個人情報保護法(個情法)とは?
基本を分かりやすく解説!

この記事を書いた人
アバター画像
弁護士法人NEX弁護士
2015年弁護士登録(第二東京弁護士会所属)。経済産業省知的財産政策室や同省新規事業創造推進室での勤務経験を活かし、知的財産関連法務、データ・AI関連法務、スタートアップ・新規事業支援等に従事している。
この記事のまとめ

個人情報保護法は、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする法律です。

主に、個人情報等を取り扱う場合のルールについて規定しています。

この記事では、個人情報保護法の知識がない方にも基本から分かりやすく解説します。

※この記事では、法令名を次のように記載しています。

  • 個人情報保護法・個情法…個人情報の保護に関する法律
  • 施行令…個人情報の保護に関する法律施行令
  • 規則…個人情報の保護に関する法律施行規則

(※この記事は、2022年10月11日に執筆され、同時点の法令等に基づいています。)

目次

個人情報保護法とは

個人情報保護法とは、個人情報等を取り扱う場合のルールについて定める法律です。

情報化の急速な進展により、個人情報を活用するニーズが増加する一方で、個人の権利利益が侵害される危険も高まっています。

個人情報保護法は、個人情報の適切な利用を促しつつも、個人の権利利益もしっかり保護することで、バランスをとり、「個人情報」や「個人データ」といった保護の対象となる情報の定義や、各情報を利用する際のルールを規定しています。

個人情報保護法上のルールを守らない場合には、指導や勧告、罰金等につながる可能性があります。

個人情報保護法の目的

個人情報保護法の目的は、「個人情報の有用性に配慮しつつ、個人の権利利益を保護すること」です(個情法1条)。

この目的の達成のために、個人情報保護法では、

✅ 基本理念や政府による基本方針
✅ 国等の責務
✅ 事業者・行政機関の順守すべき義務
✅ 個人情報保護委員会の監督権限

等について規定しています。

個人情報保護法でおさえておきたい基本の用語

まずは、個人情報保護法について理解するにあたり基本となる用語の定義について説明します。

個人情報とは

「個人情報」とは、生存する個人に関する情報であって、次の①か②のいずれかに該当するものをいいます(個情法2条1項)。

定義具体例
特定の個人を識別することができるもの(他の情報と容易に照合できることで、特定の個人を識別することができるものを含む)(1号)氏名、顔写真、生年月日(氏名と組み合わせた場合)
個人識別符号(=その情報単体から個人を特定できる符号)が含まれるもの(2号)DNA、虹彩、旅券番号

個人情報取扱事業者とは

「個人情報取扱事業者」とは、個人情報データベース等を事業に使用している者をいいます(個情法16条2項)。ここで、「個人情報データベース等」とは、個人情報を含む情報の集合物で、特定の個人情報を検索できるように体系的に構成したものをいい(個情法16条1項)、例えば、電子メールソフトに保管されているメールアドレス帳等が該当します。

個人データとは

「個人データ」とは、個人情報データベース等を構成する個人情報をいいます(個情法16条3項)。

「個人情報」と「個人データ」の違いは、初学者の方がよく疑問に思うポイントかと思います。個人データは、個人情報のうち、個人情報データベース等を構成するもののみを指しています。

例えば、名刺記載の情報は、「個人情報」ですが、名刺管理ツールなどを使って検索できるように体系立てて整理していれば、「個人データ」にも該当します。

一方、もらった名刺をデスクの引き出しにばらばらと入れているだけの場合、名刺記載の情報は、「個人情報」には該当しますが、「個人データ」には該当しません。

保有個人データとは

「保有個人データ」とは、個人情報取扱事業者が、

✅ 開示
✅ 内容の訂正
✅ 追加・削除
✅ 利用の停止
✅ 消去
✅ 第三者への提供の停止

を行う権限を有する個人データをいいます(個情法16条4項)。

個人情報・個人データ・保有個人データの関係を図に表すと以下のとおりです。

【個人情報・個人データ・保有個人データの関係】

個人情報保護法は、個人情報・個人データ・保有個人データというように、情報の性質ごとにルールを設定しています。

上の図のとおり、個人データ・保有個人データは、個人情報に含まれますので、個人情報に関するルールは、個人データ・保有個人データにも適用されます。一方、個人データに関するルールは、保有個人データには適用されますが、個人情報には適用されません。

