個人情報保護法とは
個人情報保護法(正式名称:個人情報の保護に関する法律)は、個人の権利利益を保護しつつ、個人情報の有用性に配慮することを目的とした法律です(1条)。
2003年に制定され、2015年に大幅改正、さらに2022年4月の改正で個人の権利保護が大幅に強化されました。
基本用語の整理
個人情報
生存する個人に関する情報で、氏名、生年月日、住所など、特定の個人を識別できるものです(2条1項)。個人識別符号(マイナンバー、指紋データ等)も含まれます。
個人データ
個人情報データベース等を構成する個人情報のことです(16条3項)。コンピュータで検索可能な形で管理されている個人情報が典型例です。
要配慮個人情報
人種、信条、病歴、犯罪歴、障害など、不当な差別や偏見を生じないよう特に配慮を要する個人情報です(2条3項)。取得には本人の同意が必須です。
企業の主な義務
利用目的の特定と通知
個人情報の利用目的をできる限り特定し(17条)、取得時に本人に通知または公表する必要があります(21条)。
目的外利用の禁止
特定した利用目的の範囲を超えて個人情報を利用してはなりません(18条)。範囲外の利用には本人の同意が必要です。
安全管理措置
個人データの漏洩、滅失、毀損を防止するための安全管理措置を講じなければなりません(23条)。
具体的な措置: - 組織的安全管理措置(責任者の設置、規程の整備) - 人的安全管理措置(従業員教育、秘密保持契約) - 物理的安全管理措置(入退室管理、書類の施錠管理) - 技術的安全管理措置(アクセス制御、暗号化、ログ管理)
第三者提供の制限
個人データを第三者に提供する場合、原則として本人の同意が必要です(27条)。
同意不要の例外: - 法令に基づく場合 - 人の生命・身体・財産の保護に必要な場合 - 委託先への提供(委託元の利用目的の範囲内) - 事業承継に伴う提供
外国にある第三者への提供
外国の第三者に個人データを提供する場合は、追加の要件があります(28条)。提供先の国の個人情報保護制度に関する情報を本人に提供する必要があります。
2022年改正の主なポイント
漏洩等報告の義務化
一定の漏洩事案が発生した場合、個人情報保護委員会への報告と本人への通知が義務化されました(26条)。
報告が必要なケース: - 要配慮個人情報の漏洩 - 不正アクセスによる漏洩 - 財産的被害のおそれがある漏洩 - 1,000件を超える漏洩
個人の権利の強化
- 利用停止・消去請求権の要件緩和(35条)
- 開示請求の対象がデジタルデータにも拡大
- 開示方法を本人が指定可能に(電磁的記録の提供等)
仮名加工情報の新設
特定の個人を識別できないよう加工した「仮名加工情報」が新設され(2条5項)、内部分析等の目的であれば一定の義務が緩和されます。
法定刑の引き上げ
- 個人情報データベース等の不正提供: 1年以下の懲役または50万円以下の罰金
- 法人に対する罰金: 最大1億円に引き上げ(旧法では50万円以下)
Cookie・Web閲覧履歴の取り扱い
Cookieやアクセスログ等のオンライン識別子は、それ単体では個人情報に該当しない場合もありますが、個人関連情報(26条の2)として規制されます。
第三者に個人関連情報を提供し、提供先で個人データと紐付けられる場合は、本人の同意が必要です。
違反した場合のリスク
| 違反内容 | 制裁 |
|---|---|
| 個人情報保護委員会の命令違反 | 1年以下の懲役または100万円以下の罰金 |
| 不正な利益目的でのデータベース提供 | 1年以下の懲役または50万円以下の罰金 |
| 法人に対する罰金(命令違反) | 最大1億円 |
| 報告義務違反(虚偽報告含む) | 50万円以下の罰金 |
行政処分
個人情報保護委員会は、勧告(148条)→命令(149条)→刑事告発の段階的な措置をとります。
レピュテーションリスク
法的制裁に加え、情報漏洩は企業の信用を大きく毀損します。漏洩が報道されれば、顧客離れや取引停止など経済的損失は罰金額を大きく上回ることがあります。
まとめ
個人情報保護法は、事業者の規模を問わず個人情報を扱うすべての企業に適用されます。2022年改正で罰則が大幅に強化され、特に漏洩時の報告義務が新設されたことで、情報管理体制の整備がこれまで以上に重要になっています。