ぼちぼち改正個人情報保護法を読む-不適正な取得は苦情相談の第1位!(適正な取得と通知・公表:17条・18条)

個人情報を偽りその他不正の手段によって取得してはなりません。これは、改正前後で条文に変更はありません(17条1項)。
次の2点が改正されました。

第1点は、個人情報取扱事業者に第三者による個人データ取得の経緯を確認する義務(法26条1項2号)が課せられた関係で、直接本人から個人データを取得するのではなく、第三者から収集するつまり提供を受ける場合、きちんと経緯を確認しないと、「不正の手段」による取得となり得る点です。

第2点は、改正により、要配慮個人情報の取得が原則禁止とする規定が新設されたので(17条2項)、要配慮個人情報は本人の同意その他一定の条件を満たさない限り、取得ができません。

個人情報取扱事業者があらかじめ個人情報の利用目的を公表していない場合には、取得後速やかに本人に通知または公表しなければなりません。

適正な取得

条文

(適正な取得)

第17条 個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。

 

ご存じですか。

不適正な取得は、寄せられる苦情の第1位。

毎年行われている個人情報保護法の施行状況調査では、国民生活センターや地方公共団体に置かれている消費生活センターなどに寄せられた苦情の中で、不適正な取得に関するものが約42%を占めています(2015年度調査、8頁)。第2位は漏えい・紛失、第3位は同意のない提供です。この順位は調査年度での変動はありません。

偽りその他不正な手段による取得

個人情報取扱事業者は、偽りその他不正の手段によって個人情報を取得してはなりません。個人情報が違法または不適正な方法によって取得されるならば、個人の権利利益を損なうおそれが極めて高いからです。この点については、改正により変更はありません。

「偽り」の手段とは、本人を欺く手段をいい、次のような手段があたります。

  • テープ・レコーダーなどの機器を使用して本人の知らないうちに個人情報を取得(OECD「プライバシーと個人データの国際流通についてのガイドライン解説メモランダム」第7条52頁)
  • 個人情報を取得する主体や利用目的等について、意図的に虚偽の情報を示して個人情報を取得(個人情報の保護に関する法律についてのガイドライン(通則編)3-2-1)

「その他不正な手段」とは、偽り以外の適正でない手段といいます。たとえば、次のような手段があたります。

  • コンピュータシステムに不正に侵入し、顧客データベースを窃取
  • 子供から家族の個人情報を家族の同意なく取得(前掲ガイドライン・通則編)

第三者提供の際の取得の経緯の確認

立法の経緯

個人情報の入手は、本人が直接収集されるだけではなく、第三者から提供を受ける間接収集が多くなっています。

自分の知らないうちに個人情報が転々流通。
本人からすれば不安でたまりません。
しかし現実には、個人情報には経済的な価値があり、売買の対象となっています。

比較的最近の事案として、大手通信教育会社の個人情報の大量漏えいの事件がありました。委託先のシステムエンジニアが約3000万件の個人情報をスマートフォンに転送し、不正に持ち出し、名簿業者に販売したのです(元エンジニアは、不正競争防止法違反の罪で懲役2年6か月、罰金300万円の刑の言い渡しを受けています。東京高等裁判所平成29年3月21日判決)。

こうした名簿業者への対応は以前から問題となっていました。国会の審議では、上記の事件について個人情報の流通経路を明らかにすることが困難であったほか、漏えいした情報を入手した事業者が提供元の事業者において適法に入手された個人情報か否かの確認が行われていないことが具体的な問題点として挙げられています(第189回国会衆議院内閣委員会議録第4号4頁・2015年5月8日向井治紀政府参考人答弁)。

そこで、取得の経緯について確認義務を負わせる規定が新設されました。

条文

(第三者提供を受ける際の確認等)
第26条 個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、個人情報保護委員会規則で定めるところにより、次に掲げる事項の確認を行わなければならない。ただし、当該個人データの提供が第23条第1項各号又は第5項各号のいずれかに該当する場合は、この限りでない。
一 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又 は管理人)の氏名二 当該第三者による当該個人データの取得の経緯

 

適正な取得義務の違反

のちに提供を受けた個人情報が実は違法な手段によって取得されたものだった。
そんなことが判明したら、個人情報を違法に取得したという非難がなされ、会社の信用はがた落ちです。
そうした事態にならないように、個人情報取扱事業者は、第三者の個人データの取得の経緯を確認し、偽りその他の不正の手段で取得していないかどうかをチェックしなければなりません。

この取得の経緯との関係で、次のような場合には、個人情報取扱事業者は適正な取得の義務に違反することになります。

  • 個人情報取扱事業者が、第三者が偽りその他の不正の手段で個人情報が取得したことを知りながら、第三者から当該個人情報を取得する場合
  • 個人情報取扱事業者が、第三者が偽りその他の不正の手段で個人情報が取得したことを容易に知ることができた場合(前掲ガイドライン・通則編)

要配慮個人情報の取得の禁止

人種、信条、社会的身分、病歴など、その取扱いによっては偏見や差別を生じるおそれがある個人情報(要配慮個人情報)の取得は、原則として禁止されます。公益目的など一定の場合には、例外的に取得が許されます。
改正によって新設されました。

条文は次のようになっています。

(適正な取得)
第17条
2 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。
一 法令に基づく場合二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。五 当該要配慮個人情報が、本人、国の機関、地方公共団体、第76条第1項各号に掲げる者その他個人情報保護委員会規則で定める者により公開されている場合六 その他前各号に掲げる場合に準ずるものとして政令で定める場合

 

要配慮個人情報については、以下の記事に詳しく書きましたので、参考にしてください。

参考記事

 

取得の際の利用目的の通知・公表

条文

(取得に際しての利用目的の通知等)

第18条 個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。

 

個人情報取扱事業者は、利用目的を特定(15条)、その目的の達成に必要な限り個人情報を利用できるという制限を負っています(16条1項)。これを実効あらしめるためには、本人がその利用目的を知っている必要があることから設けられた規定です。

「個人情報の取得」とは、個人情報を入手することをいう。本人からの直接の取得であるか、第三者からの間接的な取得であるかは問いません。

通知・公表が必要な場合

個人情報保護委員会の「個人情報の保護に関する法律についてのガイドライン(通則編)」は、本人への通知または公表が必要な事例として、次の3つを挙げています(3-2-3)。

  • インターネット上で本人が自発的に公にしている個人情報を取得した場合(単に閲覧しただけの場合を除く。)
  • インターネット、官報、職員録等から個人情報を取得した場合(単に閲覧しただけの場合を除く。)
  •  個人情報の第三者提供を受けた場合

通知・公表

利用目的をあらかじめ公表している場合には、本人への通知や公表は不要です。
一方、あらかじめ公表していない場合には、取得後速やかに本人に通知するか、または公表しなければなりません。通知または公表のいずれかでよいとされるのは、それ以後の本人関与といったものが適切になされるための基盤とする観点から、本人が知ろうと思えば知られる状態に確実にしておくことが重要とされ、その必要な範囲で事業者の負担を考慮したことによります(第156回国会衆議院個人情報の保護に関する特別委員会議録第3号5頁・藤井昭夫政府参考人答弁)。

