U「個人情報」の扱いを間違えると、信用を一瞬で失います。個人情報保護法は2022年に大改正があり、「仮名加工情報」「匿名加工情報」「個人関連情報」という新しい概念が加わりました。試験でも問われる改正点を中心に整理しました。
この記事でわかること
- 個人情報・個人データ・保有個人データの3段階の定義
- 要配慮個人情報(センシティブ情報)の特別規制
- 個人情報取扱事業者の義務(利用目的・安全管理・第三者提供等)
- 仮名加工情報・匿名加工情報・個人関連情報(2022年改正)
- 本人の権利(開示・訂正・削除・利用停止)
目次
個人情報の定義——3段階の概念
| 概念 | 定義 | 例 |
|---|---|---|
| 個人情報 | 生存する個人に関する情報で、氏名・生年月日等により特定の個人を識別できるもの | 氏名・住所・メールアドレス・顔写真・マイナンバー |
| 個人データ | 個人情報データベース等を構成する個人情報(データベースに入っているもの) | 顧客データベース・会員リスト・名刺管理アプリ |
| 保有個人データ | 個人情報取扱事業者が開示・訂正・削除等の権限を持つ個人データ(6ヶ月超保有のもの) | 上記のうち6ヶ月以上保有・開示権限があるもの |
要配慮個人情報——特別な保護が必要なセンシティブ情報
要配慮個人情報とは
不当な差別・偏見を引き起こす可能性があるため、取得・第三者提供に原則として本人の同意が必要な個人情報。主な種類:人種・信条・社会的身分・病歴・犯罪歴・犯罪被害の事実・身体障害/知的障害/精神障害・健康診断結果・治療情報・性生活・性別変更記録など
通常の個人情報はオプトアウト(本人の申出がない限り第三者提供可)が使えるが、要配慮個人情報はオプトアウト不可。必ず同意を取得する必要がある。
個人情報取扱事業者の主な義務
| 義務の種類 | 内容 |
|---|---|
| 利用目的の特定・通知 | 利用目的をできる限り特定し、取得時に本人へ通知・公表する |
| 目的外利用の禁止 | 特定した利用目的の範囲を超えて個人情報を利用してはならない |
| 安全管理措置 | 個人データの漏洩・滅失・毀損を防ぐために必要な措置を講じる |
| 従業者・委託先の監督 | 個人データを取り扱う従業者・委託先を適切に監督する |
| 第三者提供の制限 | 本人の同意なく第三者に個人データを提供してはならない(例外あり) |
| 漏洩等の報告・通知 | 一定の個人データ漏洩等が発生した場合、個人情報保護委員会への報告と本人通知が義務(2022年改正) |
2022年改正の重要ポイント
2022年改正で追加・強化された主要点
- 仮名加工情報:他の情報と照合しない限り特定個人を識別できないよう加工した情報。内部分析に利用可能(第三者提供は原則不可)
- 匿名加工情報:特定個人を識別できず、また復元もできないよう加工した情報。第三者提供が可能だが加工基準の公表が必要
- 個人関連情報:Cookie・閲覧履歴・位置情報等、個人情報には該当しないが個人に関連する情報。第三者提供時に受領者が個人情報として取得することが明らかな場合は本人同意が必要
- 漏洩報告の義務化:1000件以上の漏洩や要配慮個人情報の漏洩等は個人情報保護委員会への報告と本人通知が必須
- 保有個人データの開示形式の拡大:電磁的記録での開示請求も認められるようになった
Uのメモ
学習メモ
- 個人情報→個人データ(DB構成)→保有個人データ(6ヶ月超保有・開示権限あり)の3段階
- 要配慮個人情報:病歴・犯罪歴・人種等。オプトアウト不可・必ず同意が必要
- 2022年改正:仮名加工(内部利用)・匿名加工(第三者提供可)・個人関連情報(Cookie等)・漏洩報告義務化
- 第三者提供:原則として本人同意が必要(オプトアウト届出で同意不要にできる場合もある)
- 個人情報保護委員会:個人情報の監督機関(報告・立入検査・勧告・命令権限あり)
