2024/03/29 更新個人情報保護法とは?基本的なルールから違反した場合の罰則内容も解説
個人情報保護法の存在は知っているものの、具体的に「誰が」「どのような内容」を守るべきものなのか知らない人は多いでしょう。個人情報保護法は、人の個人情報を取り扱う際のルールについて定めた法律です。保護される内容や罰則について理解すると、企業においてデータを正しく扱える人材となれるでしょう。
この記事では、個人情報保護法の基本的なルールから罰則内容について解説します。
個人情報保護法とは?
個人情報保護法とは、人の個人情報を取り扱う際のルールについて定めた法律です。近頃は世の中の情報の多くがデータ化され便利になりつつありますが、勢いが加速する分セキュリティにも気を配らなければなりません。
個人情報保護法は、個人のどのような情報をどう扱えばいいかを示しています。法律を読むと、個人情報の範囲や保護対象になる情報の定義、利用のルールなどの理解が可能です。
なお、個人情報保護法を守らないと罰則を受けることになるため、内容をよく理解しておく必要があります。
個人情報保護法の目的
個人情報保護法(※1)によると、法律の目的は以下のように示されています。
個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。
個人情報保護法が制定された背景の一つが、デジタル化社会の進展です。個人情報を活用した便利なサービスが広がる中、不必要にデータを利用されることに不安を持つ人も増えました。同じころにOECDやEUなどでも個人情報保護の意識が高まったこともあり、日本でも2005年に法律が施行されています。
個人情報保護法の目的は、個人データの利用を妨げることではなく、情報の有効活用です。デジタル化を前提とした社会において、個人情報の利活用と制御のバランスを保ち、適切なデータの取り扱いが求められています。
(※1)参考:e-GOV法令検索「個人情報の保護に関する法律 第一条」
そもそも個人情報とは
個人情報保護法(※2)によると、法律における個人情報とは、生存する個人についての以下の3つの内容です。
- 氏名
- 生年月日
- 特定の個人を識別できるもの
具体的にどのような内容が個人情報にあたるのか理解しましょう。
(※2)参考:e-GOV法令検索「個人情報の保護に関する法律 第二条」
個人情報にあたる具体的な情報
個人情報保護法(※3)における個人情報とは、生存している個人の以下に関する情報のことです。
- 氏名
- 生年月日
- 特定の個人を識別できるもの
特定の個人を識別できるものには、指紋やDNA、骨格などの身体特徴データ、マイナンバーや運転免許証の番号などが該当します。上記以外にも、電話番号やメールアドレスなどの連絡先、会社での役職なども個人情報です。
さらには、本人と特定できる映像や音声、履歴書の内容なども個人情報に分類されます。防犯カメラの映像や電話音声、書類の内容までもが個人情報になるといえるでしょう。
反対に、特定の個人との識別ができないデータのことは個人情報とはいえません。防犯カメラを見ても特徴的な部分が映らなかったり、電話音声が加工されたりしている場合は人物を特定できないからです。
つまり、情報を単体で見ただけで「あの人だ」と思いあたる情報のみを、個人情報と呼ぶことができます。
(※3)参考:e-GOV法令検索「個人情報の保護に関する法律 第二条」
個人情報に関する用語
個人情報保護法(※4)の第二条から登場する以下の3つの用語にも、それぞれ定義があります。
- 個人情報データベース等:特定の個人の情報を集めて、検索しやすいように整理したもの
- 個人データ:上記の「個人情報データベース等」に入っている個人情報
- 保有個人データ:上記の「個人データ」のうち、個人情報取扱事業者が本人による開示や訂正、削除などの請求に応じられるもの
個人情報データベース等には、企業の顧客管理システムや、行政の住民基本台帳、病院のカルテなどがあてはまります。ただし、五十音順、生年月日順のように検索しやすく整理されているものに限られるため、独自の分類方法で保管されるものは該当しません。
(※4)参考:e-GOV法令検索「個人情報の保護に関する法律 第二条」
要配慮個人情報とは?
