用語集
このページでは、個人情報保護の話題に関連し、よく使用されている語句について解説しています。知識の確認にお役立てください。
個人情報保護法関連
- 個人情報の保護に関する法律
- 個人情報
- 個人情報取扱事業者
- 認定個人情報保護団体
- 本人
- 個人データ
- 個人情報データベース等
- 保有個人データ
- 本人の知り得る状態
- 安全管理措置(技術的管理措置)
- 安全管理措置(人的管理措置)
- 安全管理措置(組織的管理措置)
- 安全管理措置(物理的管理措置)
- 生徒等
個人情報保護一般
- OECD8原則
- 公開の原則
- 個人参加の原則
- 安全保護の原則
- 収集制限の原則
- 責任の原則
- データ内容の原則
- 目的明確化の原則
- 利用制限の原則
- 第三者認証シール/マーク
- プライバシーマーク
- TRUSTe
- ISMS適合性評価制度
- プライバシーポリシー/プライバシーステートメント
- コンプライアンス・プログラム
- B2B
- B2C
- BS7799
- CIO
- CISO
- CPO
- ISO/IEC17799
- JIS Q15001
- PDCAサイクル
- PIN
- SSL
- クッキー
- ソーシャルエンジニアリング
- 機微(センシティブ)情報
個人情報保護法関連
- 個人情報の保護に関する法律
- 本人の意図しない個人情報の不正な流用や、個人情報を扱う事業者がずさんなデータ管理をしないように、一定数以上の個人情報を取り扱う事業者を対象に義務を課す法律のこと。2005年4月より全面施行されている。
- 個人情報
- 生存する個人に関する情報であってその情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの。他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものも含む。
- 個人情報取扱事業者
- 個人情報データベース等を事業の用に供している者。但し、過去6ヶ月以内のいずれかの日において個人情報データベース等を構成する個人の数が5千以下の事業者は除外される。また、国の機関や地方公共団体なども除外される。
- 認定個人情報保護団体
- 個人情報の適正な取扱いの確保を目的として、個人情報の取扱いに関する苦情の処理及び対象事業者への情報提供等を行う団体。申請に基づき、各分野ごとの主務大臣が認定する。
- 本人
- 個人情報によって識別される特定の個人のこと(個人情報保護法第2条第6項)。なお、本人が、未成年又は成年被後見人である場合にあっては、その法定代理人(保護者等)も「本人」に含まれる。
- 個人データ
- 個人情報保護法第2条第4項で規定する「個人情報データベース等を構成する個人情報」を言う。
例えば、電話等で対応したメモに含まれる生徒等に関する個人情報は、そのままでは直ちにはこれに該当しないが、このような情報を検索可能なように整理したものはこれに該当する。 - 個人情報データベース等
- 個人情報保護法第2条第1項及び同法施行令第1条で規定する「個人情報の集合物」であって、コンピュータによって検索処理できるようにしたもの及び手作業で検索処理できるようにしたものの双方をいう。
- 保有個人データ
- 個人データのうち、個人情報取扱事業者が、データの開示や内容の訂正・追加・削除、データの利用停止・消去・第三者提供の停止を行うことのできる権限をもっているもの。
- 本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む)
- 公表が継続的に行われている状態。実務上は、HPなどに継続的に掲載する、事務所や店舗などに掲示したり備え付けたりする、パンフレットなどを継続的に配布するなどの状態が該当する。
なお、「本人の知り得る状態」には、「本人の求めに応じて遅滞なく回答する場合を含む」こととされているので、本人からの問い合わせに対して遅滞なく回答する体制を整備することで対応することも可能とされる。 - 安全管理措置(技術的管理措置)
- 個人データへのアクセス管理の徹底、個人データを取り扱う情報システムのセキュリティ確保、個人データの移送・送信時の暗号化などを通じて、個人データの漏洩、滅失、毀損を防止すること。
