個人情報保護法の概要
【個人情報の保護に関する法律(個人情報保護法)とは】
個人情報の保護に関する法律(以下,個人情報保護法といいます。)は,利用者や消費者が安心できるように,企業や団体に個人情報をきちんと大切に扱ってもらった上で,有効に活用できるよう共通のルールを定めた法律です(平成15年5月に公布,平成17年4月に全面施行されました。)。
平成27年9月に,情報通信技術の発展や事業活動のグローバル化等の急速な環境変化等を踏まえ,改正法が公布され,平成29年5月30日から全面施行されました。
改正前の個人情報保護法では,5000人以下の個人情報しか有しない中小企業・小規模事業者の方は適用対象外となっていました。しかし,法改正によりこの規定は廃止され,個人情報を取り扱う「すべての事業者」に個人情報保護法が適用されることとなりました(取り扱う個人情報の数に関わらず,例えば,紙やデータで名簿を管理されている事業者は,すべて「個人情報取扱事業者」となり,法の対象になります。「事業者」には,株式会社などの営利法人に限らず,マンションの管理組合,NPO法人,自治会や同窓会などの非営利組織も含まれます。)。
また,令和2年6月に,自身の個人情報に対する意識の高まり,技術革新を踏まえた保護と利活用のバランス,越境データの流通増大に伴う新たなリスクへの対応等の観点から,改正法が公布され,令和4年4月1日から全面施行されました。
さらに,令和3年5月に,「デジタル社会の形成を図るための関係法律の整備に関する法律(令和3年法律第37号)」の成立により,民間事業者,国の行政機関,独立行政法人等,地方公共団体ごとで異なっている個人情報の取扱いに関するルールが,全て,個人情報保護法に一元化されることとなり,民間事業者,国の行政機関,独立行政法人等は令和4年4月1日から施行され,地方公共団体を含めた全面施行は令和5年4月1日からとなっています。
【民間事業者が個人情報を取り扱う際のルールについて】
個人情報保護法では,民間事業者の個人情報の取扱いについて,4つの基本ルールを規定しています。
1 個人情報の取得・利用
個人情報取扱事業者は,個人情報を取り扱うに当たって,利用目的をできる限り特定しなければならないとされています(個人情報保護法第17条第1項)。
その際,利用目的はできるだけ具体的に特定しましょう。
また,特定した利用目的は,あらかじめ公表しておくか,個人情報を取得する際に本人に通知する必要があります(個人情報保護法第21条第1項)。
2 個人データの安全管理措置
個人情報取扱事業者は,個人データの安全管理のために必要かつ適切な措置を講じなければならないとされています(個人情報保護法第23条)。
(1) 安全管理の方法について
個人データの安全管理のため講じなければならない措置は,個人データが漏えい等した場合に本人が被る権利利益の侵害の大きさを考慮し,事業の規模及び性質,個人データの取扱状況,個人データを記録した媒体の性質等に起因するリスクに応じて,必要かつ適切な内容とする必要があります。
(2) 中小規模事業者に対する特例について
中小規模の事業者の事業が円滑に行われるように配慮することとされており,安全管理措置については,従業員の数が100人以下の中小規模事業者(一部の事業者を除く。)に対して,ガイドラインにおいて特例的な対応方法が示されています。
3 個人データの第三者提供
個人情報取扱事業者は,個人データを第三者に提供する場合,原則としてあらかじめ本人の同意を得なければなりません(個人情報保護法第27条第1項)。
また,第三者に個人データを提供した場合,第三者から個人データの提供を受けた場合は,一定事項を記録する必要があります(個人情報保護法第29条,30条)。
4 保有個人データの開示請求
個人情報取扱事業者は,本人から保有個人データの開示請求を受けたときは,本人に対し,原則として当該保有個人データを開示しなければならないとされています(個人情報保護法第33条)。
また,個人情報の取扱いに関する苦情等には,適切・迅速に対応するよう努めることが必要です(個人情報保護法第40条)。
【仮名加工情報について】
仮名加工情報とは,個人情報を他の情報と照合しない限り本人が特定できないように加工した情報をいいます。
仮名加工情報の作成方法の基準は,個人情報保護委員会規則で定められており,作成された仮名加工情報は,法令に基づく場合を除いて,第三者に提供してはなりません(個人情報保護法第42条)。
【匿名加工情報について】
匿名加工情報とは,個人情報を本人が特定できないように加工をしたもので,当該個人情報を復元できないようにした情報をいいます。
