書いてあること
- 主な読者:個人情報を取り扱う事業者
- 課題: 情報漏洩などがないよう、個人情報を適切に取り扱わなければならない
- 解決策:個人情報保護法の基本を押さえ、個人情報の取得・利用、保管、提供、開示請求等のシーンに応じ、適切に取り扱う
1 個人情報保護法の基本チェックリスト
2017年5月30日から改正個人情報保護法が全面施行され、個人情報を事業で取り扱う全ての事業者が、個人情報取扱事業者として個人情報保護法の対象となりました。
個人情報保護法の基本は、「利用目的を伝えて個人情報を取得する」「取得した個人情報を目的の範囲内で利用する」「取得した個人情報について安全管理措置などを講じて適切に保管する」「取得した個人情報を第三者に提供する場合は本人から同意を得る」「取得した個人情報について本人から開示請求等があったら対応する」というものです。 これらの基本を押さえて、お客様や従業者の個人情報を適切に取り扱っているか、あらためて確認しましょう。
以降では、個人情報保護法の主な改正ポイントと、実務的にどのような影響があり得るのかについて解説します。なお、より詳細な内容については、法令および個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」(以下「個人情報保護法ガイドライン(通則編)」)などを参照ください。
2 「個人情報」の定義の拡充
1)「個人情報」の定義の明確化
「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)をいいます(改正前法第2条第1項)。
改正法では、「当該情報に含まれる氏名、生年月日その他の記述等」について、「文書、図画若しくは電磁的記録(中略)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項」と、より詳しく規定されました(改正法第2条第1項第1号)。具体的には、次のような情報が個人情報に該当します。
また、改正法では、「個人識別符号が含まれるもの」が個人情報として新たに規定されました(改正法第2条第1項第2号)。「個人識別符号」とは、特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した符号(改正法第2条第2項第1号)や、対象者ごとに異なるものとなるように役務の利用、商品の購入等に関し割り当てられ、または個人に発行されるカード等に付される符号(改正法第2条第2項第2号)であって、当該特定の個人を識別することができるものとして政令に定められたものをいいます。具体的には、指紋認識データ、顔認識データ、マイナンバー、運転免許証番号、旅券番号、基礎年金番号、健康保険証番号などが個人識別符号に該当します。
2)新たに規定された「要配慮個人情報」
改正法の施行以前にも経済産業省などのガイドラインで規定されていた、いわゆる「機微情報」のうち主なものが、改正法では「要配慮個人情報」として新たに規定されました(改正法第2条第3項)。
「要配慮個人情報」は、不当な差別や偏見その他の不利益が生じないようにその取り扱いに特に配慮を要する個人情報のことをいいます。具体的には、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実、心身の機能の障害があること、医師等により行われた健康診断の結果などが要配慮個人情報に該当します。
3)押さえておきたい用語の概念
個人情報保護法では、「個人情報」の他に、「個人情報データベース等」「個人データ」「保有個人データ」といった特有の用語が使い分けられています。
「個人情報データベース等」とは、個人情報を含む情報の集合物であって、特定の個人情報を電子計算機を用いて検索できるように体系的に構成したもの等をいいます(改正法第2条第4項)。この「個人情報データベース等」を構成する個人情報を「個人データ」といいます(改正法第2条第6項)。「個人データ」については、保管する際に安全管理措置を講じることや、勝手に第三者に提供してはならないといったルールを守らなければなりません。また、「個人データ」のうち、開示、内容の訂正・追加・削除、利用の停止・消去、第三者への提供の停止を行うことのできる権限を有する個人データを「保有個人データ」といいます(改正法第2条第7項)。
それぞれについて、事業者に課される義務が異なるため注意が必要です。
3 個人情報を取得するときの留意点
1)利用目的の特定
個人情報を取り扱うに当たっては、その利用目的をできる限り特定しなければなりません(改正法第15条第1項)。
「できる限り特定」については、最終的にどのような事業の用に供され、どのような目的で個人情報を利用されるのかが、本人にとって一般的かつ合理的に想定できる程度に具体的に特定することが望ましいとされています。
単に、「事業活動に用いるため」「マーケティング活動に用いるため」というだけでは、具体的に利用目的を特定していることにはなりません。
2)適正な取得
偽りその他不正の手段により個人情報を取得してはなりません(改正法第17条第1項)。
また、要配慮個人情報が新たに規定されたため、その取得に関する規定も新設されました。要配慮個人情報を取得する際は、利用目的を特定し、あらかじめ本人の同意を得る必要があります。
ただし、法令に基づいて取得する場合など、本人の同意が不要なケースがあります(改正法第17条第2項)。例えば、「労働安全衛生法」に基づく従業者の健康診断・ストレスチェックの結果や、「高齢者の医療の確保に関する法律」に基づく従業者の特定健康診査の結果を、それらを実施した医療機関などから取得する場合は、従業者本人の同意は不要です。
3)利用目的の通知・公表、明示
個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかにその利用目的を本人に通知し、または公表しなければなりません(改正法第18条第1項)。また、本人から直接書面(ウェブサイトの入力フォームなどを含む)で個人情報を取得する際は、利用目的を明示しなければなりません(改正法第18条第2項)。
ただし、「取得の状況からみて利用目的が明らか」である場合は、利用目的を逐一伝える必要はありません(改正法第18条第4項第4号)。例えば、商品・サービスを提供するために住所・電話番号などの情報を取得する場合や、今後の連絡のために名刺を受け取る場合などが該当します。
なお、防犯カメラにより、防犯目的のみのために撮影する場合、利用目的の通知・公表は不要と解されますが、防犯カメラが作動中であることを店舗の入り口に掲示するなど、本人に対して、自身の個人情報が取得されていることを認識させるための措置を講じることが望ましいとされています。
4 個人情報を利用するときの留意点
1)利用目的以外に利用してはならないのが原則
あらかじめ本人の同意を得ないで、特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはなりません(改正法第16条第1項)。
ただし、法令に基づく場合や、人の生命・身体・財産といった具体的な権利利益の保護が必要であり、かつ、本人の同意を得ることが困難である場合などには、例外的に利用目的以外で個人情報を取り扱うことが認められます(改正法第16条第3項)。
2)利用目的を後で変更することになったら?
