法律コラム Vol.139
2025年4月15日 / 最終更新日 : 2025年8月11日 webmaster

個人情報保護研修

ある企業から「個人情報保護」に関する研修依頼を受けたので作成したレジュメです。初めてAIを活用し(適宜修正)若干の自分的知見を付加して作成してみました。

Ⅰ.個人情報保護法の趣旨と沿革
 1.法の目的
  個人情報の取り扱いに関する信頼確保とデジタル化の円滑な推進の調和
 2.沿革(主な改正)
  2003年:個人情報保護法制定
  2015年改正:第三者提供の記録義務等
  2020年改正:漏えい報告の義務化、開示請求権強化(2022年施行)
Ⅱ.定義と基本概念
 1.個人情報とは(第2条)
  生存する個人に関する情報で、氏名、生年月日など特定の個人を識別できるもの。
  他の情報と照合することで識別可能なものも含む。
  *個人識別符号(マイナンバー、顔認証データなど)も対象
 2.要配慮個人情報とは
  個人にとって特に重要な配慮すべき情報(人種、信条、病歴、前科、身体・精神障害、健康・診断結果、労働組合への加入状況など)*これらは特に差別や不利益が生じやすい繊細情報であるため原則として「本人の同意」なしに取得してはならないとされる(第17条2項)。
Ⅲ.個人情報取扱事業者の義務
 1.利用目的の特定と通知・公表(第15条~17条)
   利用目的をできる限り特定する。取得時に本人に通知または公表する。
 2.適正な取得(第17条)
   不正な手段による取得は禁止される。
 3.安全管理措置(第20条)
   組織的、人的、物理的、技術的な安全管理を講じること。
 4.第三者提供の制限(第23条)
   原則として「本人の同意」が必要である。情報提供先や日時等の記録をする義務あり。
  *企業や団体にとり「安全管理措置」の履践が実務的に最も重要である。従業員教育・アクセス権限の制限・パスワード管理等がこれに含まれる。
Ⅳ.本人の権利
 1.開示請求(第28条) 保存されている個人データの開示請求が可能。
 2.訂正・削除請求(第29条) 不正確・不適切なデータの訂正や削除を請求できる。
 3.利用停止・消去請求(第30条) 不正取得や目的外利用があった場合に請求可能。
  *近年の改正でオンライン開示の義務化や本人確認方法の整備が進められている。
Ⅴ.漏えい時の対応義務
 1.報告義務(第26条) 特に要配慮個人情報などが漏えいした場合、
   原則として個人情報保護委員会への報告と本人への通知が義務づけられる。
 2.報告までの流れ
  インシデント→ 原因調査・影響評価 → 委員会へ速報・確報 → 再発防止策提出
  報告義務違反があれば行政指導や命令、悪質な場合は罰則もある。
  企業には「漏えい対応マニュアル」の整備が求められる。
  *民事的には損害賠償義務が発生する(特に「損害」の算定が問題)。
   抑止の措置(具体例)「別紙」を参照(数件の判例を検討)
Ⅵ.越境移転とクラウド時代の対応
 1.外国への個人情報提供(第24条)
  原則として提供先の国が十分な保護体制を有している必要がある。
 2.クラウドサービス利用
  特に委託先が国外企業である場合、十分な契約・管理体制が必要である。
  *個人情報保護委員会のガイドラインに準拠すること
Ⅶ.罰則と行政処分
 1.主な罰則(刑事罰) 個人情報の不正提供等:6か月以下の懲役または30万円以下の罰金
 2.行政処分  委員会による報告命令、指導、命令(命令違反には罰則)
  *罰則は限定的であるが、社会的信用失墜が企業にとって最大のリスク。
   特に大規模な漏えい事件では「マスコミ報道による影響」が甚大である。

(別紙)損害賠償請求がなされた場合の裁判所の認定損害額(1人あたり損害額)は流出した情報の性質・プライバシー性・実害の有無・社会的影響に応じて大きく変わる傾向があります。
A 高度機微情報 精神疾患・病歴・性指向・生活保護・前科 5万~30万円超 (差別の可能性)
B 中度機微情報 クレジットカード番号・給与・借金    1万~5万円 (信用毀損)
C 一般個人情報 氏名、住所、電話番号など   1,000円~1万円前後(単独では被害性が低い)
D 公開情報と同等 学年・出身校、業務上の氏名等 数百円~請求棄却もあり(社会的損害が軽微)
________________________________________
主な裁判例
A:精神疾患等の流出(高額)
• 流出内容:病名・通院歴・精神疾患
• 損害賠償:1人当たり33万円
• 備考:社会的偏見・名誉感情への侵害が重視
________________________________________
B:クレジットカード情報の漏洩
• 流出内容:顧客情報(名前・住所・子の生年月日等)
• 損害賠償:1人当たり5,000円
• 備考:実損が乏しいとして限定的な賠償額
________________________________________
C:レンタルビデオ会員情報流出事件
• 流出内容:氏名・電話番号・会員番号など
• 損害賠償:1人あたり3,000円
• 備考:「特段のプライバシー性が高い情報ではない」と判断
________________________________________
D:業務上名刺情報の流出(損害なし)
• 流出内容:名刺に記載された業務上の連絡先など
• 損害賠償:棄却(賠償なし)
• 備考:情報が業務上すでに広く配布されているものであった
________________________________________
判例が重視するポイント
1. 情報の性質(健康・病歴・借金・性指向などは重要性が高)
2. 実害の有無(実害との相当因果関係が認められると高額化する)
3. 流出の範囲(一部か、大規模か)
4. 漏洩の態様(故意か過失か、管理体制の不備があったか)
5. 対応の適切さ(迅速な公表・謝罪・補償などがあったか)
________________________________________
実務的な注意点
• 漏洩情報が氏名だけでも、他情報と結びつくと損害評価が上がる場合あり。
• 1件あたりの損害は小額でも件数が多いと企業側に数十億円規模のリスクあり。
• 漏洩後の対応(誠実な開示・謝罪・再発防止策)で賠償額が軽減される傾向。

*AIによる骨格作成はわずか数秒。AIの威力をまざまざと見せつけられました。

前の記事

大腸内視鏡検査の医療過誤
2025年3月15日

次の記事

食品衛生法研修
2025年5月14日