要配慮個人情報とは

「要配慮個人情報」とは、個人情報のうち、特に取扱いに気を付けるべき個人情報をいいます(個情法2条3項、施行令2条)。

具体的には、以下のような情報が、要配慮個人情報に該当します。

✅ 人種
✅ 信条
✅ 病歴
✅ 犯罪の経歴
✅ 心身の障害に関する情報
✅ 健康診断などの結果
など

より詳細に知りたい方は、以下の記事を参照ください。

仮名加工情報とは

「仮名加工情報」とは、一定の措置を講じて個人情報を加工し、他の情報と照合しない限り特定の個人を識別できないようにした情報をいいます(個情法2条5項)。

仮名加工情報は、2020年の個人情報保護法改正で導入された、新しいタイプの情報です。昨今、AIなどの技術が発展し、ビジネスに情報(データ)を活用するニーズが飛躍的に高まっています。

仮名加工情報は、このような時代背景にあわせ、情報の利活用を促進するべく創設されました。

仮名加工情報取扱事業者とは

「仮名加工情報取扱事業者」とは、仮名加工情報を含む情報をまとめ、特定の仮名加工情報を検索できるように体系的に構成したもの(仮名加工情報データベース等)を事業の用に供している者をいいます(個情法16条5項)。

匿名加工情報とは

「匿名加工情報」とは、一定の措置を講じて特定の個人を識別できないように個人情報を加工し、さらに、個人情報を復元することができないようにした情報をいいます(個情法2条6項)。

特定の個人を識別できないように加工する点では「仮名加工情報」と同じです。

しかし、「加工」の定義が、以下のとおり異なります。

✅ 「仮名加工情報」における「加工」
「他の情報と照合しない限り」特定の個人を識別できないようにすること
✅ 「匿名加工情報」における加工
特定の個人を識別できないような加工をし、復元できないようにすること
※匿名加工情報の場合、他の情報と照合して特定の個人を識別できる場合は、加工にあたらない

匿名加工情報取扱事業者とは

「匿名加工情報取扱事業者」とは、匿名加工情報を含む情報をまとめ、特定の匿名加工情報を検索できるように体系的に構成したもの(匿名加工情報データベース等)を事業の用に供している者をいいます(個情法16条6項)。

個人関連情報とは

「個人関連情報」とは、生存する個人に関する情報で、個人情報、仮名加工情報、匿名加工情報のいずれにも該当しない情報をいいます(個情法2条7項)。

例えば、以下などが該当します。

✅ Cookie等の端末識別子を通じて収集されたある個人のウェブサイトの閲覧履歴
✅ ある個人の商品購買履歴・サービス利用履歴

個人関連情報取扱事業者とは

「個人関連情報取扱事業者」とは、個人関連情報を含む情報をまとめ、特定の個人関連情報を検索できるように体系的に構成したもの(個人関連情報データベース等)を事業の用に供している者をいいます(個情法16条7項)。

個人情報に関するルール

それでは、まず、「個人情報取扱事業者」が「個人情報」を取り扱う場合のルールについて説明します。

①利用目的の特定・変更

個人情報取扱事業者は、個人情報を取り扱うにあたり、その利用目的をできる限り特定しなければなりません(個情法17条1項)。

✅ 利用目的を具体的に特定していない場合の例
・事業活動に用いるため
・マーケティング活動に用いるため

✅ 利用目的を具体的に特定している場合の例
・○○事業における商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせのため

また、個人情報取扱事業者は、変更前の利用目的と関連性があると合理的に認められる範囲でのみ利用目的を変更できます(個情法17条2項)。

関連性を有すると合理的に認められる範囲とは、変更の内容が、社会通念上、本人が通常予期できる範囲内であることとされています。

✅ 変更できない例
「アンケート集計に利用」から「商品案内等の郵送に利用」

✅ 変更できる例
「商品案内等を郵送」から「商品案内等をメール送付」

②利用目的による制限

個人情報取扱事業者は、本人の同意を得ないで、利用目的の達成に必要な範囲を超えて、個人情報を取り扱うことはできません(個情法18条1項)。

ただし、

✅ 法令に基づく場合
✅ 人の生命・身体・財産の保護のために必要がある場合で、本人の同意を得ることが困難であるとき

など、一定の場合には、本人の同意なく個人情報を取り扱うことができます(個情法18条3項各号)。

③不適切な利用の禁止

個人情報取扱事業者は、違法・不当な行為を手助けしたり、招いたりするおそれがある方法で個人情報を利用できません(個情法19条)。

例えば、官報に掲載される破産者情報等の個人情報を、不特定多数の者から本人が差別されるリスクを予見できるにもかかわらず、データベース化し、インターネット上で公開する場合が本条に該当する例として考えられます。

