個人情報保護法
個人情報保護法は、個人の権利と利益を保護するため、個人情報の適切な取り扱いを規定する法律です。
個人情報
個人情報とは、生存する個人を識別できる情報で、氏名、生年月日、住所、電話番号、連絡先、その他の記述等により特定の個人を識別できる情報を指します。
個人識別符号
さらに、個人情報には「個人識別符号」が含まれます。これは、個人を識別するための記号、番号、記述または他の手段を指します。
具体的には以下のようなものが該当します。
- 運転免許証・パスポート・保険証の番号・マイナンバーなど公的機関による固有の番号
- 指紋・静脈・DNAなどの生体情報をデジタル変換したデータなど
個人情報取扱事業者に対して義務付けられている内容
個人情報保護法は、個人情報を取り扱う事業者に対して以下のような義務を課しています。
- 個人情報を取得する場合には、利用目的を通知・公表しなければならない。なお、本人から直接書面で個人情報を取得する場合には、あらかじめ本人に利用目的を明示しなければならない。
- 個人情報を取り扱うに当たっては利用目的をできる限り特定し、原則として利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはならない。
- 利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。
- あらかじめ本人の同意を得ずに第三者に個人データを提供してはならない。
- 個人データを安全に管理し、従業員や委託先も監督しなければならない。
- 事業者の保有する個人データに関し、本人からの求めがあった場合には、その開示を行わなければならない。
- 事業者が保有する個人データの内容が事実でないという理由で本人から個人データの訂正や削除を求められた場合、訂正や削除に応じなければならない。
- 個人情報の取扱いに関する苦情を、適切かつ迅速に処理しなければならない。
第三者提供の制限の例外
先述したように、個人データを本人以外の第三者に提供するときは、原則として、あらかじめ本人の同意が必要です。
ただし、本人の同意を得なくても、例外的に個人データを第三者に提供できる場合があります。
- 法令に基づく場合(警察、裁判所、税務署等からの照会)
- 人の生命・身体・財産の保護に必要で本人の同意取得が困難な場合
- 公衆衛生・児童の健全育成に必要で本人の同意取得が困難な場合
- 国の機関などの法令の定める事務の遂行に事業者が協力する必要がある場合
- 学術研究目的での提供・利用
なお、委託の場合、合併等の場合及び一定事項の通知等を行って共同利用する場合には、その相手方は第三者には該当しません。例)個人情報の入力業務の委託先企業など
個人情報保護法の適用除外
個人情報保護法はすべての事業者に適用されるわけではありません。憲法上保障された自由(表現の自由、信教の自由、政治活動の自由)に関わる活動のために個人情報等を取り扱う場合には、その限りにおいて、個人情報取扱事業者等の義務は適用されません。例えば、
- 報道機関が報道目的で情報を取り扱う場合
- 著述を業として行う者が著述活動目的で情報を取り扱う場合
- 宗教団体が宗教活動に関連して情報を取り扱う場合
- 政治活動が政治活動に関連して情報を取り扱う場合
などが該当します。ただし、個人情報の取扱いに当たっては適切な措置を講じるよう務めることが求められます。
要配慮個人情報
要配慮個人情報とは、個人の人種、信条、社会的身分、医療情報、犯罪の経歴など、その取り扱いに特に注意を要する情報を指します。
これらの情報は、不適切に取り扱われると、個人の人権侵害につながる可能性があるため、特別な配慮が必要とされています。
個人情報保護法では、要配慮個人情報の取得、利用、提供について、本人の事前の同意を必要としています。
関連用語
一般データ保護規則(GDPR)は、ヨーロッパ連合(EU)で2018年に施行された、個人データの保護に関する法律です。
これは、個人のプライバシー権を強化し、データを扱う企業や組織に対して厳格な規則を設けています。
主な特徴は以下の通りです。
- 個人データの定義の拡大:
- GDPRでは、名前、住所、電子メールアドレスなどの明確な情報だけでなく、IPアドレスや生体認証データなどのオンライン識別子も個人データとみなされます。
- 同意の要件の強化:
- 個人データを収集する際は、明確かつ具体的な同意が必要です。また、同意はいつでも撤回することができます。
- データ主体の権利の拡充:
- 個人は自分のデータにアクセスしたり、訂正、削除(忘れられる権利)、データの移動を求める権利があります。
- データ保護責任者(DPO)の設置:
- 特定の組織は、データ保護責任者を設置し、GDPRの遵守を管理する必要があります。
- データ侵害の通報義務:
- データ侵害が発生した場合、組織は72時間以内に監督当局に通報し、場合によっては関係者にも通知する必要があります。
- 国境を越えるデータの処理:
- EU外の国々にデータを転送する際もGDPRの規制が適用されます。
- 厳格な罰則:
- GDPR違反の場合、企業は売上の最大4%または2000万ユーロの罰金が科される可能性があります。
GDPRは、EU内外の企業や組織に影響を及ぼし、世界的にデータ保護の基準を高めています。