個人情報保護法の概要と個人情報取扱事業者の義務
IT・情報セキュリティ 公開 更新個人情報保護法はどのようなことを定めた法律ですか。
個人情報を取り扱う民間事業者の遵守すべき義務等を定める法律です。令和3年改正法により、国、独立行政法人、地方公共団体も対象とする法律となります。
解説
2021年9月30日:「個人情報の保護に関する法律等の一部を改正する法律」(令和2年法律第44号、令和2年改正法)、および「デジタル社会の形成を図るための関係法律の整備に関する法律」(令和3年法律第37号、令和3年改正法)の公布を踏まえ、記事の全体について加筆、修正しました。
また、本記事の「現行法」は「個人情報の保護に関する法律等の一部を改正する法律」(令和2年法律第44号)に基づく改正前の個人情報保護法を指します。
本稿内において【】によって示している条番号は、「デジタル社会の形成を図るための関係法律の整備に関する法律」(令和3年法律第37号)施行後の条番号です。
個人情報保護法とは
個人情報保護法の正式な法律名は、「個人情報の保護に関する法律」(平成15年法律第57号、以下「個人情報保護法」または「保護法」といいます)であり、平成15年5月に公布され、平成17年4月、平成29年5月に全面施行されました。
個人情報保護法は、主に個人情報を取り扱う民間事業者の遵守すべき義務等を定める法律です(保護法第4章~第7章)。
行政機関における個人情報の取扱いについては、「行政機関の保有する個人情報の保護に関する法律」(平成15年法律第58号、以下「行政機関個人情報保護法」といいます)において、独立行政法人等における個人情報の取扱いについては、「独立行政法人等の保有する個人情報の保護に関する法律」(平成15年法律第59号、以下「独立行政法人等個人情報保護法」といいます)において定められています。
都道府県庁や市町村役場、教育委員会、公立学校、公立病院等における個人情報の取扱いについては、各地方公共団体が策定する個人情報保護条例が適用されます。
このように、個人情報保護法制がバラバラになっていることが、従来問題となってきましたが、令和3年改正法(「デジタル社会の形成を図るための関係法律の整備に関する法律」(令和3年法律第37号))により、これらの法律や条例が個人情報保護法に一元化され、個人情報保護法は、民間事業者だけでなく、国、独立行政法人、地方公共団体も対象とする法律となります。個人情報保護法・行政機関個人情報保護法・独立行政法人等個人情報保護法の一元化は令和4年5月18日までの政令で定める日、個人情報保護法と各地方公共団体の個人情報保護条例の一元化は令和5年5月18日までの政令で定める日に施行されます。
なお、個人情報保護法の令和2年改正法は、令和4年4月1日に施行されます。
用語
個人情報保護法においては、規律の適用対象に関して、「個人情報」、「個人データ」、「保有個人データ」という3つの用語が使われています。
個人情報(保護法2条1項)
「個人情報」とは、①生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)および②個人識別符号をいいます(保護法2条1項)。
「個人に関する情報」とは、氏名、住所、性別、生年月日、顔画像等個人を識別する情報に限られず、個人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表すすべての情報であり、評価情報、公刊物等によって公にされている情報や、映像、音声による情報も含まれ、暗号化等によって秘匿化されているかどうかを問いません(「個人情報の保護に関する法律についてのガイドライン(通則編)」(以下、「通則編ガイドライン」といいます)2−1)。暗号化は、安全管理措置の1つとして考慮されるべき要素であり、個人情報該当性に影響を与えません。
また、ある情報を第三者に提供する場合、当該情報が「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなる」かどうかは、当該情報の提供元である事業者において「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなる」かどうかで判断されます。
たとえば、以下のようなものが「個人情報」に該当します(通則編ガイドライン2−1)。
- 本人の氏名
- 生年月日、連絡先(住所・居所・電話番号・メールアドレス)、会社における職位または所属に関する情報について、それらと本人の氏名を組み合わせた情報
