個人情報保護法とは？
対象となる情報や企業での取り扱いについてわかりやすく解説

個人情報保護法とは、個人情報の定義や取り扱い方を定めた法律です。2003年5月に制定され、約2年後の2005年4月に全面施行されました。

施行後も、デジタル技術の発展やグローバル化の影響を受けて、これまでに3度の法改正が行われています。

個人情報保護法の第1条では、その目的を以下のように記載しています。

（目的）
第一条この法律は、デジタル社会の進展に伴い個人情報の利用が著しく拡大していることに鑑み、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにし、個人情報を取り扱う事業者及び行政機関等についてこれらの特性に応じて遵守すべき義務等を定めるとともに、個人情報保護委員会を設置することにより、行政機関等の事務及び事業の適正かつ円滑な運営を図り、並びに個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。

引用：個人情報の保護に関する法律　第一条｜e-Gov法令検索

インターネットの普及などによる社会の急速なデジタル化によって、個人情報をデータ化し、ビジネスの分野で活用できるようになりました。個人情報を活用すれば、サービスの質を上げ、効率よく業務を遂行することができます。

その反面、本人の意図しない形で個人情報が利用されることで、個人の権利や利益が侵害されるリスクも高まってきたため、個人情報を保護する必要が出てきました。

個人情報保護法は、個人の権利や利益を尊重しながら、個人情報を有効活用する目的で制定されました。

個人情報保護法は、すべての事業者に適用されます。

個人情報を紙媒体や電子媒体にデータベース化し、事業活動に利用している事業者は、個人情報保護法を守らなければなりません。個人情報を事業・活動に利用する者のことを「個人情報取扱事業者」といいます。

2017年の法改正までは、取り扱う個人情報の件数が5,000件以下の事業者は、個人情報保護法の対象外でした。しかし、法改正によって制限が撤廃され、現在はすべての事業者が対象です。

また、法人だけでなく、以下の組織も対象となります。

• 非営利法人
• NPO法人
• 個人事業主
• 非営利組織

個人情報保護法は、事業規模や営利・非営利に関係なく適用されます。

個人情報保護法の対象となる情報は以下の7種類です。以下では、個人情報と、それ以外の6つの情報について、それぞれの定義と取り扱い方法をご紹介していきます。

個人情報保護法における「個人情報」は、以下の2つに大別されます。

• 個人情報
• 個人識別符号

ここでいう個人情報とは、氏名や生年月日といった、個人を判別できる情報を指します。2015年の法改正では、個人符号情報も保護の対象となりました。個人識別符号は、法令にて定められた個人の識別ができる文字や番号です。

以下では、個人情報と個人符号情報の定義や具体例を、それぞれ紹介します。

個人情報とは、生きている人物の情報のうち、個人を判別できるものです。具体例として、以下の情報が挙げられます。

• 氏名
• 生年月日
• 住所
• 電話番号
• 顔写真

個人情報は、ほかの情報と照らし合わせると個人の特定につながる情報も含まれます。

例えば、生年月日や住所は、それだけで人物を特定するのは困難です。しかし、氏名や顔写真と組み合わせると識別できるため、個人情報に含まれます。

また、映像や音声、暗号化された個人情報も、個人情報保護法の対象となります。防犯カメラに記録された個人の映像や、個人の氏名が録音された音声なども、個人情報の一種です。

個人識別符号とは、情報単体で特定の人物を示す文字や番号、記号などを指します。具体的には以下のような情報が該当します。

• 体の一部を電子処理のために変換した符号
  • ○ 顔認証データ
  • ○ 指紋認証データ
  • ○ 虹彩（こうさい）
  • ○ 声紋
  • ○ 歩き方
  • ○ 手指の静脈
  • ○ 手のしわ
• サービスの利用者ごとに割り振られる番号
  • ○ 運転免許証番号
  • ○ パスポート番号
  • ○ 基礎年金番号
  • ○ 保険者番号

