個人情報保護法とは、個人情報を安全に守りながら、社会で有効に活用できるようにするための法律です。
正式名称は「個人情報の保護に関する法律」といいます。
ほとんどの事業者(法人・個人事業主)が対象となり、違反すると罰則があります。
- 個人情報保護委員会からの命令に違反した場合:1年以下の懲役または100万円以下の罰金(83条)
- 業務で取り扱った個人情報を不正に提供・盗用した場合:1年以下の懲役または50万円以下の罰金(84条)
このページでは、最新の法改正内容・罰則・対象となる情報の具体例をわかりやすく解説します。
「自社の取扱いは法律違反にならないか?」と不安な方は、ぜひ参考にしてください。
目次
個人情報保護法とは
「個人情報保護法」とは、正式には「個人情報の保護に関する法律」という名前を持つ日本の法律のことです。
一般には、正式名称でこの法律を呼ぶことは少なく、略して「個人情報保護法」と呼ばれることが多いです。
個人情報保護法の目的
個人情報保護法の目的は、個人の権利を守りながら、個人情報を適切かつ有効に活用して社会の発展に役立てることです。
高度情報通信社会で個人情報の利用が拡大する中、
- 個人情報の有用性に配慮しつつ
- 個人の権利・利益を保護する
という2つのバランスを取ることを目指しています。(個人情報保護法第1条)
この目的を実現するため、国や自治体の責務、そして民間企業が守るべき義務が定められています。
どこまでが個人情報?個人情報保護法の対象と対象外を解説
社会には、さまざまな情報が存在します。
個人情報保護法は、そのうち「個人情報」だけを対象としています。
「個人情報」でない情報には、個人情報保護法は適用されません。
したがって、個人情報保護法について考えるには、その前提として、どのような情報が「個人情報」なのかを見極める必要があります。
生きている人の情報だけが対象!
「個人情報」は、生きている人に関する情報だけを対象とします。
すでに亡くなっている人に関する情報は、「個人情報」に該当しません。
したがって、例えば、江戸幕府を開いた徳川家康に関する情報は、それが氏名や住所(どこに住んでいたか)などの情報であっても、個人情報保護法の適用は受けません。徳川家康はすでに亡くなっているからです。
「個人情報」とは何か?3つの定義
「個人情報」とは、次の①、②、③のどれかひとつにあてはまる情報のことをいいます(個人情報保護法2条1項)。
- ① その中に含まれる内容によって、特定の個人を識別することができる情報
- ② その中に含まれる内容と、他の情報とを「容易に照合」することができ、それによって特定の個人を識別することができることとなる情報
- ③ その情報の中に「個人識別符号」が含まれる情報
個人情報の具体例
ある情報から特定の〇〇さんにたどりつくことができる場合、その情報は、個人情報に該当します。
例えば、あなたが取引先のAさんからもらった名刺には、Aさんの名前が書かれています。
そのため、その名刺の内容を見れば、それだけで「Aさん」という特定の人がわかってしまいます。
つまり、名刺に記述された情報から特定の個人(すなわちAさん)を識別することができるといえますから、名刺に記述された情報は「個人情報」に該当します。
そのほかの具体例としては、次のようなものがあります。
これらはいずれも、そこに記載・記録されている情報だけで特定の個人を識別できますから、個人情報に該当します。
- 会社が保管している従業員の情報
- 医療カルテ
- 顔写真
- 生きている人のWikipediaの記事
- 防犯カメラによって撮影された誰かの顔が映った映像
ある情報単体では特定の人物を識別できなくても、他の情報と簡単に照らし合わせることで特定できる場合、その情報も個人情報にあたります(これを「容易に照合できる」といいます)。
通信会社のA部門では顧客の携帯電話番号を保有している
同じ会社のB部門では「氏名+携帯番号」の顧客リストを保有している
