個人情報保護法とは｜法律の概略をつかむ

 

 
自社が保有する顧客などの個人情報が流出する事件が後を絶ちません。

従業員や役員などが個人情報を流出させてしまった場合、個人情報保護法違反として、
1年以下の拘禁刑または50万円以下の罰金という刑罰を科される可能性があります。

さらに、企業には1億円以下の罰金という大きなペナルティが科される可能性があります。

経営者も従業員も、個人情報保護法の内容を理解しておくことは必須です。

そこで本記事では、個人情報の取り扱いに関するルールを定めた法律である「個人情報保護法」について、企業側の視点から次の項目を中心に解説していきます。
 

 
個人情報保護法は、ただ個人情報を保護するだけでなく、適切な利用・活用を促進していくことも重要な目的としています。

企業活動の継続・維持、業績アップのためにも、ぜひ最後まで読んでいただき、正しい知識を身につけていただきたいと思います。
 

個人情報保護法について
知っておくべき基礎知識

個人情報保護法とは？

「個人情報保護法」（正式名称：個人情報の保護に関する法律）は、個人情報の有用性に配慮しながら、個人の権利や利益を保護することを目的とし、2003（平成15）年に制定、2005（平成17）年に全面施行された法律です。

個人情報保護法は、国の行政機関や独立行政法人、地方公共団体、一般企業など、個人情報を取り扱うすべての事業者や組織が守らなければならない共通のルールです。

デジタル技術の進展、経済や社会情勢のグローバル化、個人情報に対する意識の高まりなどを背景に、個人情報保護法はこれまで3度の大きな改正が行われ、現実に即した対応が進められています。
なお、2015年から、3年ごとに法改正をして見直すことが明文化されています。

これまでの主な改正内容を確認

次に、これまでの個人情報保護法の改正の流れと変更点について見ていきます。

2017年（平成29年）の
主な改正ポイント

１．「個人識別符号」の追加
個人情報の定義を明確化することにより、グレーゾーンを解消（規制強化）。

２．「匿名加工情報」の新設
個人情報を加工し、個人を特定できないようにすれば、本人の同意がなくても外部に提供できるように規制を緩和。

３．「要配慮個人情報」の新設
人種・信条・病歴など差別や偏見につながる可能性のある個人情報を「要配慮個人情報」とすることで、本人の同意のない収集や外部への提供を禁止（規制強化）。

４．「第三者提供」の際のルールの追加
 

 
※オプトアウト：本人からの反対がない限り、これに同意したものとみなして、事業者が個人情報を第三者へ提供できる仕組み。

2022年（令和4年）の
主な改正ポイント

１．個人の権利・利益の拡充
個人情報の利用停止・消去等の請求権が拡充。

２．企業や事業者の責務を追加
漏えい・滅失・毀損があり、個人の権利や利益を害する恐れが大きい場合の報告・通知が義務化。

３．法令違反への罰則を強化
措置命令や報告義務違反などの罰則内容を引き上げ。

４．外国事業者に対しての規定を変更
日本国内にある者に関わる個人情報等を取り扱う外国事業者を報告徴収・命令の対象とし、罰則も適用。

５．新しいデータの分類を定義
新たに、「仮名加工情報」と「個人関連情報」と呼ばれるデータの分類を定義。

2024年（令和6年）の
主な改正ポイント

１．漏えい等に関する報告義務の対象範囲を
拡大
個人データの漏えいだけでなく、委託先等の第三者に対する不正アクセスなどによって生じた漏えい等も報告対象に追加。

２．安全管理措置の範囲を拡大
個人情報取扱事業者が講ずべき安全管理措置について、事業者が個人データとして取り扱うことを予定している個人情報も対象に追加。

適用される事業者は？

個人情報保護法および同施行令は、営利、非営利ともに取扱件数に関係なく（1件でも）、個人情報を取り扱うすべての事業者・組織に適用されます。

以前は、5,000件以下の事業者は個人情報保護法適用の対象外でしたが、2017年の法改正により、その条件が撤廃されています。

個人情報の定義と種類について

個人情報保護法では、個人情報の定義を「生存する個人に関する情報であって、この情報に含まれる氏名・生年月日その他の記述等により、特定の個人を識別することができるもの」と規定しています（第2条）。

