こんにちは。法律事務所Zの弁護士の坂下雄思です。
今回のテーマは「個人情報」についてのお話です。
「個人情報の漏洩というニュースをよく見るけど、うちの会社は大丈夫なのだろうか?」
「取引先からもらった個人についての情報を別の会社に渡してもよいのか?何か必要な手続きはないのか?」
このようなお悩みを抱えている事業者の方も多いのではないでしょうか。
最近の取引では、Webサイトを利用した取引を含め、個人情報を取り扱うことが非常に増えているといえます。
また、マーケティング活動を行う上でも個人へのアプローチを行うにあたってベースとなるリストが必要になり、個人情報はビジネス上重要な資産にもなり得ます。
しかし、その取扱いに気を付けなければ、取締りの対象になってしまう可能性がありますし、最近は個人情報の取扱いに対して非常にセンシティブになっていますので、注意が必要です。
また、個人情報保護委員会は、個人情報取扱事業者等に対する監督として、令和4年度の実績値で、個人データの漏洩等事案の報告の処理を約4000件、報告徴収を約80件、指導及び助言を約100件、勧告を1件、行っています。
このように、公表資料からも相応の数の問題が発生しているということが読み取れ、決して「当社には関係のないこと」ではすまされない状況になっています。
そこで、この記事では、個人情報保護のポイントについて解説していきます。
例えば、以下のような事例を考えてみましょう。
当社は、ECサイトで個人に対して商品を販売する事業を営んでいます。
ECサイトに会員登録してもらった人の情報を、提携先の会社に提供したいと考えているのですが、何か必要な手続はありますか?
ECサイトに会員登録してもらった人の情報を、提携先の会社に提供したいと考えているのですが、何か必要な手続はありますか?
目次
個人情報保護法とは?
個人情報に関する法律としては、個人情報の保護に関する法律(個人情報保護法)があります。
個人情報保護法では、事業者に関連するものとして、個人情報取扱事業者等の義務等が定められています。
その内容としては、①取得時の義務、②利用時の義務、③管理時の義務、④提供時の義務、という形で大きく分けられます。
以下では、これらの内容の基本的な部分について概説していきます。
なお、個人情報保護法では、規制の対象となる個人情報や個人データについて詳細な定義が置かれておりますが、この記事では通常の個人情報にその対象を限定し、また、具体的な定義の内容について割愛することにし、それらについては別の記事でご紹介したいと思います。
また、個人情報保護法については、個人情報保護委員会の作成しているガイドラインやQ&Aが非常に重要です。具体的な事例も豊富に記載されていますので、詳細を確認したい方はこちらもご参照ください。
取得時の義務について
まず、個人情報を取得するにあたっては、適正な方法により取得する必要があります。
例えば、後述する第三者提供制限に違反するよう強要して個人情報を取得する場合、また、個人情報を取得する主体や利用目的等について意図的に虚偽の情報を示して本人から個人情報を取得する場合は、不正の手段により個人情報を取得していると考えられます。
他方で、個人情報を取得する際に、本人の同意は必要とはなりません。
しかし、本人との間で契約を締結することに伴って契約書その他の書面(電磁的記録を含む。)に記載された当該本人の個人情報を取得するような場合には、あらかじめ、本人に対しその利用目的を明示しなければならないとされています。Webサイトへの入力を通じて本人から提供を受けるような場合には、こちらの明示が必要になると考えられます。
また、上記には該当しない方法で個人情報を取得した場合(例えば、インターネット上で本人が自発的に公開している個人情報を取得する場合や、名刺を本人から受け取るような場合がこれに該当すると考えられます。)は、あらかじめその利用目的を公表している場合を除き、速やかにその利用目的を本人に通知し、又は公表しなければならないとされています。
このように、個人情報を取得するにあたっては、一定の手続を行わなければならないことに注意が必要です。
さらに、第三者提供により個人データを取得する場合には、情報のトレーサビリティを確保することを目的として、確認・記録義務が課されることになります。
漫然と情報を受け取るのではなく、情報の出所を踏まえ、このような義務を履践しなければならないという点に注意が必要です。
利用時の義務について
取得した個人情報は、利用目的の範囲内でのみ利用が許されます。そのため、利用目的の特定の仕方は非常に重要です。
また、本人にとっても、利用目的が明確になっていなければ、情報を提供するのにためらわれるということも考えられるので、サービス等の利用を重いと止まらせないためにも、明確な利用目的の設定が重要と考えられます。
なお、利用目的の範囲を超えて個人情報を取り扱うには、あらかじめ本人の同意を得なければならないのが原則ですが、個人情報保護法では一定の場合には本人の同意なく個人情報を取り扱うことができる場合が定められています。例えば、人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるときなどが定められていますが、例外的な場合が列挙されているので、この例外を利用して対応することができる場面は相当限定されると考えられます。
管理時の義務について
個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つよう努めなければならないとされています。また、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければなりません。
このような義務に関連して、個人情報保護法では、保有個人データの内容が事実でないとの理由で本人から訂正等を請求された場合には、個人情報取扱事業者には、原則として、利用目的の達成に必要な範囲において保有個人データの訂正等を行う義務があります。
また、個人情報取扱事業者は、いわゆる安全管理措置を講じる必要があります。