「要配慮個人情報」とは、個人情報の中でも公開することで本人が不当な扱いを受ける可能性が高い情報をいいます。以下は、要配慮個人情報にあてはまる事項です。
- 人種
- 信条
- 社会的身分
- 病歴
- 犯罪歴
- 犯罪により被害にあった事実
- 身体・知的・精神障害
- 健康診断の結果など
上記の項目は、公表されることにより差別や偏見を受ける原因となりうるため、個人情報の中でもとくに慎重な取り扱いが求められます。
たとえば、職場の従業員が信仰している宗教に関する情報を公表されてしまうと、特別な目で見られて本人が苦痛を感じる可能性があります。そのため、要配慮個人情報を取得する場合、原則として本人の同意が必要です。
個人情報保護法に関する基本的な7つのルール
個人情報を守るには、具体的にどのようなルールを守ればいいか気になるところです。個人情報保護法の第四章に定められている、個人情報を取り扱う事業者(個人情報取扱事業者)が守るべきルールについて理解しましょう。
個人情報・個人データに関するルール
個人情報を取り扱う際の、基本的なルールを以下にまとめました。
- 取得・利用:勝手に使わない
- 保管・管理:なくさない・漏えいしない
- 第三者への提供:勝手に人に渡さない
- 開示請求等への対応:問い合わせに対応する
取得と利用:個人情報を取得する際には、利用目的を具体的に特定し、事前にホームページ等で公表するか本人に知らせなければなりません。また、取得した個人情報は、目的の範囲内でのみ利用する必要があります(法第17条)。
保管と管理:情報漏えいが起こらないように、個人データの安全な管理が必要です。紙保管であれば鍵のかかる場所へしまう、電子保管であればファイルにパスワードをかけるなどの安全性の高い措置が求められます(法第23条)。
第三者に提供:個人データを第三者に提供する場合には、本人の同意が必要です。しかし、法令に基づく照会を行う場合や、本人の同意を得ることが困難な特定の状況下での提供は例外とされています(法第27条)。
開示請求等への対応:本人から保有個人データの開示、訂正、利用停止などの請求があった場合、事業者は対応する義務があります(法第33条)。
参考:政府広報オンライン「「個人情報保護法」をわかりやすく解説 個人情報の取扱いルールとは?」
保有個人データに関するルール
既述のとおり、保有個人データとは、個人情報データベース等内の個人データの中でも、本人による開示や訂正、削除などの請求に応じられるもののことです。個人情報保護法では、個人情報取扱事業者に対して以下についてのルールが定められています。
- 保有個人データの公表
- 利用目的の通知
- 開示
- 訂正等
- 利用停止等
- 理由の説明
- 請求手続き
保有個人データの公表:個人情報取扱事業者は、以下の情報を本人が常に知っておける状態にする義務があります。(法第32条)
- 事業者名
- 利用目的
- データの安全管理措置
- 苦情の申し立て先
利用目的の通知:保有個人データの利用目的は、本人からの要請に応じて遅滞なく通知されなければなりません。ただし、本人や他者の権利を害する可能性がある場合などは例外です(法第18条)。
開示:本人からの要請により、保有個人データは遅滞なく開示されなければなりません。ただし、本人や他者の権利を害する場合などは例外です(法第33条)。
訂正等:事実でないデータに関して本人から訂正等の請求があった場合は、適切な範囲で調査後、訂正・追加・削除を行います(法第34条)。
利用停止等:本人は、個人データの不適切な取り扱いがある場合、データの利用や第三者への提供の停止を請求できます(法第35条)。
理由の説明:請求の全てまたは一部に応じない場合、個人情報取扱事業者はその理由を本人に説明するよう務める必要があります(法第36条)。
請求手続き:個人情報取扱事業者は、保有個人データに関する請求を受け付ける手続きを定めることができます(法第37条)。
要配慮個人情報に関するルール
既述のとおり、要配慮個人情報とは信条や病歴など、公開により不当な扱いを受ける可能性の高い情報のことです。個人情報取扱事業者は、以下の場合をのぞき、本人の同意を得ないで要配慮個人情報を取得してはいけません(法第20条)。
- 法令にもとづく場合
- 人の生命や財産の保護のために必要で、本人の同意を得られないとき
- 公衆衛生の向上や児童の健全な育成に必要で、本人の同意を得られないとき
