【最新版】個人情報保護法とは?これだけは知っておきたい基礎知識をわかりやすく解説
昨今、個人情報の取扱いやプライバシーについて社会的な関心が高まっています。しかし、個人情報保護法や関連法令については、知っておかなければならない規定が多く、しばしば複雑なため、整理が容易ではない領域でもあります。また、個人情報保護法は、変化する社会情勢に応じて頻繁に改正されるため、日々最新情報をキャッチアップすることが重要です。
この記事では、2022年に施行された最新の改正個人情報保護法に基づき、個人情報を取り扱う人が最低限知っておきたい個人情報保護法の基礎知識をわかりやすく解説します(この記事は、2025年1月現在の法令および情報に基づいて執筆されています)。
この記事の目次
個人情報保護法の目的と改正の背景
デジタル社会において、個人情報が不正に利用されることによる被害を防ぐことの重要性はますます高まり、個人情報保護法は何度も改正されてきました。ここでは、個人情報保護法の目的とこれらの改正の背景について解説します。
個人情報保護法の目的
個人情報保護法とは、主に個人情報等の適正な取扱いのルールについて定めた法律です。
今や個人情報やデータを活用したサービスは私たちにとって当たり前のものになりました。企業での業務効率化・DX化に個人情報が活用される一方で、個人情報の漏洩事件も増え、悪用されるリスクが一層高まっています。
個人情報保護法の目的を端的に言えば、「個人情報の有用性に配慮」しつつ、「個人の権利利益を保護」することです(法1条)。個人情報保護法について学ぶ上では、両者のバランスをとる視点が非常に重要です。
この法律は、デジタル社会の進展に伴い個人情報の利用が著しく拡大していることに鑑み、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにし、個人情報を取り扱う事業者及び行政機関等についてこれらの特性に応じて遵守すべき義務等を定めるとともに、個人情報保護委員会を設置することにより、行政機関等の事務及び事業の適正かつ円滑な運営を図り、並びに個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。
引用:個人情報保護法 第1条
なお、個人情報等の取扱いについて、個人情報保護法が全てのルールを定めているのではなく、細かいルールについては、政令や規則で定められています。
さらに、個人情報保護法の運用に関する具体的な法解釈や留意点については、個人情報保護委員会が定める各種ガイドラインやQ&Aがあります。それら自体が法的拘束力を持つものではありませんが、事実上の基準になっており、多くの企業で参考にされています。
改正の背景
個人情報保護法は、平成17年(2005年)に初めて施行された法律です。
その後、情報通信技術の発展やグローバル化に伴い、制定当時には想定されなかった個人情報の利活用が増えました。そんな社会情勢の変化を踏まえて、個人情報保護法は平成27年(2015年)に大きな改正がされ、令和2年(2020年)に再度改正されました。
さらに個人情報保護委員会は、「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱」に即し、3年ごとに個人情報保護法の見直しを進めてきました。
改正大綱によると「個人の権利利益保護」「保護と利用のバランス」「国際的潮流との調和」「外国事業者によるリスク変化への対応」「AI・ビッグデータ時代への対応」といった視点が記載されています。
なお、現在施行されている最新の改正法、すなわち令和2年(2020年)改正法は、2022年4月に施行されたものですが、個人情報保護委員会の見直し計画によると、2020年から3年が経過した2023年(もしくは2024年)に再度改正法が検討されるかもしれません。
以下では、令和2年改正法に基づき、個人情報保護法条の定義と分類について、そして主な規定について、概要を解説していきます。
個人情報保護法上の定義と分類
個人情報保護法の規定(ルール)を知る上で、まず最初の関門となるのが、独自の用語です。私たちが日常的に使う言葉とは異なり、法律上の定義を踏まえて多くの規定が与えられているので、まずは用語の定義(意義、意味)を理解することが重要です。
この記事では、次の用語を概説します。
- 個人情報
- 個人データ
- 保有個人データ
中には同じような意味に感じる用語もあるかもしれませんが、個人情報保護法において、これらは明確な違いがあり、定義ごとに異なる規定が設けられています。「個人情報」→「個人データ」→「保有個人データ」という順番で取扱いにおいての義務が多くなっていくと覚えておきましょう。
個人情報
個人情報とは、「生存する」「個人に関する情報」であって、「特定の個人を識別することができるもの」または「個人識別符合が含まれるもの」を指します(法第2条第1項第1号および第2号)。
故人や架空の人物は「生存する」にあたらず、また、法人情報や統計情報は「個人に関する情報」にあたりません。
