個人情報保護法（個情法）とは？改正のポイントと企業の対応を解説

近年、個人情報保護の重要性が高まり、個人や企業が個人情報保護法を正しく理解し、適切に情報を管理することが欠かせない時代となりました。

本記事前半では個人情報保護法の概要と改正後のポイントを解説し、後半では企業が行うべき対応について紹介します。

個人情報保護法とは

個人情報保護法（正式名称：個人情報の保護に関する法律）は、2003年5月に制定され、2005年4月に全面施行された法律です。個人情報の有用性に配慮しながら、個人の権利や利益を保護することを目的としています。

具体的には、氏名や性別、生年月日、住所といった「個人に関する情報」を医療や行政などのサービス向上や業務効率化に活用しつつ、適切に個人情報を保護するというものです。

個人情報保護法が制定された背景

個人情報保護法が作られた背景には、主に下記の3つが挙げられます。

• インターネットやデジタル技術の急速な進化
• 消費者の個人情報に対する権利意識の高まり
• 国際的な個人情報保護に関する法律の制定の広がり

インターネットの普及により、国際的に個人情報の保護に関する意識の高まったことが制定された背景として挙げられます。現代は急速なデジタル技術の普及によって、個人情報は誰でも簡単に収集し共有が可能になりました。

そんな中、個人情報の不正利用やプライバシーの侵害が問題視されるようになり、個人情報の不正利用やプライバシーの侵害によって個人も企業も被害に遭うリスクが高まっています。

個人情報とは

個人情報保護法で定義されている「個人情報」とは生存する個人に関する情報のことです。亡くなった方の情報は個人情報には含まれません。

また、特定の個人を識別できる情報は個人情報に該当します。単体で特定できなくても他の情報との組み合わせで識別できる場合には、個人情報に該当するので注意が必要です。

どのような情報が「個人情報」になるのか

引用：政府広報オンライン「「個人情報保護法」をわかりやすく解説

個人情報の取扱いルールとは？」

個人情報にあたる情報は主に下記です。

• 氏名
• 住所
• 電話番号
• 顔写真
• 電子メールアドレス
• 生年月日や年齢
• マイナンバー
• パスポート番号や運転免許証番号
• 保険証番号
• 銀行口座やクレジットカード情報
• 指紋、音声、虹彩
• DNA
• ソーシャルメディアのアカウント情報

個人情報は、個人を特定できる情報であり、プライバシー侵害の可能性がある情報であるため、適切な保護が必要です。

個人情報の中にはメールアドレスや電話番号といった、単体で個人が特定できない情報も含まれています。単体で個人を特定できなくても、氏名や住所など他の情報と照合して個人の特定が可能な場合は、個人情報にあたります。

「個人情報」「個人データ」「保有個人データ」の違い

個人情報保護法における個人にまつわる情報は「個人情報」「個人データ」「保有個人データ」の3つに区分されます。

個人情報とは、上記で述べたように氏名、住所、生年月日などの個人に関する情報のことを指します。

個人データとは、個人に関するデータ全般のことです。例えば、商品やサービスを購入した際にはデータが生成され、個人の「購買履歴」としてデータが残ります。具体的なデータの内容は、購入した商品、購入した日時と場所、購入金額や支払い方法などです。購買履歴を企業側が活用することで、個人の消費傾向や好みを分析し、広告や商品の提供が最適化しやすくなります。

保有個人データとは、特定の組織や企業が個人データを所有、管理しているデータそのものを指します。保有個人データの内容は個人情報や個人データの一部です。組織や企業は、個人データを適切に保護し、プライバシーを尊重することが求められます。

