個人情報保護法が定めているルールを詳細に解説

Last Updated on 2025年9月8日 by

個人情報保護法とは

個人情報保護法は、個人情報を保有する事業者が遵守すべき義務などを定めた法律です。個人情報を取り扱う全ての事業者や組織が守らなければならない共通のルールを定めています。

個人情報保護法は、個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的としています。(第1条)

個人情報の定義

個人情報とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいいます。(第2条)

一 当該情報に含まれる氏名、生年月日その他の記述等
(氏名、生年月日、住所、顔写真などにより特定の個人を識別できる情報をいいます。)

二 個人識別符号が含まれるもの
(身体の一部の特徴を電子処理のために変換した符号で、顔認証データ、指紋認証データ、虹彩、声紋、歩行の態様、手指の静脈、掌紋などのデータ。サービス利用や書類において利用者ごとに割り振られる符号で、パスポート番号、基礎年金番号、運転免許証番号、住民票コード、マイナンバー、保険者番号など)

要配慮個人情報とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいいます。

個人情報取扱事業者とは

個人情報取扱事業者とは、個人情報データベース等を事業の用に供している者をいいます。個人情報データベース等とは、個人情報を含む情報の集合物をいいます。(第16条)

法人に限定されず、営利・非営利の別は問わないため、個人事業主やNPO、町内会等もこれに該当します。

関連記事:個人情報取扱事業者って何?分かりやすく解説します

個人情報取扱事業者が守るべきルール

利用目的の特定

個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的をできる限り特定しなければならない。(第17条)

個人情報を得るには、利用目的を具体的に特定し、それを公表または本人に通知しなければなりません。

同窓会名簿の作成など、あらかじめ個人情報を第三者に提供することを想定している場合があります。この場合には、「会員名簿を作成し名簿に掲載される会員に対して配布するため」と利用目的を示さなければなりません。

利用目的による制限

個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。(第18条)

通知した利用目的以外には利用できません。例えば商品発送のために知った住所氏名に自社商品のダイレクトメールを送ることは、原則としてできません。ただし、取得時の目的と関連性があれば一定の範囲内で利用目的を変更できる。また、本人の同意を得ればよい。などの例外があります。直接の目的から外れる利用をするときは、許される場合かどうか確認をしましょう。

個人情報の適正な取得

個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。(第20条)

個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはなりません

利用目的の通知、公表

個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。(第21条)

関連記事:それ、法律違反かも? 個人情報保護法「利用目的の通知・公表」を理解する

個人情報の安全管理措置

基本方針の策定

個人情報取扱事業者は、個人データの適正な取扱いの確保について組織として取り組むために、基本方針を策定することが重要です。

関連記事:個人情報保護法ガイドラインにある「基本方針」のサンプル

規律の整備

個人情報取扱事業者は、その取り扱う個人データの漏えい等の防止その他の個人データの安全管理のために、個人データの具体的な取扱いに係る規律を整備しなければなりません。

関連規程:個人情報保護規程のサンプル

安全管理措置

個人情報の漏えい、滅失又はき損の防止その他の個人情報の安全管理のために、以下の措置を講じなければなりません。

具体的にはガイドラインで示されています。(個人情報保護委員会のホームページに掲載されています。)

関連記事:個人情報保護法が定めている安全管理措置について解説

従業者、委託先の適切な監督

個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。(第25条)

漏えい等の報告義務

次のような漏えい等の事案が発生した場合、又は発生したおそれがある場合は、個人の権利や利益を侵害するおそれが大きいため、個人情報取扱事業者は、速やかに個人情報保護委員会に報告し、本人へ通知しなければいけません。

(1)要配慮個人情報の漏えい等
例 従業者の健康診断等の結果を含む個人データが漏えいした場合など(1件でも)
(2)財産的被害のおそれがある漏えい等
例 ECサイトからクレジットカード番号を含む個人データが漏えいした場合など(1件でも)
(3)不正の目的によるおそれがある漏えい等
例 不正アクセスにより個人データが漏えいした場合など(1件でも)
(4)1000人を超える個人データの漏えい等

関連記事:個人情報漏えい、1件でも個人事業でも報告義務があるの?

関連記事:個人情報の漏えいって具体的にはどういうこと?

個人情報を第三者に提供する場合の制限

例えば、従業員の氏名等ですが、これらの情報を取引先に伝えたり、自社のホームページに掲載したりすることは、個人データの第三者提供に当たります。

そのため、このようなケースでは、従業員本人の同意が必要です。あるいは、オプトアウトの手続が必要です。

従業員の氏名を取引先に伝えるようなことがある企業は、例えば、雇用契約書において、個人データの第三者提供について従業員の同意を確認する条項を盛り込むなどの対処が必要です。

第三者提供時の記録義務があります。

先ほどの例でいうと、従業員の氏名を取引先に伝えるときは、記録の作成と保存が義務付けられるということです。

第三者と個人データをやり取りする場合において、誰に情報を渡すか、誰から受け取った情報なのか、適切に情報がやり取りされたことの記録を残し、保存する必要があります。

メールでやり取りするのであれば、メールの送受信データを記録しておくということになります。単に氏名を伝えるだけでなく、利用目的等、必要な事項を記載した書式を決めてやり取りするとよいでしょう。

利用目的等の公表・個人情報の開示、訂正、利用停止

本人からの請求があった場合は、保有個人データの開示、訂正、利用停止などに対応する必要があります。(第33条)

関連記事:開示、訂正、利用停止の請求に対する対処

ガイドライン

以上、会社等の担当者が特に注目すべき事項について記載しましたが、実際の運用にあたっては、「個人情報取扱事業者等に係るガイドライン」を読む必要があります。

特定個人情報との関連

個人情報とは氏名や住所、生年月日など個人を特定できる情報ですが、その個人情報にマイナンバーが含まれることによってただの個人情報ではなくなり「特定個人情報」に変化します。特定個人情報については、マイナンバー法と個人情報保護法の両方が適用されます。

関連記事:マイナンバー法が定めているルールを詳細に解説

関連記事:個人情報と特定個人情報の違いを課長に教えてもらった


会社事務入門>このページ