「特定の個人を識別することができるもの」とは、氏名や電話番号、住所、生年月日、顔写真などが代表的ですが、特定の個人に紐づけられた情報は総体として個人情報となります。つまり、それだけでは個人の特定ができない情報(例えば、IDや購買履歴など)は、氏名や電話番号などと結びつくことで、「特定の個人を識別することができる」ようになるため、個人情報にあたります。
また、「個人識別符号(法第2条第2項)」は、典型的にはマイナンバーや運転免許証、パスポート番号、保険証の番号などの公的な固有の番号が該当します(同2号)。また、指紋やDNAなど人の生体情報を変換したデータも個人識別符号にあたります(同1号)。
さらに、特定の個人を識別できるという要件には、「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む」(=「容易照合性」といいます)とされています。
例えば、閲覧履歴データベースにおいてユーザIDと閲覧情報が含まれていても、それを見た人は特定の個人を識別できませんが、ユーザ管理データベース(他のデータベース)に同じくユーザIDと氏名、住所などの情報がある場合、共通するユーザIDを照合することで特定の個人を識別できるようになります。そのため、この場合の閲覧情報も、単体としては特定の個人を識別できなくても、「容易照合性」により、総体としての個人情報に含まれることになります。つまり、企業での取扱いの実態によって、ある情報が「個人情報」にあたるか否か決まる可能性もあるので注意が必要です。
第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二 個人識別符号が含まれるもの
個人情報保護法2条1項1号および2号
個人データ
個人情報をデータベース化したり、検索可能な状態にした個人情報の集合物を「個人情報データベース等」といいます(法第16条第1項1第号および第2号)。
例えば、1枚の名刺に書かれた個人の情報は「個人情報」ですが、50音順インデックス付きのファイルに格納して複数の名刺の情報を検索可能にしたり、エクセルなどを使ってデータベース化すると、特定の個人情報を検索できるように体系的に構成した「個人情報データベース等」にあたります。
そして、その「個人情報データベース等」を構成する各々の個人情報を「個人データ」といいます(法第16条第3項)。個人データにあたる場合、第三者提供に関する規制や安全管理措置義務など、「個人情報」と比べて取扱いに追加の規制がかかります(詳しくは後述)。
その理由としては、個人データは、個人情報がデータベース化すると、大量漏えいの危険性が高く、他の方法との紐づけが容易で本人の権利を侵害してしまう恐れが高まるからです。
保有個人データ
事業者が管理している個人情報のうち、本人から開示を求められたときなどに、その事業者が開示等の権限を有する個人データを「保有個人データ」といいます(法第16条第4項)。
典型的には、事業で直接収集した顧客の情報や従業員情報などが該当します。一方で、たとえば業務委託等で他者から預かっている情報は開示等の権限がないため、保有個人データにあたりません。
保有個人データに該当する場合、定められた事項の公表や本人からの問合せに遅滞なく回答、開示・訂正・削除等の請求に対応しなければなりません(詳しくは後述)。
個人情報保護法上では、「個人情報」が最も広い概念で、「個人データ」「保有個人データ」と定義が狭くなっていき、規制が追加されていきます。これらの定義ごとに適用される規制が変わってくるため、注意が必要です。下の図で確認していきましょう。
情報の区別ごとに異なるルールが適用される
下図の通り、個人情報保護法上の主要な規定は、「個人情報」・「個人データ」・「保有個人データ」の区別に対応して定められています。
引用:個人情報保護委員会「個人情報保護法の基本」25頁
以下では、
- 個人情報の利用目的の特定・通知等
- 個人データの安全管理措置、委託先の管理
- 個人データの第三者提供、その例外
- 保有個人データの開示等請求への対応
について概説します。
個人情報の利用目的の特定・通知等
まず、個人情報保護法上、個人情報を取得した場合、利用目的をできる限り特定する必要があり(法第17条第1項)、特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならないものとされています(法第18条第1項)。
そして、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲(予測可能性のある範囲)を超えて行うことはできません(法第17条第2項)。
また、特定した利用目的を本人に通知し、または公表しなければなりません(法第21条第1項)。
個人情報保護法上では、通知・公表方法は特に指定されていませんが、「プライバシーポリシー」や「個人情報保護方針」といった形式で公表することが一般的です。
個人情報保護委員会のガイドラインには、次のように定められています。
