現代のビジネスにおいて、顧客情報や従業員情報といった「個人情報」の取り扱いは、事業規模の大小を問わず、すべての企業にとって避けては通れない重要なテーマです。デジタル化の進展により、大量の情報を容易に収集・活用できるようになった一方で、情報漏えいや不適切な利用のリスクも増大しています。このような状況下で、事業者のコンプライアンス遵守と個人の権利利益保護の双方を実現するために存在するのが「個人情報保護法」です。
この法律は、単なるルールブックではなく、企業の社会的信用を維持し、顧客との信頼関係を築くための基盤となるものです。特に、近年行われた法改正により、事業者が負うべき責務はより一層強化され、違反した場合の罰則も厳格化されました。
本記事では、個人情報保護法の基本的な考え方から、事業者が遵守すべき具体的な義務、そして近年の法改正で特に重要となるポイントまでを網羅的に解説します。専門用語も一つひとつ丁寧に説明し、具体例を交えながら、日々の業務にどのように落とし込めばよいのかを分かりやすく紐解いていきます。この記事を通じて、個人情報保護法への理解を深め、適切な情報管理体制の構築にお役立てください。
目次
個人情報保護法とは
まず、個人情報保護法の全体像を掴むために、その目的と、法律の対象となる「個人情報取扱事業者」の定義について理解することから始めましょう。この法律がなぜ必要なのか、そして自社が対象となるのかを正しく認識することが、適切な対応の第一歩となります。
個人情報保護法の目的
個人情報保護法は、正式名称を「個人情報の保護に関する法律」といいます。この法律が掲げる根本的な目的は、大きく二つあります。それは、「個人の権利利益を保護すること」と「個人情報の有用性に配慮しつつ、その適正な活用を図ること」です。
一つ目の「個人の権利利益の保護」とは、自分の情報がいつ、誰に、どのように使われるかを本人がコントロールできるようにし、不当なプライバシー侵害や差別などから個人を守ることを意味します。例えば、本人の知らないところで勝手に個人情報が売買されたり、思想や信条といったデリケートな情報が本人の意に反して利用されたりすることを防ぐためのルールが定められています。
二つ目の「個人情報の有用性への配慮」とは、個人情報を保護するだけでなく、新しいサービスや技術開発、学術研究など、社会にとって有益な目的でのデータ活用も促進するという側面です。過度な規制はイノベーションを阻害する可能性があるため、法律は保護と活用のバランスを取ることを目指しています。後述する「仮名加工情報」や「匿名加工情報」といった仕組みは、まさにこのデータ利活用を促進するために設けられたものです。
この法律が制定された背景には、インターネットやスマートフォンの普及による情報化社会の急速な進展があります。企業は容易に大量の個人情報を収集・分析できるようになり、それはマーケティングやサービス向上に大きく貢献しました。しかし同時に、大規模な情報漏えい事件が頻発し、個人情報の不適切な取り扱いが社会問題化したのです。そこで、個人情報の取り扱いに関する統一的なルールを定め、事業者が守るべき責務を明確にする必要性が高まり、2005年に個人情報保護法が全面施行されました。
保護の対象となるのは、「生存する個人」に関する情報です。亡くなった方の情報は、原則としてこの法律の直接の保護対象にはなりませんが、遺族との関係でプライバシー権など別の法律上の問題が生じる可能性はあります。また、法人(会社や団体)そのものの情報は「個人情報」には該当しません。
事業者がこの法律を遵守することは、単なる義務に留まりません。顧客情報を適切に管理し、プライバシーに配慮する姿勢を示すことは、企業の社会的信用やブランドイメージを大きく向上させます。逆に、一度でも情報漏えいなどの問題を起こしてしまうと、顧客離れや取引停止、株価の下落といった深刻な経営ダメージに繋がる可能性があります。したがって、個人情報保護への取り組みは、リスク管理の一環であると同時に、重要な経営戦略の一つと位置づけるべきものなのです。
法律の対象となる個人情報取扱事業者
では、どのような事業者がこの法律の対象となるのでしょうか。個人情報保護法では、法律で定められた義務を負う事業者を「個人情報取扱事業者」と定義しています。
「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者を指します。ここで重要なポイントが二つあります。
一つは「個人情報データベース等」という言葉です。これは、特定の個人情報をコンピュータで検索できるように体系的に構成したもの(例:Excelの顧客リスト、顧客管理システム)だけでなく、紙媒体の情報であっても、五十音順や日付順などで整理され、容易に検索できる状態になっているもの(例:整理された名刺ファイル、紙の顧客台帳)も含まれます。
もう一つの重要なポイントは、2017年の法改正で、過去に存在した「5,000人要件」が撤廃されたことです。改正前は、取り扱う個人情報が5,000人分以下の事業者は、原則として個人情報取扱事業者の対象外とされていました。しかし、現在はこの要件がなくなったため、事業規模の大小や、営利・非営利を問わず、個人情報データベース等を事業で利用しているすべての事業者が法律の対象となります。
【具体例】
- 個人経営の飲食店: 予約を受ける際に氏名や電話番号を記録し、予約台帳(紙やデジタル)で管理している場合。
- 小規模なECサイト: 商品の発送や顧客管理のために、顧客の氏名、住所、連絡先などをデータベースで管理している場合。
- フリーランスのデザイナー: クライアントの担当者名や連絡先を名刺管理ソフトで管理している場合。
- NPO法人や自治会: 会員の名簿を作成し、活動の連絡などに利用している場合。
このように、現在ではごく小規模な事業者であっても、顧客リストや会員名簿などを扱っていれば、個人情報取扱事業者として法律で定められた義務を遵守する必要があります。「うちは小さな会社だから関係ない」という考えは通用しない、ということを強く認識しておくことが重要です。
