情報法(法情報学): 第5講
個人情報保護制度 Part 2
個人情報保護法
個人情報取扱事業者・個人関連情報取扱事業者の義務等
※丸数字は OECD 8原則 に対応
- ①利用目的の特定(個人情報17条)
- ②
- ⑴利用目的による利用の制限(個人情報18条)
あらかじめ本人の同意を得ずに利用目的達成に必要な範囲を超えて個人情報を取り扱ってはならない(例外あり★)
- ⑵第三者提供の制限(個人情報27条~31条)
- あらかじめ本人の同意を得ずに個人データを第三者に提供してはならない(例外あり★)
- 外国の第三者に個人データを提供する場合,その旨の本人の同意を得なければならない
- 個人データを第三者に提供したときは,これに係る所定の記録を作成しなければならない
- 第三者から個人データの提供を受ける場合,当該第三者について所定の確認をしなければならない
- 第三者が個人関連情報を個人データとして取得することが想定される場合,個人関連情報取扱事業者は所定の確認をしないで提供してはならない
- ⑴利用目的による利用の制限(個人情報18条)
- ③適正な取得(個人情報20条)
- 不正の手段により個人情報を取得してはならない
- あらかじめ本人の同意を得ずに要配慮個人情報を取得してはならない(例外あり★☆)
- ④データ内容の正確性の確保等(個人情報22条)
個人データを正確かつ最新の内容に保つとともに,利用の必要がなくなったときは遅滞なく当該個人データを消去するよう努めなければならない
- ⑤
- ⑴安全管理措置&従業者・委託先の監督(個人情報23条~25条)
- ⑵個人データの漏洩・滅失・毀損等があった際の個人情報保護委員会への報告等(個人情報26条)
- ⑥
- ⑴利用目的の通知・公表(個人情報21条)
- ⑵保有個人データに関する事項の公表等(個人情報32条)
- ⑦開示・訂正等・利用停止等とこれらの手続(個人情報33条~39条)
- ⒜本人による個人データの開示請求(個人情報33条)
⇒原則開示義務
例外: 全部または一部の不開示
- 本人または第三者の生命・身体・財産その他の権利利益を害するおそれがある場合
- 個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
- 他の法令に違反することとなる場合
- ⒝個人データの内容が事実でないとき
☞本人による訂正・追加・削除の請求(個人情報34条)
⇒利用目的達成に必要な範囲内において,調査→訂正等
- ⒞
- ⅰ利用制限・収集制限に違反して利用・収集されているとき
☞本人による利用停止・消去の請求
- ⅱ第三者提供制限に違反して提供されているとき
☞本人による提供停止の請求(個人情報35条)
⇒違反是正に必要な限度で利用停止・消去・提供停止
- ⅰ利用制限・収集制限に違反して利用・収集されているとき
- ⒜本人による個人データの開示請求(個人情報33条)
- ⑧苦情処理(40条)
- 例外★:
- 法令に基づく場合
- 人の生命・身体・財産の保護のため必要がある場合で,本人の同意を得ることが困難であるとき
- 公衆衛生向上または児童の健全な育成推進のため特に必要がある場合で,本人の同意を得ることが困難であるとき
- 行政機関等の法令所定事務の遂行に対して協力する必要がある場合で,本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
- 当該個人情報取扱事業者が学術研究機関等である場合で,当該個人情報を学術研究目的で取り扱う必要があるとき〔㊟〕
- 学術研究機関等に個人データを提供する場合で,当該学術研究機関等が当該個人データを学術研究目的で取り扱う必要があるとき〔㊟〕
- ㊟目的の一部が学術研究目的である場合を含み,個人の権利利益を不当に侵害するおそれがある場合を除く
- 例外☆:
- 当該要配慮個人情報が,本人・行政機関・学術研究機関等・適用除外対象者(報道機関等)・外国政府・国際機関等により公開されている場合(施行規則6条)
- その他上記に準ずる政令所定の場合(本人を目視・撮影することで外形上明らかな要配慮個人情報を取得する場合など)(施行令9条)
仮名加工情報に関する義務
- ①仮名加工情報取扱事業者の義務(個人情報41条)
- ⑴他の情報と照合しない限り個人情報が復元できないような加工
- ⑵削除した記述等・個人識別符号ならびに加工方法に関する情報(=削除情報等)の漏洩防止措置
- ⑶利用目的の達成に必要な範囲を超える仮名加工情報の取扱いの禁止
- ⑷仮名加工情報の利用目的の公表
- ⑸仮名加工情報である個人データおよび削除情報等が不要になった場合の消去努力義務
- ⑹仮名加工情報である個人データの第三者提供の制限
- ⑸個人識別のための仮名加工情報と他の情報との照合の禁止
- ⑹架電・郵送その他の送信または住居訪問のために仮名加工情報に含まれる連絡先等を利用することの禁止
- ※仮名加工情報等については,利用目的変更の制限(個人情報17条),漏洩等の報告(同26条)ならびに公表および開示・訂正等・利用停止等(同32条以下)は適用除外となる(個人情報41条9項)
- ②個人情報を除く仮名加工情報を第三者に提供することの制限等(個人情報42条)
匿名加工情報に関する義務
