- 1.法令
- 8.個人情報保護法
- 個人情報保護法
- Sec.1
1個人情報保護法
■個人情報保護法の目的
個人情報保護法は、正式名称を「個人情報の保護に関する法律」という。
個人情報保護法は、その目的を、次のように規定している。
| この法律は、高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることに鑑み、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにするとともに、個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。 |
■定義
個人情報保護法は、保護の対象となる情報を「個人情報」、「個人データ」および「保有個人データ」の3つに区分し、この区分ごとに、これらの情報を取り扱う「個人情報取扱事業者」が守るべき義務を定めている。
そこで、「個人情報」、「個人データ」、「保有個人データ」および「個人情報取扱事業者」とは何かが問題になる。
(1) 個人情報
① 個人情報
「個人情報」とは、生存する個人に関する情報であって、次のいずれかに該当するものをいう。
| (a) 当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)
(b) 個人識別符号が含まれるもの |
個人情報は、「生存する個人」に関する情報であるので、死者に関する情報は個人情報に該当しない。ただし、死者に関する情報が、同時に、遺族等の生存する個人に関する情報でもある場合は、その生存する個人に関する個人情報に該当する。
また、個人情報は「個人」に関する情報とされ、国籍や年齢は要件とされていないので、外国人に関する情報や未成年者に関する情報であっても、個人情報になる。それに対して、法人は個人ではないので、法人に関する情報は個人情報ではない。
Point1 「個人情報」とは、生存する個人に関する情報である。広く個人一般に関する情報が個人情報になるわけではない。
Point2 死者に関する情報は「個人情報」に該当しないので、例えば、管理物件内で死亡した借主に関する情報は、「個人情報」に該当しない。
Point3 「氏名」は「個人情報」に該当する。
Point4 「個人情報」には、「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるもの」を含む。
② 個人識別符号
「個人識別符号」とは、次のいずれかに該当する文字、番号、記号その他の符号のうち、政令で定めるものをいう。
| (a) 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換(データ化)した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの
(b) サービスの利用者などに割り当てられた、または、個人に発行されるカードなどの書類に記載された文字、番号、記号その他の符号であって、特定の利用者や個人を識別することができるもの |
(a)の例としては、指紋認識データ、顔認識データなどがあげられる。(b)の例としては、個人番号(マイナンバー)、旅券番号、基礎年金番号、運転免許証番号などがある。
Point1 番号、記号や符号でも、その情報だけで特定の個人を識別できる場合は、個人識別符号として個人情報に該当することがある。
Point2 個人識別符号は、それ自体が個人情報となる。したがって、運転免許証番号やマイナンバーのような符号は、それ自体が個人情報保護法による個人情報に該当する。
③ 要配慮個人情報
個人情報のうち一定のものについては、「要配慮個人情報」として、その取得や第三者への提供について特に厳しい規制が設けられている。
「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。
政令で定める記述等とは、次の事項のいずれかを内容とする記述等である。
| (a) 身体障害、知的障害、精神障害(発達障害を含む)その他の個人情報保護委員会規則で定める心身の機能の障害があること
(b) 本人に対して医師その他医療に関連する職務に従事する者(医師等)により行われた疾病の予防および早期発見のための健康診断その他の検査(健康診断等)の結果 (c) 健康診断等の結果に基づき、または疾病、負傷その他の心身の変化を理由として、本人に対して医師等により心身の状態の改善のための指導または診療もしくは調剤が行われたこと (d) 本人を被疑者または被告人として、逮捕、捜索、差押え、拘留、公訴の提起その他の刑事事件に関する手続が行われたこと (e) 本人を少年法に規定する少年またはその疑いのある者として、調査、観護の措置、審判、保護処分その他の少年の保護事件に関する手続が行われたこと |
Point 人種は、要配慮個人情報に該当する。
(2) 個人データ
① 個人データ
「個人データ」とは、個人情報データベース等を構成する個人情報をいう。
② 個人情報データベース等
「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に該当するものである。
| (a) 特定の個人情報を電子計算機(コンピュータ)を用いて検索することができるように体系的に構成したもの
(b) 特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの |
(a)は、コンピュータで処理できるようにデータ化されたものであり、例としては、メールソフトのアドレス帳などがあげられる。
(b)の政令で定めるものとは、個人情報を一定の規則に従って整理することにより特定の個人情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次、索引その他検索を容易にするためのものを有するものをいう。例えば、五十音順にインデックスを付けてファイルした名刺などである。
Point1 個人情報を含む情報の集合物については、電子計算機によって特定の個人情報が検索できるように体系的に構成されていなくても、「個人情報を一定の規則に従って整理することにより特定の個人情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次、索引その他検索を容易にするためのものを有するもの」であれば、個人情報データベース等に該当する。
Point2 指定流通機構(レインズ)は、個人情報データベース等に該当する。
③ 個人情報データベース等に該当しないもの
なお、利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものは、個人情報データベース等から除かれる。この政令で定めるものとは、次のいずれにも該当するものである。
| (a) 不特定かつ多数の者に販売することを目的として発行されたものであって、かつ、その発行が法または法に基づく命令の規定に違反して行われたものでないこと
(b) 不特定かつ多数の者により随時に購入することができ、またはできたものであること (c) 生存する個人に関する他の情報を加えることなくその本来の用途に供しているものであること |
例えば、市販の電話帳やカーナビゲーションシステム等のナビゲーションシステムに格納されている氏名や住所を示すデータ等が、この個人情報データベース等から除外されるものにあたる。
(3) 保有個人データ
「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加・削除、利用の停止、消去および第三者への提供の停止を行うことのできる権限を有する個人データをいう。
