本文へスキップ
スキルアップカレッジ

個人情報とデータ保護——改正個情法と日常業務の落とし穴

レッスン3:個人情報とデータ保護——改正個情法と日常業務の落とし穴

このレッスンで学ぶこと

  • 個人情報の定義と「要配慮個人情報」「個人関連情報」の違いを理解する
  • 個人情報保護法の主要な義務(取得・利用・第三者提供・漏えい対応)を把握する
  • 日常業務での個人情報の落とし穴を具体例で押さえる
  • Cookie・生成AI時代の新しい論点を整理する

レッスン2でハラスメント防止を扱いました。本レッスンでは、業務で必ず触れる「個人情報・データ保護」を扱います。個人情報保護法は2003年制定後、複数回の改正が重ねられ、現在のビジネスパーソンに最も身近なコンプライアンス領域の1つです。条文の細部は法務に任せるとしても、「何が個人情報か」「何をしてはいけないか」の基本は、すべてのビジネスパーソンに必要な知識です。

個人情報とは何か

個人情報の定義は、個人情報保護法(個情法)に明示されています。

個人情報の定義(第2条第1項)

「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの」または「個人識別符号(マイナンバー、運転免許証番号、パスポート番号、指紋データなど)が含まれるもの」を指します。

具体例

個人情報に該当するもの:

  • 氏名・住所・電話番号・メールアドレス(単独でも組み合わせでも)
  • 顔写真・防犯カメラ映像(個人を識別できるもの)
  • 給与・成績・評価情報
  • 病歴・障害情報(さらに「要配慮個人情報」として強い保護)
  • マイナンバー・運転免許証番号
  • メールアドレス(職場のもので、氏名や所属がわかるもの)

個人情報に該当しないもの:

  • 法人の情報(社名・代表電話番号など)
  • 統計データ(特定個人が識別できない集計値)
  • 匿名加工した情報(厳密な要件あり)

💡 ポイント 「個人情報」と聞くと、住民票や戸籍を思い浮かべがちですが、日常業務で扱う氏名・連絡先・顔写真もすべて個人情報です。名刺、メール、議事録、顧客リスト、社員データ——日常業務のあらゆる場面に個人情報が含まれています。

要配慮個人情報と個人関連情報

個人情報のうち、特に取り扱いに注意すべきカテゴリがあります。

要配慮個人情報(第2条第3項)

不当な差別・偏見・不利益を防ぐため、特に配慮を要する情報。

具体例:

  • 人種・信条・社会的身分
  • 病歴・身体障害・精神障害・知的障害
  • 犯罪歴・犯罪被害歴
  • 健康診断結果

要配慮個人情報は、取得時に本人の同意が必須です(通常の個人情報は利用目的の特定・通知で済む場合がありますが、要配慮は厳格)。

個人関連情報(2022年改正で新設)

個人情報には該当しないが、他の情報と組み合わせると個人を識別できる情報。

具体例:

  • Cookieに紐づいた閲覧履歴・購買履歴
  • IPアドレス・端末識別子
  • 位置情報

個人関連情報は、第三者に提供する際に「提供先で個人情報になることが想定される場合」、本人同意が必要になりました。Cookie同意バナーが普及した背景の1つは、この改正です。

📝 補足 2022年4月施行の改正個人情報保護法は、漏えい時の報告義務化、個人の権利強化、個人関連情報の新設、罰則強化など、多くの大型改正を含みました。さらに2024〜2025年に新たな見直しが議論されています。法令の最新動向は個人情報保護委員会の公式サイトで継続的に確認してください。

個人情報保護法の主要義務

事業者が個人情報を扱うときに守るべき義務を、4つに整理します。

義務1:取得・利用目的の特定と通知

個人情報を取得する際は、利用目的をできるだけ具体的に特定し、本人に通知(または公表)する必要があります。

NGの例:「事業活動全般のため」(漠然すぎる) OKの例:「商品の発送、アフターサポート、新商品のご案内のため」

利用目的の範囲を超えて利用するときは、原則として本人同意が必要です。

義務2:適正な管理

取得した個人情報は、漏えい・改ざん・滅失を防ぐための安全管理措置を講じる必要があります。

  • 組織的安全管理措置:責任者の設置、規程整備
  • 人的安全管理措置:従業員教育、誓約書取得
  • 物理的安全管理措置:施錠、機器の管理
  • 技術的安全管理措置:アクセス制御、暗号化、ログ管理

