個人情報保護法とは？目的と基本ルール、改正後のポイントも解説

目次
• 個人情報保護法とは？基礎知識を解説
• 個人情報保護法の必要性
• 個人情報を取り扱う際の基本的なルール
• 改正個人情報保護法のポイント【2022年4月施行】
• まとめ：個人データの保護にはシステム活用がおすすめ

個人情報保護法とは？基礎知識を解説

個人情報保護法とは、性別や住所など個人のプライバシーに関する情報を取り扱う際のルールを定めた法律です。個人情報保護法の正式名称は「個人情報の保護に関する法律」と言い、個人情報を扱うことの有用性に配慮しつつも、プライバシーを保護することを目的として2005年4月に施行されました。

個人情報保護法の基礎知識を伝えるために、個人情報とはそもそも何かを解説した後、個人情報データベースや個人情報取扱事業者と個人情報保護法の必要性について説明します。

個人情報とは、生存する個人を特定できる情報を指します。たとえば、住所や氏名、顔写真などはそれ単体で個人を特定できる情報です。一方、生年月日や電話番号などは単体で個人を特定することはできませんが、氏名などと組み合わせると個人を特定できるため個人情報に該当する場合があります。

このほかにも個人識別符号は、顔認証データや指紋、虹彩などの身体的なデータと、運転免許証やパスポート、マイナンバーなどの個人に割り振られる公的な番号を指します。

また、差別や偏見などにつながりかねない病歴や犯罪歴、障害の有無といった情報は「要配慮個人情報」として取り扱いが必要です。

個人情報保護法を理解するためには、個人情報データベースについても知っておくことが必要です。個人情報データベースは、個人情報をパソコン上で閲覧・検索できるようにまとめたデータを指します。

また、コンピュータを用いない場合でも五十音などで規則的に整理し、目次や索引などで容易に検索できるようにした紙の名簿なども個人情報データベースに該当します。独自の分類方法を用いており、他人では容易に検索できない場合には個人情報データベースに該当しません。なお、個人情報データベースを構成する個人情報のことを個人データといいます。

上記で説明した個人情報データベース等を事業用に供している者のことを「個人情報取扱事業者」といいます。事業を行っていると個人情報を扱うことは避けられないため、ほとんどすべての企業や団体、個人が個人情報取扱事業者に該当するといえます。

個人情報取扱事業者は個人情報の扱いについて、個人情報保護法に規定されたルールを守る義務が生じます。違反した場合には、罰則を科せられることとなります。たとえば、「不正な利益を測る目的で個人データを盗用した場合は1年以下の懲役、または50万円以下の罰金」が科せられます。

個人情報保護法の必要性

個人情報保護法が法制化された背景には、個人情報の漏洩が社会問題化したことが挙げられます。なかでも、1999年に宇治市のほぼ全市民の住民基本台帳データが流失してしまった事件は、個人情報保護の必要性を再認識させました。

通信情報技術の発展も個人情報を保護することを難しくしており、デジタル化とグローバル化の発展に伴って個人情報の流出の被害は年々増加しています。増加する個人情報漏えいに対応するために、個人情報保護法の必要性も増しているといえます。

参考文献：総務省「わが国における情報ネットワーク関連判例の動向」

個人情報を取り扱う際の基本的なルール

企業が事業を行う上で、社員や取引先、顧客などの個人情報を扱う場面があるでしょう。企業が個人情報を取り扱う際の基本的なルールとして「個人情報の取得・利用」「個人情報の保管・管理」「個人情報の第三者への提供」「本人からの個人情報開示請求」「個人情報の取り扱いによる苦情」の5つについて解説します。

まずは個人情報を取得や利用する際の基本的なルールについてです。個人情報を利用する際には、どのような目的で利用するのかを具体的に特定しなければなりません。特定した利用目的は本人に伝えるか、利用する前にあらかじめホームページなどで公表しておきます。取得した個人情報を使う場合、目的の範囲内であることが必要です。

