【2024年最新】個人情報保護法とは?改正のポイントをわかりやすく解説

更新日:

個人情報保護法とは?、改正のポイントをわかりやすく解説

現代のデジタル社会において、個人情報はビジネスやコミュニケーションの基盤となる重要な資産です。一方で、その価値の高さから、漏えいや不正利用といったリスクも常に存在します。このような状況下で、個人の権利と利益を守りながら、データの適正な活用を促進するために不可欠な法律が「個人情報保護法」です。

この法律は、社会や技術の変化に対応するため、約3年ごとに見直しが行われています。特に近年の改正では、個人の権利が強化されると同時に、事業者が負うべき責任もより重くなっています。そのため、企業担当者にとっては、最新のルールを正確に理解し、適切な対策を講じることが急務となっています。また、個人としても、自らの情報を守るための知識を身につけることが、これまで以上に重要です。

この記事では、個人情報保護法の基本的な目的や定義から、2024年時点での最新の改正ポイント、事業者が遵守すべき具体的なルール、違反した場合の罰則、そして私たちが日常生活で気をつけるべきことまで、幅広く、そして分かりやすく解説します。法律の専門家でなくても理解できるよう、具体的な例を交えながら、個人情報保護の「今」を紐解いていきましょう。

個人情報保護法とは?

個人情報保護法とは?

個人情報保護法は、私たちの社会において非常に重要な役割を担う法律です。しかし、「名前は聞いたことがあるけれど、具体的にどんな法律なのかはよく知らない」という方も多いのではないでしょうか。この章では、個人情報保護法の根幹をなす目的や、法律が対象とする情報の定義、そしてどのような事業者がこの法律を守る義務を負うのかといった、基本的な知識を深掘りしていきます。これらの基本を理解することが、複雑な法改正のポイントや事業者が取るべき対策を把握するための第一歩となります。

個人情報保護法の目的

個人情報保護法の正式名称は「個人情報の保護に関する法律」です。この法律の最も重要な目的は、「個人の権利利益の保護」と「個人情報の有用性の確保」という二つの価値のバランスを取ることにあります。これは、法律の第1条にも明記されている基本理念です。

一方の「個人の権利利益の保護」とは、自分の情報がいつ、誰に、どのように使われるかを自分でコントロールできる権利(プライバシー権)を守ることを指します。不適切な情報の取り扱いによって、個人が経済的な不利益を被ったり、精神的な苦痛を受けたり、あるいは不当な差別を受けたりすることがないように保護する、という側面です。

もう一方の「個人情報の有用性の確保」とは、個人情報を適切に活用することで、新しいサービスや技術が生まれ、経済が発展し、私たちの生活がより豊かになる、という側面を指します。例えば、購買データを分析して顧客一人ひとりに合った商品を提案したり、移動データを活用してより効率的な交通システムを構築したりと、データ利活用は社会に大きなメリットをもたらします。

個人情報保護法は、これら二つの側面、つまり「保護」と「活用」の調和を目指しています。厳格すぎる規制はイノベーションを阻害し、緩すぎる規制は個人のプライバシーを危険にさらします。この法律は、個人情報を安全に管理するためのルールを定めることで、人々が安心して情報を提供できる環境を整え、その結果として事業者が有益なデータを活用しやすくなる、という好循環を生み出すことを目的としているのです。

なぜ3年ごとに見直し(改正)されるのか

個人情報保護法には、附則で「3年ごと見直し」に関する規定が設けられています。これは、この法律が一度制定されたら終わりではなく、定期的に内容を検証し、必要に応じて改正していくことを定めたものです。なぜこのような仕組みが導入されているのでしょうか。その理由は、個人情報を取り巻く環境が、驚異的なスピードで変化し続けているからです。

主な理由として、以下の4点が挙げられます。

  1. 技術の急速な進展への対応
    AI(人工知能)、IoT(モノのインターネット)、ビッグデータ解析といった技術は、数年前には想像もできなかったような形で個人情報の収集・分析を可能にしました。例えば、スマートスピーカーは室内の会話を、スマートウォッチは心拍数や睡眠パターンを記録します。これらの新しい技術によって生まれる新たなリスクに対応し、ルールの空白地帯が生まれないようにするため、法律のアップデートが不可欠です。
  2. グローバルなデータ流通への対応
    インターネットの普及により、国境を越えたデータのやり取りは日常的になりました。EUの「GDPR(一般データ保護規則)」のように、海外では厳しい個人情報保護規制が導入されています。日本の企業が海外でビジネスを展開したり、海外のサービスを利用したりする際に、日本の法律が国際的な基準と大きく乖離していると、円滑なデータ移転の妨げとなります。グローバルな整合性を保ち、国際社会における日本のデータ保護水準への信頼を確保するためにも、定期的な見直しが必要です。
  3. 新たなサービスやビジネスモデルの出現
    シェアリングエコノミーやパーソナライズ広告、ゲノム解析サービスなど、個人データを活用した新しいビジネスが次々と生まれています。これらのサービスが適正に運営され、利用者のプライバシーが守られるよう、法的な枠組みを整備し続ける必要があります。
  4. 国民の意識の変化
    相次ぐ情報漏えい事件などを受けて、個人情報の取り扱いに対する社会全体の関心やプライバシー意識は年々高まっています。こうした国民の意識の変化を法律に反映させ、時代に即した保護水準を維持することも、見直しの重要な目的です。

