個人情報・個人番号
 
 
 

Index

Links


プライバシー保護(個人情報保護)の体系

体系

  • 基本原則 ↓
    • 1980年:OECD8原則
    • 2003年一部施行、2005年全面施行、2004年改正:個人情報保護法
    • 2004年〜(逐次改訂):政令、基本方針、分野別ガイドライン
    • 1999年(2006年改訂):日本工業規格 JIS Q 15001 個人情報保護マネジメントシステム要求事項
    • 1999年:第三者認証 → プライバシーマーク、ISMS
  • 具体的対策 ↑

OECD8原則

  • 国際的な個人情報の取扱いに関する基本原則
  • 「プライバシー保護と個人データの国際流通についてのガイドライン」→「OECDプライバシーガイドライン」に含まれる
  • OECD(Organisation for Economic Co-operation and Development):経済協力開発機構…1948年加盟16か国で発足、現在34加盟国(1964年日本加盟)
  1. 原則1 「収集制限の原則」
    • 個人データを収集する際には、法律にのっとり、また公正な手段によって、個人データの主体(本人)に通知または同意を得て収集するべきである。
  2. 原則2 「データ内容の原則」
    • 個人データの内容は、利用の目的に沿ったものであり、かつ正確、完全、最新であるべきである。
  3. 原則3 「目的明確化の原則」
    • 個人データを収集する目的を明確にし、データを利用する際は収集したときの目的に合致しているべきである。
  4. 原則4 「利用制限の原則」
    • 個人データの主体(本人)の同意がある場合、もしくは法律の規定がある場合を除いては、収集したデータをその目的以外のために利用してはならない。
  5. 原則5 「安全保護の原則」
    • 合理的な安全保護の措置によって、紛失や破壊、使用、改ざん、漏えいなどから保護すべきである。
  6. 原則6 「公開の原則」
    • 個人データの収集を実施する方針などを公開し、データの存在やその利用目的、管理者などを明確に示すべきである。
  7. 原則7 「個人参加の原則」
    • 個人データの主体が、自分に関するデータの所在やその内容を確認できるとともに、異議を申し立てることを保証すべきである。
  8. 原則8 「責任の原則」
    • 個人データの管理者は、これらの諸原則を実施する上での責任を有するべきである。

EU誕生後の歴史

  • 1993年:欧州連合(EU)誕生
    • それぞれの加盟国にはプライバシー保護(個人情報保護)の独自の法律
  • 1995年:EUデータ保護指令(個人データの取扱いに係る個人の保護及び当該データの自由な移動に関する欧州議会及び理事会の指令)
    • EU加盟国のプライバシー保護に関わる法制度の共通化を求めたもの
    • 1998年までEU加盟国の法制度に指令を反映
    • 指令第25条:EU加盟国から域外の第三国へ個人データを移転する際の規定…EUデータ保護指令の水準を満たしていない国・企業への個人データ移転禁止
  • 1997年:日本「個人情報保護に関するガイドライン」を改定

個人情報・個人番号

個人情報の保護に関する一般法(三つの法律)

  • 「個人情報の保護に関する法律」(「個人情報保護法」):Link
  • 「行政機関の保有する個人情報の保護に関する法律」:Link
  • 「独立行政法人等の保有する個人情報の保護に関する法律」(「独立行政法人等個人情報保護法」):Link

番号法

  • 「行政手続における特定の個人を識別するための番号の利用等に関する法律」(「番号法」):Link
    • 個人番号をその内容に含む個人情報(「特定個人情報」)の利用範囲を限定する等、より厳格な保護措置を定めている

定義

1 個人情報

 生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。 【番号法第2条第3項、個人情報保護法第2条第1項】

