【2022年】個人情報保護法の全体像を『わかりやすく』徹底解説してみた

個人情報保護法がわかりにくい・・・

個人情報と私たちは普段使っていますが、どこからどこまでが個人情報である、と正確に言える人は少ないでしょう。

よくニュースでも「個人情報漏洩」と見かけるように、知っておかないと企業経営においてもリスクとなり得ます。

行政書士の試験でも出てくる個人情報保護法を、ポイントを絞ってコンパクトにわかりやすく解説してみます。

この記事はこんな思いをお持ちのあなたにおすすめです。

  • 全体像を掴みたいけれど、行政のページがわかりづらい
  • 行政書士の勉強をしているけど、何が何だかよくわからないので誰か解説して!
  • とりあえず用語の区別しておきたいけど、混乱している
行政書士の人気講座

受講者累計14万人超!TVCM放映中のオンライン資格講座!低価格受講を実現
>>スタディング 行政書士講座

アガルートのオンライン講座
>>合格率がトップクラス(全国平均の4.14倍)の行政書士講座の秘密とは

個人情報保護法における『個人情報』とはなにか?

そもそも個人情報ってなに?

法律を知る上では、まずは条文を見て用語の定義を把握することが大切です。

ざっくり言ってしまうと「個人を特定できる指紋やパスポート番号」みたいなイメージになります。

まずはざっくりでいいんです。こういうわかりづらいものは。

さて、それを踏まえて以下を見てみましょう。

個人情報保護法 2条(定義)

この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。

1 当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)

個人識別符号が含まれるもの

個人情報保護法2条

実際に条文はもっと長いですが非常にわかりづらいのでギュッとまとめました。

この記載によると特定の個人を識別できるもの個人識別符号が含まれるものに分けられます。

個人識別符号とはなにか

個人識別符号ってなに?

これは結構重要なワードです。

以下、条文を続けてみましょう。

個人情報保護法 2条(定義)

この法律において「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、政令で定めるものをいう。


1 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの


2 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの

個人情報保護法2条

ふーん。よくわからん。

ですよね。

具体例を挙げると、以下のものが個人識別符号になります。

  • 免許証番号
  • パスポート
  • マイナンバー
  • 指紋

これらは文字、番号、記号その他の符号であって、当該特定の個人を識別することができるものに当たります。

そして、以下のようなものは頻繁に変わり、これだけで個人を特定することは難しいので、個人識別符号には当たらないというお話です。

  • 携帯電話番号
  • クレジットカードの番号

なんとなくわかったけど、それだけ知ってればいいんだよね。

いえいえ、他にもあるんです。

頭痛くなりそうかもしれませんが、どれも身近にあるものなので、抑えておいた方がいいのです。

コンパクトにまとめてみました。

要配慮個人情報

本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報

仮名加工情報

他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報

言い換えると、照合すれば識別できる情報ということです。

匿名加工情報

個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたもの

これは、ポイントカードの購買履歴などをいろんな事業者で活用して、ビジネスチャンスに繋げよう!ということが期待されています。

個人条保護委員会のページを見ると、マスキングしただけでは匿名加工情報にはならないようです。

加工の方法はこちらをご参考ください。→匿名加工情報とは?個人情報保護委員会

個人関連情報

生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。

いずれにも該当しないものは、個人「関連」情報と言います。

「生存する個人」に関するものなので、ここは注意が必要ですね。

織田信長とか、豊臣秀吉とか、過去の人物の情報は該当しません。

用語の定義もしっかり区別しておく必要があります。

個人情報保護法ってそもそもなに?

個人情報保護法ってそもそも何のためにあるの?

個人情報保護法(個人情報の保護に関する法律)の1条の条文を見てみましょう。

個人情報保護法 1条 目的

この法律は、デジタル社会の進展に伴い個人情報の利用が著しく拡大していることに鑑み、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにし、個人情報を取り扱う事業者及び行政機関等についてこれらの特性に応じて遵守すべき義務等を定めるとともに、個人情報保護委員会を設置することにより、行政機関等の事務及び事業の適正かつ円滑な運営を図り、並びに個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。

個人情報保護法1条

整理してみましょう。

  • デジタル社会が進んでいるので、適正な取り扱いを決めよう
  • 国や地方公共団体の責務を明らかにしよう
  • 個人情報保護委員会を設置しよう
  • 個人の権利利益を保護しよう

