【I&S インサイト】【連載】法務担当者として今こそ押さえたい個人情報保護法 第2回「個人情報保護法の全体像」

DATE 2026.02.27

執筆者:今村  敏
大畑 拓也

 

【連載】
法務担当者として今こそ押さえたい個人情報保護法
  第2回「個人情報保護法の全体像」

 

 第1回では、いわゆる「3年ごと見直し」の制度改正方針を手掛かりに、課徴金制度や同意規律の見直しといった、いま議論が動いている論点を概観しました。もっとも、これらの論点は「個人情報保護法のどこが変わるのか」という改正点の列挙として読むだけでは、実務に落とし込むことが難しい場面が少なくありません。実務では、同意が必要か、安全管理措置として何を整えるべきか、外部連携は第三者提供に当たるのかといった判断が、個別論点としてではなく、法の全体構造の中で連鎖的に現れるからです。

 そこで第回では、以降の連載の土台として、個人情報保護法が「取得」「利用・管理」「提供」というデータのライフサイクルに沿って規律を設計していること、そして「個人情報」「個人データ」「保有個人データ」という概念のグラデーションに応じて義務の重さが変わることを、全体像として俯瞰します。第1回で触れた課徴金や同意の議論も、この地図の上に置き直すことで、どこにリスクが生じ、どこを押さえれば実務が前に進むのかが見えやすくなるはずです。

 

はじめに ― 個人情報保護法は何を守ろうとしてきたのか

 

 日本の個人情報保護法(正式名称「個人情報の保護に関する法律」)は、2003年(平成15年)に成立し、2005年(平成17年)に全面施行されました。成立当時の社会状況を振り返ると、インターネットの急速な普及、企業による顧客データの大量管理、住基ネットをめぐる議論など、「情報化社会」の進展に対する不安が社会的に顕在化していた時期でした。

 立法時の国会審議においては、「個人情報の有用性に配慮しつつ、個人の権利利益を保護すること」が法の目的であると明確に説明されており、法律上もその旨が明記されています(法第1条)。すなわち、本法は個人情報の流通それ自体を否定するものではなく、情報の適正な取扱いを通じて社会的信頼を確保することにより、情報の利活用と個人の権利利益保護を両立させることを志向しています。

 当初の法律は、5,000件超の個人情報を保有する事業者のみを対象とする「大規模事業者規制」でした。しかし、2015年(平成27年)改正によりこの要件は撤廃され、原則としてすべての個人情報取扱事業者が規律対象となりました。背景には、ビッグデータ時代の到来と、情報の流通経路の複雑化があります。

 同改正では、匿名加工情報制度の創設、越境移転規制の明確化、個人情報保護委員会(PPC)の設置などが行われ、分野別法制を横断する一元的監督体制が構築されました。さらに2020年(令和2年)改正では、いわゆる「リクナビ事案」等の社会的不安を背景に、不適正利用の禁止(第19条)が新設されるとともに、漏えい等発生時の報告・本人通知、本人の権利(開示等)の実効性強化、個人関連情報や仮名加工情報といった新たな情報類型の整備など、実務運用に直結する見直しが広く行われました。

 このように、個人情報保護法の立法趣旨は一貫して「情報の利活用と個人の権利利益保護の両立」にありますが、そのバランスポイントは、技術と社会の要請に応じて常に移動し続けていると言えるでしょう。

 

個人情報保護法の規制の全体像 ― 構造的理解と実務のツボ

1 三つの局面 ― 取得・利用管理・提供

 個人情報保護法の規律は、膨大な条文の羅列に見えますが、データライフサイクルに沿って大きく三つの局面に整理することで、ビジネスフローへの落とし込みが可能になります。

