個人情報保護法を分かりやすく解説｜情報の取り扱い方法や改正内容とは

2024-10-02ネクスウェイ／本人確認サービス編集部本人確認に関わる法律

いま話題の「eKYC（オンライン本人確認）」をご存知ですか？
解説資料をダウンロード→こちらから

個人情報保護法とは、個人情報を取り扱う事業者が守るべきルールについて定めた法律です。ビジネスにおける個人情報の利用範囲が拡大している現在、個人情報保護法を理解して、適切な開示請求への対応に向けて準備しておくことは事業者にとって欠かせないポイントです。

この記事では、個人情報保護法について詳しく解説するとともに、オンライン開示請求の流れや導入すべき本人確認についても紹介していきます。

目次[非表示]

1.「個人情報保護法」とは

1.1.個人情報保護法の目的

2.そもそも個人情報とは

2.1.要配慮個人情報
2.2.仮名加工情報

3.個人情報保護法で知っておきたい基本用語

3.1.個人情報
3.2.個人データ
3.3.保有個人データ

4.個人情報保護法について知っておくべき事業者

4.1.個人情報取扱事業者
4.2.個人関連情報取扱事業者
4.3.仮名加工情報取扱事業者
4.4.匿名加工情報取扱事業者

5.個人情報保護法の改正

5.1.主な改正項目

6.個人情報や個人データの取り扱いのルール

6.1.個人情報の取得時には明確な利用目的を公表
6.2.個人情報はデータが漏洩しないように安全に管理
6.3.第三者への提供は基本的に本人の同意が必要
6.4.本人からの開示請求には対応

7.増加傾向のオンライン開示請求件数
8.個人情報のオンライン開示請求の流れ

8.1.請求に応じる場合
8.2.請求に応じない場合

9.手続きのデジタル化に対応するなら本人確認もオンライン化がおすすめ
10.本人確認のオンライン化はアウトソーシングも可能

10.1.法律に関する知識が深い企業に委託可能
10.2.オンライン化から保管まで代行対応
10.3.本人確認にかかる工数・コストを削減
10.4.個人情報を管理する上での安全性も確保

11.eKYCでの本人確認なら「ネクスウェイ本人確認サービス」
12.まとめ

「個人情報保護法」とは

個人情報保護法とは、個人情報を扱うすべての事業者が守るべきルールについて取りまとめた法律です。

1980年代から情報技術が急速に発達したのを背景に、個人のプライバシー保護を目的として制定されました。その後、インターネットの普及から、個人情報の利用シーンが制定当時から想像もつかないほど拡大したことをきっかけに、2015年改正の際、3年ごとに内容を見直すことが定められます。

以降、個人情報保護法はさらに二度の改定を経て、これまで合計三度の改定がなされて現在に至るのです。

個人情報保護法の目的

個人情報保護法の目的は、個人情報を新たなサービスや商品の提供に活用しながらも、情報を提供した個人の権利や利益を守ることです。

ITテクノロジーやインターネットの普及から、ビジネスに個人情報を利用する機会が国際的に拡大しました。諸外国の個人情報保護規定と足並みを揃えるためにも、個人情報保護法は重要視されています。

そもそも個人情報とは

そもそも個人情報保護法では、個人情報は以下のように定義されています。

「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述などによって特定の個人を識別できるもの（他の情報と容易に照合することができ、それによって特定の個人を識別することができることとなるものを含む。）、または個人識別符号が含まれるもの。」

引用：個人情報保護法2条1項｜厚生労働省

これによれば、個人を特定できるあらゆる情報が個人情報であるということです。例えば、オンラインにおけるユーザー名やドメイン名で個人を識別できる場合、これらも個人情報と言えます。

さらに、個人識別符号とは指紋やマイナンバー、運転免許証など個人を識別する番号や情報のことを言い、これも個人情報に含まれる内容です。個人情報には、これら以外に要配慮個人情報や仮名加工情報なども含まれています。以下で、詳しい内容を見ていきましょう。

