個人情報保護

個人情報の保護について、このようなお悩みはありませんか?

個人情報の保護について、このようなお悩みはありませんか?

個人情報保護の注意点

Point1個人情報保護法の規制対象

個人情報保護法の規制対象になるのは、「個人情報取扱事業者」に該当する者です(2条5項)。

個人情報取扱事業者とは?

「個人情報データベース等」を事業の用に供している者です。平成29年5月に施工された改正法により、取り扱う個人情報の数が5000人以下である事業者を規制対象から除外する制度が撤廃されたため、多くの事業者が規制対象となります。

個人情報とは?

「生存する個人に関する情報」であって、氏名や生年月日、その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含みます。)や、個人識別符号(旅券番号、基礎年金番号、運転免許証番号、マイナンバー、DNAデータ、指紋・掌紋、目の虹彩データ、容貌など)が含まれるものです(2条1項)。

要配慮個人情報とは?

本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいいます(2条3項)。

個人情報データベース等とは?

「個人情報」を含む情報の集合物であって、特定の個人情報をコンピューターを用いて検索することができるように構成したもの(例えば、メールソフト内のアドレス帳)や、コンピューターを用いていない場合でも、個人情報を五十音順に並べるなどして、容易に検索できるように体系的に構成されたもの(例えば、五十音順に整理された名刺ホルダー)が、個人情報データベース等にあたります(2条4項)。

個人データとは?

個人情報データベース等を構成する個人情報をいいます(16条3項)。

保有個人データとは?

基本的に、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データです(16条4項)。

Point2個人情報の利用目的

利用目的の特定

個人情報取扱事業者は、個人情報の利用目的をできる限り特定しなければなりません(15条1項)。「事業活動に用いるため」、「マーケティング活動に用いるため」などという抽象的な程度では、利用目的を特定しているとはいえず、「○○事業における商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせのために利用いたします。」というように特定する必要があります。

利用目的による制限

個人情報取扱事業者は、あらかじめ本人の同意を得ないで、特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはなりません(16条1項)。ただし、その同意を得るために個人情報を利用して、メールの送信や電話をかけること等は、当初特定した利用目的として記載されていない場合でも、目的外利用には該当しません。

利用目的の公表等

個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知するか、公表しなければなりません(18条1項)。公表の方法としては、自社のホームページのトップページから1回程度の操作で到達できる場所へプライバシーポリシーを掲載する方法が一般的です。

Point3安全管理措置

個人情報取扱事業者は、個人データ(個人情報データベース等を構成する個人情報のこと)の漏えい、滅失、き損の防止のために必要かつ適切な措置を講じなければなりません(20条)。

安全管理措置は、基本方針の策定、個人データの取扱いに係る規律の整備、組織的安全管理措置、人的安全管理措置、物理的安全管理措置、技術的安全管理措置に分類され、その内容は、個人情報保護委員会が公表するガイドライン(通則編)で具体的に説明されています。
これら措置は、リスクに応じて、必要かつ適切な内容とすべきものであり、必ずしも例示されている内容の全てを講じなければならないわけではありません。
また、中小規模事業者(基本的に、従業員の数が100人以下の個人情報取扱事業者)は、要求される安全管理措置の程度が緩和されています。

安全管理措置の公表等

令和4年4月1日施行の個人情報保護法により、原則として、保有個人データの安全管理のために講じた措置を公表する必要があります。ただし、本人の知り得る状態に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるもの(例えば、個人データが記録された機器等の廃棄方法、不正アクセス防止措置の内容 など)を除きます(27条1項4号。施行令8条1号)。

Point4個人情報漏洩時の対応

① 事実関係・原因の調査(いつ、どこで、どのような情報が、誰に対し、どのように漏洩したかの確認。人為的ミスか、不正アクセスか、ハッキングか、ファイル共有ソフトによるものかの調査、二次被害の可能性の確認)
② さらなる情報漏洩の防止(ウイルスに感染したパソコンのネットワークからの遮断、漏洩した情報の迅速な回収)
③ 影響を受ける可能性のある本人への連絡・謝罪
④ 主務大臣や業界団体への報告(事案によって必須となる場合がある)
⑤ 事実関係・再発防止策の公表

漏洩等報告・通知の義務化

令和4年4月1日施行の個人情報保護法により、個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるもの*が生じたときは、基本的に、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければなりました(22条の2、第1項)。

また、基本的に、本人に対しても、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知しなければなりません(同条2項)。

*次のような場合が、該当します。

・要配慮個人情報の漏洩等

・財産的被害が生じるおそれがある漏洩等

・不正の目的をもって行われたおそれのある漏洩等

・1000件を超える漏洩等

Point5越境移転(国外への個人データの提供)

本人の同意

原則として、個人情報取扱事業者は、外国にある第三者に個人データを提供する場合には、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければなりません(24条)。

情報提供の充実等

その場合、あらかじめ、移転先の外国の国名、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他本人に参考となるべき情報を本人に提供しなければなりません(同条2項)。

「外国における個人情報の保護に関する制度」については、網羅的な調査までは必要ありませんが、本人の予見可能性を高めるという制度趣旨を踏まえ、日本の個人情報保護法との間の本質的な差異を合理的に認識できる情報を提供しなければなりません。具体的には、移転先国における個人情報の保護に関する制度の有無、移転先国の個人情報の保護に関する制度について一定の指標となり得る情報の有無、OECDプライバシーガイドライン8原則に対応する事業者の義務又は権利の不存在 、その他本人の権利利益に重大な影響を及ぼす可能性のある制度の存在などです。 

Q&A

Q

本人の同意を得ないで、グループ会社に対し、個人情報を提供することはできますか?

A

個人情報取扱事業者は、原則として、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはなりません(23条1項)。親子兄弟会社、グループ会社の間で個人データを交換する場合や、フランチャイズ組織の本部と加盟店の間で個人データを交換する場合、同業者間で、特定の個人データを交換する場合なども、基本的に、第三者への提供にあたります。
これに対し、同一事業者内で他部門へ個人データを提供する場合は、第三者への提供にはあたりません(ただし、利用目的による制限は受けます)。

Q

個人関連情報とは?

A

生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいいます(2条7項)。例えば、氏名と結びついていないインターネットの閲覧履歴、位置情報、Cookie情報などが挙げられます。

提供情報が個人データに該当するか否かは、データの提供元を基準に判断されます(提供元基準説)。そのため、提供された情報が提供先にとっては個人データであっても、提供元にとっては個人データに該当しない場合には、個人データの提供には該当しないことになってしまいます。そこで、リクナビ事件を受け、2020年改正法により、新しく、このような情報を「個人関連情報」とカテゴライズし、原則として、提供元に、本人の同意等を確認する義務が課せらることになりました(31条1項)。

まずは相談することが
解決への第一歩となります。

トラブルを抱え、鬱々とした日々を過ごしてはいませんか?

当事務所はトラブルに即時介入し、依頼者の盾となり、ストレスフルな日々から解放します。

pagetop