  • 取得段階:入口の規制
    • 利用目的の特定・通知・公表(第17条・第21条)
    • 適正な手段による取得(第20条)
    • 要配慮個人情報(病歴・信条等)取得時の原則同意(第20条第2項)
  • 利用・管理段階:中での規制
    • 目的外利用の禁止(第18条)
    • データ内容の正確性の確保(第22条)
    • 安全管理措置義務(第23条)
    • 従業者・委託先の監督義務(第24条・第25条)
  • 提供段階:出口の規制
    • 第三者提供の原則同意(第27条)
    • 例外スキーム(オプトアウト、委託、共同利用、事業承継等)の整理
    • 越境移転規制(第28条)

 新規ビジネスや施策を検討する際は、「いつ、何のために取得するのか」「取得した範囲内で利用しているか」「本来の目的を超えて誰かに渡していないか」という三段階でチェックすることで、法的論点の漏れを防ぐことができます。

 

2 概念のグラデーション ― 個人情報・個人データ・保有個人データ

 法は、「守るべき情報」の性質に応じて規制の強度を段階的に変えています。この違いを理解しないと、過剰な対応で現場を疲弊させるか、逆に法的な抜け穴を作ることになります。

  • 個人情報:

 生存する個人に関する情報であって、特定の個人を識別できるもの全般を指します。散逸した名刺や、手書きのメモであっても該当し得ます。ここでは主に「取得」に関する規律が適用されます。

  • 個人データ:

 「個人情報」のうち、検索できるように体系的に構成されたもの(個人情報データベース等を構成するもの)を指します。Excelで管理された顧客リストなどが典型的です。散在する情報よりも権利侵害のリスクが高まるため、ここから「第三者提供の制限」や「安全管理措置」といった重い義務が課されます。

  • 保有個人データ:

 「個人データ」のうち、事業者が自ら開示・訂正・削除等を行う権限を持っているものを指します。これは、消費者(本人)からの開示請求等の対象となるデータです。

 

 法律の文言としては、単なる「個人情報」であれば第三者に渡しても直ちに第27条(第三者提供制限)違反にはならない一方で、ひとたびリスト化して「個人データ」となれば厳格な提供制限がかかるという違いがあります。

 当該法律の規定を逆手に、事業部は「『個人データ』に該当しなければ(単なる『個人情報』であれば)規制が軽くなるのではないか」と発想することがありますが、それは実務対応としては誤りであると考えます。現在の電子データが主流の世の中においては、大多数の情報は検索可能となって体系的に構成されてしまうため、結果として「個人データ」化してしまう場合がほとんどだからです。

 条文を正確に理解し、規制のグラデーションを見極めることも重要ですが、ビジネス設計における力点の置き方として、「何とかして規制を受けないようにする(法の網を潜る)」との思想で設計すると、取り返しのつかないミスに繋がることがあるため注意が必要です。

 なお、実務では情報は容易に検索可能な形で管理され「個人データ」化しやすく、また、個情法の射程外であっても契約・信頼・プライバシーの観点から問題化し得るため、最初から個人データとしての規律を前提に設計する方が安全です。

 

3 実務上の最重要論点 ―「同意」と「安全管理」の判断基準

 現場から最も質問が多く、かつ法務担当者が頭を悩ませるのが「同意の有効性」と「安全管理のレベル感」です。これらに「唯一の正解」はなく、事業リスクに応じた判断が求められます。

 

3.1 「同意」のジレンマ ― 形式と実質

 「同意」(第27条等)は、データ活用の免罪符のように扱われがちですが、法が求めているのは「本人が十全な理解に基づいて行った、真意による同意」です。実務では以下の点がしばしば問題となります。

  • 包括同意の限界:

 「あらゆる目的に利用します」という包括的な同意文言は、利用目的の特定(第17条)の観点から無効とされるリスクがあります。

  • UI/UXと同意の質:

 ユーザー体験を優先するあまり、デフォルトでチェックが入っている仕様や、同意ボタンを目立たせて拒否しにくくするデザイン(いわゆるダークパターン)を採用した場合、形式的にログが残っていても、後から「有効な同意ではなかった」として監督官庁や訴訟で否定されるリスクがあります。

  • 第三者提供と委託の境界:

 外部サービス(SaaSやクラウド)を利用する際、それが「委託(同意不要)」なのか「第三者提供(同意必要)」なのかの切り分けは、形式だけでなく実態で判断されます。具体的には、誰が利用目的や取扱いの枠組みを決めているか、委託先がその枠内で指揮命令・契約に従って処理しているか(独自の目的で利用・提供していないか)等を踏まえて整理する必要があります。現代のAPI連携などの複雑な技術環境下ではこの線引きが非常に難解です。また、実務上は「委託」だけでなく「共同利用」との区別も論点になりやすく、契約・運用・表示の三点セットで整合させる必要があります。

 「同意さえ取れば何でもできる」のではなく、「ユーザーが想定できる範囲の同意か」という実質的判断が、炎上リスクを回避するための防波堤となります。

 

3.2 「安全管理措置」の到達点 ― ゼロリスク神話の否定

 「必要かつ適切な措置」(第23条)という条文に対し、「どこまでセキュリティ投資をすればいいのか」という問いは尽きません。ここで重要なのは、法は「いかなる漏えいも許さないゼロリスク」を求めているわけではないという理解です。 ガイドライン[1]では、以下の4つの観点での措置が求められています。

  • 組織的措置(体制整備、規程策定、漏えい時の報告フロー等)
  • 人的措置(従業員教育、秘密保持誓約等)
  • 物理的措置(入退室管理、機器の盗難防止等)
  • 技術的措置(アクセス制御、ウイルス対策、暗号化等)

 実務上の判断基準(到達点)は、「取り扱うデータの機微性」「量」「事業規模」「技術の発展状況」そして「コスト」を総合考慮した「合理的対策」ができているか否かです。例えば、数万人のクレジットカード情報を扱う企業と、取引先担当者のメールアドレスのみを扱う企業では、求められる「適切」の水準は全く異なります。

 万が一事故が起きた際、当時の技術水準や脅威動向、コスト等に照らして合理的な対策を講じていたこと、そして事故後の拡大防止・原因究明・再発防止が妥当であることを、社内外に説明できる状態を作っておくこと、これこそが、法務が経営に対して提示すべき「安全管理措置」のゴールラインです。

 

個人情報保護とプライバシー保護 ―「適法」なら許されるのか

1 「識別性」と「プライバシー」の乖離

 個人情報保護法は、「特定の個人を識別できるか」という客観的な基準で規制をかけます。一方、プライバシーは「私生活をみだりに公開されない利益」や「自己に関する情報をコントロールする権利」として理解される主観的・文脈的な概念です。例えば、防犯カメラの映像やウェブの閲覧履歴、位置情報などは、単体では特定の個人名まで到達しないケースもあり、法的な「個人情報」に該当しない(あるいは個人関連情報にとどまる)として取り扱われることがあります。しかし、これらを大量に蓄積・分析し、個人の趣味嗜好や行動パターンを丸裸にすることは、個情法上は直ちに違法と評価されない場合があるにしても、プライバシー侵害として深刻な社会的批判(炎上)を招く恐れがあります。

 

2 プロファイリングと「不気味さ」の壁

 近年のビジネスモデルでは、Cookieや広告ID、購買履歴を用いたプロファイリングが一般化しています。ここで問題となるのが、ユーザーが想定していない利用、いわゆる「不気味さ(Creepy factor)」です。過去には、就職情報サイトが学生の閲覧データを分析し、本人の知らないところで「内定辞退率」を予測して企業に販売していた事案が社会問題化しました。これは形式的な法の網を潜り抜けたとしても、社会通念上の「信頼」を破壊すれば、事業継続が不可能になることを示唆しています。2020年改正で新設された「不適正利用の禁止」(第19条)は、まさにこうした脱法的な、あるいは社会通念を逸脱した利用を牽制するものです。実務上は、PIA(プライバシー影響評価)を実施し、「法的にOKか」だけでなく「生活者がどう感じるか」という視点を導入することが不可欠となっています。