要配慮個人情報

要配慮個人情報とは、本人がその情報によって差別や偏見などの不利益を得ないよう、取り扱いに十分な配慮が必要になる個人情報です。例えば、次のような情報が要配慮個人情報にあたります。

●人種

●信条

●社会的身分

●病歴

●犯罪歴

●健康診断の結果

●逮捕歴　など

要配慮個人情報を取得する際には、本人の同意が必要です。

仮名加工情報

仮名加工情報とは、個人情報を加工して他の情報と組み合わせない限り、特定の個人を識別できないようにした情報です。個人情報のさらなる利活用を促進するために、2020年の改正で導入されました。

例えば、身長と体重のデータから氏名を削除する加工を施したものは、仮名加工情報と言えます。

個人情報保護法で知っておきたい基本用語

個人情報保護法について詳しく理解するために、ここからは、個人情報保護法によく出てくる基本用語の中から特に知っておきたいものを解説します。

●個人情報

●個人データ

●保有個人データ

どれも似た言葉ですが、意味合いが異なるのでしっかりと確認しておきましょう。

個人情報

個人情報とは、特定の個人を識別できる情報を指します。例えば、次のような項目は個人情報にあたります。

●氏名

●性別

●生年月日

●住所

●顔写真

氏名で個人を特定できる場合は個人情報と言えます。しかし、取得したのが名字だけで該当する人が多い場合は個人の特定ができないため、この場合の名字は個人情報とは言えません。

ただし、名字だけで個人の特定ができなくても、住所や勤務先などの他の情報と組み合わせることで特定できるなら、その情報は個人情報になります。

個人データ

個人データとは、個人情報を集めて編集したデータベースを構成している個人情報のことを指します。

個人情報を取得して利用する場合、検索して利用できるようにコンピュータに入力してデータ化したり紙面にまとめたりします。このようにデータをまとめて検索できるようにしたものがデータベースです。

例えば、昔学校で作成されていた住所録などは個人情報データベースと言えますし、そこに記載されている氏名や住所が個人データにあたります。

保有個人データ

保有個人データは、個人データのうち、本人から請求される開示や訂正、削除などに個人情報取扱事業者が応じる権限を持つデータを指します。委託されて取り扱いをしているデータなどは該当しません。

個人情報保護法について知っておくべき事業者

ここまで、個人情報保護法で知っておくべき用語や情報について解説しましたが、次に、個人情報保護法についての知識を持っておくべき事業者を紹介します。

●個人情報取扱事業者

●個人関連情報取扱事業者

●仮名加工情報取扱事業者

●匿名加工情報取扱事業者

それぞれの事業者について、詳しくは以下で解説します。

個人情報取扱事業者

個人情報取扱事業者とは、個人情報データベースを事業に使用している事業者です。例えば、ユーザーから申込み時に氏名や性別などの情報を取得してデータベース化し、サービスの提供に利用している事業者は個人情報取扱事業者にあたります。

後述する個人関連情報取扱事業者・仮名加工情報取扱事業者・匿名加工情報取扱事業者についても、個人情報取扱事業者に内包されているので、個人情報保護法を遵守する対象となるのです。

個人関連情報取扱事業者

個人関連情報は、個人情報・後述する仮名加工情報・匿名加工情報のいずれにも該当しない情報のことです。

例えば、Webサイトの閲覧履歴やネットショップによる商品購買履歴などが個人関連情報にあたります。これらの情報を利用してサービス提供を行っている事業者は、個人関連情報取扱事業者に該当するのです。

さらに例を挙げるとするならば、オウンドメディアを運営してユーザーの履歴などからデータ分析を行っている事業者なども、個人関連情報取扱事業者に含まれます。

仮名加工情報取扱事業者

仮名加工情報とは、事業者が取得した個人情報を、個人情報保護法の定める基準にしたがって加工した情報です。加工の際には、他の情報と照合しない限り個人を特定できないようにする必要があります。

例えば、個人の身長・体重のデータで氏名を削除する、あるいは推測されない内容の記述に置き換えるなどの加工をした場合、その個人情報は仮名加工情報と言えます。このような仮名加工情報をデータベース化し、事業に使用している事業者が仮名加工情報取扱事業者です。

