個人情報保護法

個人情報取扱事業者の義務等

※丸数字は OECD 8原則に対応

• ①利用目的の特定（個人情報15条）
• ②
  • ⑴利用目的による利用の制限（個人情報16条）

    あらかじめ本人の同意を得ずに利用目的達成に必要な範囲を超えて個人情報を取り扱ってはならない（例外あり★）

  • ⑵第三者提供の制限（個人情報23条～26条）
    • あらかじめ本人の同意を得ずに個人データを第三者に提供してはならない（例外あり★）
    • 外国の第三者に個人データを提供する場合，その旨の本人の同意を得なければならない
    • 個人データを第三者に提供したときは，これに係る所定の記録を作成しなければならない
    • 第三者から個人データの提供を受ける場合，当該第三者について所定の確認をしなければならない
• ③適正な取得（個人情報17条）
  • 不正の手段により個人情報を取得してはならない
  • あらかじめ本人の同意を得ずに要配慮個人情報を取得してはならない（例外あり★）
• ④データ内容の正確性の確保等（個人情報19条）

  個人データを正確かつ最新の内容に保つとともに，利用の必要がなくなったときは遅滞なく当該個人データを消去するよう努めなければならない

• ⑤安全管理措置＆従業者・委託先の監督（個人情報20条～22条）
• ⑥
  • ⑴利用目的の通知等（個人情報18条）
  • ⑵保有個人データに関する事項の公表等（個人情報27条）
• ⑦開示・訂正等・利用停止等とこれらの手続（個人情報31条～34条）
  • ⒜本人による個人データの開示請求（個人情報28条）

    ⇒原則開示義務

    例外：　全部または一部の不開示

    • 本人または第三者の生命・身体・財産その他の権利利益を害するおそれがある場合
    • 個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
    • 他の法令に違反することとなる場合
  • ⒝個人データの内容が事実でないとき　

    ☞本人による訂正・追加・削除の請求（個人情報29条）

    ⇒利用目的達成に必要な範囲内において，調査→訂正等

  • ⒞
    • ⅰ利用制限・収集制限に違反して利用・収集されているとき　

      ☞本人による利用停止・消去の請求

    • ⅱ第三者提供制限に違反して提供されているとき　

      ☞本人による提供停止の請求（個人情報30条）

    ⇒違反是正に必要な限度で利用停止・消去・提供停止

• ⑧苦情処理（35条）

匿名加工情報に関する義務

• ①個人情報取扱事業者が匿名加工情報を作成する際の義務（個人情報36条）
  • ⑴個人情報が復元できないような加工
  • ⑵削除した記述等・個人識別符号ならびに加工方法に関する情報漏洩防止措置
  • ⑶匿名加工情報に含まれる個人に関する情報の項目の公表
  • ⑷第三者提供される情報の項目およびその提供方法の公表等
  • ⑸個人識別のための匿名加工情報と他の情報との照合の禁止
  • ⑹安全管理のための必要な措置，苦情処理，適正な取扱いを確保するための必要な措置等
• ②匿名加工情報取扱事業者の義務
  • ⑴第三者提供される情報の項目およびその提供方法の公表等（個人情報37条）
  • ⑵個人識別を目的とした削除事項・加工方法に関する情報取得および他の情報との照合の禁止（個人情報38条）
  • ⑶安全管理措置（個人情報39条）

行政処分と民間団体

• ①個人情報保護委員会（内閣府設置法に基づく行政機関＝個人情報59条）

  個人情報取扱事業者＆匿名加工情報取扱事業者に対して……

  • 報告・資料提出の求め
  • 事務所等への立入り，質問，検査
  • 指導・助言（行政指導）
  • ⑴個人情報保護委員会による勧告

    違反行為の中止，違反是正に必要な措置を取るべき旨

  • ⑵個人情報保護委員会による命令

    上記⑴に対して正当理由なく措置を取らなかった場合＆

    個人の重大な権利利益を害する事実があるため緊急に措置を取る必要があると認めるとき

    • ※個人情報保護委員会は一部の権限（報告等の求め、立入り・質問等）を事業所管大臣に委任できる
    • ※個人情報保護委員会の命令違反　⇒罰則（個人情報84条・85条）
  • ⑶その他の罰則
    • 個人情報保護委員会の秘密保持義務違反（個人情報82条）
    • 個人情報取扱事業者による個人情報データベース等の不正利用等（個人情報83条）
    • 個人情報の提供を受ける第三者の虚偽報告
    • 認定個人情報保護団体の詐称、業務廃止届出違反（個人情報88条）
• ②認定個人情報保護団体

