個人情報保護法は、すべての事業者が特に知っておくべき法律の一つです。
では、個人情報保護法とは、どのような法律なのでしょうか?
また、個人情報保護法には、どのようなルールが定められているのでしょうか?
今回は、個人情報保護法の主な規制内容や、企業が個人情報保護法を遵守するポイントなどを弁護士が解説します。
<メディア関係者の方>取材等に関するお問い合わせはこちら
個人情報保護法とは
個人情報保護法は、単に「個人情報を保護する」ことだけを目的とした法律ではありません。
はじめに、個人情報保護法の目的と適用対象者を解説します。
個人情報保護法の目的
個人情報保護法は、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする法律です。
個人情報の保護を目的としつつも、個人情報の有用性にも配慮されています。
そのため、個人情報に所定の加工を施すことで、社内でのマーケティング分析に活用したり他社に提供したりすることも可能となります。
個人情報保護法の適用対象者
個人情報保護法の対象は、当初は個人データを5,000件超保有する企業のみでした。
しかし、2017年に施行された改正法により、この件数要件は撤廃されています。
つまり、2024年9月時点において、個人情報を1件でも取り扱うすべての事業者が個人情報保護法の対象であるということです。
なお、個人情報保護法では、個人情報に該当するか否かに企業との関係性は考慮されません。
そのため、顧客の情報はもちろんのこと、従業員などの情報も個人情報に該当します。
個人情報保護法について知っておくべき基本的な用語
個人情報保護法では、個人情報に関するさまざまな用語が登場します。
どの情報を対象としているかは規定によって異なるため、まずは用語を正しく理解することが必要です。
ここでは、個人情報保護法の理解に必要となる基本的な用語を紹介します。
個人情報
個人情報とは、生存する個人に関する情報のうち、次のいずれかに該当するものです(個人情報保護法2条1項)。
- その情報に含まれる氏名や生年月日などから特定の個人を識別できるもの(他の情報と容易に照合でき、それにより特定の個人を識別できることとなるものを含む)
- 個人識別符号が含まれるもの
たとえば、氏名は原則としてそれ単体で個人情報にあたります。
また、「80歳女性」だけの情報では個人が特定できなくても、これが住所と組み合わされば個人の特定ができるでしょう。
このような場合には、「80歳女性」という情報と住所の情報が、まとめて個人情報に該当します。
一方、「個人識別符号」とは、番号や記号、符号などその情報単体から特定の個人を識別できる情報のうち、政令や規則で定められたものを指します。
具体的には、マイナンバーや運転免許証番号、住民票コード、顔認証データ、指紋認証データなどがこれに該当します。
要配慮個人情報
要配慮個人情報とは、個人情報のうち、本人に対する不当な差別や偏見、その他の不利益が生じないよう、その取扱いに特に配慮を要するものを指します(同3項)。
具体的には、本人の人種や信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実などがこれに該当します。
要配慮個人情報はオプトアウトによる第三者提供ができないなど、通常の個人情報よりも取り扱いのルールが厳しく設定されています。
個人情報データベース等
個人情報データベース等とは、個人情報を検索することができるように体系的に構成された、個人情報を含む情報の集合物です(同16条1項)。
たとえば、Excelや顧客管理ソフトに個人情報を入力している場合、そのExcelファイルやソフトが個人情報データベース等です。
また、名刺を五十音順に並べて紙のままファイリングしている場合、このファイルも個人情報データベース等にあたります。
個人データ
個人データとは、個人情報データベース等を構成する個々の個人情報です(同3項)。
たとえば、個人情報をExcelに入力して管理している場合、これを構成する1件1件の情報が個人データです。
また、名刺を五十音順に並べてファイリングしている場合、これを構成する1件1件の名刺の情報が個人データにあたります。
保有個人データ
保有個人データとは、個人情報取扱事業者が開示や内容の訂正、追加、削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データです(同4項)。
ただし、その存否が明らかになることで公益その他の利益が害される、一定のものを除きます。
仮名加工情報
仮名加工情報とは、他の情報と照合しない限り特定の個人を識別できないように加工した、個人に関する情報です(同2条5項)。
その情報単体では個人を特定できないため、取り扱いの規制が多少緩和されます。
ただし、あくまでも社内でのマーケティングなどへの活用が想定されているものであり、第三者提供はできません。
匿名加工情報
匿名加工情報とは、特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、その個人情報を復元できないようにしたものです(同2条6項)。
「復元できないようにした」ことまでが求められる点で、仮名加工情報と異なります。
情報の復元ができない前提であることから、本人の同意を得ることなく第三者提供が可能です。
個人関連情報
個人関連情報とは、生存する個人に関する情報であって、個人情報・仮名加工情報・匿名加工情報のいずれにも該当しないものを指します(同2条7項)。
個人情報保護法の基本的なルール
個人情報保護法では、どのようなルールが定められているのでしょうか?
