法律相談予約専用 TEL 070-5483-9947
この記事は2022年2月に配布した顧問企業法務通信から抜粋したものです。
今春(2022年4月1日)より、改正個人情報保護法が施行されます。
個人情報保護法は、2003年成立の法律ですが、2017年5月施行により、個人情報取扱件数に関係なく、小規模事業者も適用対象となっています。
そして、2020年改正において主に本人の権利の強化が図られており、2021年改正において官民でわかれていた法令が一本化されました。
さらに、業務提携や業務委託の増加に伴い、個人情報の配慮を要望される機会も増加しており、各自が個人情報保護法を無視できない時代となっています。
今春は個人情報保護法を確認するちょうどよい機会ではないかと思います。
しかしながら、個人情報保護法は、「個人情報」「個人情報データベース等」「個人情報取扱事業者」「個人データ」「安全管理措置」「個人データの取り扱いの委託」等の聞きなれない用語も多く、わかりやすい法律ではありません。
そこで、今回は、立場別の確認事項や実践方法を簡単に?まとめてみました。
なお、紙面の都合上、正確ではない記載もあると思いますが、ご容赦ください。
また、条文番号は令和4年4月1日施行に準拠しています。
(参考資料)
個人情報保護法の知識<第5版> (日経文庫) 岡村 久道
令和2年改正 個人情報保護法の実務対応-Q&Aと事例- 第二東京弁護士会
個人情報保護法の逐条解説 第6版 宇賀 克也
【1 これからはじめる方】
自社におけるデータベースや名簿を確認してみましょう
【2 個人情報の漏洩が気になる方】
安全管理措置の構築と漏洩事案の対応を確認しましょう
【3 個人データを第三者に提供したい方】
原則として提供元にて事前に本人の同意を得ることが必要です
【4 他社の個人データを目にすることがある方】
契約書に「個人データを取り扱わない」と記載しておくべきかも
【1 これからはじめる方】
自社におけるデータベースや名簿を確認してみましょう
(自社におけるデータベース等を確認する意味)
・無理やり一言で言うと、個人情報保護法は、「個人情報データベース等」を事業の用に供している者に対し、「個人情報データベース等」を構成する個人情報について、適切な保管・管理を義務付けたものです
・「個人情報データベース等」を事業の用に供している者を「個人情報取扱事業者」と言い、「個人情報データベース等」を構成する個人情報を「個人データ」と言い、適切な保管・管理における義務が「安全管理措置」義務です
・例えば、事業者AがPCの表計算ソフトに数十名の顧客aらの氏名・住所・年齢・性別等を入力して名簿を作成していた場合、この名簿は「個人情報データベース等」にあたります
そして、事業者Aは「個人情報取扱事業者」にあたり、この名簿に記載されている顧客aらの情報は「個人データ」にあたり、事業者Aはこの名簿に記載されている顧客aらの情報を適切に保管・管理する義務があります
・なお、「個人情報」について、詳細は書籍に譲るとして、生存している個人の氏名が識別できる情報は「個人情報」と考えておいて差し支えありません
・個人情報保護法は、「個人情報データベース等」を義務の中心としていますので、自社におけるデータベース等を確認してみるとよいでしょう
(「個人情報データベース等」の該当性と義務)
・「個人情報データベース等」の定義は、法16条1項(旧2条4項)や施行令旧3条に規定されており、あえて大雑把に言えば、「個人情報を含む情報の集合物」であって、PC内で検索できるようにしたものまたは紙媒体で五十音順等に整理されていて索引がついているものを言います
○ 「個人情報データベース等」にあたるものの例
表計算ソフトに代表者氏名付き取引先企業情報を整理・登録したもの
紙媒体の50音順の自社職員名簿
名刺の束を50音順見出し付きフォルダーに整理・収納したもの
従業員がPC内に個人用に作成した得意先担当者の氏名と電話番号のリスト
× 「個人情報データベース等」にあたらないものの例
紙の名刺1枚、未整理の紙の名刺の束(「個人情報」にはあたります)
・「個人情報データベース等」を構成する個人情報を「個人データ」と言い、安全管理措置義務、第三者提供の制限、開示義務等の対象になります
個人情報保護方針を策定・公表してみましょう
(個人情報保護方針を策定・公表する意味)
・既に述べたとおり、個人情報保護法は、「個人情報データベース等」を事業の用に供している者に対し、「個人情報データベース等」を構成する個人情報について、適切な保管・管理を義務付けたものです
・そして、その前提となる適切な取得や利用も義務付けています
すなわち、個人情報の取り扱いにおいて、利用目的をできるかぎり特定すべきとされるとともに、目的外利用は制限されています
また、個人情報の取得は、適切になされなければならず、予め利用目的を公表するか、速やかに利用目的を通知するか、いずれかが要求されています
(取得の状況からみて利用目的が明らかであると認められる場合は不要)
・そこで、通常、事業者は自社ウェブサイトにおいて「個人情報保護方針」等を公表して、利用目的の特定、公表、目的外利用の制限を通知しています
(個人情報保護方針の具体例)
