1.日本の個人情報保護法の姿勢
(目的)
第一条 この法律は、デジタル社会の進展に伴い個人情報の利用が著しく拡大していることに鑑み、…施策の基本となる事項を定め、…個人情報を取り扱う事業者…の特性に応じて遵守すべき義務等を定めるとともに、個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。
かなりすごいことがいろいろと書いてあります。
「デジタル社会の進展に伴い個人情報の利用が著しく拡大していることに鑑み」とありますが、個人情報保護法はインターネットとセットで考える必要があります。インターネットは外国ともつながっているので、国境をまたいだ情報の移動や外国における個人情報保護法についても対応する必要があります。
「個人情報を取り扱う事業者…の特性に応じて遵守すべき義務等を定める」というのは、当初は事業者の規模に応じて義務が定められていたことの名残ではあるのですが、事業者の特性にも配慮してくれる姿勢が現れています。
「個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮」という文言も強烈です。個人情報は常に隠すものではなく役立てられるものだという視点が明確です。
法律の目的は試験で出題されることが少ないため軽視されがちですが、実務では法解釈の指針として非常に重要です。
2.なぜかとてもテクニカル
(定義)
第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録…に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二 個人識別符号が含まれるもの
個人情報は個人識別符号とそれ以外に大別されます。個人識別符号はマイナンバーやパスポート番号などです。それ以外は、「特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)」です。
メールアドレスを例に考えると、「ランダム文字列@プロバイダドメイン」ならば個人を識別できないので個人情報ではありません。しかし、「氏名@勤務先ドメイン」ならば個人情報です。
音声も通話内容から個人を特定できれば個人情報になります。
学籍番号は個人識別符号ではないので個人情報ではありません。そのため、単位を取れなかった学生の学籍番号を張り出しても個人情報の漏えいにはあたりません。しかし、その大学では、誰もが学生名簿を閲覧できる状態になっていて学生名簿には学籍番号と氏名が並べて記載されているならば、学籍番号は「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるもの」になるので個人情報になります。この場合、掲示板に学籍番号を張り出せば個人情報漏えい事案発生です。
第四章 個人情報取扱事業者等の義務等
第一節 総則
(定義)
第十六条 この章及び第八章において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの(…)をいう。
一 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
二 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの
2 この章及び第六章から第八章までにおいて「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。…
個人情報保護法上の義務を負うのは個人情報取扱事業者です。個人情報取扱事業者とは「個人情報データベース等を事業の用に供している者」です。事業の用というのはかなり幅広い概念で、営利非営利を問いません。データベースというのは検索性があることで、必ずしも電子データである必要はなく、名刺も五十音順や勤務先別に並べ替えてファイリングすればデータベースになります。
近年、一般家庭でもネットワーク防犯カメラが普及していますが、顔認証機能がついていて、同じ顔が何度もカメラに映り込んだらアラートを発するような機能がついていれば、顔の映像という個人情報を検索可能にしているのでデータベースになります。つまり、顔認証機能がついたネットワークカメラを設置した一般家庭も個人情報取扱事業者になります。
このように、読んでいると頭の体操として面白いのが日本の個人情報保護法です。
3.利用目的の公表と個人情報保護方針
(利用目的の特定)
第十七条 個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。
2 個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。
(利用目的による制限)
第十八条 個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
(取得に際しての利用目的の通知等)
第二十一条 個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
ほぼすべての大企業が個人情報保護方針や個人情報の取り扱いプライバシーポリシーなど(以下単に「個人情報保護方針」といいます)を公表していますが、実はこれは義務ではありません。
しかし、個人情報取扱事業者は、個人情報を利用目的の範囲を超えて取り扱ってはならず、利用目的をあらかじめ公表していなければ、個人情報を取得するたびの通知が必要となるので、あらかじめ公表するために、個人情報保護方針を公表しているのです。
個人情報保護方針は現場を楽にするための法務の知恵です。勤務先は個人情報をどのように取得してどのような利用目的で使いたいのか、誰かと共同利用したいか、問い合わせ窓口はどこか、など、勤務先の実情に合わせて個人情報保護方針を作成できるようになれば、一人前の法務部員です。
4.第三者提供とその例外
(第三者提供の制限)
第二十七条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
