個人情報保護法とは
個人情報保護法は、個人情報の適切な取り扱いを定めた法律です。2005年の施行以来、複数回の改正を経て、すべての事業者に適用されています。
法律の対象
| 項目 | 内容 |
|---|---|
| 対象事業者 | 個人情報を取り扱うすべての事業者(規模を問わない) |
| 対象情報 | 生存する個人に関する情報 |
| 罰則 | 最大1億円の罰金、懲役刑もあり |
個人情報の定義
個人情報に該当するもの
| 種類 | 例 |
|---|---|
| 基本情報 | 氏名、生年月日、住所、電話番号 |
| 識別番号 | マイナンバー、運転免許証番号、パスポート番号 |
| 顔画像 | 写真、防犯カメラ映像 |
| 身体的特徴 | 指紋、虹彩、DNA |
| 購買履歴 | 購入履歴と氏名の組み合わせ |
| 閲覧履歴 | Cookie情報と個人を特定できる情報の組み合わせ |
| メールアドレス | 個人を特定できるもの(例:taro.yamada@example.com) |
要配慮個人情報
特に慎重な取り扱いが求められる情報です。
| 種類 | 例 |
|---|---|
| 人種・民族 | 出身地、国籍 |
| 信条 | 宗教、政治的見解 |
| 社会的身分 | 被差別部落出身など |
| 病歴 | 過去の病気、現在の健康状態 |
| 犯罪歴 | 逮捕歴、有罪判決 |
| 障がい | 身体障がい、精神障がい |
| 健康診断結果 | 健診データ |
| 遺伝情報 | DNA検査結果 |
取得時の注意
- 本人の同意が必要(オプトイン)
- 黙示の同意では不可
事業者の義務
1. 利用目的の特定・通知
個人情報の利用目的を特定し、本人に知らせる必要があります。
具体的な記載例
| 悪い例 | 良い例 |
|---|---|
| 業務のため | 商品の発送のため |
| マーケティングのため | 新商品のご案内メール送付のため |
| サービス向上のため | お客様からのお問い合わせ対応のため |
通知方法
- Webサイトのプライバシーポリシー
- 申込フォームでの明示
- 店頭での掲示
2. 適正な取得
不正な手段での取得は禁止されています。
禁止事項
- 虚偽の説明による取得
- 脅迫による取得
- 本人の意に反する取得
3. 安全管理措置
個人データの漏洩・滅失・毀損を防ぐ措置が必要です。
安全管理措置の種類
| 種類 | 内容 | 例 |
|---|---|---|
| 組織的 | 体制の整備 | 責任者の設置、規程の策定 |
| 人的 | 従業員の管理 | 教育、秘密保持契約 |
| 物理的 | 設備の管理 | 施錠、入退室管理 |
| 技術的 | システムの管理 | アクセス制御、暗号化 |
4. 第三者提供の制限
本人の同意なく、個人データを第三者に提供することは原則禁止です。
例外(同意なしで提供できる場合)
| 例外 | 例 |
|---|---|
| 法令に基づく場合 | 裁判所の令状、税務調査 |
| 人の生命・身体の保護 | 救急搬送時 |
| 公衆衛生の向上 | 感染症対策 |
| 委託 | 配送業者への住所情報提供 |
| 事業承継 | M&Aによる事業譲渡 |
| 共同利用 | グループ会社での共有(事前通知要) |
5. 開示・訂正・削除への対応
本人から請求があった場合、対応が必要です。
| 請求 | 対応 |
|---|---|
| 開示請求 | 保有する個人データを開示 |
| 訂正請求 | 誤りがあれば訂正 |
| 利用停止請求 | 不正取得等の場合は利用停止 |
| 削除請求 | 不要になった場合は削除 |
6. 漏洩等の報告
2022年の法改正で、漏洩時の報告が義務化されました。
報告が必要なケース
| ケース | 報告義務 |
|---|---|
| 要配慮個人情報の漏洩 | 必要 |
| 不正利用のおそれがある漏洩 | 必要 |
| 財産的被害のおそれがある漏洩 | 必要 |
| 1,000件を超える漏洩 | 必要 |
