個人情報の保護に関する法律（こじんじょうほうのほごにかんするほうりつ、英語: Act on the Protection of Personal Information）は、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とした個人情報の取扱いに関連する日本の法律。略称は個人情報保護法。

この法律では個人情報の定義を「生存する個人に関する情報であって、この情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの」としている。2003年（平成15年）5月23日に成立、同年5月30日公布。一般企業に直接関わる罰則を含む第4章から第6章（現行　第7章)以外の規定は即日施行され、2005年（平成17年）4月1日に全面施行された。

個人情報保護法および同施行令によって、取扱件数に関係なく、個人情報を個人情報データベース等として所持し事業に用いている事業者は個人情報取扱事業者とされ、個人情報保護委員会による命令に違反したり、個人情報取扱事業者の役員や従業員が自己または第三者の不正な利益を図る目的で、業務上取り扱った個人情報データベースを提供したりした場合等は、事業者に対して刑事罰が科される。例外規定が存在し、(1)法令に基づく場合、(2)人の生命、身体または財産の保護に必要な場合、(3)公衆衛生・児童の健全育成に特に必要は場合、(4)国等に協力する場合には、本人の同意がなくとも、個人情報の第三者提供が可能と規定されている。

主務官庁は内閣府外局の個人情報保護委員会事務局だが、行政機関の保有する個人情報については総務省行政管理局調査法制課および統計局事業所情報管理課が担当。他の各省庁および独立行政法人国立印刷局官報部などと連携して執行にあたる。

概要

背景

個人情報保護法が制定された背景として以下の7つが挙げられる：

• 情報化社会の進展とプライバシー問題の認識
• 個人情報保護法制定の世界的潮流
• OECD 理事会のプライバシー保護勧告
• 地方公共団体の個人情報保護条例の増加
• EU一般データ保護規則（欧州連合指令）
• 電子商取引におけるプライバシー保護の要請
• 住民基本台帳法の改正による個人情報保護法制の要請

個人情報保護法とプライバシー

本法において、プライバシーという言葉は明示的には現れないものの、プライバシーの保護を重要な目的としている。

しかし、本法違反が「直ちに」（プライバシー侵害として）不法行為を構成するかについては、これを否定する峻別説が一般的である。

そのため、例えば形式的には本法に反する個人情報の目的外利用となる場合であっても、プライバシー侵害としての違法性が否定されることもある。

逆に、（他の情報との照合により個人を特定できる場合でない）携帯電話番号の公開について、プライバシー侵害として不法行為が認められることもある。

構成

• 第1章 総則（第1条 - 第3条）
• 第2章 国及び地方公共団体の責務等（第4条 - 第6条）
• 第3章 人情報の保護に関する施策等
  • 第1節 個人情報の保護に関する基本方針（第7条）
  • 第2節 国の施策（第8条 - 第11条）
  • 第3節 地方公共団体の施策（第12条 - 第14条）
  • 第4節 国及び地方公共団体の協力（第15条）
• 第4章 個人情報取扱事業者の義務等
  • 第1節 総則（第16条）
  • 第2節 個人情報取扱事業者及び個人関連情報取扱事業者の義務（第17条 - 第40条）
  • 第3節 仮名加工情報取扱事業者等の義務（第41条・第42条）
  • 第4節 匿名加工情報取扱事業者等の義務（第43条 - 第46条）
  • 第5節 民間団体による個人情報の保護の推進（第47条 - 第56条）
  • 第6節 雑則（第57条―第59条）
• 第5章 行政機関等の義務等
  • 第1節 総則（第60条）
  • 第2節 行政機関等における個人情報等の取扱い（第61条 - 第73条）
  • 第3節 個人情報ファイル（第74条・第75条）
  • 第4節 開示、訂正及び利用停止
    • 第1款 開示（第76条 - 第89条）
    • 第2款 訂正（第90条 - 第97条）
    • 第3款 利用停止（第98条 - 第103条）
    • 第4款 審査請求（第104条 - 第107条）
    • 第5款 条例との関係（第108条）
  • 第5節 行政機関等匿名加工情報の提供等（第109条 - 第123条）
  • 第6節 雑則（第124条 - 第129条）
• 第6章 個人情報保護委員会
  • 第1節 設置等（第130条 - 第145条）
  • 第2節 監督及び監視
    • 第1款 個人情報取扱事業者等の監督（第146条 - 第152条）
    • 第2款 認定個人情報保護団体の監督（第153条 - 第155条）
    • 第3款 行政機関等の監視（第156条 - 第160条）
  • 第3節 送達（第161条 - 第164条）
  • 第4節 雑則（第165条 - 第170条）
• 第7章 雑則（第171条 - 第175条）
• 第8章 罰則（第176条 - 第185条）
• 附則

