個人情報漏洩はどんなに注意しても起こる可能性がある
官公庁や民間企業だけでなく、学校、町内会、自治会、同窓会等でも、氏名や連絡先といった個人情報を取り扱うことがあります。どの場面でも個人情報漏洩のリスクはあり、いかに細心の注意払っても、完全には排除できるものではありません。
今回のトヨタ自動車の事件も、原因は委託先がソースコードの一部を誤った作業ミスとのことです。ITの専門家ですらミスを起こす可能性があることからすれば、素人であればなおさら、「指先ひとつでダウン」ということも十分にありうるのです。
いざというときのルール「個人情報保護法」とは?
そこで、いざというときにどういった対応をとるべきなのか、知っておく必要があります。
個人情報の取り扱いに関するルールは、主に「個人情報保護法」で定められています。
個人情報保護法は、個人情報を取り扱うすべての事業者・組織を対象としています。
同法において、個人情報とは、文書、電磁的記録等を問わず、生存中の個人に関する情報で、以下をさします(個人情報保護法2条1項)。
・氏名、生年月日、住所、顔写真等によって特定の個人を識別できる情報
・他の情報と容易に照合でき、それにより特定の個人を識別できるもの
・「個人識別符号」が含まれるもの
「個人識別符号」とは、指紋認証データ、顔認証データ、旅券番号、運転免許証番号、旅券番号、住民票コード、基礎年金番号等をさします。
すなわち、個人の特定・識別に役立つものであれば、広く個人情報に含まれるということです。
そして、個人情報の「取得・利用」、「保管・管理」、「提供」、「開示請求等への対応」について、それぞれルールが定められています。
個人情報の「取得・利用」のルール(個人情報保護法17条~21条)
個人情報の利用目的は具体的に特定したうえ、HP等で公表するか、本人に知らせる必要があります。
また、取得する際は、違法・不当な行為を助長・誘発するおそれがある方法をとってはなりません。
さらに、「要配慮個人情報」を取得するときは、あらかじめ本人の同意を得る必要があります。「要配慮個人情報」は「センシティブ情報」ともいい、「思想信条・宗教」のほか、「病歴」「犯罪の前科」といった、差別や偏見を生じるおそれがある情報をさします(個人情報保護法施行令2条参照)。
取得した個人情報は、原則として利用目的の範囲で利用しなければならず、もしも目的の範囲外で利用する場合は、あらかじめ本人の同意を得なければなりません。