利用目的を変更しようとする場合、原則として本人の同意が必要です(改正法第16条第1項)。ただし、変更前の利用目的と関連性を有すると合理的に認められる範囲であれば、変更された利用目的を、本人に通知または公表することで、本人の同意は不要と考えられています(改正法第15条第2項、第18条第3項)。
「変更前の利用目的と関連性を有すると合理的に認められる範囲」とは、変更後の利用目的が変更前の利用目的から見て、社会通念上、本人が通常予期し得る限度と客観的に認められる範囲(本人の主観や事業者の恣意的な判断によるものではなく、一般人の判断において、当初の利用目的と変更後の利用目的を比較して予期できる範囲)をいい、当初特定した利用目的とどの程度の関連性を有するかを総合的に勘案して判断されます。
5 個人情報を保管するときの留意点
1)「個人データ」の取り扱いに関する義務
個人データの取り扱いに関して、事業者は次の対応が必要となります。
- 個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは遅滞なく消去するように努める(改正法第19条)
- 個人データの漏えい、滅失またはき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じる(改正法第20条)
- 従業者に個人データを取り扱わせるに当たっては、個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行う(改正法第21条)
- 個人データの取り扱いの全部または一部を委託する場合は、個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行う(改正法第22条)
2)利用する必要がなくなったときの消去の努力義務
個人データを利用する必要がなくなったときは、当該個人データを遅滞なく消去することが努力義務として規定されました。また、事業者が従業者などから取得したマイナンバーは、それを取り扱う事務処理を終えて必要がなくなった場合には、できるだけ速やかに廃棄または削除しなければなりません(行政手続における特定の個人を識別するための番号の利用等に関する法律(マイナンバー法)第20条参照)。
一方、給与所得者の扶養控除等申告書のように、法令によって一定期間保存が義務付けられている書類があります。それらの書類の保存期間中は、利用する必要がなくなったとしても、個人情報やマイナンバー(扶養控除等申告書には従業者や扶養親族の個人情報やマイナンバーが記載されるのが原則)を削除せずに書類を保存し、保存期間を経過したときに、できるだけ速やかに廃棄または削除しなければなりません。
事業者は、法令で保存期間が定められている書類等とその保存期間を確認し、期間経過後に速やかに廃棄または削除できるようにする必要があります。
3)安全管理のために必要かつ適切な措置とは
個人データの適正な取り扱いの確保について組織として取り組むために、次の6項目に関して対応が必要となります。
- 基本方針の策定
- 個人データの取り扱いに係る規律の整備
- 組織的安全管理措置
- 人的安全管理措置
- 物理的安全管理措置
- 技術的安全管理措置
詳細については、個人情報保護委員会「個人情報保護法ガイドライン(通則編)」および、その別添資料「(別添)講ずべき安全管理措置の内容」を参照ください。なお、従業員数100人以下の中小規模事業者に対しては、負担軽減のため、特例的な手法の例が併記されています。
4)従業者や委託先に対する必要かつ適切な監督とは
従業者には、雇用関係にある従業員(正社員、契約社員、嘱託社員、パート社員、アルバイト社員など)のみならず、取締役、執行役、理事、監査役、監事、派遣社員なども含まれます。従業者に個人データを取り扱わせるに当たって、個人情報保護などに関する教育や研修を実施し、上述した安全管理措置を順守させるとともに、取り扱い状況を確認することが求められます。
また、個人データの取り扱いの全部または一部を委託する場合は、委託先においても自らが講ずべき安全管理措置と同等の措置が講じられるよう、監督を行う必要があります。具体的には、次のような措置を講じなければなりません。
- 適切な安全管理措置が講じられる委託先を選定する
- 委託契約の内容に、委託先における委託された個人データの取扱状況を、委託元が合理的に把握できるようにする事項を盛り込む
- 定期的に監査を行うなど、委託契約で盛り込んだ内容の実施の程度を調査した上で、委託の内容の見直しを検討することを含め、適切に評価する
なお、委託元が委託先について「必要かつ適切な監督」を行っていない場合で、委託先が再委託をした際に、再委託先が不適切な取り扱いを行ったときは、元の委託元による法令違反と判断され得るので、委託先が再委託をしようとする場合は注意が必要です。
6 個人情報を他人に渡すときの留意点
