個人情報保護法の概略解説資料

初めてプライバシーマークの取得を目指される担当者にとって、「個人情報の保護に関する法律」（以下「個人情報保護法」）は、JIS Q 15001規格と同じように理解しておく必要があります。

上図は、「個人情報保護法」を読み、理解されるにあたり、全体としてどのようなことが記載されているかを、一覧で確認できるように解説したものです。

なお、掲載されています解説資料は、概略を示したものです。
必ず「電子政府の総合窓口e-Gov（イーガブ）」または「個人情報保護委員会ホームページ」等にて公開されています「個人情報保護法」をご確認下さい。

個人情報保護法とは

正式な法律名は、「個人情報の保護に関する法律」（法律番号：平成15年5月30日法律第57号）と言い、利用者や消費者が安心できるように、企業や団体に個人情報をきちんと大切に扱ってもらった上で、有効に活用できるよう共通のルールを定めた法律です。

平成15年5月に公布され、平成17年4月に全面施行され、その後、情報通信技術の発展や事業活動のグローバル化等の急速な環境変化等を踏まえ、平成27年9月に改正法が公布され、平成29年5月30日から全面施行されました。

この改正により、前の個人情報保護法で「5000人以下の個人情報しか有しない中小企業・小規模事業者の方は適用対象外」となっていた規定が廃止され、個人情報を取り扱う「すべての事業者」に個人情報保護法が適用されることとなりました。

その後、自身の個人情報に対する意識の高まり、技術革新を踏まえた保護と利活用のバランス、越境データの流通増大に伴う新たなリスクへの対応等の観点から改正され、2022年（令和4年）4月1日に現行法が施行されています。

個人情報保護法の構成

主に個人情報を取り扱う民間事業者が遵守すべき義務等を定めているのは、第4章「個人情報取扱事業者の義務等」となっています。

ちなみに、以前は、行政機関における個人情報の取扱いについては、「行政機関の保有する個人情報の保護に関する法律」（平成15年5月30日法律第58号）において、独立行政法人等における個人情報の取扱いについては、「独立行政法人等の保有する個人情報の保護に関する法律」（平成15年5月30日法律第59号）において定められていましたが、令和4年施行法で一元化されました。

取り扱う「個人情報」とは

個人情報とは、生存する個人に関する情報であって、氏名や生年月日等により特定の個人を識別することができるものをいいます。
なお、他の情報と容易に照合することができ、それにより特定の個人を識別することができれば、それらも含まれます。

例えば「氏名」のみであっても、社会通念上、特定の個人を識別することができるものと考えられますので、個人情報に含まれますし、「生年月日と氏名の組合せ」、「顔写真」なども個人情報となります。
また、その情報だけでも特定の個人を識別できる文字、番号、記号、符号等といった個人識別符号についても個人情報に当たります。

※「個人識別符号」には、DNA、顔、虹彩、声紋、歩行の態様、手指の静脈、指紋・掌紋、パスポート番号、基礎年金番号、免許証番号、住民票コード、マイナンバー、各種保険証等が該当します。

個人情報保護法において「個人情報」とは、データベースなどに取り込まれる以前の「生の個人情報」の書面・写真・音声等に記録されているものを指しており、以下の利用目的や取得に関する規定において「個人情報」という用語が使われています。

• 利用目的の特定（法第17条）
• 利用目的による制限（法第18条）
• 不適正な利用の禁止（法第19条）
• 適正な取得（法第20条）
• 取得に際しての利用目的の通知等（法第21条）

「個人データ」および「保有個人データ」の取扱いにも義務がある

個人情報をデータベース化したり、検索可能な状態にしたものを「個人情報データベース等」といい、それを構成する情報のことを「個人データ」と呼び、この「個人データ」のうち、事業者に修正、削除等の権限があるものを「保有個人データ」といいます。

例えば「自社の事業活動に用いている顧客情報」や「事業として第三者に提供している個人情報」、「従業者等の人事管理情報」などは、「保有個人データ」になりますが、例えば「委託を受けて、入力、編集、加工等のみを行っているもの」のようなものは、「保有個人データに該当しない個人データ」になります。

「個人データ」に該当する場合は、以下の義務等が課されます。

• データ内容の正確性の確保（法第22条）
• 安全管理措置（法第23条）
• 従業者の監督（法第24条）
• 委託先の監督（法第25条）
• 漏えい等の報告等（法第26条）
• 第三者提供の制限（法第27条）
• 外国にある第三者への提供の制限（法第28条）
• 確認・記録義務（法第29条・法第30条）
• 個人関連情報の第三者提供の制限等（法第31条）

また、「保有個人データ」に該当すると、以下の義務等も課されます。

• 保有個人データの利用目的の公表・通知、開示、訂正、利用停止等（法第32条～第35条）
• 上記理由の説明（第36条）
• 開示等の請求等に応じる手続（法第37条）
• 通知または請求にかかる手数料（法第38条）

仮名加工情報とは

仮名加工情報とは、令和4年4月1日の個人情報保護法改正により新たに導入されたもので、個人情報や個人識別符号について、その一部を削除することや復元可能な規則性が無いよう置換することで、特定の個人を識別することができないよう加工した情報です。

匿名加工情報が、特定の個人を識別できないように個人情報を加工しかつ復元できないようにして、事業者間におけるデータ利活用を促進することを目的にしている一方で、仮名加工情報は、データとしての有用性を個人情報と同等程度に保ちながら、利用制限が拡大された情報として、企業内部におけるビッグデータ等の利活用を促進するためのものとなります。

仮名加工情報はあくまで社内の利活用を念頭に置いたものと考えられます。
仮名加工情報は、第三者提供が禁止となり、安全管理措置を講じる義務があるため、個人情報取扱事業者は、仮名加工情報を作成するには個人情報保護委員会規則に定める基準に従って個人情報を加工しなければなりません。（法第41条・法第42条）。

匿名加工情報とは

匿名加工情報とは、平成29年5月30日の個人情報保護法改正により新たに導入されたもので、個人情報の取扱いよりも緩やかな規律の下、自由な流通・利活用を促進することを目的に、個人情報を本人が特定できないように加工、復元できないようにした情報のことです。

個人情報保護委員会規則にて、匿名加工情報の作成方法の基準が定められており、これを最低限の規律として、民間事業者が自主的なルールを策定することになります。

事業者は、匿名加工情報を作成した場合、含まれる個人に関する情報の項目を公表する義務があります（法第 36 条）。
また、匿名加工情報を第三者に提供する場合は、あらかじめ第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供方法を公表し、提供する情報が匿名加工情報である旨を明示する必要があります（法第 36 条第４項、第 37 条）。
なお、事業者において、匿名加工情報を再度識別することは禁止されています（法第 38 条）。

個人情報保護委員会とは

個人情報保護委員会は、個人情報、匿名加工情報の適正な取扱いに向けた取組みを行っており、個人情報保護法に違反する、又は違反するおそれがある場合に、立入検査をし、指導・助言や勧告・命令をすることができます。

個人情報保護委員会の命令に従わなければ、罰則の適用もあり得ます。

罰則

国は事業者に対して、必要に応じて報告を求めたり立入検査を行うことができ、実態に応じて、指導・助言、勧告・命令を行うことができます。
監督に従わない場合は、罰則が適用される可能性があります。