ぼちぼち改正個人情報保護法を読む-不適正な取得は苦情相談の第1位!(適正な取得と通知・公表:17条・18条)

個人情報を偽りその他不正の手段によって取得してはなりません。これは、改正前後で条文に変更はありません(17条1項)。
次の2点が改正されました。

第1点は、個人情報取扱事業者に第三者による個人データ取得の経緯を確認する義務(法26条1項2号)が課せられた関係で、直接本人から個人データを取得するのではなく、第三者から収集するつまり提供を受ける場合、きちんと経緯を確認しないと、「不正の手段」による取得となり得る点です。

第2点は、改正により、要配慮個人情報の取得が原則禁止とする規定が新設されたので(17条2項)、要配慮個人情報は本人の同意その他一定の条件を満たさない限り、取得ができません。

個人情報取扱事業者があらかじめ個人情報の利用目的を公表していない場合には、取得後速やかに本人に通知または公表しなければなりません。

適正な取得

条文

(適正な取得)

第17条 個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。

 

ご存じですか。

不適正な取得は、寄せられる苦情の第1位。

毎年行われている個人情報保護法の施行状況調査では、国民生活センターや地方公共団体に置かれている消費生活センターなどに寄せられた苦情の中で、不適正な取得に関するものが約42%を占めています(2015年度調査、8頁)。第2位は漏えい・紛失、第3位は同意のない提供です。この順位は調査年度での変動はありません。

偽りその他不正な手段による取得

個人情報取扱事業者は、偽りその他不正の手段によって個人情報を取得してはなりません。個人情報が違法または不適正な方法によって取得されるならば、個人の権利利益を損なうおそれが極めて高いからです。この点については、改正により変更はありません。

「偽り」の手段とは、本人を欺く手段をいい、次のような手段があたります。

  • テープ・レコーダーなどの機器を使用して本人の知らないうちに個人情報を取得(OECD「プライバシーと個人データの国際流通についてのガイドライン解説メモランダム」第7条52頁)
  • 個人情報を取得する主体や利用目的等について、意図的に虚偽の情報を示して個人情報を取得(個人情報の保護に関する法律についてのガイドライン(通則編)3-2-1)

「その他不正な手段」とは、偽り以外の適正でない手段といいます。たとえば、次のような手段があたります。

  • コンピュータシステムに不正に侵入し、顧客データベースを窃取
  • 子供から家族の個人情報を家族の同意なく取得(前掲ガイドライン・通則編)

第三者提供の際の取得の経緯の確認

立法の経緯

個人情報の入手は、本人が直接収集されるだけではなく、第三者から提供を受ける間接収集が多くなっています。

自分の知らないうちに個人情報が転々流通。
本人からすれば不安でたまりません。
しかし現実には、個人情報には経済的な価値があり、売買の対象となっています。

比較的最近の事案として、大手通信教育会社の個人情報の大量漏えいの事件がありました。委託先のシステムエンジニアが約3000万件の個人情報をスマートフォンに転送し、不正に持ち出し、名簿業者に販売したのです(元エンジニアは、不正競争防止法違反の罪で懲役2年6か月、罰金300万円の刑の言い渡しを受けています。東京高等裁判所平成29年3月21日判決)。

こうした名簿業者への対応は以前から問題となっていました。国会の審議では、上記の事件について個人情報の流通経路を明らかにすることが困難であったほか、漏えいした情報を入手した事業者が提供元の事業者において適法に入手された個人情報か否かの確認が行われていないことが具体的な問題点として挙げられています(第189回国会衆議院内閣委員会議録第4号4頁・2015年5月8日向井治紀政府参考人答弁)。

そこで、取得の経緯について確認義務を負わせる規定が新設されました。

条文

(第三者提供を受ける際の確認等)
第26条 個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、個人情報保護委員会規則で定めるところにより、次に掲げる事項の確認を行わなければならない。ただし、当該個人データの提供が第23条第1項各号又は第5項各号のいずれかに該当する場合は、この限りでない。
一 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又 は管理人)の氏名二 当該第三者による当該個人データの取得の経緯

 

