個人情報取扱事業者の定義と義務 | 企業の個人情報保護法への取組と事例:2018年版(3)

個人情報取扱事業者の定義と義務 | 企業の個人情報保護法への取組と事例:2018年版(3)

イントロダクション

個人情報保護法への取組と事例をテーマにしたお話しの3回目になります。
前回は「個人情報」の定義と、個人情報保護法が定義するその他の単語の定義をお話しまsた。
本稿に出てくる「個人情報」「個人情報データベース」「個人データ」「保有個人データ」等の単語の定義は、前回の「個人情報の定義」を参照してください。

今回からいよいよ企業が対応すべき義務についてお話していきます。
今回も一部言葉の定義をしているため、全体が長くなっていますが、最後までお付き合い願います。

スポンサーリンク

個人情報取扱事業者の定義と義務

個人情報取扱事業者とは

「個人情報取扱事業者」とは個人情報データベースを事業活動に用いている事業者です。

個人情報データベースを事業活動に用いている(条文では「事業の用に供している」)事業者は、データ件数の多寡に関わらず個人情報取扱事業者となります。
また事業者が法人格ではない(任意団体等)場合や個人であっても個人情報データベースを事業活動に用いているのであれば個人情報取扱事業者です。

尚、国の機関や地方公共団体、独立行政法人などは個人情報保護法とは異なる法律(国の機関、地方公共団体、独立行政法人等の保有する個人情報の保護に関する法律)で規定されているため、個人情報保護法の個人情報取扱事業者には含まれません。

補足として、「個人情報保護法ガイドライン(通則編)」では個人情報取扱事業者でも「中小規模事業者」は以降で説明する安全管理措置が緩和されます。
安全管理措置は個人情報取扱事業者が個人情報保護のために行わなければいけない事項です。
ちなみに個人情報保護法が定義する「中小規模事業者」は以下の条件に一致する事業者。世間一般でいう「中小企業」とは定義が異なるので、条件に一致するかどうか必ず確認するようにしてください。

「中小規模事業者」の条件
・従業員100名以下
・個人情報データベースで保有する個人情報で識別できる個人が過去6ケ月間常に5,000名以下
・ただし委託を受けて個人データを取り扱う事業者は除外される

社員数が100名超で、常時5,000名分以上の個人データを保有している場合や、そもそも個人データの取り扱いを委託されている場合などは、事業規模とは関係なく「中小規模事業者」ではなくなります。

尚、取り扱っている情報が個人情報データベースではなく、匿名加工情報データベースである場合は、別途「匿名加工情報取扱事業者」という取り扱いになり、規則も異なります。
これについては今回は割愛したいと思います。

個人情報取扱事業者の義務…の前に言葉の定義

法律関係の説明においては、本題に入る前に以降に出てくる言葉を事前に定義しておかなければいけないことがちょくちょくあります。
これは法律が適用される範囲を特定するためには必要なのですが、普通に説明しようとしていると結構まどろっこしいです。

前回は「個人情報」から「保有個人データ」に至るまでの言葉の定義を行いましたが、今回は個人情報取扱事業者の行わなければいけない義務の中に出てくる言葉を4つ定義しておきます。

「本人に通知」

個人情報について、利用目的や第三者への提供などを「本人に通知」するという文言がよく出てきます。
個人情報保護法における「本人に通知」とは以下のような手段を指します。

・ちらし等の文書を直接渡すことにより知らせる。
・口頭又は自動応答装置等で知らせる。
・電子メール、FAX 等により送信し、又は文書を郵便等で送付することにより知らせる。

口頭や自動応答をもって「本人に通知」したことになるのはちょっと怖い気もしますが、サポート窓口とかに電話した時に自動音声で「尚、この通話はお客様サービス品質の向上のため録音させていただきます」等アナウンスされるのも「本人に通知」されたことになります。

利用規約や契約書、音声ガイダンスなどを読み飛ばしたり聞き飛ばすと、「本人に通知」されたことになってしまい痛い目を見るかもしれませんので注意が必要です。

「公表」

個人情報の利用目的は「本人に通知」し、又は「公表」しなければいけない、という文言があります。
個人情報保護法における「公表」とは以下のような手段を指します。

・ホームページへの掲載(辿り着きやすい場所に設置)
・ポスターの掲示、パンフレット等の備置き・配布(店舗や事務所など、顧客が訪れることが想定される場所に設置)
・通信販売用のパンフレット・カタログ等への掲載

