個人情報保護法のルールや基本的な用語を分かりやすく解説

個人情報保護法とは

特定の個人を識別できる情報を「個人情報」といいます。氏名や住所、電話番号などに加えて、メールアドレスなどさまざまな情報が該当し、いずれも重要なプライバシーに関する情報です。

高度情報通信社会といえる現代、個人情報を活用するシーンが増える一方で個人の権利や利益が侵されるリスクも少なくありません。こうした状況を踏まえて、個人情報保護法は個人情報を適切かつ安全に活用しながら個人を保護する法律として2003年に制定され、2005年4月から全面的に施行されました。以降、技術の進歩や社会情勢の変化などに合わせて、大きな改正が3回実施されています。

個人情報保護法の目的

個人情報取扱事業者は、個人情報保護法に基づき、適正に個人情報を取り扱うことが求められています。個人情報取扱事業者とは、営利、非営利にかかわらず、個人情報データベース等を一定の目的をもって収集し使用する企業や団体、個人のことです。
ルールに従って個人情報を活用することで行政サービスや医療、ビジネスなど多くの分野で業務効率化を図ることが可能です。その結果、利用者の満足度向上や豊かな生活の実現にもつながります。現代社会を円滑に動かす上でも重要な情報ですが、個人を判別できるため、慎重に取り扱わなければ大きな問題に発展する恐れがあります。

情報から得られる有用性と個人の権利利益の保護とのバランスを取るには、個人情報保護法を遵守することが肝要です。

個人情報保護法が適用される対象

個人情報保護法が適用される事業者を「個人情報取扱事業者」といいます。営利、非営利にかかわらず、すべての事業者が対象です。例えば、町内会やPTAの役目などで個人情報を収集する場合も該当します。

2017年に改正法が施行されるまでは、5,000人以上の個人情報を扱う企業や団体、個人に制限されていました。現在は適用除外となっていた小規模事業者も対象となっています。

個人情報保護法に関する基本的な用語

個人情報保護法を正しく理解するためには、用語を把握しておくことが重要です。続いて、個人情報保護法に関する基本的な用語を分かりやすく解説します。

個人情報

個人情報とは、情報単体もしくは他の情報と照らし合わせることで特定の個人を識別できるものです。例えば、単体で判別できる情報として氏名が挙げられます。住所や電話番号、メールアドレス、などは、文字の羅列であり単体では個人を特定しづらいものの、複数を照らし合わせると個人を判別できる可能性が高まるため個人情報の一つに含まれます。

なお、文字列であっても単体で個人を判別できる「個人識別符号」は個人情報に該当します。例えば、運転免許証やマイナンバーなど政令によって定められた符号や身体的特徴である指紋、静脈などを活用した符号です。

また、個人情報は生存する人が対象となっており、故人に関する情報は該当しません。そのため、故人の氏名や住所などは、個人情報保護法の適用対象外です。

個人データ

個人情報の中でも、個人情報データベースを構成する情報を「個人データ」といいます。例えば、顧客の名刺に書かれた内容をもとに名簿を作成する際に、必要となる氏名や住所、電話番号などです。また、名刺管理ツールやExcelなどでデータベース化して、検索しやすい状態にするために加工する情報も個人データに含まれます。

保有個人データ

保有個人データとはデータベース化した個人情報のうち、個人から要求を受けた個人情報取扱事業者が内容の開示や訂正、削除に応じる権限を持つものを意味します。

例えば、自社の商品を顧客に送る際に必要となる個人情報は、個人情報データベースの中から抽出するケースが一般的です。こうした顧客リストの開示や不備があった場合の変更、削除などを行うのは顧客本人ではありません。この場合、商品を提供する事業者が取り扱うものであり、顧客リストにまとめられた個人データは保有個人データに該当します。

要配慮個人情報

人種や社会的身分、病歴、犯罪歴、犯罪により被害を受けた事実など、その情報によって個人が差別や偏見といった不利益を被る可能性があるものを要配慮個人情報といいます。個人情報の中でも、特に慎重な取り扱いが求められる情報です。なお、個人情報取扱事業者は、個人の同意を得ずに要配慮個人情報を取得することはできません。

仮名加工情報

単体の情報では本人を特定できないように加工した個人情報を「仮名加工情報」といい、2020年4月に施行された改正個人情報保護法において設けられました。

例えば、氏名を偽名やニックネームで置き換えたり、情報の一部を閲覧できない状態にしたりすると仮名加工情報に該当します。こうした加工によってある程度の安全性を保つことで、データの有用性を確保することが可能です。

匿名加工情報

本人を特定できないように情報を加工し、さらに復元不可能とした情報を「匿名加工情報」といいます。

個人情報を事業者間でやり取りする際は本人の同意が必要です。しかし、匿名加工情報であれば、本人の同意がなくても事業者間でデータ取引や連携ができます。例えば、医療機関が管理する情報を医療技術の発展に役立てたり、カーナビから得た走行履歴をもとに渋滞を予測する際に役立ちます。こうした利用活用を目的として2017年5月に匿名加工情報の制度が施行されました。

