個人情報保護法とは?企業の義務・対策をわかりやすく解説
IT・情報セキュリティ
目次
個人情報保護法は、企業や団体、国の行政機関等が守るべき、個人情報の適切な取扱い・活用に関するルールを定めた法律です。民間事業者のほか、国の行政機関、独立行政法人、地方公共団体なども適用対象に含まれます。
民間事業者が守るべきルールは、「取得・利用」「保管・管理」「第三者提供」「開示請求等への対応」の4つに大別されます。違反すると行政処分や刑事罰を課されたり、損害賠償請求を受けるリスクがあるほか、個人情報に関するコンプライアンスが不適切であるとしてレピュテーション毀損につながるリスクもあります。民間事業者は、個人情報保護法をはじめとする法規制を正しく理解し、社内体制整備などの義務を果たす必要があります。
本記事では、民間事業者に関するルールを中心にご紹介します。
個人情報保護法とは
概要
個人情報保護法(正式名称:個人情報の保護に関する法律)は、個人情報の適切な取扱い・活用について定めた法律で、2003(平成15)年5月に制定され、2005(平成17)年4月1日から全面施行となりました。
個人情報保護法の主な目的は、個人情報の有用性に配慮しながら、個人の権利や利益を守ることです。
個人情報保護法を所管する行政機関は、個人情報保護委員会です。同委員会は委員長1名と委員8名の計9名で構成されており、個人情報保護に関する基本方針の策定・推進、監視・監督などを行っています 1。
個人情報保護委員会の任務
個人情報保護法の適用範囲
(1)適用対象
個人情報保護法は、すべての民間事業者に適用されます。このほか、国の行政機関、独立行政法人、地方公共団体なども適用対象に含まれます。
なお、2017(平成29)年5月30日までは、取り扱う個人情報の数が5,000人分以下の事業者には適用されませんでしたが、現在はそのような数による区別や例外はありません。
(2)適用除外
一定の場合には、個人情報保護法の一部または全部の適用が除外されます。主な適用除外は以下のとおりです(57条1項)。
- 報道機関が報道の用に供する目的
- 著述を業として行う者が著述の用に供する目的
- 宗教団体が宗教活動の用に供する目的
- 政治団体が政治活動の用に供する目的
これらの適用除外は、憲法で保障された表現の自由、信教の自由、政治活動の自由に関わる活動を保護するために設けられています 2。
「個人情報」とは
そもそも、個人情報とは何でしょうか。
個人情報保護法において、個人情報とは、生存する個人に関する情報であって、氏名、生年月日、住所、顔写真などにより特定の個人を識別できるものをいいます。これには、他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものも含まれます(2条1項)。
また、番号、記号、符号などで、その情報単体から特定の個人を識別できる情報で、政令・規則で定められたものを「個人識別符号」といい、個人識別符号が含まれる情報は個人情報となります(2条2項)。
このほか、個人情報保護法では、「要配慮個人情報」「仮名加工情報」「個人情報データベース等」「個人データ」「保有個人データ」などの用語も用いられており、その位置付けは、おおむね下図のように整理できます。
個人情報保護法における各種データのイメージ
個人情報保護法が定める企業の義務
個人情報保護法は、個人情報を取り扱う事業者(個人情報取扱事業者)が守るべきルールを定めています。具体的には、以下のとおり「取得・利用」「保管・管理」「第三者提供」「開示請求等への対応」という4つの場面に関わるルールです。
個人情報取扱事業者とは、個人情報データベース等を事業の用に供している者(ただし、国の機関、地方公共団体、独立行政法人等、地方独立行政法人を除く)を指します(16条2項)3。
| 1. 取得・利用 |
|
| 2. 保管・管理 |
|
| 3. 第三者提供 |
|
| 4. 開示請求等への対応 |
|
出所:個人情報保護委員会「はじめての個人情報保護法〜シンプルレッスン〜」10頁
上記1〜4について、それぞれ詳しく説明します。
個人情報を取得・利用する場合
個人情報を偽りその他不正の手段で取得することは禁止されています(20条1項)。個人情報を取得する際は、利用目的をできる限り特定しなければならず、その利用目的を事前にホームページ等により公表するか、取得時に速やかに本人に通知・公表する必要があります(17条1項、21条1項)。
個人情報は、違法または不当な行為を助長し、または誘発するおそれがある方法により利用してはなりません(19条)。取得した個人情報は、特定した利用目的の範囲内でのみ利用できます。特定した利用目的の範囲外のことに利用する場合は、原則としてあらかじめ本人の同意を得なければなりません(18条1項)。
