個人情報管理は管理対象とする「個人情報の範囲」の見極めから | KPMG | JP
close
Share with your friends

個人情報管理は管理対象とする「個人情報の範囲」の見極めから

個人情報管理は管理対象とする「個人情報の範囲」の見極めから

個人情報のグローバル対応 第6回 - 法令順守の観点から企業が第一に注意すべきは、個人情報データベース等の取り扱いだが、内在するデータの区分によって課せられる義務が異なる。また、要配慮個人情報と匿名加工情報の取扱いについても取扱いの検討が必要である。

関連するコンテンツ

個人情報保護法の対象

個人情報の管理について多くの企業で最初に認識されるのが「管理対象とすべき個人情報はどの範囲か」「個人情報とは何か」といった問題だ。個人情報とは「特定の個人を識別することができる情報」ではあるが、従業員が個人的に保有している名刺やはがきの一枚一枚までを企業が管理するのは現実的ではない。

日本の個人情報保護法では、個人情報が複数集められ、検索可能な状態に整理された一式を「個人情報データベース等」として、さらにこの「個人情報データベース等」を事業活動で利用している事業者を「個人情報取扱事業者」と定義している。同法令ではこの「個人情報取扱事業者」の責務に求められることが規定されている。法令順守の観点から企業が第一に注意すべきは、この「個人情報データベース等」の取り扱いだ。

個人情報データの区分

国内法における個人情報データベース等の中でも、対象となる個人から開示、訂正、追加、削除、利用停止などを求められた場合に、自社でそれに応じることのできる権限を有する個人データについては「保有個人データ」として区分定義されている。「保有個人データ」は、その他の個人情報データベースよりも多くの義務が課せられており、注意が必要だ。例えば、保有個人データは、対象となる個人からの開示等の請求や苦情の受付手段を定めて、本人が知り得る状態にしておかなければならない。企業は自社に複数存在する個人情報データベースの中で「保有個人データ」に該当するものを把握し、法令要件に対応していくことが必要だ。

改正個人情報保護法での区分

「要配慮個人情報」と「匿名加工情報」

改正個人情報保護法区分では、新たな区分として、「要配慮個人情報」と「匿名加工情報」の2つが定義された。要配慮個人情報は病歴や犯罪歴など本人に対する不当な差別・偏見などが生じないよう取り扱いに特に配慮を要する情報のことだ。この区分に該当する個人データは他の個人データとは異なる義務を課されるので、企業としてもその存在を正確に把握しておくことが必要になる。

匿名加工情報は、個人情報を加工して特定の個人を識別することができないようにしたデータだ。改正法ではこの匿名加工情報の取り扱いについても、個人データとは異なる規律の元で様々な義務が規定されている。自社における匿名加工情報の取り扱い状況は、法令施行前に棚卸しておくことが求められる。

執筆者

KPMGコンサルティング
ディレクター 大洞 健治郎

日経産業新聞 2016年11月8日掲載(一部加筆・修正しています)。この記事の掲載については、日本経済新聞社の許諾を得ています。無断での複写・転載は禁じます。

個人情報のグローバル対応

お問合せ

 

RFP(提案書依頼)

 

送信