適正な取得義務の違反

のちに提供を受けた個人情報が実は違法な手段によって取得されたものだった。
そんなことが判明したら、個人情報を違法に取得したという非難がなされ、会社の信用はがた落ちです。
そうした事態にならないように、個人情報取扱事業者は、第三者の個人データの取得の経緯を確認し、偽りその他の不正の手段で取得していないかどうかをチェックしなければなりません。

この取得の経緯との関係で、次のような場合には、個人情報取扱事業者は適正な取得の義務に違反することになります。

  • 個人情報取扱事業者が、第三者が偽りその他の不正の手段で個人情報が取得したことを知りながら、第三者から当該個人情報を取得する場合
  • 個人情報取扱事業者が、第三者が偽りその他の不正の手段で個人情報が取得したことを容易に知ることができた場合(前掲ガイドライン・通則編)

要配慮個人情報の取得の禁止

人種、信条、社会的身分、病歴など、その取扱いによっては偏見や差別を生じるおそれがある個人情報(要配慮個人情報)の取得は、原則として禁止されます。公益目的など一定の場合には、例外的に取得が許されます。
改正によって新設されました。

条文は次のようになっています。

(適正な取得)
第17条
2 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。
一 法令に基づく場合二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。五 当該要配慮個人情報が、本人、国の機関、地方公共団体、第76条第1項各号に掲げる者その他個人情報保護委員会規則で定める者により公開されている場合六 その他前各号に掲げる場合に準ずるものとして政令で定める場合

 

要配慮個人情報については、以下の記事に詳しく書きましたので、参考にしてください。

参考記事

 

取得の際の利用目的の通知・公表

条文

(取得に際しての利用目的の通知等)

第18条 個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。

 

個人情報取扱事業者は、利用目的を特定(15条)、その目的の達成に必要な限り個人情報を利用できるという制限を負っています(16条1項)。これを実効あらしめるためには、本人がその利用目的を知っている必要があることから設けられた規定です。

「個人情報の取得」とは、個人情報を入手することをいう。本人からの直接の取得であるか、第三者からの間接的な取得であるかは問いません。

通知・公表が必要な場合

個人情報保護委員会の「個人情報の保護に関する法律についてのガイドライン(通則編)」は、本人への通知または公表が必要な事例として、次の3つを挙げています(3-2-3)。

  • インターネット上で本人が自発的に公にしている個人情報を取得した場合(単に閲覧しただけの場合を除く。)
  • インターネット、官報、職員録等から個人情報を取得した場合(単に閲覧しただけの場合を除く。)
  •  個人情報の第三者提供を受けた場合

通知・公表

利用目的をあらかじめ公表している場合には、本人への通知や公表は不要です。
一方、あらかじめ公表していない場合には、取得後速やかに本人に通知するか、または公表しなければなりません。通知または公表のいずれかでよいとされるのは、それ以後の本人関与といったものが適切になされるための基盤とする観点から、本人が知ろうと思えば知られる状態に確実にしておくことが重要とされ、その必要な範囲で事業者の負担を考慮したことによります(第156回国会衆議院個人情報の保護に関する特別委員会議録第3号5頁・藤井昭夫政府参考人答弁)。

通知は本人に知らせることをいい、公表とはおおやけに発表することをいいます。公表とは、1回限りの発表では足りず、継続性のある発表の形式が取られるべきである。そこで、公表には、インターネット上での公表、パンフレットの配布、書面の掲示・備付けなどが含まれます(個人情報保護法制化専門委員会「個人情報保護基本法制に関する大綱」3.個人情報取扱事業者(仮称)の義務等(1)利用目的による制限及び適正な取得参照)。

通知や公表の意味については、詳しく次の記事に書きました。

参考記事

 

本人から直接個人情報を取得する場合

個人情報取扱事業者が、相対による契約の締結やアンケート調査等などによって直接情報主体である本人から情報を取得する場合、容易に利用目的を明らかにできることから、原則として取得の際に利用目的を明示する義務が生じます(2項、前掲大綱3.個人情報取扱事業者(仮称)の義務等(1)利用目的による制限及び適正な取得)。
ただし、人の生命、身体又は財産のために緊急の必要がある場合には、取得の際に利用目的を明示する必要はありません(2項但書)。

