個人情報保護法の今
1、個人情報保護法と2015年改正
個人情報保護法は、個人情報を取り扱う事業者の遵守すべき義務等を定めることで、個人情報が適正に活用されること、個人の権利利益を保護することを目的とする法律
↓
日本では2003年5月23日に個人情報保護法が成立し、以後実質的な改正は一度も行われていなかったところ、個人情報の漏洩・流通への対応、ビッグデータの活用の観点等からの見直しがなされ、改正案が2015年通常国会に番号利用法(マイナンバー法)改正案とともに提出され、同年9月3日に成立した。2017年5月30日から改正個人情報保護法が全面施行されている。
※ 2015年改正の概略について資料(1)(内閣官房IT総合戦略室資料)
2、個人情報取扱事業者の主な義務
「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者のこと。2015年改正によって取り扱い個人情報の件数の多寡を問わず個人情報取扱事業者とされる。
※ 改正前は5000人以下の個人情報しか有しない事業者は、個人情報取扱事業者ではなく規制の対象外だった。しかし、改正でこの制限は廃止された。
「個人情報データベース等」とは、個人情報を含む情報の集合で、特定の個人情報を電子計算機その他の方法で容易に検索することができるようにしたもの
↓
個人情報を取り扱う企業(顧客のみならず従業員等の個人情報を含む)は、全て個人情報取扱事業者に該当し、個人情報保護法による義務を負う。
【個人情報取扱事業者の主な義務】以下の()内は個人情報保護法の条文
(1)個人情報の取得に際しての義務
- 個人情報を取得するために事前に本人(情報主体)の同意は、原則として不要(17条2項)。しかし、偽りその他不正の手段により個人情報を取得してはならず(17条1項)、個人情報を取得した場合は、あらかじめ利用目的を公表していない限り、速やかにその利用目的を本人に通知、又は公表しなければならない(18条1項)。
- ただし、要配慮個人情報は、あらかじめ本人の同意を得なければ、原則として取得できない(17条2項)。
「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実、その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報(2条3項)。
↓
例 身体障害、知的障害、精神障害(発達障害を含む。)その他の心身の機能の障害があること。 医師等により行われた疾病の予防及び早期発見のための健康診断その他の検査の結果 本人を被疑者又は被告人として、逮捕、捜索、差押え、拘留、公訴の提起その他の刑事事件に関する手続が行われたこと。 - 契約書の受領等本人から直接、書面に記載された本人の個人情報を取得する場合は、あらかじめ、本人にその個人情報の利用目的を明示しておかなければならない(18条2項)。
※ インターネット上に公開されている個人情報を、単に画面上で閲覧するだけであれば個人情報保護法にいう「取得」にはあたらない。
(2)利用目的の変更等に関する義務
- 本人からあらかじめ同意を得ない限り、利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはならない(16条1項)
- 利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて変更してはならない(15条2項)。
- 利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない(18条3項)。
(3)第三者提供に関する義務
- あらかじめ本人の同意を得ないで個人データを第三者に提供することはできない。
ただし、次の場合は、本人の同意不要で第三者に提供できる(23条1項)。
(1)法令に基づく場合
例えば、警察の捜査関係事項照会や、裁判官の発する令状に基づく捜査、税務署の調査、弁護士会からの照会に対応する場合
(2)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
例えば、急病発症時に、血液型や家族の連絡先等を医師に提供したり、暴力団等の情報、意図的に業務妨害を行う者の情報を事業者間で共有したり、商品に欠陥があって人の生命、身体又は財産の保護が必要となるような緊急時に、製造業者から顧客情報の提供を求められて応じる場合
(3)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
例えば、児童虐待のおそれのある家庭情報を、児童相談所、警察、学校、病院等が共有する場合
(4)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して、事業者が協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
例えば、警察の任意の求めに応じて個人情報を提出する場合
※ 「個人データ」とは、個人情報データベース等を構成する個人情報のこと(2条6項)。
↓
「個人情報データベース等」とは、電子計算機などによって容易に検索することができるように構成されている情報の集合物のこと(2条4項)。 - (オプトアウト)
配慮個人情報を除く個人データは、本人の求めがあれば第三者提供を停止することにしていて、かつ、第三者に提供する項目などをあらかじめ本人に通知し又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、第三者に提供できる(23条2項)。
個人情報保護委員会は、上記の届出があったら公表する(23条4項)。
要配慮個人情報は、オプトアウトの方法では第三者提供できない。原則として本人の同意が必要。 - (外国への第三者提供)
外国にいる第三者に対しては、あらかじめ本人の同意を得なければ、原則として個人データを提供できない。
ただし、個人情報保護委員会が、我が国と同等水準で個人情報を保護しているものとして、個人情報保護委員会規則で定める外国は除く(24条)。※ 外国にあるサーバーに個人データを保存した場合は外国にいる第三者への提供にあたるか。
↓
契約上、外国にある当該サーバーの運営事業者が、サーバーに保存された個人データを取り扱わないこととなっていて、適切にアクセス制御を行っているような場合は第三者への提供には該当しない。 - (トレーサビリティの確保)
個人データを第三者に提供したときは、その年月日、第三者の氏名等の記録を作成・保存しなければならない(25条)。 第三者から個人データの提供を受ける際は、第三者の氏名やその第三者による個人データの取得の経緯を確認し、記録を作成・保存しなければならない(26条)。 第三者は、上記確認の際、個人データ取得の経緯等を偽ってはならない(26条2項)。
(4)漏洩防止等の義務
取り扱う個人データの漏えい、滅失又はき損の防止その他の安全管理のために必要適切な措置を講じなければならない(20条)。
↓
(努力義務)(平成29年個人情報保護委員会告示第1号)
漏えい等事案が発覚した場合、個人情報保護委員会に速やかに報告するよう努め、影響を受ける可能性のある本人への連絡を行うように努め、事実関係及び再発防止策等の公表に努めるものとする。
(5)開示・訂正等の義務
本人から本人の個人データの開示を受けたら、原則として、遅滞なく開示しなければならず(28条)、訂正を求められたら調査のうえ必要に応じ訂正しなければならない(29条)。
(6)罰則
個人情報の取得(17条)、個人情報の第三者提供(23条)、第三者提供した際の記録作成・保管(25条)、第三者から取得する際の確認(26条)に違反した場合で、個人情報保護委員会の命令(42条2項又は3項)に従わなければ、6月以上の懲役又は30万円以下の罰金(84条)。
行為者に加え、使用者たる法人又は人にも罰金刑を科する(87条)。
第三者提供する際の取得経緯確認説明で虚偽を述べてはならない義務(26条2項)違反については、(命令等は無関係で)10万円以下の過料(88条)。
業務に関して取り扱った個人情報データベース等を不正利益を図る目的で提供又は盗用したときは、1年以下の懲役又は50万円以下の罰金(83条)。
行為者に加え、使用者たる法人又は人にも罰金刑を科する(87条)。
