弁護士 野溝夏生

個人情報取扱事業者の義務(総論)

既にここでは、「個人情報」「個人データ」「保有個人データ」の3つの概念について、それぞれ触れてきたと思います。

この3つの概念は、個人情報保護法を理解する上で、最低限の基礎知識といっても過言ではないと言い得ます。
今までは、それぞれの概念がどのようなものか、という点に着目してきましたが、このエントリでは、それぞれの概念に応じた規制、言い換えれば事業者の義務について着目していくこととします。

「個人情報」「個人データ」「保有個人データ」のおさらい

各種義務を見る前に、まずはざっと各概念のおさらいをすることとします。
詳細は前記各エントリに譲りますので、ここでは簡単に触れるにとどめます。
また、ひとまず個人情報取扱事業者の義務の総論だけ確認したいという方は、こちらから飛んでいただければと思います。

「個人情報」

「個人情報」(個人情報保護法2条1項)とは、以下の2つの要件をみたす情報をいいます。

まず、「個人情報」に該当するためには、その情報が「生存する個人に関する情報」でなければなりません
ですから、次のような情報は「個人情報」に該当しません。

そして、「個人に関する情報」とは、個人の属性に関して、事実、判断、評価を表す全ての情報をいいます。
例えば、ドライブレコーダーやスマートウォッチ等によって取得される位置情報や、冷蔵庫やテレビ等の家電製品の稼働状況等の機器の作動状況のデータも、「個人に関する情報」に該当し得るとされています。
すなわち、これらの情報も「個人情報」に該当する可能性があるということになります。

次に、当該情報が「特定の個人を識別することができるもの」又は「個人識別符号」を含まなければ、「個人情報」には該当しません

「特定の個人を識別することができるもの」とは、氏名や生年月日等はもちろんですが、これらに限定されません。
例えば、Suica等ICカード乗車券にかかる公共交通機関の乗降履歴も、その精度如何によっては、それ自体が「特定の個人を識別することができるもの」に該当し得ます。
「特定の個人を識別することができる」か否かは、「一般人の判断力や理解力をもってして生存する具体的な人物と当該情報との間に同一性を認めることができるかどうか」という基準により判断されます。
誤解を恐れずに簡潔に言えば、一般人をして誰の情報かがわかるか否か、という基準によって判断されます。 当該情報が公開情報であっても「特定の個人を識別することができる情報」が含まれていれば「個人情報」に該当しますし、当該情報から氏名等が割り出される必要もありません。

また、「特定の個人を識別することができるもの」につき、「(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)」 と条文に明記されており、「個人情報」に該当するか否かの判断が非常に難しいものも決して珍しくありません。
「他の情報と容易に照合することができ」るか否かは、事業者の通常の業務における一般的な方法で他の情報と容易に情報を照合できる状態にある場合にこれが肯定されることとなります。
そして、当該状態にあるか否かの判断は、次のような要素をはじめとする諸要素を総合的に判断した上で、取り扱う個人情報の内容や利用方法等、実態に即してケースバイケースで判断されるとされています。
すなわち、「他の情報と容易に照合することができ」るか否かの判断は、当該事業者が基準となるため、事業者によって結論が異なる可能性があるということになります。

(※ 個人識別符号については、前記エントリに説明を譲ります。)

「個人データ」

「個人データ」(個人情報保護法2条6項)とは、「個人情報データベース等を構成する個人情報」をいいます。

「個人データ」の定義に登場する「個人情報データベース等」(個人情報保護法2条4項)とは、以下の3つの要件をみたすものをいいます。

「個人情報データベース等」、ひいては 「個人データ」の該非の判断において最も重要なのは、特定の個人情報を(容易に)検索することができるように体系的に構成されているか否かという点にあります。
コンピューターで検索できない情報であるからといって「個人データ」に該当しないわけではない、という点には注意が必要です。

