顧客や従業員などを含めて個人情報を1件も取り扱わない企業など、ほとんど存在しないでしょう。
個人情報を取り扱う以上、企業が個人情報保護法と無縁でいることはできません。
では、個人情報保護法とは、どのような法律なのでしょうか?
また、個人情報保護法のうち、企業は特にどのような規定を知っておくべきなのでしょうか?
今回は、企業が知っておくべき個人情報保護法の基本的な用語や規定などについて、弁護士がわかりやすく解説します。
<メディア関係者の方>取材等に関するお問い合わせはこちら
個人情報保護法とは
個人情報保護法は正式名称を「個人情報の保護に関する法律」といい、個人情報の有用性に配慮しつつ、個人の権利利益を保護するための法律です。
個人情報保護法の目的は1条で規定されており、その内容は次のとおりです(個人情報保護法1条)。
- この法律は、デジタル社会の進展に伴い個人情報の利用が著しく拡大していることに鑑み、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにし、個人情報を取り扱う事業者及び行政機関等についてこれらの特性に応じて遵守すべき義務等を定めるとともに、個人情報保護委員会を設置することにより、行政機関等の事務及び事業の適正かつ円滑な運営を図り、並びに個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。
これを整理すると、背景として「デジタル社会の進展に伴い個人情報の利用が著しく拡大していること」があります。
そして、これを踏まえた個人情報保護法の目的は、次のとおりとなります。
- 個人情報の適正な取扱いに関して、基本理念・政府による基本方針の作成・その他の個人情報の保護に関する施策の基本となる事項を定めること
- 国と地方公共団体の責務等を明らかにすること
- 個人情報を取り扱う事業者と行政機関等について、これらの特性に応じて遵守すべき義務等を定めること
- 個人情報保護委員会を設置することにより、行政機関等の事務と事業の、適正かつ円滑な運営をすること
- 個人情報の有用性に配慮しつつ、個人の権利利益を保護すること
法律の名称から、個人情報の保護だけに着目していると考えられがちです。
しかし、このように、個人情報の有用性にも配慮することとされています。
個人情報保護法で知っておくべき基本的な用語
個人情報保護法では、さまざまな用語が使われています。
これらの用語の理解を誤ると、企業がおこなうべき対応を誤る事態となりかねません。
ここでは、個人情報保護法で知っておくべき基本的な用語を、まとめて解説します。
個人情報
「個人情報」とは、生存する個人に関する情報でのうち、次のいずれかに該当するものを指します(同2条1項1号)。
- その情報に含まれる氏名や生年月日、その他の記述等により特定の個人を識別できるもの(他の情報と容易に照合することができ、照合により特定個人を識別できるものを含む)
- 個人識別符号が含まれるもの
生存する個人に関する情報には氏名や性別、生年月日、顔画像などのほか、指紋や声紋データなども広く含まれます。
また、個人識別符号とは、マイナンバーや住民票コード、保険証番号、パスポート番号などが該当します。
要配慮個人情報
「要配慮個人情報」とは、第三者に知られることで本人に対する不当な差別や偏見などの不利益につながり得る情報です(同2条3項)。
たとえば、本人の人種や信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実などがこれに該当します。
「要配慮」個人情報という名称どおり、通常の個人情報よりも、取り扱いに特に配慮が必要でとなります。
個人情報データベース等
「個人情報データベース等」とは、特定の個人情報を検索することができるように体系的に構成された、個人情報を含む情報の集合物です(同16条)。
Excel(エクセル)や名刺管理アプリなどに個人情報を入力してデータベース化したもののほか、名刺を50音順などで並べて体系化したものもこれに該当します。
個人データ
「個人データ」とは、「個人情報データベース等」を構成する個人情報です。
個人情報保護法上、「個人情報」と「個人データ」は異なる概念であるため、ご注意ください。
たとえば、取引先から受け取った名刺に書かれた情報は、「個人情報」です。
この名刺をExcelに入力した場合、そこに入力された氏名や電話番号などの情報は「個人データ」となります。
個人情報取扱事業者
「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者です(同16条2項)。
ただし、次の者は除かれます。
- 国の機関
- 地方公共団体
- 独立行政法人等
- 地方独立行政法人