- 国の機関等の事務遂行のために必要で、本人に同意を得ると支障をきたす場合
- 要配慮個人情報を学術研究目的で利用する場合
- 要配慮個人情報が本人や国の機関により公開されている場合
- 目視や撮影による情報の取得
- 委託や事業の承継、共同利用の際に必要な場合
仮名加工情報に関するルール
仮名加工情報とは、ほかの情報と照合しないかぎり特定の個人を識別できないように加工した個人情報のことです。顧客情報や購買履歴が扱いやすくなるため、マーケティングやAIなどに活用されています。仮名加工情報を取り扱う際、主に以下の3つのルールを守らなければなりません(法第41条)。
- 個人を識別できないよう適切に加工すること
- 作成した仮名加工情報の安全管理措置を講じること
- 仮名加工情報の取り扱いに関する特定の規制に従うこと
ほかにも、利用目的以外での情報の使用の制限や、不要になったデータの消去を行うこと、第三者提供の制限などの規則も含まれます。
匿名加工情報に関するルール
匿名加工情報とは、特定の個人の情報を識別できないように加工した個人情報のことです。仮名加工情報と同様、顧客情報や購買履歴が扱いやすくなるため、マーケティングやAIなどに活用されています。匿名加工情報に関するルールは、以下のとおりです。(法第43条)
- 特定の個人を識別できないように適切に加工する
- 安全管理措置を施す
- 匿名加工情報を作成したときは項目を公表する
また、情報を第三者に提供する際は、内容や方法の公表が必要とされています。なお、匿名加工情報を扱う事業者は、本人を識別するための情報の照合行為をしてはいけません。
個人関連情報に関するルール
個人関連情報とは「生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの」です。(法第2条7項)具体的には、性別や年齢、ウェブの閲覧履歴などが該当します。個人関連情報を第三者に提供する際は、以下の確認が必要です(法第31条)。
- 本人の同意を得られていること
- 外国の第三者への提供の場合はその国の制度や措置を本人に提供していること
ただし、法令に基づく場合のような特定の状況では、第三者提供は制限されません。また、上記の確認作業を行った場合、記録を作成したうえで保存が求められます。
個人情報保護法に違反した場合の罰則
個人情報取扱事業者が個人情報保護法に抵触した場合、ペナルティを受けます。違反すると懲役や罰金を科せられるため、個人情報の取り扱いには十分注意しましょう。
報告・立入検査
個人情報保護法では、個人情報取扱事業者に対して、必要に応じて報告を求めたり立入検査を行ったりすることが可能です。(法第146条)なお、資料提出の求めに応じなかったり、虚偽の申告を行ったりした場合には、50万円以下の罰金を科せられます(法第182条)。
指導・助言
個人情報保護委員会は、個人情報の取り扱いについての指導や助言を行うことができます(法第147条)。
勧告・命令
個人情報の不適切な取り扱いが発覚した場合、個人情報保護委員会は、改善を求める勧告や法律に基づく命令を出すことが可能です(法第148条)。命令に違反した場合は、1年以上の懲役または100万円以下の罰金を科せられます(法第178条)。
個人情報に関わる資格・個人情報保護士とは?
個人情報保護士とは、個人情報管理や運用におけるエキスパートであることを示す民間資格です。2005年から施行された個人情報保護法に合わせて、認定試験として受験がスタートしました。
情報技術が発展し人々の行動がデータ化されるようになり、個人情報保護に詳しい人材の需要が高まっています。企業の顧客としても、自身のデータを受け渡すからには安全性の高い会社を選びたいと考えるのは当然のことです。個人情報保護士を取得すれば、個人情報保護法に詳しい人材であることを企業にアピールできるでしょう。
個人情報保護法を理解し適切にデータを扱おう
個人情報保護法は、デジタル化された社会において企業が気を配るべきルールの一つです。ルールは細かく複雑ですが、以下の決まりを念頭に置いておけば詳細な内容も頭に入りやすいでしょう。
- 取得・利用:勝手に使わない
- 保管・管理:なくさない・漏えいしない
- 第三者への提供:勝手に人に渡さない
- 開示請求等への対応:問い合わせに対応する
個人情報保護法の基本を理解し、自社の健全な経営に役立てましょう。