上の例で、部門間で双方のデータベース上の情報を照合できる場合、照合の容易性が認められます。
反対に、他の部門へのアクセスが厳格に禁止されているなど、他部門の情報の照合ができない場合は、照合の容易性が否定されると考えられます。このように、
- 単体では個人を特定できない情報でも
- 他の情報と容易に照合して特定できる場合
その情報も個人情報保護法の対象になります。
「個人識別符号」を含む情報は、すべて個人情報に該当します(個人情報保護法2条2項)。
個人識別符号には、次の2種類があります。
①個人の身体的特徴をデータ化したもの例:スマホの指紋認証、虹彩認証のデータ
②一人ひとりに割り当てられた番号や記号例:マイナンバー、運転免許証番号、旅券番号
これらのデータは、それ自体で特定の個人を識別できるため、含まれている情報はすべて個人情報として扱われます。
※正確な定義は、個人情報保護法の条文をご確認ください。
POINT:同じ情報でも場合によっては個人情報になる
ある情報が個人情報に該当するかどうかの判断は、とてもダイナミックな判断です。
同じタイプの情報でも、内容によっては個人情報に該当したりしなかったりします。
また、まったく同じ情報であっても、ある人にとっては個人情報に該当しないが、別の人にとっては個人情報に該当する、ということもあります。
メールアドレスを例に説明します。
例えば、次のようなメールアドレスがあるとしましょう。
普通は、このメールアドレスだけを見ても個人を特定することはできません。
したがって、このメールアドレスは、個人情報ではありません。
しかし、このメールアドレスの持主(Aさんとします)が、このメールアドレスを使って、ある通販サイトで買い物をしたことがあるとします。
そうすると、通販サイトの運営会社には、お客様データとして、Aさんの名前とこのメールアドレスが保存されているはずです。
このような場合、通販サイト運営会社は、上記(ア)のメールアドレスと、会社内に保存されているお客様データを「容易に照合」することで、Aさんという特定の個人にたどりつくことができると考えられます。
したがって、上記(ア)のメールアドレスは、一般の人々の立場からは個人情報には該当しませんが、この通販サイト運営会社の立場からは個人情報(上記②のパターン)に該当することになります。
このように、同じ情報であっても、立場の違いによって、個人情報に該当したりしなかったりします。
また、次のようなメールアドレスを考えてみます。
このメールアドレスを見るだけで、このアドレスの持主はデイライト法律事務所に所属している「コジンタロウ」さんだな、と特定することができます。
このような場合、このメールアドレスはそれだけで特定の〇〇さんにたどりつくことができる情報ということになりますから、個人情報(上記①のパターン)に該当します。
このように、同じメールアドレスであっても、(ア)と(イ)では、個人情報に該当するかどうかの結論が異なります。
以上のように、ある情報が個人情報に該当するかどうかの判断は、ひとつひとつのケースごとにダイナミックに変化します。
もし判断にお困りのときは、個人情報保護法に詳しい弁護士のアドバイスを求めることをお勧めします。
POINT:公開されているかどうかは関係ない!
ある情報が個人情報に該当するかどうかを判断するにあたっては、その情報が公開された情報であるかどうかは関係しません。
例えば、企業のウェブサイトには、経営者(社長)の名前や顔写真が掲載されていることがよくあります。
このような場合、その経営者のウェブページの内容から〇〇会社の〇〇社長という特定の個人がわかりますから、このウェブページは「個人情報」に該当します。
「個人情報」に該当するかどうかは、あくまで上記の①から③までの要素で判断されます。
ウェブページが公開されているからといって、「個人情報」に該当しなくなる、ということはありません。
個人情報の種類ー個人情報には種類がある!?