通知は本人に知らせることをいい、公表とはおおやけに発表することをいいます。公表とは、1回限りの発表では足りず、継続性のある発表の形式が取られるべきである。そこで、公表には、インターネット上での公表、パンフレットの配布、書面の掲示・備付けなどが含まれます(個人情報保護法制化専門委員会「個人情報保護基本法制に関する大綱」3.個人情報取扱事業者(仮称)の義務等(1)利用目的による制限及び適正な取得参照)。

通知や公表の意味については、詳しく次の記事に書きました。

参考記事

 

本人から直接個人情報を取得する場合

個人情報取扱事業者が、相対による契約の締結やアンケート調査等などによって直接情報主体である本人から情報を取得する場合、容易に利用目的を明らかにできることから、原則として取得の際に利用目的を明示する義務が生じます(2項、前掲大綱3.個人情報取扱事業者(仮称)の義務等(1)利用目的による制限及び適正な取得)。
ただし、人の生命、身体又は財産のために緊急の必要がある場合には、取得の際に利用目的を明示する必要はありません(2項但書)。

第18条

2 個人情報取扱事業者は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電磁的記録を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保 護のために緊急に必要がある場合は、この限りでない。

 

あらかじめ、本人に対し、その利用目的を明示しなければならない事例として、個人情報保護委員会のガイドラインは、次の3つの事例を挙げています(前掲ガイドライン3-2-4)。

  • 本人の個人情報が記載された申込書・契約書等を本人から直接取得する場合
  • アンケートに記載された個人情報を直接本人から取得する場合
  • 自社が主催するキャンペーンへの参加希望者が、参加申込みのために自社のホームページの入力画面に入力した個人情報を直接本人から取得する場合

「本人に対し、その利用目的を明示」とは、本人に対し、その利用目的を明確に示すことをいい、事業の性質及び個人情報の取扱状況に応じ、内容が本人に認識される合理的かつ適切な方法による必要があります(前掲ガイドライン3-2-4)。

どのような手段を取れば、「利用目的の明示」に該当するかですが、前掲ガイドラインに次の事例が掲載されています。

  • 利用目的を明記した契約書その他の書面を相手方である本人に手渡し、又は送付する場合
  • ネットワーク上において、利用目的を、本人がアクセスした自社のホームページ上に明示し、又は本人の端末装置上に表示する場合

利用目的の変更時の通知・公表

第18条

3 個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。

 

個人情報取扱事業者は、利用目的を変更した場合は、その利用目的を本人に通知するか、または公表しなければなりません。

利用目的の変更には一定の制限がかかります(15条2項)。詳しくお知りになりたい方は、次の記事をお読みください。

参考記事

利用目的の通知または公表の例外

次の4つの場合には、利用目的の通知または公表は不要となります。

第18条

4 前三項の規定は、次に掲げる場合については、適用しない。

一 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合

二 利用目的を本人に通知し、又は公表することにより当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合

三 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。

四 取得の状況からみて利用目的が明らかであると認められる場合

 

①利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合

具体的には、次のような事例が考えられます。

  • 病院が診療目的で患者の住所等の個人情報を取得した後、その患者が意識不明になり家族に至急連絡を取る必要が生じた場合
  • 児童虐待等に対応するために、児童相談所、学校、医療機関等の関係機関において、ネットワークを組んで対応する場合に、加害者である本人に対して当該本人の個人情報の利用目的を通知・公表することにより、虐待を悪化させたり、虐待への対応に支障等が生じたりするおそれがある場合(前掲ガイドライン3-2-4

②個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合

具体的には、暴力団等の反社会的勢力情報、疑わしい取引の届出の対象情報、業務妨害行為を行う悪質者情報等を、本人又は他の事業者等から取得したことが明らかになることにより、当該情報を取得した企業に害が及ぶ場合などが挙げられています(前掲ガイドライン3-2-4)。

また、調査会社の業務もこれにあたるのではないかと思われます。調査の対象となっている本人に調査をしていることを通知または公表することは、密行性の求められる調査業務を害するおそれがあるからです。

「個人情報取扱事業者の権利又は正当な利益」には、企業秘密のようなものも含まれます。

「害するおそれ」の「おそれ」の有無の判断は、一次的には、個人情報取扱事業者が行います。もっとも、個人情報取扱事業者の恣意的判断を容認するものではなく、一般的な蓋然性が必要で、客観的な利益衡量が必要とされます。立法時には、実際の運用にあたってガイドラインを活用するなどにより、可能な限り明確化していくことが望ましいとされました(前掲大綱3.個人情報取扱事業者(仮称)の義務等(1)利用目的による制限及び適正な取得)。

③国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合

「利用目的による制限」の場合と同様の規定です。

具体例として、警察が、公開手配を行わないで、被疑者に関する個人情報を、被疑者の立ち回りが予想される個人情報取扱事業者に限って提供した場合において、警察から当該個人情報を受け取った当該個人情報取扱事業者が、利用目的を本人に通知し、又は公表することにより、捜査活動に支障を及ぼすおそれがある場合が挙げられています(前掲ガイドライン3-2-4)。

「当該事務の遂行に支障を及ぼすおそれ」の「おそれ」の有無の判断は、一次的には、個人情報取扱事業者が負っています。

④取得の状況からみて利用目的が明らかであると認められる場合

本人がその利用目的を知っていると認められるので、本人への通知、公表は不要となります。

具体例としては、次のような場合があたります(前掲ガイドライン3-2-4)。

  • 商品・サービス等を販売・提供するに当たって住所・電話番号等の個人情報を取得する場合で、その利用目的が当該商品・サービス等の販売・提供のみを確実に行うためという利用目的であるような場合
  • 一般の慣行として名刺を交換する場合、書面により、直接本人から、氏名・所属・肩書・連絡先等の個人情報を取得することとなるが、その利用目的が今後の連絡のためという利用目的であるような場合(ただし、ダイレクトメール等の目的に名刺を用いることは自明の利用目的に該当しない場合があるので注意を要する。

*本投稿は、拙著『個人情報保護法 逐条分析と展望』青林書院(2003年)に、改正部分を加筆し修正したものです。

ぼちぼち改正個人情報保護法を読む-15条・16条(利用目的の特定・変更と制限)

個人情報の取扱いは利用目的によって制限されています(16条)。
利用目的をのちに自由に変更できるのでは、利用目的による制限を設けても意味がなくなりますので、利用目的の変更には限界があります(15条2項)。この利用目的の変更は、改正で緩やかになりました。

利用目的をめぐる一連の規定

個人情報の適正な取扱いを図る観点から、個人情報取扱事業者は、個人情報を取り扱う場合に、その利用目的をできる限り特定しなければならない義務を負っています(15条1項)。
個人情報保護法は、このように個人情報の利用目的の特定を求めているほか、取得に際して利用目的の通知等を要求し(18条)、利用目的以外の取扱いおよび第三者提供を制限する(16条・23条)など、利用目的を中心にすえて個人情報の保護を図ろうとしています。
また、利用目的を偽った取得は、「偽りの取得」にもなります(17条)。

レストランでランチを食べるときに、アラカルトではなくセットメニューを頼むことがありますよね。メイン料理にサラダとデザートとコーヒーがついてきて、とても満ち足りた気持ちになります。

法律の条文も同じです。1条ごとに正確に理解する必要がありますが、関連性のある条文はセットで検討しておくと理解が早まり、分かった感が増します。
今回の記事では、利用目的の特定と利用目的による制限を中心にまとめてみました。

利用目的の特定

条文

(利用目的の特定)

第15条 個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。

 

