中小企業の法律相談
福岡の弁護士、近江法律事務所が提供している法律コラムです。
恐れるに足りない?改正個人情報保護法
改正法の解釈
改正個人情報保護法が、いよいよ平成29年5月30日に全面施行されます。
これまでに、改正法の施行令、施行規則、「個人情報の保護に関する法律についてのガイドライン」(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編、匿名加工情報編)、「『個人情報の保護に関する法律についてのガイドライン』及び『個人データの漏えい等の事案が発生した場合等の対応について』に関するQ&A」が公表され、ようやく改正法の全体像が見えてきました。
今回の法改正は、名簿業者やビッグデータ(匿名加工情報)の作成や提供を考えている事業者等にとっては、負担の重い改正になっていますが、小規模事業者や一般的な事業者にとっては、それほど負担の重いものにはなっていないといえそうです。
今回のガイドラインやQ&Aは、具体例を多数挙げており、実務に役立つ解釈も示していますので大変参考になります。また、ガイドラインやQ&Aは、法改正にかかわらず、随所に踏み込んだ解釈を示しています。紙面は限られますが、注目される点をいくつかご紹介します。
個人情報(個人識別符号)・個人情報データベースについて
改正法では、「個人情報」に「個人識別符号」が含まれることが明記されましたが、口座番号や携帯電話番号など、個人だけでなく法人に対しても付与される可能性がある番号は、個人識別符号には該当しないとの整理がなされました(施行令第1条、Q&A1-22等)。ただし、このような番号も、氏名・住所などと紐づく場合は、従前と同じく全体として個人情報となりますので注意が必要です。
店舗に防犯カメラを設置し、撮影した顔画像や顔人証データを取得する場合について、本人を判別することが可能な場合は、個人情報の取得にあたることが確認されました。なお、防犯目的で撮影する場合には、利用目的の通知・公表は不要ですが(法18条4項4号)、その場合でも、防犯カメラが作動中であることを店舗の入口に掲示するなど、本人に対して自身の個人情報が取得されていることを認識させるための措置を講ずることが望ましいとされました(Q&A1-11)
市販の電話帳等について、他の情報を加えることなく本来の用途で供する場合は、個人情報データベースから除外されることが明記されました(施行令第3条、Q&A1-41)。
要配慮個人情報について
改正法では、「要配慮個人情報」については、取得について事前に本人の同意が必要とされ、また、オプトアウトによる第三者提供の対象から除外されるなど厳格な取り扱いが求められていますが、例えば「○×教に関する本を購入した」という購買履歴の情報は、信条を「推知」させる情報にすぎないとして、当該情報のみでは要配慮個人情報には該当しないとの解釈が示されました(Q&A1-24)。
郵便物の誤配など、事業者が求めない要配慮個人情報が送られてきた場合についても、直ちに返送、廃棄したりするなど提供を「受ける」行為がないといえる場合には、要配慮個人情報の取得はないとの解釈が示されました(Q&A3-7)。
また、要配慮個人情報を含む情報がインターネット等により公にされている場合についても、単にこれを閲覧するにすぎず、転記等を行わない場合には、要配慮個人情報の取得はないとの解釈も示されました(同上)。
第三者提供時の確認・記録義務について
改正法では、本人の同意に基づく第三者提供の際にも記録を作成し、保存することが必要とされましたが、既存の契約書等が記録事項を充たしている場合はそれらが記録として認められること、別途台帳のようなものを用意する必要がないことが示され(Q&A10-25)、負担が軽減されました。
一般的には、外部事業者に、個人情報データベース等に含まれる相手の氏名・住所等の取扱いを委託する場合は、個人情報保護法上の「委託」に該当しますが、配送事業者や通信事業者など、依頼された中身の詳細に関知しない場合には、「委託」に該当しないこと(Q&A5-26、5-33)、さらには、クラウドサービスについても、クラウドサービスを提供する事業者が、当該個人データを取り扱わないことが契約条項で定められており、適切にアクセス制限が行われているといった場合は、本人の同意が必要な「第三者提供」又は「委託」に該当しないとの解釈が示されました(Q&A5-33)。なお、それらの場合も、安全管理措置(適切な外部事業者の選択等)を講ずる義務は負いますので注意が必要です。
一般的なビジネス実務に配慮し、形式的には第三者提供の外形を有する場合であっても、実質的に確認・記録義務を課する必用性が乏しい場合として、例えば、SNS上で投稿者のプロフィールや投稿内容等を取得する場合など「本人による提供」に該当する場合は、確認・記録義務が適用されないことが認められました。その他、「本人に代わって提供」、「本人と一体と評価できる関係にある者に提供」、「受領者にとって個人データに該当しない場合」も例外に該当することが認められました(ガイドライン(第三者提供時の確認・記録義務編)2-2)。
外国にある第三者への提供について
改正法では、外国にある第三者へ個人データを提供するには、原則として、外国にある第三者へ提供することについての本人の同意が必要とされましたが、前記4⑵と同様、外国にあるサーバの利用について、当該サーバの運営事業者が、保存された個人データを取り扱わないこととなっている場合には、外国にある第三者への提供に該当しないとの解釈が示されました(Q&A9-5)。
安全管理措置について
改正法においては、小規模事業者も、取扱う個人データの安全管理のために必要かつ適切な措置を講ずることが求められますが、従業員の数が100人以下の「中小規模事業者」については、例外として簡略化した対応が認められ、その具体的な手法が示されました(ガイドライン(通則編)8(別添)講ずべき安全管理措置の内容)。
H29.04掲載