「個人情報保護法」をわかりやすく解説 個人情報の取扱いルールとは?

シェアする

個人に関係する様々な個人情報の種類。氏名、住所、生年月日、マイナンバー、免許証番号、指紋、虹彩、DNAなど

仕事や学校、町内会・自治会や同窓会などの活動で、名簿を作成するために誰かの名前や連絡先などの「個人情報」を集めたことはありませんか。役所などの公的機関や企業はもちろん、皆さんも身近なところで個人情報を取り扱う機会があるかもしれません。個人情報の有用性に配慮しながら、個人の権利や利益を守ることを目的とした「個人情報保護法」は、国の行政機関や独立行政法人、地方公共団体などはもちろん、個人情報を取り扱う全ての事業者や組織が守らなければならない共通のルールです。皆さんに知っていただきたい「個人情報保護法」のポイントを説明します。

1「個人情報保護法」って何?

氏名や性別、生年月日、住所などの情報は、個人のプライバシーに関わる大切な情報です。一方、それらの情報を活用することで、行政や医療、ビジネスなど様々な分野において、サービスの向上や業務の効率化が図られるという側面もあります。
そこで、個人情報の有用性に配慮しながら、個人の権利や利益を守ることを目的とした「個人情報保護法」(正式名称:個人情報の保護に関する法律)が平成15年(2003年)5月に制定され、平成17年(2005年)4月に全面施行されました。
その後、デジタル技術の進展やグローバル化などの経済・社会情勢の変化や、世の中の個人情報に対する意識の高まりなどに対応するため、個人情報保護法は、これまでに3度の大きな改正が行われました(コラム「「個人情報保護法」の改正」参照)。

個人情報保護法に基づいて、どのような情報が個人情報になるのか、個人情報をどう取り扱わなければならないのかなど、基本的なルールを紹介します。なお、以下で紹介するのは、基本的に民間事業者に関するルールです。

2どんな情報が「個人情報」になるの?

個人情報保護法において「個人情報」とは、生存する個人に関する情報で、氏名、生年月日、住所、顔写真などにより特定の個人を識別できる情報をいいます。
これには、他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものも含まれます。例えば、生年月日や電話番号などは、それ単体では特定の個人を識別できないような情報ですが、氏名などと組み合わせることで特定の個人を識別できるため、個人情報に該当する場合があります。
また、メールアドレスについてもユーザー名やドメイン名から特定の個人を識別することができる場合は、それ自体が単体で、個人情報に該当します。

このほか、番号、記号、符号などで、その情報単体から特定の個人を識別できる情報で、政令・規則で定められたものを「個人識別符号」といい、個人識別符号が含まれる情報は個人情報となります。
例えば、次のようなものです。

(1)  身体の一部の特徴を電子処理のために変換した符号で、顔認証データ、指紋認証データ、虹彩、声紋、歩行の態様、手指の静脈、掌紋などのデータがあります。

(2)  サービス利用や書類において利用者ごとに割り振られる符号で、パスポート番号、基礎年金番号、運転免許証番号、住民票コード、マイナンバー、保険者番号などがあります。

個人情報の種類。氏名、住所、生年月日、顔写真など特定の個人を識別できる情報のほか、指紋、虹彩、DNA、マイナンバー、パスポート番号、保険者番号、免許証などの個人識別番号も個人情報に該当する。

要配慮個人情報とは?

個人情報の中には、他人に公開されることで、本人が不当な差別や偏見などの不利益を被らないようにその取扱いに特に配慮すべき情報があります。例えば、次のような個人情報は、「要配慮個人情報」として、取扱いに特に配慮しなければいけません。

人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により被害を被った事実のほか、身体障害・知的障害・精神障害などの障害があること、医師等により行われた健康診断その他の検査の結果、保健指導、診療・調剤情報、本人を被疑者又は被告人として逮捕等の刑事事件に関する手続が行われたこと、非行・保護処分等の少年の保護事件に関する手続が行われたことの記述などが含まれる個人情報

このような「要配慮個人情報」の取得には、原則としてあらかじめ本人の同意が必要です。

3「個人情報データベース等」、「個人データ」、「保有個人データ」とは?

