INDEX


個人情報保護法の基本的な対応ポイント

保護法でいう個人情報の定義と具体的な例

個人情報保護法で取扱事業者が対処しなければならない事項

個人情報保護法が適用される個 人情報取 扱事業者の該当の有無の具体的判断対応について

個人情報保 護関連情報サイト

医療・介護・福祉分野の個人情報保護対応

個人情報保護法の改正






個人情報保護法の基本的な対応ポイント



法改正により、2017/5/30以降は、個人情報を扱うすべての事業者が法の適用対 象となる
これにより、個人情報について法に定める取り扱いを要することとなる

保護法の対応ポイントは次のとおりである




保護法でいう個人情報の定義と具体的な例

保護法でいう個人情報とは・・・

個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等
により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を
識別することができることとなるものを含む。)をいう。



注意―法改正により、2017/5/30以降は、個人情報の定義が一部変更されます。
    改正された定義を参照してください。


個人情報の定義―改正法のもの(2017/5/30施行)

個人情報保護法での規定・・・・・

(定義)
第2条
この法律において「個人情報」とは、生存する個人に関する情報であって、
次の各号のいずれかに該当するものをいう。

一 「当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは
電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては
認識することができない方式をいう。次項第二号において同じ。)で作られる
記録をいう。第十人条第二項において同じ。)に記載され、若しくは記録され、
又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)
をいう。以下同じ。)により特定の個人を識別することができるもの
(他の情報と容易に照合することができ、それにより特定の個人を識別することが
できることとなるものを含む。)

二 個人識別符号が含まれるもの

個人情報保護法施行令での既定・・・・・

(個人識別符号)

第一条  個人情報の保護に関する法律(以下「法」という。)第二条第二項の政令で定める文字、
          番号、記号その他の符号は、次に掲げるものとする。
一  次に掲げる身体の特徴のいずれかを電子計算機の用に供するために変換した文字、番号、
      記号その他の符号であって、特定の個人を識別するに足りるものとして個人情報保護委員会規則
      で定める基準に適合するもの

 イ 細胞から採取されたデオキシリボ核酸(別名DNA)を構成する塩基の配列
 ロ 顔の骨格及び皮膚の色並びに目、鼻、口その他の顔の部位の位置及び形状によって定まる容貌
 ハ 虹彩の表面の起伏により形成される線状の模様
 ニ 発声の際の声帯の振動、声門の開閉並びに声道の形状及びその変化
 ホ 歩行の際の姿勢及び両腕の動作、歩幅その他の歩行の態様
 ヘ 手のひら又は手の甲若しくは指の皮下の静脈の分岐及び端点によって定まるその静脈の形状
 ト 指紋又は掌紋
二  旅券法(昭和二十六年法律第二百六十七号)第六条第一項第一号の旅券の番号
三  国民年金法(昭和三十四年法律第百四十一号)第十四条に規定する基礎年金番号
四  道路交通法(昭和三十五年法律第百五号)第九十三条第一項第一号の免許証の番号
五  住民基本台帳法(昭和四十二年法律第八十一号)第七条第十三号に規定する住民票コード
六  行政手続における特定の個人を識別するための番号の利用等に関する法律(平成二十五年法律
      第二十七号)第二条第五項に規定する個人番号
七  次に掲げる証明書にその発行を受ける者ごとに異なるものとなるように記載された個人情報保護委員会
      規則で定める文字、番号、記号その他の符号
 イ 国民健康保険法(昭和三十三年法律第百九十二号)第九条第二項の被保険者証
 ロ 高齢者の医療の確保に関する法律(昭和五十七年法律第八十号)第五十四条第三項の被保険者証
 ハ 介護保険法(平成九年法律第百二十三号)第十二条第三項の被保険者証
八  その他前各号に準ずるものとして個人情報保護委員会規則で定める文字、番号、記号その他の符号

(要配慮個人情報)

