「個人情報保護法」が改正。個人情報の定義と罰則など

平成29年5月30日から「改正個人情報保護法」が施行されます。

企業などが大量の個人情報を加工(匿名化)することで、「ビッグデータ」としてマーケティングに有効活用できる反面、取り扱いによっては個人の特定につながる懸念も指摘されています。

改正された個人情報保護法

個人情報保護法の改正内容

今回の改正で変わったこと・・

  1. 個人情報の定義を明確化
  2. 取扱う個人情報が5000件以下の事業者も法律の適用対象になります。
  3. 情報を第三者に提供する場合は、情報を追跡できるように記録を保存する義務
    (提供者および受領者)
  4. 不正に利益を得る目的で個人情報を漏らす行為に対し罰則規定を新設
    (6ヶ月以下の懲役または30万円以下の罰金)
  5. 一定の条件下で本人の同意を得ずに、個人情報を第三者に提供する[オプトアウト]をする場合は、「個人情報保護委員会」への届出が義務化されます。
    (平成29年3月1日から)

これまで個人情報が流出した場合の対応は、流出させた企業(事業者)を所管する省庁で対応してきましたが、改正後は内閣府の外局である「個人情報保護委員会」に一元化されます。

改正前

個人情報の定義(項目)

  • 氏名
  • 性別
  • 生年月日
  • DNA
  • 身体特徴
  • 郵便番号
  • 住所
  • 職業
  • 年収
  • 家族構成

改正後

個人属性情報(追加項目)

  • マイナンバー
  • クレジットカード番号
  • パスポート番号
  • 指紋データー
  • 顔認証データー
  • 音声(声紋)
  • 電話番号
  • 端末ID
  • メールアドレス
  • サービス/アカウントID

 改正後の注意点など

要配慮個人情報
本人の同意なしに、情報を取得したり第三者に提供できません。

  • 人種
  • 病歴
  • 信条(宗教など)
  • 社会的身分
  • 犯罪歴

履歴情報

WEB履歴情報も個人情報に含まれます。

  • 購入履歴
  • 位置情報
  • 乗車履歴
  • ウェブ(インターネット)の閲覧履歴(※)

※ログイン履歴も含まれるため、ブラウザやサービス提供者側で、IDやパスワードを記録した自動ログイン機能、オートコンプリート(入力履歴から合致する情報を表示する機能)などが制限を受ける場合があります。

自治体・報道機関は適用が除外される場合も・・

都道府県や市町村などの自治体においても、個人情報を提供する際には原則として本人の同意が必要。しかし災害時などで「人命、身体、財産の保護のために緊急に必要があるとき」は、例外として同意なしでの提供が認められています。(災害時の行方不明者名など)

また報道機関においても災害時における行方不明者の氏名公開等は、法規制の適用除外とされています。

個人情報保護委員会

個人情報保護法についての詳細な内容は、「個人情報保護委員会」(内閣府の外局)で公開されています。

個人情報保護法質問ダイヤル

  • 03-6457-9849
    (平日:午前9時30分から午後5時30分)
匿名加工情報の活用について

匿名化した個人情報をビッグデーターとして活用

個人情報から個人を特定、識別できないように加工および復元できないようにした「匿名加工情報」は、本人の同意を得なくても一定の条件のもとで、第三者に提供できるようになります

匿名化においては「どこまで加工するか?」は、事業者に一任されています。加工した個人情報であっても複数の情報を組み合わせることで特定される恐れも指摘されており、安全性を十分に確保した上で行う必要があります。

個人情報の漏えい・流出事故を防ぐために

今回の改正で罰則規定が設けられましたが、これは流出に関する罰則であって流出にともなう損害賠償などは含まれません。

2014年7月に発覚した「ベネッセコーポレーション」からの個人情報流出(最大約2070万件)では、総額でおよそ200億円が謝罪の費用に当てられています。昨今ではWEBを活用したインバウンドビジネスが一般化しており、小規模事業者であっても多くの個人情報を扱うケースが増えており、十分な対策が求められています。

企業内での管理においては・・

パソコンやサーバー、ネットワーク機器への強固なセキュリティー対策は必須です。

IoT機器

  1. 情報を外部に持ち出さない。(社員によるUSBなどへの保存は禁止)
  2. 外部からのデーターは持ち込まない。(ウィルス感染の危険性)
  3. 社内で個人情報にアクセスできる人(権限)を明確に規定して、取り扱いに関するルールをマニュアル化する。
  4. ウィルス感染を防ぐために、OSやソフトウェアのアップデートは迅速・確実に行う。社内に管理担当者と管理部門を設置し、二重のチェックを行うことが望ましい。
  5. WEBサイトの管理では、WordPressなどCMSを利用している場合、プログラムのアップデートは必ず行う。(脆弱性を狙った情報流出も少なくありません)
  6. 情報の流出はパソコンやサーバーからだけではありません。複合機やネットワークカメラなどのファームウェア(※)の脆弱性を狙った流出も増えています。

※ファームウェア:機器を動作させるためのプログラム。

情報漏えいはIT機器からだけではありません・・

顧客名簿等の漏えいは、約75%が紙媒体から流出してます。過去の顧客名簿、紙ファイルで保存した台帳などの管理も見直す必要があります。

情報セキュリティーに関する記事
トップへ戻る