個人情報保護法とは？具体例や改正内容、違反した場合の罰則について解説

この法律は、デジタル社会の進展に伴い個人情報の利用が著しく拡大していることに鑑み、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにし、個人情報を取り扱う事業者及び行政機関等についてこれらの特性に応じて遵守すべき義務等を定めるとともに、個人情報保護委員会を設置することにより、行政機関等の事務及び事業の適正かつ円滑な運営を図り、並びに個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。

引用：個人情報保護法1条

個人情報を取り扱う企業が個人情報保護法を遵守することにより、個人情報の漏えいを防ぎ、個人のプライバシーを守ることができます。

個人情報保護法が施行された背景には、情報技術の発展とそれに伴う個人情報の流通量の増加があります。インターネットやデジタルデバイスの普及により、個人情報は容易に収集・利用されるようになりました。個人情報の漏えいや不正利用を防ぐために、個人情報保護法によってその取り扱いを厳格に規制しているわけです。

2. 個人情報保護法で定義されている主な用語

■個人情報

個人情報保護法における「個人情報」とは、生存する個人に関する情報で、特定の個人を識別できるものを指します。氏名、住所、電話番号、メールアドレスなどが該当します。これらの情報が組み合わさることで特定の個人を識別できる状態になる場合も、個人情報として扱われます。

この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。

一　当該情報に含まれる氏名、生年月日その他の記述等（文書、図画若しくは電磁的記録（電磁的方式（電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。）で作られる記録をいう。以下同じ。）に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項（個人識別符号を除く。）をいう。以下同じ。）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）

二　個人識別符号が含まれるもの

引用：個人情報保護法2条

【関連記事】

個人の情報とは？定義や具体例を解説

■要配慮個人情報

要配慮個人情報とは、個人のプライバシーや人権に特に影響を与える可能性がある情報です。具体的には、人種や信条、社会的身分、病歴、犯罪歴、その他の社会的差別の原因となる情報などが該当します。

この法律において「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。

引用：個人情報保護法2条3項

■仮名加工情報

仮名加工情報とは、個人情報を特定の個人と結びつけることができないように加工した情報のことです。仮名加工情報の加工では、個人を特定できる名前や住所といった情報を別の符号に置き換えることで、個人を特定することができない状態にします。

この法律において「仮名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいう。

一　第一項第一号に該当する個人情報　当該個人情報に含まれる記述等の一部を削除すること（当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。）。

二　第一項第二号に該当する個人情報　当該個人情報に含まれる個人識別符号の全部を削除すること（当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。）。

引用：個人情報保護法2条5項

■匿名加工情報

匿名加工情報とは、個人情報の一部を加工して特定の個人を識別できないようにした情報です。匿名加工情報を作成する際には、特定の個人を識別するために用いられる記述や個人識別符号を削除したり、他の情報と照合しても個人が特定できないように加工したりする必要があります。

この法律において「匿名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。

引用：個人情報保護法2条6項

■個人関連情報

個人関連情報とは、生存する個人に関する情報のうち、個人情報・仮名加工情報・匿名加工情報のいずれにも該当しない情報を指します。

この法律において「個人関連情報」とは、生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。

引用：個人情報保護法2条7項

■特定個人情報

特定個人情報とは、マイナンバー（個人番号）を含む情報です。具体的には、マイナンバーが記載された書類やデータ、またはそれに関連する情報が該当します。特定個人情報は個人の識別に直接結びつくため、通常の個人情報よりも厳格な管理が求められています。

個人番号（個人番号に対応し、当該個人番号に代わって用いられる番号、記号その他の符号であって、住民票コード以外のものを含む。番号法第７条第１項及び第２項、第８条並びに第48条並びに附則第３条第１項から第３項まで及び第５項を除く。）をその内容に含む個人情報をいう。

【番号法第２条第９項】

※　生存する個人の個人番号についても、特定個人情報に該当する（個人情報保護法第２条第１項第２号、番号法第２条第９項）。

引用：特定個人情報の適正な取扱いに関するガイドライン（事業者編）

■個人データ

個人データとは、個人情報データベース等を構成する個人情報です。たとえば、企業の顧客データベースに保存されている個人情報は、個人データに該当します。

この章において「個人データ」とは、個人情報データベース等を構成する個人情報をいう。

引用：個人情報保護法16条3項

■保有個人データ

保有個人データとは、企業や団体が一定期間にわたり保有し、本人からの開示や訂正、利用停止の請求に応じることができる個人データを指します。具体的には、個人情報を含むデータベースの中で、企業が管理し続けるデータが該当します。

この章において「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの以外のものをいう。

引用：個人情報保護法16条4項

■個人情報データベース

個人情報データベースとは、個人情報を一定の基準で整理し、検索や利用が容易にできるようにした情報の集まりを指します。具体的には、コンピュータシステム上で検索できるように体系的に構成されたデータベースや紙媒体で管理されるファイルなどが該当します。

この章及び第八章において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの（利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。）をいう。

一　特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの

二　前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの

引用：個人情報保護法16条

3. 個人情報保護法改正のポイント

2022年4月に施行された個人情報保護法改正では、個人情報の開示方法や利用停止・消去の請求に関する手続き、報告・通知義務、仮名加工情報・個人関連情報の導入などについて改正が行われました。