ただし、国の機関、地方公共団体、独立行政法人などは、この法律の「個人情報取扱事業者」の定義からは除外され、別途「行政機関等個人情報保護法」などの規律が適用されます。本記事では、主に民間事業者を対象としたルールについて解説を進めていきます。
押さえておくべき個人情報保護法の基本用語
個人情報保護法を正しく理解し、運用するためには、法律で使われている基本的な用語の定義を正確に把握しておくことが不可欠です。これらの用語は似ているようで、それぞれ意味や対象範囲、守るべきルールが異なります。ここでは、事業者が必ず押さえておくべき7つの重要用語について、具体例を交えながら詳しく解説します。
用語 | 定義の要約 | 具体例 | ポイント |
---|---|---|---|
個人情報 | 特定の個人を識別できる情報 | 氏名、顔写真、メールアドレス | 最も広範な概念 |
個人識別符号 | それ自体で個人を識別できる符号 | マイナンバー、指紋データ | これを含む情報も個人情報 |
要配慮個人情報 | 取り扱いに特に配慮を要する情報 | 病歴、信条、犯罪歴 | 取得には本人の同意が原則必要 |
個人データ | 検索可能に構成された個人情報 | 顧客データベース、Excelリスト | 安全管理措置の対象 |
保有個人データ | 事業者が開示等の権限を持つ個人データ | 顧客データベース(自社管理) | 本人からの開示請求等に対応義務 |
仮名加工情報 | 他の情報と照合しないと個人を識別できないよう加工した情報 | 氏名を削除した購買履歴データ | 内部分析での利用が主。第三者提供は原則禁止 |
匿名加工情報 | 個人を識別できず、復元もできないよう加工した情報 | 年齢層・性別ごとの統計データ | 本人の同意なく第三者提供が可能 |
個人情報
「個人情報」とは、生存する個人に関する情報であって、その情報に含まれる氏名、生年月日、その他の記述等により特定の個人を識別できるものを指します。法律の保護対象となる最も基本的な、そして最も広範な概念です。
これには、単体で個人を特定できる情報(氏名など)だけでなく、「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるもの」も含まれます。例えば、「A社の従業員ID」だけでは誰か分かりませんが、社内の名簿と照らし合わせれば個人が特定できるため、この従業員IDも個人情報に該当します。
【個人情報にあたるものの具体例】
- 氏名、住所、生年月日、性別、電話番号、メールアドレス
- 顔写真、防犯カメラに記録された特定の個人が識別できる映像
- 音声録音(声紋で個人が識別できる場合)
- 特定の個人に紐づく購買履歴、位置情報
- 会社のメールアドレス(例: taro.yamada@example.com のように氏名が含まれるもの)
- 後述する「個人識別符号」が含まれる情報
個人識別符号
「個人識別符号」とは、その情報単体で特定の個人を識別できる、身体の一部の特徴をデータ化したものや、公的な番号などを指します。これは2017年の法改正で導入された概念で、これが含まれる情報はすべて「個人情報」として扱われます。
個人識別符号は、大きく二つのカテゴリーに分けられます。
- 身体の一部の特徴をコンピュータ処理のために変換した符号
- 【具体例】指紋認証データ、顔認証データ、虹彩、声紋、歩行の態様、静脈、DNA情報など
- 個人に割り当てられる公的な番号や記号
- 【具体例】マイナンバー(個人番号)、運転免許証の番号、パスポートの番号、基礎年金番号、健康保険の被保険者証の記号・番号、住民票コードなど
これらの情報は、極めて機微性が高く、複製も困難であるため、特に厳格な取り扱いが求められます。
要配慮個人情報
「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実など、本人に対する不当な差別、偏見その他の不利益が生じないように、その取扱いに特に配慮を要するものとして政令で定められた情報をいいます。
この情報は、個人のプライバシーの中でも特にデリケートな部分に関わるため、取得や取り扱いには極めて厳しい制限が課されています。最大のポイントは、要配慮個人情報を取得する際には、原則としてあらかじめ本人の同意を得なければならないという点です。本人の同意なく取得することは、法令に基づく場合などを除き、固く禁じられています。
【要配慮個人情報の具体例】
- 人種、信条(特定の宗教を信仰していることなど)
- 社会的身分(被差別部落の出身であることなど)
- 病歴、心身の障害があること
- 健康診断や検査の結果
- 医師等による指導や診療・調剤が行われた事実
- 犯罪の経歴、犯罪被害の事実
事業者が従業員の健康診断結果などを取り扱う際には、これが要配慮個人情報にあたることを強く認識し、本人の明確な同意のもと、利用目的を限定して慎重に管理する必要があります。
個人データ
「個人情報」とよく似ていますが、「個人データ」はより限定的な概念です。「個人データ」とは、「個人情報データベース等」を構成する個人情報を指します。
前述の通り、「個人情報データベース等」とは、特定の個人情報を検索できるように体系的に構成したものです。つまり、バラバラに存在するメモ書きのような個人情報は「個人情報」ではあっても「個人データ」ではありませんが、それがExcelのリストや顧客管理システムに入力され、整理された瞬間に「個人データ」となります。
事業者が遵守すべき義務の多く(例:安全管理措置、第三者提供の制限など)は、この「個人データ」を対象としています。そのため、自社が管理しているどの情報が「個人データ」にあたるのかを正確に把握することが、コンプライアンスの第一歩です。
【個人データの具体例】
