[個人情報保護法] 第1回:個人情報保護法の基本の基本
本稿では、個人情報保護法の基本の基本、すなわち、根本となる部分を説明する。
第2回目以降は、令和2年改正の主な内容も含めて、個人情報保護法の適用場面ごとに、基本的な内容を説明していく。
一連の連載では、個人情報の基本について、定義を含め概念をシンプル化して、例外となる部分は省略するなど、正確性よりもわかりやすさを重視して説明していく。
連載の一連の内容を参考にすることで、初めて個人情報保護法に取り組む人でも、基本的な部分の8割程度は理解が可能であり、すでに個人情報に関わる業務を担当している方の基礎的知識の確認としても、令和2年改正の確認用としても有益である。
正確な内容は、個人情報保護法の条文や個人情報保護委員会のガイドラインやQ&Aなどを参照されたい。
1.個人情報とは何か
個人情報とは、端的に説明すると、特定の個人を識別できる情報である(個人情報保護法(以下「法」という。)2条1項1号参照)。必ずしも、個人の氏名や住所が含まれていなくても、個人情報に該当するとされており、個人識別符号(生体情報(例 DNA、顔、指紋)を変換した符号や、公的な番号(例 パスポート番号、基礎年金番号、免許証番号))を含む情報は、個人情報に該当する(法2条1項2号)。また、メールアドレスが氏名+組織名であるような場合(例 kanri-jiro@privacy.co.jpが、プライバシー社に所属するカンリジロウとして識別できる場合)には、メールアドレスも、個人情報に該当すると解されている。
個人情報と紐づく情報も、個人情報に該当する。また、「他の情報と容易に照合することができ、それにより特定の個人を識別することができる」場合(例 マーケティング事業部ではID番号でしか管理していないが、同じ会社の営業部ではID番号と氏名、住所を紐づけて管理している場合)であれば、社内におけるデータを一環のものとして、個人情報として取り扱うことになる(容易照合性 法2条1項1号参照)。
個人情報をデータベース化した場合に、それを構成する情報は個人データとなり(法2条4項、6項)、本人(個人情報により特定される個人)との関係では、原則として保有個人データとなる(法2条7項)。保有個人データは、従前は、6カ月を超えて保存するデータに限定されていたが、令和2年改正で、この限定は同改正施行後に撤廃されることとなった。
要配慮個人情報の概念については、2回目以降の適用場面のところで説明する。
2.個人情報保護法の概要
企業における個人情報の取扱いの場面を検討する場合、登場人物は、個人(本人)、企業、第三者(個人、企業以外の主体)の3つに分類される。個人情報保護法上の適用対象は、個人情報取扱事業者であるが(法2条5項)、個人情報を取り扱う企業は、基本的に個人情報取扱事業者に該当する。
そして、企業が個人情報を取り扱う場面は、①取得、②利用、③管理、④第三者提供、⑤本人対応の5つに大きく分けられる。個人情報保護法の規定については、次のように、それぞれの場面に切り分けて、個人情報保護法上の主な規定との関係(わかりやすくするため、原則的な考え方のみを記載している。)を考えると、理解しやすい。なお、データを取り扱う際には、後で取得した情報を利用することができないという事態にならないように、⓪制度設計段階で、上記①から⑤について、十分に検討することが必要である。
*企業が個人情報を取り扱う場面のイメージ
①取得:企業が個人又は第三者から個人情報を取得する場面
- 企業は、個人情報の利用目的をあらかじめ特定する(法15条)。
- 企業は、個人情報を取得する際に、利用目的を個人に対して通知、公表又は明示する(あらかじめ利用目的を公表している場合を除く。)(法18条)。
- 企業は、第三者から個人データの提供を受ける際に、所定の事項について確認を行わなければならない(法26条)。
②利用:企業が個人情報、個人データを利用する場面
- 企業は、取得した個人情報を利用目的達成に必要な範囲を超えて利用することはできない(法16条)。
③管理:企業が個人データを管理する場面
- 企業は、個人データが漏えい等しないよう、安全管理措置をとり(法20条)、従業員、委託先を監督する必要がある(法21条、法22条)。
④第三者提供:企業が個人データを第三者に提供する場面
- 企業が個人データを第三者に提供するには、原則として、本人の同意を得なくてはならない(法23条)。
- 企業が、個人データを海外の第三者に提供するには、一定の場合を除き、本人の同意を得なければならない(法24条)。
- 企業は、個人データを第三者に提供したときは、所定の記録を作成しなければならない(法25条)。
⑤本人対応:企業が本人からの請求に対応する場面
- 企業は、本人からの請求に応じ、保有個人データを開示、訂正、利用停止等しなくてはならない(法28条~34条)
3.個人情報保護法に関する問題の検討方法
個人情報保護法を理解する上では、体系について理解しておくことが重要である。
*企業における個人情報保護法の規律のイメージ
日本国内における個人情報保護法の問題については、上図の構成を参考にしながら、次のような順序で検討していくことが合理的である。
ア 個人情報に該当するか、①取得、②利用、③管理、④第三者提供、⑤本人対応のうち、どの場面が問題となっているかを検討する。
イ 個人情報保護法(15条~39条)、施行規則等の条文 → ガイドライン(通則編など) → 委員会Q&Aの記載の順で、検討点に関する記載を確認していく。金融分野、医療関連分野、電気通信事業分野に該当するなどの理由で特定分野におけるガイドラインに該当する場合や、認定個人情報保護団体に加入していて個人情報保護指針が適用される場合には、それらの検討も必要となる。
上記ア、イの検討で、企業において検討が必要となる、個人情報保護法の取扱いに関する基本的な問題については判断が可能であり、判断が難しい場合でも検討すべき点を把握することができる。
なお、基本的に個人情報保護法の枠外の問題であるが、プライバシーマークを取得している場合には、JIS Q 15001との対応関係についても、検討する必要がある。
4.個人情報保護法とプライバシー侵害の関係
個人情報に該当しない情報は、どのように使っても法律上の問題は生じないかというと、そのようなことはなく、侵害が受忍限度の範囲を超えた場合には、プライバシー侵害として、民法上の不法行為責任(民法709条以下)など、民事上の責任を問われる可能性があるので注意が必要である。例えば、2014年に社会的な問題となった、ベネッセ大規模漏えい事件では、基本的には、プライバシーの侵害による不法行為に基づき、精神的苦痛に対する慰謝料等の損害賠償金等の支払いが請求されており、その中で、個人情報保護法上の義務違反があったかも考慮されている。
プライバシーの法的性質については、「一人にしておいてもらう権利」とする見解から始まり、現在では、「自己の情報をコントロールする権利」と解されることが多い。プライバシーの対象となる情報(プライバシー情報)について、法律上定義はないが、プライバシーを「自己の情報をコントロールする権利」と解すると、個人に関する情報全般(実際に問題となるのは、個人を識別できる情報)と理解することが自然である。この前提に立つと、プライバシー情報の中で、特定の個人を識別できる情報について保護しているのが、個人情報となる。なお、プライバシーの定義によって、個人情報との関係が包含関係であるのかなど両者の関係は変わりうるが、どちらかというと学術的な議論であり、実務上の検討では、上記のようにシンプルに理解することで支障はない。