ここでは、個人情報保護法の主なルールを、シーンごとにまとめて解説します。
個人情報を取得・利用するとき
個人情報を取得する際は、その利用目的をできる限り特定しなければなりません(同17条1項)。
利用目的はあらかじめ公表することが原則であり、公表していない場合は取得後すみやかに本人に知らせるか公表しなければなりません(同21条1項)。
そして、取得した個人情報は利用目的の範囲で利用しなければならず、利用目的を超えて利用するにはあらかじめ本人の同意を得ることが必要です(同18条1項)。
利用目的の変更できるものの、変更前の利用目的と関連性を有すると合理的に認められる範囲内での変更に限定されます(同17条2項)。
なお、違法・不当な行為を助長する方法や、誘発するおそれがある方法での利用は禁じられています(同19条)。
個人データを保管・管理するとき
個人データは、漏えいや滅失、毀損などが生じないよう、適切な安全管理措置を講じなければなりません(同23条)。
また、個人データの取り扱いを第三者に委託しても、委託元の義務がなくなるわけではない点に注意が必要です。
この場合は、個人データの安全管理が図られるよう、必要かつ適切な監督が求められます(同25条)。
個人データを第三者に提供するとき
個人データを第三者に提供しようとするときは、法令に基づく場合など一定のケースを除き、原則としてあらかじめ本人の同意を得なければなりません(同27条1項)。
ただし、次の措置をすべて講じた場合には、あらかじめ本人の同意を得ることなく第三者提供することが可能です(同2項)。
- 第三者に提供される個人データの項目などの一定事項を本人が容易に知り得る状態に置くこと
- 本人からの求めがあった際に第三者提供を停止する措置を講じること
- 一定事項を個人情報保護委員会に届け出ること
なお、提供先の事業者が外国にある場合には、その国や事業者の体制などに応じて異なる措置が求められます(同28条)。
本人から保有個人データの開示等を求められたとき
本人から保有個人データの開示や訂正、利用停止などを求められた際は、原則としてこれに対応しなければなりません(同33条、34条)。
ただし、一定の場合には開示などに応じないことや、代替措置を講じることなども可能とされています。
個人データの漏えい等が発生したとき
次のいずれかに該当する個人データの漏洩や滅失、毀損など(「漏えい等」といいます)が発生した場合は、すみやかに個人情報保護委員会に報告するとともに、本人に通知しなければなりません(同26条)。
要配慮個人情報の漏えい等
財産的被害のおそれがある漏えい等
不正の目的によるおそれがある漏えい等
1,000人を超える個人データの漏えい等
これらの漏えい等は、個人の権利や利益を侵害するおそれが大きいと考えられるためです。
企業が個人情報保護法を遵守するポイント
個人情報保護法を遵守しなければ、個人情報保護委員会からの指導や命令の対象となる可能性があるほか、罰則が適用される可能性が生じます。
また、個人情報を漏洩させるなどすれば、損害賠償請求などの対象となります。
では、企業が個人情報保護法を遵守するには、どのようなポイントを踏まえればよいのでしょうか?
