個人情報保護法とは個人の情報を保護するために整備された法律で、法の制定は2005年で、その後2017年5月に「改正個人情報保護法」が施行され、以前は個人情報の取扱件数5,000以上の事業者が法規制の対象となっていましたが、現在は1件でも取り扱う事業者が対象となっており、事業者であれば常に意識しなければならない問題となっています。
ちなみに個人情報は法制以前には、個人情報の取り扱いは「JIS Q 15001」 や「 OECD プライバシーガイドライン」の枠内で規定されるに留まっていました(国内で「プライバシーマーク制度」という認証制度が始まったのもこの頃)が、情報化社会の到来によって、より強固に事業者を規制する必要が生じたことから上記の通り法制化されたという経緯があります。そこで今回は、簡単に個人情報保護法について解説していきたいと思います。
ちなみにみなオジブログでも、過去に個人情報について説明した回がありましたが、どちらかというとGDPR等の海外へのデータ移転に関する内容に偏っていたかと思いますので、より初級編として改めて記載したものになります。(2022年4月の改正施行を受けて一部加筆修正しました。)
関連過去ブログ:個人情報保護法について~法律論ではなく概念的に説明してみたは→コチラ
目次
個人情報保護法の趣旨
個人情報保護法は、個人情報の保護と個人情報を適正・効果的活用のための有効性維持を目的(第1条)として成立しました。
個人情報保護法第1条 個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。 |
本法の趣旨としては、産業発展の為に「個人情報の有効活用」と「個人の権利利益を保護」の両立をこの法律に則って実現しましょうという事です。具体的には、個人情報の取得や利用に本人の同意を求めるなどして、企業の個人情報の収集に関し一定の制限を掛けていくというものです。
個人情報取扱事業者/個人情報とは?
個人情報取扱事業者とは、「事業目的」で体系的に整備された個人情報を取り扱う者を指します(同法第2条第5項)。
個人情報保護法第2条第5項 この法律において「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。 一 国の機関 二 地方公共団体 三 独立行政法人等 四 地方独立行政法人 |
個人情報は「生存する個人に関する情報」「特定の個人を識別できる情報」であると定義され、2017年の改正で「匿名加工情報」が新たに加えられ、大きく以下の3つの分類に定義されました。
イ.個人識別符号(第2条2項) ①身体情報のデータ(例:指紋データ、DNA、虹彩、声紋、静脈、顔認識データ等のバイオメトリクス) ②特定の人に付された番号などの情報(例:免許証番号、クレジットカード番号、旅券番号、年金番号、マイナンバー、住民票コード) ロ.要配慮個人情報(第2条3項) 人種、信条、社会的身分、病歴、犯罪の経歴 ハ.匿名加工情報(法36条) |
匿名加工情報とは?
匿名加工情報とは、特定の個人を識別することができないように個人情報を加工し、当該個人情報を復元できないようにした情報のことをいいます。(引用元:個人情報保護委員会HP) |
匿名加工情報の具体例を挙げると、我々が良く利用するポイント(メンバー)カードで収集される情報が挙げられまです。普段、何気なくカードをスキャンしてポイントを貯めていますが、その際に個人の公共交通機関の利用履歴や購買履歴等も収集されています。
そしてカード発行元はそのデータを加工して、それを第3者たるメーカー等に提供します。メーカーやセールスプロモーションを担う会社はそれらのデータを解析して、新商品のターゲット選定などに利用するという事が行われていますが、ここで提供される購買者の属性などが「匿名加工情報」に該当します。当該規定は最近よく叫ばれている「ビッグデータ」のうち、特に「個人の行動・状態に関するデータ」の利用環境を整備したいという思惑のもと新設されました。
匿名加工情報は個人情報に該当しない為、第三者提供時に本人の同意は不要となりますが、個人情報保護委員会規則で定める基準に従い「適切な加工」をする必要があります(法36条法改正により第41条に繰り下げ、規則第19条同じく改正により第34条に繰り下げ)。
例えば顔写真付きの会員カードであるならば、名前はもちろん当該顔写真も削除しなければなりませんし、特定が容易になる記載(例:日本最高齢の年齢等)も削除する必要があります。また「安全管理措置」や「公表義務」についても、個人情報と同様に事業者の義務となります。
