【個人情報保護とは】
(1)個人情報保護法の背景及び概要
個人情報保護法(平成15年5月30日法律第57号)は、官民の個人情報の適正、特に民間の事業
者が個人情報の有用性に配慮しつつ個人情報の適正な取り扱いのルールを定めた法律です。
現代において、個人情報を利用した様々なサービスが提供され、日常生活は大変便利になりました
特にIT化によってインターネット取引が行われ、色々な場面で個人情報が流通しています。
デジタル庁の創設が予定され、個人情報がますますネットでの流通が行われます。
しかし便利ですか、個人情報の漏えいの危険も今以上に増えるのではいかと思います。
なお、個人情報が誤った取り扱いをされたり、また、振り込め詐欺等の犯罪行為に利用されたりします。
お年寄りや若者を問わず、個人に重大な被害を及ぼすことはニュースにより明らかです。
また、現在は、個人情報を利用したさまざまな犯罪が増えています。
このような会社の状況を踏まえ、IT社会、情報通信社会の利益が受けられるように、また、個人情報の適正な取扱いを求め個人情報保護法が制定されました。
個人情報を悪用され犯罪被害に悩む男性
(2)個人情報とは
個人情報との言葉は、日常生活においてひんぱんに耳にします。また、個人情報との言葉の内容を意識しないで使用してします。そこで個人情報とは何かを検討したいと思います。
① 個人情報の定義
個人情報とは、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの」を言うとされています(個人情報保護法第2条1項)。
さらに、他の情報と容易に照合することができ、それにより、特定の個人を識別することができるものも含まれます。
つまり、ある情報が特定の個人と結びつき特定の個人と分かる情報は個人情報とされます。
個人情報は、氏名、性別、生年月日等の個人を識別する情報のみならず個人の身体、財産職種、肩書等の事実や判断、評価を表わすべての情報をいいます。
電話帳、紳士録等の公刊物によって公開されているか否かは問わないとされています。
また、個人に関する情報 であるため、会社やその他の団体の情報、会社の財務情報は含まない事になります。
【個人情報にあたる具体例】
a 本人の氏名、生年月日、連絡先(住所・電話番号・メールアドレス等)、会社での職位または所属に関する情報について、それらと本人の氏名と組み合わせた情報
b 特定の個人であると分かるメールアドレス
c 防犯カメラに記録された映像、音声で本人と特定される場合
d 履歴書などに記載された雇用管理情報ー人事上の評価も含まれます
e 電話帳、官報、録員録等で公にされている情報
f 特定の個人と結びついた通称、雅号、屋号、芸名、更に看護記録、カルテ、検査記録に記載された診療情報、電話・携帯電話の通話記録、また社員番号のようにそこからある社員の検索が容易であり、特定の個人の識別、判別がすることが可能な情報
個人情報の住所、電話番号、メールアドレスなどが記載された手帳
★平成27年(2015年)に「改正個人情報保護法」が国会で成立し公布され、その後、平成29年(2017年)5月30日より施行されています。
個人情報の定義の在り方、要配慮個人情報等が個人情報に内容が追加、変更されました。
詳しくは、弊所HPの改正個人情報保護法をご覧くか頂くまたはご依頼、ご相談ください。
② 個人情報の分類
個人情報保護法第2条は、保護する対象として個人情報、個人データ、保有個人データの3種類を挙げています。
個人情報は、前述のとおりですが、個人データは個人情報データベース等を構成する個人情報を意味しますが、個人情報データベース等とはどのような内容でしょうか。
a 個人情報データベース等
個人情報データベース等とは、個人情報を含む情報の集合体を意味します。
例えば、特定の個人情報を、パソコン等を用いて検索することができるように体系化したものです。
また、データベースで特定の個人情報を容易に検索できるように体系的に構成したものとして政令に定めされているもの、例えば、五十音順、アルファベット順、日付け順等で並べらられており、どこに何があるのかが検索できる状態であれば、パソコンを用いなくなくとも該当するとれています。
⇑
紙のファイルバインダー
氏名の五十音順に並べれている名刺ホルダー、紙のファイルバインダー、日付順に綴られている申込書等です。
b 個人データ
個人データは、個人情報データベース等に含まれる個々の個人情報のことです。