  • 【個人情報に該当する事例】
    • 事例1)本人の氏名
    • 事例2)生年月日、連絡先(住所・居所・電話番号・メールアドレス)、会社における職位又は所属に関する情報について、それらと本人の氏名を組み合わせた情報
    • 事例3)防犯カメラに記録された情報等本人が判別できる映像情報
    • 事例4)特定の個人を識別できるメールアドレス情報(keizai_ichiro@meti.go.jp等のようにメールアドレスだけの情報の場合であっても、日本の政府機関である経済産業省に所属するケイザイイチローのメールアドレスであることがわかるような場合等)
    • 事例5)特定個人を識別できる情報が記述されていなくても、周知の情報を補って認識することにより特定の個人を識別できる情報
    • 事例6)雇用管理情報(事業者が労働者等(個人情報取扱事業者に使用されている労働者、個人情報取扱事業者に使用される労働者になろうとする者及びなろうとした者並びに過去において個人情報取扱事業者に使用されていた者。以下同じ。)の雇用管理のために収集、保管、利用等する個人情報をいい、その限りにおいて、病歴、収入、家族関係等の機微に触れる情報(以下「機微に触れる情報」という。)を含む労働者個人に関するすべての情報が該当する。以下同じ。)
    • 事例7)個人情報を取得後に当該情報に付加された個人に関する情報(取得時に生存する特定の個人を識別することができなかったとしても、取得後、新たな情報が付加され、又は照合された結果、生存する特定の個人を識別できた場合は、その時点で個人情報となる。)
    • 事例8)官報、電話帳、職員録等で公にされている情報(本人の氏名等)
  • 【個人情報に該当しない事例】
    • 事例1)企業の財務情報等、法人等の団体そのものに関する情報(団体情報)
    • 事例2)記号や数字等の文字列だけから特定個人の情報であるか否かの区別がつかないメールアドレス情報(例えば、abc012345@xyzisp.jp。ただし、他の情報と容易に照合することによって特定の個人を識別できる場合は、個人情報となる。)
    • 事例3)特定の個人を識別することができない統計情報

2 個人番号

 番号法第7条第1項又は第2項の規定により、住民票コードを変換して得られる番号であって、当該住民票コードが記載された住民票に係る者を識別するために指定されるものをいう(番号法第2条第6項及び第7項、第8条並びに第67条並びに附則第3条第1項から第3項まで及び第5項における個人番号)。【番号法第2条第5項】

3 特定個人情報

 個人番号(個人番号に対応し、当該個人番号に代わって用いられる番号、記号その他の符号であって、住民票コード以外のものを含む。番号法第7条第1項及び第2項、第8条並びに第67条並びに附則第3条第1項から第3項まで及び第5項を除く。)をその内容に含む個人情報をいう。【番号法第2条第8項】 ※ 生存する個人の個人番号についても、特定個人情報に該当する(番号法第37条参照)。

4 個人情報データベース等

 個人情報を含む情報の集合物であって、特定の個人情報について電子計算機を用いて検索することができるように体系的に構成したもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして「個人情報の保護に関する法律施行令」(「個人情報保護法施行令」)で定めるものをいう。【個人情報保護法第2条第2項、個人情報保護法施行令第1条】

  • 【個人情報データベース等に該当する事例】
    • 事例1)電子メールソフトに保管されているメールアドレス帳(メールアドレスと氏名を組み合わせた情報を入力している場合)
    • 事例2)ユーザーIDとユーザーが利用した取引についてのログ情報が保管されている電子ファイル(ユーザーIDを個人情報と関連付けて管理している場合)
    • 事例3)従業者が、名刺の情報を業務用パソコン(所有者を問わない。)の表計算ソフト等を用いて入力・整理し、他の従業者等によっても検索できる状態にしている場合
    • 事例4)人材派遣会社が登録カードを、氏名の五十音順に整理し、五十音順のインデックスを付してファイルしている場合
    • 事例5)氏名、住所、企業別に分類整理されている市販の人名録
  • 【個人情報データベース等に該当しない事例】
    • 事例1)従業者が、自己の名刺入れについて他人が自由に検索できる状況に置いていても、他人には容易に検索できない独自の分類方法により名刺を分類した状態である場合
    • 事例2)アンケートの戻りはがきが、氏名、住所等により分類整理されていない状態である場合

