人材採用・育成、組織開発のナレッジコミュニティ『日本の人事部』が運営する、HRテクノロジー(HR Tech、HRテック)総合情報サイト

日本の人事部 HRテクノロジー ロゴ

【ヨミ】コジンジョウホウホゴホウ 個人情報保護法

個人情報保護法とは、その名の通り、個人の情報を保護するための法律です。個人情報保護法は2005年に施行され、個人情報の取扱件数5,000以上の事業者が法規制の対象となっていました。その後、2017年5月に「改正個人情報保護法」が施行され、現在は個人情報を1件でも取り扱うすべての事業者が対象となっています。

GDPRデータベースAIビッグデータ個人情報保護法

1. 個人情報保護法の目的

個人情報保護法の目的は二つあります。「個人情報に対する権利と利益の保護」と「個人情報を適正かつ効果的に活用するための有効性の維持」です。個人情報保護法第1条には、次のように記されています。

「個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする」

つまり、個人情報の効果的な利用とのバランスをとりながら個人の権利・利益を保護しなければならない、ということです。そのために、個人情報の取得や利用に同意が必要であることなど、企業が行うことを定めたのが個人情報保護法です。

2. 個人情報保護法が施行された背景

情報化社会が進むにつれて、クレジットカードの番号やその他の暗証番号などが流出し、悪用されるケースが増加します。世界的に個人情報保護の重要性が認知されるなか、日本では個人情報を保護する法律はおろか、個人情報とは何かを定めた法律もありませんでした。

個人情報の保護を目的とした法律を整備するべきという気運が高まり、政府はこれに応えるべく、法の整備を急ぎました。2005年4月、個人情報に関する定義や、外部流出による不正・悪用の防止を目的とした個人情報保護法が施行されます。

3. 個人情報保護法の歴史

日本で個人情報保護法が施行されたのは2005年4月のことですが、個人情報保護に対する考え方がまとめられたのは、ここからさらにさかのぼります。

個人情報保護のガイドラインとなる最初のものは、1980年9月のOECD(経済協力開発機構)理事会勧告を基にして出された「OECDプライバシーガイドライン」と考えられています。OECDプライバシーガイドラインでは、国内におけるプライバシー保護と個人データの保護だけでなく、国際流通についてもまとめられています。

これを受けて、日本でも1990年代後半に現在の個人情報保護法につながる「JIS Q 15001」と「プライバシーマーク制度」が策定され、活用されるようになりました。「JIS Q 15001」は、個人情報を保護するためのコンプライアンス策定における基準をガイドライン化したもので、それに従っている企業の認定制度として、プライバシーマーク制度がスタートしました。

「JIS Q 15001」と「プライバシーマーク制度」を取り入れる企業は少なからずありましたが、個人への知名度はそこまで高くはありませんでした。また、個人情報保護に関する法制化も進める必要があったため、2005年4月の個人情報保護法の施行に至ります。

個人情報保護法が施行されてからも、情報化社会の進展は続きました。情報通信技術の飛躍的な進展によるビッグデータの収集・分析が可能となり、この分野での新産業や新サービスも多く登場します。同時に個人にとっては、高度な情報通信技術を使って、自分の個人情報が流出・悪用されるという危機感がさらに高まることになりました。

こうした技術進歩による個人情報保護の新たな課題を克服するため、2017年5月30日、約10年ぶりに個人情報保護法が改正され、「改正個人情報保護法」が施行されました。

令和2年改正個人情報保護法の背景とは

平成27年改正個人情報保護法では、3年ごとの見直し規定が盛り込まれました。この規定の背景には、国際的動向、情報通信技術の伸展、新産業の創出・発展の状況などを勘案し、個人情報の扱いを時代に合わせて柔軟に対応することがあります。

そして2020年6月5日に3年ごと見直し規定に基づく初めての法改正となる「令和2年改正個人情報保護法」が国会で可決・成立し、2022年4月1日に全面施行されました。令和2年改正個人情報保護法では以下の五つの視点で改正が行われています。

1.個人の権利利益の保護 個人の権利利益を保護するため、
必要十分な措置を整備する
2.技術革新の成果による
保護と活用の強化
技術革新の成果が、経済成長などと個人の権利利益の保護との
両面に行き渡るようにする
3.国際的な制度調和と連携 国際的な制度調和や連携に配慮する
4.越境データの流通増大に伴う
新たなリスクへの対応
海外事業者によるサービスの利用や、国境を越えて個人情報を扱うビジネスの増大による、
個人が直面するリスクの変化に対応する
5.AI・ビッグデータ時代への対応 事業者が個人情報を取り扱う際に、本人の権利利益との関係で説明責任を果たしつつ、
本人が予測可能な範囲内で適正な利用がなされるよう環境を整備する

