6-2-1. 個人情報保護法
インターネットが普及し、ネットショッピングなど、様々なサービスの利用を通して個人情報のやり取りが当たり前になった現在、個人情報の保護は人々にとって身近なテーマとなりました。企業にとって、個人情報は事業へ有効に活用することのできるものですが、漏えいなどの事故が起きた場合、社会的な信用の失墜に直結するため、事業経営に及ぼす影響は非常に大きいです。
そのため、消費者や取引先から預かっている個人情報を適切に取扱うことは、企業の権利や利益を守ることに繋がる非常に重要な取組みとなります。ここでは、サイバーセキュリティに関連する法令として、個人情報保護法について説明します。
個人情報保護法とは
インターネットの普及や情報技術の進歩などを背景として、個人の権利や利益を守ることを目的として「個人情報保護法」(正式名称:個人情報の保護に関する法律)が2005年4月に全面施行されました。施行後も、デジタル技術の進展やグローバル化などの経済・社会情勢の変化や、世の中の個人情報に対する意識の高まりなどに対応するため、今までに3度の改正が行われています。
個人情報保護法では、どのような情報が個人情報になるのか、個人の権利や利益を守るためには個人情報をどのように取り扱わなければいけないのかなどが規定されています。
個人情報の定義
個人情報保護法において「個人情報」とは、生存する個人に関する情報で、氏名、生年月日、住所、顔写真などにより特定の個人を識別できる情報のことを指します。これには他の情報と容易に照合でき、それにより特定の個人を識別できるものも含まれます。
個人情報を取り扱う時の基本ルール
① 取得・利用
- 利用目的を特定して、その範囲内で利用する。
- 利用目的を通知又は公表する。
② 保管・管理
- 漏えいなどが生じないように、安全に管理する。
- 従業者や委託先にも安全管理を徹底する。
③ 提供
- 第三者に提供する場合は、あらかじめ本人から同意を得る。
- 第三者に提供した場合、提供を受けた場合は一定事項を記録する。
④ 開示請求などへの対応
- 本人から開示などの請求があった場合はこれに対応する。
- 苦情に適切かつ迅速に対応する。
(出典)内閣府大臣官房政府広報室.”「個人情報保護法」をわかりやすく解説 個人情報の取扱いルールとは?”. https://www.gov-online.go.jp/useful/article/201703/1.html,(2023-07-28).
個人情報保護法の罰則規定
2022年4月施行の法改正により、法令違反に対する罰則が強化されました。法人に対しては、個人情報保護委員会の措置命令に違反したり、個人情報データベースを不正流用した場合1億円以下、報告義務違反の場合50万円以下の罰金となっています。