作成日 : 2025年4月8日

個人情報保護法をわかりやすく解説！具体例、違反した場合の罰則、改正内容など

個人情報保護法は、個人情報を取り扱う際のルールを定めた法律です。企業は法律に基づいて個人情報を適正に取り扱う必要がありますが、具体的な内容や度重なる法改正についていけない方も多いのではないでしょうか。

本記事では、個人情報保護法の基本ルールや改正内容、違反時の罰則などを解説します。

違反事例も用いてわかりやすく解説するのでぜひ参考にしてください。

個人情報保護法とは
個人情報保護法の改正内容
個人情報保護法の対象となる個人情報とは
- 個人情報の定義
- 個人情報の具体例
個人情報保護法で押さえておくべき用語
個人情報保護法の基本的なルール
個人情報保護法の違反となる事例
個人情報保護法に違反した場合の罰則
個人情報保護法に関して企業が対応すべきこと
個人情報保護法を正しく理解し、改正内容もチェック

個人情報保護法とは

個人情報保護法とは、個人の氏名、住所、生年月日などの個人情報を適切に取り扱うための法律です。

この法律は、個人の権利や利益を保護するため、個人情報の取得・利用・第三者提供に関するルールや違反時の罰則などが定められています。

2005年の施行以降、個人情報保護法は三度改正されており、デジタル社会の進展や個人情報の利用機会の増加に伴い、適正な管理を求める規制が強化されています。

個人情報保護法の目的

個人情報保護法は、個人情報の有用性を認めつつも、個人の権利や利益を適切に守ることを目的としています。

個人情報は、個人のプライバシーに関する大切な情報です。しかし、個人情報を効果的に活用することで、さまざまな分野でサービス向上や業務効率化を実現できる側面もあります。

そこで、個人情報保護法が制定され、個人情報の適正な利用を促しつつ、個人の権利・利益を保護するためのルールが確立されました。

企業が個人情報保護法を遵守することは、単に法的義務を果たすだけでなく、取引先や顧客からの信頼を築く上でも非常に重要です。

個人情報保護法の対象となる個人情報取扱事業者

個人情報取扱事業者とは、個人情報データベース等を業務に利用している事業者のことです。

ここでいう「個人情報データベース等」とは、特定の個人情報を検索できるよう管理された情報の集合体を指します。例えば、メールソフトに保管されたアドレス帳や、取引先リストがこれに該当します。

個人情報保護法の対象となる個人情報取扱事業者の具体例として、顧客名簿を管理したり、取引先リストを営業活動に活用したりする企業が挙げられます。

また、営利・非営利の別は問われないため、法人や個人事業主だけでなく、NPO法人や自治体なども個人情報保護法の対象となります。

個人情報保護法の対象外となる機関・団体

日本国憲法が保障する自由（表現の自由、信仰の自由、政治活動の自由）に関係する機関や団体は、一定の条件下で個人情報保護法の適用対象外となることがあります。

具体的には、以下の機関・団体がそれぞれの活動のために個人情報を取り扱う場合、個人情報保護法は適用されません。

報道機関：報道活動を行う新聞社や報道局など
著述を業として行う者：著述活動を行う作家やジャーナリストなど
宗教団体：宗教活動を行う団体
政治団体：政治活動を行う政党

例えば、個人情報保護法では、第三者に個人情報を提供する際は原則本人の同意が必要です。しかし、報道機関が報道活動のために個人情報を取り扱う場合は、この原則が適用されません。

そのため、仮に取材の過程で本人の同意なく報道機関から新聞社に情報を提供しても、法的な罰則は科せられません。

個人情報保護法の改正内容

個人情報保護法はこれまでに三度改正され、個人の権利保護の強化や企業の責務の拡充が進められてきました。現在もおよそ3年ごとに見直しが行われ、定期的に改正が検討されています。

