個人情報保護法における本人に向けた対応の基本的ルール
目次
個人情報の有用性に配慮しつつ、個人の権利利益を保護する、というのが個人情報保護法の目的になります。今回は、本人に向けた対応の基本的ルールを中心に、事業者が気を付けておきたい個人情報の取り扱い方法について解説します。
個人情報保護法とは?
「個人情報保護法」とは、正式には「平成15年法律第57号 個人情報の保護に関する法律」という日本の法律のことです。一般には、略して「個人情報保護法」と呼ばれます。
そもそも個人情報とは?
「個人情報」とは、生きている個人に関する情報で、その情報によって、ある個人を他の個人と区別できる情報、または個人識別符号(マイナンバーなど)を含む情報をいいます。
例えば、性別や年齢のみでは、個人を特定できません。しかし、氏名や生年月日などと結びついてこれらの情報が管理される場合には、管理者側からすれば個人と他人を区別できる情報になりますので、「個人情報」に該当することになります。
個人情報取扱事業者とは?
「個人情報取扱事業者」とは、「個人情報データベース等を事業の用に供している者」(ただし、国の機関、地方公共団体、独立行政法人等、地方独立行政法人を除く)と定義されています。具体的には、氏名や住所等の個人情報データベース等を事業目的に使用している事業団体を指します。会社のような営利団体、NPO法人や組合、個人事業主も含まれます。
「個人情報取扱事業者」に関する個人情報保護法の概要
「個人情報取扱事業者」に該当する場合、どのようなルールがあるのか、その概要を見て行きます。
利用目的について
個人情報を取り扱うに当たっては、その利用目的を具体的に特定・公表し、その利用目的の範囲内でしか使用することができません。利用目的については、下記の3つのポイントを押さえておきましょう。
① 利用目的をできる限り特定する
② 本人の同意を得ることなしに、利用目的のために必要な範囲を超えて取り扱ってはならない
③ 保有している個人データについて、その利用目的を本人が知ることができる状態にしておくこと
取得方法について
法律では、きちんと利用目的を公表して取得することが規定されており、嘘をついたり、だましたりする方法で、個人情報を取得してはいけないと定められています。
第三者提供について
個人情報保護法第27条にあるとおり、原則として、あらかじめ本人の同意を得なければ、第三者に個人データを提供できません。
本人に向けた対応の基本的ルールについて
個人情報保護法は、「本人」を「個人情報によって識別される特定の個人」と定義しています。個人情報を利用する個人情報取扱事業者には、本人の自己に関する情報をコントロールする権利、すなわちプライバシーの権利と、個人情報利活用のメリットのバランスを取ることが求められています。ここでは、本人への対応の基本的なルールとして、以下、4つのポイントについて解説します。
ポイント1:保有する個人データの開示
個人情報取扱事業者は、本人から保有する個人データの開示を求める請求を受けたときは、原則として、そのデータの有無と内容を開示しなければなりません。保有個人データの開示方法は、電磁的記録の提供を含め、本人が指示できます。
ポイント2:内容が事実でない場合の保有する個人データの訂正
個人情報保護法は、個人データの内容が事実でないことを理由に、本人から訂正、追加、削除の申立てがあった場合には、利用目的の達成に必要な範囲内で、事実と異なる部分の訂正、追加、削除を行うように定めています。つまり、事実と異なるところがなければ訂正する必要もなく、利用目的の達成に必要ではないという理由で、訂正を拒絶することもできるといえます。
ポイント3:利用停止について
本人から利用停止や第三者提供の停止の申立てがあった場合に、その個人情報が適正に取得されたものでない場合や、利用目的の範囲を超えたり、不適正に利用されたりしている場合には、その利用停止や消去等の申し立てに応じなければなりません。
ただし、いずれの場合でも、その対応に多額の費用がかかる場合や対応が困難な場合には、それに代わる措置を講じるということも可能です。例えば、代償金の支払い等があります。
ポイント4:苦情の適切かつ迅速な処理とその体制の整備
個人情報取扱事業者は、その業態等に応じて、本人からの苦情を適切かつ迅速に対応するための体制を整えておき、苦情があった場合には、速やかに適切な対応をするように努力しなければならないとされています。ECサイトであれば、サイト上に苦情処理の窓口を公表して、担当部署や受付方法等を公表しておく方法が一般的です。
改正個人情報保護法(2022年4月施行)のポイント
個人情報保護法は、定期的に法改正が行われています。2022年4月施行の改正法では、具体的にどんな点が変わったか見ていきます。
