個人情報保護法
言葉の定義
- 行政機関
個人情報保護法における「行政機関」とは、法律の規定に基づき内閣に置かれる機関(内閣府を除く。)及び内閣の所轄の下に置かれる機関、内閣府、宮内庁並びに内閣府設置法に規定する機関、国家行政組織法に規定する機関や会計監査院など。
※地方公共団体の機関は含まない。 - 個人情報
生存する個人に関する情報であって、以下のいずれか。- 当該情報に含まれる氏名、生年月日その他の記述等… により特定の個人を識別することができるもの。
(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。) - 個人識別符号が含まれるもの。
- 具体例や該当するもの
- 法人の有する顧客情報はもとより従業員の情報や病院のカルテ等。
- 対象は、年齢は何歳(0歳)であろうと該当。外国人も該当。
- 当該情報に含まれる氏名、生年月日その他の記述等… により特定の個人を識別することができるもの。
- 要配慮個人情報
本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実、その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報。 - 仮名加工情報(復元可能/照合すれば個人を識別できる)
個人情報の区分に応じて当該各号に定める措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報。 - 匿名加工情報(復元不可/個人を識別できない)
措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、 当該個人情報を復元することができないようにした。 - 個人関連情報
生存する個人に関する情報であって、 個人情報、仮名加工情報および 匿名加工情報のいずれにも該当しないものをいう。- 例)IPアドレス、契約者・端末固有IDなどの識別子情報、位置情報、閲覧履歴、購買履歴などの個人に関わる情報で特定の個人が識別できないもの。
- 個人情報データベース等
個人情報を含む情報の集合体。PC上のファイルや、物理的な紙ファイルなども容易に検索できるようになっていると該当する。 - 個人情報取扱事業所
個人情報データベース等を事業の用に供している者のこと。営利団体、非営利団体を問わない。 - 個人データ
個人情報のうち、個人で情報データベースを構成する個人情報。 - 保有個人データ
個人情報取扱事業者が、開示、内容の訂正・追加・削除、利用の停止・消去及び第三者への提供を行う権限を有する個人データ。 - 認定個人情報保護団体
- 目的
個人情報保護法は、事業分野や営利性の有無等を問わずに、個人情報を取り扱う全ての民間事業者に適用される法律であるため、汎用的な規律のみを規定している。
そのため、取り扱う個人情報の性質、利用方法、取扱いの実態等の業界や事業分野の特性に応じた個人情報の適切な取扱いが確保されるためには、民間において自主的な取組が行われることが望ましいことから、政府として、そのような取組を支援する制度が作られた。 - 定義
業界・事業分野ごとの民間による個人情報の保護の推進を図るために、自主的な取組を行うことを目的として、個人情報保護委員会の認定を受けた法人(法人でない団体で代表者又は管理人の定めのあるものを含む。)のことです 。
認定個人情報保護団体は、法第47条第1項各号で規定される業務(対象事業者※の個人情報等の取扱いに関する苦情の処理など)を行うほか、業界の特性に応じた自主的なルールである「個人情報保護指針」を作成し、その個人情報保護指針に基づいて対象事業者を指導していくことが求められる。
※認定業務の対象となる個人情報取扱事業者等
- 目的
2020年改正(施行日│2022年4月1日)
- 個人データの開示方法
保有個人時データの開示法について、電子的記録の提供を含め、本人が指示できるようにした。(旧法は原則書面)
