個人情報保護とデータ管理 / Data Protection & Privacy
個人情報保護法 (APPI) を中心とした日本のデータ保護法制の包括ガイド。
越境移転規制、漏えい報告義務、マイナンバー法、製造業固有のデータ管理課題を解説。
M&A によるグループ構築と IPO を目指す中小製造業を前提とする。
→ 知識ベース: knowledge/17-legal-ip/compliance-systems.md (コンプライアンス・法務システム)
→ 知識ベース: knowledge/17-legal-ip/corporate-law.md (会社法・契約管理)
1. 個人情報保護法の全体像 (APPI Overview)
基本情報
| 項目 | 内容 |
|---|
| 法令名 | 個人情報の保護に関する法律 (Personal Information Protection Act, 法律57号, 2003年) |
| 制定 | 2003年。その後数次の改正を経て強化 |
| 最新大改正 | 2022年4月施行 (義務大幅強化、罰則引上げ、越境移転規制強化) |
| 監督機関 | 個人情報保護委員会 (PPC: Personal Information Protection Commission) |
| 適用対象 | 個人情報データベース等を事業に利用する全事業者 (規模要件撤廃済み) |
法改正の主な経緯
APPI の主要改正:
├── 2003年 制定 (法律57号)
├── 2015年改正 → 2017年施行
│ ├── 個人情報保護委員会の設立 (監督権限の一元化)
│ ├── 匿名加工情報制度の新設
│ └── 取扱事業者の規模要件撤廃 (5,000件以下の事業者も対象に)
├── 2020年改正 → 2022年4月施行
│ ├── 仮名加工情報制度の新設
│ ├── 漏えい報告の義務化 (努力義務→法的義務)
│ ├── 越境移転規制の強化
│ ├── 罰則の大幅引上げ (法人: 5,000万円→1億円)
│ └── 本人の権利の拡充 (利用停止・消去請求権の要件緩和)
└── 3年ごと見直し条項に基づき、継続的に改正
2. 主要定義 (Key Definitions)
| 用語 | 定義 | 具体例 |
|---|
| 個人情報 (Art. 2(1)) | 生存する特定個人を識別できる情報 (容易照合による識別を含む) | 氏名、生年月日、住所、顔写真、メールアドレス (氏名含む場合) |
| 個人識別符号 (Art. 2(2)) | 身体的特徴をデジタル化した符号、または公的番号 | DNA、顔認証データ、指紋、虹彩、パスポート番号、基礎年金番号、運転免許証番号、マイナンバー |
| 要配慮個人情報 (Art. 2(3)) | 不当な差別・偏見を生じうるセンシティブ情報 | 人種、信条、社会的身分、病歴、犯罪歴、障害、犯罪被害 |
要配慮個人情報の特別規制
- 取得には明示的な本人同意が必要 (Art. 20(2))
- オプトアウトによる第三者提供は不可
3. 個人情報取扱事業者の義務 (Obligations)
7つの基本義務
| # | 義務 | 条文 | 内容 |
|---|
| 1 | 利用目的の特定 | Art. 17 | 利用目的をできる限り特定し、通知または公表 (Art. 21) |
| 2 | 利用目的による制限 | Art. 18 | 同意なく特定目的を超えた利用禁止 |
| 3 | 適正な取得 | Art. 20 | 偽りその他不正の手段による取得の禁止 |
| 4 | 安全管理措置 | Art. 23 | 必要かつ適切な安全管理措置を講じる |
| 5 | 従業者の監督 | Art. 24 | 安全管理措置の遵守を従業者に監督 |
| 6 | 委託先の監督 | Art. 25 | データ取扱いを外部委託する場合の適切な監督 |
| 7 | 第三者提供の制限 | Art. 27 | 本人の事前同意が原則。例外: 法令義務、生命保護、公衆衛生、行政協力 |
安全管理措置の4分類 (PPC ガイドライン)
安全管理措置
├── 組織的安全管理措置
│ ├── 個人データ取扱いの責任者・担当者の明確化
│ ├── 取扱規程の整備
│ └── 取扱状況の定期的な監査
├── 人的安全管理措置
│ ├── 従業者への教育・研修
│ └── 秘密保持義務の明確化
├── 物理的安全管理措置
│ ├── 入退室管理
│ ├── 機器・電子媒体の盗難防止
│ └── 電子媒体の持出し時の漏えい防止
└── 技術的安全管理措置
├── アクセス制御
├── アクセス者の識別と認証
├── 外部からの不正アクセス防止
└── 情報システムの使用に伴う漏えい防止
