個人情報保護法

学習のポイント

個人情報保護法（個人情報の保護に関する法律）が２００３年に公布され，２００５年４月から全面施行されました。その後、数回の改定が行われてきました。ここでは，個人情報保護法の概要と関連法規・基準などについて学習します。

キーワード

個人情報，個人情報保護法，個人情報取扱事業者，プライバシー，行政個人情報保護法，ＯＥＣＤ８原則，プライバシーマーク

個人情報保護法の概要

個人情報保護法は正式には「個人情報の保護に関する法律」といいます。
法律全文」 http://law.e-gov.go.jp/htmldata/H15/H15HO057.htmlにあります。
概要や解説：首相官邸サイトhttp://www.kantei.go.jp/jp/it/privacy/houseika/hourituan/

個人情報保護法の目的

個人情報保護法の目的は第１条で示されています。

（拡大図）

個人情報保護法での用語の定義

（拡大図）

個人情報

「個人情報とは，生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）をいう。

日本国民だけでなく、外国に居住している外国人も対象になります。
「死亡した個人」についてはこの法律では対象にしていません。
（故人であっても、遺族などの権利や利益を侵害する場合は、個人情報保護法ではなく、刑法や民法など他の法律の対象になることがあります）
「個人」ですので，会社や団体などの名称や住所などは対象になりません。
氏名や生年月日でなくても、個人が特定できる情報は個人情報になります。例えば「○○村居住４３歳の××村役場職員」ならば特定の個人を認識できましょう。
文字データだけでなく、写真や音声なども個人情報になります。
「keizai_ichiro@meti.go.jp」のように、構成する文字列やドメイン名によって特定の個人を識別できるメールアドレスは，個人情報になります。
個人名ではなくコードであっても、個人マスタファイルなどを参照すれば個人を識別することができます。しかし、そのマスタファイルとの照合が容易にできないならば、個人情報とはいえません。

個人データ

個人情報が含まれているデータのことで、次のように定義しています。

個人情報データベース：「個人情報を含む情報の集合物で，特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの」
個人情報データベース等：「個人情報を一定の規則に従って整理することにより特定の個人情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次、索引その他検索を容易にするためのものを有するもの」
個人データ：「個人情報データベース等を構成する個人情報」

ですから，カルテや指導要録等、紙面で処理した個人情報を一定の規則（例えば、五十音順、年月日順等）に従って整理・分類しものや，名刺を一定の規則で保管したものは「個人情報データベース等」になり、それを構成している１枚の紙や１枚の名刺が「個人データ」になります。
何のデータであるかは無関係です。犯罪歴や学歴などだけでなく、単に電話番号や年齢を示したものも個人データになります。

個人情報取扱事業者

個人情報データベース等を事業の用に供している者。

ただし、次のものは適用除外になります。
国や地方公共団体等：この法律とは別に「行政等個人情報保護法」（後述）が適用されます。
報道，学術研究，宗教，政治などの団体も，それぞれの本来の業務遂行の観点から除外しています（自主的な取組みが期待されています）。
（注）以前は「個人情報の量が５０００人分以下のものは除く」とされていましたが、平成２７年の改正により撤廃され、個人情報の多寡に関わらず個人情報取扱事業者となりました。
ここで「事業の用」とは，業務の一環として用いることで，従業員の給与計算も事業の用ですから，従業員の個人情報も個人データになります。
営利目的でなくても「事業」になります。趣味の同好会で会員名簿を記録しているならば、個人情報取扱事業者になります。
反面、倉庫業、配送業、データセンター（ハウジング、ホスティング）等の事業において、当該情報が個人情報に該当するかどうかを認識することなく預かっている場合は、「事業の用」ではないとして、個人情報の数には入れません。

