概要
個人情報保護法(Act on the Protection of Personal Information:APPI)とは、日本における個人情報の適正な取り扱いに関するルールを定めた法律です。2003年に制定され、2005年に全面施行されました。個人情報取扱事業者に対し、個人情報の取得・利用・保管・提供・開示等について一定の義務を課し、個人の権利利益を保護することを目的としています。
2022年4月に施行された令和4年改正では、個人の権利保護が大幅に強化されました。主な改正点として、漏えい等の報告義務化と本人通知義務化、個人データの利用停止・消去請求権の拡充、仮名加工情報制度の新設、越境移転規制の強化、法定刑の引き上げなどが含まれます。これにより、日本の個人情報保護制度はGDPRに近い水準へと引き上げられました。
個人情報保護法は個人情報保護委員会(PPC:Personal Information Protection Commission)が所管し、ガイドラインの策定、事業者への監督・指導、国際協力を行っています。2025年には3年ごとの見直しに基づくさらなる改正が議論されており、生成AI時代に対応した規制の在り方が注目されています。
詳細解説
2022年改正のポイント
2022年4月施行の改正個人情報保護法は、デジタル社会の進展に対応するため大幅な改正が行われました。漏えい等の報告義務が法定化され、個人の権利利益を害するおそれが大きい漏えい等が発生した場合、個人情報保護委員会への報告と本人への通知が義務化されました。
また、個人の権利行使の範囲が拡大され、利用停止・消去請求権が、不正取得の場合だけでなく、利用する必要がなくなった場合や本人の権利利益が害されるおそれがある場合にも行使可能となりました。さらに、開示請求の対象が6か月以内に消去する短期保存データにも拡大されました。
仮名加工情報
仮名加工情報とは、個人情報に含まれる記述等の一部を削除または他の記述等に置き換えることにより、他の情報と照合しない限り特定の個人を識別できないように加工した情報です。2022年改正で新設された制度であり、匿名加工情報よりも緩やかな加工基準で、内部での分析利用を柔軟に行えるようにしたものです。
仮名加工情報は、当初の利用目的の範囲を超えた利用(目的外利用)が認められる一方で、第三者提供は原則として禁止されています。また、本人への連絡を目的とした利用や、本人を識別するための他の情報との照合は禁止されています。企業のデータ利活用と個人の権利保護のバランスを図る制度として導入されました。
漏えい等の報告義務
2022年改正により、一定の類型に該当する個人データの漏えい等が発生した場合、個人情報保護委員会への報告と本人への通知が法的義務として規定されました。報告が必要な類型には、要配慮個人情報の漏えい、不正アクセスによる漏えい、財産的被害が生じるおそれのある漏えい、1,000人を超える大規模漏えいなどが含まれます。
報告は速報(事態を知った時点から概ね3~5日以内)と確報(30日以内、不正アクセスの場合は60日以内)の2段階で行う必要があります。本人への通知は、事態の状況に応じて速やかに行うことが求められます。
越境移転規制
個人データの外国にある第三者への提供については、2022年改正で規制が強化されました。外国の第三者に個人データを提供する場合、本人の同意を取得する際に、移転先の国名、当該国の個人情報保護制度、移転先の第三者が講じる個人情報保護措置などの情報を本人に提供する義務が追加されました。
日本がEUから十分性認定を受けていることにより、EU域内から日本への個人データの移転は特別な保護措置なしに行うことが可能です。一方、日本からEU域外の第三者国へのデータ移転には、適切な措置の確保が必要となります。
個人情報保護委員会(PPC)の役割
個人情報保護委員会(PPC)は、個人情報保護法の所管官庁として2016年1月に設置された独立した行政委員会です。PPCは、個人情報の保護に関する基本方針の策定・推進、事業者に対するガイドラインの策定、監視・監督・指導、苦情処理、国際協力などを担っています。