このように、「3年ごと見直し」は、個人情報保護法が形骸化することなく、常に実効性を保ち続けるための重要なメカニズムなのです。

対象となる情報の定義

個人情報保護法を理解する上で、最も重要かつ混同しやすいのが「情報の定義」です。法律では、「個人情報」「要配慮個人情報」「個人データ」「保有個人データ」という4つの言葉が、それぞれ異なる意味で使われています。これらの違いを正確に把握することが、法令遵守の鍵となります。

情報の種類 定義 具体例
個人情報 生存する個人に関する情報で、特定の個人を識別できるもの。または個人識別符号を含むもの。 氏名、生年月日、住所、顔写真、マイナンバー、指紋データ
要配慮個人情報 本人の人種、信条、病歴など、不当な差別や偏見が生じないよう特に配慮が必要な情報。 人種、信条、社会的身分、病歴、犯罪の経歴、犯罪被害の事実
個人データ 「個人情報データベース等」を構成する個人情報。検索可能な状態にあるもの。 顧客管理システムのデータ、五十音順に整理された名刺ファイル
保有個人データ 事業者が開示・訂正・利用停止等の権限を持つ個人データ。 従業員の人事情報、顧客情報(委託先から預かっただけのデータは除く)

個人情報

「個人情報」とは、生存する個人に関する情報であって、その情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるものを指します。これには、他の情報と容易に照合することができ、それにより特定の個人を識別できるようになるものも含まれます。

  • 単体で個人を識別できる例:氏名、顔写真、個人に割り振られたIDと氏名が紐づいた情報など。
  • 他の情報と照合して識別できる例:「A大学の学生で、テニスサークルに所属」という情報だけでは個人を特定できませんが、その大学の学生名簿と照合すれば個人が特定できる場合、これも個人情報に該当します。

さらに、法改正により「個人識別符号」が含まれる情報も、それ単体で個人情報として扱われることになりました。

  • 個人識別符号の例
    • 身体の一部の特徴をデータ化したもの(指紋認証データ、顔認証データ、DNA情報など)
    • 公的な番号(マイナンバー、パスポート番号、運転免許証番号、健康保険証の番号など)

要配慮個人情報

「要配慮個人情報」とは、個人情報の中でも特に、本人に対する不当な差別、偏見その他の不利益が生じないように、その取扱いに特に配慮を要するものとして政令で定められた情報です。

  • 具体例:人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実など。

要配慮個人情報については、原則としてあらかじめ本人の同意を得なければ取得することができません。これは、情報が漏えいしたり不適切に利用されたりした場合に、本人に与える影響が極めて大きいと考えられるためです。

個人データ

「個人データ」とは、「個人情報データベース等」を構成する個人情報を指します。少し分かりにくいですが、ポイントは「個人情報データベース等」という部分です。

「個人情報データベース等」とは、特定の個人情報をコンピュータを用いて検索できるように体系的に構成したものです。これには、紙媒体の情報であっても、例えば五十音順や日付順などで整理され、特定の個人情報を容易に検索できるようにされていれば該当します。

つまり、バラバラのメモ書きや、整理されていない名刺の山は「個人データ」にはなりませんが、Excelで管理している顧客リストや、五十音順にファイリングされた従業員名簿に含まれる個人情報は「個人データ」になる、ということです。事業者が守るべき安全管理義務などの多くは、この「個人データ」を対象としています。

保有個人データ

「保有個人データ」とは、事業者が、開示、内容の訂正、追加または削除、利用の停止、消去および第三者への提供の停止を行うことのできる権限を有する個人データのことです。

簡単に言えば、事業者が自らの責任で管理し、中身の変更や削除などをコントロールできるデータのことです。例えば、自社で雇用している従業員の人事データや、自社の顧客リストなどがこれに該当します。一方で、他の企業から業務委託で預かっているだけで、自社では内容を勝手に変更できないデータは、保有個人データには含まれません。

私たち個人が事業者に対して「自分の情報を開示してください」と請求できるのは、この「保有個人データ」が対象となります。かつては6ヶ月以内に消去する短期保存データは対象外でしたが、法改正によってこの6ヶ月要件は撤廃され、短期間しか保有しないデータも開示等の対象となりました。

個人情報取扱事業者とは

個人情報保護法が適用される対象者を「個人情報取扱事業者」といいます。これは、個人情報データベース等を事業の用に供している者を指します。

重要なポイントは、かつて存在した「取り扱う個人情報が5,000人分以下の事業者を対象外とする」というルールが、法改正によって撤廃されたことです。これにより、現在では取り扱う個人情報の量にかかわらず、個人情報データベース等を事業で利用しているすべての事業者が対象となります。

これには、大企業だけでなく、中小企業、個人事業主、NPO法人、自治会、同窓会なども、事業として(反復継続して)個人情報を取り扱っていれば該当します。例えば、顧客リストを管理している個人経営の飲食店や、会員名簿を管理しているNPO法人も、個人情報取扱事業者に含まれる可能性があるのです。国の機関や地方公共団体も、別の法律ではなく、この個人情報保護法のもとでルールが統一されています。

したがって、「うちは規模が小さいから関係ない」という考えは通用しません。事業を行う上で少しでも個人情報を体系的に管理しているのであれば、この法律を遵守する義務があるという認識を持つことが極めて重要です。

【2024年最新版】近年の主な改正ポイント

個人の権利保護の強化、事業者の責務の追加・厳格化、データ利活用のための環境整備、公的機関と民間のルール統一

個人情報保護法は「3年ごと見直し」規定に基づき、社会や技術の変化に対応するため、定期的に改正が重ねられています。特に2020年(令和2年)と2021年(令和3年)に行われた改正(それぞれ2022年4月、2023年4月施行)は、個人の権利と事業者の責務の両面に大きな影響を与えました。ここでは、近年の法改正における特に重要なポイントを、「個人の権利保護」「事業者の責務」「データ利活用」「ルールの統一」という4つの観点から詳しく解説します。

