個人情報は情報セキュリティの中の守るべきデータの中で重要な情報の一つとなります。

1.個人情報

以下の情報は個人情報となります。

• 生存する個人を特定できる情報
• 個人識別情報（指紋データ、免許書番号等）が含まれるもの

1.1 マイナンバー情報

個人識別符号で、マイナンバー法でさらに規制される個人情報。

1.2 要配慮個人情報（人種、病歴等）

個人情報の中で、通常よりさらに保護される。

2. 個人情報取扱事業者

個人情報データベース等を事業のために使っている事業者
但し、国の基幹や地方公共団体、独立行政法人等を除く者
※以前は５０００件未満は対象外でしたが、現在は扱い件数は関係なくなっています。

2.1 個人情報データベース等

特定の個人情報を容易に検索できるように体系的に構成したもの。

2.2 個人データ

個人情報データベース等を構成する情報

3.個人情報利用の基本ルール

3.1 利用の目的をできる限り特定する。

個人情報保護法　第１７条

3.2 本人の同意なく特定した利用目的を越えた利用をしない。

個人情報保護法　第１８条

3.3 不正な手段で個人情報を取得しない。

個人情報保護法　第３０条　第１項

3.4 本人の同意を得ずに要配慮個人情報を取得してはならない。

個人情報保護法　第２０条　第２項

3.5 個人情報を取得した利用目的を本人へ通知・公表しなければならない。

個人情報保護法　第２１条

3.6 正確かつ最新の内容に保ち、利用する必要がなくなったときは消去するように努めなければならない。

個人情報保護法　第２２条

3.7 安全管理措置を講じなければならない。

個人情報保護法　第２３条

安全管理装置とは以下を示します。

• 組織的安全管理措置　組織の整備
• 人的安全管理措置　従業員への教育
• 物理的安全管理措置　個人データを取り扱う区域の管理
• 技術的安全管理措置　アクセス制御

3.8 本人に同意なく第三者に提供してはならない。

個人情報保護法　第２７条
個人データを第三者に提供した場合は記録義務、提供を受ける場合には確認・記録義務が発生します。
あらかじめ本人に同意を得るオプトインが原則です。

個人関連情報取扱事業者が、「個人関連情報」を第三者に提供する場合において、提供先の第三者が当該個人関連情報を「個人データ」として取得することが想定される場合には、個人データの第三者提供に準じた規制が課せられています。

3.9 保有個人データに関する事項を公表しなければならない。

個人情報保護法　第３２条

3.10 本人の請求権 に対して、開示・訂正・利用停止等の対応が必要。

個人情報保護法　第３３条　第３４条　第３５条

3.11 不適正な利用の禁止。

個人情報保護法　第１９条

3.12 個人情報が漏洩した場合、個人情報保護委員会に報告し、本人に通知しなければならない。

個人情報保護法　第２６条

4. 個人情報に準ずる情報

4.1 個人関連情報

個人関連情報とは提供先の第三者で個人データと紐付けられると個人データになる情報です。
生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの」をいいます（個人情報保護法第２条第７項）。」

4.2 匿名加工情報

匿名加工情報とは個人が識別できないように、下記の処置を施した情報をいいます。

• 特定の個人を識別することができる記述等の削除
• 個人識別符号の削除
• 情報を相互に連結する符号の削除
• 特異な記述の削除

以下の義務が発生します。

• 復元できないように加工する
• 安全管理措置を施す
• 苦情の処理・適正な取り扱い措置と公表
• 匿名加工情報に含まれる個人に関する情報の項目を公表する。
• 第三者への提供に際し、インターネット等で匿名加工情報に含まれる個人情報の項目・提供方法を公表し、当該第三者にEメール等で提供する情報が匿名加工情報である旨を明示する。
• 自ら作成した匿名加工情報における、識別行為の禁止。

4.3 仮名加工情報

仮名加工情報とは他の情報と照合しない限り特定の個人を識別できない情報となります。
個人を識別するものを復元できないように加工されたものです。

委託先などを除き、第三者に提供できません。
特定された利用目的の達成に必要な範囲内のみとなります。

個人情報保護委員会ウェブサイト　個人情報の保護に関する法律についてのガイドライン（通則編）

https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/