改正個人情報保護法のポイント（2022年4月施行）

個人情報保護法は2005年に施行されてから3回改正されてきました。3年ごとの見直し規定に基づき、2020年4月の改正内容は2022年4月に全面施行されています。

改正個人情報保護法のポイントは下記の5つです。それぞれ詳しく解説していきます。

• 個人の権利が拡充
• 事業者の責務が追加
• 外国事業者に対しての規定変更
• ペナルティの強化
• データ活用の促進

個人の権利が拡充

1つ目のポイントは、個人情報の利用停止や消去の請求権の拡充です。

同請求ができるケースは下記の通りです。

また、個人データの第三者提供記録の開示請求は提供元、提供先それぞれに請求ができるようになりました。

さらに、保有個人データの開示方法は元々書面交付が原則でしたが、改正後は電磁的記録（メールやサイトからのダウンロードなど）での開示が可能となり、利便性が増しています。6ヶ月以内に消去する保有個人データの開示や利用停止や消去もできるようになりました。

事業者の責務が追加

2つ目は個人情報を取り扱う企業やサービス提供者への責務の追加です。改正により個人情報やプライバシーの保護はより強固になりました。

改正後のポイントは下記の通りです。

• 漏えい、滅失、毀損の報告や通知の義務化：個人の権利や利益に悪影響を及ぼすおそれがある場合、事業者は報告または通知する義務が追加
• 不当な行為の禁止：違法行為だけでなく、不当な行為の助長も禁止に

改正個人情報保護法では、漏えい（外部への漏出）、滅失（内容の消失）、毀損（意図しない内容変更や利用不能になること）の報告や通知が義務化され、事業者の責務が追加されました。

外国事業者に対しての規定変更

3つ目のポイントは、外国事業者に対しての規定変更です。改正によって海外からサービスを提供する企業も日本のルールを守る必要ができました。

改正個人情報保護法における新たな要件や変更点は下記の通りです。

外国事業者に対しても不適正な利用を禁止し、違反があれば個人情報保護委員会が指導、助言、勧告、命令でき、国外の企業も法的責任を負うこととなりました。

ペナルティの強化

4つ目のポイントとして、改正個人情報保護法では、違反や虚偽報告を抑止するため、法令違反があった際のペナルティ内容が強化されました。

改正前後での罰則内容の変化は下記の通りです。

新しいデータの分類

5つ目のポイントは、「新しいデータの分類」です。今回の改正で、「仮名加工情報」と「個人関連情報」というデータの分類が新たに定義されました。

仮名加工情報は個人情報よりも報告や通知の義務が緩和されるため取り扱いやすい特徴があります。

個人関連情報を第三者に提供する場合には、提供元が本人の同意を得ているか確認する必要があるため注意しましょう。

個人情報保護法と企業のかかわり

ここまで個人情報とは何か、改正のポイントとともに解説してきました。個人情報保護法の義務が課されるのは「個人情報取扱事業者」のみです。ここからは、個人情報取扱事業者と、漏えいが発生した場合の対処法を解説します。

「個人情報取扱事業者」とは

個人情報取扱事業者とは、前述した「保有個人データ」を企業の事業のために使用している企業のことです。

保有個人データとは、氏名や住所などの個人情報や個人データと呼ばれる購買履歴、オンライン行動データのことです。保有個人データを収集、保管、利用、提供している企業はすべて個人情報取扱事業者に該当します。

個人情報保護法2条5項では、「個人情報データベース等を事業の用に供している者」と明記されています。

個人情報、個人データの漏えいが発生した場合の対処法

万が一、企業が管理している個人情報や個人データが漏えいした場合には、速やかに個人情報保護委員会に報告し、本人への通知を行わなくてはなりません。具体的には下記のようなケースは、個人情報保護委員会への報告が必要です。

• 要配慮個人情報の漏えい
• 財産的被害のおそれがある漏えい
• 不正アクセスや盗難による漏えい
• 1,000人を超える個人データの漏えい

要配慮個人情報とは、不当な差別や偏見その他の不利益が生じないように情報の取扱いには特に配慮が求められるものです。具体的には、診療情報や調剤情報、健康診断の結果などの病歴、人種や信条、前科前歴が挙げられます。

