個人情報保護法は、個人情報取扱事業者を対象とした法律です。現在では、個人情報を取得して事業用に供しているものは、すべて個人情報取扱事業者に該当するため、日本国内に存在するほぼ全ての事業者に適用される法律となっています。
2022年4月に施行された改正個人情報保護法では、従来独立して存在していた「個人情報保護法」、「行政機関個人情報保護法」、「独立行政法人等個人情報保護法」の3本の法律を「個人情報保護法」に統合し、全体の所管が「個人情報保護委員会」に一元化されました。
個人情報保護委員会は、2016年1月1日、内閣府の外局として設立された比較的新しい組織です。個人のプライバシーを保護する独立した機関を組織し、そこに権限を集約することで中立性を保った立場で個人のプライバシー保護を推進する欧米諸国の行政の流れを汲んだものと考えられます。
改正個人情報保護法では、同時に個人情報取扱事業者が遵守すべき事項や義務が大幅に強化されました。そこでこの記事では、個人情報取扱事業者が遵守すべき事項や義務とその対象について、見ていきたいと思います。
個人情報保護法の対象とは
個人情報保護法は、個人情報を取扱う全ての事業者に適用される法律です。これまで民間企業や各行政機関で異なる法律が適用されていたことが長年の懸案事項(いわゆる2000個問題)となっていましたが、2022年4月の法改正(地方公共団体等は2023年5月)によって、すべての法が個人情報保護法に統合されました。
・民間企業:個人情報保護法
・国の行政機関:行政機関個人情報保護法
・独立行政法人等:独立行政法人等個人情報保護法
・地方公共団体等:地方公共団体ごとに定める個人情報保護条例
「個人情報保護」と「データ流通(いわゆるDFFT)」の両立に必要となる全国的な共通ルールの整備がようやく完了し、必要な権限が個人情報保護委員会に一元化されたことによって、個人のプライバシー保護と健全なデータ活用の推進の両輪が整ったと言えるでしょう。
「個人情報」とは?
生存する個人に関する情報のことを差し、氏名や生年月日などのデータによって特定の個人を識別できる情報(他の情報と容易に照合することができ、それにより特定の個人を識別できるものを含む)、または個人識別符号を含む情報のことと定義されています。
個人情報保護委員会が公開している個人情報の保護に関する法律についてのガイドライン(通則編)には、個人情報の例がさらに詳しく紹介されています。
【引用】:個人情報の保護に関する法律についてのガイドライン(通則編)
① 本人の指名
② 生年月日、連絡先、会社の職位または所属
③ 防犯カメラに記録された情報等
④ 本人の指名が含まれる等の理由により、特定の個人を識別できる音声録音情報
⑤ 特定の個人を識別できるメールアドレス
⑥ 情報の取得後に当該情報に付加された個人に関する情報(取得時は不明でも、取得後に付加された情報や照合によって個人を識別できる場合は、その時点で個人情報に該当する)
⑦ 官報、電話帳、職員録、法定開示書類(有価証券報告書等)、新聞、ホームページ、SNS等で公にされている特定の個人を識別できる情報
⑧ 個人識別符号(指紋認証や顔認証データ、運転免許証番号や旅券番号やマイナンバー等、当該特定の個人を識別できるもの)
個人情報取扱事業者の定義
「個人情報取扱事業者」とは、「個人情報データベース等を事業の用に供している者」と定義されています。
個人情報データベース等とは?
顧客や取引先の従業員など、個人情報を含むデータが体系的に保管され、特定個人の情報をPC等から検索できるように体系的に構成されたものを言います。個人情報保護法第十六条では、下記のように定義されています。
第十六条 この章及び第八章において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。)をいう。
一 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
二 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの
なお、2017年の法改正により、5000件の数量制限が撤廃されたため、小規模な事業者であっても個人情報取扱事業者に該当します。つまり、事業において個人情報を保有するすべての事業者は、個人情報保護法を遵守する義務を負っています。
個人関連情報とは?
