• 個人情報とは、生存する個人を特定できる情報のこと
  • 個人情報の取り扱いには基本的なルールがある
  • 個人情報保護に適した主な第三者認証にはISO27001やPマークがある

あらゆる分野におけるデジタル化が進む現代において、多くの事業者が大量の個人情報を取り扱うようになりました。一方で、そうした個人情報を狙うサイバー攻撃や不正アクセスなどの情報セキュリティリスクも増えています。

そのため、事業者は個人情報を保護・管理する情報セキュリティ対策を実施することが求められています。しかし、個人情報とは具体的にどのような情報のことを指すのかわからないという企業も多いでしょう。

そこで、この記事では個人情報の定義や種類、基本的な取り扱いルールについて解説します。

そもそも個人情報とは

個人情報とはどのような情報を指すのでしょうか。
「個人情報保護法第二条」では、以下のように個人情報を定義しています。

第2条
この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。

一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第2号において同じ。)第18条第2項において同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの
(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二 個人識別符号が含まれるもの

引用:個人情報の保護に関する法律

これをまとめると、個人情報とは、「生存する個人に関する氏名、生年月日、その他の記述などにより個人を識別できるもの」や「個人識別符号が含まれるもの」です。また、職種や肩書、公刊物によって公にされている情報、映像・音声による情報も含まれます。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料

個人情報の種類


個人情報の種類は、以下の4つに大きく区分されることがあります。

個人データ

個人情報は区分の仕方により、以下のそれぞれの用語に定義されます。

  • 個人情報データベース等:個人情報を検索できるように体系的に構成した個人情報を含む情報の集合物のこと。例えば、50音順に並べられた名簿
  • 個人データ:個人情報データベース等を構成する氏名や住所などの個人情報のこと
  • 保有個人データ:個人データのうち、個人情報取扱事業者が開示・内容の訂正・追加、削除などをできる権限をもつデータのこと

要配慮個人情報

要配慮個人情報とは、個人情報のうち、不当な差別や偏見を生じさせる可能性がある情報のことです。例えば、以下のような情報です。

  • 人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により被害を被った事実などがあること
  • 身体障害・知的障害・精神障害などの障害があること
  • 医師などにより行われた健康診断やその他の検査の結果、保健指導、診療・調剤情報
  • 本人を被疑者または被告人として逮捕などの刑事事件に関する手続きが行われたこと
  • 少年法に規定される少年やその疑いがある者の、調査・審判・保護処分などの手続きに関する個人情報

個人情報の中でも特に配慮が必要な情報です。そのため、取得するには原則として事前に本人からの同意を得る必要があります。

匿名加工情報

匿名加工情報とは、特定の個人を識別できないように加工した情報のことです。また、加工後は、特定の個人情報は復元できないようになっています。例えば、クレジットカードの購買履歴やカーナビなどから収集された走行位置履歴などが挙げられます。

匿名加工情報は、利用目的以外での利用や第三者への提供が可能な点が特徴です。ポイントカードの購買履歴を複数の事業者間で活用することで新たなサービスの創出につながる可能性があります。

仮名加工情報

仮名加工情報とは情報の一部を加工することで、他の個人情報と照合しなければ特定の個人の識別ができない個人情報です。例えば、名簿にある個人データの一部を削除したり、IDに置き換えたりした情報が挙げられます。

令和2年改正個人情報保護法から新設された分類で、個人情報の取り扱いにおける義務が一部適用外となるために、匿名加工情報よりも利用しやすいというメリットがあります。

個人情報や個人データの取り扱い方

さまざまな個人情報や個人データがありますが、どのように取り扱うことが求められていたのでしょうか。ここでは、事業者が個人情報や個人データを取り扱う際の基本的なルールを解説します。

1.個人情報の取得・利用

個人情報を取得する際は、個人情報の利用目的をホームページなどで公表するか本人に知らせることが必要です。

その際には、利用目的は「事業活動に用いるため」という曖昧なものではなく、「商品発送や新商品に関する情報のお知らせのため」というように、具体的に明示しなければなりません。

また、「要配慮個人情報」は取得の際に必ず本人の同意を得るようにしてください。

2.個人情報の保管・管理

取得した個人データは、漏えいや流出などセキュリティリスクを低減し、安全に管理することが必要です。

最近では、情報はパソコンのサーバーやクラウドサービス上で保管することが増えています。その場合には、フォルダにパスワードを設定したり、セキュリティ対策ソフトを導入したりするなど、必要に応じて対策を実施しましょう。

万が一、個人データの漏えいや流出などが発生し、個人の権利・利益が損なわれるリスクがある場合には、個人情報保護委員会に報告するとともに本人に通知する義務があります。