第18条

2 個人情報取扱事業者は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電磁的記録を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保 護のために緊急に必要がある場合は、この限りでない。

 

あらかじめ、本人に対し、その利用目的を明示しなければならない事例として、個人情報保護委員会のガイドラインは、次の3つの事例を挙げています(前掲ガイドライン3-2-4)。

  • 本人の個人情報が記載された申込書・契約書等を本人から直接取得する場合
  • アンケートに記載された個人情報を直接本人から取得する場合
  • 自社が主催するキャンペーンへの参加希望者が、参加申込みのために自社のホームページの入力画面に入力した個人情報を直接本人から取得する場合

「本人に対し、その利用目的を明示」とは、本人に対し、その利用目的を明確に示すことをいい、事業の性質及び個人情報の取扱状況に応じ、内容が本人に認識される合理的かつ適切な方法による必要があります(前掲ガイドライン3-2-4)。

どのような手段を取れば、「利用目的の明示」に該当するかですが、前掲ガイドラインに次の事例が掲載されています。

  • 利用目的を明記した契約書その他の書面を相手方である本人に手渡し、又は送付する場合
  • ネットワーク上において、利用目的を、本人がアクセスした自社のホームページ上に明示し、又は本人の端末装置上に表示する場合

利用目的の変更時の通知・公表

第18条

3 個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。

 

個人情報取扱事業者は、利用目的を変更した場合は、その利用目的を本人に通知するか、または公表しなければなりません。

利用目的の変更には一定の制限がかかります(15条2項)。詳しくお知りになりたい方は、次の記事をお読みください。

参考記事

利用目的の通知または公表の例外

次の4つの場合には、利用目的の通知または公表は不要となります。

第18条

4 前三項の規定は、次に掲げる場合については、適用しない。

一 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合

二 利用目的を本人に通知し、又は公表することにより当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合

三 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。

四 取得の状況からみて利用目的が明らかであると認められる場合

 

①利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合

具体的には、次のような事例が考えられます。

  • 病院が診療目的で患者の住所等の個人情報を取得した後、その患者が意識不明になり家族に至急連絡を取る必要が生じた場合
  • 児童虐待等に対応するために、児童相談所、学校、医療機関等の関係機関において、ネットワークを組んで対応する場合に、加害者である本人に対して当該本人の個人情報の利用目的を通知・公表することにより、虐待を悪化させたり、虐待への対応に支障等が生じたりするおそれがある場合(前掲ガイドライン3-2-4

②個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合

具体的には、暴力団等の反社会的勢力情報、疑わしい取引の届出の対象情報、業務妨害行為を行う悪質者情報等を、本人又は他の事業者等から取得したことが明らかになることにより、当該情報を取得した企業に害が及ぶ場合などが挙げられています(前掲ガイドライン3-2-4)。

また、調査会社の業務もこれにあたるのではないかと思われます。調査の対象となっている本人に調査をしていることを通知または公表することは、密行性の求められる調査業務を害するおそれがあるからです。

「個人情報取扱事業者の権利又は正当な利益」には、企業秘密のようなものも含まれます。

「害するおそれ」の「おそれ」の有無の判断は、一次的には、個人情報取扱事業者が行います。もっとも、個人情報取扱事業者の恣意的判断を容認するものではなく、一般的な蓋然性が必要で、客観的な利益衡量が必要とされます。立法時には、実際の運用にあたってガイドラインを活用するなどにより、可能な限り明確化していくことが望ましいとされました(前掲大綱3.個人情報取扱事業者(仮称)の義務等(1)利用目的による制限及び適正な取得)。

③国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合

「利用目的による制限」の場合と同様の規定です。

具体例として、警察が、公開手配を行わないで、被疑者に関する個人情報を、被疑者の立ち回りが予想される個人情報取扱事業者に限って提供した場合において、警察から当該個人情報を受け取った当該個人情報取扱事業者が、利用目的を本人に通知し、又は公表することにより、捜査活動に支障を及ぼすおそれがある場合が挙げられています(前掲ガイドライン3-2-4)。