この条文は改正前後で変わっていません。

前述したように、利用目的を中心に個人情報の取扱いを図っているので、利用目的を前提とする規定を実効的に働かせるためには、その大前提である利用目的が特定される必要があります。

ここにいう「個人情報の取扱い」とは、個人情報の取得、保有、提供、利用その他個人情報の取扱いに関する一切の行為をいいます。この取扱いのすべての場面で、個人情報取扱事業は、利用目的をできる限り特定しなければなりません。

また、「利用目的」の中には、第三者に提供することも含まれます。

利用目的の具体性の程度

利用目的は、「できる限り」特定しなければなりません。

どの程度特定しなければならないかは、条文には記載がありませんが、個人情報の性質、利用方法、個人情報取扱事業者の事務の実施の必要性等が勘案された上で判断されるべきで、本人が利用の実態をも的確に認識できるよう可能な限り具体的であることが望ましいとされています(個人情報保護法制化専門委員会「個人情報保護基本法制に関する大綱」2基本原則(1)利用目的による制限)。

一般的にいえば、本人の受ける影響を予測できるように、個人情報取扱事業者が、個人情報をどのような業務に利用し、どのような目的に利用するかを、可能な限り具体的、個別的に明確にすることが必要でしょう(旧通産省「個人情報ハンドブック」収集範囲の制限)。たとえば、会社の目的に書かれるような目的では、本人の受ける影響を予測できず、妥当でないと指摘されています(個人情報保護法制化専門委員会第10回議事録新見委員発言参考)。

たとえ、個人情報取扱事業者の業種の内容から利用目的が予測できる場合であっても、利用目的を具体的に明確にする必要があるでしょう。

なお、「できる限り」とは、利用目的を一般的、抽象的に特定するのではなく、可能な限り具体的、個別的に特定することを求める趣旨に出ており、個人情報取扱事業者の利用目的を特定する義務を緩和する趣旨ではありません(藤原静雄「個人情報保護法案について」季刊行政管理研究95号(2001年)9頁)。

個人情報保護委員会の「個人情報の保護に関する法律についてのガイドライン(通則編)」では、「利用目的を単に抽象的、一般的に特定するのではなく、個人情報が個人情報取扱事業者において、最終的にどのような事業の用に供され、どのような目的で個人情報を利用されるのかが、本人にとって一般的かつ合理的に想定できる程度に具体的に特定することが望ましい。」と書かれています。

そして、ガイドラインは、具体的に利用目的を特定している事例として、事業者が商品の販売に伴い、個人から氏名・住所・メールアドレス等を取得するに当たり、「○○事業における商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせのために利用いたします。」と明示する例を挙げています(3-1-1)。

一方、具体的に利用目的を特定していない事例として、ガイドラインは、「事業活動に用いるため」、「マーケティング活動に用いるため」、「お客様のサービスの向上のため」を挙げています(3-1-1)。

利用目的の合法性・適正性の判断-届出制の是非

利用目的は、当然合法で適正なものでなければなりません。利用目的の合法性・適正性は、第1次的には個人情報取扱事業者が判断します。

これに対し、利用目的の合法性や適切性について届出制で判断する仕組みを取るという方向性が考えられます。しかし、個人情報保護法はこれを採用しませんでした。なぜなら、民間の全分野を通じて漏れなく登録・届出の義務を課せば、①民間事業者に対して、個人データを利用目的ごとの個人情報データベース等に区分して保有することを求めることとなり、本来自由であるべき事業活動を大幅に制約し、大きな負担を課すことになり、個人情報保護の重要性を考慮したとしてもなお問題が多いことや、②すべての業者について個人データの利用目的を全件登録するならば、新たな機関の設置が必要となり行政コストも大幅に増大するので、日本の現状にかんがみると現実的ではないからです(検討部会中間報告Ⅲ個人情報保護システムの在り方3基本法の意義※2全分野を通じた登録・届出制度について、個人情報保護法制化専門委員会第10回議事録)。

なお、行政機関個人情報保護法は、法運用の統一性および法適合性を確保する観点から、各行政機関が、総務大臣に対し、保有しようとする個人情報ファイルの名称、利用の組織の名称、利用目的、記録項目、記録範囲、記録情報、提供先等を事前に通知する制度が設けられています(10条)。これは、民間事業者と異なり、国の行政機関は事前規制が厳格であることを規定したものです(専門委員会第24回議事録藤井審議官説明)。

利用目的による制限

特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱う場合には、本人の同意を得なければなりません(16条1項)。この点については後述します。

取得に際しての利用目的の通知等

条文

第18条

1 個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。

 

個人情報の本人が利用目的に注目するのは、取得時です。自分の個人情報がどのように取り扱われるかが不明な会社には個人情報の提供をちゅうちょするのは当然でしょう。

特定された利用目的は、個人情報取扱者の内部において明確化されるだけでなく、個人情報において識別される本人が認識できる状態に置くことが望ましいとされます(前掲大綱2.基本原則(1)利用目的による制限)。

個人情報取扱事業者の正当な利益を害するおそれまたは業務の適正な実施に支障を及ぼすおそれがある場合等を除き、通知、公表等により少なくとも本人が容易に知り得る状態に置かれる必要があります(大綱3. 個人情報取扱事業者(仮称)の義務等(1)利用目的による制限及び適正な取得)。

そこで、個人情報取扱事業者は、個人情報を収集する場合は、あらかじめ利用目的を公表していることが望ましいとされます。公表していない場合には、個人情報取扱事業者は、取得後速やかに、利用目的を本人に通知するか、または公表する義務があります。

個人情報保護委員会の「個人情報の保護に関する法律についてのガイドライン(通則編)」は、本人への通知または公表が必要な事例として、次の3つを挙げています(3-2-3)。

  • インターネット上で本人が自発的に公にしている個人情報を取得した場合(単に閲覧しただけの場合を除く。)
  • インターネット、官報、職員録等から個人情報を取得した場合(単に閲覧しただけの場合を除く。)
  • 個人情報の第三者提供を受けた場合

利用目的の変更

さて、利用目的はいったん特定したら、変更はできないのでしょうか。
いいえ、個人情報保護法は、改正前から利用目的の変更を認めています。
改正により、利用目的の変更が以前より緩やかにできるようになりました。

条文

(利用目的の特定)

第15条
2 個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。

 

改正前の条文では、利用目的の変更については「相当の関連性を有すると合理的に認められる範囲」という限定がついていました。

これは、個人情報の利用目的の変更を無制限に認めてしまえば、目的によって拘束した意味は減殺されてしまうため、社会通念上、一般的に合理的と考えられる範囲を超えて利用目的を変更してはならないとされたものです(大綱3.個人情報取扱事業者(仮称)の義務等(1)利用目的による制限及び適正な取得)。

「相当の関連性を有すると合理的に認められる範囲」とは、①当初の利用目的との関連性があり全く関係のないものではないこと、かつ、②目的を変更することにより本人に不測かつ不当な権利利益の侵害を生じさせるおそれがないことの2つを考え合わせるべきであるとされていました(第24回議事録藤井審議官説明)。

改正の趣旨

しかし、この変更の制限は厳しいと理解されており、ビッグデータ時代における個人データの利活用のニーズに合致していないという指摘がなされるようになりました。
そこで、「相当の」という文言を削除し、当初の利用目的と関連性を有すると合理的に認められる範囲において機動的に利用目的の変更をすることを解釈・運用上可能としたものです。国会の審議では次のような説明がありました(第189回国会衆議院内閣委員会議録第4号15頁・2015年5月8日山口俊一国務大臣答弁。9頁にも同様の答弁あり)。

