個人情報保護法とは？改正ポイントと罰則をわかりやすく解説

企業が事業活動をする際、顧客や取引先、従業員に関する情報を適切に取り扱うことが求められます。経営者や従業員として働くうえで、理解しておくべき法律のひとつが「個人情報保護法」です。

本記事では、個人情報保護法とはどのような法律なのか、概要や同法が定める基本ルールを解説します。個人情報や個人情報取扱事業者の定義、違反した場合の罰則や今後の法改正の動向も紹介します。

個人情報保護法とは

個人情報保護法とは、個人の権利や利益を守ることを目的として、個人情報の取り扱いについて定めた法律です。氏名や住所など、どのような情報が個人情報に該当するのかを規定し、事業者などが個人情報を扱う際に守るべきルールを定めています。

個人情報は、個人の権利や利益の観点から守られるべきものです。その一方で、行政やビジネスなどさまざまな分野で個人情報が活用されることで、サービス向上や業務効率化に貢献する側面もあります。

個人情報の有用性に配慮しながら、個人の権利や利益を守ることが重要であり、有用性と権利保護のバランスに配慮して定められた法律が個人情報保護法です。2003年5月に制定され、デジタル技術の進展など時代の変化にあわせて改正が行われ、現在の個人情報保護法に至っています。

何が「個人情報」に該当するのか

個人情報保護法における個人情報とは、生存する個人に関する情報であって、以下のいずれかに該当するものです。

当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）個人識別符号が含まれるもの

すなわち、個人情報とは、氏名・生年月日・住所・顔写真などにより特定の個人を識別できる情報を指します。他の情報と容易に照合することで特定の個人を識別できるものも、個人情報保護法における個人情報です。

たとえば、生年月日や電話番号はそれだけでは特定の個人を識別できません。しかし、氏名などと組み合わせれば特定の個人を識別できるため、個人情報に該当する場合があります。

個人識別符号とは、番号・記号・符号などで、その情報単体から特定の個人を識別できる情報で、政令・規則で定められたもののことです。指紋・声紋やパスポート番号、運転免許証番号、マイナンバーなどは個人識別符号に該当し、個人情報に含まれます。

なぜ個人情報保護法が重要なのか

個人情報を取り扱う際は、個人情報保護法の規定を守ることの重要性や、法律が制定された背景を含めて理解しておくことが大切です。以下では、個人情報の保護がなぜ重要なのか、3つの視点で解説します。

プライバシー権の保護と被害の未然防止

氏名や住所などの個人情報が漏洩して広まれば、住んでいる場所が知られるなど、プライバシーが侵害されるおそれがあり、さまざまな被害が生じる可能性があります。

個人のプライバシーという基本的人権を守るためには、個人情報を保護することが重要です。

個人情報保護法により、プライバシーの保護や被害の未然防止が図られます。違反には罰則が科されることで、個人情報を侵害するような行為を防ぐ抑止力として効果的です。

一度個人情報がネット上などに漏洩してしまうと、SNSなどで一気に拡散して大きな被害や影響が出る可能性があるだけに、被害を未然に防ぐことが重要です。

情報化社会における安全性の確保

科学技術が発展してIT化が進行したこともあり、現代社会は、さまざまな情報が日々やり取り・利用される情報化社会となっています。

多くの情報にアクセスできることで生活が便利になるなどメリットがある反面、情報漏洩や不正アクセス、サイバー攻撃などのリスクも高まっています。

個人情報の漏洩を防止し、個人の権利や利益、安全を守る重要性が、これまで以上に高まっています。

個人情報保護法では、IT化が進む現代社会の状況を踏まえ、個人情報を含む電子データの取り扱いについても規定しています。個人情報保護法は、情報化社会における個人情報の保護や安全性を確保するうえで重要な役割を果たしています。

企業の信頼確保と国際競争力の維持

個人情報保護法に従って企業が個人情報を適切に扱い、個人のプライバシーに配慮することで、企業の信頼確保と国際競争力の維持につながります。

万が一企業が個人情報の流出事故を起こすと、その企業は信用を失うことになりかねません。個人情報の保護・管理が適切に行われなければ、企業だけでなく国としての信頼も揺らぎ、国際競争力の低下を招く可能性もあります。

