個人情報保護法とは、個人の効果的な活用に配慮しながら、個人情報を保護するための法律です。
正式名称は「個人情報の保護に関する法律」といいます。
個人情報保護法は、この目的を実現するために、主に個人情報を取り扱う民間企業が守らなければならない義務を定めています。
ここでは、個人情報保護法の対象となる情報とは何かを具体例でわかりやすく解説します。
また、個人情報保護法に違反したときの罰則等についても掲載しています。
個人情報を取り扱う方はぜひ参考になさってください。
目次
個人情報保護法とは
「個人情報保護法」とは、正式には「個人情報の保護に関する法律」という名前を持つ日本の法律のことです。
一般には、正式名称でこの法律を呼ぶことは少なく、略して「個人情報保護法」と呼ばれることが多いです。
個人情報保護法の目的
個人情報保護法は、何のために作られた法律でしょうか。
もちろん、その名前のとおり、個人情報保護法は「個人情報を保護するため」の法律です。
しかし、個人情報保護法の目的はそれだけではありません。
じつは、個人情報保護法は、個人情報の保護だけでなく、個人情報の活用という観点も目的としています。
個人情報保護法の第1条に、個人情報保護法が目指す目的が書かれていますので、確認してみましょう。
とても長い文章です。これ全体でひとつの文章になっているので、少しわかりにくいかもしれません。
よりわかりやすくするため、個人情報保護法第1条の条文を分解して、親しみやすい表現にしてみると、次のようになります(※1)。
個人情報の適正な取り扱いに関する
- 基本理念
- 政府による基本方針や施策の基本的な事項
- 国と地方公共団体の責務、および
- 個人情報を取り扱う民間事業者の義務
を定めています。
以上が、個人情報保護法第1条に書かれていることになります。
※1 わかりやすさを優先して、趣旨を変えない範囲で少し意訳しています。正確な条文は個人情報保護法第1条をご覧ください。
このように、個人情報保護法は、単に個人情報を保護するという一面だけを目的としているものではありません。
①個人情報を適切かつ有効に利用すると社会の発展に役に立つ、という一面にも配慮しながら、②個人の権利を守っていきましょう、という2つの側面を持っているのが個人情報保護法なのです。
つまり、①個人情報の有効な利活用と、②個人の権利の保護、この2つのバランスを調整するのが個人情報保護法の目的です。
個人情報保護法の仕組み
上記のような目的を達成するために、個人情報保護法はどのような仕組みをもっているでしょうか。
個人情報保護法は、上記の目的を実現するために、主に個人情報を取り扱う民間企業が守らなければならない義務を定めています(※2)。
つまり、個人情報保護法は、個人情報を取り扱う民間企業に対して義務を課し、民間企業にその義務を守らせることで、個人情報の保護と活用という2つの目的を達成していこう、という形をとっているのです。
民間企業がこのような義務に違反すると、処罰を受けることもあります。
だからこそ、民間企業にとっては、どのような場合に、どのような義務が自社に課されているのかをしっかりと理解する必要があります。
この記事では、民間企業に対してどのような場合にどのような個人情報保護法の義務が課されるのかを解説していきます。ぜひ参考にしてください。
※2 そのほか、基本理念や国・地方公共団体の責務なども定めています。
個人情報保護法の対象となる情報
社会には、さまざまな情報が存在します。
個人情報保護法は、そのうち「個人情報」だけを対象としています。
「個人情報」でない情報には、個人情報保護法は適用されません。
したがって、個人情報保護法について考えるには、その前提として、どのような情報が「個人情報」なのかを見極める必要があります。
生きている人の情報だけが対象!
「個人情報」は、生きている人に関する情報だけを対象とします。
すでに亡くなっている人に関する情報は、「個人情報」に該当しません。
したがって、例えば、江戸幕府を開いた徳川家康に関する情報は、それが氏名や住所(どこに住んでいたか)などの情報であっても、個人情報保護法の適用は受けません。徳川家康はすでに亡くなっているからです。
「個人情報」とは何か?
