個人情報取扱事業者とは何か?個人情報をシステム面で保護するために必要なこと
- INDEX
-
個人情報取扱事業者に関する基礎知識
はじめに個人情報取扱事業者に関する基礎知識について簡単に解説します。個人情報取扱事業者の定義
総務省では個人情報取扱事業者を「個人情報データベースなどを事業の用に供している者」と定義しています。個人情報を簡単に説明すると個人を特定できる単一の情報、もしくは組み合わせることで個人を特定できる情報です。 個人情報取扱事業者は個人情報保護法に基づく義務があります。義務を守らない場合には罰金、もしくは懲役などの罰則があるため無視することはできません。 冒頭でお話した通りに従業員の個人情報も該当することから、ほとんどの企業や組織、団体など、何らかの事業活動を営んでいる場合は個人情報保護法を守る必要があります。 参考元:総務省 - 個人情報取扱事業者の責務 https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/executive/05.html個人情報を取り扱う際のリスク
個人情報を取り扱う際のリスクとして、情報漏えいや情報の悪用、データ改ざんなどが挙げられます。また、個人情報が含まれるファイルを保存したUSBメモリ、外付けのHDD/SSDの盗難など物理的なリスクも考えられます。昨今、定着しつつあるテレワークにおいても、社外や組織外で作業することで、個人情報を盗み見される可能性もゼロではありません。 その他、住所や氏名など直接的に個人を特定できる情報だけでなく、社内や組織内における社員番号のような文字数列であったとしても結果的に個人を特定できるため、個人情報に該当します。そのため、個人情報と紐付いた情報であれば、細心の注意を払う必要があり、「何が個人情報保護法に該当するのか」をしっかりと理解し、確実に保護できるような管理体制の構築が必要不可欠です。匿名加工情報及び匿名加工情報取扱事業者について
匿名加工情報とは個人情報を加工して、個人を特定できないようにした情報を指します。匿名加工情報を取り扱う事業者は匿名加工情報取扱事業者と定義されており、個人情報とは異なるルール・規則があり、個人情報と同じように適切に守らなければ罰金や懲役などの罰則があるので注意が必要です。 例えば、個人情報を加工して匿名加工情報を作成したとします。そのままでは個人を特定できませんが、どのように加工したかが知られてしまうと、個人を特定できる個人情報に戻ってしまいます。そのため、社内や組織内、もしくは社外に渡すデータに匿名加工情報が含まれるのであれば、個人情報と同等に細心の注意を払う必要があるのです。
