ぼちぼち改正個人情報保護法を読む-不適正な取得は苦情相談の第1位!(適正な取得と通知・公表:17条・18条)
個人情報を偽りその他不正の手段によって取得してはなりません。これは、改正前後で条文に変更はありません(17条1項)。
次の2点が改正されました。
第1点は、個人情報取扱事業者に第三者による個人データ取得の経緯を確認する義務(法26条1項2号)が課せられた関係で、直接本人から個人データを取得するのではなく、第三者から収集するつまり提供を受ける場合、きちんと経緯を確認しないと、「不正の手段」による取得となり得る点です。
第2点は、改正により、要配慮個人情報の取得が原則禁止とする規定が新設されたので(17条2項)、要配慮個人情報は本人の同意その他一定の条件を満たさない限り、取得ができません。
個人情報取扱事業者があらかじめ個人情報の利用目的を公表していない場合には、取得後速やかに本人に通知または公表しなければなりません。
Contents
適正な取得
条文
(適正な取得)
ご存じですか。
不適正な取得は、寄せられる苦情の第1位。
毎年行われている個人情報保護法の施行状況調査では、国民生活センターや地方公共団体に置かれている消費生活センターなどに寄せられた苦情の中で、不適正な取得に関するものが約42%を占めています(2015年度調査、8頁)。第2位は漏えい・紛失、第3位は同意のない提供です。この順位は調査年度での変動はありません。
偽りその他不正な手段による取得
個人情報取扱事業者は、偽りその他不正の手段によって個人情報を取得してはなりません。個人情報が違法または不適正な方法によって取得されるならば、個人の権利利益を損なうおそれが極めて高いからです。この点については、改正により変更はありません。
「偽り」の手段とは、本人を欺く手段をいい、次のような手段があたります。
- テープ・レコーダーなどの機器を使用して本人の知らないうちに個人情報を取得(OECD「プライバシーと個人データの国際流通についてのガイドライン解説メモランダム」第7条52頁)
- 個人情報を取得する主体や利用目的等について、意図的に虚偽の情報を示して個人情報を取得(個人情報の保護に関する法律についてのガイドライン(通則編)3-2-1)
「その他不正な手段」とは、偽り以外の適正でない手段といいます。たとえば、次のような手段があたります。
- コンピュータシステムに不正に侵入し、顧客データベースを窃取
- 子供から家族の個人情報を家族の同意なく取得(前掲ガイドライン・通則編)
第三者提供の際の取得の経緯の確認
立法の経緯
個人情報の入手は、本人が直接収集されるだけではなく、第三者から提供を受ける間接収集が多くなっています。
自分の知らないうちに個人情報が転々流通。
本人からすれば不安でたまりません。
しかし現実には、個人情報には経済的な価値があり、売買の対象となっています。
比較的最近の事案として、大手通信教育会社の個人情報の大量漏えいの事件がありました。委託先のシステムエンジニアが約3000万件の個人情報をスマートフォンに転送し、不正に持ち出し、名簿業者に販売したのです(元エンジニアは、不正競争防止法違反の罪で懲役2年6か月、罰金300万円の刑の言い渡しを受けています。東京高等裁判所平成29年3月21日判決)。
こうした名簿業者への対応は以前から問題となっていました。国会の審議では、上記の事件について個人情報の流通経路を明らかにすることが困難であったほか、漏えいした情報を入手した事業者が提供元の事業者において適法に入手された個人情報か否かの確認が行われていないことが具体的な問題点として挙げられています(第189回国会衆議院内閣委員会議録第4号4頁・2015年5月8日向井治紀政府参考人答弁)。
そこで、取得の経緯について確認義務を負わせる規定が新設されました。
条文
第26条 個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、個人情報保護委員会規則で定めるところにより、次に掲げる事項の確認を行わなければならない。ただし、当該個人データの提供が第23条第1項各号又は第5項各号のいずれかに該当する場合は、この限りでない。
一 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又 は管理人)の氏名二 当該第三者による当該個人データの取得の経緯
適正な取得義務の違反
のちに提供を受けた個人情報が実は違法な手段によって取得されたものだった。
そんなことが判明したら、個人情報を違法に取得したという非難がなされ、会社の信用はがた落ちです。
そうした事態にならないように、個人情報取扱事業者は、第三者の個人データの取得の経緯を確認し、偽りその他の不正の手段で取得していないかどうかをチェックしなければなりません。
この取得の経緯との関係で、次のような場合には、個人情報取扱事業者は適正な取得の義務に違反することになります。
- 個人情報取扱事業者が、第三者が偽りその他の不正の手段で個人情報が取得したことを知りながら、第三者から当該個人情報を取得する場合