個人の権利保護の強化

近年の改正の大きな柱の一つが、個人が自らの情報をより主体的にコントロールできるようにするための権利強化です。事業者に預けた自分のデータがどのように扱われているかを知り、その取り扱いに異議を唱えるためのハードルが下がりました。

保有個人データの開示方法の柔軟化

これまでの法律では、本人が自身の個人情報の開示を請求した場合、事業者は原則として「書面」で交付する必要がありました。しかし、デジタル化が進んだ現代において、紙でのやり取りは非効率であり、受け取った情報を個人が再利用しにくいという課題がありました。

今回の改正により、本人は保有個人データの開示方法を、従来の書面交付に加えて「電磁的記録の提供」(データでの提供)などから指定できるようになりました。

  • 具体例
    • メールにPDFファイルを添付して送ってもらう。
    • 企業のウェブサイト上のマイページからCSVファイルをダウンロードする。
    • USBメモリなどの物理媒体でデータを受け取る。

これにより、個人は受け取ったデータを他のサービスに移行する(データポータビリティ)など、より能動的に活用しやすくなりました。事業者は、本人が請求した方法で開示することが原則となり、その方法が困難な場合に限り、代替案として書面交付などを選択できます。

利用停止・消去請求権の要件緩和

本人には、自身の個人データの利用停止や消去を事業者に求める権利があります。しかし、従来はこの権利を行使できる場面が、以下のような法令違反があった場合に限定されていました。

  • 目的外利用(同意した目的以外に使われている)
  • 不正な手段による取得

今回の改正では、これらの法令違反があった場合に加え、「個人の権利又は正当な利益が害されるおそれがある場合」にも、利用停止・消去の請求が可能になりました。

  • 具体例
    • 過去に同意したダイレクトメールの送付が不要になったため、そのための個人情報の利用停止を求める。
    • サービスを退会した後も、事業者が長期間データを保有し続けている場合に消去を求める。

この要件緩和により、法令違反とまでは言えなくても、個人のプライバシーや感情が害されるリスクがある状況で、より積極的に自己の情報のコントロール権を行使できるようになったのです。また、前述の通り、これまで対象外だった「6ヶ月以内に消去される短期保有データ」も利用停止・消去の対象に含まれるようになりました。

第三者提供記録の開示請求が可能に

事業者が個人データをある企業(第三者)から受け取ったり、別の企業に提供したりした場合、そのやり取りの記録を作成・保存する義務があります。今回の改正で、本人は事業者に対し、この「第三者提供記録」の開示を請求できるようになりました。

これにより、個人は「自分の情報が、いつ、どこからどこへ、どのような目的で渡されたのか」というデータの流通経路を具体的に把握できるようになります。これまで不透明だった企業間のデータ連携について透明性が高まり、万が一、自分の情報が予期せぬ場所で利用されていることが判明した場合、利用停止請求などの次のアクションにつなげることができます。これは、個人のトレーサビリティ(追跡可能性)を確保する上で非常に重要な改正です。

事業者の責務の追加・厳格化

個人の権利が強化される一方で、事業者側には、個人情報をより厳格に管理するための新たな責務が課せられました。特に、情報漏えい時の対応やデータの取り扱いに関するルールが厳しくなっています。

漏えい時の報告・通知の義務化

これまでの法律では、個人データの漏えい等が発生した場合の個人情報保護委員会への報告や本人への通知は「努力義務」に留まっていました。しかし、改正により、個人の権利利益を害するおそれが大きい特定の事態が発生した場合、委員会への報告と本人への通知が法的に「義務化」されました。

報告・通知が義務付けられる「おそれが大きい事態」とは、主に以下の4つのケースです。

  1. 要配慮個人情報(病歴、信条など)が含まれる漏えい等
  2. 財産的被害が生じるおそれがある漏えい等(クレジットカード番号やネットバンキングのログイン情報など)
  3. 不正の目的をもって行われたおそれがある漏えい等(不正アクセスや従業員による持ち出しなど)
  4. 1,000人を超える個人のデータに関する漏えい等

これらの事態が発生した場合、事業者はまず速報として事態を認識してから3~5日以内に、その後、詳細が判明してから原則30日以内(不正目的の場合は60日以内)に確報を個人情報保護委員会に報告しなければなりません。本人への通知も、事態に応じて速やかに行う必要があります。

不適正な方法による利用の禁止

新たに「違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない」という規定が追加されました。これは、事業者が個人情報を利用する際に、その利用方法自体が社会的に見て不適切でないかを問うものです。

  • 想定される具体例
    • 個人情報を分析し、特定の属性を持つ個人に対して差別的な扱いをするサービスを提供する。
    • 過去の裁判記録などから「破産者情報」を抽出し、それを本人の同意なく第三者が見られるようなウェブサイト(いわゆる破産者マップ)で公開する。

このような行為は、たとえ他の個人情報保護法の条文に直接違反していなくても、この新たな規定によって禁止されることになります。事業者は、単に形式的に法律を守るだけでなく、そのデータ利用が社会通念上、倫理的に許容されるものであるかという視点も持つことが求められます

外国の第三者へのデータ提供ルールの厳格化

グローバルに事業展開する企業が増える中、国境を越えたデータ移転のルールも厳格化されました。外国にある第三者に個人データを提供する場合、これまでは移転先の国名を本人に伝えなくても同意を取得できましたが、改正後は本人から同意を得る際に、より詳細な情報提供が義務付けられました

