個人情報保護法はどのような法律か
IT・情報セキュリティ個人情報保護法はどのようなことを定めた法律ですか。
個人情報を取り扱う民間事業者の遵守すべき義務等を定める法律です。
解説
※本QAの凡例は注の通りです1。
個人情報保護法とは
個人情報保護法の正式な法律名は、「個人情報の保護に関する法律」(平成15年5月30日法律第57号、以下「個人情報保護法」または「保護法」といいます)であり、平成15年5月に公布され、平成17年4月に全面施行されました。
個人情報保護法は、主に個人情報を取り扱う民間事業者の遵守すべき義務等を定める法律です(個人情報保護法第4章~第7章)。ただし、「基本理念」(個人情報保護法第1章、3条)、「国及び地方公共団体の責務」(個人情報保護法第2章)、「個人情報保護施策等」(個人情報保護法第3章)については、国の行政機関、独立行政法人等、地方公共団体にも適用されます。
行政機関における個人情報の取扱いについては、「行政機関の保有する個人情報の保護に関する法律」(平成15年5月30日法律第58号)において、独立行政法人等における個人情報の取扱いについては、「独立行政法人等の保有する個人情報の保護に関する法律」(平成15年5月30日法律第59号)において定められています。
都道府県庁や市町村役場、教育委員会、公立学校、公立病院等における個人情報の取扱いについては、各地方公共団体が策定する個人情報保護条例が適用されます。
用語
個人情報保護法においては、個人情報に関して、「個人情報」、「個人データ」、「保有個人データ」という3つの用語が使われています。
個人情報(個人情報保護法2条1項)
「個人情報」とは、①生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)および②個人識別符号をいいます(個人情報保護法2条1項)。
「個人に関する情報」とは、氏名、住所、性別、生年月日、顔画像等個人を識別する情報に限られず、個人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表す全ての情報であり、評価情報、公刊物等によって公にされている情報や、映像、音声による情報も含まれ、暗号化等によって秘匿化されているかどうかを問いません(GL(通則編)2-1)。暗号化は、安全管理措置の一つとして考慮されるべき要素であり、個人情報該当性に影響を与えません。
また、ある情報を第三者に提供する場合、当該情報が「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなる」かどうかは、当該情報の提供元である事業者において「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなる」かどうかで判断されます。
たとえば、以下のようなものが「個人情報」に該当します(GL(通則編)2-1)。
- 本人の氏名
- 生年月日、連絡先(住所・居所・電話番号・メールアドレス)、会社における職位又は所属に関する情報について、それらと本人の氏名を組み合わせた情報
- 防犯カメラに記録された情報等本人が判別できる映像情報
- 本人の氏名が含まれる等の理由により、特定の個人を識別できる音声録音情報
- 特定の個人を識別できるメールアドレス(kojin_ichiro@example.com 等のようにメールアドレスだけの情報の場合であっても、example 社に所属するコジンイチロウのメールアドレスであることが分かるような場合等)
- 個人情報を取得後に当該情報に付加された個人に関する情報(取得時に生存する特定の個人を識別することができなかったとしても、取得後、新たな情報が付加され、又は照合された結果、生存する特定の個人を識別できる場合は、その時点で個人情報に該当する。)
- 官報、電話帳、職員録、法定開示書類(有価証券報告書等)、新聞、ホームページ、SNS(ソーシャル・ネットワーク・サービス)等で公にされている特定の個人を識別できる情報
平成29年5月30日に施行される改正により、生存する個人に関する身体的な特徴で本人認証が可能なもの(指紋認証データや顔認証データ)や個人に割り当てられる公的な番号(運転免許証番号や旅券番号)が個人識別符号(個人情報保護法2条2項)として新たに個人情報に該当することになります。
個人情報保護法上、「個人情報」という用語が用いられている場合は、事業者の「個人情報データベース等」(個人情報保護法2条4項、下記2-2参照)にまだ取り込まれていない「生の個人情報」のことです。たとえば、データベース化されていない書面・写真・音声等に記録されているものがこれに該当します。
