個人情報保護法制の構成

個人情報保護法（正確には「個人情報の保護に関する法律」）は2003年5月30日、公布と同時に施行となりました（但し、第4章～第6章の施行は2005年4月1日より）。
実は個人情報保護法は対象ごとに細かく分かれており、民間企業向けのものが「個人情報保護法」であり、行政機関向けは「行政機関個人情報保護法」（自治体はこれに倣ってそれぞれが条例を作る）、独立行政法人向けは「独立行政法人個人情報保護法」となっています。2003年5月30日には個人情報保護法関係五法、すなわち「個人情報保護法」「行政機関個人情報保護法」「独立行政法人等個人情報保護法」「情報公開・個人情報保護審査会設置法」「行政機関個人情報保護法関係整備法」がまとめて公布されました。

ただし、「個人情報保護法」は基本法的な性格を持っているため、第1章から第3章までの「個人情報保護法」の目的や基本理念などは、行政機関・独立行政法人など全てに適用され、第4章以降が純粋に民間企業向けの規定となっています。従って個人情報保護法といっても対象組織ごとに少しずつ内容が異なっている点に注意が必要です。

個人情報保護法制定の背景

しかし、個人情報保護についての認識が高まっているにもかかわらず、個人情報漏えい問題が後を絶ちません。しかも、有名企業の大量漏えい事件が数多く発生しています。その原因には不注意あるいは過失によるケース、金銭目当てに内部の人間が個人情報を名簿業者などに販売するケースなど様々です。これらの背景にはどのような問題があるのでしょうか。IT技術の進展によって、今日では官民を問わず大量の個人情報がコンピューター処理されるようになっています。つまりIT技術を駆使した個人情報の活用により、国は国民に対する行政サービスを、企業は消費者・顧客に対する様々なサービス（従業員に対するものを含む）を提供しています。その結果、国民は国や企業から様々なサービスを享受し、便利で快適な生活を送っています。
このような情報環境の中で、一度個人情報が不適正な形で取り扱われると、個人のプライバシーや財産的な権利利益の侵害など、深刻な事態を引き起しかねないといった問題があり、ここにコンピューター社会の光と影の部分を垣間見ることができます。

このような背景から、国際的にも個人情報保護に関する関心が高まり、1980年にはOECD（経済協力開発機構）において「プライバシー保護と個人データの国際流通についてのガイドラインに関する理事会勧告」（いわゆるOECDガイドライン）が採択されています。その後各国において、このガイドラインを採り入れた個人情報保護法制の整備が進められ、我が国においても、1988年に国の行政機関を対象にした「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」が制定されました。

ところが、この法律は対象が行政機関のみ、しかもコンピューター処理の個人情報のみに限定されているという問題があったため、欠落していた民間企業を対象に加え、紙情報などその他の媒体を含めた全ての個人情報を対象とする新しい個人情報保護法制を確立する必要がありました。そしてようやく2003年5月に前述の新法が制定、公布されるに至りました。

改正個人情報保護法

2005年の全面施行から10年が経過し、この間のICTの急速な発展により、制定当時には想定されていなかったパーソナルデータを含むビッグデータの活用というニーズがクローズアップされるようになりました。パーソナルデータとは、個人識別性の有無にかかわらず、「個人に関する情報」全般を指す名称です。具体的には、個人情報保護法が規定する「個人情報」に、位置情報や購買履歴などの個人識別性のない情報や、匿名加工情報を加えた「個人に関する情報」のことをいいます。

一方、個人情報の大量流出事件が増加し、この問題に対応する必要性も高まってきました。そこで2015年9月、個人情報の保護を図りつつ、パーソナルデータの利活用を促進することにより、新産業･新サービスの創出と国民の安全･安心の向上の実現を目的とする大きな改正が行なわれることとなりました。
なお、この個人情報保護法の改正に併せて、2016年5月、行政機関及び独立行政法人の個人情報保護法も同様の趣旨の改正が行なわれ、2017年5月30日に全ての改正法の施行がされました。