個人情報保護法とは?企業法務担当者が最初に押さえる基本
この記事を、次の案件で使える形に。
読んだ確認観点を、次に使える“型”にして手元に残せます。
契約・広告表示・社内説明など、用途別に確認できます。
「個人情報保護法」と聞くと、IT企業やネット通販など、大量の顧客データを扱う会社だけの話だと感じるかもしれません。しかし実際には、従業員情報を管理し、取引先の名刺を名刺管理アプリや一覧表で整理し、問い合わせフォームで取得した情報を業務に使う会社であれば、多くの場合、個人情報保護法上の対応が必要になります。
この記事は「個人情報保護法とは何か」を、企業法務に配属されたばかりの担当者や、総務・人事・営業管理・情シスで個人情報を扱う方に向けて、最初に押さえるべき全体像から整理する入門記事です。
個人情報保護法は、法務部だけの問題ではありません。問い合わせフォームを設計する情シス、採用面接を行う人事、顧客リストを管理する営業、契約書をチェックする法務——あらゆる部署の日常業務に関わります。だからこそ、企業の誰かが「全体像」を理解し、各部署をつなぐ視点を持つことが重要になります。
本記事では細かい論点には深入りせず、まず「どこで問題になるのか」「何から確認すればよいのか」という地図を描くことを目的とします。個人情報保護法の基本を初心者でもつかめるよう、表を多用して整理しました。詳細な論点は、後続の各話や既存の詳細記事へ内部リンクで誘導します。
読んだだけで終わると、次の案件でまたゼロから考えることになります。
社内説明の文面も、確認メモも、AIへの指示文も、毎回イチから。用途別に実務ツールを確認できます。
用途別に実務ツールを確認する→迷ったら、用途を選ぶだけの 1分診断 →
個人情報保護法とは何か|「禁止の法律」ではない
個人情報保護法(正式名称「個人情報の保護に関する法律」)は、企業や団体が個人情報を取得・利用・保管・提供するときのルールを定めた法律です。氏名や連絡先、顧客情報、従業員情報など、特定の個人を識別できる情報の取扱いが対象になります。
ここで初心者が最も誤解しやすいのが、「個人情報保護法は個人情報を使ってはいけない法律だ」という理解です。これは正しくありません。同法は第1条で、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的として掲げています。つまり、個人情報を「適正に取得・利用・管理するための法律」であって、利用そのものを禁じるものではありません。
個人情報は「使ってはいけない」のではなく、「決めたルールに沿って、適正に使う」もの。何の目的で集め、どう使い、誰に渡し、どう守るかを整理し、本人に説明できる状態にしておくことが、法律が企業に求めていることの中心です。
個人情報を扱う企業(個人情報取扱事業者)には、おおまかに次のような取扱いのルールが課されます。これらは後続の各話で1つずつ掘り下げますので、ここでは「こういう枠組みがある」という把握で十分です。
- 取得:何のために使うか(利用目的)を特定し、適正な方法で取得する
- 利用目的の通知・公表:取得した目的を本人に伝える、または公表する
- 利用:特定した目的の範囲内で使う(目的外利用の制限)
- 提供:第三者へ渡すときのルール(第三者提供・委託・共同利用)を守る
- 保管・安全管理:漏えい・滅失・毀損を防ぐ安全管理措置を講じる
- 漏えい対応:漏えい等が起きたときに報告・本人通知などの対応を行う
- 本人対応:保有個人データについて、開示・訂正・利用停止などの請求に対応する
個人情報保護法の実務全体像をより詳しく確認したい場合は、個人情報保護法の実務完全ガイドで体系的に整理しています。本シリーズと併せて読むと理解が深まります。
「制度は動き続けている」点に注意。個人情報保護法には、社会やテクノロジーの変化に合わせて定期的に見直す仕組み(いわゆる「3年ごと見直し」)があります。2026年4月7日には「個人情報の保護に関する法律等の一部を改正する法律案」が閣議決定されて国会に提出され、同年5月26日に衆議院本会議で可決されて参議院に送付されました。2026年6月時点では、まだ成立・公布には至っておらず、国会で審議中の法案という位置づけです。本シリーズは原則として現行法をベースに解説しますが、法務担当者は最新の制度動向を確認する習慣を持つことが大切です。改正動向の詳細は個人情報保護法の3年ごと見直しと企業の準備で扱います。
企業で個人情報保護法が問題になる典型場面
個人情報保護法が「自社に関係ある」と実感しにくいのは、問題が日常業務に溶け込んでいるからです。次の表は、企業で個人情報の取扱いが問題になりやすい代表的な場面を、扱う情報・主なリスク・法務が見るべきポイントとともに整理したものです。
| 場面 | 扱う情報 | 主なリスク | 法務が見るべきポイント |