改正の目的は、個人情報の保護を強化し、情報の利用や管理に関する透明性を高め、個人情報を提供する消費者の信頼を確保し、企業の社会的責任を果たすことです。個人情報保護法改正により、個人情報を取り扱う企業は個人情報の管理体制を見直し、法令に準じた運用を行う必要があります。

■開示方法

個人情報保護法の改正により、保有個人データの開示の形式が多様化しました。従来は原則として書面での開示が必要でしたが、改正後は電子メールやオンラインシステムを通じた開示が可能です。また、個人データの第三者提供記録の開示請求や提供元と提供先それぞれに対して開示請求が可能になっています。

■利用停止・消去の請求

個人情報保護法の改正前では、目的外利用や不正取得のみ利用停止・消去が可能で、第三者への提供ができるのは第三者提供義務違反の場合に限定されていました。

一方、改正後は一部の個人情報保護違反や個人の権利又は正当な利益が害されるおそれがある場合においても、利用停止・消去の請求が可能です。

■漏えい時の報告・通知義務

個人情報保護法の改正前では、漏えいが発生した際の報告・通知は努力義務に留まっていました。一方、改正後は個人情報保護委員会への報告および本人への通知が義務化されています。

■仮名加工情報・個人関連情報

2022年4月に施行された個人情報保護法改正では、仮名加工情報と個人関連情報という概念が新たに導入されました。

4. 個人情報保護法に違反した場合の罰則

個人情報保護法に違反した場合や個人情報保護委員会の措置命令に従わなかった場合、違反した個人に対しては1年以下の懲役または100万円以下の罰金や企業に対しては1億円以下の罰金などの罰則が科される可能性があります。

第百四十八条第二項又は第三項の規定による命令に違反した場合には、当該違反行為をした者は、一年以下の拘禁刑又は百万円以下の罰金に処する。

引用：個人情報保護法178条

法人の代表者又は法人若しくは人の代理人、使用人その他の従業者が、その法人又は人の業務に関して、次の各号に掲げる違反行為をしたときは、行為者を罰するほか、その法人に対して当該各号に定める罰金刑を、その人に対して各本条の罰金刑を科する。

一　第百七十八条及び第百七十九条　一億円以下の罰金刑

二　第百八十二条　同条の罰金刑

引用：個人情報保護法184条

■報告・立入検査

個人情報保護法の義務規定に違反した場合、個人情報保護委員会から情報の提供を求められたり、個人情報保護委員会の職員による現地調査が行われたりする可能性があります。

報告の際には、個人情報の漏えいや不正利用の詳細、原因、影響範囲、再発防止策など、具体的な説明が必要です。立入検査は個人情報保護委員会が必要と判断した場合に実施され、企業の情報管理体制や実際の運用状況が直接確認され、改善のための具体的な指導が行われます。

委員会は、第四章（第五節を除く。次条及び第百五十一条において同じ。）の規定の施行に必要な限度において、個人情報取扱事業者、仮名加工情報取扱事業者、匿名加工情報取扱事業者又は個人関連情報取扱事業者（以下この款において「個人情報取扱事業者等」という。）その他の関係者に対し、個人情報、仮名加工情報、匿名加工情報又は個人関連情報（以下この款及び第三款において「個人情報等」という。）の取扱いに関し、必要な報告若しくは資料の提出を求め、又はその職員に、当該個人情報取扱事業者等その他の関係者の事務所その他必要な場所に立ち入らせ、個人情報等の取扱いに関し質問させ、若しくは帳簿書類その他の物件を検査させることができる。

引用：個人情報保護法146条1項

■指導・助言

個人情報保護法の義務規定に違反した場合、個人情報保護委員会から指導や助言が行われる場合があります。指導・助言の具体的な内容は違反の内容や状況により異なりますが、一般的には個人情報の取扱い方法の見直しや内部体制の強化、社員教育の徹底などが行われます。

委員会は、第四章の規定の施行に必要な限度において、個人情報取扱事業者等に対し、個人情報等の取扱いに関し必要な指導及び助言をすることができる。

引用：個人情報保護法147条

■勧告・命令

個人情報保護法の義務規定に違反した場合、個人情報保護委員会から「勧告」や「命令」が下されることがあります。勧告とは、企業や団体に対して違反行為を是正するよう促すものです。法的拘束力はありませんが、社会的な信用を大きく損なう可能性があります。一方、命令は勧告に従わなかった場合に発されるもので、命令を無視した場合、罰金や懲役といった刑事罰が科される可能性があります。

個人の権利利益を保護するため必要があると認めるときは、当該個人情報取扱事業者等に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべき旨を勧告することができる。

引用：個人情報保護法148条1項

5. まとめ

今回は、個人情報保護法の概要や具体例、改正内容、違反した場合の罰則について解説しました。

個人情報保護法は、個人のプライバシーを守るために制定された法律です。個人情報を扱う企業が顧客や取引先との信頼関係を築くためには、個人情報保護法を正しく理解し、法に従って適切に取り扱う必要があります。本記事で解説した改正内容や違反した場合の罰則を参考に社内での情報管理体制を見直し、法律に基づいた適切な行動を心がけましょう。

アトミテックでは、委託先リスク管理の手順をまとめた委託先リスク管理ガイドを公開しています。ぜひ自社の委託先管理の参考になさってください。