個人情報の保護に関する法律（個人情報保護法）は社会環境や国際動向の変化に合わせて改正が続いており、特に2022年改正では安全管理措置や国外移転の規制など、企業の実務に直結する内容が大きく見直されました。

企業が法令違反を避け、適切な情報管理体制を整えるためには、最新の法改正と具体的な対応策を把握しておくことが不可欠です。

本記事では、改正内容の要点と実務上の注意点、対応の優先順位を体系的に解説します。

1.個人情報保護法とは

個人情報の保護に関する法律（以下、個人情報保護法）は、個人情報の有用性に配慮しつつ、個人の権利利益の保護を目的とし、すべての企業が遵守すべき重要な法律です。情報漏えいリスクが高まるなか、法改正も続いているため、最新の内容を理解しておく必要があります。

最初に、制定の背景や目的、現行法の位置づけを解説します。

1-1.制定の背景と法の目的

個人情報保護法が制定された背景は、情報漏えい事件の増加と、社会の急速なデジタル化です。

インターネットの普及により個人情報の収集や利用が広がる一方で、漏えいや不正利用による被害が社会問題となり、個人情報の扱いに関する統一的なルールが求められるようになりました。

法の目的は個人の権利利益の保護と、個人情報の有用性の確保の両立で、情報の利活用そのものを妨げるのではなく、安心して活用できる環境を整えることに重点が置かれています。

個人情報保護法は、信頼性の高いデジタル社会を構築するために制定された法律といえます。

1-2.改正の経緯と現行法の位置づけ

個人情報保護法は2003年の制定以降、社会環境の変化に合わせて段階的に改正が行われてきました。2015年改正では個人情報保護委員会が創設され、監督体制が一元化されたことで法の実効性が大きく高まりました。

続く2022年改正の観点は、個人の権利や利益の保護、技術革新の成果による保護と活用の強化、越境データの流通増大に伴う新たなリスクへの対応、AI・ビッグデータ時代への対応などです。

新たな技術や国際動向に対応すると同時に、個人の不利益とならないための配慮がされた内容となっています。

このような改正を経て、現行はAI時代のデータ活用とプライバシー保護の強化両立を目指す大幅な見直しが予定されています。[参考1][参考2]

2.個人情報保護法で定められる「個人情報」の範囲

個人情報保護法の背景や目的について解説しましたが、個人情報とは、どのような範囲を指すのでしょうか。ここからは、個人情報保護法を確実に理解するために、個人情報の種類と違いを整理して解説します。

2-1.個人情報・個人情報データベース等・個人データ・保有個人データの違い

個人情報保護法における「個人情報」が指すのは、以下の例のように、生存する個人に関する情報のうち特定の個人を識別することができるものを指します。

• 氏名

• 生年月日

• 住所

• 顔写真

• メールアドレス

• 顔・指紋・虹彩・声紋・手指静脈などの身体の特徴を変換した符号

• パスポート番号・基礎年金番号・運転免許証・マイナンバー など

個人情報は単独で特定の個人を識別できる場合だけでなく、他の情報と照合することで、特定の個人が識別可能となる情報や、番号や記号、符号など情報単体から個人を識別できる個人識別符号も含まれます。

個人情報と混同しやすいものに、「個人情報データベース等」、「個人データ」や保有個人データ」があります。個人情報データベース等とは、特定の個人情報をコンピュータ等を用いて検索できるよう体系的に構成された個人情報を含む情報の集合物です。

個人データとは、個人情報データベース等を構成する個人情報をいい、個人情報が体系的にデータベース化され、検索できる状態にある個人情報のことです。企業が業務上扱う多くの顧客情報や会員情報は、個人データに該当するでしょう。

保有個人データとは個人データのうち、個人情報取扱事業者が本人から開示や訂正、削除等を請求された場合に応じることができる権限を持つものです。

2022年改正以前は「6カ月以内に消去する短期保存データ」は保有個人データから除外されていましたが、現在は保存期間を問わず、「保有個人データ」に該当します。

一方で、死者に関する情報や個人を識別できない統計情報は個人情報には該当せず、個人情報保護法の適用対象外です。

2-2.要配慮個人情報・仮名加工情報・匿名加工情報

個人情報保護法では上記のほか、より慎重な取り扱いが求められる情報として「要配慮個人情報」が定義されています。

要配慮個人情報とは、思想や信条、病歴、犯罪被害など、取り扱いによって差別や不利益が生じるおそれのある情報で、要配慮個人情報の収集には、原則として本人の同意が必要です。

また個人情報を安全に利活用する仕組みとして「匿名加工情報」があります。これは個人を識別できないように加工された情報で、統計処理やAI学習データなど幅広い用途で活用することが可能です。

さらに2022年改正で導入された「仮名加工情報」は、特定の個人を識別できないよう加工しつつ、企業内部での分析や業務改善に利用できる点が特徴です。

匿名加工情報とは異なり外部提供は制限されますが、本人の同意なく業務データを分析できるため、企業のデータ活用を促進する仕組みとして注目されています。[参考3]