個人情報保護法には、「個人情報」という用語のほか、「個人情報データベース等」「個人データ」「保有個人データ」という似た用語が登場します。ここでは、それぞれの用語の定義について説明します。

(1)個人情報データベース等
「個人情報データベース等」とは、特定の個人情報を検索することができるように体系的に構成された、個人情報を含む情報の集合物をいいます。コンピュータを用いて検索できるように体系的に構成したものや、紙面で処理した個人情報を一定の規則に従って整理・分類し、簡単に検索できるように目次や索引を付けているものが該当します。例えば、五十音順で整理された名簿などがこれに当たります。

(2)個人データ
「個人情報データベース等」を構成する個人情報を「個人データ」といいます。例えば、名簿を構成する氏名・誕生日・住所・電話番号などの個人情報がこれに当たります。

(3)保有個人データ
個人データのうち、個人情報取扱事業者が本人から請求される開示・訂正・削除などに応じることができる権限を有するものを「保有個人データ」といいます。

4個人情報や個人データを取り扱うときの基本ルールとは?

個人情報や個人データを取り扱うときの基本的なルールを改めて確認しておきましょう。

個人情報や個人データを取り扱うときの4つの基本ルールのポイント

(1)個人情報を取得・利用するとき

  • 個人情報を取り扱うに当たっては、どのような目的で個人情報を利用するのか具体的に特定する必要があります。
  • 個人情報の利用目的は、あらかじめホームページ等により公表するか、本人に知らせなければなりません。
  • 個人情報は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により利用してはなりません。
  • 「要配慮個人情報」を取得するときはあらかじめ本人の同意が必要です。
  • 取得した個人情報は、利用目的の範囲で利用しなければなりません。
  • 取得している個人情報を、特定した利用目的の範囲外のことに利用する場合、あらかじめ本人の同意が必要です。

(2)個人データを保管・管理するとき

    • 個人データの漏えい等が生じないように、安全に管理するために必要な措置を講じなければなりません。

(例) 紙で管理している場合:鍵のかかるキャビネットに保管する
パソコンで保管している場合:ファイルにパスワードを設定する
セキュリティ対策ソフトを導入する など

紙で管理している場合は、鍵のかかるキャビネットに保管する パソコンで保管している場合はセキュリティ対策ソフトを導入し、ファイルにパスワードを設定

  • 従業者や委託先においても、個人データの安全管理が図られるよう、必要かつ適切な監督を行わなければなりません。
  • 個人データの漏えい等が発生し、個人の権利利益を害するおそれが大きい場合は、個人情報保護委員会に報告し、本人に通知する義務があります。

(3)個人データを第三者に提供するとき

    • 個人データを本人以外の第三者に提供するときは、原則として、あらかじめ本人の同意が必要です。ただし、本人の同意を得なくても、例外的に個人データを第三者に提供できる場合があります。

(例) 法令に基づく場合(警察、裁判所、税務署等からの照会)、人の生命・身体・財産の保護に必要で本人の同意取得が困難な場合、公衆衛生・児童の健全育成に必要で本人の同意取得が困難な場合、学術研究目的での提供・利用、委託・事業承継・共同利用など

    • 外国にある第三者に提供する際には、次のいずれかを満たす必要があります。

[1] あらかじめ本人の同意を得る

同意を得る際に、その外国の個人情報保護制度や、提供先が講じる保護措置などの情報を本人に提供する必要があります。

[2] 外国にある第三者が適切な体制を整備している

提供先における個人データの取扱い実施状況等の定期的な確認及び問題が生じた場合の対応の実施、更には本人の求めに応じて移転先における個人情報保護委員会が定める基準に適合する体制の整備の方法に関する情報などを提供する必要があります。

