ITセキュリティ入門(IT初心者向け)-3:個人情報はどのように取り扱う?
個人情報はどのように取り扱う?
システムで個人情報を取り扱う場合は、様々な注意や考慮が必要です。
個人情報はその個人のプライバシーに関わる権利・利益を保護するために、適切に取り扱い、管理する必要があります。そして、個人情報保護法により、個人情報を取り扱う事業者が遵守すべき義務などが定められています。
まず、個人情報とは何かですが、生存する特定の個人を識別できる情報と定義されます。例えば、名字だけでは特定の個人を識別できませんが、氏名と住所や生年月日などの複数の情報が組み合わさることで、識別できるようになります。また、メールアドレスにはユーザ名や所属(ドメイン名)が記載されているので、これも個人情報に当たります。
また、改正された個人情報保護法では個人識別符号として、次のような情報も対象になりました。
- 身体的特徴をコンピュータで使うために変換した符号(例:バイオメトリクス認証で用いる静脈や指紋などの生体情報)
- 個人に割り当てられた文字・数字・記号などの符号(例:マイナンバー、パスポート番号)
これらの個人情報は、基本的に次のような点を注意して取り扱う必要があります。
- 個人情報を取得するときには、その使用目的を明確にする
- 取得した個人情報は、目的外の使用は行わない
- 個人情報を第三者に提供する場合は、本人の同意を得る
マイノート(これまでの私の体験・見聞から一言)
まずは、システムで取り扱うデータの中でどれが個人情報に相当するのかについて、関係者間で合意を取ることが大切です。通販システムなどで取得した個人のお客様の情報が、個人情報に当たることは明らかに誰でも認識をしていますが、法人顧客の担当者の情報なども個人情報として取り扱う必要があります。ところが、その顧客の営業担当者は得てしてその意識が薄かったりします。今は担当者レベルでも容易に顧客リストを作成して持ち歩くことが可能ですので、まずは取り扱いには注意が必要だという意識付けが必要でしょう。
また、昨年欧州連合(EU)が施行した「一般データ保護規則(General Data Protection Regulation:GDPR)」によって、対象は欧州のユーザですが、生体情報やマイナンバーといった情報だけでなく、IPアドレスやブラウザのクッキー情報のようなインターネットにおける情報まで個人情報として考慮すべき場合も出てきました。これらの規則は、まずはグーグルやフェイスブックのようなITジャイアント企業を意識していると思われますが、今後は一般企業にも影響が出てくるでしょう。ますます個人情報の保護については、一層の注意が必要になってきましたね。