個人情報保護法

個人情報保護法とは、個人情報を取り扱う事業者の義務などについて定めた法律です。正式な法律の名称は「個人情報の保護に関する法律」で、2003年5月に制定され、2005年4月に全面施行されたのち、これまでに3度の大きな改正が行われています。

個人情報保護法において、個人情報とは「生存する個人に関する情報で、氏名、生年月日、住所、顔写真などにより特定の個人を識別できる情報」であると定義されています。単体で個人を識別可能な情報に加えて、ほかの情報と照合することで個人を識別できる情報も個人情報に該当します。また、「個人識別符号」と呼ばれる、その情報単体から特定の個人を識別できる番号、記号、符号などの情報で、政令・規則で定められたものも個人情報に含まれます。

＜図：個人情報に該当する情報の例。「個人の身体のデータ」および「個人に割り振られる公的な番号」が、「個人識別符号」に該当する＞

個人情報を取り扱う事業者（個人情報取扱事業者）には、大きく分けて以下4種類の基本ルールに従うことが求められており、違反した場合には罰金や拘禁刑などの刑事罰が科される可能性があります。

①個人情報の取得・利用に関するルール：

どのような目的で個人情報を利用するのかを具体的に特定してその利用目的を本人に通知する必要がある、取得した個人情報は特定した利用目的の範囲内で利用しなければならない、「要配慮個人情報（※）」を取得するときはあらかじめ本人の同意を得る必要がある、など

※要配慮個人情報：他人に公開されることで本人が不当な差別や偏見などの不利益を被る恐れがあるため、取り扱い時に特に配慮が必要となる情報。例えば人種、信条、社会的身分、病歴、犯罪の経歴、身体障害・知的障害・精神障害など障害に関する情報、健康診断その他の検査の結果、診療・調剤情報などが該当する。

②個人データの保管・管理に関するルール：

個人データの漏えい等を防ぐための安全管理措置を講じなければならない、漏えい等が発生し、個人の権利利益を害する恐れが大きい場合には個人情報保護委員会への報告および本人への通知を行わねばならない、など

③個人データの第三者提供に関するルール：

個人データを本人以外の第三者へ提供する際には原則としてあらかじめ本人の同意を得る必要がある、など

④本人から保有個人データの開示等を求められた際のルール：

本人からの請求があった場合は保有個人データの開示・訂正・利用停止などに対応する必要がある、など

※個人情報の保護に特化した認証制度「プライバシーマーク（Pマーク）制度」については、こちらの解説記事をご覧ください：「プライバシーマーク（Pマーク）とは？意義やメリット、制度概要について解説！」

個人情報保護法はこのほか、個人情報の保護に関する国・地方公共団体の責務や講じるべき施策、行政機関の義務、個人情報保護委員会の設置・職務などについても定めています。

法律の全文は、e-Govポータルサイトのこちらのページからご確認ください。