直近では2022年4月に改正され、いくつか変更が加えられました。

ここからは、主な改正内容をわかりやすく解説します。

個人情報の開示方法の追加

従来、個人データの開示は書面で行うことが原則でした。

しかし、改正により、個人は企業に対して電磁的記録（メールやウェブサイトでのダウンロードなど）による開示を請求できるようになりました。

個人情報の利用停止・消去等請求権等の拡充

従来は、不正取得や目的外利用があった場合に限り、個人情報の利用停止や消去の請求が認められていました。また、第三者提供の停止請求も第三者提供義務違反があった場合のみ可能でした。

しかし、改正後は、個人の権利や利益が害される可能性がある場合や、個人情報を利用しなくなった場合にも利用停止・消去の請求が可能となりました。

漏えい等の報告、通知の義務化

これまでは、個人情報の漏えいや毀損が発生した際の報告や通知は努力義務に留まっていました。

しかし、改正により、企業は個人情報保護委員会への報告および本人への通知を義務付けられました。

公表事項の充実

個人情報保護法では、企業が個人情報を取り扱う際、利用目的など一定事項を公表することが求められています。

改正後は、これに加えて、個人データの安全管理のために講じた措置内容（例：従業員への教育やセキュリティ対策など）の公表も義務化されました。

不適正利用の禁止を明確化

改正により、企業は違法または不当な行為（例えば、性別や国籍などによる差別的行為など、道徳的に批難されるべき行為）を助長する目的で個人情報を利用してはならないという規定が新設されました。

外国事業者への提供に関する規定変更

これまでは、本人の同意を得るなどの一定の要件を満たせば、外国の企業に個人情報を提供することが可能でした。

しかし改正後は、提供先企業が所在する国名、当該国の個人情報保護制度の内容、提供先企業が講じる措置について、本人に情報提供することが義務付けられました。

仮名加工情報、個人関連情報に関する制度の新設

改正によって、新たに「仮名加工情報」と「個人関連情報」という概念が導入されました。

仮名加工情報は、他の情報と照合しなければ特定の個人を識別できないように加工された情報です。詳しくは後述しますが、例えば、氏名を削除した顧客名簿などが仮名加工情報にあたります。

個人関連情報は、個人情報、匿名加工情報、仮名加工情報のいずれにも該当しない生存する個人に関する情報です。例えば、個人の購入履歴やサービス利用履歴、位置情報などが個人関連情報に該当します。

個人情報保護法の対象となる個人情報とは

個人情報保護法では、規制の対象となる「個人情報」が定義されています。

ここからは、その具体的な定義と具体例を紹介します。

個人情報の定義

個人情報とは、生存する個人に関する情報であり、以下のいずれかに該当するものを指します。

氏名、生年月日、住所など、特定の個人を識別できる情報
個人識別符号が含まれる情報

なお、他の情報と簡単に照合でき、それによって特定の個人を識別できるものも個人情報に含まれます。例えば、生年月日単体では個人を特定できませんが、氏名と組み合わせて使用する場合は、個人を特定できるため個人情報に該当します。

また、「個人識別符号」とは、特定の個人を識別できる番号や記号、符号であり、マイナンバーや指紋認証データなどがこれにあたります。

個人情報の具体例

個人情報の具体例として、以下が挙げられます。

特定の個人を識別できる情報：氏名、生年月日、住所、電話番号、メールアドレス、ユーザーID、健康保険証の番号など
個人識別符号を含む情報：マイナンバー、パスポート番号、顔認証データ、指紋認証データなど

先述したとおり、生年月日などの情報単体では個人を識別できませんが、氏名などの情報と組み合わせて使用する場合は個人情報に該当します。

なお、メールアドレスやユーザーIDに関しては、単体で個人を特定できる場合は個人情報に該当します。

また、企業が特に配慮すべき「要配慮個人情報」も存在します。

これは、病歴や犯罪歴、信仰する宗教、障がいの有無など社会的差別につながる可能性のある情報を指します。

これらの情報は、取得・利用・提供においてより慎重な取り扱いが求められます。

個人情報保護法で押さえておくべき用語

個人情報保護法の条文には、特有の用語が用いられています。

ここからは、個人情報保護法を理解する上で押さえるべき用語を解説します。

個人データ

個人データとは、個人情報データベース等を構成する個人情報のことを指します。

「個人情報データベース等」とは、電子媒体や紙媒体を問わず、個人情報を体系的に整理し、特定の個人情報を検索できるようにしたものです。

例えば、顧客名簿や電子メールのアドレス帳などが個人情報データベース等に該当します。

つまり、顧客名簿やアドレス帳が個人データベース等であり、顧客名簿に記載された氏名、生年月日、住所、電話番号や、電子メールソフトに保存された氏名と紐づくメールアドレスなどが個人データに該当します。