「当該事務の遂行に支障を及ぼすおそれ」の「おそれ」の有無の判断は、一次的には、個人情報取扱事業者が負っています。

④取得の状況からみて利用目的が明らかであると認められる場合

本人がその利用目的を知っていると認められるので、本人への通知、公表は不要となります。

具体例としては、次のような場合があたります(前掲ガイドライン3-2-4)。

  • 商品・サービス等を販売・提供するに当たって住所・電話番号等の個人情報を取得する場合で、その利用目的が当該商品・サービス等の販売・提供のみを確実に行うためという利用目的であるような場合
  • 一般の慣行として名刺を交換する場合、書面により、直接本人から、氏名・所属・肩書・連絡先等の個人情報を取得することとなるが、その利用目的が今後の連絡のためという利用目的であるような場合(ただし、ダイレクトメール等の目的に名刺を用いることは自明の利用目的に該当しない場合があるので注意を要する。

*本投稿は、拙著『個人情報保護法 逐条分析と展望』青林書院(2003年)に、改正部分を加筆し修正したものです。

ぼちぼち改正個人情報保護法を読む-15条・16条(利用目的の特定・変更と制限)

個人情報の取扱いは利用目的によって制限されています(16条)。
利用目的をのちに自由に変更できるのでは、利用目的による制限を設けても意味がなくなりますので、利用目的の変更には限界があります(15条2項)。この利用目的の変更は、改正で緩やかになりました。

利用目的をめぐる一連の規定

個人情報の適正な取扱いを図る観点から、個人情報取扱事業者は、個人情報を取り扱う場合に、その利用目的をできる限り特定しなければならない義務を負っています(15条1項)。
個人情報保護法は、このように個人情報の利用目的の特定を求めているほか、取得に際して利用目的の通知等を要求し(18条)、利用目的以外の取扱いおよび第三者提供を制限する(16条・23条)など、利用目的を中心にすえて個人情報の保護を図ろうとしています。
また、利用目的を偽った取得は、「偽りの取得」にもなります(17条)。

レストランでランチを食べるときに、アラカルトではなくセットメニューを頼むことがありますよね。メイン料理にサラダとデザートとコーヒーがついてきて、とても満ち足りた気持ちになります。

法律の条文も同じです。1条ごとに正確に理解する必要がありますが、関連性のある条文はセットで検討しておくと理解が早まり、分かった感が増します。
今回の記事では、利用目的の特定と利用目的による制限を中心にまとめてみました。

利用目的の特定

条文

(利用目的の特定)

第15条 個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。

 

この条文は改正前後で変わっていません。

前述したように、利用目的を中心に個人情報の取扱いを図っているので、利用目的を前提とする規定を実効的に働かせるためには、その大前提である利用目的が特定される必要があります。

ここにいう「個人情報の取扱い」とは、個人情報の取得、保有、提供、利用その他個人情報の取扱いに関する一切の行為をいいます。この取扱いのすべての場面で、個人情報取扱事業は、利用目的をできる限り特定しなければなりません。

また、「利用目的」の中には、第三者に提供することも含まれます。

利用目的の具体性の程度

利用目的は、「できる限り」特定しなければなりません。

どの程度特定しなければならないかは、条文には記載がありませんが、個人情報の性質、利用方法、個人情報取扱事業者の事務の実施の必要性等が勘案された上で判断されるべきで、本人が利用の実態をも的確に認識できるよう可能な限り具体的であることが望ましいとされています(個人情報保護法制化専門委員会「個人情報保護基本法制に関する大綱」2基本原則(1)利用目的による制限)。

一般的にいえば、本人の受ける影響を予測できるように、個人情報取扱事業者が、個人情報をどのような業務に利用し、どのような目的に利用するかを、可能な限り具体的、個別的に明確にすることが必要でしょう(旧通産省「個人情報ハンドブック」収集範囲の制限)。たとえば、会社の目的に書かれるような目的では、本人の受ける影響を予測できず、妥当でないと指摘されています(個人情報保護法制化専門委員会第10回議事録新見委員発言参考)。

たとえ、個人情報取扱事業者の業種の内容から利用目的が予測できる場合であっても、利用目的を具体的に明確にする必要があるでしょう。

なお、「できる限り」とは、利用目的を一般的、抽象的に特定するのではなく、可能な限り具体的、個別的に特定することを求める趣旨に出ており、個人情報取扱事業者の利用目的を特定する義務を緩和する趣旨ではありません(藤原静雄「個人情報保護法案について」季刊行政管理研究95号(2001年)9頁)。