具体的に本人に提供すべき情報は以下の通りです。

  • 移転先の国名
  • その国における個人情報の保護に関する制度
  • 移転先の第三者が講ずる個人情報の保護のための措置

これにより、本人は自分のデータがどの国の、どのようなルールのもとで扱われるのかを理解した上で、提供に同意するかどうかを判断できるようになりました。事業者は、これらの情報を事前に調査し、本人に分かりやすく説明する準備が必要となります。

データ利活用のための環境整備

規制強化の一方で、個人情報保護法はデータの適正な利活用を促進する側面も持っています。今回の改正では、そのための新たな仕組みとして「仮名加工情報」という概念が導入されました。

「仮名加工情報」とは、他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる情報のことです。氏名を仮名に置き換えたり、住所を都道府県名のみにしたりといった加工が想定されます。

この仮メ加工情報には、以下のような特徴があります。

  • 利用目的の制限:内部での分析(マーケティング分析、商品開発、サービス改善など)に利用が限定されます。
  • 義務の緩和:内部利用に限定されているため、漏えい時の報告義務や、本人からの開示・利用停止請求への対応義務が課されません。
  • 第三者提供の原則禁止:法令に基づく場合などを除き、第三者への提供はできません。

これと似たものに「匿名加工情報」がありますが、匿名加工情報は「個人を復元できないように加工」し、「第三者提供が可能」であるのに対し、仮名加工情報は「照合すれば復元可能」で、「第三者提供は原則不可」という違いがあります。仮名加工情報は、プライバシーリスクを低減させつつ、企業が保有するデータを自社のイノベーションのために安全に活用しやすくするための新しい選択肢と言えます。

公的機関と民間のルール統一

2023年4月1日からは、もう一つの大きな変更が施行されました。それは、これまで別々の法律で規律されていた公的機関の個人情報保護ルールが、民間の事業者を対象とする個人情報保護法に一本化されたことです。

従来は、「行政機関個人情報保護法」「独立行政法人等個人情報保護法」、そして各地方公共団体の条例と、主体ごとにルールがバラバラでした。これが一つの法律に統合されたことで、国全体として一貫性のある個人情報保護制度が構築され、官民を通じたデータ連携などがよりスムーズになることが期待されています。国民にとっても、どの機関に情報を預けても同じ水準の保護が受けられるという安心感につながります。

事業者が遵守すべき7つの基本ルール

利用目的を特定し本人に伝える、適正な方法で個人情報を取得する、データの正確性を保ち、安全に管理する、従業員や委託先を監督する、本人の同意なく第三者にデータを提供しない、保有個人データの公表と開示請求への対応、苦情に迅速かつ適切に対応する

個人情報保護法は、事業者が個人情報を取り扱う上での基本的な責務を定めています。これらのルールは、法改正によって内容が追加・厳格化されており、すべての事業者が正確に理解し、遵守しなければなりません。ここでは、事業活動の根幹に関わる7つの基本ルールについて、具体的なアクションと共に解説します。

① 利用目的を特定し本人に伝える

個人情報を取り扱う全てのプロセスの出発点となるのが「利用目的」です。法律は、なぜその情報を必要とするのかを明確にすることを求めています。

  • 利用目的の特定義務(法第17条):事業者は、個人情報を取り扱うにあたり、その利用目的をできる限り具体的に特定しなければなりません。例えば、「当社の事業活動のために利用します」といった漠然とした目的は不適切です。「商品発送、代金決済、アフターサービス、新商品に関するご案内のため」のように、誰が読んでも何に使われるかが明確に分かるように記述する必要があります。
  • 利用目的の通知・公表義務(法第21条):個人情報を取得する際には、あらかじめその利用目的を公表している場合を除き、速やかにその利用目的を本人に通知するか、または公表しなければなりません。多くの企業では、ウェブサイト上に「プライバシーポリシー」を掲載し、そこで利用目的を網羅的に公表するという方法が取られています。
  • 目的外利用の禁止(法第18条):一度特定し、本人に伝えた利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはなりません。もし、当初の目的とは異なる目的で利用したい場合は、原則として、改めて本人の同意を得る必要があります。例えば、アンケート回答者への謝礼品発送のために得た住所を、本人の同意なく営業活動のダイレクトメール送付に使うことは、目的外利用となり禁止されます。

② 適正な方法で個人情報を取得する

個人情報の入り口である「取得」の段階にも、厳格なルールが設けられています。

  • 適正取得の義務(法第20条):事業者は、偽りその他不正の手段により個人情報を取得してはなりません。本人を騙して情報を聞き出したり、他人のPCから不正にデータをコピーしたりといった行為は、明確な法令違反です。
  • 要配慮個人情報の取得制限(法第20条):前述の通り、病歴、信条、犯罪歴といった「要配慮個人情報」は、個人の不利益に繋がりやすいため、原則として、あらかじめ本人の同意を得なければ取得できません。ただし、法令に基づく場合や、人の生命・身体・財産の保護に必要で本人の同意を得ることが困難な場合など、いくつかの例外はあります。

