個人情報保護法とは
個人情報保護法とは、個人情報を取り扱う民間事業者の遵守すべき義務等を定める法律をいいます。
2003年に成立した法律ですが、2017年に改正法が施行されています。
【改正の背景】
近年、ITの進化によって、ビッグデータの収集・分析が可能となっています。ビッグデータは、新たな産業を創出し、日本経済の発展に役立つと期待されています。
他方で、ITの活用によって、個人情報が悪用されたり、プライバシーが侵害されることが懸念されています。
消費者の立場からすると、個人情報は適正に取り扱われ、安心・安全を確保することが重要です。
また、経済・社会活動のグローバル化に伴い、個人情報を含むデータの国境を越えた流通が増えており、国際的にも個人情報を保護しつつ、円滑なデータ流通を確保することが求められています。
このような状況を踏まえ、2017年5月に改正個人情報保護法が施行されることとなりました。
大きな改正点として、従来は保有する個人情報が5000人を超えるものに限られていましたが、改正後は、個人情報の保有件数にかかわらず、個人情報データベース等を事業の用に供する者はすべて「個人情報取扱事業者」に該当することとなりました。
この改正によって、ほとんどの事業者が「個人情報取扱事業者」に該当することになったと考えられます。
個人情報保護法に違反する場合とは
利用目的の特定(法15条)
個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用目的をできる限り特定しなければなりません。
したがって、利用目的が抽象的な場合は、個人情報保護法違反となります。
例えば、以下の場合は違反と考えられます。
「事業活動に用いるため」
「お客様のサービスの向上のため」
反対に、以下ようなの場合、利用目的を具体的に特定していると考えられます。
「当社の◯◯事業の新商品に関する情報のお知らせのために利用します。」
目的外での利用禁止(法16条)
個人情報取扱事業者は、利用目的の達成に必要な範囲を超えて、個人情報を取り扱う場合、あらかじめ本人の同意を得なければなりません。
なお、同意を得るために個人情報を利用すること(メールの送信や電話をかけること等)は、当初特定した利用目的として記載されていない場合でも、目的外利用には該当しません。
個人情報の適切な取得(法17条)
個人情報取扱事業者は、偽り等の不正の手段により個人情報を取得してはなりません。
例えば、以下の場合は違反と考えられます。
・個人情報の利用目的等について、意図的に虚偽の情報を示して個人情報を取得する場合
・他の事業者に指示して不正の手段で個人情報を取得させる場合
個人情報の取得時の通知義務(法18条)
個人情報取扱事業者は、個人情報を取得した場合、原則として、速やかに、その利用目的を、本人に通知し、又は公表しなければなりません。
例外として、あらかじめその利用目的を公表(注)している場合、通知等の義務はありません(法18条1項)。
注:「公表」とは、不特定多数の人々が知ることができるように発表することです。
以下の場合は、公表していると考えられます。
・ホームページのトップページから1回程度の操作で到達できるページに掲載している場合
・店舗等、顧客が訪れることが想定される場所におけるポスター等の掲示、パンフレット等の備置きや配布
【書面等による取得の場合は明示義務がある】
契約書その他の書面(懸賞応募はがき等)による記載、ネット上(ユーザー入力画面)への打ち込み等により、直接本人から個人情報を取得する場合、原則として、あらかじめ、その利用目的を明示(注)しなければなりません(法18条2項)。
この場合、あらかじめ利用目的を公表していたとしても、明示義務を免れないので注意が必要です。
具体的には、以下のようなケースが考えられます。
・本人の氏名等が記載された申込書等を本人から取得する場合
・氏名等が記載されたアンケートを本人から取得する場合
・ホームページからイベント参加希望者の氏名等を取得する場合
注:利用目的の明示とは以下のような場合が考えられます。
・利用目的を明記した契約書等の書面を本人に手渡し、又は送付する場合
・本人がアクセスした自社のホームページ上に利用目的を明示する場合
【利用目的を通知しなくて良い場合がある】
以下のいずれかに該当する場合、利用目的を通知する必要がありません(法18条4項)。
ⅰ 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
ⅱ 事業者の権利又は正当な利益を害するおそれがある場合