個人情報保護委員会の「個人情報の保護に関する法律についてのガイドライン(通則編)」では、「利用目的を単に抽象的、一般的に特定するのではなく、個人情報が個人情報取扱事業者において、最終的にどのような事業の用に供され、どのような目的で個人情報を利用されるのかが、本人にとって一般的かつ合理的に想定できる程度に具体的に特定することが望ましい。」と書かれています。

そして、ガイドラインは、具体的に利用目的を特定している事例として、事業者が商品の販売に伴い、個人から氏名・住所・メールアドレス等を取得するに当たり、「○○事業における商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせのために利用いたします。」と明示する例を挙げています(3-1-1)。

一方、具体的に利用目的を特定していない事例として、ガイドラインは、「事業活動に用いるため」、「マーケティング活動に用いるため」、「お客様のサービスの向上のため」を挙げています(3-1-1)。

利用目的の合法性・適正性の判断-届出制の是非

利用目的は、当然合法で適正なものでなければなりません。利用目的の合法性・適正性は、第1次的には個人情報取扱事業者が判断します。

これに対し、利用目的の合法性や適切性について届出制で判断する仕組みを取るという方向性が考えられます。しかし、個人情報保護法はこれを採用しませんでした。なぜなら、民間の全分野を通じて漏れなく登録・届出の義務を課せば、①民間事業者に対して、個人データを利用目的ごとの個人情報データベース等に区分して保有することを求めることとなり、本来自由であるべき事業活動を大幅に制約し、大きな負担を課すことになり、個人情報保護の重要性を考慮したとしてもなお問題が多いことや、②すべての業者について個人データの利用目的を全件登録するならば、新たな機関の設置が必要となり行政コストも大幅に増大するので、日本の現状にかんがみると現実的ではないからです(検討部会中間報告Ⅲ個人情報保護システムの在り方3基本法の意義※2全分野を通じた登録・届出制度について、個人情報保護法制化専門委員会第10回議事録)。

なお、行政機関個人情報保護法は、法運用の統一性および法適合性を確保する観点から、各行政機関が、総務大臣に対し、保有しようとする個人情報ファイルの名称、利用の組織の名称、利用目的、記録項目、記録範囲、記録情報、提供先等を事前に通知する制度が設けられています(10条)。これは、民間事業者と異なり、国の行政機関は事前規制が厳格であることを規定したものです(専門委員会第24回議事録藤井審議官説明)。

利用目的による制限

特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱う場合には、本人の同意を得なければなりません(16条1項)。この点については後述します。

取得に際しての利用目的の通知等

条文

第18条

1 個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。

 

個人情報の本人が利用目的に注目するのは、取得時です。自分の個人情報がどのように取り扱われるかが不明な会社には個人情報の提供をちゅうちょするのは当然でしょう。

特定された利用目的は、個人情報取扱者の内部において明確化されるだけでなく、個人情報において識別される本人が認識できる状態に置くことが望ましいとされます(前掲大綱2.基本原則(1)利用目的による制限)。

個人情報取扱事業者の正当な利益を害するおそれまたは業務の適正な実施に支障を及ぼすおそれがある場合等を除き、通知、公表等により少なくとも本人が容易に知り得る状態に置かれる必要があります(大綱3. 個人情報取扱事業者(仮称)の義務等(1)利用目的による制限及び適正な取得)。

そこで、個人情報取扱事業者は、個人情報を収集する場合は、あらかじめ利用目的を公表していることが望ましいとされます。公表していない場合には、個人情報取扱事業者は、取得後速やかに、利用目的を本人に通知するか、または公表する義務があります。

個人情報保護委員会の「個人情報の保護に関する法律についてのガイドライン(通則編)」は、本人への通知または公表が必要な事例として、次の3つを挙げています(3-2-3)。

  • インターネット上で本人が自発的に公にしている個人情報を取得した場合(単に閲覧しただけの場合を除く。)
  • インターネット、官報、職員録等から個人情報を取得した場合(単に閲覧しただけの場合を除く。)
  • 個人情報の第三者提供を受けた場合

