ここ数年、企業による個人情報の漏えいが相次いでいる。

2023年1月には、関西電力が、子会社が管理する関西電力以外の小売電気事業者の顧客情報を閲覧し、活用していたことに関連して個人情報保護委員会から報告徴収を受領したと発表した。

このように、個人情報の取扱いに関わる事件においては、個人情報保護委員会が個人情報保護法に基づいて勧告等を行っている。

その根拠となっている個人情報保護法とは、一体どのような法律なのだろうか。

本記事では、この個人情報保護法について簡素に解説する。

法律としての特徴

概要

個人情報保護法とは、その名の通り、個人情報の保護に関する法律である。

令和5年4月から施行される改正法によって、民間事業者だけでなく、行政機関や独立行政法人、そして地方公共団体や地方独立行政法人もこの法律の対象となった。

個人情報保護法の目的は第一条に示されている。その内容は、個人情報の有用性に配慮しつつ、個人情報の権利利益を保護することだ。有用性と権利の保護、このどちらかに偏るのではなく、両立して個人情報を取扱い、また、保護することがこの法律の目的である。

また、個人情報保護法では、事前規制の仕組みが用いられている。これは、あらかじめ定められた法令を民間事業者や行政機関が遵守することによって機能する規制の仕組みである。

歴史背景

個人情報保護法は2003年5月に公布された。

その具体的な端緒としては、経済協力開発機構(OECD)が1980年に示した「プライバシー保護と個人データの国際流通についてのガイドライン」が挙げられる。

このガイドラインでは、プライバシー保護と個人データの国際流通に係る8原則が示されており、この内容は今日の個人情報保護法における条文にも反映されている。

こうしたガイドラインの存在や、社会の情報化、さらに個人情報の大量漏えい事件の発生などの流れを受けて法整備が進んだ結果、個人情報保護法が国会に提出され、その後公布となった。

さらに、2016年1月には独立性の高い機関として個人情報保護委員会が発足した。個人情報保護委員会は、個人情報の保護に関する基本方針の策定や、個人情報の取扱に関する監督を行っている。

また、個人情報保護法は、数回に渡って内容が改正されている。

その理由としては、技術的、社会的に個人情報を取り巻く環境が変化しているからだ。

例えばここ数年での環境の変化として、グローバル化に伴って個人データが越境移転されるようになったことや、ビッグデータ利活用技術が向上したことなどが挙げられる。

こうした環境の変化を受け、個人情報保護委員会は3年ごと見直しを行なっており、最新版は令和3年度改正となっている。

認定・資格制度

個人情報保護法には、2つの認定・資格制度が存在する。

代表的なものとして、個人情報の保護に関するマネジメントシステムの日本工業規格であるJIS Q 15001「個人情報保護マネジメントシステム -要求事項」が存在する。

この規格は個人情報保護法の成立以前から策定されていたが、個人情報保護法の成立や改正に合わせて改正が行われ、整合性が取られている。

この規格に基づき、事業者が適正な体制を整備できていることを評価する認証としてプライバシーマーク制度がある。これを取得することで、事業者は個人情報の取扱いの面において顧客からの信頼向上などが見込める。

このような法人格に対する規格・評価制度が存在する一方で、個人で取得可能な公的資格「個人情報保護士認定試験」というものも存在している。同試験は、一般財団法人 全日本情報学習振興協会が実施している公的資格である。これには上級個人情報保護士などの上位認定制度も存在する。

個人情報保護法の内容

個人情報保護法の内容について、大まかに解説する。

個人情報とは

個人情報保護法において、個人情報とは、生存する個人に関する情報であって、特定の個人を識別可能なもの、または個人識別符号が含まれるものと定義されている。

さらに個人識別符号には、①身体の特徴を電子化したものと、②個人に割り振られる番号の2種類が存在する。

それぞれの具体例を下表に示す。

また、個人情報保護法では、個人情報とは別に、「個人データ」の定義もなされている。

普段の生活ではこれらの言葉を分けて使うことがないため混乱するかもしれないが、個人情報保護法において、「個人データ」とは、データベース等を構成する個人情報のことを指す。

さらに、「個人データ」の中でも、その事業者がそのデータの開示・訂正・利用停止等の権利をもつものに対してはこれを「保有個人データ」という。

これらの関係性を下図に示す。

個人情報の詳細な区分については「用語解説：個人情報」を参照されたい。

また、個人情報の具体例などについては「顔認証データは個人情報に含まれるのか？」も参考となる。

個人情報や個人データを取扱う際の注意事項

個人情報保護法では、前節にて述べた個人情報や個人データのそれぞれに対し、取扱う際に取り組むべき事項が定まっている。

これを簡単に整理すると、下表のようになる。

①個人情報を取得・利用するとき

個人情報を取得する際には、あらかじめ利用目的を特定し、それを公表または本人に通知する必要がある。

また、その利用目的の範囲外のことで利用する場合には、あらかじめ本人の同意が必要となる。

つまり、個人情報は勝手に使ってはいけない。

②個人データを保管・管理するとき

個人データを保管・管理する際には、その漏えい等が生じないように、必要な措置を講じる必要がある。この措置は、従業者のみならず、個人データの取扱を委託する委託先に対しても講じる必要がある。