④適正な取得

個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得できません(個情法20条1項)。

例えば、十分な判断能力を有していない子どもから、取得状況から考えて関係のない家族の収入事情などを、家族の同意なく取得する場合が本条に該当する例として考えられます。

⑤取得に際しての利用目的の通知等

個人情報取扱事業者は、個人情報を取得する際、以下のいずれかの対応を行う必要があります(個情法21条1項)。

✅ 個人情報を取得する前に、あらかじめ利用目的を公表しておく
✅ 個人情報を取得した場合に、速やかにその利用目的を本人に通知・公表する

また、利用目的を変更した場合も、変更した利用目的を本人に通知・公表する必要があります(個情法21条3項)。

各企業では、プライバシーポリシーを公表していることが多いですが、プライバシーポリシー公表の目的の1つには、個人情報保護法21条のルールの遵守が挙げられます。

しかし、利用目的を本人に通知・公表することで、

✅ 本人・第三者の生命、身体、財産その他の権利利益を害するおそれがある
✅ 取得の状況からみて利用目的が明らかと認められる

など、一定の場合においては、利用目的を通知・公表する必要はありません(個情法21条4項各号)。

⑥苦情の処理

個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切・迅速な処理と必要な体制の整備に努める必要があります(個情法40条)。

個人データに関するルール

次に、「個人情報取扱事業者」が「個人データ」を取り扱う場合のルールについて説明します。

①内容の正確性の確保等

個人情報取扱事業者は、利用目的の達成に必要な範囲内で、個人データを正確・最新の内容に保つとともに、利用の必要がなくなったときは、個人データを遅滞なく消去するよう努める必要があります(個情法22条)。

②安全管理措置

個人情報取扱事業者は、安全管理措置(個人データを安全に管理するために必要な措置)を講じる必要があります(個情法23条)。

③従業員の監督

個人情報取扱事業者は、従業員に個人データを取り扱わせるにあたっては、個人データの安全管理が図られるよう、従業員に対して必要・適切な監督を行う必要があります(個情法24条)。

④委託先の監督

個人情報取扱事業者は、個人データの取扱いを委託する場合、委託を受けた者に対する必要・適切な監督を行う必要があります(個情法25条)。個人情報取扱事業者は、委託先において、自らが講ずべき安全管理措置と同等の措置が講じられるように監督をする必要があり、具体的には、

✅ 適切な委託先の選定
✅ 委託契約の締結
✅ 委託先における個人データ取扱状況の把握

等を行う必要があります。

⑤漏えい等の報告等

個人情報取扱事業者は、一定の個人データの漏えい等が起きた場合、当該事態が生じた旨を、個人情報保護委員会に報告するとともに、本人に通知する必要があります(個情法26条)。

ここでいう、「一定の個人データの漏えい等」とは以下のいずれかの事態をいいます(規則7条各号)。

a)要配慮個人情報が含まれる個人データの漏えい等の発生・おそれ(1号)
b)不正に利用されることで財産的被害が生じるおそれがある個人データの漏えい等の発生・おそれ(2号)
c)不正の目的をもって行われたおそれがある個人データの漏えい等の発生・おそれ(3号)
d)個人データに係る本人の数が1,000人を超える漏えい等の発生・おそれ(4号)

⑥第三者提供の制限

次に、「個人データ」の第三者提供の制限について説明します。

原則

原則として、個人情報取扱事業者は、あらかじめ本人の同意を得ないで、個人データを第三者に提供することができません(個情法27条1項柱書)。もっとも、この原則には、以下のとおりいくつかの例外があります。