利用目的の変更

さて、利用目的はいったん特定したら、変更はできないのでしょうか。
いいえ、個人情報保護法は、改正前から利用目的の変更を認めています。
改正により、利用目的の変更が以前より緩やかにできるようになりました。

条文

(利用目的の特定)

第15条
2 個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。

 

改正前の条文では、利用目的の変更については「相当の関連性を有すると合理的に認められる範囲」という限定がついていました。

これは、個人情報の利用目的の変更を無制限に認めてしまえば、目的によって拘束した意味は減殺されてしまうため、社会通念上、一般的に合理的と考えられる範囲を超えて利用目的を変更してはならないとされたものです(大綱3.個人情報取扱事業者(仮称)の義務等(1)利用目的による制限及び適正な取得)。

「相当の関連性を有すると合理的に認められる範囲」とは、①当初の利用目的との関連性があり全く関係のないものではないこと、かつ、②目的を変更することにより本人に不測かつ不当な権利利益の侵害を生じさせるおそれがないことの2つを考え合わせるべきであるとされていました(第24回議事録藤井審議官説明)。

改正の趣旨

しかし、この変更の制限は厳しいと理解されており、ビッグデータ時代における個人データの利活用のニーズに合致していないという指摘がなされるようになりました。
そこで、「相当の」という文言を削除し、当初の利用目的と関連性を有すると合理的に認められる範囲において機動的に利用目的の変更をすることを解釈・運用上可能としたものです。国会の審議では次のような説明がありました(第189回国会衆議院内閣委員会議録第4号15頁・2015年5月8日山口俊一国務大臣答弁。9頁にも同様の答弁あり)。

○山口国務大臣 委員御指摘のとおりで、現行法上、「利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない。」というふうに規定をされておりまして、この「相当の関連性」という文言につきましては、お話しのとおり、大変厳格な解釈、運用がされておるところであります。

一方、さまざまな情報通信技術の発達、あるいはビッグデータの収集、分析が可能になっていく中で、やはり、事業者の中には、取得をした個人情報、これを当初想定できなかった新事業とか新サービスで活用したいというニーズがあるわけでありますが、事業者がこれまでの厳格な解釈、運用を踏まえての利用をちゅうちょしておるものというふうに聞いております。

このため、今回の改正では「相当の」の部分を削除して、事業者が機動的に目的変更することを解釈、運用上、可能とするものでありますけれども、この変更できる利用目的の範囲につきましては、本人が通常予期し得る限度内であるというふうなことも想定をしております。

これによって、例えば電力会社が、顧客に省エネを促す目的で、家庭内の機器ごとの電気使用状況を収集して、その使用量等を分析して顧客に提示をしていた場合、あるいは、同じ情報を用いて家電制御技術の研究開発とか、その顧客の安否確認のサービスを行うということができるようにというふうなことが考えられるわけでございます。

いずれにしても、変更前の利用目的と関連性を有すると合理的に認められる範囲、これにつきましては、その詳細とか具体例につきましては、ガイドライン等で明確化をしていく予定にいたしております。

全く同じ答弁が、第189回国会衆議院内閣委員会議録6号14-15頁山口俊一国務大臣答弁、同参議院内閣委員会議録9号8頁向井治紀政府参考人答弁にあります。

質問が「相当」を削除した理由を聞くものなので、全く同一の答弁になるのは分かるのですが、これでは具体的にはどうなるのかという議論が深まる余地がありません。国会の審議を条文ごとに精査するように変えられないものでしょうか。

利用目的の変更が可能か否かの判断基準

上記の答弁に出てきたガイドラインを見てみると、

「変更前の利用目的と関連性を有すると合理的に認められる範囲」とは、変更後の利用目的が変更前の利用目的からみて、社会通念上、本人が通常予期し得る限度と客観的に認められる範囲ということだそうです(個人情報の保護に関する法律についてのガイドライン(通則編)3-1-2)。

また、「本人が通常予期し得る限度と客観的に認められる範囲」とは、本人の主観や事業者の恣意的な判断によるものではなく、一般人の判断において、当初の利用目的と変更後の利用目的を比較して予期できる範囲をいい、当初特定した利用目的とどの程度の関連性を有するかを総合的に勘案して判断されるとのことです(同上)。