「個人情報」とは、次の①、②、③のどれかひとつにあてはまる情報のことをいいます(個人情報保護法2条1項)。
- ① その中に含まれる内容によって、特定の個人を識別することができる情報
- ② その中に含まれる内容と、他の情報とを「容易に照合」することができ、それによって特定の個人を識別することができることとなる情報
- ③ その情報の中に「個人識別符号」が含まれる情報
個人データの具体例
ある情報から特定の〇〇さんにたどりつくことができる場合、その情報は、個人情報に該当します。
例えば、あなたが取引先のAさんからもらった名刺には、Aさんの名前が書かれています。
そのため、その名刺の内容を見れば、それだけで「Aさん」という特定の人がわかってしまいます。
つまり、名刺に記述された情報から特定の個人(すなわちAさん)を識別することができるといえますから、名刺に記述された情報は「個人情報」に該当します。
そのほかの具体例としては、次のようなものがあります。
これらはいずれも、そこに記載・記録されている情報だけで特定の個人を識別できますから、個人情報に該当します。
- 会社が保管している従業員の情報
- 医療カルテ
- 顔写真
- 生きている人のWikipediaの記事
- 防犯カメラによって撮影された誰かの顔が映った映像
ある情報から特定の〇〇さんであることはわかりませんが、その情報とほかの情報を簡単に照らし合わせることができ(これを「容易に照合できる」といいます)、照らし合わせることによって特定の〇〇さんであることがわかるような場合、その情報も個人情報に該当します。
例えば、携帯電話の番号は、普通はそれだけでは特定の〇〇さんを知ることはできません。(例えば、街の中の電柱に誰かの携帯電話の番号が落書きされているのを見ても、あなたはその携帯電話の番号が誰のものであるか知ることはできないのが普通です。)
しかし、通信販売などを営んでいる会社があり、その会社が買い物客リストを保存していたとしましょう。
その買い物客リストには、個人の氏名と携帯電話の番号が記載されているとします。
もし、このような会社の社員が携帯電話の番号だけを知ったとすると、その携帯電話の番号と自分の会社の買い物客リストとを簡単に照らし合わせることができます。
このように照らし合わせた結果、その携帯電話番号が買い物客リストの中に見つかり、その携帯電話番号の持主を特定できるかもしれません。
このように、単体では特定の〇〇さんを知ることができなくても、ほかの情報と簡単に照らし合わせる(「容易に照合」)ことで特定の個人がわかるようになる場合には、その情報も個人情報に該当します。
したがって、このような会社にとっては、携帯電話の番号が個人情報に該当することがあります。
「個人識別符号」というものを含んでいる情報は、すべて個人情報に該当します。
「個人識別符号」とは、次の2つのどちらかにあてはまるものをいいます(個人情報保護法2条2項1号、2号)(※3)。
個人の身体の特徴をコンピュータ処理のために変換した情報で、個人を特定できるもの(※3)
例えば、指紋や虹彩(瞳の模様)といった人間の身体の特徴は、ひとりひとり異なっていますから、個人を特定することができます。
刑事ドラマでは、指紋を発見して犯人を逮捕する、というシーンがありますが、このようなことができるのは、指紋がひとりひとり異なっていて、指紋がわかれば特定の人までたどりつくことができるからです。
現代の社会では、このような指紋や虹彩を、コンピュータで処理するためにデータ化することがあります。
例えば、スマホのロックを指紋認証で解除できるのは、指紋という人間の身体の特徴を活用した技術です。
指紋認証の機能を備えたスマホやコンピュータは、個人の指紋をデータに変換し、そのデータを内部に保存しています。
このような人間の身体の特徴を活用した技術は社会にあふれています。
このように、個人の身体の特徴をコンピュータ処理のために変換したデータで、個人を特定できるようなものは「個人識別符号」に該当します。
したがって、このようなデータを含んでいる情報は、個人情報に該当します。
ひとりひとりに異なるものが割り当てられた文字、番号、記号などを含む情報で、個人を特定できるもの(※3)
例えば、マイナンバーは、国民ひとりひとりに異なった番号が割り当てられています。
運転免許証の番号などもそうです。
その結果、これらの番号から、特定の個人を識別できるようになっています。
このような文字、番号、記号なども「個人識別符号」と呼ばれます。
個人識別符号を含んでいる情報は、すべて個人情報に該当することになります。
※3 いずれの解説も、わかりやすさを優先して表現を少し簡略化しています。正確な定義は個人情報保護法の条文をご覧ください。
POINT:個人情報に該当するかどうかの判断はダイナミック!
ある情報が個人情報に該当するかどうかの判断は、とてもダイナミックな判断です。
同じタイプの情報でも、内容によっては個人情報に該当したりしなかったりします。
また、まったく同じ情報であっても、ある人にとっては個人情報に該当しないが、別の人にとっては個人情報に該当する、ということもあります。
メールアドレスを例に説明します。
例えば、次のようなメールアドレスがあるとしましょう。
普通は、このメールアドレスだけを見ても個人を特定することはできません。
したがって、このメールアドレスは、個人情報ではありません。
しかし、このメールアドレスの持主(Aさんとします)が、このメールアドレスを使って、ある通販サイトで買い物をしたことがあるとします。
そうすると、通販サイトの運営会社には、お客様データとして、Aさんの名前とこのメールアドレスが保存されているはずです。
このような場合、通販サイト運営会社は、上記(ア)のメールアドレスと、会社内に保存されているお客様データを「容易に照合」することで、Aさんという特定の個人にたどりつくことができると考えられます。
したがって、上記(ア)のメールアドレスは、一般の人々の立場からは個人情報には該当しませんが、この通販サイト運営会社の立場からは個人情報(上記②のパターン)に該当することになります。
このように、同じ情報であっても、立場の違いによって、個人情報に該当したりしなかったりします。
また、次のようなメールアドレスを考えてみます。
このメールアドレスを見るだけで、このアドレスの持主はデイライト法律事務所に所属している「コジンタロウ」さんだな、と特定することができます。
このような場合、このメールアドレスはそれだけで特定の〇〇さんにたどりつくことができる情報ということになりますから、個人情報(上記①のパターン)に該当します。
このように、同じメールアドレスであっても、(ア)と(イ)では、個人情報に該当するかどうかの結論が異なります。
以上のように、ある情報が個人情報に該当するかどうかの判断は、ひとつひとつのケースごとにダイナミックに変化します。
もし判断にお困りのときは、個人情報保護法に詳しい弁護士のアドバイスを求めることをお勧めします。
POINT:公開されているかどうかは関係ない!
