個人情報保護法で定める事業者が守るべきルール
個人情報保護法では、保護が必要な情報を「個人情報」、「個人データ」、「保有個人データ」の3つの概念に分けています。
そしてこの3つの概念ごとに、実施しなければならない義務が定められています。
「個人情報」の取扱いについての基本ルール
個人情報を取得するときの基本的なルールは、あらかじめ利用目的をできる限り特定する、利用目的の範囲内で個人情報を取り扱う、個人情報は適正な方法で取得する、取得する際には利用目的の通知・公表等を行う、という4つになります。
取得・利用に関するルール
個人情報を取得する際は、どのような目的で個人情報を利用するのかについて、具体的に特定しなければなりません。個人情報の利用目的は、あらかじめ公表するか、本人に知らせる必要があります。
また、取得した個人情報は、特定した利用目的の範囲内で利用する必要があります。特定した利用範囲以外のことに利用する場合は、あらかじめ本人の同意を得なければなりません。
| 利用目的の特定 | 条 項 | 条 文 |
|---|---|---|
| 法第17条第1項 | 個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的をできる限り特定しなければならない。 | |
| 法第17条第2項 | 個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。 | |
| 利用目的の範囲内で扱う | 条 項 | 条 文 |
| 法第18条第1項 | 個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。 | |
| 法第19条 | 個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。 | |
| 適正な取得 | 条 項 | 条 文 |
| 法第20条第1項 | 個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。 | |
| 法第20条第2項 | 個人情報取扱事業者は、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない | |
| 利用目的の通知・公表等 | 条 項 | 条 文 |
| 法第21条第1項 | 個人情報取扱事業者は、個人情報を取得した場合、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を本人に通知し、又は公表しなければならない。 | |
| 法第21条第2項 | 個人情報取扱事業者は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面に記載された当該本人の個人情報を取得する場合、その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。 | |
| 法第21条第3項 | 個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、 本人に通知し、又は公表しなければならない。 |
- 「要配慮個人情報」
- 要配慮個人情報は、不当な差別、偏見その他の不利益が生じないように取扱いに配慮を要する情報として、法律・政令・規則に定められた情報です。
人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実等のほか、身体障害、知的障害、精神障害等の障害があること、健康診断その他の検査の結果、保健指導、診療・調剤情報、本人を被疑者又は被告人として、逮捕、捜索等の刑事事件に関する手続が行われたこと、本人を非行少年又はその疑いがある者として、保護処分等の少年の保護事件に関する手続が行われたことが該当します。
要配慮個人情報を取得する場合は、利用目的の特定、通知又は公表に加え、あらかじめ本人の同意が必要です。また、要配慮個人情報は、オプトアウトによる第三者提供はできないので注意が必要です。
保管に関するルール
- ●安全管理措置について
- 個人情報取扱事業者は、個人データの安全管理のために必要かつ適切な措置を講じなければならないとされています。漏えい等が生じないよう、安全に管理するほか、従業者・委託先にも安全管理を徹底する必要があります。
安全管理措置は、「基本方針の策定」「個人データの取扱いに係る規律の整備」「組織的安全管理措置」「人的安全管理措置」「物理的安全管理措置」「技術的安全管理措置」「外的環境の把握」からなります。それぞれ、具体的には以下のような措置を実施することが求められます。安全管理措置 条 項 条 文 法第23条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
| 【 基本方針の策定 】 | |
|---|---|
| 講じなければならない措置 | 手 法 例 |
| 基本方針の策定 | 個人データの適正な取扱いの確保について組織として取り組むために、基本方針を策定することが重要。 |
| 【 個人データの取扱いに係る規律の整備 】 | |
| 講じなければならない措置 | 手 法 例 |
| 個人データの取扱いに係る規律の整備 | その取り扱う個人データの漏えい等の防止その他の個人データの安全管理のために、個人データの具体的な取扱いに係る規律を整備する。 個人データの取得、利用、保存等を行う場合の基本的な取扱方法を整備する。 |
| 【 組織的安全管理措置 】 | |
| 講じなければならない措置 | 手 法 例 |
| (1)組織体制の整備 | 個人データを取り扱う従業者が複数いる場合、責任ある立場の者とその他の者を区分する。 個人データの取扱いを担当者任せにせず、責任者がチェックすることで不適切な取扱いを防ぐことができます。 |
| (2)個人データの取扱いに係る規律に従った運用 | あらかじめ整備された基本的な取扱方法に従って個人データが取り扱われていることを、責任ある立場の者が確認する。 業務日誌やチェックリスト等を活用し、確認を。 |
