個人情報保護法の全体像
個人情報保護法(正式名称:個人情報の保護に関する法律)は、個人情報の適切な取扱いに関するルールを定めた法律です。個人の権利利益を保護しつつ、個人情報の有用性に配慮することを目的としています。
2003年の制定以降、社会情勢の変化に合わせて約3年ごとに見直しが行われており、直近では2022年4月に令和2年改正法が全面施行されました。個人情報を取り扱うすべての事業者(規模を問わず)が対象であり、中小企業も例外ではありません。
2017年の改正で「取り扱う個人情報が5,000件以下の事業者は対象外」という除外規定が撤廃されました。従業員1名の個人事業主であっても、顧客や従業員の個人情報を扱っている限り、個人情報保護法の義務を負います。
法の構成と監督機関
個人情報保護法は2023年4月の改正で、従来は民間・行政・独立行政法人・地方公共団体ごとに分かれていたルールが1本の法律に統合されました。監督機関は個人情報保護委員会(PPC)であり、報告徴収、立入検査、指導、勧告、命令の権限を持ちます。
個人情報の定義と分類
| 用語 | 定義 | 例 |
|---|---|---|
| 個人情報 | 生存する個人に関する情報で、特定の個人を識別できるもの | 氏名、顔写真、氏名+住所の組み合わせ |
| 個人識別符号 | それ単体で個人を識別できる符号 | マイナンバー、パスポート番号、指紋データ、顔認識データ |
| 要配慮個人情報 | 不当な差別や偏見が生じないよう特に配慮が必要な情報 | 人種、信条、病歴、犯罪歴、障害、健康診断結果 |
| 個人データ | 個人情報データベース等を構成する個人情報 | 顧客管理システムに登録された顧客情報 |
| 保有個人データ | 開示・訂正・削除等の権限を有する個人データ | 自社で管理している顧客データ、従業員データ |
| 仮名加工情報 | 他の情報と照合しない限り特定の個人を識別できないよう加工した情報 | 氏名を削除しIDに置換したデータ(社内分析用) |
| 匿名加工情報 | 特定の個人を識別できないように加工し、復元できないようにした情報 | 統計データ、オープンデータとして公開可能 |
事業者の主な義務
| 義務 | 内容 | 条文 |
|---|---|---|
| 利用目的の特定 | 個人情報の利用目的をできる限り特定する | 第17条 |
| 利用目的の通知・公表 | 利用目的を本人に通知するか、プライバシーポリシー等で公表する | 第21条 |
| 目的外利用の禁止 | 特定した利用目的の範囲を超えて個人情報を利用しない(同意がある場合等を除く) | 第18条 |
| 適正な取得 | 偽りや不正な手段で個人情報を取得しない | 第20条 |
| データの正確性確保 | 個人データを正確かつ最新の状態に保つよう努める | 第22条 |
| 安全管理措置 | 個人データの漏洩・滅失・毀損を防止するために必要な措置を講じる | 第23条 |
| 従業者の監督 | 従業者に個人データを取り扱わせる際に必要な監督を行う | 第24条 |
| 委託先の監督 | 個人データの取扱いを委託する場合、委託先に対して必要な監督を行う | 第25条 |
| 第三者提供の制限 | 本人の同意なく個人データを第三者に提供しない(例外あり) | 第27条 |
| 開示等の請求への対応 | 本人からの開示・訂正・利用停止等の請求に対応する | 第33〜39条 |
安全管理措置
安全管理措置は情シスが最も直接的に関わる義務です。個人情報保護委員会のガイドラインでは、以下の4つの側面で措置を講じることが求められています。
| 措置 | 内容 | 中小企業での実施例 |
|---|---|---|
| 組織的安全管理措置 | 責任者の設置、取扱規程の整備、インシデント対応体制 | 個人情報管理責任者の任命、情報セキュリティ規程の策定 |
| 人的安全管理措置 | 従業者への教育・研修、秘密保持義務の周知 | 年1回のセキュリティ研修、入社時の誓約書取得 |
