個人情報保護法とは？概要や基本ルールを解説

情報化が進む現代社会では、個人情報の活用が欠かせません。

しかし、不適切な管理をおこなえば、顧客や取引先からの信頼を損ねます。そうならないためにも、個人情報保護法の理解が必須です。

個人情報保護法とは、個人情報の有用性に配慮しながら、個人の権利や利益を守る法律です。これに沿って情報を活用することで、適切な保護体制を構築できます。

本記事では、個人情報保護法について詳しく解説します。取り扱いルールや罰則も取り上げるので、ぜひ参考にしてください。

個人情報保護法とは

インターネットの普及に伴い、個人情報を活用してサービスの向上や業務効率化を図る企業が増えています。

しかし、氏名や生年月日などの個人情報は、プライバシーにかかわる重要なもの。不適切に取り扱われれば、提供した本人に損害が生じる恐れがあります。

そこで、個人情報の活用を促しつつも、個人の権利と利益を保護する「個人情報保護法」が2005年4月に施行されました。

ここでは、個人情報保護法の目的や種類について解説します。

個人情報保護法の目的

個人情報保護法は、個人情報の有用性に配慮しつつ、個人の権利や利益を守ることを目的としています。

「個人情報の有用性」には、個人情報の活用が社会発展や新事業創出の手助けになるという意味合いがあります。

つまり、社会発展のために個人情報を効果的に活用しながら、個人の権利利益も保護していく、2つの目的のもとで運用されています。

個人情報保護法における個人情報の種類

個人情報保護法には、個人情報のほか、以下3つの用語が存在します。

個人情報データベース等とは、個人情報を容易に検索できるようにまとめた情報の集合です。パソコンで検索できるものや紙面で索引するものなど、さまざまな形式があります。

具体的には、メールソフトに保管されたアドレス帳、五十音順で並べられた名簿などが該当します。

個人データとは、個人情報データベース等に記載された一つ一つの個人情報です。氏名や生年月日、住所、電話番号などが含まれます。

保有個人データとは、個人データのうち、個人情報取扱事業者に開示や訂正、消去の権限があるデータです。顧客情報や社員の個人情報など、自社で6か月以上保有する情報が当てはまります。

これらは個人情報保護法を理解するうえで重要な用語になるため、理解しておきましょう。

個人情報の具体例

個人情報保護法における個人情報とは、生存する個人に関する情報で、具体的には氏名や住所、顔写真などが該当します。また、ほかの情報と引き合わせることで個人を特定できるものも当てはまります。

たとえば、出身校だけでは個人を特定できませんが、氏名と組み合わせることで識別できます。なお、番号から個人を特定できる情報も個人情報として扱われます。

具体的には、運転免許証番号や保険者番号、マイナンバーなど、利用者ごとに振り分けられる番号です。そのほか、指紋や声紋、虹彩など、電子処理で利用される身体の情報も個人情報に含まれます。

個人情報を取り扱う際の基本ルール

ここからは、個人情報の取り扱いにおける基本的なルールをシーン別に解説します。

1. 個人情報を利用するとき
2. 個人情報を管理するとき
3. 個人情報を第三者に提供するとき
4. 情報の開示を求められたとき

順番に見ていきましょう。

個人情報を利用するとき

個人情報を利用する際は、目的を明確にしたうえで掲示する必要があります。

Webサイトなどに利用目的を記載し、提供者に伝えましょう。取得した個人情報は、原則目的の範囲内で利用しなければなりません。目的以外で利用する場合は、本人の同意が必要になるため注意しましょう。

なお、要配慮個人情報を取得する際は、本人の同意を得る必要があります。

要配慮個人情報とは、差別や偏見が生じないよう、取り扱いに厳重配慮を要する個人情報です。具体的には、人種や信条、社会的身分などが当てはまります。

個人情報を管理するとき

個人情報を管理する際は、漏えいが生じないように細心の注意を払いましょう。

紙で保管する場合は、鍵付きのロッカーや書庫に書類を収納してください。データの場合は、ファイルにパスワードを設定したり、セキュリティソフトをインストールするのが効果的です。