残念ながら、ガイドラインは、現時点では具体例を挙げていません。

 

利用目的の変更の通知・公表

条文

第18条

3 個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。

 

改正前と同様に、個人情報取扱事業者は、利用目的を変更した場合には、変更された利用目的について、本人に通知するか、または公表しなければなりません(18条3項)。通知はメール等、公表はウェブサイトへの掲載などが考えられます。
具体的な方法については、個人情報保護委員会の「個人情報の保護に関する法律についてのガイドライン(通則編)」に書かれています(2-1-7、2-1-8)。
また、自身が対象事業者となっている認定個人情報保護団体の個人情報保護指針にも注意する必要があります。

たとえ、変更後に特定された利用目的の範囲が15条2項に照らして適法であったとしても、通知または公表がなされていない場合には、18条3項違反となりますので、通知または公表を忘れないようにしましょう。

通知・公表については、次の記事も参考にしてください。

参考記事

 

利用目的による制限

条文

第16条

1 個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。

 

個人情報取扱事業者は、特定した利用目的の達成に必要な範囲を超えて、個人情報を取り扱うことはできません。利用目的を特定しながら、その特定した利用目的の達成とは別な目的で個人情報を取り扱うならば、利用目的の特定の意味がなくなってしまいます。

利用目的の変更との関係

この「前条の規定により特定された利用目的」とは、変更された利用目的も入りますので、前述したとおり、利用目的の変更が以前よりも緩やかに行うことができるようになったことと対応して、この利用目的による制限も一定程度緩やかになったといえるのではないでしょうか。

それでは、個人情報取扱事業者が利用目的を変更した場合に、それが利用目的による制限に違反する事例とはどのような場合でしょうか。

個人情報保護法の改正の立法担当者によれば、「事業者が「変更前の利用目的と関連性を有すると合理的に認められる範囲」内であるとして当初の利用目的を変更して特定した利用目的で個人情報の取扱いを始めたものの、客観的にみると、変更後の利用目的は変更が許される範囲を超えていた場合」があたるそうです(瓜生和久『一問一答 平成27年改正個人情報保護法』65頁)。

取得・利用・保有・提供の各場面に適用

「個人情報を取り扱ってはならない」とありますので、個人情報の取得、保有、利用、提供の各場面に、この条文は適用されると考えられます。

①取得

取得についてですが、利用目的の達成に必要な範囲を超えて個人情報を収集することはできません。すなわち、個人情報の収集は必要最小限であるべきです。

具体例として、レンタルビデオショップの本人確認のための自動車免許証のコピーなどがあります(個人情報保護法制化専門委員会第10回議事録)。ビデオの貸出目的のためには、本人の氏名、住所を自動車免許証の記載を照合して確認すれば足りるにもかかわらず、自動車免許証のコピーはそれ以外の個人情報である本籍地をも取得することになり、利用目的の必要最小限の取得に違反することになります。

なお、利用目的を偽った取得は、適正な取得(17条)の「偽り・・・により個人情報を取得してはならない。」との規定に違反します。

②保有

保有については、比較的最近の国会の審議で次のような答弁があります(第187回参議院消費者問題に関する特別委員会議録第3号15頁・2014年11月5日越智隆雄大臣政務官答弁)。

○大臣政務官(越智隆雄君) 議員御指摘のような、自身の個人情報の削除要請など、消費者の声に応えていくことは必要だというふうに考えております。

現行の個人情報保護法の中では、個人情報の保存期限を定める規定はございませんけれども、一方で、将来にわたって利用される見込みもなく漫然と保存する個人情報については、利用目的による制限との関係から、速やかに消去、廃棄すべきものという趣旨の部分がございます。これは第十六条でございますが、「個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。」というふうに書かれております。

また、個人情報の保護に関する基本方針においては、自主的に利用停止などに応じるなど、本人からの求めに一層対応していくことについて事業分野ごとにガイドラインを作って、それを盛り込むということも求めているところでございまして、幾つかの省庁では既にガイドラインが定められているというところでございます。