名刺を例にして簡単に説明すると、「個人情報データベース等」の該非については、次のとおりとなります。

したがって、同じ例で言うと、「個人データ」の該非については、次のとおりとなります。

「保有個人データ」

「保有個人データ」(個人情報保護法2条7項)とは、次の要件をみたす「個人データ」をいいます。

「保有個人データ」の定義に登場する「個人情報取扱事業者」(個人情報保護法2条5項)とは、「個人情報データベース等を事業の用に供している者」をいいます。
「事業の用に供している」とは、事業者がその事業のために個人情報を利用していれば足り、利用方法は問いません。
「個人データ」を取り扱っているすべての民間事業主体が「個人情報取扱事業者」に該当すると考えて差し支えないと言い得ます。
取扱件数や営利性の有無に「個人情報取扱事業者」の該非は左右されませんし、従業員の「個人情報データベース等」のみを保有しているにすぎない場合であっても、これを事業の用に供していれば「個人情報取扱事業者」に該当します。
また、委託先が委託元から提供された「個人情報データベース等」を利用する場合も、委託先は「個人情報取扱事業者」に該当します。

また、「開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する」と言い得るためには、そのうちの一部の権限を有していれば足りるのではなく、すべての権限を有することが必要だと考えられています。
その権限の有無については、法令や契約の解釈によって判断されることになります。
同一の「個人データ」を複数の個人情報取扱事業者が共同で利用し、複数の個人情報取扱事業者がが前記の権限を有している場合、当該「個人データ」は、その権限を有しているすべての個人情報取扱事業者それぞれの「保有個人データ」 となります

ある個人情報取扱事業者(委託元)が個人データにかかる業務を別の個人情報取扱事業者(委託先)に委託した場合、当該個人データにかかる「保有個人データ」の該非は、次のとおりとなります。

個人情報取扱事業者の義務(総論)

おさらい部分が非常に長かったような気もしますが、ここから個人情報取扱事業者の義務について触れることとします。
ただし、すべての詳細に触れていくと、本エントリ自体が相当に長くなってしまうため、本エントリではその概要に触れるにとどめ、詳細はまた別エントリに譲ることとします。
そのため、あえて説明していない部分がありますので、以下がすべての義務ではないことにご注意ください。

「個人情報」「個人データ」「保有個人データ」に関する個人情報取扱事業者の義務は、次のとおりです。
当該情報がどの概念に該当するのかに応じて、課せられる義務が異なっています。
「個人情報」>「個人データ」>「保有個人データ」という関係にありますから、「個人情報」を取り扱う際に課せられる義務は、当然に「個人データ」にも課せられる、といったように見てもらえればと思います。
(※ 2020年改正法で実質的に変更等のある部分を強調しています。また、新設される条項のみ「改正」と付しています。)

利用目的の特定(15条)

個人情報取扱事業者は、「個人情報」を取り扱うに際し、当該情報の利用目的をできる限り特定しなければなりません(同条1項)。
例えば、次のような程度では、原則として足りないとされています(個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」pp26-27)。

また、本人の同意を得ることなしに利用目的を変更する場合、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて変更することは原則としてできません(同条2項、16条)。
なお、利用目的を変更した場合、本人に通知するか、公表しなければなりません(18条3項)。

利用目的の制限(16条)

個人情報取扱事業者は、あらかじめ本人の同意を得ることなしに、利用目的の達成に必要な範囲を超えて「個人情報」を取り扱ってはなりません(同条1項)。
ただし、法令に基づく場合等の例外事由に該当する場合には、本人の同意を得ることなしに、利用目的の達成に必要な範囲を超えて「個人情報」を取り扱うことが例外的に認められています(同条3項)。

不適正な利用の禁止(改正法16条の2)

個人情報取扱事業者は、違法又は不当な行為を助長したり、又は誘発するようなおそれがある方法によって「個人情報」を利用してはなりません。

適正な取得(17条)

個人情報取扱事業者は、偽りその他不正の手段によって「個人情報」を取得してはなりません(同条1項)。
「偽り……の手段」とは、虚偽の目的を告げて個人情報を取得することをいい、「その他不正の手段」とは、十分な判断能力を有していない者から、無関係のその家族の個人情報を、家族の同意なく取得する ような場合等をいいます。

