個人情報保護法と番号法
正しく理解する用語の定義と管理の責任
法令遵守は、正しい用語の理解から始まります。
「情報の重み」に応じた管理体制を整え、組織の信頼を守りましょう。
1. 知っておくべき「重要用語」の定義
個人情報
特定の個人を識別できる情報(氏名、生年月日等)。他の情報と容易に照合して識別できるものも含まれます。
個人識別符号
それ単体で個人を識別できる符号(指紋、顔認証、免許証番号、マイナンバー等)。
要配慮個人情報
病歴、信条など。差別を招く恐れがあるため取得に同意必須。オプトアウト提供不可。
個人情報データベース等
体系的に構成された情報の集合(Excel、五十音順の名刺入れ、顧客管理システム等)。
個人データ
データベース等を構成する個人情報。漏洩報告や安全管理義務の主な対象です。
保有個人データ
開示や訂正の権限を持つデータ。本人からの請求対応の対象となります。
個人情報取扱事業者とは?
データベース等を事業に供している者のこと。現在の日本ではほぼすべての法人が義務を負います。
2. 「情報の重み」に応じた管理体制
マイナンバー(特定個人情報)
番号法により用途が限定。本人の同意があっても目的外利用は不可。
要配慮個人情報
病歴・犯罪歴など。漏洩時の不利益が大きいため、より慎重な管理が必要。
個人データ(一般的な個人情報)
氏名・住所など。適切な管理が求められる基盤の情報。
Weight of Management & Risk
管理のポイント
「全部同じ個人情報」と考えるのではなく、
「このデータにはLevelいくつが含まれているか?」
を常に意識しましょう。
Levelが高いほど、鍵のかかる場所に保管する、アクセス権限を最小限にするなど、対策の強度が一段階ずつ上がる必要があります。
3. 管理策の違い(情報のLevel別比較)
| 対策の区分 | 【Level 1】 一般的な個人情報 |
【Level 2】 要配慮個人情報 |
【Level 3】 マイナンバー(番号法) |
|---|---|---|---|
|
組織的管理策
|
・全従業員が目的範囲内で取扱可能。 ・基本的な報告体制。 |
・取得時に明示的な同意を確認。 ・閲覧権限の適切な制限。 |
・事務取扱担当者を限定。 ・利用履歴の証跡(ログ)保存と定期点検を徹底。 |
|
物理的管理策
|
・書類の放置禁止。 ・施錠可能な什器で保管。 |
・保管場所のより厳格な施錠。 ・画面ののぞき見防止措置。 |
・仕切り等による管理区域の設定。 ・専用金庫、持出不可PCの使用。 |
|
漏洩時の対応
|
・重大事態(1,000件超等)で委員会報告義務。 | ・1件でも委員会への報告・本人通知が原則義務。 | ・特定個人情報ファイルの重大漏洩において、より厳格な即報告義務。 |
4. 守るべき基本動作
① 利用目的:何のために使うか
目的を明確にし、本人に通知。決めた目的以外には使いません。
② 安全管理:漏らさない仕組み
情報の階層(Level)に合わせて、安全な場所に保管します。
③ 提供制限:無断で渡さない
原則同意なく第三者へ渡しません。Lv3は法律外の提供は不可。
④ 対応:開示請求への対応
本人からの「データを見せて・直して」という声には誠実に応じます。