「利用目的はホームページに書いてます」なんて、「続きはWebで」より読まねえよ!と思ったとしても、官報なんかと同じく誰もがアクセスできる場所に掲示されていれば「公表」となります。

「本人の同意」

収集した個人情報の利用目的の変更などで「本人の同意」を得る必要がある、などの際に使われます。
個人情報保護法における「本人の同意」とは以下のような手段を指します。

・口頭による意思表示
・書面の受領(電磁的記録を含む)
・メールの受領
・確認欄のチェック
・ボタンのクリック
・音声入力、タッチパネルへのタッチ

ソフトやアプリのインストールの際に、表示されるポップアップダイアログの「次へ」や「OK」を連打していませんか。
気が付いたら個人情報の取得・利用に関する「本人の同意」を取られているかもしれませんよ。

「提供」

個人情報の第三者への「提供」、のような使われ方をします。
個人情報保護法における「提供」は、物理的に相手にデータや書面を受け渡す以外にも、個人データへのアクセス権を付与することも指します。
例えば個人情報データベースにネットワークから接続するためのログインユーザーとパスワードを通知することも、「提供」に該当します。

個人情報取扱事業者の義務

ようやく本題に移ることができます。
個人情報取扱事業者が個人データに対して行わなければいけない義務は6つあります。

個人情報取扱事業者の義務
(1)利用目的についてのルールの遵守
(2)取得方法についてのルールの遵守
(3)保管・管理についてのルールの遵守
(4)第三者提供についてのルールの遵守
(5)開示等の請求への対応
(6)問合せ窓口の設置

(1)個人情報の利用目的

個人情報取扱事業者は、取得する個人情報の利用目的をできるだけ具体的に特定する必要があります。
できるだけ具体的に、というのはどれくらいかという例を挙げてみます。

利用目的の提示例
・商品・サービスに関する提案、その他の情報提供のため→OK
・購入またはお申込みいただいた商品などの発送→OK
・事業活動に用いるため→NG
・お客様サービス品質の向上のため→NG
・対応内容からよりわかりやすいご説明やご案内ができるよう検討するため→OK

下から2番目は先ほどのサポートセンターの件です。
個人情報が含まれる問合せの場合はあまりよろしくないガイダンスと思われます。
また上から2番目について、配送伝票に直接記入してもらうような場合は、利用目的が明らかであり、改めて通知する必要はありませんが、別紙アンケート用紙やWebの会員登録画面などで住所情報を記入してもらう場合には必要になります。

取得した個人情報の利用目的を変更する場合は「本人に通知」又は「公表」する必要があります。

また利用目的の範囲を超えて個人情報を利用する場合には「本人の同意」が必要です。

第三者への提供を目的した取得である場合は、当然その目的を提示する必要があります。
これについては「第三者への提供」の項で詳しくお話します。

目的外利用の例外は次の通りです。

・法令に基づく場合(刑事訴訟法、国税通則法、弁護士法等)
例:警察の捜査協力のための利用、国税調査に対応する場合の利用、弁護士会からの問合せに対応するための利用
・生命、身体又は財産の保護のために必要で、本人の同意を得ることが困難な場合
例:急病人の氏名、血液型、家族情報を医師に伝える
例:危険な商品のリコールのために販売店が購入者情報をメーカーに提供する
・児童の健全な育成のために必要で、本人の同意を得ることが困難な場合
例:児童の健康診断結果を健康増進施策の立案、保健事業の効果の向上、疫学調査等のために利用する
例:児童虐待の疑いがある家庭の情報を児童相談所、警察、病院、学校などが共有する
・国や地方自治体が法令に定める事務を遂行するにあたり、事業者が協力する必要があり、本人の同意を得ることで事務遂行が困難になる場合
例:事業者が税務署又は税関の職員等の任意の求めに応じて個人情報を提出する
例:一般統計調査や地方公共団体が行う統計調査に回答する

(2)個人情報の取得方法

個人情報を取得する際は利用目的を「本人に通知」又は「公表」しなくてはいけません。
「本人に通知」又は「公表」しなくてはいけない取得パターンは以下のようなものがあります。

・インターネット上で本人が自発的に公にしている個人情報を取得した
・インターネット、官報、職員録等から個人情報を取得した
・個人情報の第三者提供を受けた

前回の「個人情報の定義」でも公になっている情報であっても個人を特定できるものは個人情報であるとお話しました。
なので本人が公にしている情報であっても、個人情報取扱事業者はその事業で用いるために「個人情報を取得」する場合は「本人に通知」又は「公表」する必要があります。
尚、閲覧するだけであればその必要はありません。

