~ AZX Coffee Break Vol.1 〜
平成15年5月30日、個人情報の保護に関する法律(個人情報保護法)が制定された。個人情報の利用が拡大している現状を踏まえ、個人情報保護に関する公共機関の責務や施策についての基本方針が規定されたほか、個人情報を取り扱う事業者の義務が新たに定められた。公共機関の責務等に関する規定は本法公布日に施行され、個人情報取扱事業者の義務に関する規定は公布日から2年以内で政令で定める日に施行されることとなる(具体的な日は未定)。なお、本書では、企業活動に直接かかわる個人情報取扱事業者の義務に絞って説明するが、法令自体未施行であるほか、関連政令が未制定であることから、概要の説明に留まることをご容赦頂きたい。
(1)個人情報とは 本法では事業者の義務の対象となる個人情報について、「個人情報」、「個人データ」、「保有個人データ」という異なる概念が用いられており、それぞれに対応した事業者の義務が規定されているため、その正確な理解が必要であるが、そのうち基礎的な概念である「個人情報」とは、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの」とされており、広く個人を識別し得る情報が含まれる。必ずしも氏名、住所といった直接的情報に限られず、個人の識別が可能な範囲において特定の従業員の成績、特定顧客のクレーム頻度といった評価情報も含まれ得ることに注意が必要である。
(2)個人情報取扱事業者の範囲 個人情報に関する義務を負う個人情報取扱事業者とは、「個人情報データベース」、即ち個人情報をコンピューターなどにより容易に検索できるように体系的に構成したものを、事業の用に供している者とされている。殆どの企業は顧客情報や従業員情報などをデータベース化して管理していると思われ、このような企業は本法による義務を負う個人情報取扱事業者となる。事業の営利、非営利を問わないが、個人情報の取扱量が一定以下の事業者など、個人情報侵害のおそれが少ない者は政令により適用が除外される予定となっている。
(3)個人情報の適正取得、利用目的の明確化 事業者は、個人情報を不正な手段で取得してはならないとされ、また、取得した個人情報の利用目的を明確にし、当該利用目的の範囲内でこれを利用しなければならないとされる。利用目的の明確化は、ウェブサイト等での公表や本人への通知の方法が認められ、予め又は個人情報取得後速やかに行えば良いが、事業者が書面や電子データを利用して直接本人から個人情報を取得する場合には、当該取得に先立って本人に利用目的を通知する必要がある。ウェブサイト等で情報を収集する企業は、プライバシー・ポリシー等の規約を作成して当該規約中に利用目的を記載することになると考えられるが、どの程度利用目的を限定するか、また情報取得にあたってどのように規約を表示させるかなどの検討が必要となる。なお、利用目的の範囲内での利用については、警察の捜査に協力する場合の情報開示などの例外が認められている。
(4)個人データの正確性確保、安全管理、第三者提供制限 「個人データ」とは、個人情報データベース((2)参照)を構成する個人情報、つまりデータベース化された情報に含まれる個人情報を意味し、「個人情報」よりも若干狭い概念である。この個人データについて、事業者は、正確かつ最新の内容を保つよう努力し、漏洩、滅失等が生じないよう適切な管理を行うべきとされ、また本人の同意なく第三者に提供してはならないものとされる。正確性の確保については、努力義務に留まっている。安全管理については、従業員が情報を漏洩しないよう、就業規則等に秘密保持義務を明記するなどの社内体制整備が必要であるほか、個人情報を業務委託先に使用させる場合に業務委託契約上に個人情報取扱に関する規定をおくなどの対応が必要と考えられる。第三者提供については、あらゆる第三者提供が制限されるわけではなく、利用目的達成のために行う業務委託の相手方(メール配信事業者への配信委託、宅配業者への配送委託の場合等)や、合併等の場合の事業承継先などは第三者に該当しないものとされるほか、警察の捜査に協力する場合などの例外が認められる。また、いわゆるオプトアウトの仕組みをとっている場合(あらかじめ、第三者提供を行うこと、提供の方法、本人の求めがあれば提供を停止する旨などを本人が知り得る形態で表示し、かつ現実に本人の求めに応じて提供を停止する運用をとっている場合)にも、本人の同意を得ずに個人情報の第三者提供を行うことができるものとされている。