また、匿名加工情報を取り扱う事業者は匿名加工情報の作成に用いられた個人情報に係る本人を識別するためにあらゆる技術や手法を用いても照合してはいけないと定められています。
2017年法改正
法制度の整備が整ったにもかかわらず、情報通信技術の飛躍的な進展と利用者側も高度な情報通信技術を有するようになったことから、個人情報の悪用リスクがさらに高まることになり、2017年施行の法改正では手続・組織面について以下の様な強化が図られました。
個人情報保護委員会の新設
法に違背する事業者の取締り強化を目的として、事業者の監督権限を各分野の主務大臣から個人情報保護委員会に一元化されています。なお、同委員会は個人情報保護法に関する事務の他、マイナンバー制度に関する事務を所掌しています。
個人情報の定義の明確化(グレーゾーンの撤廃)
上述の通り、身体情報のデータと要配慮個人情報も個人情報に含む旨明文化されました。ちなみに、個人情報は「一般的なビジネスの実態に配慮」して判断され、例えば会社の営業活動で交換した際の「名刺1枚」の場合は、受領者にとって個人データに該当しないと判断されています。
個人情報の利活用のための整備
上述の「匿名加工情報」を追加。
トレーサビリティの確保
トレーサビリティとは「追跡可能性」という意味で、個人情報を第三者に提供するもしくは提供される場合、その第三者が誰であるかを把握しておく必要があり、その第三者の氏名などの記録を一定期間保存しておくことが義務付けています。
オプトアウトの厳格化
個人情報を第三者に提供する場合は、本人の同意が必要です。しかし、要配慮個人情報は除いて、あらかじめ本人に通知し、または知ることのできる状況に置けば、例外的に、本人の同意に代えることが可能となります。これがオプトアウトです。改正により、このオプトアウトについて厳格化され、第三者提供を行う場合には、個人情報保護委員会に届出をすることが義務付けられています。
なお、従前は小規模事業者の業務・費用負担を考慮して5000人以下の個人情報を取り扱う場合は該当しない旨を定めていたが、改正による規制の撤廃によっても、個人情報保護委員会はガイドラインの中で小規模事業者に対する配慮する旨を規定しています。
グローバル化への対応
個人情報のグローバル化とは、個人情報保護法の適用範囲が個人データを外国の第三者に提供する際にも及ぶということです。よって、外国の第三者にデータを提供する際にも本人の同意を得る必要があるのです。
個人情報取扱事業者の義務
①個人情報を取り扱うに当たっては利用目的をできる限り特定し、原則として利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはならない。(法第15条) ②個人情報を取得する場合には、利用目的を通知・公表しなければならない。なお、本人から直接書面で個人情報を取得する場合には、あらかじめ本人に利用目的を明示しなければならない。(法第18条) ③個人データを安全に管理し、従業員や委託先も監督しなければならない。(法第22条) ④あらかじめ本人の同意を得ずに第三者に個人データを提供してはならない。 (法第23条) ⑤事業者の保有する個人データに関し、本人からの求めがあった場合には、その開示を行わなければならない。(法第28条) ⑥事業者が保有する個人データの内容が事実でないという理由で本人から個人データの訂正や削除を求められた場合、訂正や削除に応じなければならない。(法第29条) ⑦個人情報の取扱いに関する苦情を、適切かつ迅速に処理(と、その処理のための体制整備を)しなければならない。(法第35条) |
事業者が取り扱う個人情報には、顧客データの他に、健康診断結果といった従業員情報があります。同法第4章(第15条~35条)では、個人情報の取扱いに関する事業者の義務が定められています。
ちなみに、従業員情報のうち給与情報・査定評価は個人情報とは扱われません。但し、これらの情報をむやみに公開することはプライバシーの侵害にあたり不法行為の対象であり慰謝料請求の対象となりますので、自社の社員だからと言って他の社員に査定評価を理由なく開示するのはダメですよ。
注意すべきポイント
法制度が整備されたとはいえ、個人情報の取り扱いは判断に迷うケースがあり注意が必要です。以下に、具体的な例を挙げて、注意すべきポイントを挙げていきます。
・「公知の情報」は個人情報になりえるか?