保有個人データ

保有個人データとは、個人情報取扱事業者が個人情報の開示、訂正、削除、利用停止などの権限を有する個人データを指します。

例えば、本人から削除を求められた際に、これに応じることができるデータが保有個人データに該当します。

一方で、たとえ個人データを保管していても、本人からの請求に応じる権限がなければ、保有個人データに該当しません。例えば、管理を委託されただけの個人データは、事業者が開示や削除の権限を持たないため、保有個人データにはあたりません。

要配慮個人情報

要配慮個人情報とは、取り扱いに特に配慮が必要な情報のことです。

具体例として、人種や民族、思想・信仰・信条、社会的身分、病歴、犯罪歴、心身の障がいなどが挙げられます。

要配慮個人情報を取得する際は、原則本人の同意が必要となります。

また、通常の個人情報と異なり、オプトアウト方式（本人が拒否しない限り個人情報の利用や第三者提供が可能）による第三者提供が認められません。

情報漏えいによって、本人が不当な差別や偏見を受けることを防ぐため、より慎重な管理や取り扱いが求められます。

仮名加工情報

仮名加工情報とは、他の情報と照合しない限り、特定の個人を識別できないよう加工した情報のことです。

例えば、顧客リストの氏名や個人識別符号を削除したり、別の符号に置き換えたりしたものがこれにあたります。

仮名加工情報は、セキュリティリスクを低減しつつもデータを利活用できるため、企業のデータ分析や研究などによく用いられます。

ただし、仮名加工情報は、元の個人情報と照合すれば特定の個人を識別できるため、基本的には「個人情報」に該当します。

そのため、利用目的の公表が必要であり、本人の同意なしに第三者へ提供することは原則として禁止されています。

匿名加工情報

匿名加工情報とは、特定の個人を識別できないよう個人情報を加工し、さらに元の個人情報に復元できないようにした情報のことです。

仮名加工情報との大きな違いは、匿名加工情報は復元不可能であり、他の情報と照合しても個人を特定できない点です。

また、匿名加工情報は「個人情報」には該当しないため、本人の同意なく第三者に提供することが可能であり、利用目的の公表義務などもありません。

ただし、作成する際は適切な加工や削除を施し、個人を特定できない状態を維持する必要があります。また、情報漏えいなどのリスクに備えて、適切な管理・運用が求められることにも注意が必要です。

個人情報保護法の基本的なルール

個人情報を適切に取り扱うためには、取得・利用、管理、第三者提供、開示請求に関するルールを理解することが大切です。

ここからは、それぞれの基本的なルールを解説します。

個人情報の取得・利用に関するルール

個人情報を取得する際は、利用目的をできる限り明確にし、本人に通知または公表する必要があります。なお、不正な手段で取得することは禁止されています。

また、要配慮個人情報を取得する場合は、原則として本人の同意が必要となるので注意しましょう。

個人情報を利用する際は、取得時に公表または通知した目的の範囲内で利用することが原則です。利用目的を変更する場合や、目的の範囲を超える場合は、本人の同意を得なければなりません。

個人情報の安全管理に関するルール

個人情報を管理する際は、できる限り正確かつ最新の状態に保ち、必要なくなったデータは消去するよう努めなければなりません。

また、情報漏えいなどを防ぐため、適切な安全管理措置を講じることが求められます。例えば、個人情報の取り扱いに関する社内ルールの整備、社員への研修、アクセス制御やファイアウォールなどのセキュリティ対策が挙げられます。

