- 目的(法1条)
個人情報保護法は、個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しながら、個人の権利利益を保護することを目的としています。
- 個人情報・個人データ・保有個人データ(法2条1・4・5項)
「個人情報」とは、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別できるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)」をいいます。
また、個人情報をデータベース化した場合、そのデータベースを構成する個人情報を、特に「個人データ」といい、そのうち、事業者が開示等の権限を有し6か月以上にわたって保有する個人情報を、特に「保有個人データ」といいます。
- 個人情報取扱事業者(法2条3項)
「個人情報取扱事業者」とは、個人情報データベース等(紙媒体、電子媒体を問わず、特定の個人情報を検索できるように体系的に構成したもの)を事業活動に利用している者のことをいい、個人情報保護法に定める各種義務が課されています。
(※)改正前の個人情報保護法では、事業活動に利用している個人情報が5,000人分以下の事業者は、個人情報取扱事業者に該当せず、義務の対象から除外されています。しかし、インターネットの急速な普及等により、取り扱う個人情報に係る個人の数が少なくても個人の権利利益を侵害するリスクが高まっていることから、改正後は、5,000人分以下の個人情報を取り扱う事業者についても個人情報保護法の義務の対象となるため、注意が必要です。
- 利用目的の特定(法15条)・目的外利用の禁止(法16条)
個人情報を取り扱うに当たっては、利用目的をできるだけ特定しなければなりません。また、原則として、あらかじめ本人の同意を得ずに、その利用目的の達成に必要な範囲を超えて個人情報を取り扱うことは禁止されています。
- 適正な取得(法17条)・取得時の利用目的の通知等(法18条)
偽りその他不正な手段によって個人情報を取得することは禁止されています。また、個人情報の取得に当たっては、取得前にあらかじめ利用目的を公表し、又は取得後に速やかに本人に利用目的を通知又は公表しなければなりません。
- 安全管理措置(法20条)・従業者や委託先の監督(法21・22条)
個人データの漏えいや滅失を防ぐため、必要かつ適切な保護措置を講じなければなりません。また安全にデータを管理するため、従業者や委託先に対し必要かつ適切な監督を行わなければなりません。
- 第三者提供の制限(法23条)
原則として、あらかじめ本人の同意を得ずに本人以外の者に個人データを提供することは禁止されています。ただし、委託、事業承継及び共同利用に該当する場合は、第三者提供に該当しないこととされています。
- 開示、訂正、利用停止等の求め(法25~30条)
本人からの求めに応じて、保有個人データを開示し、内容に誤りのあるときは訂正等を行い、法律上の義務に違反する取扱い(目的外利用(法16条)、不適正な取得(法17条)、本人同意のない第三者提供(法23条1項))については利用停止等を行わなければなりません。