従来は、個人情報保護委員会への報告や本人への通知は努力義務でしたが、法改正により義務となったので注意しましょう。

個人情報保護を怠るとどうなる？

企業が個人情報保護を怠ると、データ漏えいのリスクが高まるだけでなく利用者からの信頼を失うことにも繋がります。個人情報保護法の規制違反、主務大臣の勧告や命令に従わない場合には、6ヶ月以下の懲役、30万円以下の罰金が企業に科されます。

個人情報を適切に扱うことは企業の信頼度を守り、経済的な損失を発生させないためにも日頃から個人情報の保護を徹底していくことが欠かせません。

企業がするべき3つのこと

最後に、個人情報を正しく管理するために企業がするべき3つのことを紹介します。

• 個人情報の管理方法を確認、徹底
• 情報開示や利用停止を求められた時の対応準備
• ITシステムやセキュリティシステムの導入

個人情報保護法、及び個人情報保護法は改正されるということを理解した上で、しかるべき対応・体制強化を行いましょう。

1.最新の状況に対する管理体制の見直し

社内での個人情報の管理体制を改めて見直しましょう。現状の管理体制・方法が改正された個人情報保護法に適していないケースもあり注意が必要です。改正内容を踏まえて、見直しが必要かを検討してください。

例えば、最新の個人情報保護法について定期的に情報キャッチアップを行う担当者を決めることなどはシンプルですが、有効な対策の一つです。

また、管理方法を確認する際には、自社だけでなく、情報の提供先（取引先など）での利用状況まで確認しましょう。

2.万が一の時のための準備

改正後の個人情報保護法では、情報の開示請求や利用停止の請求の対象範囲が拡大しました。今後も、従来は問題がなかったことが突然法に触れる場合もありえます。

万が一の時の対処として、法に触れてしまった場合の対応手順（報告担当者・情報提供する際の形式・通知方法の検討など）についても事前に決めておくことをおすすめします。

漏えいによる被害や損失の拡大を防ぐには迅速な対応が欠かせません。対応が遅れることで企業の信頼失墜に繋がりかねないため、事前に整備しておきましょう。

3.ITシステムやセキュリティシステムの導入

社内で個人情報の管理を徹底していても、外部からの不正アクセス対策が不十分なままでは、情報漏えいの危険性は高いままです。

近年、マルウェアによる標的型攻撃のサイバー犯罪も増えています。標的型攻撃とは、企業が管理している個人情報といった機密情報を盗み取るために、関係者や取引先を装ってマルウェアが添付されたメールを送信する手口です。

添付されたマルウェアは通常の添付ファイルにも見えますが、開封すると組織内のネットワークが感染してしまうという仕組みです。

ITシステムやセキュリティシステムを導入することで、悪質なサイバー攻撃から個人情報を守る体制をより強固にできます。

個人情報保護法を正しく理解した上での対策が必須

今回は、個人情報保護法について解説してきました。2005年4月に全面施行されてから改正を繰り返しているため、改正後を正しく理解できないままという企業も多いのも実情です。

改正後は開示請求の幅が拡大したり、報告や通知が義務付けられたりと変更点が多くあります。変更点を正しく理解した上で、現状の個人情報の管理体制を見直し、万が一の際の対応を準備しておきましょう。

また、企業が保有する個人情報を狙ったサイバー攻撃の被害も増えてきています。個人情報保護の観点で、自社のITシステムやセキュリティシステムが整っているかを確認しておくことをおすすめします。

ノートン360のセールス

ノートン360は世界シェアNo,1のセキュリティソフトです。世界中のセキュリティデータと数十年にわたる経験を活かし、世界中で日々増え続けるランサムウェア対策として有効です。実に1分間に数千もの脅威をブロックしております。またノートンは「ノートン™ID アドバイザー」という、常にダークウェブ をパトロールし、あなたの個人情報が流出した際に通知してくれるサービスも展開しております。また通知するだけではなく、個人情報の不正利用被害にあった際は、復旧支援スペシャリストがトラブル解決をお手伝いいたします。