ITパスポート|法律・制度
個人情報保護法とは?個人情報の定義・義務・罰則をわかりやすく解説
ITパスポート対策 / 読了:約4分
個人情報保護法とは
個人情報保護法(正式名称:個人情報の保護に関する法律)は2003年に成立し、個人情報を取り扱う事業者が守るべきルールを定めた法律です。デジタル化の進展に伴い、2017年・2022年と大きな改正が行われています。
個人情報の定義
「生存する個人に関する情報であって、その情報に含まれる氏名・生年月日その他の記述等により特定の個人を識別できるもの」が個人情報です。
ポイント:単体では識別できなくても、組み合わせることで個人を特定できれば「個人情報」に該当します。例:「田中さん」だけでは不十分でも「田中さん・○○会社・営業部」と組み合わせれば個人を特定できます。
個人識別符号
マイナンバー・パスポート番号・指紋・顔認識データ・DNAなど、それ単体で個人を識別できる符号も個人情報に含まれます。
事業者の主な義務
- 利用目的の明示:収集時に何に使うかを明確にする
- 目的外利用の禁止:明示した目的以外には使用できない
- 第三者提供の制限:本人の同意なしに第三者に提供できない
- 安全管理措置:漏洩・滅失・毀損を防ぐ措置を講じる
- 本人からの開示・訂正・削除要求への対応
- 漏洩時の報告義務:2022年改正で個人情報保護委員会への報告が義務化
要配慮個人情報
人種・信条・病歴・犯罪歴・障害情報など、特に慎重に取り扱うべき情報は「要配慮個人情報」として、取得に本人の同意が必要です。
2022年改正の主なポイント
- 漏洩報告の義務化:1,000件以上の漏洩だけでなく、要配慮個人情報が含まれる場合も報告義務あり
- 個人の権利強化:利用停止・消去の請求権が拡大
- 不正利用目的での提供禁止:第三者が不正に利用することを知りながらの提供を禁止
- 外国への移送規制強化:個人情報を海外の事業者に提供する際の規制強化
よくある間違いとひっかけ
❌ 「死亡した人の情報は個人情報でない」→正しい(ただし遺族の個人情報になる場合あり)
個人情報保護法は「生存する個人」の情報を対象としています。亡くなった方の情報は法律上の「個人情報」にはなりませんが、遺族に関する情報が含まれる場合は別途保護されます。
❌ 「5,000件未満なら個人情報取扱事業者にならない」は過去の話
2017年の改正前は「5,000件未満は適用除外」でしたが、現在はこの例外はなくなりました。1件でも個人情報を扱う事業者に適用されます。
まとめ
- 個人情報とは、特定の個人を識別できる情報のこと
- マイナンバーや指紋などの個人識別符号も個人情報
- 事業者には利用目的明示・第三者提供制限・安全管理措置などの義務がある
- 2022年改正で漏洩時の報告義務が強化された
- 現在は件数に関わらず全事業者に適用される
知識をクイズで確認しよう!
🏆 資格試験対策クイズに挑戦 →