|---|---|---|---|
| 問い合わせフォーム | 氏名・メール・問い合わせ内容 | 利用目的を示さず取得/同意なき他目的利用 | 利用目的の明示・プライバシーポリシーへの導線 |
| 名刺交換 | 氏名・会社・役職・連絡先 | 名刺情報の安易な転用・名簿化・無断メール配信 | 個人データ化後の管理、目的外利用(無断のメルマガ配信・他部署への共有等)の有無 |
| 採用活動 | 履歴書・職務経歴・面接記録 | 不採用者情報の放置・保存期間の未設定 | 取得目的・保存期間・廃棄ルールの有無 |
| 従業員情報管理 | 人事評価・給与・健康情報 | 機微な情報の管理不備・アクセス権の過剰付与 | 要配慮個人情報の扱い・アクセス制限 |
| 顧客リスト | 会員情報・購買履歴 | 目的外利用・部署間の無制限な共有 | 利用目的の範囲・社内共有ルール |
| メール配信 | 配信先メールアドレス | 同意なき広告配信・BCC漏れによる誤送信 | 取得時の同意範囲・配信停止対応・特定電子メール法(オプトイン等)の確認 |
| SaaS・クラウド利用 | クラウド上の顧客・従業員データ | 委託先管理の不備・保存先(国外含む)の未把握 | 委託契約・安全管理・外国にある第三者の確認 |
| 委託先へのデータ提供 | 業務委託先に渡す個人データ | 委託先監督不足・再委託の管理漏れ | 委託契約条項・監督体制・再委託の取扱い |
| 漏えい・誤送信 | 外部流出した個人データ | 初動の遅れ・報告/本人通知の漏れ | 初動フロー・報告要否の判断・記録 |
| 生成AIへの入力 | プロンプトに入れる個人情報 | 外部サービスへの意図せぬ提供・学習利用 | 入力可否ルール・学習利用設定の確認・委託/第三者提供/クラウド利用の切り分け |
このように、個人情報の取扱いは特別な業務ではなく、日々の業務のあちこちに埋め込まれています。だからこそ「うちは大丈夫」ではなく、「どの場面で、どんな個人情報を、どう扱っているか」を一度棚卸しすることが、企業の個人情報管理の出発点になります。
企業法務担当者が最初に押さえる7つの基本論点
個人情報保護法の対応では、条文を暗記することよりも、「どの場面で、何が問題になるか」を見抜く視点が役立ちます。相談を受けたとき、次の7つの論点を順にチェックすると、論点の抜けを防ぎやすくなります。各論点は後続の各話で詳しく扱います。
| 論点 | 何を見るか | よくある失敗例 | 関連する後続記事 |
|---|---|---|---|
| ① 個人情報に該当するか | その情報が特定の個人を識別できるか。個人データ・保有個人データの区別も意識する | 「個人情報ではない」と思い込み、管理対象から外す | 第2話:個人情報・個人データ・保有個人データの違い |
| ② 利用目的を特定しているか | 何のために使うかを具体的に特定しているか | 「事業活動のため」など抽象的すぎる目的設定 | 第4話:利用目的の特定・通知・公表 |
| ③ 利用目的を通知・公表しているか | 取得時に本人へ通知、または公表しているか | プライバシーポリシー未掲載/フォームに目的の記載なし | 第4話:利用目的の特定・通知・公表 |
| ④ 目的外利用になっていないか | 特定した目的の範囲を超えて使っていないか | 問い合わせ対応で得た情報を無断で営業に転用 | 第6話:目的外利用とは何か |
| ⑤ 第三者提供・委託・共同利用の整理ができているか | 外部に渡す行為がどの類型に当たるか整理できているか | 委託と第三者提供を混同し、必要な手続を欠く | 第7話:第三者提供・委託・共同利用の違い |
| ⑥ 安全管理措置を講じているか | 組織的・人的・物理的・技術的な措置を講じているか | アクセス権が全社員に開放・私物端末への保存 | 第8話:安全管理措置とは |
| ⑦ 漏えい等の初動対応が決まっているか | 誰に・何を・いつ確認するかが事前に決まっているか | 誤送信が起きてから対応を考え始め、初動が遅れる | 第10話:漏えい等が起きたときの初動対応 |
このうち⑤の外部提供は、企業法務で最も相談が多く、混同が起きやすい論点です。「どこまで共有してよいか」という実務的な結論は、個人情報はどこまで共有できるか|委託・共同利用・第三者提供の実務結論で詳しく整理しています。
個人情報保護法対応は法務だけで完結しない
個人情報保護法の対応は、法務部門だけで完結しません。実際に個人情報を取得し、保存し、外部に渡しているのは、現場の各部署だからです。法務がルールを整えても、現場の運用が伴わなければ守れません。逆に、現場任せにすると判断にばらつきが出ます。法務が全体像を握り、各部署が役割を分担する体制づくりが欠かせません。
| 部署 | 主な役割 | 法務との連携ポイント |
|---|---|---|
