個人情報検出対象を再確認!個人情報保護法の改正ポイントは?

JIRAN JAPAN

2018-06-15 1:08 AM

2019-02-25 1:32 AM

 

個人情報保護法の改正ポイントを整理

 

改正個人情報保護法が施行されて約1年が経ちましたが、企業や団体で保有する個人情報について、どこに、どのような種類の情報を、どれだけ保有しているか、把握していますか?
平成29年5月30日に施行された個人情報保護法では、保護対象となる個人情報の規定が改正されています。個人情報保護法の改正ポイントを整理しながら、検出対象とするべき個人情報を再度おさらいしましょう。

 

 

 

保有する個人情報の把握は個人情報管理の根幹

 

個人情報保護は、企業規模大小かかわらず重要事項のひとつです昨年改正された個人情報保護により、個人情報件数企業規模わらず個人情報すべての企業個人情報保護対象となったことから、企業活動収集した個人情報には適切管理められます。
個人情報管理方法社内規則ているとはいえ、その規則りに運用されているかどうかについてのチェックかせません。
NPO日本ネットワークセキュリティ協会作成2016 情報セキュリティインシデントにする調査報告によると、2016インシデント事件全体として減少していますしかし、依然としてインシデント半数くを媒体468220めており、管理徹底課題となっています。
また、インターネットから情報えい件数増加しており(2014842016108)、電子データで保管している個人情報は、管理よりいっそうける必要があります。

こうした事故未然ぐためには、社内システムに保存されている個人情報がどこにどれだけあるのか調べること管理ですシステム保有する個人情報調査して、適切処置っておけば、情報えいリスク低減できるでしょう。また、個人情報印刷もシステム管理できると、媒体での個人情報えいリスクをます。
個人情報定義しては、昨年改正された個人情報保護変更ありました。個人情報定義どうわったのか把握して、管理しなければならない個人情報についてここで確認しましょう。

 

 

 

個人情報検出対象の整理と個人識別符号・要配慮個人情報

 

個人情報の定義は、個人情報保護法の第二条に以下のように定められています。

1.生存する個人に関する情報であること
2.氏名・生年月日・その他の情報(※1)によって特定の個人を識別できる情報
3.個人識別符号が含まれるもの(※2)
(※1)改正ポイントその1:文書・図画・電磁的記録(電子データ、人間が目で見て識別できなくてもコンピューター的に意味がある記録)・音声・動作などで表現される一切の情報
(※2)改正ポイントその2:身体的特徴を表す電子データあるいは公的な番号

昨年の改正ポイントは2つあります。1つ目は、個人情報の定義をさらに明確にするための改正で、2つ目は、今回新たに追加された個人情報の種類です。また、今回の改正で明確に規定された個人情報の概念として、「要配慮個人情報」というものがあります。
「個人識別符号」と「要配慮個人情報」について、それぞれ解説しますので、もう一度おさらいしましょう。

  

 

 

個人識別符号

 

個人識別符号(こじんしきべつふごう)は大きく分けて「身体的特徴を表す電子データ」「公的な番号」の2種類です。

1. 身体的特徴を表す電子データ
身体的な特徴をコンピューターで使えるようにした電子データで、具体的にはDNA・指紋・声紋・虹彩など、生体識別に使われるデータのことを指します。

2. 公的な番号
マイナンバー、運転免許証番号、旅券番号、基礎年金番号など、公的機関が個人を識別するために付与した番号です。

これらの情報も、個人を特定できる情報として、改正個人情報保護法に明確に規定されました。

 

 

 

要配慮個人情報

 

要配慮個人情報とは、対象者に差別や偏見などの不利益が生じないように、取り扱いに配慮が必要な情報のことです。このような情報は、収集する前に、「個人情報として収集するということ」をその個人情報を持つ本人から事前に同意を得る必要があり、通常の個人情報よりもさらに厳しい基準で管理するように規定されています。
具体的には、人種や信条、社会的身分、病歴、前科、犯罪被害情報などが要配慮個人情報の一例です。その他にも、障がいに関する情報や健康診断の内容、犯罪に関する情報も定義されていますので、よく確認しておきましょう。

