個人情報保護法は、個人情報の定義を始め、個人情報を取り扱う事業者にとって知っておくべき点が多くあります。まずは、この法律の目的を正しく理解しておくことが必要です。
また、個人情報の定義、事業者が守るべきルールについても、社内での個人情報の取り扱いをする人であれば知っておきたいところです。
そこで、個人情報保護法の目的・個人情報の定義・ルールの概要について、以下で解説します。
膨大な法令・条例・規制に一つ一つ対応するのは骨が折れますが、避けては通れません。
セキュリオの法令管理をご利用いただくと、数百種類の法令の詳細・改訂内容などを一括管理できます。ISMSやPマークの審査にも対応しています。
個人情報保護法とは?
個人情報保護法とは、情報の主体である個人の権利・利益の保護と個人情報の有用性とのバランスを図るための法律です。
事業者にとっては、例えばマーケティング・販売促進などの場面で、個人情報を利用することが極めて有用です。一方で、個人にとっては個人情報が広く知られたり、あるいは利用されたりすることが社会生活にとって有害な結果となり、また個人の意思に反することも頻繁に生じ得ます。
事業者の活動をどこまで個人の権利・利益を害さないものとして認められるか、あるいは個人の権利・利益と関係なくできることとして取り扱いを認めるかが個人情報保護法の課題です。
事業者の活動は常に変化・進化し、個人の権利意識もまた変化するものですから、平成27年の個人情報保護法改正法付則12条第3項では、定期的な見直しが宣言されています。
個人情報保護法は、上記のような基本理念を定めるほか、民間事業者の個人情報の具体的な取扱いについて規定しています。
個人情報保護法の目的
個人情報保護法の目的は、法律の基本理念を定めています。個人情報保護法第1条にはこう記載があります。
第一条 この法律は、デジタル社会の進展に伴い個人情報の利用が著しく拡大していることに鑑み、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにし、個人情報を取り扱う事業者及び行政機関等についてこれらの特性に応じて遵守すべき義務等を定めるとともに、個人情報保護委員会を設置することにより、行政機関等の事務及び事業の適正かつ円滑な運営を図り、並びに個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。
文言上、個人の権利利益が中心に据えられているものの、個人情報を取り扱う事業者の適正な利用があれば、産業の創出などイノベーションに有用であることにも配慮がなされています。
個人情報保護法にある個人情報の定義とは
個人情報の定義については、個人情報保護法第2条に以下のような記載があります。
第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二 個人識別符号が含まれるもの
定義のポイントは、「特定の個人を識別」という記述であり、文字や記号などの情報で、どの人の情報なのかが特定できるものであることが個人情報に当てはまる条件です。
なお、個人識別符号とは指紋や生体情報などを指しており、これも個人情報に該当します。
令和2年に改正された個人情報保護法のポイント
令和4年4月からの施行が予定されている、令和2年の個人情報保護法の改正のポイントは以下の通りです。
- 本人の権利保護の強化
- 第三者提供の記録の開示が請求できるようになる、6か月以内に消去されるデータについても、開示・削除の対象とする・不正取得されたデータへの開示請求ができるようになるなど、本人の情報をコントロールする権利の強化が図られています。また、海外への第三者に対する情報移転についても、同意を取得することが必要になりました。
- 事業者の責務が追加される
- 情報漏えいなどの事案について、個人情報保護委員会と本人への通知が義務化されます。
- 企業の特定分野を対象とする団体の認定団体制度が新設される
- これは事業者の自主規制などの取り組みを促進するためのものです。法律だけでなく、各産業界の実態にあった適切な自主規制に法律の内容を任せる効果があります。
- データの利活用が促進される
- 「仮名加工情報」を創設、内部分析などの利用では、開示・利用停止請求への対応義務を緩和するなど、イノベーションを促進する観点からの規制の緩和を行っています。
- 法令違反に対するペナルティが強化される
- 個人情報保護委員会による命令違反・個人情報保護委員会に対する虚偽報告等の法定刑を引き上げています。
命令違反:6か月以下の懲役または30万円以下の罰金→1年以下の懲役または100万円以下の罰金
虚偽報告等:30万円以下の罰金→50万円以下の罰金
データベース等不正提供罪、個人情報保護委員会による命令違反の罰金については、特に法人に対し、1億円以下の罰金が科され、資力に見合った引き上げがあります。 - 外国の事業者に対する、報告徴収・立入検査などの罰則が追加される
- 法令を日本以外に適用することを域外適用といいますが、外国の事業者に対する域外適用を罰則付きで規定しています。
→詳細はこちらの記事を参照(個人情報保護法の記事リンク)
個人情報保護法によって事業者が守るべきルール
改正法以前の規制も含め、事業者が守るべき基本的なルールをまとめると以下の通りです。
個人情報を取得・利用する時のルール
個人情報の取得を行う際は、本人に利用目的をあらかじめ通知するか、利用目的をあらかじめ公表しなければなりません。その後本人が提供した個人情報のみを利用することができます。
目的外の利用は禁止され、一定の範囲でのみ利用目的を変更することができますが、その際には、本人への通知・公表を必要とします。
個人情報を保管する時のルール
個人情報を保管する際には、必要とされる安全管理措置を施し、情報漏えいや、悪用の危険がないように安全に保管することが基本です。また、情報の性質に応じた保管の年限を守ることも必要です。年限を過ぎたら、完全に破壊・破棄することが求められます。
個人情報を他人に渡す時のルール
個人情報を他人に渡す=第三者提供は、本人の同意が必要であるのが原則です。委託の場合には例外が認められますが、第三者提供のみを拒否するオプトアウトの権利も本人に認められます。
個人情報を外国にいる第三者に渡す時のルール
個人情報を外国にいる第三者に渡すときにも本人の同意が必要です。第三者には子会社関連会社も含まれることがあります。
本人から個人情報の開示を求められた時のルール
本人から個人方法の開示を求められた場合は、必要な手続きを定めておき、開示に応じなければならないのが原則です。開示のほか、情報の訂正・削除要請にも応じる必要があります。
まとめ
個人情報保護法の基本理念や、事業者に課される基本的な義務など、個人情報保護法のアウトラインをご紹介しました。上記のまとめを参考に、自社での個人情報の取り扱いで特に問題になる点は何か、検討の参考にしていただければ幸いです。
