個人情報の保護について、このようなお悩みはありませんか?
- 自社が個人情報保護法の規制対象になるのかわからない。
- 規制対象となる場合、個人情報保護のため、どのようなことをしなければいけないのかわからない。
- 個人情報保護法の改正に伴い、プライバシーポリシーをどのように修正したら良いのかわからない。
- 個人情報の漏洩が起きてしまったが、どのような対応をすればいいかわからない。
- 令和4年4月1日施行の改正個人情報保護法について、どのような対応をすればいいかわからない。
個人情報保護法の概要
Point1個人情報保護法の規制対象
個人情報保護法の規制対象になるのは、「個人情報取扱事業者」に該当する者です(2条5項)。
個人情報取扱事業者とは?
「個人情報データベース等」を事業の用に供している者です。平成29年5月に施工された改正法により、取り扱う個人情報の数が5000人以下である事業者を規制対象から除外する制度が撤廃されたため、多くの事業者が規制対象となります。
個人情報とは?
「生存する個人に関する情報」であって、氏名や生年月日、その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含みます。)や、個人識別符号(旅券番号、基礎年金番号、運転免許証番号、マイナンバー、DNAデータ、指紋・掌紋、目の虹彩データ、容貌など)が含まれるものです(2条1項)。
要配慮個人情報とは?
本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいいます(2条3項)。
個人情報データベース等とは?
「個人情報」を含む情報の集合物であって、特定の個人情報をコンピューターを用いて検索することができるように構成したもの(例えば、メールソフト内のアドレス帳)や、コンピューターを用いていない場合でも、個人情報を五十音順に並べるなどして、容易に検索できるように体系的に構成されたもの(例えば、五十音順に整理された名刺ホルダー)が、個人情報データベース等にあたります(2条4項)。
個人データとは?
個人情報データベース等を構成する個人情報をいいます(16条3項)。
保有個人データとは?
基本的に、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データです(16条4項)。
Point2個人情報の利用目的
利用目的の特定
個人情報取扱事業者は、個人情報の利用目的をできる限り特定しなければなりません(15条1項)。「事業活動に用いるため」、「マーケティング活動に用いるため」などという抽象的な程度では、利用目的を特定しているとはいえず、「○○事業における商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせのために利用いたします。」というように特定する必要があります。
利用目的による制限
個人情報取扱事業者は、あらかじめ本人の同意を得ないで、特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはなりません(16条1項)。ただし、その同意を得るために個人情報を利用して、メールの送信や電話をかけること等は、当初特定した利用目的として記載されていない場合でも、目的外利用には該当しません。
利用目的の公表等
個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知するか、公表しなければなりません(18条1項)。公表の方法としては、自社のホームページのトップページから1回程度の操作で到達できる場所へプライバシーポリシーを掲載する方法が一般的です。
Point3安全管理措置
個人情報取扱事業者は、個人データ(個人情報データベース等を構成する個人情報のこと)の漏えい、滅失、き損の防止のために必要かつ適切な措置を講じなければなりません(20条)。
安全管理措置は、基本方針の策定、個人データの取扱いに係る規律の整備、組織的安全管理措置、人的安全管理措置、物理的安全管理措置、技術的安全管理措置に分類され、その内容は、個人情報保護委員会が公表するガイドライン(通則編)で具体的に説明されています。
これら措置は、リスクに応じて、必要かつ適切な内容とすべきものであり、必ずしも例示されている内容の全てを講じなければならないわけではありません。
また、中小規模事業者(基本的に、従業員の数が100人以下の個人情報取扱事業者)は、要求される安全管理措置の程度が緩和されています。
安全管理措置の公表等
令和4年4月1日施行の個人情報保護法により、原則として、保有個人データの安全管理のために講じた措置を公表する必要があります。公表等の方法については、本人の求めに応じて遅滞なく回答する場合も含まれるため、必ずしもプライバシーポリシーになどにより常時掲載していなければならないわけではありません。
この点、組織的安全管理措置、人的安全管理措置、物理的安全管理措置、技術的安全管理措置、外的環境の把握等 をある程度具体的に公表する必要があり、単に、「個人情報の保護の法律についてのガイドライン(通則編)」に沿って安全管理措置を実施しているといった抽象的な公表では不十分です。
ただし、本人の知り得る状態に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるもの(例えば、個人データが記録された機器等の廃棄方法、個人データ管理区域の入退室管理方法、アクセス制御の範囲、アクセス者の認証手法、不正アクセス防止措置の内容 など)は除かれ、公表する必要がありません(27条1項4号。施行令8条1号)。