（補足）電話帳と個人情報

電話会社から提供される電話帳には、大量の個人データが掲載されており、五十音別などで整理されているので、形式的には「個人情報データベース等」に相当します。
しかし、電話帳を「事業の用」に用いていても個人情報取扱事業者にはなりません。本人が電話帳に掲載することに同意しており、氏名、電話番号、住所以外の付帯情報がないことから、さらに、社会的な便宜や通念から、公開された個人情報として、個人データの数（５０００人）から除外してよいことになっています。また、「個人情報取扱事業者の義務」（後述）の対象外になっています、
しかし、電話帳から特定の人を抽出したり、追加情報を付けたりしたものは一般の個人情報データベース等に相当します。
市販のカーナビゲーションシステム内の個人情報についても電話帳と同じ扱いになります。
参照：経済産業省「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」（ http://www.meti.go.jp/policy/it_policy/privacy/041012_hontai.pdf ）

保有個人データ

個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの以外のものをいう（以前は６か月以内に消去されるデータは対象外でしたが、現在では対象になるよう改正されました）。
保有個人データに関しては，本人から請求があったときには，訂正や削除をする責任があります。

データ入力やコンピュータ処理を受託したり，配送を受託したりして受けた個人データは，それらのデータは自社で勝手に開示，訂正等をする権限を持っていないのですから，保有個人データではありません。
短期間に廃棄が予定されている個人データも保有個人データには入りません。
アンケートのデータのように、集計処理が終了した時点で、個人が特定できるデータが不要になるものがあります。年齢別などに集計したデータは複数個人が１つのデータになるので、個人情報は含まれないので、元の個別データを廃棄すれば、個人情報保護法の対象になる情報はもっていないことになります。

個人情報保護法の体系

個人情報保護法の構成は次の通りです。煩雑を避けるために、要配慮個人情報、匿名加工情報、仮名加工情報などの事項は省略しています。☆

　　　第１章　総則 
　　　　目的（第１条）
　　　　定義（第２条）
　　　　基本理念（第３条）
　　　第２章　国及び地方公共団体の責務等（第４条～第６条）
　　　第３章　個人情報の保護に関する施策等（第７条～第１４条）
　　　第４章　個人情報取扱事業者の義務等
　　　　第１節　個人情報取扱事業者の義務（第１５条～第３６条）
　　　　第２節　民間団体による個人情報の保護の推進 （第３７条～第４９条）
　　　第５章　雑則（第５０条～第５５条）
　　　第６章　罰則（第５６条～第５９条）
　　　附則

第１章から第３章までは，行政等も含む個人情報保護を総合的に推進する基本的な枠組みを示した基本法であり，第４章～第６章は，民間事業者が個人情報取扱での義務を規定した一般法になっています。基本法の部分は公布の日（２００３年５月３０日）から施行，一般法の部分は２００５年４月１日から施行されました。

個人情報取扱事業者の義務等

個人情報保護法の「第４章第１節　個人情報取扱事業者の義務（第１５条～第３６条）」のポイントを列挙します（「第○条」のような表記がありますが，法律の条文は正確を期すあまり，あまりにも冗長ですので，要点だけにしてあります）。

利用目的の特定，利用目的による制限（個人情報）

利用目をできる限り特定しなければならない。利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない。（第15条）
特定された利用目的の達成に必要な範囲を超えて取り扱ってはならない（第16条）
個人情報を収集するときには，それを何に使うのかを本人に伝え，それ以外の目的に使うなということです。例えば，アンケートに使うとして取得したものをダイレクトメールなどに使ってはいけません。そのような利用をする予定があるときには，アンケート用紙に明記するなど，あらかじめ本人に示しておく必要があります。

適正な取得，取得に際しての利用目的の通知等（個人情報）

偽りその他不正の手段により取得してはならない。（第17条）
違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。（第16条）
名簿業者などから，個人情報保護法に違反していることを知っていて利用するような場合は、不正手段による取得になります。
取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。（第18条）

データ内容の正確性の確保（個人データ）

個人データを正確かつ最新の内容に保つよう努めなければならない。（第19条）
このように「努めなければならない」という表現を努力規定といいます。厳格に「正確かつ最新の内容に保つ」のは現実には多くの困難がありますので，そのような努力をしていれば，実際に「正確かつ最新の内容に保」たれていないデータがあっても違反とはしないという意味です。