不動産や会社の情報が記載されている登記事項証明情報は、誰でも法務局やオンラインで取得できる情報ですが、これを第三者やネット上に公表することは、個人の権利侵害(特定)につながることから同法の保護の対象、つまり個人情報に該当するとしています。これは、司法書士になったばかりの時、私も恥ずかしながら最初良いのではないかと勘違いしていたました。
・個人情報の「取得の目的」はどのような形で示せばよいか
事業者は氏名や住所などの個人情報取得時に個人情報取得同意書を交付し、本人の署名を受けることが基本ですが、それができない場合は口頭の告知でも構わないとされます。しかし、コールセンターの通話内容の録音を行う際の自動応答メッセージ「この通話は、お客さま対応の品質向上のため録音させていただきます」は、抽象的な利用目的に留まるので個人情報の利用目的を「できる限り特定」したとはいえず、不十分と考えられます。
特定したと言えるためには、少なくとも下記の文例くらいには、記載・告知しておく必要があるでしょう。
☆ご相談のお電話は、相談内容の正確な把握のため、録音させていただきます。 ☆相談を受け付けるにあたっては、円滑な相談処理を実施するために、氏名、住所、電話番号、性別、年齢、職業をお聞きすることがあります。これらの個人情報は、相談処理に利用し、本人の同意を得ずに他の目的で利用することはいたしません。 ☆提供いただいた個人情報は、本人の同意なしに第三者に提供いたしません。 ☆提供いただいた情報は、特定の個人を識別できる情報を除いて、統計資料・相談事例として利用します。 |
・携帯電話番号は個人情報に該当する?
「特定の個人を識別できる情報」とは言えず、単体では個人情報になり得ません。しかし、氏名と一緒にリスト化されている場合などは個人を特定できるので、個人情報に該当します。
・名簿屋から得た電話番号を利用して営業してくる業者は違法じゃないの?
これが、生活の中で関係しそうな問題ではないでしょうか。日常皆さんのところにも営業電話がかかってきて、「そもそもこの業者どうして、自分の携帯番号知っているんだろう?」と(気味悪く)思う事があるかと思います。
実は名簿屋から電話番号を購入して、それを顧客リストとして凸電すること自体は法的には問題ないのです。しかし、電話番号と氏名がリスト化された名簿であれば、当然その情報は個人情報ですので、その取得はもちろん、第三者提供を受ける際の確認・記録義務 (法第 26 条→法改正により第30条の繰り下げ)についても個人情報保護法の規制の下、取り扱わなければいけません。
(第三者提供を受ける際の確認等) 一 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名 二 当該第三者による当該個人データの取得の経緯 2 前項の第三者は、個人情報取扱事業者が同項の規定による確認を行う場合において、当該個人情報取扱事業者に対して、当該確認に係る事項を偽ってはならない。 3 個人情報取扱事業者は、第一項の規定による確認を行ったときは、個人情報保護委員会規則で定めるところにより、当該個人データの提供を受けた年月日、当該確認に係る事項その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。 4 個人情報取扱事業者は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。 |
例えば、ワンルームマンション投資の業者(1R業者)が顧客リストを名簿屋から購入する時に、その名簿屋が顧客リストたる個人データをどのように取得したのかを確認および記録する必要があるのですが、その確認の際、名簿屋が不正な手段で個人データを取得したことを知ったにもかかわらず当該個人データを取得するとその1R業者も同法第17条(不正取得)に違反したとされます。
その為、過去に全く接点のない会社からセールスを受けた場合は、「私の電話番号と名前はどの名簿屋から提供を受けたか、そしてその名簿屋はどのように自分の情報を得たのか?」と確認する権利があり、相手側から書面で提出してもらう事が出来るという事です。その時に、そのデータを出せないというだけで、個人情報保護法に違反(適切なプロセスを踏まずに個人情報を取得)したものとして個人情報保護委員会に苦情を申し入れる事が出来ます。