③ データの正確性を保ち、安全に管理する

取得した個人情報は、適切に管理されなければその価値を失い、リスクの源泉となります。法律は、データの品質と安全性の両方を求めています。

  • データ内容の正確性の確保(法第22条):事業者は、利用目的の達成に必要な範囲内において、保有する個人データを正確かつ最新の内容に保つよう努めなければなりません。顧客の住所が変更になった際に更新する、退会したユーザーの情報を速やかに削除するといった対応が求められます。
  • 安全管理措置(法第23条):事業者は、取り扱う個人データの漏えい、滅失または毀損の防止その他の個人データの安全管理のために、必要かつ適切な措置を講じなければなりません。この「安全管理措置」は、具体的に以下の4つの側面から構成されます。
    1. 組織的安全管理措置:個人情報保護に関する責任者を設置し、役割分担を明確にする。情報漏えい等が発生した際の報告連絡体制を整備する。取扱状況を定期的に点検する、といった組織体制の構築。
    2. 人的安全管理措置:従業員に対して、個人情報の適正な取り扱いに関する教育・研修を定期的に実施する。秘密保持に関する誓約書を取り交わす、といった人的な管理。
    3. 物理的安全管理措置:個人情報を取り扱う区域(サーバールームや執務室)への入退室管理を行う。個人データを含む書類やPC、USBメモリなどの盗難・紛失を防ぐために施錠管理する。不要になった書類はシュレッダーで確実に廃棄する、といった物理的な対策。
    4. 技術的安全管理措置:個人データへのアクセス権限を最小限に設定し、誰がいつアクセスしたかのログを記録する。外部からの不正アクセスを防ぐためにファイアウォールを設置し、ウイルス対策ソフトを導入・更新する。重要なデータを送受信する際は通信を暗号化する、といった技術的な対策。

これらの4つの措置をバランス良く実施し、多層的な防御体制を築くことが極めて重要です。

④ 従業員や委託先を監督する

個人情報の取り扱いは、自社の従業員だけでなく、業務を委託する外部の事業者も関わることがあります。これらの関係者に対する監督責任も事業者に課せられています。

  • 従業者の監督義務(法第24条):事業者は、その従業者に個人データを取り扱わせるにあたっては、当該個人データの安全管理が図られるよう、従業者に対し必要かつ適切な監督を行わなければなりません。これには、前述の「人的安全管理措置」として定期的な教育を行うことや、社内規程の遵守を徹底させることが含まれます。
  • 委託先の監督義務(法第25条):個人データの取り扱いの全部または一部を外部に委託する場合、事業者は、その委託先において個人データの安全管理が図られるよう、委託を受けた者(委託先)に対し必要かつ適切な監督を行わなければなりません。具体的には、委託先を選定する際にその企業のセキュリティ体制を評価したり、委託契約書に安全管理に関する条項や秘密保持義務、再委託の条件などを明記したり、委託先における取扱状況を定期的に報告させたりといった対応が必要です。「委託先に任せたから自社に責任はない」とはならず、委託先が漏えいを起こした場合、委託元の事業者も監督責任を問われます

⑤ 本人の同意なく第三者にデータを提供しない

個人データは、本人の知らないところで勝手に他者へ渡されるべきではありません。これが第三者提供に関する大原則です。

  • 第三者提供の制限(法第27条):事業者は、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはなりません。これは個人情報保護法の中核をなすルールの一つです。グループ会社であっても、法人が異なれば「第三者」に該当するため、同意なくデータを提供することはできません。

ただし、この原則にはいくつかの例外があります。

  • 法令に基づく場合(例:裁判所からの文書提出命令、警察からの捜査関係事項照会への対応)
  • 人の生命、身体または財産の保護のために必要がある場合で、本人の同意を得ることが困難であるとき(例:災害発生時の安否確認情報の共有)
  • 公衆衛生の向上や児童の健全な育成のために特に必要がある場合で、本人の同意を得ることが困難であるとき
  • 国の機関等が法令の定める事務を遂行することに対して協力する必要がある場合

⑥ 保有個人データに関する事項を公表し、開示請求に対応する

事業者は、自社がどのような個人データを、どのような目的で保有しているかを透明化し、本人からの要求に応える義務があります。

  • 保有個人データに関する事項の公表等(法第32条):事業者は、保有個人データに関し、事業者の名称、すべての保有個人データの利用目的、開示等の請求に応じる手続き、苦情の申出先などを、本人の知り得る状態(ウェブサイトへの掲載など)に置かなければなりません。これがプライバシーポリシーの重要な役割の一つです。
  • 開示・訂正・利用停止等の請求への対応義務(法第33条~第35条):本人から、自己の保有個人データについて「開示」「訂正、追加または削除」「利用停止または消去」の請求があった場合、事業者は原則として遅滞なく、これらの請求に対応しなければなりません。事業者は、これらの請求を受け付けるための窓口や手続きを定め、それを公表しておく必要があります。

⑦ 苦情に迅速かつ適切に対応する

個人情報の取り扱いに関する本人からの問い合わせや苦情は、事業者と個人の間の信頼関係を維持するために極めて重要です。

  • 苦情の処理(法第40条):事業者は、個人情報の取り扱いに関する苦情の適切かつ迅速な処理に努めなければなりません。そのために、苦情受付窓口の設置や、苦情処理の手順を定めるなど、必要な体制の整備が求められます。苦情への対応が不誠実であったり、放置したりすると、企業の信頼を大きく損なうだけでなく、個人情報保護委員会による指導や勧告の対象となる可能性もあります。

改正に伴い企業が取るべき具体的な対策

プライバシーポリシーの見直し、社内規程の整備、漏えい発生時の報告・通知体制の構築、従業員への教育の実施

近年の相次ぐ法改正、特に個人の権利強化と事業者の責務厳格化の流れを受けて、企業は自社の個人情報管理体制を根本から見直す必要があります。「法律が変わったらしい」という認識に留まらず、具体的なアクションに落とし込まなければ、思わぬところで法令違反を犯し、重大なリスクを負うことになりかねません。ここでは、法改正に対応するために企業が優先的に着手すべき4つの対策を具体的に解説します。