安全管理措置，従業者・委託先の監督（個人データ）

取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。（第20条）
従業員・委託先に対して必要な監督を行わなければならない（第21、22条）
これらの規定は，実務では大きな影響を持っています。
第２０条での適切な措置とは，社内体制を整備し，マニュアルを整備して遵守させ，情報システムの情報セキュリティ対策を向上させるなど，かなり大掛かりな対策を講じる必要があります。
第２２条の「委託先監督義務」では，個人情報取扱事業者である大企業が，５０００人以下の個人データに関する業務を中小企業に委託したとき，大企業は中小企業が個人データの保護に関する体制を整備することを要求します。中小企業がその体制が整備できていなければ，受注することができなくなることもあります。逆に，それが整備できている中小企業は受託の機会が増大します。法律的には対象にならなくても，現実には個人情報取扱事業者に準じる体制整備が求められているのです。

第三者提供の制限（個人データ）

本人の同意を得ないで、個人データを第三者に提供してはならない。（第23条）
次の場合は、本人の同意なしに提供できます。

１　法令に基づく場合
２　人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
例：暴力団などの反社会的勢力情報や業務妨害行為を行う悪質者の情報を企業間で共有した。
　　徘徊していた認知症老人を保護した。持物から家族の電話番号がわかったので連絡した。
３　公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
例：児童虐待のおそれのある家庭の情報を，児童相談所，警察，学校などで共有した。
４　国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
例：警察から捜査令状に基づく情報提供を求められたので，従業員の個人情報を渡した。

公表等，開示，訂正等，利用停止等（保有個人データ）

利用目的等を本人の知りうる状態に置かなければならない（第２４条）
本人の求めに応じて保有個人データを開示・訂正・利用停止等を行わなければならない（第２５，２６，２７条）
個人データの授受に関する第三者提供記録について、本人が開示を請求することができる（第２５条nの５）
これらは無条件で本人の要求に従えというのではなく，誤りがあることが確かであるとか，利用停止要求はそのデータが目的外に取り扱う場合や、不正に取得した場合等に限り、本人が、事業者に対して、保有固有データの利用の停止若しくは消去（以下、「利用停止等」という。）、又は第三者提供の停止を請求できる旨規定しています。しかし，次の「苦情の処理」と合わせて，迅速に対処することが必要になります。

漏えい等報告及び本人通知の義務（保有個人データ）

事業者は、その扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、速やかに個人情報保護委員会への報告（第１項）と本人への通知（第２項）を行なわなければならない。（第２２条）

苦情の処理（個人情報全般）

苦情の適切かつ迅速な処理に努めなければならない（第31条）

個人情報保護方針

事業者が個人情報の保護を推進する上での基本的な考え方や方針を定めたものです。
　個人情報保護法により、個人情報を利用するには利用目的、開示や訂正の手続きを公表する義務があります。また、プライバシーマークでは個人情報保護方針の公表を求めています。
　公表するとは、文書化して、利用者が簡単にみられる状況に置くことであり、通常は自社Ｗｅｂサイトのスタートページの近くに掲載します。

方針の記載事項として、JIS Q 15000 では、要求事項　個人情報保護方針を用いるのが通常です。

似た用語にプライバシーポリシーがあります。個人情報保護方針の同義語として用いられることもありますが、経営者が自社の個人情報保護に関する基本方針を社外・社内に宣言する文書とすることもあります。後者の場合、社外とネットワーク通信が多いときはそれへの言及、社内には実現組織と運営への言及を含むこともあります。

行政との関係

個人情報取扱事業者が義務規定に違反し，個人の権利利益保護のため必要がある場合には，主務大臣は，報告の徴収や必要な助言を行い，勧告に従わないときは，適切な命令をすることができます（第３２～３４条）。そして，報告をせず、又は虚偽の報告をした者は、３０万円以下の罰金（第５７条），行政命令に違反した者は、６月以下の懲役又は３０万円以下の罰金（第５７条）が科されます。
　個人情報保護法では，漏洩が明らかになったからといって，直ちに事業者が罰せられるのではありません。行政命令に従わないときに罰せられるのです（間接罰）。罰せられるのは漏洩をした当事者と事業者の両方です（両罰制）。☆