取得の方法について、個人情報を不正な手段で取得してはいけません。
具体的な「不正な手段」の例を挙げてみます。

・十分な判断能力の無い子供から、目的とは関係の無い家族の情報を、家族の同意なく取得する
・取得する事業者名や利用目的を偽って取得する
・他の業者に不正な手段で情報を取得させる
・明らかに不正な手段で取得した情報を取得する
・他の事業者等の保有する個人情報を、脅迫等の手段で本人の同意無しに提供させる

初回の話にもありましたが、個人情報を収集している名簿業者でさえも、不正に取得してきたと思われる個人情報は買い取りません。
明らかに不正な方法で収集してきたとわかる個人情報を取得することも「不正な手段」になるのです。

また、「要配慮個人情報」の取得にはあらかじめ「本人の同意」が必要です。
ただし法令に基づいた取得は本人の同意が不要です。
例えば労働安全衛生法に基づく従業員の健康診断を実施して、身体状況、病状、治療等の情報を実施期間から取得することは本人の同意なしに可能です。

その他「目的外利用の例外」と同様に生命、身体の保護、児童の健全な育成の保護のためには本人の同意が不要な場合があります。

それ以外には本人や国・地方自治体、報道機関や著作などで既に公表されているよう要配慮個人情報の取得は本人の同意が不要です。
例えば特定の宗教を信仰していることを本人が著作などを通じて公表している場合などです。
ただし「個人情報保護委員会規則で定める者」以外が公表している情報、例えばインターネット掲示板の書込みなどから個人情報を取得する場合は、本人の同意を必要とします。

(3)個人情報の保管・管理

取得した個人情報は漏えいや改ざんなどが行われないように安全に管理・保管しなければいけません。
安全に管理・保管するためのルールを個人情報保護法では「安全管理措置」と呼びます。

「安全管理措置」は全ての個人情報取扱事業者を対象としたものですが、「中小規模事業者」には特例があり、一部の管理手法について緩和されているものがあります。
安全管理措置が必要とする管理コストに見合わない規模であれば、管理を簡素化できることになります。

繰り返しますが「中小規模事業者」の定義は、一般的な「中小企業」の定義とは異なります。
「うちは中小企業だから安全管理措置は緩和される」と勘違いしないように気を付けましょう。

安全管理措置については次回細かく内容を確認していきましょう。

尚、保管・管理のために従業員の監督や、個人情報を委託する場合は委託先の監督も徹底する必要があります。

(4)個人情報の第三者提供

個人情報取扱事業者が個人データを第三者へ提供する場合、あらかじめ「本人の同意」を得る必要があります。

名簿業者などの全くの第三者の場合は当然ですが、例えばグループ企業間やフランチャイズ組織の本部と加盟店の間であっても、「第三者提供」にあたります。

同一会社内であっても当初と異なる利用目的であれば、「第三者提供」ではありませんが「利用目的の変更」として「本人の同意」が必要です。
また提供する第三者が外国にある場合、相手側の体制や個人情報保護委員会が認めた国であるかなどの条件を確認した上で、「外国の第三者への提供」について「本人の同意」が必要です。

また第三者への提供を行った場合、もしくは第三者から提供を受けた場合、そのどちらの場合も「いつ、誰の、何の情報を、誰に提供した/誰から提供された」を記録する義務が生じます。
提供を受ける場合はこれに相手側の個人データの取得経緯も併せて確認する必要があります。
確認記録の保管期間は原則3年です。

「本人の同意」を得ずに第三者提供が可能な方法もあります。
前述の「目的外利用の例外」や「要配慮個人情報の取得」と同様に、法令、生命、身体の保護、児童の健全な育成の保護のため等を理由に本人の同意無しに第三者提供することが可能ですが、第三者提供の場合は別の手段があります。

それが「オプトアウト」です。

オプトアウトは以下の事項をあらかじめ「本人に通知」もしくは本人が容易に知り得る状態にした上で個人情報保護委員会に届け出た場合には、あらかじめ本人の同意なしに個人情報を第三者に提供できることを指します。

・第三者への提供を利用目的とすること
・第三者に提供される個人データの項目(氏名、住所、電話番号等)
・第三者への提供の方法(紙、インターネット掲載、データファイル形式等)
・本人の求めに応じて第三者への提供を停止すること
・本人の求めを受け付ける方法(メール、郵送、問合せフォーム、電話等)