プライバシーポリシーの見直し

プライバシーポリシー(個人情報保護方針)は、企業が個人情報の取り扱いについて、顧客や社会に対して約束を公表する重要な文書です。法改正によって公表すべき事項が追加されたため、既存のプライバシーポリシーが最新の法令に対応しているかどうかのチェックは必須の作業です。

なぜ見直しが必要か?
法改正により、以下のような情報をプライバシーポリシー等で公表することが求められるようになった、あるいはより明確化が推奨されるようになったためです。

  • 保有個人データの安全管理のために講じた措置:どのような組織的、人的、物理的、技術的安全管理措置を講じているかを具体的に記載することが求められます。(努力義務ですが、透明性確保の観点から推奨)
  • 外国の第三者への提供に関する情報:個人データを外国の第三者に提供する可能性がある場合、その国名や当該国の個人情報保護制度、提供先が講じる措置などを明記する必要があります。
  • 仮名加工情報に関する事項:仮名加工情報を作成・利用する場合は、その旨や利用目的などを公表する必要があります。
  • 開示請求等の手続き:開示請求を受け付ける窓口、請求方法、手数料などを具体的に記載します。

見直しのチェックポイント

  • [ ] 公表事項の網羅性:法第32条で定められた「保有個人データに関する公表事項」がすべて含まれているか。
  • [ ] 利用目的の具体性:利用目的が「事業活動のため」のような曖昧な表現ではなく、誰が読んでも理解できるように具体的に記述されているか。
  • [ ] 改正対応:上記で挙げた安全管理措置、外国への提供、仮名加工情報など、改正法で求められる項目が反映されているか。
  • [ ] 平易な表現:法律用語を並べるだけでなく、一般のユーザーが理解しやすい言葉で書かれているか。

プライバシーポリシーは一度作ったら終わりではなく、事業内容の変更や法改正のたびに定期的に見直す、生きた文書であるという認識が重要です。

社内規程の整備

プライバシーポリシーが対外的な「約束」であるとすれば、社内規程は、その約束を守るための具体的な「ルールブック」です。従業員が日々の業務の中で個人情報を適切に取り扱うための行動基準となります。

なぜ整備が必要か?
法改正で義務化された漏えい時の報告・通知や、厳格化された各種ルールを組織として遵守するためには、個々の従業員の判断に任せるのではなく、統一されたルールと手順を明確に定めておく必要があるからです。整備された規程は、安全管理措置(特に組織的安全管理措置)の中核をなすものであり、万が一の際の監査や調査においても、企業が適切な体制を築いていたことを示す重要な証拠となります。

整備すべき規程の例

  • 個人情報取扱規程:個人情報保護に関する基本方針、管理体制、各情報の定義、そして「取得・入力」「利用・加工」「保管・保存」「移送・送信」「消去・廃棄」といったライフサイクルの各段階における具体的な取り扱いルールを定めます。
  • 情報セキュリティ規程:個人情報に限らず、会社全体の情報資産を守るためのルール。アクセス管理、パスワードポリシー、ウイルス対策、外部デバイスの接続制限などを定めます。
  • インシデント対応規程:情報漏えいやサイバー攻撃などのセキュリティインシデントが発生した際の対応フローを定めます。発見者からの報告ルート、対応チームの招集、被害拡大防止策、原因調査、そして個人情報保護委員会への報告や本人通知の手順などを時系列で明確にします。

これらの規程は、個人情報保護委員会が公開している「個人情報の保護に関する法律についてのガイドライン」を参考にしながら、自社の事業実態に合わせて作成することが効果的です。

漏えい発生時の報告・通知体制の構築

法改正の最大のポイントの一つが、漏えい等インシデント発生時の個人情報保護委員会への報告と本人への通知が義務化されたことです。これは、有事に迅速かつ的確に対応できる体制を平時から構築しておくことを企業に強く求めるものです。

構築すべき体制のポイント

  1. インシデント検知と報告フローの確立
    • 従業員が「漏えいかもしれない」と感じた際に、誰に、どのように、何を報告するのかというエスカレーションルートを明確にし、全従業員に周知徹底します。報告をためらわせない、オープンな組織風土の醸成も重要です。
  2. CSIRT(Computer Security Incident Response Team)の設置
    • インシデント対応を専門に行うチームを設置します。法務、広報、情報システム、顧客対応など、関連部署のメンバーで構成し、各々の役割を定めておきます。
  3. 報告・通知の準備
    • 個人情報保護委員会への報告様式(速報・確報)を事前に確認し、記入項目を把握しておきます。
    • 本人へ通知する際の文面のひな形や、問い合わせに対応するためのコールセンターの設置手順などを準備しておきます。
  4. 原因調査と再発防止策の策定プロセス
    • 技術的な原因究明(フォレンジック調査など)を誰が担当するのか、外部の専門家と連携する際の手順などを決めておきます。
    • 調査結果に基づき、実効性のある再発防止策を策定し、実行するプロセスを定めます。

机上の空論で終わらせないために、定期的なインシデント対応訓練(シミュレーション)を実施し、体制の不備や課題を洗い出して改善していくことが不可欠です。

従業員への教育の実施

どれだけ優れたルールやシステムを構築しても、それを使う「人」の意識と知識が伴わなければ、個人情報の保護は実現できません。従業員一人ひとりが個人情報保護の重要性を理解し、日々の業務の中で規程を遵守することが、組織全体のセキュリティレベルを決定づける最後の砦となります。