ある情報が個人情報に該当するかどうかを判断するにあたっては、その情報が公開された情報であるかどうかは関係しません。
例えば、企業のウェブサイトには、経営者(社長)の名前や顔写真が掲載されていることがよくあります。
このような場合、その経営者のウェブページの内容から〇〇会社の〇〇社長という特定の個人がわかりますから、このウェブページは「個人情報」に該当します。
「個人情報」に該当するかどうかは、あくまで上記の①から③までの要素で判断されます。
ウェブページが公開されているからといって、「個人情報」に該当しなくなる、ということはありません。
個人情報の種類ー個人情報には種類がある!?
これまで、「個人情報とは何か」を解説してきました。
ここからは、「個人情報」に該当する情報の中に、さらに区別がある、ということを解説します。
個人情報保護法では、「個人情報」に該当する情報を、さらにサブカテゴリーにわけています。
「個人情報」のサブカテゴリ―として、「個人データ」があります。そしてさらに、「個人データ」のサブカテゴリ―に、「保有個人データ」があります。
図にすると、次のとおりです。
【図1】
この図のように、「①個人情報」には、
- 「①個人情報」であるが、「②個人データ」ではないもの(青色の部分)
- 「①個人情報」であり、「②個人データ」でもあるが、「③保有個人データ」ではないもの(黄色の部分)
- 「②個人情報」であり、「②個人データ」でもあり、「③保有個人データ」でもあるもの(緑色の部分)
があります。
①個人情報、②個人データ、③保有個人データは、このような包含関係になっています。
個人データ、保有個人データといった種類わけは、なぜ必要なの?
このような種類わけは、企業の義務の内容にかかわってきます。
個人情報保護法は、その目的(この記事の冒頭で説明したような目的のことです)を達成するため、個人情報を取り扱う企業に対して、さまざまな義務を課しています。
したがって、個人情報を取り扱う企業は、いろいろな種類の義務を守らなければなりません。
この義務は、個人情報のサブカテゴリーによって異なります。
つまり、企業が負うことになる義務の内容は、「個人情報」、「個人データ」、「保有個人データ」という種類ごとに決められているのです。
例えば、個人情報保護法が企業に対して課しているさまざまな義務のうち、ある種の義務は「保有個人データ(③)」だけを対象とした義務です。
したがって、個人情報を取り扱う企業は、自社が有しているさまざまな個人情報のうち、「保有個人データ(③)」にあてはまる情報についてだけ、この義務を果たせばよい、ということになります。
これに対し、個人情報保護法が企業に対して課している義務のうち、「個人情報(①)」を対象とした義務もあります。
「個人情報(①)」を対象とするということは、そのサブカテゴリである「個人データ(②)」も「保有個人データ(③)」も対象としている、ということです。
このような義務については、個人情報を取り扱う企業は、自社で持っているすべての個人情報に関してこの義務を守らなければならない、ということになります。
このように、自社にある個人情報がどのサブカテゴリ(個人データ、保有個人データ)に該当するかを判断することは、自社が果たすべき義務が何かを判断するために必要なことなのです。
個人情報、個人データ、保有個人データの違い
では、「個人データ」や「保有個人データ」とはどのようなものをいうのでしょうか。
「個人情報」は、上記ですでに説明したとおり、次の3つのうちのいずれかに該当する情報のことです。
- 個人を特定できる情報
- ほかの情報と容易に照合することで個人を特定できる情報
- 個人識別符号を含む情報
この3つのいずれかに該当する情報は、すべて「個人情報」に該当します。
公開されているか非公開であるかは関係ありません。
デジタルデータであるかアナログ情報であるかも関係ありません。
したがって、「個人情報」には、さまざまな種類の情報が幅広く該当しうる、といえます。
ある情報が「個人情報(①)」に該当すると判断したら、次はその個人情報が「個人データ(②)に該当するかどうかを判断します。
「個人データ」とは、「個人情報データベース(※4)を構成する個人情報」をいいます(個人情報保護法2条6項)。
そして、この中に出てくる「個人情報データベース」(※4)とは、たとえば「個人情報を含む情報の集合物であって、特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの」をいいます(個人情報保護法2条4項1号)(※5)(※6)。
「電子計算機」とは、コンピュータ(サーバ、PC、スマホなど)のことです。法律の世界では、コンピュータのことを「電子計算機」と呼びます。
以上をわかりやすく整理すると、次のとおりです。
個人情報データベース | たくさんの個人情報を含む情報が集められていて、そのうちの特定の個人情報をコンピュータで検索できるようにしたもの(※5)(ただしこれだけではありません。※6) |
個人データ | 個人情報データベースの中のひとつひとつの個人情報 |
※4 個人情報保護法の正確な用語は「個人情報データベース等」です(個人情報保護法2条4項)。この記事では、わかりやすさを優先するため「個人情報データベース」という表記を使用しています。正確な用語は個人情報保護法の条文をご確認ください。
参考:個人情報の保護に関する法律|e-Gov法令検索
※5 個人情報保護法による「個人情報データベース等」の定義は、これよりも広く複雑です。この記事では、わかりやすさを優先して、定義の一部を抜粋・簡略化し、まずはコンピュータで検索できる形のものを例に解説します。「個人情報データベース等」の定義については、個人情報保護法の条文をご参照ください。
参考:個人情報の保護に関する法律|e-Gov法令検索
※6 この記事の後半で解説しますが、「個人情報データベース等」には、デジタルデータだけでなく紙で作られた名簿などコンピュータで検索できない形のものも含まれます。この記事の後半の「ワンポイント」も合わせてご参照ください。
具体例
個人データについて、具体例を使って説明していきます。
通販ウェブサイトを運営している会社(「X社」とします)が、そのウェブサイトで買い物をしたことのあるお客さんのリストを、購入顧客リストとして、自社のコンピュータ内にデータとして持っていたとしましょう。
顧客ID | 氏名 | 性別 | 年齢 | 郵便番号 | 住所 | 電話番号 | 購入日 | 購入商品 |
---|---|---|---|---|---|---|---|---|
… | … | … | … | … | … | … | ||
000158 | 甲野花子 | 女 | 31 | xxx-0011 | A県B市… | xxx-xx-xxxx | 2021/8/1 | 商品X |
000159 | 乙野太郎 | 男 | 29 | xxx-0002 | C県D市… | xxx-xx-xxxx | 2021/8/1 | 商品Y |
000160 | 丙山一郎 | 男 | 65 | xxx-0333 | E県F市… | xxx-xx-xxxx | 2021/8/2 | 商品Z |
000161 | 丁川里子 | 女 | 43 | xxx-0044 | G県H市… | xxx-xx-xxxx | 2021/8/3 | 商品X
商品Z |
… | … | … | … | … | … | … |
この購入顧客リストが「個人情報」に該当するか?
