个人信息保护法

什么是个人信息保护法

个人信息保护法 (正式名称：关于保护个人信息的法律) 是规定个人信息适当处理规则的日本法律。2003 年制定，2005 年全面施行。此后为适应数字社会的发展，在 2015 年、2020 年和 2023 年进行了重大修订。

该法律对处理个人信息的经营者 (个人信息处理经营者) 规定了利用目的的特定和公布、安全管理措施的实施、向第三方提供的限制等义务。2015 年修订设立了个人信息保护委员会，统一了监管体制。

个人日常使用的 Web 服务和应用几乎都处理个人信息，受该法律监管。用户了解自己的权利也很重要。

2022 年修订的主要要点

2022 年 4 月施行的修订是大幅扩充个人权利、强化经营者义务的重要修订。

• 泄露报告义务化：一定规模以上的个人数据泄露发生时，向个人信息保护委员会报告和通知本人成为法定义务。此前的努力义务升格为法律义务
• 个人权利的扩充：利用停止和删除请求权的要件放宽，不仅限于不当获取的情况，在数据不再需要或发生数据泄露时也可请求
• 新设个人关联信息：Cookie ID 和浏览历史等单独无法识别个人但与其他信息组合可识别个人的数据被作为"个人关联信息"纳入监管
• 新设假名加工信息：建立了促进将加工为不与其他信息对照就无法识别个人的信息用于内部分析目的的框架
• 罚则强化：法人罚款上限提高至 1 亿日元 (此前为 50 万日元)

个人信息的定义与范围

准确理解个人信息保护法中"个人信息"的定义是实务判断的基础。

• 个人信息：与在世个人相关的、能够识别特定个人的信息，如姓名、出生日期、地址。面部识别数据和个人编号等"个人识别符号"也包含在内
• 个人数据：构成个人信息数据库的个人信息。以可检索状态系统化整理的信息
• 需要特别注意的个人信息：种族、信仰、病史、犯罪记录、残障等可能产生不当歧视或偏见的信息。获取原则上需要本人同意
• 个人关联信息：Cookie ID、设备标识符、浏览历史、购买历史等。单独不属于个人信息，但提供给将其与个人数据关联的第三方时需要本人同意

与 GDPR 相比，日本的个人信息保护法以"能否识别个人"为标准，而 GDPR 采用"是否与个人相关"这一更广泛的标准。因此 IP 地址和 Cookie 在 GDPR 下属于个人数据，但在日本法律下单独通常不属于个人信息。

个人权利与实践活用

个人信息保护法不仅规定了对经营者的监管，还保障了个人的权利。了解并在必要时行使这些权利有助于管理数字足迹。

• 开示请求权：可以确认经营者持有的自己个人数据的内容。这是了解收集和保存了哪些数据的第一步
• 更正、追加和删除请求权：当保有个人数据的内容与事实不符时，可以请求更正或删除
• 利用停止和删除请求权：2022 年修订放宽了要件，在数据不再需要或发生泄露时也可请求
• 第三方提供停止请求权：可以请求停止将自己的数据提供给第三方

实务上需注意，开示请求可能需要手续费 (在合理范围内)。请求对象是各经营者隐私政策中记载的窗口。对应对不满意时可向个人信息保护委员会咨询。

注意数据最小化原则，在注册服务时不提供不必要的个人信息也是有效的自我保护措施。

常见误解

个人信息保护法只适用于大企业

2015 年修订后，无论处理的个人信息数量多少，所有在业务中使用个人信息的经营者都是适用对象。个体经营者和自由职业者如果管理客户名单或邮件列表，也属于个人信息处理经营者。

Cookie 不受个人信息保护法监管

Cookie 单独通常不属于个人信息，但 2022 年修订将其作为"个人关联信息"纳入监管。将 Cookie 数据提供给将其与个人数据关联的第三方时需要本人同意。

相关术语