第二条 法第二条第三項の政令で定める記述等は、次に掲げる事項のいずれかを内容とする記述等
      (本人の病歴又は犯罪の経歴に該当するものを除く。)とする。
一  身体障害、知的障害、精神障害(発達障害を含む。)その他の個人情報保護委員会規則で
      定める心身の機能の障害があること。
二  本人に対して医師その他医療に関連する職務に従事する者(次号において「医師等」という。)
      により行われた疾病の予防及び早期発見のための健康診断その他の検査(同号において
     「健康診断等」という。)の結果
三  健康診断等の結果に基づき、又は疾病、負傷その他の心身の変化を理由として、本人に対して
      医師等により心身の状態の改善のための指導又は診療若しくは調剤が行われたこと。
四  本人を被疑者又は被告人として、逮捕、捜索、差押え、勾留、公訴の提起その他の刑事事件
      に関する手続が行われたこと。
五  本人を少年法(昭和二十三年法律第百六十八号)第三条第一項に規定する少年又はその疑いの
      ある者として、調査、観護の措置、審判、保護処分その他の少年の保護事件に関する手続が
      行われたこと。


具体的には・・・・・

1.氏名、住所、生年月日

2.「個人識別符号」は個人情報に該当するが、「個人識別符号」を含む情報も全体が
  「個人情報」に該当する

 個人識別符号」には、以下の2種類があるが、具体的には政令で定められる―前記の政令参照

 (1)顔・指紋などをデジタル化した生体認識情報
 (2)個人毎に異なるよう定められた番号・文字などの符号で特定の個人を識別できるもの

国会で説明された個人情報に該当・非該当の例・・・・・

・運転免許証番号、旅券番号、基礎年金番号、保険証番号、マイナンバーは個人情報に該当する

・インターネットショッピングの個人購入データは、個人が特定できる情報を含むので個人情報に該当する

・単に機器に付番される端末IDやIPアドレスは個人情報には該当しない

・携帯電話番号、クレジットカード番号、メールアドレスおよびサービス提供のための
  会員IDについては、様々な契約形態・運用実態があるため、現時点では、
  一概に個人識別符号に該当するとはいえない―政令での規定や変更に注意

・飲食業の店舗別電話番号リストは、個人ではないため個人情報には該当しない


個人情報の範囲(定義)と保護法により事業者の対応が必要な事項
(関連条文)の関連・・・・・・・






要配慮個人情報とは・・・・・・




要配慮個人情報になると・・・・

取得で本人の同意が必要になる
オプトアウト手続きによる第三者提供が禁止される






個人情報保護法で取扱事業者が対処しなければならない事項・・・・・・・


1個人情報の利用目的を特定しておくこと

2個人情報は利用目的の範囲内で取り扱うこと

3個人情報は適正な方法で取得すること
 ―なお、要配慮個人情報を取得するには本人の同意が必要である

4個人情報を取得した場合、あらかじめ利用目的を公表していなければ、
 利用目的を個別に通知するか、公表しなければならない

5個人情報の取得が契約書や書面に記載されているものであるときは、
 あらかじめ本人に利用目的を通知する必要がある

 また、利用目的に変更があったら、本人に通知するか、もしくは、
 変更を公表する必要がある

6個人情報が「個人データ」である場合は、安全措置を講ずる義務がある
 安全措置には、組織的安全管理措置、人的安全管理措置、物理的安全管理措置
 及び、技術的安全管理措置がある

 具体的には次の各事項で事業者は対処が必要となる




7個人情報が「個人データ」である場合は、その正確性と安全性を確保するために、
 次のような対処が求められている

 データ内容の正確性を確保する
 従業者に必要・適切な監督をする
 委託先の適切な監督をする
 苦情について適切・迅速を対処をする

8個人データを第三者に提供するにはあらかじめ本人の同意が必要である
 ただし、適用除外等は次の場合である




9第三者から個人データを取得する場合は、提供記録を作成して一定期間保存することが義務付けられている
 第三者に提供した場合も同様である




10保有している個人データについての必要な対処事項―
 利用目的の通知、開示、苦情申し出への対処などに適切に対処することが必要である




(上記については政府の提供資料より転載)






