ホーム » 法律 » 【用語解説】個人情報保護法とは

概要

個人情報保護法とは、その名の通り、個人情報の保護に関する法律である。

個人情報保護法の目的は、個人情報を取り扱うもの守るべき責務を明らかにすることで、個人情報の有用性に配慮しつつ、個人の権利利益を保護することだ。

個人情報

個人情報保護法では生存する個人に関する情報であって、特定の個人を識別可能なものを個人情報と定義している。

この時、情報については大まかに以下の2種類が挙げられている。

  1. その情報に含まれる氏名等の情報自体や、他の情報と容易に照合することで個人を特定できるもの
  2. 個人識別符号を含むもの

個人情報の具体例などについては以下の記事等を参照されたい。

顔認証データは個人情報に含まれる?ーーJR東日本と成田空港の事例を紹介

個人情報取扱事業者

個人情報保護法では、こうした個人情報を取り扱う事業者として個人情報取扱事業者を設定し、これの対して従うべき義務を示している。

個人情報取扱事業者は、個人情報データベースなどを事業の用に供している者と定義されている。

ここでの個人情報データベースとは、検索などしやすいように個人情報を体型的に整備したものを指す。

個人情報取扱事業者には、

  • 安全管理措置
  • 委託先の監督
  • 第三者提供の制限

などの義務がある。

個人情報保護法の歴史

個人情報保護法の具体的な端緒としては、経済協力開発機構(OECD)が1980年に示した「プライバシー保護と個人データの国際流通についてのガイドライン」が挙げられる。

このガイドラインでは、8原則が示されており、これは今日の個人情報保護法の規定内容にも反映されている。

こうしたガイドラインの存在や、社会の情報化、さらに個人情報の大量漏えい事件の発生などの流れを受けて法整備が進み、2003年5月に個人情報保護法は公布された。

また、2016年1月には独立性の高い機関として個人情報保護委員会が発足した。個人情報保護委員会は、個人情報の保護に関する基本方針の策定や、個人情報の取扱に関する監督を行っている。

さらに個人情報保護法は、公布後数回に渡って内容が改正されている。

その理由として、技術的、社会的に個人情報を取り巻く環境の変化が挙げられる。

例えばここ数年での環境の変化としては、グローバル化による国を超えた個人情報の活用や、ビッグデータ時代のデータ利活用技術の向上などがある。

こうした環境の変化を受け、個人情報保護委員会はいわゆる3年ごと見直しにとりくんできた。

認定制度・資格

個人情報の保護に関するマネジメントシステムの日本工業規格として、**JIS Q 15001「個人情報保護マネジメントシステム -要求事項」**が存在する。

この規格は個人情報保護法の成立以前に策定されていたが、個人情報保護法の成立後に個人情報保護法との整合性が図られた。

この規格を認証基準とする認定制度として、プライバシーマーク制度がある。

さらに関連した規格として、ISO/IEC 27001を翻訳して国内規格化したJIS Q 27001が存在する。

この規格を認証基準とする認定制度としてはISMS整合性評価制度がある。

法人に対する規格・評価制度が存在する一方で、個人で取得可能な公的資格として、個人情報保護士認定試験が存在する。

これは、一般財団法人 全日本情報学習振興協会が実施している公的資格であり、国籍・年齢問わずに受験が可能である。

関連事例

関連事例として、個人情報保護委員会が指導等を行なった事例を紹介する。

リクルート・リクルートキャリアに対する勧告


令和元年12月、個人情報保護委員会は、いわゆる内定辞退率を提供するサービスに関して、リクルート及びリクルートキャリアに対し、個人情報保護法に基づく勧告を行った。

勧告事項としては、個人データを取り扱う際の組織体制見直しや、意識改革が挙げられている。

LINEに対する報告徴収・立入検査


令和3年4月、個人情報保護委員会は、LINEに対し個人情報保護法に基づき、報告徴収値立入検査を行った。

背景として、LINE社が取り扱う個人情報は秘匿性が高く、数量も多いことから、高い安全管理措置が必要であり、この観点から改善の必要性が認められたことが挙げられている。

まとめ

3ポイントくらいでまとめる

  • 個人情報保護法とは、個人情報を取り扱う事業者に対して従うべき義務を示している。
  • 個人情報保護法は技術の向上や社会の変化に対応し、2003年の公布から数回改正が行われている。
  • 個人情報保護法と整合性が取れた規格やこれを元にした認定制度、また、個人で取得可能な公的資格が存在する。
セミナー・イベント情報