- 防犯カメラに記録された情報等本人が判別できる映像情報
- 本人の氏名が含まれる等の理由により、特定の個人を識別できる音声録音情報
- 特定の個人を識別できるメールアドレス(kojin_ichiro@example.com等のようにメールアドレスだけの情報の場合であっても、example社に所属するコジンイチロウのメールアドレスであることが分かるような場合等)
- 個人情報を取得後に当該情報に付加された個人に関する情報(取得時に生存する特定の個人を識別することができなかったとしても、取得後、新たな情報が付加され、または照合された結果、生存する特定の個人を識別できる場合は、その時点で個人情報に該当する)
- 官報、電話帳、職員録、法定開示書類(有価証券報告書等)、新聞、ホームページ、SNS(ソーシャル・ネットワーク・サービス)等で公にされている特定の個人を識別できる情報
平成29年5月30日に施行された改正(平成27年改正)により、生存する個人に関する身体的な特徴で本人認証が可能なもの(指紋認証データや顔認証データ)や個人に割り当てられる公的な番号(運転免許証番号や旅券番号)が個人識別符号(保護法2条2項)として新たに個人情報に該当することになりました。
他方、Cookie(クッキー)やIPアドレスのような識別子は、それ自体では特定の個人を識別することができず、個人情報には該当しません。ただし、他の情報と容易に照合することができ、それにより特定の個人を識別することができる場合には、個人情報に該当することになりました(保護法2条1項)。この点は、令和2年改正法においても変更はありません。令和2年改正法では、生存する個人に関する情報であって、個人情報、仮名加工情報および匿名加工情報のいずれにも該当しないものを「個人関連情報」と定義されることになりました(令和2年改正法26条2項)。
個人関連情報について、通則編ガイドラインでは下記のとおり例示されています。
- Cookie等の端末識別子を通じて収集された、ある個人のウェブサイトの閲覧履歴
- メールアドレスに結び付いた、ある個人の年齢・性別・家族構成等
- ある個人の商品購買履歴・サービス利用履歴
- ある個人の位置情報
- ある個人の興味・関心を示す情報
個人情報保護法上、「個人情報」という用語が用いられている場合は、事業者の「個人情報データベース等」(保護法2条4項、下記2−2参照)にまだ取り込まれていない「生の個人情報」のことです。たとえば、データベース化されていない書面・写真・音声等に記録されているものがこれに該当します。
したがって、個人情報保護法上の「個人情報取扱事業者」の義務等のうち、以下の利用目的や取得に関する規定において「個人情報」という用語が使われています。
- 利用目的の特定(保護法15条【17条】)
- 利用目的による制限(保護法16条【18条】)
- 不適正な利用の禁止(保護法16条の2【19条】※令和2年改正法で追加
- 適正な取得(保護法17条【20条】)
- 取得に際しての利用目的の通知等(保護法18条【21条】)
個人データ(保護法2条6項【16条3項】)・保有個人データ(同条7項【16条4項】)
「個人データ」とは、「個人情報データベース等」(下記(3)参照)(保護法2条4項【16条1項】)を構成する個人情報をいいます。
「保有個人データ」とは、「個人データ」のうち、「個人情報取扱事業者」(保護法2条5項【16条4項】)が、開示、内容の訂正、追加または削除、利用の停止、消去および第三者への提供の停止を行うことのできる権限を有する個人データ(現行法では6か月以内に消去することとなるもの等を除く)をいいます。令和2年改正法では、6か月以内に消去するものも「保有個人データ」に該当することになります。
「個人データ」のうち、「保有個人データ」であるものはたとえば以下のものです。
- 自社の事業活動に用いている顧客情報
- 事業として第三者に提供している個人情報
- 従業者等の人事管理情報
「保有個人データ」に該当しない「個人データ」としてはたとえば以下のものです。
- 委託を受けて、入力、編集、加工等のみを行っているもの
「個人データ」(「保有個人データ」を含む)に該当する場合、「個人情報取扱事業者」には以下の義務等が課されます。
- データ内容の正確性の確保(保護法19条【22条】)
- 安全管理措置(保護法20条【23条】)
- 従業者の監督(保護法21条【24条】)