1)第三者提供の制限(原則)
個人データを第三者に提供する場合、原則として本人の同意が必要です(改正法第23条第1項)。個人データか否かは、提供元において判断することになります。
「本人の同意」を得る方法については、個人情報保護委員会「個人情報保護法ガイドライン(通則編)」に次の例が示されています。
- 本人からの同意する旨の口頭による意思表示
- 本人からの同意する旨の書面(電磁的記録を含む)の受領
- 本人からの同意する旨のメールの受信
- 本人による同意する旨の確認欄へのチェック
- 本人による同意する旨のホームページ上のボタンのクリック
- 本人による同意する旨の音声入力、タッチパネルへのタッチ、ボタンやスイッチ等による入力
2)本人の同意なしに第三者に提供できる場合
個人データの第三者への提供については、例外として、次のように本人の同意なしに第三者に提供できる場合があります。
1.改正法第23条第1項の原則の適用除外
- 法令に基づく場合
- 人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
- 公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
- 国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
2.「第三者」に当たらない場合(改正法第23条第5項)
- 個人データの取り扱いを委託するとき
- 合併その他の事由による事業の承継に伴って提供されるとき
- 共同利用するとき
3.「オプトアウト」によるとき(改正法第23条第2項)
3)オプトアウトとは
あらかじめ本人に対して個人データを第三者に提供することについて通知または認識し得る状態にしておき、本人がこれに反対しない限り、第三者への提供を認めることを「オプトアウト」といいます。
オプトアウトによる個人データの第三者提供については、個人情報保護委員会への届け出が義務付けられるなど、規制が強化されています。
なお、要配慮個人情報についてはオプトアウトによる第三者提供は認められません。要配慮個人情報を第三者に提供するに当たっては、改正法第23条第1項各号または同条第5項各号に該当する場合以外は、必ずあらかじめ本人の同意を得なければなりません。
4)外国にある第三者への提供の制限
外国にある第三者に個人データを提供する場合、原則として、あらかじめ外国にある第三者への提供を認める旨の本人の同意が必要です。この原則は、委託や共同利用などについても適用されます(改正法第24条)。
詳細については、個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」を参照ください。
5)第三者提供に関するトレーサビリティーの確保
今般の改正で、個人データの第三者提供に関して、提供する側、提供を受ける側の双方にトレーサビリティーを確保することが義務付けられました。
個人データを第三者(国の機関、地方公共団体、独立行政法人等、地方独立行政法人を除く)に提供したときは、受領者の氏名・名称などの個人情報保護委員会規則で定められた項目を記録し、一定期間(1年または3年)保存しなければなりません(改正法第25条)。また、第三者から個人データの提供を受ける際、受領者は、提供者の氏名・名称などの他、そのデータの取得の経緯などを確認し、その記録を一定期間(1年または3年)保存しなければなりません(改正法第26条)。
詳細については、個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)」を参照ください。
7 本人から個人情報の開示等を求められたときの留意点
1)保有個人データに関する事項の公表等
保有個人データに関し、次の事項を本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む)に置かなければなりません(改正法第27条第1項)。
- 当該個人情報取扱事業者の氏名または名称
- 全ての保有個人データの利用目的
- 本人からの利用目的の通知の求め等に応じる手続き(手数料の額を定めたときは、その手数料の額を含む)
- 保有個人データの取り扱いに関する苦情の申出先 など
2)保有個人データへの本人の関与への対応
保有個人データに関して、本人から、利用目的の通知の求め(改正法第27条第2項)、開示請求(改正法第28条第1項)、内容の訂正・追加または削除の請求(改正法第29条第1項)、利用の停止または消去の請求(改正法第30条第1項)があった場合、原則として、遅滞なく必要な対応をしなければなりません(改正法第27条第2項、第3項、第28条第2項、第29条第2項、第30条第2項)。
以上(2019年5月)
(監修 有村総合法律事務所 弁護士 小出雄輝)
pj60083
画像:photo-ac