コラム

個人情報保護法とは?対象と罰則など、そもそも個人情報って何?


新聞やTVなどのメディアで「個人情報」や「個人情報保護法」といった言葉を聞くことがあります。「個人の情報」を「保護」と書きますが、これはいったいどういう法律なのでしょうか。また、そもそも何が「個人情報」に該当するのでしょうか。

簡単に説明すると、クレジットカードや運転免許証の情報など、世の中には至る所に個人情報と呼ばれるものが流れています。これらが不正に扱われないように守っていこうとするものが「個人情報保護法」と呼ばれる法律です。

今回は、個人情報及び個人情報保護法に関して、詳しく解説します。

個人情報保護法施行の背景

個人情報保護法自体は少し古くて、2003年5月に成立し、2005年4月に施行されています。

この法律では、従来は明確になされてこなかった個人の氏名や住所、クレジットカードの番号といった情報について、「個人情報」として明確に定義をし、外部に流出して不正に悪用されるといったようなことを防ぐといった目的で管理を厳重にするということを意図して制定されています。

さらに、2017年5月には、「対象となる個人情報の明確化」や「適切な利活用を進めるための規定」などを盛り込んだ「改正個人情報保護法」が施行されました。

何が「個人情報」なのか

「個人情報」について簡単に説明しておきます。個人情報も言葉はよく聞くと思いますが、具体的に”何が個人情報か”と言われると明確に答えるのは難しいという方もいるのではないでしょうか。

先ほども少し触れましたが、「個人情報」とは、生存する個人に関する情報で、住所・氏名・生年月日などのほか、クレジットカードやマイナンバーの情報など、個人を特定、もしくは個人に帰属するプライバシーに関わる情報のことを指します。また、これに加えて指紋や虹彩、手のひらの静脈情報など明確に個人を特定し区別することができる身体的特徴も個人情報に含まれます。

こういった情報がセキュリティ事故などによって不正に外部に流出してしまうと、悪意を持った者に犯罪等に悪用される可能性もあるなど、非常に大きなリスクであり問題となります。そういったことを防ぐ意味でも個人情報保護法では、対象や罰則規定をそれぞれ以下のような形で明確に定義しています。

個人情報保護法の対象

対象となる組織

  • 情報を扱うすべての組織

個人情報を扱うすべての組織(国、地方公共団体、独立行政法人等および地方独立行政法人や、民間事業者)が対象となっています。※情報件数は関係ありません。

改正前の個人情報保護法では5,000件以下の個人情報のみ扱っている場合は、個人情報取扱事業者の対象外となっていましたが、今回の改正で、この件数条項は廃止されました。そのため、現在では、個人情報を扱うすべての事業者が対象となっています。

対象となる個人情報

  • 生存する個人に関する情報
  • 死者の情報であっても遺族等生存する個人に関する情報が含まれるもの

住所・氏名・生年月日やクレジットカードなどの情報に加えて虹彩・指紋・手のひらの静脈などの身体的特徴など個人に帰属するすべての情報が含まれます。

個人情報保護法の罰則規定

個人情報保護法では、個人情報を扱う事業者に対して守るべき義務を課していますが、これに違反し、個人情報保護委員会からの改善命令にも従わない場合は、以下の罰則が適用されます。

  • 「6ヶ月以下の懲役または30万円以下の罰金」という刑事罰

また、加えて漏洩等の被害が発生した場合は、情報漏洩の対象となった被害者からの損害賠償訴訟をされるリスクや、訴訟の結果によっては賠償金の支払いが必要になるケースがあります。

このように、個人情報が不正に流出してしまったり、適切な取り扱いを怠ってしまったりしている場合は、個人情報保護法の規定に違反する結果となる可能性があります。もし、個人情報保護法の規定に違反するとされた場合は、ここで掲げたような罰則が適用される可能性があるだけでなく、損害賠償請求の提起により、多額の賠償金の支払いが発生する可能性もあります。

まとめ

かつては、「個人情報」の取り扱いについては、明確に決まったものがあるわけではなく、取り扱う側もそれほど注意深くということはなかったのではないでしょうか。しかし、情報化社会の進展とともに氏名や住所、クレジットカードの番号といった個人情報の重要性が増し、それとともに不正に取得された個人情報が犯罪などに悪用されるケースが増えてきました。

したがって、従来のようなあいまいなままの個人情報の取り扱いというのは非常にリスクの高いものとなっています。個人情報を扱っている場合は、改正個人情報保護法の内容に則って個人情報の適切な管理と取り扱いを行うことが必要となります。