保有個人データ
「保有個人データ」とは、個人情報取扱事業者が開示や内容の訂正などの権限を有する個人データです(同16条4項)。
「自社の個人情報データベース等に入っている個人データ」と理解するとよいでしょう。
仮名加工情報
「仮名加工情報」とは、一定の措置を講じて個人情報を加工し、他の情報と照合しない限り特定の個人を識別できない状態となった個人に関する情報です(同2条5項)。
個人が識別できないように加工することで取り扱いの義務が一部緩和され、社内のマーケティング分析などに活用しやすくなります。
匿名加工情報
「匿名加工情報」とは、一定の措置を講じて個人情報を加工して特定の個人を識別できないようにした情報であって、個人情報を復元できない状態となった個人に関する情報です(同2条6項)。
仮名加工情報と似ているものの、匿名加工情報は「復元できない状態」であることがポイントです。
復元できないため、原則として個人情報にはあたりません。
個人関連情報
「個人関連情報」とは、生存する個人に関する情報であって、個人情報、仮名加工情報、匿名加工情報のいずれにも該当しないものを指します(同2条7項)。
企業が特に知っておくべき個人情報保護法の規定
続いては、個人情報保護法について、企業が特に知っておくべき規定をまとめて解説します。
ただし、ここで挙げたものは一例であり、個人情報保護法は頻繁に改正されます。
個人情報保護法に問題なく対応するためには、定期的に弁護士にご相談ください。
また、個人情報保護法はガイドラインも公表されているため、こちらも一読するのがおすすめです。※1
個人情報を取得するとき
個人情報を取得するときは、個人情報の利用目的を明確にしなければなりません(同17条1項)。
利用目的は直接本人に知らせるか、あらかじめホームページなどで公表することが必要です(同21条1項)。
ただし、要配慮個人情報を取得する際は一部の例外的な場面を除き、あらかじめ本人の同意を得なければなりません(同20条2項)。
なお、個人情報保護法にはこのように、公表か本人の通知義務が課される規定が多く存在します。
この義務を効率的かつ確実に果たすため、多くの企業がプライバシーポリシーを定め、その中の公表が必要な事項を盛り込む形を採用しています。
個人情報を利用するとき
取得した個人情報は、利用目的の範囲で利用しなければなりません(同18条1項)。
あらかじめ定めた利用目的の変更は、変更前の利用目的と関連性を有すると合理的に認められる範囲内でのみ認められます(同17条2項)。
また、違法又は不当な行為を助長し、または誘発するおそれがある方法での利用は禁じられています(同19条)。
個人データを保管・管理するとき
個人データを保管・管理するときは、個人データの漏えいや毀損などが生じないよう、安全に管理するために必要な措置を講じなければなりません(同23条)。
必要な措置は一律に定められているわけではなく、セキュリティ対策ソフトの導入や適切なパスワードの設定、紙で管理している場合は鍵付きのキャビネットで保管するなど、状況に応じた措置が求められます。
また、個人データの取り扱いを第三者に委託したからといって、委託元の義務がなくなるわけではありません。
委託する際は、個人データの安全管理が図られるよう、必要かつ適切な監督が必要です(同25条)。
個人データを第三者に提供するとき
個人データを第三者に提供するときは、法令に基づく一定の場合を除き、あらかじめ本人の同意を得なければなりません(同27条1項)。
ただし、一定事項を本人が容易に知り得る状態に置き、本人からの求めがあった際に第三者提供を停止する措置(いわゆる「オプトアウト方式」)を講じた際は、本人の同意を得ることなく第三者提供が可能です(同2項)。
なお、提供先が外国にある場合には、提供先が属する国の個人情報保護への取り組みなどに応じて異なる措置が必要となります。
本人から保有個人データの開示などを求められたとき
本人から保有個人データの開示や訂正、利用停止などを求められた際は、対応しなければなりません(同33条、34条)。
ただし、一定の場合は求められた開示や訂正などに応じないことも可能です。
個人データの漏えい等が発生したとき
次のいずれかに該当する個人データの漏洩や滅失、毀損など(「漏えい等」といいます)が発生した場合は、すみやかに個人情報保護委員会に報告するとともに、本人に通知しなければなりません(同26条)。
- 要配慮個人情報の漏えい等
- 財産的被害のおそれがある漏えい等
- 不正の目的によるおそれがある漏えい等
- 1,000人を超える個人データの漏えい等
これらの漏えい等は、個人の権利や利益を侵害するおそれが大きいと考えられるためです。
個人情報保護法の規定に違反するとどうなる?