適用除外

まず、法令に基づく場合など、個情法27条1項各号のいずれかに該当する場合は、個人データの第三者提供に際し、本人の同意を得る必要はありません。

オプトアウト

また、オプトアウトによる個人データの第三者提供についても本人の同意は不要です。

「オプトアウト」とは、個人データを保有する本人から事前に同意をとらずに第三者提供を行い、本人から「私の個人データの第三者提供を止めてください」と求めがあったときに個人データの第三者提供をやめるタイプの第三者提供をいいます(個情法27条2項)。

ただし、オプトアウトによる第三者提供を行うには、一定の事項を個人情報保護委員会に届け出る必要があるなど、いくつかの条件が定められています。

第三者に該当しない場合

個人データが提供される場合でも、

a)委託に伴うとき
b)事業の承継に伴うとき
c)共同利用をするとき

は、そもそも、個人データの提供を受ける者は、「第三者」に該当しないため、第三者提供の制限を受けません(個情法27条5項各号)。

例えば、委託に伴い個人データが提供される場合、提供先は、提供主体の個人情報取扱事業者と一体のものとして扱われることに合理性があるため、提供先は第三者に該当しないと考えられています(個情法27条5項1号)。また、共同利用の場合は、一定の事項をあらかじめ本人が容易に知り得る状態に置く等することが必要となります(個情法27条5項3号)。

外国にある第三者への提供の制限

個人情報取扱事業者は、外国にある第三者に個人データを提供する場合は、あらかじめ、本人から「外国にある第三者へ個人データを提供してもよい」という同意を得る必要があります(個情法28条1項)。

ただし、第三者が、我が国と同等の水準にある個人情報保護制度を有している国にある場合(例えば、EUや英国)など、個情法27条1項・28条1項などに定められたケースに該当する場合は、例外的に、本人の同意が不要です。

また、個人情報取扱事業者は、本人の同意を得ようとする場合は、あらかじめ、

✅ 当該外国の個人情報の保護に関する制度
✅ 第三者が講じる個人情報の保護のための措置その他本人に参考となるべき情報

を本人に提供する必要があります(個情法28条2項、規則17条)。

第三者提供に係る記録の作成等

個人情報取扱事業者は、個人データを第三者に提供したときは、第三者提供に係る記録を作成し(個情法29条1項)、一定期間保存する必要があります(個情法29条2項、規則21条)。

第三者提供を受ける際の確認等

個人情報取扱事業者は、第三者から個人データの提供を受ける場合、一定の事項について確認を行うとともに(個情法30条1項)、記録を作成・保存する必要があります(個情法30条3項・規則24条、個情法30条4項・規則25条)。

ここで確認をすべき「一定の事項」とは、以下の事項をいいます(個情法30条1項各号)。

a)第三者の名称(氏名)・住所・代表者の氏名(1号)
b)第三者による個人データの取得の経緯(2号)

保有個人データに関するルール

次に、「個人情報取扱事業者」が「保有個人データ」を取り扱う場合のルールについて説明します。

①保有個人データに関する事項の公表等

個人情報取扱事業者は、保有個人データに関し、以下の事項を本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む)に置く必要があります(個情法32条1項各号)。

a)個人情報取扱事業者の名称(氏名)・住所・代表者の氏名(1号)
b)全ての保有個人データの利用目的(2号)
c)保有個人データの利用目的の通知の求めや開示等の請求に応じる手続等(3号)
d)保有個人データの安全管理のために講じた措置(4号、施行令10条1号)
e)個人情報取扱事業者が行う保有個人データの取扱いに関する苦情の申出先(4号、施行令10条2号)
f)個人情報取扱事業者が認定個人情報保護団体の対象事業者である場合には、認定個人情報保護団体の名称・苦情の解決の申出先(4号、施行令10条3号)

②利用目的の通知

個人情報取扱事業者は、本人から、保有個人データの利用目的の通知を求められた場合は、以下の場合を除き、遅滞なく通知する必要があります(個情法32条2項)。

a)①保有個人データに関する事項の公表等」により保有個人データの利用目的が明らかな場合(個情法32条2項1号)
b)利用目的を本人に通知・公表することで本人・第三者の生命・身体・財産その他の権利利益を害するおそれがある場合(個情法32条2項2号、27条4項1号)
c)利用目的を本人に通知・公表することで個人情報取扱事業者の権利・正当な利益を害するおそれがある場合(個情法32条2項2号、27条4項2号)
d)国の機関等による法令の定める事務の遂行に協力する場合で、利用目的を本人に通知・公表することで当該事務の遂行に支障を及ぼすおそれがあるとき(個情法32条2項2号、27条4項3号)