重要なポイントは、「個人に関する情報であること」と「特定の個人を識別できること」です。

これらの定義とポイントに基づき、法律で保護される個人情報について見ていきます。

個人情報の種類

基本的な個人情報

個人を直接識別できるもので、もっとも一般的な情報の類型として次のものが該当します。
 

• 氏名
• 生年月日、住所、電話番号、
  メールアドレス、会社における職位または
  所属に関する情報など
• これらと本人の氏名を組み合わせた情報

 
さらに、次のようなものも個人情報になります。
 

個人識別符号

文字、番号、記号その他の符号、特定の個人を識別できるもの。

次のような、単体の情報で特定の個人を識別できるものが個人情報になります。
 
＜身体の特徴をパソコンで使えるように
変換した文字、番号、記号、その他の符号で
個人を識別できるもの＞

• DNA配列
• 顔認証データ
• 眼球の虹彩
• 声紋
• 歩行態様
• 静脈認証
• 指紋
• 掌紋

 
＜個人に発行されるカードなどに記載された
番号等で特定の個人を識別できるもの＞

• パスポート番号
• 基礎年金番号
• 運転免許証番号
• 住民票コード
• マイナンバー
• 健康保険の被保険者証番号　など

個人データ・
個人情報データベース・
保有個人データ

企業が取得した個人情報をデータベースで保管・管理する場合、それらの情報は「個人データ」になり、「個人情報データベース」を構成します。

個人情報データベースとは、
 

 
などを指します。

また、個人データのうち、個人情報取扱事業者が本人から請求される開示・訂正・削除などに応じることができる権限を有するものが「保有個人データ」となります。

個人データの例

• 顧客情報（顧客の氏名、住所、連絡先、
  購入履歴など）
• 取引先企業／仕入れ先事業者などの情報
• 従業員情報（従業員の氏名、住所、
  連絡先、給与情報、勤務評価など）
• 会員情報（会員の氏名、連絡先、
  活動履歴など）
• 患者情報（医療機関が保有する患者の
  氏名、診療記録、処方箋情報など）

個人情報データベースの例

• 電子メールソフトに保管されているメールアドレス帳（メールアドレスと氏名を組み合わせた情報）
• インターネットサービスで、ユーザーが利用したサービスに関わるログ情報がユーザーIDによって整理・保管されている電子ファイル（ユーザーIDと個人情報を容易に照合できるもの）
• 従業員が作成した名刺情報ファイル
• 人材派遣会社の人材登録ファイル　など

保有個人データの例

• 社内で管理している顧客情報
• 社員名簿
• 顧客の購入履歴管理表　など

その他

「仮名加工情報」
他の情報と照合しない限り、特定の個人を識別できないよう加工した情報

「匿名加工情報」
特定の個人を識別できないよう加工した情報であって、特定の個人の情報を復元できないようにしたもの

「個人関連情報」

• Cookie等の端末識別子を通じて収集された、ある個人のウェブサイトの閲覧履歴、ログイン履歴
• メールアドレスに結び付いた、ある個人の年齢・性別・家族構成、IPアドレス等
• ある個人の商品購買履歴、サービス利用履歴等
• ある個人の位置情報
• ある個人の興味・関心を示す情報

要配慮個人情報

他人に公開されることで、不当な差別や偏見などの不利益を本人が被らないよう、取扱いに配慮・注意するべき情報です。
 

 
これらの個人情報は差別や不利益を招くおそれがあるため、取り扱いに際しては原則として本人の同意が必要になります。

なお、次のような情報は一般的な個人情報であるため、要配慮個人情報にはなりません。
 

 

【参考資料】:個人情報の保護に関する法律についてのガイドライン（通則編）（個人情報保護委員会）

企業が守るべき個人情報保護の
ルール

個人情報をあつかうにあたって必要な「事業者が守るべきルール」は多岐にわたります。

ここでは主なものについてピックアップしておきます。

個人データの取得・利用

＜個人情報を取得する前＞

• 個人情報の利用目的をできる限り特定する。（第17条1項）
• あらかじめ利用目的を本人に通知・公表しておく。（第21条1項）

 
＜個人情報を取得する時＞

• 利用目的を公表していない場合は、本人に通知または公表する。（第21条1項）
• 偽り、その他の不正の手段によって取得しない。（第20条1項）
• 要配慮個人情報を取得する場合は、原則本人の同意を得る。（第20条2項）

 
＜個人情報を利用する時＞

• あらかじめ本人の同意を得たうえで、利用目的の範囲内で利用する。（第18条1項）
• 利用目的を変更する場合は合理的に認められる範囲で行なう。（第17条2項）
• 違法または不当な行為を助長・誘発するおそれがある方法で利用しない。（第19条）
• 苦情に対しては適切かつ迅速な処理に努める。（第40条1項）

