弁護士法人 モノリス法律事務所03-6262-3248平日10:00-17:00(年末年始を除く)

法律記事MONOLITH LAW MAGAZINE

IT・ベンチャーの企業法務

個人情報保護法と個人情報とは?弁護士が解説

IT・ベンチャーの企業法務

個人情報保護法と個人情報とは?弁護士が解説

2015年に改正(2017年から施行)された個人情報保護法(正確には「個人情報の保護に関する法律」)は、企業活動における個人情報の問題を考える際に重要な法令であり、個人情報取扱事業者が負う法律上の義務内容を明確にするものです。個人情報取扱事業者については、平成27年までは保有する個人情報が5000人を超えるものに限られていたので、小規模事業者のように、個人情報取扱事業者ではない企業も多かったのですが、2015年改正後はこの条件がなくなったので、ほぼすべての企業が個人情報取扱事業者となり、スモールビジネス事業主にとっても避けて通れない法律となっています。通販やメルマガ、DM発行や実店舗用ポイントカードなどのためには、顧客の氏名やメールアドレスといった個人情報を扱う必要があるので、個人情報保護法の基本を押さえておく必要があります。

個人情報保護法の目的と定義

個人情報保護法の概要・定義について説明していきます。

個人情報保護法は、具体的にはどのような法律なのでしょうか?その概要を見てみましょう。まず第1条では、本法律の目的が明らかにされています。

個人情報保護法第1条
この法律は、高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることに鑑み、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにするとともに、個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。

とあります。

第2条では、個人情報・個人データ・保有個人データが定義づけされています(第2条1項、4項、5項)。
個人情報保護法で言う「個人情報」とは、「生存する個人に関する情報」であって、「当該情報に含まれる氏名、生年月日その他の記述等」により「特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)」となります。「個人データ」とは、上記の個人情報をコンピュータによってデータベース化したものであり、そのうち事業者が6ヶ月以上にわたって保有しているものが、「保有個人データ」です。

個人情報はデータベース化されているかどうかで、その保護の必要性が大きく異なります。個人データはデータベース化され、容易に検索等ができるように体系的に構成された個人情報でありその権利侵害の可能性が高くなるので、個人情報一般よりも強い保護が与えられています。

さらに強い保護が与えられているのが保有個人データで、これは個人情報取扱事業者が開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであり(第2条7項)、保有個人データについては、本人が自己の情報に適切に関与できるようにという要請を踏まえた開示、訂正、利用停止等の請求が認められています(後述)。

個人情報の取り扱いに関する規律

個人情報がみだりに利用されないためには、適正な取扱に関するルールとして、個人情報をいかなる目的で利用するかを明確に特定した上で、その取扱いを当該目的の達成に必要な範囲内に限定しなければなりません。

そこで、個人情報取扱事業者は、

  • 個人情報を取り扱うにあたって、利用目的をできる限り特定しなければならない(第15条1項)
  • 利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはならない(第16条1項)
  • 偽りその他不正の手段により個人情報を取得してはならない(第17条1項)
  • 個人情報を取得した場合は、利用目的を本人に通知又は公表しなければならない(第18条)

と、されています。個人情報保護法は、事業主が保有する個人情報について、あらかじめ特定して公表した目的に沿って利用することを要求しています。言い換えれば、「個人情報をどのように使っても良いが、目的を特定して公表などをしておく」ことが必要です。例えば、「ユーザーの属性に合わせた広告を表示するために個人情報を利用する」こと自体が違法なわけではないのですが、その利用目的をあらかじめ公表しておかなければならない、ということになります。
公表方法は特に指定されていませんが、「プライバシーポリシー」「個人情報保護方針」といった形式でこれを行うことが一般的です。

一方、いわゆるセンシティブ情報である要配慮個人情報については、通常の個人情報よりも重い、原則本人の同意なき取得が禁止されています(第17条2項)。

要配慮個人情報とは、

第2条3項
この法律において「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。

とあり、また、障害・健康診断等の結果・医師等による指導・診療・調剤等・刑事手続が行われたこと・少年保護事件に関する手続が行われたことも含まれます。

一定の例外事由がなければ、そもそも要配慮個人情報を本人の同意なく「取得」することすらできないという厳しい規制が課されているのは、要配慮個人情報が取得の必要があるとはあまり考えられない場合にも取得され、取り扱われることによって、差別や偏見を生む恐れがある情報だからと考えられています。