○山口国務大臣 委員御指摘のとおりで、現行法上、「利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない。」というふうに規定をされておりまして、この「相当の関連性」という文言につきましては、お話しのとおり、大変厳格な解釈、運用がされておるところであります。

一方、さまざまな情報通信技術の発達、あるいはビッグデータの収集、分析が可能になっていく中で、やはり、事業者の中には、取得をした個人情報、これを当初想定できなかった新事業とか新サービスで活用したいというニーズがあるわけでありますが、事業者がこれまでの厳格な解釈、運用を踏まえての利用をちゅうちょしておるものというふうに聞いております。

このため、今回の改正では「相当の」の部分を削除して、事業者が機動的に目的変更することを解釈、運用上、可能とするものでありますけれども、この変更できる利用目的の範囲につきましては、本人が通常予期し得る限度内であるというふうなことも想定をしております。

これによって、例えば電力会社が、顧客に省エネを促す目的で、家庭内の機器ごとの電気使用状況を収集して、その使用量等を分析して顧客に提示をしていた場合、あるいは、同じ情報を用いて家電制御技術の研究開発とか、その顧客の安否確認のサービスを行うということができるようにというふうなことが考えられるわけでございます。

いずれにしても、変更前の利用目的と関連性を有すると合理的に認められる範囲、これにつきましては、その詳細とか具体例につきましては、ガイドライン等で明確化をしていく予定にいたしております。

全く同じ答弁が、第189回国会衆議院内閣委員会議録6号14-15頁山口俊一国務大臣答弁、同参議院内閣委員会議録9号8頁向井治紀政府参考人答弁にあります。

質問が「相当」を削除した理由を聞くものなので、全く同一の答弁になるのは分かるのですが、これでは具体的にはどうなるのかという議論が深まる余地がありません。国会の審議を条文ごとに精査するように変えられないものでしょうか。

利用目的の変更が可能か否かの判断基準

上記の答弁に出てきたガイドラインを見てみると、

「変更前の利用目的と関連性を有すると合理的に認められる範囲」とは、変更後の利用目的が変更前の利用目的からみて、社会通念上、本人が通常予期し得る限度と客観的に認められる範囲ということだそうです(個人情報の保護に関する法律についてのガイドライン(通則編)3-1-2)。

また、「本人が通常予期し得る限度と客観的に認められる範囲」とは、本人の主観や事業者の恣意的な判断によるものではなく、一般人の判断において、当初の利用目的と変更後の利用目的を比較して予期できる範囲をいい、当初特定した利用目的とどの程度の関連性を有するかを総合的に勘案して判断されるとのことです(同上)。

残念ながら、ガイドラインは、現時点では具体例を挙げていません。

 

利用目的の変更の通知・公表

条文

第18条

3 個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。

 

改正前と同様に、個人情報取扱事業者は、利用目的を変更した場合には、変更された利用目的について、本人に通知するか、または公表しなければなりません(18条3項)。通知はメール等、公表はウェブサイトへの掲載などが考えられます。
具体的な方法については、個人情報保護委員会の「個人情報の保護に関する法律についてのガイドライン(通則編)」に書かれています(2-1-7、2-1-8)。
また、自身が対象事業者となっている認定個人情報保護団体の個人情報保護指針にも注意する必要があります。

たとえ、変更後に特定された利用目的の範囲が15条2項に照らして適法であったとしても、通知または公表がなされていない場合には、18条3項違反となりますので、通知または公表を忘れないようにしましょう。

通知・公表については、次の記事も参考にしてください。

参考記事

 

利用目的による制限

条文

第16条

1 個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。

 

個人情報取扱事業者は、特定した利用目的の達成に必要な範囲を超えて、個人情報を取り扱うことはできません。利用目的を特定しながら、その特定した利用目的の達成とは別な目的で個人情報を取り扱うならば、利用目的の特定の意味がなくなってしまいます。

利用目的の変更との関係

この「前条の規定により特定された利用目的」とは、変更された利用目的も入りますので、前述したとおり、利用目的の変更が以前よりも緩やかに行うことができるようになったことと対応して、この利用目的による制限も一定程度緩やかになったといえるのではないでしょうか。

それでは、個人情報取扱事業者が利用目的を変更した場合に、それが利用目的による制限に違反する事例とはどのような場合でしょうか。

個人情報保護法の改正の立法担当者によれば、「事業者が「変更前の利用目的と関連性を有すると合理的に認められる範囲」内であるとして当初の利用目的を変更して特定した利用目的で個人情報の取扱いを始めたものの、客観的にみると、変更後の利用目的は変更が許される範囲を超えていた場合」があたるそうです(瓜生和久『一問一答 平成27年改正個人情報保護法』65頁)。

取得・利用・保有・提供の各場面に適用

「個人情報を取り扱ってはならない」とありますので、個人情報の取得、保有、利用、提供の各場面に、この条文は適用されると考えられます。

①取得

取得についてですが、利用目的の達成に必要な範囲を超えて個人情報を収集することはできません。すなわち、個人情報の収集は必要最小限であるべきです。

具体例として、レンタルビデオショップの本人確認のための自動車免許証のコピーなどがあります(個人情報保護法制化専門委員会第10回議事録)。ビデオの貸出目的のためには、本人の氏名、住所を自動車免許証の記載を照合して確認すれば足りるにもかかわらず、自動車免許証のコピーはそれ以外の個人情報である本籍地をも取得することになり、利用目的の必要最小限の取得に違反することになります。

なお、利用目的を偽った取得は、適正な取得(17条)の「偽り・・・により個人情報を取得してはならない。」との規定に違反します。

②保有

保有については、比較的最近の国会の審議で次のような答弁があります(第187回参議院消費者問題に関する特別委員会議録第3号15頁・2014年11月5日越智隆雄大臣政務官答弁)。

○大臣政務官(越智隆雄君) 議員御指摘のような、自身の個人情報の削除要請など、消費者の声に応えていくことは必要だというふうに考えております。

現行の個人情報保護法の中では、個人情報の保存期限を定める規定はございませんけれども、一方で、将来にわたって利用される見込みもなく漫然と保存する個人情報については、利用目的による制限との関係から、速やかに消去、廃棄すべきものという趣旨の部分がございます。これは第十六条でございますが、「個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。」というふうに書かれております。

また、個人情報の保護に関する基本方針においては、自主的に利用停止などに応じるなど、本人からの求めに一層対応していくことについて事業分野ごとにガイドラインを作って、それを盛り込むということも求めているところでございまして、幾つかの省庁では既にガイドラインが定められているというところでございます。

消費者庁においても、事業者における個人情報の適切な取扱いが図られるように、引き続き必要な取組を行っていきたいというふうに考えております。

今回の改正で、データ内容の正確性の確保等(19条)の中に、「利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。」との規定が新設されました。この点で、利用目的による制限については、19条で対応することが多くなるかもしれません。

③利用

利用についてですが、上記ガイドラインは、同意が必要な具体例として、「就職のための履歴書情報をもとに、自社の商品の販売促進のために自社取扱商品のカタログと商品購入申込書を送る場合」を挙げているだけです(2-2-1)。