図 個人情報保護法が定める「個人に関する情報」の相関関係
(4) 個人情報取扱事業者
個人情報保護法で定める義務が課されるのが個人情報取扱事業者である。
個人情報取扱事業者とは、個人情報データベース等を事業の用に供している者をいう。
取り扱う個人情報の数が少ない中小企業・小規模事業者であっても、個人情報データベース等を事業の用に供しているのであれば、個人情報保護法が適用される。メールソフトのアドレス帳などでも個人情報データベース等に該当するため、現実には、ほとんどの事業者がこの定義に当てはまることになる。
Point1 個人情報取扱事業者とは、個人情報データベース等を事業の用に供している者をいう。個人情報を取り扱うすべての事業者が個人情報取扱事業者に該当するわけではない。
Point2 指定流通機構(レインズ)にアクセスできる事業者は、自ら作成した個人情報データベース等を保有していなくても、個人情報取扱事業者に該当する。
■個人情報取扱事業者の義務
(1) 個人情報の利用
① 利用目的の特定
| 個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用目的をできる限り特定しなければならない。 |
② 利用目的の変更
| 個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。 |
③ 利用目的による制限
| 個人情報取扱事業者は、原則として、あらかじめ本人の同意を得ないで、特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。 |
④ 不適正な利用の禁止
| 個人情報取扱事業者は、違法または不当な行為を助長し、または誘発するおそれがある方法により個人情報を利用してはならない。 |
(2) 個人情報の取得
① 適正な取得
| 個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。 |
② 要配慮個人情報の取得
| 個人情報取扱事業者は、原則として、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。 |
Point 個人情報取扱事業者は、要配慮個人情報を取得するにあたっては、あらかじめ本人の同意を得なければならない。なお、他の個人情報と同様に、利用目的の特定や、その通知または公表〔後述〕も必要となる。
③ 取得後の利用目的の通知等
| 個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、または公表しなければならない。 |
Point 個人情報取扱事業者は、あらかじめ利用目的を公表していれば、個人情報を取得した場合に、原則として、その利用目的を本人に口頭または書面等で直接に通知する必要はない。
④ 変更した利用目的の公表
| 個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、または公表しなければならない。 |
⑤ 直接書面等による取得
| 個人情報取扱事業者は、「取得後の利用目的の通知等」(上記③)の規定にかかわらず、本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。
ただし、人の生命、身体または財産の保護のために緊急に必要がある場合は、明示しなくてよい。 |
Point 個人情報を書面で取得する場合に、個人情報取扱事業者が利用目的を本人に明示しなくてもよい場合がある。常に明示しなければならないわけではない。
(3) 個人データの第三者提供
① 第三者提供の制限
| 個人情報取扱事業者は、原則として、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。 |
Point 個人データを第三者に提供する場合は、一定の例外的な場合を除き、個人情報取扱事業者は、あらかじめ本人の同意を得なければならない。
② 第三者提供に係る記録の作成義務
| 個人情報取扱事業者は、個人データを第三者に提供したときは、個人情報保護委員会規則で定めるところにより、当該個人データを提供した年月日、当該第三者の氏名または名称その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。 |
③ 第三者提供を受ける際の確認等
| 個人情報取扱事業者は、第三者から個人データの提供を受ける際は、個人情報保護委員会規則で定めるところにより、一定の場合を除き、次の事項の確認を行わなければならない。
(a) 当該第三者の氏名または名称および住所ならびに法人にあっては、その代表者の氏名 (b) 当該第三者による当該個人データの取得の経緯 |
Point 個人データの第三者提供を行う場合は、個人情報取扱事業者は、個人データを提供した側もその提供を受ける側もともに、所定の事項〔誰に提供したのか・誰から提供を受けたのか〕を確認し記録を作成しておかなければならない。
(4) 保有個人データに関する事項の公表等
個人情報取扱事業者は、保有個人データに関し、次の(a)~(d)の事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む)に置かなければならない。
| (a) 当該個人情報取扱事業者の氏名または名称および住所ならびに法人にあっては、その代表者の氏名
(b) 全ての保有個人データの利用目的 (c) 保有個人データの利用目的の通知の求めまたは開示、訂正等もしくは利用停止等の請求に応じる手続(手数料を含む) (d) 保有個人データの取扱いに関する苦情の申出先 |
個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、原則として、本人に対し、遅滞なく、これを通知しなければならない。
(5) 保有個人データの開示
① 本人の開示請求権
| 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの電磁的記録の提供による方法その他の個人情報保護委員会規則で定める方法による開示を請求することができる。 |
なお、本人が請求することができる開示の方法として個人情報保護委員会が定める方法は、電磁的記録の提供による方法、書面の交付による方法その他当該個人情報取扱事業者の定める方法である。
② 個人情報取扱事業者の開示義務
| 個人情報取扱事業者は、本人から請求を受けたときは、原則として、本人に対し、当該本人が請求した方法(当該方法による開示に多額の費用を要する場合その他の当該方法による開示が困難である場合にあっては、書面の交付による方法)により、遅滞なく、当該保有個人データを開示しなければならない。 |
ただし、開示することにより次の(a)~(c)のいずれかに該当する場合は、その全部または一部を開示しないことができる。
| (a) 本人または第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(b) 当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合 (c) 他の法令に違反することとなる場合 |
Point1 個人情報取扱事業者である管理業者は、本人から当該本人が識別される保有個人データの開示を求められたときは、本人に対し、遅滞なく、当該保有個人データを開示しなければならない。
Point2 個人情報取扱事業者は、保有個人データの開示の請求を受けたときは、当該措置の実施に関し、手数料を徴収することができる。