消費者庁においても、事業者における個人情報の適切な取扱いが図られるように、引き続き必要な取組を行っていきたいというふうに考えております。

今回の改正で、データ内容の正確性の確保等(19条)の中に、「利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。」との規定が新設されました。この点で、利用目的による制限については、19条で対応することが多くなるかもしれません。

③利用

利用についてですが、上記ガイドラインは、同意が必要な具体例として、「就職のための履歴書情報をもとに、自社の商品の販売促進のために自社取扱商品のカタログと商品購入申込書を送る場合」を挙げているだけです(2-2-1)。

個人情報保護法が制定される前の旧通産省の「民間部門における電子計算機処理に係る個人情報保護ガイドライン」を解説した「個人情報保護ハンドブック」では、「収集目的の範囲を超えて」について、企業内のある部門が収集した情報を同一企業内の他の部門が利用する場合には、「収集目的」の記載内容にもよるが、一般的に情報主体が想定しないような部門が利用する場合には、たとえ同一企業内であっても収集目的の範囲外として改めて情報主体の事前の了解を得ることが必要であると考えられる。」と書かれていました。

しかし、この記述は、個人情報保護法が制定された後の経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」(2004年10月)およびその後の一連のガイドラインには載っていません。個人情報保護委員会の上記のガイドラインと同じ記載があるだけです。このため、経済産業省では、同一企業内の他部門の利用については、「個人情報保護ハンドブック」よりも緩やかに解釈していたのではないかと思われます。

前述したように、利用目的の変更がより緩やかにできるようになった関係で、利用目的による制限もより緩やかになると思われます。

④提供

利用による制限については、個人情報取扱事業者内の利用に目が向きがちですが、利用目的に「第三者への提供」を挙げていないにもかかわらず、個人データを第三者に提供すれば、利用目的による制限の違反にあたることに注意が必要です。

事業の承継

条文

第16条

2 個人情報取扱事業者は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。

 

個人情報取扱事業者が、合併、分社化、営業譲渡等により他の個人情報取扱事業者から事業の承継をする際に個人情報を取得した場合は、承継前の利用目的の達成に必要な範囲内で取り扱う場合は目的外利用にはなりません。したがって、本人の同意を得る必要はありません。

本人の同意を不要とする場合

条文

第16条

3 前2項の規定は、次に掲げる場合については、適用しない。

一 法令に基づく場合

二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。

三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。

四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

 

利用目的を超えた利用であっても、本人の同意が必要とされない例外的な場合があります。上記の4つの場合です。この規定は改正前と同じですので、実務に変更はありません。

それぞれの具体的な事例については、「個人情報の保護に関する法律についてのガイドライン(通則編)」が分かりやすく充実した事例を挙げています。これに加えて、特定分野のガイドラインでは、事業の内容に即した事例が挙げられていますので併せて確認しておくとよいでしょう。

利用目的の変更・利用目的による制限の違反

個人情報取扱事業者が、利用目的の変更や利用目的による制限に違反した場合、個人情報保護委員会は監督機能を発揮することが期待されています。個人情報保護委員会が、個人情報取扱事業者の個人情報の不適正な取扱いを認知するのは、本人から苦情を受けたり、個人情報取扱事業者の利用目的の公表内容などから問題点を見つけたりすることが考えられます。その場合、任意に事情を聴くほか、必要に応じて報告徴収や立入検査により事実関係を確認します(40条)。また、必要な限度で、指導および助言をすることができます(41条)。個人情報の取扱いに問題があれば、是正のための勧告を行い(42条1項)、それに違反する場合には、一定の場合に勧告の措置をとるよう命令を出すこともできます(42条2項)。さらに、個人の重大な権利利益を害する事実があるため緊急に措置をとる必要があると認めるときには、違反行為の中止その他違反を是正するために必要な措置をそるべきことを命ずることができます(42条3項)。

本人による利用の停止・削除請求

個人情報取扱事業者が、本人の同意を得ないで、利用目的の達成に必要な範囲を超えて個人情報を取り扱った場合、本人は当該事業者に対し、その個人情報(個人データ)の利用の停止または消去を請求することができます(30条)。
*本投稿は、拙著『個人情報保護法 逐条分析と展望』青林書院(2003年)に、改正部分を加筆し、関連条文を盛り込み、修正したものです。