個 人情報保護法が適用される個人情報取 扱事業者の
該当の有無の
具 体的判断対応について





2005年4月に施行された個人情報保護法について、その適用対象となる個人情報取扱事業者であるか否かの
具体的判断・対応方法は、なかなかわかりにくいものと考えられますし、また、自社/医療機関等 の事業で
直接的に収集・作成・保管管理している個人情報資料・データの合計件数が5000件を超えていないので、
取扱事業者には該当しないものと、安心しておられる方も多いと思われますので、下記に、該当の有無を
判断する具体的対応をご説明いたします。参考にしてください。

注意―2017/5/30以降は、法改正により5000の制限が撤廃されるので、すべて の個人情報の
    取扱企業や
団体等は、法が適用される個人情報取り扱い事業者となります。


なお、これについての、正確な判断基準等についてのご照会・確認は、担当官庁である内閣府の個人情報
保護委員会にしてください。/個人情報保護委員会

次の個人情報の件数の合計が5000件を超えると個人情報取扱事業者に該当します。
(また、保有期間は6ヶ月以上が必要です。なお、媒体については、紙、電子媒体など制約はありません。
件数の把握単位は、事業所・支店単位ではなく、会社・団体の全体ベースです。
全体で5000件を超えれば該当となります。)

注意―2017/5/30以降は、法改正により5000の制限が撤廃されるので、すべて の個人情報の
    取扱企業や
団体等は、法が適用される個人情報取り扱い事業者となります。


1 自社/医療機関等の業にかかり自社・自施設/委託先で収集・作成・管理している個人情報データ

2 社員・職員および会社・医療機関等自体が業務のために収集、保管管理している名刺及びこれから
作成した名簿等資料・データ(整理されているもの-五十音などの順番や会社別など、雑然と保管され
法則性のないものは該当しない 。また、社員等が退社する場合、業に使用している名刺の持ち出しは
できません。第三者提供に該当するためです。 これを行うには名刺本人の同意を得る必要があります。)

3 社員・職員等の人事・給与・福利厚生等にかかり保有している社員等にかかる個人情報
(現在就業している者分、退職者(法律で一定期間の情報の保存が定められている)分、応募書類(履歴書など)
も含まれます。)自社・自団体などの従業員にかかる個人情報については、これもカウント対象となります。
もちろん、派遣業を業としている場合は、その派遣社員の個人情報もカウント対象です。

4 業務に使用している市販・頒布の名簿・名鑑(個人が識別可能な項目が収載されているものー例えば、
氏名と会社・官庁名、職名で識別可能という判断になる) 医師会の名簿等もこれに該当します。収載されている
個人の件数をカウントします。患者さんのカルテの件数としては5000件に達しないから事業者に該当しないと
安心してはいけません。個人の識別可能な名簿・名鑑があり、業に使用していれば、これの件数を含めて
カウントするとあっというまに5000件を越えて、個人情報取扱事業者に該当することとなります。

また、厚生労働省の「医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン」
においては、5000件以下であってもガイドラインを遵守する努力を求めています。これは医療情報の
プライバシー性の高さを考慮したものと考えられます。

「4」については、対象に含まれると考えられておられる会社・医療機関等は少ないと思いますが、市販などの
紳士録や官庁の職員録、医師会名簿など個人名のある名鑑などは全て該当します。これは要注意です。
これらを診療部門のみならず、管理部門等で保有し業務に使用していれば、保有している個人情報の
カウント対象になります。従いまして、直接的に個人のユーザーなどを相手にしていない業でも、取引先の方の
名刺や、上記の名簿・名鑑を保有して業に用いていれば、取扱事業者に該当することとなります。
個人情報保護の解説書などで、市販などの他者の作成した名簿については、個人情報ではあるが、カウント
対象である個人データではないとしているものがありますが、所管の内閣府の見解は、市販等の名簿であってもそれを
業に用いていれば、カウント対象であるとしています。

これらに収載されている人数を会社等の全体でカウントして、御社等の業務で直接収集・保管管理されている
たとえばカルテなどの個人情報の件数に合算することになります。

これらの名鑑・名簿の一部でも、直接的に販売業務や庶務的事務に使用していても該当するものとなると
考えられます。なお、関連業界の会社名簿に社長名などの個人名が含まれていれば、この業界団体名簿・
業界名簿も該当です。

