• 一般知識ー1.個人情報保護
  • 1.個人情報の保護に関する法律(個人情報保護法)
  • 個人情報の保護に関する法律(個人情報保護法)
  • Sec.1

1個人情報の保護に関する法律(個人情報保護法)

堀川 寿和2021/12/07 14:56

目的(§1)

 個人情報保護法は、「高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることに鑑み、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにするとともに、個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする」法律である。


Point 個人情報保護法は、いわゆる基本法的な部分と民間部門を規制する一般法としての部分から成り立っている。


定義(§2)

 個人情報保護法は、保護の対象となる情報を「個人情報」、「個人データ」および「保有個人データ」の3つに区分し、この区分ごとに、これらの情報を取り扱う「個人情報取扱事業者」が守るべき義務を定めている。

 そこで、個人情報保護法では、個人情報、個人データ、保有個人データおよび個人情報取扱事業者が定義されている。


(1) 個人情報

① 個人情報

 「個人情報」とは、生存する個人に関する情報であって、次のいずれかに該当するものをいう。

(a) 当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む
(b) 個人識別符号が含まれるもの

 個人情報は、「生存する個人」に関する情報であるので、死者に関する情報は個人情報に該当しない。ただし、死者に関する情報が、同時に、遺族等の生存する個人に関する情報でもある場合は、その生存する個人に関する個人情報に該当する。

 また、個人情報は「個人」に関する情報とされ、国籍や年齢は要件とされていないので、外国人に関する情報や未成年者に関する情報であっても、個人情報になる。それに対して、法人は個人ではないので、法人に関する情報は個人情報ではない。ただし、法人の役員の情報は個人情報に該当するので、保護の対象となる。


Point 氏名も個人情報に含まれる。


② 個人識別符号

 「個人識別符号」とは、次のいずれかに該当する文字、番号、記号その他の符号のうち、政令で定めるものをいう。

(a) 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換(データ化)した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの
(b) サービスの利用者などに割り当てられた、または、個人に発行されるカードなどの書類に記載された文字、番号、記号その他の符号であって、特定の利用者や個人を識別することができるもの

 (a)の例としては、指紋データ、顔認識データなどがあげられる。(b)の例としては、個人番号(マイナンバー)、旅券番号、基礎年金番号、運転免許証番号などがある。

 個人識別符号は、それ自体が個人情報となる。


Point 携帯電話番号、メールアドレス、クレジットカード番号などは、政令で定められておらず、個人識別符号ではない。


③ 要配慮個人情報

 個人情報のうち一定のものについては、「要配慮個人情報」として、その取得や第三者への提供について他の個人情報とは異なる特に厳しい規制が設けられている。

 「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。

 政令で定める記述等とは、次の事項のいずれかを内容とする記述等である。

(a) 身体障害、知的障害、精神障害(発達障害を含む)その他の個人情報保護委員会規則で定める心身の機能の障害があること
(b) 本人に対して医師その他医療に関連する職務に従事する者(医師等)により行われた疾病の予防および早期発見のための健康診断その他の検査(健康診断等)の結果
(c) 健康診断等の結果に基づき、または疾病、負傷その他の心身の変化を理由として、本人に対して医師等により心身の状態の改善のための指導または診療もしくは調剤が行われたこと
(d) 本人を被疑者または被告人として、逮捕、捜索、差押え、拘留、公訴の提起その他の刑事事件に関する手続が行われたこと
(e) 本人を少年法に規定する少年またはその疑いのある者として、調査、観護の措置、審判、保護処分その他の少年の保護事件に関する手続が行われたこと


Point 病歴や犯罪歴も個人情報に含まれる。


(2) 個人データ

① 個人データ

 「個人データ」とは、個人情報データベース等を構成する個人情報をいう。

② 個人情報データベース等

 「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に該当するものである。

(a) 特定の個人情報を電子計算機(コンピュータ)を用いて検索することができるように体系的に構成したもの
(b) 特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの

 (a)は、コンピュータで処理できるようにデータ化されたものであり、例としては、メールソフトのアドレス帳などがあげられる。

 (b)の政令で定めるものとは、個人情報を一定の規則に従って整理することにより特定の個人情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次、索引その他検索を容易にするためのものを有するものをいう。例えば、五十音順にインデックスを付けてファイルした名刺などである。