見直し

個人情報保護法は、3年ごとに見直すことが、2015年に明文化されている。当初の根拠規定は次のようである。：

その後、2020年の改正の際に、根拠規定が次のものに変更された。なお個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律（平成27年法律第65号）　附則第12条第３項は、「この法律の施行後三年ごとに」が「この法律の施行後三年を目途として」に改正されている。

第一章　総則

基本理念

高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることにかんがみ、個人情報の適正な取扱いに関し、基本理念および政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにするとともに、個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする（第1条）。

個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきことに鑑み、その適正な取扱いが図られなければならない（第3条）。

• 「プライバシーの権利」については、本法では明文で規定していない。
• 本法は、個人情報をあまねく網羅して規制を掛けるという趣旨の法律ではない。

定義

個人情報

本法（第2条第1項）では、個人情報を次のとおりに定義している：

上記二号の「個人識別符号」は、第2条第2項で次のとおりに定義している：

個人に関する情報

上述した「個人に関する情報」の定義や具体例はこの法律には規定されていないが、個人情報保護委員会の『個人情報保護法ガイドライン（通則編）』には個人情報保護法における「個人に関する情報」を以下のように説明している。

金融庁の『金融分野における個人情報保護に関するガイドライン』p1にもほぼ同様の記述があるが、最後の暗号に関する記述はない。 金融庁のこのガイドラインでは、「個人に関する情報」と個人情報の関係を以下のように説明している：

死者の情報

本法では個人情報を「生存する個人に関する情報」と限定している（第2条1項）。したがって、死者に関する情報は個人情報に含まれない。ただし前述の『個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン』には、以下の注意が述べられている：

『[https://www.fsa.go.jp/common/law/kj-hogo/01.pdf 金融分野における個人情報保護に関するガイドライン』p1にも同一の記述がある。

外国人と法人

その他の用語の定義

個人情報データベース等

個人情報データベース等は、個人情報を含む、コンピュータ等で容易に検索できるデータベースや、目次や索引等によって体系的に整理された紙のデータベース等を指す（第2条2項）。コンピュータに入力して検索可能であるか、目次、索引などを有し検索が容易であることが要件であり、未整理の紙の情報等は該当しない。

個人データ

個人情報データベース等を構成する個人情報は個人データと呼ばれる（第16条3項）。

保有個人データ（第16条4項）

個人情報取扱事業者が、開示、内容の訂正、追加または削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データのことで、以下のもの以外。

• その存否が明らかになることにより公益その他の利益が害されるもの（施行令5条）
  1. 当該個人データの存否が明らかになることにより、本人または第三者の生命、身体または財産に危害が及ぶおそれがあるもの
  2. 当該個人データの存否が明らかになることにより、違法又は不当な行為を助長し、または誘発するおそれがあるもの
  3. 当該個人データの存否が明らかになることにより、国の安全が害されるおそれ、他国もしくは国際機関との信頼関係が損なわれるおそれまたは他国もしくは国際機関との交渉上不利益を被るおそれがあるもの
  4. 当該個人データの存否が明らかになることにより、犯罪の予防、鎮圧または捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの

本法は主に個人データの取扱いに関して個人情報取扱事業者に義務を課している。すなわち、個人情報データベース等に含まれる個人情報だけが、個人データとして法の直接の規制対象になる。個人情報データベース等を構成するすべての情報が個人データになるわけではない。

