個人情報保護法について、企業法務チーム所属弁護士がリレー形式で解説します。

　第3回のテーマは、「個人情報保護法の基本ルールと実務のポイント」を扱います。

---

個人情報を取り扱う際は、その情報が法的に以下のどの種類に分類されるかを確認したうえで、取得・利用・管理・消去・第三者提供などの場面にあわせて、適用されるルールを守ることが求められます。

❶個人に関する情報 個人情報、個人データ、保有個人データ、要配慮個人情報、個人関連情報 ❷個人に関する情報でないもの 匿名加工情報、非個人情報 ❸仮名加工情報（加工内容や性質により①②の分類が変わる情報）

以下では「個人情報」「個人データ」を念頭においてポイントを説明します。

１．取得

●同意は原則不要：個人情報を取得する際、本人の同意は原則として不要です。ただし、病歴などの「要配慮個人情報」を取得する場合は同意が必要です。

●利用目的の通知：利用目的（何のために使うか）をできる限り特定し、取得後、速やかに本人に通知、または公表（プライバシーポリシーへの掲載等）をしなければなりません。

２．利用

●目的外利用の禁止：原則として、あらかじめ特定した利用目的の範囲内だけで利用する必要があります。

●目的の変更：元の目的と関連性がある範囲なら事業者の判断で変更できますが、その範囲を超える場合は本人の同意が必要です。

●不適切な利用の禁止：違法・不当な行為を助長するような方法で利用してはなりません。

３．管理と消去

●安全管理措置：データの漏えいや滅失を防ぐため、会社の規模や情報の重要度に合わせて、適切なセキュリティ対策（安全管理措置）を講じなければなりません。

●消去：利用目的を達成し、不要となった個人データは、遅滞なく消去する努力義務があります。


●漏えい時の報告：一定の漏えい事故が発生した（またはそのおそれがある）場合は、個人情報保護委員会への報告と本人への通知が義務付けられています。

４．第三者提供（他人に渡すとき）

●同意と記録：個人データを他社に渡す際は、原則として本人の同意を得る必要があります。また、「いつ、誰に、何を渡したか」という記録を作成・保存しなければなりません。

●委託による例外：業務を外注するためにデータを預ける「委託」であれば、本人同意なしで渡すことができます。この場合、提供元は委託先を適切に監督する義務を負います。

●クラウド利用の例外：クラウド業者がデータを取り扱わない契約・運用であれば、法的な「提供」に当たらないと判断される場合があります。

実務上、個人情報を取り扱うにあたっては、情報の種類に応じたフローを正確に把握することが重要といえるでしょう。

＜初出：顧問先向け情報紙「コモンズ通心」2026年3月5日号(vol.313)＞

※掲載時の法令に基づいており、現在の法律やその後の裁判例などで解釈が異なる可能性があります。

◆連載◆「個人情報保護法」について
1.個人情報保護法のあらまし
2.個人情報に該当するものとは
3.個人情報保護法の基本ルールと実務のポイント
4.個人情報保護法における第三者提供と委託　※準備中
5.本人からの請求に対する対応　※準備中
6.※準備中※

個人情報保護法 / 弁護士：渡辺　伸樹