Point 個人情報保護法は、コンピュータ処理された個人情報のみを規律の対象とするわけではない。


③ 個人情報データベース等に該当しないもの

 なお、利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものは、個人情報データベース等から除かれる。この政令で定めるものとは、次のいずれにも該当するものである。

(a) 不特定かつ多数の者に販売することを目的として発行されたものであって、かつ、その発行が法または法に基づく命令の規定に違反して行われたものでないこと
(b) 不特定かつ多数の者により随時に購入することができ、またはできたものであること
(c) 生存する個人に関する他の情報を加えることなくその本来の用途に供しているものであること

 例えば、市販の電話帳やカーナビゲーションシステム等のナビゲーションシステムに格納されている氏名や住所を示すデータ等が、この個人情報データベース等から除外されるものにあたる。


(3) 保有個人データ

① 保有個人データ

 「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加・削除、利用の停止、消去および第三者への提供の停止を行うことのできる権限を有する個人データをいう。

② 保有個人データに該当しないもの

 「個人データの存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの」は保有個人データから除かれる。

 政令で定めるものとは、以下のものである。

(a) 当該個人データの存否が明らかになることにより、本人または第三者の生命、身体または財産に危害が及ぶおそれがあるもの
(b) 当該個人データの存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれがあるもの
(c) 当該個人データの存否が明らかになることにより、国の安全が害されるおそれ、他国もしくは国際機関との信頼関係が損なわれるおそれまたは他国もしくは国際機関との交渉上不利益を被るおそれがあるもの
(d) 当該個人データの存否が明らかになることにより、犯罪の予防、鎮圧または捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの


図 個人情報保護法が定める「個人に関する情報」の相関関係


(4) 個人情報取扱事業者

 個人情報保護法の規制の対象となるのが個人情報取扱事業者である。

① 個人情報取扱事業者

 個人情報取扱事業者とは、個人情報データベース等を事業の用に供している者をいう。

 メールソフトのアドレス帳などでも個人情報データベース等に該当するため、現実には、ほとんどの事業者がこの定義に当てはまることになる。

 なお、外部に情報提供する目的で個人情報データベース等を作成・管理しているだけのデータベース事業者も、個人情報取扱事業者となる。

 事業者は法人だけに限らず、また、事業が営利・非営利を問わないため、個人事業主や、NPO・自治会などの非営利組織であっても、個人情報取扱事業者となる。

② 個人情報取扱事業者に該当しないもの

 次の者は、個人情報保護法の規制の対象となる個人情報取扱事業者から除外される。これらの者については、行政機関個人情報保護法など、別の法律・条例で規制されているからである。

(a) 国の機関
(b) 地方公共団体
(c) 独立行政法人等
(d) 地方独立行政法人



個人情報取扱事業者等の義務Ⅰ(「個人情報」に関する義務)

(1) 個人情報の利用目的

① 利用目的の特定(§15Ⅰ)

 個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用目的をできる限り特定しなければならない。

② 利用目的の変更(§15Ⅱ)

 個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。

③ 変更した利用目的の公表(§18Ⅲ)

 個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、または公表しなければならない。

④ 利用目的による制限(§16Ⅰ)

 個人情報取扱事業者は、原則として、あらかじめ本人の同意を得ないで、特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。

⑤ 利用目的による制限の例外(§16Ⅲ)

 次の(a)~(d)の場合は、利用目的による制限が適用されない。

(a) 法令に基づく場合
(b) 人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
(c) 公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
(d) 国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事項の遂行に支障を及ぼすおそれがあるとき


(2) 不適正な利用の禁止(§16の2)

 個人情報取扱事業者は、違法または不当な行為を助長し、または誘発するおそれがある方法により個人情報を利用してはならない。


(3) 個人情報の適正な取得

① 適正な取得(§17Ⅰ)

 個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。

② 要配慮個人情報の取得(§17Ⅱ)

 個人情報取扱事業者は、原則として、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。

③ 取得後の利用目的の通知等(§18Ⅰ)

 個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、または公表しなければならない。

④ 直接書面等による取得(§18Ⅱ)

 個人情報取扱事業者は、「取得後の利用目的の通知等」(§18Ⅰ)の規定にかかわらず、本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体または財産の保護のために緊急に必要がある場合は、この限りでない。

⑤ 変更された利用目的の通知等(§18Ⅲ)

 個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。


(4) 苦情処理の努力規定(§35)

 個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。