「個人情報」には、3つの種類があります。
すなわち、個人情報保護法では「個人情報」に該当する情報を、さらにサブカテゴリーにわけています。「個人情報」のサブカテゴリ―として、「個人データ」があります。そしてさらに、「個人データ」のサブカテゴリ―に、「保有個人データ」があるのです。
図にすると、次のとおりです。
【図1】
①個人情報、②個人データ、③保有個人データは、上図のような包含関係になっています。
個人情報保護法は、その目的を達成するため、個人情報を取り扱う企業に対して、さまざまな義務を課しています。
この義務は、個人情報の種類によって異なります。
つまり、企業が負うことになる義務の内容は、「個人情報」、「個人データ」、「保有個人データ」という種類ごとに決められているのです。
以下、それぞれについて、わかりやすく解説します。
①個人情報
定義
「個人情報」は、上記ですでに説明したとおり、次の3つのうちのいずれかに該当する情報のことです。
- 個人を特定できる情報
- ほかの情報と容易に照合することで個人を特定できる情報
- 個人識別符号を含む情報
この3つのいずれかに該当する情報は、すべて「個人情報」に該当します。
具体例
上で解説したとおり、個人情報の具体例としては、次のものが挙げられます。
- 従業員の情報
- 顧客情報
- 医療カルテ
- 顔写真
- 生きている人のWikipediaの記事
- 防犯カメラによって撮影された誰かの顔が映った映像
注意点
個人情報は、公開されているか非公開であるかは関係ありません。
デジタルデータであるかアナログ情報であるかも関係ありません。
したがって、「個人情報」には、さまざまな種類の情報が幅広く該当し得る、といえます。
②個人データ
定義
「個人データ」とは、「個人情報データベース(※4)を構成する個人情報」をいいます(個人情報保護法2条6項)。
そして、この中に出てくる「個人情報データベース」(※4)とは、たとえば「個人情報を含む情報の集合物であって、特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの」をいいます(個人情報保護法2条4項1号)(※5)(※6)。
「電子計算機」とは、コンピュータ(サーバ、PC、スマホなど)のことです。法律の世界では、コンピュータのことを「電子計算機」と呼びます。
以上をわかりやすく整理すると、次のとおりです。
| 個人情報データベース | たくさんの個人情報を含む情報が集められていて、そのうちの特定の個人情報をコンピュータで検索できるようにしたもの(※5)(ただしこれだけではありません。※6) |
| 個人データ | 個人情報データベースの中のひとつひとつの個人情報 |
※4 個人情報保護法の正確な用語は「個人情報データベース等」です(個人情報保護法2条4項)。この記事では、わかりやすさを優先するため「個人情報データベース」という表記を使用しています。正確な用語は個人情報保護法の条文をご確認ください。
参考:個人情報の保護に関する法律|e-Gov法令検索
※5 個人情報保護法による「個人情報データベース等」の定義は、これよりも広く複雑です。この記事では、わかりやすさを優先して、定義の一部を抜粋・簡略化し、まずはコンピュータで検索できる形のものを例に解説します。「個人情報データベース等」の定義については、個人情報保護法の条文をご参照ください。
参考:個人情報の保護に関する法律|e-Gov法令検索
※6 この記事の後半で解説しますが、「個人情報データベース等」には、デジタルデータだけでなく紙で作られた名簿などコンピュータで検索できない形のものも含まれます。この記事の後半の「ワンポイント」も合わせてご参照ください。
具体例
個人データについて、具体例を使って説明していきます。
通販ウェブサイトを運営している会社(「X社」とします)が、そのウェブサイトで買い物をしたことのあるお客さんのリストを、購入顧客リストとして、自社のコンピュータ内にデータとして持っていたとしましょう。
| 顧客ID | 氏名 | 性別 | 年齢 | 郵便番号 | 住所 | 電話番号 | 購入日 | 購入商品 |
|---|---|---|---|---|---|---|---|---|
| … | … | … | … | … | … | … | ||
| 000158 | 甲野花子 | 女 | 31 | xxx-0011 | A県B市… | xxx-xx-xxxx | 2021/8/1 | 商品X |
| 000159 | 乙野太郎 | 男 | 29 | xxx-0002 | C県D市… | xxx-xx-xxxx | 2021/8/1 | 商品Y |