4. 越境移転規制 (Cross-Border Transfer — Art. 28)
2022年改正で大幅に強化。外国にある第三者への個人データ提供には以下のいずれかが必要。
提供の適法根拠
| 根拠 | 内容 | 実務上の対応 |
|---|
| 本人同意 | 外国のデータ保護制度と移転先の安全管理措置の情報を提供した上で同意取得 | プライバシーポリシーでの詳細情報提供 + 明示的同意 |
| PPC 認定国 | PPCが日本と同等の保護水準と認定した国の第三者 | 現在: EU/EEA、UK のみ |
| APPI 準拠体制 | 移転先がAPPI基準に適合する体制を構築 | BCR (Binding Corporate Rules)、契約上のコミットメント |
製造業での具体的トリガー
| 場面 | 越境移転に該当する例 |
|---|
| 外国親会社への人事データ共有 | 従業員の氏名・所属・評価情報をグループ本社に送信 |
| 海外クラウドサービスの利用 | 海外サーバーに個人データを含むデータを保存 |
| 海外営業拠点への顧客データ送信 | 顧客名・連絡先を海外事業所に共有 |
5. 漏えい報告義務 (Data Breach Notification — Art. 26)
2022年4月〜義務化
漏えい等発生
│
├── 報告対象か判定
│ ├── 要配慮個人情報の漏えい
│ ├── 財産的被害のおそれがある漏えい
│ ├── 1,000件超の個人データの漏えい
│ └── 不正の目的による漏えい
│
├── YES → PPC への報告義務
│ ├── 速報: 概ね 3-5日以内
│ └── 確報: 30日以内 (不正利用の場合は60日以内)
│
└── 本人への通知義務
└── 速やかに通知
違反時の制裁
| 対象 | 制裁 |
|---|
| PPC 勧告 (Art. 148) | 改善措置の勧告 (公表される場合あり) |
| PPC 命令 (Art. 149) | 法的強制力のある命令 |
| 命令違反 — 個人 | 1年以下の懲役 または 100万円以下の罰金 |
| 命令違反 — 法人 | 1億円以下の罰金 (2022年改正で5,000万円から引上げ) |
6. マイナンバー法 (My Number Act — 法律27号, 2013年)
制度概要
| 項目 | 内容 |
|---|
| 個人番号 | 全住民に付与される12桁の番号 |
| 法定利用目的 | 税務、社会保険、災害対策 のみ |
| 利用制限 | 顧客管理・マーケティング等の法定外目的での収集・利用・保管は 禁止 |
事業者の義務 (製造業雇用主として)
| 義務 | 内容 |
|---|
| 収集目的 | 源泉徴収票作成、社会保険手続 |
| 安全管理措置 | 通常の個人情報より厳格 — 専用アクセス制御、暗号化、物理的分離、組織的分離 |
| 保管・廃棄 | 法定保存期間終了後、合理的期間内に廃棄 |
| 取扱区域の分離 | マイナンバー取扱区域を物理的に区分 or 間仕切り設置 |
| 委託先管理 | マイナンバーの取扱いを委託する場合、委託先の安全管理措置を監督 |
マイナンバーの安全管理措置の具体的要件
マイナンバーの安全管理措置 (通常の個人情報よりも厳格):
├── 組織的安全管理措置
│ ├── 事務取扱担当者の明確化
│ ├── 事務取扱担当者の役割・責任の明確化
│ └── 取扱状況を確認する手段の整備 (ログ管理等)
├── 人的安全管理措置
│ ├── 事務取扱担当者への教育・監督
│ └── 秘密保持に関する誓約書の取得
├── 物理的安全管理措置
│ ├── 取扱区域の管理 (入退室管理)
│ ├── 機器・電子媒体等の盗難防止
│ └── 電子媒体等を持出す場合のデータ暗号化
└── 技術的安全管理措置
├── アクセス制御 (担当者以外のアクセス防止)
├── アクセス者の識別と認証
└── 外部からの不正アクセス等の防止
刑事罰
| 違反行為 | 罰則 |
|---|
| 正当な理由なく第三者に提供 | 4年以下の懲役 または 200万円以下の罰金 (マイナンバー法67条) |
| 不正な利益を図る目的で提供 | 4年以下の懲役 または 200万円以下の罰金 |
| 収集・保管 (正当理由なし) | 6ヶ月以下の懲役 または 50万円以下の罰金 |
7. 製造業固有のデータ管理 (Manufacturing-Specific Data Considerations)
7.1 健康診断データ (健康診断データ)
| 項目 | 内容 |
|---|
| 法的位置づけ | 要配慮個人情報 (取得に明示的同意が必要) |
| 法的根拠 | 事業者は年次健康診断を実施する義務 (労働安全衛生法66条) |