3.個人情報の提供

個人データを第三者に提供する際には、原則として事前に本人からの同意を得ることが必要です。ただし、警察や裁判所の法令にもとづく場合などは、例外的に本人の同意を得なくても、第三者への提供が可能なこともあります。

第三者に個人データを提供した場合や提供された場合には、「いつ・誰の・どのような情報を・誰に(誰から)」提供した(された)かを確認・記録しなければなりません。

記録は原則3年間保存することが必要です。ただし、確認・記録義務がかからないケースもあります。例えば、SNS上の個人プロフィールなどの本人による提供と整理できるケースや銀行振込などの本人に代わって提供と整理できるケースなどが挙げられます。

4.個人情報の開示請求等への対応

本人から請求があった場合には、保有個人データを開示・訂正・利用停止などに対応しなければなりません。取り扱いに関する苦情があった際には、迅速に対処しましょう。

また、以下の5つについては、ホームページに公表するなどして、本人が把握できるようにしておく必要があります。

  • 事業者の名称や住所
  • 利用目的
  • 請求手続きの方法
  • 苦情の申出先
  • 安全管理のために講じている措置
累計ダウンロード5,000件突破!ISO27001丸わかり説明資料

個人情報の保護に適した第三者認証


事業規模や事業内容によっては、膨大な量の個人情報を保有している組織もあるでしょう。規模が大きくなればなるほど、漏えいしてしまうと莫大な損益につながる可能性があります。
そのため、個人情報のセキュリティ体制を築くために、個人情報の保護に適した第三者認証を取得する組織が多くあります。そこで、ここでは個人情報の保護に適した第三者認証を3つ紹介します。

ISO27001

ISO27001 とは、ISO国際標準化機構)が発行した情報セキュリティマネジメントシステムISMS )に関する国際規格です。

個人情報に特化した認証規格ではありませんが、情報セキュリティ全般に対するマネジメントシステムを構築・運用するガイドラインとなっています。そのため、個人情報だけでなく、組織が保有する情報資産全体の管理体制を構築したい組織に適しています。

ISO27001の詳細は、以下の記事をご覧ください。

関連記事:【初心者向け】ISO27001とは?ISMS・Pマークとの違いやメリット・デメリットを解説!

ISO27701

ISO27701とは、ISO27001と同様にISO規格の一つです。異なるのは、組織の個人情報に特化している点です。世界各国のプライバシー法規制に対して対応する情報セキュリティマネジメントシステムの構築・運用を目指しています。

注意点は、ISO27701はISO27001のアドオン規格である点です。そのため、先にISO27001を取得するか、同時に取得する必要があります。

また、ISO27701はBtoB、BtoC向け企業の両方に適しています。ISO27001とISO27701のどちらも取得することで、取引先や消費者から自社の情報セキュリティ体制について、より高い信頼を得られるでしょう。

ISO27701の詳細は、以下の記事をご覧ください。

関連記事:プライバシーを守る国際規格ISO27701とは?

Pマーク(プライバシーマーク)

Pマーク(プライバシーマーク)とは、個人情報マネジメントシステムに関する規格です。ISO27001やISO27701と異なり、Pマークは「個人情報保護法」に適用できる日本国内でのみ有効な規格である点です。

また、ISO27701がISO27001の取得範囲の中から適用範囲を選択できる一方、Pマークは企業全体が適用範囲です。そのため、個人情報を取り扱わない部署もマネジメントシステムに含む必要があります。
Pマークは主にBtoCのうち、個人情報を収集して取り扱う企業に適した規格です。

Pマークの詳細は、以下の記事をご覧ください。

関連記事:プライバシーマーク(Pマーク)って?取得企業数やメリットについて解説

まとめ

個人情報には、氏名や住所といったものだけでなく、自身を特定できる要素がある情報が含まれます。

ITサービスが一般的になり、サイバー攻撃が増える中、個人情報の保護が非常に求められるようになりました。そのため、個人情報に関するセキュリティ体制を構築することは欠かせません。

そこで、第三者認証としてISO27001やPマークを取得する企業が増えています。自社の保護すべき情報範囲に合わせて、取得を検討することがおすすめです。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料
  • 無料資料 | ISO27001・Pマーク導入 徹底解説
  • 『ISO27001・Pマークを網羅的に分かりやすく』をコンセプトに、ISOコンサルタント監修のもとISO27001・Pマークについて図解などを交え詳細に解説しています。分かりやすいというお声も多くいただいていますので、ぜひ御社でご活用ください。
  • 必須ご担当者様名
  • 必須電話番号
  • 任意会社名
  • 任意メールアドレス
  • 必須個人情報の取り扱い
    (個人情報保護方針を読む)

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

Pマーク、50,000円/月から作業工数ほぼ0実現!ISO新規取得・運用完全サポートならISOプロ