| 法務 | ルール設計・契約条項のチェック・該当性判断・社内相談対応 | 各部署の運用実態を吸い上げ、判断基準を示す |
| 総務 | 規程・プライバシーポリシーの管理、全社的な周知・教育 | 規程改定や公表文の内容を法務と確認 |
| 人事 | 従業員情報・採用情報・健康情報の管理 | 要配慮個人情報の扱い・保存期間を法務と整理 |
| 情シス | システム・SaaSの選定、アクセス権・ログ管理、技術的安全管理 | 委託先・保存先の把握、安全管理措置の実装を法務と共有 |
| 営業 | 顧客リスト・名刺・メール配信の運用 | 取得時の目的明示・提供の可否を法務に相談 |
| 経営層 | 方針決定・体制承認・有事の判断と対外対応 | 重大インシデント時の報告ライン・意思決定を事前に合意 |
法務担当者の役割は、こうした部署をつなぐ「ハブ」になることです。すべてを法務が背負うのではなく、どの部署が何を担うかを明確にし、判断に迷う場面で相談が集まる導線をつくることが、現実的で持続可能な企業の個人情報管理につながります。
初心者が混同しやすいポイント
個人情報保護法の対応では、用語や制度の理解が少しずれているために、誤った判断につながることがあります。初心者がつまずきやすい代表的な誤解を、正しい理解と実務上の注意とともに整理します。
| よくある誤解 | 正しい理解 | 実務上の注意 |
|---|---|---|
| 「個人情報」と「個人データ」は同じ | データベース等に整理された個人情報が「個人データ」。義務の内容が一部異なる | 区別を意識しないと、必要な義務を見落とす(第2話で整理) |
| 外部に渡すのはすべて「第三者提供」 | 業務委託に伴う提供は「委託」として整理され、同意なく行える場合がある | 委託・共同利用・第三者提供の区別が手続を左右する(第7話) |
| 社内で共有するなら自由に使える | 社内共有でも、特定した利用目的の範囲を超える利用は制限される | 部署間の転用は目的外利用になり得る(第6話) |
| 名刺の情報は個人情報ではない | 名刺記載の氏名・連絡先も個人情報。名簿化・利用には注意が必要 | 名刺の転用やメール配信は取得目的との整合を確認(第13話) |
| 漏えいは起きてから考えればよい | 初動の遅れが被害と信頼低下を拡大させる。事前準備が前提 | 連絡ルート・報告要否の判断を平時に決めておく(第10話) |
| プライバシーポリシーを置けばすべて適法 | 掲載は出発点。実際の運用が記載と一致していることが必要 | 記載と運用の乖離が最大のリスク。定期的な点検を行う |
このシリーズで学ぶ内容|全15話の流れ
本シリーズは、個人情報保護法の基本から実務対応までを順番に学べるよう、次の流れで構成しています。
- 基礎・用語(第1〜3話):全体像、用語の違い、対象になる事業者
- 取得・利用目的(第4〜6話):利用目的、取得時の注意、目的外利用
- 外部提供(第7話):第三者提供・委託・共同利用の違い
- 安全管理・社内管理(第8〜9話):安全管理措置、社内ルール
- 漏えい対応(第10話):初動対応
- 場面別対応(第11〜14話):採用・人事・営業・SaaS/クラウド
- 総点検(第15話):対応チェックリスト
| 話数 | タイトル | 主なテーマ | リンク |
|---|---|---|---|
| 第1話 | 個人情報保護法とは?企業法務担当者が最初に押さえる基本 | 全体像・最初に押さえる考え方(本記事) | 本記事 |
| 第2話 | 個人情報・個人データ・保有個人データの違い | 混同しやすい用語の整理 | 記事を読む |
| 第3話 | 個人情報取扱事業者とは? | 中小・スタートアップも対象か | 記事を読む |
| 第4話 | 利用目的の特定・通知・公表 | ポリシーの前に押さえる基本 | 記事を読む |
| 第5話 | 個人情報を取得するときの注意点 | フォーム・名刺・問い合わせ対応 | 記事を読む |
| 第6話 | 目的外利用とは何か | 別目的で使うリスク | 記事を読む |
| 第7話 | 第三者提供・委託・共同利用の違い | 外部提供で迷う基本 | 記事を読む |
| 第8話 | 安全管理措置とは? | 組織的・人的・物理的・技術的措置 | 記事を読む |
| 第9話 | 個人情報の社内管理ルール | アクセス権限・持ち出し・保存期間 | 記事を読む |
| 第10話 | 漏えい等が起きたときの初動対応 | まず社内で何を確認するか | 記事を読む |
| 第11話 | 採用活動と個人情報 | 履歴書・職務経歴書・不採用者情報 | 記事を読む |
| 第12話 | 従業員情報の管理 | 人事評価・健康情報・退職者情報 | 記事を読む |
| 第13話 | 営業リスト・名刺情報・メール配信 | 営業まわりの個人情報保護法チェック | 記事を読む |