後述の規制対象となる個人情報取扱事業者が扱う個人情報データベース等に含まれない個人情報であって、店頭での呼出しアナウンスなどの音声、メモ書き、人の記憶などのものには、この法律の規制は及ばない。

第二章　国及び地方公共団体の責務等

国は、この法律の趣旨にのっとり、個人情報の適正な取扱いを確保するために必要な施策を総合的に策定し、及びこれを実施する責務を有する。地方公共団体は、この法律の趣旨にのっとり、その地方公共団体の区域の特性に応じて、個人情報の適正な取扱いを確保するために必要な施策を策定し、及びこれを実施する責務を有する（第4条、第5条）。

第三章　個人情報の保護に関する施策等

国及び地方公共団体の責務・施策

• 政府は、個人情報の保護に関する施策の総合的かつ一体的な推進を図るため、個人情報の保護に関する基本方針を定めなければならない。内閣総理大臣は、消費者委員会の意見を聴いて、基本方針の案を作成し、閣議決定を求めなければならない。閣議決定があったときは、遅滞なく、基本方針を公表しなければならない（第7条）。
• 国は、地方公共団体が策定し、又は実施する個人情報の保護に関する施策及び国民又は事業者等が個人情報の適正な取扱いの確保に関して行う活動を支援するため、情報の提供、事業者等が講ずべき措置の適切かつ有効な実施を図るための指針の策定その他の必要な措置を講ずるものとする（第8条）。地方公共団体は、その保有する個人情報の性質、当該個人情報を保有する目的等を勘案し、その保有する個人情報の適正な取扱いが確保されるよう必要な措置を講ずることに努めなければならない（第11条）。

個人情報取扱事業者の対象

個人情報等データベースを事業に用いる者であって、次の者を除く者を対象とする（第16条2項）。

• 国、地方公共団体、独立行政法人等および地方独立行政法人（第6章で別途規定）

したがって、事業者には営利法人だけでなく非営利法人、個人も事業の用に供している場合は、該当する。

第四章　個人情報取扱事業者の義務等

OECD8原則との関係

本法の条文とOECD8原則は以下のように対応している：

個人情報取扱事業者の主な義務

個人情報保護法第4章第2節に個人情報取扱事業者の義務が記されている。

個人情報について

• 利用目的の特定（第17条）
• 利用目的の制限（第18条）
• 適正な取得（第20条）
• 取得に際しての利用目的の通知（第21条）
• 苦情の処理（第40条）

個人データについては、データ内容の正確性の確保（第22条）、安全管理措置や従業者・委託先の監督（第24条・第25条）、第三者提供の制限（第27条）が定められている。

保有個人データについては、事項の公表等（第32条）、開示（33条）、訂正等（第34条）、利用停止等（第35条）が規定されている。

事項の公表、開示、訂正、利用停止の規定により、本人から求められた措置の全部又は一部について、その措置をとらない旨を通知する場合又はその措置と異なる措置をとる旨を通知する場合は、本人に対し、その理由を説明するよう努めなければならない（第36条）。

第三者提供の制限

個人情報取扱事業者は、以下の場合を除いては、あらかじめ本人の同意を得なければ、個人データを第三者に提供してはならない（第20条）。

1. 法令に基づく場合。（例：国勢調査などの統計調査等）
2. 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。（例：事故の際の安否情報など）
3. 公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。（例：児童虐待情報など）
4. 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要があって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。（例：犯罪捜査の協力など）

ただし、必ずしも本人の同意を得なくとも、以下の場合は第三者への提供ができるものと規定されている。

第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次の4点についてあらかじめ本人に通知し、又は本人が容易に知り得る状態に置いているときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる（第23条第2項）。

1. 第三者への提供を利用目的とすること
2. 第三者に提供される個人データの項目
3. 第三者への提供の手段又は方法
4. 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること

また、個人情報取扱事業者と実質的に同一とみなしうる事業者が共同で利用する場合、または共同利用もしくは業務委託として一定の要件を満たした場合は、第三者とみなされない規定がある。すなわち、これらの場合は、本人の同意を得る必要がない。

