【図解】個人情報保護法➋個人情報の種類ごとの規制


「個人情報保護法」では、個人情報の種類がたくさんあり、種類ごとに規制内容が異なります。

これでは、皆さま混乱してしまいますので、種類ごとの法規制について、簡単にまとめました。

もくじ
  1. 情報の「種類」による分類を行ったときの規制
  2. 情報の「内容」による分類を行ったときの規制
  3. 情報の「保管・管理の方法」による分類を行ったときの規制
  4. 「事業者の種類」による分類を行ったときの規制=個人情報保護法違反のペナルティ

【凡例】

  • 法:個人情報の保護に関する法律(個人情報保護法)
  • 施行令:個人情報の保護に関する法律施行令(政令)
  • 規則:個人情報の保護に関する法律施行規則
  • ガイドライン:個人情報の保護に関する法律についてのガイドライン
  • Q&A:「個人情報の保護に関する法律についてのガイドライン」及び 「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A
  • パブリックコメント:「個人情報の保護に関する法律施行令の一部を改正する政令(案)」及び「個人情報の保護に関する法律施行規則(案)」に関する意見募集について/個人情報保護委員会/2016.10.5

情報を「種類」で分類したときの規制


個人情報を「種類」で分類すると2種類(⑴氏名・生年月日その他の記述等、⑵個人識別符号)に分かれます。分かれますが、種類によって法規制が変わることはありません。

情報を「内容」で分類したときの規制


「内容」により分類すると「要配慮個人情報」と「それ以外の個人情報」に分かれます。

「取得」での規制

要配慮個人情報以外の個人情報 偽りその他不正の手段により、取得してはならない(法20Ⅰ)
要配慮個人情報 法令で定められた例外を除き、あらかじめ本人の同意を得ないで、取得してはならない。(法20Ⅱ)

「第三者提供」での規制

要配慮個人情報以外の個人情報

原則=オプトイン

法令で定められた例外を除き、あらかじめ本人の同意を得ないで、第三者提供してはならない(法27Ⅰ)

例外=オプトアウト

下記全ての要件を充たすときは、あらかじめ本人の同意を得ないで第三者提供できる(法27Ⅱ)

  1. 以下の事項をあらかじめ本人に通知又は容易に知り得る状態に置く措置を行う。
    1. 第三者提供を行う個人情報取扱事業者の氏名・名称、住所、法人のときは代表者の氏名
    2. 第三者への提供を利用目的とすること
    3. 第三者に提供される個人データの項目
    4. 第三者に提供される個人データの取得の方法
    5. 第三者への提供の方法
    6. 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること
    7. 本人の求めを受け付ける方法
    8. その他個人の権利利益を保護するために必要なものとして個人情報保護委員会規則で定める事項
  2. 個人情報保護委員会に届出
要配慮個人情報

オプトアウト方式による第三者提供は認められない(法27Ⅱ但書)。

したがって、原則通りのオプトイン(事前本人同意)しか認められない。

情報を「保管・管理方法」で分類したときの規制


「個人情報>個人データ>保有個人データ」に対する規制

   

    法の条数 17 18 19 20 21Ⅰ 21Ⅲ 22 23 24 25 26 27 28 29 30 32 33-

個人データ 保有個人データ
上記以外の個人データ
個人データ以外の個人情報

※➊要配慮個人情報については、「予め本人の同意を得ない」情報取得が禁止されていることに注意が必要です(法20Ⅱ)。

「仮名加工情報」「匿名加工情報」に対する規制

個人情報 仮名加工情報 匿名加工情報
   

個人情報と匿名加工情報の中間に位置する情報。

 

それ自体で個人情報となるような情報は削除されているが、特異な年齢や稀少な病名等は削除する必要はなく、他の情報と照合することによって特定の個人を識別することができることとなる情報が残されている。【1】

原則として個人情報の義務規定全般の適用がある。

 

いわゆるビッグデータ。

完全に匿名化した状態(その情報を他の情報と照合したり、復元しようとしてもできない状態)で、本人の同意を得ることなく、パーソナルデータの流通を可能とする。

適正加工義務  

あり(法41Ⅰ)

違反した場合、①適正加工義務に反するほか、②個人情報であるものを仮名加工情報として扱うことになるため個人情報に関する義務違反にもなりえる。

あり(法43Ⅰ)

違反した場合、①適正加工義務に違反するほか、②個人情報であるものを匿名加工情報として扱うことになるため個人情報に関する義務違反にもなりえる。

安全管理措置義務 あり(法23)

あり(法41Ⅱ)

あり(法43Ⅱ、46)

通知・公表義務 取得又は利用目的変更したときは通知又は公表義務あり(法21)

取得又は利用目的変更したときは公表義務あり(法41Ⅳ)

作成したときは公表義務あり(法43Ⅲ)

第三者提供 禁止(法27)

個人情報である仮名加工情報につき禁止(法27、法41Ⅵ)

個人情報でない仮名加工情報につき禁止(法42)

可能(法43Ⅳ、44)
識別行為の禁止   本人を識別するために、仮名加工情報を他の情報と照合してはならない(法41Ⅶ) 本人を識別するために、削除された記述等を取得したり、匿名加工情報を他の情報と照合してはならない(法45)
本人からの開示請求 対象(法32~39) 対象外(法41Ⅸで法32~39の適用を排除)

対象外

利用目的変更 不可能(法17Ⅱ) 可能(法41Ⅸで法17Ⅱの適用を排除) 可能

【1】石井夏生利・曽我部真裕・森亮二編著/個人情報保護法コンメンタール/勁草書房/2021年/52頁

「個人関連情報」に対する規制

個人情報保護法第31条(個人関連情報の第三者提供の制限等)

