個人情報保護法は、個人情報を扱う事業者に義務を課す法律です。実務上、最も混乱しやすいのが「個人情報」「個人データ」「保有個人データ」の3階層と、それに直交する「要配慮個人情報」という特別属性の理解です。この記事では、個情法を 「3階層 + 要配慮属性」という概念体系 として統一視点で整理し、関連法令(マイナンバー法・不正アクセス禁止法・刑法等)との接続を解説します。
カテゴリ:デジタル・現代 / 種別:要件系
関連条文:個人情報保護法第2条・第16条・第17条・第18条・第19条・第20条・第23条・第26条・第27条・第33条
こんな方へ
- 自社のサービスや業務で個人情報を扱っているか確認したい
- 個人情報・個人データ・保有個人データの違いがわからない
- どの義務がどの階層で発生するか整理したい
- 要配慮個人情報の特別扱いを確認したい
- マイナンバー法・不正アクセス禁止法との関係を理解したい
この記事でわかること
- 個人情報・個人データ・保有個人データの3階層の包含関係
- 各階層に応じた事業者の義務体系
- 要配慮個人情報という特別属性の独自規律
- 取得→利用→保管→提供→廃棄の取扱い段階別義務
- 漏えい等が発生した場合の報告義務
- マイナンバー法・不正アクセス禁止法・刑法等との横断整理
結論:個人情報保護法は「3階層 + 要配慮属性」の概念体系を統一視点で整理する
ポイント: 個人情報保護法は 「個人情報 → 個人データ → 保有個人データ」の3階層の包含関係 と 「要配慮個人情報」という特別属性 を統一視点として、概念体系を構築する法律です。個人番号(マイナンバー) に関する特別な保護はマイナンバー法、漏えいの原因行為(不正アクセス)は不正アクセス禁止法が補完する関連法として接続します。
根拠条文:個人情報保護法 第2条・第16条
個人情報(最も広い概念)
└─ 個人データ(個人情報データベース等を構成するもの)
└─ 保有個人データ(事業者が開示等の権限を有するもの)
+
要配慮個人情報(人種・信条・病歴等の特別属性)| 階層 | 定義の概要 | 主な義務 | 根拠条文 |
|---|---|---|---|
| 個人情報 | 特定の個人を識別できる情報 | 利用目的の特定・通知公表・適正取得 | 第17条・第20条・第21条 |
| 個人データ | 個人情報データベース等を構成する個人情報 | 安全管理措置・委託先監督・第三者提供制限・漏えい等報告 | 第23条・第25条・第26条・第27条 |
| 保有個人データ | 事業者が開示・訂正等の権限を有する個人データ | 開示・訂正・利用停止への対応 | 第33条・第34条・第35条 |
| 要配慮個人情報 | 人種・信条・病歴・犯罪歴等(階層と並走する属性) | 取得時の本人同意・オプトアウト不可 | 第2条第3項・第20条第2項 |
重要: 階層は包含関係にあり、下位階層の義務は上位階層の義務を含むという構造です。つまり保有個人データは「個人情報・個人データの全義務 + 開示等請求対応義務」を負います。要配慮個人情報は階層と直交する属性で、どの階層に該当しても本人同意が必要です。
本記事の主軸:個人情報の3階層構造と義務体系の整理。本記事は3階層 + 要配慮属性の概念体系の整理を主軸とし、各階層別の義務概要、関連法令(マイナンバー法・不正アクセス禁止法・刑法等)との横断整理を扱います。個別事案の判断は個人情報保護委員会のガイドライン・Q&A を参照、対応に迷う場合は専門家への相談を推奨します。
今すぐやること
- 自社が扱う情報が3階層のどこに位置するか整理する(個人情報 / 個人データ / 保有個人データ)
- 要配慮個人情報を含むか把握する(階層と直交する別軸属性)
- 取得→利用→保管→提供→廃棄の各段階で発生する義務を社内で共有する
- マイナンバー法・不正アクセス禁止法等との関連性を組織として認識する
- 概念体系をプライバシーポリシー・社内規程に反映する(個別の対応は個人情報保護委員会ガイドライン参照)
分類フロー:この情報は3階層のどこに該当するか
この情報の階層は?