事項の公表等

個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知しなければならない（第37条2項）。この場合は、手数料を徴収できる（第38条）。

開示請求

個人情報取扱事業者は、本人から保有個人データの開示を求められたときは、以下のいずれかに該当する時を除いては、遅滞なく開示しなければならない。ただし、情報の存否を明らかにすることによって公益等が害される情報は除かれる（第19条）。この場合は、手数料を徴収することができる（第30条）。

1. 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
2. 当該個人情報保護取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
3. 他の法令に違反することとなる場合

医療機関等に訴訟外で、医療の診療録等を開示や、信用情報の個人情報開示請求する例が考えられる。

訂正請求

個人情報取扱事業者は、本人から、保有個人データの内容が事実でないという理由によって当該個人データの内容の訂正、追加又は削除を求められた場合は、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、保有個人データ等の訂正を行わなければならない（第34条）。

利用停止請求

個人情報取扱事業者は、本人から、個人情報の目的外の利用を行っていること、個人情報を不正に取得したことを理由として、保有個人情報データの利用停止または消去を求められた場合であって、その求めに理由があると認められるときは、違反を是正する限度で、利用停止等を行わなければならない。ただし、利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない（第35条1項）。

個人情報保護委員会による報告徴収等

個人情報保護委員会は、個人情報取扱事業者の義務の規定の施行に必要な限度において、個人情報取扱事業者に関し、個人情報の取扱いについて報告を求め（第146条）、助言することができる（第147条）。

個人情報保護委員会は、個人情報取扱事業者が本法の規定（ただし開示請求等は除く）に違反していて個人の権利利益を保護するために措置をとる必要があると認めるときは、勧告することができる（第148条）。

個人情報保護委員会は、個人情報取扱事業者が正当な理由なく勧告に従わないときにはその勧告に係る措置をとるべきことを命ずることができ（第148条2項）、それに従わないときは、当該違反行為の中止その他違反を是正するために必要な措置をとるべきことを命ずることができる（第148条3項）。

命令に違反すると1年以下の懲役または100万円以下の罰金に処せられることがある（178条）。

適用除外

個人情報取扱事業者が、マスコミ・著述業関係、大学等、宗教団体や政治団体であり、それぞれ、報道・著述、学術研究、宗教活動、政治活動の目的で個人情報を利用する場合は、個人情報取扱事業者の義務の適用を受けない（第57条1項）。これは、個人情報保護委員会の報告徴収等を通じて表現の自由等を制約するおそれがあるという強い反対論に基づいて設けられた規定である。これらの者については、個人情報保護のために必要な措置を自ら講じ、内容を公表する努力義務が課せられる（第57条3項）。

さらに個人情報保護委員会は、一般の個人情報取扱事業者がマスコミ・著述業関係、大学等、宗教団体や政治団体に対して、上述の目的に利用するために個人情報を提供する場合には、報告徴収や命令等の権限を行使しないものとしている（個人情報保護法そのものの適用除外を意味するものではない）。

なお、これらの職にある者が、正当な理由がない場合に、業務上の取扱いによって知り得た秘密を漏らしたときは、刑法134条2項の秘密漏示罪が成立することがある。個人情報取扱事業者の義務の除外と刑法上の責任の免除とは別である点に留意する必要がある。

認定個人情報保護団体

個人情報に関する苦情処理や事業者への情報提供等の業務を行おうとする法人（権利能力なき社団も含む）は、個人情報保護委員会の認定を受けて認定個人情報保護団体となることができる（第47条）。

認定個人情報保護団体でない者は、認定個人情報保護団体という名称又はこれに紛らわしい名称を用いてはならない（第56条）。違反した者は、10万円以下の過料に処せられる（第185条）。

認定個人情報保護団体は、その認定業務を廃止しようとするときは、あらかじめ、その旨を主務大臣に届け出なければならない（51条）。 届出をせず、又は虚偽の届出をした者は、10万円以下の過料に処せられる（第185条）。