このように，個人情報保護法は個人情報取扱事業者の義務等を明確にすることにより個人情報の保護を図ろうとするものであり，個人情報の不正な取扱により生じた事業者と被害者の間のトラブルに関して取り決めたものではありません。その点では交通法規と同じような性格です。
　個人情報保護法では，事業者と被害者の間のトラブルは，原則として当事者間の話し合いや裁判で解決することとし，それで解決できないときは，行政が苦情の申し立てを受ける仕組みになっています。

個人情報関連事項

「個人情報」と「プライバシー」

一般に個人情報は次のように区分されます。

公知情報: 氏名や住所など，日常的に公表しているもの
非公知情報: 職業や学歴など，あえて秘密にはしないが，広くは知られたくないもの
機微情報: 思想，宗教，病歴，犯罪歴など，秘密にしたいもの。センシティブ情報ともいいます。

個人情報保護法では，個人情報の内容が示されていません。それは，公知情報も含むすべての情報を対象にしているからです。氏名と住所だけの一覧表も個人情報の対象になります。
　個人情報に似た概念に「プライバシー」があります。プライバシーとは，そもそも「他人から個人の静穏を侵害されない自由」という概念でしたが，最近では「個人情報へのアクセスをコントロールする権利」であると認識されるようになり，個人情報保護と近くなってきました。それでも公知情報をプライバシーとするのは一般的ではないでしょう。また，プライバシー保護では，芸能スキャンダルのような個人により異なる情報を対象にしているのに対して，個人情報保護では多数の人に共通する情報を対象にしている傾向があります。しかし，プライバシーの概念が個人情報と似てきましたので，通常の場合は，あえて区別する必要はないと思います。

要配慮個人情報

いわゆる機微情報です。本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪被害の事実などに関しては、特別な保護が求められます。
　通常の個人情報では、利用目的の取得前公表、取得後の速やかな通知があれば、取得に本人の同意は不要です。それに対して、要配慮個人情報は本人同意を得て取得することが原則義務化されました。同様に、本人同意を得ない第三者提供（オプトアウト）が禁止されました。

個人情報活用のための規制緩和

個人情報の保護は重要ですが、各種統計の活用、特に多様な分野で収集したデータを組み合わせて分析することにより貴重な情報が得られます。　近年、情報通信技術の進展により、膨大なパーソナルデータが収集・分析される、ビッグデータ時代が到来してきました。また、ＡＩなどの分析技術により、従来の単純加工では得られない情報の発見や仮説検証が可能になってきました。そのデータには個人情報が含まれることが多くありますが、これらの利活用は国民生活に大きなメリットがあるといわれています。
　このような背景から、個人を特定できないように加工して、データの流通を図るための法的措置が行われています。

　　　　　　　　　　　　　　　個人情報　　　仮名加工情報　　匿名加工情報
　　利用目的以外の利用　　　本人同意必要　　公表だけで可　　自由にできる
　　第三者提供　　　　　　　本人同意必要　　　提供不可　　　自由にできる
　　開示・利用停止請求　　　対応義務あり　　　　なし　　　　　　なし
　　漏洩等報告義務　　　　　報告義務あり　　　　なし　　　　　　なし

匿名加工情報

「匿名加工情報とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。(第３条の２）。
　特定の個人を識別することができないように個人情報を加工したものを匿名加工情報といいます。

