丸の内中央法律事務所 Marunouchi-Chuo Law Office

メニューメニュー
HOME
  • 事務所概要
  • 企業の皆様へ
  • 個人の皆様
  • 弁護士費用
  • ご利用方法
  • 所属弁護士

弁護士コラム・論文・エッセイ

弁護士コラム・論文・エッセイ

ホーム弁護士コラム・論文・エッセイ田中弁護士著作 一覧 > 個人情報保護法の改正とポイント(2)
イメージ

田中弁護士著作 詳細

一覧はこちら
弁護士 田中 薫

2023年03月31日

個人情報保護法の改正とポイント(2)

(丸の内中央法律事務所事務所報No.42, 2023.1.1)

前号(No.41)の「Legal Information Tips」では、個人情報の保護に関する法律(以下「個人情報保護法」といいます)に関して、これまでの改正の経緯や概要について簡単に整理した上で、「個人情報」について解説させて頂きました。

本稿では、①「個人情報取扱事業者」について解説し、ついで、②「個人情報取扱事業者」が負う義務の内容について解説させて頂きます(②については何回かに分けて解説を行う予定です)。

【個人情報取扱事業者】

 1.「個人情報取扱事業者」とは

 個人情報保護法では「個人情報取扱事業者」に該当すると、個人情報保護法上の様々な義務が課されますので、「個人情報取扱事業者」に該当するか否かの判断は重要です。

 「個人情報取扱事業者」とは、国の機関、地方公共団体、独立行政法人等以外で、「個人情報データベース等を事業の用に供している者」です(個人情報保護法第16条第2項)。「個人情報取扱事業者」とは単に「個人情報」を取り扱う事業者のことを指している訳ではありません。

 2.「個人情報データベース等」とは 

 ⑴ 法令上の定義

   「個人情報データベース等」とは、①特定の個人情報をコンピュータを用いて検索することができるように体系的に構成した情報の集合物(例えばアプリ・システム・エクセル等によって検索可能な状態で顧客情報を管理している場合等)、②コンピュータを用いていない場合であっても、紙面で処理した個人情報を一定の規則(例えば五十音順等)に従って整理・分類し、特定の個人情報を容易に検索することができるよう、目次、索引、符号等を付し、他人によっても容易に検索可能な状態に置いているもの(例えば五十音順に整理された紙の顧客ファイル等)も該当します(個人情報保護法第16条第1項、個人情報の保護に関する法律施行令(以下「令」といいます)第4条第2項)。

  したがって、従業者が、自己の名刺入れについて他人が自由に閲覧できる状況に置いていても、他人には容易に検索できない独自の分類方法により名刺を分類した状態である場合であれば、この名刺入れは「個人情報データベース等」には該当しません [1]

 ⑵ 例外

 ア 次の①~③のいずれにも該当する場合には、「個人の権利利益を害するおそれが少ないもの」として、個人情報データベース等には該当しないとされています(個人情報保護法第16条第1項柱書括弧書、令第4条第1項)。

① 不特定かつ多数の者に販売することを目的として発行されたものであって、かつ、その発行が法又は法に基づく命令の規定に違反して行われたものでないこと

② 不特定かつ多数の者により随時に購入することができ、又はできたものであること。

③ 生存する個人に関する他の情報を加えることなくその本来の用途に供しているものであること。

 イ 具体的には、市販の電話帳、住宅地図、職員録、カーナビゲーションシステム等は、上記の①~③を満たすものとして、個人情報データベース等には該当しないとされています。

 3.「個人情報取扱事業者」に該当する具体例

 個人情報保護委員会は、「個人情報取扱事業者」に該当する具体例としまして、例えば、以下の①~④などを挙げています [2]

 ① 電子メールソフトに保管されているメールアドレス帳(メールアドレスと氏名を組み合わせた情報を入力している場合)を事業で使用している場合

 ② インターネットサービスにおいて、ユーザーが利用したサービスに係るログ情報がユーザーIDによって整理され保管されている電子ファイル(ユーザーIDと個人情報を容易に照合することができる場合)を事業で使用している場合

 ③ 従業者が、名刺の情報を業務用パソコン(所有者を問わない。)の表計算ソフト等を用いて入力・整理している場合

 ④ 人材派遣会社が登録カードを、氏名の五十音順に整理し、五十音順のインデックスを付してファイルしている場合

 4.「個人情報取扱事業者」に該当するか否かを判断する際の注意点 

 ⑴ 個人情報の保有件数要件の撤廃

   平成27年改正前は、保有する個人情報の件数が5000件以上でなければ、「個人情報取扱事業者」に該当しませんでしたが、平成27年改正によって、この保有件数の要件は撤廃されました。

   したがいまして、「個人情報データベース等を事業の用に供している者」であれば、個人情報の保有件数にかかわらず全て「個人情報取扱事業者」に該当することに注意が必要となります。

 ⑵ 法人格は不要であること

   法人格のない権利能力のない社団(任意団体)又は個人であっても、個人情報データベース等を事業の用に供している場合は「個人情報取扱事業者」に該当しますので、この点も注意が必要です。