個人情報保護委員会は、規定の施行に必要な限度において、認定個人情報保護団体に対し、認定業務に関し報告をさせることができる（第153条）。 報告をせず、又は虚偽の報告をした者は、50万円以下の罰金に処せられる（第182条）。

第五章　行政機関等の義務等

行政機関の保有する個人情報の保護に関する法律及び独立行政法人の保有する個人情報の保護に関する法律で規定していた事項を規定し、地方公共団体も対象としたもの。

第六章　個人情報保護委員会

個人情報保護委員会の設置、任務、権限を規定。

2015年改正

2015年（平成27年）の通常国会（第189回国会）において、同年9月3日に衆院本会議で「改正個人情報保護法」が与党や民主党などの賛成多数で可決、成立。蓄積された膨大な個人情報を「ビッグデータ」として企業が利用しやすくする一方、情報漏洩に対する罰則を新設した。

• 取り扱う個人情報の数が5000件以下の「小規模取扱事業者」も法律適用の対象となり、「件数要件」が撤廃となった 。
• 「利用目的の明示」、「第三者提供の際の本人同意」といった個人情報を活用するにあたっての義務が細かく定められた。
• 個人情報を復元できないよう「匿名加工情報」にするなど、一定の条件を満たすことで第三者に提供することも可能になるとされた。

2022年改正

• 行政機関の保有する個人情報の保護に関する法律及び独立行政法人の保有する個人情報の保護に関する法律で規定していた事項を個人情報保護法に統合。地方公共団体も対象とする。
• 主務大臣の権限を、個人情報保護委員会に移管。

法律への誤解・拡大解釈

この法律については、誤解や過剰反応に基づいた問題が発生している。「個人の権益を守りながらも、必要に応じて個人情報を有効活用する」という法律の基本理念を逸脱した拡大解釈が見られる。例として、回答拒否者には罰則規定もある国勢調査のような基幹統計調査の拒否の理由にも使えると誤解した人々が増加して回答率が下がる、学校の緊急連絡網が作れない、災害時要援護者リストの作成遅延などがある。

実際には、法律上、主務官庁の、個人情報取扱事業者に対する監督がなされるだけで、一般国民に対する直接の規制はない。事業者による個人情報漏洩それ自体に対する直接の罰則はない。個人情報取扱事業者の主務官庁による中止・是正措置の勧告がなされ、従わない場合または要求された報告をしない場合には罰則が課される。個人情報漏洩を原因とした損害が発生した場合は、民事上の責任を問われる。

災害や大規模な事故などが発生した際の安否情報も、第23条第1項第2号の「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」に該当するので、この法律の規制は及ばないと解釈される。しかし、次のようなことがあった。

• JR宝塚線（福知山線）の脱線事故では、家族からの安否確認に回答するかどうかで医療現場で混乱が生じ話題となった。
• 新潟県中越沖地震では、同県柏崎市が個人情報保護法の施行を理由に、「要援護者」の名簿を地元自治会や消防にあらかじめ提供していなかったことが分かった。4人の死亡者が名簿に掲載されており、「あらかじめ知らされていれば対応ができたのでは」との疑問の声が出た。自治体が保有する要援護者名簿が町内会に共有されていれば、地震の死者を減らせた可能性がある。
• 「学級連絡網・卒業アルバムが作れない」、「医療機関への個人情報の提供を拒む」、「企業の社員住所録が作成されなくなる」などの事態も起きている。

内閣府ではこういった過剰反応や誤解に対し、個人情報保護法に抵触しない例を出すこととなった。

「オプトアウト」を定める第23条2項の趣旨は「利用停止を求めれば、第三者提供は停止される」というものであり、「本人に通知する」ことの代替として「本人が容易に知り得る状態に置く」ことを容認している。

成立の経緯

汎用コンピュータの処理能力が向上したことにより、行政・民間が保有する膨大な個人情報を容易に処理することが可能となった結果、そういった個人情報データベース等からの個人情報漏洩によるプライバシー侵害への危険性、不安が増大していった。また、行政部外者による、行政機関に所属する公務員の個人情報取得およびその不適切な使用によって政策決定等への障碍可能性が公平性の観点から危惧されるようになった。1980年（昭和55年）にはOECD理事会で「プライバシー保護と個人データの国際流通についてのガイドラインに関する勧告」が採択されるなど、国際的にも個人情報の取扱いや積極的プライバシー権の保護が次第に重要視されるようになった。