| 000160 | 丙山一郎 | 男 | 65 | xxx-0333 | E県F市… | xxx-xx-xxxx | 2021/8/2 | 商品Z |
| 000161 | 丁川里子 | 女 | 43 | xxx-0044 | G県H市… | xxx-xx-xxxx | 2021/8/3 | 商品X
商品Z |
| … | … | … | … | … | … | … |
注意点
個人情報保護法上、「個人情報データベース」や「個人データ」に該当するのは、コンピュータで扱うことのできるデータだけではありません。
紙で作ったアドレス帳や取引先名簿も「個人情報データベース」に該当します。
③保有個人データ
定義
「保有個人データ(③)」とは、「個人データ(②)」に該当するもののうち、ある企業が、その個人データを開示したり、内容を変更したり、消去したりできる権限を持つものをいいます(個人情報保護法2条7項)(※7)。
※7 より正確には、個人情報保護法では、保有個人データとは、「個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データ」と定義されています。また、一定の例外もあります(個人情報保護法2条7項)。
具体例
少し複雑なので、先ほどの通信販売会社X社の例を使って解説していきます。
下記の図2をご覧ください。
【図2】
先ほどの例と同じように、通信販売ウェブサイトを運営しているX社という会社があるとしましょう。
X社は、お客さんから注文を受けた商品をお客さんの自宅にお届けするため、配達会社Y社に商品の配達を委託しています。
Y社は、商品をお客様に配達するため、X社が管理している個人情報データベースから、配達先のお客さんの個人データ(配達先のお客さんの名前、住所、電話番号、購入した商品などの情報が入っています)をダウンロードします。
Y社は、配達先のお客さんの個人データを参照して、商品を届けます。
X社は、購入顧客リストを自社のコンピュータ内に保有しています。
X社は、そのコンピュータ上で操作をすることによって、購入顧客リストに含まれている個人データを変更したり、追加したり、削除したりするなどのコントロールをすることができます。
したがって、X社の立場からすると、購入顧客リストは「保有個人データ」に該当します。
Y社は、購入顧客リストを自ら保有しているわけではありません。
配達業務に必要な範囲で、X社が管理している購入顧客リストから配達先のお客さんの個人データをダウンロードしているだけです。
したがって、Y社は、X社のコンピュータ内で管理されている購入顧客リストを自由にいじることはできませんし、ダウンロードした個人データも発送業務に必要な範囲を超えて使用することも許されていません。
つまり、Y社は、購入顧客リストに含まれている個人データを変更したり、追加したり、削除したりするなどのコントロールはできないといえます。
したがって、Y社の立場からすると、購入顧客リストは「保有個人データ」に該当しません。
注意点
上の具体例のように、ある情報が「保有個人データ」に該当するかどうかの判断は、立場によって異なります。
同じ「個人データ」であっても、ある企業から見れば「保有個人データ」であると同時に、他の企業から見れば「保有個人データ」ではない、ということがあるので注意が必要です。
個人情報保護法の改正ポイントをわかりやすく
これまで解説してきましたように、個人情報保護法は、デジタルな情報化社会を背景として作られた法律です。
したがって、デジタル技術や社会情勢の急激な変化に対応して、個人情報保護法も時代に合わせた適切な内容へとアップデートしていかなければなりません。
そのため、個人情報保護法は、3年ごとに見直しが検討され、必要に応じて改正されることになっています。
個人情報保護法の最近の改正は、2021年(令和3年)5月(施行は2023年4月)です。
この改正は、これまで国の行政機関、民間企業及び地方公共団体等において、これまで別々に運用されてきた個人情報の取扱いを、個人情報保護委員会に所管させるというものです。
また、2025年(令和7年)3月5日に、個人情報保護委員会より「個人情報保護法の制度的課題に対する考え方について」が公表されました。
参考:個人情報保護法の制度的課題に対する考え方について|個人情報保護委員会
これは法改正ではなく、同委員会の検討状況を公表するものです。
したがって、現時点において、確定しているものではありません。
