会員登録、ECサイト、SNS、アプリ…どこでも「個人情報をお預かりします」と言われます。
でも、
「そもそも個人情報って何?」「漏らしたら何が起きる?」「うちの小さな会社も守らないとダメ?」
を整理します。
個人情報保護法は、「事業者が個人の情報を扱う時のルールを定めた法律」。
個人情報を 1件でも扱う 全ての事業者(個人事業主・小さな会社含む)が対象。
違反すると 会社に最大1億円、個人に最大1年以下の懲役 の罰則あり。
何が「個人情報」?
意外と幅広いです。
- 氏名、住所、電話番号、メールアドレス、生年月日
- 顔写真、声
- マイナンバー、健康保険証番号、パスポート番号
- クレジットカード番号
- 位置情報、購買履歴(特定の個人と紐づくもの)
ポイントは「個人を特定できるか」。
たとえば「30代男性」だけなら個人情報じゃないが、「30代男性、東京都港区南青山1-1、田中太郎」となれば完全に個人情報。
「要配慮個人情報」というさらに守るべき情報
普通の個人情報より厳しく扱うべきものがあります。
- 人種、信条、宗教
- 病歴、犯罪歴
- 障害の有無
- 性的指向、性自認
これらは「要配慮個人情報」と呼ばれ、取得時に 本人の明確な同意が必要。普通の個人情報より一段厳しいルールです。
病歴は特に厳重
会社が社員の健康診断結果を扱う時、保険会社が顧客の病歴を扱う時など、第三者への提供は原則禁止。漏らすと普通の個人情報以上に大問題になります。
個人情報を扱うときの基本ルール
事業者が守るべき主なルール:
- 利用目的を明示:「何のために使うか」を本人に伝える
- 目的外利用の禁止:「ECで使う」と言ったのに別目的で使うのはNG
- 適切な取得:嘘をついたり騙したりして取得してはダメ
- 安全管理:漏れない・盗まれないように管理
- 第三者提供は同意が必要:他の会社に渡すなら本人OKを取る
- 開示請求への対応:本人から「自分の情報見せて」と言われたら見せる義務
「個人情報取扱事業者」って誰のこと?
2017年の改正で、1件でも個人情報を扱う事業者は全員対象になりました。
つまり、
- 個人経営の店(顧客リストを持っていれば該当)
- フリーランス
- NPO・町内会
- 学校
- 病院
ほぼ全員が個人情報取扱事業者ということになります。
「うちは小さいから関係ない」というのは通用しない時代です。
漏洩したらどうなる?
個人情報漏洩のニュース、よく見ますよね。漏洩した場合の対応:
- 漏洩を発見:内部監査、ハッキング検知、外部からの通報など
- 個人情報保護委員会への報告(速報3〜5日、確報30日以内)
- 本人への通知:影響を受けた人に直接連絡
- 公表:プレスリリースやサイト告知
- 原因究明と再発防止
- 場合により損害賠償・行政処分
最近の傾向では、1人あたり5,000円〜数万円の慰謝料を会社が支払うケースが普通。10万人漏らせば数億円の損失。
GDPR、個人情報保護法、APPI
国際的な動きも知っておくと良い:
| 名称 | 国・地域 | 特徴 |
|---|---|---|
| 個人情報保護法(APPI) | 日本 | 1件から対象、課徴金最大1億円 |
| GDPR | EU | 世界で最も厳しい、課徴金最大年売上4% |
| CCPA | アメリカ・カリフォルニア州 | 消費者の権利を強化 |
ECサイトで EU 顧客に商品を売っている日本企業は、GDPRも守る必要があります。「日本の法律守ってればOK」ではない。
個人としてできる自衛
個人情報を渡す側として:
- 必要以上の情報を渡さない(生年月日は本当に必要?)
- プライバシーポリシーを読む(「第三者提供あり」になってないか)
- 「個人情報の利用停止」を申し立てる権利がある
- 不審な漏洩通知は鵜呑みにせず、公式サイトで確認
特に 「あなたの個人情報が漏洩しました、こちらから手続きしてください」 という詐欺メールが増えてます。リンクをクリックせず、公式サイトを直接見る習慣が大事。
まとめ
- 個人情報保護法 = 個人情報を扱う事業者のルールを定めた法律
- 個人情報 = 氏名・住所など個人を特定できる情報
- 病歴・宗教などは「要配慮個人情報」でさらに厳しい
- 1件でも扱う事業者は全員対象(小さな店もNPOも)
- 漏洩時は委員会に報告、本人通知、最大1億円の罰金
- EU相手のビジネスはGDPRも守る必要
- 個人としては「必要以上の情報を渡さない」「プライバシーポリシー読む」
ChatGPTやクラウドを扱う場面では、入力する情報が個人情報に該当しないか要注意(特に業務で使う時)。
詳細は 個人情報保護委員会が一次情報源です。