匿名加工情報取扱事業者

匿名加工情報は、個人情報を加工した上で復元できないようにした情報を指します。個人が特定できないように個人情報を加工する点は仮名加工情報と同様です。しかし、仮名加工情報が他の情報と照合すれば個人の特定ができる情報であるのに対し、匿名加工情報では他の情報と照合して個人を特定できる場合は加工したとみなされません。

匿名加工情報の例として、前述の身長・体重データを挙げると数値を約160cm・50kg台などのように、おおよその値や範囲に変える加工が必要になります。このような匿名加工情報を、検索できるようにデータベース化して事業に利用している事業者が匿名加工情報取扱事業者です。

個人情報保護法の改正

個人情報保護法はこれまでに2015年、2020年、2021年の三度、大きな見直し改正がありました。そもそも個人情報保護法は、1980年から情報技術の発達による個人情報の利活用増加に伴い、個人をプライバシー侵害から守ることを目的に制定されました。

その後、2013年頃から急速にインターネットが普及したことをきっかけとして、リスティング広告やターゲティング広告といったWebサイトの閲覧履歴やネットでの購買履歴から表示されるWeb広告が出現しました。

個人情報を含むデータの活用がビジネスにおいて拡大したことから、2015年に初めて社会情勢をふまえた個人情報保護法の改正が行われました。この一度目の改正の際に、急速に変化する社会の動向に合わせるため、個人情報保護法を3年ごとに見直すことも決定されました。

最初の制定当時、個人情報保護法は民間企業のみに適応される法律であり、地方公共団体や国立機関での個人情報の取り扱いはそれぞれの条例などで決められていました。しかし、個人情報に関するルールが共通化されていなかったために、民間企業とその他の組織での個人情報のやりとりが混乱するという事態が起こるようになっていたのです。

個人情報に関して一定水準の規定を定めて保護を適正に行うことなどを理由に、2023年4月に個人情報保護法が改正された以降は民間企業だけでなく、国の行政機関や地方公共団体などにも適応されるようになりました。

主な改正項目

個人情報保護法の主な改正項目を、改正した年ごとに列挙します。

2015年改正法

●「匿名加工情報」に関する制度を導入

●個人情報保護委員会の設立

●個人情報取扱人数が5,000人分以下の事業者も対象に　など

2020年改正法

●「仮名加工情報」に関する制度を導入

●「個人関連情報」が第三者提供の本人同意について確認の義務

●個人情報提供者の利用停止・消去などの訴求権の拡充

●個人情報漏洩時などに個人情報保護委員会と本人への通知の義務化

2021年改正法

●これまで別に定められていた民間企業・国や地方の行政機関地・独立行政法人の個人情報取扱のルールを個人情報保護法に一本化

これら三度の改正の中で注目すべきなのは、2020年の改正法内で個人情報提供者の訴求権拡充に合わせて開示請求を電磁的記録で求める権利が認められたことです。これによって、オンライン開示請求が個人情報提供者本人の権利として認められました。

個人情報や個人データの取り扱いのルール

個人情報保護法では、個人情報や個人データの取り扱いルールが定められています。以下で、主なルールについて解説します。

●個人情報の取得時には明確な利用目的を公表

●個人情報はデータが漏洩しないように安全に管理

●第三者への提供は基本的に本人の同意が必要

●本人からの開示請求には対応

それぞれ詳しく見ていきましょう。

個人情報の取得時には明確な利用目的を公表

取得した個人情報は、本人にその利用目的を知らせず勝手に使用することが禁じられています。個人情報の利用目的は必ず特定し、ホームページなどで公表する、もしくは本人に直接通知するなどしてから、目的の範囲内で使用しなければなりません。

個人情報はデータが漏洩しないように安全に管理

個人情報は、紛失・漏洩しないよう安全管理に配慮する必要があります。従業員にも業務の委託先にも、個人情報の安全管理について監督しなければなりません。万が一個人情報が漏洩し、個人に不利益が生じる可能性が高い場合には、速やかに個人情報保護委員会と本人に報告する義務があります。