- ①個人情報取扱事業者が匿名加工情報を作成する際の義務(個人情報43条)
- ⑴個人情報が復元できないような加工
- ⑵削除した記述等・個人識別符号ならびに加工方法に関する情報漏洩防止措置
- ⑶匿名加工情報に含まれる個人に関する情報の項目の公表
- ⑷第三者提供される情報の項目およびその提供方法の公表等
- ⑸個人識別のための匿名加工情報と他の情報との照合の禁止
- ⑹安全管理のための必要な措置,苦情処理,適正な取扱いを確保するための必要な措置等
- ②匿名加工情報取扱事業者の義務
- ⑴第三者提供される情報の項目およびその提供方法の公表等(個人情報44条)
- ⑵個人識別を目的とした削除事項・加工方法に関する情報取得および他の情報との照合の禁止(個人情報45条)
- ⑶安全管理措置(個人情報46条)
行政処分と民間団体
- ①個人情報保護委員会(内閣府設置法に基づく行政機関=個人情報130条)
個人情報取扱事業者・仮名加工情報取扱事業者・匿名加工情報取扱事業者・個人関連情報取扱事業者に対して……
- 報告・資料提出の求め
- 事務所等への立入り,質問,検査
- 指導・助言(行政指導)
- ⑴個人情報保護委員会による勧告
違反行為の中止,違反是正に必要な措置を取るべき旨
- ⑵個人情報保護委員会による命令
上記⑴に対して正当理由なく措置を取らなかった場合&
個人の重大な権利利益を害する事実があるため緊急に措置を取る必要があると認めるとき
- ※個人情報保護委員会は一部の権限(報告等の求め、立入り・質問等)を事業所管大臣に委任できる
- ※個人情報保護委員会の命令に違反 ⇒罰則(個人情報178条)
- ⑶その他の罰則
- 個人情報保護委員会の秘密保持義務違反(個人情報177条)
- 個人情報取扱事業者による個人情報データベース等の不正利用等(個人情報179条)
- ②認定個人情報保護団体
民間団体が苦情処理や事業者への情報提供等を行う
適用除外
個人情報取扱事業者&個人関連情報取扱事業者だが義務規定の適用なし(個人情報57条)
- ⑴報道機関(個人を含む)の報道目的
- ⑵著述業者の著述目的
- ⑶宗教団体の宗教活動(付随活動を含む)用の目的
- ⑷政治団体の政治活動(付随活動を含む)用の目的
- ※令和3年改正法までは「大学・学術研究機関の学術研究用の目的」についても一律で適用除外とされていたが,同改正により個別に規定されるようになった。
関連事例
- 最判平29・10・23 平成28年(受)第1892号(ベネッセ個人情報流出事件)
- [1] 事実の概要
X(原告・被訴人・上告人)は未成年者Aの保護者であり,Y(株式会社ベネッセコーポレーション=被告・被控訴人・被上告人)は通信教育等を目的とする会社である。
Yは,Aの氏名,性別,生年月日,郵便番号,住所および電話番号ならびにAの保護者としてのXの氏名といったXに係る個人情報(本件個人情報)を管理していたところ,Yのシステムの開発,運用を行っていたB社(株式会社シンフォーム=Yのグループ会社)の業務委託先の従業員であったCが,平成26年(2014年)6月,YのデータベースからYの顧客等に係る大量の個人情報(本件個人情報を含む)を不正に持ち出し,これらの個人情報の全部または一部を複数の名簿業者に売却するという事件が発生した(参考:東京高判平29・3・21 平成28(う)第974号)。
この事件の発覚を受けてYは,平成26年7月,経済産業大臣から個人情報保護法32条に基づく報告を命じられ,その後情報漏洩の確認された顧客らにお詫びの文書を送付し,さらに当該顧客らに対してお詫びの品として500円分の金券等を送付する方法等による補償を実施したが,Xは上記金券を得る方法を選択せず,Yの個人情報管理に注意義務違反があったなどとして10万円余の損害賠償を求めて提訴した。
第一審(神戸地裁姫路支部平成27年(ワ)第424号)判決は,Xの氏名の漏洩がYの過失によるものであることを基礎付けるに足りる具体的事情の主張立証がないとして請求棄却。原審(東京高判平28・6・29 平成28年(ネ)第37号)は,Xの個人情報の漏洩は,通常人の一般的な感覚に照らして,不快感のみならず,不安を抱くことがあるものであると認めながら,そのような不快感等を抱いただけでは,これを被侵害利益として,直ちに損害賠償を求めることはできないものと解されるとして,上記の不快感等を超える損害を被ったことについての主張立証がないことを理由に控訴を棄却した。Xが上告。
- [2] 判旨
破棄差戻し
本件個人情報は,Xのプライバシーに係る情報として法的保護の対象となるというべきであるところ(最高裁平成……15年9月12日第二小法廷判決・民集57巻8号973頁〔江沢民早大講演会訴訟=外国国賓講演会の出席希望者に大学が提出させた個人情報につき,秘匿されるべき必要性は必ずしも高くないがプライバシーに係る情報として法的保護に値するものであるところ,これを大学が本人に無断で警察に開示した行為が不法行為を構成するとされた事例〕参照),上記事実関係によれば,本件漏えいによって,Xは,そのプライバシーを侵害されたといえる。
※差戻後の控訴審(大阪高判令1・11・20 平成29年(ネ)第2612号)は,損害賠償の一部(1000円および遅延損害金)を認容する判決をなした。
- [1] 事実の概要