ISMS, プライバシーマークに関するさまざまな資料と役立つリンク集

個人情報保護法の概略解説資料

2020/05/29
Pマーク解説資料.  2,260 views

初めてプライバシーマークの取得を目指される担当者にとって、「個人情報の保護に関する法律」(以下「個人情報保護法」)は、JIS Q 15001規格と同じように理解しておく必要があります。

上図は、「個人情報保護法」を読み、理解されるにあたり、全体としてどのようなことが記載されているかを、一覧で確認できるように解説したものです。

なお、掲載されています解説資料は、概略を示したものです。
必ず「電子政府の総合窓口e-Gov(イーガブ)」または「個人情報保護委員会ホームページ」等にて公開されています「個人情報保護法」をご確認下さい。

個人情報保護法とは

正式な法律名は、「個人情報の保護に関する法律」(法律番号:平成15年5月30日法律第57号)と言い、利用者や消費者が安心できるように、企業や団体に個人情報をきちんと大切に扱ってもらった上で、有効に活用できるよう共通のルールを定めた法律です。

平成15年5月に公布され、平成17年4月に全面施行され、その後、情報通信技術の発展や事業活動のグローバル化等の急速な環境変化等を踏まえ、平成27年9月に改正法が公布され、平成29年5月30日から全面施行されました。

この改正により、前の個人情報保護法で「5000人以下の個人情報しか有しない中小企業・小規模事業者の方は適用対象外」となっていた規定が廃止され、個人情報を取り扱う「すべての事業者」に個人情報保護法が適用されることとなりました。

個人情報保護法の構成

第1章から第3章、第5章については、国や地方公共団体、個人情報保護委員会体にも適用されますが、主に個人情報を取り扱う民間事業者の遵守すべき義務等を定める法律となっています。(第4章「個人情報取扱事業者の義務等」)

※ちなみに、行政機関における個人情報の取扱いについては、「行政機関の保有する個人情報の保護に関する法律」(平成15年5月30日法律第58号)において、独立行政法人等における個人情報の取扱いについては、「独立行政法人等の保有する個人情報の保護に関する法律」(平成15年5月30日法律第59号)において定められています。

取り扱う「個人情報」とは

個人情報とは、生存する個人に関する情報であって、氏名や生年月日等により特定の個人を識別することができるものをいいます。
なお、他の情報と容易に照合することができ、それにより特定の個人を識別することができれば、それらも含まれます。

例えば「氏名」のみであっても、社会通念上、特定の個人を識別することができるものと考えられますので、個人情報に含まれますし、「生年月日と氏名の組合せ」、「顔写真」なども個人情報となります。
また、その情報だけでも特定の個人を識別できる文字、番号、記号、符号等といった個人識別符号についても個人情報に当たります。

※「個人識別符号」には、DNA、顔、虹彩、声紋、歩行の態様、手指の静脈、指紋・掌紋、パスポート番号、基礎年金番号、免許証番号、住民票コード、マイナンバー、各種保険証等が該当します。

個人情報保護法において「個人情報」とは、データベースなどに取り込まれる以前の「生の個人情報」の書面・写真・音声等に記録されているものを指しており、以下の利用目的や取得に関する規定において「個人情報」という用語が使われています。

  • 利用目的の特定(法第15条)
  • 利用目的による制限(法第16条)
  • 適正な取得(法第17条)
  • 取得に際しての利用目的の通知等(法第18条)

「個人データ」および「保有個人データ」の取扱いにも義務がある

個人情報をデータベース化したり、検索可能な状態にしたものを「個人情報データベース等」といい、それを構成する情報のことを「個人データ」と呼び、この「個人データ」のうち、事業者に修正、削除等の権限があるもので、6ヶ月以上保有するものを「保有個人データ」といいます。

例えば「自社の事業活動に用いている顧客情報」や「事業として第三者に提供している個人情報」、「従業者等の人事管理情報」などは、「保有個人データ」になりますが、例えば「委託を受けて、入力、編集、加工等のみを行っているもの」のようなものは、「保有個人データに該当しない個人データ」になります。

「個人データ」に該当する場合は、以下の義務等が課されます。

  • データ内容の正確性の確保(法第19条)
  • 安全管理措置(法第20条)
  • 従業者の監督(法第21条)
  • 委託先の監督(法第22条)
  • 第三者提供の制限(法第23条)
  • 外国にある第三者への提供の制限(法第24条)
  • 確認・記録義務(法第25条・法第26条)

また、「保有個人データ」に該当すると、以下の義務等も課されます。

  • 保有個人データの利用目的の公表・通知、開示、訂正、利用停止等(法第27条~第30条)
  • 上記理由の説明(第31条)
  • 開示等の請求等に応じる手続(法第32条)
  • 通知または請求にかかる手数料(法第33条)

匿名加工情報とは

匿名加工情報とは、平成29年5月30日の個人情報保護法改正により新たに導入されたもので、個人情報の取扱いよりも緩やかな規律の下、自由な流通・利活用を促進することを目的に、個人情報を本人が特定できないように加工、復元できないようにした情報のことです。

個人情報保護委員会規則にて、匿名加工情報の作成方法の基準が定められており、これを最低限の規律として、民間事業者が自主的なルールを策定することになります。

事業者は、匿名加工情報を作成した場合、含まれる個人に関する情報の項目を公表する義務があります(法第 36 条)。
また、匿名加工情報を第三者に提供する場合は、あらかじめ第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供方法を公表し、提供する情報が匿名加工情報である旨を明示する必要があります(法第 36 条第4項、第 37 条)。
なお、事業者において、匿名加工情報を再度識別することは禁止されています(法第 38 条)。

小規模事業者に対する特例について

個人情報保護法の下に、「個人情報の保護に関する法律施行令」や「個人情報の保護に関する法律施行規則)」があり、これらを解説した資料として、「個人情報の保護に関する法律についてのガイドライン」が公表されています。

個人情報保護法には定められていませんが、小規模の事業者の事業が円滑に行われるように配慮することとされており、安全管理措置については、従業員の数が100人以下の中小規模事業者(一部の事業者を除く)に対して、ガイドラインにおいて特例的な対応方法が示されています。

個人情報保護委員会とは

個人情報保護委員会は、個人情報、匿名加工情報の適正な取扱いに向けた取組みを行っており、個人情報保護法に違反する、又は違反するおそれがある場合に、立入検査をし、指導・助言や勧告・命令をすることができます。

個人情報保護委員会の命令に従わなければ、罰則の適用もあり得ます。

罰則

国は事業者に対して、必要に応じて報告を求めたり立入検査を行うことができ、実態に応じて、指導・助言、勧告・命令を行うことができます。
監督に従わない場合は、罰則が適用される可能性があります。

事業者に対する罰則の主なものとして、以下の通りです。

  • 国からの命令に違反した場合は、6 か月以下の懲役又は 30 万円以下の罰金。
  • 虚偽の報告をした場合は、30 万円以下の罰金。
  • 従業員が不正な利益を図る目的で個人情報データベース等を提供・盗用した場合は、1年以下の懲役又は50 万円以下の罰金(法人にも罰金)。

参考:個人情報保護法ハンドブック – 個人情報保護委員会