中小企業の法律相談

福岡の弁護士、近江法律事務所が提供している法律コラムです。

個人情報保護法の概要

【1】民間事業者の義務の明文化

個人情報保護法の第一章から第三章は、平成一五年五月三〇日から施行されていましたが、これらの章では、目的や定義の基本理念、国、地方公共団体の責務等を規定したもので、民間事業者の義務を定めたものではありませんでした。そして、いよいよ平成一七年(二〇〇五年)四月一日より、民間事業者の個人情報保護についての法的義務を定めた第四章が施行されることになります。

民間事業者の義務が立法化された訳ですから、企業はこの法律に対する正しい理解が要求されることになります。

そこで、今回は法律の全体像がイメージできるように、法律の概要について説明します。

個人情報保護法の概要

【2】用語の定義

1.個人情報

氏名、生年月日その他の記述により特定の個人を識別することができる生存者に関する情報をいいます(法二条一項)。

2.個人情報データベース等

特定の個人情報を氏名等で検索できるように体系的に整理されたものをいいます(法二条二項)。

コンピュータ処理情報だけではなく、紙媒体のアナログ情報も含まれます。

3.個人データ

個人情報データベース等を構成する個人情報のことです。

4.個人情報取扱事業者

民間部門で、個人情報データベース等を事業用に供している者をいいます(法二条三項)。

営利、非営利を問いませんが、個人データの量が、過去六ヶ月以内で五〇〇〇人分を超えることが要件であり(施行令二条)、それ以下のときは、個人情報取扱事業者にはあたりません。

5.保有個人データ

個人情報取扱事業者が、本人の求めにより、開示、訂正、利用停止等を行うことを要する個人データのことです(法二条五項)。

六ヶ月以内に消去される個人データは、保有個人データには含まれません(施行令四条)。したがって、後記五で述べるような本人の関与にかかる義務を負いたくない場合は、六ヶ月以内に消去することで対応できます。

【3】個人情報に関する義務

1.利用目的の特定、制限

個人情報取扱事業者は、取り扱う個人情報の利用目的をできる限り特定しなくてはなりません(法一五条一項)。

そして、個人情報取扱事業者は、一定の例外を除き、予め本人の同意を得ておかなければ、利用目的の達成に必要な範囲を超えて、個人情報を取り扱うことはできません。顧客の事前の同意がないのに、配送先として入手した情報を利用して、ダイレクトメールを送るような場合です。

2.適正な取得

個人情報取扱事業者は、不正の手段で個人情報を取得してはなりません(法一七条)。不正に流出した個人情報であるのを知りながら、入手するような場合も不正取得となるでしょう。

また、個人情報取扱事業者は、一定の例外を除き、個人情報を取得する際、本人に対し、その利用目的を通知・公表・明示しなくてはなりません(法一八条一、二項)。

【4】個人データに関する義務

1.正確性の確保

個人情報取扱事業者は、不正確な情報で、個人が不愉快な思いをしないため、利用目的の達成に必要な範囲内では、個人データを正確かつ最新の内容に保つように努めなくてはなりません(法一九条)。

2.安全管理措置

個人情報取扱事業者は、個人データの漏洩等を防止するため措置を取らなくてはならず、従業員や業務委託先にも個人データの安全管理のため必要な監督をしなくてはなりません(法二〇~二二条)。

3.第三者提供の制限

個人情報取扱事業者は、一定の例外を除き、予め本人の同意なしに個人データを第三者に提供してはなりません(法二三条一項)。

ただし、本人の求めにより個人データの第三者提供を停止する制度(これをオプトアウト制度と呼びます)が有効に機能しているときには、第三者提供もできます(法二三条二項)。

なお、ここでいう第三者には、データの打ち込み作業の委託先などは入りません(法二三条四項)。

【5】保有個人データに関する義務

1.利用目的の通知等

個人情報取扱事業者は、保有個人データの利用目的等について、本人の知りうる状態に置くとともに、本人の求めに応じて通知をしなくてはなりません(法二四条)。

なお、本人の知りうる状態とは、本人の求めに応じて遅滞なく回答する場合も含まれています。

2.開示

個人情報取扱事業者は、本人からの求めがあるときは、一定の例外を除き保有個人データを開示しなくてはなりません(法二五条)。

3.訂正等

個人情報取扱事業者は、本人から保有個人データの内容が事実ではないことを理由に、訂正、追加または削除を求められたときは、利用目的達成の範囲内で、遅滞なく必要な調査を行わなくてはなりません(法二六条)。

4.利用停止等

個人情報取扱事業者は、本人から、利用目的の制限(法一六条)、適正な個人情報取得(法一七条)に違反していることを理由として、保有個人データの利用の停止または消去を求められ、その理由があるときは、是正に必要な限度で利用停止等の措置を取らなくてはなりません(法二七条一項)。

また、第三者提供の制限(法二三条一項)に違反したことを理由とする場合も、その理由があるときは、是正に必要な限度で第三者提供の停止を行わなくてはなりません(法二七条二項)。

【6】実効性を担保するために

1.苦情処理

個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理とそのために必要な苦情相談窓口の設置など体制整備に努めなくてはなりません(法三一条)。

2.主務大臣の関与

主務大臣は、個人情報取扱事業者に対し、個人情報の取扱に関し、報告させることができ(法三二条)、必要な助言をすることもできます(法三三条)。

また、主務大臣は、利用目的の制限(法一六条)、適正な個人情報取得(法一七条、一八条)、個人データの安全管理措置(法二〇~二二条)、第三者提供の制限(法二三条)、保有個人データに関する義務(法二四~二七条)、手数料に関する義務(法三〇条二項)に違反し、個人の権利利益を保護するために必要があるときは、違反行為の中止等を勧告でき、勧告に従わない場合は命令を出すことができます(法三四条)。

さらに、この主務大臣の命令にも違反した場合は、六月以下の懲役または三〇万円以下の罰金が科されます(法五六条)。

H16.10掲載

※掲載時点での法律を前提に、記事は作成されております。