[3] 外国にある第三者が個人情報保護委員会が認めた国又は地域に所在している

  • 第三者に個人データを提供した場合は「いつ・誰の・どんな情報を・誰に」提供したか、第三者から個人データの提供を受けた場合は「いつ・誰の・どんな情報を・誰から」提供されたかを確認・記録する必要があります。記録の保存期間は原則3年です。

(4)本人から保有個人データの開示等を求められたとき

  • 本人からの請求があった場合は、保有個人データの開示、訂正、利用停止などに対応する必要があります(「保有個人データの利用停止、消去、第三者への提供の停止を請求できるケースとは?」参照)。
  • 個人情報の取扱いに対する苦情を受けたときは、適切かつ迅速に対処する必要があります。
  • 以下の内容について、ウェブサイトで公表するなど本人が知り得る状態にしておかなければなりません。

[1]個人情報取扱事業者の氏名又は名称、住所
[2]全ての保有個人データの利用目的
[3]保有個人データの利用目的の通知の求め又は開示などの請求手続
[4]保有個人データの安全管理のために講じた措置
[5]保有個人データの取扱いに関する苦情の申出先

  • 第三者に個人データを提供した記録も開示請求の対象となります。
  • 保有個人データの開示方法について、電子データなどによる提供を含め、本人が請求した方法で対応する必要があります。

保有個人データの利用停止、消去、第三者への提供の停止を請求できるケースとは?

改正法の施行前は、本人が保有個人データの利用停止、消去、第三者への提供の停止を請求できるのは、個人情報取扱事業者が個人情報を不正取得した場合など、一定の個人情報保護法違反の場合に限られていました。法改正によって、次のような場合にも、本人から利用停止などの請求が可能となりました。

  • 個人データを利用する必要がなくなったとき
  • 個人情報保護委員会への報告義務がある重大な個人データの漏えい等の事案が発生したとき
  • 本人の権利又は正当な利益が害されるおそれがあるとき

5個人データの漏えい等が発生したときは?

次のような漏えい等の事案が発生した場合、又は発生したおそれがある場合は、個人の権利や利益を侵害するおそれが大きいため、個人情報取扱事業者は、速やかに個人情報保護委員会に報告し、本人へ通知しなければいけません。

(1)要配慮個人情報の漏えい等

例1:従業者の健康診断等の結果を含む個人データが漏えいした場合
例2:患者の診療情報や調剤情報を含む個人データを記録したUSBメモリーを紛失した場合

(2)財産的被害のおそれがある漏えい等

例1:ECサイトからクレジットカード番号を含む個人データが漏えいした場合
例2:送金や決済機能のあるウェブサービスのログインIDとパスワードを含む個人データが漏えいした場合

(3)不正の目的によるおそれがある漏えい等

例1:不正アクセスにより個人データが漏えいした場合
例2:ランサムウェアなどにより個人データが暗号化され復元できなくなった場合
例3:個人データが記載又は記録された書類・媒体などが盗難された場合
例4:従業者が顧客の個人データを不正に持ち出して第三者に提供した場合

(4)1,000人を超える個人データの漏えい等

例:メールマガジンの配信を行う際、個人データであるメールアドレスを本来はBCC欄に入力して送信すべきところ、誤ってCC欄に入力して1,000人を超える方々へ一斉送信した場合

なお、(1)、(2)、(3)は1件でも漏えい等の事態が発生したら報告と通知の対象となります。

個人情報の漏えい事故が発生したときの流れ。事業者は個人情報保護委員会に報告義務があり、利用者に通知する義務がある。また、利用者は事業者に対し、利用停止や消去などを請求することができる。

これまでは、個人情報保護委員会への報告や本人への通知は努力義務でしたが、法改正により令和4年(2022年)4月からは義務となりました。これにより、個人が漏えい等の事態の発生を早く知ることができ、個人情報取扱事業者に対し、自らの個人情報の利用停止や消去などを請求しやすくなります。

