Home > 法律Q&A > その他 > 個人情報保護法について
あなたのために全力で 暮らしと人権を守って48年 京都最大の法律事務所(弁護士19人、事務スタッフ25人) 法律でお悩みの方はお気軽にご相談ください。0120-454-489

その他

個人情報保護法について

1 個人情報保護法の制定と目的

目的

情報通信技術の飛躍的発展や電子化された情報のネットワークによる大量かつ迅速な処理が可能となったことから、個人情報保護の必要性が一層高まり、個人情報の適正な取扱とその制度化が求められました。

制定経過

2001.3旧法案上程→2002.12廃案(表現、報道・取材の自由侵害のおそれ)
2003.3新法案上程→2003.5可決成立→2005.4施行
なお、個人情報保護法は民間部門を対象としており、国や地方公共団体等の公的部門については別途法律や条例が制定されています。

  • 行政機関の保有する個人情報の保護に関する法律
  • 独立行政法人等の保有する個人情報の保護に関する法律
  • 個人情報保護条例

基本理念(1、3条)

個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とし、個人情報の適正な取扱がなされなければならない(個人の人格尊重の理念)。適正な取扱いとは、(1)利用目的による制限、(2)適正な取得、(3)正確性の確保、(4)安全性の確保、(5)透明性の確保(当該個人が適切に関与しうる状態の確保)などが言われています。

2 個人情報保護法の対象となる個人情報とは

個人情報保護法の対象となっている個人情報とは、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により、特定の個人を識別できるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)」とされています(2条1項)。

ex. 名前、電話番号、住所、個人別に付された記号・番号(銀行口座、保険証の記号番号、年金証書の番号等)、特定の個人を識別できるメールアドレス

法は、個人情報をその置かれている状態により、「個人情報」「個人データ」「保有個人データ」の3つに区分し、それにより、個人情報取扱業者が負うべき義務を定めています。
個人データとは、特定の個人情報を氏名等で検索できるように体系的に整理されたもの(個人情報データベース等)を構成する個人情報のことです(2条4項)。
保有個人データ(2条5項)とは、個人データのうち、開示、訂正、利用停止等を行う権限を有するもの(ただし、6か月以内に消去されるものは除く)をいいます(2条5項)。
例えば、名刺の場合で考えると、名刺自体は、氏名、住所、電話番号等が記載してあり、個人を識別できるものであるから個人情報です。それをスキャナーなどで読み込んでデータベース化したら個人データとなります(この集合体であるデータベースは個人情報データベース)。これを6か月を超えて継続利用する場合には、保有個人データとなります。

個人情報保護法で遵守義務を課せられているのは、すべての国民ではなく、「個人情報取扱事業者」という民間事業者に限られます(2条3項)。この個人情報取扱事業者というのは、個人情報データベース等を事業の用に供している者であって、個人情報によって識別される特定の個人の数の合計が過去6か月以内のいずれの日においても5000を超える者とされています(政令2条)。
実際には、個人データといっても、様々なものがあることから、ある程度事業を継続していれば、すぐに5000を超えるであろうと考えられるので、ほとんどの企業は個人情報取扱事業者となると思われます。

3 個人情報取扱事業者の義務(以下の○数字は法定義務)

予め利用目的をできるだけ特定し、その利用目的の達成のために必要な範囲内でのみ、個人情報を取り扱う(利用目的の特定と制限)

(1) 利用目的の特定(15条)

適正な例

ご記入いただいた氏名、住所、電話番号等は、名簿として販売することがあります。
●●事業における商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせのために利用いたします。

不適切な例

×事業活動に用いるため
×提供するサービスの向上のため

(2) 利用目的による制限(16条)

「商品開発のため」として集めた個人情報→DM発送(不適切)

個人情報は適正な方法で取得し、取得時に本人に対して利用目的の通知・公表等を行う(適正な取得と利用目的の通知・公表)

(3) 適正な取得(17条)

(4) 取得に際しての利用目的の通知・公表(18条)

個人データについては、正確・最新の内容に保つように努め、安全管理措置を講じ、従業者・委託先を監督する(正確性の確保等)

(5) データの正確性の確保(19条)

(6) 安全管理措置(20条)

  • プライバシーポリシー、セキュリティ・ガイドライン等の策定・研修
  • アクセス権限者の限定、情報の暗号化、ファイアウォール設置

(7) 従業者の監督(21条)

  • 個人情報保護マニュアルの作成、教育の徹底

(8) 委託先の監督(22条)

予め本人の同意を得なければ、第三者に個人データを提供してはならない(第三者提供の制限)

(9) 第三者への提供の制限(23条1項)

<第三者提供のできる場合>
  • (ア) 本人の同意(原則)
  • (イ) 適用除外(23条1項1~4号)
    例えば、法令に基づく場合や、生命・身体等の保護のため必要で本人の同意を得ることが困難な場合
  • (ウ) オプトアウト(2項)
    名簿や電話帳等、個人情報を第三者提供すること自体が目的の場合には、本人の同意を受けずに第三者提供を行うことができるが、後に本人が「情報開示・修正・削除又は第三者提供の停止」を要求した場合、それを受け入れ、迅速に処理すること。
  • (エ) 委託先への提供(1号)
  • (オ) 合併等に伴う提供(2号)
  • (カ) グループによる共同利用(3号)

保有個人データについては、利用目的などを本人の知り得る状態に置き、本人の求めに応じて開示・訂正・利用停止等を行う(保有個人データの開示・訂正等)

(10) 利用目的の通知等(24条)

  • 本人の求めに応じて遅滞なく回答する義務も含む

(11) データ開示義務(25条)

  • 書面による交付(政令6条)
  • 例外-業務の適正な実施に著しい支障を及ぼすおそれ(2号)

(12) 訂正等の義務(26条)

  • 訂正、追加、削除の求め→遅滞なく調査→その結果に基づく処理

(13) 利用停止等(27条)

  • 利用目的による制限違反(16条)、適正な取得違反(17条)
  • 第三者提供の制限違反(23条1項)

苦情の処理に努め、そのための体制を整備する(苦情処理体制の整備)

(14) 苦情の処理(31条)

苦情に対する適切かつ迅速な処理とそのための体制整備。

(15) 理由の説明(28条)

(10)から(12)の請求に対し、応じない場合の理由説明。

(16) 開示等の求めに応じる手続(29条)

(10)から(13)の請求に対する手続を設けること。

(17) 手数料(30条2項)

個人情報取扱事業者は、利用目的の通知や開示等を求められた場合、手数料を請求することができる。

(18) 必要な報告(32条)

主務大臣から必要は報告を求められた場合の報告義務。

4 個人情報取扱事業者の義務違反

個人情報保護法は、個人情報取扱事業者に対し、16項目の義務と2項目の努力義務(上記(14)、(15))を課しています(18項目の法定義務)。

個人情報取扱事業者が、上記13の義務(上記(2)~(4)、(6)~(13)、(17)、(18))に違反した場合には、まず主務大臣が違反是正のための勧告を行います(34条1項)。是正勧告に従わなかった場合は、一定の措置命令を発することになります(34条2項)。⇒そして、措置命令にも従わなかった場合には、最高で6か月以下の懲役または30万円以下の罰金に処せられることになります(56条)。ただし、報道機関や学術研究団体、宗教目的や政治目的による場合には、規制を受ける個人情報取扱事業者から除外されています(50条1項)。

ページの先頭に戻る