| 第14話 | SaaS・クラウドサービス利用時のチェック | 契約前に見るべき項目 | 記事を読む |
| 第15話 | 個人情報保護法対応チェックリスト | 企業法務担当者の保存版 | 記事を読む |
実務担当者向け|最初の簡易チェックリスト
まずは自社の現状を把握することから始めましょう。次の10項目は、個人情報保護法対応の「入口」として、企業の担当者が最初に確認しておきたいポイントです。チェックが付かない項目があれば、それが優先的な検討課題になります。
| チェック項目 | 確認できていない場合のリスク | 次にやること |
|---|---|---|
| 自社がどの個人情報を持っているか把握している | 管理対象が不明で、漏れや事故に気づけない | 保有する個人情報を一覧化(棚卸し)する |
| 利用目的を整理している | 目的外利用や説明不足のリスク | 取得情報ごとに利用目的を書き出す |
| プライバシーポリシーを確認している | 記載と実際の運用が乖離する | 掲載内容と現状の運用を突き合わせる |
| 委託先に個人データを渡しているか把握している | 委託先監督不足・契約条項の不備 | 委託先と委託契約の内容を確認する |
| 従業員情報の管理ルールがある | 機微な情報の管理不備・アクセス過剰 | アクセス権限と保存ルールを定める |
| 採用情報の保存期間を決めている | 不採用者情報の放置・不要保持 | 保存期間と廃棄手順を決める |
| 誤送信・漏えい時の連絡ルートがある | 初動の遅れで被害が拡大する | 第一報の連絡先と判断者を決める |
| SaaSに保存している個人データを把握している | 保存先・委託関係が未整理になる | 利用中のSaaSとデータ内容を一覧化する |
| 生成AIに入力してはいけない情報を決めている | 意図せぬ外部提供・情報流出 | 入力可否のルールを明文化する |
| 定期的に見直す担当者がいる | 制度改正や運用変化に追従できない | 見直しの担当と頻度を決める |
生成AIの利用ルールについては、委託・再委託の整理が特に重要になります。詳しくは個人情報保護法×生成AI時代の委託・再委託チェックリストを参照してください。また、法務での生成AI活用全般は法務でChatGPTはどこまで使える?で整理しています。
まとめ|まずは「持っている・使っている・渡している・守っている」を整理する
個人情報保護法は、特定の業種だけでなく、従業員を雇い、取引先や顧客と接するすべての企業の日常業務に関わる法律です。そして、個人情報を「使ってはいけない」法律ではなく、適正に取得・利用・管理するためのルールを定めた法律でした。
企業法務の最初の一歩は、条文の暗記ではありません。次の4つを整理することから始めてください。
① 何を持っているか(保有する個人情報)
② 何の目的で使っているか(利用目的)
③ 誰に渡しているか(第三者提供・委託・共同利用)
④ どう守っているか(安全管理措置・漏えい対応)
この4つを起点に、本シリーズで各論点を順番に押さえていけば、個人情報保護法の基本から実務対応まで無理なく身につきます。また、制度は「3年ごと見直し」で改正が続いているため、最新の制度動向を確認する習慣も忘れないようにしましょう。
次回・第2話では、実務で最も混同しやすい用語——「個人情報」「個人データ」「保有個人データ」の違いを整理します。義務の内容が変わる重要なポイントです。
第2話:個人情報・個人データ・保有個人データの違いを読む →- 個人情報保護委員会「個人情報保護法等」
https://www.ppc.go.jp/personalinfo/ - 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」
https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/ - e-Gov法令検索「個人情報の保護に関する法律」
https://laws.e-gov.go.jp/law/415AC0000000057 - 個人情報保護委員会「個人情報保護法 いわゆる3年ごと見直しについて(改正法案等)」
https://www.ppc.go.jp/personalinfo/3nengotominaoshi/
※ 本記事は2026年6月時点の情報をもとに、現行法を中心に解説しています。改正法案は国会審議中であり、施行までに内容が変わる可能性があります。実務対応にあたっては、必ず最新の法令・ガイドラインをご確認ください。
🔍 関連ガイドへ進む
この記事と関連度の高い実務ガイドをまとめています。次に読むならこちら。
この記事の確認観点を、実務の型に変える。
読んだ内容を、確認メモ・文例・AI指示文に落とせます。