用語解説

漏えい等とは、「漏えい」「滅失」又は「毀損」のことをいいます。

  • 「漏えい」とは?
    個人データが外部に流出することをいいます。なお、個人データを第三者に閲覧されないうちに全てを回収した場合は、漏えいに該当しません。また、個人情報取扱事業者が自らの意図に基づき個人データを第三者に提供する場合も、漏えいには該当しません。
  • 「滅失」とは?
    個人データの内容が失われることをいいます。なお、その内容と同じデータが他に保管されている場合は、滅失に該当しません。また、個人情報取扱事業者が合理的な理由により個人データを削除する場合も、滅失には該当しません。
  • 「毀損」とは?
    個人データの内容が意図しない形で変更されることや、内容を保ちつつも利用不能な状態になることをいいます。なお、その内容と同じデータが他に保管されている場合は、毀損に該当しません。

6個人情報について相談したい、もっと知りたいときは?

個人情報保護法について分からないことがあるときは、個人情報保護委員会が設置している「個人情報保護法相談ダイヤル」にお問い合わせください。個人情報保護法の一般的な解釈や個人情報保護制度についての質問にお答えしています。
また、個人情報保護委員会のウェブサイトでは、24時間、個人情報保護法の基本的な事項をチャットでご説明するPPC質問チャットやよく寄せられる質問及びその回答を例示した「よくある質問」のページを開設していますので、こちらも参考にしてください。

個人情報保護法に関するご相談・お問合せ

個人情報保護法相談ダイヤル
電話番号 03-6457-9849
受付時間 平日9:30~17:30(土日・祝日・年末年始は休業)

PPC質問チャット

個人情報保護法についてもっと詳しく知りたい方は、下記のウェブサイトや動画をご覧ください。

政府広報オンライン

個人情報保護委員会ウェブサイト

コラム

「個人情報保護法」の改正

個人情報保護法は、これまでに3度の大きな見直し改正が行われました。それぞれの改正について、主なポイントを紹介します。

(1)平成27年(2015年)改正法(平成29年(2017年)5月全面施行)

  • 取り扱う個人情報の数が5,000人分以下の小規模事業者を対象化
  • 「匿名加工情報」に関する制度の創設
  • 国境を越えた域外適用と外国執行当局への情報提供に関する制度の整備
  • 外国にある第三者への個人データの提供に関する規定の整備
  • 個人情報保護委員会の新設

(2)令和2年(2020年)改正法(令和4年(2022年)4月全面施行)

  • 保有個人データの利用停止・消去等の請求権の拡充
  • 漏えい等が発生した場合の個人情報保護委員会への報告及び本人通知の義務化
  • 「仮名加工情報」に関する制度の創設
  • 不適正な方法により個人情報を利用してはならない旨を明確化
  • データの提供先において個人データとなることが想定される「個人関連情報」について、第三者提供にあたっての本人同意が得られていること等の確認を義務付け

(3)令和3年(2021年)改正法
(令和4年(2022年)4月一部施行。地方公共団体などに関する部分は令和5年(2023年)4月施行)

  • これまで別々に定められていた民間事業者、国の行政機関、独立行政法人等、地方公共団体の機関及び地方独立行政法人のルールを集約・一体化するため、行政機関個人情報保護法、独立行政法人等個人情報保護法が個人情報保護法に統合されるとともに、地方公共団体の個人情報保護制度についてもこれに統合され、個人情報保護に関する全国的な共通ルールが定められた。

(取材協力 個人情報保護委員会  文責 政府広報オンライン)

リンク・著作権等について
このコンテンツは役に立ちましたか?
このコンテンツは分かりやすかったですか?
このコンテンツで取り上げたテーマについて関心が深まりましたか?

ご意見・ご感想

関連サイト

  • 世論調査別ウインドウで開きます
  • 首相官邸別ウインドウで開きます

外部のウェブサイトに移動しますが、よろしいですか。
よろしければ以下をクリックしてください。

ご注意
  • リンク先のウェブサイトは、内閣府政府広報室のサイトではありません。
  • この告知で掲載しているウェブサイトのURLについては、2023年11月21日時点のものです。
  • ウェブサイトのURLについては廃止や変更されることがあります。最新のURLについては、ご自身でご確認ください。
Top