③開示

個人情報取扱事業者は、本人から保有個人データの開示の請求を受けたときは、以下の場合に該当する場合を除き、遅滞なく、保有個人データを開示する必要があります(個情法33条1項・2項)。

a)本人・第三者の生命・身体・財産その他の権利利益を害するおそれがある場合(個情法33条2項1号)
b)個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合(個情法33条2項2号)
c)他の法令に違反することとなる場合(個情法33条2項3号)

また、個人情報取扱事業者は、本人から第三者提供記録の開示の請求を受けたときも、同様に、遅滞なく第三者提供記録を開示する必要があります(個情法33条5項)。

なお、個情法33条5項、施行令11条各号に該当する場合は、開示が認められる「第三者提供記録」にあたりません。

④訂正等

個人情報取扱事業者は、本人から保有個人データの内容が事実でないとして内容の訂正等(訂正、追加、削除)の請求を受けたときは、利用目的の達成に必要な範囲内で、遅滞なく調査を行い、その結果に基づき保有個人データの内容の訂正等をする必要があります(個情法34条1項・2項)。

⑤利用停止等

個人情報取扱事業者は、本人から、以下の各事由を理由に各請求を受けたときは、遅滞なく、本人の請求に従う対応(保有個人データの利用停止等・第三者への提供の停止)をする必要があります(個情法35条1~6項)。

ただし、本人の請求に従う対応をすることが困難な場合で、代替措置をとるときはこの限りではありません。

事由請求
a)・保有個人データが18条・19条に違反して取り扱われていること
・保有個人データが20条に違反して取得されたものであること
保有個人データの利用停止等(利用の停止・消去)の請求(個情法35条1・2項)
b)・保有個人データが27条・28条に違反して第三者に提供されていること保有個人データの第三者への提供の停止(個情法35条3・4項)
c)・保有個人データを利用する必要がなくなったこと
・保有個人データに26条1項本文に規定する事態が生じたこと
・保有個人データの取扱いにより本人の権利・正当な利益が害されるおそれがあること
保有個人データの利用停止等・第三者への提供の停止(個情法35条5・6項)

⑥理由の説明

個人情報取扱事業者は、保有個人データの利用目的の通知等について、本人から請求された措置の一部又は全部をとらない場合には、本人に、その理由を説明するよう努める必要があります(個情法36条)。

⑦開示等の請求等に応じる手続

個人情報取扱事業者は、本人から、保有個人データの利用目的の通知等に関し、その請求等を受け付ける方法を定めることができます(個情法37条1項)。

要配慮個人情報に関するルール

次に、「個人情報取扱事業者」が「要配慮個人情報」を取り扱う場合のルールについて説明します。

適正な取得

個人情報取扱事業者は、次の場合を除き、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはなりません(個情法20条2項)。

a)法令に基づく場合(1号)
b)人の生命・身体・財産の保護のために必要がある場合で、本人の同意を得ることが困難であるとき(2号)
c)公衆衛生の向上・児童の健全な育成の推進のために必要がある場合で、本人の同意を得ることが困難であるとき(3号)
d)国の機関等・その委託を受けた者が法令の定める事務の遂行に協力する場合で、本人の同意を得ることで当該事務の遂行に支障を及ぼすおそれがあるとき(4号)
e)個人情報取扱事業者が学術研究機関等である場合で、要配慮個人情報を学術研究目的で取り扱う必要があるとき(5号)
f)学術研究機関等から要配慮個人情報を取得する場合で、要配慮個人情報を学術研究目的で取得する必要があるとき(個人情報取扱事業者と学術研究機関等が共同して学術研究を行う場合に限る)(6号)
g)要配慮個人情報が本人や国の機関等により公開されている場合(7号、規則6条各号)
h)本人を目視・撮影することでその外形上明らかな要配慮個人情報を取得する場合(8号、施行令9条1号)
i)個情法27条5項各号(委託、事業の承継、共同利用)の場合に、個人データである要配慮個人情報の提供を受けるとき(8号、施行令9条2号)

