- 設備・会計ー1.消費者契約法・個人情報保護法
- 2.個人情報保護法(個人情報の保護に関する法律)
- 個人情報保護法(個人情報の保護に関する法律)
- Sec.1
1個人情報保護法(個人情報の保護に関する法律)
■個人情報保護法の目的
個人情報保護法〔正式名称を「個人情報の保護に関する法律」という〕は、その目的を、次のように規定している。
この法律〔個人情報保護法〕は、高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることに鑑み、個人情報の適正な取扱いに関し、基本理念および政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国および地方公共団体の責務等を明らかにするとともに、個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の適正かつ効果的な活用が新たな産業の創出ならびに活力ある経済社会および豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。 |
■定義
個人情報保護法は、保護の対象となる情報を「個人情報」、「個人データ」および「保有個人データ」の3つに区分し、この区分ごとに、これらの情報を取り扱う「個人情報取扱事業者」が守るべき義務を定めている。そこで、「個人情報」、「個人データ」、「保有個人データ」および「個人情報取扱事業者」とは何かが問題になる。
(1) 個人情報
① 個人情報
「個人情報」とは、生存する個人に関する情報であって、以下のいずれかに該当するものをいう。
(a) 当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)
(b) 個人識別符号が含まれるもの |
個人情報は、「生存する」個人に関する情報であるので、「死者に関する情報」は個人情報に該当しない。
また、個人情報は「個人に関する情報」とされ、国籍や年齢は要件とされていないので、外国人に関する情報や未成年者に関する情報であっても、個人情報になる。それに対して、法人は個人ではないので、法人に関する情報は個人情報ではない。
Point1 氏名は「個人情報」に含まれる。
Point2 「個人情報」には、「映像」、「音声」による情報を含むので、「マンションの防犯カメラに映る映像」も、それが特定の個人を識別することができるものであるとき〔その映像から本人を判別することが可能であるとき〕は、「個人情報」に該当する。
② 個人識別符号
「個人識別符号」とは、以下のいずれかに該当する文字、番号、記号その他の符号のうち、政令で定めるものをいう。
(a) 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換〔データ化〕した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの
(b) サービスの利用者などに割り当てられた、または、個人に発行されるカードなどの書類に記載された文字、番号、記号その他の符号であって、特定の利用者や個人を識別することができるもの |
「個人識別符号」の具体的内容は、政令で定めている。(a)に該当するものとして、指紋認識データ、顔認識データなどが、(b)に該当するものとして、個人番号(マイナンバー)、旅券番号、基礎年金番号、運転免許証番号などが定められている。
個人識別符号は、それ自体が個人情報となる。
③ 要配慮個人情報
個人情報のうち一定のものについては、「要配慮個人情報」として、その取得や第三者への提供について特に厳しい規制が設けられている〔原則として、本人の同意が必要になる〕。
「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。 |
要配慮個人情報に含まれる「政令で定める記述等」とは、以下のとおり。
(a) 身体障害、知的障害、精神障害(発達障害を含む)その他の個人情報保護委員会規則で定める心身の機能の障害があること
(b) 本人に対して医師その他医療に関連する職務に従事する者(医師等)により行われた疾病の予防および早期発見のための健康診断その他の検査(健康診断等)の結果 (c) 健康診断等の結果に基づき、または疾病、負傷その他の心身の変化を理由として、本人に対して医師等により心身の状態の改善のための指導または診療もしくは調剤が行われたこと (d) 本人を被疑者または被告人として、逮捕、捜索、差押え、拘留、公訴の提起その他の刑事事件に関する手続が行われたこと (e) 本人を少年法に規定する少年またはその疑いのある者として、調査、観護の措置、審判、保護処分その他の少年の保護事件に関する手続が行われたこと |
(2) 個人データ
① 個人データ
「個人データ」とは、「個人情報データベース等」を構成する個人情報をいう。 |
② 個人情報データベース等
「個人情報データベース等」とは、個人情報を含む情報の集合物であって、以下のいずれかに該当するものをいう。
(a) 特定の個人情報を電子計算機〔コンピュータ〕を用いて検索することができるように体系的に構成したもの
(b) 特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの |
(a)は、コンピュータで処理できるようにデータ化されたものであり、例としては、メールソフトのアドレス帳などがあげられる。
(b)の「政令で定めるもの」とは、「個人情報を一定の規則に従って整理することにより特定の個人情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次、索引その他検索を容易にするためのものを有するもの」をいう。たとえば、五十音順にインデックスを付けてファイルした名刺などである。
Point 「個人情報データベース等」は、特定の個人情報をコンピュータを用いて検索することができるように体系的に構成したものに限らない。たとえば、管理組合の組合員の氏名、電話番号等が記載されている組合員名簿は、コンピュータを用いず紙面で作成されているようなものであっても、五十音順など一定の規則に従って整理・分類され、容易に検索できるような場合は、「個人情報データベース等」に該当する。
③ 個人情報データベース等に該当しないもの
なお、「利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるもの」は、個人情報データベース等から除かれる。この「政令で定めるもの」とは、以下のいずれにも該当するものである。
(a) 不特定かつ多数の者に販売することを目的として発行されたものであって、かつ、その発行が法〔個人情報保護法〕または法〔個人情報保護法〕に基づく命令の規定に違反して行われたものでないこと
(b) 不特定かつ多数の者により随時に購入することができ、またはできたものであること (c) 生存する個人に関する他の情報を加えることなくその本来の用途に供しているものであること |
たとえば、市販の電話帳やカーナビゲーションシステム等のナビゲーションシステムに格納されている氏名や住所を示すデータ等が、この個人情報データベース等から除外されるものにあたる。
(3) 保有個人データ
① 保有個人データ
「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加または削除、利用の停止、消去および第三者への提供の停止を行うことのできる権限を有する個人データをいう。 |
② 保有個人データに該当しないもの
