要件定義時に注意すべき個人情報保護 第1回 個人情報保護の目的

個人情報の取り扱いは要件定義時点から設計する必要があります。 本連載は個人情報の取り扱いを適切に設計するために必要な知識を3回に分けて解説します。

連載目次

1. 個人情報保護法の目的
2. 個人情報とは何か？
3. SaaSで注意すべき委託と提供の違い

個人情報保護法と目的

個人情報保護法は、一般的に「個人情報を守る法律」と理解されがちです。 しかし、実際の目的はより広範で深いものです。

個人情報保護法を理解するには政令、ガイドライン、基本方針を合わせて読み込むことが必要です。 本記事では個人情報保護法の目的を簡単に解説します。

法律の主な目的

同法は、以下の2つを主要な目的として定めています：

1. 個人情報を取り扱う事業者や行政機関等に対し、その特性に応じた適切な義務を定めること
2. 個人情報の有用性を認識しつつ、個人の権利利益を保護すること

この法律を正しく理解する上のポイントとして、以下の2点が特に重要です：

1. 「個人情報を保護する」というシンプルな目的規定は存在しない

   • 個人情報の「適正かつ効果的な活用」にも焦点している
   • 保護と活用のバランスを重視している

2. 情報漏洩の有無だけが問題ではない

   • 漏洩が起きていなくても、個人の権利利益を損なう取り扱いは違法となり得る
   • 例：目的外利用、不適切な情報収集、必要以上の情報保持など

法律の適用対象

当初は規模による適用除外がありましたが、現在は以下のように変更されています：

• 改正前：取り扱う個人情報が5,000人以下の事業者は適用除外
• 改正後（2017年5月～）：個人情報を取り扱う全ての事業者が対象
  • 従業員数や企業規模を問わない
  • 営利・非営利を問わない

この改正により、個人情報を取り扱うすべての事業者に対して、適切な管理体制の構築が求められることとなりました。事業規模の大小に関わらず、個人の権利利益を守るための取り組みが必要とされています。

個人の権利利益とは何か

では、保護すべき個人の権利利益とは何でしょうか？ 個人の権利利益とは、「個人情報の取扱いによって侵害されるおそれのある、個人の人格的、財産的な権利利益」を指します。 これは単なる情報の保護以上に広い概念を含んでいます。

漏洩以外の個人利益の損害

同意を得ないまま収集した個人情報を目的外の利用（広告やマーケティング）や第三者に提供するケースがあります。 また、最近はAIやアルゴリズムによる差別や不平等な取り扱いも問題になっています。 収集した個人情報の特定の属性（年齢、性別、住所など）から、不利益な判断をするのは個人利益の損益を損ねる可能性があります。

報告義務について

個人情報の漏えい等により個人の権利利益を損なう恐れが発生した場合、事業者には以下の義務が発生します：

1. 個人情報保護委員会への報告
2. 本人への通知

この報告・通知義務は、2022年4月の改正により、従来の努力義務から法的義務へと強化されました。 怠った場合は行政処分・刑事罰が課せられる可能性があります。

報告が必要となる具体的なケース

個人情報保護委員会のガイドラインでは、以下の4つの場合に報告が必要とされています：

1. 要配慮個人情報が含まれる場合

要配慮個人情報とは、特に慎重な取扱いが求められる個人情報を指し、具体的には以下のような情報が含まれます。

• 人種
• 信条
• 社会的身分
• 病歴
• 犯罪の経歴
• 犯罪により害を被った事実
• その他、本人に対する不当な差別、偏見その他の不利益が生じないよう配慮を要するものとして政令で定める情報

これらの情報は、漏えいした場合の本人への影響が特に大きいため、通常の個人情報以上に厳格な管理が求められます。

2. 財産的被害が生じるおそれがある場合

• 例：クレジットカード番号の漏えいによる不正決済の可能性

3. 不正の目的による漏えい等の場合

• 不正アクセスによる情報の窃取
• 従業員による持ち出し

4. 大規模な個人データの漏えい等の場合

• 対象となる本人の数が1,000人を超える場合

2022年4月改正の重要なポイント

個人情報保護法は2003年に施行されてから時代に合わせて改正を行なっています。 直近んでは2022年4月の改正個人情報保護法で、デジタル社会への対応と個人の権利利益の保護強化を目指し、重要な変更が行われました。 2022年以前に構築したシステムの場合、法律に対応するために改正が発生する可能性があります。

システム開発において特に注意すべき主なポイントは以下の通りです：

1. 漏えい等の報告・通知の義務化

• 改正前：努力義務
• 改正後：法的義務（違反した場合は行政処分の対象）
• 報告期限の明確化
  • 速報：事態を認識してから概ね3-5日以内
  • 確報：原則30日以内（不正アクセス等の場合は60日以内）

2. 個人情報の不適正利用の禁止

• 違法または不当な行為を助長する等の不適正な方法による個人情報の利用を明確に禁止
• システム設計時から、情報の利用目的と方法の適正性を考慮する必要性

3. 個人情報の外国移転に関する規制強化

最近はSaaSを活用するケースが多いので、クラウドサービスの所在地には注意する必要があります。

• クラウドサービス利用時の留意点
  • 外国のサーバーに個人データを保存する場合の規制強化
  • 本人への情報提供義務の拡大
• 外国事業者への個人情報の提供時の規制強化
  • 移転先事業者における個人情報の取扱いに関する情報提供義務
  • 定期的な確認義務

4. 保有個人データの開示請求への対応強化

• 開示方法の原則デジタル化
• 開示請求に対する対応期限の短縮（2週間）
• 第三者提供記録の開示義務化

まとめ

本稿では、個人情報保護法の本質的な目的と、システム開発における重要なポイントについて解説しました。

重要なポイントを整理すると：

1. 個人情報保護法の目的は「個人情報を守る」ことではなく、「個人の権利利益を保護する」こと

2. 全ての法人が法の対象となっており、規模による適用除外はなくなった

3. 個人の権利利益を損なうケースは以下の4点

• 要配慮個人情報の漏洩
• 財産的被害の可能性
• 故意による漏洩
• 大規模な個人データ漏洩

4. 違反した場合は行政処分から刑事罰まで、段階的な制裁措置が設けられている

システム開発時は、単なる情報の保護だけでなく、個人の権利利益を守るという観点からシステムの設計・実装を行う必要があります。次回は、具体的な「個人情報」の定義とその判断基準について詳しく解説していきます。

参考文献

• 法令・ガイドラインについて - 個人情報保護委員会