会社内で個人情報保護に関する研修が行われるのですが、いつからか僕が講師を務めるのが定番になってきました。
元々は新人向けにITリテラシーに関する研修と、全体向けの個人情報保護の研修でITに関する部分だけを受け持つという、あくまで情シスの立場からの研修だったのですが、いつの間にか新人研修はITリテラシーと個人情報をまとめられ、そして全体向けの個人情報保護研修も僕が全パートをやることに。
個人情報保護とITは切り離せない話ではありますが、本来は法務に詳しい人間がやるべきですし、何でもITにまとめられるのもあまり気分がよくありませんが、依頼があったらば受けるのもサラリーマンの宿命というやつです。
とはいえ、ITの分野だけで語ればよかったところから、個人情報保護にスポットを当てて研修する必要が出てきたので、中途半端な知識のままではよくないということで1冊読んでおきました(このレベルの人が研修講師でいいのかっていう話ですが)
岡村久道さんの『個人情報保護法の知識<第5版>』を読みました。大きな専門書は読む時間と前提知識が足りないので新書サイズで必要な知識を習得しようということで選びました。また、2021年の改正個人情報保護法に関する内容が織り込まれていることもポイントです。
以下は研修資料を作るために本の要約をさらにコンパクトにまとめたものです。研修用に要約したものは話が細かくなりすぎて、ぶっちゃけると研修はうまく説明できずに失敗しましたw ちなみに読書と要約はすべてプライベートの時間で行った作業です。
個人情報保護法の歴史
1980年代は各地方公共団体で個人情報保護条例が制定され、個人情報保護に関しては各自治体の所管でしした。
2003年に個人情報保護法が制定されましたが、その転機となったのは当時計画されていた住基ネットの導入と、1999年に宇治市役所で起きた住民基本台帳データ約20万人分の不正漏えい事件でした。
自治体による初めての大規模な個人場流出であり、個人情報流出に対して慰謝料の支払いが命じられました。
個人情報保護法の目的
この法律は個人情報そのものを保護することが目的ではなく、あくまでも「個人の権利利益」の保護が目的あると明記されています。
「個人の権利利益」と抽象的なのは、個人情報の不適切な取扱いによって侵害される事柄が多様だからです。例えば以下のようなものがあります。
- 別人を破産者と間違えた信用情報を流して名誉毀損に問われた事件
- 漏えいしたカード情報が悪用されて財産的損害を受けた事件
- フィッシング詐欺で流出したパスワードを冒用したネットバンキングの不正送金
- カモリストによる特殊詐欺
- 消えた年金記録、日本年金機構の漏えい事件
また、個人情報はプライバシーの一つです。プライバシーとは「他人にみだりに知られたくない情報」のことで、個人情報流出がプライバシーの侵害になる場合もあります。
ただ、個人情報保護法は被害者が加害者に対して損害賠償を請求するといった事後的な責任追及方法を定めた法律ではなく、個人の権利利益の侵害を未然に防止するために、個人情報の取扱いについて定めた法律です。
違反した場合
プライバシー件を侵害した場合などについては、被害者本人から裁判所を通じて侵害行為の差止め請求や損害賠償請求などが行われます。この法律はできるかぎり当事者間における自主的な解決に委ねており、個人情報取扱事業者自らが苦情処理を行います。ただ、認定個人情報保護団体が苦情処理をサポートする仕組みが導入されています。
個人情報保護委員会は監督機関として、個人情報取扱事業者に対し報告・立入検査、指導・助言、勧告および命令を行うことができます。監督の実効性を確保するために罰則が設けられています。
| 違反内容 | 行為者に対する罰則 | 法人に対する罰則 |
|---|---|---|
| 命令違反 | 1年以下の懲役 または100万円以下の罰金 | 1億円以下の罰金 |
| 報告・立入検査に応じない 虚偽の報告など | 50万円以下の罰金 | 50万円以下の罰金 |
法人の業務に関する違反の場合は、行為者と並んで法人も処罰を受ける両罰規定となっています。
指導・助言や勧告に従わない場合の罰則はありませんが、その場合は命令を経て命令違反の罰則が下されます。
