個人情報関連ブログ

近年では多くの企業やサービスのウェブサイトにおいて「プライバシーポリシー」や「個人情報保護方針」といった、自社による個人情報の取扱い方法などについて記載されている文書が掲載されています。 このような状況から、「プライバシーポリシーは作成する義務があるのでは？」「プライバシーポリシーを作らないと何が罰則があるのでは？」と考えてしまうかもしれません。

保有する個人データを第三者に提供することができるのは、原則として予め本人の同意を得ている場合に限られます。 しかし、取得時点では第三者への提供を予定しておらず本人からの同意を得ていない場合や、第三者に提供する必要はあるが本人の同意を得ることが困難である場合というのも想定されます。 このような場合であっても、法では例外として本人の同意を得なくても第三者に個人データを提供することができる場合が定められています。

昨今では、ビジネスを進める上で様々な企業や団体が提供するクラウドサービスを利用することが当たり前になっていると言えます。 ただ、このようなクラウドサービスに個人データを送信する場合は、それが「個人データの提供」に該当するのかどうかを十分に検討する必要があります。 それは、「個人データの提供」に該当する場合は、個人情報保護法が規定する第三者提供のルールに沿って対応することが求められる可能性があるためです

個人情報を取り扱うにあたって、氏名など個人を識別することが出来る情報をハッシュ化していれば個人情報・個人データではないとして、自由に利用することができるのでしょうか？

個人情報保護法で定義されている個人情報に関する概念として、生存する個人に関する情報ではあるものの、個人情報や匿名加工情報、仮名加工情報ではない情報があります。 それが「個人関連情報」と呼ばれるもので、2022年（令和4年）4月1日から施行された改正個人情報保護法で定義されました（法2条7項）。 例えば、年齢や商品購入履歴、Cookie情報や位置情報などが該当します。

匿名加工情報と並んで、個人情報に対して一定の加工を施すことで利用の幅を広げることができる情報があります。それが「仮名加工情報」です。

個人情報や個人データについては、個人情報保護法によって様々な制限が設けられているため、これらを取得した事業者にとっては、せっかく取得したのに十分に活用できないということもあります。 そのため、一定の加工をすることにより本人を特定することができないように加工することで、利用の幅を広げるための規定が存在します。 その中の１つが「匿名加工情報」です

個人情報というだけでも個人情報保護法による取扱いルールがありますが、その個人情報の中でも、他人に知られた場合における本人への不利益が生じないよう、特に配慮する必要がある情報があります。 そのような個人情報を、法では「要配慮個人情報」と定義し（法2条3項）、通常の個人情報以上に様々な取扱いルールが定められています。

プライバシーポリシーを作成する場面に限らず、個人に関する情報を取り扱う上で避けて通ることができないのが、”個人情報”に関連する分類が多く、意外にわかりづらい点であるように感じています。 そこで、個人情報保護法で定義されている情報の分類のうち、一定の加工をすることで生成されるもの以外で主なものについてご紹介します。 この分類によって適用される法の規定が変わりますので、この記事で挙げる分類はしっかりと把握しておく必要があります。

取り扱っている個人データが漏えいした、または漏えいしたおそれのあることが発覚した場合には、どのような対応が求められるのでしょうか。 この点について、ガイドライン（個人情報の保護に関する法律についてのガイドライン（通則編））で、次の５つが挙げられています。

そもそもプライバシーポリシーとは、一般的に個人情報の取扱いに関する方針を記した文書ですので、プライバシーポリシーを作成する上でまず重要なことは「個人情報とは何か？」について知っておくことです。