だいたいこんな感じです。

目的を掴んだところで、法律の構成をみてみましょう。

個人情報保護法の構成

個人情報保護法がわかりづらくなるのは、全体像がなかなか掴めないからだという個人的な経験があります。

部分的な理解より、まず全体を把握してみましょう。

構成
第1章総則
第2章国及び地方公共団体の責務等
第3章 個人情報の保護に関する施策等
第4章 個人情報取扱事業者等の義務等
第5章行政機関等の義務等
第6章 個人情報保護委員会
第7章雑則
第8章罰則

1条の通り、国や地方公共団体の責務や権利利益の保護、それぞれの機関の保護、個人情報保護委員会について定められています。

そして、国と地方公共団体以外に登場するのが赤字にした3者です。

  • 個人情報取扱事業者等
  • 行政機関等
  • 個人情報保護委員会

順を追ってみていきましょう。

個人情報保護法における『個人情報取扱事業者』とは

企業などの事業者であれば、当てはまる確率は高くなります。

経営者の方や、個人情報を取り扱う現場の方でも知っておかないといつの間にか法律違反、ということにもなりかねません。

「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるものをいう。
1 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
2 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの


 この章及び第六章から第八章までにおいて「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。


1 国の機関
2 地方公共団体
3 独立行政法人等
4 地方独立行政法人

個人情報保護法16条

上記にもあるとおり、「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者を指します。

なので、個人事業主であっても事業のように供していたら、そうなりますよね。

そして、国、地方公共団体、独立行政法人、地方独立行政法人を除くということですね。

なるほどね。ところでまた何か新しい言葉出てきたのが気になるんだけど...

個人情報データベース等とはなんでしょうか?

個人情報データベース等について

『個人情報を含む情報の集合物』をいいます。

そして、個人情報データベース等を構成する個人情報のことを『個人データ』と言います。

例えていうならば、以下のような感じでしょうか。

  1. 個人データ・・・名刺
  2. 個人情報データベース等・・・名刺データをエクセルに整理したもの

なお『保有個人データ』という言葉も大切です。

個人情報保護法16条4項

「保有個人データ」とは、個人情報取扱事業者が開示、内容の訂正追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの以外のものをいう。

個人情報保護法16条

個人情報取扱事業者が、保有しているデータのことを指すのではなくて、開示や訂正、追加削除したりできる個人データのことを指します。

ここは注意そうだね

個人情報取扱事業者の義務や努力目標について

また、個人情報取扱事業者には、以下のような義務や努力目標があります。大事そうなところに線を引いてみます。

個人情報保護法

17条 
個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的をできる限り特定しなければならない

18条 
個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない

21条 
個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない

22条 
個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない

23条
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない

24条
個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。

25条 
個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない

個人情報保護法16条

こうみると当たり前のことかもしれません。

データを遅滞なく消去するのは努力目標であるという点は覚えておいた方が良さそうです。

漏えいの報告について

一番気になるのは、漏えいのリスクなんだけど...ベネッセのニュースなんかもあったし怖い。

個人情報保護法27条

個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。

ただし、当該個人情報取扱事業者が、他の個人情報取扱事業者又は行政機関等から当該個人データの取扱いの全部又は一部の委託を受けた場合であって、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を当該他の個人情報取扱事業者又は行政機関等に通知したときは、この限りでない

 前項に規定する場合には、個人情報取扱事業者は、本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知しなければならない。

ただし、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

個人情報保護法

これだけだとざっくりしているので具体例をあげます。

大きく以下の4つのデータが漏えいした時には、個人情報保護委員会への報告が必要です。

  1. 要配慮個人情報が含まれる事態
  2. 財産的被害が生じるおそれがある事態
  3. 不正の目的をもって行われた漏えい等が発生した事態
  4. 1,000人を超える漏えい等が発生した場合

これらが発生した時は速やか(概ね3~5日以内)に個人情報保護委員会への報告を行う必要があります。

さらに本人に対しても通知が必要で、文書郵送や電子メール送信で良いとされています。

本人への通知が困難な場合は、ホームページ等での掲示などの代替措置も可能です。

第三者提供について

以下の場合は、本人の同意を得ないでデータを第三者に提供したらだめ!とされています。

個人情報保護法27条

個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。

1 法令に基づく場合
2 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
3 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
4 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
5 当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データの提供が学術研究の成果の公表又は教授のためやむを得ないとき(個人の権利利益を不当に侵害するおそれがある場合を除く。)。
6、7略