- 委託先の監督(保護法22条【25条】)
- 漏えい等の報告等(保護法22条の2【26条】)※令和2年改正法で追加
- 第三者提供の制限(保護法23条【27条】)
- 外国にある第三者への提供の制限(保護法24条【28条】)
- 確認・記録義務(保護法25条【29条】、26条【30条】)
- 個人関連情報の第三者提供の制限等(保護法26条の2【31条】)※令和2年改正法で追加
「保有個人データ」に該当する場合、「個人情報取扱事業者」には以下の義務等が課されます。
- 保有個人データに関する事項の公表等(保護法27条【32条】)
- 開示(保護法28条【33条】)
- 訂正等(保護法29条【34条】)
- 利用停止等(保護法30条【35条】)
- 理由の説明(保護法31条【36条】)
- 開示等の求めに応じる手続(保護法32条【37条】)
- 手数料(保護法33条【38条】)
- 事前の請求(保護法34条【39条】)
個人情報データベース等(保護法2条4項【16条1項】)
「個人情報データベース等」とは、①特定の個人情報をコンピュータを用いて検索することができるように体系的に構成した、個人情報を含む情報の集合物、または②コンピュータを用いていない場合であっても、カルテや指導要録等、紙面で処理した個人情報を一定の規則(たとえば、五十音順等)に従って整理・分類し、特定の個人情報を容易に検索することができるよう、目次、索引、符号等を付し、他人によっても容易に検索可能な状態に置いているものをいいます(保護法2条4項【16条1項】)。
たとえば、以下のようなものが「個人情報データベース等」に該当します(通則編ガイドライン2-4)。
- 電子メールソフトに保管されているメールアドレス帳(メールアドレスと氏名を組み合わせた情報を入力している場合)
- インターネットサービスにおいて、ユーザーが利用したサービスに係るログ情報がユーザーIDによって整理され保管されている電子ファイル(ユーザーIDと個人情報を容易に照合することができる場合)
- 従業者が、名刺の情報を業務用パソコン(所有者を問わない)の表計算ソフト等を用いて入力・整理している場合
- 人材派遣会社が登録カードを、氏名の五十音順に整理し、五十音順のインデックスを付してファイルしている場合
個人情報取扱事業者
「個人情報データベース等」を事業の用に供している者を「個人情報取扱事業者」といいます(保護法2条5項【16条2項】)。
ただし、国の機関、地方公共団体、独立行政法人等、地方独立行政法人は「個人情報取扱事業者」に該当しません(同項1号~4号)。
個人情報取扱事業者の義務等
個人情報の利用目的の特定(保護法15条【17条】)、目的外利用の禁止(保護法16条【18条】)
個人情報取扱事業者は、個人情報を取り扱うにあたっては、利用目的をできるだけ特定しなければなりません(保護法15条【17条】)。また、特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはなりません(保護法16条【18条】)。
平成29年5月30日の全面改正(平成27年改正)後は、利用目的の変更が緩和されました(保護法15条2項【17条2項】)。
適正な取得(保護法17条【20条】)、取得時の利用目的の通知等(保護法18条【21条】)
個人情報取扱事業者は、偽りその他不正な手段によって個人情報を取得してはなりません(保護法17条)。平成29年5月30日の全面改正後は、要配慮個人情報を取得するにはあらかじめ本人の同意が必要となっています(保護法17条2項【20条2項】)。
また、個人情報を取得したときは、本人に速やかに利用目的を通知または公表しなければなりません(保護法18条1項【21条1項】)。本人から直接書面で取得する場合には、あらかじめ本人に利用目的を明示しなければなりません(保護法18条2項【21条2項】)。
個人デ一タ内容の正確性の確保(保護法19条【22条】)
個人情報取扱事業者は、利用目的の範囲内で、個人データを正確かつ最新の内容に保つよう努めなければなりません。平成29年5月30日の全面改正後は、利用の必要がなくなった個人データを遅滞なく消去する旨の努力義務が追加されました(保護法19条【22条】)。
安全管理措置(保護法20条【23条】)、従業者・委託先の監督(保護法21条(24条)・保護法22条(25条))、漏えい等報告(保護法22条の2【26条】)
