個人情報の定義を理解した次のステップは、その情報が組織内で辿る「プロセス」を把握することです。個人情報には「取得・利用・保管・提供・廃棄」というライフサイクルがあり、それぞれの局面で守るべき法的なルールが定められています。この流れを体系化することで、実務上のリスクを事前に予見し、適切なコントロールが可能になります。
取得・利用:入口での「透明性」と「誠実性」
個人情報のライフサイクルは、組織が情報を手に入れる「取得」から始まります。ここで最も重要なのは、本人の予測可能性を確保することです。
利用目的の特定と通知(法第17条・18条)
「マーケティングのため」といった曖昧な表現ではなく、どのような事業でどう使うのかを具体的に特定し、本人に通知または公表する必要があります。
目的外利用の禁止
一度特定した目的の範囲を超えて利用する場合は、改めて本人の同意を得なければなりません。
【重要】不適正利用の禁止
2022年の法改正で明文化されたのが「不適正利用の禁止」です。たとえ利用目的の範囲内であっても、違法行為を助長するような方法(例:名簿屋から不正に流出した情報を購入して利用するなど)は厳禁です。
保管・管理:正確性の維持と「漏洩報告」の義務
データベース化された「個人データ」を社内で運用するフェーズでは、情報の「質」と「安全」を守る義務が発生します。
データ内容の正確性の確保
利用目的に必要な範囲内で、データを最新かつ正確な状態に保つよう努める義務があります。古い住所のまま放置し、誤送付を起こすことはこの努力義務に抵触するリスクがあります。
【重要】漏洩時の報告義務(法第26条)
万が一、個人データの漏洩が発生した場合、現在は個人情報保護委員会への報告と本人への通知が「義務」となっています。
- 報告が必要なケース: 1,000件を超える漏洩、不正アクセスによる漏洩、要配慮個人情報の漏洩など。
- 報告のタイミング: 発覚からおおむね3日以内の「速報」と、30日以内(不正アクセスの場合は60日以内)の「確報」の2段階が求められます。
第三者提供:情報の「出口」をコントロールする
自社以外の組織にデータを渡す際は、原則として「事前の同意」が必要です。しかし、実務上は「同意が必要な提供」と「同意が不要な提供(委託等)」の区別が極めて重要になります。
原則:あらかじめ本人の同意が必要
提携先とポイントを連携させる、他社のサービスに顧客情報を渡すといったケースは「第三者提供」に該当し、本人の承諾が必須です。
【深掘り】同意が不要な「委託」と「共同利用」
以下のケースは、法的には「第三者」に該当しないとみなされ、本人同意なしで情報を渡せます。
- 委託: 配送業者への住所伝達、クラウドサーバーへの保管、データ入力の外注など。ただし、自社が委託先を監督する法的義務を負います。
- 共同利用: グループ会社間で一体となって利用する場合。あらかじめ「共同利用する旨」などを公表しておく必要があります。
消去・廃棄:役割を終えた情報を「確実に手放す」
利用目的を達成し、不要になった個人データは、遅滞なく消去するよう努める必要があります。
- 復元不可能な消去: 単にゴミ箱フォルダへ移動するだけではなく、シュレッダー処理や、データの上書き消去、物理的な媒体破壊など、復元できない形での廃棄が求められます。
- 保管期間の設定: 法令で保存が義務付けられているもの(国税関係書類など)を除き、社内ルールで保存期間を明確にしておくことがリスクヘッジに繋がります。
まとめ:プロセスでリスクを捉える「体系的視点」
情報のライフサイクルを体系的に理解すると、業務のどの段階にどのような法的リスクが潜んでいるかを瞬時に判断できるようになります。
- 入口(取得): 目的は適正か? 本人に伝わっているか?
- 運用(管理): 正確か? 漏洩時の報告体制は整っているか?
- 出口(提供): 「委託」か「提供」か? 同意の有無は適切か?
- 終点(廃棄): 復元できない形で確実に消去したか?
このライフサイクルの各工程を、根拠法に基づいて点検できる能力こそが、個人情報保護士に求められる実務能力の本質です。
安全管理措置の全体像を整理したい方には、こちらの記事もおすすめです。
コメント