上記で解説しましたように、「個人情報」とは、生きている人の情報で、次の3つのうちのどれかに当てはまるもののことでした。
- ① その中に含まれる内容によって、特定の個人を識別することができる情報
- ② その中に含まれる内容と、他の情報とを「容易に照合」することができ、それによって特定の個人を識別することができることとなる情報
- ③ その情報の中に「個人識別符号」が含まれる情報
上記の購入顧客リストには、お客さんの名前、年齢、住所などが含まれています。これらをもとにすると、この購入顧客リストだけで特定の個人にたどりつくことができます。
例えば、購入顧客リストを見るだけで、A県B市に住んでいる甲野花子という名前の31歳の女性、という個人を特定することができます。
つまり、この購入顧客リストは、上記①「その中に含まれる内容によって、特定の個人を識別することができる情報」といえます。
したがって、この購入顧客リストは「個人情報」に該当する、ということになります。
この購入顧客リストが「個人データ」に該当するか?
上記の購入顧客リストが「個人情報」に該当することがわかったので、次は、これが「個人データ」に該当するかどうかを考えていきます。
すでに解説しましたように、「個人データ」とは、「個人情報データベース」を構成するひとつひとつ個人情報のことをいいます。
したがって、上記の購入顧客リストが「個人データ」かどうかは、まず先に「個人情報データベース」が存在するかどうかを考えなければなりません。
すでに解説しましたように、「個人情報データベース」とは、「たくさんの個人情報を含む情報が集められていて、そのうちの特定の個人情報をコンピュータで検索できるようにしたもの」のことでした(※5、※6)。
上記の購入顧客リストには、たくさんのお客さんの名前・住所・年齢などの情報が含まれていますから、この購入顧客リストは「たくさんの個人情報を含む情報が集められている」といえるでしょう。
さらに、この購入顧客リストは、データとして通販会社のコンピュータ内に保存されていますから、例えば「甲野」という名前の人を探すために、コンピュータの検索機能を使うことができると思われます。(Excelやスプレッドシートの検索機能を想像してみてください。)
そうすると、この購入顧客リストは、「特定の個人情報をコンピュータで検索できるようにしたもの」といえるでしょう。
このように考えていくと、この購入顧客リストは、「個人情報データベース」に該当することがわかります。
購入顧客リストが「個人情報データベース」に該当することがわかったので、次はいよいよ「個人データ」について考えていきます。
もういちど「個人データ」とは何かを確認すると、「個人データ」とは、「個人情報データベースを構成する個人情報」のことをいいます。
上記で確認したように、この購入顧客リストは「個人情報データベース」に該当します。
したがって、購入顧客リストを構成しているひとつひとつの個人情報が「個人データ」ということになります。
例えば、次のデータは「個人データ」です。
000158 | 甲野花子 | 女 | 31 | xxx-0011 | A県B市… | xxx-xx-xxxx | 2021/8/1 | 商品X |
なぜならば、このデータは、購入顧客リストの中にあるひとつの個人情報だからです。
以上のような流れによって、
-
- ある情報が「個人情報」に該当するか
- 「個人情報」に該当することがわかったら、次に、その情報が「個人データ」に該当するか
という判断をすることができます。
POINT:「個人情報データベース」や「個人データ」はデジタルなデータだけではない!