個人情報取扱事業者は、個人データの漏えいや滅失を防ぐため、必要かつ適切な安全管理措置を講じなければなりません。加えて、安全に個人データを管理するために、従業者に対し必要かつ適切な監督を行わなければなりません。また、個人データの取扱いについて委託する場合には、委託先に対し必要かつ適切な監督を行わなければなりません。
平成29年5月30日の全面改正(平成27年改正)後は、通則編ガイドラインにおいて定められる安全管理措置等に従うことが必要となっています。
また令和2年改正法の施行以前は、漏えい等の報告が努力義務でしたが(現行法20条)、同改正により義務化します(保護法22条の2【26条】)。
第三者提供の制限(保護法23条【27条】)
個人情報取扱事業者は、原則として、あらかじめ本人の同意を得ないで、本人以外の第三者に個人データを提供してはなりません。
個人データの第三者提供の制限の例外としては、①法令に基づく場合等(保護法23条【27条】1項各号)、②オプトアウト(同条2項)、③第三者に該当しない場合(同条5項各号)があります。
「第三者に該当しない場合」としては、( i )個人データの全部または一部の取扱いを委託する場合(保護法23条【27条】5項1号)、( ii )合併等の事業承継の場合(同項2号)、( iii )共同利用をする場合(同項3号)です。
平成29年5月30日の全面改正(平成27年改正)後は、新たに以下が設けられました。
- オプトアウトの手続の厳格化(保護法23条【27条】2項~4項)
- 外国にある第三者への提供の制限(保護法24条【28条】)
- 確認・記録義務(保護法25条【29条】、26条【30条】)
令和2年改正法では、個人関連情報の提供先で他の情報と合わせて個人データとなることが想定される場合、提供先の第三者は本人から同意を取得しなければならず、提供元は第三者が同意を取得したか確認しなければならなくなります(保護法26条の2【31条】)。
利用目的の通知、開示、訂正、利用停止等(保護法27~30条【32条〜35条】)
個人情報取扱事業者は、保有個人データの利用目的、開示等に必要な手続、苦情の申出先等について本人の知り得る状態に置かなければなりません。
また、本人からの請求等に応じて、保有個人データを開示しなければなりません。加えて、保有個人データの内容に誤りのあるときは、本人からの請求等に応じて、利用目的の達成に必要な範囲内で、調査し、訂正等を行わなければなりません。さらに、保有個人データを法の義務に違反して取り扱っているときは、本人からの求めに応じて、利用停止等を行わなければなりません。
平成29年5月30日の全面改正(平成27年改正)後は、裁判上の請求も認められることになりました(保護法34条【39条】)。
他方、令和2年改正法では、開示請求手続のデジタル化や利用停止等・第三者提供の停止等の要件の緩和などがなされます。
- 関連書籍
- 令和2年改正個人情報保護法Q&A 増補版―ガイドライン対応実務と規程例―
- 著者:渡邉 雅之
- 定価:本体 3,200円+税
- 出版社:第一法規
- 発売年月:2021年9月
令和2(2020)年に成立した個人情報保護法の改正法に加え、令和3(2021)年に成立した改正内容や最新「ガイドライン」情報まで新たに織り込み、わかりやすくQ&Aとクイズで解説。サイトより規程等ひな型のダウンロードもできる。
【関連するBUSINESS LAWYERS LIBRARYの掲載書籍】
『Q&Aで学ぶ 企業におけるパーソナルデータ利活用の法律実務-令和2年改正個人情報保護法と実務対応-』
発売日:2021年07月23日
出版社:日本加除出版
編著等:関原 秀行
BUSINESS LAWYERS LIBERARYで読む
『個人情報保護・管理の基本と書式』
発売日:2019年09月10日
出版社:中央経済社
編著等:長谷川 俊明
BUSINESS LAWYERS LIBERARYで読む
『ストーリーとQ&Aで学ぶ改正個人情報保護法─ 取得,管理,利用,提供,漏えい,開示請求,越境移転,匿名加工情報,通信の秘密,位置情報,AI─』
発売日:2017年05月25日
出版社:日本加除出版
編著等:関原 秀行
BUSINESS LAWYERS LIBERARYで読む
弁護士法人三宅法律事務所
- コーポレート・M&A
- IT・情報セキュリティ
- 人事労務
- 危機管理・内部統制
- ファイナンス
- 国際取引・海外進出
- 訴訟・争訟
- 不動産
- 資源・エネルギー
- ベンチャー