現代社会ではIT技術が発達し、あらゆる情報がデータとして扱われています。
その中でも社内機密書類や個人情報を含む顧客情報などの重要書類は、高いセキュリティ技術で保護し、不正な情報漏洩や流出を防ぐための対策が求められています。
この記事では、個人情報保護法が制定された背景と制度の概要、そして近年広く普及しているSaaS(ソフトウェアを利用したサービス)を導入した情報管理のメリットについて解説していきます。
個人情報保護法制定の背景
初めての個人情報保護に関わるルール
世界的な個人情報保護に関わる法制化の動きは、情報技術の発達に伴い、個人情報の属性の変化や管理するデータの大容量化が懸念されるようになりました。
1980年に国際機関であるOECD(経済協力開発機構)が「OECDプライバシーガイドライン」を発行したことに始まります。
OECDプライバシーガイドラインとは
OECDプライバシーガイドラインは、プライバシー保護と個人データの国際的流通のためのガイドラインであり、OECD8と呼ばれる次の8つの原則が定められていました。
目的明確化の原則
個人データの収集目的を明確にし、データ利用は収集目的に合致すべきである。
利用制限の原則
個人情報の持ち主の合意がある場合はや法律の規定による場合を除いては、収集したデータは目的以外に利用してはならない。
収集制限の原則
個人データは違法・公正な手段により、かつ個人情報の持ち主に通知または同意を得て収集されるべきである。
データ内容の原則
収集する個人データは利用目的に沿ったもので、かつ正確・完全・最新であるべきである。
安全保護の原則
合理的な安全保護措置により、紛失・破壊・使用・修正・開示などから保護すべきである。
公開の原則
個人データ収集の実施方針などを公開し、データの存在・利用目的・管理者などを明示すべきである。
個人参加の原則
個人情報の持ち主に関するデータの所在、及び内容を確認させ、または異議申し立てを保証するべきである。
責任の原則
個人データの管理者は、諸原則実施の責任を有する。
尚、OECDプライバシーガイドラインは2013年に改正され、加盟国における「プライバシー執行機関の設置の義務付け」や「プライバシーフレームワーク間の相互運用の促進」などの項目が追加されました。
欧州での動き
さらに1995年には「EUデータ保護令」が発令されました。
このEU指令とは「個人データ処理にかかる個人情報の保護、及び当該データの自由な移動に関する欧州議会、及び理事会の指令」のことを指します。
個人情報のEU以外の第三国への移転について、その第三国が十分なレベルの保護措置をしていない場合は、その移転を禁止するという内容でした。
これに伴い、世界各国で法整備や個人情報保護に関する制度化が進められ、日本においても様々な検討がなされました。
また、このEUデータ保護指令は2016年に「EU一般データ保護規則」が採択されたことにより、これに置き換えられました。
日本における個人情報保護に関する法律
前述のとおり、世界的な流れを受け日本においても1988年に「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」が公布されることになったのです。
ただし、この時点で民間事業者に個人情報の保護を義務化するには時期尚早との見方があり、まずは行政機関が対象となりました。
個人情報保護法制定のきっかけ
しかし、1999年に宇治市で発生した個人情報の大量漏洩事件がたいへんな社会問題となりました。
市民のほぼ全員の住民基本台帳データが、大学生のアルバイト従業員によって自宅に持ち出され、複製したうえ外部の名簿販売業者に転売したという事件です。
流出したデータは、氏名・住所・生年月日・世帯主との続柄などが含まれており、プライバシー侵害の不安の声が上がりました。
さらにコンピュータやネットワークを利用し、行政業務のオンライン化を推進していた政府が2002年に住基ネットの運用を始めました。
政府が国民の情報を掌握するための手段ではないかとの警戒する声も上がり、個人情報に関する議論が盛んになりました。
そのような社会背景から喫緊な法整備が求められ、ついに2003年5月「個人情報保護法」が公布され、2年後の2005年4月に全面施行となったのです。
個人情報保護法の概要
個人情報保護法とは
個人情報保護法は、正式には「個人情報の保護に関する法律(平成15年法律第57号)」と言います。
個人の権利と利益を保護するために、個人情報を取得し取り扱っている事業者に対し、様々な義務と対応を定めた法律です。
基本的には本人である個人の権利を定める法律ではなく、事業者が守らなければならない義務を定めています
事業者はこの法律により、利用目的の特定、及び制限、適切な取得、取得に際する利用目的の通知または公表、安全管理、第三者提供の制限などが義務付けられています。
主となる義務は大きく分けて3つありますが、以下に説明していきます。
個人情報の取り扱いに関する義務
個人情報の取り扱いに関する義務では、個人情報の取得、利用、本人への利用目的の通知に関する義務が次の条項が対象となります。
