企業法務のご相談も受付中。お気軽にお問合わせください。
法務担当者が知っておくべき個人情報保護法~基本を解説
個人情報保護法は目まぐるしく改正され、近年の改正では、小規模事業者や自治会・同窓会を含めた「すべての事業者」に対象が広げられました。
個人情報を保護するシステムの構築は、高度情報社会となった現代では、企業に求められる当然の要請といえるでしょう。
会社の法務担当者は、個人情報保護法について基本的な概要は必ず身に着けておく必要がありますので、今回は、個人情報保護法の基本中の基本についてその概要を解説していきます。
[nlink url=”https://best-legal.jp/compliance-meaning-26636/”]
1、個人情報保護法とは
個人情報保護法の正式名称は、「個人情報の保護に関する法律」です。
この法律は、情報通信社会の進展により個人情報の利用が大きく拡大していることから、個人情報の保護に関する施策の基本事項を定めています。
国や地方公共団体のみならず、個人情報を取り扱う「事業者」が遵守しなければならない義務についても定められています。
(1)個人情報取扱事業者とは
「この法律が適用される対象者は誰か?」という問題について説明します。
「個人情報取扱事業者」について、個人情報保護法が適用されます。
「個人情報取扱事業者」とは、「個人情報データベース等を事業の用に供しているもの」をいいます(個人情報保護法第2条5項)。
ただし、以下のものは除かれます。
- 国の機関
- 地方公共団体
- 独立行政法人等
- 地方独立行政法人
(2)個人情報とは
これは、「この法律が適用される対象は何か?」という問題です。
「個人情報」とは、簡単に説明すれば、生存する個人に関する情報で、特定の個人を識別することができるものとまとめることができます。
「個人情報」とは、生存する個人に関する情報で、以下の2つのどちらかにあたるものです。
- 当該情報に含まれる氏名、生年月日その他の記述等に記載され、若しくは記録され、音声・動作等で表された一切の事項
- 「個人識別符号」が含まれるもの
この「個人識別符号」とは、その情報だけで特定の個人を識別できる文字、番号、記号、符号のことをいいます。
指紋データやパスポート番号、免許証番号、マイナンバーを思い浮かべてもらえればわかりやすいと思います。
(3)要配慮個人情報
「要配慮個人情報」とは、本人に不利益が生じないように特に配慮を要するものとして政令で定められている個人情報のことです。
具体的には、以下のような個人情報には、特に配慮が必要とされています。
- 本人の人種、信条、社会的身分
- 病歴
- 犯罪の経歴
- 犯罪により害を被った事実等
政令に定められているものについては、以下のようなものです。
- 身体障害者、知的障害、精神障害等があること
- 健康診断その他検査の結果
- 保険指導、診療・調剤情報
- 本人を被疑者又は被告人として、逮捕・捜索等の刑事事件に関する手続が行われたこと
- 本人を非行少年又はその疑いのある者として、少年の保護事件に関する手続が行われたこと
(4)個人情報データベース
「個人情報データベース」とは、個人情報を含む情報の集合物のことです。
以下にあたるものが個人情報データベースです。
- 特定の個人情報をパソコンで検索できるように体系的に構成したもの
- 特定の個人情報を容易に検索できるように体系的に構成したものとして政令で定めるもの等
2、個人情報取扱事業者の義務
(1)個人情報の利用目的の特定(個人情報保護法15条)
まず、個人情報を取り扱うに当たっては、その利用の目的をできる限り特定しなければなりません。
個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的との「関連性」を有すると認められる範囲を超えてはいけません。
(2)目的外利用の禁止(個人情報保護法16条)
個人情報取扱事業者は、個人情報は、本人の同意を得ないで、利用目的の達成に必要な範囲を超えて個人情報を利用してはいけません。
つまり、商品を発送するためだけに取得した顧客の住所を使用して、自社の商品の宣伝をすることはできないということです。
合併等で、事業を承継することに伴って個人情報を取得することになった場合も同様です。
個人情報の利用目的や目的外利用の禁止については、プライバシーポリシーで明記しておく方がよいでしょう。
(3)適正な取得(個人情報保護法17条)
個人情報取扱事業者は、不正な手段によって個人情報を取得してはいけません。
原則として、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してもいけません。
法令に取得してよいと規定されている場合や、人の生命・身体・財産の保護のために必要で、本人の同意を得ることが困難な場合などには、例外的に取得が許される場合があります。
(4)取得時の利用目的の通知等(個人情報保護法18条)
個人情報を取得した場合には、あらかじめその利用目的を公表していない場合には、速やかに個人情報の利用目的を本人に通知するか、公表しなければなりません。