義務3:第三者提供の制限

個人情報を第三者に提供するときは、原則として本人の同意が必要です。例外として、法令に基づく場合(裁判所からの命令、捜査関係事項照会など)、人の生命・身体・財産の保護に必要な場合などがあります。

外国にある第三者への提供は、より厳しい同意要件があります。

義務4:漏えい時の報告義務(2022年改正で強化)

個人データの漏えい等が発生した場合、一定の要件を満たすときは、

  • 個人情報保護委員会への報告
  • 本人への通知

が義務化されました。要件は概ね次のとおりです。

  • 要配慮個人情報が含まれる漏えい
  • 財産的被害のおそれのある漏えい
  • 不正の目的による漏えい(サイバー攻撃など)
  • 1,000人を超える漏えい

具体的な手続き・期限は事案ごとに異なるので、漏えいの疑いが生じたら直ちに法務・情報セキュリティ担当者に相談するのが基本です。

⚠️ 注意 漏えいが起きたとき、現場の判断で「大ごとにしないように」と社内に留めようとするのは厳禁です。報告義務違反は罰則の対象になり、後から発覚した場合の打撃は、最初に正しく報告した場合より圧倒的に大きくなります。「迷ったら報告」が基本姿勢です。

日常業務の落とし穴

法律の条文を覚えるよりも、日常業務でやりがちな失敗を知っておくほうが実用的です。代表的な落とし穴を整理します。

落とし穴1:CCとBCCの取り違え

複数の顧客にメールを送るとき、CCに全員のアドレスを入れてしまうと、全員のメールアドレスが他の全員に見えてしまいます。これは個人情報の漏えいです。

対策:複数顧客への一斉送信は必ずBCCを使う。または、メール配信ツールを使う。

落とし穴2:USBメモリ・紙資料の紛失

社外で個人情報を扱うと、USBメモリの紛失、書類のコピー忘れ、電車・タクシーでのカバン置き忘れなど、物理的な事故が起きます。

対策:個人情報の社外持ち出しを原則禁止または承認制にする。暗号化・パスワード保護を徹底する。

落とし穴3:退職者のアクセス権削除漏れ

退職者のアカウント削除を忘れると、退職後も社内システムにアクセスできてしまいます。これは漏えいの温床です。

対策:退職時のチェックリストを整備し、人事と情報システムが連携して権限削除を即時に行う。

落とし穴4:「これくらい大丈夫」の積み重ね

  • 「同僚に1件だけ顧客リストを共有」
  • 「社内チャットに顧客名で発言」
  • 「個人のスマホで顧客の写真を撮影」
  • 「カフェで業務用PCを開く」

これら1つひとつは小さく見えますが、漏えい事故の典型的な発生パターンです。「これくらい大丈夫」が積み重なると、いつか必ず事故が起きます。

🔰 初学者の方へ 個人情報の取り扱いで迷ったら、「もし新聞の見出しになったら恥ずかしくない行動か」を自問してください。「会社で部下に顧客リストをUSBで渡した」「カフェで顧客資料を広げていた」——どれも、事故が起きて公表されたら社会的な批判を浴びるレベルの行動です。

Cookie・トラッキングの論点

Webサイトの運営では、Cookieとトラッキング技術が個人情報保護の重要論点になっています。

Cookieの基本

Cookieは、Webサイトがブラウザに保存する小さなデータです。ログイン状態の保持、買い物カゴの維持、行動履歴の追跡など、多様な用途があります。

Cookie自体は個人情報には該当しませんが、「個人関連情報」として扱われる場合があり、第三者提供に同意が必要なケースがあります。

Cookie同意バナー

ヨーロッパのGDPR(一般データ保護規則)、日本の改正個情法を受けて、多くのサイトがCookie同意バナーを実装しています。「すべて受け入れる」「必要なもののみ」などの選択肢を提示する形が一般的です。

実装の基本:

  • ユーザーが同意するまでトラッキング系Cookieを発火させない
  • 「拒否」も同じ手間でできるようにする
  • 同意状況をログとして残す

ターゲティング広告

ユーザーの閲覧履歴に基づいて広告を配信する仕組み。Cookieや個人関連情報を活用するため、同意取得の論点が複雑になっています。プライバシーへの懸念から、Googleは2024年以降サードパーティCookieの段階的廃止を進めており、業界全体が大きな転換期にあります。