NOTE: 「容易に照合できる」かどうかが個人情報該当性の鍵。単体で識別できなくても他情報と組み合わせて識別できる場合は個人情報に該当します。匿名加工情報・仮名加工情報には別途規律があります。階層が確定したら、各階層に応じた義務は本文「② 階層別の義務」を参照してください。
① 個人情報の3階層(概念体系)
→ 3階層は包含関係にあり、下位階層は上位階層の義務を含む構造です。
根拠条文:個人情報保護法 第2条・第16条
第1層:個人情報
「個人情報」とは、生存する個人に関する情報で、特定の個人を識別できるものです(第2条第1項)。
- 氏名・住所・電話番号等、単体で識別できるもの
- メールアドレス・生年月日等、他情報との容易な照合で識別できるもの
- 個人識別符号(マイナンバー・旅券番号・免許証番号等)を含むもの
ポイント:「容易に照合できる」かどうかが判断の鍵。単体で識別できなくても他情報との組み合わせで識別できる場合は該当します。死者の情報は原則対象外、法人情報も対象外です。
第2層:個人データ
「個人データ」とは、個人情報データベース等を構成する個人情報です(第16条第3項)。検索可能な形で体系化されたものが該当します。
- 顧客名簿(電子・紙問わず)
- 会員情報のデータベース
- 名刺管理ソフトに登録された情報
第1層との違い:データベース化されていることで安全管理措置・第三者提供制限・漏えい等報告等の義務が追加されます。
第3層:保有個人データ
「保有個人データ」とは、事業者が開示・訂正等の権限を有する個人データです(第16条第4項)。委託を受けて取り扱う個人データ等は除外されます。
第2層との違い:本人からの開示・訂正・利用停止等の請求への対応義務が追加されます。
別軸:要配慮個人情報という属性
要配慮個人情報は階層と並走する属性です(第2条第3項)。
- 人種・信条・社会的身分
- 病歴・障害・健康診断の結果
- 犯罪歴・犯罪被害の事実
- 性生活・性的指向・性自認(近時の法改正で追加された項目を含む。最新の法令・ガイドラインで確認が必要)
どの階層に該当しても、取得時の本人同意が原則必要で、オプトアウト方式による第三者提供はできません。
② 階層別の義務(類型別要件)
→ 階層が下がる(=保有個人データに近づく)ほど義務が累積していきます。
個人情報レベルの義務(取得・利用段階)
| 義務 | 内容 | 条文 |
|---|---|---|
| 利用目的の特定 | できる限り具体的に特定する | 第17条 |
| 目的外利用の禁止 | 特定した目的以外に利用してはならない | 第18条 |
| 不適正利用の禁止 | 違法・不当な行為を助長する利用は禁止 | 第19条 |
| 適正取得 | 偽りその他不正な手段による取得の禁止 | 第20条 |
| 取得時の通知・公表 | 利用目的を本人に通知または公表 | 第21条 |
個人データレベルの義務(保管・提供段階)
| 義務 | 内容 | 条文 |
|---|---|---|
| 安全管理措置 | 漏えい・滅失・毀損を防ぐ4分類の措置(組織的・人的・物理的・技術的) | 第23条 |
| 従業者監督 | 従業者への必要かつ適切な監督 | 第24条 |
| 委託先監督 | 委託先への必要かつ適切な監督 | 第25条 |
| 漏えい等報告 | 個人情報保護委員会への報告(速報3〜5日・確報30日)+ 本人通知 | 第26条 |
| 第三者提供制限 | 原則本人同意・例外規定あり | 第27条 |
業務委託について: 個人データの取扱いを外部に委託する場合(例:システム会社・印刷会社への委託)は、適法な委託に該当する場合は「第三者提供」には当たりません。ただし、委託者には委託先に対する管理監督義務があります(第25条)。実質的に独立した利用が行われている場合は第三者提供とみなされる可能性があるため、委託か第三者提供かの区別は実務上重要です。
保有個人データレベルの義務(本人請求対応)
