2021/06/16 個人情報保護法の概説
弁護士 62期 石 川 貴 敏
1 「個人情報」とは何か
(1) 個人情報の保護に関する法律(以下「個人情報保護法」又は「法」)を理解するに当たっては、まず「個人情報」の定義を理解することが出発点となります(以下「個人情報」という場合には、同法が定義する個人情報を指します。)。個人情報の定義は、法2条1項が定めていますが、ここで重要なのは、個人情報に当たるか否かは、当該情報が(生存する)特定の個人を識別できるか否かによって判断され、かつ、特定個人の識別可能性の有無は、当該情報のみによって判断されるわけではなく、容易に照合できる他の情報と照合することで特定の個人を識別できるか否かによっても判断されるという点です。例えば、メールアドレスは、メールアドレスそれ自体で特定の個人を識別できることはほとんどないため、通常個人情報には当たりません(法2条2項の「個人識別符号」にも当たりません。)。しかし、当該メールアドレスそれ自体では特定の個人を識別できない場合であっても、当該メールアドレス情報を保有する者が、容易に照合できる当該メールアドレス「以外」の情報と当該メールアドレスを照合することによって、当該メールアドレスに係る特定の個人を識別できる場合には、当該メールアドレスは、個人情報に当たることになります。
(2) 特定の個人情報を電子計算機(コンピュータ)を用いて検索することができるように体系的に構成したもの等は「個人情報データベース等」(法2条4項)とされ、「個人情報データベース等」を事業(非営利事業を含みます。)の用に供している者は、取り扱っている個人情報の数にかかわらず、また法人か個人かにかかわらず、「個人情報取扱事業者」(同条5項)とされます。「個人情報データベース等」を構成する個人情報は、「個人データ」(同条6項)とされます。
2 個人情報保護法が適用される主要場面
(1) 個人情報の「取得」
ア 個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得することはできません(法17条1項)。「偽りその他の手段」の具体例としては、本来の利用目的を伏せて虚偽の利用目的を告げて個人情報を取得する場合や、秘密録音や隠し撮りによって個人情報を取得する場合等が挙げられます。
イ 個人情報取扱事業者は、個人情報を取得した場合、あらかじめその利用目的を公表している場合を除き、速やかにその利用目的を本人に通知し又は公表する必要があります(法18条1項。例外については同条4項が規定)。なお、個人情報取扱事業者は、本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対して個人情報の利用目的を明示する必要があります(同条2項)。
ウ 個人情報を取得する場合、当該個人情報の取得について本人の同意を得ることまでは求められていません。ただし、要配慮個人情報(人種、信条、社会的身分、病歴、犯罪歴等の法2条3項が掲げる情報)の取得については、一定の例外を除き、あらかじめ本人の同意を得る必要があるため(法17条2項)、注意が必要です。
(2) 個人情報の「利用・管理」
ア 個人情報取扱事業者は、一定の例外(法16条3項)を除き、あらかじめ本人の同意を得ずに、法15条1項に基づき特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱うことが禁止されています(法16条1項)。
イ 個人情報取扱事業者は、その取り扱う個人データの漏洩、滅失又は毀損を防止するため、必要かつ適切な安全管理措置を講じるとともに(法20条)、個人データを従業者及び委託をした者に取り扱わせる場合には、データの安全管理のためにそれらの者に対する必要かつ適切な監督を行う必要があります(法21条、22条)。なお、個人情報保護委員会が作成した「個人情報の保護に関する法律についてのガイドライン(通則編)」8(別添)には、上記安全管理措置等の具体的内容が示されています。
(3) 個人情報の「第三者提供」
個人データについて第三者提供を行う場合、一定の例外(法23条1項、5項)を除き、あらかじめ本人の同意を得る必要があります(法23条1項)。
ただし、法が定める要件を満たす場合には、あらかじめ本人の同意を得ずに、個人データ(要配慮個人情報を除きます。)の第三者提供を行うこと(オプトアウト方式)が認められています(法23条2項)。
3 まとめ
以上のほかにも個人情報保護法は、個人情報の取扱いについて種々の義務を課していますが、まずは上記で解説した基本的な義務を理解し、個人情報保護に対する意識を高めておくことが重要です。