なお、件数のカウントにおいて、同一情報の重複カウントはしないこととされています。

なお、対象から除外するものとして、電話帳やカーナビ等のデータがあります。
ただし、これらに情報を追加したりすると対象になります。

医療機関・介護事業者が注意を要するのは、扱う個人情報が高度な秘密保護を適切とされることから、
前述のように5000以下の場合にあっても取扱事業者と同様の対応等をする旨 のガイドラインがあります。
「医療・介護関連事業者に おける個人情報の適切な取扱のためのガイドライン」

注意―法改正の施行により、2017/5/30以降は、改正されたガイドラインを参照し てください。

上記の具体的判断基準を適用して、個人情報取扱事業者に該当するのであれば、
同事業者に課せられる各種の義務に対応しておくことが必要となります。

1 個人情報の利用目的の特定とそれの公表
2 個人情報の適正な管理、利用及び第三者提供への適切な対応
3  個人情報にかかる本人の権利・関与についての対応
4  これに関連する苦情処理の対応 など


参考

保護法でいう個人情報とは・・・

個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等
により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を
識別することができることとなるものを含む。)をいう。


注意―法改正の施行により、2017/5/30以降は、個人情報の定義が変更されます。
    改正された定義を参照してください。 





個 人情報保護関連情報サイト



個人情報保護委員会
委員会について、個人情報保護法について、ガイドライン、よくある質問、マイナンバー
について等

我 が国における個人情報の保護に関する現行制度等の概要/全体像

民間―個人情報保護法
行政機関―行政機関等個人情報保護法
独立行政法人等―独立行政法人等個人情報保護法


個人情報保護法関連・・・・・民間部門

法令
個人情報の保護に関する法律/条文
個人情報の保護に関する法律施行令

個人情報の保護に関する法律/経緯、法律等/官邸サイト

法令・ガイドライン等

法・制度の解説

個人情報保護法について/解説、FAQ - 個人情報保護委員会

個人情報保護法の解説/官邸サイト

個人情報保護法の解説/法制の体系、保護の基本方針、対象、取扱事業者の義務など
 /個人情報保護法対策室サイ ト


個人情報保護の相談窓口

各種お問合せ窓口等 - 個人情報保護委員会
地方公共団体の苦情相談窓口 - 個人情報保護委員会
個人情報に関する苦情相談窓口_国民生活センター

ガイドライン
個 人情報の保護に関するガイドラインについて/省庁別一覧

各省庁ガイドラインの例
電 気通信事業における個人情報保護に関するガイドライン/総務省
個 人情報の保護に関する法律についての経済産業分野を対象としたガイドライン
 /経済産業省
厚 生労働分野における個人情報の適切な取扱いのためのガイドライン等/厚生労働省
金融分野における個人情報保護ガ イドライン/金融庁
財 務省所管分野における事業者が講ずべき個人情報の保護に関する指針/財務省
農 林水産分野における個人情報保護に関するガ イドライン/農林水産省

個人情報保護対策室/法の解説、保護対策
個人情報保護対策ポータル/基礎知識、対策、中小企業向け

医療・介護・福祉分野の個人情報保護対応

AllAbout個人情報保護と安全対策
AllAboput/ 企業のIT導入 ウチも個人情報取扱事業者?
個人情報ドットコム/ウェッブ マスター用個人情報保護法解説


日本ダイレクトメール協会個人情報保護ガイドラ イン

会社の指針例
東芝 個人情報保護指針
パイオニア梶@個人情報保護指針
日経BP社 個人情報保護指針
明治安田生命 個人情 報保護指針
朝日新聞社 個人情報保護方針
日本光電工業褐ツ人 情報保護指針