仮名加工情報に関するルール

次に、「個人情報取扱事業者」や「仮名加工情報取扱事業者」が「仮名加工情報」を取り扱う場合のルールについて説明します。

①仮名加工情報を作成する個人情報取扱事業者に関するルール

まず、個人情報取扱事業者が、仮名加工情報を作成する場合のルールについて説明します。

適正な加工

個人情報取扱事業者は、仮名加工情報を作成するときは、他の情報と照合しない限り特定の個人を識別することができないようにするために一定の基準に従って、個人情報を加工する必要があります(個情法41条1項)。

ここでいう「一定の基準」とは以下のとおりです(規則31条各号)。

a)個人情報に含まれる特定の個人を識別することができる記述等を削除すること(1号)
b)個人情報に含まれる個人識別符号の全部を削除すること(2号)
c)個人情報に含まれる不正に利用されることにより財産的被害が生じるおそれがある記述等を削除すること(3号)

※いずれも削除した記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含みます。

削除情報等の安全管理措置

個人情報取扱事業者は、仮名加工情報を作成したときや、仮名加工情報・仮名加工情報に係る削除情報等を取得したときは、削除情報等の漏えいを防止するために必要な安全管理措置を講じる必要があります(個情法41条2項、規則32条各号)。

②個人情報である仮名加工情報の取扱いに関する規制

次に、「個人情報取扱事業者」である「仮名加工情報取扱事業者」が「個人情報」(「個人データ」)である「仮名加工情報」を取り扱う場合のルールについて説明します。
仮名加工情報は、他の情報と照合しない限り特定の個人を識別することができない個人情報を加工した情報をいいますが(個情法2条5項)、仮名加工情報を作成した事業者には削除情報等を削除すべき義務は課されませんので、他の情報と容易に照合して個人を識別できるのであれば、「個人情報」にも該当することになります。

利用目的による制限

個人情報取扱事業者である仮名加工情報取扱事業者は、17条1項で特定された利用目的の達成に必要な範囲を超えて、個人情報である仮名加工情報を取り扱うことはできません(個情法41条3項)。

利用目的の公表

個人情報取扱事業者である仮名加工情報取扱事業者は、個人情報である仮名加工情報を取得した場合、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を公表する必要があります(個情法41条4項)。

利用する必要がなくなった場合の消去

個人情報取扱事業者である仮名加工情報取扱事業者は、仮名加工情報である個人データや削除情報等を利用する必要がなくなったときは、個人データや削除情報等を遅滞なく消去するよう努める必要があります(個情法41条5項)。

第三者提供の制限

個人情報取扱事業者である仮名加工情報取扱事業者は、仮名加工情報である個人データを第三者に提供できません(個情法41条6項)。元々、仮名加工情報は内部利用を想定した制度ですので、本人の同意やオプトアウトによる第三者提供は認められませんが、a)委託に伴う場合、b)事業の承継に伴う場合、c)共同利用をする場合は、提供先と提供主体を一体のものとして取り扱うことに合理性がありますので、第三者には該当しません(個情法41条6項、27条5項各号)。

識別行為の禁止

個人情報取扱事業者である仮名加工情報取扱事業者は、仮名加工情報を取り扱うにあたり、本人を識別するために、仮名加工情報を他の情報と照合することはできません(個情法41条7項)。

本人への連絡等の禁止

個人情報取扱事業者である仮名加工情報取扱事業者は、個人情報である仮名加工情報を取り扱う場合、仮名加工情報に含まれる連絡先その他の情報を利用することはできません(個情法41条8項)。

適用除外規定

仮名加工情報である個人情報・個人データ・保有個人データには、以下の規定が適用されません(個情法41条9項)。

a)利用目的の変更(個情法17条2項)仮名加工情報である個人情報には、17条2項が適用されないため、変更前の利用目的と関連性を有すると合理的に認められる範囲を超える利用目的の変更も認められます。
b)漏えい等の報告等(個情法26条)仮名加工情報である個人データには、26条が適用されないため、漏えい等が発生した場合でも、報告や本人通知を行う必要はありません。
c)開示等の請求(個情法32~39条)仮名加工情報である保有個人データには、32~39条が適用されないため、本人は、これらの規定に基づく開示等の請求等を行うことができません。

その他の義務

その他、個人情報取扱事業者である仮名加工情報取扱事業者が、個人情報(個人データ)でもある仮名加工情報を取り扱う場合には、個人情報(個人データ)に係る、a)不適正利用の禁止(個情法19条)、b)適正取得(個情法20条1項)、c)安全管理措置(個情法23条)、d)従業者の監督(個情法24条)、e)委託先の監督(個情法25条)、f)苦情処理(個情法40条)のルールが適用されます。