2022年4月に施行された改正個人情報保護法では、個人関連情報が新設されました。個人関連情報とは、「生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。」と定義されています。
個人情報保護委員会が公開している個人情報の保護に関する法律についてのガイドライン(通則編)には、個人関連情報の例がさらに詳しく紹介されています。
【引用】:個人情報の保護に関する法律についてのガイドライン(通則編)
① Cookie等の端末識別子を通じて収集された、ある個人のウェブサイトの閲覧履歴
② メールアドレスに結び付いた、ある個人の年齢・性別・家族構成等
③ ある個人の商品購買履歴・サービス利用履歴
④ ある個人の位置情報
⑤ ある個人の興味・関心を示す情報
取得時点では個人関連情報であっても、後から付加された情報や照合した結果、個人が識別できるようになった場合は、その時点から個人情報に該当します。よって、個人情報に該当する場合は、個人関連情報には該当しないという点に留意が必要です。
GDPRでいう「個人データ」の定義と日本の個人情報保護法の「個人情報」および「個人関連情報」の定義の差異についても留意が必要です。仮名加工情報、匿名加工情報については、以下の記事にも紹介しています。ご参考ください。
【関連記事】:改正個人情報保護法の適用範囲は?自社が該当するのか確認しよう
個人情報に関する用語の差異を知ろう
個人情報保護法では、「個人情報」、「個人データ」、「保有個人データ」と個人情報に関わる3つの用語が使用されています。情報そのものの構成要素の定義に差異があるわけではなく、管理の状態や権限によって、用語を分けて定義しています。
また、「個人情報」、「個人データ」、「保有個人データ」、それぞれで個人情報保護法における義務規定に差異があります。まずは、それぞれの定義から見ていきましょう。
個人情報に関する用語の定義
-
個人情報
「個人情報」とは、生存する個人に関する情報のことを差し、氏名や生年月日などのデータによって特定の個人を識別できる情報(他の情報と容易に照合することができ、それにより特定の個人を識別できるものを含む)、または個人識別符号を含む情報のことと定義されています。
-
個人データ
「個人データ」とは、「個人情報データベース等」を構成する個人情報をいいます。つまり、取得した時点では「個人情報」、個人情報をPCや紙面で整理・分類した後の個人情報を「個人データ」と分けて定義しています。
-
保有個人データ
「保有個人データ」とは、個人データのうち、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有するものをいいます。委託を受けて取り扱っている個人データや、個人情報のうち体系的に整理されていないものについては、「保有個人データ」には該当しません。
【参考】:個人情報保護委員会「個人情報の適切な取扱いのためのガイダンス(総論)」
参考:GDPRにおける個人データの定義
「個人データ」という用語は、GDPRにおける「Personal data」の日本語訳と全く同じですが、定義が異なることに気づいた方もいるかもしれません。参考までにGDPRにおける「個人データ」の定義も見ておきましょう。以下のように記載されています。比べると全く異なることが分かります。
【参考】:個人情報保護委員会 一般データ保護規則 条文 第4条 定義(仮日本語訳)
・「個人データ」とは、識別された自然人又は識別可能な自然人(「データ主体」)に関する情報を意味する。識別可能な自然人とは、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子を参照することによって、又は、当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的又は社会的な同一性を示す一つ又は複数の要素を参照することによって、直接的又は間接的に、識別されうる者をいう。
事業者が知っておくべき個人情報保護法の義務
個人情報保護法では個人情報取扱事業者に対し、どのような責務を課しているのでしょうか。多くの条項が定められているため、それぞれ分類しながら概要を見ていきましょう。各条項の詳細は、参考先サイトも併せてご確認ください。
【参考】:個人情報保護委員会 「個人情報」と「個人データ」の違いは何か?