匿名加工情報は、個人情報ではないとして、個人情報保護法の適用を受けません。それで、匿名加工情報は本人の同意や通知なしに　①第三者への提供　②目的外利用ができます（第三者提供には、あらかじめ、匿名加工情報に含まれる情報の項目や、提供方法を公表しなければなりません。提供に際し、提供する情報が匿名加工情報である旨を明示する義務があります）。
　しかし、その加工方法や取扱については厳格なルールが求められます。個人を特定できる情報はすべて削除するか、復元できないように置換します。個人名は何らかのコードに暗号化しても、そのルールが加工者すら知らないようにする必要がありますし、年齢や住所は年代や府県など層別化することなどが考えられます。

データベース化された匿名加工情報を事業の用に供している者を匿名加工情報取扱事業者といいます。匿名加工情報データベースの作成者だけでなく、それを利用する者も含まれます。
　　　　義務　　　　　　　　　　　　　作成者　作成者以外の匿名加工情報取扱事業者
　　　　適正加工義務　　　　　　　　　　○
　　　　加工方法等安全管理措置義務　　　○
　　　　作成時公表義務　　　　　　　　　○
　　　　提供時公表義務　　　　　　　　　○　　　　○
　　　　識別行為禁止義務　　　　　　　　○　　　　○
　　　　安全管理措置等の努力義務　　　　○　　　　○

仮名加工情報

「仮名化」とは、データの一部を置き換える等により、元のデータ等追加情報を利用しない限りそのデータの主体を特定できないようにすることをいいます（第２条の９）。例えば、氏名・性別・年齢からなるデータの場合、性別・年齢だけでは個人を特定できないので、氏名を記号等に置換えるだけで、元の氏名というデータを利用しない限り、個人を特定できなくなります（住所も含む場合は、個人を特定できるので、県レベルだけにするなｄぽの加工も必要です）。

匿名加工情報との違いは、「他の情報と照合することで、特定の個人を識別できる」復元可能性があることです。すなわち、匿名加工情報と個人情報の中間に位置します。

個人情報と比較した規制緩和
仮名加工情報は、個人情報ではありますが、個人が特定する情報は伏せられている（「少年Ａ」のような扱い）ので、利用目的の範囲を超えて利用できます。
　利用目的以外で利用する場合、変更する場合は、本人の同意を得る必要はなく、本人が見える環境（Ｗｅｂサイト等）に公表すればよいとされています。
　本人からの開示や利用停止請求に関しては、「本人」の同定ができないので、対応義務はありません。また、漏洩が起こったときも「個人情報漏えい」ではないので、個人情報保護法での報告義務はありません。一般的な情報セキュリティ対応としての扱いになります。

個人情報と比較した規制強化
　仮名加工情報は、「他の情報と照合すれば個人を識別できる」ので、照合をしない（できない）措置が義務付けられます。最も単純なのは、氏名を乱数によりランダムな番号にする（一意性保持が必要ですが）ことです。仮名加工した当事者でも照合できなくなります、反面、他の情報との氏名による照合などはできません。
　第三者への提供は禁止されています。本人の同意を得ることが困難だし、第三者が解読する手段を持っているかもしれないからです。同様にオープンデータとしてＷｅｂサイト等で公開することもできません。ただし、システム開発やデータ保管などの委託先への提供は、禁止していません。実務上不可能だからです。
　このような制約により、社内利用が主になりそうですが、このデータを用いて、本人にメールや訪問をすることは禁止されています。照合ができないはずだからです。

行政個人情報保護法

当初の個人情報保護法では民間だけを対象にしていました。それは，国や地方公共団体には「行政機関等の個人情報保護に関する法律」があるからです。これには，
　行政機関の保有する個人情報の保護に関する法律
　独立行政法人等の保有する個人情報の保護に関する法律
　情報公開・個人情報保護審査会設置法
　行政機関の保有する個人情報の保護に関する法律等の施行に伴う関係法律の整備等に関する法律
があります。２００３年５月３０日に個人情報保護法と同時に公布されました。

しかし、２０２２年に、デジタル社会の形成を図るための関係法律の整備に関する法律（令和3年法律第37号）が施行され、２０２３年の個人情報保護法が改正されたのを機に、行政個人情報保護法は廃棄され、個人情報保護法に統合されました。