万が一、目的の範囲外のことに使う場合、事前に本人から同意を得る必要があります。また、取扱いに特別な配慮を要する「要配慮個人情報」を取得する際にも本人からの同意が必要です。最後に、当然のことではありますが個人情報を、違法な行為や不当な行為を助長するおそれがある方法で利用するのは禁じられています。

次に個人情報の保管や管理に関する基本的なルールを説明します。最も大切なのは、個人データの漏えいが生じないようにすることです。そのためには個人情報を安全に管理する措置が必要です。コンピュータにデータとして保管しているのであれば、ファイルへのパスワードの設定や、セキュリティソフトを導入します。

また、紙面で管理している場合には鍵付きのキャビネットなどに保管するなどが考えられます。使用しなくなった個人データは消去することも情報漏えい防止に効果的です。

さらに、従業員や委託先に対しても個人データを安全に管理するように徹底してもらうことも重要です。個人データの漏えいが発生した場合には、個人情報保護委員会への報告と本人への通知をしなければなりません。

個人情報を第三者へ提供する場合の基本的なルールについて説明します。原則として、本人の同意を得ることで個人データを第三者に提供することが可能です。

ただし、法令に基づく場合や、生命や財産などの保護のために必要にもかかわらず本人の同意を得ることが困難な場合など、例外的に本人の同意取得をせずに第三者へ個人データを提供できる場合もあります。外国の第三者に提供する際は、より厳格なルールが必要です。

また、第三者に個人データを提供した際には、「いつ誰から誰にどのような情報を提供・受領」したかについて記録と保存もしなければなりません。記録は原則3年間保存します。受領する際には、受領したデータが不正に取得されたものでないかを確認することも必要です。

個人情報の開示請求等への対応についての基本的なルールを説明します。保有する個人データについて本人から開示や訂正、利用停止などを請求された場合には迅速に対応する必要があります。開示請求の手続き方法を自社のホームページで公表しておくなど、請求があればすぐに対応できるようにしておくのが望ましいでしょう。

保有個人データの利用停止が請求できるのは、情報漏えいが発生した際や、本人の権利や正当な利益が害されるおそれがある際などです。開示方法については電子データでの提供なども含め、本人が請求した方法で対応しなければなりません。また、第三者に個人データを提供したことの記録についても開示請求の対象となります。

ここまで個人情報の取得や利用、保管・管理、第三者への個人データの提供、情報開示請求についての基本的なルールを説明してきました。

しかし、これらのルールを守っていたとしても個人情報の取り扱いに不手際が生じることもあります。そのような個人情報の取り扱いについて苦情の申し出があった場合には、適切かつ迅速に処理する必要があります。

そのため、苦情に対して適切かつ迅速な対応には、あらかじめ苦情処理のマニュアルを作成して備え付けておくのが効果的です。また、苦情専門の受付窓口やコールセンターを設置するのも良いでしょう。

改正個人情報保護法のポイント【2022年4月施行】

2022年4月に改正個人情報保護法が施行されました。企業が理解しておくべき改正のポイントは「データ利活用に関する規定変更」「事業者の報告義務」「罰則の強化」「個人の権利の在り方」「事業者による自主的な取組を促す仕組みの在り方」「法の域外適用・越境移転」の6つです。

ポイントの1つ目は個人データの利活用を促進するために「仮名加工情報」の制度が新設されたことです。

「仮名加工情報」とは、他の情報と照合しない限り特定の個人を識別できないように加工した個人情報のことを指します。

「仮名加工情報」は個人情報保護法の一部のルールの適用を免れることが可能です。開示請求や利用停止請求、漏えい等の報告義務などの適用が対象外となります。しかし、適用には「加工基準」を設ける必要があります。個人情報を特定できる情報の削除の他に口座番号やクレジットカード情報など財産的被害が発生する情報も削除する必要です。