EUのGDPRなど、世界各国で個人情報保護が強化されているなか、個人情報の取り扱いに関する国際的な基準を意識する必要があります。

個人情報保護法は、我が国における個人情報の取り扱いの基本的なルールを示すものであり、企業や国の信頼確保に貢献している法律といえます。

個人情報取扱事業者の対象となる企業・組織

個人情報保護法が規定する「個人情報取扱事業者」に該当すると、さまざまな義務が課されます。企業や事業者が個人情報保護法を遵守するにあたっては、個人情報取扱事業者の定義を理解しておく必要があります。

個人情報取扱事業者とは

個人情報取扱事業者とは、「個人情報データベース等を事業の用に供している者」のことです。個人情報データベース等とは、「個人情報を含む情報の集合物であって、特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの」です。

つまり、個人情報取扱事業者とは、事業のために個人情報を使用している事業者のことで、該当すると後述する5つの基本ルールを守る義務が生じます。

対象となる事業者

顧客や取引先に関する個人情報を扱っているなど、事業活動のなかで個人情報を利用している事業者は、一般的に個人情報取扱事業者に該当します。

ただし、国の機関や地方公共団体、独立行政法人などは除かれます。また、次の団体がそれぞれ以下の目的で個人情報を扱う場合は、個人情報取扱事業者に該当しても個人情報保護法が定める義務の対象者から除かれます。

• 放送機関、新聞社、通信社その他の報道機関：報道の用に供する目的
• 著述を業として行う者：著述の用に供する目的
• 宗教団体：宗教活動の用に供する目的
• 政治団体：政治活動の用に供する目的

以前は、個人情報の取扱人数が5,000人以下の事業者は対象外とされる規定がありましたが、2017年の改正（施行）によりこの規定は撤廃されました。

個人情報保護法が定める5つの基本ルール

個人情報保護法の適用対象になる事業者は、同法が定める5つの基本ルールを遵守する必要があります。

事業活動のなかで個人情報を取り扱う際は、以下で解説する各ルールに則った対応が必要です。

1. 取得・利用のルール

個人情報の取得・利用に関して、個人情報保護法が定めている主なルールは以下のとおりです。

どのような目的で個人情報を利用するのか、利用目的を特定してその範囲内で利用する個人情報の利用目的は、あらかじめホームページ等により公表するか、本人に知らせる個人情報は、違法又は不当な行為を助長し、又は誘発するおそれがある方法で利用してはならない「要配慮個人情報」を取得するときはあらかじめ本人の同意が必要取得した個人情報を、特定した利用目的の範囲外で利用する場合、あらかじめ本人の同意が必要

なお、「要配慮個人情報」とは、個人情報のうち、他人に公開されることで本人が不当な差別や偏見などの不利益を被らないように、その取り扱いに特に配慮すべき情報です。人種・信条・社会的身分・病歴・犯罪の経歴などの情報が該当します。

2. 安全管理のルール

個人情報の安全管理に関して、個人情報保護法が定めている主なルールは以下のとおりです。

個人データの漏洩等が生じないように、安全管理に必要な措置を講じる従業者や委託先にも、個人データの安全管理が図られるように必要な監督を行う個人データの漏洩等が発生し、個人の権利利益を害するおそれが大きい場合は、個人情報保護委員会に報告し、本人に通知する

安全管理措置の具体例としては、個人情報を紙で管理する際に鍵のかかるキャビネットで保管し、パソコンで保管する際はファイルにパスワードを設定することなどが挙げられます。

3. 第三者提供のルール

個人情報の第三者提供に関して、個人情報保護法が定めている主なルールは以下のとおりです。

個人データを本人以外の第三者に提供するときは、原則としてあらかじめ本人の同意が必要第三者に個人データを提供した場合は「いつ・誰の・どんな情報を・誰に」提供したか、第三者から個人データの提供を受けた場合は「いつ・誰の・どんな情報を・誰から」提供されたかを確認・記録する（記録の保存期間は原則3年）

警察・裁判所・税務署から照会を受けて法令に基づいて個人情報を提供する場合など、一部例外ケースを除いて、個人データを第三者に提供するときには本人の同意が必要です。

4. 本人の権利保障のルール

本人の権利保障に関して、個人情報保護法が定めている主なルールは以下のとおりです。

本人からの請求があった場合は、保有個人データの開示、訂正、利用停止などに対応する個人情報の取り扱いに対する苦情を受けたときは、適切かつ迅速に対処する

第三者に個人データを提供した記録も開示請求の対象です。保有個人データの開示方法について、電子データなどによる提供を含め、本人が請求した方法で対応する必要があります。