5 個人情報ファイル

 個人情報データベース等であって、行政機関及び独立行政法人等以外の者が保有するものをいう。【番号法第2条第4項】

6 特定個人情報ファイル

 個人番号をその内容に含む個人情報ファイルをいう。【番号法第2条第9項】

7 個人データ

 個人情報データベース等を構成する個人情報をいう。【個人情報保護法第2条第4項】

  • 【個人データに該当する事例】
    • 事例1)個人情報データベース等から他の媒体に格納したバックアップ用の個人情報
    • 事例2)コンピュータ処理による個人情報データベース等から出力された帳票等に印字された個人情報
  • 【個人データに該当しない事例】 事例)個人情報データベース等を構成する前の入力帳票に記載されている個人情報

8 保有個人データ

 個人情報取扱事業者(項番14)が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして個人情報保護法施行令で定めるもの又は6か月以内に消去することとなるもの以外のものをいう。【個人情報保護法第2条第5項、個人情報保護法施行令第3条、第4条】

  • (1) その個人データの存否が明らかになることで、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの。
    • 事例)家庭内暴力、児童虐待の被害者の支援団体が、加害者(配偶者又は親権者)及び被害者(配偶者又は子)を本人とする個人データを持っている場合
  • (2) その個人データの存否が明らかになることで、違法又は不当な行為を助長し、又は誘発するおそれがあるもの。
    • 事例1)いわゆる総会屋等による不当要求被害を防止するため、事業者が総会屋等を本人とする個人データを持っている場合
    • 事例2)いわゆる不審者、悪質なクレーマー等からの不当要求被害を防止するため、当該行為を繰り返す者を本人とする個人データを保有している場合
  • (3) その個人データの存否が明らかになることで、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの。
    • 事例1)製造業者、情報サービス事業者等が、防衛に関連する兵器・設備・機器・ソフトウェア等の設計、開発担当者名が記録された個人データを保有している場合
    • 事例2)要人の訪問先やその警備会社が、当該要人を本人とする行動予定や記録等を保有している場合
  • (4) その個人データの存否が明らかになることで、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの。
    • 事例1)警察からの捜査関係事項照会や捜索差押令状の対象となった事業者がその対応の過程で捜査対象者又は被疑者を本人とする個人データを保有している場合
    • 事例2)犯罪収益との関係が疑わしい取引(以下「疑わしい取引」という。)の届出の対象情報

9 情報提供等の記録

 総務大臣、情報照会者及び情報提供者は、番号法第19条第7号の規定により情報提供ネットワークシステムを使用して特定個人情報の提供の求め又は提供があった場合には、情報提供ネットワークシステムに接続されたその者の使用する電子計算機(総務大臣においては情報提供ネットワークシステム)に、情報照会者及び情報提供者の名称、提供の求め及び提供の日時、特定個人情報の項目等を記録することとされており、当該記録をいう。【番号法第23条】

10 個人番号利用事務

 行政機関、地方公共団体、独立行政法人等その他の行政事務を処理する者が番号法第9条第1項又は第2項の規定によりその保有する特定個人情報ファイルにおいて個人情報を効率的に検索し、及び管理するために必要な限度で個人番号を利用して処理する事務をいう。【番号法第2条第10項】

11 個人番号関係事務

 番号法第9条第3項の規定により個人番号利用事務に関して行われる他人の個人番号を必要な限度で利用して行う事務をいう。【番号法第2条第11項】

12 個人番号利用事務実施者

 個人番号利用事務を処理する者及び個人番号利用事務の全部又は一部の委託を受けた者をいう。【番号法第2条第12項】

13 個人番号関係事務実施者

 個人番号関係事務を処理する者及び個人番号関係事務の全部又は一部の委託を受けた者をいう。【番号法第2条第13項】

14 個人情報取扱事業者

 個人情報データベース等を事業の用に供している者(国の機関、地方公共団体、独立行政法人等及び地方独立行政法人を除く。)であって、個人情報データベース等を構成する個人情報によって識別される特定の個人の数(個人情報保護法施行令で定める者を除く。)の合計が過去6か月以内のいずれの日においても5,000を超えない者以外の者をいう。【個人情報保護法第2条第3項、個人情報保護法施行令第2条】

