個人情報保護法が改正され、2022年(令和4年)4月1日に施行されました。フリーランスや個人事業主も適用対象であるのはもちろん、違反すれば罰則が科されます。そこでこの記事では、個人情報とは具体的にはどういったものかに加え、改正法のポイントについて解説していきます。
Contents
個人情報保護法とは?
個人情報保護法の正式名称は「個人情報の保護に関する法律」で、個人の権利・利益の保護と個人情報の有用性とのバランスを図るための法律です。基本理念を定めるほか、民間事業者の個人情報の取り扱いについても規定されています。
個人情報を取り扱う全事業者が適用対象
2015年(平成27年)の改正により(2017年5月30日から全面施行)、個人情報を取り扱う全事業者が個人情報保護法の適用対象となっています。個人事業主・NPO法人・自治会・同窓会等も適用対象です。
個人情報とは?
個人情報とは「生存する個人に関する情報」(第二条)のことをいいます。つまりは特定の個人を特定(識別)できるものでなければ、個人情報にはあたりません。例えば、「平成15年1月1日生まれの人」といったところで、該当する人は1人ではないため、生年月日だけでは個人を特定できないということになります。
ただ、「平成15年1月1日生まれの丸山丸男さん」など、氏名と組み合わせると、生年月日も個人情報となります。住所・電話番号・メールアドレスも同様です。このほか、パスポート番号やマイナンバーは、それだけで個人を識別できるため、個人情報にあたります。
なお氏名は例外で、それ自体で本人を識別できる情報と解釈されています。例えば、丸山丸男さんがこの世界に複数人いる場合、どの丸山丸男さんかは特定できませんが、それでも氏名はそれだけで個人情報とされます。
令和2年改正個人情報保護法のポイント
個人情報保護法は3年ごとの見直しが規定されており、令和2年の改正法は2022年4月1日から全面施行されました。ここからは改正のポイントを5つ挙げて解説していきます。また、新設された3項目についても具体的に紹介します。
- 漏えい等報告・本人通知の義務化
- 外国にある第三者への提供
- 保有個人データの開示方法
- 個人データの利用の停止・消去等の請求
- 公表等事項の充実
※参照:個人情報保護委員会 改正個人情報保護法 特集
※参照:個人情報保護委員会 令和2年改正個人情報保護法について
1. 漏えい等報告・本人通知の義務化
一定の重大な漏えい事故等が発生した場合に、漏えいされた個人情報の本人等に対して、報告をしなければなりません。改正前は努力義務でしたが、今回の改正で義務化されました。
改正前 | 改正後 |
個人情報保護委員会に報告及び本人通知するよう努める(委員会告示) | 漏えい等が発生し、個人の権利利益を害するおそれが大きい場合に、個人情報保護委員会への報告及び本人への通知を義務化 |

2. 外国にある第三者への提供
個人情報を扱うフリーランスなどの事業者が、一定の国を除き、外国の会社など、外国にいる第三者に対して個人情報を提供する場合、その個人情報の本人から承諾を得なければなりません。

3. 保有個人データの開示方法
個人情報を扱う事業者が、個人情報の本人からデータや書面の交付など、方法を指定して個人情報の開示を求められた場合、その方法で開示しなければなりません。
ただしデータの場合、交付の具体的な内容(メールでの送信、Webサイトでのダウンロードなど)については、事業者が定めたものの中からしか選べません。
改正前 | 改正後 |
保有個人データの開示方法は、書面の交付による方法が原則 | 保有個人データの開示方法について、電磁的記録の提供を含め、本人が指示できるようにする |

4. 個人データの利用の停止・消去等の請求
- 保有個人データの利用の必要がなくなった場合
- 保有個人データの漏えい等が生じた場合
- 本人の権利や正当な利益が害されるおそれがある場合
上記のような場合、本人は、その保有個人データの利用停止と削除を請求できるようになりました。「保有個人データ」とは、個人情報を保有する事業者が、個人情報をデータベース化して検索できるようにした際の各個人のデータのうち、本人から開示請求や削除請求などを受けたときに開示や削除をする権限を有するものです。
ただし、開示することで本人等に危害が及んだり、公共の安全が害される可能性があったりするもの(被害者データや反社データなど)はこれに当たりません。また、フリーランスが預かる個人情報でも、委託元との契約で開示等の義務を負わない場合は開示や削除の権限がないので、これに当たりません。