5. 透明性の確保のルール

透明性の確保に関して、個人情報保護法が定めている主なルールは以下のとおりです。

以下の内容について、Webサイトで公表するなど本人が知り得る状態におく必要がある個人情報取扱事業者の氏名または名称、住所全ての保有個人データの利用目的保有個人データの利用目的の通知の求め又は開示などの請求手続き保有個人データの安全管理のために講じた措置保有個人データの取り扱いに関する苦情の申出先

個人情報の利用目的や開示方法などについて、単に社内でルールを決めておくだけでなく、本人が知り得る状態にしておく必要があります。

個人情報保護法に基づく行政の対応と罰則

個人情報保護委員会は、個人情報保護法に基づき、必要に応じて報告徴収・立入検査、指導・助言、勧告、命令などの監督権限を行使できます。

個人情報保護委員会の指示に従わない事業者に対する罰則も規定されています。

報告徴収・立入検査

個人情報保護法の規定の施行に必要がある場合、個人情報保護委員会は事業者に対して報告徴収・立入検査の実施が可能です。必要な報告や資料の提出を求め、事務所に立ち入って個人情報の取り扱いに関して質問し、帳簿書類などの物件を検査することができます。

2024（令和6）年度の実施件数は報告徴収が67件、立入検査が2件でした。

派遣社員が顧客データを不正に持ち出した事案では、持ち出された個人データを当該派遣社員から取得して第三者に提供していた名簿業者2社に対し、立入検査が行われました。

指導・助言

個人情報保護法の規定の施行に必要がある場合、個人情報保護委員会は事業者に対して、個人情報の取り扱いに関して必要な指導・助言を行えます。

2024（令和6）年度の指導・助言の実施件数は395件で、不正アクセスを原因とする漏洩事案を中心に、安全管理措置の不備について指導が行われた事案などがありました。

指導が行われた事案のうち、国民の不安払拭やさらなる被害防止の観点から公表の必要性・相当性が認められるものは、社名や事案の内容が公表されています。

勧告・命令

事業者が個人情報保護法の規定に違反しており、個人の権利・利益保護のために必要な場合、個人情報保護委員会は事業者に対し、違反行為の中止その他違反を是正するために必要な措置をとるべき旨を勧告できます。

また、勧告を受けた事業者が正当な理由なく勧告に係る措置をとらなかった場合、個人の重大な権利利益の侵害が切迫していると認めるときは、事業者に対し、その勧告に係る措置をとるべきことを命ずることができます。

2024（令和6）年度には勧告が1件行われ、個人情報の適正な取得の違反について、当該違反行為を中止するように勧告が行われました。

主な刑事罰

個人情報保護委員会への虚偽報告や個人情報の不正提供などに関して、個人情報保護法では罰則が定められています。以下では主な刑事罰の内容を紹介します。

個人情報保護委員会への虚偽報告、検査拒否をした場合

個人情報保護委員会からの報告徴収・立入検査に応じなかった場合や、報告徴収に対して虚偽の報告をした場合、刑事罰（50万円以下の罰金）が科される可能性があります。

法人の代表者や従業員が報告徴収・立入検査に応じず、虚偽報告を行った場合は、両罰規定により、行為者に加えて法人にも罰金刑が科される可能性があります。

個人情報保護委員会の命令に違反した場合

個人情報保護委員会の命令に事業者が違反した場合、個人情報保護委員会は、その旨を公表することができます。

また、当該命令に違反した者に刑事罰（1年以下の拘禁刑又は100万円以下の罰金）が科される可能性があります。法人に対して両罰規定が適用される点は、虚偽報告・検査拒否の場合と同じです。

個人情報データベース等を不正に提供した場合

個人情報取扱事業者やその従業者が、その業務に関して取り扱った個人情報データベースなどを自己や第三者の不正な利益を図る目的で提供し、又は盗用したときは、刑事罰（1年以下の拘禁刑又は50万円以下の罰金）が科される可能性があります。

法人に対して両罰規定が適用される点は、虚偽報告・検査拒否の場合と同じです。

個人情報保護法の改正とその影響

個人情報保護法は、時代の変化にあわせて改正が行われています。以下では、過去の法改正内容とその影響について解説します。

2015（平成27）年改正法

2015（平成27）年改正法の主なポイントは以下のとおりです。

取り扱う個人情報の数が5,000人分以下の小規模事業者を対象化「匿名加工情報」に関する制度の創設国境を越えた域外適用と外国執行当局への情報提供に関する制度の整備外国にある第三者への個人データの提供に関する規定の整備個人情報保護委員会の新設

