個人情報保護法に関する簡単なまとめ

2021年5月11日

以下、断りのない限り条文は、個人情報の保護に関する法律(平成十五年法律第五十七号)より。
また、次のリンク(個人情報保護委員会)の資料が非常に役立つ

広報資料 |個人情報保護委員会

掲載された資料のうち「はじめての個人情報保護法~シンプルレッスン~」を本記事では「シンプルレッスン」として参照している。

1.個人情報とは

(1)個人情報とは

第二条
この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(・・・)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(・・・)をいう。(・・・))により特定の個人を識別することができるもの(・・・)
二 個人識別符号が含まれるもの
2 この法律において「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、政令で定めるものをいう。
一 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの
二 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの
(・・・)

個人情報の保護に関する法律施行令(平成十五年政令第五百七号)
第一条
個人情報の保護に関する法律(以下「法」という。)第二条第二項の政令で定める文字、番号、記号その他の符号は、次に掲げるものとする。
一 次に掲げる身体の特徴のいずれかを電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、特定の個人を識別するに足りるものとして個人情報保護委員会規則で定める基準に適合するもの
イ 細胞から採取されたデオキシリボ核酸(別名DNA)を構成する塩基の配列
ロ 顔の骨格及び皮膚の色並びに目、鼻、口その他の顔の部位の位置及び形状によって定まる容貌
ハ 虹彩の表面の起伏により形成される線状の模様
ニ 発声の際の声帯の振動声門の開閉並びに声道の形状及びその変化
ホ 歩行の際の姿勢及び両腕の動作、歩幅その他の歩行の態様
ヘ 手のひら又は手の甲若しくは指の皮下の静脈の分岐及び端点によって定まるその静脈の形状
ト 指紋又は掌紋
二 旅券法(昭和二十六年法律第二百六十七号)第六条第一項第一号の旅券の番号
三 国民年金法(昭和三十四年法律第百四十一号)第十四条に規定する基礎年金番号
四 道路交通法(昭和三十五年法律第百五号)第九十三条第一項第一号の免許証の番号
五 住民基本台帳法(昭和四十二年法律第八十一号)第七条第十三号に規定する住民票コード
六 行政手続における特定の個人を識別するための番号の利用等に関する法律(平成二十五年法律第二十七号)第二条第五項に規定する個人番号
七 次に掲げる証明書にその発行を受ける者ごとに異なるものとなるように記載された個人情報保護委員会規則で定める文字、番号、記号その他の符号
イ 国民健康保険法(昭和三十三年法律第百九十二号)第九条第二項の被保険者証
ロ 高齢者の医療の確保に関する法律(昭和五十七年法律第八十号)第五十四条第三項の被保険者証
ハ 介護保険法(平成九年法律第百二十三号)第十二条第三項の被保険者証
八 その他前各号に準ずるものとして個人情報保護委員会規則で定める文字、番号、記号その他の符号

(2)要配慮個人情報とは

第二条
(・・・)
3 この法律において「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。

個人情報の保護に関する法律施行令(平成十五年政令第五百七号)
第二条
法第二条第三項の政令で定める記述等は、次に掲げる事項のいずれかを内容とする記述等(本人の病歴又は犯罪の経歴に該当するものを除く。)とする。
一 身体障害、知的障害、精神障害(発達障害を含む。)その他の個人情報保護委員会規則で定める心身の機能の障害があること。
二 本人に対して医師その他医療に関連する職務に従事する者(次号において「医師等」という。)により行われた疾病の予防及び早期発見のための健康診断その他の検査(同号において「健康診断等」という。)の結果
三 健康診断等の結果に基づき、又は疾病、負傷その他の心身の変化を理由として、本人に対して医師等により心身の状態の改善のための指導又は診療若しくは調剤が行われたこと。
四 本人を被疑者又は被告人として、逮捕、捜索、差押え、勾留、公訴の提起その他の刑事事件に関する手続が行われたこと。
五 本人を少年法(昭和二十三年法律第百六十八号)第三条第一項に規定する少年又はその疑いのある者として、調査、観護の措置、審判、保護処分その他の少年の保護事件に関する手続が行われたこと。

2.事業者が守るべきルールとは

(1)取得・利用の場面

利用目的を特定して、その範囲内で利用する。
利用目的を通知又は公表する。
なお、利用目的の通知・公表方法は、特に定めはない。通知であれば「本人に口頭・書面・メール等で通知する方法」、公表であれば「HPの分かりやすい場所や店舗等の事業所への掲示、申込書等への記載」などが考えられる。なお、同意を取得するまでの義務はなし。(参照:シンプルレッスン)

(2)保管の場面

漏えい等が生じないよう、安全に管理する。
従業者・委託先にも安全管理を徹底する。
安全管理措置の手法としては、上記委員会の公表するガイドラインに小規模事業者向けの手法例が掲載されている。

法令・ガイドライン等 |個人情報保護委員会(個人情報保護委員会)

(3)提供の場面

第三者に提供する場合は、あらかじめ本人から同意を得る。
第三者に提供した場合・第三者から提供を受けた場合は、一定事項を記録する。

外国への提供については、特別なルールがある。
提供については、次項で別途確認。

(4)開示請求等への対応の場面

本人から開示等の請求があった場合はこれに対応する。
苦情等に適切・迅速に対応する。
また本人が開示請求先や方法を知りうるように「①事業者の名称、②利用目的、③請求手続、④苦情申出先」などをHPや事業所での掲示等により本人が知りうる状態にしておく必要がある。

3.提供に関するルール

(1)条文

第二十三条
個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(・・・)
5 次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
一 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
二 合併その他の事由による事業の承継に伴って個人データが提供される場合
三 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
6 個人情報取扱事業者は、前項第三号に規定する利用する者の利用目的又は個人データの管理について責任を有する者の氏名若しくは名称を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。

(2)原則の例外

原則として、本人の同意。

例外として、法23条1項各号(同意不要)と、法23条5項(第三者提供に非該当)。

5項については、利用目的内での委託(1号。なお法22条。)、合併等による事業承継(2号)、共同利用(3号)。

なお、5項1号については、以下の条文により、事業者に監督義務がある。

第二十二条
個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。