個人情報保護関連の内外の動きと基準等

歴史的推移と相互関係

１９８０年　ＯＥＣＤ（経済協力開発機構）理事会は，「プライバシー保護と個人データの国際流通についての勧告」を採択。これが「ＯＥＣＤ８原則」として、以降の個人情報保護の実質的な標準となる。→後述
１９８９年　通商産業省（現経済産業省）「民間部門における電子計算機処理に係る個人情報の保護について（指針）」策定。ＯＥＣＤ８原則を情報システムでの個人情報保護に。
１９９５年　ＥＵ「個人データ保護指令」。ＥＵ加盟国はこれに準拠した国内法整備を義務化。指令のなかに、ＥＵ域内から個人データの保護水準が低い第三国への個人データの移転禁止の条項があり、ＥＵ域外でもＥＵ加盟国とのビジネスに大きな影響。
１９９７年　その対策として、通商産業省は先の「指針」の見直しと強化をした「民間部門における電子計算機処理に係る個人情報の保護に関するガイドライン」を策定
１９９９年　個人情報保護をＪＩＳ化「JIS Q 15001:1999　個人情報保護に関するコンプライアンス」
２００５年　個人情報保護法施行
その実践のために、各省で個人情報保護に関するガイドラインを策定→後述
２００６年　先のJIS Q 15001:1999を個人情報保護法と整合性を持たせるため改訂。「JIS Q 15001:2006（個人情報保護マネジメントシステム－要求事項）」となる。→後述
２０１８年　ＥＵ、「個人データ保護指令」を強化した「一般データ保護規則」が発効
この間に、個人情報保護のＪＩＳに対応して、ＪＩＳの要求事項に適合した体制を整備し実践しているかを第三者認証する「プライバシーマーク制度」ができた。→後述

ＯＥＣＤ８原則

１９８０年にＯＥＣＤ（経済協力開発機構）理事会は，「プライバシー保護と個人データの国際流通についての勧告」を採択しました。

目的明確化の原則: 収集目的を明確にし，データ利用は収集目的に合致するべき
利用制限の原則: データ主体の同意がある場合，法律の規定による場合以外は目的以外に利用使用してはならない
収集制限の原則: 適法・公正な手段により，かつ情報主体に通知又は同意を得て収集されるべき
データ内容の原則: 利用目的に沿ったもので，かつ，正確､完全､最新であるべき
安全保護の原則: 合理的安全保護措置により，紛失・破壊・使用・修正・開示等から保護するべき
公開の原則: データ収集の実施方針等を公開し，データの存在，利用目的，管理者等を明示するべき
個人参加の原則: 自己に関するデータの所在及び内容を確認させ，又は意義申立を保証するべき
責任の原則: 管理者は諸原則実施の責任を有する

この８原則は，個人情報保護法の基礎になっています。両者には次の対応があります。 ★

　　目的明確化の原則，利用制限の原則　　　第１５条，第１６条，第２３条
　　収集制限の原則　　　　　　　　　　　　第１７条
　　データ内容の原則　　　　　　　　　　　第１９条
　　安全保護の原則　　　　　　　　　　　　第２０条～第２２条
　　公開の原則，個人参加の原則　　　　　　第１８条，第２４条～第２７条
　　責任の原則　　　　　　　　　　　　　　第３１条

ＧＤＰＲ（General Data Protection Regulation：一般データ保護規則）は、ＥＵ（欧州連合）による個人情報保護を目的とした規則で、２０１６年に発効、２０１８年から適用が開始されました。

以前の「ＥＵデータ保護指令」では、ＥＵ加盟各国で国内法を制定するための「指針」でしたが、ＧＤＰＲでは、各国の差異を解消して共通の規則とした「法規則」になりました。
ＥＣ地域外の事業者であっても、ＥＣ地域内に商品・サービスを提供する場合にも適用することになりました。
ＧＤＰＲでは、欧州経済領域内で取得した個人データを域外に移転することを原則禁止しています。