安全管理措置の内容としては、大きく分けて、(i) 組織的安全管理措置、(ii) 人的安全管理措置、(iii) 物理的安全管理措置、(iv) 技術的安全管理措置があり、また、(v) 外的環境の把握も行う必要があります。
- 組織的安全管理措置としては、組織体制の整備、個人データの取扱いに係る規律に従った運用、取扱い状況を確認する手段の整備、漏洩等事案に対応する体制の整備、取扱い状況の把握及び安全管理措置の見直しが挙げられます。
- 人的安全管理措置としては、従業員の教育があります。
- 物理的安全管理措置としては、個人データを取り扱う区域の管理、機器及び電子媒体等の盗難等の防止、電子媒体等を持ち運ぶ場合の漏えい等の防止、個人データの削除及び機器、電子媒体等の廃棄が挙げられます。
- 技術的安全管理措置としては、アクセス制御、アクセス者の識別と認証、外部からの不正アクセス等の防止、情報システムの使用に伴う漏えい等の防止が挙げられます。
- 外的環境の把握については、個人情報取扱事業者が、外国において個人データを取り扱う場合、当該外国の個人情報の保護に関する制度等を把握した上で、個人データ の安全管理のために必要かつ適切な措置を講じなければならないとされています。
このような対応を行う上では、個人情報に関する社内規程を整備し、当該規程に従った取扱い・運用を確立することが非常に重要になります。
提供時の義務について
個人データを第三者に提供するには、原則として本人の同意を取得する必要があります。冒頭の事案では、第三者提供を行うということになりますので、原則としては同意が必要になります。
実務的なポイントとして、個人情報を取得した後で、第三者提供についての本人の同意をとろうとすると対応が非常に大変になることが想定されるので、第三者提供を想定している場合には、個人情報の取得時から同意を取得しておくことが望ましいといえます。ただ、本人としては第三者提供がされるとなると情報を提供したくないと考えることもあるでしょうから、第三者提供についてはビジネス内容も踏まえて十分吟味したうえで、その必要性を検討する必要があります。
もっとも、個人情報保護委員会への届出等が必要にはなりますがオプトアウト方式をとれば本人の同意なく第三者提供が可能になる場合があります。
また、(i) 委託に伴って提供される場合、(ii) 合併その他の事由による事業の承継に伴って提供される場合、(iii) 共同利用により提供される場合には、提供に同意が必要となる第三者には該当しないということになっています。これらの例外の内、特に委託については、委託に伴って提供すれば本人の同意は必要なく、提供先でも自由に利用できると誤解されがちですが、あくまでも委託の範囲内でのみ提供先での利用が許されるだけであり、提供先で独自の目的に従った利用はできないと考えられていますので、注意が必要です。
また、委託に伴って提供する場合には、提供した個人情報取扱事業者は委託先を監督する義務を負いますので、漫然と委託により提供するということは避けなければなりません。
加えて、第三者提供における提供者は、個人データを第三者に提供した時は、一定の事項を記録・保存する義務を負います。
これにより、情報のトレーサビリティが確保され、個人情報の不正な手段による入手・流出による個人情報の点々流通を防止することができると考えられています。
個人情報保護対応をおろそかにするリスク
個人情報保護対応をおろそかにし、個人情報を漏洩してしまったような場合には、個人情報保護委員会への報告及び本人への通知を行わなければなりません。
個人情報が漏洩すると、会社としては、損害賠償請求を受けるリスクがありますし、罰則を課される可能性もあります。
また、個人情報保護委員会から勧告や指導を受ける可能性もあり、勧告や指導においては社名や指導の内容が公表されることにもなりますので、会社に与えるインパクトは非常に大きなものになります。
冒頭に述べたとおり、個人情報保護委員会は、個人情報取扱事業者等に対する監督として、令和4年度の実績値で、個人データの漏洩等事案の報告の処理を約4000件、報告徴収を約80件、指導及び助言を約100件、勧告を1件、行っています。
このように、公表資料からも相応の数の問題が発生しているということが読み取れ、決して「当社には関係のないこと」ではすまされない状況になっています。
個人情報保護対応を弁護士に依頼するメリット
個人情報保護法は非常に複雑な分野です。
また、情報の内容や利用方法は日に日に変化しており、その変化に対応した法的分析が必要になります。
弁護士は、個人情報保護法の規制内容を理解したうえで、会社・事業者において採るべき対応を分析してアドバイスをすることが可能です。
また、社内規程やプライバシーポリシーの作成まで、会社・事業者の要望・ビジネスを踏まえた検討が可能です。
法律事務所Zでは、企業からのご相談に対応してきた経験を踏まえて、社内規程の整備も含めた個人情報保護対応のサポートが可能です。
個人情報保護対応にお困りであれば、ぜひ一度、法律事務所Zにお問い合わせください。
お問い合わせ
 | この記事の執筆者:坂下雄思 アンダーソン・毛利・友常法律事務所入所後、野村綜合法律事務所への移籍、UCLA LLM修了、ニューヨーク州司法試験合格を経て、法律事務所Zに参画。同時に、自身の地元である金沢オフィスの所長に就任。労働事件では企業側を担当。 |
関連ページ
クレーム対応とは?企業法務に精通した弁護士が解説
債権回収で注意すべき点とは?トラブル防止策や対応を弁護士が解説
労務問題について、企業法務に精通した弁護士が解説
不動産トラブルへの対応方法について、企業法務に精通した弁護士が解説
誹謗中傷・風評被害への対応方法について弁護士が解説
事業承継を行う際のポイントについて、企業法務に精通した弁護士が解説
広告を行うにあたっての留意点について、企業法務に精通した弁護士が解説
訴訟対応とは?企業の訴訟や裁判の手続きについて企業法務に精通した弁護士が解説
個人情報保護の必要性について、企業法務に精通した弁護士が解説
