個人情報取り扱いの注意点！改正個人情報保護法のポイントをわかりやすく解説

個人情報取り扱いの注意点を社員に周知徹底しよう

企業の信頼を守るため、個人の権利を保護して情報を適切に活用するため、個人情報の取り扱いには細心の注意を払わなければいけません。
個人情報保護法では、個人情報を扱う事業者に対して、義務や違反した場合の罰則を定めています。

企業でも、個人情報の利活用に対して必ずルールを定めて対応するようにしましょう。
個人情報保護法の内容や最新の改正について、研修などで周知徹底することも大切です。

※この記事を書いている「創業手帳」ではさらに充実した情報を分厚い「創業手帳・印刷版」でも解説しています。無料でもらえるので取り寄せしてみてください

個人情報取り扱いの基礎知識

インターネットの発達、社会やビジネス環境の変化とともに個人情報を取り扱う機会も増加しました。
多くの企業にとって、個人情報は身近なテーマとなっています。

2005年に施行された個人情報保護法は、個人情報を適正に活用して生活を豊かにすること、そして個人が持つ権利や利益を保護することが目的です。
個人情報保護法では、事業者が個人情報を取り扱うときの義務や罰則も規定しています。
個人情報取り扱いの基礎知識について紹介します。

個人情報とは

社会には様々な情報が氾濫しています。個人情報保護法が対象としているのは、その中の個人情報だけです。
当たり前ではありますが、個人情報でない情報では個人情報保護法は適用されません。

個人情報保護法2条1項では、個人情報の定義が定められています。
以下のいずれかに該当するものは個人情報です。

①その中に含まれる内容によって、特定の個人を識別することができる情報
⓶その中に含まれる内容と、ほかの情報とを容易に照合できて、それによって特定の個人を識別することができる情報
③その情報の中に個人識別符号が含まれる情報

例えば、名刺や顔写真は個人を識別できる情報なので、個人情報に該当します。
個人識別符号とは、個人の身体の情報をコンピューター処理のために変換した情報です。
例えば、指紋や虹彩が該当します。
指紋認証で解除できるスマホやコンピューターは、内部にその個人のデータを保存しています。
このような情報も、個人情報保護法の対象です。

さらに、個人情報保護法2条1項は、生存する個人に関する情報と定めています。
つまり、すでに亡くなっている人の情報は個人情報保護法に該当しません。
個人情報と似た言葉に、個人データもあります。
個人データは、個人情報情報のうちで特定の個人情報を検索できるように構成したものを言います。

個人情報保護法の目的

個人情報保護法は、その名前からわかるように個人情報を保護するための法律です。
しかし、個人情報保護法の目的はそれだけに留まりません。

個人情報保護法は、個人情報を保護するとともに個人情報を活用することも目的としています。
個人情報保護法1条において、個人情報を適切かつ有効に利用すれば社会の発展に役立つ一方、個人の権利は守らなければならないと両方について言及されています。
個人情報を扱う企業に義務が課されているのは、この目的を達成するためです。

企業は個人情報の有効活用のためにどのように個人情報を取り扱えばいいのか、どういった義務が自社に課されているのかを理解しなければいけません。

改正個人情報保護法が施行されるまでの流れ

個人情報保護法が施行されたのは、2005年4月のことです。
その後2015年に改正されて以来、社会の変化にともなって内容の見直しが行われています。
3年ごとの見直し規定が盛り込まれたことで、国際的な動向や情報技術の発展を勘案した内容となっています。

2020年に個人情報保護法が改正され、2022年4月1日に施行されました。これは、3年ごとの見直し規制に基づいた初めての改正です。
個人データの利活用や国を越えたデータ流通の活発化に対応するための内容となっています。
改正前の個人情報保護法に対応してきた企業も、法改正後のポイント押さえておきましょう。

2022年施行改正個人情報保護法は何が変わった？

2022年に施行された改正個人情報保護法は、今までの個人情報保護法と比較して多くの違いがあります。
どのような違いがあるのか、項目ごとに分けて紹介します。

個人の権利のあり方

以前の個人情報保護法では、個人情報の利用停止や消去ができるのは目的外利用や不正取得の場合に限定されていました。
第三者提供の禁止ができるのも、第三者提供義務違反の場合だけです。