個人データの保管・管理

• 個人データは正確で最新の内容に保ち、必要なくなった場合は消去するよう努める。（第22条）
• 漏えい、滅失または毀損の防止、安全管理のために必要かつ適切な措置を講じる。（第23条）
• 従業員が扱う場合は必要かつ適切な監督を行なう。（第24条）
• 委託する場合は、委託先に対して必要かつ適切な監督を行なう。（第25条）

情報漏えい時の対応

委員会規則で定める漏えい等が生じた時は、委員会に報告（第26条1項）、本人に通知（第26条2項）をしなければならない。
 

第三者提供での対応

• 本人の同意を得ない場合は、個人データを第三者に提供してはいけない。（第27条）
  （※同意を得ない場合は、オプトアウト手続きの整備などが必要）
• 個人データを第三者に提供した時は、受領者の氏名や年月日等を記録し、一定期間保存する。（第29条）
• 第三者から個人データを受け取る時は、提供者の氏名や住所、取得経緯等を確認し、 受領年月日、確認した事項等を記録し、委員会規則で定める期間保存する。（第30条）
  （※保管期間は原則3年）

外国にある第三者への提供

• 本人の同意が得られれば、個人データを外国にある第三者に提供できる。（第28条1項）
  ただし、外国にある第三者が（個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして）、委員会規則で定める基準に適合する体制を整備している場合。
• 本人の同意を得る際は、参考となるべき情報を提供する。（第28条2項）

公表事項・開示等請求

＜保有個人データに関する事項の公表等＞
保有する個人データに関して、個人情報取扱事業者は次の事項について、ホームページに公表するなどして、本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含む）に置かなければならない。（第32条）
 

 
＜開示・訂正等＞

• 本人から情報開示請求された場合は、原則本人に開示する。（第33条）
• 本人からの請求があった場合、その保有個人データの内容に誤りがあれば、訂正・追加・削除をする。（第34条）
• 利用目的の範囲を超えて利用されている、不適正な利用がされている、不正の手段で取得されているといった場合は利用停止または消去をする。（第35条1・2項）
• 同意なく第三者に提供されている場合などでは、第三者提供を停止する。（第35条3・4項）
• 利用する必要がなくなった場合、一定の漏えい等の事案が発生した場合、本人の権利もしくは正当な利益が害されるおそれがある場合などでは、本人の権利・利益の侵害を防止するために必要な限度で、利用停止、消去、第三者提供の停止をする。（第35条5・6項）

 

【参考資料】:個人情報保護法の基本（個人情報保護委員会）

個人情報保護法に違反した場合の
罰則とリスク

個人情報保護法に違反した場合などでは、次のような罰則を科される可能性があります。

個人情報保護委員会の命令に
従わない場合の罰則

 
個人情報保護法の義務規定に違反し、個人情報等を不適切に取扱った場合、個人情報保護委員会は必要に応じて、当該個人情報取扱事業者やその他の関係者に対して、報告徴収・立入検査を実施することができます（第146条）。

そして、当該個人情報取扱事業者等に対して指導・助言（第147条）、勧告・命令を行なう（第148条）ことができます。

この報告徴収や立入検査に応じなかった場合、または報告徴収に対して虚偽の報告をした場合は、刑事罰として50万円以下の罰金が科される可能性があります（第182条）。

個人情報取扱事業者等が委員会の命令に違反した場合、個人情報保護委員会は、その旨を公表することができます（法第148条第4項）。

さらに、当該命令に違反した者には、1年以下の拘禁刑または100万円以下の罰金の刑事罰が科される可能性があります（法第178条）。

従業員が個人情報データベースを不正に利用した場合の罰則

 
個人情報取扱事業者、その従業者、元従業員が業務に関して取り扱った個人情報データベース等（その全部または一部を複製、または加工したものを含む）を、自己もしくは第三者の不正な利益を図る目的で提供、または盗用した場合、刑事罰として1年以下の拘禁刑または50万円以下の罰金が科される可能性があります（法第179条）。

法人に対する罰則

 
法人の代表者、法人、代理人、使用人、その他の従業者が、法人または人の業務に関して罰則の対象となる行為を行なった場合、両罰規定により行為者に加えて法人にも罰金刑が科される可能性があります（法第184条）。