委託先に個人情報を取り扱わせる際も、適切な管理がされるよう監督する責任があるため注意しましょう。

個人情報の第三者提供に関するルール

個人情報を第三者に提供する際は、原則としてあらかじめ本人の同意を得る必要があります。

ただし、法令に基づく場合や、人命・財産保護のために必要な場合などは、同意なく提供が可能です。

また、外国の企業などに提供する際は、あらかじめ本人の同意を得なければなりません。さらに、提供先の国名、当該国における個人情報保護制度の内容、提供先企業の措置に関する情報を本人に提供する必要があります。

第三者提供を行った際は、第三者の氏名や提供した日付などを記録し、保管しておく点にも注意しましょう。

個人情報の開示請求に関するルール

本人から自身の個人情報の開示を求められた場合、原則としてその請求に応じる必要があります。

ただし、開示することによって第三者の権利を侵害する場合や、業務の適正な実施に著しく支障をきたす場合などは、一部例外が認められます。例えば、請求された情報の中に第三者のプライバシーに関する情報が記載されている場合や、開示することで企業秘密が外部に漏えいする恐れがある場合などは、例外的に開示を拒否できることがあります。

また、開示だけでなく、情報の訂正・削除・利用停止の請求があった際も、適切に対応することが求められます。

個人情報保護法の違反となる事例

個人情報保護に違反すると、企業の社会的信用が失墜し、大きな損失につながる可能性があります。

ここからは、企業活動において起こり得る違反事例を4つ紹介します。

不正アクセスによる個人情報流出

外部からの不正アクセスによって個人情報が漏えいするケースがあります。

例えば、ECサイトがサイバー攻撃を受け、顧客の氏名・住所・クレジットカード情報などが流出してしまう事例が挙げられます。セキュリティの脆弱性が原因で、外部からデータベースに侵入され、個人情報を不正に取得される可能性があります。

また、流出した情報が悪用され、金銭被害に遭った顧客が訴訟を起こすケースもあります。

さらに、個人情報の流出が発覚したにもかかわらず、企業が適切な報告や対応を怠ると、行政から厳しい指導を受けるだけでなく、社会的信用を失うことになります。

従業員による個人情報の不正持ち出し

従業員が会社で管理している個人情報を不正に持ち出すケースもあります。

例えば、従業員が顧客の口座情報や取引履歴を無断で持ち出し、金銭目的で販売する事例が挙げられます。また、元従業員が退職前に個人情報をUSBメモリにコピーし、新しい勤務先で不正に活用するケースもあります。

このような行為が行われると、顧客が心当たりのない営業電話を受けるなどして情報漏えいが発覚し、トラブルに発展する可能性があります。

不正持ち出しは、企業の社会的信用を著しく損なうだけでなく、仮に競合他社へ情報が流出すればビジネス上の優位性を失うリスクもあります。

利用目的外での個人情報の使用

企業があらかじめ顧客に公表していた利用目的の範囲を超えて、個人情報を使用するケースも挙げられます。

例えば、人材派遣会社が採用目的で収集した応募者の個人情報を、本人の同意を得ないまま、転職市場の動向調査やマーケティング分析などに利用することが挙げられます。

このような利用目的の逸脱は個人情報保護法に違反するとみなされ、発覚すれば応募者や取引先からの信頼を失うだけでなく、企業の評判を大きく低下させる恐れがあります。

個人情報の不適切な管理

個人情報の管理が十分に行われずトラブルに発展するケースも考えられるでしょう。

例えば、病院の事務スタッフが、患者の診療記録を適切に管理せず、清掃業者が誤って廃棄物として処理した結果、一部の情報が外部に流出してしまう事例が想定されます。事業所のずさんな管理が明るみに出ると、顧客からの信頼を大きく損なうこととなります。

また、医療機関の場合、患者の病歴や診療情報は要配慮個人情報にあたるため、特に厳格な取り扱いが求められます。万が一情報が漏えいした場合、患者が損害賠償を求めて訴訟を起こす可能性があり、経済的にも社会的にもダメージを受けることになります。