例えば、個人情報データベース等から他の媒体にコピーしたバックアップ用の個人情報、名刺ホルダーに綴られた中にある一枚の名刺です。
c 保有個人データ
保有個人データとは、個人データのうち、本人からの開示、訂正、利用停止等の請求の対象となるものです。つまり自らが追加、削除等を行う管理権限を持っている個人データです。
以上のように、個人情報の中の一部が個人データであり、個人データの中の一部が保有個人データとされています。これらのデータはそれぞれ個人情報保護法によって課されている義務の内容が異なっています。
従って、個人情報に関する漏洩等の法的リスクを回避するには、必要な個人情報のみ取得し不要になった個人情報は直ちに廃棄する等の取り組みが必要です。
(3)個人情報取扱事業者
個人情報保護法2条3項は、個人情報保護法上の義務を負うべき個人情報取扱事業者を定めています。
国の機関、地方公共団体、独立行政法人等は除かれています。
個人情報取扱事業者とは、民間事業者のうち「個人情報データベース等を事業の用に供している者」は、すべて個人情報取扱事業者になります。
★個人情報取扱事業者は、当然に個人情報保護法の要求する義務を守らなければならないのですが、たとえ個人情報取扱事業者にあたらない場合でも、個人情報保護法の規定を守ることが コンプライアンス上から、信用の失墜、お客様離れを防ぎ、民事上の責任を回避すためにも重要です。
(4)個人情報取扱事業者の義務
① 利用目的の特定(第15条)
個人情報を利用するときは、利用目的をできる限り特定しなければならないとされています。
例えば、「事業活動に使用するため」という内容では、具体的に使用目的を特定しているとは言えません。
② 利用目的による制限(第16条)
あらかじめ本人の同意を得ないで、利用目的の達成のために必要な範囲を超えて個人情報を取り扱うことはできないとされています。
例えば、商品を送るという利用目的で取得した住所、氏名、電話番号等をダイレクトメールを送るために利用することは、本条に抵触すると言えます。
③ 適正な取得(第17条)
偽りその他不正な手段によって個人情報を取得してはならないとされています。
例えば個人情報が記載されている名簿を盗んだり、詐欺や脅迫によって個人情報を得る場合です。
また、ネットを通じて不正アクセスによって個人情報などを取得する場合です。
不正アクセスは、ニュースで数多く報道されています。
ネットによる不正アクセスよる個人情報の漏えい
④ 取得に際しての利用目的の通知(第18条)
個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに
その利用目的を、本人に通知し、又は公表しなければならない、とされています。
⑤ 安全管理措置(第20条)
取り扱う個人データの漏洩、滅失又はき損の防止その他個人データの安全管理のために必
要かつ適切な措置を講じなければならない、とされています。
因みに、安全管理措置には、組織的安全管理措置、人的安全管理措置、物理的安全管理措置
技術的安全管理措置があります。
⑥ 従業員の監督(第21条)
従業者に個人データを取り扱わせせるに当たっては、当該個人データの安全管理が図れるように当該従業者に対する必要かつ適切な監督を行わなければならない、とされています。
従業者に対する監督は、個人情報保護について教育が代表的です。具体的には、a 個人情報研修の実施 b 個人情報マニュアルの配布 c 仕事に関する個人情報の疑問点の解消等があります。
また、受講後にテストを行い理解度の確認を行います。
← 従業員に対する個人情報教育
⑦ 委託先に監督(第22条)
個人データの取り扱いの全部又は一部を委託する場合は、取り扱いを委託された個人データの安全管理が図られるよう委託を受けた者に対する必要かつ適切な監督を行わなければならない、とされています。
個人第情報のデータ入力、商品の配送等を第三者(例えば別の会社)に委託することは、多く行われていますが、委託した者は、委託先に対して監督義務が義務が課されています。
例えば、秘密保持契約を結び、再委託の制限や守秘義務、事故発生の場合の対応等を定めておく必要があります。
⑧ 第三者提供の制限(第23条)
あらかじめ本人の同意を得ないで、第三者に個人データを提供することはできない、とされています。
