【2022年改正】個人情報保護法ガイドラインとは？押さえるべきポイントを解説

個人情報保護法のガイドラインとは

日頃の企業活動において、従業員や顧客の個人情報を収集したり、取り扱ったりするシーンは多いでしょう。

しかし個人情報はその性質上、扱い方を誤ると大きな被害につながる可能性もあるものです。

「個人情報保護法」は、そうした被害を未然に防げるよう、個人情報を扱う全ての事業者や団体が守るべきルールをとりまとめた法律です。

正式には「個人情報の保護に関する法律」と言います。

そして、この法律の具体的指針として定めたものが、「個人情報の保護に関する法律についてのガイドライン」（以下、個人情報保護法のガイドライン）です。

参考：個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン（通則編）」

個人情報保護法のガイドラインの目的・適用対象

個人情報保護法には、企業の具体的な行動指針や事例などを多数掲載しているガイドラインがあります。

この目的や適用対象の事業者について解説します。

目的

個人情報保護法のガイドラインの目的は、事業者の個人情報保護が適切に行われるようサポートすることです。

そのために、法律の条文だけでは分かりづらい内容を詳細に解説したり、具体的な事例を記載したりしています。

適用対象

このガイドラインは、適用対象を下記の通り定めています。

詳しくは後述しますが、「個人情報」には顧客や従業員の住所・氏名や顔写真、免許証番号などが含まれます。

こうした情報は、事業を進める際に不可欠です。対象となる事業者の業種・規模などは不問で、個人事業主やNPO法人、自治会などの非営利組織であっても適用されます。

そのため、適用対象の事業者は、事実上ほぼ全ての事業者だと言えるのです。

また、ガイドラインに定められた内容に従わなかった場合、事業者は法違反と判断され、罰則の対象となるケースもあります。

個人情報保護法のガイドラインを読むうえで理解したい「定義」

個人情報保護法のガイドラインには「定義」という項目があります。個人情報保護法やそのガイドラインに登場する語句の説明、具体例をまとめた部分です。

しかし、なかには内容が理解しづらいものもあります。

ここからは、このガイドラインを読むうえで理解しておきたい内容をいくつかピックアップし、解説します。

個人情報（法第2条第1項関係）

まず、個人情報とは「生存する個人」のことを特定できる情報を指します。

最も身近なものは「氏名」です。ほかにも以下を始めとした、氏名と組み合わせることで個人が特定できる情報も含まれます。

電話帳や職員録、新聞、WebサイトやSNSなどで公開されている個人が特定できる情報も「個人情報」に該当します。

また、氏名以外の情報と組み合わせることで個人が特定できる情報も、個人情報に含まれます。

個人識別符号（法第2条第2項関係）

「個人識別符号」は、以下のように身体の特徴の一部を別の形で表したものや、サービスの利用をするために、書面上で1人ひとりに割り振られる番号などが該当します。

また、こうした情報を組み合わせることで、ソフトウェア・装置上で本人認証ができるようにしたものも、個人識別符号に該当します。

要配慮個人情報（法第2条第3項関係）

個人情報のなかには、不用意に公開されることで本人の不当な差別や偏見につながる可能性がある情報もあります。こういった情報は「要配慮個人情報」とされ、主に以下の内容が該当します。

