個人情報保護法 こじんじょうほうほごほう
簡単に言うとこんな感じ!
「名前・住所・メールアドレスなど、誰かを特定できる情報」をちゃんと守ってね、というルールを定めた日本の法律だよ!企業がお客さんの個人情報を集めるときは「何に使うか」を説明しなきゃいけないし、漏らしたら大変なことになる——そんな情報の取り扱いルールをまとめたのが個人情報保護法なんだ!
個人情報保護法とは
個人情報保護法(正式名称:個人情報の保護に関する法律)は、2003年に制定・2005年に全面施行された日本の法律で、個人の権利・利益を保護するために事業者が守るべきルールを定めています。企業・団体・官公庁が「生きている個人を識別できる情報」を扱うすべての場面を対象としており、違反した場合は行政処分や刑事罰の対象となります。
法律の核心は「個人情報取扱事業者(個人情報を業務に使う法人・個人)」に対して、情報の収集・利用・保管・提供・廃棄の各段階でルールを課すことです。2005年の全面施行後、2017年・2022年と大きな改正が行われ、デジタル社会の進化にあわせて規制が強化されてきました。特に2022年改正では漏洩時の報告義務や外国への第三者提供規制が厳格化され、企業の対応負荷が大幅に増えています。
ビジネスの観点では、顧客データベース・採用情報・従業員名簿・問い合わせフォームなど、あらゆる「人の情報」に関わる業務がこの法律の射程に入ります。「うちは小規模だから関係ない」とは言えない時代であり、発注・調達担当者としても委託先がどう個人情報を管理しているかを確認する責任があります。
個人情報保護法の基本構造
| 概念 | 意味 | 具体例 |
|---|---|---|
| 個人情報 | 生存する個人を特定できる情報 | 氏名、メールアドレス、顔写真、マイナンバー |
| 個人データ | データベース等で体系的に管理された個人情報 | 顧客管理システムに登録された氏名・住所 |
| 保有個人データ | 開示・訂正・削除に応じる義務がある個人データ | 自社が保持・管理している顧客レコード |
| 要配慮個人情報 | 特に慎重な扱いが必要な情報 | 病歴、障害、犯罪歴、信条、人種 |
| 匿名加工情報 | 個人を特定できないよう加工した情報 | 統計処理・AI学習データなどに活用 |
| 仮名加工情報 | 他の情報と照合しない限り特定できない情報 | 内部分析目的で氏名をIDに置換したデータ |
7つの基本義務(事業者が守るべきこと)
- 利用目的の特定・明示 — 「何のために集めるか」を明確にし、公表する
- 適正な取得 — 偽りや不正な手段で取得しない
- 利用目的の範囲内で利用 — 目的外利用・目的外提供の禁止
- 安全管理措置 — 漏洩・滅失・毀損を防ぐための組織的・技術的対策
- 第三者提供の制限 — 本人同意なしに外部へ渡してはいけない
- 開示・訂正・削除への対応 — 本人からの請求に応じる義務
- 漏洩等の報告・通知 — 一定規模以上の漏洩は個人情報保護委員会と本人へ報告(2022年改正〜)
覚え方
「利取安三開漏(りとりあんさんかいろう)」——利用目的・取得・安全管理・三者提供・開示対応・漏洩報告、の頭文字をつなげると6つの主要義務が思い出せます。
歴史と背景
- 1980年 — OECD(経済協力開発機構)が「プライバシー8原則」を策定。各国の個人情報保護法制の原型となる
- 1988年 — 日本で「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」施行(官公庁限定の先行法)
- 2003年 — 個人情報保護法成立。民間事業者を広く対象に含める
- 2005年 — 全面施行。「5,000件以上の個人情報を持つ事業者」が対象(小規模除外あり)
- 2015年 — 改正法成立。個人情報保護委員会の設置、匿名加工情報の新設、小規模事業者除外の廃止(5,000件ルール撤廃)
- 2017年 — 改正法施行。事実上すべての事業者が対象に
- 2018年 — EUでGDPR(一般データ保護規則)施行。グローバルに個人情報保護の水準が高まる
- 2020年 — 再改正。漏洩報告義務の法定化、外国提供規制強化、利用停止請求権の拡充
- 2022年 — 改正法施行。漏洩発生から30日以内(重大事案は60日以内)の報告義務が正式に運用開始
- 2023年〜 — マイナンバー活用拡大・生成AI普及に伴い、さらなる議論・改正論点が浮上
個人情報保護法とGDPRの比較
日本のシステムを海外展開する場合や、EU在住者のデータを扱う場合はEUのGDPR(General Data Protection Regulation)も考慮が必要です。
委託先管理も忘れずに
個人情報保護法では、外部委託先(クラウドベンダー・システム会社・コールセンターなど)に個人データを取り扱わせる場合も、委託元が「監督義務」を負います。つまり、委託先が漏洩を起こしても委託元(発注企業)に責任が及ぶため、契約書への安全管理条項の明記や、定期的な監査・確認が不可欠です。
【委託関係のリスク構造】
発注企業(委託元)
├── 顧客の個人情報を保有
├── システム開発会社へ委託 ← 監督義務あり
├── クラウドサービスを利用 ← 第三者提供か委託かの区別が重要
└── コールセンターへ委託 ← 取扱規程・教育状況を確認
※ 委託先が漏洩 → 委託元にも行政処分・社会的責任が波及する関連する規格・RFC
| 規格・文書 | 内容 |
|---|---|
| 個人情報保護法(e-Gov) | 個人情報の保護に関する法律(正文) |
| OECD プライバシー8原則(1980) | 収集制限・目的明確化・利用制限・安全保護・公開・個人参加・責任など8原則。各国個人情報保護法の共通土台 |
| ISO/IEC 27701 | プライバシー情報管理システム(PIMS)の要求事項。ISO 27001の拡張規格 |
| ISO/IEC 29101 | プライバシーアーキテクチャフレームワーク。システム設計段階からプライバシーを組み込む指針 |
関連用語
- GDPR — EUの一般データ保護規則。日本の個人情報保護法より厳格で、EU居住者データを扱う全世界の企業に適用される
- 情報セキュリティポリシー — 組織が情報を守るための基本方針・ルール文書。個人情報保護と一体で整備するもの
- マイナンバー — 日本の社会保障・税番号制度。個人情報保護法の特別法「マイナンバー法」が別途適用される
- ISO 27001 — 情報セキュリティマネジメントシステム(ISMS)の国際規格。個人情報保護体制の証明として多くの企業が取得
- プライバシーポリシー — 事業者が個人情報の取り扱いについてWebサイト等で公表する文書。法律上の公表義務を果たす手段
- データガバナンス — 組織全体でデータを適切に管理・活用するための体制・ルール・プロセスの総称
- インシデントレスポンス — 情報漏洩など問題発生時の対応手順。報告義務対応においても手順整備が必須
- クラウドセキュリティ — クラウド上での個人データ管理において、委託元が確認すべきセキュリティ基準や認証