APPI について調べてみました

例

• 日本国内でサービスを提供する海外企業
• 日本のユーザーの個人データを取得・処理する企業

個人情報の定義

APPI では、以下のような情報を 「個人情報」として扱います。

• 氏名
• 住所
• 電話番号
• メールアドレス
• 生年月日
• クレジットカード情報
• 運転免許証番号
• パスポート番号 など

また、以下の情報は 「要配慮個人情報」 として特に慎重な扱いが求められます。

• 人種・民族
• 信仰（宗教・思想）
• 社会的身分
• 医療・健康情報
• 犯罪歴 など

加えて、「個人関連情報」（例：Cookie、IPアドレス）も、特定の条件下では個人情報として扱われるようになりました。

企業の義務

企業（事業者）は、個人情報を適切に管理するため、以下の 5つの義務 を負います。

• 利用目的の特定
  • 収集する個人情報の 利用目的を明確にし、本人に通知・公表 しなければならない。
  • 例：「お客様の情報は、商品の発送およびアフターサービスのために利用します。」

• 適正な取得
  • 不正な手段（詐欺・脅迫など） によって個人情報を取得してはならない。
  • 例：SNSのアカウントを無断で収集することは禁止。

• 安全管理措置
  • 個人情報の 漏えい・紛失・改ざんを防ぐための適切なセキュリティ対策 を講じなければならない。
  • 例：データの暗号化、アクセス制限、従業員教育の実施。

• 第三者提供の制限
  • 本人の同意なしに 第三者（他の企業・組織）に個人情報を提供してはならない。
  • 例外として、以下のケースでは本人の同意なしに提供可能：
    • 法令に基づく場合（例：警察からの要請）
    • 人の生命・財産を保護するために必要な場合（例：救急医療）

• 個人データの開示・訂正・削除
  • 本人の請求があった場合、以下の対応をしなければならない：
    • 開示請求 ：「自分のデータを見せてほしい」と言われたら開示する。
    • 訂正請求 ：「情報が間違っているので修正してほしい」と言われたら修正する。
    • 削除請求 ：「個人データを削除してほしい」と言われたら削除する。

個人データの海外移転

日本国内で取得した個人データを海外へ移転する場合、以下のいずれかの 条件を満たす必要 があります。

• 移転先の国が「十分性認定」を受けている
  • 例：EUは日本を「十分性認定国」としているため、EU → 日本へのデータ移転は特別な手続きなしで可能

• 企業が適切な保護措置を講じる
  • 例：データ処理契約（DPA）を結び、データ保護ルールを適用。

• 本人の同意を得る
  • 「海外のサーバーにデータを保存します」と明示し、ユーザーの許可を取る。

行政指導・命令

• 個人情報保護委員会（PPC）が企業に対し、改善命令 を出すことができる。

刑事罰

• 違反が悪質な場合、最大1年の懲役または最大100万円の罰金 が科される。
• 企業には 最大1億円の罰金 が科される場合もある。

社会的制裁

• 個人情報漏洩が発覚すると、企業の信用が大きく損なわれる。
• 例：ベネッセの個人情報漏洩事件（2014年）では、顧客情報の流出により 約260億円の損害が発生。