルマガを送る、営業の電話等)することがあれば対象となります。
この変化は大きなインパクトを与えるでしょう。従業員のマイナンバーを扱うことや問合せフォームからの個人情報の取得など、ほとんどの企業が1件以上の個人情報を扱っていることになります。しっかりとした対応が求められます。

個人情報取扱い事業者

対応すべき5つのこと

ではどのような対応をすれば良いのでしょうか。個人情報取扱業者が対応すべきことをまとめます。

利用目的の特定

個人情報の取得目的を明確にし、その範囲において利用する。利用者に事前に利用目的を説明し同意を取り付けることが大切。

適切な管理体制の構築

個人情報を適切に管理するための体制を構築します。社内ルールの策定や入館管理、雇用契約、アクセス制御等、適切に管理できる体制を整えます。

第三者提供時の本人確認

本人の同意なしで第三者に個人情報を渡してはいけません。業務委託等で必要がある際は事前に同意をとりつけましょう。

第三者提供時のトレーサビリティ

第三者からの個人情報を受け取った場合(もしくはその逆)には、取得経緯等を記録し一定期間保管する必要があります。

保有個人データ

利用目的や開示方法の手続き、苦情連絡先等を本人が知りうる状態にする必要があります。

罰則規定等

改正個人情報保護法では個人情報保護委員会が同法律に違反した事業者に対して立入検査等の対応を行うことを規定しております。問題が起きて罰せられてから対処するのではなく、これを機会に対応しましょう。

個人情報保護法違反

←前の記事 情報セキュリティマネジメント

次の記事→ セキュリティ対策の基本となる考え方

コンタクト情報

Topics

Top