改正個人情報保護法のポイントとやるべきこと(前半) | セキュリティ情報専門News - MachinaRecord
Codebook|Security News > Articles > 情報セキュリティ > 改正個人情報保護法のポイントとやるべきこと(前半)

情報セキュリティ

改正個人情報保護法のポイントとやるべきこと(前半)

サイトウアヤ

サイトウアヤ

2022.02.14

改正個人情報保護法のポイントとやるべきこと(前半)

本記事では、2022年4月に施行される改正個人情報保護法について、改正ポイントとやるべきことの内容について、前後半2回に分けて取り上げていこうと思います。

前半となる今回は、個人情報保護法の内容をできるだけわかりやすく解説します。後半では、改正ポイントごとのやるべきことを具体的に説明します。

 

個人情報とは

個人情報の定義と種類

個人情報には「生存する個人に関する情報」「特定の個人を識別できる情報」「個人識別符号」という定義があります。他にも個人データや匿名化、要配慮個人情報など様々な要素がありますが、わかりやすい例を以下に記載してみます。

  ・氏名や生年月日等によって特定の個人を識別できる情報

  ・氏名と社名が含まれるメールアドレス

  ・顔写真

  ・防犯カメラに記録された顔画像

  ・録画された映像で顔が判別できるもの

  ・会社が保管している従業員の情報

  ・医療カルテ

  ・健康診断の結果

  ・指紋

  ・DNA

  ・顔の骨格などの身体の特徴データ

  ・マイナンバー

  ・パスポート

  ・運転免許証の番号

 

個人情報の利用

上記のように、個人情報には様々な種類がありますが、よく利用される代表例としては「氏名」「年齢」「性別」「住所」「電話番号」といったものがあります。

例えばECサイトを利用する際には商品のお届け先情報を登録する事が一般的ですが、ここで「性別」に関する情報を登録した場合どうでしょうか?商品のお届け先には性別は必要ありませんが、ECサイト側は利用者の詳細な情報を元に、メールマガジンやダイレクトメールなどでキャンペーンの案内をピンポイントで送る事ができます。また、次回サイトを訪れた際には、利用者のアクセス時間や閲覧履歴などの特性に合わせて、動的に商品案内ページを生成することもできるでしょう。

このように個人情報は、特にインターネットを使うビジネスにおいては、利用者の趣向や動向を知るための重要なマーケティングデータとなり、そのデータを上手く活用することが事業拡大の重要な要素となるのです。

一方で利用者側の立場からすると、ピンポイントで自分の趣向に合った広告を受け取ることは有益である一方、使ったことのないECサイトからの案内(メールマガジンなど)を受け取る事は煩わしいですし、まして個人を特定できる情報が自分の知らないところで勝手に使われてしまうような事態は避けたいところです。

そこで、個人情報保護法の出番となるわけです。

 

個人情報保護法とは?

個人情報保護法の概要と目的

個人情報保護法の概要は、

  ・個人の権利・利益の保護と個人情報の有用性とのバランスを図るための法律

  ・基本理念を定めるほか、民間事業者の個人情報の取扱いについて規定

のように纏めることができます。

そして、その目的は、以下のように定められています。

 

個人情報保護法の目的

第1条

この法律は、高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることに鑑み、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにするとともに、個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。

※「個人情報の保護に関する法律」より抜粋

 

つまりは、分かりやすく言い換えれば「個人のプライバシーをきちんと守って(組織や企業側が※)利用しましょう」という内容ですね。ちなみに、個人情報を1件でも取り扱うすべての事業者が対象となります。

 

個人情報保護法に従ってやるべきこと

個人情報保護法では、大きく4つの内容に関して細かいルールが設けられています。

  ・個人情報の取得・利用

  ・個人データの安全管理措置

  ・個人データの第三者提供

  ・保有個人データの開示請求

これらのルールの内容をできるだけわかりやすく書いてみると、

「どのような個人情報を、どのような目的で取得して、どのように安全に管理するかをちゃんと事前に決めて、個人情報の提供者から同意を得なさい。取得した情報を他の事業者に渡す場合にも同様に事前に説明をして同意を得なさい。提供者から依頼が合ったらどのような情報を持っているか伝えないとダメだし、削除依頼が合った場合は速やかに削除しなさい」

のような内容になります。つまり、

  ・個人情報取得の利用目的や第三者提供の有無を明らかにして同意を得る

  ・取得した個人情報は漏洩や不正利用されないように安全に管理する

という点をしっかりやらないと、法令違反になる可能性がある、という事です。

昨今のコンプライアンス意識の高まりから、例えばプライバシポリシーが定めれられていない企業やサービスは利用しない、などB2B、B2Cの垣根なく利用する側の意識も変わりつつある中で、個人情報保護法への対処はどの事業者も必ず対応しなければならない基本的な法規制準拠の1つであると言えます。では、具体的な対策はどうしていくべきか、については後半で取り上げていきます。

 

マキナレコードでは今回取り上げた個人情報保護法への対応について、相談可能なコンサルティングサービス「街角セキュリティ相談室」を提供しております。今回の記事をご覧頂き、内容についての質問や疑問、自社の対応状況を改めて見直してみたい、など、何か気になる点がありましたら、お気軽にご連絡ください。

 

【改正個人情報保護法セミナー】

2022年2月22日(火)14時より、これからセキュリティ対策を始めるBtoB企業を対象としたオンラインセミナーを開催します。シリーズ第1回目となる今回は、改正個人情報保護法のポイントとやるべきことを解説します。

本セミナーは、スタートアップ企業を含む中小企業、かつB2Bのビジネスを展開している企業を主に対象としたセキュリティ勉強会です。

取引先からセキュリティを求められている企業や、個人情報等の機微な情報の取り扱いがある企業など、セキュリティ対策をこれから始める企業の皆様は、是非ご参加ください。

▼詳細・お申し込み

https://codebook.machinarecord.com/16738/

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