📝 補足 Cookie・トラッキングの論点は、技術的にも法的にも変化が速い領域です。Web担当者の方は、改正個情法の最新情報、各国のプライバシー規制(GDPR、CCPA等)、Googleなどプラットフォームの方針変更を継続的に追う必要があります。

生成AI時代の新しい論点

2022年末のChatGPT登場以降、生成AIの利用が広がる中で、個人情報・プライバシーの新たな論点が出てきました。

生成AIに個人情報を入力するリスク

業務効率化のため、生成AIに社内文書・顧客データ・メール文面などを入力するケースが増えています。リスクは2点あります。

  1. 学習データに使われる可能性:入力した内容がAIの学習に使われ、後で他のユーザーへの応答に出てしまう(サービスの設定による)
  2. プロバイダー側での保管・閲覧:AIサービスの提供者側で入力データが保管・閲覧される可能性

対策:

  • 業務利用は法人向けプラン(法人契約版)を使う
  • 個人情報・機密情報を入力する場合のルールを社内で整備する
  • 「学習に使わない」設定が可能なサービスを選ぶ

AIに個人情報を生成させるリスク

生成AIが、実在しない個人情報を「もっともらしく」生成することがあります(ハルシネーション)。実在の人物に対して、誤った経歴・発言・行為を「事実」のように出力するリスクがあります。

対策:

  • AIが生成した個人に関する記述は、人間が必ず確認・検証する
  • 名指しの情報を生成AIから引用しない
  • AI生成の文章を業務に使う際は、自分で検証してから公開する

⚠️ 注意 「無料の生成AIサービスに業務データを入力した」「自分のメールを生成AIに要約させた」——これは多くの会社で禁止または注意喚起がされています。所属する組織のAI利用ルールを必ず確認してください。

講師の現場メモ:「USB1本」が起こした半年がかりの対応

私(三上)が法務部時代、ある支店から「顧客名簿の入ったUSBメモリを電車に置き忘れた」という連絡が入りました。深夜のことで、すぐ社内対応チームを招集しました。

USBメモリの内容は、約2万件の顧客氏名・住所・取引履歴。要配慮個人情報は含まれていませんが、財産的被害のおそれがある情報だったため、個人情報保護委員会への報告と、全顧客への通知が必要でした。

対応に要した期間は、約半年。

  • 初期対応(事実調査、内部報告、関係者ヒアリング):1か月
  • 個人情報保護委員会への報告書作成・追加質問対応:1.5か月
  • 全顧客への通知文作成・印刷・郵送・問い合わせ対応:1か月
  • 再発防止策の策定・社内展開・規程改定:2か月
  • 報道対応・取引先への説明・株主対応:継続的

直接的な金銭的損失(通知費・問い合わせ対応の人件費・コンサル費)だけで、数千万円規模になりました。それに加えて、信用毀損による取引縮小、関係部門の業務停止による機会損失を含めると、被害額は数億円相当でした。

しかも、USBメモリは結局見つからず、悪用された形跡はありませんでした。「事故は起きたが何も悪用されなかった」場合でも、これだけのコストが発生するのです。

私が新人時代に研修で「個人情報は厳重に」と言われていたとき、正直、ピンと来ていませんでした。この事案を担当してから、私の中で「USB1本の重さ」がまったく違うものになりました。今では、ハラスメントと並んで、私が研修で最も時間をかけて伝えるテーマの1つです。

まとめ

このレッスンでは、以下のことを学びました。

  • 個人情報は「特定の個人を識別できる情報」。日常業務の名刺・メール・議事録もすべて含まれる
  • 要配慮個人情報(病歴・人種・犯罪歴など)は取得時に本人同意が必須
  • 個人関連情報(Cookie・閲覧履歴)は第三者提供で本人同意が必要なケースがある
  • 主要義務は「目的特定・通知」「適正管理」「第三者提供制限」「漏えい時の報告義務」
  • 日常業務の落とし穴は CC/BCC・USB紛失・退職者アクセス権・「これくらい大丈夫」の積み重ね
  • Cookie同意は改正個情法・GDPR等を受けたグローバルな潮流
  • 生成AI利用では「学習データへの取り込み」「ハルシネーションによる誤情報生成」に注意

次のレッスンでは、ビジネスパーソンが取引や交渉で出会う「贈収賄・利益相反接待」を扱います。明確に違反でない「グレーゾーン」を判断するための軸を整理します。

確認クイズ

このレッスンの理解度をチェックしましょう。