  1. 個人関連情報取扱事業者は、第三者が個人関連情報(個人関連情報データベース等を構成するものに限る。以下この章及び第六章において同じ。)を個人データとして取得することが想定されるときは、第27条第1項各号に掲げる場合(=法令、生命・身体・財産の保護、公衆衛生特に必要本人同意不可などの場合※筆者注)を除くほか、次に掲げる事項について、あらかじめ個人情報保護委員会規則で定めるところ(施行規則26※筆者注)により確認することをしないで、当該個人関連情報を当該第三者に提供してはならない。
    1. 当該第三者が個人関連情報取扱事業者から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意が得られていること。
    2. 外国にある第三者への提供にあっては、前号の本人の同意を得ようとする場合において、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報が当該本人に提供されていること。
  2. 第28条(外国にいる第三者への提供の制限)第3項の規定は、前項の規定により個人関連情報取扱事業者が個人関連情報を提供する場合について準用する。この場合において、同条第3項中「講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供し」とあるのは、「講じ」と読み替えるものとする。
  3. 前条(第三者提供を受ける際の確認等)第2項から第4項までの規定は、第1項の規定により個人関連情報取扱事業者が確認する場合について準用する。この場合において、同条第3項中「の提供を受けた」とあるのは、「を提供した」と読み替えるものとする。

事業者の種類による分類を行ったときの規制

=個人情報保護法違反のペナルティ


事業者の種類

情報取扱事業者は「情報の保管・管理方法」で4つに分かれます。すなわち・・・

  1. 個人情報取扱事業者=個人情報データベース等を事業で使っている事業者(法16Ⅱ)。どこかで書いたと思いますが、ほぼ全事業者が個人情報取扱事業者に該当します。
  2. 仮名加工情報取扱事業者=仮名加工情報データベース等をデータベース等を事業で使っている事業者(法16Ⅴ)
  3. 匿名加工情報取扱事業者=匿名加工情報データベース等を事業で使っている事業者(法16Ⅵ)
  4. 個人関連情報取扱事業者=個人関連情報データベース等を事業で使っている事業者(法16Ⅶ)

個人情報保護法違反のペナルティ

   

業者

業者

業者

業者

個人情報保護委員会による立入、調査、質問、帳簿などの閲覧等(法143)

個人情報保護委員会による事業者への指導及び助言(法144)

個人情報保護委員会による事業者への勧告、措置命令、社名公表(法145)

 

個人情報保護委員会の措置命令(法145)違反をした者に対して1年以下の懲役又は100万円以下の罰金(法173)
事業者の役員、従業員又はこれらであった者がその業務に関して取り扱った個人情報データベース等(その全部又は一部を複製し、又は加工したものを含む。)を自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、一年以下の懲役又は五十万円以下の罰金(法174)
個人情報保護委員会の調査に対する妨害(資料提出をしない、虚偽報告など)に対して50万円以下の罰金(法177)
法173及び法174違反をした会社に対して1億円以下の罰金(法179Ⅰ①)
法177違反をした会社に対して50万円以下の罰金(法179Ⅰ②)
第三者提供を受ける際の確認を怠った者は10万円以下の過料(法180①)
認定個人情報保護団体でない者が、この名称を使用したときは10万円以下の過料(法180②)
不正手段で、法85Ⅲに規定する開示決定に基づく保有個人情報の開示を受けた者は10万円以下の過料(法180③)

個人情報を不適切に扱われた本人(顧客、従業員や取引先)から損害賠償請求を受ける可能性

除外される事業者

(適用除外)
第五十七条 個人情報取扱事業者等及び個人関連情報取扱事業者のうち次の各号に掲げる者については、その個人情報等及び個人関連情報を取り扱う目的の全部又は一部がそれぞれ当該各号に規定する目的であるときは、この章の規定は、適用しない。
 放送機関、新聞社、通信社その他の報道機関(報道を業として行う個人を含む。) 報道の用に供する目的
 著述を業として行う者 著述の用に供する目的
 宗教団体 宗教活動(これに付随する活動を含む。)の用に供する目的
 政治団体 政治活動(これに付随する活動を含む。)の用に供する目的
 前項第一号に規定する「報道」とは、不特定かつ多数の者に対して客観的事実を事実として知らせること(これに基づいて意見又は見解を述べることを含む。)をいう。
 第一項各号に掲げる個人情報取扱事業者等は、個人データ、仮名加工情報又は匿名加工情報の安全管理のために必要かつ適切な措置、個人情報等の取扱いに関する苦情の処理その他の個人情報等の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。
(適用の特例)
第五十八条 個人情報取扱事業者又は匿名加工情報取扱事業者のうち別表第二に掲げる法人については、第三十二条から第三十九条まで及び第四節の規定は、適用しない。
 独立行政法人労働者健康安全機構が行う病院(医療法(昭和二十三年法律第二百五号)第一条の五第一項に規定する病院をいう。第六十六条第二項第三号並びに第百二十三条第一項及び第三項において同じ。)の運営の業務における個人情報、仮名加工情報又は個人関連情報の取扱いについては、個人情報取扱事業者、仮名加工情報取扱事業者又は個人関連情報取扱事業者による個人情報、仮名加工情報又は個人関連情報の取扱いとみなして、この章(第三十二条から第三十九条まで及び第四節を除く。)及び第六章から第八章までの規定を適用する。
(学術研究機関等の責務)
第五十九条 個人情報取扱事業者である学術研究機関等は、学術研究目的で行う個人情報の取扱いについて、この法律の規定を遵守するとともに、その適正を確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。

人気の関連ページ