PPCは立入検査権限を有し、違反事業者に対して勧告・命令を行うことができます。命令違反に対しては刑事罰が科され、2022年改正により法人に対する罰金が最大1億円に引き上げられました。また、PPCは3年ごとの法律見直しの検討を行い、社会情勢の変化に応じた制度の改善を推進しています。
セキュリティ対策
- 01個人情報取扱規程の策定と運用:個人情報の取得、利用、保管、提供、廃棄の各段階における取扱いルールを明文化した規程を策定してください。規程には、利用目的の特定と通知・公表の手順、安全管理措置の具体的内容、従業者への教育・訓練計画を含め、定期的に見直しを行いましょう。
- 02安全管理措置の実施(組織的・人的・物理的・技術的):個人情報保護法が求める4つの安全管理措置を適切に実施してください。組織的措置(責任者の設置、取扱状況の把握)、人的措置(従業者の教育・監督)、物理的措置(入退室管理、機器の盗難防止)、技術的措置(アクセス制御、暗号化、不正アクセス防止)を網羅的に講じましょう。
- 03漏えい等報告・通知体制の整備:個人データの漏えい等が発生した場合に、速報(3~5日以内)と確報(30日または60日以内)を個人情報保護委員会に報告し、本人に通知するための体制を整備してください。インシデント発生時の連絡体制、初動対応手順、報告書のテンプレートを事前に準備し、定期的な訓練を実施しましょう。
- 04委託先の監督強化:個人データの取扱いを外部に委託する場合、委託先の選定基準を設け、契約により安全管理措置の内容を明確化してください。委託先における個人データの取扱状況を定期的に確認し、再委託がある場合は再委託先も含めた監督体制を構築しましょう。
- 05本人からの開示等請求への対応体制構築:利用目的の通知、個人データの開示、訂正・追加・削除、利用停止・消去、第三者提供の停止などの請求に対し、法定期限内に適切に対応できる体制を整備してください。請求の受付窓口、本人確認方法、対応手順を定め、従業者に周知しましょう。
- 06プライバシーポリシーの適切な策定・公表:利用目的の明示、第三者提供の有無、安全管理措置の概要、問い合わせ窓口などを記載したプライバシーポリシーを策定し、Webサイト等で公表してください。特に越境移転がある場合には、移転先の国名や当該国の制度に関する情報提供が義務付けられている点に注意が必要です。
事故事例
📋 大手通信会社における約900万件の顧客情報流出(2023年)
2023年、国内大手通信会社のグループ企業において、元派遣社員が約900万件の顧客個人情報を不正に持ち出していたことが発覚しました。流出した情報には氏名、住所、電話番号、メールアドレスなどが含まれていました。
この事案では、個人データへのアクセス権限の管理が不十分であったことが原因とされ、個人情報保護委員会から行政指導を受けました。委託先の従業者による内部犯行であり、技術的なアクセス制御と人的管理の両面での対策不備が指摘されました。
📋 大手就職情報サイトの内定辞退率データ販売問題(2019年)
2019年、大手就職情報サイトを運営する企業が、学生の行動履歴から算出した「内定辞退率」のスコアを、本人の十分な同意を得ないまま企業に販売していたことが社会問題となりました。約8,000人の学生のデータが本人の明確な同意なく第三者に提供されていました。
個人情報保護委員会はこの行為を個人情報保護法違反(第三者提供の同意取得の不備)と認定し、勧告を行いました。この事件は、プロファイリングとスコアリングにおける同意取得の在り方と、個人データの利活用の限界について広く議論を呼び、その後の法改正にも影響を与えました。
📋 医療機関におけるランサムウェア被害と個人情報漏えい(2022年)
2022年、国内の複数の医療機関がランサムウェア攻撃を受け、患者の電子カルテを含む個人情報が暗号化され、診療業務が長期間にわたり停止する事態が発生しました。一部の医療機関では、患者の氏名、病歴、検査結果などの要配慮個人情報が外部に流出した可能性が指摘されました。
これらの事案では、VPN機器の脆弱性を悪用した不正アクセスが侵入経路であり、セキュリティパッチの適用遅延やバックアップ体制の不備が被害を拡大させました。個人情報保護委員会への報告義務が2022年改正で法定化されたことにより、医療機関のセキュリティ対策とインシデント対応体制の整備が急務となっています。