③個人情報でない仮名加工情報の取扱いに関する規制

次に、「仮名加工情報取扱事業者」が「個人情報」にあたらない「仮名加工情報」を取り扱う場合のルールについて説明します。

第三者提供の制限

仮名加工情報取扱事業者は、個人情報にあたらない仮名加工情報を第三者に提供することはできません(個情法42条1項)。「第三者提供の制限」に記載のとおり、仮名加工情報は内部利用を想定した制度ですので、第三者提供は認められませんが、a)委託に伴う場合、b)事業の承継に伴う場合、c)共同利用をする場合には、同様に、第三者には該当しません(個情法42条2項、27条5項各号)。

その他の義務

そのほか、仮名加工情報取扱事業者が、個人情報にあたらない仮名加工情報を取り扱う場合にも、a)安全管理措置(個情法23条)、b)従業者の監督(個情法24条)、c)委託先の監督(個情法25条)、d)苦情処理(個情法40条)、e)識別行為の禁止(個情法41条7項)、f)本人への連絡の禁止(個情法41条8項)のルールが準用されます(個情法42条3項)。

匿名加工情報に関するルール

次に、「個人情報取扱事業者」や「匿名加工情報取扱事業者」が「匿名加工情報」を取り扱う場合のルールについて説明します。

①匿名加工情報を自ら作成する個人情報取扱事業者に関するルール

まず、個人情報取扱事業者が、匿名加工情報を作成する場合のルールについて説明します。

適正な加工

個人情報取扱事業者は、匿名加工情報を作成するときは、特定の個人を識別すること及びその作成に用いる個人情報を復元することができないようにするために一定の基準に従って、個人情報を加工する必要があります(個情法43条1項)。

ここでいう「一定の基準」は以下のとおりです(規則34条各号)。

a)
個人情報に含まれる特定の個人を識別することができる記述等を削除すること(1号)
b)個人情報に含まれる個人識別符号の全部を削除すること(2号)
c)個人情報と個人情報に措置を講じて得られる情報とを連結する符号を削除すること(3号)
d)特異な記述等を削除すること(4号)
e)個人情報に含まれる記述等と個人情報を含む個人情報データベース等を構成する他の個人情報に含まれる記述等との差異その他の個人情報データベース等の性質を勘案し、その結果を踏まえて適切な措置を講ずること(5号)

※a)~d)については、いずれも削除した記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含みます。

安全管理措置

個人情報取扱事業者は、匿名加工情報を作成したときは、加工方法等に関する情報が漏えいして個人情報が復元されてしまうことを防止するため、一定の措置を講じる必要があります(個情法43条2項、規則35条)。

また、匿名加工情報の、

✅ 安全管理のために必要・適切な措置
✅ 適正な取扱いを確保するために必要な措置

を講じるよう努める必要があります(個情法43条6項)。

作成時の公表

個人情報取扱事業者は、匿名加工情報を作成したときは、匿名加工情報に含まれる項目を公表する必要があります(個情法43条3項、規則36条)。

また、自ら講じた、匿名加工情報の安全管理のために必要・適切な措置、適正な取扱いを確保するために必要な措置の内容を公表するよう努めなければなりません(個情法43条6項)。

第三者提供時の規制

個人情報取扱事業者は、匿名加工情報を作成して当該匿名加工情報を第三者に提供するときは、あらかじめ、

✅ 第三者に提供する匿名加工情報に含まれる項目
✅ 匿名加工情報の提供の方法

について公表するとともに、第三者に対して、提供する情報が匿名加工情報である旨を明示する必要があります(個情法43条4項)。

識別行為の禁止

個人情報取扱事業者は、匿名加工情報を作成して取り扱うに当たっては、本人を識別するために匿名加工情報を他の情報と照合することはできません(個情法43条5項)。

②匿名加工情報取扱事業者に関するルール

次に、「匿名加工情報取扱事業者」が、「匿名加工情報」を取り扱う場合のルールについて説明します。

第三者提供時の規制

匿名加工情報取扱事業者は、匿名加工情報を第三者に提供するときは、あらかじめ、

✅ 第三者に提供される匿名加工情報に含まれる項目
✅ 匿名加工情報の提供の方法

について公表するとともに、第三者に、提供する情報が匿名加工情報である旨を明示する必要があります(個情法44条)。

識別行為の禁止

匿名加工情報取扱事業者は、匿名加工情報を取り扱うにあたっては、本人を識別するために、個人情報から削除された記述等や個人識別符号等を取得すること、又は匿名加工情報を他の情報と照合することはできません(個情法45条)。