- 顧客管理システム(CRM)に登録された顧客情報
- Excelで作成・管理している従業員名簿や顧客リスト
- 名刺管理ソフトに取り込んだ名刺情報
- 五十音順にファイリングされた紙の顧客カードやアンケート用紙
保有個人データ
「保有個人データ」は、「個人データ」の中でもさらに範囲が限定されます。「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データのことです。
簡単に言えば、事業者が自らの責任で管理し、内容の変更や削除ができるデータのことです。本人から「自分の情報を開示してほしい」「間違っているので訂正してほしい」といった請求があった場合、事業者はこの「保有個人データ」に対して対応する義務を負います。
以前は6ヶ月以内に消去されるデータ(短期保存データ)は対象外でしたが、法改正により、現在は保存期間に関わらず、すべてのデータが「保有個人データ」の対象となります。
一方で、例えば業務委託を受けており、委託元の指示に従ってデータを処理するだけで、自社にデータの編集権限がない場合、そのデータは「個人データ」ではあっても「保有個人データ」には該当しません。
仮名加工情報
「仮名加工情報」とは、他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報です。これは令和2・3年改正で新設された概念です。
この仕組みは、個人情報の保護とデータ利活用のバランスを取るために導入されました。個人情報をそのままの形で社内分析に使うと、利用目的の制限など厳しいルールが適用されますが、仮名加工情報にすることで、いくつかの義務が緩和され、より柔軟なデータ活用が可能になります。
加工のルール:
- 氏名などの特定の個人を識別できる記述を削除する(例: 氏名を削除、または顧客IDのような無意味な文字列に置き換える)
- 個人識別符号をすべて削除する
- 不正利用で財産的被害が生じるおそれのある記述(クレジットカード番号など)を削除する
ポイント:
- 主な用途は内部分析です。原則として第三者への提供は禁止されています。
- 加工元となった個人情報を復元できる状態であるため、後述の「匿名加工情報」とは区別されます。
- 利用目的の特定・公表義務はありますが、目的の変更は柔軟に行えます。また、本人からの開示・利用停止請求への対応義務は課されません。
【仮名加工情報の具体例】
顧客の購買履歴データから、氏名や住所(番地まで)を削除し、代わりにランダムなIDを割り振り、年代(例:30代)、性別、居住地(例:東京都)といった情報に置き換えて、商品開発のための分析に利用するケース。
匿名加工情報
「匿名加工情報」とは、特定の個人を識別することができず、かつ、その個人情報を復元することができないように加工した情報です。仮名加工情報よりもさらに加工の度合いが強く、個人との繋がりが断たれているのが特徴です。
匿名加工情報は、個人情報に該当しないため、本人の同意を得ることなく、事業者間でのデータ取引など、第三者へ提供することが可能になります。これにより、オープンイノベーションの促進や新たなビジネスの創出が期待されています。
作成・提供時のルール:
- 個人情報保護委員会が定める基準に従って適正に加工する必要がある。
- 加工方法などの情報を漏らしてはならない(安全管理措置)。
- 作成したことや、含まれる情報の項目を公表する義務がある。
- 第三者に提供する際は、提供する情報が「匿名加工情報」であることを明示する必要がある。
【匿名加工情報の具体例】
全国の店舗のPOSデータから、個人を特定できる情報をすべて削除し、「関東エリア、30代女性、平日午前に購入」といった形式の統計データを作成し、マーケティング会社に販売するケース。
これらの用語の違いを正確に理解することが、自社の情報資産を適切に分類し、それぞれに応じた正しい管理体制を築くための基礎となります。
事業者が必ず守るべき8つの義務とルール
個人情報保護法は、個人情報取扱事業者に対して、個人情報のライフサイクル(取得、利用、保管、提供、廃棄)の各段階で遵守すべき具体的な義務を定めています。ここでは、事業活動を行う上で特に重要となる8つの基本的な義務とルールについて、何をすべきか、なぜそれが必要かを解説します。
① 利用目的を特定し、本人に伝える
事業者が個人情報を取得する際には、まず「何のためにその情報を利用するのか」という利用目的を、できる限り具体的に特定しなければなりません。これは、本人に対して自分の情報がどのように扱われるかを明確に示し、予期せぬ目的で利用されることを防ぐための大原則です。
特定する際のポイント:
- 具体性: 「当社の事業活動のため」「マーケティングのため」といった抽象的な表現は不適切です。「商品の発送のため」「お問い合わせへの対応のため」「新商品に関するメールマガジンを配信するため」のように、本人が利用される場面を具体的にイメージできるレベルまで特定する必要があります。
- 事前特定: 原則として、個人情報を取得する前に利用目的を特定しておく必要があります。
本人に伝える方法:
特定した利用目的は、本人に伝えなければなりません。伝え方には主に二つの方法があります。
- あらかじめ公表する: 自社のウェブサイトに「プライバシーポリシー」や「個人情報の取扱いについて」といったページを設け、そこに利用目的を明記しておく方法が一般的です。
- 取得時に本人に通知する: アンケート用紙や申込書など、本人から直接書面で個人情報を取得する場合は、その書面に利用目的を明記するのが最も確実です。ウェブサイトの入力フォームであれば、フォームの近くに利用目的を記載します。
この義務を怠ると、そもそも個人情報を適法に取得したことにならず、その後のすべての利用が違法となる可能性があるため、極めて重要です。
② 利用目的の達成に必要な範囲で利用する