個人関連情報

個人情報、仮名加工情報、匿名加工情報のいずれにも当てはまらない個人に関する情報を「個人関連情報」といいます。

例えば、性別や年齢、職業などの属性、個人が閲覧したWebサイトの履歴、位置情報などは個人関連情報です。なお、個人関連情報も生存する人が対象となります。

個人情報保護法に関するルール

個人情報保護法では、規律の適用対象ごとに取り扱いに関するルールが定められています。それぞれの主なルールについて分かりやすく解説します。

個人情報に関するルール

個人情報を取り扱う場合、詳しい利用目的を公表もしくは本人に通知する必要があります。ここで明らかにした目的以外の利用はできません。状況によって一定の範囲の目的を変更することも可能ですが、この場合は本人に知らせることが条件です。また、情報漏えいや悪用のリスクを避けて安全に管理しなければなりません。

個人データに関するルール

個人データは安全に管理して、漏えいを防ぐための措置を講じる必要があります。例えば、紙媒体で情報を管理している場合は鍵のかかる収納に保管し、パソコンで管理する際はパスワードを設定したファイルへの保管や、ソフトを活用したセキュリティ対策などが必要です。

また、企業では個人情報を社員だけでなく業務委託会社が扱うこともあるため、適切な監督が求められます。万が一個人データが漏えいして、個人の権利利益を侵害する恐れがある場合は、直ちに個人情報保護委員会に報告した上で個人にも伝達しなければなりません。

その他、個人データの提供を第三者から求められた場合、事前に本人の同意を得る必要があります。ただし、警察や裁判所などからの照会のほか、生命や身体、財産の保護に活用する上で本人の同意を得ることが難しい場合や、学術研究目的などは例外です。

個人データを第三者に提供した際は、提供状況や内容を詳しく記録して原則3年間保存する義務があります。

保有個人データに関するルール

保有個人データを扱う場合は、本人が以下の事項を把握できる状態にしておく必要があります。

• 個人情報取扱事業者の氏名または名称、住所、代表者の氏名（法人の場合）
• 保有個人データの利用目的
• 保有個人データの利用目的の通知や開示、内容の訂正、削除などの手続き（手続きに要した手数料の額を定めた場合はその手数料額も含む）
• 保有個人データの安全管理を目的として講じた措置
• 保有個人データの取り扱いに関する苦情の申し出先

これらの情報は、Webサイトやパンフレットなどに明記するケースが一般的です。その他、お問い合わせ窓口を用意し、口頭もしくは文書で回答する方法もあります。

本人から開示や訂正、利用停止などの請求があった場合は、速やかに応じなければなりません。苦情に対しても、迅速かつ適切な対処が求められます。

要配慮個人情報に関するルール

基本的に、要配慮個人情報を本人の同意なく取得することは禁止されています。

本人以外から情報を求められた場合、オプトアウトによる第三者提供は認められていないため、必ず本人の同意が必要です。オプトアウトによる第三者提供とは、あらかじめ第三者提供をする旨やその他必要事項を本人に通知または本人が容易に知りうる状態におき、個人情報保護委員会に届け出た場合には、個別に本人の同意を得ることなく個人データを第三者に提供することができるとするものです。

仮名加工情報に関するルール

個人情報を加工して仮名加工情報にする際は、加工基準を満たさなければなりません。例えば、氏名など特定の個人を識別できる情報は一部またはすべてを削除し、個人識別符号はすべて削除する必要があります。加えて、財産的被害が発生するリスクがある情報も削除しなければなりません。クレジットカードやインターネットバンキングの番号、パスワードなどが該当します。

なお、記述された情報を復元できる規則性を有しない方法によって、ほかの記述などに置き換えることも可能です。

匿名加工情報に関するルール

匿名加工情報を作成する場合、単体で特定の個人を識別できる氏名などの情報は一部またはすべてを削除し、個人識別符号はすべて削除しなければなりません。また、氏名をIDに置き換えていた場合はIDの削除も必要です。その他、国内でごく限られた人数しかいないような特異な情報も削除が求められます。また匿名加工情報の加工に際しては、復元できないことが絶対条件となります。

なお、作成した匿名加工情報とほかの情報を照合した個人の識別は不可で、匿名加工情報を作成した際は当該匿名加工情報に含まれる項目を公表する必要があります。情報を管理する際は厳重に保管して漏えいを防ぎ、苦情が入った場合の処理や措置に関して公表しなければなりません。

個人関連情報に関するルール

個人関連情報には、個人情報のルールは適用されません。ただし、個人関連情報独自の決まりがあるため注意が必要です。

例えば、第三者に対して個人関連情報を提供する場合、提供先が個人関連情報を個人データに付加する等、個人データとして取得する可能性があります。こうしたケースでは本人の同意なく情報を提供できません。また、情報提供時の記録を作成した上で、原則として3年間保存する義務があります。