ここまでの解説では、「個人情報データベース」や「個人データ」を説明するために、コンピュータ内にデータとして保存されている購入顧客リストをひとつの例として示しました。
ただし、個人情報保護法上、「個人情報データベース」や「個人データ」に該当するのは、コンピュータで扱うことのできるデータだけではありません。
実は、紙で作ったアドレス帳や取引先名簿も「個人情報データベース」に該当します。
個人情報保護法では、「個人情報データベース」には、次の2種類があるとされています。
- ① たくさんの個人情報を含む情報が集められていて、そのうちの特定の個人情報をコンピュータで検索できるようにしたもの(個人情報保護法2条4項1号)
- ② たくさんの個人情報を含む情報が集められていて、その中の個人情報を規則的に整理して、特定の個人情報の検索が簡単になるように構成したもので、目次や索引のような検索を簡単にするためのものがついているもの。(個人情報保護法2条4項2号、個人情報保護法施行令3条2項)(※7)
これまでに解説してきたコンピュータ上の購入顧客リストのデータは、①に該当するものでした。
「個人情報データベース」には、①だけでなく②もあります。
②は、「コンピュータで検索できる」という条件がありませんから、紙ベースで作った名簿なども該当します。
例えば、ある百貨店が、個人客のお得意様リストをカードバインダー方式で作っており、取引先ごとに1枚1枚の紙のカードを作成して情報を書き込み、会社名によってあいうえお順で整理してインデックスをつけているような場合は、この紙で作られた取引先リストも「個人情報データベース」に該当することになります。
同様に、昔からある紙の電話帳も、②のパターンで「個人情報データベース」に該当するといえます。
このように、コンピュータ上のデータだけでなく、紙で作られた名簿やリストも「個人情報データベース」に該当することにご注意ください。
このように考えると、どのような企業であっても、ほとんど①か②のどちらかのパターンで「個人情報データベース」を持っており、それを業務で活用している、といえそうです。
※7 この記事では、わかりやすさを優先して、条文の表現を少し変えてあります。正確な条文表記は、個人情報保護法および個人情報保護法施行令の該当条文をご覧ください。
参考:個人情報の保護に関する法律|e-Gov法令検索
さて、上記のように社内の情報が「個人情報」そして「個人データ」に該当することが確認できたら、次はその情報が「保有個人データ」に該当するかどうかを判断します。
「保有個人データ(③)」とは、「個人データ(②)」に該当するもののうち、ある企業が、その個人データを開示したり、内容を変更したり、消去したりできる権限を持つものをいいます(個人情報保護法2条7項)(※8)。
※8 より正確には、個人情報保護法では、保有個人データとは、「個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データ」と定義されています。
また、一定の例外もあります(個人情報保護法2条7項)。
この記事では、わかりやすさを優先してこの定義を少し簡略化した表現を用いています。正確な定義は個人情報保護法の条文をご参照ください。
少し複雑なので、先ほどの通信販売会社X社の例を使って解説していきます。
下記の図2をご覧ください。
先ほどの例と同じように、通信販売ウェブサイトを運営しているX社という会社があるとしましょう。
X社は、通信販売ウェブサイトで買い物をしたお客さんのリスト(購入顧客リスト)を作っており、このリストを自社のコンピュータ内にデータとして持っていたとしましょう。
上記で説明したとおり、この購入顧客リストは、「個人情報」です。
さらに、この購入顧客リストは「個人情報データベース」に該当しますから、この購入顧客リストに含まれているひとつひとつのお客さんの情報は「個人データ」に該当します。
X社は、お客さんから注文を受けた商品をお客さんの自宅にお届けするため、配達会社Y社に商品の配達を委託しています。
Y社は、商品をお客様に配達するため、X社が管理している個人情報データベースから、配達先のお客さんの個人データ(配達先のお客さんの名前、住所、電話番号、購入した商品などの情報が入っています)をダウンロードします。
Y社は、配達先のお客さんの個人データを参照して、商品を届けます。
【図2】
このようなケースで、購入顧客リストのひとつひとつのデータ(「個人データ」)を開示したり、変更したり、消去したりできるのは誰でしょうか。
まず、通販会社のX社から検討してみましょう。
X社は、購入顧客リストを自社のコンピュータ内に保有しています。
したがって、X社は、そのコンピュータ上で操作をすることによって、購入顧客リストに含まれている個人データを変更したり、追加したり、削除したりするなどのコントロールをすることができます。
これに対して、配達業者Y社はどうでしょうか。
Y社は、購入顧客リストを自ら保有しているわけではありません。
配達業務に必要な範囲で、X社が管理している購入顧客リストから配達先のお客さんの個人データをダウンロードしているだけです。
したがって、Y社は、X社のコンピュータ内で管理されている購入顧客リストを自由にいじることはできませんし、ダウンロードした個人データも発送業務に必要な範囲を超えて使用することも許されていません。
つまり、Y社は、購入顧客リストに含まれている個人データを変更したり、追加したり、削除したりするなどのコントロールはできないといえます。
このように、X社の立場とY社の立場では、購入顧客リストに含まれている個人データに対して、及ぼすことのできる力(すなわち、個人データに対する権限)が異なっています。
これを前提に、購入顧客リストに含まれている個人データが「保有個人データ」に該当するかどうか、検討してみましょう。
すでに解説したように、「保有個人データ」とは、「「個人データ(②)」に該当するもののうち、ある企業が、その個人データを開示したり、内容を変更したり、消去したりできる権限を持つもの」のことでした。
このケースでは、通販会社X社は、購入顧客リストに含まれている個人データについて、この個人データを自ら「(第三者に)開示したり、変更したり、消去したりする権限」を持っているといえそうです。
したがって、X社の立場からは、購入顧客リストに含まれている個人データは「保有個人データ」に該当します。
これに対し、Y社は、購入顧客リストに含まれている個人データについて、「(第三者に)開示したり、変更したり、消去したりする権限」を持っていないといえます。
したがって、Y社の立場からは、購入顧客リストに含まれている個人データは「保有個人データ」には該当しません。
以上のように、ある情報が「保有個人データ」に該当するかどうかの判断は、立場によって異なります。
同じ「個人データ」であっても、ある企業から見れば「保有個人データ」であると同時に、他の企業から見れば「保有個人データ」ではない、ということがあるので注意が必要です。
個人情報保護法が適用される企業
個人情報保護法の義務はどのような企業に課されているかー「個人情報取扱事業者」とは何だ?
