【初心者向け】日本の個人情報保護法ってなに?わかりやすく解説!

用語解説
データ保護プライバシー個人情報保護法初心者向け法律入門

はじめに:個人情報保護法ってどんな法律?🤔

個人情報保護法は、正式には「個人情報の保護に関する法律」といいます。この法律は、氏名や住所、生年月日といった「個人情報」を、企業などが事業で利用する際に守るべきルールを定めています。

デジタル技術が進んで、色々なサービスで個人情報が活用されるようになりました。便利な反面、情報が漏れたり、勝手に使われたりする心配も増えていますよね。そこで、個人情報の便利な活用と、個人の権利や利益を守ることのバランスをとるために、この法律が作られました。

この法律は2003年5月に制定され、2005年4月から全面的に施行されました。その後も、社会の変化に合わせて何度か大きな改正が行われています。

どんな情報が「個人情報」になるの?👤

個人情報保護法でいう「個人情報」とは、「生きている個人に関する情報」で、次のいずれかに当てはまるものを指します。

  • 氏名、生年月日、住所、顔写真など、その情報だけで特定の個人を識別できるもの。
  • 他の情報と簡単に照合できて、それによって特定の個人を識別できるもの(例:社員番号と氏名を組み合わせるなど)。
  • 指紋データやマイナンバー(個人識別符号)のように、それ自体で特定の個人を識別できる文字、番号、記号などが含まれるもの。

注意点:亡くなった方の情報は、原則として個人情報には含まれません。

また、特に配慮が必要な情報として「要配慮個人情報」があります。これには、人種、信条、病歴、犯罪歴などが含まれ、取得するには原則として本人の同意が必要です。

事業者が守るべき主なルール 🏢

個人情報を取り扱う事業者(個人情報取扱事業者)には、いくつかの義務が課されています。主なルールを見てみましょう。

  1. 利用目的を明確にする
    個人情報を何のために使うのか、できるだけ具体的に決めて、本人に伝えたり、公表したりする必要があります(電話、郵便、メール、Webサイトでの公表など)。目的以外の利用は原則できません。
  2. 適正に取得する
    偽ったり、不正な手段で個人情報を取得してはいけません。
  3. 安全に管理する
    集めた個人情報(個人データ)が漏れたり、なくなったり、壊れたりしないように、適切な安全管理措置をとる必要があります(例:書類は鍵付きの棚に保管、データにはパスワードを設定)。従業員や委託先もしっかり監督しなければなりません。
  4. 第三者に提供するときのルール
    原則として、あらかじめ本人の同意がなければ、個人データを第三者に提供してはいけません。ただし、法律に基づく場合や、人の生命・身体・財産を守るために必要で、本人の同意を得るのが難しい場合などは例外です。外国の第三者に提供する場合は、さらに厳しいルールがあります。
  5. 本人からの請求に対応する
    本人から自分の情報の開示、訂正、利用停止などを求められた場合は、原則として対応しなければなりません。
  6. 漏えい時の報告
    個人データの漏えい等が発生し、個人の権利利益を害するおそれが大きい場合(例:要配慮個人情報が含まれる場合、1,000人分を超える場合など)は、個人情報保護委員会への報告と、本人への通知が義務付けられています(2022年4月から義務化)。
  7. 苦情への対応
    個人情報の取り扱いに関する苦情には、適切かつ迅速に対応するよう努める必要があります。

個人の権利はどう守られる?🙋‍♀️🙋‍♂️

私たち個人には、自分の情報について次のような権利があります。

  • 開示請求権:事業者が持っている自分の個人情報(保有個人データ)を見せてほしいと請求できます。第三者への提供記録も対象です。
  • 訂正・追加・削除請求権:自分の情報が間違っている場合に、訂正、追加、削除を請求できます。
  • 利用停止・消去請求権:自分の情報が目的外で使われたり、不正に取得されたりした場合、または利用する必要がなくなった場合や、重大な漏えいが発生した場合、権利利益が害されるおそれがある場合に、利用停止や消去を請求できます。
  • 第三者提供停止請求権:自分の情報がルールに違反して第三者に提供されている場合に、提供の停止を請求できます。

2022年4月の法改正で、これらの権利がより使いやすくなりました。

最近の改正(2022年4月施行)のポイント💡

個人情報保護法は、社会の変化に対応するため、原則として3年ごとに見直されることになっています。2020年に行われた改正(2022年4月施行)では、主に次のような点が変更・強化されました。

  • 個人の権利の強化:利用停止・消去請求ができる範囲が広がりました。また、開示請求でデータの形式(例:電子データ)を指定できるようになりました。
  • 事業者の責務の追加:漏えい時の報告・通知が義務化されました。不適正な方法での個人情報利用が禁止されました。
  • データの利活用促進:氏名などを削除して他の情報と照合しないと本人を特定できないようにした「仮名加工情報」という新しい枠組みが作られ、一定のルールのもとで内部での分析などに活用しやすくなりました。
  • 越境データの取り扱い:外国の事業者に個人データを提供する場合のルールが厳しくなり、本人の同意を得る際などに、移転先の国の制度や安全管理措置に関する情報提供が必要になりました。
  • 法定刑の引き上げ:法人に対する罰金の上限などが引き上げられました。

また、この改正により、これまで国の行政機関や独立行政法人などに適用されていた別の法律が個人情報保護法に統合され、地方公共団体の個人情報保護条例も、国の法律に基づく共通ルールに原則として一本化されました(地方公共団体については2023年4月施行)。

罰則について 🚨

個人情報保護法に違反した場合、個人情報保護委員会から是正勧告や命令が出されることがあります。命令に従わない場合や、虚偽の報告をした場合などには、罰則(懲役や罰金)が科される可能性があります。

特に、2022年4月の改正で法人に対する罰金の上限が最高1億円に引き上げられるなど、罰則が強化されています。また、従業員などが不正な利益を得る目的で個人情報データベース等を提供・盗用した場合にも、罰則が科されます。

まとめ ✨

個人情報保護法は、私たちのプライバシーを守りつつ、社会で情報を安全に活用するための大切なルールです。事業者にとっては守るべき義務が多くありますが、私たち個人にとっても、自分の情報をコントロールするための権利が保障されています。

法律の内容は少し難しいかもしれませんが、基本的な考え方を知っておくことで、自分の情報がどのように扱われているかに関心を持ち、必要な場合には適切に行動することができますね!😊

コメント

タイトルとURLをコピーしました