第三者への提供は基本的に本人の同意が必要

個人情報を本人以外の第三者に提供する場合は、本人の同意なく渡してはいけません。提供する場合、また提供を受けた場合は、次の事項の記載した記録を3年間保存しておく義務があります。

●提供した（受けた）年月日

●情報元の氏名

●情報の内容

●提供先・提供元

本人からの開示請求には対応

本人から個人データの開示請求や問い合わせがあった場合は、速やかに対応する必要があります。電子データでの提供など、開示方法は本人が請求する方法に対応しなければなりませんが、電子データのファイル形式や提供方法は事業者で決めることが可能です。　

さらに、本人からの開示請求に対応するために、事業者は以下の項目をホームページなどで公表しておくことも義務付けられています。

●個人情報取扱事業者の名称や住所

●個人データの利用目的

●個人データを開示請求する際の手続き

●個人データを安全管理するための措置内容

●個人データの取り扱いに関するクレームの問い合わせ先

また、第三者への個人情報提供についても開示請求の対象です。

増加傾向のオンライン開示請求件数

近年、インターネットの普及に伴って、企業における個人情報のビジネス利用が拡大しました。ユーザーがオンラインで手軽にサービスの申し込みができるようになった一方、事業者側は個人情報を簡単に取得できるようになったのです。

個人情報のやりとりが容易になったからこそ、個人情報がきちんと管理されているか、適正に利用されているかどうかを不安に感じるユーザーも少なくありません。

行政機関のうち、現在オンライン開示請求を受け付けているのは、厚生労働省と国土交通省の2つです。開示請求件数の増加に比例して、オンライン開示請求の件数も増加してきています。他の行政機関や民間企業ではまだ件数の少ないオンライン開示請求ですが、このような社会情勢を背景として今後さらに件数が増加していくことが予想されます。

ユーザーからの開示請求にすぐに対応することは、個人情報保護法によって定められているルールの一つです。突然オンライン開示請求が届いても、慌てることなく即対応できるよう、日頃より準備しておくべきでしょう。

個人情報のオンライン開示請求の流れ

ユーザーから個人情報のオンライン開示請求を受けたとき、どのような流れで行えば良いのでしょうか。オンライン開示請求の際には、請求者が本当に開示する個人情報の提供者なのかどうか、本人確認する必要があります。

請求の受領から対応までの具体的な流れは、以下のようになります。

1. 本人、あるいは委託された代理人からの請求を事業者が受け付ける

2. 手数料を任意で徴収する（法38条1項）

3. 被請求対象である保有個人データを特定するための事項を、任意で本人へ提示を求める（法37条2項）

4. 請求等に応じるかどうか判断し、対応する

本人確認については、1の受付の際に実施する場合がほとんどです。また、2と3は事業者の任意で実施するかどうかを決められます。いたずらや嫌がらせ目的で開示請求される場合もあるため、任意とはいえ実施しておくほうが、こういったケースを減らせるでしょう。

請求に応じる場合

開示等の請求に応じる場合、直ちに本人からの請求等に合わせた措置を取り、結果を本人へ通知します。開示等の方法は、原則本人からの請求時に指定された方法で行うようにしてください。しかし、電磁的記録の場合のファイル形式や提供方法については、個人情報取扱事業者側で定められます。

請求に応じない場合

本人が請求要件を満たさなければ、請求に応じないことになります。この場合、請求に応じられないことを本人へ通知し、場合によってはその理由の説明も必要です。請求に応じられなかった場合、本人には請求拒否から2週間が経過する前に開示等の請求にかかる訴え、あるいは仮処分を求めることができます。

手続きのデジタル化に対応するなら本人確認もオンライン化がおすすめ

個人情報をデータで取り扱っていて本人確認もオンラインで行いたい、個人情報の開示請求にオンラインで対応したいという場合は、オンラインで本人確認ができるeKYCの利用がおすすめです。eKYCはオンラインで本人確認の手続きが完了できる手法で、紙でのやりとりが必要ないので、本人確認にかかる工数やコストを削減できます。