次に、情報を取り扱う「企業」の側に着目しましょう。
冒頭で解説しましたように、個人情報保護法は、目的を達成するため、「民間企業にさまざまな義務を課す」という形をとっています。
ただし、個人情報保護法は、日本中のすべての企業に一律に義務を課しているわけではありません。
じつは、個人情報保護法が義務を課しているのは、「個人情報取扱事業者」に該当する企業だけなのです。
したがって、自社に個人情報保護法の義務が課されているかどうかを知るためには、まず、自社が「個人情報取扱事業者」に該当するかどうかを検討する必要があります。
「個人情報取扱事業者」とはーあなたの会社も該当する?
「個人情報取扱事業者」とは、「個人情報データベース等を事業の用に供している者」をいいます(個人情報保護法2条5項)。
つまり、上記で解説した「個人情報データベース」を自分の事業のために使っている企業は、すべて「個人情報取扱事業者」に該当します。
個人情報取扱事業者の具体例
上記の例で出てきたウェブ通販会社であるX会社は、お客さんの個人情報が含まれている購入顧客リスト(これが「個人情報データベース」に該当します)を、自分の業務のために使っています。
したがって、X会社は「個人情報取扱事業者」に該当します。
また別の具体例として、ある会社Aは、BtoBのビジネスだけを行っており、個人のお客さんの取引リストは持っていません。
しかし、会社Aは、自社の従業員のリストを作っており、人事・労務の業務にこの従業員リストを使っています。
この場合は、従業員リストが「個人情報データベース」に該当する可能性が高いですから、会社Aは、「個人情報データベース」を自社の業務に使っているといえます。
したがって、このような会社Aも「個人情報取扱事業者」に該当します。
このように考えると、実は、ほとんどの企業が何らかの形で「個人情報データベース」を自社の業務に使っているものと思われます。
したがって、事実上、ほとんどの企業が「個人情報取扱事業者」に該当する可能性が高いといえるでしょう。
「個人情報取扱事業者」に該当する企業は、個人情報保護法が定める義務の対象となりますから、自社が「個人情報取扱事業者」に該当するかどうかの判断はとても重要です。
もし、自社が「個人情報取扱事業者」に該当するかどうかの判断に迷うときは、個人情報保護法に詳しい弁護士にアドバイスを求めることをお勧めします。
POINT:法人か個人かは関係ない!ー個人事業主でも個人情報保護法の義務が課される
「個人情報取扱事業者」に該当するかどうかを考えるにあっては、法人であるか個人事業主であるかは関係ありません。
したがって、あなたが個人事業主であっても、自分の仕事で「個人情報データベース」に該当するものを使っているならば、あなたも「個人情報取扱事業者」に該当します。
そして、個人事業主であっても、「個人情報取扱事業者」に該当する場合は、個人情報保護法の定める義務の対象になりますから、これらの義務に違反しないよう行動する必要があります。
個人情報保護法上の義務の考え方
ここからは、個人情報保護法が民間企業に対してどのような義務を課しているかについて解説していきます。
上記で説明しましたように、まず、個人情報保護法の義務は、「個人情報取扱事業者」に該当する法人・個人に対してだけ課されます。
「個人情報取扱事業者」に該当しない法人・個人には、個人情報保護法の義務は課されません。
- 「個人情報」を対象とする義務
- 「個人データ」を対象とする義務
- 「保有個人データ」を対象とする義務
次に、個人情報保護法の義務は、次の3種類があります。
そのため、今まさに問題となっている情報が「個人情報」、「個人データ」、「保有個人データ」のどれに該当するかを判断する必要があります。
以上をチャートにまとめると、次の図3のようになります。
【図3】
個人情報保護法の義務を考えるにあたっては、「個人情報」、「個人データ」、「保有個人データ」の包含関係に注意が必要です。
「個人情報」、「個人データ」、「保有個人データ」の包含関係については、図1を再掲しますのでご確認ください。
【図1】
例えば、「保有個人データ」は、「個人情報」のサブカテゴリである「個人データ」の、さらにサブカテゴリです。
したがって、例えば、今問題となっている情報が「保有個人データ」(図1の緑の部分)に該当する場合は、その情報は、同時に、「個人データ」にも該当するし、「個人情報」にも該当します。
したがって、情報が「保有個人データ」に該当する場合には、企業(個人情報取扱事業者)には、「個人情報」を対象とする義務、「個人データ」を対象とする義務、「保有個人データ」を対象とする義務のすべてが課されることになります。
個人情報保護法上の義務の内容
では、「個人情報」を対象とする義務、「個人データ」を対象とする義務、「保有個人データ」を対象とする義務を具体的に確認していきましょう。
なお、個人情報保護法が定める義務はとても細かいため、この記事でそのすべてを解説することはできません。
ここで行う義務の説明はあくまでイメージをつかみやすいようにややシンプルな記載を心がけたもので、個人情報保護法が実際に定める義務とは細かいところが異なることがあります。
より詳細な義務の内容については、個人情報保護法に詳しい弁護士にお問い合わせ下さい。
それぞれの義務についての注意点はこちらにまとめています。ぜひ参考にしてください。