今回の改正により、不正取得などの法違反に加えて個人の権利または正当な利益が害される恐れがある場合にも請求権を行使できるように緩和されました。
現行の請求権に加えて、利用する必要がなくなった場合や重大な漏えいが発生した場合、本人の利益が害される場合にも拡充されています。

事業者の守るべき責務のあり方

現行法では、個人データの漏えいや滅失、棄損があったとしても、個人情報保護委員会への報告や本人への通知の義務はありませんでした。
しかし、改正されたことにより、漏えいによって個人の権利利益を害する恐れが大きい場合に委員会への報告と本人への通知が義務化されています。

漏えいの報告が義務になる対象の事案は、要配慮個人情報の漏えいや不正アクセスによる漏えい、財産的被害の恐れがある漏えい、さらに一定数以上（1,000を超える）大規模な個人情報の漏えいです。
さらに、事業者が守るべき責務のあり方として、不適切な方法による利用を禁止しています。

改正前は、個人情報の取得について偽りや不正の手段での取得の禁止は明記されていたものの、取得の利用方法については利用目的の範囲内であれば適正性を改定しても規定に違反しませんでした。

今回の改正によって違法または不動な行為を助長、誘発する恐れがある方法で個人情報を利用してはならないとしています。

自主的な取組みを促す仕組みのあり方

適正な個人情報の取り扱いは、扱う情報の種類や特性、業種によって注意すべき点がまったく異なります。
業界や事業分野の特性に応じた個人情報取り扱いを推進するためには民間の自主的な取り組みが望ましいと考えられ、認定個人情報保護団体の制度が作られました。

認定個人情報保護団体は、個人情報の保護を推進するための自主的な取組みを目的として、個人情報保護委員会の認定を受けた法人を言います。
この認定団体制度は、以前は企業単位での個人情報全般の適切な取り扱いを促すものでした。
しかし、改正によって現行制度に加えて企業の特定分野（部門）を対象とする団体を認定できるようになっています。

データ利活用に関する施策のあり方

法改正により、個人データの利活用の促進に向けたものとして新たに仮名加工情報が定義づけられました。
今まででも個人情報を加工して利用する情報として、匿名加工情報がありました。

匿名加工情報とは、特定の個人を識別できないように個人情報を加工して得られる個人情報です。
個人情報を復元できないようにしたものを言います。

一方で、仮名加工情報は、ほかの情報と照合しない限りは特定の個人を識別できないように加工して得られる個人情報です。
つまり、個人情報の一部を削除することで、ほかの情報と照らし合わせないと個人が識別できないようにします。
例えば、会員リストの氏名をランダムな英数字に置き換えれば元の会員リストと比較しないと特定の個人を識別できません。

今回の改正で匿名加工情報よりも簡易な仮名化が可能となり、個人情報に課される一定の義務が免除され、柔軟にデータの分析や活用ができるようになりました。

データ利活用施策としては、個人関連情報の第三者提供について規制されています。
提供もとでは個人データにならないものでも、提供した先で個人データになりえる情報の第三者提供については、本人の同意といった確認が義務付けられています。

ペナルティのあり方

個人情報保護法の改正によって、法定刑の引き上げも実施されました。
例えば、個人情報データベースの不正提供などについて、法人の罰金が50万円以下から1億円以下になりました。
さらに、個人情報保護委員系への虚偽報告などの罰金刑も行為者と法人が30万円以下の罰金だったものが、50万円以下になっています。

法の域外適用・越境移転のあり方

個人情報を取り扱う事業者が日本の事業者であるとは限りません。
改正によって、日本国内にある者の個人情報などを取り扱う外国事業者に対して、罰則で担保された報告徴収や命令の対象としています。
この改正で個人情報保護委員会は、報告徴収や命令を含んだ権限行使ができるようになりました。
また、外国にある第三者への個人データを提供した時に、移転先事業者での個人情報の取り扱いに関して本人への情報提供の充実を義務付けます。

