ページの本文へ

セキュリティ

個人情報保護法をわかりやすく解説|企業に求められる対応とは?

個人情報の取り扱いは年々厳格化が進んでおり、個人情報に関する法律である「個人情報保護法」も改正が続けられています。企業は個人情報保護法に則り、個人情報を適正に取り扱う必要がありますが、具体的な内容についてはよく分からない、という方は多いのではないでしょうか。

そこでこの記事では、個人情報保護法の基本的な内容について解説し、近年の法改正による企業への影響について簡単に解説します。

  1. 個人情報保護法の基本と目的
  2. 個人情報保護法の具体的な内容
  3. 企業に求められる対応と義務
  4. 個人情報保護法の改正とその影響

個人情報保護法の基本と目的

はじめに、個人情報保護法の概要と併せて、施行された背景や主要な目的について見ていきましょう。

個人情報保護法とは

個人情報保護法(個人情報の保護に関する法律)とは、適正な個人情報の取り扱いなどを定めた法律です。2003年に制定され、2005年から全面的に施行されました。その後も時代の変化に応じて改正が行われており、年々厳格化が進んでいます。

個人情報保護法が施行された背景

個人情報保護法が施行された背景としては、デジタル化社会が進んだことで国民のプライバシーに対する意識が高まったことが理由の一つとして挙げられます。個人情報を上手に利用すれば利便性が高まる一方で、個人情報の流出や不必要な利用による不安が広がり、適正な個人情報の取り扱いについて法律で定める必要がでてきました。個人情報やプライバシーの保護に関しては世界的に取り組みが進められており、日本でも必要性が高いとされて法律が施行されました。

個人情報保護法の主要な目的

個人情報保護法のなかでは、目的を次のように定義しています。

「個人情報を取り扱う事業者及び行政機関等についてこれらの特性に応じて遵守すべき義務等を定めるとともに、個人情報保護委員会を設置することにより、行政機関等の事務及び事業の適正かつ円滑な運営を図り、並びに個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであること、その他の個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。」
つまり、個人情報を活用しながらも、個人の権利や利益を損なうことの無いようにすることがこの法律の目的です。

個人情報保護法の具体的な内容

個人情報保護法における個人情報とは「生存する特定の個人を識別できる情報」です。具体的には、氏名や住所、生年月日などの他にも、顔認証データやパスポートなどの個別識別符号が含まれるものも該当します。これらの個人情報を取り扱う際には、次の基本的な5つのルールを遵守しなければなりません。

  1. 取得時のルール:利用目的を本人に伝えること
  2. 利用時のルール:目的外のことに使わないこと
  3. 保管時のルール:安全に管理すること
  4. 他者に渡すときのルール:本人に無断で渡さないこと
  5. 開示を求められたときのルール:本人からの開示要求を断らないこと

その他、情報の漏えいなどが発生した場合には速やかに個人情報保護委員会への報告ならびに本人へ通知する義務があります。

企業に求められる対応と義務

個人情報保護法における企業に求められる対応や義務について簡単に解説します。

個人情報の適切な管理方法

個人情報を取り扱うすべての事業者は「個人情報取扱事業者」となり、個人情報保護法が適用されます。個人情報取扱事業者は個人情報を安全に管理し、従業員や外部委託先を監督する義務を負います。前述の基本的な5つのルールに則り、個人情報を適正に取り扱わなければなりません。

法律違反時の罰則と対応策

個人情報保護法上の義務に違反し、改善命令にも違反した場合、個人に対しては1年以下の懲役または100万円以下の罰金、法人に対しては1億円以下の罰金が科されます。さらに、個人情報が漏えいした場合の損害賠償額は、漏えい件数が数千から数万人分ともなると、合計で数十億円にもなりかねません。地方自治体が約22万件の個人情報を流出した事件では、原告1人につき慰謝料として1万円、弁護士費用として5,000円の支払いが命じられています。仮に全員に訴えられた場合の損害賠償金の合計額は30億円を超える額となります。法律上の義務に違反した場合は速やかに改善対応をすることはもちろんのこと、企業が持つ個人情報を狙うサイバー攻撃も多発しているため、しっかりとしたサイバーセキュリティ対策が重要です。

個人情報保護法の改正とその影響

個人情報保護法は原則3年ごとに内容を見直すように定められています。ここでは、近年改正された内容について見ていきましょう。

2022年から2023年の改正点の概要

これまで、国の行政機関や民間事業者、地方公共団体などで遵守すべき法律が異なっていましたが、改正により個人情報保護委員会が一元的に制度を所管することになり、同一の個人情報保護法によって取り扱われることとなりました。この法改正は「デジタル社会形成整備法に基づく改正」として、2022年から一部が施行されていましたが、2023年4月からは地方公共団体を含む全面施行となっています。

企業や組織に与える影響と対応策

2023年4月から施行された法改正において、民間事業者には国立病院や国立大学などが含まれています。これまでは学術研究に関わる適用除外規定がありましたが、一律の適用除外ではなく義務ごとの例外規定として精緻化されているため注意が必要です。

また、2020年に改正された「いわゆる3年毎見直し規定に基づく改正」は、2022年4月から全面施行されており、民間事業者(企業)の活動に大きく影響を及ぼす可能性があります。こちらの改正内容のなかから、企業に影響すると考えられるものを簡単にまとめました。

  • 個人情報の権利に関する改正
  • 事業者の責務に関する改正
  • データの利用、活用に関する改正
  • 罰則に関する改正
  • 法の適用、越境移転に関する改正

それぞれの具体的な内容については、個人情報保護委員会のガイドラインをご参照ください。
→「個人情報の保護に関する法律についてのガイドライン(通則編)

個人情報保護法は定期的に改正されており、年々厳格化が進んでいます。法律上の義務違反時には罰則もあり、情報漏えい事故などが発生した場合には多額の賠償責任を負う可能性があります。適正な個人情報の取り扱いのために、個人情報保護法をしっかりと理解しましょう。

日立ソリューションズ・クリエイトでは、企業から漏えいした情報を調査し、改善案を提供する「漏えい情報調査サービス」を提供しています。当社のホワイトハットハッカーが漏えい情報の報告や、リスクに対する改善案を提案し、企業におけるサイバーセキュリティインシデントへの対応力を強化するサービスです。事故発生後だけでなく、サイバーセキュリティインシデントの発生を予防し、より安全な事業を継続したいと考えるお客さまにも適しています。

当社の関連ソリューション/サービス

関連記事はこちら

詳細はこちら