「個人情報取扱事業者」(個人情報保護法2条5項)とは、「個人情報データベース等を事業の用に供している者」をいいます。
「事業の用に供している」とは、事業者がその事業のために個人情報を利用していれば足り、利用方法は問いません。
「個人データ」を取り扱っているすべての民間事業主体が「個人情報取扱事業者」に該当すると考えて差し支えないと言い得ます。
取扱件数や営利性の有無に「個人情報取扱事業者」の該非は左右されませんし、従業員の「個人情報データベース等」のみを保有しているにすぎない場合であっても、これを事業の用に供していれば個人情報取扱事業者」に該当します。
また、委託先が委託元から提供された「個人情報データベース等」を利用する場合も、委託先は「個人情報取扱事業者」に該当します。
個人情報保護法第19条 個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。
この文言のみを読むと、保有する個人データをすべて、そしていつも最新化しなければならないようにも見えるかもしれません。
もっとも、実際の文言は「利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つ」となっており、利用目的に応じて必要な範囲で、個人データを正確かつ最新の内容に保っていれば足ります。
ところで、ある事業(A)のために個人データを取得し、その後に別の事業(B)のために個人データを取得したところ、A事業で取得した個人データが最新でないことが判明した場合、B事業のために取得した個人データの内容をA事業のために取得した個人データに反映できるでしょうか。
これにつき、A事業とB事業における個人情報の利用目的が異なる等、利用目的の達成に必要な範囲を超えて個人情報を取り扱うこととなる場合には、本人の同意がなければならないと考えられています(法16条1項。個人情報保護委員会「『個人情報の保護に関する法律についてのガイドライン』及び『個人データの漏えい等の事案が発生した場合等の対応について』に関するQ&A」p26(A4-1))。
個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱うことはできません(法16条1項)。
その帰結として、利用目的を達成したか、又は利用目的の前提がなくなった個人情報は、利用目的の達成又は利用目的の前提の消失等をもって不要となるわけですから、その消去等を行わなければならないということになります。
個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」pp40-41によると、利用する必要がなくなったときに該当する事例は、次のような事例となります。
「当該個人データを……消去」とは、当該個人データを個人データとして使えなくすることを意味し、データ削除のほか、当該データから特定の個人を識別できないようにする措置を講じること等を含むとされています(前記ガイドラインp41)。
「遅滞なく消去」ですので、特に消去等の時期が決められているわけではありません。
ただし、利用目的に照らして、必要最小限の期間とする必要があります。
本条は努力義務です。
しかし、本条の努力義務を果たさなかったことが明るみになった場合等に、評判が悪化する危険(レピュテーションリスク)があります。
受付: 10:00~18:00 / 土日祝を除く