2022年施行改正個人情報保護法で企業に求められること

個人情報保護法の改正によって、個人情報を扱う事業者も対策が求められます。
どのような対策が企業に求められるのか紹介します。

個人情報利用状況の確認

まず、企業において必要なのは個人情報の棚卸です。
特に個人データを外国の第三者に提供している場合は、対策しておかなければいけません。

デジタルデータの開示、利用停止対応への準備

個人の権利や利益を侵害する場合に、個人データの利用停止や消去が求められる可能性もあります。
さらに、個人データの開示を求められた場合にデジタルデータを含んだ開示請求に対応できるようにしておかなければいけません。

情報漏えい時の報告などの対策

改正によって、個人情報漏洩といったトラブルへの対応も変わります。
個人情報保護委員会と本人に報告することが義務化されたため、社内ルールも定めておくようにしましょう。

プライバシーポリシーの作成・改訂

上記のような改正法に従った個人情報の取り扱いは、プライバシーポリシーや個人情報に関する社内規定に反映させましょう。
自社内だけでなく、個人データのやり取りがある取引先とは契約の見直しも必要となります。

自社の個人情報取り扱いを見直してみよう

昔は個人情報について、今ほどは注意深くなかったかもしれません。しかし、現代において個人情報の取り扱いは非常に重要です。
個人情報の取り扱い次第では、リスクが高まってしまう場面もあります。企業を守るためにも個人情報を適切に管理するようにしましょう。

個人情報取扱事業者とは

個人情報保護法は、目的を達成するために民間企業に様々な義務を課しています。この義務が課されているのは、個人情報取扱事業者に該当する企業です。
個人情報取扱事業者とは、個人情報保護法2条5項で、個人情報データベースなどを事業の用に供している者と定義されています。

5,000人未満の個人情報を保有する小規模事業者の除外規定がありましたが、改正によって廃止されました。
そのため、個人情報を扱うすべての事業者は法の対象です。
さらに、事業が営利か非営利かも問わないため、自治会や町内会のほかPTA、マンション管理組合、同窓会も個人情報保護法の対象となります。

個人事業主でも個人情報保護法の義務が課される

個人情報取扱事業主に該当するかに対して、法人か個人かは関係ありません。
個人事業主であっても、仕事で個人情報データベースなどを扱っていれば個人情報取扱事業者に該当します。
個人情報保護法で定めている義務の対象になるので、違反することがないように行動しましょう。

個人情報保護法の罰則

個人情報保護法は、違反した人に対してペナルティも定められています。
刑事罰も定められているため、犯罪行為として裁かれる可能性もあることに注意してください。

例えば、自分や第三者の不正な利益を図る目的で、業務で取り扱った個人情報データベースを提供や盗用した場合には、1年以下の懲役または50万円以下の罰金です。
刑事罰を受ければ企業に取っても大きなダメージとなります。

個人情報取り扱いの注意点

個人情報を扱うすべての事業者は、個人情報保護法の対象となります。個人情報を取り扱う上でどういった点に注意すればいいのか、まとめました。

個人情報取得の目的を説明しているか

個人情報を取得するときのルールとして、何の目的で取得するかを伝えなければいけません。
利用目的を本人に伝えるか、ホームページや店頭で提示するようにしましょう。

個人情報を目的以外で利用してないか

取得した個人情報は特定した利用目的の範囲内で利用します。目的以外のことに利用したい場合には、本人の了承を得るようにしてください。

個人情報を安全に管理しているか

個人情報をパソコンで管理したり名簿にまとめたりした場合には、安全に管理する義務があります。
また従業員が私的に使ったり言いふらしたりすることがないよう、社員教育を徹底しましょう。

個人情報を無断で他人に渡していないか

個人情報を第三者に渡す場合には、原則として本人の同意が必要です。
ただし、法令に基づく場合や人命にかかわる場合、業務を委託する場合には例外となります。

本人からの個人情報開示請求に応じているか

個人情報について、本人から開示や訂正を求められたら企業は対応しなければいけません。
個人情報の利用目的を問われたときには回答できるようにしておくことが必要です。

まとめ

個人情報保護法を扱い事業者は幅広く、それぞれが個人情報保護法に沿って取り扱いルールを定めなければいけません。
個人情報を取り扱いするときのルールを定めるとともに、社内教育を徹底してください。

個人情報についてわからない点は、個人情報保護委員会による個人情報保護法相談ダイヤルもあるので利用してみましょう。

（編集：創業手帳編集部）