十分性認定とは “個人データを移転できるだけの十分なデータ保護の水準を持つ“ことを認めることです。欧州連合は、ＧＤＰＲの日本に対する十分性認定をしており、手続きは簡素化しています。しかし、十分性認定は個人データの域外移転のみに関わるものですし、違反への制裁金が非常に高額なことから、未だ日本企業の対応が遅れているといわれています。

各省庁の「個人情報保護法ガイドライン」

個人情報保護委員会: 個人情報保護法に基づき、内閣総理大臣の所轄に属する内閣府外局の行政委員会です（２０１６年設置）。個人情報（マイナンバー（個人番号）を含む。）の有用性に配慮しつつ、その適正な取扱いを確保することを目的としています。
　　・個人情報の保護に関する基本方針の策定・推進
　　・個人情報取扱事業者等に関する監督
　　・苦情の申出に関する助言・あっせん
　　・広報・啓発
個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン（通則編）」
https://www.ppc.go.jp/files/pdf/guidelines01.pdf

個人情報取扱事業者には，婦人用アクセサリーの通信販売会社，病院，金融機関など多様な業種・業態があり，それぞれの業種・業態により，取扱う個人情報も異なるし，重視するべき観点，具体的な手段も異なります。それで，個人情報保護法では，あいまいな表現が多く，具体的に遵守手段を講じるのには不十分です。
　それで，各省庁が所轄の分野でのガイドラインを策定しています。

経済産業省：経済産業分野
http://www.meti.go.jp/policy/it_policy/privacy/kaisei-guideline.pdf
厚生労働省：医療・介護分野
http://www.mhlw.go.jp/topics/bukyoku/seisaku/kojin/dl/170805-11a.pdf
総務省：電気通信事業
http://www.soumu.go.jp/main_content/000134579.pdf
金融庁：金融分野
http://www.fsa.go.jp/common/law/kj-hogo/01.pdf

例えば経済産業省のガイドラインは，「経済産業分野」における事業者等が行う個人情報の適正な取扱いの確保に関する活動を支援する具体的な指針として定めるもので，個人情報保護法や関連政令を逐条的に解説するとともに，理解を助けるための具体的な例を示しています。また，本ガイドラインのなかで，「しなければならない」と記載されている規定は，それに従うことが強制される義務規定であり，「望ましい」と記載されている規定については、できるだけ取り組むべき努力規定であるとされています。

また，業界での自主的なガイドラインもあります。実際には，これらのガイドラインに従って，具体的な対策を行うことが求められます。

JIS Q 15001

「JIS Q 15001:2006 個人情報保護マネジメントシステム－要求事項」（ http://www.meti.go.jp/policy/it_policy/privacy/jis_shian.pdf）は、個人情報保護法との整合性をとったＪＩＳ規格です。

個人情報保護をマネジメントシステムとして確立し、改善を進めるために、実践すべきことが体系的に示されています。
　その構成は次の通りです。
　　3 要求事項
　　3.1 　一般要求事項
　　3.2 　個人情報保護方針
　　3.3 　計画
　　　　　　「個人情報の特定」「法令、国が定める指針その他の規範」
　　　　　　「リスクなどの認識、分析及び対策」「緊急事態への準備」など
　　3.4 　実施及び運用
　　　　　　「運用準備」「取得，利用及び提供に関する原則」「適正管理」
　　　　　　「個人情報に関する本人の権利」「教育」
　　3.5 　個人情報保護マネジメントシステム文書
　　3.6 　苦情及び相談への対応
　　3.7 　点検
　　3.8 　是正処置及び予防処置
　　3.9 　事業者の代表者による見直し

