本文とサイドメニューへジャンプするためのナビゲーションスキップです。

トップページ  >  経営をよくする  >  法律コラム

特集一覧 中小企業に役立つ記事や施策をトピックスごとにまとめています。

個人情報の保護と活用(1)〜個人情報保護法の基礎

テーマ:企業統制・リスク管理

2010年9月 9日

解説者

弁護士 石井邦尚

1.個人情報保護法制定の背景

 日本ネットワークセキュリティ協会の調査によれば、2009年の1年間で、個人情報漏えい事件の件数は1539件、漏洩人数は572万1498人にのぼったということです。また、同協会は、これによる想定損害賠償総額を3890億4289万円と算定しています。


 ITの発達により、以前では考えられなかった量と質の情報が集積され、かつそれが有効に活用されるようになりました。例えば、書籍等を販売するアマゾンでは、購入した商品だけでなく、利用者がどのような商品を閲覧したかという情報や、ある商品を購入した人が他にどのような商品を購入しているかといった情報も蓄積しながら、各利用者にあわせた「おすすめ商品」のリストを示すといったことが行われています。こうしたことは、以前では本屋の店員とよほど馴染みになるなどしない限り、考えられないことでした。


 集められた情報が有効に活用されると、これまでになかったサービスが提供され、利用者もその恩恵を受けます。一方、なんでも情報が集められることに不安感を抱く人もいるでしょう。


 例えば、書籍の購入履歴や図書館の閲覧記録などは、非常にセンシティブな側面を持ちます。こうした情報を見れば、その人の趣味や関心の対象、思想や宗教、職業の分野、時には家族構成までわかるかもしれません。「女の子の名前事典」という書籍を購入したならば、おそらく、購入者には配偶者がいる可能性が高く、購入者かその妻が女の子を妊娠しているだろうと推測されます。こうした情報は、子供向けの商品や知育教材などを扱う業者は是非とも入手したいはずです。


 しかし、こうした情報を事業者間で自由に提供したり売買したりしてもよいと考える人は少数でしょう。こうした情報が不適切に扱われれば、非常にリスクが高いと言えます。


 また、ITの発達により、情報が電子データ化されたために簡単に複製され、かつそれがインターネットなどを通じて思いもよらずに流出する危険性が高まっています。冒頭に述べたような一年間で572万人分にも及ぶ大量の個人情報が流出するというのは、情報が「紙」に記載されていたころはあまり起こりえなかったものです。


 このように情報が収集され活用されていくことには、プラス面とマイナス面があり、この両者のバランスを取り、個人情報を適切に取り扱うためのルールとして、個人情報法護法が制定されたのです。個人情報を適切に扱っているかどうかは、その企業の社会的信用に直結します。事業を進める上で、個人情報保護法の基礎を理解しておく必要があります。


2.「個人情報」とは

 個人情報保護法は、保護の対象となる「個人情報」を、


  • 生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)

 と定義しています。


 氏名などが含まれず、個人が特定できない情報は「個人情報」には該当しません。ただし、注意が必要なのは、上記定義の括弧内です。例えば、データベースAには、氏名などは含まれずID番号が記録されているだけであるが、データベースBには、各ID番号に対応する氏名や住所が記録されているという場合、この二つを照合すれば、データベースAに含まれる情報の対象者を特定できます。この場合、データベースAに含まれる情報も「個人情報」になるのです。


 なお、個人情報保護法では「生存する個人」の情報に限られ、亡くなった方の情報は個人情報とはなりません。しかし、企業としては、社会的信用等を考えれば、死亡した人の情報も同様に取り扱うべきです。


3.個人情報保護法による規制の対象者:個人情報取扱事業者

 個人情報保護法による規制の対象となるのは、「個人情報データベース等を事業の用に供している者」(個人情報取扱事業者)です。営利か非営利かは関係なく、例えばNPOでも対象となり得ます。