日本では、 1988年（昭和63年）に、公的機関を対象とした「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」が公布された。 1989年（平成元年）には、民間部門に対して通商産業省（現:経済産業省）が「民間部門における電子計算機処理に係る個人情報の保護に関するガイドライン」を策定した。

しかし「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」には罰則規定がなく、また民間部門を対象としたガイドラインには法的拘束力がないなど、個人情報の保護という観点から十分に機能しているとは言いがたい状況であった。

さらに住民基本台帳ネットワークの稼動（2002年（平成14年））、中川秀直愛人スキャンダル事件（2000年（平成12年））、Yahoo! BB顧客情報漏洩事件（2004年（平成16年））、TBC個人情報漏洩事件（2002年（平成14年））など多発する個人情報漏洩事件を受けて、2002年（平成14年）に個人情報保護法関連五法が国会に提出された。個人情報保護法は、個人情報を取得する際には個人情報の利用方法を本人に明確に伝えなければならないと定めているために、報道の自由を侵害するなどの理由から反対運動が展開され、一度廃案となったが、再度審議され2003年（平成15年）5月に成立した。

企業への準備期間として、法律成立から施行までに2年間の準備期間が設けられた。個人情報保護法が施行される直前の2005年（平成17年）3月には、これまで起きていながら隠蔽していた個人情報漏洩事件を公表する企業が多くあった。探偵を安易に多用し、採用時以外においても、必要以上の個人情報を積極的に取得する等、個人情報保護に関する感覚が希薄だった、従来の日本の企業習慣に対する法規制となった。

関連する国際標準

1980年（昭和55年）にOECD理事会で採択された「プライバシー保護と個人データの国際流通についてのガイドラインに関する勧告」には収集制限の原則、利用制限の原則などの「OECD8原則」が含まれる。

1995年（平成7年）、EUが「個人データ処理に係る個人情報保護及び当該データの自由な移動に関する欧州議会及び理事会の指令」（通称：EU指令）を採択し、EU加盟国以外への個人情報の移転は、当該国が十分なレベルの保護措置を講じている場合に限られるとした。EU指令によって顧客データの授受をはじめとする様々な経済活動に影響が出ることが懸念されたので、1998年（平成10年）に「プライバシーマーク制度」が設立された。2019年1月23日に、日本について、個人情報保護法の対象範囲内に限り、個人データについて十分な保護水準を満たしていることを認める十分性認定を欧州委員会が行った

他に国際標準としては、個人情報を取り扱う主体を分類し、その間の関係性を整理するとともに、それぞれがどのようにして個人情報を取り扱うべきであるかという11のプライバシー原則を示したISO/IEC 29100 Privacy Framework および、実装時のアーキテクチャの枠組みを示した ISO/IEC 29101 Privacy Architecture Framework が存在する。さらに、プライバシー影響評価(PIA)の方法論をまとめた ISO/IEC 29134 Privacy Impact Assessment Methodology も現在作成中である。

また、個人情報の安全管理処置としては、情報セキュリティマネジメントシステム（ISMS）が満たすべき要件を定めた国際規格ISO/IEC 27001もある。この国際規格の認証は、「個人情報漏洩に対する企業の対策」や「個人情報漏洩後の企業の対策」の資料や手順書を企業が作成および周知し、社員が認識し実行しているかどうかを調べて認定される。取得にはおよそ1年以上の時間を要する。

また、EUでは2012年（平成24年）に新たな概念である「忘れられる権利」がEUデータ保護規則（GDPR）案に導入されたが、これは2013年に、欧州議会の審議において「消去権」に変更され、2016年4月27日に最終的に採択された。この規則は2018年5月25日に施行された。

法律に関わる事務

法律に関わる事務全般は、個人情報保護委員会によって行われている。これは、平成28年1月1日に効力を発した「個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律」（平成27年法律第65号）の一部施行によるものである。