行政機関等個人情報保護法関連・・・・・・行政機関
独立行政法人等個人情報保護法関連・・・・・・独立行政法人等

行政 機関・独立行政法人等の個人情報の保護/解説・資料など - 総務省
行 政機関・独立行政法人等の個人情報の保護 法令と基本文書- 総務省

行政機関の保有する個人情 報の保護に関する法律
行政機関の保有する個人情 報の保護に関する法律施行令

独立行政法人等の保有する 個人情報の保護に関する法律
独立行政法人等の保有する 個人情報の保護に関する法律施行令




医療・介護・福祉分野の個人情報保護対応



法改正の施行により、2017/5/30以降は、すべての医療機関、介護、

福祉関連施設・事業所が保護法により対処を必要する個人情報取扱事業者

となります。

注意―法改正の施行により、2017/5/30以降は、改正されたガイドラインを参照してくださ い。


厚生 労働分野における個人情報の適切な取扱いのためのガイドライン等/厚生労働省/全体リスト・資料/改正事項もわかる

個別ガイドライン

医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン/厚生労働省 /PDF
「医 療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン」に関するQ&A(事例集)

健 康保険組合等における個人情報の適切な取扱いのためのガイドライン/厚生労働省/PDF
国 民健康保険組合における個人情報の適切な取扱いのためのガイドライン/厚生労働省/PDF
国 民健康保険団体連合会等における個人情報の適切な取扱いのためのガイドライン/厚生労働省/PDF

福 祉関係事業者における個人情報の適正な取扱いのためのガイドライン/厚生労働省/PDF

医療情報システムの安全管 理に関するガイドライン/厚生労働省/PDF


医 療分野における個人情報保護について/厚生労働省

診療情 報の提供に関する指針/厚生労働省

医 療分野における個人情報の保護と開示/日本医師会

保健医療分野のプライバシーマーク付与認定制度/MEDIS

個 人情報保護規程の参考例/健康福祉分野における個人情報取扱事業者用/大阪府

保護方針と周知の例

個人情報の取り扱いに関する注意 事項のお知らせ/全国保険医団体連合会
国立病院機構 名古屋医療センター > 個人情報保護について
国立成育医療センターにおける個人情報保 護の方針について
国立がんセンター中央病院 における個人情報の利用目的について
愛知県がんセ ンターにおける個人情報の保護に関する基本方針
個人情報保護方針/ 東邦大学医療センター
筑 波技術技術大学保健科学部附属東西医学統合医療センターでの個人情報の
  利用目的と基本指針





個人 情報保護法の改正






個人情報保護法が改正され、これが2017/5/30から施行される

最も大きな変更は、これまで、個人情報の件数の合計が5000件を超えると個人情報 取扱事業者に該当するものと
されていたが、5000の制限が撤廃されて、個人情報を扱うすべての企業や団体等が取扱事業者とな ることとなった
点である

改正の概要と新旧の比較は次のとおりである

法改正のポイント・・・・・・・・・・・・・





新旧比較・・・・・・・・・・・・・・・・・・


個人情報の定義が変更・・・・・

次が追加された

1.特定の個人の身体の一部の特徴で電子計算機用に変換された符合
2.対象者ごとに異なるものとなるように役務の利用、商品の購入又は書類に付される符合



本人同意等・・・・

要配慮個人情報を取得する場合本人の同意が必要となった

使用後の個人データの消去義務が明記された



第三者提供・・・・・・・・・・・・

第三者提供に個人情報保護委員会への届け出が明記された

個人情報保護委員会は届け出内容を公表することとされた

個人データの外国の第三者への提供が可能となった―委員会が規則に定める基準に適合する
第三者であることが必要

第三者提供での記録の作成と保存が明記された



改正内容の詳細・・・・・・・・・・・・・・・・

詳細については、次の3資料を参照されたい

個人情報保護法の改正概要/内閣官房IT総合戦略室/PDF


個人情報取扱業者のみなさん、新たに事業者となるみなさんへ
個人情報の取り扱いのルールが変更されます/経済産業
/PDF

個人情報の利活用と保護に関するハンドブック(個人情報保護委員会)/PDF


対応についての参考情報・・・・・・・・・・

改 正個人情報保護法のポイントと企業が対応すべき事項1

改 正個人情報保護法のポイントと企業が対応すべき事項2

改正個人情報保護法でオプ トアウトの手続はどう変わったか

改 正個人情報保護法が2017年5月30日に施行。「匿名加工情報」で小売業のデジマケが新たな時代へ

企業が知っておきたい改正個人情 報保護法のポイントとは?





マ イナンバー関連は・・・・・









TOP




 ホームページへ



Rev/2012/2/19