もっとも、今後の個人情報保護法の改正可能性について、最新の検討状況を知りたい企業は参考とされてよいでしょう。
また、個人情報保護法の最新状況についてはこちらをご確認ください。
なお、民間企業に特に影響が大きかった改正は、2020年(令和2年)6月に成立した法律と考えられます(2022年4月施行)。
このときの改正について、くわしい内容については、以下のページで解説しています。
個人情報保護法上の義務の考え方
ここからは、個人情報保護法が民間企業に対してどのような義務を課しているかについて解説していきます。
上記で説明しましたように、まず、個人情報保護法の義務は、「個人情報取扱事業者」に該当する法人・個人に対してだけ課されます。
「個人情報取扱事業者」に該当しない法人・個人には、個人情報保護法の義務は課されません。
- 「個人情報」を対象とする義務
- 「個人データ」を対象とする義務
- 「保有個人データ」を対象とする義務
次に、個人情報保護法の義務は、次の3種類があります。
そのため、今まさに問題となっている情報が「個人情報」、「個人データ」、「保有個人データ」のどれに該当するかを判断する必要があります。
以上をチャートにまとめると、次の図3のようになります。
【図3】
個人情報保護法の義務を考えるにあたっては、「個人情報」、「個人データ」、「保有個人データ」の包含関係に注意が必要です。
「個人情報」、「個人データ」、「保有個人データ」の包含関係については、図1を再掲しますのでご確認ください。
【図1】
例えば、「保有個人データ」は、「個人情報」のサブカテゴリである「個人データ」の、さらにサブカテゴリです。
したがって、例えば、今問題となっている情報が「保有個人データ」(図1の緑の部分)に該当する場合は、その情報は、同時に、「個人データ」にも該当するし、「個人情報」にも該当します。
したがって、情報が「保有個人データ」に該当する場合には、企業(個人情報取扱事業者)には、「個人情報」を対象とする義務、「個人データ」を対象とする義務、「保有個人データ」を対象とする義務のすべてが課されることになります。
個人情報などを取り扱う場合に守るべきルール
では、「個人情報」を対象とする義務、「個人データ」を対象とする義務、「保有個人データ」を対象とする義務を具体的に確認していきましょう。
なお、個人情報保護法が定める義務はとても細かいため、この記事でそのすべてを解説することはできません。
ここで行う義務の説明はあくまでイメージをつかみやすいようにややシンプルな記載を心がけたもので、個人情報保護法が実際に定める義務とは細かいところが異なることがあります。
より詳細な義務の内容については、個人情報保護法に詳しい弁護士にお問い合わせ下さい。
それぞれの義務についての注意点は以下にまとめています。ぜひ参考にしてください。
| 民間企業(個人情報取扱事業者)の義務 (個人情報保護法の条文) |
義務の概要(※8) |
|---|---|
| 個人情報の利用目的の特定(15条) | ・個人情報を取り扱うに当たっては、その利用目的をできる限り特定しなければならない。 ・利用目的を変更する場合は、変更後の利用目的が、変更前の利用目的と関連性を有する範囲内でなければならない。 |
| 利用目的による個人情報の取扱いの制限(16条) | ・個人情報は、上記15条で特定した利用目的の達成に必要な範囲内で取り扱わなければならない。この範囲を超えて個人情報を取り扱う場合は、本人の事前同意をとらなければならない。 |
| 個人情報の適正な取得(17条) | ・個人情報を取得するにあたっては、偽りの手段や不正の手段によって個人情報を取得してはならない。 |
| 個人情報の取得にあたっての利用目的の通知(18条) | ・個人情報を取得したときは、速やかに、その利用目的を、本人に通知するか、または公表しなければならない。 ・事前に利用目的をウェブサイトなどで公表しているときは、上記の通知・公表を改めて行う必要はない。 ・ただし、上記2つの例外として、本人と契約を締結するために契約書などの書面やウェブフォームなどのデータに記載された個人情報を取得するなどの場合は、必ず、本人に対して事前に利用目的を明示しなければならない。 |
| 民間企業(個人情報取扱事業者)の義務 (個人情報保護法の条文) |
義務の概要(※8) |
|---|---|
| 個人データの内容の正確性の確保・必要なくなった場合の削除(19条) | ・個人データを、正確かつ最新の内容に保たなければならない。 ・個人データを利用する必要がなくなったときは、その個人データを遅滞なく消去する努力義務がある。 |
