そろそろ勉強しておくべき個人情報保護法

はじめに

個人情報保護士の試験日は12月18日でしたね。

全然本気出せない。むしろいま火中。

そんな訳で現在まさに勉強中の個人情報保護法について、復習を兼ねて書いてみることにしました。

個人情報保護法とは

ざくっと言うと、個人情報の有用性を配慮しながらも、個人情報を保護しますという事を目的にした法律。
安全性だけではなく利便性も、というのがポイント。

プライバシー意識の高まりや、国際的な法制定の流れを受けて2005年に施行（成立は2003年）された。

なぜいま個人情報保護法なのか

法案が制定してから約10年経った2015年9月に改正個人情報保護法が成立したため。
成立から施行されるまでタイムラグがあるが、その施行が2017年春頃（何もなければ）と迫ってきている。

改正法が施行されると何が変わるのか

10年ぶりということで結構変わっていますが、特に影響の大きそうなのは以下の4点。

• 個人情報の定義の明確化
• 個人情報取扱事業者の範囲拡大
• ビッグデータの利活用促進（匿名加工情報）
• 個人データ流出に対する罰則

見るのにガッツが必要な法案や基本方針などはコチラを参照。

個人情報の定義の明確化

元々の定義が単独、もしくは組み合わせて個人を特定できる情報と割と曖昧だったため、グレーだった部分（顔認識データ、購買履歴など）がちゃんと定義されました。

基準が明確になったので管理の判断がしやすくなる一方で、純粋に守るべき範囲が拡大しているので洗い出しなどが必要になりそうな悪寒。

個人情報取扱事業者の範囲拡大

改正前は取り扱う個人情報が5,000人以下の事業者は適用対象外だったのが、適用される事となるそうです。
その中には個人事業主やNPO、ちょっと前に話題となったマンション管理組合なども含まれます。

ナーバスになりすぎるなとは言うけど、先のマンション管理組合用に出されたガイドラインを見ても絶望しかない。
実際に運用が始まりノウハウが貯まってくればマシになるとは思うけど、最初は大変そう。

ビッグデータの利活用促進（匿名加工情報）

現行法だとビッグデータ分析を法律に従って行うのは無理ゲーなので みんな海外にサーバーを置いた その対策としてマスキング（匿名加工）すれば大丈夫だよ、という話。

でもまぁ正直面倒くさそう。

個人データ流出に対する罰則

いわゆる名簿屋をターゲットとした、不正な方法で個人情報を取得したヤツらを罰する法案。
これで妙な不動産投資営業が無くなることを祈る。

ただ不正な方法の何を持って不正と言うのか問題があって、まだまだ課題は多そう。

個人情報取扱事業者になると何をしなければいけないのか

ざっくり分類すると以下の４つの義務が応じます。

• 利用目的
• 安全対策
• ユーザ対応
• 苦情処理

※この辺は過去問やってても自分の正解率が怪しいので後でググってください。

利用目的について

ざっくりとしてない、目的が出来る限り特定された利用目的を作って、ユーザの目のつく場所に置けというお話。

ざっくりとした例

• 事業活動のため
• サービス向上のため

安全対策について

安全対策として必要かつ適切な措置を行うこと。
適切とは組織的・人的・物理的・技術的に分けられた対策のことなので、要は幅広く対策しろって事ですね、わかります。

ユーザ対応について

ユーザからの問い合わせにちゃんと対応しろというお話。
具体的には、受付窓口や受付・開示方法の設定、受付時の本人確認手段、その求めに応じた開示や利用停止などの実施など。

苦情処理について

ユーザからの苦情に対応できる体制を作ってちゃんと対応しろというお話。

そもそ個人情報って？

一言で言えば、それ単独、もしくは組み合わせて本人を特定することが出来る個人の情報。
アンケートの集計結果など統計情報は含まれない。

法案では以下の３種類に分類されている。

• 個人情報
• 個人データ
• 保有個人データ

個人データ

検索できるように体系的にまとめたものを個人情報データベース等と言い、そこに含まれる個人情報を個人データと言う。
何を言ってるかよくわからないと思うが、そう定義されているから仕方ない。

ちなみにデータベース等は別に電子化されていなくても、アナログベースでもちゃんと五十音順などで整理されている物（名刺ファイル、病院のカルテなど）も該当する。
でも、ちゃんと整理されていないものは該当しないらしい（ここテストに出ます）。何だろう、このモヤモヤ。

保有個人データ

事業者が自由に追加や訂正、削除を行え、かつ６ヶ月以上保有している個人データは保有個人データと呼ばれる。
保有個人データを取り扱う場合は、開示等の求めに応じなければならなくなる。

そういえばマイナンバーも個人情報保護法と関係あるの

あります。

ただその関係は、個人情報保護法を一般法とする特別法として成り立っているので、番号法に規程がない項目については個人情報保護法のものが適用される仕組みとなっています。

ちなみに現状ではマイナンバーは、「税」「社会保障」「災害対策」に用途が限定されているので、事業で取り扱うケースはだいぶ限られているかと思われます。

ちなみに過去問のなかで将来コンビニで住民票を発行とか書かれてましたが、本当に使われる日は来るのか。

まとめ

正直まとめきれない。
ここでまとめきれるくらいなら、テスト勉強にこんな苦労はしてない。

とりあえず個人情報は容量と用法を守って正しくお使い下さい。