| 物理的安全管理措置 | 入退室管理、機器の盗難防止、書類の施錠管理 | サーバールームの施錠、PCのワイヤーロック、書類のシュレッダー廃棄 |
| 技術的安全管理措置 | アクセス制御、暗号化、ログ管理、不正アクセス防止 | MFA導入、BitLocker暗号化、EDR導入、DLP設定 |
個人情報保護委員会のガイドラインでは、中規模以下の事業者(従業員100名以下が目安)に対して、安全管理措置の一部について簡易的な対応を認める「中小規模事業者の安全管理措置」の項目があります。ただし、これは義務の免除ではなく、実施方法の簡略化が認められているに過ぎません。
漏洩時の報告義務
2022年4月の改正で、一定の要件に該当する漏洩等が発生した場合の個人情報保護委員会への報告と本人への通知が義務化されました。
報告が必要なケース(報告対象事態)
| 類型 | 具体例 |
|---|---|
| 要配慮個人情報の漏洩 | 健康診断結果、病歴等の要配慮個人情報が漏洩した場合(1件でも報告必要) |
| 不正利用されるおそれがある漏洩 | クレジットカード番号、ID・パスワードが漏洩した場合 |
| 不正アクセス等による漏洩 | ランサムウェア攻撃、SQLインジェクション等のサイバー攻撃による漏洩 |
| 1,000人超の漏洩 | 1,000人を超える個人データが漏洩した場合 |
報告のタイムライン
| 報告 | 期限 | 内容 |
|---|---|---|
| 速報 | 事態を知った日から3〜5日以内 | 概要、漏洩した人数、発生原因(判明している範囲) |
| 確報 | 事態を知った日から30日以内(不正アクセスは60日以内) | 詳細な調査結果、再発防止策 |
| 本人通知 | 速やかに | 漏洩の事実、漏洩した情報の内容、本人が取るべき対応 |
同意取得のルール
個人情報保護法では、以下の場合に本人の同意が必要です。
- 目的外利用:特定した利用目的の範囲外で個人情報を使う場合
- 要配慮個人情報の取得:健康情報等の要配慮個人情報を取得する場合
- 第三者提供:個人データを第三者に提供する場合
- 外国への提供:外国にある第三者に個人データを提供する場合
同意が不要な例外
- 法令に基づく場合(税務調査への回答、裁判所の命令等)
- 人の生命・身体・財産の保護に必要で、本人の同意を得ることが困難な場合
- 公衆衛生の向上・児童の健全な育成のために特に必要な場合
- 委託・事業承継・共同利用に伴う提供(第三者提供に該当しない)
委託先管理
個人データの取扱いを外部に委託する場合、委託先に対する監督義務が課されます。情シスが特に注意すべきポイントです。
| 確認項目 | 具体的なアクション |
|---|---|
| 委託先の選定 | 委託先の安全管理措置の体制を事前に確認(ISMS取得の有無、セキュリティ体制等) |
| 契約の締結 | 取扱いに関する契約(秘密保持、再委託の制限、事故時の報告義務、契約終了時のデータ返却・削除) |
| 取扱い状況の把握 | 定期的な監査、報告書の提出要求、委託先のセキュリティ対策状況の確認 |
2024年、個人情報保護委員会はクラウドサービスの利用に関する注意喚起を相次いで発出しました。SaaSやクラウドサービスに個人データを保管する場合、そのクラウド事業者が個人データを「取り扱う」状態にあるかどうかで、委託に該当するか否かの判断が変わります。クラウド事業者がデータにアクセスできる場合は委託として監督義務が発生し、暗号化等でクラウド事業者がデータにアクセスできない場合は委託に該当しない場合があります。
令和4年(2022年)改正のポイント
2022年4月に全面施行された令和2年改正法の主要な変更点です。
| 改正点 | 内容 |
|---|---|
| 漏洩報告の義務化 | 一定の要件に該当する漏洩等の個人情報保護委員会への報告+本人への通知が義務化 |