| 個人データの安全管理措置(20条) | ・個人データの漏えい、滅失(データが消えてしまうこと)、毀損(データが壊れてしまうこと)を防止するなど、個人データの安全管理のために必要な、適切な措置をとらなければならない。 |
| 個人データの取扱いをさせる従業員・委託先の監督(21条・22条) | ・自社の従業員に個人データを取り扱わせるとき、あるいは外部の委託先に個人データの取扱いを委託するときは、個人データの安全管理のため、従業員や委託先に対する必要かつ適切な監督を行わなければならない。 |
| 外国にある第三者への提供の制限(24条) | ・個人データを外国にある第三者に提供するときは、事前に、本人から、「個人データを外国にある第三者へ提供する」ということについて同意を得なければならない。 |
| 確認・記録義務(25条・26条) | ・個人データを第三者に提供したときは、一定の事項を記録しておかなければならない。 ・個人データの提供を第三者から受けたときは、一定の事項を確認しなければならない。 |
| 民間企業(個人情報取扱事業者)の義務 (個人情報保護法の条文) |
義務の概要(※8) |
|---|---|
| 保有個人データに関する事項の公表(27条) | ・保有個人データについて、一定の事項(個人情報取扱事業者の名前・利用目的など)を公表しなければならない。 |
| 保有個人データの開示(28条) | ・保有個人データの本人は、保有個人データを持っている企業に対して、自分の個人データの開示を求めることができる。企業は、これに応じて保有開示データを開示しなければならない。 |
| 保有個人データの訂正・追加・削除(29条) | ・保有個人データの本人は、保有個人データを持っている企業に対して、自分の個人データが事実ではないときはその訂正・追加・削除を求めることができる。企業は、これに応じて保有開示データを訂正・追加・削除を示しなければならない。 |
| 保有個人データの利用停止や削除(30条) | ・保有個人データの本人は、 ①自分の個人データが利用目的の範囲外で取り扱われているとき(企業が16条違反をしたとき)、または ②企業が偽りや不正の手段でその個人データを取得したとき(企業が17条違反をしたとき)は、 保有個人データを持っている企業に対して、その個人データの利用停止や消去を求めることができる。企業は、違反を是正するために必要な範囲で、これに応じなければならない。 |
| 理由の説明(31条) | (たいへん細かい内容ですので、この記事では省略いたします。) |
| 開示等の求めに応じる手続(32条) | |
| 手数料(33条) |
※8 ここに記載している義務の内容は、個人情報保護法の定める義務の内容を抜粋・簡略化したものです。正確な義務の内容については、個人情報保護法の条文をご覧ください。ご不明のことがありましたら、個人情報保護法に詳しい弁護士にぜひご相談ください。
参考:個人情報の保護に関する法律|e-Gov法令検索
以上が、個人情報保護法によって民間企業(「個人情報取扱事業者」)に課されている義務です。
「個人情報取扱事業者」に該当する法人・個人事業主は、これらの義務を守る必要があります。
なお、民間企業がこれらの義務をどのように守っていけばよいかについては、個人情報保護委員会(個人情報保護法を担当している政府機関)からガイドラインが出ています。
参考:個人情報の保護に関する法律についてのガイドライン(通則編)|個人情報保護委員会
個人情報保護法に関するガイドライン等がまとめられている個人情報保護委員会のウェブページは以下をご覧ください。
ガイドラインがあるとはいえ、個人情報保護法が定める義務はとても複雑です。自社がこれらの義務に違反しないようにするための対策を立てるのは、場合によっては専門的な判断が必要になることもあります。
不安なことがありましたら、個人情報保護法に詳しい弁護士にぜひご相談ください。
個人情報保護法に違反したときの罰則
個人情報保護法には、違反した者に対するペナルティが定められています。このペナルティの中には、刑事罰も含まれています。
刑事罰とは、犯罪に対して課される罰のことです。
つまり、個人情報保護法に違反すると、犯罪行為になってしまう可能性もあるのです。
犯罪行為になってしまうと企業にとってデメリットが大きいですから、個人情報保護法に違反しないよう十分な注意が必要です。
民間企業に対して適用される可能性のある罰則のうち、主なものは次のとおりです。
会社や個人が個人情報保護法の義務に違反するなどした場合は、まず、個人情報保護委員会から違反を是正するよう勧告を受けます(個人情報保護法42条1項)。