5 次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
一 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
三 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
(委託先の監督)
第二十五条 個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
個人情報の第三者提供は実務において頻出する問題です。もっとも、なんらかの手続きを要することはほとんどありません。多くが委託や共同利用として処理されるからです。
とはいえ、法務部員としては、法律の仕組みを理解して、仮に法改正があっても、なんらかの手続きを要しない状態を維持すべく務めることが職責となります。
個人データを第三者提供する際には、原則、本人の同意が必要です。しかし、例外的に、委託や共同利用の場合には、提供先は第三者に該当しないものとされます。ちなみに、規制の対象となるのは個人情報ではなく個人データです。もっとも、現代社会では、顧客情報のほとんどはデータベース登録されますから、個人情報と個人データを区別する実益は少なくなっています。
委託というのは利用目的の達成に必要な範囲内においての委託です。わかりやすいのは、DMを発送する際に、発送業者に住所氏名が記載されたExcelファイルを渡すことです。なお、Excelファイル自体がデータベースです。
共同利用とは、特定の者との間での共同利用に限ります。わかりやすいのは、グループ企業間で顧客情報を共有する場合です。委託の場合は法務部員が手を動かす必要はありませんが、共同利用の場合は個人情報保護方針に、グループで顧客情報をどのように共同利用して、自社では誰が責任者になるのかを公表する必要があります。
5.外国の第三者への提供
(外国にある第三者への提供の制限)
第二十八条 個人情報取扱事業者は、外国(…)にある第三者(…)に個人データを提供する場合には、前条第一項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。
2 個人情報取扱事業者は、前項の規定により本人の同意を得ようとする場合には、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報を当該本人に提供しなければならない。
3 個人情報取扱事業者は、個人データを外国にある第三者(第一項に規定する体制を整備している者に限る。)に提供した場合には、個人情報保護委員会規則で定めるところにより、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供しなければならない。
使用頻度は低い条項ですが、頭の体操になるので紹介します。
個人情報保護法は本当にテクニカルな定められ方をしていて、第27条第5項は、「前各項の規定の適用については、第三者に該当しないものとする。」としています。第27条第5項による例外が許されるのは第27条第1項の同意についてであり、第28条の同意については委託や共同利用の場合であっても例外にはなりません。
立法者もテクニカルすぎると考えているためか、第28条第1項において「この場合においては、同条の規定は、適用しない。」(同条は直前の前条(第27条))として、委託も共同利用も例外ではないと確認しています。
このような面倒な条文操作を楽しいと感じられる人は法務部員に向いているのですが、注意しなければいけないのは、法務部員の仕事は法律議論ではなく、法律議論を踏まえた上での実務的対応であることです。
6.外国の個人情報保護法
個人情報保護法は、法自身が語っているように、デジタル社会の進展すなわちインターネットの普及と密接に関連しています。
インターネットは世界中とつながっているので、世界中から個人情報が入ってくるため、外国の個人情報保護法にも注意を向けることを強いられるのです。
特に注意が必要だと言われているのが、EUのGDPRとアメリカ・カリフォルニア州のCCPA(その後CPRAに改正)です。同時期に制定され、世界中が参考にすると思われますが、その思想は真逆と言っても良いものです。
後発のCCPAはシリコンバレーによる自主規制とも言うべき内容で、大枠として日本法と同様に思想にあるように思えます。個人情報保護方針の充実と定期的な更新を主な内容としています
一方のGDPRは自己コントロール権を拡張したもので、それ以外にもEU代理人設置義務や高額な制裁金など、企業にとって非常に扱いづらい内容となっています。
未だEUに進出していない勤務先に勤務する法務部員としては、EUに進出するにはGDPR対応コストがかかることを周知して、コストを上回るリターンが期待できるまでEU進出を見合わせるとともにGDPRが適用されないようにチェックする態度も求められます。
実際にあった例なのですが、ある企業が著名弁護士に対してGDPR対応の個人情報保護方針の作成を依頼したところ、GDPRについては専門外なので責任を持てないと留保されたうえで、単にGDPR対応と明記された日本法にのみ準拠した個人情報保護方針が作成されました。GDPRが適用される条件は、EU内の人に対してサービスを「offer」することです。GDPR対応と明記した個人情報保護方針を公表している事実は「offer」を肯定する事情となります。にもかかわらず、当該弁護士作成個人情報保護方針にはEU圏内の人が理解しやすい言語で作成されておらずEU代理人の記載もなくGDPRに対応していません。不用意に弁護士に依頼した結果、不要な法的リスクを背負ったという実例でした。
7.困ったらQ&A
個人情報保護法は難解な作りをしている上に、あらゆる業種で問題となる法務部員の鬼門なのですが、個人情報保護委員会が詳細なQ&Aを公表しているので、これを参考にすれば多くの場合に対応可能です。