 ただし、取り扱う個人情報の量(複数のデータベースをもっている場合はその合計)が5000人以下の場合は規制の対象外です。とはいえ、情報漏洩の場合の社会的信用の低下などのリスクを考えれば、5000人以下の情報しか保有していなくても、個人情報を扱っている場合には、個人情報取扱業者と同様に慎重に情報を取り扱うべきでしょう。


4.個人情報取扱事業者の義務

 個人情報取扱事業者の主な義務は、


  • (1)利用目的の特定と利用目的による制限
  • (2)適正な取得、取得に際しての利用目的の通知
  • (3)正確性・最新性の確保
  • (4)安全管理措置、従業員・委託先への監督
  • (5)第三者提供の制限
  • (6)保有個人データに関する事項の公表、保有個人データの本人開示、訂正、利用停止

 です。以下、簡単に説明します。


 (1)利用目的の特定と利用目的による制限
 個人情報取扱事業者は、個人情報を取り扱うにあたり、利用目的をできるだけ特定しなければなりません。そして、その目的達成に必要な範囲を超えて個人情報を取り扱ってはいけません。
 従来は、いったん集めた情報は自分たちのものと考え、自由に活用してよいという風潮があったようにも感じられますが、現在はそのようなことは許されないのです。


 (2)適正な取得、取得に際しての利用目的の通知
 個人情報取扱事業者は、偽りなどの不正な手段により個人情報を取得してはいけません。また、個人情報の取得に際しては利用目的を通知もしくは公表する必要があります。


 (3)正確性・最新性の確保
 個人情報取扱事業者は、利用目的の達成に必要な範囲内で、個人データを正確かつ最新の内容に保つよう努めなければなりません。


 (4)安全管理措置、従業員・委託先への監督
 個人情報取扱事業者は、個人データの漏えい、滅失又は毀損の防止、その他の個人データの安全管理のための措置を講じなければなりません。また、従業員や委託先に対し、個人データの安全管理が図られるよう監督を行わなければなりません。


 (5)第三者提供の制限
 個人情報取扱事業者は、一定の除外事由に該当する場合を除き、本人の同意を得ないで個人データを第三者に提供してはいけません。


 (6)保有個人データに関する事項の公表、保有個人データの本人開示、訂正、利用停止
 個人情報取扱事業者は、保有する個人データを本人の知り得る状態に置かなければならず、本人から求められた場合は保有する個人データを開示しなければなりません。また、本人から事実に反するという理由で個人データの内容の訂正、追加又は削除を求められた場合、調査をして訂正等を行う必要があります。
 さらに、利用目的による制限違反(上記(1))や適正な取得違反(上記(2))、第三者提供の制限違反(上記(5))などを理由に本人から個人データの利用停止や消去を求められた場合、違反が判明すれば、当該個人データの利用停止等を行わなければなりません。


 これらの中でも、特に重要なのは(1)(2)(5)です。個人情報は、企業が無秩序に集めてよいものではなく、集めた情報も利用目的の範囲内で取り扱うという制限が課せられ、勝手に第三者に提供してはならないのです。あくまでも、個人情報は「顧客等が、当社を信頼して預けてくれたもの」という意識を持って、その信頼を裏切らないよう大切に扱いましょう。


氏名:石井邦尚

生年:1972年生

弁護士登録年・弁護士会:
1999年弁護士登録、第二東京弁護士会所属

学歴:
1997年東京大学法学部卒業、2003年コロンビア大学ロースクールLL.M.コース修了

得意分野等:
米国留学から帰国後に「挑戦する人(企業)の身近なパートナー」となるべくリーバマン法律事務所を設立、IT関連事業の法務を中心とした企業法務、新設企業・新規事業支援、知的財産などを主に取り扱う。留学経験を活かし、国際的な視点も重視しながら、ビジネスで日々発生する新しい法律問題に積極的に取り組んでいる。

所属事務所:
リーバマン法律事務所 http://www.rbmlaw.jp/

同テーマの記事を見る 3つのコンテンツから検索ができます!

このページの先頭へ

このページの先頭へ