また、これらの情報を組み合わせてデータ化し、認証装置やソフトウェアで認証できるようにしたものも、個人識別符号に含まれます。

一方で、携帯番号や国家資格の登録番号など、企業や組織が独自に割り当てる番号は、個人識別符号ではありません。

前述の個人情報に加えて、次の6つの情報も、個人情報保護法の対象となります。

• 個人データ
• 個人保有データ
• 要配慮個人情報
• 仮名加工情報
• 匿名加工情報
• 個人関連情報

これらの情報は、個人情報や個人識別符号を分類・整理したり、個人識別が不可能となるように加工したりしているのが特徴です。

また、より慎重な取り扱いが求められる情報や、情報の積み重ねによって個人が特定できるものも含まれています。

以下で、それぞれの情報について詳しく見てみましょう。

集めた個人情報を探しやすいように整理したものを「個人情報データベース」といいます。
個人データとは、個人情報データベースに含まれている情報のことです。

個人データの具体例として、会社の顧客リストに記載されている個人情報が挙げられます。
顧客の名刺を分類して整理したり、管理ソフト上で管理したりして、情報が簡単に探せる状態になっていれば、個人データにあたります。

一方で、収集した名刺を一枚ずつ別々に保存している場合は、データベース化しているとはいえません。この場合、名刺に記載された氏名や電話番号、住所などは、個人データではなく、個人情報にあたります。

保有個人データとは、本人または代理人から開示や訂正、削除を求められたときに、個人情報取扱事業者が対応できる個人データのことです。

ただし、以下の情報は保有個人データにはあたりません。

• 存在が明らかになることで、本人または第三者の生命、身体、財産に危害が及ぶ可能性のある個人データ
• 存在が明らかになることで、違法または不当行為を助長・誘発する可能性がある個人データ
• 存在が明らかになることで、国の安全が脅かされたり、他国や国際機関との信頼関係が損なわれたり、交渉上不利益を被ったりする可能性がある個人データ
• 存在が明らかになることで、犯罪の予防・鎮圧、捜査、そのほかの安全と秩序の維持に支障が出る可能性がある個人データ

例えば、家庭内暴力や虐待の加害者や被害者に関する個人データ、暴力団関係者に関する個人データなどは、保有個人データに含まれません。これらの情報が明らかになることで、個人または公共の利益が損なわれる可能性が高いためです。

要配慮個人情報とは、本人の許可を得ずに第三者に公開した場合、本人が不利益を被るリスクがある情報です。したがって、ほかの個人情報以上に取り扱いに注意を払わなければなりません。具体的には以下のような情報が挙げられます。

• 人種
• 信条
• 社会的身分
• 犯罪・犯罪被害に関する情報
• 非行・少年保護に関する情報
• 病歴・障がい
• 健康診断などの結果
• 保健指導・診療・調剤情報

健康診断などの結果には、人間ドックやストレスチェック、遺伝子検査の結果も含まれます。

仮名加工情報とは、複数の情報と照らし合わせない限り、個人識別が不可能となるように加工された情報のことです。例えば、以下のような情報が該当します。

• 個人情報に含まれる記述の一部を削除した情報
• 個人情報に含まれる個人識別符号をすべて削除した情報
• 不正利用によって、財産的被害が生じる可能性がある記述を削除した情報

近年の技術発展にともない、2020年の法改正で新たに定められました。

匿名加工情報とは、個人識別が不可能になるように情報を加工し、復元不可の状態にした情報のことです。加工の際には適切な措置を講じ、個人の特定や情報の復元を防ぐ必要があります。記述の一部や個人識別符号のすべてを削除する点は、仮名加工情報と共通しています。

個人関連情報とは、生きている人物に関わるものの、単体では個人の特定には至らない情報のことです。具体例として、以下の情報が挙げられます。

• 個人のWebサイトの閲覧履歴
• 個人のメールアドレスに結び付いた年齢・性別・家族構成など
• 個人の商品購買履歴・サービス利用履歴
• 個人の位置情報
• 個人の興味・関心を示す情報