| (3)個人データの取扱状況を確認する手段の整備 | |
| (4)漏えい等の事案に対応する体制の整備 | 漏えい等の事案の発生時に備え、従業者から責任ある立場の者に対する報告連絡体制等をあらかじめ確認する。 「ほう・れん・そう」の中に、個人情報の漏えい事案を。 |
| (5)取扱状況の把握及び安全管理措置の見直し | 責任ある立場の者が、個人データの取扱状況について、定期的に確認を行う。 (1)〜(4)のプロセスで気づいたリスクがあれば、改善を。 |
| 【 人的安全管理措置 】 | |
| 講じなければならない措置 | 手 法 例 |
| 従業者の教育 | 個人データの取扱いに関する留意事項について、従業者に定期的な研修等を行う。 個人データについての秘密保持に関する事項を就業規則等に盛り込む。 集合研修に限らず、朝礼等の際に定期的に注意喚起を。 |
| 【 物理的安全管理措置 】 | |
| 講じなければならない措置 | 手 法 例 |
| (1)個人データを取り扱う区域の管理 | 個人データを取り扱うことのできる従業者及び本人以外が容易に個人データを閲覧等できないような措置を講ずる。 |
| (2)機器及び電子媒体等の盗難等の防止 | 個人データを取り扱う機器、個人データが記録された電子媒体又は個人データが記載された書類等を、施錠できるキャビネット・書庫等に保管する。 個人データを取り扱う情報システムが機器のみで運用されている場合は、当該機器をセキュリティワイヤー等により固定する。 |
| (3)電子媒体等を持ち運ぶ場合の漏えい等の防止 | 個人データが記録された電子媒体又は個人データが記載された書類等を持ち運ぶ場合、パスワードの設定、封筒に封入し鞄に入れて搬送する等、紛失・盗難等を防ぐための安全な方策を講ずる。 電子媒体にはパスワードを。置き忘れ等にも注意を。 |
| (4)個人データの削除及び機器、電子媒体等の廃棄 | 個人データを削除し、又は、個人データが記録された機器、電子媒体等を廃棄したことを、責任ある立場の者が確認する。 書類であれば、焼却、シュレッダー処理を、機器・電子媒体等であれば、データ削除ソフトウェアの利用や物理的な破壊等を。 |
| 【 技術的安全管理措置 】 | |
| 講じなければならない措置 | 手 法 例 |
| (1)アクセス制御 | 個人データを取り扱うことのできる機器及び当該機器を取り扱う従業者を明確化し、個人データへの不要なアクセスを防止する。 必要のない者の個人情報へのアクセスを制限するため、個人情報を含むファイルにパスワードを。 |
| (2)アクセス者の識別と認証 | 機器に標準装備されているユーザー制御機能(ユーザーアカウント制御)により、個人情報データベース等を取り扱う情報システムを使用する従業者を識別・認証する。 必要のない者の個人情報へのアクセスを制限するため、個人情報を含むファイルにパスワードを。 |
| (3)外部からの不正アクセス等の防止 | 個人データを取り扱う機器等のオペレーティングシステムを最新の状態に保持する。 個人データを取り扱う機器等にセキュリティ対策ソフトウェア等を導入し、自動更新機能等の活用により、これを最新状態とする。 セキュリティ対策ソフトウェアを最新の状態に。 |
| (4)情報システムの使用に伴う漏えい等の防止 | メール等により個人データの含まれるファイルを送信する場合に、当該ファイルへのパスワードを設定する。 それほど難しい操作ではないので、メール送信時にはパスワードを。 |
| 【 外的環境の把握 】 | |
| 講じなければならない措置 | 手 法 例 |
| 外的環境の把握 | 外国において個人データを取り扱う場合、当該外国の個人情報の保護に関する制度等を把握した上で、個人データの安全管理のために必要かつ適切な措置を講じる。 |
また、取り扱う個人情報が「個人データ」に該当する場合には、正確で最新の内容に保つことに取り組むほか、個人データの安全性を確保するために、従業者や委託先の監督をしっかりと行うことが求められます。
| データ内容の正確性の確保等 | 条 項 | 条 文 |
|---|---|---|
| 法第22条 | 個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。 | |
| 従業者の監督 | 条 項 | 条 文 |
| 法第24条 | 個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。 | |
| 委託先の監督 | 条 項 | 条 文 |
| 法第25条 | 個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。 | |
| 漏えい等の報告等 | 条 項 | 条 文 |
| 法第26条 | 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものが生じたときは、当該事態が生じた旨を個人情報保護委員会に報告(速報は概ね3〜5日以内、確報は30日(一定の場合は60日)以内)しなければならない。本人に対し、当該事態が生じた旨を通知しなければならない。 | |
| 苦情の処理 | 条 項 | 条 文 |
| 法第40条 | 個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。個人情報取扱事業者は、前項の目的を達成するために必要な体制の整備に努めなければならない。 |
提供に関するルール
- ●個人データの第三者提供
- 個人情報取扱事業者は、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはいけません。
同意の取得に当たっては、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な方法によらなければなりません。
適用除外となる場合(法第27条第1項)
- 法令に基づく場合
- 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