データの取得・利用に関する義務
個人情報の利用目的をできる限り特定し、その範囲内で利用しなければなりません。利用目的を変更する場合は変更前の目的と合理的に関連する範囲に留める必要があります。また、個人情報の取得や利用は不正な手段を用いて行ってはいけません。要配慮個人情報を取得するにはあらかじめ本人の同意が必要となります。
個人情報の取得に際しては、本人に利用目的を通知または公表しなければなりません。対象は、「個人情報」、「個人データ」、「保有個人データ」とされています。
– 第十七条 利用目的の特定
– 第十八条 利用目的による制限
– 第十九条 不適正な利用の禁止
– 第二十条 適正な取得
– 第二十一条 取得に際しての利用目的の通知等
尚、要配慮個人情報については、以下の記事で詳しく紹介しています。
【関連記事】:改正個人情報保護法の適用範囲は?自社が該当するのか確認しよう
データの取扱いに関する義務
取得したデータは、内容を最新の状態に保ち、不要となった場合は速やかに消去するよう努めることが求められます。また、データの漏洩や破損などが起こらぬように安全管理措置を講じ、従業員や委託先の管理・監督を適切に行う必要があります。対象は、「個人データ」、「保有個人データ」とされています。
– 第二十二条 データ内容の正確性の確保等
– 第二十三条 安全管理措置
– 第二十四条 従業者の監督
– 第二十五条 委託先の監督
漏えいの報告および第三者への提供に関する義務
2022年4月施行の改正個人情報保護法において、個人データの漏えい等が発生した場合の個人情報保護委員会への報告及び本人への通知が義務化されました。
法令に基づく場合や、人の生命や財産保護を目的で本人の同意を得ることが困難な場合など、例外を除いて個人データを第三者へ提供する際には本人の同意を得なければなりません。また、外国にある第三者へ提供する場合は、その国が日本が求めるものに相当する措置を継続的に講じられる体制を整えている必要があります。
データを第三者へ提供する際は、提供先の氏名や名称を記録し、一定期間保存しなければなりません。対象は、「個人データ」、「保有個人データ」とされています。
– 第二十六条 漏えい等の報告等
– 第二十七条 第三者提供の制限
– 第二十八条 外国にある第三者への提供の制限
– 第二十九条 第三者提供に係る記録の作成等
– 第三十条 第三者提供を受ける際の確認等
開示請求や苦情への対応に関する義務
個人データの本人は、個人情報取扱事業者に対して取得された情報の開示や訂正、削除を請求することができます。個人情報取扱事業者は、開示請求に必要な手続、苦情の申立先等について、本人が知り得る状態に置かなければなりません。
本人からの利用停止や第三者提供の停止の要求に対しては、速やかに対応しなければなりません。対象は、「個人保有データ」とされています。
– 第三十二条 保有個人データに関する事項の公表等
– 第三十三条 開示
– 第三十四条 訂正等
– 第三十五条 利用停止等
– 第三十六条 理由の説明
– 第三十七条 開示等の請求等に応じる手続
【参考】:第二節 個人情報取扱事業者及び個人関連情報取扱事業者の義務
個人情報の取得・利用は正規の手順で行い、十分な安全管理をすることが個人情報取扱事業者に求められる主な責務です。また、利用者からの問い合わせや請求には遅延なく対応できる体制を整える必要があり、システムだけではなく、運用面でも適切に設計する必要があると言えるでしょう。
個人情報保護法を遵守するには仕組みの導入を検討しよう
個人情報保護法は、2023年12月27日に改正された施行規則が2024年4月1日付で施行されるなど、時代の要求や変化に応じた法改正が活発に続いています。法改正に必要な法令の知識、すでに稼働しているサービスの更改に合わせた設計の見直しや要求されるIT関連のスキルなど、法令遵守の実現には多くの要素が求められます。
【関連記事】:個人情報保護法施行規則の改正ポイントをまとめて解説!
それらをサポートするのがRTmetricsです。プライバシー保護や法令遵守を重視する事業者の方に向けたWebアクセス解析ツールであり、既存Webサイトへ簡単に組み込むことができます。データの取得、管理の各プロセスを自社のガバナンスの下で実行することで、法的リスクを抑えながらユーザ情報の利活用を支援することが可能です。
ユーザのプライバシー保護を優先するプライバシーガバナンス、個人情報保護法の遵守にお役立て頂けます。