「個人情報」とは何か、正確に理解していますか?
個人情報という言葉はよく聞きますが、実際のところ何が個人情報に該当するのかを正確に理解している人は少ないのではないでしょうか。
日本の個人情報保護法では、「生存する個人に関する情報であって、特定の個人を識別することができるもの」と定義されています。
氏名や生年月日といった基本的な情報だけでなく、他の情報と組み合わせることで個人を特定できる情報も含まれるのです。
実は、あなたが日常的に扱っている情報の多くが、法律で保護される「個人情報」に該当しているのです。
個人情報の3つの分類と事業者の義務
個人情報保護法では、情報の利用形態に応じて3つの異なる用語が使い分けられており、それぞれに対する事業者の義務が異なります。
これらの違いを理解することは、法律違反を避けるために非常に重要です。
| 用語 | 定義 | 事業者の主な義務 |
|---|---|---|
| 個人情報 | 特定の個人を識別できる情報全般(氏名、顔写真、個人識別符号など) | 不正取得の禁止、利用目的の特定と通知 |
| 個人データ | 個人情報を検索しやすいように体系的にまとめた「個人情報データベース等」を構成する情報 | 安全管理措置、第三者提供の制限 |
| 保有個人データ | 事業者が開示、訂正、利用停止などの権限を持つ個人データ | 本人からの開示請求等への対応義務 |
例えば、アンケート用紙に書かれた個々の氏名や住所は「個人情報」です。
それを五十音順に整理してファイリングすれば「個人情報データベース等」となり、その中の個々の情報が「個人データ」に該当します。
さらに、そのデータに対して自社で開示や訂正の権限を持っていれば「保有個人データ」となるのです。
最も慎重な取り扱いが必要な「要配慮個人情報」
個人情報の中でも、特に慎重な取り扱いが求められるのが「要配慮個人情報」です。
これらは、本人に対する不当な差別や偏見、その他の不利益が生じないように、その取り扱いに特に配慮を要する情報と定義されています。
要配慮個人情報に該当する具体的な情報
要配慮個人情報には、以下のようなセンシティブな情報が含まれます。
これらの情報は、本人の同意なく取得することは法律で厳しく禁じられています。
| 情報の種類 | 具体例 |
|---|---|
| 人種・信条・社会的身分 | 民族、宗教、階級など |
| 健康に関する情報 | 病歴、健康診断結果、医療記録 |
| 身体・精神の障害 | 身体障害、知的障害、精神障害など |
| 犯罪に関する情報 | 犯罪の経歴、犯罪により害を被った事実 |
これらの情報を取得する際には、原則として、あらかじめ本人の明確な同意を得る必要があります。
本人の同意なく取得することは、法律で厳しく禁じられており、重大な違反となるのです。
メールアドレス登録で気をつけるべき重要なルール
顧客のメールアドレスを登録する際、多くの事業者が気軽に考えていますが、実はここに大きな法的リスクが潜んでいます。
メールアドレスは、ユーザー名やドメイン名から特定の個人を識別することができる場合、それ自体が単体で個人情報に該当するのです。
メールアドレス取得時の同意要件
メールアドレスを取得する際には、どのような目的で利用するのかを具体的に特定し、それを本人に通知または公表しなければなりません。
例えば、メールマガジン配信のためにメールアドレスを取得する場合、「新商品やセールに関する情報をお届けするため」といったように利用目的を明記する必要があります。
そして、特定した利用目的の範囲を超えてメールアドレスを利用することは、原則としてできません。
メールアドレスリスト購入の違法性
多くの企業が陥りやすい落とし穴が、メールアドレスリストの購入です。
個人のメールアドレスを含むリストを、本人の同意(オプトイン)なく購入し、広告メールを送信することは「特定電子メール法」で禁止されています。
これは単なる迷惑メール対策ではなく、個人情報保護法の観点からも大きな問題となるのです。
企業のウェブサイトで公開されているメールアドレスであっても、「営業メールお断り」といった文言が記載されている場合は、その意思を尊重し、メール送信を控えなければなりません。
第三者提供時の確認と記録義務
個人データを第三者に提供する場合も、原則として、あらかじめ本人の同意を得る必要があります。
本人の同意なく第三者にデータを提供することは、重大な法律違反となるのです。
提供者と受領者の双方に課せられる義務
第三者提供には、提供する側と受け取る側の双方に重要な義務が課せられています。
これらの義務を怠ると、後々トラブルが生じた際に、その流通経路を特定できず、より深刻な問題に発展する可能性があります。
| 立場 | 実施すべき内容 |