ただしルールを守り適用すれば、事業者の義務が一部免除される、自社内部で個人データを利用する際などの負担が大きく軽減され、データの利活用が促進されることが期待されています。

改正のポイント2つ目は、これまで努力義務だった情報漏えい等が発生した際に個人情報保護委員会や本人通知が義務化されたことです。報告は3～5日以内に出す「速報」と60日以内に行う「確報」の2段階に分けて行う必要があります。

改正によって義務化された具体的な事案は、不正アクセスなど二次被害のおそれもある故意の目的による漏えいやクレジットカード番号など財産的被害のおそれがある漏えい等、1,000件を超える大規模な漏えい等、要配慮個人情報の漏えい等が該当します。

またこれらの漏えいが確定していない段階でも被害を最小限に抑えるために報告をしなければなりません。

改正の3つ目のポイントは、罰則が強化されたことです。個人情報保護委員会からの命令への違反を法人が犯した場合には、改正前の制度では30万円以下の罰金刑でしたが、改正によって1億円以下の罰金刑となりました。

個人情報データベース等の不正提供等を法人が行った場合の罰則は、改正前は50万円以下の罰金刑でしたが改正後は1億円以下の罰金刑に変わっています。また、個人情報保護委員会への虚偽報告を法人がしてしまった場合の罰則は、改正前は30万円以下の罰金刑でしたが、改正後は50万円以下の罰金刑です。

改正の3つ目のポイントは個人の権利の在り方が変化した点です。改正前は本人が個人データの利用停止や消去などの請求をできるのは、目的外利用や不正取得など一部の個人情報保護違反が起こった場合に限定されていました。

しかし、今回の法改正によって本人の権利や利益が害されるおそれがある場合にも個人データの利用停止や消去の請求を出せるようになりました。

たとえば、ダイレクトメールの送付停止を求めているにもかかわらず、事業者が繰り返し送付している場合などに本人が個人データの利用停止を請求するなどのケースが該当します。

改正のポイント5つ目は民間事業者による自主的な認定団体の取り組みを今まで以上に促すしくみになった点です。

取り扱う個人情報の性質や実態は業界によって大きく異なるため、個人情報保護法に関する取り組みは、これまでも民間事業者の業界団体がガイドラインを策定するなどして進められてきました。

これまでの認定団体制度は事業者の全ての事業や業務における個人情報等の取り扱いを対象とする団体のみを認定してきましたが、改定後は特定の事業や業務における個人情報等の取り扱いを対象とする団体も認定されることになりました。

改正のポイント6つ目は、外国の事業者への域外適用についての範囲が変更される点です。改正によって日本国内の人の個人情報を取り扱う外国の事業者も、罰則によって担保された報告徴収、命令、立ち入り検査の対象となります。

万が一、命令に従わない場合は公表することができ、外国事業者による不適切な取り扱いを防ぐことにつながるといわれています。また、移転先の外国事業者やその事業者がおかれた国の状況について、本人からの求めに応じて情報提供を行うことが義務付けられました。

海外にも事業展開している場合には、第三者への個人データ提供時に情報提供をしなければなりません。

まとめ：個人データの保護にはシステム活用がおすすめ

企業が個人情報を扱うには利用や保管、第三者への提供などに関する個人情報保護法の理解が欠かせません。法改正によって罰則が強化されており、知識不足による違反は避ける必要があります。個人情報保護法を厳守するためには、ワークフローシステムやCRMの導入がおすすめです。

関連記事：ワークフローシステムを徹底比較
関連記事：CRM（顧客管理システム）を徹底比較

数あるシステムを比較して自社のニーズに合ったものを選ぶのは大変です。「まず候補を絞りたい」という担当者はぜひPRONIアイミツを活用ください。PRONIアイミツでは、いくつかの質問に答えるだけで希望要件に合ったシステムが分かる診断（無料）ができます。