ただし、本人の指示した開示に多額の費用を要するなど、本人が指定した方法による開示が困難であるような場合は、本人の請求した方法にかかわらず、書面の交付による方法での開示もOK- 電磁的記録の提供による方法
- 書面の交付による方法
- その他個人情報取扱事業者が定めた方法
- 特定個人情報保護団体の制度
対象事業者すべての分野(部門)を認定の対象とする従来の制度に加えて、企業の特定分野を対象として認定できるようにした。 - 罰則強化
個人情報保護委員会からの命令への違反、 個人情報保護委員会への虚偽報告等の法定刑を引き上げるとともに、命令違反等の罰金について、法人に対しては行為者に対するよりも罰金刑の最高額を引き上げた。 - 本人が保有個人データの利用停止・消去、第三者への提供停止を請求できる場合の追加
※目的外使用、同意なき使用があった場合等は従来(旧法)から請求ができ、以下が追加となった。
利用停止等の措置を行うことが困難な場合であって、かつ、本人の権利利益を保護するため必要な代替措置が取られている場合には、利用停止等の措置を行う必要がない- 個人情報取扱事業者が、保有個人データを利用する必要がなくなったとき
- 保有個人データの漏えい等が生じたとき
- その他、保有個人データの取扱いにより、本人の権利又は正当な利益が害されるおそれがあるとき
- 事業者が作成した第三者提供記録の開示請求ができるようになった。
- 個人情報の漏えい等の発生時に、個人情報保護委員会への報告と本人への通知するが義務化された。
取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、一定の場合を除き、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。個人情報取扱事業者は、一定の場合を除き、本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知しなければならない。 - 学術分野の適用除外規定
学術研究分野を含めた欧州データ保護規則(GDPR) の十分性認定への対応を目指し、 学術研究に係る適用除外規定について、一律の適用除外ではなく、 義務ごとの例外規定として精緻化した。- 欧州データ保護規則(GDPR) の十分性認定
欧州委員会が、特定の国や地域が個人データについて十分な保護水準を確保していると決定することを言う。
日本も“十分性認定”を受けることになり、EU域内の法制度に基づいた、企業間の契約条項等で適切な保護措置を確保することなどの他の条件を満たさなくても、日本国内法と「補完的ルール」を遵守すれば、EU域内の事業者から個人データの移転を受けることが可能となる。
- 欧州データ保護規則(GDPR) の十分性認定
- 関連法律の統合
個人情報保護法、行政機関個人情報保護法、独立行政法人等個人情報保護法の3本の法律を個人情報保護法に統合。 - 短期保存データについて
6ヶ月以内に消去する短期保存データについても「固有個人データ」に含まれるようになった。 - 「仮名加工情報」制度が新設された。「仮名加工情報」は通常の個人情報に比して、義務が緩和された。
漏えい等の報告義務(同法26条)や、開示請求(同法33条)、利用停止等請求(同法35条)などの適用対象外となります(同法41条9項)(逆に言えば、今まで仮名加工情報にまで適用されていたんかいな。) - リクナビ問題対応
提供元で個人データとして取り扱っていなくても、提供先で個人データとして取得されることが想定される個人データを第三者提供する場合、提供元は提供先に、本人の同意が得られているか等の確認を行わなければならない。 - オプトアウトができない条件の追加
本来は、要配慮個人情報のみだった。
不正の手段により取得された個人データも、オプトアウト提供することができなくなった。 - 日本国内にある者の個人情報を取り扱う外国の事業者も、報告徴収・立入検査などの対象となった。
- 不適正な利用の禁止に関する規定追加。(って言うか、改正前は規定がなかったんかいな!)