- 個人情報取扱事業者が、第三者が偽りその他の不正の手段で個人情報が取得したことを容易に知ることができた場合(前掲ガイドライン・通則編)
要配慮個人情報の取得の禁止
人種、信条、社会的身分、病歴など、その取扱いによっては偏見や差別を生じるおそれがある個人情報(要配慮個人情報)の取得は、原則として禁止されます。公益目的など一定の場合には、例外的に取得が許されます。
改正によって新設されました。
条文は次のようになっています。
第17条
2 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。
一 法令に基づく場合二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。五 当該要配慮個人情報が、本人、国の機関、地方公共団体、第76条第1項各号に掲げる者その他個人情報保護委員会規則で定める者により公開されている場合六 その他前各号に掲げる場合に準ずるものとして政令で定める場合
要配慮個人情報については、以下の記事に詳しく書きましたので、参考にしてください。
取得の際の利用目的の通知・公表
条文
(取得に際しての利用目的の通知等)
第18条 個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
個人情報取扱事業者は、利用目的を特定(15条)、その目的の達成に必要な限り個人情報を利用できるという制限を負っています(16条1項)。これを実効あらしめるためには、本人がその利用目的を知っている必要があることから設けられた規定です。
「個人情報の取得」とは、個人情報を入手することをいう。本人からの直接の取得であるか、第三者からの間接的な取得であるかは問いません。
通知・公表が必要な場合
個人情報保護委員会の「個人情報の保護に関する法律についてのガイドライン(通則編)」は、本人への通知または公表が必要な事例として、次の3つを挙げています(3-2-3)。
- インターネット上で本人が自発的に公にしている個人情報を取得した場合(単に閲覧しただけの場合を除く。)
- インターネット、官報、職員録等から個人情報を取得した場合(単に閲覧しただけの場合を除く。)
- 個人情報の第三者提供を受けた場合
通知・公表
利用目的をあらかじめ公表している場合には、本人への通知や公表は不要です。
一方、あらかじめ公表していない場合には、取得後速やかに本人に通知するか、または公表しなければなりません。通知または公表のいずれかでよいとされるのは、それ以後の本人関与といったものが適切になされるための基盤とする観点から、本人が知ろうと思えば知られる状態に確実にしておくことが重要とされ、その必要な範囲で事業者の負担を考慮したことによります(第156回国会衆議院個人情報の保護に関する特別委員会議録第3号5頁・藤井昭夫政府参考人答弁)。
通知は本人に知らせることをいい、公表とはおおやけに発表することをいいます。公表とは、1回限りの発表では足りず、継続性のある発表の形式が取られるべきである。そこで、公表には、インターネット上での公表、パンフレットの配布、書面の掲示・備付けなどが含まれます(個人情報保護法制化専門委員会「個人情報保護基本法制に関する大綱」3.個人情報取扱事業者(仮称)の義務等(1)利用目的による制限及び適正な取得参照)。
通知や公表の意味については、詳しく次の記事に書きました。
本人から直接個人情報を取得する場合
個人情報取扱事業者が、相対による契約の締結やアンケート調査等などによって直接情報主体である本人から情報を取得する場合、容易に利用目的を明らかにできることから、原則として取得の際に利用目的を明示する義務が生じます(2項、前掲大綱3.個人情報取扱事業者(仮称)の義務等(1)利用目的による制限及び適正な取得)。
ただし、人の生命、身体又は財産のために緊急の必要がある場合には、取得の際に利用目的を明示する必要はありません(2項但書)。
第18条
2 個人情報取扱事業者は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電磁的記録を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保 護のために緊急に必要がある場合は、この限りでない。
あらかじめ、本人に対し、その利用目的を明示しなければならない事例として、個人情報保護委員会のガイドラインは、次の3つの事例を挙げています(前掲ガイドライン3-2-4)。
- 本人の個人情報が記載された申込書・契約書等を本人から直接取得する場合
- アンケートに記載された個人情報を直接本人から取得する場合
- 自社が主催するキャンペーンへの参加希望者が、参加申込みのために自社のホームページの入力画面に入力した個人情報を直接本人から取得する場合
「本人に対し、その利用目的を明示」とは、本人に対し、その利用目的を明確に示すことをいい、事業の性質及び個人情報の取扱状況に応じ、内容が本人に認識される合理的かつ適切な方法による必要があります(前掲ガイドライン3-2-4)。