利用目的は、単に抽象的、一般的に特定するのではなく、個人情報が個人情報取扱事業者において、最終的にどのような事業の用に供され、どのような目的で個人情報を利用されるのかが、本人にとって一般的かつ合理的に想定できる程度に具体的に特定することが望ましい。
個人情報保護委員会「ガイドライン通則編」3-1-1
また、同ガイドラインには、どのような記載が具体的に利用目的を特定しているといえるのかが例示されています。
【具体的に利用目的を特定している事例】
事例) 事業者が商品の販売に伴い、個人から氏名・住所・メールアドレス等を取得するに当たり、「○○事業における商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせのために利用いたします。」等の利用目的を明示している場合
【具体的に利用目的を特定していない事例】
事例1)「事業活動に用いるため」
事例2)「マーケティング活動に用いるため」
すなわち、個人情報が具体的にどのような事業でどのような目的で利用されるかが、本人にわかるように特定する必要があります。
また、直接書面(電磁的記録を含む)に記載された個人情報を取得する場合は、あらかじめ、本人に対し、利用目的を明示する必要があります(法第21条第2項)。
個人データの安全管理措置、委託先の管理
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失または毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならないとされています(法第23条)。
また、保有個人データに関して講じた安全管理措置は、「本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)」に置かなければならないとされています(法第32条第1項第4号、個人情報保護法施行令第10条第1号)。
講ずべき安全管理措置の具体例は、ガイドラインに記載があります。
10-1 基本方針の策定
10-2 個人データの取扱いに係る規律の整備
10-3 組織的安全管理措置
10-4 人的安全管理措置
10-5 物理的安全管理措置
10-6 技術的安全管理措置
10-7 外的環境の把握
引用:個人情報保護委員会「ガイドライン通則編」10
ただし、安全管理措置では、すべての事業者が同じ基準で同じ措置を講じなければならないわけではありません。例えば、大規模なIT関連事業を展開し、数百万数千万人規模の個人データを取り扱うような大企業と、限られた個人データのみ扱う中小規模企業では、求められる措置のレベルが異なります。安全管理措置は、事業の規模や性質、取り扱う個人データの性質や量、予想されるリスク等の要素を総合的に検討し、これらに応じて適切な内容とすることが求められています。
上記のほかに、個人データの安全管理が図られるように、事業者は従業員や委託先を適切に監督する義務があります(法第24条、第25条)。
個人データの第三者提供、その例外
個人データを第三者に提供する場合には、原則として本人の同意を取得しなければならないとされています(法第27条第1項)。
具体的なケースにもよりますが、例えば、第三者提供について記載のある利用規約や約款、プライバシーポリシー等について本人の同意を適切に取得すれば、第三者提供について同意を取得したといえるでしょう。
ただし、公的な理由のため、例外的に、第三者提供の際に本人の同意が不要な場合もあります(法第27条第1項各号)。
第二十七条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
五~七(抜粋省略)
引用:個人情報保護法第27条
また、以下では外国にある第三者に個人データを提供する場合について概説します。
原則として、外国にある第三者に個人データを提供する場合(委託や共同利用を含みます。)、上述した個人データの第三者提供に関する規制に加えて、「外国にある第三者」への提供について同意が必要です(法第28条)。また、同意取得の前に次の情報提供が必要です(規則第17条第2項各号)。
一 当該外国の名称
二 適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報
三 当該第三者が講ずる個人情報の保護のための措置に関する情報
詳細な記載方法には、個人情報保護委員会が定める個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)5-2が参考になります。
ただし、上記には2つの例外があります。
提供先の第三者が、日本と同等の水準にあると認められる個人情報保護制度を有していると個人情報保護委員会が認める国(基準適合体制、2023年11月では、EEA加盟国及び英国)にある場合、当該第三者は「外国」に当たらないとみなされます。すなわち、越境移転についての規制が適用されず、国内の事業者に対する第三者提供と同じ扱いになります。