個人情報を漏えいしてしまった場合、個人情報保護法の違反による行政処分と、プライバシー侵害などによる本人に対する損害賠償責任の二重の法的責任を問われることになります。
個人情報保護法に対する過剰反応
この法律の目的は個人の権利利益の保護であるが、過剰反応のためにかえって個人の権利利益を侵害する場合があります。
2005年に起きたJR福知山線脱線事故では、被害者家族からの安否確認を搬送先の一部病院が拒否したことで大きな混乱が生じました。
2011年の東日本大震災や2015年の関東・東北豪雨では行方不明者の氏名を公表せず安否確認が遅れました。
この法律には所定の例外事由等が設けられており、これらの過剰反応事例の中には適法となるケースが多いです。ただ、法律の規定内容が抽象的であるため、事業者が違反をおそれて萎縮していることは否定できません。
個人情報の定義
個人情報の定義は以下の要件をすべて満たしたものです。
- 個人に関する情報であること
- 個人が生存者であること
- 個人を識別できるもの
個人に関する情報については、文字情報だけでなく、映像情報や音声情報も含まれ、氏名は不明でも「この人」だとわかるものであれば個人情報です。また、プライベートなものに限られず、仕事関係の情報も対象となるため、仕事で使う名刺1枚でも個人情報になります。
個人が生存者であることについて、織田信長のような死者や、ルパン三世のような架空の人物に関する情報は対象外です。ただし、モデル小説で架空の人物のようでも実在の生存する特定個人を識別できるような場合は個人情報になります。
個人を識別できるかについては、一般人の判断力や理解力でその情報と特定の人物との間に同一性が認められるかで判断されます。特殊な能力や機器を使って識別できるものも含むと個人情報の範囲が際限なく広がってしまうためです。
個人識別符号
特定の個人を識別できる個人識別符号が含まれている場合も個人情報となります。
個人識別符号には2種類あり、一号個人識別符号はコンピュータで使用するために変換された身体の一部を符号化したもので、生体認証(バイオメトリクス認証)が典型例です。横綱の手形色紙は手の形や指紋を採取できますが、コンピュータでの使用が前提ではないので個人情報になりません。
二号個人識別符号は運転免許証番号や、マイナンバー、各種保険証の番号など政令で定められたものが対象です。携帯電話番号やクレジットカード番号、医師や弁護士などの国家資格の登録番号は今のところ個人識別符号ではありません。
情報の媒体とは問わない
コンピュータ処理情報だけでなく、紙の情報も対象であり、文字情報だけでなく記念写真や防犯カメラの映像、留守番電話の録音も個人を特定できれば個人情報です。
また、従業員の雇用管理情報や給与明細、源泉徴収票、人事考課の内容といった事実に関する情報も個人情報ですし、試験の合否や医師の診断などの評価情報も個人情報です。
外国人や国外居住者の個人情報についてもこの法律が適用されます。
要配慮個人情報
偏見やその他の不利益が生じないように、取扱いについて特に配慮を要する個人情報を要配慮個人情報といいます。
人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実、その他本人に対する不当な差別が対象です。
病歴に準じるものとして、健康診断等の結果や診療情報、調剤情報が含まれます。
個人情報取扱事業者の義務
個人情報保護の義務を負うのは個人情報取扱事業者であり、すべての個人や団体が負うわけではありません。
個人情報取扱事業者とは、基本的に民間事業者に限られ、国や地方などの公的な機関や法人は除外されています。ただし、国公立の大学や病院などについては、私立との区別があっては不合理であるため個人情報取扱事業者となります。
そして個人情報データベースを事業に使用している者が対象です。データベースとは情報の集合体を検索しやすいように構成したものです。名刺1枚では集合体と呼べませんし、ただの名刺の束では検索性はないので個人情報データベースではありません。名刺の束を五十音順に並べて整理したフォルダがあれば、これは個人情報データベースです。
また、事業に使用していることが要件なので、個人が趣味で個人情報データベースを利用していても個人情報取扱事業者にはなりません。ただし、営利事業であることは要件にはないので、自治会や同窓会のような非営利事業であっても個人情報取扱事業者にあたりますし、法人や団体に限定されていないので個人事業主でも該当します。