個人情報保護方針

「個人情報保護方針事業者の代表者は，個人情報保護の理念を明確にした上で，次の事項を含む個人情報保護方針を定めるとともに，これを実行し維持しなければならない。」としています。

a) 事業の内容及び規模を考慮した適切な個人情報の取得，利用及び提供に関すること（特定された利用目的の達成に必要な範囲を超えた個人情報の取扱い（以下，“目的外利用”という。）を行わないこと及びそのための措置を講じることを含む。）。
b) 個人情報への不正アクセス，個人情報の漏えい，滅失又はき損の防止並びに是正に関すること。
c) 苦情対応に関すること。
d) 個人情報の取扱いに関する法令，国が定める指針及びその他の規範を遵守すること。
e) 個人情報保護マネジメントシステムの継続的改善に関すること。
f) 代表者の氏名

プライバシーマーク

個人情報保護法と整合性を持つＪＩＳ規格JIS Q 15001（個人情報保護マネジメントシステム－要求事項）について、組織がこの規格にそった体制を整備し実践しているかを第三者認証するのが、プライバシーマーク制度です。
日本情報経済社会推進協会（ＪＩＰＤＥＣ）「JIS Q 15001：2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン【第2版】」
http://privacymark.jp/reference/pdf/guideline_V2.0_140114.pdf

審査に合格すると、右図のプライバシーマークを会社内に掲示したり、Ｗｅｂページに表示したりできます。それにより、法律への適合性はもちろんのこと、自主的により高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることをアピールできます。特に、ＢtoＣサイトのように、個人情報を入力させるページでは、このマークがあることにより、利用者の信頼を得ることができます。

個人情報保護法は法律遵守という最低限のレベルを規定したものであり，それ以上に実務で実践しており，さらに向上に努めていることを示すのがプライバシーマーク制度だと理解するのが適切です。

個人情報の取扱いに関するトピックス

過剰反応の弊害

個人情報の保護は大切なことは重要ですが，それはあくまでも対象になる個人の権利を保護することが目的です。また，常識的な範囲で運用されるべきです。
　ところが，個人情報に過剰な反応をする傾向が強くなり，その弊害も現れるようになりました。

個人の過剰反応
　・国勢調査を拒否する
　・学校の連絡網が作れない
　・地域の回覧板のルートが表示できない
　漏洩して困る情報の常識的な判断が求められます。

組織の過剰反応
　・行政が民生委員に老人世帯の情報を提供しない
　・災害時に病院が収容者の情報を提供しない
　・家族失踪にホテルやレンタカーの記録を教えない
　・製品リコールで，購入者の記録が廃棄されている
　個人情報を保護することが目的ではなく，組織あるいは担当者の責任逃れの手段とされていることがあります。

公務の過剰反応
　・公務員の犯罪で氏名を公表しない
　・要職幹部の学歴・職歴を公表しない
　・国会議員の財政状況を公表しない
　これらは，国民の知る権利，公務へのチェック機能を阻害することになります。

このような弊害を回避するために，「なぜ個人情報を保護するのか」という法の精神を理解することが大切です。

情報銀行

社会・経済を発展させるために、匿名加工情報の相互活用を促進を目的とした制度で、個人情報保護法で認められた制度です。
　銀行が預金者からの預金を企業等に貸し出すように、情報銀行は、個人が預託した行動履歴や購買履歴など個人情報にひも付いたデジタルデータを匿名化したうえで、の情報提供、一元管理し、そのデータを利用したい企業に公開します。預託したデータを活用することにより得た利益の一部は、企業から直接に、あるいは情報銀行を介して提供者に還元されます。
　これにより、ある事業者が収集し管理している行動履歴や購入履歴を、個人が特定できないようにして、別の事業者でも活用できるようになります。

近年は、スマートフォンの発展などにより、消費履歴やＷｅｂ閲覧履歴などだけでなく、移動経過、撮影写真、健康状態など多様な情報を自動記録できるようになりました。このような個人の生活（life）をデジタルデータで記録する（log）ことをライフログといいます。
　ライフログサービスの多くは、インターネット上のサイトにライフログ情報を保管し、本人が検索・加工するだけでなく、ＳＮＳメンバ間で共有する機能も提供しています。情報銀行がこれらの情報も扱うようになれば、災害時の避難行動のシミュレーションなど、活用分野は急激に拡大されましょう。