このページの本文へ
ページの先頭です。

個人情報保護法の概要

印刷用ページを表示する掲載日2019年8月28日

【個人情報の保護に関する法律(個人情報保護法)とは】

 

 個人情報の保護に関する法律(以下,個人情報保護法といいます。)は,利用者や消費者が安心できるように,企業や団体に個人情報をきちんと大切に扱ってもらった上で,有効に活用できるよう共通のルールを定めた法律です。(平成15年5月に公布,平成17年4月に全面施行されました。)

 なお,情報通信技術の発展や事業活動のグローバル化等の急速な環境変化等を踏まえ,平成27年9月に改正法が公布され,平成29年5月30日から全面施行されました。

 改正前の個人情報保護法では,5000人以下の個人情報しか有しない中小企業・小規模事業者の方は適用対象外となっていました。しかし,法改正によりこの規定は廃止され,個人情報を取り扱う「すべての事業者」に個人情報保護法が適用されることとなりました。(取り扱う個人情報の数に関わらず,例えば,紙やデータで名簿を管理されている事業者は,すべて「個人情報取扱事業者」となり,法の対象になります。「事業者」には,法人に限らず,マンションの管理組合,NPO法人,自治会や同窓会などの非営利組織も含まれます。)

 

 

【民間事業者が個人情報を取り扱う際のルールについて】

  

 個人情報保護法では,民間事業者の個人情報の取扱いについて,4つの基本ルールを規定しています。

 

1 個人情報の取得・利用

 個人情報取扱事業者は,個人情報を取り扱うに当たって,利用目的をできる限り特定しなければならないとされています(個人情報保護法第15条第1項)。

 その際,利用目的はできるだけ具体的に特定しましょう。

 また,特定した利用目的は,あらかじめ公表しておくか,個人情報を取得する際に本人に通知する必要があります。

 

2 個人データの安全管理措置

 個人情報取扱事業者は,個人データの安全管理のために必要かつ適切な措置を講じなければならないとされています(個人情報保護法第20条)。

 (1) 安全管理の方法について

 個人データの安全管理のため講じなければならない措置は,個人データが漏えい等した場合に本人が被る権利利益の侵害の大きさを考慮し,事業の規模及び性質,個人データの取扱状況,個人データを記録した媒体の性質等に起因するリスクに応じて,必要かつ適切な内容とする必要があります。

 (2) 小規模事業者に対する特例について

 小規模の事業者の事業が円滑に行われるように配慮することとされており,安全管理措置については,従業員の数が100人以下の中小規模事業者(一部の事業者を除く。)に対して,ガイドラインにおいて特例的な対応方法が示されています。

 

3 個人データの第三者提供

 個人情報取扱事業者は,人データを第三者に提供する場合,原則としてあらかじめ本人の同意を得なければなりません(個人情報保護法第23条第1項)。

 また,第三者に個人データを提供した場合,第三者から個人データの提供を受けた場合は,一定事項を記録する必要があります(個人情報保護法第25条,26条)。

 

4 保有個人データの開示請求

 個人情報取扱事業者は,本人から保有個人データの開示請求を受けたときは,本人に対し,原則として当該保有個人データを開示しなければならないとされています(個人情報保護法第28条)。

 また,個人情報の取扱いに関する苦情等には,適切・迅速に対応するよう努めることが必要です(個人情報保護法第35条)。

 

 

【匿名加工情報について】

 匿名加工情報とは,個人情報を本人が特定できないように加工をしたもので,当該個人情報を復元できないようにした情報をいいます。

 個人情報の取扱いよりも緩やかな規律の下,自由な流通・利活用を促進することを目的に個人情報保護法の改正により新たに導入されました。

 匿名加工情報の作成方法の基準は,個人情報保護委員会規則で定められています。これを最低限の規律とし,民間事業者の自主的なルールの策定が期待されます。

 このような基準に則って匿名加工情報を作成した場合は,当該匿名加工情報に含まれる個人に関する情報の項目を公表する義務があります(個人情報保護法第36条)。

 匿名加工情報を第三者に提供する場合は,あらかじめ,第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供方法を公表するとともに,提供する情報が匿名加工情報である旨を明示する必要があります(個人情報保護法第36条第4項,第37条)。

 

 

【個人データの漏えい等について】

 

 個人情報取扱事業者には,「個人データの漏えい等の事案が発生した場合等の対応について」(平成29年委員会告示第1号)に基づく措置が求められています。

 個人データの漏えい等の事案が発覚した場合に講ずるべき措置としては,(1)事業者内部における報告,被害の拡大防止,(2)事実関係の調査、原因の究明,(3)影響範囲の特定,(4)再発防止策の検討・実施,(5)影響を受ける可能性のある本人への連絡等,(6)事実関係,再発防止策の公表があげられています。

 また,内容によって,個人情報保護委員会等への報告が求められています。

 

 

【罰則】

  

 国は事業者に対して,必要に応じて報告を求めたり,立入検査を行うことができます。

 また,実態に応じて,指導・助言,勧告・命令を行うことができます。

 監督に従わない場合は,罰則が適用される可能性があります。

 

 

【個人情報保護委員会について】

 

1 個人情報保護委員会の監視・監督権限

 個人情報保護委員会は,個人情報,匿名加工情報の適正な取扱いに向けた取組みを行っており,個人情報保護法に違反する,又は違反するおそれがある場合に,立入検査をし,指導・助言や勧告・命令をすることができます。

 その場合,個人情報保護委員会の命令に従わなければ,罰則の適用もあり得ます。

 

2 個人情報保護法相談ダイヤル

 個人情報保護委員会では,個人情報保護法の解釈についての一般的な質問や,苦情あっせんのための個人情報保護法相談ダイヤルを設置しています。

 

個人情報保護法相談ダイヤル

☎ 03-6457-9849

受付時間 土日祝日及び年末年始を除く 9時30分~ 17時30分

 

 

(リンク)

 ・個人情報保護委員会ホームページ

 ・個人情報保護法ハンドブック

 ・個人情報の保護に関する法律についてのガイドライン(通則編等)

 ・個人データの漏えい等の事案が発生した場合等の対応について

 

 

 

Adobe Reader

PDF形式のファイルをご覧いただく場合には、Adobe社が提供するAdobe Readerが必要です。
Adobe Readerをお持ちでない方は、バナーのリンク先からダウンロードしてください。(無料)

おすすめコンテンツ

この記事をシェアする