「個人情報の保護に関する法律」を略して一般的に「個人情報保護法」と呼ばれています。 氏名、性別、生年月日、住所などの個人情報の有用性に配慮しながら、個人の権利や利益を守ることを目的として制定されました。 行政機関や地方団体はもちろん個人情報を取り扱う全ての事業者や組織が守らなければならない共通のルールです。
個人情報とは、生存する個人を特定することができる情報を意味します。 「生年月日」などの情報単体では、特定の個人を識別することができません。 しかし「生年月日」に「氏名」などが組み合わさることで特定の個人を識別することができるため、このような場合は個人情報に該当します。 メールアドレスについてもユーザー名やドメイン名から特定の個人を識別することができる場合についても、該当します。 この他に番号、記号、符号などで、その情報単体から特定の個人を識別できる情報を「個人識別符号」といい、「個人識別符号」が含まれる情報は個人情報となります。
個人情報が漏洩した場合は、個人の権利や利益を侵害するおそれが大きいため、速やかに個人情報保護委員会に報告し、本人へ通知しなければいけません。 これまでは、個人情報保護委員会への報告や本人への通知は努力義務でしたが、法改正により令和4年(2022年)4月からは義務となりました。 これにより、個人が漏えい等の事態の発生を早く知ることができ、個人情報取扱事業者に対し、自らの個人情報の利用停止や消去などを請求しやすくなります。
もともと個人情報保護法は、個人データの数が5,000件以上の事業者が対象でした。 しかし2017年5月30日に法改正が行われ個人情報を取り扱う全ての事業者が対象となりました。 そのため1件でも個人情報を取り扱っている事業者はガイドラインに沿って管理していくことが義務となります。 個人情報取扱事業者は、組織的安全管理措置、人的安全管理措置、物理的安全管理措置、技術的安全管理措置の対策を行う必要があります。
2022年4月1日に全面施行された「改正個人情報保護法」では、従来の罰則規定から大幅に罰則内容が強化されています。 例えば個人情報取扱事業者が命令違反を行った場合、改正前は30万円以下でしたが、改定後は1億円以下へと引き上げられています。
個人情報取扱事業者は、今後より一層求められる情報管理措置に対応していかなくてはいけません。 まずは、従業員に情報の取り扱いについて教育を行いリテラシーを高めてもらう必要があります。 また書類の持ち出しやデータの取り扱いの権限を設けたりなど組織としての管理体制の見直しも欠かせません。 そして一番重要なのがネットワークのセキュリティ対策の強化です。 2015年に10月から全国民に配布が開始されたマイナンバーをきっかけに情報管理に関する法律や規則等が見直されています。 それに伴い個人情報取扱事業者は、従業員や会社自身を守るために現在、金融機関並みの安全管理措置が求められています。