情報セキュリティマネジメント試験 科目A 関連法規キーワード解説
個人情報保護法(個人情報の保護に関する法律)は、個人情報の有用な活用と、個人の権利・利益の保護を両立させることを目的とした法律です。個人情報を取り扱う事業者(個人情報取扱事業者)に対し、取得・利用・保管・提供の各場面でのルールを定めています。
かつては取り扱う件数の少ない小規模事業者は対象外でしたが、改正により原則としてすべての事業者が対象です。3年ごとの見直し(いわゆる3年ごと改正)で、漏えい時の報告義務化や個人の権利強化など、規制が継続的に強化されています。監督機関は個人情報保護委員会です。
| 用語 | 意味 |
|---|---|
| 個人情報 | 生存する個人に関する情報で、氏名等により特定の個人を識別できるもの(他の情報と照合して識別できるものを含む)。 |
| 個人識別符号 | それ単体で個人を識別できる符号。指紋・顔等の生体データ、マイナンバー、免許証番号など。 |
| 要配慮個人情報 | 人種・信条・病歴・犯罪歴など、取扱いに特に配慮を要する情報。取得には原則本人同意が必要。 |
| 個人データ | 個人情報データベース等を構成する個人情報。安全管理措置の対象。 |
| 仮名加工情報/匿名加工情報 | 一定の加工で特定個人を識別しにくく(できなく)した情報。利活用の促進のための区分。 |
個人情報取扱事業者には、主に次のような義務が課されます。
| 分類 | 具体例 |
|---|---|
| 組織的 | 責任者の設置、規程整備、点検 |
| 人的 | 従業者への教育、秘密保持の徹底 |
| 物理的 | 入退室管理、書類・媒体の施錠保管 |
| 技術的 | アクセス制御、暗号化、ログ管理 |
教育・通信系の企業で、業務委託先の従業員が顧客の個人情報を不正に持ち出し、名簿業者に売却した事例があります。委託先管理の不備と持ち出しを防ぐ技術的対策の欠如が問題となり、委託元の監督責任が問われました。
クラウドストレージのアクセス権設定ミスで、個人データがインターネットに公開状態となる事例も増えています。漏えいが疑われる場合は、速やかに個人情報保護委員会へ報告し、本人へ通知するという対応フローが求められます。