| 本人の権利拡大 | 利用停止・消去の請求権が拡大(利用する必要がなくなった場合にも請求可能に) |
| 仮名加工情報の新設 | 社内での分析目的に限定した「仮名加工情報」の制度を新設 |
| 個人関連情報の規律 | Cookie等の個人関連情報を個人データと紐づけて利用する場合の規律を新設 |
| 罰則の強化 | 命令違反の法人罰金を最大1億円に引き上げ(改正前は30万円) |
| 外国への提供の強化 | 外国にある第三者への提供時に、移転先の国の個人情報保護制度の情報提供が必要に |
次期改正(3年ごと見直し)の動向
個人情報保護委員会は2023年11月から「3年ごと見直し」の検討を開始し、2024年6月に中間整理を公表しました。今後の改正で検討されている主な論点は以下の通りです。
| 論点 | 内容 | 企業への影響 |
|---|---|---|
| 課徴金制度の導入 | 現行の罰金(刑事罰)に加え、行政処分としての課徴金を新設 | 違反時の金銭的リスクが大幅に増大 |
| 団体訴訟制度 | 消費者団体が事業者に対して差止請求・被害回復を行える制度 | 集団訴訟のリスクが発生 |
| 同意規制の見直し | 個人の権利利益に直接影響しない場合の同意取得義務の緩和 | データ利活用の幅が拡大する可能性 |
| 漏洩報告の緩和 | 意味のない情報(社内ID等)のみの漏洩は本人通知を不要に | 報告負荷の軽減 |
| 委託先への規律 | 委託先に対する直接的な義務の強化 | 委託先管理の厳格化 |
| 子どもの個人情報 | 子どもの個人情報の取扱いに関する特別な規律の検討 | 教育機関、子ども向けサービスへの影響 |
| 生成AIへの対応 | AI開発・学習における個人情報の取扱いルールの明確化 | AI導入企業への影響 |
改正法の成立は2025年秋以降になる見込みです。課徴金制度の導入が実現すれば、違反時の金銭的リスクが大幅に増大するため、中小企業も対応を強化する必要があります。
中小企業の実務チェックリスト
情シスが主導して確認すべき項目をチェックリストにまとめます。
| # | チェック項目 | 対応状況 |
|---|---|---|
| 1 | プライバシーポリシーが最新の法律に対応した内容で公開されているか | □ |
| 2 | 個人情報の利用目的が具体的に特定・公表されているか | □ |
| 3 | 個人情報管理台帳(取扱う個人情報の一覧)が整備されているか | □ |
| 4 | 安全管理措置(組織的・人的・物理的・技術的)が実施されているか | □ |
| 5 | 全従業員を対象とした個人情報保護の研修を年1回以上実施しているか | □ |
| 6 | 漏洩時の対応手順(報告先、タイムライン、本人通知方法)が策定されているか | □ |
| 7 | 委託先との契約に秘密保持・安全管理・事故報告条項が含まれているか | □ |
| 8 | 技術的対策(MFA、暗号化、EDR、DLP)が実施されているか | □ |
| 9 | 退職者のアカウント無効化・データ削除が即時に行われているか | □ |
| 10 | 本人からの開示・訂正・削除請求に対応する窓口が設置されているか | □ |
BTNコンサルティングの情シス365では、個人情報保護法に基づく技術的安全管理措置の実装を支援しています。MFA導入、DLP設定、退職者対応の自動化、委託先のセキュリティ監査支援まで、情シスの法令対応をサポートします。
→ 情報漏洩対策の完全ガイド
→ 情報セキュリティ規程の作り方
まとめ
個人情報保護法は企業規模を問わずすべての事業者に適用され、安全管理措置の実施、漏洩時の報告義務、委託先の監督が中核的な義務です。次期改正では課徴金制度の導入が検討されており、違反時の金銭的リスクが大幅に増大する可能性があります。情シスは技術的安全管理措置(MFA・暗号化・DLP・EDR)の整備と、漏洩時の対応手順の策定から着手しましょう。