個人情報保護法

まあ言われてみたら、そうだよね、というものが多いね。

次にオプトアウト規定と呼ばれるものです。

個人データを第三者に定位供するときは、あらかじめ手続きすることで可能になるよ!というものです。

個人情報保護法27条2項

 個人情報取扱事業者は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる

ただし、第三者に提供される個人データが要配慮個人情報又は第二十条第一項の規定に違反して取得されたもの若しくは他の個人情報取扱事業者からこの項本文の規定により提供されたもの(その全部又は一部を複製し、又は加工したものを含む。)である場合は、この限りでない。

個人情報保護法
OTOMO
OTOMO

例えば、住宅地図に「氏名」が載っているケース。私たちは特に許可したわけでもないですが、広く一般に知れ渡っています。

オプトアウト規定の届出については個人情報保護委員会ページで確認できます。

適用除外(適用されないもの)について

また、以下に該当する者はこの章の規定は適用されないとされています。

個人情報保護法57条 

個人情報取扱事業者等及び個人関連情報取扱事業者のうち次の各号に掲げる者については、その個人情報等及び個人関連情報を取り扱う目的の全部又は一部がそれぞれ当該各号に規定する目的であるときは、この章の規定は、適用しない

 放送機関、新聞社、通信社その他の報道機関(報道を業として行う個人を含む。) 報道の用に供する目的
 著述を業として行う者 著述の用に供する目的
 宗教団体 宗教活動(これに付随する活動を含む。)の用に供する目的
 政治団体 政治活動(これに付随する活動を含む。)の用に供する目的

個人情報保護法

開示請求について

後、たまに開示請求って聞くけどあれってどういうこと?

開示請求は、情報開示して!という請求です。

まずは、誰が開示請求できるのでしょうか?

個人情報保護法33条

本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの電磁的記録の提供による方法その他の個人情報保護委員会規則で定める方法による開示を請求することができる。

個人情報保護法

『本人』が請求できますね。

請求されたらどうしたらいいのでしょうか?

個人情報保護法33条2項

個人情報取扱事業者は、前項の規定による請求を受けたときは、本人に対し、同項の規定により当該本人が請求した方法により、遅滞なく、当該保有個人データを開示しなければならない。

ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。

1 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合

2 当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合

3 他の法令に違反することとなる場合

個人情報保護法

基本的には遅滞なく開示しなければいけませんが、生命などの危機があれば開示しないことができます。

個人情報保護法における行政機関等の義務等とは

行政機関等は、個人情報取扱事業者とまた異なる言葉の定義が出てきますので、別物と考えておきましょう。

個人情報保護法60条


「保有個人情報」とは、行政機関等の職員(独立行政法人等にあっては、その役員を含む。)が職務上作成し、又は取得した個人情報であって、当該行政機関等の職員が組織的に利用するものとして、当該行政機関等が保有しているものをいう。

ただし、行政文書又は法人文書に記録されているものに限る。

個人情報保護法

言い換えれば、以下のようになります。

『保有個人情報』:行政機関等の職員が職務上作成し、取得した個人情報。

ざっくりですが、この条文の中で出てくる『行政文書』『法人文書』とは何でしょうか?

リンクだけつけておきますが、職員が作成したもので「官報、白書、新聞、雑誌」や「特定歴史公文書等」に該当しないものというイメージです。

後でリンク見ておくよ。ところで他にも言葉の定義あるんでしょ?

はい、その通りです。

個人情報ファイルとは

「個人情報ファイル」という言葉が定義されています。

個人情報保護法60条2項


個人情報ファイルとは、保有個人情報を含む情報の集合物であって、次に掲げるものをいう。
1 一定の事務の目的を達成するために特定の保有個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
2 前号に掲げるもののほか、一定の事務の目的を達成するために氏名、生年月日、その他の記述等により特定の保有個人情報を容易に検索することができるように体系的に構成したもの

個人情報保護法

個人情報取扱事業者との比較をまとめておきます。

定義個人情報取扱事業者行政機関
それぞれの個人情報個人データ保有個人情報
体型的にまとめたもの個人情報データベース個人情報ファイル
いずれにも該当しない個人関連情報

そして、行政機関の長等は、個人情報ファイルを保有しようとしているときは、あらかじめ個人情報保護委員会に対し、通知を行う必要があります。保有している個人情報ファイルについて個人情報ファイル簿(帳簿)を作成し公表しなければなりません。(74条,75条)

