個人情報の保護に関する法律は、平成17年4月に完全施行されました。

ここでいう「個人情報」とは、「生存する個人に関する情報であって、特定の個人を識別できるもの」を言います。

具体的には、

氏名、住所、生年月日、一見して個人を認識できるメールアドレス、その他の記述により特定の個人を識別することができるものを指します。映像や音声等、特定個人を識別できる場合は個人情報となります。

平成29年5月より、身体的特徴等、「個人識別符号」を含むものも個人情報と定義されました。

また、「要配慮個人情報」も定義されました。要配慮個人情報とは、本人の人種、信条、社会的身分、病歴、犯罪歴、犯罪被害の事実等を指します。

個人情報をデータベース化した場合、そのデータベースを構成する個人情報を「個人データ」といいます。また、個人データのうち、開示等の制限を有し、6か月以上にわたって保有する情報を、特に「保有個人データ」」といいます。

個人情報保護法の義務規定の対象は、「個人情報データベース等を事業の用に供している者」となっています。以前は個人データを有する個人の数が5,000人以下の者は対象外でしたが、法改正により現在では対象となっています。

個人情報保護事業者の義務は以下の４つです。

1. あらかじめ利用目的をできる限り特定する
   ・ 利用目的は、あらかじめできる限り特定しなければならない（15 条 1 項）
   ・ 利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない（１５条２項）
   ・ 利用目的を変更した場合は、本人に通知し、又は公表しなければならない（１８条３項）
2. 取得する際には利用目的の通知・公表等を行う
   ・個人情報を取得した場合は、あらかじめ、その利用目的を公表している場合を除き、速やかに、その利用目的を本人に通知し、又は公表しなければならない（１８条１項）
   ・個人情報取扱事業者は、前項の規定に関わらず、本人との間で契約を締結することに伴って契約書その他の書面に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合には、あらかじめ、本人に対し、その利用目的を明示しなくてはならない（１８条２項）
3. 利用目的の範囲内で個人情報を取り扱う
   ・あらかじめ本人の同意を得ないで、利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない（１６条 1 項）
4. 個人情報は適正な方法で取得する
   ・偽りその他不正な手段によって個人情報を取得することはできない（１７条１項）
   ・あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない（１７条２項）

個人情報を漏洩させると、イメージの低下だけでなく、損害賠償の請求のリスクも高まります。

しっかりと個人情報を管理しましょう。