個人情報に関する義務
利用目的を特定する
ひとたび特定した利用目的を事後的に変更することは、変更前の利用目的と関連性を有すると合理的に認められる範囲内に限って認められます。
その範囲を超えて利用する場合には改めて本人の事前同意を得なければなりません。
利用目的の達成に必要な範囲でのみ取り扱う
求人の目的で求職者から受け取った履歴書情報を、販売促進の目的でDM送付に利用するといったケースは違反となります。どうしても送りたい場合は事前に同意を得る必要がありますが、同意を得る目的でメールや電話で連絡を取るために個人情報を利用することは目的外利用にはなりません。
本人の事前同意なしに目的外利用できるのは以下の場合です。
- 法令に基づく場合
- 人の生命や財産の保護に必要かつ本人の同意を得るのが困難な場合
- 公衆衛生の向上や児童の健全育成の推進に必要かつ本人の同意を得ることが困難な場合
- 公的機関またはその委託を受けた者が事務を遂行するのに必要で本人の同意を得ると支障がある場合
- 学術研究機関が学術研究目的で取り扱う必要がある場合
マイナンバーについては、本人の同意があっても目的外利用はできません。
不適正な利用の禁止
違法・不当な行為を助長・誘発するおそれがある方法での個人情報の利用は禁止です。
破産者の個人情報を集約・データベース化してネット公開した「破産者情報サイト」に対して、直ちに停止するよう委員会が命令したという事件もあります。
不正の手段により取得してはならない
利用目的を隠し、偽り、誤解させるなどして取得することは違反です。
第三者提供を受ける際に取得の経緯について確認が必要であり、もし取得の経緯が不正であることが判明したにもかかわらず取得すると、これも不正の手段による取得に該当します。
要配慮個人情報を取得するには原則として本人の事前同意が必要ですが、例外として同意を得ることなく取得できる場合があります。
- 法令に基づく場合
- 人の生命や財産の保護に必要かつ本人の同意を得るのが困難な場合
- 公衆衛生の向上や児童の健全育成の推進に必要かつ本人の同意を得ることが困難な場合
- 国の機関・地方公共団体またはその委託を受けた者が法令の定める事務を遂行するのに必要で、本人の同意を得ると事務の遂行に支障を及ぼすおそれがある場合
- 学術研究機関が学術研究目的で取り扱う必要がある場合
- 本人や国の機関・地方公共団体、学術研究機関等により公開されている場合
- 本人を目視または撮影することによりその外見上明らかな要配慮個人情報の場合
前半5つは事前同意なしで目的外利用する場合と同じ条件です。最後の2つは要配慮個人情報に特化したもので、本人が雑誌のインタビュー記事で答えていたり、自身のSNSで公開しているといった場合です。
取得時に利用目的を本人に通知または公表する
個人情報がどのような目的で使用するのか不明瞭だと本人は不安になります。
通知は文書や口頭などで本人に直接伝える方法、公表はウェブや店舗のように対象者が訪れることが想定される場所への掲示や配布といった方法です。
どちらか一方の方法を取ればよく、通知の方が確実に伝わるが通知する側・される側双方に負担がかかるのでケースによって使い分ける必要があります。
通知と公表が不要になるのは下記の場合です。
- 本人または第三者の生命や財産など権利利益を害するおそれがある場合
- 個人情報取扱事業者の権利または正当な利益を害するおそれがある場合
- 国の機関・地方公共団体が法令の定める事務を遂行するために、利用目的を本人に通知・公表することにより事務の遂行に支障を及ぼすおそれがある場合
- 取得の状況から見て利用目的が明らかな場合
最後の項目については、名刺交換で得た個人情報は面談した取引に関する今後の連絡で使用することが明らかであるため、利用目的の明示が不要になるというケースです。ただし、無関係なDM送付の目的に使用するといった場合には事前同意が必要です。
個人データに関する義務
個人データとは個人情報データベースを構成する個人情報のことで、個人情報に関する義務に加えて、個人データに関する義務を負います。
正確性の確保