本人確認のオンライン化はアウトソーシングも可能

eKYCを自社サービスに導入する際に、アプリ開発やシステム構築から行う企業もあります。しかし、それでは多大な手間がかかってしまうので、スムーズにeKYCを導入したい場合は、システムからその後の本人確認作業などの業務までまとめてアウトソーシングをすると良いでしょう。

ここでは、eKYCをアウトソーシングするメリットについて解説します。

法律に関する知識が深い企業に委託可能

本人確認には、個人情報保護法やそれに準じた個人データの保管義務に関する知識も必要です。こういった知識を持つリソースが社内に少なくても、法律に関する知識が深い企業に委託することで、安全に個人情報を管理できます。

オンライン化から保管まで代行対応

eKYCの導入から本人確認時に得られた個人情報の保管まで代行まで行うアウトソーシングサービスもあります。このようなサービスを行っている個人情報の取り扱いに慣れた企業にアウトソーシングをすれば、自社で管理をするよりも個人情報の漏洩や紛失のリスクが少なくなります。

本人確認にかかる工数・コストを削減

本人確認をオンライン化することで、これまで本人確認にかかっていた工数やコストを削減できるメリットもあります。

これまで、非対面での本人確認には郵便が利用されていました。郵便での本人確認は、送付する書類の印刷、書類不備による返送業務などの工数が多く、本人確認が完了するまでにある程度の時間が必要でした。

オンライン本人確認では、すべての確認工程がオンラインで進められるため、印刷代や郵送費といったコストが削減できる他、業務に取られていたリソースを別のコア業務に充てる余裕が生まれます。

個人情報を管理する上での安全性も確保

オンライン本人確認では、個人情報を管理する上でベンダーがセキュリティに配慮して管理するため、安全性も確保できます。情報を暗号化して保管しているなど、サイバー攻撃へのセキュリティ対策が十分なベンダーを選びましょう。

eKYCでの本人確認なら「ネクスウェイ本人確認サービス」

個人情報に関するデータの取り扱いやオンライン開示請求の本人確認にお悩みの方は、ぜひネクスウェイ本人確認サービスをご利用ください。

ネクスウェイ本人確認サービスでは、オプションとして「確認記録保管オプションサービス」を利用することが可能です。データをオンラインで一括して管理できて、紛失などのリスクを軽減できます。個人情報の保護において、セキュリティ面に不安を感じている方も安心してご利用いただけます。

また、個人情報保護法に精通したスタッフが、eKYC後の目視確認・書類突合を行うBPOサービスも提供しております。eKYCをワンストップでアウトソーシングしたいと考えている方は、ぜひネクスウェイ本人確認サービスをご利用ください。

まとめ

個人情報保護法とは、個人情報の有効活用の拡大に配慮しながらも、個人の権利や利益を守ることを目的とした法律です。個人情報を取り扱うすべての事業者に適用されるルールが定められています。

個人情報には、氏名や住所など個人を特定できる情報だけでなく、特定できないように加工を施した情報も含まれるため、あらゆる事業者が意識すべき法律と言えるでしょう。

ネット社会によって個人情報を簡単に提供・取得できるようになったからこそ、開示請求の件数は近年増加しており、特に今後はオンライン開示請求が増加する見込みです。オンライン開示請求に対応している事業者はまだ少ないものの、先を見据えて準備を進めておく必要があります。

個人情報のデータの取り扱いやオンライン開示請求の本人確認にお悩みの方は、ぜひネクスウェイ本人確認サービスをご利用ください。個人情報保護法などの各種法令に準拠したセキュリティで、安全かつスピーディに本人確認を実施できます。

→「ネクスウェイ本人確認サービス」の資料を見てみたい

ネクスウェイ／本人確認サービス編集部

金融・リユース・シェアエコ・不動産など230社以上の本人確認業務をご支援した経験をもとに、本人確認業務に関わる情報、eKYC化のポイント、業界ごとのユースケースなど価値あるコンテンツをお届けしていきます。ネクスウェイでは本人確認をトータルで支援するKYCクラウドサービスを提供しています。