  民間団体が苦情処理や事業者への情報提供等を行う

適用除外

個人情報取扱事業者だが義務規定の適用なし

• ⑴報道機関の報道目的
• ⑵著述業者の著述目的
• ⑶大学・学術研究機関の学術研究用の目的
• ⑷宗教団体の宗教活動用の目的
• ⑸政治団体の政治活動用の目的

関連事例

• 最判平29・10・23 平成28年(受)第1892号（ベネッセ個人情報流出事件）
  • [1] 事実の概要

    Ｘ（原告・被訴人・上告人）は未成年者Ａの保護者であり，Ｙ（株式会社ベネッセコーポレーション＝被告・被控訴人・被上告人）は通信教育等を目的とする会社である。

    Ｙは，Ａの氏名，性別，生年月日，郵便番号，住所および電話番号ならびにＡの保護者としてのＸの氏名といったＸに係る個人情報（本件個人情報）を管理していたところ，Ｙのシステムの開発，運用を行っていたＢ社（株式会社シンフォーム＝Ｙのグループ会社）の業務委託先の従業員であったＣが，平成26年（2014年）6月，ＹのデータベースからＹの顧客等に係る大量の個人情報（本件個人情報を含む）を不正に持ち出し，これらの個人情報の全部または一部を複数の名簿業者に売却するという事件が発生した（参考：東京高判平29・3・21 平成28(う)第974号）。

    この事件の発覚を受けてＹは，平成26年7月，経済産業大臣から個人情報保護法32条に基づく報告を命じられ，その後情報漏洩の確認された顧客らにお詫びの文書を送付し，さらに当該顧客らに対してお詫びの品として500円分の金券等を送付する方法等による補償を実施したが，Ｘは上記金券を得る方法を選択せず，Ｙの個人情報管理に注意義務違反があったなどとして10万円余の損害賠償を求めて提訴した。

    第一審（神戸地裁姫路支部平成27年(ﾜ)第424号）判決は，Ｘの氏名の漏洩がＹの過失によるものであることを基礎付けるに足りる具体的事情の主張立証がないとして請求棄却。原審（東京高判平28・6・29 平成28年(ﾈ)第37号）は，Ｘの個人情報の漏洩は，通常人の一般的な感覚に照らして，不快感のみならず，不安を抱くことがあるものであると認めながら，そのような不快感等を抱いただけでは，これを被侵害利益として，直ちに損害賠償を求めることはできないものと解されるとして，上記の不快感等を超える損害を被ったことについての主張立証がないことを理由に控訴を棄却した。Ｘが上告。

  • [2] 判旨

    破棄差戻し

    本件個人情報は，Ｘのプライバシーに係る情報として法的保護の対象となるというべきであるところ（最高裁平成……15年9月12日第二小法廷判決・民集57巻8号973頁〔江沢民早大講演会訴訟＝外国国賓講演会の出席希望者に大学が提出させた個人情報につき，秘匿されるべき必要性は必ずしも高くないがプライバシーに係る情報として法的保護に値するものであるところ，これを大学が本人に無断で警察に開示した行為が不法行為を構成するとされた事例〕参照），上記事実関係によれば，本件漏えいによって，Ｘは，そのプライバシーを侵害されたといえる。

    ※差戻後の控訴審（大阪高判令1・11・20 平成29年(ﾈ)第2612号）は，損害賠償の一部（1000円および遅延損害金）を認容する判決をなした。