3.企業が遵守すべき主要な義務

個人情報データベース等を事業で使用している「個人情報取扱事業者」においては、個人情報という大変重要な情報を取り扱うため、以下の義務が課されています。

• 利用目的の特定と公表

• 安全管理措置と社内体制整備

• 第三者提供・国外移転のルール

ここからは、企業が特に注意すべき主要な義務を見ていきましょう。

3-1.利用目的の特定と公表

個人情報取扱事業者が個人情報を取り扱う際は、最初に利用目的を定め、目的の範囲内で情報を利用することが求められます。たとえば「事業利用のため」「サービスの向上のため」など抽象的なものではなく、利用目的はできる限り具体的に特定しなければいけません。

個人情報を取得したら、あらかじめ利用目的を公表している場合を除き、利用目的を本人に通知または公表する必要があります。目的を超えた利用や、不正な手段による取得は禁止で、本人の同意を得た範囲で適切に取り扱わなければいけません。

サービスの変更などに伴って個人情報の利用目的などが変更された場合においては、変更前の利用目的と関連性のある範囲でしか利用できないことになっています。

個人情報保護法の基本原則を守ることで、個人情報を適切に管理し、本人との信頼関係を維持できるでしょう。

3-2.安全管理措置と社内体制整備

個人情報保護法では、個人情報取扱事業者は、個人データの安全管理措置を講じることを義務付けられています。安全管理措置には技術的・人的・組織的・物理的な措置が含まれており、情報漏えいや不正アクセス、紛失などを防ぐための総合的な対策をしなければいけません。

具体的な対策は、以下のとおりです。

• アクセス権限の管理

• ログ監視

• 社内教育

• 取扱規程の整備

• 保管場所の管理 など

さらに個人情報の処理を外部に委託する場合、委託先に適切な管理体制があるかを確認し、必要な監督を行う義務もあります。再委託の場合も同様で、管理責任が発生します。

3-3.第三者提供・国外移転のルール

個人情報を第三者に提供する場合、原則として本人の同意が必要です。個人情報に関わる本人を保護するために、第三者提供に関しては提供先や提供目的を明確にし、本人が適切に判断できる形で同意を得ることが求められます。

個人情報を国外へ移転する場合は、提供先国の個人情報保護制度が日本の基準を満たしているかの確認が必要です。また、相手国で適切な安全管理措置が講じられているかも、重要な確認事項といえます。

企業は提供先と契約を結ぶなどして管理体制を確保し、情報が安全に取り扱われるようにしなければなりません。このような手続きを適切に行えば、第三者提供に伴うリスクを抑え、国際的なデータ流通にも対応できる体制を整備できるでしょう。

3-4.漏えい時の報告義務と罰則

個人情報の漏えい等が発生した場合、企業には個人情報保護委員会への報告と、必要に応じて本人への通知が義務付けられています。漏えいの可能性が高いケースや、本人の権利利益に影響がある場合には、速やかに状況を把握し、委員会への報告を行うことが必要です。

また法令違反が認められた場合、法人には最大1億円の罰金が科される可能性があり、役員や従業員個人にも罰則が及ぶ場合があります。罰則の強化により、企業は情報管理体制を適切に整備する重要性が高まっています。

漏えい発生時の対応ルールをあらかじめ整備しておくことで、被害拡大を防ぎ、適切な法令対応を行うことが可能です。[参考4]

4.【2022年4月改正】改正内容と企業法務の対応策

2022年4月の改正個人情報保護法は、国際的なデータ流通の拡大や情報管理リスクの高まりを背景に、多くの項目が見直されました。企業に求められる義務も従来より強化されており、法務部門は改正内容を正確に把握したうえで対応を進めることが必要です。

ここからは改正の背景や改正ポイント、企業が優先して取り組むべき対応策を解説します。

4-1.改正の目的と背景

2022年の法改正は、国際的なデータ移転が増加する中で、個人情報の安全性をより確実に確保することを目的として行われました。海外の個人情報保護規制と整合性をもたせる必要性が高まったことに加え、国内外で情報漏えいリスクが増大していたことが背景です。

また個人情報保護委員会の権限を強化し、監督機能をより実効的にすることも重要な改正目的の一つです。権限の強化により、企業に対する指導や勧告が適切に行われ、情報管理体制の強化が促されるようになりました。

さらに安全管理措置についても要件が明確化され、企業はより高度な情報管理を求められるようになっています。2022年の法改正は、国際基準への適合と、国内の保護水準向上を両立するために実施されました。

4-2.主な改正ポイント

2022年改正では、企業が遵守すべき義務が幅広く見直されました。まず、個人情報を委託先や国外へ移転する際の説明責任が強化され、提供先での情報管理水準を確認し、必要な措置を講じることが求められています。

また個人情報の漏えいや不正アクセスが発生した場合の報告義務も拡大され、個人情報保護委員会および本人への通知が原則として必要となりました。これにより、企業は事故発生時の対応フローを明確に整備することが必要です。

さらに安全管理のために講じた措置については、公表等する義務がある事項として追加されました。ほかにも、仮名加工情報を含むデータ利活用のルールも新たに整備され、企業は適切な管理のもと情報活用を進めることが可能となりました。