また個人情報取扱事業者は個人情報保護委員会に届け出た場合、その内容を自らも「公表」することになります。

要は「こういう情報をこういう手段で第三者に提供するために個人情報を取得します」を堂々と宣言して、個人情報保護委員会にも届け出ている事業者は、本人の同意なしに個人情報を第三者に提供できるのです。

尚、「要配慮個人情報」はオプトアウトによる第三者提供を行ってはいけません。

これが名簿業者が合法的に個人情報を販売している根拠です。
名簿業者に限らず、多くの場所で顧客情報の収集にオプトアウトは活用されています。
個人情報を不正に悪用するためではなく、マーケティング活用などを意図したものがほとんどですが、利用規約を読み飛ばしたり「OK」ボタンを連打しているとオプトアウトの条項が「本人に通知」されていたことに気付かずに個人情報が第三者に提供されてしまうかもしれません。

そういう人に限って、この手の個人データの収集を毛嫌いする傾向にあります。
確かに個人情報が収集されること自体気持ちの良いものではないと感じる人も多いかもしれませんが、それならきちんと利用規約や注意事項を読み、同意しなければよいのです。
早くサービスを開始したい、早く目的を達成したい、そのために不要なものは全て読み飛ばす、という態度が個人情報を流出を容易にします。
相手は第三者に提供する旨を「本人に通知」したとしているため、不正に第三者提供を行ってはいません。
釈然としない人もいるかもしれませんが、それが「個人情報保護法」で決められている「第三者提供」の仕組みなのです。
事業者が情報を詐取する意図があろうとなかろうと、本人が読み飛ばそうとも、「本人に通知」されていることが確実であれば事業者側に落ち度はなく、読み飛ばした人の自己責任なのです。

もちろん全ての事業者が第三者提供を目的として個人情報を取得しているわけではなく、全ての個人情報取扱事業者がオプトアウトの届け出を行っているわけでもありません。
また事業を行う側からしても、例えば先ほどのグループ会社は本部と加盟店のようなパターンでデータのやり取りの度に「本人の同意」が発生していては、事業そのものが停滞する恐れもあります。
きちんと「第三者提供しますよ、いいですね」を「本人に通知」していることを条件にこれを緩和することがオプトアウトの目的です。

(5)開示等の請求への対応

個人情報が識別する本人から、「保有個人データ」の開示や訂正、利用停止、削除、第三者への提供の停止などの請求があった場合、個人情報取扱事業者はこれに対応しなくてはいけません。

これについてもいくつかの除外対象がありますが、概ね繰り返しになるのでそろそろ割愛しておきます。

尚、本人からの請求に対して、個人情報保護法では「合理的であると認められる範囲」手数料を請求することを許可しています。
世の中には様々な事業者がいますし、様々な形態の「個人情報データベース」が存在します。
膨大な紙資料から1件の個人データを取り出す等、索引や体系化をして整理しても取得に時間が掛かる状態にあることも想定され、その対応時間に係る費用を請求することを法律で正当化しています。

もちろん「必ず手数料を取らなければいけない」わけではないですが、「手数料を取る=個人情報を開示する気が無い」といきなり判断しないようにしましょう。
もちろん法外な手数料で情報開示を暗に拒むようなパターンもあるかもしれませんが、個人情報保護法では手数料はあくまで「合理的であると認められる範囲」をうたっています。

(6)問合せ窓口の設置

個人情報に関する外部からの問合せに対応する窓口並びに対応体制を事業者が備えることを求められています。

ちなみに個人情報保護法には「問合せ」でなく、「苦情」と力いっぱい書いていますが、先の項目の請求もどこに問い合わせればよいかわからなければ困ってしまいます。

きちんと個人情報に関する問い合わせルートが決まっており、それが公開されていることが必要になります。

あとがき

全体的に長くなったので、最後に図でまとめておきます。

これでも「安全管理措置」について端折っていますので、法律全体を読み解こうと思うと非常に時間がかかります。
全文となると、国や地方自治体の話や個人情報保護委員会についての規則などもあるので、今回はとにかく企業が気を付けるべきところだけ抽出しました。

次回「安全管理措置」の詳細を説明して、それからようやく「取組と事例」の話になります。
長丁場になりますが、興味のある方はもう2、3回お付き合いいただければと思います。


個人情報保護関連の記事を纏めました。

セキュリティカテゴリの最新記事