個人情報の保護に関する法律(「個人情報保護法」)は、利用者や消費者が安心できるように、個人情報を取り扱う事業者及び行政機関等に個人情報をきちんと大切に扱ってもらった上で、有効に活用できるよう共通のルールを定めた法律です。
The Act on the Protection of Personal Information (Act No. 57 of 2003)(“APPI”) is the law that stipulates common rules so that personal information handling business operators and administrative organs, etc. can treat personal information properly and use personal information effectively so that users and consumers can feel safe.
個人情報保護委員会は、個人情報、個人関連情報、匿名加工情報の適正な取扱いに向けた取組みを行い、個人情報保護法に違反する、又は違反するおそれがある場合に、立入検査をし、指導・助言や勧告・命令をすることができます。令和2年改正(令和4年4月1日施行)により、漏えい等が発生し、個人の権利利益を害するおそれがある場合に、個人情報取扱事業者の個人情報保護委員会への報告及び本人への通知が義務化されます。
The Personal Information Protection Commission (“PIPC”) takes measures to properly handle personal information, personally referable information, pseudonymously processed information and anonymously processed information, and if a personal information handling business operator violates or is likely to violate the APPI, the PIPC may conduct on-site inspections and provide guidance, advice, recommendations, and orders. Due to the 2020 amendment (enforced on April 1, 2022), it is mandatory for a personal information handling business operator to report to the PIPC and notify the principal when there is a risk of harming the rights and interests of individuals due to leakage, etc.
個人情報保護法の下に、「個人情報の保護に関する法律施行令」や「個人情報の保護に関する法律施行規則」がありますが、これらを解説した資料として、「個人情報の保護に関する法律についてのガイドライン」を個人情報保護委員会が公表しています。
Under the APPI, there are the "Cabinet Order to Enforce the Act on the Protection of Personal Information" and the "Enforcement Rules for the Act on the Protection of Personal Information", but as a material that explains these, the PIPC publishes the "Guidelines for the Act on the Protection of Personal Information".
個人情報とは、生存する個人に関する情報であって、氏名や生年月日等により特定の個人を識別することができるもの、又は個人識別符号が含まれるものをいいます。個人情報には、他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものも含みます。
Personal information refers to information relating to a living individual that can identify a specific individual by name, date of birth, etc., or that contains an individual identification code. Personal information include information ta can be readily collated with other information and thereby identify a specific individual.
個人情報をデータベース化したり、検索可能な状態にしたものを「個人情報データベース等」といいます。「個人情報データベース等」を構成する情報が「個人データ」です。「個人データ」のうち、個人情報取扱事業者に修正、削除等の権限があるもので、6ヶ月以上保有するものを「保有個人データ」といいます。令和2年改正により、6ヶ月以内に消去する短期保存データについて、保有個人データに含めることとし、開示、利用停止等の対象となります。
A database of personal information or a searchable state personal information is called a personal information database, etc. "Personal data" is the information that constitutes the "personal information database, etc.". Among "personal data", those that the personal information handling business operator has authority to correct, delete, etc., and those held for more than 6 months are referred to as "retained personal data". Due to the 2020 amendment, short-term stored data to be deleted within 6 months are included in the retained personal data, and are subject to disclosure, suspension of use, etc.
「匿名加工情報」とは、個人情報を本人が特定できないように加工をしたもので、当該個人情報を復元できないようにした情報をいいます。個人情報の取扱いよりも緩やかな規律の下、自由な流通・利活用を促進することを目的に平成27年改正(平成29年5月30日施行)により新たに導入されました。令和2年改正により、イノベーションを促進する観点から、他の情報と照合しない限り個人情報を本人が特定できないように加工をした「仮名加工情報」を創設し、内部分析に限定する等を条件に、個人情報取扱事業者の開示・利用停止請求への対応等の義務を緩和することになりました。
“Anonymously processed information” is personal information that has been processed so as to neither to be able to identify the principal nor to be able to restore such personal information. It was newly introduced by the 2015 amendment (enforced on May 30, 2017) with the aim of promoting free circulation and utilization under more relaxed discipline than the handling of personal information. Due to the 2020 amendment, from the perspective of promoting innovation, "pseudonymously processed information" which is the person information that has been processed so as not to be able to identify the principal unless collated with other information is established, which eases the obligation to respond to requests for disclosure and suspension of use, provided that the personal information handling business operator must limit its use to internal analysis.
