個人情報=特定の個人を識別することができる情報
個人情報保護法では、「個人情報」は生存する個人に関する情報であり、次のいずれかに該当するものと定義されています。
(1)特定の個人を識別することができるもの
氏名、生年月日、住所や連絡先など、特定の個人にたどりつく情報。会社の所属先や役職、本人の写真や映像、個人を識別できる音声なども含まれます。例えば、名刺に記述された情報は個人情報に該当します。さらに、官報、新聞、ホームページ、SNSなどで公にされている“特定の個人を識別することができる情報”はすべて該当します。
(2)他の情報と「容易に照合」することができ、特定の個人を識別することができるもの
その情報だけでは特定の個人にたどりつけなくても、ほかの情報と照らし合わせることで特定の個人が識別できる場合は、個人情報に該当します。例えば、一般的にはメールアドレスだけでは個人を特定できません。しかし、通信販売会社の社員が顧客リストと照らし合わせれば、容易に個人が特定できます。このような会社にとっては、メールアドレスも個人情報に該当すると考えられます。
(3)個人識別符号が含まれるもの
DNA、指紋、手指の静脈、虹彩など、身体の特徴をデータ処理できるように変換したもの(生体認証)。運転免許証番号や旅券番号、マイナンバーなど、一人一人に違った番号が割り当てられているもの。
改正のポイントは新たなリスクへの対応
個人情報保護の動きは、1960年代後半から欧米を中心に始まりました。1970年代には、各国が独自に個人情報保護に関する法律やガイドラインを制定。1995年に発令された「EU指令」を受けて、各国は個人情報の取り扱いルールの策定に動き出しました。日本もこの国際的な動きが要因となり、2003年に個人情報保護に関する基本理念を定め、2005年に「個人情報保護法」が施行されました。
デジタル技術は急激に進展し、利便性が飛躍的に向上する一方で、情報漏洩の危険性が高まり、プライバシー侵害などのリスクが浮上しました。社会情勢の変化に合わせて、個人情報に関するルールも適切な内容へとアップデートしなければなりません。2005年に施行された個人情報保護法は2017年に改正され、その際、原則として「施行後3年ごとの見直し」が決められました。国際情勢の変化や技術の進歩による情報化が極めて速いため、より実効的な法律であり続けるには、定期的に問題点などを見直す必要があるからです。
「3年ごとの見直し」を受けて、2020年に法定刑の引き上げ、2021年に第三者に提供しようとする際の経過措置を施行。デジタル改革関連法に基づいた法改正により、2022年に「改正個人情報保護法」が全面施行されたのです。
6つの改正ポイント
近年の大きな社会変化にデジタルトランスフォーメーション(DX)があります。消費者のウェブサイト上の閲覧履歴や行動履歴が蓄積され、分析してビジネスに利活用する流れが加速しています。社会の中の個人情報の利活用も昔と比べて大幅に拡大しました。技術革新を踏まえた個人情報の保護と利活用のバランス、国民の個人情報に対する意識の高まりなどの観点から改正が行われました。
改正のポイントは大きく分けて6つあります。
<ポイント1>本人の権利の強化
旧法では、個人情報取扱事業者(以下、事業者)が個人情報を目的外利用したとき、または不正手段で取得したときに限り、本人が保有個人データの利用停止・消去を請求できました。また、本人の同意なく第三者(外国にある第三者を含む)に提供したときも、第三者の提供の停止を請求できました。改正後は上記に加え、次の場合も利用停止・消去・第三者提供の停止を請求できるようになりました。
・事業者が、保有個人データを利用する必要がなくなったとき
・保有個人データの漏えいなどが発生したとき
・保有個人データの取り扱いにより、本人の権利または正当な利益が害されるおそれがあるとき
ただし、利用停止などや第三者提供の停止を行うことが困難であり、本人の権利利益の保護のための代替措置が取られている場合は、利用停止などの措置を行う必要がないことも定められました。これは、本人の権利保護を強化しつつ、事業者側の負担をも考慮した規定といえます。
また、本人の事業者に対する個人情報の第三者提供の記録の開示請求権が新設されました。これは、本人の個人データを別の事業者に提供した場合、その記録の開示請求ができるというものです。
<ポイント2>事業者の責務の追加