さらに、個人データの漏えい等が発生し、一定の条件を満たす場合には、個人情報保護委員会への報告や本人への通知義務が発生する。

つまり、個人データは失くさず、漏らさないよう管理する必要がある。

③個人データを第三者提供するとき

個人データを本人以外の第三者に提供する場合には、原則として、あらかじめ本人の同意が必要となる。

つまり、個人データは勝手に第三者に渡してはいけない。

④本人から保有個人データの開示等を求められたとき

保有個人データを取扱う事業者は、その名称や開示請求の手続などを公表することが求められる。

そして、本人からの請求があった場合には、保有個人データの開示、訂正、利用停止などに対応する必要がある。

つまり、保有個人データに対する本人からの開示請求等には適切に対応する必要がある。

仮名加工情報・匿名加工情報・個人関連情報

個人情報及び個人データを取扱う場合には上記で示したルールに従う必要があるが、権利保護のためのコスト増加に伴い、事業者の個人データに対する利活用ニーズを満たすことが難しくなっていた。

そこで、個人情報を使いやすくするための加工基準が定められた。

個人情報を加工したものとしては、仮名加工情報と匿名加工情報が存在する。これらは、個人情報に適切な加工を施すことによって作成でき、個人情報に比べて取扱い時の規制が緩和されている点もあるなど、ビッグデータ利活用に使いやすいものと言える。

さらに、個人に関する情報ではあるものの、個人情報、仮名加工情報、匿名加工情報のいずれにも該当しないものを個人関連情報という。

これらの詳細はそれぞれ以下の記事にて解説しているため、必要な方は参照されたい。

• 「用語解説：仮名加工情報」
• 「用語解説：匿名加工情報」
• 「用語解説：個人関連情報」

罰則

個人情報保護委員会は、個人情報保護法に違反、もしくは違反するおそれがある場合には、必要な報告や資料提出の要求、または立入検査を実施し、指導や勧告等を行うことができる。この勧告に対して適切な行為を実施しない場合には、個人情報保護委員会から命令が発せられ、これにも従わない場合には罰則の適応もあり得る。

つまり、個人情報保護法への違反に対しては、個人情報保護委員会からの勧告等や命令がなされ、これに適切に対応しない場合には罰則となる可能性がある。

また、罰則は違反事項の内容や対象によってその内容が変化する。

このように罰則が適応される場合、法人等に対しては最大で1億円以下の罰金となることもある。

こうした罰則の詳細については一部、こちらの記事にて解説している。

日本と海外の個人情報保護に関する法律の罰則の違いとは？

関連インシデント

関連インシデントとして、これまで個人情報保護委員会が指導等を行なった事例の概要を紹介する。なお、これらのインシデントの詳細についてはこちらの記事にて解説している。

プライバシー問題とは？Suica事件やリクナビ事件など加速するデータ活用事例から見る解決策とは

リクルート・リクルートキャリアに対する勧告

令和元年12月、個人情報保護委員会は、いわゆる内定辞退率を提供するサービスに関して、リクルート及びリクルートキャリアに対し、個人情報保護法に基づく勧告を行った。

勧告事項としては、個人データを取り扱う際の組織体制見直しや、意識改革が挙げられている。

LINEに対する報告徴収・立入検査

令和3年4月、個人情報保護委員会は、LINEに対し個人情報保護法に基づき、報告徴収と立入検査を行った。

背景として、LINE社が取り扱う個人情報は秘匿性が高く、数量も多いことから、高い安全管理措置が必要であり、この観点から改善の必要性が認められたことが挙げられている。

まとめ

• 個人情報保護法は、個人情報の有用性と権利への配慮の両立を目的とする。
• 個人情報保護法には、個人情報やその取扱いに関わるルールが定められている。
• 個人情報保護法に違反する行為を行うと、個人情報保護委員会から勧告等が行われる。

参考

• 関西電力株式会社 新電力顧客情報の取扱いに係る報告徴収の受領について
• 関西電力株式会社 個人情報保護委員会からの新電力顧客情報の取扱いに係る報告徴収の受領について
• e-gov 法令検索 個人情報の保護に関する法律
• 経済協力開発機構 概要(日本語)プライバシー保護と個人データの国際流通についてのガイドライン
• 新保 史生 個人情報保護法の過去・現在・未来
• 個人情報保護委員会 個人情報保護委員会について
• 個人情報保護委員会 令和３年 改正個人情報保護法について(官民を通じた個人情報保護制度の見直し)
• 日本規格協会グループ JIS Q 15001:2017 個人情報保護マネジメントシステム-要求事項
• JIPDEC プライバシーマーク制度 概要と目的
• 個人情報保護委員会 個人情報の保護に関する法律についてのガイドライン(通則編)
• プライバシーテック研究所 【用語解説】 : 個人情報とは
• プライバシーテック研究所 顔認証データは個人情報に含まれるのか？
• プライバシーテック研究所 【用語解説】仮名加工情報とは
• プライバシーテック研究所 【用語解説】匿名加工情報とは
• プライバシーテック研究所 【用語解説】個人関連情報とは
• プライバシーテック研究所 日本と海外の個人情報保護に関する法律の罰則の違いとは？
• 個人情報保護委員会 個人情報の保護に関する法律に基づく行政上の対応について：株式会社リクルート
• 個人情報の保護に関する法律に基づく行政上の対応について：LINE株式会社
• プライバシーテック研究所 プライバシー問題とは？Suica事件やリクナビ事件など加速するデータ活用事例から見る解決策とは