個人情報保護法【個人情報の保護に関する法律】個情法

概要

体系的・継続的に個人情報を保有・利用するすべての団体や事業者に対し、取得や保存・利用に関する義務や、違反時の罰則などを定めている。当初は5000件を超える個人情報を所有する事業者のみが規制の対象だったが、2017年の大幅改正でこの要件が撤廃され小規模な事業者や町内会のような団体も対象となった。

個人情報を取り扱う事業者は、個人情報の収集にあたって利用目的を特定することや、目的外の個人情報の収拾・取扱の禁止、収集手段および目的の公表、不正な手段による個人情報取得の禁止、個人情報の保護に必要な措置を講じること、本人から申し出があったときは速やかに保有する開示・訂正・削除に応じること、本人の同意を得ない第三者への譲渡の禁止などの義務が課される。

違反した場合は内閣府の外局である個人情報保護委員会による勧告や命令が行われ、従わない場合は最大で6ヶ月以下の懲役または30万円以下の罰金が課される。

個人情報の種類

保護の対象となる個人情報は、生存する個人の氏名や生年月日、住所、電話番号など、個人の特定・識別に用いることができるものが該当する。顔写真や所属先のメールアドレス、金融機関の口座番号のように他の情報と組み合わせれば個人を特定できる符号なども含まれる。

また、DNA配列や指紋、声紋、顔貌、虹彩など身体に固有の特徴を符号化したデータ、マイナンバーやパスポート番号、運転免許証番号など公的な識別番号・符号も2017年改正で対象に追加された。

個人情報のうち、差別や偏見に繋がりかねず慎重な取り扱いが求められる項目を「要配慮個人情報」と定義し、本人の明示的な同意を得ずに取得したり第三者に提供することが禁じられている。これには人種や信条、社会的身分、病歴、犯歴、犯罪被害事実などが該当する。

一方、特定の個人を割り出せないように一部のデータをランダムな符号で置き換えるなど復元不能な変換処理を行った「匿名加工情報」については、本人の同意を得ずに第三者提供などの利用ができることが定められている

公的機関の責務

国や地方公共団体は事業者等がこの法律に則って適切に個人情報を取り扱うよう、制度の周知・広報や指針の策定など、適切な措置を講ずることが定められている。

なお、この法律が対象とするのは民間が保有する個人情報の取り扱いであり、国や自治体、独立行政法人など公的機関自身が保有する個人情報については、行政機関個人情報保護法など別の法制度によって規定される。