5,000人要件が撤廃されて対象事業者の範囲が拡大され、要配慮個人情報に関する規定が整備されるなど、個人情報保護を強化するための改正が行われました。

2020（令和2）年改正法

2020（令和2）年改正法の主なポイントは以下のとおりです。

保有個人データの利用停止・消去等の請求権の拡充漏洩等が発生した場合の個人情報保護委員会への報告及び本人通知の義務化「仮名加工情報」に関する制度の創設不適正な方法により個人情報を利用してはならない旨を明確化データの提供先において個人データとなることが想定される「個人関連情報」について、第三者提供にあたっての本人同意が得られていること等の確認を義務付け

個人の権利や情報を保護するための規定が整備される一方で、仮名加工情報の規定を導入して企業による情報の利活用の促進も図られました。

2021（令和3）年改正法

2021（令和3）年改正法の主なポイントは以下のとおりです。

別々に定められていた民間事業者、国の行政機関、独立行政法人等、地方公共団体の機関及び地方独立行政法人のルールの集約・一体化

2021（令和3）年改正法では、これまで別々に定められていた民間事業者、国の行政機関、独立行政法人等、地方公共団体の機関及び地方独立行政法人のルールの集約・一体化が行われました。

今後の個人情報保護法の見直し

2020（令和2）年改正法では、個人情報保護法を3年ごとに見直す旨の規定が設けられました。

個人情報保護委員会から個人情報保護法の3年ごと見直しに関する制度改正方針（案）が公表されています。以下では、今後の法改正の動向を紹介します。

AI時代への対応

制度改正方針（案）では、「個人データ等の第三者提供及び公開されている要配慮個人情報の取得について、統計情報等の作成にのみ利用される場合は本人同意を不要とする」旨が示されました。

情報通信技術の急速な進展や国際的動向を踏まえ、適正なデータの利活用を推進するために示された方針です。

個人情報を保護して本人の権利を守りつつ、AI時代・情報化社会への対応も考慮し、両者のバランスを考慮した制度設計を目指しています。

委託先の義務強化

個人データ等の取り扱いについて、実質的に第三者に依存するケースが拡大しています。

しかし、委託元による委託先の監督が十分に機能せず、委託先が委託された業務の範囲を超えて独自に個人データ等を利用する事案も生じているのが実態です。

また、個人データ等の取り扱いの委託のなかには、委託先自らは取り扱いの方法を決定しないケースも存在します。

そのため、委託の実態に合わせた規律を整備することが検討されています。

具体的には、取り扱いを委託された個人データ等を当該委託を受けた業務の遂行に必要な範囲を超えて取り扱ってはならない旨の義務を、委託先に明文規定により課すことが検討されています。

課徴金制度の導入

重大な違反行為により個人の権利利益が侵害された場合に、当該違反行為によって得られた財産的利益等の相当額の課徴金を納付させる制度が検討されています。

大量の個人情報の取り扱いによる悪質な違反行為を実効的に抑止することを目的とした制度です。

その他にも、速やかに違反行為の是正措置をとれるように命令の要件を見直すなど、個人情報保護法が定める規律遵守の実効性を確保するための制度変更が検討されています。

まとめ

個人情報保護法では、個人情報の取得や利用、第三者提供等に関してルールが定められています。

顧客や従業員の個人情報を取り扱う際は、個人情報保護法に則った対応が必要です。違反行為をすると、罰則が科される場合や社名が公表される場合があります。

個人情報保護法は随時改正されるため、企業は最新の制度改正に応じた対応が必要です。

法改正情報は個人情報保護委員会のサイトなどで公表されているため、企業の経営者や担当者は最新情報を確認することが重要です。

HRMOSタレントマネジメントで従業員情報の適切な管理を実現

企業が事業活動を行ううえでは、氏名や住所、生年月日など、従業員の個人情報を適切に管理する必要があります。従業員情報の管理では、タレントマネジメントシステムの活用が効果的です。

HRMOSタレントマネジメントでは、社員情報への閲覧権限を細かく設定できるため、表計算ソフトや紙での管理に比べ、アクセス制御や運用ルールを整えやすくなります。

また、社員のスキルを可視化し、客観的に正しく数値化することができます。社員の状況を的確に把握でき、適切な人材配置や社員の現状に合わせた人材育成が可能です。

HRMOSのスキル管理機能について、詳しくはこちらをご覧ください。

HRMOSタレントマネジメントの機能を見てみる