平成 29 年5月 30 日以降は名簿業者はオプトアウト規定による届出が必要となることから(法第 23 条第3項)、個人情報を名簿屋から取得する際は、個人情報保護委員会のHP上で当該名簿業者が届出をしていることを確認する必要があります。
個人的には(違法性の有無に関わらず)名簿屋から個人情報を得て営業する様な不動産業者なんぞ相手にする必要は無いと思いますが、あまりにも自分の個人情報を知っているような感じだったり、その業者自体が怪しい業者に思える様であれば、個人情報保護法に基づき削除してもらい二度と連絡しない様に伝え、更にはその先の名簿屋の連絡先も聞き出し不正取得を理由に情報の削除依頼※をしてもらえば良いでしょう。
※2022年4月施行の改正により、本人が個人情報の利用停止を請求して削除できる範囲が広がりました。 改正前は保有している個人情報が間違っている場合や法令違反が生じている場合にのみ認められていた利用停止請求権でしたが、改正により ・事業者が適正利用に違反した場合(第35条第1項、第19条) ・情報の漏洩などが発生した場合(第35条第5項、第26条) ・利用する必要がなくなった場合、本人の権利または正当な利益が害される恐れがある場合(第35条第5項) についても認められるようになりました。 |
「利用する必要が無くなった」際の削除請求に関しては、実際に企業側が対応に追われるケースが多いようです。具体的にはこちらから不動産投資会社に対して面談を希望して提供した個人情報(電話番号、メールアドレス、勤務先、資産状況)については、「この業者、信用ならないし、もう関わり合いたくない。」と思えば、こちらから利用停止を請求する事が可能になる訳です。 一方で、個人で求人情報に応募して履歴書を送った企業から不採用となった場合に、応募者が履歴書の返送を求めても、重複応募を回避するという理由があれば企業側はそれに応じる必要はありません。 |
個人情報でトラブルになった場合
違法業者(名簿屋)らと徹底的にやるなら、個人情報保護委員会の「個人情報保護法相談ダイヤル」通報するという選択もあるでしょう。
電話番号 03-6457-9849 受付時間 9:30~17:30(土日祝日及び年末年始を除く) |
【相談例】 ◆事業者に苦情を申し立てたが、対応してもらえない。 ◆事業者の苦情に対する対応に不満があるが、どうしたら良いか分からない。 ◆個人情報保護法の義務規定に従い、自分の個人情報が適切に取り扱われていない。 ◆ある事業者が、個人情報を不適切に取り扱っているという情報がある。 |
さいごに
情報化社会と言われて久しいですが、情報漏洩事件も数多く発生し、自分の情報は自分で守らなくてはいけないと考えます。この法律は一般私人を拘束する法令ではないので個人が本法令に対して精通する必要は無いですが、自分の情報が不適切に扱われていると感じた際は早めに対応できるように、自己の権利と事業者の責務くらいはチェックしておくのが良いでしょう。
特に第19条(不適正な利用の禁止)と第20条(適正な取得)くらいは認識をしておいた方が良いでしょう。19条では、「個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。」とあるのですが、違法とまでは行かなくても『リクナビ事件』と言われるような、企業倫理に反するような個人情報の不適切な取扱いがある事から自分が提供したデータがどのように利用されているのかについてはきちんと利用規約等を把握しておくべきでしょう。(とはいえ、リクナビ等の就職サイトを使わずに就職活動するのも無理な話なのかもしれませんが…)
リクナビ事件で注目を浴びた「内定辞退率のデータ」が、個人情報かどうかは疑義の分かれるところですが、少なくとも行政は事業者側の安全管理措置(第23条)は不十分であるとし、第三者提供時の本人への同意※もされていないと判断したという事です。ITに疎いみなオジとしては、内定辞退率の提供を受けた採用企業が特定の個人を識別できるという仕組みがいまいち理解できませんが、少なくとも個人情報保護法が厳格化されている理由は認識しました。
※リクナビの利用規約には、内定辞退率も第三者提供される範囲に含まれる旨が規定されていて、ほとんどの利用者は同意(第27条第1項の本人同意)していたようですが、行政側は内定辞退率が企業に渡ることの意味をきちんと説明していない、利用目的の公表が不十分だとして、この同意は無効と判断しています。 |