教育・研修で伝えるべき内容

  • 基本理念:なぜ個人情報を保護する必要があるのか、法律の目的や社会的背景。
  • 自社のルール:プライバシーポリシーや社内規程の具体的な内容。特に、自身の業務に直接関わる部分(例:営業担当者向けの名刺管理ルール、開発者向けのセキュアコーディング指針など)。
  • 法改正のポイント:近年の法改正で何が変わり、それによって業務にどのような影響があるのか。
  • 具体的なリスクと対策:メールの誤送信、PCやUSBメモリの紛失、フィッシング詐欺、SNSの不適切な利用など、日常業務に潜む具体的なリスクとその防止策。
  • インシデント発生時の対応:不審な事象を発見した際の報告義務と報告フロー。

教育は、一度行えば終わりではありません。新入社員研修への組み込みはもちろん、全従業員を対象とした定期的な研修(年に1回など)や、法改正のタイミングでの臨時研修を実施し、継続的に知識のアップデートと意識の向上を図っていくことが求められます。

個人情報保護法に違反した場合の罰則

個人情報保護法を遵守することは、企業の社会的責任であると同時に、経営リスクを管理する上でも極めて重要です。法律に違反した場合、行政からの措置や刑事罰といった直接的なペナルティが科されるだけでなく、企業の信頼失墜による顧客離れや株価下落、損害賠償請求といった間接的なダメージも計り知れません。特に近年の法改正では、罰則が大幅に強化されており、経営層を含む全ての従業員がその内容を正しく認識しておく必要があります。

個人情報保護委員会からの措置命令

事業者が個人情報保護法に違反した場合、即座に刑事罰が科されるわけではありません。通常は、監督官庁である個人情報保護委員会による段階的な行政措置が取られます。

  1. 指導・助言
    法令違反のおそれがある段階や、軽微な違反に対して、委員会は事業者に対して改善を促すための「指導」や「助言」を行います。これは行政指導であり、法的な強制力はありませんが、これを無視することは望ましくありません。
  2. 勧告
    事業者が正当な理由なく法の規定に違反しており、個人の権利利益を保護するために必要があると認められる場合、委員会は「勧告」を行います。勧告は指導・助言よりも重い措置であり、事業者はこれに従って具体的な是正措置を講じることが強く求められます。
  3. 命令
    事業者が正当な理由なく勧告に従わない場合や、個人の重大な権利利益の侵害が切迫している場合などには、委員会はより強制力のある「措置命令」を発出します。命令には、違反行為の中止や、再発防止策の策定・公表などが含まれます。この命令に違反した場合には、後述する刑事罰の対象となります

また、事業者は委員会から、業務状況に関する報告を求められたり、立ち入り検査を受けたりすることがあります。これらの報告徴収や検査を拒否したり、虚偽の報告をしたりした場合も、罰金の対象となります。

刑事罰(罰金・懲役)

個人情報保護法違反に対する刑事罰は、法改正によって特に法人に対する罰金額が大幅に引き上げられ、国際的に見ても遜色のない厳しい水準となりました。これにより、企業として法令遵守に取り組む経済的なインセンティブがより強くなったと言えます。罰則は、違反行為を行った従業員個人だけでなく、その従業員が所属する法人等にも科される「両罰規定」が設けられている点が特徴です。

法人への罰金

企業活動における違反に対しては、非常に高額な罰金が科される可能性があります。

違反内容 法人に対する罰則
個人情報保護委員会からの措置命令に違反した場合 1億円以下の罰金
個人情報データベース等を不正な利益を図る目的で提供・盗用した場合 1億円以下の罰金
個人情報保護委員会に対して虚偽の報告をしたり、検査を拒んだりした場合 50万円以下の罰金

特筆すべきは、措置命令違反と不正提供に対する罰金が最大1億円に設定されている点です。これは、以前の「30万円以下」や「50万円以下」から大幅に引き上げられたものであり、違反行為に対する社会的な非難の厳しさを反映しています。企業にとって、1億円の罰金は財務的に大きな打撃となるだけでなく、その事実が報道されることによるレピュテーション(評判・信用)の毀損は、罰金額以上の深刻なダメージにつながる可能性があります。

行為者(個人)への罰金・懲役

違反行為は、法人だけでなく、その行為を直接行った従業員などの個人も処罰の対象となります。

違反内容 行為者(個人)に対する罰則
個人情報保護委員会からの措置命令に違反した場合 1年以下の懲役または100万円以下の罰金
個人情報データベース等を不正な利益を図る目的で提供・盗用した場合 1年以下の懲役または50万円以下の罰金
個人情報保護委員会に対して虚偽の報告をしたり、検査を拒んだりした場合 50万円以下の罰金

従業員が自己の利益のために顧客情報を名簿業者に売り渡すといった悪質なケースでは、その従業員自身が懲役刑を含む刑事罰を受けることになります。これは、個人情報の不正利用が重大な犯罪であるという明確なメッセージです。

これらの罰則は、あくまで刑事罰としてのペナルティです。これとは別に、情報漏えいによって被害を受けた個人からは、プライバシー侵害に対する慰謝料などを求める民事上の損害賠償請求が起こされる可能性があります。集団訴訟に発展した場合には、賠償額が巨額にのぼるケースも少なくありません。

法令違反のリスクは、単なる罰金の問題ではなく、事業の存続そのものを揺るがしかねない経営上の重大なリスクであることを、改めて認識する必要があります。

個人として日常生活で注意すべき3つのこと

不審なサイトやアプリに個人情報を入力しない、SNSで個人情報をむやみに公開しない、公共のフリーWi-Fi利用時のセキュリティ意識を持つ

個人情報保護法は、主に事業者が守るべきルールを定めたものですが、私たち一人ひとりが自分の情報を守るための意識と知識を持つことも、安全なデジタル社会を実現するためには不可欠です。サイバー犯罪の手口は年々巧妙化しており、少しの油断が個人情報の漏えいや金銭的な被害に直結する可能性があります。ここでは、個人として日常生活の中で特に注意すべき3つのポイントを解説します。