個人情報保護委員会の報告徴収や立入検査に応じない、あるいは虚偽の報告をした場合、法人には50万円以下の罰金が科される可能性があります。

個人情報保護委員会の命令に違反した場合、または個人情報を不正利用した場合、法人には1億円以下の罰金が科される可能性があります。

※両罰規定 ＝ 法人に所属する役員や従業員等が、法人の業務に関連して違法行為をした場合、個人だけでなく法人も罰せられるという規定。

法人が違法行為を防止するための注意を果たしたと立証できなければ、刑事罰等に問われる可能性があります。
 

【参考資料】:個人情報取扱事業者等が個人情報保護法に違反した場合、どのような措置が採られるのですか。（個人情報保護委員会）

個人情報保護法違反で
企業が抱えるリスク

社会的信用・
ブランドイメージの喪失

個人情報保護法に違反した場合、個人情報保護委員会はその事実を公表することができます。

メディアで取り上げられ、SNSなどで情報が拡散されてしまうと、企業がこれまで築いてきた社会的信用やブランドイメージが失われ、顧客離れや取引停止などで大きな損害を被ってしまう可能性があります。

信頼を失うのは簡単ですが、回復するまでには大きな時間と労力がかかってしまうことを肝に銘じておくべきでしょう。

損害賠償請求を受けるリスク

個人情報の漏えいや不正使用などの不祥事を起こしてしまうと、刑事罰を科されるだけでなく、民事では顧客や取引先から訴えられ、高額の損害賠償請求をされるリスクもあります。

個人情報保護法の違反事例

個人情報の管理やセキュリティの甘さなどが原因で、社内外から不正アクセスを受け、企業が保有する顧客情報などが流出する事件が後を絶ちません。
また従業員が社内の情報を持ち出すといった事件も発生しています。

ここでは、個人情報保護における主な違反事例についてピックアップします。

不正アクセスで個人情報流出

自社のサイトやECサイトが不正アクセスを受け、顧客情報などが外部に流出した事例。
 

従業員による顧客情報などの
秘密漏えい

従業員の不正行為によって、顧客情報などが不正に持ち出された事例。
 

利用目的以外での個人情報の
使用

顧客情報を本来の目的以外、たとえば新規事業のマーケティングなどで使用した事例。

個人情報を他企業に不正に販売

自社が保有する顧客情報などを不正に取得し、他社に販売した事例。

個人情報保護法のあつかいで
企業が注意するべきポイントまとめ

企業が個人情報をあつかう際は、次のポイントに注意する必要があります。

利用目的の明示

• 取得時に利用目的を本人に通知または公表する必要あり。
• 目的以外の利用は禁止。

安全管理措置の実施

• 技術的、組織的なセキュリティ対策（アクセス制限、暗号化、ログ管理など）を講じること。
• 委託先にも同様の措置を求めること。

データマッピングと棚卸し

• 自社が保有する個人情報の種類、流通経路を把握する。
• 不要な情報の削除や保管期間の見直しも検討し、実行する。

第三者提供の管理

• 原則として本人の同意が必要。
• オプトアウト提供の場合は、提供記録の保存と届出が義務づけられる。

同意取得の適正化

• オプトイン方式の徹底（特に個人関連情報の第三者提供時）。
• 同意文言の明確化と記録の保存。

漏洩時の対応

• 個人情報保護委員会への報告と本人への通知は義務のため、原則3～5日以内に対応する。
• 対応フローを事前に構築し、問い合わせ窓口を設置する。

プライバシーポリシーの整備

• 収集、利用、提供、保管、開示請求などの目的や方針を明記。
• 法律の改正内容に応じて随時更新をしていく。

 

社内教育と体制整備

従業員への研修、責任者の設置、問い合わせ窓口の設置などの社内体制を整備。

個人情報保護法に関する問題は
弁護士に相談してください！

個人情報保護法を理解し、遵守していくことは、企業の経営者や役員、従業員にとって重要な「業務」でもあります。

しかし、ここまで見てきたように法律の内容は多岐に渡り、複雑です。
 

 
もし、このようなお困りごとを抱えている場合は、早急にご相談ください。
 

 
弁護士法人みらい総合法律事務所は全国対応で、随時、無料相談を行なっています（事案によりますので、お問い合わせください）。

また、いつでも相談・依頼できる顧問弁護士についてのご相談もお受けしていますので、お気軽にご連絡いただければと思います。