さらに2021年5月12日には、令和3年改正個人情報保護法が可決され、5月19日に公布されました。こちらは二段階に分けて施行されます。一段階目の改正は、令和2年改正法と同日の2022年4月1日に施行されました。二段階目の改正は、2023年(令和5年)5月18日までの政令で定める日に施行されます。

改正の概要 施行日
令和2年改正法 ・個人情報の不適正な利用の禁止
・仮名加工情報の創設
・個人関連情報の第三者提供の制限など
2022年(令和4年)4月1日
令和3年改正法
(一段階目)
個人情報保護法、
行政機関個人情報保護法、
独立行政法人等個人情報保護法の
統合・一元化
2022年(令和4年)4月1日
令和3年改正法
(二段階目)
個人情報保護法と
各地方公共団体の個人情報保護条例の統合・一元化
2023年(令和5年)5月18日までの
政令で定める日

4. 個人情報保護法で企業が知っておくべきこと

個人情報は厳正に取り扱わなければなりません。そのため事業者は、何が個人情報に該当するのか、どういったことを守っていけばよいのかを理解する必要があります。

個人情報の定義

個人情報とは生存する個人に関する情報のことで、氏名・生年月日などにより特定の個人を識別できるものを指します。個人情報保護法では個人情報を次のように定義しています。

第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二 個人識別符号が含まれるもの

その他にも、個人情報の定義を理解するに当たって、重要な用語があります。

個人識別符号

個人識別符号は、単体で特定の個人が識別される情報のことをいいます。たとえば、指紋データは全ての人が違うものを持っているため、単体で個人が特定されることから、個人識別符号に該当します。反対に、生年月日は、住所や性別といった他の情報との組み合わせで個人が特定されるため、個人識別符号に該当しません。

個人情報個人識別符号は大きく二つに分けられます。

1.身体の一部の特徴を電子計算機のために変換した符号など
 例:指紋データ、顔認識データ、DNA情報など
2.サービス利用や書類において対象ごとに割り振られる符号・番号
 例:パスポート番号、基礎年金番号、免許証番号、マイナンバーなど

要配慮個人情報

要配慮個人情報とは、その情報を知られることで、個人が不当な差別や偏見などの不利益を被る恐れがある、特に配慮を要する情報のことをいいます。たとえば、人種や信条、社会的身分、病歴や犯罪の経歴などが該当します。

個人情報データベースなど/個人データ

個人情報データベースなどとは、特定の個人情報を検索できるように体系的に構成されたデータベースのことです。個人情報データベースなどを構成する個人情報を「個人データ」といいます。

AI・ビッグデータ時代を迎え、個人情報のより幅広く活用される中、令和2年改正個人情報保護法では、事業者が個人情報を取り扱う際には、本人の権利利益との関係で説明責任を果たしつつ、本人が予測可能な範囲で適正な利用がなされるような環境の整備を目指しています。

保有個人データ

保有個人データとは、個人情報取扱事業者が本人からの請求により開示、内容の訂正、追加・削除、利用停止、消去、第三者への提供の停止を行うことのできる権限を有する個人データを指します。

保有個人データではない個人データの例として、「当該個人データの存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれがあるもの」が挙げられます。例えば、悪質なクレーマーからの被害を防止するために、迷惑行為を繰り返す者を記録した個人データを持っている場合、このデータは保有個人データには該当しません。

仮名加工情報

仮名加工情報は、令和2年改正個人情報保護法で新設されました。特定の個人を識別できず、かつ、個人情報を復元できないように加工された情報を指します。

個人情報を仮名加工情報に変換することで以下の義務は適用から除外されます。

  1. 利用目的の変更の制限
  2. 漏えいなどの報告・本人への通知
  3. 開示・利用停止などの請求対応

つまり、企業側は個人情報を加工することにより一定の安全性を確保しつつ、匿名加工情報よりもデータの有用性を保ち、詳細な分析に活用することが可能になります。

個人関連情報

個人関連情報も令和2年改正個人情報保護法で新たに設立規定されました。個人関連情報とは、生存する個人に関する情報で、個人情報、仮名加工情報および匿名加工情報のいずれにも該当しないものを指します。

個人関連情報に該当する例
  • Cookieなどの端末識別子を通じて収集された、個人のWebサイト閲覧履歴
  • 個人の商品購買履歴やサービス利用履歴
  • 個人の位置情報

