【初心者向け】個人情報を取り扱うなら知っておきたい、個人情報保護方針（プライバシーポリシー）を解説

個人情報保護とは？

はじめに「個人情報」とは、生存する個人に関する情報で、氏名、生年月日などその他、個人の特定ができるものを言います。また、「個人情報」をデータベース化した場合、データベースを構成する個人情報を「個人データ」と言います。その個人データを半年以上にわたって保有する個人情報を、「保有個人データ」と言います。

具体的に、個人情報として特定できる項目を下記に挙げます。これらは単一項目だけでは個人を特定できない場合もあり、他の複数の項目と合わせることで個人情報が特定できることがあります。具体的な個人情報がどの項目なのかという明記はされていません（個人情報保護に関する法律の第2条）ので随時確認が必要です。例えるならば、生年月日だけでは個人特定ができませんが、氏名と生年月日が合わさると個人特定の確度が格段に上がってしまいます。

• 氏名
• 性別
• 生年月日
• 本籍、住所
• マイナンバーカード
• 固定電話番号
• 勤務先情報
• 職業
• 学歴、職歴
• 収入
• 家族構成
• 本人及び家族写真
• 生体認証情報
• メールアドレス
• コンピュータ情報

上記の個人情報を取り扱う事業者が、取扱方法を定めた法律について「個人情報保護法」と言います。個人情報保護法では、「個人情報の有効活用」と「個人情報の保護」が目的になっていて、適切に個人情報を取り扱うように指針が示されています。

個人情報取扱事業者とは

では、個人情報取扱事業者とは、具体的にどのような事業者なのかを説明します。

2017年に個人情報保護法が改正されるまでは、個人データを5000件以上保有している企業が個人情報取扱事業者でした。改正により5000件以上の条件がなくなりましたので、現在は個人情報を１件でも取り扱っていれば、個人情報取扱事業者となります。

極端かもしれませんが、日常業務で発生する手書きメモに記載する氏名や、名刺交換した名刺も個人情報に該当することになります。

個人情報取扱事業者としてやらなければいけないことは、

• 個人情報の利用目的を明確にして通知すること
• 個人情報は安全に管理すること
• 本人へ開示すること
• 苦情対応するための体制づくり、及び適切な対応を行うこと

などが必要になってきます。

適切な対策をしていない場合、違反者に対して６ヶ月以下の懲役または30万円以下の罰金と罰則規定があります。

プライバシーポリシー（個人情報保護方針）の必要性

WEBサイトには、「個人情報保護方針」もしくは「プライバシーポリシー」が公開されていると思います。

プライバシーポリシーとは、個人情報をどのように扱うかについて定めた規約です。個人情報保護方針として表現されることもあり、この２つは同じことになります。

では、プライバシーポリシーの必要性について解説します。個人情報保護法では、プライバシーポリシーに関する法的な義務付けはありません。ただし、個人情報を取り扱う事業者において信頼性を担保するために、プライバシーポリシーの公表が推奨されているのです。今後、義務化されることはあるのかどうか、気になるところではありますが、絶対に義務化されないとは言い切れません。

また、プライバシーマークを取得している事業者は、個人情報保護方針公表については義務化されています。

SSL化の必要性

システム的な個人情報保護に関する対応の一つとして、WEBサイトのSSL化があります。これも義務ではないのですが、お問い合わせフォームや会員登録などで個人情報を取得する場合は、安全にやり取りを行うためにも個人情報を暗号化するSSL化が推奨されています。

今は、ハッカーのやり方も巧妙になり、覗き見やデータ改ざんが容易になされる時代です。リスクを減らし、事業者としての信頼度を高めるためにも、個人情報保護方針の公表及びSSL化は最低限必要なものなのです。

まとめ

ここまで、個人情報保護や個人情報保護方針の必要性などを説明してきましたが、いかがでしょうか。各事業者が当たり前にやっていることを出来ていない場合は、事業者としての信頼を下げる行為になってしまいます。今、何も起こっていなくても、いつ何があるかわかりません。そのようにならないためにも、個人情報を取り扱う場合はしっかりとプライバシーポリシー（個人情報保護方針）を公表するようにしましょう。