利用目的を変更した場合も同様です。
例外として、本人又は第三者の生命・身体・財産等を害したり、通知・公表により個人情報取扱事業者の権利・正当な利益を害するおそれがあったりする場合などには、通知・公表をしなくても許されます。
また、個人情報を取得する際に利用目的が明らかであれば、逐一相手に伝える必要はありません。
(5)個人デ一タ内容の正確性の確保(個人情報保護法19条)
利用目的の達成に必要な範囲内で、個人データ(個人情報データベース等を構成する個人情報のことです)を正確かつ最新の内容に保ち、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努力しなければなりません。
これは努力義務で、違反したからといって罰則等が適用されるわけではありません。
(6)安全管理措置(個人情報保護法20条)
個人情報取扱事業者は、取り扱う個人データの漏えい・滅失・き損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければなりません。
具体的には
- 個人情報保護管理者の設置(組織的安全管理)
- 従業員に対する教育や啓発(人的安全管理)
- 入退室管理の実施(物理的安全管理)
- 個人データにパスワードを設定(技術的安全管理)
等の措置が考えられます。
(7)従業者・委託先の監督(個人情報保護法21条、22条)
個人情報取扱事業者が、従業者や委託先に個人データを取り扱わせる場合には、個人データの安全管理が図られるように従業者や委託を受けた者に対する必要かつ適切な監督を行わなければなりません。
従業員には、会社で保有する個人情報を私的に使ったり、言いふらしたりしないよう、社員教育を行うことが必要でしょう。
(8)第三者提供の制限(個人情報保護法23条)
個人情報を第三者に提供するときには、原則として「本人の同意」が必要です。
ただし、以下のような場合には同意が不要です。
- 法令の基づく場合
- 人の生命・身体・財産の保護のために必要で、本人の同意を得ることが困難なとき
- 公衆衛生の向上・児童の健全な育成の推進のために特に必要な場合で、本人の同意を得ることが困難なとき
- 国や地方公共団他等へ協力するとき
業務の委託・事業の承継・共同利用といったケースについては、「第三者提供」には当たりません。
個人情報の第三者提供についても、プライバシーポリシーに明記しておいた方がよいでしょう。
[nlink url=”https://best-legal.jp/personal-informationthird-party-provided-13392/”]
(9)利用目的の公表・通知、開示、訂正、利用停止等(個人情報保護法27~30条)
個人情報取扱事業者は、本人からの請求に応じて、個人情報について「開示」・「訂正」・「利用停止」等をしなければなりません。
ただし、保有個人データにあたる場合のみです。
「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データです。
そのため、他の業者からデータ編集作業のみを委託されて渡された個人データは、保有個人データには該当しません。
また、6か月以内に消去される個人データは、保有個人データに該当しません。
保有個人データについては、以下の項目を本人の知りうる状態に置いておく必要があります(本人の求めに応じて、遅滞なく回答する場合も含みます)。
- 個人情報取扱事業者の名称
- 利用目的
- 開示、訂正、利用停止等の請求手続の方法
- 苦情の申出先
- 認定個人情報保護団体の対象事業者である場合には、その団体の名称及び苦情の解決の申出先
個人情報の開示・訂正・利用停止等についても、プライバシーポリシーに明記しておいた方がよいでしょう。
3、令和4年4月施行!令和2年個人情報保護法改正の概要
個人情報保護法の改正法については、令和2年6月12日に公布され、令和4年4月1日から施行されます。
改正による主な新ルールは、以下のような内容になりますので、概要を説明します。
(1)個人の権利の拡充
①利用停止や消去等の個人の請求権について、これまでの不正取得等の一部の法律違反の場合に加えて、個人の権利・正当な利益が害されるおそれがある場合にも請求できるよう要件が緩和されます。
②保有個人データの開示方法について、現行の書面による方法のほか、電磁的記録の提供を含め本人が指示できるようになります。
③第三者提供記録についても、本人が開示請求できるようになります。
④6か月以内に消去する短期保存データについて、保有個人データに含めることとし、開示、利用停止等の対象になります。
⑤オプトアウト規定により第三者に提供できる個人データの範囲を限定し、不正取得された個人データやオプトアウト規定により提供された個人データについても対象外となります。
オプトアウト規定とは、本人の求めがあれば事後的に停止することを前提に、提供する個人データ項目等を公表したうえで、本人の同意なく第三者に個人データを提供できる制度のことです。
(2)事業者の義務について
事業者の義務については、