個人データを保管・管理する場合
個人情報取扱事業者は、個人データの安全管理のため、必要かつ適切な措置を講じなければなりません(23条)。また、従業者や委託先に対しても、個人データの安全管理が図られるよう、必要かつ適切な監督を行わなければなりません(24条、25条)。
個人データの漏えい・滅失・毀損が発生し、個人の権利利益を害するおそれが大きい場合は、個人情報保護委員会への報告および本人通知をしなければなりません(26条)。このほか、個人データの漏えい等が発覚した場合に個人情報取扱事業者が講ずべき措置として、①事業者内部における報告および被害の拡大防止、②事実関係の調査および原因究明、③影響範囲の特定、④再発防止策の検討・実施が、個人情報保護法ガイドライン(通則編)4 において挙げられています(ガイドライン3−5−2)。
個人データを第三者提供する場合
個人情報取扱事業者が個人データを第三者に提供する場合、原則として本人の同意を事前に得る必要があります。ただし、次のような場合は例外的に、本人の同意が不要になります(27条1項・2項)。
- 法令に基づく場合(警察、裁判所、税務署等からの照会)
- 人の生命・身体・財産の保護に必要で本人の同意取得が困難な場合
- 公衆衛生・児童の健全育成に必要で本人の同意取得が困難な場合
- 学術研究目的での提供・利用
- オプトアウト
- 委託・事業承継・共同利用 など
なお、外国にある第三者に個人データを提供する場合は、次の①〜③のいずれかを満たす必要があります(28条)。
- あらかじめ本人の同意を得る
- 外国にある第三者が適切な体制を整備している
- 外国にある第三者が個人情報保護委員会が認めた国・地域に所在している
個人データの第三者提供をする場合、第三者提供を受ける場合は、一定事項を確認・記録する必要があります(29条、30条)。記録の保存期間は原則3年です。
本人から保有個人データの開示請求等を求められた場合
個人情報取扱事業者は、本人から保有個人データの開示・訂正・削除・利用停止・消去・第三者提供の停止等の請求があった場合は、原則として対応しなければなりません(33条〜35条)。また、個人情報の取扱いに関する苦情等には、適切かつ迅速に対応するよう努める必要があります(40条)。
以下の情報については、ウェブサイトで公表するなど本人が知り得る状況にしておく、あるいは、問い合わせに対して遅滞なく応えられるようにしておく必要があります。
- 個人情報取扱事業者の氏名または名称、住所
- すべての保有個人データの利用目的
- 保有個人データの利用目的の通知の求めまたは開示などの請求手続
- 保有個人データの安全管理のために講じた措置
- 保有個人データの取扱いに関する苦情の申出先
個人情報保護法に違反した場合の罰則とリスク
行政処分、刑事罰
(1)罰則
個人情報保護法に違反する、または違反するおそれがある場合、個人情報保護委員会は、個人情報取扱事業者等に対して、報告を求めたり立入検査を行い(146条)、実態に応じて指導・助言や勧告・命令をすることができます(147条、148条)。
個人情報保護委員会からの報告徴収・立入検査に応じなかった場合や、虚偽の報告をした場合等には、刑事罰が科される可能性があります(182条)。また、個人情報保護委員会の命令に違反した場合には、同委員会によりその旨が公表され(148条4項)、さらに刑事罰が科される可能性があります(178条)。
法人の代表者や従業員等が違反行為を行った場合、行為者だけではなくその法人にも罰金刑が科されます(184条)。この両罰規定が適用されると、法人には1億円以下の罰金が科される可能性があります。
| 個人情報保護委員会の権限 | ||
|---|---|---|
| 行政処分 | 報告徴収、立入検査 |
|
| 指導・助言 |
|
|
| 勧告・命令 |
|
|
| 公表 |
|
|
| 違反内容 | 罰金額など | |
|---|---|---|
| 刑事罰 | 命令に違反 | 個人:1年以下の懲罰または100万円以下の罰金 法人:1億円以下の罰金 |
| 虚偽の報告等 | 50万円以下の罰金 | |
| 従業員が不正な利益を図る目的で個人情報データベース等を提供・盗用 | 個人:1年以下の懲罰または50万円以下の罰金 法人:1億円以下の罰金 |
(2)漏えい件数の推移
個人情報保護委員会の「令和6年度 年次報告」によると、2024(令和6)年度の民間事業者による個人情報漏えい等の報告件数が、過去最多の1万9,056件に達しました。また、同年度の個人情報取扱事業者に対する報告徴収は148件、立入検査は47件、指導および助言は395件、勧告は1件でした。