| 義務 | 内容 | 条文 |
|---|---|---|
| 開示請求への対応 | 本人からの開示請求に応じる(電磁的記録の開示も可能) | 第33条 |
| 訂正等請求への対応 | 内容が事実でない場合の訂正・追加・削除 | 第34条 |
| 利用停止等請求への対応 | 違法収集・目的外利用等の場合の利用停止・消去 | 第35条 |
第三者提供のオプトアウト方式
一定の条件を満たせば、本人が拒否しない限り第三者提供できる「オプトアウト」の仕組みもありますが、要配慮個人情報や不正取得された情報には使えません。また、オプトアウトを使う場合は個人情報保護委員会への届出が必要です(第27条第2項)。
③ 要配慮個人情報の特別扱い
→ 要配慮個人情報は階層と直交する属性として、独自の規律を持ちます。
| 通常の個人情報 | 要配慮個人情報 |
|---|---|
| 取得時の本人同意は不要(目的の通知・公表で足りる) | 取得時の本人同意が原則必要 |
| オプトアウトによる第三者提供が可能(届出条件下) | オプトアウトによる第三者提供は不可 |
実務上の留意: 採用面接での病歴・宗教等の質問、健康診断結果の管理、犯罪歴のある従業員情報など、業務上扱いやすい情報の中に要配慮個人情報が含まれます。明示的な同意取得フローの整備が重要です。
④ 違反時の効果(統一視点)
→ 違反時の効果は「行政措置 → 刑事罰 → 民事責任」の3段構成で統一的に整理できます。
行政措置(個人情報保護委員会)
| 段階 | 内容 | 条文 |
|---|---|---|
| 指導・助言 | 違反のおそれがある場合の助言 | 第147条 |
| 報告徴収・立入検査 | 必要な事項の報告・検査 | 第146条 |
| 勧告 | 違反行為の中止・是正の勧告 | 第148条第1項 |
| 命令 | 勧告に従わない場合の措置命令 | 第148条第2項・第3項 |
刑事罰
| 違反行為 | 罰則 | 条文 |
|---|---|---|
| 個人情報データベース等不正提供罪 | 1年以下の懲役または50万円以下の罰金 | 第179条 |
| 命令違反 | 1年以下の懲役または100万円以下の罰金 | 第178条 |
| 法人両罰規定 | 法人に対し1億円以下の罰金 | 第184条 |
民事責任
漏えい等により本人に損害が生じた場合、不法行為(民法第709条)または安全配慮義務違反等を根拠とする損害賠償請求の対象となる場合があります。
⑤ 漏えい等発生時の手順(参考)
→ 本セクションは概念体系を超える運用情報として補助的に整理します。 実際の対処は具体的事案により判断が変わるため、個人情報保護委員会のガイドラインを参照してください。
根拠条文:第26条
漏えい等発生時の対処フロー
| 段階 | 内容 |
|---|---|
| 初動(発覚直後) | 漏えい範囲の特定・拡大防止・証拠保全 |
| 報告(速報) | 3〜5日以内に個人情報保護委員会へ速報(発覚時点で判明している事実) |
| 報告(確報) | 30日以内(不正目的の場合は60日以内)に確報 |
| 本人通知 | 漏えい対象者への通知(状況に応じて公表) |
| 再発防止 | 安全管理措置の見直し・従業者教育の強化 |
報告が必要な主なケース
- 要配慮個人情報が含まれる漏えい
- 財産的被害が生じるおそれがある漏えい
- 不正の目的で行われた漏えい
- 1,000件以上の個人データの漏えい
本人請求(開示等)への対処フロー
開示・訂正・利用停止等の請求を受けた場合は、保有個人データに該当することを確認した上で、原則として遅滞なく対応する必要があります。手数料を徴収できる場合がありますが、合理的な範囲に限られます。
⑥ 関連法令との横断整理
→ 個人情報保護法を中心とした関連法令を「特別法」「補完法」「責任根拠法」で整理します。
| 関連法令 | 関係性 | 主な接点 |
|---|---|---|
