ビッグデータ活用のために知っておくべき個人情報保護法①【基本編】

おそらく多くの人が「個人情報保護法」という法律を一度は聞いたことがあると思います。

「個人情報保護法」は平成１７年に施行され、１０年以上経っていますが、インターネットの発達等により、大量のデータがやり取りされる今の社会において、その重要性がますます高くなっている法律です。

（その証拠に、ビッグデータの利活用を踏まえて、平成２７年に改正され、ビッグデータ関連のルールが追加されました)

今回は、ビッグデータ活用に向けて知っておきたい、個人情報保護法の基本的なルールを解説します。

 

個人情報保護法を学ぶ意義

昨今、インターネット上での購買行動、IoT技術等により、大量のデータを収集することが容易となりました。

そして、企業は、その発展のために、収集した大量のデータ（ビッグデータ)を分析することがますます重要になってきています。

そのため、企業において、そうしたデータを取扱う部署や機会も増加していると思われます。

 

しかし、そうしたデータに個人情報が含まれる場合、その取扱いには個人情報保護法が適用されます。

 

そこで、そうしたデータを取扱う場合は、個人情報保護法のルールについて知っておくことは必要かつ重要となります。

 

個人情報とは

個人情報の定義

個人情報の定義は、「生存する個人に関する情報であって、氏名、生年月日、住所等により特定の個人を識別することができるもの（他の情報と容易に照合でき、それにより特定の個人を識別することができるものを含む）」であり、氏名はそれ単独で個人情報になるとされています。

 

また氏名等の特定の個人を識別することができる情報と容易に照合することできる情報も単独で個人情報となります。

 

 

個人データとは

個人情報データベース等を構成する個人情報は「個人データ」とされており、個人情報が後述の「適正な取得・取得時の利用目的の通知・目的外利用の禁止」のルールしか適用されないのに対して、「個人データ」については、更に「安全管理措置・委託先の監督・第三者提供の禁止」のルールも適用されます。

 

 

 

個人情報保護法で定められているルール

 

適正な取得・取得時の利用目的の通知・目的外利用の禁止

事業者は、偽りその他不正な手段によって個人情報を取得してはならないとされています。

例えば、個人情報の提供を拒む本人から、強迫して無理やり取得する等の行為を禁止しています。

 

また、個人情報の利用目的を特定し、個人情報を取得したときは本人に利用目的を通知または公表しなければならないとされています。

なお、本人から直接書面で個人情報を取得する場合は、あらかじめ本人に利用目的を明示する必要があります。

 

取得した個人情報について、あらかじめ本人の同意を得ないで特定した利用目的の範囲を超えて個人情報を取扱うことは、法令に基づく場合等を除き、禁止されています。

 

例えば、自動車販売会社が、就活生に対して「会社および採用に関する情報の提供」という利用目的を明示して個人情報を取得したにも関わらず、

就活生から取得した個人情報を利用して、自動車販売に関するパンフレット等を送ったりした場合、「個人情報の利用目的を超えた利用」として違法となります。

 

安全管理措置・委託先の監督・第三者提供の禁止

事業者は、個人データの漏えい等を防ぐため、必要かつ適切な安全管理措置を講じなければならりません。

具体的には、個人データの漏えい、意図しない削除（保護法では滅失という）を防ぐため、組織内の体制を整え、従業員を教育し、建物等の物理的な設備を整え、システム等の技術的な措置を講じなければなりません。

 

個人データの取扱いを外部に委託する場合には、委託先に対して必要かつ適切な監督を行わなければならないとされています。

 

事業者は、法令等に基づく場合等を除き、あらかじめ本人の同意を得ないで第三者に個人データを提供してはならないとされています。

なお、個人データを委託の範囲において第三者（委託先）に提供する場合は、委託先を監督する義務が生じる代わりに、本人の同意を得る必要はありません。

 

 

 

なお、平成２７年9月に個人情報保護法は大きな改正があり、改正個人情報保護法が平成２９年5月３０日に施行された結果、上記の基本的ルールは維持されたまま、各種ルールが追加されました。

次回は、改正内容についてまとめていますので、ぜひ併せてご覧ください。