なお、上記の情報によって個人を特定できる場合、個人関連情報には含まれません。

例えば、ある1日の位置情報であれば、それだけで個人を特定するのが困難なため、個人関連情報として扱います。しかし、複数日の位置情報が積み重なり、個人が判別できる状態である場合は、個人関連情報ではなく個人情報として扱います。

上述した6種類の個人情報には、種類別に責任範囲が定められています。企業や組織は、取り扱う情報の種類に応じてルールに従い、適切に情報を取り扱わなければなりません。

また、どの個人情報も、悪意のある第三者に漏洩（えい）しないように安全に管理する必要があります。特別な状況を除いて、無断で公開しないようにしましょう。

以下では、個人情報の責任範囲について、情報の種類ごとに解説していきます。

個人情報取扱事業者が個人情報を取り扱う際には、以下の3点が義務付けられています。

• 個人情報の利用目的の特定
• 不適正利用の禁止
• 個人情報の取得

企業は、個人情報を利用する目的をできる限り具体的に定め、公式ホームページに公開する、または本人に知らせる必要があります。また、個人情報を利用する目的の範囲を超えて使用する場合は、事前に本人の同意を得ましょう。

加えて、個人情報は違法・不当行為を助長したり、誘発したりする可能性がある方法で利用してはなりません。情報の取得に関しても、嘘の利用目的を伝えて騙し取ったり、不正な手段で取得したりすることは、個人情報保護法で禁じられています。

個人データを取り扱う事業者には、以下の3点が義務付けられています。

• 個人データの管理
• 個人データの漏洩（えい）等の報告
• 個人データの第三者への提供の制限

個人データを管理する企業は、データの漏洩（えい）が発生しないように、安全に管理しましょう。具体的な対策は、以下のとおりです。

• 紙媒体の場合：鍵のかかるキャビネットに保管する、不要な書類はシュレッダーで廃棄する
• 電子媒体の場合：ファイルにパスワードを設定する、セキュリティソフトを導入する、アクセス権限を最小に設定する

また、個人データの管理は、自社だけでなく、取引先や委託先でも適切に行われるように監督しましょう。仮に個人データが流出し、個人の権利や利益が侵害される可能性がある場合は、ただちに個人情報保護委員会に報告してください。

さらに、個人データを第三者へ提供する場合は、事前に本人からの同意が必須です。ただし、以下のケースに関しては、同意を得る必要はありません。

• 警察・裁判所・税務署などからの照会
• 人の生命・身体・財産保護に必要で、本人の同意を得るのが難しい場合
• 公衆衛生・児童の健全育成に必要で、本人の同意を得るのが難しい場合
• 学術研究目的での提供・利用
• 委託・事業承継・共同利用など

第三者に個人データを提供した際は「誰のどの情報を、いつ誰に渡したか」を確認し、記録を行います。

保有個人データを取り扱う事業者には、次の4つが義務付けられています。

• 保有個人データに関する事項の公表等
• 保有個人データの開示等
• 保有個人データの訂正等
• 保有個人データの利用停止等

企業は、本人から保有個人データの開示や訂正、利用停止の請求があった場合は、対応しなければなりません。加えて、保有個人データを取り扱う企業は、下記の内容を公式ホームページで公表する義務があります。

• 個人情報取扱事業者の氏名・名称・住所
• 保有個人データの利用目的
• 保有個人データの利用目的の通知の求め・開示請求の手続き
• 保有個人データの安全管理のための措置
• 保有個人データの取り扱いに関する苦情の申出先

データの開示方法は、本人が希望する方法で対応しましょう。具体的には、CD-ROMやメールといった電磁的記録や書面の交付、音声データなどの方法が挙げられます。

要配慮個人情報を取得する場合は、原則として本人の同意を得ましょう。ただし、以下に該当するケースでは、同意を得る必要はありません。

• 警察・裁判所・税務署などからの照会
• 人の生命・身体・財産の保護に必要で、本人の同意を得るのが難しい場合
• 公衆衛生・児童の健全育成に必要で、本人の同意を得るのが難しい場合
• 学術研究目的での提供・利用
• 報道機関・著述家・宗教団体や政治団体の活動に利用する場合