- 安全管理措置(人的管理措置)
- 実際に個人データを取り扱うこととなる従業者等に対して、個人データの適切な管理を行うよう意識の啓発を図り、その取り扱いに関する教育・訓練を行うこと。
- 安全管理措置(組織的管理措置)
- (1)安全管理について誰がどのような責任と権限を持つかという組織体制を明確化し、(2)個人データ取り扱いの規定や手順書を整備・運用して、(3)その実施状況を確認しながら改善につなげていき、(4)万が一にも個人情報の漏洩などが発生した際の事後処理の体制を整えておくこと。
- 安全管理措置(物理的管理措置)
- 入退館(室)管理で個人情報の漏洩、滅失、毀損の可能性をできる限り現象させること、そして個人データを記録したコンピュータ端末や紙ファイルなどの媒体を盗難や破壊から守ること。
- 生徒等
- (1)文部科学省告示第161号第2第1号に規定する事業者が設置する学校において教育を受けている者、(2)同事業者が設置する学校において教育を受けようとする者、(3)過去において、同事業者が設置する学校において教育を受けた者及び受けようとした者。
個人情報保護一般
- OECD8原則(The OECD's Eight Principles)
- 1980年9月にOECD(経済協力開発機構)理事会で採択された「プライバシー保護と個人データの国際流通についてのOECD理事会勧告(通称“OECDガイドライン”)」に含まれる原則。加盟国に対する強制力はないが、日本の「個人情報の保護に関する法律」の土台となっている。プライバシーマーク、TRUSTeなどもこの原則に準拠している。8つの原則から構成される。
- 公開の原則
- 個人情報収集の方法などを公開し、個人情報の存在、利用目的、管理者などを明示すべきである、とする原則。
- 個人参加の原則
- 情報主体(本人)に対し、自己に関する情報の所在および内容を確認させ、または、異議申し立てを保証すべきである、とする原則。
- 安全保護の原則
- 個人情報は、合理的な安全保護措置により、紛失、破壊、使用、修正、開示などから保護されるべきである、とする原則。
- 収集制限の原則
- 個人情報は、適法・公正な手段により収集され、必要な場合には情報主体(本人)に通知または同意を得て収集されるべきである、とする原則。
- 責任の原則
- 個人情報の管理者は、(OECD8原則の)諸原則実施の責任を有する、とする原則。
- データ内容の原則
- 個人情報は、その内容が利用目的に沿ったものであり、かつ必要な範囲で正確・完全・最新なるものであるべきである、とする原則。
- 目的明確化の原則
- 個人情報の収集目的は明確にされ、その後の利用は、目的の達成に必要な範囲内に限定されるべきである、とする原則。
- 利用制限の原則
- 情報主体(本人)の同意がある場合、または法律の規定がある場合以外には利用目的以外の目的で個人情報を利用してはならない、とする原則。
- 第三者認証シール/マーク
- 第三者機関が、その認証基準を事業者が満たしていることを認めた場合に発行するシールやマーク。
プライバシーマーク制度のPマーク、TRUSTeプライバシー・シールプログラムのマーク、ISMS適合性評価制度のISMSマーク、などが知られている。 - プライバシーマーク
- 個人情報を、JIS Q15001「個人情報保護に関するコンプライアンス・プログラムの要求事項」に準拠して適切に取扱っている民間事業者に対しマークを付与する制度。
財団法人日本情報処理開発協会(JIPDEC)が運営。 - TRUSTe(トラストイー)
- 「インターネット利用者」と「事業者(Webサイト運営者)」との間に信頼関係を構築することで、インターネットの発展を目的として1997年アメリカで誕生した個人情報保護第三者認証プログラム。
現在世界26ヶ国で展開されており、個人情報保護第三者認証プログラムのグローバルスタンダードとして認知されている。日本ではNPO日本技術者連盟が認証を行いシールを発行する。 - ISMS適合性評価制度(Information Security Management System)
- 企業全体、または、組織の情報セキュリティマネジメントシステムが、「ISO/IEC17799」に準拠していることを認定する、財団法人日本情報処理開発協会(JIPDEC)の評価制度。基準を満たした事業者には、認定マークの使用が認められる。
