個人情報保護法について

著者：【弁護士】吉川法生

※こちらの情報は2023年7月時点のものです

個人情報保護法は、平成15年に可決成立し、同17年に全面施行されました。

その後、情報通信技術の進展やグローバル化に伴い、制定当時には想定されなかった公人情報の活用も増え、国境を越えて多くのデータの流通が行われるようになりました。また、世の中の個人情報に対する意識の高まりに対応するため、これまで3度の大きな改正がなされてきました。

平成27年には、

個人情報の定義の明確化
適切な規律の下で個人情報等の有用性を確保
個人情報の保護を強化（名簿屋対策など）
個人情報保護委員会の新設
個人情報の越境移転規制の導入

などが改正されました。

令和2年には、

保有個人データの利用停止・消去等の請求権の拡充
漏えい等が発生した場合の個人情報保護委員会への報告及び本人通知の義務化
不適正な方法により個人情報を利用してはならない旨の明確化

令和3年には、

これまで別々に定められていた民間事業者、国の行政機関、独立行政法人等、地方公共団体の機関及び地方独立行政法人のルールを集約・一本化するため、行政機関個人情報保護法、独立行政法人等個人情報保護法が個人情報保護法に統合されるとともに、地方公共団体の個人情報保護制度についてもこれに統合され、個人情報保護に関する全国的な共通ルールが定められました。

以上の改正を経た現在の個人情報保護法は、次のような内容になっています。

まず、個人情報とは、「生存する」「個人に関する情報」であることが前提となります。故人や架空の人物は「生存する」にあたらず、法人情報や統計情報は「個人に関する情報」にあたりません。
そして、特定の個人を識別することができるものや、マイナンバーやパスポート番号などの個人識別符号が含まれていれば個人情報となります。氏名、住所、生年月日、顔写真などがその典型ですが、特定の個人に紐付けられた情報も総体として個人情報となります。
さらに、特定の個人を識別できるという要件には、「他の情報と容易に参照することができ、それにより特定の個人を識別することができる」ものも含まれます。

次に、これら個人情報を扱うときの基本ルールは、

取得・利用においては、取得する個人情報の利用目的を特定してその範囲内で利用すること、及び本人に対する通知又は公表や明示が求められます。
保管・管理においては、漏えい等が生じないように安全に管理すること、及び従業者・委託先にも安全管理を徹底することが必要となります。
提供においては、第三者に提供する場合は、事前に本人から同意を得ること、及び第三者に提供した場合、第三者から提供を受けた場合は、一定事項を記録することが求められます。
開示請求等への対応においては、本人から開示等の請求があった場合はこれに対応すること、及び苦情に対し適切・迅速に対応することが必要となります。

最後に、次のような漏えい等の事案が発生した場合、又は発生したおそれがある場合は、個人の権利や利益を侵害するおそれが大きいため、個人情報取扱事業者は、速やかに個人情報保護委員会に報告し、本人へ通知しなければならないとされています。