安全管理措置等

匿名加工情報取扱事業者は、匿名加工情報の

✅ 安全管理のために必要・適切な措置
✅ 適正な取扱いを確保するために必要な措置

を講じ、かつ、措置の内容を公表するよう努める必要があります(個情法46条)。

個人関連情報に関するルール

次に、「個人関連情報取扱事業者」が、「個人関連情報」を取り扱う場合のルールについて説明します。

第三者提供の制限

個人関連情報取扱事業者は、第三者が個人関連情報を個人データとして取得することが想定されるときは、あらかじめ、次に掲げる事項を確認する必要があります(個情法31条1項)。

本人から、「第三者が個人関連情報取扱事業者から個人データとして個人関連情報を取得すること」について同意が得られていること(個情法31条1項1号)。
外国にある第三者への提供にあっては、本人の同意を得ようとする場合に、あらかじめ、外国の個人情報の保護に関する制度、第三者が講ずる個人情報の保護のための措置その他本人に参考となるべき情報が本人に提供されていること(個情法31条1項2号、規則17条)。

なお、法令に基づく場合等一定の場合には、第三者提供は制限されません(個情法31条1項、27条1項各号)。

また、個人関連情報取扱事業者は、31条1項の個人関連情報の第三者提供時の確認を行った場合は、その記録を作成・保存しておく必要があります(個情法31条3項、30条3項・4項)。

個人情報保護法の適用除外

✅ 個人情報取扱事業者
✅ 仮名加工情報取扱事業者
✅ 匿名加工情報取扱事業者
✅ 個人関連情報取扱事業者

のうち個人情報等を取り扱う目的が以下に該当するときは、個人情報保護法上のルールが適用されません(個情法57条1項)。

放送機関、新聞社、通信社その他の報道機関(1号)報道に用いる目的
著述を業として行う者(2号)著述に用いる目的
宗教団体(3号)宗教活動に用いる目的
政治団体(4号)政治活動に用いる目的

個人情報保護法に違反した場合の罰則(ペナルティ)

最後に、個人情報保護法上のルールに違反等した場合に、どのようなペナルティがあるか説明します。

①報告・立入検査

個人情報保護委員会は、個人情報取扱事業者等に対し、必要な報告・資料提出を求め、職員に立入検査等をさせることができます(個情法143条1項)。

②指導・助言

個人情報保護委員会は、個人情報取扱事業者等に対し、必要な指導・助言をすることができます(個情法144条)。

③勧告・命令

個人情報保護委員会は、個人情報取扱事業者等が、一部のルールに違反した場合で、個人の権利利益を保護するため必要があるときは、個人情報取扱事業者等に対し、違反行為の中止その他違反を是正するために必要な措置をとるべき旨を勧告することができます(個情法145条1項)。

また、個人情報保護委員会は、

✅ 個人情報取扱事業者等が正当な理由がなく勧告に係る措置をとらなかった場合で、個人の重大な権利利益の侵害が切迫しているとき
✅ 個人情報取扱事業者等が、一部のルールに違反した場合で、個人の重大な権利利益を害する事実があるため緊急に措置をとる必要があるとき

は、個人情報取扱事業者等に対し、その勧告に係る措置や違反行為の中止その他違反を是正するために必要な措置をとるべきことを命ずることができます(個情法145条2・3項)。

④罰則の適用

個人情報取扱事業者等が、個人情報保護法145条2項・3項の命令に違反した場合は、1年以下の懲役又は100万円以下の罰金に処せられます(個情法173条)。

この記事のまとめ

個人情報保護法の記事は以上です。最新の記事に関する情報は、契約ウォッチのメルマガで配信しています。ぜひ、メルマガにご登録ください!

参考文献

個人情報保護委員会ウェブサイト「法令・ガイドライン等」

岡村久道著『個人情報保護法[第4版]』商事法務、2022年