しかし、a 委託先への提供 b 合併等の提供 c グループによる共同利用の場合は、第三者提供に該当しないとされています。
⑨ 保有個人データの開示(第25条)
本人からの求めに応じて、保有個人データを開示しなければならない、とされています。
因みに、開示しなければならない範囲は、本人が求めて来た範囲とされています。
⑩ 保有個人データの訂正(第26条)
保有個人データに誤りがあるときには、本人からの求めに応じて、訂正、追加又は削除を行わなければならない、とされています。
⑪ 保有個人データの利用停止(第27条)
利用目的による制限、適正な取得に違反している等、個人情報保護法違反を理由に本人から利用停止又は消去を求めらた場合は、利用停止又は消去を行わなければならない、とされています。
⑫ 苦情処理(第31条)
本人から苦情の申出があった場合には、個人情報の取扱いに関する適切かつ迅速な処理につとめなければならない、とされています。
また、本人からの苦情を適切かつ迅速に処理するため必要な体制の整備に努めなければならない、とされています。
例えば、ダイレクトメールを発送した場合、何故、自分の住所・氏名を知っているのか、さらに、どうやって、自分の個人情報を手に入れたのか等との問い合わせが来た場合には苦情受付窓口の設置、クレーム処理規則の制定を行ったうえで、適切に処理していかなければならないとされています。。
▼▼お電話でのご依頼・ご相談はこちら▼▼
TEL : 03-4360-8630
メールアドレスはこちら:m.isogai@s6.dion.ne.jp
ご不明な点、疑問な箇所は遠慮なくご連絡ください。
(5)個人データの第三者への提供
① 個人情報取扱事業者は、あらかじめ本人の同意をえないで個人データを第三者に提 供してはならないとされています(個人情報保護法第23条)。
個人情報に関する問題で比較的多く問題になるのが、第三者への提供です。
会社に良く、取引先から営業の○○さんの住所・電話等の連絡先を教えて下さいとの電話やメールが来たことはありませんか!
自社の営業部の○○さんの住所・電話等の連絡先を取引先のお得意さんから問い合わせ
があった場合、お得意さんだから教えてしまって良いのでしょうか?
個人情報保護法23条1項の趣旨は、本人が個人情報取扱事業者と直接にやり取りする個
人データについては、どの事業者がどのような個人情報を保有し利用しているか、本人が自
分で管理することができます。
ところが、本人の知らないところで個人情報を預けたある事業者から第三者(例えば別の会
社)に個人情報の提供が行われた場合には、本人は自分で個人情報の管理ができないことな
ります。
これを防止するために、本人の同意が必要とされています。
自分の預けた個人情報が、勝手に他の会社、他の個人事業主に渡っているとしたら、気分が悪
いですし、悪用されないか心配になります。
もっとも、ここであらかじめ本人の同意を必要とするは、個人データとされています。
これは、個人データは個人情報データベース等を構成しているため容易に検索できるために第三
者に提供する機会が多いことによります。
② 個人情報取扱事業者は、あらかじめ本人の同意がなければ個人データを第三者に提供すること
はできないとされています。
ここで「あらかじめ」とは、第三者に対する個人データが提供される前を意味します。
第三者とは、個人情報を提供しようとする個人情報取扱事業者及び本人のいずれにも該当
しない者をいいます。第三者は、法人、個人を問わないとされています。
★ 第三者提供の例外
(1)個人データを第三者に提供する場合は、あらかじめ本人の同意が必要とされています
(個人情報保護法第23条)。
ところが、例外として以下の場合は、本人の同意が不要とされ第三者に提供することができ
るとれています。個人データの第三者提供には当たらないとされています。
① 個人情報保護法第23条1項の定める場合
a 法令に基づく場合
例えば、警察の捜査関係事項照会に対して回答する場合や令状による捜査があります。
また、税務署に対する支払調書の提出も該当します。
b 人の生命、身体又は財産の保護に必要な場合
例えば、事故や災害のように緊急時に負傷者の情報を医師や看護師に提供する場合です。
c 公衆衛生、児童の健全育成に必要な場合。
例えば、疫学的な調査の場合です。
d 国等に協力する場合
例えば、事業者が税務署の税務調査に協力して個人情報を提供する場合です。
また、警察の任意の求めに応じ個人情報を提供することも該当します。