データが正確・最新の内容に保たれなかったことにより本人が不利益を被ることを防止します。
信用情報機関が誤って別人の破産情報をクレジット会社に流したため経営している会社が取引を断られたケースや、カルテの記載ミスによる医療過誤も想定されます。
また、不要になった個人データを残しておくと漏えいなど安全管理に支障が生じる場合があるため、遅滞なく消去する規定が設けられています。ただし、業法や税務関係などの法令で一定期間の保存義務が法定されていれば遵守する必要があります。消去は復元できない手段で廃棄・削除する必要があり、紛失と区別するために消去した記録も取る必要があります。
正確で最新の内容であることの確認が難しく、消去についても不要の判断基準が明らかでないことが多いので努力義務となっています。マイナンバーについては利用終了時の消去は法的義務です。
安全管理措置
個人データの漏えい、滅失、き損の防止、その他の安全管理のために必要かつ適切な措置を講じる義務です。
重大な漏えい事故などが発生したおそれが判明したときは委員会に報告するとともに本人に通知する義務を負います。
従業者(従業員のみならず役員や派遣労働者も含む)に対する必要かつ適切な監督を行う義務を定めています。漏えい事件の分析によれば、外部のハッカーによる反抗は少数であり、委託者と並んで従業者など内部者に起因するケースが圧倒的に多く、故意に持ち出したケースよりも不注意で漏えいしたケースがほとんどです。
第三者提供の制限
個人情報を第三者提供する場合は本人同意の取得が原則ですが、適用除外が定められています。
- 法令に基づく場合
- 人の生命や財産など権利利益の保護に必要かつ本人の同意を得るのが困難な場合
- 公衆衛生の向上や児童の健全育成の推進に必要かつ本人の同意を得ることが困難な場合
- 国の機関・地方公共団体が法令の定める事務を遂行するために協力が必要で、本人の同意を得ることにより事務の遂行に支障を及ぼすおそれがある場合
- 学術研究機関が学術研究目的で提供する必要がある場合
- 第三者が学術研究目的で取り扱う必要があるため学術研究機関が提供する場合
オプトアウト制度は、本人の事前同意なしに第三者提供を行い、本人から要求されれば停止する制度です。この制度を利用するにはあらかじめ委員会に届け出を行う必要があり、また要配慮個人情報はオプトアウト制度の対象外です。
委託先や事業継承、グループ企業などによる共同利用については、第三者に該当しないとして事前同意が不要です。
保有個人データの開示について
個人情報取扱事業者は、開示等の請求をつけるける方法を定めることが可能です。定めることができる事項は以下の通りです。
- 申出先
- 提出すべき書面や電磁的記録の様式
- 開示請求を行った者が本人か代理人であることの確認方法
- 手数料の徴収方法
これらを定めることは義務ではありませんが、定めていない場合は請求ごとに個別協議して決定しなければなりません。
請求を受けた個人データの全部または一部を開示しない場合や、持っていない場合は本人に遅滞なくその旨を通知し、その理由を本人に説明するよう努めなければいけません。本人はその理由に納得できない場合は裁判が可能です。
以下の場合は開示を拒否することも可能です。
- 本人または第三者の生命や財産など権利利益を害するおそれがある場合
- 個人情報取扱事業者の業務の適正な実施に著しい司法を及ぼすおそれがある場合
- 他の法令に違反する場合
拒否したことにより、より不利益が発生する場合には保有個人データから除外して「保有していない」と回答することが可能です。例えば、父の家庭内暴力が原因で逃げてきた母と子が被害者支援団体にかくまわれていて、父が子の法定代理人として子の保有個人データの開示請求をした場合、上記の1つ目の理由で拒否すると子らをかくまっていることが父にばれてしまいます。こうした場合に「保有していない」と回答することができるということです。
保有個人データの利用停止について
本人は個人情報取扱事業者に対し、自分に関する保有個人データが利用目的による制限、不適正な利用の禁止、適正な取得に違反しているものであれば利用停止を請求できます。
請求を受けた事業者は請求に理由があると判明したときは、違反の是正に必要な限度で遅滞なく利用停止を行わなければなりません。
コメント