漏えい等の報告等

個人情報保護法 第68条 

行政機関の長等は、保有個人情報の漏えい、滅失、毀損その他の保有個人情報の安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。

 前項に規定する場合には、行政機関の長等は、本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知しなければならない。ただし、次の各号のいずれかに該当するときは、この限りでない。
1 本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるとき。
2 当該保有個人情報に第78条各号に掲げる情報のいずれかが含まれるとき。

個人情報保護法

上記のように定められています。

開示請求の手続

さっきの取扱事業者は開示請求ができたけど、行政機関に対しては開示請求は可能なのかな?

はい、できます。

根拠条文を見てみましょう。

個人情報保護法76条
何人も、この法律の定めるところにより、行政機関の長等に対し、当該行政機関の長等の属する行政機関等の保有する自己を本人とする保有個人情報の開示を請求することができる。
 未成年者若しくは成年被後見人の法定代理人又は本人の委任による代理人は、本人に代わって前項の規定による開示の請求をすることができる。

個人情報保護法

以下の2点がポイントです。

  1. 誰でもできるという点
  2. 自分を本人とする情報という点

また、開示請求書には以下のような内容を書きます。

個人情報保護法77条

開示請求は、次に掲げる事項を記載した書面を行政機関の長等に提出してしなければならない。
1 開示請求をする者の氏名及び住所又は居所
2 開示請求に係る保有個人情報が記録されている行政文書等の名称その他の開示請求に係る保有個人情報を特定するに足りる事項

 前項の場合において、開示請求をする者は、政令で定めるところにより、開示請求に係る保有個人情報の本人であることを示す書類を提示し、又は提出しなければならない。

 行政機関の長等は、開示請求書に形式上の不備があると認めるときは、開示請求をした者に対し、相当の期間を定めて、その補正を求めることができる。この場合において、行政機関の長等は、開示請求者に対し、補正の参考となる情報を提供するよう努めなければならない。

個人情報保護法

例えば法務局に開示請求する場合は、このような請求書が用意されているので、ここに記載して手数料を払って送付する、という感じですね。

開示請求書サンプル

出典:法務局

行政機関は、この請求を受けると一定の場合を除いて開示しなければなりません。量がかなり増えてしまうため割愛しますが、部分開示(79条)、裁量的開示(80条)などがあります。

特徴的なのはグローマー拒否と呼ばれるものです。

個人情報保護法 第81条

開示請求に対し、当該開示請求に係る保有個人情報が存在しているか否かを答えるだけで、不開示情報を開示することとなるときは、行政機関の長等は、当該保有個人情報の存否を明らかにしないで、当該開示請求を拒否することができる

個人情報保護法

要は、開示請求があったけど、その情報があるかどうかを答えてしまったら、不開示の情報を公開することになる。

そんなときは、所在を明らかにしないで拒否してもいいですよ、と定められているわけです。

個人情報保護法における個人情報保護委員会とは

個人情報保護委員会ってなに?

条文を見てみましょう。

個人情報保護法 第127条 

内閣府設置法第49条第3項の規定に基づいて、個人情報保護委員会を置く。
委員会は、内閣総理大臣の所轄に属する。委員会は、行政機関等の事務及び事業の適正かつ円滑な運営を図り、並びに個人情報の適正かつ効果的な活用新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護するため、個人情報の適正な取扱いの確保を図ることを任務とする。

個人情報保護法

個人情報を適正に活用するために定められています。

なお、131条では委員会は委員長及び委員8人を持って組織するとされ、4人は非常勤とするとされています。

委員会メンバーはホームページで確認することができます。

情報公開・個人情報保護審査会ってまた別の組織?

はい、委員会ではなく審査会総務省管轄になります。

情報公開・個人情報保護審査会とは?

情報公開・個人情報保護審査会設置法に設置が定められています。混同しやすいので注意しましょう。

個人情報保護法のまとめ

以上、個人情報保護法について解説してみました。

この法律の全体像を掴むきっかけになれば幸いです。

行政書士の人気講座

受講者累計14万人超!TVCM放映中のオンライン資格講座!低価格受講を実現
>>スタディング 行政書士講座

アガルートのオンライン講座
>>合格率がトップクラス(全国平均の4.14倍)の行政書士講座の秘密とは