民間企業(個人情報取扱事業者)の義務 (個人情報保護法の条文) |
義務の概要(※9) |
---|---|
個人情報の利用目的の特定(15条) | ・個人情報を取り扱うに当たっては、その利用目的をできる限り特定しなければならない。 ・利用目的を変更する場合は、変更後の利用目的が、変更前の利用目的と関連性を有する範囲内でなければならない。 |
利用目的による個人情報の取扱いの制限(16条) | ・個人情報は、上記15条で特定した利用目的の達成に必要な範囲内で取り扱わなければならない。この範囲を超えて個人情報を取り扱う場合は、本人の事前同意をとらなければならない。 |
個人情報の適正な取得(17条) | ・個人情報を取得するにあたっては、偽りの手段や不正の手段によって個人情報を取得してはならない。 |
個人情報の取得にあたっての利用目的の通知(18条) | ・個人情報を取得したときは、速やかに、その利用目的を、本人に通知するか、または公表しなければならない。 ・事前に利用目的をウェブサイトなどで公表しているときは、上記の通知・公表を改めて行う必要はない。 ・ただし、上記2つの例外として、本人と契約を締結するために契約書などの書面やウェブフォームなどのデータに記載された個人情報を取得するなどの場合は、必ず、本人に対して事前に利用目的を明示しなければならない。 |
民間企業(個人情報取扱事業者)の義務 (個人情報保護法の条文) |
義務の概要(※9) |
---|---|
個人データの内容の正確性の確保・必要なくなった場合の削除(19条) | ・個人データを、正確かつ最新の内容に保たなければならない。 ・個人データを利用する必要がなくなったときは、その個人データを遅滞なく消去する努力義務がある。 |
個人データの安全管理措置(20条) | ・個人データの漏えい、滅失(データが消えてしまうこと)、毀損(データが壊れてしまうこと)を防止するなど、個人データの安全管理のために必要な、適切な措置をとらなければならない。 |
個人データの取扱いをさせる従業員・委託先の監督(21条・22条) | ・自社の従業員に個人データを取り扱わせるとき、あるいは外部の委託先に個人データの取扱いを委託するときは、個人データの安全管理のため、従業員や委託先に対する必要かつ適切な監督を行わなければならない。 |
外国にある第三者への提供の制限(24条) | ・個人データを外国にある第三者に提供するときは、事前に、本人から、「個人データを外国にある第三者へ提供する」ということについて同意を得なければならない。 |
確認・記録義務(25条・26条) | ・個人データを第三者に提供したときは、一定の事項を記録しておかなければならない。 ・個人データの提供を第三者から受けたときは、一定の事項を確認しなければならない。 |
民間企業(個人情報取扱事業者)の義務 (個人情報保護法の条文) |
義務の概要(※9) |
---|---|
保有個人データに関する事項の公表(27条) | ・保有個人データについて、一定の事項(個人情報取扱事業者の名前・利用目的など)を公表しなければならない。 |
保有個人データの開示(28条) | ・保有個人データの本人は、保有個人データを持っている企業に対して、自分の個人データの開示を求めることができる。企業は、これに応じて保有開示データを開示しなければならない。 |
保有個人データの訂正・追加・削除(29条) | ・保有個人データの本人は、保有個人データを持っている企業に対して、自分の個人データが事実ではないときはその訂正・追加・削除を求めることができる。企業は、これに応じて保有開示データを訂正・追加・削除を示しなければならない。 |
保有個人データの利用停止や削除(30条) | ・保有個人データの本人は、 ①自分の個人データが利用目的の範囲外で取り扱われているとき(企業が16条違反をしたとき)、または ②企業が偽りや不正の手段でその個人データを取得したとき(企業が17条違反をしたとき)は、 保有個人データを持っている企業に対して、その個人データの利用停止や消去を求めることができる。企業は、違反を是正するために必要な範囲で、これに応じなければならない。 |
理由の説明(31条) | (たいへん細かい内容ですので、この記事では省略いたします。) |
開示等の求めに応じる手続(32条) | |
手数料(33条) |
※9 ここに記載している義務の内容は、個人情報保護法の定める義務の内容を抜粋・簡略化したものです。正確な義務の内容については、個人情報保護法の条文をご覧ください。ご不明のことがありましたら、個人情報保護法に詳しい弁護士にぜひご相談ください。
参考:個人情報の保護に関する法律|e-Gov法令検索
以上が、個人情報保護法によって民間企業(「個人情報取扱事業者」)に課されている義務です。
「個人情報取扱事業者」に該当する法人・個人事業主は、これらの義務を守る必要があります。
なお、民間企業がこれらの義務をどのように守っていけばよいかについては、個人情報保護委員会(個人情報保護法を担当している政府機関)からガイドラインが出ています。
個人情報保護法に関するガイドライン等がまとめられている個人情報保護委員会のウェブページはこちら。
