個人情報保護法

個人情報保護法は、個人情報を取り扱う事業者に適正に個人情報を取り扱わせることを内容とする法律。2003年5月に制定、2005年4月に施行。

個人情報保護法の施行から十年が経過し、IT環境も大きく変わり、膨大なデータのやり取りが行われたり、スマートフォンなどの端末やSNSサービスの普及が進み、いつでもどこからでも簡単に膨大な量の情報にアクセスして情報を共有し合うことも可能になった。

膨大な量の情報を活用することがビジネスにつながることもある反面、情報流出のリスクも高まり、その対策が法律レベルで必要であるとの観点から、2015年9月に個人情報保護法が改定。2017年5月に施行。

個人情報保護法の法体系

個人情報保護法は大きく以下の３つに分かれる。

基本法
◆ 目的・基本理念
◆ 国及び地方公共団体の責務など
◆ 個人情報の保護に関する施策など

一般法（民間）
◆ 個人情報取扱事業者の義務など
◆ 適用除外
◆ 罰則

一般法（公共）
◆ 国の行政機関向け（行政機関個人情報保護法）
◆ 独立行政法人向け（特立行政法人等個人情報保護法）
◆ 地方公共団体向け（個人情報保護条例）

個人情報取扱事業者の義務

個人情報に関する義務
個人情報を取り扱うにあたって利用目的を特定し、原則として、あらかじめ本人の同意を得ないで特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはならない。
直接書面で個人情報を取得するときは、原則としてあらかじめ利用目的を明示しなければならない。

個人データに関する義務
利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。取り扱う個人データの漏洩、滅失、毀損の防止そのほかの個人データの安全管理のために必要かつ適切な措置を講じなければならない。

保有個人データに関する義務
本人から当該本人が識別される保有個人データの開示の請求を受けた場合、原則として、本人に対し、地帯なく、当該保有個人データを開示しなければならない。

個人データの第三者提供に関する義務

絶対に守らないといけないポイント４つ。

個人情報取扱事業者は原則として、あらかじめ本人の同意を得ないで個人データを第三者に提供してはならない。

よく同意のチェックボックスとかあるのでイメージしやすい。

個人データを第三者に提供した場合、個人データを提供した相手方、提供した年月日など必要な事項について記録を作成・保存しておく必要がある。

自分が誰かに提供する場合。
これはあんまり知らなさそう。記録しておかないといけない。

個人情報取扱事業者が第三者から個人データの提供を受ける場合、提供者に関する確認義務がある。例えば個人データが売買されている場合、買い主は売り主の氏名や住所、個人データの取得の経緯を確認し、これらの記録を作成・保存しておく必要がある。

自分が誰かから提供される場合。される場合も記録が必要なのか。

個人情報保護法の適用除外

以下の事業者は個人情報保護法の義務規定が適用されない。実質無視できる。なんじゃそら。

◆ 報道機関：報道の用に供する目的
◆ 著述業者：著述の用に供する目的
◆ 学術研究機関：学術研究の用に供する目的
◆ 宗教団体：宗教活動の用に供する目的
◆ 政治団体：政治活動の用に供する目的

ん、結構影響力があるところが除外される理由って何があるんだ。謎。

個人情報保護法に違反した場合の罰則

個人情報漏洩が起こった時。

苦情は当事者間で解決。当事者同士で解決できる規模を越えている場合は以下の通り。

行政から報告を求められて無視
→３０万円以下の罰金

行政から命令されて無視・違反
→６ヶ月の懲役または３０万円以下の罰金

ん、結局命令されたら従う前提で３０万払う覚悟したら違反してもいいということなのか。それを言い始めると殺人とかすごく罪の重たいものも同じなので、言ってはいけない系か。意外と勉強してみると法律ってゆるふわ。抑止力でしかない感じ。でもちゃんと守るポーズを示すことで信頼に繋がる、そんな感じ。

そういえば昔、個人情報の大規模漏洩とかで損害賠償とかで億単位のお金を払う必要が出たこととかあったな。

ベネッセとかの事件か。調べると一見一人当たり３万円弱の損害賠償が生じるような見積もりになるので、法律の罰則以外にもお金が無くなるリスクはあるってことね。個人情報の扱いにデリケートである方が好ましいという。

ベネッセ個人情報流出事件 - Wikipedia