これらの情報を取り扱う際は、原則として事前に本人の同意を得なくてはなりません。

個人情報データベース等（法第16条第1項関係）

入手した個人情報に目次や索引などを付けてまとめており、かつそれが誰でも簡単に検索できるデータベース類も、個人情報の1つです。

具体的には、以下のものが該当します。

ただし、従業員独自のルールで分類し、本人以外は情報が探しづらくなっている場合は、個人情報データベース等には該当しません。

また、不特定多数の人が購入して利用することを目的としている電話帳・住宅地図なども、該当しません。

個人情報取扱事業者（法第16条第2項・法第2条第9項、第10項、第11項・法別表第2関係）

「個人情報取扱事業者」は、前述の個人情報データベースを事業に利用している事業者のことです。

ただし、以下の団体は含まれません。

なお、「事業」が営利・非営利かは問われません。

また、企業だけではなく個人事業主やNPO法人などであっても、個人情報データベースを扱っている場合は個人情報取扱事業者に含まれます。

個人データ（法第16条第3項関係）

「個人データ」は、前述の個人情報データベースを構成する情報のことです。

個人情報データベースに記録されている情報をほかの媒体に記録・保存したものや、紙に印刷したものが該当します。

なお、個人情報保護法のガイドラインでは「個人情報データベース等を構成する前の入力用の帳票等に記載されている個人情報は個人データに該当しない」と定義しています。

しかし、個人データをファイルにまとめ、個人情報データベースの一部とした場合は、入力前の内容が入力後と同様であっても個人データ同様の取り扱いが必要です。

保有個人データ（法第16条第4項関係）

「保有個人データ」は、個人データのうち、本人や代理人の求めがあった場合に開示や追加、訂正などができる情報のことを指します。

ただし、以下のようなものは保有個人データとみなしません。

個人関連情報取扱事業者（法第16条第7項関係）

前述の個人関連情報を事業などに使う企業や団体は「個人関連情報取扱事業者」と呼びます。

こちらも個人情報取扱事業者と同じく、国の機関や地方公共団体、独立行政法人等、地方独立行政法人は該当しません。また、個人・非営利組織であっても該当します。

仮名加工情報（法第2条第5項関係）

「仮名加工情報」は、個人情報や個人識別符号の一部・全部を削除することで、ほかの情報と併用しなければ個人の特定ができない状態にした情報を指します。

単にデータを削除するだけでは足りず、個人情報保護法で定められた以下の対応をしなくてはなりません。

仮名加工情報取扱事業者（法第16条第5項関係）

「仮名加工情報」を事業などに使う場合、その事業者は「仮名加工情報取扱事業者」となります。

該当の基準は、個人情報取扱事業者・個人関連情報取扱事業者と同じです。

匿名加工情報（法第2条第6項関係）

個人情報を加工し、個人が特定できない状態に加工した情報を「匿名加工情報」と言います。

前述の「仮名加工情報」との違いは、「個人情報」の要素が残っているかどうかです。匿名加工情報は個人が特定できないレベルまで加工するため、個人情報には該当しません。

一方、仮名加工情報は個人情報の一部または全部を加工するため、加工後も変わらず個人情報とみなされます。

また匿名加工情報は、削除した情報が復元できないようにしなくてはなりません。方法としては、以下が挙げられます。

詳しい加工方法は、経済産業省の「匿名加工情報作成マニュアル」にも記載があります。

匿名加工情報取扱事業者（法第16条第6項関係）

「匿名加工情報」を事業に使う場合、その事業者は「匿名加工情報取扱事業者」となります。

該当の基準は、個人情報取扱事業者・個人関連情報取扱事業者・仮名加工情報取扱事業者と同様です。

個人関連情報（法第2条第7項関係）

事業者が扱う情報のなかには、これまで挙げてきた「個人情報」「仮名加工情報」「匿名加工情報」のどれにも当てはまらないものもあります。これらは「個人関連情報」と呼び、以下を始めとした情報が該当します。

ただし、こういった情報であっても蓄積されることで、個人が特定できる状態になった場合は「個人情報」とみなされます。

その他

上記以外で、知っておくと個人情報保護法やガイドラインの理解がしやすくなる用語を解説します。

個人情報保護法の改正内容と注意点

個人情報保護法は、2022年9月に一部改正されました。大きく変更になった6点について、事業者が取っておくべき行動とともに簡単に解説します。

自社の安全管理措置の公表

各事業者が個人情報をどのように管理しているか、Webサイトやパンフレットなどで公表することが義務づけられました。

これは、本人が自身の個人情報にどのような安全措置が取られているかを把握できる状態にすることを目的としています。

まずは社内で以下を始めとした内容を定め、どこで公表するか考えましょう。

情報漏えい時の報告の義務化

自社の保有個人データの漏えいがあった際、事業者には以下が義務づけられました。

ただし全ての情報が対象ではありません。漏えいしたことによって本人の人格が攻撃されたり、財産に被害が生じたりする可能性がある情報や、1,000人以上の情報が漏えいした場合に限ります。

とはいえ、有事の際は早急な対応が求められます。情報漏えいを未然に防げるよう対策するのはもちろん、万が一漏えいした際のフローも社内で決めておくと良いでしょう。

海外への保有個人データ提供時の対応

海外にいる第三者に自社の保有個人データを提供する場合は、事前に本人からの同意を得つつ、以下の情報を提供しなくてはならなくなりました。

そして本人が後者の情報開示を希望したら、事業者側はその求めに応じなくてはなりません。

海外への保有個人データの提供が必要になる場合に備えて、さまざまな国の制度や措置についても理解しておくと良いでしょう。

個人情報の不適正利用の禁止

保有している個人情報を、違法な行為を営む事業者に渡すといった不適切な利用が禁止されました。この項目は、今回の法改正で新設された項目の1つです。

違法な行為を営む事業者に個人情報が渡ると、違法行為・不当行為の発生を招きかねません。

まずは、自社で保有している個人情報を整理しましょう。

そのうえで、「不適正利用」に該当する行為をしていないか、念入りにチェックしてください。

本人からの開示請求への対応

本人から自社の保有個人データの削除や訂正、利用の停止などを求められた場合は、原則として対応しなくてはならなくなりました。

また、自社がどのような個人データを保有しているか開示を求められた場合、本人が希望する方法での交付が必要になっています。

以前から保有している個人情報の開示制度はありましたが、その交付は書面でのみと定められていました。しかし今回の法改正により、どのように交付するかも本人が希望できるようになったのです。

また、6カ月以内に削除される保有個人データや、個人データを第三者に提供した・受け取った記録も、開示請求の対象となっています。

開示請求があった際にどういった方法で交付するかを検討するとともに、自社の情報提供・授受時の記録状況についても確認しておきましょう。

第三者に提供する個人データの範囲の限定

取得した個人データを、第三者に提供することを知らせて希望があればいつでも提供を停止できる状態にしたうえで、第三者に提供することを「オプトアウト」と言います。

そして、このオプトアウトについては「オプトアウト規定」で定められています。

元々オプトアウト規定のもとでは、要配慮個人情報だけは第三者提供をしてはならないとされていました。

しかし今回の法改正では、以下の個人データも第三者に提供できなくなりました。

加えて、自社がオプトアウトを行うまたは中止する場合のどちらも、個人情報保護委員会への届け出が必要になっています。

個人情報保護法ガイドラインについてのまとめ

昨今、個人情報に関するルールは一層厳しくなっており、法改正も行われています。法改正のたびに内容を確認し、個人情報を扱う側の知識・認識をアップグレードし続ける必要があります。

個人情報保護法のガイドラインには、事業者が取るべき行動や具体的な事例が多数掲載されています。ガイドラインの内容を守ることで、事業者は正しく個人情報を扱えるようになるでしょう。

一読では意味が把握しづらい単語もありますが、今回の記事も参考にして、しっかりと読み込んでおきましょう。