「要配慮個人情報」は、本人に不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要する情報として、法律・政令・規則に定められた情報です。要配慮個人情報を取得する場合は、利用目的の特定、通知又は公表に加え、あらかじめ本人の同意が必要です。
“Special care-required personal information" is information stipulated in law, cabinet order, and rules as information that requires special care for handling so as not to cause unfair discrimination, prejudice, and other disadvantages to the principal. When acquiring special care-required personal information, in addition to identifying, notifying or disclosing the purpose of use, consent from the principal in advance is required.
個人情報保護法では、民間事業者の個人情報の取扱いについて、4つの基本ルールを規定しています。
The APPI stipulates four basic rules regarding the handling of personal information by private business operators.
1. 個人情報の取得・利用
個人情報取扱事業者は、個人情報を取り扱うに当たって、利用目的をできる限り特定しなければならないとされています。特定した利用範囲以外のことに個人情報利用する場合は、あらかじめ本人の同意を得なければなりません。
1. Acquisition and use of personal information
In handling personal information, the personal information handling business operator must specify the purpose of use as much as possible. If the personal information handling business operator uses personal information for something other than the specified scope of use, it must obtain the consent of the principal in advance.
2. 個人データの安全管理措置
個人情報取扱事業者は、個人データの安全管理のために必要かつ適切な措置を講じなければならないとされています。
2. Security Control Action for Personal Data
The personal information handling business operator must take necessary and appropriate action for the security control of personal data.
3. 個人データの第三者提供
個人情報取扱事業者は、個人データを第三者に提供する場合、原則としてあらかじめ本人の同意を得なければなりません。外国にある第三者に個人データを提供する場合は、次の①~③のいずれかを満たす必要があります。
①外国にある第三者に提供することについて、本人の同意を得る。
②外国にある第三者が、適切な体制を整備している。
③外国にある第三者が個人情報保護委員会が認めた国に所在している。
令和2年改正により、外国にある第三者への個人データの提供時に、移転先事業者における個人情報の取扱いに関する本人への情報提供の充実等を求めことになります。
3. Provision of personal data to third parties
When providing personal data to a third party, the personal information handling business operator must obtain the consent of the principal in advance in principle. When providing personal data to a third party in a foreign country, the personal information handling business operator must meet any of the following (1) to (3):
(1) Obtain the consent of the principal to provide personal data to a third party in a foreign country.
(2) A third party in a foreign country has established an appropriate system.
(3) A third party in a foreign country is located in a country approved by the PIPC.
Due to the 2020 amendment, when providing personal data to a third party in a foreign country, it is required to enhance the provision of information to the principal regarding the handling of personal information by the business operator to which personal data is transferred.
4. 保有個人データの開示請求
個人情報取扱事業者は、本人から保有個人データの開示請求を受けたときは、本人に対し、原則として当該保有個人データを開示しなければならないとされています。
4. Request for Disclosure of Retained Personal Data
When the personal information handling business operator receives a request for disclosure of retained personal data from the principle, such retained personal data must be disclosed to the principal in principle.
令和3年改正により、個人情報保護法、行政機関の保有する個人情報の保護に関する法律、独立行政法人等の保有する個人情報の保護に関する法律の3本の法律を1本の法律に統合するとともに(令和4年4月1日施行)、地方公共団体の個人情報保護制度についても統合後の法律において全国的な共通ルールを規定し(令和5年5月19日までに施行)、全体の所管を個人情報保護委員会に一元化される予定です。
Due to the 2021 amendment, the APPI, the Act on the Protection of Personal Information Held by Administrative Organs (Act No. 58 of 2003), and the Act on the Protection of Personal Information Held by Incorporated Administrative Agencies, etc. (Act No. 59 of 2003) were integrated into one act (enforced on April 1, 2022), and the personal information protection system of local governments also stipulated nationwide common rules under the integrated act (enforced by May 19, 2023). The entire jurisdiction will be unified into the PIPC.
