個人情報保護法
APPI (Act on Protection of Personal Information)
日本における個人情報保護の最高法規。GDPRの施行を受けて2022年に大幅改正された
個人情報保護法(APPI)とは?
個人情報保護法(APPI)は、日本における個人情報の保護に関する最高法規です。 2005年に施行され、その後2022年に大幅改正されました。GDPRの世界的な影響を受け、日本のプライバシー保護もより厳格になりました。すべての日本企業および、日本のユーザーデータを扱う外国企業が対象になります。
ひとことで言うと: 日本版GDPR。個人情報は個人の権利として扱われるべきで、企業が勝手に集めたり使ったりできないという考え方。
ポイントまとめ:
- 何をするものか: 日本国内の個人情報処理に関するルールを定める法律
- なぜ必要か: デジタル化時代に個人の基本的人権としてのプライバシーを守るため
- 誰が対象か: 日本国内のすべての個人情報処理を行う企業(大企業も小企業も区別なし)
なぜ重要か
個人情報保護法は、20年近く「比較的緩い規制」として認識されていました。実際、GDPRが「違反時に売上高の4%の罰金」という厳しい罰則を定めた一方、従来の日本の個人情報保護法は罰金額が低く、実効性に疑問がありました。
しかし2022年の改正により、状況は一変しました。罰金額が大幅に引き上げられ、内部告発制度が導入され、プライバシーポリシーの説明義務がより厳格になりました。さらに、「個人関連情報」という新しい概念が追加され、個人を特定できない情報であっても、個人と紐付ける可能性があれば保護対象になります。
また、EUのGDPRとの国際的な整合性を高める動きもあり、今後は日本の規制がさらに国際水準に近づくことが予想されています。
適用範囲
個人情報保護法は、以下の条件に該当する組織に適用されます。
日本国内に拠点を持つすべての企業、個人事業主、団体です。従業員数による除外規定は2022年改正で廃止されたため、1人の個人事業主でも対象になります。
また、日本国外の企業でも、日本国内の個人情報を処理している場合は適用対象になります。例えば、シンガポール企業が日本のユーザーメール情報を取得して処理していれば、その企業も個人情報保護法に従う義務が生じます。
特に重要なのは、「個人関連情報」の概念です。個人を直接特定できない情報(例:ユーザーID、デバイスID)でも、他の情報と組み合わせることで個人特定が可能なら、保護対象に含まれます。
主な要件
2022年改正後の個人情報保護法の主要な要件は以下の通りです。
本人の同意が基本です。個人情報を取得・処理する前に、その人から明示的な同意を得る必要があります。ただし、GDPRと異なり、個別の同意ではなく「包括的な同意」が認められることもあります。
透明性と説明責任です。個人情報をどのように利用するか、ユーザーにわかりやすく説明する義務があります。プライバシーポリシーは、一般人が理解できる言葉で書く必要があります。
安全管理措置です。個人情報を不正アクセスから守るため、適切なセキュリティ対策(暗号化、アクセス制限など)を実施する義務があります。
データ保護の実施です。ユーザーが「自分の情報を削除してほしい」と請求した場合、企業は削除義務を負います。ただし、法的に保管する必要がある場合は例外になります。
個人情報保護方針の公開です。個人情報をどのように扱うかを、企業は外部に向けて公開する必要があります。
違反した場合
個人情報保護法に違反した場合の罰則は以下の通りです。
個人情報の不正な利用や漏洩が発覚した場合、刑事罰として懲役1年以下または罰金100万円以下に処せられる可能性があります(一部の重大案件は2年以下の懲役か200万円以下の罰金)。
また、個人情報保護委員会からの行政指導を受ける可能性があります。指導に従わない場合、さらに罰金が科される可能性があります。2022年改正では罰金額が大幅に引き上げられました。
さらに、企業の評判損失が極めて大きいです。個人情報流出のニュースが報道されると、顧客からの信頼が失われ、ビジネス機会を失うことになります。
関連用語
- データ最小化 — 個人情報保護法で推奨される基本原則
- 削除される権利 — 個人情報保護法でも保障される権利
- DPIA(個人情報影響評価) — 大規模な個人情報処理の際に必要な評価
- プライバシーポリシー — 個人情報保護法で公開が義務付けられている文書
- GDPR — EUの同等の規制で、国際的な基準として機能している
よくある質問
Q: 従業員が5人の小企業でも個人情報保護法を守る必要があるか?
A: はい。従業員数による除外規定は2022年改正で廃止されました。たとえ個人事業主であっても、顧客情報や従業員情報を処理していれば、個人情報保護法の対象になります。
Q: 個人情報保護法とGDPRはどう違うか?
A: 適用地域が異なります。個人情報保護法は日本国内、GDPRはEU域内です。また、個人情報保護法は「包括的な同意」が場合によって認められていますが、GDPRは常に「明示的な同意」が必須です。罰金額もGDPRの方が厳しいです。ただし、両法が適用される場合(日本企業がEUのユーザーデータを処理する場合)は、GDPRの方が厳しい要件に従う必要があります。
Q: メールマガジンのリスト購入は個人情報保護法に違反するか?
A: リストの取得方法によります。元のデータが本人の明示的な同意に基づいて集められたなら、その情報を受け取ることは可能です。しかし、本人が「他社への情報譲渡を拒否」していた場合、リスト購入による利用は違反になる可能性があります。最も安全なのは、リスト購入前に本人から改めて同意を取ることです。