  • 【特定の個人の数に算入しない事例】
    • 事例1)電話会社から提供された電話帳及び市販の電話帳CD-ROM等に掲載されている氏名及び電話番号
    • 事例2)市販のカーナビゲーションシステム等のナビゲーションシステムに格納されている氏名、住所又は居所の所在場所を示すデータ(ナビゲーションシステム等が当初から備えている機能を用いて、運行経路等新たな情報等を記録する場合があったとしても、「特定の個人の数」には算入しないものとする。)
    • 事例3)氏名又は住所から検索できるよう体系的に構成された、市販の住所地図上の氏名及び住所又は居所の所在場所を示す情報
  • 【事業の用に供しないため特定の個人の数に算入しない事例】
    • 事例)倉庫業、データセンター(ハウジング、ホスティング)等の事業において、当該情報が個人情報に該当するかどうかを認識することなく預かっている場合に、その情報中に含まれる個人情報(ただし、委託元の指示等によって個人情報を含む情報と認識できる場合は算入する。)
  • 【個人情報取扱事業者に該当する事例】
    • 事例)電子媒体及び紙媒体(以下「媒体」という。)の個人情報データベース等を構成する個人情報によって識別される特定の個人の数の総和が5000人を超えている事業者

15 個人情報取扱事業者でない個人番号取扱事業者

 特定個人情報ファイルを事業の用に供している個人番号関係事務実施者又は個人番号利用事務実施者であって、国の機関、地方公共団体の機関、独立行政法人等及び地方独立行政法人以外のもの(番号法第31条)から、(14)の個人情報取扱事業者を除いた者をいう。【番号法第32条から第35条まで】

特定個人情報に関する安全管理措置

  • 特定個人情報保護委員会
    • 特定個人情報の適正な取扱いに関するガイドライン(事業者編)(本文及び(別添)特定個人情報に関する安全管理措置
    • PDF:817KB

要点

  • 番号法における安全管理措置の考え方
     番号法は、個人番号を利用できる事務の範囲、特定個人情報ファイルを作成できる範囲、特定個人情報を収集・保管・提供できる範囲等を制限している。したがって、事業者は、個人番号及び特定個人情報(「特定個人情報等」)の漏えい、滅失又は毀損(「情報漏えい等」)の防止等のための安全管理措置の検討に当たり、次に掲げる事項を明確にすることが重要である。
    • A 個人番号を取り扱う事務の範囲
    • B 特定個人情報等の範囲
    • C 特定個人情報等を取り扱う事務に従事する従業者(注)(「事務取扱担当者」)

安全管理措置の検討手順

 事業者は、特定個人情報等の適正な取扱いに関する安全管理措置について、次のような手順で検討を行う必要がある。

  • A 個人番号を取り扱う事務の範囲の明確化
  • B 特定個人情報等の範囲の明確化
  • C 事務取扱担当者の明確化
  • D 基本方針の策定
  • E 取扱規程等の策定

講ずべき安全管理措置の内容

 事業者は、安全管理措置の検討に当たり、番号法及び個人情報保護法等関係法令並びに本ガイドライン及び主務大臣のガイドライン等を遵守しなければならない。

  • A 基本方針の策定
  • B 取扱規程等の策定
  • C 組織的安全管理措置
    • a 組織体制の整備
    • b 取扱規程等に基づく運用
    • c 取扱状況を確認する手段の整備
    • d 情報漏えい等事案に対応する体制の整備
    • e 取扱状況の把握及び安全管理措置の見直し
  • D 人的安全管理措置
    • a 事務取扱担当者の監督
    • b 事務取扱担当者の教育
  • E 物理的安全管理措置
    • a 特定個人情報等を取り扱う区域の管理
    • b 機器及び電子媒体等の盗難等の防止
    • c 電子媒体等を持ち出す場合の漏えい等の防止
    • d 個人番号の削除、機器及び電子媒体等の廃棄
  • F 技術的安全管理措置
    • a アクセス制御
    • b アクセス者の識別と認証
    • c 外部からの不正アクセス等の防止
    • d 情報漏えい等の防止


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2017-09-26 (火) 14:27:45 (659d)