本人の権利保護が強化される
個人情報の利用停止・消去等の請求権について、個人の権利が拡大されました。旧法でも、個人情報保護法に違反する場合に、本人による利用停止や消去に関する請求権がありましたが、改正法では、法違反がなくても、個人の権利や正当な利益が害されるおそれがある場合にも、要件が緩和されました。
事業者の責務が追加される
法改正で、個人情報漏えい発生時の報告義務、不適正利用の禁止など、個人情報取扱事業者の責務が追加されました。漏えいや滅失、毀損が発生した場合、個人の権利や利益を害するおそれが大きい事態については、個人情報保護委員会への報告と本人への通知が義務化されています。
企業の特定分野を対象とする団体の認定団体制度が新設される
法改正前は、個人情報保護委員会の認定を受けた認定団体は、主に以下の①~③について、対象事業者のすべての分野(部門)について対応することと定められていました。
①対象事業者の個人情報等の取扱いに関する苦情の処理
②対象事業者が個人情報保護指針を遵守するための指導や勧告
③対象事業者の個人情報等の適正な取扱いの確保に関し必要な業務
法改正後は、個人情報保護委員会の認定を受ける際に、対象事業者の事業の種類その他の業務の範囲を限定して認定を受けることが可能になりました(特定分野型)。
データの利活用が促進される
個人情報保護法の改正は、民間企業の義務を強化するだけではなく、民間企業による個人情報の利活用を促進するようなルール変更も行われました。今回の改正では、個人を特定できる部分(氏名等)を削除した「仮名加工情報」という新しいカテゴリの情報が創設され、民間企業は、「仮名加工情報」をAIの学習データとして利用するなど、内部分析のためのデータ利用が容易になりました。
法令違反に対する罰則が強化される
法に違反する事案が増える中、個人情報保護委員会による命令違反や、委員会に対する虚偽報告等の法定刑が引き上げられました。また、法人と個人の資力格差等を鑑みて、法人に対しては行為者よりも重い罰金刑(1億円以下の罰金)を課す内容に変わりました。
外国の事業者に対する義務が強化される
法改正により、外国の事業者への個人情報提供に関する要件が追加されました。これまで外国にある第三者への個人データ提供に関しては、本人の同意や、事業者や提供先の国に関する要件が定められていましたが、改正後は、本人の同意等に加えて、①移転先の所在国の名称、②当該外国における個人情報保護に関する制度、③移転先が講ずる個人情報の保護のための措置、この3つの情報を個人に提供することが義務付けられました。
また法改正によって、日本国内の人に関する個人情報を取り扱う外国事業者も、罰則によって担保された報告徴収、命令、立入検査などの対象となりました。
参考サイト
個人情報保護法については専門委員会のサイトがありますので、詳しくは、下記の個人情報保護委員会のサイトをご参照ください。
(https://www.ppc.go.jp/index.html)
まとめ
個人情報保護法は、個人の権利や利益を守ることと、行政機関や事業者等が個人情報を利活用することを両立させるための法律です。事業者にとっては、本人対応の基本的なルールを確認し、社内に周知することで、急な利用停止対応による損失などのダメージを最小限にすることができます。また、個人情報利活用の点からも有効な対策を進め、オペレーションの改善をするとよいでしょう。個別のご相談は、お気軽にお問い合わせください。
弁護士法人ファースト&タンデムスプリント法律事務所は、EC・通販法務には特に高い知見と経験を有しています。
「助ネコ」の株式会社アクアリーフ様、「CROSS MALL」の株式会社アイル様など、著名なECシステム企業が多数、当法律事務所の顧問契約サービスを利用されています。
企業の皆様は、ビジネスのリスクは何なのか、リスクが発生する可能性はどれくらいあるのか、リスクを無くしたり減らしたりする方法はないのか、結局会社としてどうすれば良いのか、どの方法が一番オススメなのか、そこまで踏み込んだアドバイスを、弁護士に求めています。当法律事務所は、できない理由を探すのではなく、できる方法を考えます。クライアントのビジネスを加速させるために、知恵を絞り、責任をもってアドバイスをします。多数のEC企業様が、サービス設計や利用規約・契約書レビューなどにあたり当事務所を活用されていますので、いつでもご相談ください。
執筆者:弁護士小野智博
弁護士法人ファースト&タンデムスプリント法律事務所
※本稿の記載内容は、2023年1月現在の法令・情報等に基づいています。
本稿は一般的な情報提供であり、法的助言ではありません。正確な情報を掲載するよう努めておりますが、内容について保証するものではありません。