本文へスキップします。

H1

個人情報保護法Q&A

最新版

個人情報 保護法 Q&A


用語の定義関係
(1)個人情報とは


Q1
どのような情報が個人情報に該当するのか。
個人情報とは、生存する個人に関する情報であって、当該情報に含まれる記述等により、特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができる場合を含む。)又は個人識別符号が含まれるものをいう。
[例] 車検証や受注書など特定の個人を識別できる氏名、住所等が記載されているものは個人情報になる。また、運転免許証の番号は、個人識別符号に該当するため、そこに記載された情報も個人情報になる。
Q2
個人情報に該当しない情報とは、具体的にどのようなものを指すのか。
その情報だけで特定の個人を識別できず、かつ、他の情報と容易に照合することができない場合は、個人情報にはならない。
[例]

Q3のAに記載のとおり、自動車登録番号は、一般的には個人情報に該当しない。
他方、登録事項証明書を取得した場合には、所有者を識別できる情報を取得しているため、個人情報を取得したことになる。(なお、登録事項証明書は道路運送車両法に基づき取得可能なものであり、不正な取得にはあたらない)

Q3
自動車登録番号は個人情報に該当するのか。
自動車登録番号は、一般には、これのみでは特定の個人を識別することができず、個人識別性がない。また、自社内において、所有者等特定の個人を識別することができる情報を保有しておらず、他の情報と容易に照合することで特定の個人を識別することができない場合であれば、容易照合性も認められない。このような場合であれば、自動車登録番号は個人情報に該当しない。
Q4
顧客が所有する整備データの記録は、個人情報となるのか。
整備データそのものから、特定の個人が識別できない場合は個人情報にあたらないが、個人の氏名、住所等が記載されていて、これらの情報から特定の個人が識別できる場合、全体としては個人情報となる。
Q5
法人(会社)情報は個人情報に該当しないのか。
会社の名称、住所等のみの情報であって、特定の個人が識別できる情報が含まれていない場合は、個人情報に該当しない。ただし、会社の代表者の氏名(個人名)、住所などを含む情報は、個人情報となる。
Q6
匿名加工情報とは何か。
匿名加工情報とは、個人情報の区分に応じて、特定の個人を識別することができない加工を施し、かつ、その個人情報を復元することができないようにした生存する個人に関する情報を意味する。匿名加工情報は、個人情報には該当しないため、利用目的規制や第三者提供規制等の制限を受けない一方、安全管理措置や、公表義務、識別行為の禁止等の各種義務が及ぶことになる。
また、匿名加工情報に該当するためには、個人情報を適切に加工する必要がある。そのため、この水準に達しない匿名処理を行った情報は依然として個人情報のままであるため、留意が必要である。
(2)個人情報保護法の対象事業者とは
Q7
どの程度の規模の事業者が個人情報保護法の対象となるのか。
規模にかかわらず、事業を営むに際して、個人情報を①コンピュータで検索可能な形で管理する場合(例えば、データベースにより管理する場合)、あるいは②紙などにより処理した個人情報を一定の規則に従って整理・分類し体系的に構成しており、かつ、目次、索引、符号等を付して、容易に検索ができるようにしている場合には、個人情報保護法の適用を受ける。
なお、2005年(平成17年)個人情報保護法制定時には、保有する個人情報の合計数が、過去6ヶ月以内のいずれかの日において5,000人を超える事業者のみが個人情報保護法の義務対象(個人情報取扱事業者)とされていたが、2015年(平成27年)改正により、この要件は撤廃されたため、注意が必要である。


個人情報の取得関係
Q8
車検証をユーザーの了解なしにコピーした場合、どうなるのか。
車検証情報は個人情報であり、勝手にコピーするなどして取得した場合は、個人情報の無断取得として不正な取得となるおそれがある。
Q9
「名簿屋」から購入した情報は、法ではどのように扱われるのか。
名簿業者が、個人データの第三者提供の条件(あらかじめ本人の同意を得ているか、オプトアウト手続によることなど。法第27条)を満たしており、かつ、名簿業者及び貴社がトレーサビリティに関する規制(記録・確認義務など。法第29条・第30条)を遵守している場合は適法である。
Q10
運輸支局で自動車登録番号から所有者の個人情報を取得することは不当に取得したことになるのか。
自動車登録番号の情報により登録事項等証明書を取得した場合は個人情報を取得したことになるが、登録事項等証明書は道路運送車両法に基づき、だれでも請求が可能なものであることから、不正な取得にはあたらない。(なお、電話帳、登記簿謄本等の公開されているものから個人情報を入手することは、そもそも「取得」にあたらず、したがって、不正な取得にはあたらない)
Q11
新規顧客から個人情報を取得する際に、今後、車検・定期点検の案内や関係機関への照合等に使用することについて、書面により同意を得ておくことが必要か。
個人情報保護法上は、要配慮個人情報を取得する場合には、その取得に際して、本人の同意が必要であるものの、それ以外の個人情報については、同意の取得は必要ではない。
ただし、書面により取得する場合には、原則として、利用目的をあらかじめ明示する必要があり、それ以外の場合でも、あらかじめその利用目的を公表している場合を除き、取得後、速やかにその利用目的を、本人に通知し、又は公表しなければならない。


