意外と知らない?個人情報保護法が定める5つの表示義務

公開:2024年08月20日

様々な業務の中で注意を怠ることのできないことの1つには、個人情報の取り扱いが挙げられるでしょう。個人情報保護法では、個人情報を保持している事業者に対して、5つの事項を表示する義務を課しています。

個人情報の保護とは

個人情報とはどのようなもので、どのような法律や基準によって保護されているのでしょうか

個人情報保護法とは

個人情報保護法は、個人の権利や利益を保護することを目的とした法律です。この法律は、デジタル社会の進展に伴い個人情報の利用が著しく拡大していることに鑑み、個人情報の適正な取扱いに関する基本理念や政府の基本方針を定めています。

個人情報保護法に基づき、個人情報の取扱いにはさまざまな義務が課されており、違反すると刑事罰や民事上の損害賠償責任、社会的な信用低下などのリスクがあります。

個人情報とは

個人情報保護法に定められている個人情報とは、生存する個人に関する情報で、ある特定の個人を識別できる情報のことです。具体的には、次のいずれかに該当するものです。

  1. 情報それ自体で特定の個人を識別できるもの
  2. 他の情報と照合することにより特定の個人を識別できるもの
  3. 個人識別符号が含まれるもの(例:DNA、旅券番号)

JIS15001とは

一般財団法人日本規格協会が定めている日本産業規格の一つで、個人情報を安全で適切に管理するための規格です。JIS15001は個人情報保護法の順守はもちろんですが、それにとどまらず、より広く個人情報保護のルールが定められています。多くの企業が個人情報保護法だけでなく、JIS15001も参考にしており、特にJIS15001を順守していると認証を受けた企業には、Pマークの使用が認められます。

順守義務があるのは誰か

個人情報保護法は、個人情報を取り扱う全ての事業者が順守しなければなりません。個人情報保護法が制定された2005年段階では、5000件未満しか扱わない小規模事業者は除外されていました。しかし、2017年の法律改正によって5000件の要件は撤廃されて、個人情報を1件でも扱えば個人情報取扱事業者に該当するようになり、法律の順守義務が発生することとなりました。もしも、順守義務があるということを知らなかった個人事業主や小規模企業者の方がいらっしゃれば、早急に対応しましょう。

法律に定められている5つの表示義務

個人情報保護法では、5つの項目について、個人情報の本人がすぐに知ることができる状態にしておく表示義務(第32条)を定めています。例えば、「個人情報の取扱いについて」や「プライバシーポリシー(個人情報保護方針)」のような形で、ホームページ上に表示しておくなどの方法がとられています。

表示義務のある5つの項目は以下の通りです。

  1. 個人情報取扱事業者の名称、住所(第32条1項1号)
    個人情報は責任をもって取り扱わなければなりません。取り扱うのは誰なのかを表示する義務があります。
  2. 利用目的(第32条1項2号)
    個人情報を何のために集めるのか、何のために利用するのかをできる限り特定したうえで、その目的を表示する義務があります。
  3. 利用目的の通知の求め又は開示等の請求の方法(第32条1項3号)
    本人から請求があったときに保有している個人データの内容を本人に開示したり、個人データに間違いが見つかったときに訂正に応じたりするための手続きを定めて、表示することが義務付けられています。
  4. 安全管理措置(第32条1項4号および政令第10条1項)
    個人情報を取り扱うにあたっては、情報の漏えい・滅失・毀損の防止対策として、サイバーセキュリティ対策を施す必要があります。具体的には研修の実施や定期的な管理状態の点検、取扱規程の策定・改訂、不正アクセスから保護するシステムの導入などが挙げられます。これらの取り組みについて表示する義務があります。
  5. 苦情の申出先(第32条1項4号および政令第10条2項)
    苦情が出た際にはすぐに対応できるよう体制を整えて、苦情の申し出先を表示する義務があります。

個人情報保護法という法律に定められている表示義務は以上です。一般に「プライバシーポリシー(個人情報保護方針)」という場合、上記5つ以外の項目も含まれている場合が多いようですが、この5つ以外の項目は法律ではなく、JIS15001によって定められています。法律が定める5つの項目の表示を怠った場合には罰則がありますが、JIS15001は法律ではありませんので、そのような罰則を伴う義務ではありません。

また、「プライバシーポリシー(個人情報保護方針)」という文書自体も、法律上は民間企業には作成する義務は課されておらず、政府や自治体に課されているのみです。プライバシーポリシーの作成も定めているのは実は法律ではなくJIS15001です。

5つ以外の項目やプライバシーポリシーを表示している企業も多いと思われますが、それは企業イメージ向上や信頼感の醸成、あるいは慣例的に、より広い規定のあるJIS15001に従って表示を行っています。

委託先への監督義務があります

以上は、自社の個人情報の取扱いについて表示するという観点に立って記載したものです。しかし個人情報保護法はそれにとどまらず、委託先の監督という義務(第22条)も定めています。すなわち、個人情報の取扱いを他社に委託した場合、その委託先が不適切な取扱いを行わないように監督する義務があります。これにより、委託先が個人情報の流出事故などを起こしてしまった場合には、委託元である自社も責任を問われます。

したがって、取引先の選定や、実際に取引をする上でも、個人情報保護法は十分に理解して念頭にいれておかなければなりません。

まとめ

個人情報保護法は、1件以上の個人情報を取り扱う全ての事業者に順守義務があり、表示義務については5項目が定められています。さらに、その5項目以外も表示し、プライバシーポリシー(個人情報保護方針)を作成して表示する企業も多くありますが、それらは個人情報保護法ではなくJIS15001の規定に従っているものです。

アバター画像
フォーム作成クラウドサービス「Formzu(フォームズ)」を運営しているフォームズ株式会社です。
オフィスで働く方、ホームページを運営されている皆様へ
仕事の効率化、ビジネススキル、ITノウハウなど役立つ情報をお届けします。
  • 【初めての方へ】Formzuで仕事の効率化
  • 【初めての方へ】メールフォームについて