個人情報保護法とは？個人情報の範囲や取得方法を具体例つきで解説！

名前や住所、メールアドレスなどを含む「個人情報」は法律によって厳格に守られています。近年では一般でも「個人情報を守ろう！」という権利意識が高まっており、今後もその傾向には拍車がかかるでしょう。

個人情報を保護する法律を「個人情報保護法」といい、違反すると罰則も適用されるので事業者には正しい知識が必要です。

今回は個人情報保護法において守られる「個人情報」の定義や取得方法を具体例つきでわかりやすく解説します。

1.個人情報の定義と範囲

そもそも「個人情報」とは何なのでしょうか？定義や範囲を確認しましょう。

個人情報保護法2条は、個人情報について以下のように規定しています。

・生存する個人に関する情報

・情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別できるもの（他の情報と容易に照合できて、それにより特定の個人を識別することができるものを含む）又は個人識別符号（顔認識データ，指紋認識データ，マイナンバー等）

つまり「現在生きている個人の情報」で「本人を特定できる情報」を含む情報一切はすべて個人情報となります。当該情報だけでは個人を識別することができない場合でも，氏名・生年月日・連絡先等と組み合わさることで個人を識別できる場合には，その情報を含む情報全体が個人情報となります。

また，仮に，その情報単体だけでは特定個人の識別ができないにしても，特定個人を識別できる情報と容易に紐づけができる場合には，その情報全体も個人情報となります。

個人情報の具体例

• 氏名
• 住所
• 生年月日
• 電話番号
• メールアドレス
• 声（録音など）
• SNSなどのアカウント名
• 顔写真
• 指紋認識データ

2.個人情報保護法が適用される事業者

個人情報保護法は個人情報を取り扱う事業者を規制する法律で、個人情報保護法が適用される事業者を「個人情報取扱事業者」といいます。

個人情報取扱事業者は、個人情報データを事業に利用しているすべての業者をいい、営利目的があるかどうかは問いません。

たとえば顧客データ、従業員のデータ、アドレス帳や電話帳、名簿などを利用している法人や団体、個人事業者はすべて個人情報保護法による規制を受けると考えましょう。

以前は「5000件以上の個人情報を取り扱う業者」に限定されていましたが、法改正によって1件でも個人情報を取り扱っていれば個人情報保護法が適用されます。

3.個人情報の取得方法、法律上のルール

個人情報取扱事業者が個人情報を取得する際には以下のようなルールを守らねばなりません。

3-1.利用目的を特定する

個人から個人情報の提出を受ける際には必ず「利用目的」を特定する必要があります。

たとえば「アフターサービスの提供」や「新商品のお知らせを提供する」などの具体的な特定が必要です。

「事業活動に利用するため」などのあいまいな表現では「特定」できていないので要件を満たしません。

3-2.直接取得の場合における明示のルール

本人から直接書面等により個人情報を取得する場合には，「取得前」に利用目的を本人に明示する必要があります。

本人から直接書面で個人情報を取得する場合とは，

• 本人の個人情報が記載された申込書を直接本人から取得する場合
• アンケートに記載された個人情報を直接本人から取得する場合

です。

利用目的の明示といえるためには，書面の場合には，本人が認識できる場所や文字の大きさで利用目的を記載し，ネットワーク上では送信ボタンをクリックする前等に利用目的が本人の目に留まるように配慮して表示する必要があります。

3-3.直接取得以外の場合における通知公表のルール

本人から書面等により直接取得する場合以外で，個人情報を取得する際には、「取得後」速やかに利用目的を「通知」するか，「取得前」に利用目的を「公表」しなければなりません。

たとえば，「通知」方法としては，メールアドレスの提出を受けるときに「今後メールによってお得な情報をお届けするために登録してください」などと通知します。通知方法は書面に限定されず、電話、メール、郵便などの方法でかまいません。次に，「公表」方法としては，ホームページやパンフレットに記載する方法が考えられます。

3-4.個人情報を利用できるのは目的の範囲内のみ

個人情報を取得した場合、あらかじめ本人に告げた利用目的の達成に必要な範囲でしか利用できません。

別目的で利用する場合には本人の承諾が必要です。

たとえばECサイトなどにおいて「新商品の情報を届けるため」にメールアドレスを取得したのに、「新規事業のモニター勧誘」のために利用したい場合などには事前に「メールアドレスをモニター募集のために使ってもよいですか？」と確認しなければなりません。

3-4.適正な方法で個人情報を取得

個人情報は「適正な方法」で取得しなければなりません。たとえば相手をだましたり脅したりして提供させると違法です。

個人情報保護法違反には罰則も用意されています。1件でも個人情報を取り扱う事業者であれば適用対象になるので、法律の規制内容を正しく知って事業を運営していきましょう。