Point4第三者提供
個人情報取扱事業者は、原則として、あらかじめ本人の同意を得ないで、個人データを第三者に提供することができません(23条1項)。
オプトアウト
ただし、例外的に、個人情報取扱事業者は、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合は、個人データを第三者に提供することができます(同条2項)。この場合、次の事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければなりません。これをオプトアウトといいます。
一 第三者への提供を利用目的とすること
二 第三者に提供される個人データの項目
三 第三者への提供の方法
なお、要配慮個人情報については、オプトアウト制度により、第三者提供することができません。
第三者提供記録の作成・開示
現行法上、個人情報取扱事業者は、個人データを第三者に提供したときは、当該個人データを提供した年月日、当該第三者の氏名又は名称その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければなりません(第25条1項)。
さらに、令和4年4月1日施行の改正法では、本人から請求があった場合に、本人に対し第三者提供記録を開示する必要があります(新第33条5項)。なお、開示すべき事項は、法において記録事項とされているもので足り、それ以外の事項を開示する必要はありません。また、開示方法は、保有個人データの開示と同様です。
Point5本人の権利
開示請求権
開示請求権は、現行法でも、裁判上も求めることができる権利であることが明示されています(28条1項)。現行法では、その開示方法について、「書面の交付による方法(開示の請求を行った者が同意した方法があるときは、当該方法)」と定められていますが(施行令9条)、令和4年4月1日施行の改正法では、「電磁的記録の提供による方法その他の個人情報保護委員会規則で定める方法」と定められており(33条1項)、本人に開示方法の選択が認められています。
利用停止・消去請求権
現行法では、本人による個人情報の利用停止及び消去、第三者提供停止を一定の個人情報保護法に違反した場合に限定していますが、令和4年4月1日施行の改正法では、そのほかに、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用している場合や(35条1項)、当該本人が識別される保有個人データを当該個人情報取扱事業者が利用する必要がなくなった場合(3項)、その他当該本人が識別される保有個人データの取扱いにより当該本人の権利又は正当な利益が害されるおそれがある場合(5項)などの要件を満たす場合にも、原則として、利用停止等をしなければならなくなりました。
Point6個人情報漏洩時の対応
① 事実関係・原因の調査(いつ、どこで、どのような情報が、誰に対し、どのように漏洩したかの確認。人為的ミスか、不正アクセスか、ハッキングか、ファイル共有ソフトによるものかの調査、二次被害の可能性の確認)
② さらなる情報漏洩の防止(ウイルスに感染したパソコンのネットワークからの遮断、漏洩した情報の迅速な回収)
③ 影響を受ける可能性のある本人への連絡・謝罪
④ 主務大臣や業界団体への報告(事案によって必須となる場合がある)
⑤ 事実関係・再発防止策の公表
漏洩等報告・通知の義務化
令和4年4月1日施行の個人情報保護法により、個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるもの*が生じたときは、基本的に、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければなりました(22条の2、第1項)。
また、基本的に、本人に対しても、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知しなければなりません(同条2項)。
*次のような場合が、該当します。
・要配慮個人情報の漏洩等
・財産的被害が生じるおそれがある漏洩等
・不正の目的をもって行われたおそれのある漏洩等
・1000件を超える漏洩等
Point7越境移転(国外への個人データの提供)
本人の同意
原則として、個人情報取扱事業者は、外国にある第三者に個人データを提供する場合には、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければなりません(24条)。
情報提供の充実等
その場合、あらかじめ、移転先の外国の国名、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他本人に参考となるべき情報を本人に提供しなければなりません(同条2項)。
「外国における個人情報の保護に関する制度」については、網羅的な調査までは必要ありませんが、本人の予見可能性を高めるという制度趣旨を踏まえ、日本の個人情報保護法との間の本質的な差異を合理的に認識できる情報を提供しなければなりません。具体的には、移転先国における個人情報の保護に関する制度の有無、移転先国の個人情報の保護に関する制度について一定の指標となり得る情報の有無、OECDプライバシーガイドライン8原則に対応する事業者の義務又は権利の不存在 、その他本人の権利利益に重大な影響を及ぼす可能性のある制度の存在などです。
Point8仮名加工情報
仮名加工情報とは?