ここまで見てきたように、個人情報の範囲は広まっています。改正後に増えた分の情報(個人識別符号と要配慮個人情報)は、現状の調査方法で検出できるかどうか確認しておきましょう。

  

 

 

その他の個人情報保護法改正ポイント

 

ここまでは主に改正個人情報における個人情報の定義について説明しました。他にもいくつか重要な改正ポイントがあるので説明します。

 

 

改正ポイント1:個人情報を取り扱う事業者すべてが本法の対象
 
 
 
改正前までは、取り扱う個人情報の数が少ない事業者(具体的には5,000人以下の個人情報)は、個人情報保護法の対象外とされていました。改正後はこの条件が撤廃され、原則として個人情報を取り扱うすべての事業者が本法の対象となりました。
 
 
改正ポイント2:個人情報を活用するための手段を明確化
 

改正後は、「個人情報を加工し個人を特定できない状態とし、復元も不可能な匿名加工情報とした場合は、通常の個人情報に比べて緩い管理で良い」とする規定を追加しています。匿名加工情報の条件は以下の通りです。

 

・特定の個人を識別する情報の全部または一部を削除・置換すること
・個人識別符号についてはすべて削除すること
・個人情報と他の情報を結び付ける符号を削除すること
・特異な記述などを削除すること(例:年齢116歳、といったような記述は個人を特定しうる)
・上記以外でも個人情報とデータベース内の個人情報との差異を考慮して適切な対応をすること

 

この規定によって、加工した情報を有効利用する際の基準が明確化され、さまざまな分野で匿名加工情報を活用しやすくなりました。

 

 

改正ポイント3:個人情報の取り扱いのグローバル化
 

改正後は、外国にある第三者に個人情報を提供することについて、本人の同意を得るようにする、という規定が追加され、外国に個人情報を提供する可能性のある事業者は対応する必要があります。

 

個人情報の取り扱いについて、よりきめ細やかな規則が加わっているほか、監督責任を一元化したり加工情報の取り扱いについて明確化したりと、実際の運用を容易にするような規定も加わっていることが、今回行われた改正の特徴と言えます。
改正ポイントが明確になったところで、個人情報検出ツールがどのように活用できるのかについて、個人情報検出・管理ソフトのPCFILTERを例にして説明しましょう。

 

 

 

個人情報検出ツールPCFILTERで検出される個人情報

 

PCFILTERが検出できる個人情報は以下の通りです。

 

◇名字
◇郵便番号
◇住所
◇電話番号
◇メールアドレス
◇クレジットカード番号
◇マイナンバー
◇基礎年金番号
◇運転免許証番号

 

上記以外にも、任意のキーワードを決めて検出対象とすることが可能です。また、名字+マイナンバーといった複数条件での検索が可能で、検出件数や個人情報の重要度に応じたアラートを上げるといった運用もできます。
PCFILTERは、インストールしたエージェントにより各PCに保存されている個人情報をリアルタイムに検出できる点が特徴です。そのPCに保存している個人情報を含むファイルの操作(コピー、転送、開くなど)があるとリアルタイムに検知してユーザに通知し、そのログをサーバに記録します。

 

個人情報は、設定によってPCFILTERで自動的に暗号化できるため、万が一個人情報が流出しても情報は守られます。また、PCFLITERは紙媒体での情報漏えいを防ぐための印刷制御機能や、USB・外付けHDDなど外部記録媒体の管理機能も備えており、インターネットや電子メール以外の情報漏えいリスクにも対応しています。

 

今回の改正で個人情報保護法の取扱事業者となったため、まずはスモールスタートで試してみたいという方にもPCFLITERはおすすめです。クラウドのPCFLITER管理サーバを使えば、各PCにエージェントをインストールするだけで簡単に導入できます。もちろん、中・大規模運用のために自社用の独自サーバを立ち上げる運用も可能です。

 

PCFILTERは、個人情報検出だけでなく、個人情報管理を総合的にサポートする製品です。個人情報の管理にお悩みなら、PCFILTERの導入を検討してみてはいかがでしょうか。

 

 

ブログトップに戻る