報告先と期限
| 項目 | 内容 |
|---|---|
| 報告先 | 個人情報保護委員会 |
| 速報 | 発覚から概ね3〜5日以内 |
| 確報 | 発覚から30日以内(不正アクセスは60日以内) |
| 本人通知 | 必要(速やかに) |
プライバシーポリシーの作り方
必須記載項目
| 項目 | 内容 |
|---|---|
| 事業者名・住所・代表者 | 会社情報 |
| 個人情報の利用目的 | 具体的に列挙 |
| 第三者提供 | 提供する場合の条件 |
| 共同利用 | グループ会社での利用がある場合 |
| 安全管理措置 | どのような対策を講じているか |
| 開示・訂正等の請求方法 | 手続きの説明 |
| 問い合わせ窓口 | 連絡先 |
| Cookie等の使用 | 使用している場合 |
プライバシーポリシー記載例
プライバシーポリシー
株式会社○○○(以下「当社」)は、お客様の個人情報の
保護に努め、以下の方針に基づき取り扱います。
1. 個人情報の定義
当社における個人情報とは、氏名、住所、電話番号、
メールアドレス等、特定の個人を識別できる情報をいいます。
2. 個人情報の利用目的
当社は、以下の目的で個人情報を利用します。
・商品の発送、サービスの提供
・お問い合わせへの対応
・新商品・サービスのご案内
・アンケートの実施
3. 第三者提供
当社は、以下の場合を除き、個人情報を第三者に提供しません。
・ご本人の同意がある場合
・法令に基づく場合
・人の生命・身体の保護に必要な場合
・業務委託先への提供(配送業者等)
4. 安全管理措置
当社は、個人情報の漏洩・滅失・毀損を防止するため、
適切な安全管理措置を講じます。
5. 開示・訂正・削除
ご本人からの開示・訂正・削除のご請求に対しては、
合理的な範囲で速やかに対応します。
6. お問い合わせ窓口
個人情報に関するお問い合わせは、以下までご連絡ください。
株式会社○○○ 個人情報相談窓口
電話:03-xxxx-xxxx
メール:privacy@example.com
制定日:2025年1月1日
株式会社○○○
代表取締役 ○○ ○○
Cookie対応
Cookieの種類と規制
| 種類 | 説明 | 規制状況 |
|---|---|---|
| 必須Cookie | サイト動作に必要 | 同意不要 |
| 機能Cookie | 言語設定等 | 同意推奨 |
| 分析Cookie | アクセス解析 | 同意必要(EU等) |
| 広告Cookie | ターゲティング広告 | 同意必要 |
Cookie同意バナーの設置
Cookieバナーに含める内容
Cookieの使用について
当サイトでは、お客様の利便性向上のため
Cookieを使用しています。
・必須Cookie:サイトの動作に必要
・分析Cookie:アクセス解析(Google Analytics)
・広告Cookie:パーソナライズド広告
詳細はCookieポリシーをご覧ください。
[すべて許可] [必須のみ] [詳細設定]
情報漏洩対策
漏洩の主な原因
| 原因 | 割合 | 対策 |
|---|---|---|
| 紛失・置き忘れ | 約25% | 持ち出し制限、暗号化 |
| 誤操作 | 約20% | 送信前確認、教育 |
| 不正アクセス | 約20% | セキュリティ強化 |
| 管理ミス | 約15% | ルール整備、チェック |
| 内部不正 | 約10% | 権限管理、ログ監視 |
漏洩防止のチェックリスト
【技術的対策】
□ アクセス権限を最小限に
□ ログを取得・保存
□ データを暗号化
□ 多要素認証を導入
□ ウイルス対策ソフトを導入
□ ファイアウォールを設定
【組織的対策】
□ 情報セキュリティポリシーを策定
□ 責任者を任命
□ 従業員教育を実施
□ 秘密保持契約を締結
□ 委託先を管理
【物理的対策】
□ 入退室を管理
□ 書類を施錠保管
□ シュレッダーで廃棄
□ 持ち出し台帳を管理
【人的対策】
□ 採用時の確認