尚、カッコ内は当法律の幾度かの改正により条項が追加されたことにより、2023年4月1日から施行される予定の最新版の条項となります。
・第15条(第17条) 利用目的の特定
・第16条(第18条) 利用目的による制限
・第17条(第20条) 適正な取得
・第18条(第21条) 取得に際しての利用目的の通知など
個人情報のセキュリティの確保に関する義務
個人情報のセキュリティの確保に関する義務では、データなどのセキュリティ対策だけではなく、従業員や委託先などの監督、第三者提供の制限に関する義務が定められており、次の条項が対象になります。
・第19条(第22条) データ内容の正確性の確保など
・第20条(第23条) 安全管理措置
・第21条(第24条) 従業者の監督
・第22条(第25条) 委託先の監督
・第23条(第27条) 第三者提供の制限
個人情報の本人への対応に関する義務
個人情報の本人への対応に関する義務では、自社が保有している個人情報(保有個人データ)の公表、保有個人データの本人からの開示や訂正などの要求への対応、並びに苦情相談などの本人とのコミュニケーションに関する義務も定められており、次の条項が対象になります。
・第24条(第32条) 保有個人データに関する事項の公表など
・第25条(第33条) 開示
・第26条(第34条) 訂正など
・第27条(第35条) 利用停止など
・第28条(第36条) 理由の説明
・第29条(第37条) 開示などの求めに応じる手続き
・第30条(第38条) 手数料
・第31条(第40条) 個人情報取り扱い事業者による苦情の処理
参考資料:総務省「個人情報の保護に関する法律施行令」
https://www.ppc.go.jp/files/pdf/220420_personal_cabinetorder.pdf
SaaSを導入した情報管理のメリットとは
クラウドサービスの普及
クラウドサービスとは、クラウドコンピューティングと呼ばれる仮想化技術を利用し、インターネット上のネットワーク、サーバ、ストレージ、アプリケーションなどを共有化して、サービス提供事業者が利用者に容易に利用できる形態のサービスのことです。
SaaS(Software as a Service)もクラウドサービスの一つで、WordやExcelのようなアプリケーション・ソフトウェアを利用するサービスを指します。
個人情報保護法の解釈
今やビジネスでもプライベートでも身近なクラウドサービスですが、コンピュータの形態が実際にどうなっているのか、実態を掴みづらい側面もあり、個人情報保護法の観点からも論議されるところです。
自社のサーバで個人情報を管理するのが危険、あるいはバックアップを取っておきたいなどの理由から、個人情報をクラウドサービスの預ける場合には注意が必要です。
個人情報保護法の観点から問題となるのは、「個人情報の第三者提供に該当するか否か」という点です。
クラウドサービス利用の際の注意点
個人情報保護法では、個人情報を第三者に提供する際は「本人の同意」や「記録」が義務付けられています。
しかし、個人情報取扱業者が保存データを扱わない、または適切なアクセス制御がされている場合には「第三者提供」には該当せず「委任」となります。
事業者の一部の業務を「委任」しているとの解釈からです。
事前に委託契約の締結、及び委託先における個人データ取り扱い状況の把握しておくことが求められます。
SaaS導入によるデータ管理のメリット
それでは、SaaSを利用した個人情報管理のメリットを挙げてみましょう。
簡単かつスピーディーに導入できる
インターネットに接続しアカウントを取得すればすぐに利用できるので、パッケージ版のソフトウェアと異なり、ハードウェアの準備やソフトウェアのインストールといった作業の手間がかかりません。
デバイスを問わず利用できる
インターネット環境があれば、パソコンはもちろんのこと、スマートフォンやタブレットからも使用でき、1つのデータに対し複数のデバイスからアクセスして、編集することも可能です。
また、いつでもどこでも利用できるため、テレワークにも活用できます。
運用・管理に手間がかからない
システムの運用管理は、すべてサービス提供事業者に任せることができるため、手間がかかりません。
また、機能の追加やアップデートなどは自動で行われるため、利用者は常に最新の機能を使用できます。
安心かつリーズナブル
SaaSのセキュリティレベルは高いと言えますが、それにも関わらずリーズナブルであることが多いのも大きなメリットです。
サービスによっては、無料トライアル期間を設けているものもあるので、お試しで利用して使い勝手を確認してから、月額や年額プランに加入するとよいでしょう
まとめ
個人情報保護法が制定された背景と法律の概要、そしてSaaSを導入した際におけるデータ管理のメリットについて解説しました。
現在、個人情報に関しては、大手上場企業のみならず中小企業においても、個人情報保護法の縛りだけではなくコンプライアンスの観点からも慎重な取り扱いが求められています。
人事業務のアウトソーシングをお考えの企業の方は、COMIT HRにお任せください。
業界トップレベルのコストパフォーマンスで、人事業務全般をフルサポートします。