ⅲ 国の機関等の事務を遂行することに対して協力する必要がある場合であって、当該事務の遂行に支障を及ぼすおそれがあるとき。
ⅳ 取得の状況からみて利用目的が明らかであると認められる場合(注)
注:問題となるケース(名刺を交換する場合)
名刺交換も書面等によって個人情報を取得する場合に該当します。この場合、今後の連絡のためという利用目的であるような場合は、「取得の状況からみて利用目的が明らか」であると評価できます。
しかし、ダイレクトメール等の目的に名刺を取得する場合、該当しない場合があるので注意が必要です。
安全管理措置(法20条)
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければなりません。
従業者への監督義務(法21条)
個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たって、上記⑤の安全管理措置を遵守させるよう、当該従業者に対し必要かつ適切な監督をしなければなりません。
「必要かつ適切な監督」については、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱状況等に起因するリスクに応じて、個人データを取り扱う従業者に対する教育、研修等の内容及び頻度を充実させるなど、必要かつ適切な措置を講ずることが望ましいとされています。
委託先への監督義務(法22条)
個人データの取扱いの全部又は一部を委託する場合、委託先において個人データについて安全管理措置が適切に講じられるよう、必要かつ適切な監督をしなければなりません。これは、⑤の安全管理措置と同等の措置を講じる必要があります。
【必要かつ適切な措置の中身】
ⅰ 適切な委託先の選定
委託先の選定にあたっては、当該委託先において安全管理措置が確実に実施されていることを確認する。
ⅱ 委託契約の締結
必要かつ適切な安全管理措置として、委託元、委託先双方が同意した内容とともに、委託先における委託された個人データの取扱状況を委託元が合理的に把握することを盛り込むことが望ましい。
ⅲ 委託先における個人データ取扱状況の把握
委託先に対して定期的に監査を行う。委託先が再委託を行おうとする場合は、委託を行う場合と同様、再委託する相手方、再委託する業務内容、再委託先の個人データの取扱方法等について、委託先から事前報告を受け又は承認を行うこと、及び委託先を通じて又は必要に応じて自らが、定期的に監査を実施する。
第3者提供の制限(法23条)
個人情報取扱事業者は、原則的に、あらかじめ本人の同意を得た場合以外には、第3者に個人データを提供することができません。
例えば、以下の行為は違反と考えられます。
・子会社が親子会に個人データを提供する行為
・フランチャイズ組織の加盟店が本部に個人データを提供する行為
【本人同意が不要な場合】
以下のいずれかに該当する場合、本人の同意を要しません。
ⅰ 法令に基づいて個人データを提供する場合
ⅱ 人(法人を含む。)の生命、身体又は財産といった具体的な権利利益が侵害されるおそれがあり、これを保護するために個人データの提供が必要であり、かつ、本人の同意を得ることが困難である場合
ⅲ 公衆衛生の向上又は心身の発展途上にある児童の健全な育成のために特に必要な場合であり、かつ、本人の同意を得ることが困難である場合
ⅳ 国の機関等が法令の定める事務を実施する上で、民間企業等の協力を得る必要がある場合であって、協力する民間企業等が当該国の機関等に個人データを提供することについて、本人の同意を得ることが当該事務の遂行に支障を及ぼすおそれがある場合
保有個人データに関する事項の公表等、保有個人データの開示・訂正等・利用停止等(法27条~第34条)
個人情報取扱事業者は、保有個人データに関する事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければなりません(法27条1項)。
そして、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、原則として、遅滞なく、これを通知しなければなりません(法27条2項、3項)。
また、個人情報取扱事業者は、本人からの要求があれば、保有個人データを開示しなければなりません(法28条)。
そして、内容に誤りがある場合には訂正等に応じなければなりませんし(法29条)、目的外利用などの法律上の義務に違反する取扱いや、不適正な取得方法、本人の同意なしに第三者提供している場合には、情報の利用を停止しなければならないとされています(法30条)。
以上のように、個人情報保護法は、個人情報取扱事業者に対して、さまざまな義務を課しています。