|---|---|
| 提供者 | 提供年月日、受領者の氏名、住所などを記録し、一定期間保存する |
| 受領者 | 提供者の氏名、個人データの取得経緯などを確認し、記録し保存する |
この確認・記録義務は、違法に入手された個人データが社会に流通することを防ぐために設けられた重要な制度です。
過去には、不正に入手された個人データが名簿業者を介して流通し、社会問題となった事例があります。
このような事態を防ぐため、事業者は厳格な確認と記録を行う義務を負っているのです。
知らなかったでは済まされない法律違反の重い罰則
個人情報保護法に違反した場合、事業者は厳しいペナルティを科される可能性があります。
行政による指導や勧告に従わない場合、命令が出され、それに違反すると刑事罰の対象となるのです。
違反行為ごとの罰則
| 違反行為 | 個人への罰則 | 法人への罰則 |
|---|---|---|
| 個人情報保護委員会からの命令違反 | 1年以下の拘禁刑または100万円以下の罰金 | 1億円以下の罰金 |
| 個人情報データベース等の不正提供・盗用 | 1年以下の拘禁刑または50万円以下の罰金 | 1億円以下の罰金 |
| 委員会への虚偽報告・検査拒否など | 50万円以下の罰金 | 50万円以下の罰金 |
法人に対する罰則の重さに注目してください。
個人情報の不正提供や盗用で最大1億円の罰金が科される可能性があるのです。
これは単なる罰金ではなく、企業の経営を揺るがす深刻な事態を意味しています。
実際に起きた個人情報漏洩事件
大手企業でも個人情報の漏洩事件は後を絶たず、その結果、多額の損害賠償や信用の失墜といった深刻なダメージを受けています。
不正アクセスにより数万人規模の個人情報が漏洩した事例、従業員の誤操作でデータを誤送信してしまった事例、退職した元従業員が会社貸与のパソコンを使い、サーバから大量の顧客情報を不正に外部送信した事例など、様々なインシデントが報告されています。
これらの事件では、企業は個人情報保護委員会への報告義務を負うだけでなく、被害者に対して損害賠償を支払う責任も生じるのです。
1件あたり数千円から数万円が相場ですが、被害件数が多い場合は数千万円に及ぶ可能性もあります。
個人情報を取得する際に実践すべき確認事項
個人情報を適切に取り扱うためには、取得時点での慎重な対応が極めて重要です。
以下の事項を確認してから個人情報を取得することで、法律違反のリスクを大幅に低減することができます。
取得前に確認すべきチェックリスト
個人情報を取得する前に、以下の事項を必ず確認してください。
これらは法律で求められる最低限の要件です。
- 利用目的の明確化 – 何のために個人情報を取得するのか、具体的に定めているか
- 本人への通知 – 利用目的を本人に通知または公表しているか
- 同意の取得 – 要配慮個人情報の場合、本人の同意を得ているか
- 安全管理体制 – 取得した情報を安全に保管・管理する体制が整っているか
- 第三者提供の計画 – 第三者に提供する予定がある場合、本人の同意を得ているか
これらの確認を怠ると、意図せずして法律違反を犯し、重大な問題に発展する可能性があるのです。
まとめ
個人情報の取り扱いは、もはや単なるコンプライアンスの問題ではなく、企業の存続を左右する経営課題です。
本記事で解説した内容は、事業を行う上で最低限理解しておくべき基本的な知識です。
自社がどのような個人情報を、どのように取り扱っているのかを常に把握し、法律の要求事項を遵守することはもちろん、顧客からの信頼を守るために、細心の注意を払うことが求められます。
本記事の要点
- 個人情報の定義 – 特定の個人を識別できる情報全般が対象であり、氏名や住所だけでなく、他の情報と組み合わせて特定できる情報も含まれる
- 3つの分類 – 「個人情報」「個人データ」「保有個人データ」は異なる定義であり、それぞれ異なる義務が課せられる
- 要配慮個人情報 – 病歴や身体障害など特にセンシティブな情報は、本人の同意なく取得することが禁止されている
- メールアドレス取得 – 個人のメールアドレスを登録する際には、利用目的を明記し、本人の同意を得る必要がある
- メールリスト購入の違法性 – 本人の同意なくメールアドレスリストを購入し、広告メールを送信することは特定電子メール法で禁止されている
- 第三者提供の義務 – 提供者と受領者の双方が確認・記録義務を負い、これを怠ると法律違反となる
- 重い罰則 – 命令違反で最大1億円の罰金、個人情報データベースの不正提供で1年以下の拘禁刑が科される可能性がある
- 実務的対応 – 個人情報取得前に利用目的の明確化、本人への通知、同意取得、安全管理体制の整備を確認することが重要である
