Web事業部_クリエイティブ
Web事業部_クリエイティブ
2016.06.02
第3回
Web制作の『契約』と『法律』

Webで個人情報を扱うときに押さえておきたい3つのこと

ともぞう

こんにちは。ディレクターのともぞうです!
最近はキャンプにハマっています。

さて、見て見ぬふりできない! Web制作における『契約』と『法律』の第3弾です。

今回はWebサイトで個人情報を扱うときの注意点についてです。

サイト上で個人情報を取得し、扱う上でプライバシーポリシーページやSSL化することの必要性がでてきたことがあるのではないでしょうか。

それらがなぜ必要なのかをまとめてみました。

そもそも個人情報とは?

まずは個人情報が意味するものを確認してみましょう。

「個人情報」とは、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別できるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)」をいいます。
また、個人情報をデータベース化した場合、そのデータベースを構成する個人情報を、特に「個人データ」といい、そのうち、事業者が開示等の権限を有し6か月以上にわたって保有する個人情報を、特に「保有個人データ」といいます。
引用: http://www.ppc.go.jp/personal/general/

ざっくりとまとめると、生存している人物について特定できうる情報が個人情報と呼べそうです。
そして、その情報というのが以下になります。

  • 氏名
  • 性別
  • 生年月日、年齢
  • 本籍、住所
  • 住民票コード、個人番号(マイナンバー)
  • 固定電話の番号
  • 勤務場所
  • 職業
  • 学歴と職歴
  • 収入(月収、年収)
  • 家族
  • 本人および家族の写真
  • 指紋、静脈パターン、虹彩、DNAの塩基配列などの生体情報
  • メールアドレス(携帯電話、スマートフォン用も含む)
  • コンピュータネットワークのIPアドレス・リモートホスト・MACアドレス・HTTP cookie

引用元:https://ja.wikipedia.org/wiki/個人情報

実は個人情報保護に関する法律の第2条を見ても具体的に明文化されているわけではありません。

この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。

例えば、勤務場所だけでは個人情報の特定はできず、他の情報とあわせることで特定が可能になるため一概に上記の第2条では、個人情報が何かということを明確にだせないためだと思われます。
不安になった場合は、法務担当の方に尋ねるなどしておきましょう。

個人情報を扱う際の義務

個人情報がどういったものなのかがわかったところで、それを使用するときの義務を見ていきましょう。

まず、個人情報を事業活動に使用する者を「個人情報取扱業者」と呼びます。
そして、主な義務は以下になります。

  1. 利用目的の特定と利用目的による制限
  2. 適正な取得、取得に際しての利用目的の通知
  3. 正確性・最新性の確保
  4. 安全管理措置、従業員・委託先への監督
  5. 第三者提供の制限
  6. 保有個人データに関する事項の公表、保有個人データの本人開示、訂正、利用停止

引用元:http://j-net21.smrj.go.jp/well/law/column/6_4.html

この義務はWebに限らず適用されますのでしっかりと確認しましょう。

プライバシーポリシーとは?

つぎにプライバシーポリシーについてです。

プライバシーポリシーとは、取得した個人情報を “どう扱うか” を定めた規約のことです。
別の表現として”個人情報保護方針”と呼ぶこともあります。

LIGでもプライバシーポリシーのページを設け、取り扱いについて明文化しています。

プライバシーポリシーの必要性

実は法的な観点だと個人情報保護法では、プライバシーポリシーの公表を義務付けているわけではありません。
ただし信頼を担保するためにも、プライバシーポリシーの公表は推奨されています。

個人情報保護委員会が公表している「個人情報の保護に関する基本方針」を見ても、

事業者が行う措置の対外的明確化
事業者が個人情報保護を推進する上での考え方や方針(いわゆる、プライバシーポリシー、プライバシーステートメント等)を策定・公表することにより、個人情報を
目的外に利用しないことや苦情処理に適切に取り組むこと等を宣言するとともに、事業者が関係法令等を遵守し、
利用目的の通知・公表、開示等の個人情報の取扱いに関する諸手続について、
あらかじめ、対外的に分かりやすく説明することが、事業活動に対する社会の信頼を確保するために重要である。

”重要である。”とされているだけで”義務”とは記載されていません。

義務化される場合はあるのか?

義務ではないことがわかったものの本当に義務がないのか? と思われる方も多いのではと思います。
その通りで義務になる場合もあります。

それは、プライバシーマークを取得している場合です。
そのためプライバシーマークの認定を受けた事業者であればプライバシーポリシーの公表は義務化されますので気をつけましょう。

SSL/TLSとは

SSL(Secure Sockets Layer)/TLS(Transport Layer Security)といい、総じてSSL(エス・エス・エル)化と呼ばれることが多いです。
本記事でもSSL化と呼ばせていただきます。
SSL化はサイト上での通信を暗号化する技術で、適用されているページはURLの始まりが *https* になります。
アドレスバーが緑色になっているサイトを見た覚えがある人も多いかと思いますが、それがSSL化されている証です。

詳しくは過去に記事がありますのでそちらも確認してみてください。

本記事では個人情報を扱う上でのSSLの必要性にフォーカスをあてます。

なぜSSL/TLS対応するのか?

正直なところこれも義務ではありません。対応するために費用もかかります。
しかし先ほどの基本方針の言葉を借りれば、事業活動に対する社会の信頼を確保するために必要であるものと考えられます。
そのため、サイト上でお客さまの個人情報を取得するフォームを設置している場合は必ず対応するようにしましょう。

対応を施すことで通信が暗号化されるためお客さまの大切な個人情報を安全に運ぶことができます。
逆に対応を怠ってしまうと悪意ある第3者によるのぞき見や改ざんされてしまう危険性が高まってしまいます。

そのリスクを排除するためにもできるだけ対応を進めることをおすすめします。

誰でも簡単にハッカーになれる時代

のぞき見や改ざんというと凄腕のハッカーから攻撃されないと被害がでないのではと思われるかもしれません。
しかし特殊な機材やソフトウェアを利用することで比較的簡単に通信をのぞき見することが出来てしまいます。

参考:https://jp.globalsign.com/service/ssl/knowledge/always-on-ssl.html

暗号通信にすることで通信の情報から第3者へ流出・改ざんを防ぐことができます。
このように誰でもハッカーになろうと思えばなれてしまうのご時世なのです。

まとめ

事業活動目的のサイトであれば、お問い合わせフォームがないということは基本ないと思います。
そのため、個人情報保護に関する法律結果的に今回紹介した以下の対応がほぼ必須になってきます。

  • 個人情報を取り扱う義務の把握
  • プライバシーポリシーの公表
  • フォームページのSSL化

そして、それぞれが何故必要なのかというのを紹介させていただきました。
なんとなく設置するのではなく、意味を知ったうえでしっかりと対策していきましょう!