管理と監督に関する規律


個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない、と規定されています。

個人情報が漏洩したり、改ざんされたりするという事態を、多くの人が懸念し不安に感じています。データベース化された個人データについては、顧客情報の大量流出等、社会問題を生じる事態も数多く生じているので、なおさらです。そこで、個人情報取扱事業者は、個人データの安全管理のために必要かつ適切な措置(安全管理措置)を講じる義務を負っています(第20条)。

安全管理義務違反

実際に、個人情報がネット上などで漏洩・流出した事案では、多くの場合に安全管理義務違反が認められており、中小規模事業者についてもその特性を踏まえた安全管理措置の内容が「個人情報の保護に関する法律についてのガイドライン(通則編)」(個人情報保護委員会)に明記されていることから、このガイドラインに準拠した対応を取ることは、個人情報保護法第20条を遵守するだけではなく、インターネット上を含む漏洩事案によるプライバシー侵害を理由とした不法行為責任を問われる事態を回避するという意味でも重要です。

しかし、制度やシステムをいかに整備しても、その適正な運用は結局人に任されざるを得ないので、「個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない」(第21条)とされています。

なお、従業者による顧客データの売却や持ち出し等は、その従業者自身が不法行為責任(民法第709条)を負うだけではなく、個人情報取扱事業者自身も使用者責任を負う可能性があるので(民法第715条)、注意が必要です。

「第三者提供」と「委託」

個人情報保護法では、あらかじめ公表した目的のためであったとしても、顧客の個人情報を「第三者」に提供することは、同意がない限り原則禁止とされています。しかし、このルールを突き進めていくと、「顧客に関するデータベースをレンタルサーバーなどに置いておくことも違法」となってしまいます。レンタルサーバーは事業者にとって「第三者」だからです。

しかし、「第三者提供」の中で、「委託」は例外的に許されており、その情報を利用しない人への「委託」であれば許されます。例えば、レンタルサーバーは単に情報を保管するだけで、利用しません。このような、第三者に個人情報の取扱いを委託することは頻繁に行われていますが、委託先が不適切な取り扱いをしたり、階層的委託を繰り返すことにより責任の所在が不明確になる等の事態を防ぐため、「個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない」(第22条)とされています。

本人の関与による個人情報取扱の適正化


個人情報保護法は個人情報・プライバシーの問題を考える上で最も重要な法令の1つです。

個人情報保護法は、本人の関与による個人情報取扱の適正化のため、一定の要件で本人が個人情報取扱事業者に対し自己に関する保有個人データについて開示(第28条)、訂正・追加・削除(第29条)、利用停止等(第30条)を請求することを認めています。これらの本人関与は私法上の請求権であることが明確にされており、請求を行ったにもかかわらず個人情報取扱事業者がこれに応じなければ裁判を通じて権利を実現することができます。

個人情報取扱事業者は情報の本人からの要求があれば、保有個人データを開示しなければならず、内容に誤りがある場合には訂正等に応じなければならず、目的外利用などの法律上の義務に違反する取扱いや、不適正な取得方法、本人の同意なしに第三者提供している場合には、情報の利用を停止しなければならないとされているのです。以上のように、個人情報保護法は、個人情報を取り扱う事業者に対してさまざまな義務を課すことにより、国民の権利を守ろうとする法律なのです。

個人情報漏洩の罰則

個人情報保護法には、事業者が個人情報を漏洩してしまった場合の罰則が定められています。

事業者が個人情報保護法に違反し、情報漏洩をしてしまった場合、まず国から「違反行為の中止その他違反を是正するために必要な措置をとるべき旨を勧告」されます(第42条)。これにも違反した場合には、違反した従業員に対し、「6月以下の懲役又は30万円以下の罰金」が科され(第84条)、その従業員を雇っている会社に対しても、「30万円以下の罰金」が科される可能性があります(第85条)。また、不正な利益を図る目的で提供し、又は盗用したときは、勧告なしで「1年以下の懲役又は50万円以下の罰金に処する」(第83条)と、されています。

まとめ

個人情報保護法は、個人情報を取り扱う事業者に対し、適切に個人情報を取扱い、安全管理のために必要かつ適切な措置を講じることを求める法律であり、ほぼすべての企業にとって、避けて通れない重要な法律なのです。

弁護士 河瀬 季

モノリス法律事務所 代表弁護士。元ITエンジニア。IT企業経営の経験を経て、東証プライム上場企業からシードステージのベンチャーまで、100社以上の顧問弁護士、監査役等を務め、IT・ベンチャー・インターネット・YouTube法務などを中心に手がける。

シェアする:

TOPへ戻る