 

個人情報保護と安全保障・サイバーセキュリティ ― 公益と主権のリスク

 個人情報は、企業の資産であると同時に、国家安全保障や公共の安全に関わる重要データとしての側面を強めています。

1 サイバーセキュリティとデータ共有のジレンマ

 サイバー攻撃が高度化する中、一社単独での防御には限界があります。攻撃者のIPアドレスやマルウェアのハッシュ値、通信ログといった脅威情報(IoC)を、業界団体(ISAC等)やセキュリティベンダー、警察と共有する必要性が高まっています。 しかし、通信ログ等には個人情報が含まれる可能性があり、これを外部提供することは原則として本人の同意が必要となります(第27条)。もちろん、緊急時に攻撃者の同意など取れるはずもありません。

 ここでは、法第27条第1項ただし書の例外(人の生命・身体・財産の保護、公衆衛生等)をどう適用するかという高度な法的判断が求められます。平時からセキュリティ部門と法務部門が連携し、インシデント発生時に「適法にデータを共有するロジック」を構築しておかなければ、法的リスクを恐れて初動が遅れ、被害が拡大するという本末転倒な事態に陥ってしまいます。

 

2 経済安全保障と越境データの地政学リスク

 グローバル化とクラウド利用の進展により、データの保管場所は国境を越えています。ここで問題となるのが、各国の「ガバメントアクセス(政府による強制的なデータアクセス権限)」です。

 例えば、米国のCLOUD法や中国の国家情報法などは、一定の条件下で民間企業に対しデータの提出を義務付けています。日本企業が安易に海外サーバーを利用したり、業務を海外委託したりすることは、日本国内の顧客データを他国の政府機関に閲覧されるリスクを生じさせることを意味します。

 現行法第28条(外国にある第三者への提供)は、移転先国の法制度の確認を義務付けていますが、これは単なる手続きではありません。経済安全保障推進法の文脈とも連動し、「どの国の、どのベンダーにデータを預けることが、事業継続上の主権リスクにならないか」というサプライチェーン・リスク管理の視点が、法務担当者に強く求められているのです。

 また、越境データの問題は、上記とは反対の状況においても生じ得ます。すなわち、海外の子会社が保有する情報を日本国内の親会社において保管している場合、日本の捜査機関が、捜査の目的で、民間企業に対しデータの提出を命ずることも可能です。この場合、親子会社間での顧客データの取扱ルールについて適切に定めていなければ、その保管状況について責任を問われる事態が生じ得ます。越境データについては、国内・国外のいずれに存在するものについても、ガバメントアクセスの観点から適切な管理のあり方を検討することが求められます。

 

まとめ

 個人情報保護法は、「個人の権利利益」と「情報の有用性」の調和を目指す動的な枠組みです。実務の基礎は「取得・利用管理・提供」の三局面にありますが、現代の実務は条文知識だけでは完結しません。

 適法なデータ活用であっても「プライバシー侵害(不気味さ)」のリスクがないかを慎重に見極めること。そして、サイバー攻撃や国家による干渉といった「安全保障リスク」に対し、現実的な解を見出すこと。これら相反する課題に対し、「ブレーキ(抑制)」と「ナビゲーション(誘導)」を使い分ける判断力こそが、今、現場で求められています。

 個人情報保護法を単なる手続法としてではなく、企業の信頼基盤(トラスト)を構築するためのガバナンス・ツールとして捉え直す必要があります。法務はその実務において、「止める」だけでも「進める」だけでもなく、両者を往復できる判断力を提供していくことが求められています。

 

以上

 

 

 

 

[1] 個人情報の保護に関する法律についてのガイドライン(通則編)(https://www.ppc.go.jp/files/pdf/250601_guidelines01.pdf)の10(別添)講ずべき安全管理措置の内容

 

詳細情報

執筆者
  • 大畑 拓也
  • 今村 敏
取り扱い分野

Back to Insight Archive