(5)保有個人データに関する本人の関与 「保有個人データ」とは、個人データ((4)参照)のうち、事業者が開示、内容の訂正、消去等の処理権限を有しているものを意味する。単に個人データを一時的に預かっている場合などは、原則として当該個人データは「保有個人データ」にあたらないと考えられる。この保有個人データについて、本人が情報開示、訂正などの請求権を有するものとされ、事業者はその請求に対する対応義務を負うこととなった。なお、「1年以内の政令で定める期間(政令未制定のため具体的期間未定)以内に消去することとなるもの」は保有個人データの例外とされており、短期間の利用に限定できる個人データについては、以下に記載する義務を回避するべく、一定期間を超えて利用しない旨を明確にルール化しておくことも検討に値するものである。
①必要事項の公表 事業者は、自己の名称、保有個人データの利用目的、開示、訂正等の手続や手数料の額等について、本人が知り得る状態にする義務がある。プライバシーポリシーによる開示などのほか、本人の求めに応じて遅滞なく回答できる状態にすることでも良い。
②利用目的の通知 事業者は、本人から利用目的の通知を求められた場合は、遅滞なくこれに応じなければならない。なお、上記①の公表事項から既に明らかになっている場合は個別通知は不要である。
③開示 事業者は、本人から開示の要求があった保有個人データの開示義務を負う。この義務は事業者にとって大きな負担となる可能性があるが、開示によって本人や第三者の権利利益を害する場合などの例外が認められており、具体的な解釈は今後に委ねられるが、例えばデータ中に第三者の情報が含まれるために、開示によって第三者の利益を害する場合、データ中に人事情報が含まれているために、開示によって会社の業務に著しい支障が生じる場合、明白な嫌がらせ目的での開示請求の場合などについて、例外が認められる可能性がある。
④訂正等 事業者は、 本人から保有個人データの内容の訂正、追加又は削除を求められた場合には、遅滞なく必要な調査を行った上で、これに対応しなければならない。もっとも、この訂正等については、利用目的の達成に必要な範囲内において対応すれば足り、例えば過去の一定時点の情報を保存することが利用目的となっているデータについて、日時の経過によるその後の内容変更の要求に対応する必要はないことになる。
⑤利用停止等 事業者は、 本人から、保有個人データが本法の規定する事業者の義務に反して取り扱われているという理由で、当該データの利用停止、消去、又は第三者提供停止の要請があった場合には、これに応じる義務がある。利用停止等の措置に多額の費用を要する場合などは、代替措置を講じることができるとされているが、代替措置の具体的内容は今後の解釈に委ねられる。
(6)業種による適用除外 ①放送機関、新聞社、通信社その他の報道機関、②著述を業として行う者、③ 大学その他の学術研究機関又はその構成員、④宗教団体、⑤政治団体については、それぞれの固有の業務で利用する個人情報に関しては、個人情報取扱事業者としての本法の義務は負わず、個人データの適正な取扱い等の措置をとり、かかる措置内容を公表する努力義務のみを負う。
(7)罰則 本法違反に対する 主務大臣の命令に違反した場合について、6月以下の懲役又は30万円以下の罰金が規定されている。
各事業者は、来る法律施行に向け、本法の規制に則した適切な対応を可能とするためのプライバシーポリシー等を準備すべきこととなる。事業者の具体的な義務の範囲については政令や今後の解釈に委ねられる部分も多いため、今後の動きに継続して注視すべきである。
(文責:弁護士 林 賢治)
* AZX(エイジックス)は、ベンチャー・ビジネスに最高の品質の法務、特許、税務、会計、労務その他の専門サービスを提供するプロフェッショナル・グループです(詳しくは、 https://www.azx.co.jp )。本メールマガジンはAZX Professionals Group が発行しております。
* 本記事記載の文面につきまして、許可なく転載することを禁止致します。 Copyright©2003 AZX Professionals Group