まずは、上記の基本的な義務を理解しておきましょう。
個人情報保護法に違反した場合のデメリット
刑事罰
上記の個人情報保護法の義務に違反し、この件に関する個人情報保護委員会の改善命令にも違反した場合、「6ヶ月以下の懲役または30万円以下の罰金」の刑事罰が課せられます。
民事上の問題
個人情報の漏えいは、直接の被害者は当該情報の本人です。
そのため、被害者本人から、加害者である事業者に対して、漏えいによる被害や、慰謝料について、不法行為に基づく損害賠償請求がなされる可能性があります。
流出した個人情報の件数が多い場合、巨額の賠償金支払いのリスクも考えられます。
例えば、ベネッセコーポレーションの個人情報流出事故は最大約2070万件と言われています。
復旧コスト
情報漏えいが発生すると、情報管理システムやデータの検証を行うことが想定されます。
エンジニアの稼働工数が増加したり、外注費の増加が懸念されます。また、顧客対応といったコストの発生も想定されます。
社会的信用の失墜
個人情報の漏えい事故は、最大の問題は、企業の信用問題に直結することです。
企業の知名度があればあるほどメディア等で取り上げられる可能性が高くなります。新聞報道等によって、当該企業の社会的信用は失墜します。
具体的には、取引先との取引停止、顧客離れ、株価の下落、退職者の増加、採用難、などの負のスパイラルに陥ります。
一度失った信用を取り戻すのは難しいため、最悪の場合倒産するリスクすらあります。また、倒産にまで発展しないとしても、経営陣の責任追及は免れないでしょう。
リスクにつながる要因
個人情報の流出事故は、程度の差はありますが、多くの企業において発生していると考えられています。メディア等で大きく取り上げられるのは、まさに氷山の一角です。
流出事故が発生する要因としては、以下の点が考えられます。
経営陣の健全な危機意識
まずは経営陣が情報漏えい事故のリスクについて自覚することが重要です。
企業の存続にまで影響しかねない問題であることを自覚し、「絶対に情報漏えい事故を発生させない」という強い決意が必要です。
規定等の整備
次に、個人情報の取扱規定や委託先との契約書等について、整備することが必要です。
情報漏えい事故を防止するためには、出来合いのものではなく、自社や関連企業の内情を踏まえた規定等を整備しなくてはなりません。
関係者の教育
いくら規定等のマニュアルが完璧でも、それを適切に運用していなければ意味がありません。
そこで、自社の従業員はもちろん、役員、関連会社の社員等を含めた教育を徹底する必要があります。
当事務所の弁護士に相談するメリット
個人情報保護法に強い弁護士のサポート
当事務所の企業法務部には、個人情報保護法に精通した弁護士が所属しており、顧問先企業等に対し、個人情報保護についてサポートしています。
まず、企業の実情についてヒアリングを行い、状況を分析してから、課題を特定します。
その上で、課題解決のための施策をご提案いたします。 例えば、規定に不備があれば規定の整備をサポートいたします。
また、従業員を対象とした研修講師なども行っております。
刑事弁護士によるサポート
当事務所には、刑事弁護に注力した弁護士で構成される刑事専門チームがあります。
個人情報保護法違反によって、刑事事件に発展した場合、刑事弁護士が全力で会社をサポートします。
料金プラン
企業の相談料 初回0円
当事務所の顧問契約の内容・料金についてはこちらをごらんください。
個人情報保護法について、くわしくは当事務所の弁護士までお気軽にご相談ください。
弁護士法人デイライト法律事務所 代表弁護士
所属/福岡県弁護士会・九州北部税理士会
保有資格/弁護士・税理士・MBA
専門領域/法人分野:労務問題、ベンチャー法務、海外進出 個人分野:離婚事件
実績紹介/福岡県屈指の弁護士数を誇るデイライト法律事務所の代表弁護士。労働問題を中心に、多くの企業の顧問弁護士としてビジネスのサポートを行なっている。『働き方改革実現の労務管理』「Q&Aユニオン・合同労組への法的対応の実務」など執筆多数。
企業犯罪・コンプライアンスについて
不正競争防止法違反とは?個人情報保護法違反とは?
リコール制度
製造物責任法(PL法)とは?
不当表示(製品性能偽装・食品表示偽装)
司法取引のリスク対策
営業秘密に係る不正行為とは?営業秘密管理のポイントと対策
成長段階に応じたサポート
企業の方の相談は無料で承っております
企業法務に注力した弁護士が対応させていただきます。初回相談料無料。 まずはお気軽にお電話ください。
ご予約専用ダイヤル: 0120-786-794(24時間電話受付)