個人情報保護法が制定される前の旧通産省の「民間部門における電子計算機処理に係る個人情報保護ガイドライン」を解説した「個人情報保護ハンドブック」では、「収集目的の範囲を超えて」について、企業内のある部門が収集した情報を同一企業内の他の部門が利用する場合には、「収集目的」の記載内容にもよるが、一般的に情報主体が想定しないような部門が利用する場合には、たとえ同一企業内であっても収集目的の範囲外として改めて情報主体の事前の了解を得ることが必要であると考えられる。」と書かれていました。

しかし、この記述は、個人情報保護法が制定された後の経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」(2004年10月)およびその後の一連のガイドラインには載っていません。個人情報保護委員会の上記のガイドラインと同じ記載があるだけです。このため、経済産業省では、同一企業内の他部門の利用については、「個人情報保護ハンドブック」よりも緩やかに解釈していたのではないかと思われます。

前述したように、利用目的の変更がより緩やかにできるようになった関係で、利用目的による制限もより緩やかになると思われます。

④提供

利用による制限については、個人情報取扱事業者内の利用に目が向きがちですが、利用目的に「第三者への提供」を挙げていないにもかかわらず、個人データを第三者に提供すれば、利用目的による制限の違反にあたることに注意が必要です。

事業の承継

条文

第16条

2 個人情報取扱事業者は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。

 

個人情報取扱事業者が、合併、分社化、営業譲渡等により他の個人情報取扱事業者から事業の承継をする際に個人情報を取得した場合は、承継前の利用目的の達成に必要な範囲内で取り扱う場合は目的外利用にはなりません。したがって、本人の同意を得る必要はありません。

本人の同意を不要とする場合

条文

第16条

3 前2項の規定は、次に掲げる場合については、適用しない。

一 法令に基づく場合

二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。

三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。

四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

 

利用目的を超えた利用であっても、本人の同意が必要とされない例外的な場合があります。上記の4つの場合です。この規定は改正前と同じですので、実務に変更はありません。

それぞれの具体的な事例については、「個人情報の保護に関する法律についてのガイドライン(通則編)」が分かりやすく充実した事例を挙げています。これに加えて、特定分野のガイドラインでは、事業の内容に即した事例が挙げられていますので併せて確認しておくとよいでしょう。

利用目的の変更・利用目的による制限の違反

個人情報取扱事業者が、利用目的の変更や利用目的による制限に違反した場合、個人情報保護委員会は監督機能を発揮することが期待されています。個人情報保護委員会が、個人情報取扱事業者の個人情報の不適正な取扱いを認知するのは、本人から苦情を受けたり、個人情報取扱事業者の利用目的の公表内容などから問題点を見つけたりすることが考えられます。その場合、任意に事情を聴くほか、必要に応じて報告徴収や立入検査により事実関係を確認します(40条)。また、必要な限度で、指導および助言をすることができます(41条)。個人情報の取扱いに問題があれば、是正のための勧告を行い(42条1項)、それに違反する場合には、一定の場合に勧告の措置をとるよう命令を出すこともできます(42条2項)。さらに、個人の重大な権利利益を害する事実があるため緊急に措置をとる必要があると認めるときには、違反行為の中止その他違反を是正するために必要な措置をそるべきことを命ずることができます(42条3項)。

本人による利用の停止・削除請求

個人情報取扱事業者が、本人の同意を得ないで、利用目的の達成に必要な範囲を超えて個人情報を取り扱った場合、本人は当該事業者に対し、その個人情報(個人データ)の利用の停止または消去を請求することができます(30条)。
*本投稿は、拙著『個人情報保護法 逐条分析と展望』青林書院(2003年)に、改正部分を加筆し、関連条文を盛り込み、修正したものです。

ぼちぼち改正個人情報保護法を読む-3条(基本理念)

個人情報保護法の基本理念(3条)は、改正では何ら変更されていません。
だったら、改正個人情報保護法の記事に書く必要はないのでは?と思われるかもしれません。
しかし、2003年の個人情報保護法の制定時にさかのぼって基本理念の条文がなぜできたのかを確認しておくことは、個人情報保護法の全体の理念を理解するために不可欠です。

個人情報保護基本法制に関する大綱-基本原則

2003年に個人情報保護法を成立するまでの立法経過については、個人情報保護法の法制化の方向性を検討した有識者による個人情報保護法制化専門委員会の「個人情報保護基本法制に関する大綱」(2000年12月)に立ち返らなければなりません。
そこでは、現在の基本理念の条文の元となった原則について、次のように記されていました。

2.基本原則

個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであり、個人情報を取り扱う者は、次に掲げる原則にのっとり、個人情報の適正な取扱いに努めなければならないものとすること。

個人情報はいわゆるプライバシー又は個人の諸自由に密接に関わる情報でありその取扱いの態様によっては、個人の人格的、財産的な権利利益を損なうおそれのあるものである。この意味で、すべての個人情報は、個人の人格尊重の理念の下に慎重に取り扱われる必要のあるものである。他方、個人情報は、個人が社会的又は経済的な活動主体として存在する以上、その有用性の観点から、他の活動主体にとっても一定の範囲で取扱いが認められるべきものである。他人の個人情報を取り扱う者(以下「取扱者」という)は、このような個人情報の性格とその重大性を十分認識し、個人情報の適正な取扱いを自主的に進めることにより、個人情報の保護に努めることが求められる。

また、個人情報の種類、取扱いの方法は多様であり、取扱者も広範である。政府等による個人情報の保護に関する制度施策は、このような個人情報とその置かれている環境の多様性に留意しつつも共通の目標に向かって、総合的に推進される必要がある。

このため、本基本法制においては、諸外国、国際機関等における法制度、検討の成果等を参考にしつつ、取扱者が個人情報の保護のために自主的な取組を行うに当たっての基本となる原則として、また、政府等が講ずる個人情報の保護に関する総合的な制度施策を展開するに当たっての指針として、個人情報の取扱いについての基本原則を明確に規定することとしている。

なお、個人情報の保護に当たって個人情報の有用性に配慮することとしている本基本法制の目的の趣旨に照らし、個々の基本原則は、公益上必要な活動や正当な事業活動等を制限するものではない。基本原則実現のための具体的な方法は、取扱者の自主的な取組によるべきものである。この趣旨は、報道分野における取材活動に伴う個人情報の取扱い等に関しても同様である。

個人情報保護法には、プライバシーの権利または自己情報コントロール権という言葉は出てきません。個人情報保護法制化専門委員会で、第1条の目的規定に明記するかどうかが議論されましたが見送られました(同専門委員会第13回議事録高橋・藤原・上谷委員発言、第156回国会衆議院個人情報の保護に関する特別委員会議事録第2号)。

ただし、憲法の問題とのつながりを示すために、最終的に基本理念(3条)において「個人の人格尊重の理念の下に」という表現が盛り込まれました。これは重要な立法経緯であると考えられます。

参考記事

 

個人情報保護基本法制に関する大綱-基本5原則

同大綱は、続けて基本5原則を挙げています。各原則の説明はここでは省略します。

(1)利用目的による制限
個人情報は、その利用目的が明確にされるとともに、当該利用目的の達成に必要な範囲内で取り扱われること。
(2)適正な方法による取得
個人情報は、適法かつ適正な方法によって取得されること。
(3)内容の正確性の確保
個人情報は、その利用目的の達成に必要な範囲内において正確かつ最新の内容に保たれること。
(4)安全保護措置の実施
個人情報は、適切な安全保護措置を講じた上で取り扱われること。
(5)透明性の確保
個人情報の取扱い(個人情報に関する様々な行為であって、その利用等を含む)に関しては、個人情報において識別される個人(以下「本人」という)が適切に関与し得るなどの必要な透明性が確保されること。