また、要配慮個人情報が本人や国、地方公共団体などによって公表されている場合も、本人の同意なしに情報を取得できます。

仮名加工情報を取り扱う場合は、以下の7つが義務付けられています。

• 第三者提供の禁止
• 安全管理措置
• 従業者の監督
• 委託先の監督
• 苦情処理
• 識別行為の禁止
• 本人への連絡等の禁止

仮名加工を実施する場合は、個人を特定できないように情報を削除したり、置き換えたりしなければなりません。ほかの記述に置き換える場合は、元の記述がわかるような規則性を削除します。加工の具体例は、以下のとおりです。

• 氏名・住所・生年月日などを削除する
• 住所を〇〇県△△市などに置き換える
• 生年月日の「日」を削除する

また、次の符号や記述も加工しましょう。

• 個人識別符号
• クレジットカード番号を削除する
• 送金・決済機能のあるサービスのログインID・パスワードを削除する

なかでも決済に関する記述は、第三者に知れ渡ることによって、経済的な損失を被る危険性があります。したがって、削除または別の記述への置き換えが必要です。

匿名加工情報の取り扱い義務に関しては、以下の5つが義務付けられています。

• 適切な加工
• 安全管理措置
• 作成時の公表
• 第三者提供時の匿名加工情報である旨の開示
• 識別行為の禁止
• 安全措置および苦情処理等の自主的な実践および内容の公表

仮名加工を実施する場合は、個人を特定できないように情報を削除したり、置き換えたりしなければなりません。ほかの記述に置き換える場合は、元の記述がわかるような規則性を削除します。加工の具体例は、以下のとおりです。

さらに、個人の特定につながる可能性のある珍しい事実に関しても、削除や書き換えといった加工が義務付けられています。具体的なケースは、以下のとおりです。

• 症例が少ない病歴を削除する
• 110歳を90歳以上に書き換える

匿名加工情報を第三者に提供する場合は、あらかじめ提供する情報が匿名加工情報であることを公表しなければなりません。また、匿名加工情報をインターネット上に公開する場合も、第三者提供と同じ扱いとなります。

個人関連情報を取り扱う企業は、提供先の第三者が、個人関連情報を個人データとしての取得が予想される場合、本人の同意を得ているかを確認しましょう。

「個人データとして取得する」の例は、以下のとおりです。

• 第三者が、個人データに個人関連情報を加える場合
• 第三者が受け取った個人関連情報を、IDなどを介して、提供先が保有する個人データに加える場合

例えば、ポイントサービスを運営しているD社の顧客が、D社と提携しているE社のフリマサイトで買い物をしたとします。もしD社がE社に対し「そちらのサイトの購入履歴を使って、顧客へ販促PRをしたい」と申し出た場合、D社はE社の購入履歴を個人データとして使用することが予想されます。

上記のケースでは、顧客と直接接点を持ち、主として情報を使用するD社が、顧客から同意を得なければなりません。

個人情報保護法に違反した場合、以下の罰則が課せられます。

• 報告徴収・立入検査
• 勧告・命令
• 懲役・罰金

上記のうち、懲役・罰金以外は個人情報保護委員会が執り行います。個人情報保護委員会の調査結果によっては、企業に対して、個人情報保護法を順守するための対応が求められるでしょう。

具体的な内容に関しては、以下をご参照ください。

企業や組織が法律に違反し、不適切な情報の取り扱いをしている場合、個人情報保護委員会による報告徴収・立入検査が実施されます。

報告徴収では、個人情報の取り扱いに関する報告や資料の提出を求められ、立入検査では、個人情報の取り扱いに関する質問や、帳簿書類や物件の検査が行われます。

報告徴収や立入検査のあとは、個人情報保護委員会による指導・助言が入り、次のような対応を求められる場合があるでしょう。

1. 個人情報の利用目的を本人に伝えること
2. 個人情報を目的外のことに使わないこと
3. 個人情報を安全に管理すること
4. 個人情報を無断で第三者に渡さないこと
5. 本人からの開示要求を断らないこと