したがって、個人情報保護法上の「個人情報取扱事業者」の義務等のうち、以下の利用目的や取得に関する規定において「個人情報」という用語が使われています。
- 利用目的の特定(個人情報保護法15条)
- 利用目的による制限(個人情報保護法16条)
- 適正な取得(個人情報保護法17条)
- 取得に際しての利用目的の通知等(個人情報保護法18条)
個人データ(個人情報保護法2条4項)・保有個人データ(個人情報保護法2条5項)
「個人データ」とは、「個人情報データベース等」(下記2-3参照)を構成する個人情報をいいます(個人情報保護法2条4項)。
「保有個人データ」とは、「個人データ」のうち、「個人情報取扱事業者」が、開示、内容の訂正、追加または削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データ(6月以内に消去することとなるもの等を除く。)をいいます(個人情報保護法2条7項)。
「個人データ」のうち、「保有個人データ」であるものは例えば以下のものです。
- 自社の事業活動に用いている顧客情報
- 事業として第三者に提供している個人情報
- 従業者等の人事管理情報
「保有個人データ」に該当しない「個人データ」としては例えば以下のものです。
- 委託を受けて、入力、編集、加工等のみを行っているもの
「保有個人データ」に該当する場合、「個人情報取扱事業者」には以下の義務等が課されます。
- データ内容の正確性の確保(個人情報保護法19条)
- 安全管理措置(個人情報保護法20条)
- 従業者の監督(個人情報保護法21条)
- 委託先の監督(個人情報保護法22条)
- 第三者提供の制限(個人情報保護法23条)
- 外国にある第三者への提供の制限(個人情報保護法24条)
- 確認・記録義務(個人情報保護法25条・26条)
個人情報データベース等(個人情報保護法2条4項)
「個人情報データベース等」とは、①特定の個人情報をコンピュータを用いて検索することができるように体系的に構成した、個人情報を含む情報の集合物、または②コンピュータを用いていない場合であっても、カルテや指導要録等、紙面で処理した個人情報を一定の規則(例えば、五十音順等)に従って整理・分類し、特定の個人情報を容易に検索することができるよう、目次、索引、符号等を付し、他人によっても容易に検索可能な状態に置いているものをいいます(個人情報保護法2条4項、個人情報保護法施行令3条)。
たとえば、以下のようなものが「個人情報データベース等」に該当します(GL(通則編)2-4)。
- 電子メールソフトに保管されているメールアドレス帳(メールアドレスと氏名を組み合わせた情報を入力している場合)
- インターネットサービスにおいて、ユーザーが利用したサービスに係るログ情報がユーザーID によって整理され保管されている電子ファイル(ユーザーID と個人情報を容易に照合することができる場合)
- 従業者が、名刺の情報を業務用パソコン(所有者を問わない。)の表計算ソフト等を用いて入力・整理している場合
- 人材派遣会社が登録カードを、氏名の五十音順に整理し、五十音順のインデックスを付してファイルしている場合
個人情報取扱事業者
「個人情報データベース等」を事業の用に供している者を「個人情報取扱事業者」といいます(個人情報保護法2条5項)。
ただし、国の機関、地方公共団体、独立行政法人等、地方独立行政法人は「個人情報取扱事業者」に該当しません(個人情報保護法2条5項1号~4号)。
なお、平成29年5月30日の全面改正の施行前の個人情報保護法では、「個人情報データベース等」を構成する個人情報によって識別される特定の個人の数の総和が、直近6か月間5,000人以下の者は、「個人情報取扱事業者」に該当しないこととされていましたが(改正前個人情報保護法2条3項5号、改正前個人情報保護法施行令4条)、全面改正の施行後は個人情報データベース等を事業の用に供する者はすべて個人情報取扱事業者に該当することとなります。
個人情報取扱事業者の義務等
個人情報の利用目的の特定(個人情報保護法15条)、目的外利用の禁止(個人情報保護法16条)
個人情報取扱事業者は、個人情報を取り扱うに当たっては、利用目的をできるだけ特定しなければなりません(個人情報保護法15条)。また、特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはなりません(個人情報保護法16条)。
平成29年5月30日の全面改正後は、利用目的の変更が緩和されます(個人情報保護法15条2項)。
適正な取得(個人情報保護法17条)、取得時の利用目的の通知等(個人情報保護法18条)
