こんにちは。
今回はWEB制作やコンテンツ制作を行ううえで、理解しておく必要がある法律についての記事となります。
法律と聞いただけで畏まってしまう人もいるかと思いますが、しっかりと理解することで、思わぬトラブルを防ぐことができます。一方、トラブルがあったときに「知らなかった」では済まされないのが法律の話です。ゆえに慎重になる必要もあります。
今回の記事では「個人情報保護法」について、できるだけわかりやすく解説していきたいと思います。WEBサイトを扱う場合のほとんどは、個人情報について扱うこととなります。なぜなら、お問い合わせフォームがあるからです。集客を目的としたWEBサイトの場合、お問い合わせフォームのないWEBサイトはほとんどありませんよね。
また、企業のサイトを作る場合「プライバシーポリシー(個人情報保護方針)」が設置されている場合がほとんどです。
そんなWEB業界に深く関わってくる「個人情報保護法」を解体してみましょう。
それでは解説に入りたいと思います。
(※2018年6月現在の法律をもとに作っています。書いてあることが全てではないので、法務関係者と相談してください。)
個人情報保護法とは
個人情報保護法とは、平成15年の5月に成立し、平成17年4月1日に施行した、比較的新しい法律です。
個人情報保護委員会によると個人情報保護法は、
“「個人情報の保護に関する法律」(以下「個人情報保護法」といいます。)は、情報化の急速な進展により、個人の権利利益の侵害の危険性が高まったこと、国際的な法制定の動向等を受けて、平成15年5月に公布され、平成17年4月に全面施行されました。
その後、情報通信技術の発展や事業活動のグローバル化等の急速な環境変化により、個人情報保護法が制定された当初は想定されなかったようなパーソナルデータの利活用が可能となったことを踏まえ、「定義の明確化」「個人情報の適正な活用・流通の確保」「グローバル化への対応」等を目的として、平成27年9月に改正個人情報保護法が公布されました。“
(個人情報保護委員会HPより)
とされています。
この法律制定の背景には、
・通信や情報産業の発達に対して、個人の利益を侵害される危険が高まったこと。
・国際的に個人情報に関する見方が変わり、欧米諸国で法律が制定されていること。
があります。
情報化社会の中でプライバシーが問題として認識され始めたこと。そして個人情報保護に関する法律が欧米諸国で制定されたことに加え、地方公共団体による「個人情報保護条例」制定の増加なども背景としてあげられます。
そして、その後の情報通信技術の発展に対して、制定当時に想定しきれなかった個人情報の利活用がなされていることを踏まえて、改正に乗り出しました。
新法令は平成27年9月に改正され、平成29年5月に施行されます。
そもそも個人情報とは
個人情報保護法の指す「個人情報」とは何でしょうか。
法律を見てみましょう。
“この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。”(個人情報保護法第2条1項より)
個人情報保護法第2条1項によると、個人情報とは「生存する個人に関する、特定の個人を識別することができる情報」と定義されています。まだ言っていることが難しいですね。
条文に書かれている「氏名」と「生年月日」は個人情報に当たることが分かりました。厄介なのが「その他の記述等により」の部分と、「特定の個人を識別することができるもの」という曖昧な書き方がされているところです。
それでは、特定の個人を識別できる情報とは、何を表すのでしょうか。
一般的に言われているのは
- 氏名
- 生年月日(年齢)
- 性別
- 連絡先(本籍、住所、電話番号、メールアドレス)
- 家族(家族構成)
- 住民票、個人番号(マイナンバー)
- 職業(勤務先、職位、所属など)
- 学歴、職歴
- 本人や家族の顔写真や映像(防犯カメラなど)
- 生体情報(指紋や虹彩、骨格情報、DNAの配列など)
があげられます。
(明文化されていないため、他にも含まれているものがあるかもしれません。)
これらがあげられるのは、氏名や連絡先とあわせることで、個人を特定することができるとみなされているからです。
例えば、
〇〇会社で働いている(勤務地情報) + ××(氏名) =××さん
〇〇(職業)+××(氏名) =××さん
このように、情報を合わせることで個人が特定されてしまいますね。
単体の情報としては職業や性別は該当者が多く、個人の特定に至ると思えないかもしれませんが、氏名などと組み合わせた時のことを考えると、個人情報として扱われることに納得がいきます。
個人情報の取扱いについて
個人情報が何を表すのかはだいたい分かりましたね。次は個人情報の取り扱いについてです。
個人情報を事業活動に扱う人を「個人情報取扱事業者」といいます。
以前は5000人分以上の個人情報を取り扱うことで、「個人情報取扱事業者」に該当すると定義されていましたが、2017年の改訂により人数規定はなくなりました。個人情報取扱事業者は個人情報保護法の対象となり、さまざまな義務が課せられます。
その主な義務は
・利用目的の特定及び制限
・適正な取得、取得の時の利用目的の明示
・安全管理措置、従業員への指導及び委託先への監督
・第三者への提供の制限
・本人への開示、訂正、利用停止
・苦情の処理
などです。
またよく分からない難しい言葉で言われていますね。
ここから詳しく解説していきたいと思います。
・利用目的の特定、及び制限
個人情報の利用目的を特定し、それ以外では使用しないことです。
簡単に言うと、「採用活動を行うので、採用通知に使います」と言えばOK。もちろん、「採用活動を行うので、採用通知に使います」と特定し、「飲み会しませんか?」と再利用するのは、「範囲外の利用」に該当するので制限されます。
・適正な取得、取得の時の利用目的の明示
偽ることによる個人情報の取得を禁止。取得時に利用目的を明示しなければなりません。
・安全管理措置、従業員への指導及び委託先への監督
個人情報取扱事業者は、個人データの漏えい、滅失、毀損の防止に努め、情報を安全に管理しなければなりません。そして、従業員や委託先に対し、個人データの安全管理が行われているか監督しなければいけません。
・第三者への提供の制限
個人情報取扱事業者は特別な場合を除いて、本人の同意無しで第三者へ提供することは禁止されています。ここで言う特別な場合とは、法令に基づく場合。人の命や身体、財産の保護のために必要である場合など、定められています。
例えば、友人に教えるには「本人の同意」が必要です。しかし法令に基づき、手続を踏んだ(令状を持った)刑事には「無許可」であっても開示する義務があります。
・本人への開示、訂正、利用停止
個人情報取扱事業者は、本人による開示を求められた場合。または訂正、利用することの停止を求められた場合においては、それに従わなければなりません。
つまり「住所が変わった」(訂正)や「連絡しないでくれ」(利用停止)などの要求があった場合、迅速に従わなければなりません。
・苦情の処理
これはそのままですね。個人情報取扱事業者は苦情に対する申し出に対し、迅速に対応する必要があります。そして、対象事業者の氏名、名称を公開する義務も定められています。
まとめ
今回の記事はWEBに限らずに、全ての業種に関係することです。
個人情報取扱事業者は、しっかりと責任を持って管理することが望ましいです。
個人情報は、お客様が企業を信頼した上で預けてくれる大切な情報です。
ルールを守って適切に使用し管理することで、社会的な信頼も獲得することができるのではないかと考えます。
大きな話になると、「個人情報」の扱い方を一つ間違えると、倒産に繋がるケースもありますので、くれぐれも扱いには注意しましょう。