② 個人情報保護法第23条2項の定める場合
本人の求めにより提供停止を行う場合。
③ 個人情報保護法第23条4項の定める場合
a 業務委託の場合
例えば、業務の全部または一部を委託する場合。なお、委託した個人情報取扱事業者は、
委託した第三者に対して管理義務、監督義務を負います。
b 事業承継の場合
合併、事業譲渡、分社化によって承継された場合。もっとも、個人データの利用は、当初
の利用目的の範囲内に限定されます。
c 共同利用の場合
共同利用する者の範囲、利用目的等をあらかじめ明らかにして、プループによる共同利用を
をする場合。例えば、グループ企業でトータルなサービスを提供する場合です。
(6)個人情報保護法上の罰則
個人情報保護法に違反した場合、罰則の規定がありますが、直ちにが罰則が適用されるのではなく
一定の手続きが規定されています。
★主務大臣が必要に応じて個人情報取扱事業者に個人情報に関する取り扱いの報告を求めます(第32条) |
↓
★主務大臣が必要に応じて個人情報取扱事業者に個人情報に関する取り扱いについて助言を行います(第33条) |
↓
★個人情報取扱事業者に違反行為がある場合、その違反を是正するために勧告を行います(第34条) ★個人情報取扱事業者が正当な理由なく勧告に従わず個人の権利利益が侵害される恐れがある場合には、勧告内容の措置をとるように命令を行います(第34条2項)。 ★重大な権利、利益を侵害する恐れがあり緊急に措置をとるべき必要があるときには、勧告を経ないで当該行為の中止その他違反行為の是正のための命令を発することができます(第34条3項) |
↓
★これらの主務大臣の命令に違反した者は、6カ月以下の懲役または30万円以下の罰金に処せられます(第32条)。 なお、従業員が違反した場合には、行為者に加えてである法人(使用者)にも30万円以下の罰金に処せられます(第58条2項)。 |
(7)個人情報が漏洩した場合
① 法律上の責任
会社の役員、従業員等によって個人情報が漏れた場合には、個人情報を預けた本人から債務不履履行に基づく損害賠償請求(民法415条)、不法行為に基づく損害賠償請求(民法709条)会社の使用者責任に基づく損害賠償請求(民法715条)を受ける事があります。
特に、氏名、年齢、住所、健康状態、家族構成、続柄等の微妙な個人情報が漏れた場合には、はプライバシー侵害とされる恐れがあります。
個人情報を漏えいされ抗議する男性
個人情報について、安全管理措置(第20条)従業員の監督(第21条)委託先の監督(第22
条)を怠り、主務大臣から違反に対する勧告・命令を受けたにもかかわらず従わないときは、
6カ月以下の懲役または30万円以下の罰金に処せられ可能性があります。
個人情報の漏えいは、圧倒的に会社内部の人間による漏えいが多いとされています。
これは、従業員に対する教育、個人情報の適切な管理体制の構築や運用で防ぐことができます。
② 社会的な責任
個人情報が漏れた場合、会社の社会的信用が失われ、会社のイメージが低下しお客様離れが著しくなります。ブランド価値の低下となります。
大事な自分の個人情報を漏らすような会社では、信用されませんし、お客として取引をしようとは思われないです。
これまで地道に築き上げてきた会社のイメージは低下し売り上げは著しく落ちます。
★ このような不利益、法的リスクを避けるためには、自社の個人情報を洗い出し、リスク分析を行い、評価した結果を前提に経営的立場からリスク対策を考えることがポイントです!
当事務所の強み、特色について
【強み1】 個人情報については、企業の法務部において個人情報管理責任者として個人情報に関する実務経験があります。
【強み2】 プライバシーマーク取得プロジェクトチームに参加しプライバシーマークを取得しました。
【強み3】 プライバシーマーク内部監査人、ISMS内部監査人として内部監査の経験があります。
【強み4】 個人情報保護士の資格を保有しております。
個人情報に関する諸問題,個人情報保護体制の社内構築は、当事務所にお任せください。
ご依頼・ご相談はこちら
▼▼お電話でのご依頼・ご相談はこちら▼▼
TEL:03-4360-8630
受付時間
平 日:9時30分〜19時まで
土曜日:10時〜17時まで
定休日:日曜日・祝日
フォーム,メールによる相談は、年中無休となっております。
メールアドレスはこちら:m.isogai@s6.dion.ne.jp