提供先の企業や団体が個人関連情報を「個人データ」として取得することが想定される場合、提供元は第三者提供に関して本人同意を得ることが義務付けられます。

個人情報利用において事業者が守るべき四つのルール

従業員や顧客情報など個人情報を多く取り扱う事業者が守るべきルールは、大まかに「取得・利用」「保管・管理」「第三者提供」「本人からの開示請求」の四つに分かれます。

取得・利用――あらかじめ本人に通知する必要がある

企業では、従業員を採用・雇用する場合、あるいはサービス提供時に顧客情報を取得する場合など、多くの個人情報を得ることになります。企業が個人情報を取得する際の基本的なルールとしては、以下の四つが挙げられます。

  1. あらかじめ利用目的をできる限り特定する(第17条1項・2項)
  2. 利用目的の範囲内で個人情報を取り扱う(第18条1項)
  3. 個人情報は適正な方法で取得する(第20条1項・2項)
  4. 本人に対し利用目的の通知・公表などを行う(第21条1項・2項・3項)

つまり、企業は個人情報を取得する際には本人にその取り扱いについて伝える義務があり、その利用目的を超える範囲での使用は認められず、もし変更がある場合は速やかに通知・公表をする必要があります。

保管・管理――万が一の情報漏えい事故や不正利用を防ぐ

個人情報を取り扱う事業者が、万が一外部に情報を漏えいすると、企業としての信頼失墜は免れません。そのため個人情報の保管・管理において適切な「安全管理措置」が求められます。安全管理措置では、「組織的」「人的」「物理的」「技術的」の四つの観点から対策を施します。

措置の種類 措置の内容
組織的安全管理措置 組織体制の整備、規則の整備・運用、事故・違反への対処など
人的安全管理措置 雇用契約時における従業員との非開示契約の締結、
従業員に対する内部規則などの周知・教育・訓練の実施など
物理的安全管理措置 入退館管理の実施、盗難防止、
機器・装置等の物理的な保護など
技術的安全管理措置 アクセスにおける識別・認証、
アクセス権限の管理、不正ソフトウェア対策など

その他にも、個人データの安全性を確保するためには、専任部門・担当者の配置、あるいは外部委託先の選定・監督が求められます。

万が一漏えいなどが発生した場合は、事業者がその事実を知った時点で速やかに個人情報保護委員会に報告する必要があります。また、漏えいなどが発生した旨を本人に通知しなければなりません。

第三者提供――本人同意と一定事項の記録が必要

取得した個人情報を第三者に提供するには、あらかじめ本人から同意を得る必要があります。また、第三者に提供した場合や第三者から提供を受けた場合には、「いつ・誰の・どんな情報を誰に提供したか」といった一定事項の記録が必要です。

一方、個人情報提供の適用除外となるケースや、提供先が第三者に当たらないケースもあります。これらに該当する場合は、基本的に本人からの同意は不要となります。

適用除外となるケース
法令に基づく場合 警察や検察などから照会があった場合や、
税務署長に対する支払調書などの提出の場合
生命、身体、財産の保護に必要であり、
本人の同意を得ることが困難である場合
急病などの緊急事態時に、
本人の血液型や家族の連絡先を医師や看護師に提供する場合
公衆衛生・児童の健全育成に特に必要な場合 健康診断の結果を疫学研究のために、
個人名を伏せて研究者に提供する場合
国の機関などへの協力 事業者などが、税務署の任意調査に対し
個人情報を提出する場合

提供先が第三者に該当しないケースは「委託先」「事業承継」「共同利用」の三つが挙げられます。ただし、共同利用の場合、以下の四つについてはあらかじめ本人に通知などをしなければなりません。

  1. 共同して利用される個人データの項目
  2. 共同して利用する者の範囲
  3. 利用する者の取得時の利用目的
  4. 当該個人データの管理について責任を有する者の氏名または名称

本人からの開示請求など――原則対応する必要

事業者は、本人から開示請求があった場合は対応する義務があります。開示請求とは、自分の個人情報について閲覧・訂正などを求めることです。個人情報取扱事業者は、本人からの苦情などにより開示請求を受けたときは、適切・迅速に対応することが求められます。

令和2年改正法では、「保有個人データ」の定義から、「一年以内の政令で定める期間以内に消去することとなるもの以外のもの」との部分が削除されることにより、6ヵ月以内に削除するものも「保有個人データ」に該当することとなりました。

具体的に、保有個人データの利用の停止、消去、第三者提供の停止が認められる場合は以下の通りです。

  1. 個人情報保護法に反した個人情報の取り扱いをしていた場合
  2. 利用する必要がなくなった場合
  3. 個人情報保護委員会への報告義務がある、重大な漏えいが発生した場合
  4. 本人の権利または正当な利益が害されるリスクがある場合