最後に、企業が個人情報保護法を遵守するポイントを4つ解説します。
プライバシーポリシーを適切に作成する
1つ目は、プライバシーポリシーを適正に作成することです。
実は、プライバシーポリシーの作成や公表自体は個人情報保護法上の義務ではありません。
しかし、個人情報保護法では、「本人への通知など」と「公表」のいずれかの措置を求める規定が数多く存在します。
取り扱う個人情報の数が多い場合など、本人に対して逐一通知をすることが現実的でない場合も多いでしょう。
そこで、あらかじめ必要な公表事項を盛り込んだプライバシーポリシーを策定して公表しておくことで、本人への個別通知の機会を最小限に抑えることが可能となります。
これにより、通知漏れなどによる個人情報保護法違反を避けやすくなる効果が期待できます。
また、適切な内容のプライバシーポリシーを公表することで、ユーザーが安心して取引を開始しやすくなるというメリットもあります。
個人情報取り扱い規程を整備する
2つ目は、個人情報の取り扱いに関する規程を整備することです。
「プライバシーポリシー」は外部向けに公表するものである一方、規程は社内へ向けたものです。
個人情報の取り扱い規程では、自社の業務内容や取り扱う個人情報の種類などを加味したうえで、個人情報を取得する際のフローや交付すべき書面、第三者提供に関する社内ルール、個人情報を取り扱うパソコンのアクセス権、パソコンの持ち出しについてなど、個人情報保護法を遵守するための社内ルールを整備して記載します。
また、違反の抑止力として、重大な違反については懲戒対象とすることも検討するとよいでしょう。
なお、違反の内容に対して懲戒処分の内容が重すぎれば、懲戒処分の無効などを求めた従業員との間でトラブルとなるおそれがあります。
そのため、社内規程の整備にあたっては、弁護士のサポートを受けることをおすすめします。
定期的に従業員研修を実施する
3つ目は、定期的に従業員研修を実施することです。
個人情報の漏えいは、従業員による不適切な取り扱いから生じることも少なくありません。
たとえば、個人情報の入ったUSBメモリを不用意に持ち出して紛失したり、個人情報が含まれているパソコンを置き忘れたりすることなどです。
情報漏えいに関して一定の知見を有していれば、個人情報が含まれたUSBメモリやパソコンの取り扱いなどについて、「普通に考えれば分かるだろう」と感じてしまうかもしれません。
しかし、このような前提知識には人によってバラつきがあり、特に企業が個人情報保護法の遵守体制を構築するうえでは、「言わなくてもわかるだろう」との対応は避けるべきです。
従業員研修では個人情報保護法の遵守や個人情報の取り扱いについて特に留意すべき事項を繰り返し伝えましょう。
定期的に研修を実施することで従業員の理解が深まり、遵守意識が高まる効果が期待できます。
また、最新のヒヤリハット事例や他社の違反事例などを盛り込むことで、具体的な注意ポイントがイメージしやすくなります。
従業員研修は自社で実施するほか、弁護士など外部の専門家に行使を依頼することも一つの方法です。
必要に応じて弁護士に相談する
4つ目は、必要に応じて弁護士へ相談することです。
自社だけで適切なプライバシーポリシーを策定したり取り扱い規程を整備したりすることは、容易ではありません。
これらに不備があれば、知らず知らずのうちに個人情報保護法に違反するおそれが生じます。
そのため、個人情報保護法への遵守体制を整備するうえでは、弁護士のサポートを受けることをおすすめします。
弁護士のサポートを受けることで、自社の実情に即したプライバシーポリシーや規程が策定でき、個人情報保護法の遵守体制を構築しやすくなります。
まとめ
個人情報保護法の概要や主なルール、個人情報保護法を遵守するためのポイントなどを解説しました。
個人情報を1件でも取り扱う事業者は、個人情報保護法を避けて通ることはできません。
万が一にも違反してしまうことのないよう個人情報保護法について正しく理解したうえで、遵守体制を整備しておきましょう。
Authense法律事務所では企業法務に特化した専門チームを設けており、個人情報保護法に関連したリーガルサポートについても多くの実績があります。
個人情報保護法を遵守するための社内体制を構築したい場合や、自社に合ったプライバシーポリシーを策定したい場合などには、Authense法律事務所までお気軽にご相談ください。
