Overview
個人情報保護法(個人情報の保護に関する法律)とは、個人情報の適正な取り扱いに関するルールを定めた日本の法律です。2003年に制定され、2005年に全面施行されました。個人の権利利益を保護しつつ、個人情報の有用性に配慮することを目的としています。個人情報を取り扱うすべての事業者(個人情報取扱事業者)に対して、取得、利用、保管、提供、開示等の各段階における義務を課しています。
この法律は社会環境の変化に合わせて定期的に改正されており、2022年4月施行の改正(令和2年改正)では、個人の権利の拡充、事業者の責務の追加、ペナルティの強化、越境データ移転の規制強化、仮名加工情報の新設など、大幅な見直しが行われました。さらに2024年4月施行の改正(令和5年改正)では、個人情報保護委員会の権限強化や、生成AIに関連する規定の整備が進められています。
個人情報保護法は、個人情報保護委員会が所管し、ガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編、匿名加工情報編など)を通じて具体的な解釈と運用基準を示しています。デジタル化の進展に伴い、Cookie情報や端末識別子などの個人関連情報の取り扱いも規制対象に加えられ、GDPRをはじめとする国際的なデータ保護の潮流と歩調を合わせた法整備が進んでいます。
Details
個人情報の定義と分類
個人情報保護法における個人情報とは、生存する個人に関する情報であって、特定の個人を識別できるもの、または個人識別符号が含まれるものを指します。個人識別符号にはDNA、顔認証データ、指紋、マイナンバーなどが含まれます。要配慮個人情報は、人種、信条、社会的身分、病歴、犯罪の経歴、犯罪被害事実などの不当な差別や偏見が生じないよう特に配慮を要する情報で、取得にあたっては原則として本人の同意が必要です。
事業者の義務
個人情報取扱事業者には複数の義務が課されています。利用目的の特定と公表では、できる限り具体的に利用目的を定め、あらかじめ公表するか本人に通知する必要があります。安全管理措置では、組織的・人的・物理的・技術的な安全管理措置を講じることが求められます。第三者提供の制限では、原則として本人の同意なく個人データを第三者に提供することは禁止されています。
2022年改正では、漏えい等の報告義務が法的義務として明確化され、個人データの漏えい等が発生した場合に個人情報保護委員会への報告と本人への通知が義務付けられました。報告対象となるのは、要配慮個人情報の漏えい、不正アクセスによる漏えい、1,000件を超える漏えい等の場合です。
仮名加工情報と匿名加工情報
匿名加工情報は、個人情報を特定の個人を識別できないように加工し、元の個人情報を復元できないようにした情報です。一方、2022年改正で新設された仮名加工情報は、他の情報と照合しなければ特定の個人を識別できないように加工した情報で、匿名加工情報よりも加工の程度が低く、内部での分析・研究用途での利用が想定されています。仮名加工情報は、利用目的の変更制限や漏えい報告義務の一部が緩和され、データの利活用を促進する制度として位置付けられています。
越境データ移転の規制
個人データを外国にある第三者に提供する場合、本人の同意を得るか、移転先の国が日本と同等の個人情報保護制度を有すると認められた国であるか、または移転先の事業者が日本の個人情報取扱事業者と同等の措置を講じていることが求められます。2022年改正では、外国の第三者に提供する際に、移転先の国名や個人情報保護に関する制度、移転先事業者の安全管理措置の内容について本人に情報提供することが義務付けられました。
罰則の強化
2022年改正により罰則が大幅に強化されました。個人情報保護委員会の命令違反に対する法人の罰金は最大1億円に引き上げられました。データベース等不正提供罪(不正な利益を図る目的での個人情報の第三者提供)についても法人重科が導入され、最大1億円の罰金が科されます。これにより、日本の個人情報保護法も欧州のGDPRに近い抑止力を持つようになりました。
Security Measures
- 01個人情報の棚卸しと管理台帳の整備:組織が保有する個人情報の種類、件数、利用目的、保管場所、アクセス権限を網羅的に把握し、管理台帳として文書化してください。定期的な棚卸しにより、不要な個人情報の保有を削減し、リスクを最小化しましょう。
- 02安全管理措置の4分類での実施:組織的安全管理措置(規程整備、責任者設置)、人的安全管理措置(従業者教育、秘密保持)、物理的安全管理措置(入退室管理、機器管理)、技術的安全管理措置(アクセス制御、暗号化)の4つの観点から包括的な対策を実施してください。
- 03プライバシーポリシーの適切な策定・公表:利用目的、第三者提供の有無、開示等の請求手続き、安全管理措置の内容などを明確に記載したプライバシーポリシーを策定し、Webサイト等で公表してください。法改正に合わせて定期的に見直しましょう。
- 04漏えい時の報告・通知体制の構築:個人データの漏えい等が発生した場合に、速報(発覚から概ね3〜5日以内)と確報(30日以内、不正アクセスの場合は60日以内)を個人情報保護委員会に報告し、本人に通知する体制を事前に整えてください。
- 05委託先の監督体制の強化:個人データの処理を外部に委託する場合、委託先の選定基準の策定、契約書への安全管理措置の明記、定期的な監査の実施など、適切な監督を行ってください。再委託先についても同等の管理が必要です。
- 06従業者への定期的な教育・訓練の実施:個人情報の取り扱いに関する社内規程の周知、具体的な業務場面での注意点、インシデント発生時の対応手順について、全従業者を対象とした定期的な教育・訓練を実施してください。新入社員研修にも必ず含めましょう。
Incidents
📋 ベネッセ個人情報流出事件(2014年)
2014年、通信教育大手のベネッセコーポレーションにおいて、約3,504万件もの顧客個人情報が外部に流出する大規模な事件が発生しました。グループ会社の業務委託先エンジニアが、顧客データベースから個人情報を不正に持ち出し、名簿業者に売却していたことが判明しました。
この事件はデータベース等不正提供罪の適用事例となり、個人情報の委託先管理の重要性を社会に広く知らしめました。ベネッセは顧客への謝罪として200億円規模の補償対応を行い、会員数も大幅に減少するなど、経営に深刻な影響を与えました。この事件を契機に2015年の法改正で個人情報保護委員会が設置されました。
📋 リクナビDMPフォロー問題(2019年)
2019年、リクルートキャリアが運営する就職情報サイト「リクナビ」が、学生の内定辞退率を予測するスコアを本人の十分な同意なく企業に提供していたことが問題となりました。学生のWebサイト閲覧履歴などの個人関連情報を基に算出した辞退率スコアを、約38社のクライアント企業に販売していました。
個人情報保護委員会はリクルートキャリアに対し、個人情報保護法に基づく勧告と指導を行いました。この事件は、プロファイリングによる個人データの利活用と個人の権利保護のバランス、同意取得のあり方について社会的な議論を喚起し、2022年改正における個人関連情報の規制導入の契機となりました。
📋 LINEの個人情報管理問題(2021年)
2021年、LINEが日本のユーザーの個人データを中国の関連会社の従業員がアクセス可能な状態にしていたこと、また画像・動画データを韓国のデータセンターに保管していたことが報道により明らかになりました。LINEは当初、データは日本で管理されていると説明していましたが、実態との乖離が問題視されました。
個人情報保護委員会と総務省はLINEに対して行政指導を行い、ユーザーへの適切な情報提供と、個人データの国内移転の計画策定を求めました。この事件は、越境データ移転における透明性の確保と、利用者への正確な情報提供の重要性を浮き彫りにしました。その後、LINEとヤフーの統合を経て、データガバナンス体制の再構築が進められています。