- 漏えいが発生し、個人の権利利益を害するおそれがある場合に、委員会への報告・本人への通知義務
- 違法、不当な行為を助長する等の不適正な方法による個人情報の利用禁止
について明記されました。
(3)事業者による自主的な取り組みを促す仕組み
認定団体制度について、現行では対象企業のすべての分野・部門を対象としていますが、企業の特定分野(部門)を対象とする団体を認定できるようになります。
(4)データ活用
①氏名等を削除した「仮名加工情報」を創設して、内部分析に限定する等を条件に、開示・利用停止請求への対応等の義務が緩和されます。
②提供元では個人データには該当しないものの、提供先では個人データとなることが想定される情報の第三者提供について、本人の同意が得られていること等の確認が義務付けられます。
(5)罰則の引き上げ
①委員会による命令に違反した場合の法定刑が「6月以下の懲役又は30万円以下の罰金」から「1年以下の懲役又は100万円の罰金」へ引き上げられます。
また、委員会への虚偽報告等をした場合の法定刑が、「30万円以下の罰金」から「50万円以下の罰金」へ引き上げられます。
②データベース等不正提供罪や委員会による命令違反の罰金について、法人と個人の資力の差を考慮して、法人に対しては行為者よりも罰金刑の最高額を引き上げる法人重料制度が導入されます。
具体的には、個人と同額の「30万円以下の罰金」や「50万円以下の罰金」であったものについて、法人の場合、「1億円以下の罰金」とされます。
4、個人情報保護法は「ガイドライン」が大切
(1)通則編
個人情報保護法には、ガイドラインが存在しています。
ガイドラインとは、「個人情報の保護に関する法律についてのガイドライン」のことです。
このガイドラインは個人情報保護法4条、8条及び60条に基づいて具体的な指針として定められたもので
- 個人情報の適正な取り扱いの確保に関する活動の支援
- 事業者が講じる措置の適切・有効な実施
を目的としています。
ガイドラインの通則編は、個人情報や対象事業者等の法律上の用語の定義や具体的な措置について、ケースをあげて示してくれていますので、会社の法務担当者は必携です。
(2)外国第三者提供編
このガイドラインは、外国にある第三者への個人データの提供に関する部分に特化して規則で定められた基準について、以下のように具体的な事例も交えてわかりやすく示してくれています。
- 「個人情報保護法の趣旨に沿った措置」の具体例としてOECD、APEC等の国際的な枠組みの基準
- 「適切かつ合理的な方法」の例として、外国事業者に委託する場合やグループ企業内で個人データを移転する場合の措置の内容
(3)確認記録義務編
このガイドラインは、法律が定める事業者の義務のうち、第三者提供における確認・記録義務に関する部分に特化したものです。
ガイドラインでは、一般的なビジネスの実態に配慮して、以下のようなケースでは確認・記録の義務がないと整理されています。
- SNS上で投稿者のプロフィールを取得する場合のように本人による提供と整理できる事案
- 銀行振込において銀行間で情報が提供される場合のように本人に代わって提供していると整理できる場合
- 同席している家族のように本人と一体と評価できる関係にある者への提供と整理できる場合
- 名刺1枚のコピーを渡す場合のように個人データに該当しないと整理できる場合等
(4)匿名加工情報編
規則で定められた匿名加工情報の作成方法に関する基準について具体的な事例を交えて、わかりやすく示しています。
他にも、匿名加工の手法やデータ処理について、認定個人情報保護団体の自主ルールを作成する際の参考となる事項、考え方について示す事務局レポートも作成しています。
(5)金融関連分野・医療関連分野・電気通信事業分野
特定の分野については、その業務における個人情報について、格別の措置が講じられるように分野別にガイドラインが定められています。
分野別のガイドラインが定められているのは以下のような分野です。
- 金融関連分野
- 医療関連分野
- 電気通信事業分野
- 放送分野
- 郵便事業分野
- 信書便事業分野
5、プライバシーマーク制度とは
プライバシーマーク制度とは、「JIS Q15001個人情報保護マネジメントシステム-要求事項」(日本産業規格)に適合していて、個人情報について適切な保護措置を整備している事業者等を評価する制度です。
評価された事業者等はプライバシーマークを付与され、事業の活動に関してプライバシーマークを使用することが認められています。
事業者にとっては、法律を遵守していることはもちろん、自主的に高い個人情報保護システムを確立して運用していることを外部にアピールできる有効な手段として活用することも期待できます。
まとめ
以上、今回は、個人情報保護法に関する基本的な概要について解説しました。
事業者は、個人情報保護法を遵守するために社内ルールを定めたり、組織体制を確立したりする必要があるでしょう。
また、社内研修等で従業員に対して、個人情報の取り扱いについて教育する必要もあるでしょう。そのような業務は、是非、個人情報保護法に精通した弁護士にお任せください。
※この記事は公開日時点の法律をもとに執筆しています