・個人情報保護方針は、「個人情報保護方針」(基本的なルール)に、「個人情報の利用目的」「個人データの共同利用」「個人データの第三者提供」「保有個人データの開示等の手続」「個人情報に関するお問い合わせ窓口」等を適宜組み合わせたものが一般的なようです
・「個人情報保護方針」(基本ルール)には、外部向けに基本的なルールとその遵守を宣言するもので、例えば「利用目的をできるかぎり特定・明示して同意を得て取得します」等を記載するものです
・「個人情報の利用目的」は、具体的な利用目的を記載するもので、利用目的の特定、公表の義務を果たしたことになりますが、ここに記載されていない目的で利用すれば、通常、目的外利用となります
なお、具体的な利用目的は、自社におけるデータベース等の内容や利用状況を勘案するとよいのではないかと思いますし、同業他社の一般的な記載例を参考してみてもよいのではないかと思います
・「個人データの共同利用」「個人データの第三者提供」は、例外的に同意なしに自社が第三者へ個人データを提供できる場合を記載するものです
・「保有個人データの開示等の手続」「個人情報に関するお問い合わせ窓口」は、個人データの訂正・削除・開示等の手続や窓口を記載するものです
(補足)
個人情報保護委員会のウェブサイトも参考になります(但し、大量)
違反事業者は個人情報保護委員会から処分を受けることがあります
https://www.ppc.go.jp/personalinfo/legal/
【2 個人情報の漏洩が気になる方】
安全管理措置の構築と漏洩事案の対応を確認しましょう
(安全管理措置)
・「個人情報データベース等」を構成する個人情報について、適切な保管・管理を義務付けており、その中核である安全管理措置の構築が重要です
・安全管理措置について、個人情報保護法ガイドライン(通則編)別添10に詳しい記載があり、中小企業は措置の内容が軽減されています
個人情報の保護に関する法律についてのガイドライン(通則編)
https://www.ppc.go.jp/files/pdf/211116_guidelines01.pdf
(中小企業における安全管理措置の手法)
・「個人情報保護方針」
前述したとおり、外部向けに基本的なルールとその遵守を記載する
・「個人情報の基本的な取り扱い」
内部向けに基本的なルールとその遵守を記載する
・「組織的安全管理措置」
責任者を決定する、責任者が従業員へ「個人情報の基本的な取り扱い」に従い運用していることを確認する、漏洩時に従業員から責任者へ報告連絡することとする、責任者が従業員へ個人情報の取り扱い状況を定期的に点検する
・「人的安全管理措置」
個人情報の取り扱いについて、定期的な研修を行う、就業規則に盛り込む
・「物理的安全管理措置」
個人情報データベース等を担当者以外に閲覧等できないようにする(特定の鍵付書庫や特定のPCで個人情報データベース等を利用することとする等)、ファイルにパスワードを設定する、データを格納したUSBメモリ等の紛失や盗難を予防する、責任者が個人情報の削除や格納機器の廃棄を確認する
・「技術的安全管理措置」
個人情報データベース等にアクセスできる機器や担当者を明確化する、アクセスした者をID等で識別・記録する、PCのOSやセキュリティソフトを最新版に保つ、メール等の添付ファイルにパスワードを設定する
・「外的環境の把握」
外国において個人情報を取り扱う場合にはその外国の制度を把握する
(そもそも「漏洩等」とは?)
・個人情報保護法は、「漏洩」「滅失」「毀損」を「漏洩等」としています
・「漏洩」にあたる例
書類誤送付、メール誤送信、設定ミス等によるインターネット上の誤公開、個人データ記載書類等の盗撮被害、不正アクセス等による情報窃取被害 等
・「滅失」や「毀損」にあたる例 ※バックアップがあった場合は含まれない
個人データが記載された帳票等を誤って廃棄した場合
個人データの内容が改ざんされた場合 等
(漏洩事案の対応・望ましい対応)
・個人情報保護法ガイドライン(通則編)3-5に詳しい記載があります
https://www.ppc.go.jp/files/pdf/211116_guidelines01.pdf
(1)事業者内部における報告及び被害の拡大防止
(2)事実関係の調査及び原因の究明
(3)影響範囲の特定
(4)再発防止策の検討及び実施
(5)影響を受ける可能性のある本人への連絡(事案に応じて・前記参照)
(6)事実関係及び再発防止策等の公表(事案に応じて・前記参照)
(漏洩事案の対応・委員会への報告等)
・2020年改正個人情報保護法は、漏洩事案が発生して、個人の権利利益を害するおそれがある場合には、事業者が個人情報保護委員会へ報告すること及び事業者が本人へ通知することを義務化しており、速やかな速報と30日以内(下記③は60日以内)の確報が求められます
報告対象は、①要配慮個人情報、②財産的被害が発生するおそれがある場合、③不正アクセス等故意によるもの、④1000人を超える漏洩等です
・なお、「要配慮個人情報」とは、人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実等が含まれる個人情報を言います
(漏洩事案の対応・プライバシー侵害と金銭賠償)