特定し、本人に伝えた利用目的の範囲を超えて、個人情報を取り扱うこと(目的外利用)は、原則として禁止されています。つまり、一度定めたルールの範囲内でしか、その個人情報を使ってはならないということです。
例えば、「商品発送のため」に取得した顧客の氏名や住所を、本人の同意を得ることなく、新サービスの電話営業に利用することは目的外利用にあたり、違法となります。
もし、当初特定した目的以外の目的で個人情報を利用したい場合は、原則として、あらかじめ本人の同意を得る必要があります。例えば、メールマガジン配信の同意を得ていなかった顧客に対し、新たに配信を始めたいのであれば、「新着情報をお届けするメールマガジンを配信してもよろしいでしょうか?」といった形で、改めて本人の同意を取得する手続きが必要です。
このルールは、事業者が一度手に入れた個人情報を都合よく使い回すことを防ぎ、本人の意思を尊重するための重要なブレーキとなっています。
③ 適正な方法で個人情報を取得する
個人情報を取得する際は、その手段も問われます。偽りその他不正の手段によって個人情報を取得してはなりません。
「偽りその他不正の手段」とは、具体的には以下のような行為が該当します。
- 本人を騙したり、誤解させたりして情報を取得する(例:調査会社を装って個人情報を聞き出す)。
- 他の事業者から不正に流出した個人情報のリストを購入する。
- 本人が公開している情報であっても、違法な手段で収集する。
また、前述の通り、人種や病歴といった「要配慮個人情報」については、原則として事前に本人の同意を得なければ取得できません。この同意なく要配慮個人情報を取得することは、それ自体が違法行為となります。
個人情報の取得は、常に公正な手段で行わなければならず、本人の意思に反するような形での情報収集は固く禁じられています。
④ 取得したデータを安全に管理する(安全管理措置)
個人データを取得・保有する事業者は、そのデータが漏えい、滅失(なくなること)、または毀損(傷つくこと)することがないよう、安全に管理するための措置を講じる義務があります。これを「安全管理措置」と呼びます。
この安全管理措置は、事業者の規模や取り扱う情報の性質に応じて、必要かつ適切なレベルで実施することが求められます。個人情報保護委員会が公表しているガイドラインでは、安全管理措置を以下の4つの観点から具体的に示しています。
- 組織的安全管理措置:
- 責任者の設置: 個人情報管理の責任者を定め、責任の所在を明確にする。
- 規程の整備: 個人データの取扱いに関する社内規程(プライバシーポリシー、情報管理規程など)を作成し、それに沿った運用を行う。
- 報告連絡体制の構築: 漏えい事故などが発生した際に、責任者へ迅速に報告・連絡する体制を整える。
- 取扱状況の点検: 定期的に個人データの取扱い状況を監査・点検する。
- 人的安全管理措置:
- 従業員への教育: 従業員に対して、個人情報保護の重要性や社内規程に関する研修を定期的に実施する。
- 誓約書の取得: 従業員から、在職中および退職後の秘密保持に関する誓約書を取得する。
- 物理的安全管理措置:
- 入退室管理: 個人データを取り扱う区域(サーバルーム、執務室など)への入退室管理を行う。
- 機器・媒体の盗難防止: 個人データが記録されたPC、USBメモリ、書類などを、施錠できるキャビネットや書庫に保管する。
- 書類・媒体の廃棄: 不要になった個人データは、シュレッダー処理やデータ消去ソフトを利用して、復元不可能な形で確実に廃棄する。
- 技術的安全管理措置:
- アクセス制御: 個人データにアクセスできる担当者を限定し、ID・パスワードで認証を行う。不要なアクセス権限は与えない。
- 不正アクセス対策: ファイアウォールやセキュリティソフトを導入し、外部からの不正アクセスやマルウェア感染を防止する。
- 通信の暗号化: 個人データをインターネット経由で送受信する際は、SSL/TLSなどを用いて通信を暗号化する。
これらの措置をバランスよく講じることで、情報漏えい等のリスクを総合的に低減させることが求められます。
⑤ 従業員と委託先を監督する
安全管理措置は、自社内だけでなく、自社の従業員や、業務の委託先に対しても適切に行われるように監督する義務があります。情報漏えいの原因の多くは、従業員の不注意や、委託先の管理不備によるものです。
従業員に対する監督:
前述の「人的安全管理措置」と重なりますが、単に研修を行うだけでなく、従業員が実際に規程を遵守しているかを適切に監督することが重要です。問題が発見された場合は、指導や懲戒処分を行うなど、規律を維持する姿勢が求められます。
委託先に対する監督:
個人データの取扱いを外部の業者に委託する(例:DMの発送を印刷会社に委託する、データ入力をアウトソーシングする)場合、その委託先は事業者にとって「自らの手足」とみなされます。したがって、委託先が情報漏えい事故などを起こした場合、委託元である事業者がその責任を問われます。
委託先の監督として、具体的には以下の対応が必要です。
- 適切な委託先の選定: 個人情報を安全に管理できる能力があるか(Pマークの取得状況、セキュリティ体制など)を基準に選定する。
- 契約の締結: 委託契約書に、個人情報の取扱いに関する条項(安全管理措置の内容、再委託の条件、事故時の報告義務、契約終了時のデータ返還・消去など)を明確に盛り込む。
- 取扱状況の把握: 委託先における個人データの取扱い状況について、定期的に報告を求めたり、実地調査を行ったりして、適切に管理されているかを確認する。
「委託したから、あとは知らない」は通用しません。委託先に対しても、自社と同等の管理レベルを求め、それを監督する責任があるのです。
⑥ 本人の同意なく第三者に個人データを提供しない
事業者が保有する個人データを、本人以外の第三者に提供することは、原則として禁止されています。第三者に提供したい場合は、あらかじめ本人の同意を得なければなりません。
