個人情報保護法とは
個人情報保護法とは、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的として定められた法律です。個人情報保護法は、その名称からするともっぱら個人情報を保護するための法律だと思ってしまいますが、上記のとおり個人情報の有用性にも配慮されており、個人情報の利活用を推進するための規律も設けられています。
個人情報保護法は平成15年に成立した後、平成17年、令和2年、令和3年に改正がなされています。従前は主に民間事業者について、個人情報保護のために遵守すべき事項が定められていましたが、令和3年の改正によって行政機関も規律の対象となりました。
この記事では、民間事業者のルールについて解説します。
民間事業者に課せられているルールについて
個人情報保護法によって民間事業者に課せられている基本的なルールの概要は以下のとおりです。
個人情報保護法は、個人情報と個人データ(個人情報を検索できるように体系的に構成した「個人情報データベース等」に含まれる個人情報)を区別して規定しており、適用される規律が異なります。
個人情報保護法上のルールは、以下のように、個人情報の取得時、保管・管理時、外部提供時、その他のルールに分けると整理しやすいです。
①取得時のルール
個人情報の取得時には、個人情報の利用目的をできる限り特定し、本人に対し通知又は公表しなければなりません。この利用目的の範囲を超えて個人情報を利用することは、原則としてできません。
また、個人情報を偽りその他不正の手段により個人情報を取得することや、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用することはできません。
なお、よく誤解されるのですが、個人情報を取得し利用する場合は、原則として本人の同意は不要です。ただし、人種、信条、社会的身分、病歴、犯罪の経歴など不当な差別、偏見等が生じないように配慮するべきものとして定められている「要配慮個人情報」については、原則としてあらかじめ本人の同意を取得する必要があります。
②管理・保管時のルール
個人データは、漏えい等の防止のため、安全に管理する必要があります(安全管理措置)。また、組織の場合は従業者の監督が必要です。さらに、個人データの取扱いを外部委託する場合は、委託先に対し必要かつ適切な監督を行わなければなりません。委託先から漏えいする例はしばしば見られるため、委託先の監督は重要になります。
③提供時のルール
個人データを第三者に提供する際には、原則として、あらかじめ本人の同意を取得する必要があります。例外的に、委託・事業承継・共同利用などの場合は本人の同意取得が不要となります。また、個人データの第三者提供を行った場合は、法が定める一定の事項を確認・記録する必要があります。
なお、外国にある第三者に提供する場合は、提供先の第三者が欧州又は英国にある場合や適切な体制整備をしている場合を除き、その外国の個人情報保護の制度等の情報提供をした上で本人の同意を得る必要があります。
なお、提供に関しては、個人関連情報(正確ではないですが分かりやすくいうと個人情報でないものの個人に関する情報)についても規制があります。個人関連情報を提供する際に、提供先の事業者がその個人関連情報を個人データとして取得することが想定されるときは、提供元の事業者は、提供先事業者が本人の同意を取得していることを確認しなければなりません。また、記録義務もかかってきます。
④漏えい等発生時の義務
以下のような個人データの漏えい等又はそのおそれが生じた場合は、個人情報保護委員会に報告し、本人に通知しなければなりません。
・要配慮個人情報の漏えい等
・財産的被害のおそれがある漏えい等
・不正の目的によるおそれがある漏えい等
・1000人を超える個人データの漏えい等
⑤保有個人データの開示等の請求への対応
本人から保有個人データの開示、訂正、利用停止等の請求があった場合は、これに対応する必要があります。また、個人データを第三者提供した際の記録(上記③参照)も開示請求の対象になります。
個人情報改正によるアップデートの必要性
個人情報保護法は、政府によって3年毎に、個人情報の保護に関する国際的動向、情報通信技術の進展、それに伴う個人情報を活用した新たな産業の創出及び発展の状況等を勘案し、見直しされることになっています(いわゆる3年毎見直し)。この3年毎見直しは平成27年の個人情報保護法改正時に附則によって定められたもので、実際にこの3年毎見直しが行われ、令和2年改正につながっています。
このように、個人情報保護法は頻繁にアップデートされます。また、個人に関する情報の保護は、近年、電気通信事業法や競争法等によってもなされており、これらの動向も踏まえると、アップデートが必要となる頻度はさらに高くなります。
個人情報について弁護士に相談する必要性・メリット
個人情報保護法に関しては未確定の問題も多く、例えば、「個人情報とは何か」という問題についても様々な見解があります。また、個人情報保護に関する問題を解決するのに参照しなければならない文書は膨大です。例えば、個人情報保護法や施行例・施行規則、個人情報保護委員会によるガイドライン、Q&A、パブリックコメントの回答、放送、電気通信、金融、医療等の特定の分野に適用されるガイドライン、認定個人情報保護団体による認定団体指針、共同規制・自主規制が存在する場合にはその規律等が挙げられます。
また、個人情報保護法の改正は国際動向や情報技術の進展、産業の状況、個人情報に関して実際に生じた問題(SUICA事件やリクナビ事件、破産者マップ事件など)も勘案してなされますので、これらの事案を理解していることも重要になります。
これらのことから明らかなように、個人情報に関する問題に適切に対処するためには、個人情報保護法やこれに関する世の中の動向について知見を有する弁護士への相談が極めて重要になります。新たに個人情報を利用してビジネスを開始する場合などは、弁護士へのご相談を特におすすめします。
Last Updated on 2023年9月11日 by rightplace-media
この記事の執筆者 大平 修司 ライトプレイス法律事務所 2010年12月弁護士登録。都内の事務所に勤務し、金融規制対応その他の企業法務や多くの訴訟・紛争対応に従事。 2016年4月に株式会社TBSテレビ入社。テレビ、インターネット配信、映画、スポーツ、eスポーツなど幅広いエンタテインメントについて、契約法務や訴訟・紛争対応や、インターネットビジネス、パーソナルデータの取扱いに関する業務等を担当。 ライトプレイス法律事務所に関してはこちら https://media-houmu.com/office/ |