・個人情報漏洩に関連してプライバシー侵害と金銭賠償が問題とされがちです
・しかし、個人情報とプライバシーは重なり合う場面が多いものの異なる概念であり、個人情報漏洩が、高額の金銭賠償を必要とするプライバシー侵害に、常になりうるとは限りません(道路交通法違反と人身事故の関係)
・情報が、病歴等の要配慮個人情報か、住所等の生活の平穏に関するものか、単なる連絡先等か、漏洩の範囲が限定的か、故意によるものか等にもよりますので、専門家の助言の下、迅速かつ冷静に対処する必要があります
【3 個人データを第三者に提供したい方】
原則として提供元にて事前に本人の同意を得ることが必要です
(「第三者提供」の原則と例外)
・事業者が他の事業者へ個人データを提供する場合、通常、「第三者提供」にあたり、事業者は原則として予め本人の同意を得ることが必要です
・例えば、事業者Aが受講生aらへ資格取得スクールを営業しており、受講者aらは資格を活かして就職したいと考えており、事業者BやCが資格取得者の採用を検討したいと考えていたとします
その場合、事業者Aが事業者BやCへ受講生aらの氏名等の個人データを提供することが考えられますが、通常、「第三者提供」にあたり、原則として事業者Aは事前に受講生aらの同意を得ることが必要とされています
・なお、仮に事業者Aと事業者Bがグループ企業や親子会社であっても、別個の法人であれば、通常、「第三者提供」にあたります
・「第三者提供」にあたる場合でも、例外的に「同意に代わる措置」(「オプトアウト措置」)を取ることで、第三者提供が可能となることがあります
(事業者から個人情報保護委員会へ一定の事項を届け出たうえ、本人から事業者へ求めがあれば、第三者提供を停止する必要があります)
・「第三者提供」にあたる場合には、提供元や提供先が第三者提供を記録する義務があり、2020年改正法により開示する義務があります
(そもそも「第三者提供」にあたらない場合)
・「第三者提供」にあたらない場合としては、事業者から弁護士等への提供、「個人情報の取り扱いの委託」、合併、共同利用の通知などがあります
・「個人情報の取り扱いの委託」とは、個人データの入力・編集・出力等に関する委託のことを言い、個人データの提供ができるものの、委託者の受託者に対する監督義務や、受託者自身の安全管理措置義務(中小企業も軽減されません)が、それぞれ発生しますので、安易に考えることはできません
・共同利用とは、個人データの共同利用について、一定の事項を事前に通知または公表することで、個人データの提供ができるというものです
・前述した事例でいえば、事業者A、事業者B、Cが受講生aらへ資格取得から就職活動まで共同して総合的にサポートするため、事業者AとBとCにおいて、受講生aらの個人情報を共同利用すること等の一定の事項を、事業者Aから受講生aらへ事前に通知または公表しておくことが考えられます
【4 他社のデータを不意に目にすることがある方】
契約書に「個人データを取り扱わない」と記載しておくべきかも
(「個人データの取り扱いの委託」とは)
・事業者Aが事業者Bへ個人データの取得・入力・編集・分析・出力等の情報処理を委託していた場合、「個人データの取り扱いの委託」にあたります
この場合、委託元事業者Aは委託先事業者Bに対して監督義務を負い、委託先事業者B自身が安全管理措置義務を負います
そして、委託先事業者Bは、中小企業であっても、個人データの取り扱いの委託先であれば、安全管理措置義務は軽減されません
(他社の個人データを目にすることがある場合の注意点)
・ところで、他社Cが中小企業Dへ業務を委託する場合、委託業務に附随して中小企業Dが他者Cの保有している個人データを目にすることがあります
例えば、委託者他社Cが受託者中小企業Dへ個人データを格納している情報システムの保守点検業務を委託しているような場合に想定されます
仮にこれが「個人データの取り扱いの委託」にあたると評価されると、前述したように、他社Cは中業企業Dに対して監督義務を負い、中小企業D自身が安全管理措置義務(中小企業であっても軽減されません)を負うことになりかねず、想定外の費用や負担を強いられることになりかねません
・この点、「個人データの取り扱いの委託」にあたるかどうかについて、個人情報委員会のガイドラインQ&A5-35等に記載があり、参考になります
委託業務において個人データの使用を必要とせず、契約条項によって受託者中小企業Dが委託者他社Cの個人データを取り扱わない旨が定められており、適切にアクセス制限(複製不可・印刷不可等)がなされている場合には、「個人データの取り扱いの委託」にあたらないものと考えられます
・そのため、中小企業Dが他社Cから業務を受託する場合、契約条項において個人データを取り扱わない旨を規定することが望ましいでしょう
・もっとも、「個人データの取り扱いの委託」までは至らないものの、業務に附随して個人データを目にすることはありうるときには、中小企業Dが他社Cから監督を受けることや中小企業D自身が他社Cと同等の安全管理措置義務を負うことを、契約条項に盛り込むよう、求められることもあるでしょう
個人データに要配慮個人情報を含むか、委託業務において個人データに触れるか、アクセス制限は万全か等の事情を考慮して、協議すると良いでしょう