個人情報漏えい等の報告件数の推移
個人情報保護法違反に対する行政処分は、今後ますます厳格化されると予想されます。企業は、個人情報保護の重要性を認識し、適切な管理体制を構築することが求められます。
損害賠償リスク
事業で利用している個人情報が漏えいした場合、企業は、被害者である本人に対して損害賠償義務を負うことがあります。
レピュテーションリスク
法令違反や個人情報漏えいが発覚すると、企業の社会的信用が大きく損なわれ、顧客離れや取引停止、経営陣の責任追及など、経営に深刻な影響を及ぼしかねません。
個人情報保護法コンプライアンスのための具体策
企業が個人情報保護法のコンプライアンスを確保するための具体策としては、たとえば次のようなものが挙げられます。
| 項目 | 具体例 |
|---|---|
| 方針・組織体制の整備 |
|
| 社内規程・ルールの整備・運用 |
|
| 安全管理措置 |
|
| 教育・啓発 |
|
| 委託先の管理・監督 |
|
| 本人対応・事故対応 |
|
上記のような体制整備や措置は、一度やれば終わりということではなく、法改正などの最新動向を踏まえた点検や見直しが欠かせません。
個人情報保護法の改正動向
これまでの改正の概要
2005(平成17)年4月に全面施行された個人情報保護法は、その後のデジタル技術の進展やグローバル化などの経済・社会情勢の変化や、世の中の個人情報に対する意識の高まりなどに対応するため、これまでに3度の大きな改正が行われました。その改正の概要は下表のとおりです 5。
| 改正 | 施行時期 | 主な改正ポイント |
|---|---|---|
| ① 2015(平成27)年改正法 | 2017(平成29)年5月全面施行 |
|
| ② 2020(令和2)年改正法 | 2022(令和4)年 4月全面施行 |
|
| ③ 2021(令和3)年改正法 | 2022(令和4)年4月一部施行 地方公共団体などに関する部分は2023(令和5)年4月施行 |
|
今後の改正の見通し(3年ごと見直し)
上記②の令和2年改正法の附則10条において、いわゆる「3年ごと見直し」が以下のとおり規定されました。
つまり、「3年ごと見直し」とは、法律の施行後3年ごとに、社会情勢や技術の進展、国際的な動向を踏まえて法の内容や運用状況を検討し、必要に応じて改正を行う仕組みです。
2022年4月に上記③の令和3年改正法が施行されており、2025年4月で施行から3年となるため、2023年11月から個人情報保護委員会による見直しの検討が進められています 6。
個人情報保護法に関する法令・ガイドライン等
個人情報保護法の下に、「個人情報の保護に関する法律施行令」や「個人情報の保護に関する法律施行規則」があります。さらに、これらを解説した資料として、「個人情報の保護に関する法律についてのガイドライン」や同ガイドラインに関するQ&Aがあります。
個人情報の取扱いについて詳しく確認したい場合には、個人情報保護委員会のウェブサイトにまとめられている下位法令やガイドライン等を参照してください。
また、同法に関する「相談窓口」「PPC質問チャット」「PPCビジネスサポートデスク」などの相談窓口も用意されています。
海外の個人情報保護法制
海外における個人情報関連規制としては、たとえばEUのGDPR(一般データ保護規則)、米国カリフォルニア州のCCPA(カリフォルニア州消費者プライバシー法)、中国の個人情報保護法などが挙げられます。
国・地域ごとに定義や規制範囲、報告義務、罰則、データの海外移転基準などが異なるため、グローバルで事業を展開する企業は、各国・地域の法令を個別に遵守する必要があります。
海外の個人情報関連規制については、以下の関連記事をご覧ください。
-
個人情報保護委員会ウェブサイト「個人情報保護委員会について」参照。 ↩︎
-
ここでいう「事業の用に供している」とは、一定の目的をもって反復継続して遂行される同種の行為、社会通念上事業と認められるもので、営利・非営利を問いません。 ↩︎
-
個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」(平成28年11月、令和6年12月一部改正)。 ↩︎
-
政府広報オンライン「「個人情報保護法」を分かりやすく解説。個人情報の取扱いルールとは?」のコラムの情報を基に作成。 ↩︎
-
個人情報保護委員会ウェブサイト「個人情報保護法 いわゆる3年ごと見直しについて」参照。 ↩︎
弁護士ドットコム株式会社