- 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
- 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
- 当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データの提供が学術研究の成果の公表又は教授のためやむを得ないとき(個人の権利利益を不当に侵害するおそれがある場合を除く。)。
- 当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データを学術研究目的で提供する必要があるとき(当該個人データを提供する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(当該個人情報取扱事業者と当該第三者が共同して学術研究を行う場合に限る。)。
- 当該第三者が学術研究機関等である場合であって、当該第三者が当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
提供先が第三者に該当しない場合(法第23条第5項)
- 委託先
個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合 - 事業の承継
合併その他の事由による事業の承継に伴って個人データが提供される場合 - 共同利用
特定の者との間で共同して利用される個人データが当該特定の者に提供される場合
また、以下の4つについて、あらかじめ本人に通知等をしなければなりません。- 共同して利用される個人データの項目
- 共同して利用する者の範囲
- 利用する者の取得時の利用目的
- 当該個人データの管理について責任を有する者の氏名又は名称
オプトアウトによる第三者提供(法第27条第2項)
本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止する場合、本人の同意を得ることなく第三者に個人データを提供することができる制度です。
あらかじめ以下について、本人に通知、又は本人が容易に知り得る状態に置くとともに個人情報保護委員会への届出が必要です。
- 第三者への提供を行う個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名
- 第三者への提供を利用目的とすること
- 第三者に提供される個人データの項目
- 第三者に提供される個人データの取得の方法
- 第三者への提供の方法
- 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること
- 本人の求めを受け付ける方法
- その他個人の権利利益を保護するために必要なものとして個人情報保護委員会規則で定める事項
要配慮個人情報は、オプトアウトによって、第三者提供をすることはできません。
外国にある第三者に個人データを提供する場合(法第28条)
外国にある第三者に個人データを提供する場合は、次の(1)〜(4)のいずれかを満たす必要があります。- (1)外国にある第三者に提供することについて、本人の同意を得る。
- (2)外国にある第三者が、適切な体制を整備している。
- 外国の第三者において、個人情報保護法の趣旨に沿った措置を実施することが、委託契約・共通の内規・個人データを提供する者がAPEC越境プライバシールール(CBPR)システムの認定を受ける等によって担保されていること
- 外国の第三者が個人情報の取扱いに関する国際的な枠組み(例:APEC越境プライバシールール(CBPR)システム※)に基づく認定を受けていること
- (3)外国にある第三者が、個人情報保護委員会が認めた国に所在している。
- (4)適用除外となる場合(法第27条第1項)に該当する。
本人の同意を得ようとする場合には、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報を当該本人に提供する必要があります。 上記(2)により個人データを外国にある第三者に提供した場合には、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供する必要があります。
※ APEC越境プライバシールール(CBPR)システムについての詳細は、以下のURLからご覧ください。
URL:https://www.ppc.go.jp/files/pdf/CBPR_ppc.pdf
第三者提供に係る記録の作成等(法第29条)、第三者提供を受ける際の確認等(法第30条)
第三者から個人データを受領する場合には、個人情報保護委員会規則に基づき、受領者は提供者の氏名やデータの取得経緯等を確認、記録し、一定期間その内容を保存しなければなりません。第三者に個人データを提供する場合も、提供者は受領者の氏名等を記録し、一定期間保存をしなければなりません。
【保存期間】
| 契約書等の代替手段による方法により記録を作成した場合 | 最後に当該記録に係る個人データの提供を行った日から起算して1年を経過する日までの間 |
| 一括して記録を作成する方法により記録を作成した場合 | 最後に当該記録に係る個人データの提供を行った日から起算して3年を経過する日までの間 |
| 上記以外の場合 | 3年 |
個人関連情報の第三者提供の制限等(第31条)
第三者が個人関連情報を個人データとして取得することが想定されるときに、当該個人関連情報を当該第三者に提供する場合は、本人同意が得られていること等について確認しなければなりません。
本人からの開示請求等に関するルール
個人情報取扱事業者は、本人から保有個人データ又は第三者提供記録の開示請求を受けたときは、本人に対し、原則として当該保有個人データ又は第三者提供記録を開示しなければならないとされています(法第33条)。
また、個人情報の取扱いに関する苦情等には、適切・迅速に対応するよう努めることが必要です(法第40条)。
- point
01他の事業者からデータ編集作業のみを委託されて取り扱っているだけの個人情報(=開示等の権限がないもの)は、対応は不要です。 - point
