個人情報保護法とは

個人情報保護法 (正式名称: 個人情報の保護に関する法律) は、個人情報の適正な取り扱いに関するルールを定めた日本の法律です。2003 年に制定され、2005 年に全面施行されました。その後、デジタル社会の進展に合わせて 2015 年、2020 年、2023 年に大きな改正が行われています。

この法律は、個人情報を取り扱う事業者 (個人情報取扱事業者) に対して、利用目的の特定と公表、安全管理措置の実施、第三者提供の制限などを義務付けています。2015 年の改正で個人情報保護委員会が設置され、監督体制が一元化されました。

個人が日常的に利用する Web サービスやアプリは、ほぼすべてが個人情報を取り扱っており、この法律の規制対象です。ユーザーとしても、自分の権利を理解しておくことが重要です。

2022 年改正の主要ポイント

2022 年 4 月施行の改正は、個人の権利を大幅に拡充し、事業者の義務を強化した重要な改正です。

漏洩報告の義務化: 一定規模以上の個人データ漏洩が発生した場合、個人情報保護委員会への報告と本人への通知が義務化された。従来は努力義務だったものが法的義務に格上げされた
個人の権利の拡充: 利用停止・消去の請求権の要件が緩和され、不正取得の場合だけでなく、利用する必要がなくなった場合やデータ漏洩が発生した場合にも請求可能になった
個人関連情報の新設: Cookie ID や閲覧履歴など、単体では個人を特定できないが他の情報と組み合わせると個人を特定できるデータが「個人関連情報」として規制対象に追加された
仮名加工情報の新設: 他の情報と照合しない限り個人を特定できないように加工した情報について、内部分析目的での利活用を促進する枠組みが整備された
罰則の強化: 法人に対する罰金の上限が 1 億円に引き上げられた (従来は 50 万円)

個人情報保護法における「個人情報」の定義を正確に理解することが、実務上の判断の基礎になります。

個人情報: 生存する個人に関する情報で、氏名、生年月日、住所など特定の個人を識別できるもの。顔認識データやマイナンバーなどの「個人識別符号」も含まれる
個人データ: 個人情報データベース等を構成する個人情報。検索可能な状態で体系的に整理されたもの
要配慮個人情報: 人種、信条、病歴、犯罪歴、障害など、不当な差別や偏見を生じさせるおそれのある情報。取得には原則として本人の同意が必要
個人関連情報: Cookie ID、端末識別子、閲覧履歴、購買履歴など。単体では個人情報に該当しないが、提供先で個人データと紐付けられる場合は本人同意が必要

GDPR と比較すると、日本の個人情報保護法は「個人を特定できるか」を基準とするのに対し、GDPR は「個人に関連するか」というより広い基準を採用しています。そのため、IP アドレスや Cookie は GDPR では個人データに該当しますが、日本法では単体では個人情報に該当しない場合が多いです。

個人情報保護法は事業者への規制だけでなく、個人の権利も保障しています。これらの権利を知り、必要に応じて行使することがデジタルフットプリントの管理につながります。

実務上のポイントとして、開示請求には手数料がかかる場合があります (上限は合理的な範囲)。また、請求先は各事業者のプライバシーポリシーに記載された窓口です。対応に不満がある場合は、個人情報保護委員会に相談できます。

データ最小化の原則を意識し、サービス登録時に不必要な個人情報を提供しないことも、自衛策として有効です。

個人情報保護法は大企業だけに適用される: 2015 年の改正で、取り扱う個人情報の件数にかかわらず、個人情報を事業に利用するすべての事業者が対象となった。個人事業主やフリーランスも、顧客リストやメーリングリストを管理していれば個人情報取扱事業者に該当する。
Cookie は個人情報保護法の規制対象外: Cookie 単体は個人情報に該当しない場合が多いが、2022 年改正で「個人関連情報」として規制対象に追加された。Cookie データを第三者に提供し、提供先で個人データと紐付ける場合は本人同意が必要。