II−2 |
2 個人情報の保護 |
個人情報保護法が平成17年4月1日に施行されたことに伴い、個人情報を取り扱う事業者は、個人情報の取り扱いについてさまざまな義務を負うことになりました。 これは、情報通信社会が急速に進展したことに伴い、個人情報の有用性に配慮しながらも、個人の権利利益を保護することを目的として定められたものです。個人情報が、個人の人格尊重の理念の下に慎重に取り扱われるべきものであることを鑑みて、事業主はその個人情報を適切に取り扱う必要があります。 [1] 個人情報取扱事業者等 個人情報保護法で「個人情報取扱事業者」として、さまざまな義務を負う事業者とは、個人情報データベース等を事業として利用している事業者のことをいいます。ただし、国の機関や地方公共団体等は個人情報取扱事業者から除かれます。 まず、「個人情報」とは、生存する個人に関する情報であり、その情報に含まれる氏名、生年月日その他の記述によって、特定の個人を識別することができるものを指します。また、その情報を他の情報と簡単に照合することができ、照合することによって、特定の個人を識別することができるものも個人情報に含まれます。 また、個人情報取扱事業者が利用している「個人情報データベース等」とは、個人情報を含む情報の集合体で、特定の個人情報をパソコン等の電子計算機を用いて検索することができるように体系的に構成されているものをいいます。顧客名簿等はその典型例といえるでしょう。つまり、個人を識別できる情報を体系的に記録している場合は、個人情報データベース等に該当することになります。実務上は、特定の個人として識別できるか否かについては、氏名が記載されているかどうかで判断されています。また、それらの情報をパソコンで管理している必要はなく、紙で管理している場合であっても、容易に検索できるシステムを構築している場合は、個人情報データベース等に該当します。たとえば、名刺等も整理をしていない状況であれば、個人情報データベース等に該当しませんが、検索しやすいように整理した状態で保管されたものは、個人情報データベース等に該当します。 このような個人情報データベース等を保有し、事業用に利用している事業者が、個人情報保護法に基づくさまざまな義務を負い、主務大臣の関与を受けることになります。 なお、取り扱う個人情報の量や利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定められた者は、個人情報取扱事業者に該当しません。具体的には、事業の用に供する個人情報から識別される個人の人数が過去6か月以内のいずれの日においても5,000人を超えない場合は、個人情報取扱事業者に該当しません。また、市販の電話帳やカーナビを利用する場合であっても、その情報そのものを加工することなくその通例の目的に従って、他の情報と結合することなく事業用に利用する場合には、その個人情報に関しては、取り扱う個人情報の量の中に含まれません。 なお、5,000件未満の要件を満たすために分社化等をした場合であっても、個人情報取扱事業者に該当する場合がありますので、注意が必要です。 [2] 個人情報取扱事業者の義務等 個人情報取扱事業者が、個人情報を取り扱う際には、その個人情報の利用目的を特定しなければなりません。 また、個人情報取扱事業者は、本人の同意を得なければ、利用目的の達成に必要な範囲内でしか個人情報を取り扱うことはできません。その利用目的の変更は、相当の関連性があると合理的に認められる範囲内でしか行うことができません。つまり、個人情報の取得については利用目的を明示する必要があり、利用目的等を偽って、個人情報を取得することは禁止されています。 個人情報取扱事業者は、情報主体から直接、個人情報を取得する場合に、その目的を公表している場合を除いて、速やかに、その利用目的を本人に通知するか公表しなければなりません。また、契約書等の書面により個人情報を取得する場合には、その契約締結前にその取得する目的をあらかじめ明示しなければならないこととされています。また、その利用目的を変更した場合についても、同様にその旨を本人に通知又は公表しなければなりません。 次の場合には、本人に対する利用目的の通知や公表は不要とされています。
個人情報取扱事業者は、利用目的に必要な範囲内で、個人データを正確かつ最新の内容に保つように努めなければなりません。 また、個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止など、個人データの安全管理のために必要かつ適正な措置を講じなければなりません。この安全管理措置は、従業員や委託先が個人データを取り扱う場合にも同様に措置を講じる必要があります。 個人情報取扱事業者は、本人の同意を得ずに個人データを第三者に提供することはできません。 例外的に個人データを第三者に提供することができる場合は、次のとおりです。
また、個人情報取扱事業者は、次の事項をあらかじめ本人に通知するか、本人が容易に知り得る状態に置いた上で、本人の求めがあった場合には、第三者に提供することを停止することとしている場合には、個人データを第三者に提供することができます。
なお、次の場合は、個人データの第三者への提供とはなりません。
個人情報取扱事業者は、保有している個人データに関する次の事項について、本人の知り得る状態に置いておく必要があります。
また、個人情報取扱事業者が、本人から、保有個人データの利用目的に関する通知を求められた場合には、遅滞なく本人に対して、利用目的を通知しなければなりません。その通知に対して、利用目的を通知しない旨を決定した場合も、遅滞なくその旨を通知する必要があります。 個人情報取扱事業者は、本人からその保有する個人データの開示を求められた場合には、遅滞なく本人に対して、当該保有個人データを開示しなければなりません。 ただし、次の場合には、その保有データを開示しないことができます。
本人から、当該個人データの開示を求められた場合に、個人情報取扱事業者がその個人データを開示しない旨の決定したときは、その旨を本人に対し、遅滞なく通知しなければなりません。 個人情報取扱事業者は、本人から、当該本人に関する保有個人データの内容が事実でないという理由によって当該保有個人データの内容の訂正、追加又は削除を求められた場合には、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、保有する個人データの内容の訂正等を行わなければなりません。また、その処置に関しては、本人に対して遅滞なく通知しなければなりません。 個人情報取扱事業者が、本人から、当該本人に関する保有データが利用目的の制限に違反して取り扱われているという理由、又は個人データが適正に取得されたものではないという理由によって、その保有している個人データの利用停止又は消去を求められた場合、その求めに理由があることが判明した場合には、その違反を是正するために必要な限度で、遅滞なく、その保有する個人データの利用を停止し、又は消去をしなければなりません。 [3] 罰則 個人情報保護法における罰則は、次のとおり定められています。
また、主務大臣は、個人情報取扱事業者に対して違反行為の中止命令や是正の勧告命令をすることができますが、その命令に違反した個人情報取扱事業者は、6か月以下の懲役刑又は30万円以下の罰金刑に処せられます。 個人情報取扱事業者が、個人情報を漏えいした場合には、その本人に対して、契約上の債務不履行責任又は不法行為責任を負うことになり、その損害を賠償しなければなりません。また、従業員が漏えいした場合でも、使用者は同じ責任を負いますので、注意が必要です。
|