個人情報の利用関係
Q12
個人情報の利用目的はどのようにしてお客様に知らせるのか。
顧客全員にその旨通知する必要があるか。
個人情報の利用目的は、貼紙やHP上のプライバシーポリシー等により本人に公表すれば、顧客個々人に通知する必要はない。ただし、書面(HP上のフォームを含む)により個人情報を取得する場合には、その際に利用目的の通知が必要であるため、注意されたい。
Q13
本社・営業所間においてメールで名簿を送受信してもよいか。
同一法人間で使用する場合は、個人データの第三者提供にあたらないが、取扱いについては社内規程に基づき適切に管理する必要がある。
Q14
イベントで記念品の当選者の氏名、住所を発表することは可能か。
個人情報保護法上は、各事業者が公表又は通知した利用目的の範囲であり、かつ本人の同意があれば可能である。ただし、プライバシー保護の観点からは、当選者個人が特定されないように配慮することが望ましく、特に必要がない場合には、その公表を避けることが望ましい。


個人情報の管理関係
Q15
下取車の旧ユーザーの新車保証書・定期点検記録簿・カーナビに記録された情報は、どのようにすればよいのか。
定期点検記録簿等に個人情報が記載・記録されている場合は、個人情報の部分を確実に廃棄することが必要である。
Q16
カウンターから個人名や事業者名が入った伝票等を誰でも見ることが可能であるが、問題があるか。
個人情報の漏えいにつながるおそれが高いことから、カウンター内を見ることができないような対策を講じたり、部外者を事務所内に入れないような管理体制をとる必要がある。
Q17
個人情報の保護担当として管理者の選任が必要か。
個人情報取扱事業者に該当するか否か問わず、社内規程に基づく管理責任者を定め、適切に管理することが望ましい。


罰則関係
Q18
個人情報取扱事業者に該当しない場合にも個人情報を漏えいしたら罰則があるのか。

個人情報取扱事業者に該当する場合は、個人情報データベース等の不正提供等に該当する場合を除き、個人情報(個人データ)の漏えい等により直ちに罰則が科せられるわけではなく、以下のいずれかに該当する場合に罰則が科せられる。(法第173条、第174条、第177条、第179条等)

個人情報保護委員会からの命令への違反 行為者 1年以下の懲役又は100万円以下の罰金
法人等 1億円以下の罰金
個人情報データベース等の不正提供等 行為者 1年以下の懲役又は50万円以下の罰金
法人等 1億円以下の罰金
個人情報保護委員会への虚偽報告等 行為者 50万円以下の罰金
法人等 50万円以下の罰金

個人情報取扱事業者に該当しない場合には、個人情報保護法の対象外となるので、個人情報保護法に基づく罰則の適用はない。
ただし、個人情報を漏えいした場合には、プライバシー侵害による損害賠償の対象となる恐れがあるので、個人情報取扱事業者に該当するかどうかにかかわりなく、個人情報を適切に管理する必要がある。



2020年・2021年改正個人情報保護法の概要
Q19
2020年の改正個人情報保護法が施行されたことにより、何が変わったのか。
2020年(令和2年)改正により変更された点は次の各点である。

【個人情報の利用】
・違法又は不当な行為を助長する等の不適正な方法により個人情報を利用してはならない旨が明確化された。(法第19条)
・「仮名加工情報」(加工により他の情報と照合しない限り特定の個人を識別することができない個人に関する情報)の制度が新設された。(法第2条第5項)
仮名加工情報については、利用目的の変更制限の適用除外となる等、その利用の自由度が高まる半面、第三者提供禁止や、照合禁止義務等各種の義務が課せられた。(法第41条、第42条等)

【個人情報の管理】
・漏えい等が発生し、個人の権利利益を害するおそれが大きい一定の事態については、委員会への報告及び本人への通知が義務化された。(法第26条)

【保有個人データ】
・保有個人データに、6か月以内に消去されるデータも含まれることになり、開示・利用停止等の対象になった。(法第16条第4項)
・保有個人データの利用停止・消去等の個人の請求権について、不正取得等の一部の法違反の場合に加えて、個人の権利又は正当な利益が害されるおそれがある場合にも要件が緩和された。(法第35条第5項)
・保有個人データの開示方法について、書面開示が原則だったものが、電磁的記録の提供を含め本人の指示によるものとなった。(法第33条)

【第三者提供】
・オプトアウト規定により第三者に提供できる個人データの範囲が限定され、改正法前に規定されていた①要配慮個人情報に加えて、 ②不正取得された個人データ、③オプトアウト規定により提供された個人データも対象外となった。(法第27条第2項)
・個人データの授受に関する第三者提供記録についても、本人が開示請求できるようになった。(法第33条第5項)
・個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しない個人に関する情報(個人関連情報)については、提供先において個人データとなることが想定される場合、提供先により本人同意が得られていることについて、提供元の個人情報取扱事業者による、確認が義務づけられるようになった(法第29条)。

【域外適用・越境移転】
・日本国内にある者に係る個人情報等を取り扱う外国事業者を、罰則によって担保された報告徴収・命令の対象となった。(法第166条) 
外国にある第三者への個人データの提供時に、移転先事業者における個人情報の取扱いに関する情報提供の義務化。(法第28条第2項・第3項)
【その他】
・認定団体制度について、現⾏制度に加え、企業の特定分野(部門)を対象とする団体を認定できるようになった。(法第47条第2項)
・個人情報取扱事業者が対象となる罰則が厳罰化された。(法第173条、第174条、第177条、第179条等)
Q20
2021年(令和3年)の改正個人情報保護法が施行されることにより、何が変わったのか。
個人情報保護法、行政機関個人情報保護法、独立行政法人等個人情報保護法が個人情報保護法に統一され、地方公共団体の個人情報保護制度についても全国的な共通ルールが規定される。また、学術研究に関する例外規定が精緻化された。これに伴い、改正前と比較して、条文番号の変更等が生じているため、注意が必要である。