また、従業員や委託先においても個人情報の管理が適切におこなわれるよう、指導や監督を徹底しましょう。

個人情報の流出は人為的なミスによっても発生します。組織内で保護体制を強化することで、より安全に管理できるでしょう。

個人情報を第三者に提供するとき

個人情報を第三者に提供する際は原則、本人の同意が必要ですが、以下のケースに限っては不要です。

• 警察や裁判所、税務署から求められた場合
• 身体や財産の保護に必要な場合
• 公衆衛生の向上または児童の健全な育成に必要な場合
• 学術研究を目的とする場合
• 委託や事業継承などで利用する場合 など

第三者に個人情報を提供した際は誰の・どのような情報を・どこへ提供したのかを記録する必要があります。提供された側も同様に、どのような情報を受け取ったのかを記録しなければならないため注意しましょう。

本人から情報の開示を求められたとき

個人情報を提供した本人から請求があった場合は、データの開示や訂正、利用停止に素早く対応する必要があります。

提供者本人が必要だと感じた際に請求できるよう、以下の情報をWebサイトで掲示しておきましょう。

• 個人情報取扱事業主の名称や所在地
• 個人情報を利用する目的
• 利用目的の開示などの請求手続き
• 安全管理のために講じた措置
• 情報の取り扱いに関する苦情の問い合わせ先

個人情報保護法の適用対象外

個人情報取扱事業者のうち、憲法上で保障された3つの自由（表現の自由・信教の自由・政治活動の自由）にかかわる以下の団体と活動については、個人情報保護法の適用対象外となります。

個人情報を取り扱う目的が一部でも上記に該当すれば、法の適用は除外されます。

たとえば、報道機関が個人情報を取り扱う際、報道目的とそれ以外の目的が混在するケースは珍しくありません。そのような場合でも報道目的が一部でも含まれていれば、個人情報保護法の適用対象外となります。

個人情報の漏えいやトラブルが発生したら？

漏えいやトラブルによって個人の権利や利益を損ねる可能性が高い場合は、個人情報保護委員会に報告したうえで本人へ通知する必要があります。

報告の義務が生じるトラブルは以下のとおりです。

• 要配慮個人情報の漏えい
• 財産的被害が生じる恐れがある漏えい
• 不正を目的とした漏えい
• 1,000人以上の個人情報の漏えい など

従来は、漏えい発生後の報告や通知は努力義務とされていました。しかし、2022年4月からの法改正によって取り扱いが見直され、義務に変更されました。

事業者が漏えいの発生を本人へ素早く伝えることで、利用停止や消去を請求しやすくなり、二次被害防止にもつながります。

個人情報保護法に違反した場合の罰則

個人情報保護法には、違反者に対する罰則が定められています。中には刑事罰も含まれており、違反内容によっては犯罪行為になってしまうため注意しましょう。

ここからは企業に対して科される可能性のある罰則をシーン別に解説します。

国からの命令に違反した場合

企業が個人情報保護法の義務に違反した場合、まず個人情報保護委員会から違反箇所是正の勧告が届きます。勧告に応じなかった場合は、より強制力がある「命令」に変わります。

なお、違反内容が重大と判断された事業者には、いきなり命令が下されるケースもあります。命令を下されたにもかかわらず違反を是正しなかった事業者には、1年以下の懲役または100万円以下の罰金が科されます。

虚偽の報告をした場合

個人情報保護委員会が実施する検査において、資料の提出をしなかったり、虚偽の報告をしたりした事業者には、50万円以下の罰金が科されます。

不正な利用を目的にデータを提供・盗用した場合

保有する個人情報データベース等を、自社や第三者の利益のために提供したり、盗用したりした場合も違反とみなされます。

この場合、1年以下の懲役または50万円以下の罰金が科せられます。

まとめ：個人情報保護法を理解して個人情報を正しく利用しよう

個人情報保護法とは、個人情報の活用を促しつつも、個人の権利と利益を保護する法律です。個人情報を取り扱う際は、個人情報保護法の内容を理解したうえで、ルールに沿って正しく利用しましょう。

なお、個人情報保護法で定められた義務に違反した場合は、罰則が科される恐れがあるため注意してください。