| 保存期間 | 5年間 保存義務 |
| アクセス制限 | 産業医および指定担当者に厳格に限定 |
7.2 カメラ・監視映像 (Camera/Surveillance Data)
カメラ映像の取扱い:
├── 個人を識別できる映像 → 個人情報に該当
├── 対応策:
│ ├── カメラ設置の掲示 (利用目的の通知)
│ ├── 保存期間の定義
│ ├── アクセス権限の制限
│ └── 不要データの定期的削除
└── 製造現場では品質管理・安全管理目的が多い
→ 利用目的を明確に特定・通知
7.3 IoT・機械データ
| データ種別 | 個人情報該当性 | 対応策 |
|---|
| 機械稼働データのみ | 非該当 | 特別な措置不要 |
| 操作者IDと紐付いたデータ | 該当の可能性あり | APPI の安全管理措置を適用 |
| 匿名加工情報 (Art. 2(6)) | 復元不能に加工 → APPI の同意不要で利活用可能 | 加工方法の公表、第三者提供時の明示 |
| 仮名加工情報 (Art. 2(5)) | 他の情報と照合しない限り個人識別不能 | 内部分析に限定、第三者提供は原則禁止 |
8. データ管理体制の構築 (Data Governance Framework)
IPO 準備企業に求められる体制
データ管理体制:
├── 個人情報保護方針 (プライバシーポリシー) の策定・公表
├── 個人データの取扱いに関する規程の整備
├── 個人情報保護管理者 (CPO) の設置
├── 処理活動の記録 (Record of Processing Activities)
│ ├── 個人データの種類
│ ├── 利用目的
│ ├── 取扱部門
│ ├── 第三者提供の有無
│ └── 安全管理措置の内容
├── 従業員教育プログラム (年次研修)
├── インシデント対応手順書
│ ├── 発見→初動→調査→報告→通知→再発防止
│ └── PPC報告テンプレート
└── 定期的な監査 (内部監査 + 外部監査)
グループ企業間のデータ共有ルール
| 場面 | 法的要件 | 実務対応 |
|---|
| グループ内人事データ共有 | 第三者提供に該当 (グループ内でも別法人) | 本人同意取得 or 共同利用 (Art. 27(5)(iii)) の枠組み構築 |
| 共同利用の要件 | 共同利用者の範囲、利用目的、管理責任者を事前に通知 | プライバシーポリシーでの明示 |
| 委託による提供 | 委託先への提供は第三者提供に非該当 | 委託契約に安全管理措置条項を含める |
共同利用 (Art. 27(5)(iii)) の詳細
グループ企業間でのデータ共有に最も実務的な枠組み。
共同利用の要件:
├── 事前に本人に通知すべき事項:
│ ├── 1. 共同利用する旨
│ ├── 2. 共同利用される個人データの項目
│ ├── 3. 共同利用者の範囲
│ ├── 4. 利用目的
│ └── 5. 管理責任者の氏名・名称
└── 変更時:
├── 共同利用者の範囲、利用目的の変更は
│ 事前に本人に通知 or 容易に知りうる状態に置く
└── 管理責任者の変更は遅滞なく通知等
9. 個人データの本人請求権 (Data Subject Rights)
2022年改正で大幅に拡充された本人の権利。
| 権利 | 条文 | 内容 |
|---|
| 利用目的の通知請求 | Art. 32(2) | 本人が利用目的の通知を請求できる |
| 開示請求 | Art. 33 | 本人が保有個人データの開示を請求可能。電磁的記録での提供も選択可 (2022年改正) |
| 訂正等請求 | Art. 34 | 内容が事実でない場合、訂正・追加・削除を請求 |
| 利用停止・消去請求 | Art. 35 | 目的外利用、不正取得の場合に加え、本人の権利利益が害されるおそれがある場合にも請求可 (2022年改正で拡充) |
| 第三者提供停止請求 | Art. 35(3) | 不適法な第三者提供がある場合、停止を請求 |
| 第三者提供記録の開示 | Art. 33(5) | 第三者提供・受領の記録について開示請求が可能 (2022年改正で新設) |
10. 主要法令リファレンス (このファイルで参照した条文)
| 法令 | 主要条文 |
|---|
| 個人情報保護法 | 2条 (定義), 17-18条 (利用目的), 20条 (取得), 23-25条 (安全管理), 26条 (漏えい報告), 27条 (第三者提供), 28条 (越境移転), 148-149条 (勧告・命令) |
| マイナンバー法 | 67条 (刑事罰) |
| 労働安全衛生法 | 66条 (健康診断の実施義務) |