個人情報保護法の改正ポイントを整理
改正個人情報保護法が施行されて約1年が経ちましたが、企業や団体で保有する個人情報について、どこに、どのような種類の情報を、どれだけ保有しているか、把握していますか?
平成29年5月30日に施行された個人情報保護法では、保護対象となる個人情報の規定が改正されています。個人情報保護法の改正ポイントを整理しながら、検出対象とするべき個人情報を再度おさらいしましょう。
保有する個人情報の把握は個人情報管理の根幹
個人情報の保護は、企業規模の大小にかかわらず重要事項のひとつです。昨年改正された個人情報保護法により、取り扱う個人情報の件数や企業規模に関わらず、個人情報を扱うすべての企業が個人情報保護法の対象となったことから、企業活動で収集した個人情報には適切な管理が求められます。
個人情報の管理方法を社内規則で決めているとはいえ、その規則通りに運用されているかどうかについてのチェックも欠かせません。
NPO日本ネットワークセキュリティ協会作成の「2016年 情報セキュリティインシデントに関する調査報告書」によると、2016年のインシデント事件数は全体として減少しています。しかし、依然としてインシデントの半数近くを紙媒体(468件中220件)が占めており、引き続き管理の徹底が課題となっています。
また、インターネット上からの情報漏えいは件数的に増加しており(2014年:84件→2016年:108件)、電子データで保管している個人情報は、取り扱いや管理によりいっそう気を付ける必要があります。
こうした事故を未然に防ぐためには、社内システムに保存されている個人情報がどこにどれだけあるのか調べることが管理の第一歩です。システム内に保有する個人情報を調査して、適切な処置を行っておけば、情報漏えいリスクが低減できるでしょう。また、個人情報の印刷もシステムで管理できると、紙媒体での個人情報漏えいリスクを防げます。
個人情報の定義に関しては、昨年改正された個人情報保護法で変更がありました。個人情報の定義がどう変わったのかを把握して、管理しなければならない個人情報について、ここで確認しましょう。
個人情報検出対象の整理と個人識別符号・要配慮個人情報
個人情報の定義は、個人情報保護法の第二条に以下のように定められています。
1.生存する個人に関する情報であること
2.氏名・生年月日・その他の情報(※1)によって特定の個人を識別できる情報
3.個人識別符号が含まれるもの(※2)
(※1)改正ポイントその1:文書・図画・電磁的記録(電子データ、人間が目で見て識別できなくてもコンピューター的に意味がある記録)・音声・動作などで表現される一切の情報
(※2)改正ポイントその2:身体的特徴を表す電子データあるいは公的な番号
昨年の改正ポイントは2つあります。1つ目は、個人情報の定義をさらに明確にするための改正で、2つ目は、今回新たに追加された個人情報の種類です。また、今回の改正で明確に規定された個人情報の概念として、「要配慮個人情報」というものがあります。
「個人識別符号」と「要配慮個人情報」について、それぞれ解説しますので、もう一度おさらいしましょう。
個人識別符号
個人識別符号(こじんしきべつふごう)は大きく分けて「身体的特徴を表す電子データ」「公的な番号」の2種類です。
1. 身体的特徴を表す電子データ
身体的な特徴をコンピューターで使えるようにした電子データで、具体的にはDNA・指紋・声紋・虹彩など、生体識別に使われるデータのことを指します。
2. 公的な番号
マイナンバー、運転免許証番号、旅券番号、基礎年金番号など、公的機関が個人を識別するために付与した番号です。
これらの情報も、個人を特定できる情報として、改正個人情報保護法に明確に規定されました。
要配慮個人情報
要配慮個人情報とは、対象者に差別や偏見などの不利益が生じないように、取り扱いに配慮が必要な情報のことです。このような情報は、収集する前に、「個人情報として収集するということ」をその個人情報を持つ本人から事前に同意を得る必要があり、通常の個人情報よりもさらに厳しい基準で管理するように規定されています。
具体的には、人種や信条、社会的身分、病歴、前科、犯罪被害情報などが要配慮個人情報の一例です。その他にも、障がいに関する情報や健康診断の内容、犯罪に関する情報も定義されていますので、よく確認しておきましょう。
ここまで見てきたように、個人情報の範囲は広まっています。改正後に増えた分の情報(個人識別符号と要配慮個人情報)は、現状の調査方法で検出できるかどうか確認しておきましょう。
その他の個人情報保護法改正ポイント
ここまでは主に改正個人情報における個人情報の定義について説明しました。他にもいくつか重要な改正ポイントがあるので説明します。
改正後は、「個人情報を加工し個人を特定できない状態とし、復元も不可能な匿名加工情報とした場合は、通常の個人情報に比べて緩い管理で良い」とする規定を追加しています。匿名加工情報の条件は以下の通りです。
・特定の個人を識別する情報の全部または一部を削除・置換すること
・個人識別符号についてはすべて削除すること
・個人情報と他の情報を結び付ける符号を削除すること
・特異な記述などを削除すること(例:年齢116歳、といったような記述は個人を特定しうる)
・上記以外でも個人情報とデータベース内の個人情報との差異を考慮して適切な対応をすること
この規定によって、加工した情報を有効利用する際の基準が明確化され、さまざまな分野で匿名加工情報を活用しやすくなりました。
改正後は、外国にある第三者に個人情報を提供することについて、本人の同意を得るようにする、という規定が追加され、外国に個人情報を提供する可能性のある事業者は対応する必要があります。
個人情報の取り扱いについて、よりきめ細やかな規則が加わっているほか、監督責任を一元化したり加工情報の取り扱いについて明確化したりと、実際の運用を容易にするような規定も加わっていることが、今回行われた改正の特徴と言えます。
改正ポイントが明確になったところで、個人情報検出ツールがどのように活用できるのかについて、個人情報検出・管理ソフトのPCFILTERを例にして説明しましょう。
個人情報検出ツールPCFILTERで検出される個人情報
PCFILTERが検出できる個人情報は以下の通りです。
◇名字
◇郵便番号
◇住所
◇電話番号
◇メールアドレス
◇クレジットカード番号
◇マイナンバー
◇基礎年金番号
◇運転免許証番号
上記以外にも、任意のキーワードを決めて検出対象とすることが可能です。また、名字+マイナンバーといった複数条件での検索が可能で、検出件数や個人情報の重要度に応じたアラートを上げるといった運用もできます。
PCFILTERは、インストールしたエージェントにより各PCに保存されている個人情報をリアルタイムに検出できる点が特徴です。そのPCに保存している個人情報を含むファイルの操作(コピー、転送、開くなど)があるとリアルタイムに検知してユーザに通知し、そのログをサーバに記録します。
個人情報は、設定によってPCFILTERで自動的に暗号化できるため、万が一個人情報が流出しても情報は守られます。また、PCFLITERは紙媒体での情報漏えいを防ぐための印刷制御機能や、USB・外付けHDDなど外部記録媒体の管理機能も備えており、インターネットや電子メール以外の情報漏えいリスクにも対応しています。
今回の改正で個人情報保護法の取扱事業者となったため、まずはスモールスタートで試してみたいという方にもPCFLITERはおすすめです。クラウドのPCFLITER管理サーバを使えば、各PCにエージェントをインストールするだけで簡単に導入できます。もちろん、中・大規模運用のために自社用の独自サーバを立ち上げる運用も可能です。
PCFILTERは、個人情報検出だけでなく、個人情報管理を総合的にサポートする製品です。個人情報の管理にお悩みなら、PCFILTERの導入を検討してみてはいかがでしょうか。