違法・不当な行為を助長・誘発するおそれがある方法により個人情報を利用してはならない。
個人情報保護委員会
- 目的
個人情報の有用性に配慮しつつ個人の権利利益を保護するため、個人情報の適正な取り扱いの確保を図ることを任務とする委員会。 - 設置
内閣府の外局。内閣総理大臣の所轄に属する。 - 権限
- 個人情報取扱事業者等に対して、報告の徴収・資料の提出要求・立入検査ができる。
- 必要な指導・助言ができる。
- 是正の勧告ができ、正当な理由なく勧告に係る措置をとらなかった場合は、命ずることができる。
- 特定個人情報保護団体の認定、取り消しができる。
- 委員の義務
- 積極的政治活動の禁止
- 委員長と常勤の委員は兼業禁止。(内閣総理大臣が許可することもできる)
- 秘密保持義務
第三者提供の除外
個人情報取扱事業者は、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。(第27条1項)
- 適用除外
- 法令に基づく場合人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
- 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
- 学術研究機関であり、当該個人データの提供が学術研究の成果の公表又は教授のためやむを得ないとき
- 学術研究機関等が提供する場合あるいは提供を受ける場合であって、学術研究目的で提供する必要があるとき。
- 「第三者」に当たらない場合
- 委託先への提供
- 事業承継に伴う提供
- 共同利用
判例
- 相続財産について情報が被相続人に関するものとしてその生前に「個人に関する情報」にあたるものであったとしても、そのことから直ちに、当該情報が当該相続財産を取得した相続人に関するものとして「個人情報」にあたると言うことはできな。
→相続人(A)が銀行(B)に被相続人(C)の「印鑑届書の写しの交付」を求めた裁判。棄却。
裁判所曰く「個人情報の目的ともちょっとちゃうし、印鑑届けはCとBの取引関係であって、お前さん(A)が相続したのは口座にある金じゃん?。その印鑑を使ってAがBと取引するわけちゃうやろ?。」って感じ。
その他
- 目的(第1条)
この法律は、デジタル社会の進展に伴い個人情報の利用が著しく拡大していることに鑑み、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにし、個人情報を取り扱う事業者及び行政機関等についてこれらの特性に応じて遵守すべき義務等を定めるとともに、個人情報保護委員会を設置することにより、行政機関等の事務及び事業の適正かつ円滑な運営を図り、並びに個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。
- 基本理念(第3条)
個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであることに鑑み、その適正な取扱いが図られなければならない。- 「プライバシーの権利」と言う文言は目的規定に掲げられていない。
- 個人情報取扱事業者と消費者の情報格差の是正や消費者の経済的利益の保護は明文では定めていない。
- データの処置
- 提供の停止要請
保有個人データの第三者への提供の停止の要求を受けた場合であって、その請求に理由があることが判明したときは、遅滞なく、当該保有個人データの第三者提供を停止しなければならない。
ただし、当該保有データの第三者への提供の停止に多額の費用を要する場合その他の第三者への提供を停止することが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべきとるときは、この限りでない。 - データの消去
個人情報取扱事業者は、利用する必要がなくなったときは遅滞なくデータを消去するように努めなくてはならない。
(本人が、個人情報取扱事業者が利用する必要がなくなったことを理由として消去を請求することはできない。)
- 提供の停止要請
- データの利用目的変更
本人に通知し、または公表しなければならない。- 適用除外
政治、宗教、表現の自由関係(報道機関、著述) - 行政機関等への開示決定等、訂正決定等、利用停止等、開示請求、改訂請求、利用訂正請求に係る不作為について「審査請求」があったときは、行政機関の長は「情報公開・個人情報保護審査会」に諮問しなければならない。(※諮問先は個人情報保護委員会ではない。)
- 適用除外
- 「個人情報ファイル」と「個人情報データベース等」の違い
- 個人情報ファイル
保有個人情報を含む情報の集合物であって、次に掲げるものをいう(個人情報保護法60条2項)。
一定の事務の目的を達成するために特定の保有個人情報を電子計算機を用いて検索することができるように体系的に構成したもの。そのほか、一定の事務の目的を達成するために氏名、生年月日、その他の記述等により特定の保有個人情報を容易に検索することができるように体系的に構成したもの- 集合物を構成する情報が保有個人情報に限定されている。
- 「一定の事務の目的を達成するために」検索することができるように体系的に構成したものでなければならない。
- 個人情報データベース
個人情報を含む情報の集合物であって、次に掲げるもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。)をいう(個人情報保護法16条1項)。
特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの。そのほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの- 集合物を構成する情報が個人情報。
- 検索することができるように体系的に構成したものであり、「一定の事務の目的を達成するために」の条件がない。
- 個人情報ファイル