個人データの漏えいなどが発生し、本人の権利利益を害するおそれが大きい場合、個人情報保護委員会への報告及び本人への通知が義務化されました。ただし、他の事業者から個人データの取り扱いの委託を受けた場合は、委託元に通知すればいいとなっています。また、違法または不当な行為を助長し、または誘発するおそれがある方法による個人情報の利用の禁止が明文化されました。
<ポイント3>事業者の自主的な取り組みの推進
企業の特定の業務(部門)を対象とする団体を「認定個人情報保護団体」として認定できるようになりました。これまでは、金融、通信などの業界が対象でした。改正後は業界にかかわらず、例えば、自動車会社の広報部門などを対象とする認定団体が生まれる可能性があります。
<ポイント4>データの利活用の促進
データの利活用に関する規制として、「仮名(かめい)加工情報」と「個人関連情報」が規定されました。旧法では個人情報を加工して、個人を特定できないようにした場合(匿名加工情報)でも、加工前の情報と同等に厳格な規制の対象となっていました。改正後は、氏名を仮のIDで表示したり、不正利用の可能性がある情報を非表示にしたりするなど、他の情報と照合しない限り特定の個人を識別できない程度の加工(仮名加工情報)をすればよいとされ、内部分析目的の利用に限定するなどを条件に、開示・利用停止請求への対応義務が緩和されました。
また、提供元の事業者では個人データに該当しないものの、提供先の事業者では個人を特定することができる情報(個人関連情報)を提供する場合のルールも規定されました。
<ポイント5>法令違反に対する罰則の強化
改正後、違反行為をした個人及び法人に対する罰則が重くなりました。例えば、措置命令に違反した個人には、「6か月以下の懲役又は30万円以下の罰金」から「1年以下の懲役又は100万円以下の罰金」に、報告義務違反には「30万円以下の罰金」から「50万円以下の罰金」に強化されています。また、旧法では法人と個人の罰金刑は同じでしたが、改正後は法人に対する最高額が引き上げられました。
<ポイント6>外国の事業者に対する規制の強化
旧法では、外国事業者(海外)に対して強制力のない指導・助言・勧告のみが認められていました。改正後は、罰則が伴う報告徴収・命令の対象となりました。また、事業者が外国にある第三者に個人データを提供する場合、外国事業先における個人情報の取り扱いに関して、本人への情報提供義務などが規定されました。
個人情報保護のための注意ポイント
個人情報保護法は、個人情報を保有する事業者が遵守すべき義務を定めた法律です。つまり対象者は主に民間事業者です。一見、消費者である個人は関係ないように思えますが、改正後、適用範囲が拡大されました。取り扱う事業の内容が営利か非営利かを問わないため、自治会・町内会、PTA、マンション管理組合、同窓会、サークル、NPO法人などの団体も個人情報保護法の対象になります。もし、高校の同窓会の幹事になり、同窓会名簿を管理する立場になった場合も、個人情報保護法の対象となるのです。
個人情報を扱う際に注意すべきポイントは次の5つです。
・個人情報は目的を示して本人から取得する
・取得した個人情報は目的以外のことに利用しない
・個人情報は安全に管理する
・個人情報は無断で第三者に渡さない
・本人からの開示や利用停止請求には速やかに対応する
世の中が大きく変化し、個人情報保護を強化する流れは全世界に波及しています。法律で決められた保護を行わないと、信頼を損なう大問題になる可能性があります。事業者でなくても個人情報保護法について、きちんとした知識を持つことが必要かもしれません。複雑でわかりにくい個人情報保護法ですが、個人情報保護委員会のホームページからハンドブックがダウンロードできるので、一読してみてはどうでしょう。
個人情報保護委員会「広報資料」
https://www.ppc.go.jp/news/publicinfo/
また、下記の政府広報や個人情報保護委員会のサイトも参考になります。
政府広報オンライン「『個人情報保護』のルール」
https://www.gov-online.go.jp/useful/article/201703/1.html
個人情報保護委員会「マンガで学ぶ個人情報保護法」
https://www.ppc.go.jp/news/anime_personalinfo/top/