旧法案の条文

上記の大綱に沿って内閣が作成し第151回国会に提出した「個人情報の保護に関する法律案」は、基本理念と基本5原則を次のように条文化していました。法案は同国会、第152回、第153回臨時国会において継続審議・閉会中審議となりました。

第二章 基本原則

第三条 個人情報が個人の人格尊重の理念の下に慎重に取り扱われるべきものであることにかんがみ、個人情報を取り扱う者は、次条から第八条までに規定する基本原則にのっとり、個人情報の適正な取扱いに努めなければならない。

(利用目的による制限)
第四条 個人情報は、その利用の目的が明確にされるとともに、当該目的の達成に必要な範囲内で取り扱われなければならない。

(適正な取得)
第五条 個人情報は、適法かつ適正な方法で取得されなければならない。

(正確性の確保)
第六条 個人情報は、その利用の目的の達成に必要な範囲内で正確かつ最新の内容に保たれなければならない。

(安全性の確保)
第七条 個人情報の取扱いに当たっては、漏えい、滅失又はき損の防止その他の安全管理のために必要かつ適切な措置が講じられるよう配慮されなければならない。

(透明性の確保)
第八条 個人情報の取扱いに当たっては、本人が適切に関与し得るよう配慮されなければならない。

基本5原則とOECD8原則

基本5原則は、OECD8原則を参考に整理し直したもので、その内容は横断的にみるとOECD8原則にほぼ似通ったものといえるものでした。

基本原則 OECD8原則
基本理念 責任の原則
①利用目的による制限 目的明確化の原則
利用制限の原則
②適正な取得 収集制限の原則
③正確性の確保 データ内容の原則
④安全性の確保 安全保護の原則
⑤透明性の確保 公開の原則
個人参加の原則

国会審議と旧法案の廃案

第154回国会には、「行政機関の保有する個人情報の保護に関する法律」、「独立行政法人等の保有する個人情報の保護に関する法律」、「情報公開・個人情報保護審査会設置法案」、「行政機関の保有する個人情報の保護に関する法律等の施行に伴う関係法律の整備等に関する法律案」も提出され、旧法案を含め合計5法案が審議されました。

しかし、基本5原則に対して大きな反発が沸き起こります。

この基本5原則を含む第2章は、公的部門・民間部門を問わず、個人情報を取り扱うすべての者(個人情報取扱者、個人情報取扱事業者とは異なります)が遵守すべきものとされていました。つまり、基本原則は、個人情報を取り扱うすべての者に適用されることが予定されていたわけです。当然報道機関も含まれていました。

このため、マスメディアの表現の自由を侵害するとの強い批判が起きたのです。その主なものは、適正な取得や透明性の確保に関する努力義務が、損害賠償請求訴訟や差止訴訟で主張され、報道機関等を規制することになるのではないかという懸念でした。

この頃、人権擁護法案、個人情報保護法案、青少年有害社会環境対策法案の3つの法案が、「メディア規制3点セット」と呼ばれ、強い反対の動きがあったのです。

国会閉会中に、与党3党(自民党・自由党・公明党)は5法案が表現の自由を侵害するものでないことをより明確にする修正案をまとめます。しかし、第155回臨時国会で修正協議に入ることができず、結局、個人情報保護法関係5法案は、2002年12月13日にすべて審議未了で廃案となりました。

新法案-個人情報保護法の誕生

捲土重来?

基本5原則が削除された新法案が156回国会に提出されます。

削除された際に、基本理念(3条)は第1章総則の中に再編成されました。そして、旧法案では、「個人情報を取り扱う者は、…基本原則にのっとり、個人情報の適正な取扱いに努めなければならない」とされていたものを、個人情報を取り扱う者という名宛人を取り去り、条文の抽象性が高められました。現在の条文と同じです。

(基本理念)
第三条 個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであることにかんがみ、その適正な取扱いが図られなければならない。

 

新法案は、156回国会で個人情報保護法として成立します(成立は2003年5月30日)。

個人情報保護法の解釈原理

本条前段は、個人情報はいわゆるプライバシーまたは個人の諸自由に密接に関わる情報であり、その取扱いの態様によっては、個人の人格的、財産的な権利利益を損なうおそれのあるため、すべての個人情報は、個人の人格尊重の理念の下に慎重に取り扱われなければならないことを明記したものです(大綱2基本原則)。

個人情報保護法制化専門委員会における議論の中で、個人情報保護の趣旨として個人の人格尊重の理念を尊重すべきであるとの意見を踏まえて規定されたもので(第24回議事録藤井審議官説明)、個人情報保護法全体にわたる解釈原理を示しています(前掲議事録小早川光郎委員発言、「〔座談会〕個人情報保護基本法制大綱をめぐって」ジュリスト1190号10頁)。個人情報取扱事業者の義務等は要件を抽象化せざるをえないことから、抽象化された条文の中に何を考慮すべきかということを最初に本条前段を掲げることによって多少捕らえることができるのではないかという趣旨を含んでいるとのことです(同議事録小早川委員発言)。

一方、本条後段は、個人が社会的又は経済的な活動主体として存在する以上、その有用性の観点から、他の活動主体にとっても一定の範囲で取扱いが認められるべきであることを前提に、個人情報を取扱う者について、個人情報の性格とその重大性を十分認識し、個人情報の適正な取扱いを自主的に図ることにより、個人情報の保護に努めることを求めています(大綱2基本原則、個人情報保護法制化専門委員会第24回議事録藤井審議官説明)。

個人情報保護法全般が、自主規制や自主的な努力を求めたものですが、本条後段は、これを改めて強調するために定められています(前掲議事録小早川委員発言)。自主的な取組みは、個人情報取扱事業者の義務とその担保の仕組みにおいても自主的な要素を重視するという2段構えとなっています(同小早川委員発言)。

法的性格

基本理念の法的性格は、旧法案の基本5原則とともに、個人情報を取扱う者に対し、一般的抽象的な政策理念よりさらに進んだ一般的な自主的努力義務を課したものであるとされています(たとえば、高橋和之「メディアの『特権』は“フリー”ではない-個人情報保護法案の正確な理解に向けて-」ジュリスト1230号56頁)。

努力義務と解すると、これを怠ったとしても当然には違法になりません。そこで、民事訴訟において基本理念が裁判規範として機能しない可能性があります。

この疑問については、民法の不法行為(709条)を根拠とする損害賠償請求の中で、保護法益(人格権)の保護の程度や加害行為の違法性の判断において、基本理念が作用することが考えられると指摘されています(前掲「座談会」21頁)。

一方、基本理念は、削除された基本原則のような具体性はなく、憲法13条から導かれる理念を確認したにとどまり、条文の有無が民事訴訟の帰趨に影響を与えるのではなく、この条文に示された憲法理念が民事訴訟において斟酌されるという方が正確であるとする指摘がなされています(宇賀克也『個人情報保護法の逐条解説[第5版]』有斐閣(2016年)80頁)。

おわりに

裁判所は憲法に関する判断に踏み込むことはあまりありません。個別法の条文の解釈で結論が出るならば、憲法という高次の法の解釈をする必要性がないと考えるからかもしれません。