□ 退職時の権限削除
□ 定期的な教育
□ 違反時の対応を明確化
漏洩発生時の対応
初動対応
1. 発見・報告(即時)
└ 責任者に報告、情報収集
2. 被害拡大の防止(〜数時間)
└ システム停止、アクセス遮断
3. 事実確認(〜1日)
└ 漏洩の範囲、原因の調査
4. 個人情報保護委員会への速報(3〜5日)
└ 概要を報告
5. 本人への通知(速やかに)
└ 漏洩の事実と対応を通知
6. 詳細調査(〜30日)
└ 原因の特定、被害の確定
7. 確報の提出(30日以内)
└ 詳細な報告
8. 再発防止策(継続)
└ 対策の実施、ルール見直し
本人への通知内容
| 項目 | 内容 |
|---|---|
| 概要 | いつ、何が起きたか |
| 漏洩した情報 | 具体的な項目 |
| 原因 | なぜ起きたか |
| 二次被害の可能性 | 想定されるリスク |
| 対応 | すでに講じた対策 |
| 相談窓口 | 問い合わせ先 |
2022年改正のポイント
主な変更点
| 項目 | 改正前 | 改正後 |
|---|---|---|
| 漏洩報告 | 努力義務 | 義務化 |
| 本人通知 | 規定なし | 義務化 |
| 罰則 | 最大1億円 | 最大1億円(変更なし) |
| 仮名加工情報 | なし | 新設(利活用促進) |
| 個人関連情報 | なし | 新設(第三者提供規制) |
| 越境移転 | 同意のみ | 情報提供義務追加 |
仮名加工情報とは
氏名などを削除・置換し、個人を特定できないようにした情報です。
メリット
- 内部での分析・研究に利用可能
- 本人の同意なく利用目的の変更が可能
- 開示・訂正等の請求への対応義務なし
制限
- 第三者提供は原則禁止
- 再識別の禁止
- 安全管理措置は必要
外部委託先の管理
委託先選定のチェックポイント
| 項目 | 確認内容 |
|---|---|
| 安全管理措置 | セキュリティ対策の実施状況 |
| 従業員教育 | 情報管理の教育実施 |
| 再委託 | 再委託の有無、管理体制 |
| 契約 | 秘密保持条項の有無 |
| 実績 | 過去の事故歴 |
| 認証 | Pマーク、ISMS等の取得 |
業務委託契約に含める条項
【秘密保持条項の例】
1. 秘密保持義務
甲から開示された個人情報について、乙は厳に秘密を保持し、
甲の事前の書面による承諾なく第三者に開示しない。
2. 目的外利用の禁止
乙は、本業務の遂行以外の目的で個人情報を利用しない。
3. 安全管理措置
乙は、個人情報の漏洩、滅失、毀損を防止するため、
適切な安全管理措置を講じる。
4. 再委託
乙は、甲の事前の書面による承諾なく、
本業務を第三者に再委託しない。
5. 事故報告
乙は、個人情報に関する事故が発生した場合、
直ちに甲に報告し、甲の指示に従う。
6. 返還・廃棄
本業務終了後、乙は個人情報を甲に返還または
安全に廃棄し、その旨を甲に報告する。
まとめ:中小企業がやるべきこと
| 優先度 | 対策 |
|---|---|
| 高 | プライバシーポリシーの整備 |
| 高 | 利用目的の明示 |
| 高 | 安全管理措置の実施 |
| 高 | 従業員教育 |
| 中 | 漏洩時の対応手順策定 |
| 中 | 委託先の管理 |
| 中 | 開示請求への対応準備 |
| 低 | Cookie対応 |
| 低 | Pマーク・ISMS取得 |
個人情報保護は、法律遵守だけでなく、顧客からの信頼獲得にもつながります。まずは最低限の対策から始めて、継続的に改善していきましょう。
関連記事
個人情報保護とセキュリティについてさらに学びたい方へ。
- 中小企業の情報セキュリティ対策入門 - セキュリティ対策の基礎
- ISMS・Pマーク取得完全ガイド2025 - 認証取得で信頼性向上
- Cookie規制後のWeb広告はどうなる? - プライバシー規制と広告
- メールマーケティング入門 - 個人情報を使うマーケティング
- 越境EC入門ガイド2025 - 海外の個人情報規制
