役立つ! 総務マガジン

個人情報の「保護」と「活用」について

個人情報は保護だけでなく、法を遵守した適切な活用も大切

2017年に改正/施行された個人情報保護法は、個人情報をデータベース化して利用している全事業者が適用対象となりました。また、個人情報を活用するための仕組みも新たに定められました。

[2019年 1月30日公開]

個人情報保護法とは

個人情報は、名前や生年月日、住所などの個人を特定し、プライバシーにも関わる重要な情報です。
IT技術の発達により、大量の個人情報が瞬時に拡散するリスクが高まりました。そこで、個人情報の保護、および、適切な活用を目的として、2003年5月に「個人情報の保護に関する法律」が成立し、2005年5月から全面施行されました。

個人情報保護の背景には、欧米で広く浸透していた「プライバシーを守る」という意識の高まりがあり、OECD(経済協力開発機構)による「プライバシー保護と個人データの国際流通についての勧告」の中で定める八つの原則を基準として、同法が策定されました。

OECDガイドライン ー規範となる八つの原則ー

1.収集制限の原則
個人データを収集する際には、法律にのっとり、また公正な手段によって、個人データの主体(本人)に通知または同意を得て収集するべきである。
2.データ内容の原則
個人データの内容は、利用の目的に沿ったものであり、かつ正確、完全、最新であるべきである。
3.目的明確化の原則
個人データを収集する目的を明確にし、データを利用する際は収集したときの目的に合致しているべきである。
4.利用制限の原則
個人データの主体(本人)の同意がある場合、もしくは法律の規定がある場合を除いては、収集したデータをその目的以外のために利用してはならない。
5.安全保護の原則
合理的な安全保護の措置によって、紛失や破壊、使用、改ざん、漏えいなどから保護すべきである。
6.公開の原則
個人データの収集を実施する方針などを公開し、データの存在やその利用目的、管理者などを明確に示すべきである。
7.個人参加の原則
個人データの主体が、自分に関するデータの所在やその内容を確認できるとともに、異議を申し立てることを保証すべきである。
8.責任の原則
個人データの管理者は、これらの諸原則を実施するうえでの責任を有するべきである。

個人情報保護法の抜け道を探し、情報を流用しようと考え、実行することは最も危険な行為です。
健全なビジネスで一番大事なことは信頼であり、脱法行為を行えば必ず信頼を失います。しかし、お客様からの信頼を得るうえでは、違法かどうかよりも大事なことがあります。それは、事業者が情報提供者であるユーザーの目線で考え、個人情報をユーザーから「お預かりしているもの」として大切に扱う、という姿勢です。そして、その大切なお預かりものをどのように利用するかを明確に示し、情報提供者の了承を得ることが、個人情報保護の考え方の前提となります。

個人情報保護の改正

個人情報保護法は、社会環境の変化に対応して2015年に改正され、2017年5月30日から全面施行されました。

従来5,001人分以上の個人情報を利用する事業者が適用対象となっていましたが、改正個人情報保護法では取り扱う個人情報の数にかかわらず「個人情報をデータベース化して利用している事業者」全てが法律の適用対象となっています。これは企業だけでなく、営利を目的としない学校や同窓会、町内会などでも個人情報を扱うのであればルールを遵守することが求められています。

また改正により、個人情報を活用するための新しい仕組みも定められました。
「匿名加工情報」といって、特定の個人を識別できないように情報を加工した場合は、一定のルールに従うという条件の下、個人情報を活用できるようにしたものです。

この仕組みを活用すると、例えば、カーナビ情報を集めて道路の混雑状況を把握したり、現在地の天気情報を集めたりすることが可能になります。個人が関与する情報の匿名性を保ちながら、仕事や生活に役立てることができます。
これらの情報はビッグデータの活用などと合わせ、さまざまな分野での活用が期待されています。
多くの企業は個人情報の保護に注力してきましたが、これからは適切な活用も視野に入れた企業活動を行うケースが増えてくるでしょう。

基本中の基本、「個人情報」とは

そもそも「個人情報」とは、どのような情報なのでしょうか。改正個人情報保護法では、以下のように定義されています。

生存する個人に関する情報で、以下に該当するものです。

  1. 名前や生年月日などから特定の個人を識別できるもの
  2. 個人識別符号や識別番号により特定の個人を識別できるもの

1.名前や生年月日、住所、顔画像により特定の個人を識別できるもの

各種書類に記載された氏名や住所など、履歴書、顧客リスト、アルバムなどが該当します。

2.個人識別符号が含まれる情報

特定の個人について体の一部の特徴を電子的に利用するために変換した符号

  • 顔認証
  • 指紋・掌紋認証
  • 虹彩認証
  • 静脈認証

サービス利用や書類で個人ごとに割り振られる識別番号が含まれる情報

  • マイナンバー
  • パスポート番号
  • 免許証番号
  • 基礎年金番号
  • 住民票コード
  • 各種保険証の記号・番号
  • 銀行口座番号
  • クレジットカード番号
  • 各種会員番号

個人情報保護と企業の取り組み

個人情報の活用を考えるうえで難しいことは、日常的にお客様の個人情報を扱っているうちに、個人情報が単なるデータのように思えてしまい、その先に相手が存在していることを意識しにくくなることです。顧客リストを見ただけでは想像しづらいかもしれませんが、リストに掲載されているのは実際に生活している人間の情報なのです。

個人情報保護法で求めているのは「ビジネスで個人情報を扱う場合は、本人の人格尊重の理念を持って適切に情報を扱いなさい」ということです。同じ行為であっても、受け取り方・受け取る人・そのときの状況によって、プライバシーが懸念されたり、されなかったりします。相手がどう感じるかは、それまでの情報提供の方法や、扱う情報の中身によっても変わります。

情報流出を阻止するために、管理体制を強化することも重要ですが、一番大切なことは「個人情報は大切なお預かりもの」という意識を社内全体に浸透させ、経営者や社員に対して、個人情報保護への納得感を伴う教育を徹底することです。プライバシーマークやISMSなどの第三者認証を整備/運用することは、事業者全体の個人情報保護意識の徹底や向上に有効な手段であり、客観的な評価にもなります。

個人情報保護にとらわれて何もできなくなるのではなく、ぜひ、精度の高いマーケティング活動を実施するなど、業務の効率化や生産性アップを図ってみてください。そのためにも、まずは、個人情報保護の理念を全社に共有し、「個人情報の活用」を検討してみてはいかがでしょうか。

参考サイト

第三者認証(プライバシーマーク、ISMS)取得支援サービスをご紹介

プライバシーマーク取得支援サービス

本サービスは経験豊富なコンサルタントが適切なアドバイスで、お客様のプライバシーマークの使用を許諾する第三者認定制度であるプライバシーマーク取得をご支援します。

ISMS認証取得支援サービス

本サービスは経験豊富なコンサルタントが適切なアドバイスで、リスク管理を適切に行っている事業者に対する第三者認定制度であるISMS認証取得をご支援します。

著者紹介

マネジメントリーダーWEB編集部

企業を活性化する総合マネジメント情報サイト「マネジメントリーダーWEB(http://www.mng-ldr.com/)」を企画・運用。

  • *本記事中に記載の肩書きや数値、社名、固有名詞、掲載の図版内容等は公開時点のものです。