個人情報保護法に違反した場合の罰則

個人情報保護法に違反した場合、違反した従業員だけでなく、企業側にも罰則が科されることがあります。

ここからは、個人情報保護法に違反した際に適用される罰則を、ケースごとに解説します。

立入検査や報告徴収に対応しない場合

個人情報保護委員会は、企業の個人情報の取り扱い状況を確認するために、立入検査を実施したり、報告や資料の提出を求めたりできます。

しかし、企業がこれに応じず立入検査を拒否した場合や、虚偽の報告を行った場合、従業員と企業の両者に対して、50万円以下の罰金が科される可能性があります。

個人情報保護委員会の命令に違反した場合

企業の個人情報保護法違反が発覚すると、個人情報保護委員会から是正措置として改善命令を下されることがあります。

しかし、この命令に従わない場合、違反した従業員には1年以下の懲役または100万円以下の罰金が科されることがあり、さらに企業に対しても1億円以下の罰金が科される可能性があります。

不正利用の目的で個人情報データベース等を盗用した場合

企業の従業員が、不正な利益を得るために、業務上取り扱った個人情報データベース等を盗用したり、第三者に提供したりした場合も罰則が科されます。

例えば、顧客情報を競合他社に販売したりする行為がこれに該当します。

この場合、従業員には1年以下の懲役または50万円以下の罰金が科されることがあり、企業に対しても1億円以下の罰金が科される可能性があります。

個人情報保護法に関して企業が対応すべきこと

個人情報保護法の改正により、企業には適切な個人情報の取り扱いが求められています。

ここからは、企業が行うべき具体的な取り組みを解説します。

個人情報保護法のガイドラインを確認する

企業が個人情報保護法を遵守するためには、最新のガイドラインを確認し、適切な対応を行うことが不可欠です。

個人情報保護委員会が公表するガイドラインには、個人情報の取得、管理、利用、第三者提供の方法や、安全管理措置について詳しく記載されています。

特に改正が行われた際は、変更されたポイントを確認し、自社の業務フローに落とし込むことが重要です。

定期的にガイドラインを見直し、必要に応じて社内ルールを更新することを心がけましょう。

個人情報の取り扱いに関する従業員教育を徹底する

情報漏えいの多くは、従業員の誤った取り扱いや不注意によって発生します。

そのため、従業員一人ひとりが個人情報保護の重要性を理解し、適切に対応できるよう教育を徹底する必要があります。

具体的には、個人情報保護法の基本ルールや、漏えいリスク、適切な管理方法などに関する研修を行うと効果的です。また、従業員教育の際は、具体的な事例を交えることでより理解が深まるでしょう。

個人情報の取り扱いについて相談できる窓口を設置する

個人情報を適切に取り扱うためには、従業員が気軽に相談できる窓口を設置するのも効果的です。

例えば、「この情報を社外に提供しても問題ないか」、「顧客から個人情報の削除依頼があったが、どう対応すればいいのか」などの疑問が生じた際に、相談窓口があれば誤った対応を未然に防げます。

相談窓口を活用することで、適切な対応を促せるとともに、企業全体の個人情報保護に対する意識向上にもつながります。

個人情報保護法を正しく理解し、改正内容もチェック

企業が個人情報を適切に取り扱うためには、最新の法令内容を理解した上で、それに沿った社内ルールを整備することが重要です。

現在、個人情報保護法はおよそ3年ごとに見直されており、次回は2025年に予定されています。

改正内容に迅速かつ適切に対応できるよう、定期的に最新の法改正情報を確認し、社内体制を整えておきましょう。

※ 掲載している情報は記事更新時点のものです。

監修：及川善大（弁護士）
及川法律相談事務所代表。１９７９年生まれ、宮城県出身。２０１０年９月司法試験合格。２０１２年１月に山形県弁護士会に弁護士登録し、同年１１月に及川法律事務所を開設。民事、家事、刑事、会社関係を問わず、様々な事件を取り扱っている。また、現在は日弁連の災害復興支援委員会の委員であり、東日本大震災による原発事故避難者への支援や、各種災害からの復興支援も行っている。２０２１年４月からは、山形県弁護士会の副会長も務めている。

及川法律事務所