2000個問題

2022年改正までは、個人情報保護法には個人情報保護の基本理念、国及び地方公共団体の責務等が規定されているものの、具体的な義務が書かれているのは事業者のみで、国の行政機関、独立行政法人、地方公共団体等の義務については記載がなく、それぞれ「行政機関個人情報保護法」、「独立行政法人個人情報保護法」、「個人情報保護条例」が規律している。また事業者に対しても義務を守るための指針は個人情報保護法には規定されておらず、「個人情報委員会ガイドライン」、「事業分野ガイドライン」、「個人情報保護指針」で規定している。

こうした事情から

「民間事業者」＋「国の行政機関」＋「独法」＋「自治体（都道府県47、市区町村1750、広域連合等115）」

で日本国内におよそ2000個の条例等があるかなり煩雑な状態になっており、これを2000個問題という。2000個問題により、下記のような弊害が生じていた：

• そもそも条例未制定の地方公共団体の存在
• 個人情報の利活用の格差や自治体ごとの個人情報に対する知識の格差
• 条例ごとの解釈や手続の差異による自治体間連携の妨げ
• 官民で異なる規律なので監督官庁がはっきりしないものが存在

医療情報のような機微な情報でもこのような弊害が指摘されており、実際東日本大震災の際、「民間支援団体に提供して支援や安否確認を実施した自治体は、2自治体しかない」といった弊害が起こった。その後災害対策基本法の改正により「「避難行動要支援者名簿」の作成義務と、自治体と支援団体間での事前情報共有を促す条項が設けられた」ものの、平常時から個人情報を官民で共有するにはハードルが高いという現状が2022年まではあった。

2022年改正で、個人情報保護法に、国、独立行政法人、地方公共団体についても一元的に規定したため、この問題はおおむね解消された。

脚注

注釈

出典

参考文献

• 石井夏生利; 曽我部真裕; 森亮二『個人情報保護法コンメンタール』勁草書房、2021年3月。 
• 松尾　剛行『最新判例にみるインターネット上のプライバシー・個人情報保護の理論と実務』勁草書房、2017年7月。 
• 『個人情報保護法の知識』日経文庫、2010年。ISBN 4532112095。 

個人情報保護法の「いわゆる３年毎の見直し」関連の資料

• 2020年度
  • “個人情報保護法いわゆる３年ごと見直しに係る検討の中間整理” (pdf). 個人情報保護委員会 (平成31年４月25日). 2019年9月6日閲覧。
  • “「個人情報の保護に関する法律等の一部を改正する法律案」の閣議決定について”. 個人情報保護委員会 (2020年3月20日). 2020年6月24日閲覧。

関連項目

• 個人情報保護法関連五法
  • 個人情報の保護に関する法律 - 基本法則と個人情報保護を一元的に規定
  • 行政機関の保有する個人情報の保護に関する法律-廃止
  • 独立行政法人の保有する個人情報の保護に関する法律-廃止
  • 情報公開・個人情報保護審査会設置法
  • 行政機関の保有する個人情報保護法等の施行に伴う関係法律の整備等に関する法律
• 特定個人情報保護評価
• 安倍内閣メールマガジン#目的外使用問題
• 企業コンプライアンス
• 住民基本台帳ネットワーク
• 表現の自由 - 報道の自由 - 言論の自由
• プライバシー - プライバシーポリシー - プライバシーマーク（JIS Q 15001）
• 名簿業者
• メディア規制三法

外部リンク

• 個人情報の保護に関する法律（平成十五年法律第五十七号）.e-Gov法令検索. 総務省行政管理局
• 個人情報の保護に関する法律施行令（平成十五年政令第五百七号）.e-Gov法令検索. 総務省行政管理局
• 個人情報の保護に関する法律 - ウェイバックマシン（2002年6月13日アーカイブ分） - 首相官邸
• 個人情報保護法について（個人情報保護委員会）
• 個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン（経済産業省）
• 個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン等に関するＱ＆Ａ（経済産業省）
• プライバシーマーク制度（一般財団法人日本情報経済社会推進協会）