個人情報取扱事業者は、偽りその他不正な手段によって個人情報を取得してはなりません(個人情報保護法17条)。平成29年5月30日の全面改正後は、要配慮個人情報を取得するにはあらかじめ本人の同意が必要となります(個人情報保護法17条2項)。
また、個人情報を取得したときは、本人に速やかに利用目的を通知または公表しなければなりません(個人情報保護法18条1項)。本人から直接書面で取得する場合には、あらかじめ本人に利用目的を明示しなければなりません(個人情報保護法18条2項)。
個人デ一タ内容の正確性の確保(個人情報保護法19条)
個人情報取扱事業者は、利用目的の範囲内で、個人データを正確かつ最新の内容に保つよう努めなければなりません。平成29年5月30日の全面改正後は、利用の必要がなくなった個人データを遅滞なく消去する旨の努力義務が追加されます。
安全管理措置(個人情報保護法20条)、従業者・委託先の監督(個人情報保護法21条、22条)
個人情報取扱事業者は、個人データの漏えいや滅失を防ぐため、必要かつ適切な安全管理措置を講じなければなりません(個人情報保護法20条)。安全に個人データを管理するために、従業者に対し必要かつ適切な監督を行わなければなりません(個人情報保護法21条)。また、個人データの取扱いについて委託する場合には、委託先に対し必要かつ適切な監督を行わなければなりません(個人情報保護法22条)。
平成29年5月30日の全面改正後は、GL(通則編)において定められる安全管理措置等に従う必要があります。
第三者提供の制限(個人情報保護法23条)
個人情報取扱事業者は、原則として、あらかじめ本人の同意を得ないで、本人以外の第三者に個人データを提供してはなりません。
個人データの第三者提供の制限の例外としては、①法令に基づく場合等(個人情報保護法23条1項各号)、②オプトアウト(個人情報保護法23条2項)、③第三者に該当しない場合(個人情報保護法23条5項各号)があります。
「第三者に該当しない場合」としては、(i)個人データの全部または一部の取扱いを委託する場合(個人情報保護法23条5項1号)、(ii)合併等の事業承継の場合(個人情報保護法23条5項2号)、(iii)共同利用をする場合(個人情報保護法23条5項3号)です。
平成29年5月30日の全面改正後は、新たに①オプトアウトの手続の厳格化(個人情報保護法23条2項~4項)、②外国にある第三者への提供の制限(個人情報保護法24条)、③確認・記録義務(個人情報保護法25条、26条)が設けられます。
利用目的の公表・通知、開示、訂正、利用停止等(個人情報保護法27~30条)
個人情報取扱事業者は、保有個人データの利用目的、開示等に必要な手続、苦情の申出先等について本人の知り得る状態に置かなければなりません(個人情報保護法27条)。
また、本人からの請求等に応じて、保有個人データを開示しなければなりません(個人情報保護法28条)。保有個人データの内容に誤りのあるときは、本人からの請求等に応じて、利用目的の達成に必要な範囲内で、調査し、訂正等を行わなければなりません(個人情報保護法29条)。保有個人データを個人情報保護法の義務に違反して取り扱っているときは、本人からの求めに応じて、利用停止等を行わなければなりません(個人情報保護法30条)。
平成29年5月30日の全面改正後は、裁判上の請求も認められることになります。
-
- 個人情報保護法、改正個人情報保護法:個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律(平成27年9月9日法律第65号)に基づく改正後の個人情報保護法
- 改正前個人情報保護法:全面改正前の個人情報の保護に関する法律
- 個人情報保護法施行令、改正個人情報保護法施行令:個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律の施行に伴う関係政令の整備及び経過措置に関する政令(平成28年10月5日政令第324号)に基づく改正後の個人情報の保護に関する法律施行令
- 個人情報保護法ガイドライン(通則編)、GL(通則編):個人情報の保護に関する法律についてのガイドライン(通則編)(平成28年11月30日個人情報保護委員会告示第6号)
無料会員にご登録いただくことで、続きをお読みいただけます。
1分で登録完了
弁護士法人三宅法律事務所
- コーポレート・M&A
- IT・情報セキュリティ
- 人事労務
- 危機管理・内部統制
- ファイナンス
- 国際取引・海外進出
- 訴訟・争訟
- 不動産
- 資源・エネルギー
- ベンチャー