5. 公表等事項の充実
個人情報を扱う事業者が安全管理等のために講じた措置についても、本人からの問い合わせに遅滞なく回答したり、公式サイトに載せたりしなければなりません。
措置の例には、個人データの取扱規程を定めることや、不正アクセスから保護するためのシステムの導入など、さまざまなものがあります。要するに、いかなる措置を講じて個人情報を保護しているかを示さなければならないということです。

令和2年改正個人情報保護法の新設3項目
- 不適正利用の禁止
- 個人関連情報
- 仮名加工情報
1. 不適正利用の禁止
違法または不当な行為を助長したり、誘発したりするおそれがある方法により個人情報を利用してはなりません。違法な貸金業者に個人情報を無断で提供したり、公開されたりしている情報であっても、破産者情報など、差別が誘発されるおそれが高いものをデータベース化して公開することがこれに当たるとされます。公開情報であっても、個人情報をデータベース化する場合には注意が必要です。

2. 個人関連情報
「個人関連情報」という新たなものも、保護の対象となりました。個人関連情報の例としては、個人の商品購入履歴や位置情報などで、その情報自体では個人を特定できないものです。
例えば、さまざまな店舗で使えるポイントカードがあるとします。店舗側はポイントカードの持ち主を特定できるだけの情報を保有しておらず、ただ、ポイントカードのIDと商品の購入履歴だけを情報として保有していた場合、この情報だけでは個人を特定できませんから、個人情報ではなく個人関連情報にあたります。
他方、ポイントカード発行会社がポイントカードの持ち主の氏名・住所などの個人情報を保有していた場合、店舗がこの個人関連情報をポイントカード発行会社に提供すると、個人データと結びつきます。このような提供についても、本人の同意が原則として必要となります。フリーランスでも、個人関連情報を個人データに結びつける第三者に提供する場合には本人の同意が必要です。

3. 仮名加工情報
他の情報と照合させなければ、個人を識別できないように加工した情報(仮名加工情報)により管理する場合、一定の制限を免れることができます。
例えば、フリーランスが顧客の取引情報一覧のうち、顧客の氏名やパスポート番号など、それだけで個人を特定できる情報を、自分で作った案件管理番号に置き換えたり削除したりして、それを見ただけでは個人を特定できないようにした場合です。
クレジットカード番号など、不正に利用されると財産的な被害が生じるおそれのある情報も削除したり、規則性のない形に置き換えたりする必要があります。

違反した場合は罰則が科される
個人情報保護委員会の命令に従わなかった場合や、報告徴収・立入検査に応じなかった場合、報告徴収に対して虚偽の報告をした場合には、罰則(30万円以下の罰金)の対象になります。
業務で取り扱った個人情報データベース(一部の複製や加工したものも含む)を不正な利益を得るために盗用したときは、法第83条により刑事罰(1年以下の懲役又は 50万円以下の罰金)が科される可能性もあるため注意しておきましょう。
疑問があれば相談窓口へ
個人情報保護法の解釈等については、個人情報保護委員会が設置した「個人情報保護法相談ダイヤル」(03-6457-9849/受付時間9:30~17:30/土日祝・年末年始を除く)や24時間対応可能のチャットボットサービス「PPC質問チャット」で問い合わせることができます。
また、要予約となりますが、新たなビジネスモデルにおける個人情報保護法上の留意事項等について相談できる「PPCビジネスサポートデスク」も開設されています。こちらもぜひ活用してみてください。
まとめ
デジタル化によって個人情報の流通が頻繁になり、個人情報を保護する意識が高まっています。個人情報保護法では、ついうっかりということがないよう、フリーランスを含む個人情報を取り扱う事業者に対して、さまざまな義務を課しています。 個人情報を取り扱うフリーランスの方は、改正によりいかなる措置を新たに講じる必要があるのか確認してみてください。
また、外国とのやり取りがある場合や、個人情報を書面でしか交付していなかったという場合、個人関連情報や仮名加工情報を扱う場合なども、改正の内容をチェックしておく必要があります。自身が扱っている情報が対象となっていないか、しっかり確認しておきましょう。
日本初のフリーランス向けファクタリングサービス
「FREENANCE即日払い」
https://freenance.net/sokujitsu
▼あわせて読みたい!▼