この「第三者」には、グループ会社や提携企業も含まれます。たとえ関連会社であっても、法人格が異なれば「第三者」とみなされるため、安易なデータ共有はできません。
同意取得のポイント:
同意を得る際には、「誰に(提供先の名称)」「どのような情報が」提供されるのかを本人に明確に示した上で、同意を得る必要があります。
例外的に同意が不要な場合:
ただし、以下のような特定のケースでは、本人の同意なく第三者提供が認められています。
- 法令に基づく場合(例:裁判所や警察からの令状に基づく照会)。
- 人の生命、身体又は財産の保護のために必要がある場合で、本人の同意を得ることが困難なとき(例:災害時の安否情報)。
- 公衆衛生の向上や児童の健全な育成のために特に必要がある場合。
- 国の機関や地方公共団体等の事務に協力する必要がある場合。
- 前述の「委託」や「事業承継(合併など)」、「共同利用」は、法律上「第三者提供」にはあたらないと整理されていますが、それぞれ別途のルール(共同利用の場合は、その旨や利用項目などを事前に本人に通知または公表)に従う必要があります。
また、第三者に個人データを提供した場合、および第三者から提供を受けた場合は、その記録を作成・保存する義務があります。いつ、誰と、どのようなデータをやり取りしたのかを記録しておくことで、トレーサビリティを確保し、不正なデータ流通を防ぐ狙いがあります。
⑦ 本人からの開示・訂正などの請求に対応する
本人は、事業者が保有する自身の「保有個人データ」について、様々な権利を持っています。事業者は、これらの権利に基づく本人からの請求に対して、誠実に対応する義務があります。
本人が持つ主な権利:
- 開示請求: 自分の情報がどのように扱われているか、その内容を開示するよう求める権利。
- 訂正・追加・削除の請求: 開示された情報に誤りがあった場合に、その訂正などを求める権利。
- 利用停止・消去の請求: 目的外利用や不正取得など、法律違反があった場合に、その情報の利用停止や消去を求める権利。
- 第三者提供の停止請求: 違法な第三者提供が行われている場合に、その停止を求める権利。
事業者の対応義務:
これらの請求があった場合、事業者は本人確認を適切に行った上で、原則として遅滞なく対応しなければなりません。対応できない正当な理由がある場合(例:開示することで事業者の業務に著しい支障を及ぼすおそれがある場合)でも、その理由を本人に説明する必要があります。
特に法改正により、利用停止・消去請求の要件が緩和され、「個人の権利又は正当な利益が害されるおそれがある場合」にも請求が可能になりました。事業者は、これらの請求に対応するための社内フロー(受付窓口、対応手順、記録の作成など)を整備しておくことが重要です。
⑧ 苦情に迅速かつ適切に対応する
個人情報の取扱いに関する本人からの苦情や相談に対して、適切かつ迅速に対応するための体制を整備することも事業者の義務です。
体制整備の具体例:
- 相談窓口の設置と公表: 苦情を受け付けるための電話番号、メールアドレス、問い合わせフォームなどを設置し、プライバシーポリシーなどで公表する。
- 苦情処理手順の策定: 受け付けた苦情をどのように処理し、解決に導くかの社内手順を定めておく。
苦情対応は、顧客との信頼関係を維持し、問題を早期に解決するために非常に重要です。誠実な対応は、企業のレピュテーションリスクを低減させることにも繋がります。
これらの8つの義務は、個人情報保護法を遵守する上での根幹をなすものです。自社の業務フローの各段階で、これらの義務が果たせているかを定期的に点検・見直しすることが求められます。
【令和2・3年改正】個人情報保護法改正の5つの重要ポイント
個人情報保護法は、社会情勢やテクノロジーの変化に対応するため、これまで何度か大きな改正が行われてきました。特に、2020年(令和2年)と2021年(令和3年)に公布され、2022年4月1日から全面的に施行された改正法は、事業者の実務に大きな影響を与える重要な変更点を数多く含んでいます。ここでは、事業者が特に押さえておくべき5つの重要ポイントを解説します。
① 個人の権利保護の強化
今回の改正では、個人が自らの情報をコントロールする権利が、より一層強化されました。事業者は、これに対応するための体制見直しが急務となります。
1. 保有個人データに関する開示請求権の拡大
- 開示方法の柔軟化: これまで開示方法は原則として書面交付でしたが、改正後は本人が電磁的記録(Eメールでのファイル送付、クラウド上での提供など)での開示を請求できるようになりました。事業者は、原則として本人が指定した方法で開示する必要があります。
- 第三者提供記録の開示請求: 事業者が個人データを第三者に提供した場合、または第三者から提供を受けた場合に作成・保存が義務付けられている「記録」についても、本人が開示を請求できるようになりました。これにより、自分の情報が誰との間でやり取りされたのかを、本人が追跡しやすくなります。
- 短期保存データも対象に: 改正前は「6ヶ月以内に消去するデータ」は保有個人データの対象外でしたが、この規定が撤廃されました。これにより、保存期間の長短にかかわらず、事業者が保有するほぼすべての個人データが、開示請求等の対象となります。
2. 利用停止・消去・第三者提供停止の請求要件の緩和
改正前は、利用停止や消去などを請求できるのは、目的外利用や不正取得といった、事業者に明確な法律違反があった場合に限定されていました。
しかし改正後は、これらに加えて「個人の権利又は正当な利益が害されるおそれがある場合」にも、本人が請求できるようになりました。
【請求可能になったケースの具体例】
- 事業者が利用する必要がなくなった個人データを、惰性で保有し続けている場合。
- 大規模な情報漏えいが発生し、自分のデータもその対象となった場合。
- ダイレクトメールの送付を停止してほしいと申し出たにもかかわらず、送付が続く場合。