個人情報の取扱いよりも緩やかな規律の下,自由な流通・利活用を促進することを目的に導入されました。
匿名加工情報の作成方法の基準は,個人情報保護委員会規則で定められています。これを最低限の規律とし,民間事業者の自主的なルールの策定が期待されます。
このような基準にのっとって匿名加工情報を作成した場合は,当該匿名加工情報に含まれる個人に関する情報の項目を公表する義務があります(個人情報保護法第43条第3項)。
匿名加工情報を第三者に提供する場合は,あらかじめ,第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供方法を公表するとともに,提供する情報が匿名加工情報である旨を明示する必要があります(個人情報保護法第43条第4項,第44条)。
【個人関連情報について】
個人関連情報とは,生存する個人に関する情報で,個人情報,仮名加工情報,匿名加工情報のいずれにも該当しないものをいいます。
個人関連情報を第三者に提供する場合,提供先において個人データとして取得されることが想定されるときは,提供元は第三者提供に関して本人同意が得られていることの確認をすることが義務付けられています(個人情報保護法第31条第1項)。
【個人データの漏えい等について】
個人情報取扱事業者は,その取り扱う個人データの漏えい,滅失,棄損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは,個人情報保護委員会へ報告するとともに本人へ通知しなければなりません(個人情報保護法第26条)。
そのほか,個人データの漏えい等の事案が発覚した場合に講ずるべき措置として,(1)事業者内部における報告及び被害の拡大防止,(2)事実関係の調査及び原因の究明,(3)影響範囲の特定,(4)再発防止策の検討及び実施などが求められています。
【罰則】
個人情報保護委員会は事業者に対して,必要に応じて報告を求めたり,立入検査を行うことができます。
また,実態に応じて,指導・助言,勧告・命令を行うことができます。
監督に従わない場合や,役員・従業者等が不正な利益を図る目的で個人データベース等を提供・盗用した場合などは,罰則が適用される可能性があります。
【個人情報保護委員会について】
1 個人情報保護委員会の監視・監督権限
個人情報保護委員会は,個人情報,仮名加工情報,匿名加工情報,個人関連情報の適正な取扱いに向けた取組を行っており,個人情報保護法に違反する,又は違反するおそれがある場合に,立入検査をし,指導・助言や勧告・命令をすることができます(個人情報保護法第146条,第147条,第148条)。
その場合,個人情報保護委員会の命令に従わなければ,罰則の適用もあり得ます(個人情報保護法第178条)。
2 個人情報保護法相談ダイヤル
個人情報保護委員会では,個人情報保護法の解釈についての一般的な質問や,苦情あっせんのための個人情報保護法相談ダイヤルを設置しています。
|
【行政機関等が個人情報を取り扱う際のルールについて】
行政機関等における個人情報保護制度についても,民間事業者と同様に,個人情報保護法に基づき規定されています。個人情報保護法では,行政機関等の事務及び事業の適正かつ円滑な運営を図り,並びに個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ,個人の権利利益を保護することを目的としています。
また,行政機関等が守るべき個人情報の取扱いに関するルールとして,保有の制限等,利用目的の明示,不適正な利用・取得の禁止,正確性の確保,安全管理措置及び利用・提供の制限等を定めるとともに,同法に基づき,次のような制度を設けています。
開示請求制度:行政機関等に対して,自己を本人とする保有個人情報の開示を請求できる制度
訂正請求制度:行政機関等に対して,開示を受けた保有個人情報について訂正を請求できる制度
利用停止請求制度:行政機関等に対して,開示を受けた保有個人情報について利用の停止を請求できる制度
広島県の個人情報保護制度の概要は広島県の個人情報の概要をご覧ください。
(リンク)
・個人情報の保護に関する法律についてのガイドライン(通則編)
・個人情報の保護に関する法律についてのガイドライン(仮名加工情報・匿名加工情報編)
PDF形式のファイルをご覧いただく場合には、Adobe社が提供するAdobe Readerが必要です。
Adobe Readerをお持ちでない方は、バナーのリンク先からダウンロードしてください。(無料)