ガイドラインがあるとはいえ、個人情報保護法が定める義務はとても複雑です。自社がこれらの義務に違反しないようにするための対策を立てるのは、場合によっては専門的な判断が必要になることもあります。
不安なことがありましたら、個人情報保護法に詳しい弁護士にぜひご相談ください。
個人情報保護法の改正
これまで解説してきましたように、個人情報保護法は、デジタルな情報化社会を背景として作られた法律です。
したがって、デジタル技術や社会情勢の急激な変化に対応して、個人情報保護法も時代に合わせた適切な内容へとアップデートしていかなければなりません。
そのため、個人情報保護法は、3年ごとに見直しが検討され、必要に応じて改正されることになっています。
個人情報保護法の最近の改正は、2021年(令和3年)5月(施行は2023年4月)です。
この改正は、これまで国の行政機関、民間企業及び地方公共団体等において、これまで別々に運用されてきた個人情報の取扱いを、個人情報保護委員会に所管させるというものです。
民間企業に特に影響が大きい改正は、2020年(令和2年)6月に成立した法律と考えられます(2022年4月施行)。
この改正法のくわしい内容については、こちらのページで解説しています。
個人情報保護法に違反したときの罰則
個人情報保護法には、違反した者に対するペナルティが定められています。このペナルティの中には、刑事罰も含まれています。
刑事罰とは、犯罪に対して課される罰のことです。
つまり、個人情報保護法に違反すると、犯罪行為になってしまう可能性もあるのです。
犯罪行為になってしまうと企業にとってデメリットが大きいですから、個人情報保護法に違反しないよう十分な注意が必要です。
民間企業に対して適用される可能性のある罰則のうち、主なものは次のとおりです。
会社や個人が個人情報保護法の義務に違反するなどした場合は、まず、個人情報保護委員会から違反を是正するよう勧告を受けます(個人情報保護法42条1項)。
この勧告が出ても違反を是正しなかったときは、さらに、個人情報保護委員会から「命令」が出されます(個人情報保護法42条2項)。
また、会社や個人による個人情報保護法違反が重大なものであるときは、勧告というワンクッションを置かずに、いきなり「命令」が出ることもあります(個人情報保護法42条3項)。
そして、「命令」を受けた会社や個人がこの命令に違反したときは、犯罪行為として、1年以上の懲役または100万円以下の罰金という刑に処せられる可能性があります。
自社の業務で使っている個人情報データベース(そのうちの一部をコピーしたものなども含まれます。)を、自分の利益のために、または誰かの利益を図ってあげるために、他人に提供してしまったり、盗用したりしたときは、犯罪行為として、1年以下の懲役または50万円以下の罰金に処せられる可能性があります。
このように、個人情報保護法には、厳しい罰則が設けられています。日ごろから、個人情報の取扱いには高い意識をもって取り組んでおきましょう。
そのほか、個人情報保護法に違反した場合のデメリットをこちらにまとめています。ぜひ参考にしてください。
医療・介護事業者の個人情報保護に関するガイドライン
これまで解説してきたような個人情報保護法のルールは、産業分野を問わず、どんな業種にも適用されます。
ただ、社会には様々な業種があり、それぞれの業種ごとに特別な事情や異なる商習慣があります。
そのため、さまざまな政府機関が、特定の業種ごとに、その業種で個人情報保護法のルールをしっかり守っていくためのガイドラインを出しています。
例えば、個人情報保護委員会と厚生労働省は、共同で、医療・介護関係の事業者のために、医療・介護業界の特殊事情を踏まえて個人情報保護法をしっかり遵守していくための特別なガイダンスを出しています。
医療・介護業界に所属する会社や個人事業主のみなさまは、こちらのガイドラインもぜひご参照ください。
また、そのほかの分野に向けても各種ガイドラインがあります。こちらのウェブサイトをご参照ください。
まとめ
以上、個人情報保護法について解説しました。これまでのポイントをまとめます。
- 個人情報保護法の目的は、個人情報を保護しつつ、個人情報の利活用とバランスをとること
- 個人情報保護法は、民間企業に義務を課すことで目的に近づこうとするタイプの法律
- 自社に個人情報保護法の義務が課されるかどうかのポイントは、自社が「個人情報取扱事業者」に該当するかどうか
- 「個人情報取扱事業者」とは、「個人情報データベース」を業務で利用している法人や個人のこと→ほとんどの事業者が該当する可能性あり!
- 「個人情報」には3つのパターン、どれか1つにあてはまるとその情報は「個人情報」
- ① 単体で個人を識別できる情報
- ② 単体では個人を識別できないけれど、他の情報と容易に組み合わせて個人を識別できるようになる情報
- ③ 個人識別符号(例:指紋データやマイナンバー)を含んでいる情報
- 「個人情報」にはサブカテゴリがある!「個人データ」と「保有個人データ」
- 個人情報保護法の義務は、「個人情報」「個人データ」「保有個人データ」それぞれを対象としたものがある!→自社に課される義務を知るためには、手持ちの情報がどれに該当するかの判断が必要!
- 義務に違反すると罰則の可能性も!
- 個人情報保護法は3年ごとに改正!
この記事が個人情報の取扱いに悩む事業者様のお役に立ちますと幸いです。