具体的な訴訟で基本理念がどのように作用するか、裁判所の判断を注視したいと思います。

*本投稿は、拙著『個人情報保護法 逐条分析と展望』青林書院2003年)を加筆し修正したものです。

ぼちぼち改正個人情報保護法を読む-利活用オッケー!情報と取扱い注意!情報

匿名加工情報とは

匿名加工情報は、ざっくりいえば「利活用OK!」情報です。なぜ利活用がOKなのかといえば、特定の個人が識別されないようにし、かつ元の個人情報に復元してはならない情報なので、個人の権利利益の侵害が低いと考えられるからです。

ただし忘れてはならないことがあります。

一つは、個人情報を匿名加工情報にしても、個人に関する情報であることには変わりはないという点です。

個人に関する情報と個人情報とは違うの?と疑問に思われる方がおられるかもしれません。
個人情報は個人に関する情報の中に含まれる概念ですが、個人に関する情報とイコールではありません。

参考記事

 

要配慮個人情報も匿名加工情報に加工可

もう一つの注意点は、要配慮個人情報も匿名加工情報に加工できる点です。
要配慮個人情報は、簡単に言ってしまえば「取扱い注意!」情報です。第三者提供には、原則として本人の同意が必要です。

匿名加工情報が規定された背景には、個人情報の保護を図りつつ、新産業、新サービスの創出など、日本の成長戦略を強力に推し進めていく考えがあるわけですが、その利活用の具体例の一つとして、「医療機関が保有する医療情報を活用した創薬や臨床分野を発展させる」ことがあげられていました(第189回衆議院内閣委員会議録第4号4頁・平成27年5月8日山口俊一国務大臣答弁/同参議院内閣委員会議録第10号2頁・平成27年5月28日向井治紀政府参考人答弁)。要配慮個人情報も匿名加工情報に加工できることが前提なのです。
医療分野では以前から特定の個人を識別できないようにした情報を研究に利用することがありましたから、匿名加工情報としての利活用が明確になったともいえるかもしれません。

ところで、医療情報の中には要配慮個人情報である病歴が必然的に入ることが多いと思われますので、適正に匿名加工情報を作成し、それを復元することを禁止しておかなければ、本人の同意なく第三者に提供された後に、識別されて元の個人情報が復元できることになります。要配慮個人情報という類型を作り、他の個人情報より厳しい規制をかけたことが潜脱されてしまわないためにも、匿名加工情報において復元が禁じられていることは大きな意味があると思われます。

まとめ

以上をまとめて図にしてみました。分かりやすくなったでしょうか?

ぼちぼち改正個人情報保護法を読む-2条(定義・個人情報に関する定義いろいろ)

個人情報保護法の定義(2条)を見ると、個人に関する情報、個人情報、個人情報データベース等、個人データ、保有個人データとさまざまな定義があり、それだけでパタッと本を閉じたくなります。

そこで図を書いてみました。

 

つまり親亀の上に子亀がのり、子亀の上に孫亀がのり、さらに孫亀の上にひ孫亀がのっているというイメージです。

そして、個人情報、個人情報データベース等の中の個人データ、保有個人データのどれにあたるかによって、個人情報取扱事業者の義務が異なります。
たとえば、個人情報として会社のどこかに散在しているとしても、個人情報データベース等として利用していない場合には、会社は、正確性の確保、安全管理措置、第三者提供の制限などの義務は負わないのです。

定義はとかく面倒ですが、どの義務を負うかをきちんと理解しておくために重要です。

ぼちぼち改正個人情報保護法を読む-Suica乗車履歴販売のケースはどうなる?

改正個人情報保護法については、様々な解説書が出ているのですが、どれを読んでもピンとこないのが匿名加工情報の説明です。というのは、改正前の個人情報保護法の下でも、特定の個人を識別することができない情報に加工した上で、本人の同意なく第三者に提供することは許されていました。

改正により、匿名加工情報を第三者に提供する際には、個人に関する情報の項目を公表し、匿名加工情報であることを明示することになっています(法36条4項、37条)。

それじゃあ、かえって第三者提供で行う規制が厳しくなり、ビッグデータの利活用という改正の背景と矛盾するのではないの?と感じる向きもあるのではないでしょうか。

国会審議での疑問提起

実際、国会の審議では次のような議論がなされています(第189回国会衆議院予算委員会第1分科会議録第1号・平成27年3月10日)。特に目を引く発言部分に下線を引きました。 続きを読む →

ぼちぼち改正個人情報保護法を読む-2条・37条・38条・39条(定義:匿名加工情報取扱事業者とその義務)

「匿名加工情報取扱事業者」とは、匿名加工情報データベース等を事業の用に供している者をいいます。匿名加工情報に合わせて改正法で定められました。匿名加工情報取扱事業者は、匿名加工情報の提供時の公表・明示義務、識別行為の禁止の義務および安全管理措置等の努力義務を負います

匿名加工情報取扱事業者とは

改正法の条文

改正により、以下の条文が新設されました。

(定義)

第2条

10 この法律において「匿名加工情報取扱事業者」とは、匿名加工情報を含む情報の集合物であって、特定の匿名加工情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の匿名加工情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(第36条第1項において「匿名加工情報データベース等」という。)を事業の用に供している者をいう。ただし、第5項各号に掲げる者を除く。

 

匿名加工情報の取扱いに対する規制

ビッグデータの利活用として、個人情報取扱事業者は作成した匿名加工情報を自ら取り扱うのではなく、第三者に提供し分析等を依頼し、事業に役立てたり、新しいサービスを生み出したりします。さらに匿名加工情報を売却することもあるでしょう。

それでは、こうした匿名加工情報の提供を受けた第三者は何らの義務も負わないのでしょうか。

いいえ、改正個人情報保護法は一定の規制をしています。

匿名加工情報は、特定の個人を識別することができないもので、かつ復元することができない情報ですが、この2つの要件を満たしているかどうかは、あくまで通常人の能力では特定の個人の識別や元の個人情報の復元ができないことを基準としています。つまり、高度な技術を用いれば、特定の個人が識別されたり、復元がなされたりすることもありうる情報なのです。したがって、匿名加工情報の取扱いについても一定の規制をしておかなければ、個人の権利利益の侵害の可能性を払拭できないのです。

すでに数回の記事で分けて書きましたが、その一つが匿名加工情報を作成する場合の個人情報取扱事業者の義務です。もう一つが、匿名加工情報取扱事業者の義務となります。

匿名加工情報取扱事業者とは

さて、「匿名加工情報取扱事業者」とは、匿名加工情報データベース等を事業のために用いる事業者のことです。

匿名加工情報データベース等とは、
①特定の匿名加工情報をコンピュータを用いて検索することができるように体系的に構成したデータベース
②目次や索引などで特定の匿名加工情報を容易に検索することができるように体系的に構成した情報の集合物
をいいます。

匿名加工情報取扱事業者から、国、地方公共団体、独立行政法人等、地方独立行政法人等は除かれます。

匿名加工情報取扱事業者の義務

匿名加工情報取扱事業者は、以下の義務を負います。

事業者の義務の内容 匿名加工情報取扱事業者
第三者提供時の公表・明示義務 法37条、規則23条
識別行為の禁止義務 法38条
安全管理措置等の努力義務 法39条

 

第三者提供時の公表・明示義務

改正法の条文

改正法は、匿名加工情報取扱事業者が、他者から提供を受けた匿名加工情報をさらに第三者に提供する場合に、以下のように公表・明示義務を定めています。

(匿名加工情報の提供)