この勧告が出ても違反を是正しなかったときは、さらに、個人情報保護委員会から「命令」が出されます(個人情報保護法42条2項)。
また、会社や個人による個人情報保護法違反が重大なものであるときは、勧告というワンクッションを置かずに、いきなり「命令」が出ることもあります(個人情報保護法42条3項)。
そして、「命令」を受けた会社や個人がこの命令に違反したときは、犯罪行為として、1年以上の拘禁刑または100万円以下の罰金という刑に処せられる可能性があります。
自社の業務で使っている個人情報データベース(そのうちの一部をコピーしたものなども含まれます。)を、自分の利益のために、または誰かの利益を図ってあげるために、他人に提供してしまったり、盗用したりしたときは、犯罪行為として、1年以下の拘禁刑または50万円以下の罰金に処せられる可能性があります。
このように、個人情報保護法には、厳しい罰則が設けられています。日ごろから、個人情報の取扱いには高い意識をもって取り組んでおきましょう。
そのほか、個人情報保護法に違反した場合のデメリットを以下にまとめています。ぜひ参考にしてください。
個人情報保護法の改正
これまで解説してきましたように、個人情報保護法は、デジタルな情報化社会を背景として作られた法律です。
したがって、デジタル技術や社会情勢の急激な変化に対応して、個人情報保護法も時代に合わせた適切な内容へとアップデートしていかなければなりません。
そのため、個人情報保護法は、3年ごとに見直しが検討され、必要に応じて改正されることになっています。
個人情報保護法の最近の改正は、2021年(令和3年)5月(施行は2023年4月)です。
この改正は、これまで国の行政機関、民間企業及び地方公共団体等において、これまで別々に運用されてきた個人情報の取扱いを、個人情報保護委員会に所管させるというものです。
民間企業に特に影響が大きい改正は、2020年(令和2年)6月に成立した法律と考えられます(2022年4月施行)。
この改正法のくわしい内容については、以下のページで解説しています。
医療・介護事業者の個人情報保護に関するガイドライン
これまで解説してきたような個人情報保護法のルールは、産業分野を問わず、どんな業種にも適用されます。
ただ、社会には様々な業種があり、それぞれの業種ごとに特別な事情や異なる商習慣があります。
そのため、さまざまな政府機関が、特定の業種ごとに、その業種で個人情報保護法のルールをしっかり守っていくためのガイドラインを出しています。
例えば、個人情報保護委員会と厚生労働省は、共同で、医療・介護関係の事業者のために、医療・介護業界の特殊事情を踏まえて個人情報保護法をしっかり遵守していくための特別なガイダンスを出しています。
医療・介護業界に所属する会社や個人事業主のみなさまは、以下のガイドラインもぜひご参照ください。
参考:医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス|個人情報保護委員会
また、そのほかの分野に向けても各種ガイドラインがあります。以下のウェブサイトをご参照ください。
まとめ
以上、個人情報保護法について解説しました。これまでのポイントをまとめます。
- 個人情報保護法の目的は、個人情報を保護しつつ、個人情報の利活用とバランスをとること
- 個人情報保護法は、民間企業に義務を課すことで目的に近づこうとするタイプの法律
- 自社に個人情報保護法の義務が課されるかどうかのポイントは、自社が「個人情報取扱事業者」に該当するかどうか
- 「個人情報取扱事業者」とは、「個人情報データベース」を業務で利用している法人や個人のこと→ほとんどの事業者が該当する可能性あり!
- 「個人情報」には3つのパターン、どれか1つにあてはまるとその情報は「個人情報」
- ① 単体で個人を識別できる情報
- ② 単体では個人を識別できないけれど、他の情報と容易に組み合わせて個人を識別できるようになる情報
- ③ 個人識別符号(例:指紋データやマイナンバー)を含んでいる情報
- 「個人情報」にはサブカテゴリがある!「個人データ」と「保有個人データ」
- 個人情報保護法の義務は、「個人情報」「個人データ」「保有個人データ」それぞれを対象としたものがある!→自社に課される義務を知るためには、手持ちの情報がどれに該当するかの判断が必要!
- 義務に違反すると罰則の可能性も!
- 個人情報保護法は3年ごとに改正!
この記事が個人情報の取扱いに悩む事業者様のお役に立ちますと幸いです。
