セミナー・教育|株式会社 エスケイワード コンサルティング事業部
ISO27001/ISMS取得コンサルティング、プライバシーマーク/Pマーク取得コンサルティングなら名古屋のエスケイワード コンサルティング事業部まで
個人情報の定義で、「匿名加工情報」という定義も新たに追加されました。
これは、一言で言うと、特定の個人を識別することができない情報の事をいいます。
氏名や生年月日を削除して、住所等を変換(例○○県や○○市等)して、特定できない情報にすることです。
個人情報と匿名加工情報の違いは以下となります。
個人情報と匿名加工情報との違い| 個人情報 | 匿名加工情報 | |
| 情報の性質 | ・個人が識別できる ・個人識別符号を含む |
・個人が識別できない ・個人識別符号は含まない |
|---|---|---|
| 利用目的 | ・利用目的の特定が必要 ・利用目的を変更する場合は、本人の同意が必要 |
・本来の利用目的外の利用が可能 |
| 第三者提供 | ・第三者提供時に本人の同意が必要 ・オプトアウトによる提供は可能(要配慮個人情報は不可) |
・第三者提供時に公表することにより本人の同意は不要 |
| その他 | ・安全管理措置が必要 (個人データ) ・開示等の請求への対応が必要 (保有個人データ) |
・加工方法情報等の安全管理措置が必要 ・匿名加工情報の安全管理措置は努力目標 |
| 法第2条 (第9項) |
次の(1)(2)の処置をして、特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。 (1) 当該個人情報に含まれる記述等の一部を削除すること (2) 当該個人情報に含まれる個人識別符号の全部を削除すること (3) 個人情報と他の情報とを連結する符号を削除すること (4) 特異な記述方法を削除すること |
|---|
今回の法改正でビッグデータの活用が盛り込まれています。
適切な規律の下で個人情報等の有用性を確保される事が求められています。
| 第36条 | 個人情報取扱事業者は、匿名加工情報(匿名加工情報データベース等を構成するものに限る。以下同じ。)を作成するときは、特定の個人を識別すること及びその作成に用いる個人情報を復元することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い、当該個人情報を加工しなければならない。 |
|---|
匿名加工情報の安全管理措置は以下となります。
| 講じなければならない措置 | 具体例 |
|---|---|
| ① 加工方法等情報を取り扱う者の権限及び責任の明確化 (規則第20条第1号) |
・加工方法等情報の安全管理措置を講ずるための組織体制の整備 |
| ② 加工方法等情報の取扱いに関する規程類の整備及び当該規程類に従った加工方法等情報の適切な取扱い並びに加工方法等情報の取扱状況の評価及びその結果に基づき改善を図るために必要な措置の実施 (規則第20条第2号) |
・加工方法等情報の取扱いに係る規程等の整備とこれに従った運用 ・従業員の教育 ・加工方法等情報の取扱状況を確認する手段の整備 ・加工方法等情報の取扱状況の把握、安全管理措置の評価、見直し及び改善 |
| ③ 加工方法等情報を取り扱う正当な権限を有しない者による加工方法等情報の取扱いを防止するために必要かつ適切な措置 (規則第20条第3号) |
・加工方法等情報を取扱う権限を有しない者による閲覧等の防止 ・機器、電子媒体等の盗難等の防止 ・電子媒体等を持ち運ぶ場合の漏えい等の防止 ・加工方法等情報の削除並びに機器、電子媒体等の廃棄 ・加工方法等情報へのアクセス制御 ・加工方法等情報へのアクセス者の識別と認証 ・外部からの不正アクセス等の防止 ・情報システム使用に伴う加工方法等情報の漏えいの防止 |
さて、匿名加工情報やビッグデータの活用は殆どないと思われる企業様も多いかもしれませんが、顧客リストを加工して集計したり、社員の統計情報を加工するケース等は、多くの企業様が実施されているかもしれません。
社員情報(インハウス情報)も、企業が大切に管理しなければならない個人情報です。
サーバーにアクセス権限をかけて保管していても、加工、集計で使用するからと、複数のPCのハードディスクに保管されているというリスクもあるかもしれません。
それらの元となる個人情報のリストが正しく管理されているか、今一度見直をする機会かもしれません。
個人情報保護のための体制づくりが必要な場合は、こちらから是非お気軽にお問い合わせください。
〒461-0001
名古屋市東区泉1-21-27
泉ファーストスクエア9F
TEL: 052-953-7161
FAX: 052-953-7163
