• 石川毅志

【21世紀の石油】個人情報より厳しい個人データの取り扱い【第三者提供とは?】

最終更新: 2020年9月9日



commonの石川です。


個人情報、
個人データ、
保有個人データの違いがわからない!

前回のブログで

狭義の「個人情報」について

掘り下げました。


今回は、

個人データについての話です。


引き続き、

参考資料は、

「個人情報保護法の知識<第四版>」です。


個人データとは

20世紀は石油、

21世紀はデータの世紀と

言われるくらい

ますますデータは貴重に

なっています。


事実、

米中などは、

データを囲い込み、

非同盟・非友好国に

自国のデータが

渡りにくくする様な

動きを見せています。


ここで議論されている

データの中に個人データが

含まれます。


個人データは、

個人情報と異なる定義を

されています。

個人情報は、

名刺一枚でも

個人を特定できる情報の事でした。

マイナンバーや生態番号も

個人情報に含まれます。


個人データは

個人情報をデータベース化して、

検索性・一覧性を高めたものです。


データベースと言われると、

電子化されたものだけの様に

見えますが、

紙でも個人情報を名前順などで

まとめたりすると、

個人データと認識されます。


個人データの取り扱い義務

個人データの取り扱い義務は、

個人情報のそれよりも厳しい

者になります。


なぜならば、

個人情報を一元管理して、

検索性・一覧性を上げた事で、

情報漏えい時の被害が

甚大化してしまう事、

また、

電子データにする事で、

盗難・改竄が容易になっている

などのことから、

慎重に管理する必要が

あるためです。


具体的に、

個人データを対象とする

個人情報取扱事業者の

義務として、

「データ内容の正確性の確保」が

あります。


これは、

「データを常に正確な状態に保つ

努力をせよ」

ということなのですが、

やり方としては、

最新の情報に更新する様にすること、

不要なデータを消去することです。


これらを怠ると、

貸金の場合、

債務者が支払っているにもかかわらず、

催告書を送付してしまう様な

事態が起きてしまいます。


民間ではありませんが、

「消えた年金」問題も、

「データ内容の正確性の確保」が

できていれば、

防げた事案でした。


もう一つの義務として、

「安全管理措置」があります。


これは、

個人データの

情報セキュリティ対策を

しっかりやって下さい

という事です。


認められたものだけが

情報にアクセスでき、

情報を正確に保ち、

確実にアクセスできる様に

する事です。


誰でもアクセスできてしまったり、

情報が不正確である事が問題で

あることは理解いただけると

思いますが、

確実にアクセスできるということは、

例えば、

自分の銀行口座にアクセスできないと

困ってしまいます。

その様な事態が無いように

対策を打つということです。


安全管理措置は

個人データを扱う

従業員と委託先に対する

監督義務も定めています。


いくら、

情報セキュリティ策を講じても、

従業員がパソコンを

持ち出した際に、

紛失してしまって、

悪意の第三者に

個人データに

アクセスされてしまうことも

あります。


また、

人間が取り扱う以上、

ミスがありますし、

100%破られない完全な

情報セキュリティは存在しませので、

漏えいした時に

必要な措置と

事実関係の確認及び

再発防止策を

委員会等に報告する事が

義務付けられています。


第三者提供とは

個人データは、

条件が揃えば第三者に

提供する事が可能です。


ここで言う第三者とは、

支社・支店など同一法人内は

個人データを

安全管理措置を講じた上で、

共有可能ですが、

完全子会社・子会社・

関連会社・取引先など

あらゆる別法人がこれに

該当します。

個人データを第三者に

提供するためには、

本人の同意の取得が必要です。

また、

本人が望まない情報流通を

防ぐため、

どのような経路で情報が

提供されていくのかを

把握できるように

しておく必要があります。

さらに、

本人の求めに応じて、

第三者提供を止めなければ

なりません。


個人データの第三者提供の

適用除外として、

警察や行政に対する要請や

人命に関わる場合は、

上記で述べた義務を

はたさずとも、

第三者への情報提供が

可能となります。

クラウドサービスや

レンタルサーバについては、

管理会社が

クライアントのデータに

アクセスできないようにしたり、

暗号化することで、

個人データを認識できない

ように配慮する必要があります。


まとめ

個人データは

個人情報を整理整頓して、

検索性と一覧性を上げた

個人情報の集合です。


個人データを扱う時の義務として、

データ内容の正確性の確保と

安全管理措置を講じる必要が

あります。


個人データを

第三者に提供する際は、

本人が提供される事実と

その経路を認識した上で、

同意を取得する必要があります。

15回の閲覧0件のコメント