• 更新日 : 2023年10月27日

個人情報とは何か?法律上の定義や取扱事業者の義務を解説

個人情報保護は企業の重大な責務の一つです。そもそも個人情報とは何なのでしょうか。

今回は個人情報の法律上の定義や取扱事業者の義務についてわかりやすくご説明します。あらためて個人情報保護の重要性について考えてみましょう。

個人情報とは何?

では個人情報とはどのような情報を指すのか、その定義について見ていきましょう。これを知ることで、どのような情報を守らなければならないかということも理解できるようになります。

個人情報の法律上の定義

個人情報は「個人情報の保護に関する法律(個人情報保護法)」という法律によって以下のように定義されています。

第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。

一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)

二 個人識別符号が含まれるもの

引用:個人情報の保護に関する法律|e-GOV法令検索

生存する個人に関する情報であって、氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができるものを含む。)(1号)、又は個人識別符号(後述)が含まれるもの(2号)が、個人情報保護法では個人情報として扱われます。

個人情報保護法とは

個人情報が漏えいすれば犯罪や差別、その他トラブルが発生するおそれが高くなります。仮にこれらの問題が生じなかったとしても、自分が特定されるような情報が第三者に知られるのは気分が良いことではありません。一方で、公共機関や法人が活動を行うためには、利用者や顧客などの個人情報を活用する必要が出てきます。

個人情報保護法は個人情報の有用性に配慮しつつ、個人の権利や利益を守ることを目的として、2003年5月に公布され、2005年4月に施行されました。

個人情報保護法では前章でも紹介した個人情報の定義、国・地方公共団体や個人情報取扱事業者の責務、行政機関等が守るべき義務など、個人情報を取り扱う機関が守るべきルールや施策の方針、及び個人情報の取り扱いに関する監視や監督を行う個人情報保護委員会の規定について定められています。

なお、個人情報保護法は国際的な動向や情報通信技術の発展、新たな産業の創出や発展などの状況を考慮して、3年ごとに見直しが行われています。直近では2022年4月に改正され、本人の請求権拡大や個人情報取扱事業者の責務の追加、個人情報取扱事業者の自主的な取り組みの推進などが盛り込まれました。

詳しくは下記記事で解説しています。

個人識別符号とは

個人識別符号は個人情報保護法第2条2項で定められています。

2 この法律において「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、政令で定めるものをいう。

一 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの

二 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの

引用:個人情報の保護に関する法律|e-GOV法令検索

具体的には指紋や顔、DNAなどの生体情報データなど(1号)、マイナンバー、免許証・保険証パスポートなどの番号など(2号)が個人識別符号に該当します。

要配慮個人情報とは

要配慮個人情報は個人情報保護法2条3項によって以下のように定義されています。

3 この法律において「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。

引用:個人情報の保護に関する法律|e-GOV法令検索

個人情報保護法は、特に慎重な取り扱いが必要な個人情報を「要配慮個人情報」として定め、より厳格な取り扱いを求めています。「要配慮個人情報」は、原則としてあらかじめ本人の同意を得ないで取得することはできません(個人情報保護法20条2項)。

そのほか本人の同意を得ないで個人データの第三者提供が可能となる例外的手続であるオプトアウト手続の対象に含まれていません(個人情報保護法27条2項ただし書)。

要配慮個人情報について、詳しくは下記記事でも解説しています。

個人情報取扱事業者の義務

個人情報保護法第2条第5項では、個人情報取扱業者を「個人情報データベース等を事業の用に供している者」と定義しています。ただし、国の機関、地方公共団体、独立行政法人等、地方独立行政法人を除きます。

「事業」とは、一定の目的をもって反復継続して遂行される同種の行為であって、社会通念上事業と認められるものを指しており、営利か非営利であるかは問われません。

個人情報データベースを事業の用に供しているものであれば、その個人の数の多さは関係ありません。法人格のない任意団体や個人であっても、個人情報を事業の用に供していれば、個人情報取扱事業者に該当します。

個人情報取扱事業者には以下のような義務があります。

  • 個人情報を取り扱うにあたっては利用目的をできる限り特定し、原則として利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはならない。
  • 個人情報を取得する場合には、利用目的を通知・公表しなければならない。なお、本人から直接書面で個人情報を取得する場合には、あらかじめ本人に利用目的を明示しなければならない。
  • 個人データを安全に管理し、従業員や委託先も監督しなければならない。
  • あらかじめ本人の同意を得ずに第三者に個人データを提供してはならない。
  • 事業者の保有する個人データに関し、本人からの求めがあった場合には、その開示を行わなければならない。
  • 事業者が保有する個人データの内容が事実でないという理由で本人から個人データの訂正や削除を求められた場合、訂正や削除に応じなければならない。
  • 個人情報の取り扱いに関する苦情を、適切かつ迅速に処理しなければならない。

引用:個人情報取扱事業者の責務|総務省 安心してインターネットを使うために 国民のための情報セキュリティサイト

個人情報を第三者に提供する場合

個人情報取扱事業者は、原則としてあらかじめ本人の同意を得ないで、個人データを第三者に提供してはいけません。

ただし、例外として、以下の場合は本人の同意を得ないで個人データを第三者に提供することができます(個人情報保護法27条1項)。

  • 法令に基づく場合
  • 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
  • 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
  • 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
  • 当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データの提供が学術研究の成果の公表又は教授のためやむを得ないとき(個人の権利利益を不当に侵害するおそれがある場合を除く。)。
  • 当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データを学術研究目的で提供する必要があるとき(当該個人データを提供する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(当該個人情報取扱事業者と当該第三者が共同して学術研究を行う場合に限る。)。
  • 当該第三者が学術研究機関等である場合であって、当該第三者が当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。

また、以下の場合において、個人データの提供を受ける者は、「第三者」に該当しません(27条5項)。

  • 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
    (例)情報処理を委託するために個人データを提供する場合
  • 合併その他の事由による事業の承継に伴って個人データが提供される場合
    (例)分社化など事業の承継により個人データが提供される場合
  • 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
    (例)グループ企業間で取得したときの利用目的の範囲内で個人データを共有する場合

個人情報を守ることは顧客と自社を守ることにつながる

ひとたび個人情報が漏えいすると大きな損害につながりかねません。個人情報の定義を把握し、日頃からしっかりと情報を管理することで、事故やトラブルを防ぐことができ、顧客の安全ひいては自社の信用を守ることができます。

今一度、個人情報が適切に取り扱われているか、自社の管理体制を見直してみましょう。

よくある質問

個人情報とは何を指す?

生存する個人に関する情報であって、氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができるものを含む。)、又は個人識別符号が含まれるものが、個人情報保護法では個人情報として扱われます。詳しくはこちらをご覧ください。

個人情報取扱事業者の義務は?

個人情報に関して利用目的を限定すること、目的外の利用をしないこと、適切に管理すること、本人の同意を得ずに第三者に提供しないことなどが挙げられます。詳しくは記事をご覧ください。詳しくはこちらをご覧ください。


※ 掲載している情報は記事更新時点のものです。

※本サイトは、法律的またはその他のアドバイスの提供を目的としたものではありません。当社は本サイトの記載内容(テンプレートを含む)の正確性、妥当性の確保に努めておりますが、ご利用にあたっては、個別の事情を適宜専門家にご相談いただくなど、ご自身の判断でご利用ください。

関連記事