個人情報保護法に関するよくある誤解として、「個人情報が漏えいしたら、すぐに罰則が適用される」というものがあります。
しかし、企業が個人情報を漏洩させてしまっても、原則として即座に罰則が適用されるわけではありません。
では、企業が個人情報保護法の規定に違反すると、どのような取り扱いがなされるのでしょうか?
最後に、違反時における基本的な流れを解説します。
報告・立入検査
個人情報保護法に違反すると、個人情報保護委員会から報告を求められたり、立入検査がなされたりします(同146条)。
指導・助言
報告徴収や立入検査の結果を受けて、個人情報保護委員会から指導や助言がなされます(同147条)。
勧告・命令
一定の場合には、個人情報保護委員会から勧告や命令がなされます(同148条)。
罰則
個人情報保護委員会による報告徴収や立入検査に応じなかった場合や、虚偽の報告をした場合などには、50万円以下の罰金の対象となります(同182条)。
違反をしたのが法人である場合は、行為者のほか、法人に対しても50万円いかの罰金刑が課される可能性があります(同184条1項2号)。
また、個人情報保護委員会からの命令に応じなかった場合には、1年以下の懲役または100万円以下の罰金刑の対象となります(同178条)。
違反をしたのが法人である場合は、行為者のほか、法人も1億円以下の罰金刑の対象となります(同184条1項1号)。
個人情報取扱事業者やその従業員、元従業員が業務に関して取り扱った個人情報データベース等を自己や第三者の不正な利益を図る目的で提供または盗用したときは、命令や勧告などを経ることなく1年以下の懲役または50万円以下の罰金刑に処される可能性があります(同179条)。
この場合も、違反をしたのが法人であれば、法人にも1億円以下の罰金が課されます(同184条1項1号)。
個人データの漏えい等が発生したことで実害が生じた場合、損害賠償請求などの対象となり得ます。
これは個人情報保護法の規定によるものではなく、民法など他の法令を根拠としたものです。
実際に漏えいが発生するなどしてお困りの際は、早期に弁護士へご相談ください。
まとめ
個人情報保護法の概要や企業が特に知っておくべき用語や、規定などについて解説しました。
個人情報保護法は、個人情報の有用性に配慮しつつも、個人の権利利益を保護することを目的とする法律です。
個人情報をまったく取り扱わず事業を営むことは想定しづらく、大半の企業は個人情報保護法と無縁でいることはできません。
個人情報保護法に対応できなければ命令や勧告、罰則などの対象となり得るほか、企業のイメージが低下してしまうおそれもあります。
改正も多い法律であるため、定期的に自社の対応やプライバシーポリシーを見直す必要があるでしょう。
Authense法律事務所では企業法務に特化したチームを設けており、企業の個人情報保護法対応や改正対応についても多くのサポート実績があります。
自社における個人情報保護法への対応を確認したい場合やプライバシーポリシーを見直したい場合は、Authense法律事務所までお気軽にご相談ください。