上記①の要件に該当する個人データであっても、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるものは、保有個人データから除かれる。
保有個人データから除外される「政令で定めるもの」は、以下のとおり。
ⅰ)当該個人データの存否が明らかになることにより、本人または第三者の生命、身体または財産に危害が及ぶおそれがあるもの
ⅱ)当該個人データの存否が明らかになることにより、違法または不当な行為を助長し、または誘発するおそれがあるもの ⅲ)当該個人データの存否が明らかになることにより、国の安全が害されるおそれ、他国もしくは国際機関との信頼関係が損なわれるおそれまたは他国もしくは国際機関との交渉上不利益を被るおそれがあるもの ⅳ)当該個人データの存否が明らかになることにより、犯罪の予防、鎮圧または捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの |
【個人情報保護法が定める「個人に関する情報」の相互関係】
(4) 個人情報取扱事業者
個人情報保護法の規制の対象となるのが個人情報取扱事業者である。
① 個人情報取扱事業者
「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。 |
「事業の用に供している」の「事業」とは、一定の目的をもって反復継続して遂行される同種の行為であって、かつ社会通念上事業と認められるものをいい、営利・非営利を問わない。また、「事業者」は法人に限らず、権利能力のない社団または個人であっても、「個人情報データベース等を事業の用に供している」場合は、「個人情報取扱事業者」に該当する。したがって、株式会社などの法人業者だけでなく、個人事業主や、NPO・自治会・管理組合などの非営利組織であっても、個人情報取扱事業者となる。
メールソフトのアドレス帳などでも個人情報データベース等に該当するため、現実には、ほとんどの「事業者」が「個人情報取扱事業者」に該当することになる。
Point1 マンションの「管理組合」も、管理組合の運営のために「組合員名簿」(区分所有者名簿)を作成している場合は、個人情報取扱事業者に該当する。
Point2 個人情報データベース等を事業の用に供しているのであれば、マンションの「分譲業者」も、マンション「管理業者」も、個人情報取扱事業者に該当する。
② 個人情報取扱事業者に該当しない者
以下の者は、個人情報保護法の規制の対象となる個人情報取扱事業者から除外される。これらの者については、行政機関個人情報保護法など、別の法律・条例で規制されているからである。
(a) 国の機関
(b) 地方公共団体 (c) 独立行政法人等 (d) 地方独立行政法人 |
■個人情報取扱事業者の義務①(個人情報の利用・取得)
(1) 個人情報の利用
① 利用目的の特定
個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用目的をできる限り特定しなければならない。 |
たとえば、事業者が、商品の販売に際し、個人から氏名・住所・メールアドレス等を取得する場合には、その利用目的を「商品の発送、関連するアフターサービス、新商品に関する情報の通知のため」のように、特定しなければならない。
② 利用目的の変更
個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。 |
変更前の利用目的と関連性を有すると合理的に認められる範囲内であれば、利用目的を変更することは可能ということである。
③ 利用目的による制限
個人情報取扱事業者は、原則として、あらかじめ本人の同意を得ないで、特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。 |
特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱う場合は、あらかじめ本人の同意を得なければならないということである。
④ 利用目的による制限の例外
以下の場合には、特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱う場合であっても、本人の同意は不要である。
(a) 法令に基づく場合
(b) 人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき (c) 公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき (d) 国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事項の遂行に支障を及ぼすおそれがあるとき |
⑤ 不適正な利用の禁止
個人情報取扱事業者は、違法又は不当な行為を助長し、または誘発するおそれがある方法により個人情報を利用してはならない。 |
(2) 個人情報の取得
① 適正な取得
個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。 |
② 要配慮個人情報の取得
個人情報取扱事業者は、原則として、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。 |
法令に基づく場合など、一定の例外はある〔この場合は、本人の同意は不要〕。
Point 個人情報取扱事業者が「要配慮個人情報」を取得する場合は、あらかじめ本人の同意が必要であるので、取得されたくないのであれば、本人は拒否できる。これは、それ以外の個人情報を取得する場合は、あらかじめ本人の同意を得る必要はないということを意味する。つまり、個人情報取扱事業者が氏名等の「要配慮個人情報」以外の個人情報を取得する場合は、本人は、これを拒否することはできない〔個人情報保護法上、本人にそのような権利は付与されていない〕ということである。したがって、たとえば、標準管理規約によれば、新たに組合員の資格を取得した者は、直ちにその氏名を書面により管理組合に届け出なければならないが、氏名が個人情報であることを理由に届出を拒否することはできない。
③ 取得後の利用目的の通知または公表
個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、または公表しなければならない。 |
個人情報取扱事業者が個人情報を取得する場合は、あらかじめその利用目的を公表していることが望ましいが、公表していない場合は、取得後速やかに、その利用目的を通知または公表しなければならないということである。
Point 個人情報取扱事業者であるマンション管理業者が、管理組合から委任を受けて、組合員名簿を作成する目的で、管理組合の組合員が特定される個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、または公表しなければならない。
④ 直接書面等により取得する際の利用目的の明示
個人情報取扱事業者は、本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。
ただし、人の生命、身体または財産の保護のために緊急に必要がある場合は、明示する必要はない。 |
個人情報取扱事業者が、契約書やはがき等の書面等による記載、ユーザー入力画面への打ち込み等の電磁的記録により、直接本人から個人情報を取得する場合には、本人に利用目的を明示しなければならない。
⑤ 変更した利用目的の公表
個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、または公表しなければならない。 |
上記(1)②によって利用目的を変更した場合は、変更された利用目的を本人に通知するか、または公表しなければならない。