このように、本人の権利が侵害される「おそれ」があるだけで請求が可能になったため、事業者はこれまで以上に本人からの請求が増えることを想定し、迅速に対応できる体制を整える必要があります。
② 事業者の責務の追加
個人の権利強化と対になる形で、事業者が負うべき責務も追加・明確化されました。
1. 漏えい等が発生した場合の報告・通知義務の法定化
これまで努力義務とされていた、情報漏えい等が発生した際の個人情報保護委員会への報告と本人への通知が、特定のケースにおいて法的な義務となりました。これは改正における最も重要な変更点の一つです。どのような場合に報告・通知が必要か、どのような手順で行うかについては、後の章で詳しく解説します。この義務化により、事業者はインシデント発生時の対応フローを事前に確立しておくことが必須となりました。
2. 不適正な利用の禁止
新たに「違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない」という規定が追加されました。これは、たとえ利用目的の範囲内であっても、その利用方法が社会的に見て不適切であれば、それを禁止するという趣旨です。
【不適正な利用にあたる可能性のある例】
- 個人情報を分析し、特定の思想や属性を持つ個人を差別的に取り扱うようなサービスの提供。
- 官報に掲載された破産者情報を集めてデータベース化し、「破産者マップ」として公開するなど、個人の尊厳を害するような利用。
この規定は、事業者が個人情報を利用する際に、単に形式的なルールを守るだけでなく、その利用方法が社会通念上、倫理的に許容されるものであるかという観点を持つことを求めています。
③ データの利活用ルールの明確化
保護を強化する一方で、安全なデータ利活用を促進するためのルールも整備されました。
1. 「仮名加工情報」制度の新設
前述の用語解説でも触れた通り、「仮名加工情報」という新しい情報のカテゴリーが創設されました。これは、氏名などを削除することで、他の情報と照合しない限り個人を特定できないように加工した情報です。
仮名加工情報にすることで、以下のメリットがあります。
- 利用目的の変更が柔軟に: 通常の個人情報は目的外利用が厳しく制限されますが、仮名加工情報は公表している限り、目的の変更が比較的容易です。
- 各種義務の緩和: 本人からの開示・利用停止請求への対応義務や、漏えい時の報告・通知義務が課されません。
これにより、事業者は個人情報保護法上のリスクを低減させながら、社内でのデータ分析や商品開発、AIの機械学習などにデータを活用しやすくなりました。ただし、第三者への提供は原則禁止されており、あくまで内部分析での利用を促進するための制度です。
2. 個人データの提供先における確認義務の強化
事業者間で個人データをやり取りする際のルールが厳格化されました。特に、データを受け取る側(提供先)の義務が強化されています。
他の事業者から個人データの提供を受ける際、提供元の事業者がその個人情報をどのように取得したのか(本人の同意を得ているか、など)を確認し、その確認記録を保存する義務が課されました。これにより、不正に取得・流通された個人データが利用されることを防ぐ狙いがあります。
④ 越境移転(外国へのデータ提供)の規制強化
クラウドサービスの利用が一般化し、国境を越えてデータが移転されるケースが増えたことを背景に、外国にある第三者へ個人データを提供する際のルールが強化されました。
改正前も、外国へデータを提供する際には本人の同意が必要でしたが、改正後は、同意を得る際に本人に対して提供すべき情報が追加されました。
【本人に提供すべき情報】
- 移転先の国名: どの国にデータが提供されるのか。
- 移転先の国における個人情報保護に関する制度: その国の個人情報保護法制がどのようなものか。
- 移転先の第三者が講ずる個人情報の保護のための措置: データを移転する相手方が、どのような安全管理措置を講じているのか。
これらの情報を提供した上で、本人の同意を得る必要があります。情報提供が難しい場合は、移転先の事業者と契約を結び、日本の個人情報保護法と同水準の保護措置を継続的に講じさせるなどの代替措置が必要となります。これにより、事業者はクラウドサービスなどを利用する際に、データの保管場所がどの国にあるのかを正確に把握し、適切な対応をとることが求められます。
⑤ 法令違反に対する罰則(ペナルティ)の強化
法改正の最後の、そして最もインパクトのあるポイントが、法令違反に対する罰則の大幅な引き上げです。これは、企業に対して個人情報保護への真剣な取り組みを促す、国からの強いメッセージと言えます。
違反行為 | 改正前の法人罰金 | 改正後の法人罰金 |
---|---|---|
個人情報保護委員会からの命令違反 | 30万円以下の罰金 | 1億円以下の罰金 |
個人情報データベース等の不正提供等 | 50万円以下の罰金 | 1億円以下の罰金 |
個人情報保護委員会への虚偽報告等 | 30万円以下の罰金 | 50万円以下の罰金 |
特に、個人情報保護委員会からの是正「命令」に従わなかった場合や、不正な利益を得る目的で個人情報データベース等を提供した場合の法人に対する罰金が、最大で「1億円以下」へと、従来の数百倍に引き上げられました。個人の行為者に対する罰則(懲役または罰金)も同時に引き上げられており、事業者と個人の両方に対して、より厳しい姿勢で臨むことが示されています。
これらの改正内容は、いずれも事業者の情報管理体制や実務フローに直接的な影響を及ぼすものです。自社の現状を再点検し、改正法に準拠した体制へとアップデートすることが不可欠です。
個人情報が漏えいした場合の対応義務
どれだけ万全な対策を講じていても、サイバー攻撃の巧妙化やヒューマンエラーにより、個人情報の漏えいリスクをゼロにすることは困難です。万が一、漏えいや滅失、毀損といった事態(漏えい等)が発生してしまった場合、事業者はパニックに陥ることなく、法令に基づいて冷静かつ迅速に対応することが求められます。