02以下の@〜Eについて、「本人が知り得る状態」に置く必要があります。
(例:HP公表、事業所での掲示等。また、それらを行わず、以下の事項に関する問合せに対して遅滞なく答えられるようにしておくことでもOK)- @ 事業者の名称及び住所並びに法人にあっては、
その代表者の氏名 - A 利用目的
- B 請求手続
- C 苦情申出先
- D 加入している認定団体個人情報保護団体の名称・苦情申出先
(認定個人情報保護団体に加入している場合のみ) - E 保有個人データの安全管理のために講じた措置
- @ 事業者の名称及び住所並びに法人にあっては、
| 利用目的の通知 | 条 項 | 条 文 |
|---|---|---|
| 法第32条 | 個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知しなければならない。 | |
| 開示 | 条 項 | 条 文 |
| 法第33条 | 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データ又は第三者提供記録の開示を請求することができる。 | |
| 訂正等 | 条 項 | 条 文 |
| 法第34条 | 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの内容が事実でないときは、当該保有個人データの内容の訂正、追加又は削除(以下この条において「訂正等」という。)を請求することができる。
個人情報取扱事業者は、前項の規定による請求を受けた場合には、その内容の訂正等に関して他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行わなければならない。 |
|
| 利用停止等 | 条 項 | 条 文 |
| 法第35条 | 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが第18条若しくは第19条の規定に違反して取り扱われているとき、又は第20条の規定に違反して取得されたものであるときは、当該保有個人データの利用の停止又は消去を請求することができる。 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが第27条第1項又は第28条の規定に違反して第三者に提供されているときは、当該保有個人データの第三者への提供の停止を請求することができる。 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データを当該個人情報取扱事業者が利用する必要がなくなった場合、当該本人が識別される保有個人データに係る第26条第1項本文に規定する事態が生じた場合その他当該本人が識別される保有個人データの取扱いにより当該本人の権利又は正当な利益が害されるおそれがある場合には、当該保有個人データの利用停止等又は第三者への提供の停止を請求することができる。 |
仮名加工情報
- ●仮名加工情報について
- 仮名加工情報とは、他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいいます。利用を内部分析等に限定することを条件に、利用目的の変更の制限等を緩和されます。
匿名加工情報の作成方法の基準は、個人情報保護委員会規則で定められています。
個人情報である仮名加工情報を取得した場合には、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を公表する必要があります。(法第41条第4項)
仮名加工情報の第三者提供は禁止されています。(法第41条第6項、法第42条第1項)
仮名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該仮名加工情報を他の情報と照合することは禁止されています。(法第41条第7項)
電話、電子メールの送信等のために、仮名加工情報に含まれる連絡先その他の情報を利用することは禁止されています。(法第41条第8項)
匿名加工情報
- ●匿名加工情報について
- 匿名加工情報とは、個人情報を本人が特定できないように加工をしたもので、当該個人情報を復元できないようにした情報をいいます。個人情報の取扱いよりも緩やかな規律の下、自由な流通・利活用を促進することを目的に個人情報保護法の改正により新たに導入されました。
匿名加工情報の作成方法の基準は、個人情報保護委員会規則で定められています。
これを最低限の規律とし、民間事業者の自主的なルールの策定が期待されます。
このような基準に則って匿名加工情報を作成した場合は、当該匿名加工情報に含まれる個人に関する情報の項目を公表する義務があります(法第43条第3項)。
匿名加工情報を第三者に提供する場合は、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供方法を公表するとともに、提供する情報が匿名加工情報である旨を明示する必要があります(法第43条第4項)。
識別行為の禁止(法第43条第5項)
匿名加工情報を取り扱う場合には、作成元となった個人情報の本人を識別する目的で、以下の行為を禁止しています。
- @個人情報取扱事業者自らが作成した又は 受領した匿名加工情報を、本人を識別するために他の情報と照合すること
- A受領した匿名加工情報又は行政機関等匿名加工情報の加工方法等情報を取得すること
罰則について
国は事業者に対して、必要に応じて報告を求めたり立入検査を行うことができます。 また、実態に応じて、指導・助言、勧告・命令を行うことができます。 監督に従わない場合は、罰則が適用される可能性があります。
| 行為者 | 法人等 | |
| 個人情報保護委員会からの命令への違反 | 1年以下の懲役又は100万円以下の罰金 | 1億円以下の罰金 |
| 個人情報データベース等の不正提供等 | 1年以下の懲役又は50万円以下の罰金 | 1億円以下の罰金 |
| 個人情報保護委員会への虚偽報告等 | 50万円以下の罰金 | 50万円以下の罰金 |
関連する最新テンプレートは、こちらからダウンロードできます。