4-3.優先して行うべき対応

改正法への対応を進めるうえで、最初に社内規程や個人情報取扱規程、委託契約書などの文書を改訂し、最新の法要件に適合させることが重要です。その際、委託先の管理責任や国外移転時の説明義務など、新たに強化された項目を契約書に反映させる必要があります。

また自社が保有する個人情報の流れを把握するため、データマッピングを実施し、委託台帳や管理台帳を整備することも欠かせません。台帳の整備により、どの情報がどこで扱われ、どのようなリスクがあるのかを明確にできます。

さらに社員教育や内部監査の仕組みを改め、漏えい時の報告フローや安全管理措置が適切に運用されるよう体制を強化することが求められます。このような取り組みを優先的に行うことで、改正法に準拠した実効的な情報管理体制を構築できるでしょう。[参考5]

改正個人情報保護法について詳しくは、以下の記事で解説しているので、ぜひご覧ください。

関連記事：改正個人情報保護法の内容は？2025年検討状況についても解説

5.注意すべき3つの落とし穴

個人情報保護法への対応では、規程と実務のずれや委託先管理の不備、改正情報の把握不足など、見落としがちなポイントが存在します。注意すべき落とし穴を理解し、事前に対策を講じることで企業のリスク管理はより確実なものになるため、確認しておきましょう。

5-1.規程と現場運用の乖離

一つ目の注意点は、規程と現場運用に乖離がある点です。個人情報保護に関する規程を整備していても、現場で実際には運用されていないケースは多く見られます。

規程上は適切な管理が行われているように見えても、担当者の理解不足や教育不足により、本来必要な手続きが実施されていないことが原因です。また部門間の連携が不十分な場合、情報共有が適切に行われず、想定外の取り扱いが発生する可能性もあります。

特に情報の更新手続きやアクセス権限の管理など、日々の運用が属人的になると、規程と実務の乖離が生じやすいでしょう。規程をつくって終わりではなく、現場の実態を把握し、運用状況を継続的に改善する取り組みが重要です。

5-2.委託・再委託先の監督不備

二つ目の注意点は、委託や再委託の監督不備です。個人情報を委託先に扱わせる場合、企業には委託先を適切に監督する義務があります。しかし、委託契約の更新や監査が属人的に行われていると、管理が不十分なまま委託が継続してしまうリスクがあります。

また再委託が発生する場合や、国外のクラウドサービスを利用する場合には、情報の流れが複雑化し、管理が追いつかないことも考えられるでしょう。

近年は越境移転や外部サービスの活用が一般化しているため、委託先に対して十分な説明責任の遂行や適切な管理体制を確認する重要性が高まっています。委託先の管理状況を定期的に把握し、契約書や台帳を最新状態に保つことが欠かせません。

5-3.改正情報のキャッチアップ遅れ

三つ目の注意点は、改正情報のキャッチアップが遅れる点です。個人情報保護法は数年ごとに改正が行われ、ガイドラインも頻繁に更新されます。しかし改正の情報を、個々の担当者が継続的に把握し続けることは容易ではありません。

特に条文の比較や新旧対照表の確認などは手間がかかり、対応が遅れる原因となります。また改正内容を誤って認識したまま業務を続けると、企業全体の運用に影響し、法令違反につながる可能性も否定できません。

そのため法改正の情報を効率的に収集し、必要な箇所を迅速に特定できる体制を整えることが重要です。自動で改正箇所を検索・比較できる仕組みや、法務部門による定期的なレビューを導入することで、最新の法要件に確実に対応できるでしょう。

6.改正個人情報保護法への対応をスムーズに進めるなら「Legalscape」

個人情報保護法は改正が続き、企業には利用目的の明確化や安全管理措置、委託先管理、漏えい時の報告義務など、多岐にわたる対応が求められます。

規程と運用のずれや改正情報の把握不足が生じると、思わぬ法務リスクにつながるため、正確かつ効率的なリサーチが欠かせません。法改正の課題を解消するための有力な手段として注目されているのが「Legalscape」です。

Legalscapeは知りたい法情報を検索すると瞬時に要約が得られ、書籍・雑誌・判例だけでなく官公庁や公的団体の最新資料まで網羅的にカバーしています。

調査結果を整理してチームで共有できるほか、法令や引用文献の原典へすぐにアクセスし、関連文献を一覧できる点も大きな特徴です。

迅速かつ正確なリーガルリサーチを実現するLegalscapeは、以下よりお試しいただけます。

本記事に記載の情報は一般的情報であり、特定の事案への法的助言ではありません。

参考1：個人情報保護法 いわゆる３年ごと見直し制度改正大綱｜個人情報保護委員会

参考2：個人情報保護法 いわゆる３年ごと見直しについて｜個人情報保護委員会事務局

参考3：「個人情報保護法」を分かりやすく解説。個人情報の取扱いルールとは？ | 政府広報オンライン

参考4：漏えい等報告・本人への通知の義務化について ｜個人情報保護委員会

参考5：個人情報保護法　いわゆる３年ごと見直しについて ｜個人情報保護委員会