| マイナンバー法(425AC0000000027) | 特別法 | 個人番号(マイナンバー)は個人識別符号として個情法の規律 + マイナンバー法による特別の保護(利用範囲の限定・特定個人情報) |
| 不正アクセス禁止法(411AC0000000128) | 原因規制法 | 漏えいの原因となる不正アクセス行為を規制(漏えい防止と接続)→ 詳細は不正アクセス禁止法の適用範囲 |
| 刑法(140AC0000000045) | 原因規制法 | 個人情報を利用した詐欺・電磁的記録不正作出罪等 |
| 電子署名法(412AC0000000102) | 関連法 | 電子データの真正性 → 詳細は電子署名と電子契約 |
| 民法(129AC0000000089) | 責任根拠法 | 不法行為(第709条)による損害賠償請求の根拠 |
| 各分野法(医療法・金融商品取引法等) | 分野別特則 | 医療情報・金融情報等での特別な取扱い |
実務上の整理: 同一の事案に複数の法律が適用されることが多く、行政措置(個情委・各業所管庁)・刑事罰(警察)・民事責任(裁判所)が並行して問題となる場合があります。インシデント発生時はこれら全てを視野に対応してください。
このテーマで使う条文一覧
| 条文 | 法令 | 区分 | 内容 |
|---|---|---|---|
| 第2条 | 個人情報保護法 | 中核 | 個人情報・要配慮個人情報の定義 |
| 第16条 | 個人情報保護法 | 中核 | 個人情報取扱事業者・個人データ・保有個人データの定義 |
| 第17条 | 個人情報保護法 | 中核 | 利用目的の特定 |
| 第20条 | 個人情報保護法 | 中核 | 適正取得・要配慮個人情報の取得制限 |
| 第23条 | 個人情報保護法 | 中核 | 安全管理措置 |
| 第26条 | 個人情報保護法 | 中核 | 漏えい等の報告等 |
| 第27条 | 個人情報保護法 | 中核 | 第三者提供の制限 |
| 第33条 | 個人情報保護法 | 中核 | 開示請求 |
| 第18条 | 個人情報保護法 | 周辺 | 利用目的による制限 |
| 第19条 | 個人情報保護法 | 周辺 | 不適正利用の禁止 |
| 第21条 | 個人情報保護法 | 周辺 | 取得に際しての利用目的の通知等 |
| 第24条 | 個人情報保護法 | 周辺 | 従業者の監督 |
| 第25条 | 個人情報保護法 | 周辺 | 委託先の監督 |
| 第34条 | 個人情報保護法 | 周辺 | 訂正等請求 |
| 第35条 | 個人情報保護法 | 周辺 | 利用停止等請求 |
| 第148条 | 個人情報保護法 | 周辺 | 勧告及び命令 |
| 第178条 | 個人情報保護法 | 周辺 | 命令違反の罰則 |
| 第179条 | 個人情報保護法 | 周辺 | 個人情報データベース等不正提供罪 |
まとめ
- 個人情報保護法は 「個人情報 → 個人データ → 保有個人データ」の3階層 + 要配慮個人情報という特別属性 を統一視点として 概念体系 を構築しています
- 3階層は包含関係にあり、下位階層は上位階層の義務を累積的に負う構造です
- 第1層 個人情報:利用目的の特定・通知公表・適正取得が中心(第17条・第20条・第21条)
- 第2層 個人データ:安全管理措置・第三者提供制限・漏えい等報告が追加(第23条・第26条・第27条)
- 第3層 保有個人データ:開示等請求への対応が追加(第33条〜第35条)
- 要配慮個人情報は階層と直交する別軸属性で、取得時の本人同意が原則必要・オプトアウト不可
- 違反時の効果は 行政措置 → 刑事罰 → 民事責任 の3段構成で整理される
- マイナンバー法(特別法)・不正アクセス禁止法(原因規制法)・刑法(原因規制法)・民法(責任根拠法)等と概念体系として接続する
- 個別事案の判断は個人情報保護委員会のガイドライン・Q&A を参照、対応に迷う場合は専門家への相談を推奨します