当該個人情報に含まれる記述等の一部を削除するなどの措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報です(2条5項)。
目的・背景
現行法でも、「匿名加工情報」というカテゴリーが設けられ、個人情報を匿名加工した場合には、規制が大幅に緩和され、内部利用や外部提供が容易になります。しかし、「匿名加工」の法定基準は厳しく、その基準を満たすことは容易ではありません。そこで、令和4年4月1日施行の改正法において、新たに「仮名加工情報」という個人情報と匿名加工情報の中間的なカテゴリーが設けられ、内部利用が容易になります。
仮名加工情報に関する規制緩和
①利用目的の変更が自由に行える。
ただし、変更後の利用目的を公表等する必要があります(41条4項)。また、仮名加工情報を使って、電話、郵便、電報、ファックス、電子メール、SMS、住居訪問等することは禁止されています(8項)。
②漏洩時の報告・通知義務がない。
③開示・訂正・利用停止等の対象とならない。
外部提供は厳格
他方、仮名加工情報の外部提供は厳格であり、外部提供できるのは、①法令に基づく場合、②委託、③合併等の事業承継、④共同利用の場合のみです(41条6項)。この点が、外部提供も容易にできる匿名加工情報と大きく異なります。
Q&A
Q
本人の同意を得ないで、グループ会社に対し、個人情報を提供することはできますか?
A
個人情報取扱事業者は、原則として、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはなりません(23条1項)。親子兄弟会社、グループ会社の間で個人データを交換する場合や、フランチャイズ組織の本部と加盟店の間で個人データを交換する場合、同業者間で、特定の個人データを交換する場合なども、基本的に、第三者への提供にあたります。
これに対し、同一事業者内で他部門へ個人データを提供する場合は、第三者への提供にはあたりません(ただし、利用目的による制限は受けます)。
Q
個人関連情報とは?
A
生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいいます(2条7項)。例えば、氏名と結びついていないインターネットの閲覧履歴、位置情報、Cookie情報などが挙げられます。
提供情報が個人データに該当するか否かは、データの提供元を基準に判断されます(提供元基準説)。そのため、提供された情報が提供先にとっては個人データであっても、提供元にとっては個人データに該当しない場合には、個人データの提供には該当しないことになってしまいます。そこで、リクナビ事件を受け、2020年改正法により、新しく、このような情報を「個人関連情報」とカテゴライズし、原則として、提供元に、本人の同意等を確認する義務が課せらることになりました(31条1項)。
Q
個人データの取扱いに関する責任者を選任する法的義務はありますか?
A
令和2年改正法でも条文化は見送られており、法的義務はありません。
ただし、二当事者間の個人情報保護に関する契約書において、責任者の選任が契約上の義務とされている場合があります。また、ガイドライン通則編の「組織体制の整備」の項で、「責任者の設置及び責任の明確化」が手法の例として挙げられていますので、対応が望ましいでしょう。
![[受付時間]平日 9:00〜17:30 03-6432-0965](/wp-content/uploads/contact_tel.png)