一方、他の事業者からデータ編集作業のみを委託されて取り扱っているだけの個人情報などは保有個人データに該当しないため、開示請求への対応は不要です。

5. 個人情報保護法における人事の対応

個人情報保護法には、「個人情報に対する権利と利益の保護」と「個人情報を適正かつ効果的に活用するための有効性の維持」の二つの目的があります。

事業者は日々の業務で多くの個人情報を取得します。万が一個人情報が漏えいしてしまえば、企業にとって大きな損害をもたらします。そのため、企業はリスクを未然に防ぐ対策を講じる必要があります。特に事業者にとって、身近な個人情報といえば従業員の人事情報です。ここでは、人事部門における個人情報保護の対応について解説します。

採用・退職時

企業が従業員を採用・雇用する場合、家族構成、マイナンバー、住所など多くの個人情報を取得します。採用予定者の個人情報を取得する際には、あらかじめ利用目的を特定しておくことが必要です。

たとえば、社会保険の手続き、給与計算、人事考課などと項目を細かく規定し、本人に通知します。必須ではありませんが、後々のトラブルを避けるためにも、本人から書面で同意を得ておくと良いでしょう。役所や保険会社など第三者に個人情報を提供する場合も、事前に本人の同意を得る必要があります。また、従業員が退職した際には速やかに消去するよう努めます。

その他に人事部が迷いやすいものとして、採用選考で不採用になった応募者の履歴書の取り扱いがあります。個人情報保護法では、履歴書などの受け取った書類を返還する義務は規定されていないので、提出された履歴書の返却は不要です。

従業員の個人情報管理

従業員の個人情報管理において求められるのは、主に以下の二つです。

  1. 個人データの漏えいや滅失などの防止をするための安全管理
  2. 個人情報を取り扱う従業者(※)に対しての適切な監督

※従業者……個人情報取扱事業者の指揮監督を受けて業務に従事している者

とりわけ近年では、クラウドサービスの普及やテレワーク導入により、個人情報が漏えいするトラブルが急増しています。社外で仕事をする際のデータ管理方法や、パソコン・スマートフォンなどのデバイスの盗難や使用時ののぞき見などを防ぐセキュリティ対策が必要です。

特に、マイナンバーの管理には注意が必要です。マイナンバーでは、ウイルスソフトなどを活用した安全管理、ID・パスワードなどによる管理者の特定、管理区域を他の仕事場と区別するなどの処置を行う必要があります。人事部のマンパワーで全てを監視することは困難なことも多いため、個人情報の管理用ソフトを使う、堅牢なセキュリティを備えたHRテクノロジーを利用する、といった施策が必要です。

従業員情報の第三者提供

近年では、AI・ビッグデータを用いて人事関連の業務を効率化するHRテクノロジーの普及に伴い、労務管理システムやタレントマネジメントシステムなど、個人データを第三者に提供するケースが増えています。第三者機関へ従業員情報を提供する場合、原則本人の同意、一定事項の記録が必要です。本人の同意を得る方法に定めはありません。口頭でも問題ありませんが、後々のトラブルを防ぐためにも、事前に書面で同意を得ると安心です。

一方、例外として委託や共同利用の場合は同意が不要です。委託とは、業務の一部あるいは全部を委託する場合のことを指します。たとえば、給与計算や社会保険手続きの入力業務を社会保険労務士事務所や税理士事務所などに提供する場合に該当します。ただし、委託の場合、委託先を監督する義務を負います。

共同利用とは、個人データを特定間で共同して利用する場合、グループ企業内で従業員の連絡先を共有するケースなどが該当します。本人の同意は不要ですが、共同利用の旨をあらかじめ本人に通知、または容易に知ることができる状態にしておく必要があります。

6. 不正・不審な管理によるリスク

個人情報保護法には、個人情報の不正な提供などについて個人情報データベース提供罪が設置されています。自己または第三者の利益を不正に得るために個人情報を提供した場合は、1年以下の懲役または50万円以下の罰金に処されます。

また、企業としても事実関係の調査や原因の究明、影響を受ける可能性がある本人への連絡、再発防止策等の公表などを行う必要があります。多くの労力がかかるだけでなく、社会的信頼も失いかねません。

昨今はGDPRの実施や巨大IT企業などの不祥事が相次ぎ、社会的不安や警戒も強まっています。情報通信技術が進むこれからの社会で企業が生き残っていくためには、個人情報保護法の遵守は必須となっています。

企画・編集:『日本の人事部』編集部