個人情報保護委員会は、企業や組織が法律に違反し「個人の権利や利益を保護する必要がある」と認めた場合、違反行為の中止や是正のための措置を勧告します。

もし正当な理由が無いにも関わらず、企業や組織が措置を取らなかった場合、勧告した措置を命令できます。

命令に違反すると、個人情報保護委員会によって違反した旨が公表されるため、素直に従いましょう。

個人情報保護法に違反し、個人情報保護委員会の指示にも従わなかった場合、刑事罰の対象となるでしょう。以下のケースでは、懲役や罰金が科される場合もあります。

• 報告徴収・立入検査に応じなかった場合：50万円以下の罰金
• 虚偽の報告をした場合：50万円以下の罰金
• 命令に違反した場合：1年以下の懲役または100万円以下の罰金
• 個人情報データベースを不正利用した場合：1年以下の懲役または50万円以下の罰金

刑事罰に発展しない場合でも、個人情報漏洩（えい）が発生すると、事故対応費用や損害賠償、弁護士費用の支払いに追われる可能性があります。法律違反をしてしまった場合は迅速に対応し、改善に努めましょう。

個人情報の流出は、事業規模や業種を問わず、さまざまな企業で発生しています。ここでは、過去に発生した個人情報流出の事例をいくつかご紹介します。自社での個人情報流出対策に活かしてください。

大手転職サイトのA社では、約10万人の個人情報が流出しました。

ユーザー情報と企業のデータベースの突合プログラムの不備によって、本来権限がないはずの法人ユーザーからも、ユーザー情報が閲覧可能になっていたことが原因です。

閲覧できたユーザー情報は、以下の8つです。

• 年齢
• 性別
• 居住地
• 最終学歴
• 保有資格
• 経験業種・職種
• 直近の年収
• 希望年収

飲食店運営会社のB社では、外部からの不正アクセスによって、個人情報漏洩（えい）が発生しました。

流出したのは、予約した顧客の氏名、メールアドレス、電話番号など、計1,003件分の個人情報です。

B社はさらなるセキュリティレベルの強化によって、再発防止に努めるとしています。

大手通信会社の子会社であるC社では、約900万件分の顧客情報が漏洩（えい）しました。

コールセンター用システムの保守を依頼していた企業の元派遣社員が、顧客情報を持ち出したことが原因です。

盗まれた顧客の氏名、住所、電話番号は東京の名簿業者に転売され、犯人は2,000万円以上の利益を得たと予測されています。

通信インフラの整備や社会環境の変化、技術の発展に伴い、ビジネスにおける情報の重要性は増していく一方です。なかでも、個人情報を含む情報の価値は高まっている状況です。

その一方で、サイバー攻撃等により、企業はつねに情報漏洩（えい）リスクにさらされています。個人情報保護委員会によると、2023年の情報漏洩（えい）件数は過去最多の1万3,279件でした。

仮に個人情報保護法への違反が生じた場合には、前述のような罰則が課せられるほか、被害者への損害賠償が生じる可能性があります。また、迅速な安全措置や苦情処置が求められ、費用の確保や、相談できる専門業者の選定を素早く行わなければなりません。

膨大な情報を抱えている現代の事業者が、万が一の漏洩（えい）リスクに備えるには、サイバー保険への加入がおすすめです。サイバー保険は、事故対応費用の補償、事故発生時の対応なども行っています。

損保ジャパンでもサイバー保険を提供しているので、個人情報の取り扱いがある企業はぜひご活用ください。

個人情報保護法とは、個人情報の取り扱い方と個人の権利・利益の保護の両者をまとめた法律です。個人情報には、氏名や住所、電話番号のほか、顔や指紋、マイナンバーカードの番号なども含まれます。

個人情報保護法に違反すると、個人情報保護委員会による調査や指導が入り、改善に向けた対応を求められます。より悪質なケースでは、懲役や罰金が科されたり、多額の事故対応費用や損害賠償を請求され支払ったりしなければなりません。

個人情報保護法をしっかりと守ったうえで、情報を活用しましょう。