次に、上記の基準適合体制を根拠に、越境移転を行う場合です。すなわち、①「相当措置の継続的な実施を確保するために必要な措置を講じる」とともに、②本人の求めに応じて「当該必要な措置に関する情報」を本人に提供する場合、同意取得の必要はありません(法第28条第1項、第3項)。
上記①については、規則第18条第1項で定められています。
第十八条 法第二十八条第三項(法第三十一条第二項において読み替えて準用する場合を含む。)の規定による外国にある第三者による相当措置の継続的な実施を確保するために必要な措置は、次に掲げる措置とする。
一 当該第三者による相当措置の実施状況並びに当該相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその内容を、適切かつ合理的な方法により、定期的に確認すること。
二 当該第三者による相当措置の実施に支障が生じたときは、必要かつ適切な措置を講ずるとともに、当該相当措置の継続的な実施の確保が困難となったときは、個人データ(法第三十一条第二項において読み替えて準用する場合にあっては、個人関連情報)の当該第三者への提供を停止すること。
引用:個人情報保護法施行規則第18条1項
ガイドラインによると、1号でいう「定期的に確認」とは、年に1回程度またはそれ以上の頻度で確認することとされています。
なお、必要な体制が整備されていることについて、個人情報保護委員会に対する事前の届出等は必要ではありません。
上記②については、法第18条第3項に詳細に定められています。
3 個人情報取扱事業者は、法第二十八条第三項の規定による求めを受けたときは、本人に対し、遅滞なく、次に掲げる事項について情報提供しなければならない。ただし、情報提供することにより当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合は、その全部又は一部を提供しないことができる。
一 当該第三者による法第二十八条第一項に規定する体制の整備の方法
二 当該第三者が実施する相当措置の概要
三 第一項第一号の規定による確認の頻度及び方法
四 当該外国の名称
五 当該第三者による相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその概要
六 当該第三者による相当措置の実施に関する支障の有無及びその概要
七 前号の支障に関して第一項第二号の規定により当該個人情報取扱事業者が講ずる措置の概要
引用:個人情報保護法施行規則第18条3項
基準適合体制を根拠に越境移転を行う場合には、事後的に(求めに応じて)本人に対して情報提供する必要があります。
保有個人データの開示等請求への対応
ユーザが個人情報取扱事業者に対して、自身が識別される保有個人データの開示を請求することできるように定めたのが、個人情報保護法33条です。
個人情報取扱事業者は、保有個人データに関し、開示等の請求に応じる手続及び開示の請求に係る手数料の額について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む)に置かなければなりません(法32条1項)。
すなわち、事業者は、開示請求の申出先、請求書の様式、請求者の本人確認方法、手数料の額や徴収方法等、開示請求を行う方法の具体的な手続きを定めることができます。そして、請求者はこれに従って、開示請求する必要があります。
例えば、プライバシーポリシー等に、事業者の電話番号やメールアドレス、住所のいずれかを記載しておくことで、それぞれ電話やメール、郵送による開示等請求のみ受け付けることも可能です。
ユーザは、開示請求以外にも、内容の訂正、追加または削除(訂正等)の請求(法第34条)や利用の停止または消去(利用停止等)の請求(法第35条)ができます。
まとめ:個人情報の取扱については専門家に相談を
この記事では、知っておきたい個人情報保護法の基礎知識について概説しました。記事中に挙げたもののほかにも、企業ごとに具体的な取扱状況は異なりますので、関係法令及びガイドライン中の規定を参照し、対応を検討する必要があります。
個人情報保護法は、個人情報を取り扱う事業者に対し、適切に個人情報を取扱い、安全管理のために必要かつ適切な措置を講じることを求める法律であり、ほぼすべての企業にとって、避けて通れない重要な法律です。
個人情報の取扱いや、自社が取るべき措置について不安がある場合には弁護士に相談することをお勧めします。
関連記事:令和6年(2024年)改正個人情報保護法のポイントとは?知っておくべき変更点や対応策を解説
当事務所による対策のご案内
モノリス法律事務所は、IT、特にインターネットと法律の両面に高い専門性を有する法律事務所です。昨今、個人情報やプライバシーについて社会的に大きな関心の的となっており、例えば万一企業が保有する個人情報が漏洩してしまった場合、企業活動に致命的な影響を及ぼす場合もあります。当事務所は個人情報保護法対応について専門的な知見を有しています。下記記事にて詳細を記載しております。
モノリス法律事務所の取扱分野:個人情報保護法関連法務
カテゴリー: IT・ベンチャーの企業法務
タグ: 個人情報保護法