【個人情報取扱事業者の責務】

第1.利用目的を特定する義務

 1.法令の定め

 個人情報保護法第17条第1項は、「個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。」と定めています。

 2.ポイント

 「できる限り特定」とは、個人情報取扱事業者において、個人情報がどのような目的で利用するかについて明確な認識を持つことができ、また、本人において、自らの個人情報がどのような事業の用に供され、どのような目的で利用されるのかについて一般的かつ合理的に予測・想定できる程度に利用目的を特定することをいいます [3]

定款等に事業内容が規定されている場合でも、業種の明示だけでは利用目的をできる限り具体的に特定したことにはならないと考えられています。なお、利用目的の特定に当たり「○○事業」のように事業を明示する場合についても、社会通念上、本人からみてその特定に資すると認められる範囲に特定することが望ましいとされていますので、単に「事業活動」、「お客様のサービスの向上」等のように抽象的、一般的な内容を利用目的とすることでは、できる限り具体的に特定したことにはならないとされています [4]

なお、近年、個人情報を第三者に提供する場合にはオプトアウト方式(次回以降で解説します)が用いられることが多いですが、利用目的の特定に当たってその旨が明確に分かるよう特定しなければ、個人データをオプトアウト方式により提供を行うことができないことに注意が必要です。

 3.具体例

 個人情報保護委員会によって、利用目的の特定がされている例として以下⑴のケース等が挙げられており、特定されていない例として以下⑵のケース等が挙げられています [5]

 ⑴ 具体的に利用目的を特定している事例

 ① 取得した閲覧履歴や購買履歴等の情報を分析して、趣味・嗜好に応じた新商品・サービスに関する広告のために利用いたします。

 ② 取得した行動履歴等の情報を分析し、信用スコアを算出した上で、当該スコアを第三者へ提供いたします。

 ③ ○○事業における商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせのために利用いたします。

⑵ 具体的に利用目的を特定していない事例

 ①事業活動に用いるため

 ②マーケティング活動に用いるため

 ③お客様のサービスの向上

 4.利用目的を変更する場合の制限

⑴ 法令の定め

   個人情報保護法第17条第2項は、「個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。」と定めています。

⑵ ポイント

   変更前の利用目的と関連性を有すると合理的に認められる範囲とは「当初の利用目的からみて、通常人にとって予測が困難でない程度の関連性」を有することで足りる [6] と考えます。ただし、合理的か否かの判断は、個人情報取扱事業者の主観で判断されるのではなく、「社会通念に照らして客観的に合理的と認められること」が必要です [7]

   変更された利用目的は、本人に通知又は公表しなければなりません(個人情報保護法第21条第3項)。

   

第2.利用目的による制限

 1.法令の定め

 個人情報保護法第18条第1項は、「個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。」と定めています。すなわち、利用目的の達成に必要な範囲外で個人情報を利用する場合、予め本人の同意を要します。

 2.例外

 個人情報保護法第18条第3項は、個人情報取扱事業者が利用目的の達成に必要な範囲を超えて取り扱う場合であっても、本人の同意が不要な場合を定めています(事業の承継があった場合に関する同条第2項の説明は割愛します)。

 ここでは動向の定めのうち皆様に関係する次の⑴~⑷について説明します(具体例は個人情報保護委員会のガイドラインから引用しています [8] )。⑴~⑷以外に、個人情報取扱業者が学術機関である場合の規定も存在しますが、紙幅の関係で割愛します。

⑴ 法令に基づく場合

Ex)警察の捜査関係事項照会に対応する場合や弁護士会からの照会に対応する場合等

⑵ 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき

Ex)①急病その他の事態が生じたときに、本人について、その血液型や家族の連絡先等を医師や看護師に提供する場合や、②製造した商品に関連して事故が生じたため、又は、事故は生じていないが、人の生命若しくは身体に危害を及ぼす急迫した危険が存在するため、当該商品の製造事業者等が当該商品をリコールする場合で、販売事業者、修理事業者又は設置工事事業者等が当該製造事業者等に対して、当該商品の購入者等の情報を提供する場合等

⑶ 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき

Ex)健康保険組合等の保険者等が実施する健康診断の結果等に係る情報を、健康増進施策の立案、保健事業の効果の向上、疫学調査等に利用する場合等

⑷ 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して、事業者が協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき

 Ex)①事業者が税務署又は税関の職員等の任意の求めに応じて個人情報を提出する場合、②事業者が警察の任意の求めに応じて個人情報を提出する場合、又は③一般統計調査や地方公共団体が行う統計調査に回答する場合等

(「個人情報保護法の改正とポイント(1)」に掲載した設問の解答につきましては、本稿の続編の掲載にあわせて当ホームページに掲載することを予定しております。)


[1] 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン」17頁

[2] 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン」17頁

[3] 個人情報保護委員会「「個人情報の保護に関する法律についてのガイドライン」に関するQ&A」18頁

[4] 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン」32頁

[5] 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン」31~32頁

[6] 宇賀克也「新・個人情報保護法の逐条解説」198頁(有斐閣、2021年)

[7] 宇賀克也「新・個人情報保護法の逐条解説」201頁(有斐閣、2021年)

[8] 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン」35~37頁

一覧はこちら
ページトップ