法務・税務・労務などの問題解決エンジン
some system placed here.

企業の個人情報管理と個人情報保護法~その1~

  • このエントリーをはてなブックマークに追加

個人情報漏洩事件

 今、通信教育大手「ベネッセコーポレーション」から、判明しているだけでも約2300万件という大量の顧客情報が流出した問題が注目を浴びています。インターネット通販等が普及する今日、顧客等の個人情報は企業にとって最大の資産であり、それゆえに情報を流出・売却して不当な利益をあげようとする者が後を絶ちません。
 このような個人情報の流出のリスクは、ベネッセに限らず、どの企業にもつきまといます。そこで今回は、企業のデータベース運用に伴う社内ルールの再点検の必要性を考えるうえで有用となる範囲で、個人情報の保護に関する法律(以下、「個人情報保護法」といいます。)について解説します。

※個人情報保護法では、行政機関や独立行政法人といった公的部門の保有する個人情報に関する規制と、個人情報取扱事業者という民間部門の保有する個人情報に関する規制とに分かれています。
今回は、民間部門に関する規定に焦点を当ててみていきます。

 

個人情報保護法の目的

 個人情報保護法は、情報化の急速な進展によって個人の権利利益の侵害の危険性が高まったことから、「個人の権利利益を保護」することを1つの目的としています。

 もっとも、個人情報の活用による有用性は否定できないことから、法は「個人情報の有用性に配慮」することをも目的として掲げています(個人情報保護法1条)。

 つまり、個人情報保護法の目的は、「個人の権利利益の保護」と「個人情報の有用性」のバランスを図ることを目的としているのです。個人情報であれば何でも保護されると誤解されがちですが、あくまで個人情報の有用性とのバランスの下で保護されるものであるという点に注意が必要です。

 

義務対象となる「個人情報」とは

 では、取扱いに気をつけるべき「個人情報」とは、いかなる情報をさすのでしょうか。
 個人情報保護法における「個人情報」とは、「生存する個人に関する情報であって、特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)」をいいます(個人情報保護法2条1項)。

 たとえば死者に関する情報や、法人に関する情報(企業名や企業の資本金といった情報など)は、原則として「個人情報」に該当しません。
 また、メールアドレスでも、その中に個人の氏名等が含まれているものや、ユーザー名やドメインから特定の個人を識別することができる場合には、「個人情報」に該当します。
 さらに、カメラ等で撮影した映像や音声であっても、それによって特定の個人を識別できる場合には「個人情報」に該当します。そのため、動画等の取扱いには注意が必要です。
そして、顧客情報だけではなく、従業員に関する情報も「個人情報」に該当します。
 また、「個人情報」として保護されるかは、新聞やインターネット等で既に公表されている情報か否かを問いません。公知の情報であっても取扱いの態様によっては個人の権利利益を侵害するおそれがあるためです。

 今回ベネッセから流出した情報は、「郵便番号」や「住所」、「保護者氏名」のほかに、「子どもの名前」や「子どもの生年月日・性別」が含まれていたため、まさに特定の個人を識別することができる「個人情報」に該当するものであったといえます。

 

義務が課される「個人情報取扱事業者」とは

 ここでもすべての事業者が規制の対象となるわけではありません。
個人情報保護法における「個人情報取扱事業者」とは、5000人分を超える個人情報をデータベース化して事業活動に利用している者をさします(個人情報保護法2条3項5号)。
そのため、たとえば事業活動に利用している個人情報が5000人分以下の民間事業主や、そもそも事業活動をしていない一般私人は、規制の対象外です。

 

「個人情報取扱事業者」の守るべき義務の内容

 「個人情報取扱業者」には、「個人情報」に関して、以下①から④の各段階において、以下のような義務を守る必要があります。

①利用目的 → ②取得 → ③保存・管理 → ④第三者への提供

 

【①個人情報の利用目的の特定(個人情報保護法15条)、目的外利用の禁止(同法16条)】
 個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的をできる限り特定しなければなりません(個人情報保護法15条)。ここでいう「できる限り特定」するとは、個人情報取扱事業者が、個人情報をどのような目的で利用するかについて明確な認識を持つことができ、個人情報の本人にとっても、自己の個人情報がどのように取り扱われるかを予測できる程度に特定されている、という趣旨です。
 したがって、たとえば何の例示もなく「顧客サービスの向上のため」とだけ包括的に定めただけでは、本人にとって自己の個人情報がどのように取り扱われるかを予測できないため、利用目的の特定性を欠くと判断される可能性が高いといえます。

 また、個人情報取扱業者は、あらかじめ本人の同意を得ないで、特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはなりません(同法16条1項)。これは、予測に反して個人の権利利益が害されることがないようにするためです。

 

【②適正な取得(個人情報保護法17条)、取得時の利用目的の通知等(同法18条)】
 個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはなりません(同法17条)。

 また、個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければなりません(同法18条1項)。
 そして、本人から直接書面で個人情報を取得する場合には、あらかじめ本人に利用目的を明示しなければなりません(同条2項)。ここでいう「明示」は、本人の目に留まるように明記する等、事業の性質や個人情報の取得状況に応じ、利用目的の内容が本人に認識される合理的かつ適切な方法によることを要します。

 

企業の個人情報管理と個人情報保護法~その2~

 

参考記事:
企業が従業員の電子メールを閲覧・管理する権限
企業におけるオンラインストレージサービス利用の法的リスクと対応
BYOD(Bring Your Own Device)の法的リスクと対応

 

本記事は、2014年07月28日公開時点での情報です。個々の状況によっては、結果や数値が異なる場合があります。特別な事情がある場合には、専門家にご相談ください。
ご自身の責任のもと安全性・有用性を考慮してご利用いただくようお願い致します。


この記事のアドバイザー

yoshida 吉田秀平

弁護士

上場企業の総務・法務を担当した経験を活かして、中小企業、ベンチャー企業、スタートアップの支援をさせて頂きたく思っています。訴訟になる前に、リスクが顕在化する前に、低コストで高い効果の予防法務サービスを提供することが目標です。

  • 所属:しぶや総和法律事務所


新着記事
公式Facebookページ 公式Facebookページ
誰に何と相談していいかわからない方へ
050-7576-0762
[日本法規情報]
  • 平日10:00~20:00
  • 土日祝終日、受付のみ対応

誰に何と相談していいかわからないあなた。
私達が相談相手探しのお手伝いをいたします。

無料相談・全国対応 050-7576-0762 お電話ボタン