個人情報保護法をわかりやすく教えて!
個人情報保護法とは、個人情報を保護することに関する法律のことです。
個人情報を扱う民間事業者や自治体が、本人の了解なく、不正になにかに流用したり、ずさんな情報管理をしないように、さまざまな義務を課しています。 全面施行されたのが2005年なので、まだ馴染みがない大人の方も多いのではないでしょうか?
個人情報保護法の目的
個人情報保護法の目的は、個人情報を取り扱う民間事業者や自治体が、守るべきルールと責務を明らかにすることにあります。
個人情報は、民間事業者や自治体が個人にサービスを効率的に提供するために、非常に役に立つものです。しかしその利用は、個人の権利や利益に配慮しなくてはいけません。
簡単な言葉でいうと、個人情報保護法とは「本人が損をしないように、重要な個人情報を、取り扱うところにしっかり管理してもらう」目的があるのです。
個人情報保護法の対象となる情報
個人情報保護法で定義する「個人情報」とは生存する個人に関する情報、そして特定の個人を識別可能なものをいいます。
個人情報には大まかに2種類あります。
- 個人に関する情報
- 特定の個人を識別できる情報
@の個人に関する情報とは、名前や顔写真等があります。
また、不完全な情報でも、組み合わせることによって特定の個人が容易に分かるものもあります。
- 氏名
- 勤め先や通学先
- 電話番号
- メールアドレス
- 音声
等です。
Aの、特定の個人を識別できる情報とは、例えば免許証の番号などが当てはまります。
照合することで個人を特定できるからです。
他には、クレジットカードの番号、保険証の番号、マイナンバーなどが挙げられるでしょう。
ちなみに、最初に述べたように個人情報は、生存する個人に関する情報のことなので、残念ながら死亡している人には個人情報保護法が適用されません。
しかし、法律では守られていないとはいえ、道徳上の理由と、遺族の個人情報が関連付けて特定される恐れもあるため、粗雑に扱われることはほとんどありません。
そのため新聞等の訃報欄であっても、遺族に無断で掲載されることはないはずです。
災害時などに死亡者氏名を公表するのは自治体が多いですが、そのほとんどが遺族の同意を必須としているようです。
個人情報取扱事業者とは?
個人情報取扱事業者というのは、5000人以上の個人情報を取得しデータベース化などをして活用し、サービスを提供している事業者と定義されています。
個人情報取扱事業者には、以下の義務が課せられます。
- 個人情報を取得するときに、利用の目的を通知・公表する。
- 利用目的をできる限り明確に特定し、不必要な範囲まで利用しない。
- 個人情報・個人データは安全に管理する。
- 従業員や委託先も個人情報を適切に取り扱うように監督する。
- 本人の同意を得ないまま第三者に個人データを提供してはいけない。
- 本人から「個人情報取扱事業者が保有する個人情報の開示」を請求されたら従う。
- 本人から、事実と相違があるので個人データを訂正・削除を求められた場合は応じる。
- 個人情報の取扱いに関するクレームがあれば、適切に対応する。
こういった義務を個人情報取扱事業者が守れているか監督している団体に、個人情報保護委員会というものがあります。
個人情報保護委員会は、個人情報取扱事業者に個人情報の取扱に関し報告をさせることができる団体です。
そして、上記で紹介したものをおこなわず、義務違反している個人情報取扱事業者には、必要な措置をとることを命じることができます。
そうした命令に従わない個人情報取扱事業者は、6ヶ月以下の懲役又は30万円以下の罰金があります。
「個人情報」と「プライバシー」について
個人情報保護法をプライバシー保護法と言っている、もしくは誤認している方もいるかもしれません。
プライバシーには、人がもつ秘密のこと、他人の干渉を許さないこと、各個人が私生活上の自由を持つ権利のことを指す、と広辞苑で紹介されています。
個人情報とはまた別のものと解釈してよいでしょう。
プライバシー保護法というものはありません。
なお、プライバシーは、憲法の13条の「すべて国民は、個人として尊重される」という、人権を保障する条文に含まれていると解釈されています。
個人情報のなかには、「要配慮個人情報」というものがあり、これがプライバシー情報にあたるものとも言えます。
これは非常にセンシティブなもので、年収、出身地、人種、病歴、前科、犯罪被害歴、身体障害・精神障害があることなどの情報です。誰もがわざわざ他人に言いふらしたりはしない情報でしょう。
しかし、あきらかに個人名を出されたり、役職名などで個人を特定されてしまうような形で、プライバシー情報を流布されてしまったらどうでしょうか?
プライバシー情報を流布した人が、例えば個人情報取扱事業者に属するもので、業務上知り得た情報を元に流布したとします。
そのケースでは、個人情報取扱事業者が、安全管理措置義務や従業員の監督についての義務違反に問われます。
刑事上の責任にも問われますし、流布した人は、その会社に汚名を着せることにもなります。
プライバシー情報を流布した人が、単なる知人等であり、故意に悪く解釈させたり差別的な考えを助長させるような考えで流しているような場合は、プライバシー権の侵害や名誉棄損などとして刑事処罰の対象になる場合があります。刑事罰ではなく、民事でも充分に訴えることができます。
近年、インターネット上の悪口や嫌がらせにより、命を絶ってしまう人も多いため、侮辱罪の罰がかなり重くなりました。
1年以下の懲役・禁錮と30万円以下の罰金刑が追加されることになったのです。
しかし例えば、個人名を出さずに、しかも個人が推測されない状態であれば、個人情報保護法でも管轄外ですし、プライバシーの権利を訴えて苦情を申し立てることはできません。
個人情報とプライバシーは、他人でも身内でも、どんな場合であっても大切に扱うべきものといえるでしょう。