① 不審なサイトやアプリに個人情報を入力しない

オンラインでの活動が当たり前になった今、私たちの個人情報を狙う最大の脅威の一つが「フィッシング詐欺」です。フィッシング詐欺とは、実在する金融機関や有名企業、公的機関などを装った偽のメールやSMS(ショートメッセージサービス)を送りつけ、本物そっくりの偽サイトに誘導し、ID、パスワード、クレジットカード情報、口座情報などを盗み出す手口です。

見分けるためのチェックポイント

  • 送信元のメールアドレスやURLをよく確認する:一見本物に見えても、よく見ると公式サイトのドメインと微妙に異なっている(例:「amazon.co.jp」が「amazom.co.jp」になっているなど)。
  • 不安を煽る件名や本文に注意する:「【緊急】アカウントがロックされました」「お支払情報の更新が必要です」「セキュリティ警告」といった言葉で利用者の冷静な判断力を奪おうとします。
  • 不自然な日本語が使われていないか確認する:海外の犯罪グループによるものが多く、翻訳ソフトを使ったような不自然な言い回しが見られることがあります。
  • メール内のリンクを安易にクリックしない:少しでも怪しいと感じたら、メール内のリンクはクリックせず、いつも使っているブックマークや公式アプリからサイトにアクセスして情報を確認する習慣をつけましょう。

また、スマートフォンアプリをインストールする際にも注意が必要です。アプリの中には、その機能に不必要な個人情報へのアクセス許可(連絡先、位置情報、写真フォルダなど)を求めてくるものがあります。インストール時に表示される権限(パーミッション)の要求をよく確認し、不審に感じたらインストールを中止する勇気を持ちましょう。

② SNSで個人情報をむやみに公開しない

Facebook、X(旧Twitter)、InstagramといったSNSは、友人との交流や情報収集に便利なツールですが、同時に個人情報漏えいの温床にもなり得ます。何気ない投稿から、個人のプライバシーが特定され、ストーカー行為や空き巣などの犯罪に悪用されるリスクがあります。

特に注意すべき投稿内容

  • 自宅や職場が特定できる情報:自宅の外観やマンションの部屋からの眺め、最寄り駅の看板が写り込んだ写真などは、住所の特定に繋がります。
  • 個人を識別する情報:本名や生年月日、卒業した学校名などをプロフィールに公開したり、投稿に含めたりすることは避けましょう。運転免許証や健康保険証などを面白半分で投稿するのは絶対にやめるべきです。
  • 行動パターンがわかる情報:「今から〇〇へ旅行」「毎日このカフェで仕事してます」といった投稿は、長期間家を留守にすることや、あなたの行動範囲を犯罪者に知らせることになりかねません。
  • 写真の位置情報(ジオタグ):スマートフォンのカメラ設定によっては、撮影した写真に自動的に位置情報が付与される場合があります。この情報をオンにしたままSNSに投稿すると、撮影場所が第三者に知られてしまいます。カメラアプリやSNSアプリの設定を見直し、位置情報サービスをオフにしておくことを強く推奨します。

SNSを利用する際は、公開範囲を「友達のみ」や「非公開」に設定するなど、プライバシー設定を適切に行い、誰にどこまでの情報を見せるかを常に意識することが重要です。

③ 公共のフリーWi-Fi利用時のセキュリティ意識を持つ

カフェや駅、ホテルなどで提供されているフリーWi-Fiは非常に便利ですが、その利便性の裏にはセキュリティ上のリスクが潜んでいます。全てのフリーWi-Fiが危険というわけではありませんが、中には通信内容が暗号化されていなかったり、悪意のある第三者が設置した「なりすましアクセスポイント」であったりする可能性があります。

フリーWi-Fi利用時のリスク

  • 通信の傍受(盗聴):暗号化されていないWi-Fi(ネットワーク名の横に鍵マークがないもの)を利用すると、同じネットワークに接続している悪意のある第三者に、あなたがやり取りしている通信内容(閲覧しているサイト、入力したIDやパスワードなど)を覗き見される危険性があります。
  • なりすましアクセスポイント(悪魔の双子):正規のフリーWi-Fiと全く同じ、あるいは非常によく似た名前(SSID)の偽のアクセスポイントを設置し、利用者が誤って接続するのを待つ手口です。これに接続してしまうと、通信内容がすべて攻撃者に筒抜けになってしまいます。

安全に利用するための対策

  • 提供元が確かなWi-Fiを利用する:提供元が不明な、いわゆる「野良Wi-Fi」には接続しないようにしましょう。
  • 暗号化されたWi-Fiを選ぶ:Wi-Fiの選択画面で、ネットワーク名の横に鍵マークが付いているもの(WPA2やWPA3といった強力な暗号化方式が使われているもの)を選びましょう。
  • 重要な情報の入力は避ける:フリーWi-Fiに接続している間は、ネットバンキングへのログインやクレジットカード情報の入力、重要な個人情報の送受信は極力避けるのが賢明です。
  • VPN(Virtual Private Network)を利用する最も確実な対策の一つがVPNの利用です。VPNは、あなたのデバイスとインターネットの間に安全な暗号化されたトンネルを作り、通信内容を保護してくれます。フリーWi-Fiを頻繁に利用する方は、信頼できるVPNサービスの導入を検討する価値があります。

自分の情報は自分で守るという意識を持ち、これらの対策を日々の生活の中で実践していくことが、安心してデジタル社会を生きるための第一歩となります。