- プライバシーポリシー/プライバシーステートメント
- 組織における個人情報の取扱いに関する指針を文書としてまとめたもの。「個人情報保護指針」と同義。「プライバシーに関する声明」などとも呼ばれる。
- コンプライアンス・プログラム
- 事業者が、自ら保有する個人情報を保護するための方針。組織、計画、実施、監査及び見直しを含むマネジメントシステム(JIS Q15001)。
- B2B(Business to Business)
- 企業対企業の取引形態。
- B2C(Business to Consumer)
- 企業対個人消費者の取引形態。
- BS7799(British Standard 7799)
- 情報セキュリティマネジメントシステムに関する英国規格。
2部構成であり、第1部は国際規格(ISO17799:2000「情報セキュリティ管理実施基準」)となり、第2部が英国規格(BS7799-2:2002「情報セキュリティ管理システム仕様及び利用の手引き」)となっている。日本ではBS7799-2を参考に「ISMS適合性評価制度」が運用されている。 - CIO(Chief Information Officer)
- 組織内において情報を統括する担当役員。
- CISO(Chief Information Security Officer)
- 組織内において情報、及び、情報セキュリティを統括する担当役員。
- CPO(Chief Privacy Officer)
- 組織内において個人情報保護対策を統括する担当役員
- ISO/IEC17799
- 英国規格の「BS7799-1」を元に、ISO化されたもの。10の管理分野及び管理目的・管理策から構成されており、情報セキュリティを管理する上でのガイドラインを示す。なお、日本語として翻訳され日本工業規格(JIS)化されたものがJIS X5080。
- JIS Q15001
- 正式名称は「個人情報保護に関するコンプライアンス・プログラムの要求事項」。「プライバシーマーク」制度の認証基準。
- PDCAサイクル(plan-do-check-act cycle)
- マネジメントサイクルの1つ。計画-実行-評価-改善のプロセスを順に実施し、最後の改善を次の計画に結び付け、ら品質の維持・向上や継続的な業務改善活動などを推進するマネジメント手法。ISO14000などのマネジメントシステムに取り入れられている。
- PIN(Personal Identification Number)
- ICカードや銀行のキャッシュカードなどに用いる本人確認のための識別番号。
- SSL(Secure Socket Layer)
- インターネット上で情報を暗号化して送受信するプロトコル(コンピュータ等の電子機器間で通信するための手順)で、現在インターネットで広く使われているWWWやFTPなどのデータを暗号化し、プライバシーに関わる情報やクレジットカード番号、企業秘密などを安全に送受信することができる技術。
- クッキー(Cookie)
- Webサイトの提供者が、訪問者のコンピュータにWebブラウザを通じて保存するデータファイルのこと。Cookieにはユーザに関する情報や最後にサイトを訪れた日時、そのサイトの訪問回数などを記録しておくことができる。ユーザの訪問傾向に応じたWebサイトのパーソナライズや、ログ解析などに使用される。
- ソーシャルエンジニアリング
- ソーシャルエンジニアリングとは、ネットワークへの不正侵入を目的に、IDやパスワードを正規の権限の管理者から物理的(詐欺的)な方法で盗み出すことをいう。
例えば、ある学校のネットワーク管理者に対し権限のある者であるかのように装い、電話などを用いてIDやパスワードを聞きだす行為がこれにあたる。 - 機微(センシティブ)情報
- 「社会的差別を受ける情報」(OECDガイドライン#19eにおける定義)。「政治的見解、信教(宗教、思想及び信条をいう。)、労働組合への加盟、人種及び民族、門地及び本籍地、保健医療及び性生活、並びに犯罪歴に関する情報」(「金融分野における個人情報の保護に関するガイドライン」における定義)。
- HOME>用語集