個人情報保護法については、たびたび改正がなされており、内容は複雑化しています。
今回のコラムでは、そもそも個人情報保護法は、個人と個人の間においても適用されるのかについて、解説します。
第1 個人情報保護法に関する基礎知識
1 個人情報保護法とは
個人情報保護法(正式名称:個人情報の保護に関する法律)は、平成15年に成立した法律です。
この法律は、個人情報の適切な取り扱いに関し、個人情報の有用性に配慮しつつ、個人の権利利益の保護を図ることを目的としています。
平成28年には、国の機関として個人情報保護委員会が設立され、個人情報保護法のガイドラインの策定・公表や、事業者に対する監督などを行っています。
2 個人情報とは(概要)
個人情報保護法では、「個人情報」とは、生きている個人に関する情報であることを前提に、①特定の個人であると分かるもの(氏名、住所、生年月日等)及び他の情報と紐づけることで容易に特定の個人であると分かるもの、または、②個人識別符号が含まれるものと定義されています(個人情報保護法第2条第1項)。
したがって、亡くなった方の情報は、個人情報保護法における「個人情報」にはあたりません。
また、法人(企業や団体など)は生きている個人ではないため、法人情報も「個人情報」に含まれません(もっとも、法人の情報であっても、法人の役員の氏名といった情報は、「個人情報」に含まれることになります。)。
3 【参考】2020年に改正された個人情報保護法の内容
2020年には個人情報保護法の大きな改正がありました。概要は以下の通りです。
まず、個人の権利としては、利用停止・消去などの請求について、要件を緩和しました。その他の個人の請求権についても、開示方法や対象が広がりました。
一方で、データの利用・活用の観点からは、「仮名加工情報」を創設し、内部分析に限定する前提で、規制が緩和されました。
その他、法定刑の引き上げや、外国の事業者への個人データの提供に関する情報提供等、さまざまな法整備が行われました。
第2 個人情報保護法は、誰を念頭に置いた法律なのか
1 「個人情報取扱事業者」とは
個人情報保護法においては、「個人情報取扱事業者」という単語が頻繁に出てきます。
この「個人情報取扱事業者」が、個人情報保護法が規制や義務を課している対象ということになります。
「個人情報取扱事業者」については、個人情報保護法において、以下のように規定されています。
【個人情報保護法第16条第2項】
この章及び第六章から第八章までにおいて「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。
① 国の機関
② 地方公共団体
③ 独立行政法人等
④ 地方独立行政法人
ここで出てきた「個人情報データベース等」と「事業の用に供する」について確認します。
(1)「個人情報データベース等」
「個人情報データベース等」とは、個人情報保護法において、以下のように規定されています。
【個人情報保護法第16条第1項】
この章及び第八章において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。)をいう。
① 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
② 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの
つまり、個人情報について、
・コンピュータを用いて検索することができるように体系的に構成する
・紙ベースであっても、個人情報を一定の規則(五十音順等)に従って整理・分類し、特定の個人情報を容易に検索することができるように目次や索引等をつけて、誰でも容易に検索可能な状態にする
などといった対応をしている場合には、個人情報データベース等を扱っていることになります。
(2)「事業の用に供する」
「事業の用に供する」とは、一定の目的をもって反復継続して遂行される同種の行為であって、かつ、社会通念上事業と認められるものをいいます。
営利か非営利かという点は関係がありません。
取り扱う個人情報の数は関係がありません。
かつては5000人要件と呼ばれたルールがあり、5000人以下の個人データしか取り扱わない中小規模の事業者であれば、「個人情報取扱事業者」の定義から除外されていたため、個人情報保護法について特段意識する必要はありませんでした。
もっとも、法改正によりこの5000人要件は撤廃されています。そのため、たとえ取り扱う個人情報の数が数名であっても、要件に該当すれば、「個人情報取扱事業者」に該当することになります。
通常であれば、顧客や従業員の情報については、データベース化していることが多いと思います。そのため、現在では、ほぼすべての事業者が「個人情報取扱事業者」に該当すると考えて良いと言えます。
2 具体例
(1)個人事業主
個人事業主の場合であっても、「個人情報取扱事業者」に該当することになります。
個人事業主の場合には、業務において取り扱う個人情報の数はそれほど多くないケースもあると思いますが、個人情報の数の多寡にかかわらず、「個人情報取扱事業者」に該当します。
(2)士業
弁護士、司法書士、税理士、行政書士、社会保険労務士などの士業についても、上記(1)の個人事業主と同様の考え方により、「個人情報取扱事業者」に該当することになります。
(3)マンション管理組合、NPO法人、同窓会、町内会などの非営利団体について
これらの非営利団体についても、「個人情報取扱事業者」に該当します。
「個人情報取扱事業者」は、営利か非営利かを問わないためです。
また、例えばマンション管理組合では、入居者の名簿の作成等をおこない、適宜利用していると思われますので、事業の用に供しているともいえます。
3 個人情報取扱事業者に該当する場合の注意点
(1)取得、利用するとき
個人情報を取り扱うに当たっては、どのような目的で個人情報を利用するのかについて、具体的に特定し、かつ、あらかじめホームページ等により公表するか、本人に知らせなければなりません(個人情報保護法第17条第1項、第21条第1項)。
そして、取得した個人情報は、利用目的の範囲で適正に利用しなければなりません。
もし、個人情報を特定した利用目的の範囲外のために利用したい場合には、あらかじめ本人から同意を得る必要があります(個人情報保護法第18条第1項)。
(2)保管するとき
取得した個人情報については、漏えい等の事態が生じないよう、安全に管理するための必要な措置を整備しなければなりません(個人情報保護法第23条)。
必要な措置としては、例えば、パスワードの設定、鍵を掛けられる場所に収納するなどの対応が考えられます。
なお、個人データの漏えい等が発生し、個人の権利利益を害するおそれが大きいとされている一定の場合には、個人情報保護委員会へ報告し、かつ、本人に通知する義務があります(個人情報保護法第26条第1項、第2項)。
(3)第三者への提供をするとき
個人データを本人以外の第三者に提供するときは、原則として、あらかじめ本人の同意が必要となります。
ただし、法令に基づく場合等には、本人の同意を得る必要はありません(個人情報保護法第27条第1項)
また、第三者へ提供したときには、一定事項を記録し、保存する義務があります(個人情報保護法第29条)。
(4)開示請求等を受けたとき
本人から、保有する個人データの開示、訂正、利用停止などの請求を受けたときには、法律に則って適切に対応する必要があります(個人情報保護法第32条以下)。
第3 個人間においては個人情報保護法は適用されない
これまで見てきたように、個人情報保護法は、「個人情報取扱事業者」を規律するものとなります。
したがって、「個人情報取扱事業者」ではない、純粋な個人については、個人情報保護法は適用されません。
よって、第2の3の(1)~(4)で見てきたルールも適用されないことになります。
もっとも、純粋な個人であっても、例えば他人の個人情報を不適切に扱えば、プライバシー侵害などの問題が生じ、不法行為に基づく損害賠償請求(民法第709条)を受ける可能性があります。
第4 最後に
個人間においては、個人情報保護法は適用されないものの、事業者であればほぼ間違いなく個人情報保護法が適用されることになります。
個人情報保護法についてのご不安やご相談がある場合は、ぜひ当事務所までお問い合わせください。