個人情報保護法に違反した際の罰則

個人情報保護法に違反した場合、個人情報保護委員会による情報の収集および立入検査が行われます。状況に合わせて指導や助言、勧告が実施され、個人情報取扱事業者は適切な措置を講じなければなりません。

報告徴収や立入検査に対応しなかった場合は、１年以下の拘禁刑（懲役）または50万円以下の罰金です。ただし違反内容によっては10万円以下の過料が科せられる可能性があります。虚偽の報告をした場合も同様です。

また、個人情報保護委員会の勧告を受けたにもかかわらず、正当な理由なく適切な措置を講じなかった場合、個人の権利利益の侵害が差し迫っていると判断されると、指定する期間内に措置を講じることを命令されます。命令に従わなかった場合はその旨を公表されるほか、1年以下の懲役または100万円以下の罰金が科せられるケースもあります。

個人情報保護法に関して企業として留意すべきポイント

企業では社員や顧客、取引先など多くの個人情報を取り扱います。適切に管理しなければ罰則が科せられる可能性もあるため、個人情報保護法に関するポイントを押さえておくことが大切です。続いては、企業として留意すべきポイントを5つ解説します。

個人情報保護に関する書類を作成する

個人情報を取得する際は、本人からの同意を得る必要があります。口頭で同意を得ることもできますが、後からトラブルに発展する可能性も考えられます。

「同意した」「同意していない」などの水かけ論を防ぐには、同意書を用いて記録を残すことが大切です。スムーズにやり取りができるように、事前に個人情報保護法に関する内容を記した書類を作成しておくとよいでしょう。書類には「利用目的」「第三者への提供」「開示請求」に加えて「相談窓口」も記載しておくと安心です。

なお、Web上で同意を得る場合も、書類と同様に個人情報保護に関する内容を明記しなければなりません。

情報の開示請求に対応できるようにする

本人から個人情報の開示を請求された場合は、速やかな対応が求められます。しかし、情報が各部署に分散しているケースも少なくありません。請求されてから社員に指示を出してもスムーズに対応できない恐れがあるため、事前に対応体制を検討して社内に通知しておくことが重要です。

また、従来は書面で開示することが原則でしたが、法改正によりデータと書類いずれかの方法を本人が選べるようになりました。そのため、データによる開示請求に関する手順の検討も必要です。ただし、システムの改修に多額の費用がかかる場合は紙媒体の対応も認められています。

仮名加工情報の活用を検討する

個人を識別できない状態に加工する匿名加工情報は、当初の目的以外での活用や第三者への提供が可能ですが、復元できない状態まで加工する必要があります。そのため加工基準が厳格に定められており、一般企業では作成しづらいといった懸念点がありました。

例えば、顧客情報や購買履歴などを仮名加工情報で管理すると、個人情報よりも扱いやすくなるためマーケティングへの活用が可能です。さらに、匿名加工情報よりも残せる情報量が多く、AIの精度向上や顧客満足度向上にも役立つでしょう。
収集した情報を自社の事業に活かすには、事前に活用方法を検討することが大切です。

個人情報の保管・管理方法について徹底する

個人情報を扱う企業では、不正アクセスや情報漏えいなどが発生しないように厳重な管理が求められます。社内で管理する場合、セキュリティ対策ソフトの活用や紙媒体が紛失しないための措置が必要です。また、不要になったデータは完全に消去することも、個人情報を扱う上で重要なポイントです。

こうした個人情報の保管や管理に関するルールは、経営層だけでなく現場で管理する社員とともに検討し、社内全体で共有する必要があります。

また、業務委託会社に個人情報を託す場合も安全管理を徹底し、適切に監督することが大切です。

定期的に個人情報の利用状況を確認する

安全に個人情報を扱うためには、定期的に利用状況を確認することも重要です。例えば、不要になった個人情報をいつまでも保管しておくと、情報漏えいのリスクが高まります。自社の利用状況を確認した上で、必要のない情報は速やかに削除することが大切です。

また、不適切な実態があれば、本人から利用停止やデータ削除などを求められる可能性があります。こうした事態にならないためにも、日頃から取り扱い方法に問題がないかを確認し、必要があれば改めて社内にルールを周知するとよいでしょう。

個人情報保護法の概要や目的、ルールについて理解する

個人情報は企業や社会を円滑に回し、発展させていく上で重要な役割を果たします。しかし、取り扱い方法を誤ると、個人の権利や利益を侵害しかねません。こうした事態を招くことなく、個人情報の有用性を保つために制定された法律が個人情報保護法です。

企業や行政はもちろん、町内会や同窓会など小さなコミュニティでも個人情報は活用されています。個人情報保護法は、個人情報を扱う組織や事業者すべてが遵守しなければならないルールです。収集した個人情報は公表した目的以外での活用は禁止されており、漏えいや不正アクセスのリスクを避けるための厳重な管理が求められます。ルールに違反すれば罰則が科せられる可能性もあるため、法律を把握した上で適切に活用することが大切です。