第37条 匿名加工情報取扱事業者は、匿名加工情報(自ら個人情報を加工して作成したものを除く。以下この節において同じ。)を第三者に提供するときは、個人情報保護委員会規則で定めるところにより、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示しなければならない。

 

匿名加工情報が二次流通する際の規制です。

個人情報取扱事業者から匿名加工情報を受領した匿名加工情報取扱事業者は、さらにその匿名加工情報を第三者に提供するときに、あらかじめ個人に関する情報の項目を公表し、その第三者に匿名加工情報であることを明示しなければなりません。

提供の方法

「提供」とは、匿名加工情報を第三者が利用可能な状態に置くことをいいます。ハードコピーを郵送するなど匿名加工情報が物理的に提供されている場合のほか、サーバにアップロードするなど、ネットワーク等を利用することにより、第三者が匿名加工情報を利用できる状態にあれば、提供にあたります(個人情報の保護に関する法律についてのガイドライン〈匿名加工情報編〉21頁)。

公表項目

公表義務のある個人に関する情報の項目は、個人情報取扱事業者が負う公表義務の項目と同様です。すべて削除したものは公表する必要はなく、一部削除したり置き換えたりした項目を公表しなければなりません。

参考記事

 

公表の方法

公表とは、不特定多数の人々が知ることができるように発表することをいいますので(個人情報の保護に関する法律についてのガイドライン〈通則編〉23頁)、インターネット上の利用(改正個人情報保護規則23条1項)、パンフレットの備置き・配布、ポスター等の掲示・備付けなどが含まれます。

明示の方法

明示とは、第三者に対し、提供する情報が匿名加工情報であることを明確に示すことをいいます(個人情報の保護に関する法律についてのガイドライン〈匿名加工情報編〉22頁)。

明示の方法は、電子メールを送信する方法または書面を交付する方法その他の適切な方法により行います(改正個人情報保護法施行規則23条2項)。

識別行為の禁止

改正法の条文

改正法は、個人情報取扱事業者と同様に、匿名加工情報取扱事業者にも、匿名加工情報の識別行為を禁止しています。

(識別行為の禁止)

第38条 匿名加工情報取扱事業者は、匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該個人情報から削除された記述等若しくは個人識別符号若しくは第36条第1項、行政機関の保有する個人情報の保護に関する法律(平成15年法律第58号)第44条の10第1項(同条第2項において準用する場合を含む。)若しくは独立行政法人等の保有する個人情報の保護に関する法律第44条の10第1項(同条第2項において準用する場合を含む。)の規定により行われた加工の方法に関する情報を取得し、又は当該匿名加工情報を他の情報と照合してはならない。

 

匿名加工情報は、通常の方法では特定の個人を識別できないようにし復元できないようにすることによって自由な利活用を認める新しい類型の情報です。高度な技術によって特定の個人が識別できる可能性は残されています。
個人情報取扱事業者が提供した先の匿名加工情報取扱事業者が、保有している情報と照合するなどして、元の個人情報を復元すれば、第三者提供について本人の同意を要件とした規定が、いったん匿名加工情報としのちに個人情報に復元することにより、容易に潜脱できてしまうことになります。これでは、個人の権利利益は保護されません。

そこで、改正法は、匿名加工情報取扱事業者の個人情報の復元を禁止して、こうした事態を防止しています。

取得が禁止される情報

匿名加工情報取扱事業者は本人を識別するために、復元することができる可能性の高い以下の情報を取得してはなりません。

①匿名加工情報の元となった個人情報から削除された記述等
②個人識別符号
③加工の方法に関する情報

また、本人を識別するために他の情報と照合してはなりません。他の情報には特に限定はありません。

安全管理措置・苦情処理・その他

改正法の条文

改正法は、以下のように、匿名加工情報取扱事業者に、安全管理措置、苦情処理、その他適正な取扱いを確保するために必要な措置を講じる努力義務を課しました。

(安全管理措置等)

第39条 匿名加工情報取扱事業者は、匿名加工情報の安全管理のために必要かつ適切な措置、匿名加工情報の取扱いに関する苦情の処理その他の匿名加工情報の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。

 

安全管理措置

匿名加工情報取扱事業者にも安全管理措置の義務があります。ただし、努力義務にとどまります。これは、匿名加工情報が特定の個人を識別することができず、たとえ漏えいしても個人の権利利益を侵害するおそれが低いためです。ここが個人情報取扱事業者の安全管理措置の義務と違う点です。

とはいえ、匿名加工情報の元となった情報が要配慮個人情報である場合など、匿名加工情報が不正に入手され個人情報が復元された場合には、個人の権利利益の侵害のおそれが高まることは否定できないと思われます。情報の質によっては、安全管理措置を講じておく必要があるでしょう。

苦情処理その他

また、匿名加工情報取扱事業者は、苦情処理その他の匿名加工情報の適正な取扱いを確保するために必要な措置を自ら講じ、それを公表するよう努める義務があります。

 

ぼちぼち改正個人情報保護法を読む-36条(匿名加工情報の安全管理措置・苦情処理その他適正な取扱いを確保する努力義務)

個人情報取扱事業者は、匿名加工情報の安全管理措置を講じるよう努めなければなりません。苦情処理その他の匿名加工情報の適正な取扱いを確保するために必要な措置を自ら講じる努力義務も負っています。そして、これらの措置の内容を公表するよう努めなければなりません。

改正法の条文

改正法で新設された条文は、次のように定めています。

第36条

6 個人情報取扱事業者は、匿名加工情報を作成したときは、当該匿名加工情報の安全管理のために必要かつ適切な措置、当該匿名加工情報の作成その他の取扱いに関する苦情の処理その他の当該匿名加工情報の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。

 

個人情報に関する義務と異なり、努力義務となっています。 続きを読む →

ぼちぼち改正個人情報保護法を読む-36条(匿名加工情報の識別行為の禁止義務)

個人情報取扱事業者は、元となった個人情報の本人を識別するために、匿名加工情報と他の情報を照合することが禁じられています。

改正法の条文

改正法で新設された条文は、次のように定めています。

第36条

5 個人情報取扱事業者は、匿名加工情報を作成して自ら当該匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該匿名加工情報を他の情報と照合してはならない。

 

個人情報取扱事業者は、元となった個人情報の本人を識別するために、匿名加工情報と他の情報を照合することが禁じられています。匿名加工情報は、加工によって特定の個人を識別することができないようにし、復元できないようにすることによって、個人情報保護法に定義する「個人情報」から除外した新しい類型の情報です。目的外利用や本人の同意なく第三者提供を許容するなど自由な利活用が認められています。このことが大前提ですから、個人の識別のための照合は認められていません。 続きを読む →

ぼちぼち改正個人情報保護法を読む-36条(匿名加工情報の第三者提供時の公表義務と明示義務)

個人情報取扱事業者は、匿名加工情報を第三者に提供するときは、あらかじめ第三者に提供される匿名加工情報に含まれる個人に関する情報の項目および提供の方法を公表し、第三者に対し匿名加工情報であることを明示しなければなりません。

改正法の条文

改正法で新設された条文は、次のように定めています。

第36条

4 個人情報取扱事業者は、匿名加工情報を作成して当該匿名加工情報を第三者に提供するときは、個人情報保護委員会規則で定めるところにより、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示しなければならない。

公表事項

続きを読む →