どのような手段を取れば、「利用目的の明示」に該当するかですが、前掲ガイドラインに次の事例が掲載されています。
- 利用目的を明記した契約書その他の書面を相手方である本人に手渡し、又は送付する場合
- ネットワーク上において、利用目的を、本人がアクセスした自社のホームページ上に明示し、又は本人の端末装置上に表示する場合
利用目的の変更時の通知・公表
第18条
3 個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。
個人情報取扱事業者は、利用目的を変更した場合は、その利用目的を本人に通知するか、または公表しなければなりません。
利用目的の変更には一定の制限がかかります(15条2項)。詳しくお知りになりたい方は、次の記事をお読みください。
利用目的の通知または公表の例外
次の4つの場合には、利用目的の通知または公表は不要となります。
第18条
4 前三項の規定は、次に掲げる場合については、適用しない。
一 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
二 利用目的を本人に通知し、又は公表することにより当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合
三 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。
四 取得の状況からみて利用目的が明らかであると認められる場合
①利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
具体的には、次のような事例が考えられます。
- 病院が診療目的で患者の住所等の個人情報を取得した後、その患者が意識不明になり家族に至急連絡を取る必要が生じた場合
- 児童虐待等に対応するために、児童相談所、学校、医療機関等の関係機関において、ネットワークを組んで対応する場合に、加害者である本人に対して当該本人の個人情報の利用目的を通知・公表することにより、虐待を悪化させたり、虐待への対応に支障等が生じたりするおそれがある場合(前掲ガイドライン3-2-4)
②個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合
具体的には、暴力団等の反社会的勢力情報、疑わしい取引の届出の対象情報、業務妨害行為を行う悪質者情報等を、本人又は他の事業者等から取得したことが明らかになることにより、当該情報を取得した企業に害が及ぶ場合などが挙げられています(前掲ガイドライン3-2-4)。
また、調査会社の業務もこれにあたるのではないかと思われます。調査の対象となっている本人に調査をしていることを通知または公表することは、密行性の求められる調査業務を害するおそれがあるからです。
「個人情報取扱事業者の権利又は正当な利益」には、企業秘密のようなものも含まれます。
「害するおそれ」の「おそれ」の有無の判断は、一次的には、個人情報取扱事業者が行います。もっとも、個人情報取扱事業者の恣意的判断を容認するものではなく、一般的な蓋然性が必要で、客観的な利益衡量が必要とされます。立法時には、実際の運用にあたってガイドラインを活用するなどにより、可能な限り明確化していくことが望ましいとされました(前掲大綱3.個人情報取扱事業者(仮称)の義務等(1)利用目的による制限及び適正な取得)。
③国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合
「利用目的による制限」の場合と同様の規定です。
具体例として、警察が、公開手配を行わないで、被疑者に関する個人情報を、被疑者の立ち回りが予想される個人情報取扱事業者に限って提供した場合において、警察から当該個人情報を受け取った当該個人情報取扱事業者が、利用目的を本人に通知し、又は公表することにより、捜査活動に支障を及ぼすおそれがある場合が挙げられています(前掲ガイドライン3-2-4)。
「当該事務の遂行に支障を及ぼすおそれ」の「おそれ」の有無の判断は、一次的には、個人情報取扱事業者が負っています。
④取得の状況からみて利用目的が明らかであると認められる場合
本人がその利用目的を知っていると認められるので、本人への通知、公表は不要となります。
具体例としては、次のような場合があたります(前掲ガイドライン3-2-4)。
- 商品・サービス等を販売・提供するに当たって住所・電話番号等の個人情報を取得する場合で、その利用目的が当該商品・サービス等の販売・提供のみを確実に行うためという利用目的であるような場合
- 一般の慣行として名刺を交換する場合、書面により、直接本人から、氏名・所属・肩書・連絡先等の個人情報を取得することとなるが、その利用目的が今後の連絡のためという利用目的であるような場合(ただし、ダイレクトメール等の目的に名刺を用いることは自明の利用目的に該当しない場合があるので注意を要する。
*本投稿は、拙著『個人情報保護法 逐条分析と展望』青林書院(2003年)に、改正部分を加筆し修正したものです。