令和2・3年改正法では、これまで努力義務だった個人情報保護委員会への報告と本人への通知が、特定の条件下で法的な義務として明確に定められました。
個人情報保護委員会への報告義務
個人データの漏えい等が発生し、それが個人の権利利益を害するおそれが大きいものとして定められた「報告対象事態」に該当する場合、事業者は個人情報保護委員会へ報告しなければなりません。
報告対象となる4つの事態:
- 要配慮個人情報が含まれる漏えい等が発生し、又は発生したおそれがある事態
- 例:健康診断情報や思想信条に関する情報が含まれる名簿が流出した場合。
- 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
- 例:クレジットカード番号やオンラインバンキングのログイン情報が流出した場合。
- 不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
- 例:元従業員による顧客情報の持ち出し、ランサムウェアによる暗号化、不正アクセスによる情報窃取など。
- 個人データに係る本人の数が1,000人を超える漏えい等が発生し、又は発生したおそれがある事態
- 例:1,000人以上の顧客情報が含まれるデータベースが誤ってインターネット上で公開状態になっていた場合。
これらのいずれか一つにでも該当する場合、報告義務が生じます。
報告のタイミングと内容:
報告は2段階で行う必要があります。
- 速報: 事業者が漏えい等の事態を認識してから「速やかに(3~5日以内を目安)」、判明している範囲の情報を報告します。これは、個人情報保護委員会が事態を早期に把握し、必要な指導や助言を行うためです。
- 確報: 事態の認識から「30日以内(不正目的の場合は60日以内)」に、調査で判明したすべての事項を盛り込んだ詳細な報告を行います。
報告は、個人情報保護委員会のウェブサイトにある「漏えい等報告・本人通知の報告フォーム」から電子的に行います。報告すべき項目には、発生日時、事態の概要、漏えいした情報の項目と件数、発生原因、二次被害の有無、本人への対応状況、再発防止策などが含まれます。
本人への通知義務
上記で説明した「報告対象事態」に該当する場合、事業者は原則として、影響を受ける可能性のある本人に対しても、事態を通知する義務があります。
通知の目的:
本人に通知する最大の目的は、本人が自ら二次被害を防ぐための対策を講じられるようにすることです。例えば、不正ログインの可能性があることを伝え、パスワードの変更を促したり、クレジットカードの不正利用に注意を払うよう呼びかけたりすることが含まれます。
通知すべき内容:
通知には、以下の事項を盛り込むことが求められます。
- 事態の概要
- 漏えい等が発生した、またはそのおそれがある個人データの項目
- 発生原因
- 二次被害の有無とその内容
- 本人への対応状況(相談窓口の設置など)
- 再発防止策
- その他本人に参考となる事項
通知の方法:
通知は、本人の状況に応じて、適切な方法で行う必要があります。メール、書面、電話などが考えられます。ただし、本人への個別の通知が困難な場合(例えば、連絡先が不明な場合や、対象者が極めて多数にのぼる場合など)は、ウェブサイトでの公表やプレスリリースといった、代替措置を講じることで通知義務を果たすことも認められています。
報告・通知が不要となる例外:
漏えいした個人データが、高度な暗号化などの措置によって秘匿化されており、個人の権利利益が侵害されるおそれがないと判断される場合は、委員会への報告や本人への通知が免除されることがあります。
情報漏えいは、企業の信用を根底から揺るがす重大なインシデントです。万が一の事態に備え、これらの報告・通知義務を盛り込んだインシデント対応計画(インシデントレスポンスプラン)をあらかじめ策定し、社内で周知徹底しておくことが極めて重要です。
個人情報保護法に違反した場合の罰則
個人情報保護法に違反した場合、事業者は単に社会的な信用を失うだけでなく、行政による措置や、厳しい刑事罰の対象となる可能性があります。特に近年の法改正で罰則が大幅に強化されたことを受け、コンプライアンス違反がもたらす経営リスクは格段に高まっています。
1. 行政上の措置(是正指導のプロセス)
個人情報保護委員会は、法律の遵守を確保するため、事業者に対して段階的な行政措置をとる権限を持っています。
- 指導・助言: 比較的軽微な法令違反や、そのおそれがある場合に、改善を促すための行政指導が行われます。
- 報告徴収・立入検査: 違反の疑いがある場合、委員会は事業者に対して報告を求めたり、事務所に立ち入って帳簿書類などを検査したりすることができます。事業者は正当な理由なくこれを拒否できません。
- 勧告: 検査等の結果、明確な法令違反が認められた場合、委員会は事業者に対して、具体的な改善措置をとるよう「勧告」します。多くの事業者はこの段階で是正措置を講じます。
- 命令: 事業者が正当な理由なく勧告に従わない場合、または個人の重大な権利利益の侵害が目前に迫っているなど緊急性が高い場合には、委員会はより強制力のある「命令」を発出します。
そして、この「命令」に違反した場合、後述する刑事罰の対象となります。
2. 刑事罰
法令違反が悪質であると判断された場合、刑事罰が科される可能性があります。法改正により、特に法人に対する罰金額が大幅に引き上げられました。
- 個人情報保護委員会からの命令に違反した場合:
- 行為者(個人):1年以下の懲役または100万円以下の罰金
- 法人:1億円以下の罰金
- 個人情報データベース等を不正な利益を図る目的で提供・盗用した場合:
- 行為者(個人):1年以下の懲役または50万円以下の罰金
- 法人:1億円以下の罰金
- 個人情報保護委員会への虚偽の報告や検査拒否をした場合:
- 行為者(個人)および法人:50万円以下の罰金
重要なのは、これらの多くには「両罰規定」が適用される点です。これは、違反行為を行った従業員個人だけでなく、その使用者である法人(会社)にも罰金が科されるという規定です。法人が「1億円以下の罰金」という極めて重いペナルティを負う可能性があることは、経営者にとって最大の懸念事項の一つです。
3. 民事上の責任(損害賠償)
行政罰や刑事罰に加えて、事業者は被害を受けた本人から民事上の損害賠償を請求されるリスクを負います。
情報漏えいによって個人が受けた精神的苦痛に対しては、慰謝料の支払いが命じられることがあります。過去の判例では、漏えいした情報の種類や二次被害の有無にもよりますが、一人あたり数千円から数万円の慰謝料が認められるケースが多く見られます。
一人あたりの金額は小さく見えても、漏えいした人数が数万人、数十万人規模になれば、賠償総額は数億円から数十億円という莫大な金額に達する可能性があります。これは、企業の財務状況に深刻な打撃を与えかねません。
これらの法的な罰則や金銭的な負担以上に、最も大きなダメージとなるのは「社会的信用の失墜」です。一度「情報をずさんに扱う会社」というレッテルを貼られてしまうと、顧客離れ、取引先からの契約打ち切り、株価の暴落、優秀な人材の採用難など、事業の存続そのものを脅かす事態に発展するおそれがあります。個人情報保護法の遵守は、このような計り知れないリスクを回避するための、必須の経営課題なのです。
個人情報保護に関する相談窓口・関連情報
個人情報保護法は複雑で、具体的なケースでどのように判断・対応すべきか迷う場面も少なくありません。幸い、事業者や個人が参照できる公的な相談窓口や信頼できる情報源が存在します。ここでは、代表的な二つの組織を紹介します。
個人情報保護委員会
個人情報保護委員会(PPC: Personal Information Protection Commission)は、個人情報保護法の所管官庁であり、法律の解釈や運用を司る中心的な機関です。内閣府の外局として設置されており、事業者への監視・監督から、国民からの相談対応まで、幅広い役割を担っています。
事業者が個人情報保護について疑問や不安を抱いた際に、まず参照すべき最も信頼性の高い情報源が、個人情報保護委員会の公式サイトです。
公式サイトで提供されている主な情報:
- 法令・ガイドライン: 個人情報保護法の条文そのものに加え、法律の解釈を具体的に示した「ガイドライン」が公開されています。このガイドラインには、事業者が講じるべき安全管理措置の具体例や、各条文に関する詳細な解説が記載されており、実務上の指針となります。特定の分野(金融、医療、学術研究など)に特化したガイドラインも用意されています。
- Q&A(よくある質問): 「利用目的の特定はどこまで具体的にすればよいか」「委託先の監督とは具体的に何をすればよいか」といった、事業者から寄せられる頻度の高い質問とその回答がまとめられています。具体的な事例に即した解説が多く、非常に参考になります。
- 漏えい等報告に関する情報: 万が一、情報漏えい等が発生した際の報告フォームや、報告手順の詳細なマニュアルが提供されています。
- 各種資料・パンフレット: 個人情報保護法の概要や改正のポイントを分かりやすく解説したパンフレットなどがダウンロードでき、社内研修の資料としても活用できます。
相談ダイヤル:
個人情報保護委員会では、電話による相談窓口「PPC相談ダイヤル」を設置しています。法律の解釈や制度に関する一般的な質問であれば、ここに問い合わせることで回答を得られます。ただし、個別の事案に関する具体的な法的判断を下す場所ではない点には注意が必要です。
参照:個人情報保護委員会 公式サイト
プライバシーマーク推進センター(JIPDEC)
一般財団法人日本情報経済社会推進協会(JIPDEC)は、日本の情報化社会の発展を推進する組織であり、その中でも特に「プライバシーマーク(Pマーク)制度」の運営主体として広く知られています。
プライバシーマーク制度とは:
プライバシーマーク制度は、事業者の個人情報保護体制が、JIS Q 15001「個人情報保護マネジメントシステム-要求事項」という規格に適合しているかを審査し、適合している場合にその証として「プライバシーマーク」の使用を認める制度です。
法律の遵守は最低限のライン(ベースライン)ですが、プライバシーマークの取得は、その法律の要求事項を満たした上で、さらに継続的な改善を行うPDCAサイクル(Plan-Do-Check-Act)を含む、より高度なマネジメントシステムを構築・運用していることの証明となります。
プライバシーマーク取得のメリット:
- 対外的な信頼性の向上: プライバシーマークをウェブサイトや名刺などに表示することで、消費者や取引先に対して「個人情報を適切に取り扱っている企業である」という客観的な証明となり、安心感と信頼を与えることができます。特に、BtoB取引においては、Pマーク取得を取引条件とする企業も少なくありません。
- 社内体制の構築と意識向上: Pマーク取得の過程で、社内の個人情報保護規程を整備し、従業員への教育を徹底し、運用状況を定期的に監査する必要があるため、全社的な個人情報保護体制が体系的に構築され、従業員の意識も向上します。
- 法令遵守の徹底: Pマークの要求事項は個人情報保護法に準拠しているため、Pマークの取得・更新を維持する活動そのものが、法改正への対応を含めた法令遵守に繋がります。
JIPDECのプライバシーマーク推進センターでは、制度に関する詳細な情報提供、申請の受付、セミナーの開催などを行っています。個人情報保護の体制構築をどこから手をつければよいか分からない事業者にとって、プライバシーマーク制度の要求事項は、一つの優れた道しるべとなるでしょう。
参照:一般財団法人日本情報経済社会推進協会(JIPDEC) プライバシーマーク制度