取得に際しての利用目的の通知等(18条)

個人情報取扱事業者は、「個人情報」を取得した場合、あらかじめ利用目的を公表している場合を除いて、速やかに利用目的を本人に通知し、又は公表しなければなりません(同条1項)。

データ内容の正確性の確保等(19条)

個人情報取扱事業者は、利用目的の達成に必要な範囲内において、「個人データ」を正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、その「個人データ」を遅滞なく消去するよう努めなければなりません。

安全管理措置(20条)

個人情報取扱事業者は、取り扱う「個人データ」の漏えい、滅失又は毀損の防止等、「個人データ」の安全管理のために必要かつ適切な措置を講じなければなりません。

従業員の監督(21条)

個人情報取扱事業者は、「個人データ」をその従業者に取り扱わせる際には、当該「個人データ」の安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければなりません。

委託先の監督(22条)

個人情報取扱事業者は、「個人データ」の取り扱いの全部又は一部を委託する場合は、当該「個人データ」の安全管理が図られるよう、当該受託者に対する必要かつ適切な監督を行わなければなりません。

漏えい等の報告等(改正法22条の2)

個人情報取扱事業者は、次のいずれもみたす事態が生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じたことを個人情報保護委員会及び本人に原則として報告しなければなりません。

第三者提供の制限(23条、説明は改正法準拠)

個人情報取扱事業者は、次のいずれかに該当する場合を除き、「個人データ」を第三者に提供してはなりません。

ただし、当該「個人データ」の提供を受ける者が次に該当する者である場合、「第三者」性が否定されることとなります(同条3項)。

外国にある第三者への提供の制限(24条、説明は改正法準拠)

個人情報取扱事業者は、原則として、あらかじめ本人の同意を得ることなしに、「個人データ」を外国にある第三者に提供してはなりません(同条1項)。
また、個人情報取扱事業者は、この本人の同意を得ようとする場合、個人情報保護委員会規則で定めるところにより、あらかじめ、次の事項を本人に提供しなければなりません(同条2項)。

第三者提供に係る記録の作成等(同法25条)

個人情報取扱事業者は、「個人データ」を第三者に提供したときは、個人情報保護委員会規則で定めるところにより、原則として次の事項に関する記録を作成し、保存しなければなりません。

第三者提供を受ける際の確認等(同法26条)

個人情報取扱事業者は、第三者から「個人データ」の提供を受けるに際しては、個人情報保護委員会規則で定めるところにより、次に掲げる事項の確認を行わなければなりません(同条1項)。

また、個人情報取扱事業者は、当該確認を行ったときは、個人情報保護委員会規則で定めるところにより、原則として次の事項に関する記録を作成し、保存しなければなりません(同条3項4項)。

個人関連情報の第三者提供の制限等(改正法26条の2)

個人関連情報取扱事業者は、第三者が個人関連情報を「個人データ」として取得することが想定されるときは、23条1項各号に掲げる場合のほか、次に定める事項について、あらかじめ個人情報保護委員会規則で定めるところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはなりません(同条1項)。

保有個人データに関する事項の公表等(27条)

個人情報取扱事業者は、「保有個人データ」につき、次に掲げる事項を本人の知り得る状態に置かなければなりません(同条1項)。

また、個人情報取扱事業者は、本人から当該本人が識別される「保有個人データ」の利用目的の通知を求められたときは、原則として、遅滞なくこれを通知しなければなりません(同条2項)。

開示(28条)、訂正等(29条)

個人情報取扱事業者は、本人からの当該本人が識別される「保有個人データ」の開示、訂正等の請求を受けたときは、原則として、遅滞なく当該「保有個人データ」を開示し(28条1項2項)、又は利用目的の達成に必要な範囲で遅滞なく必要な調査を行い、その結果に基づき訂正等しなければなりません(29条1項2項)。

利用停止等(30条、説明は改正法準拠)

個人情報取扱事業者は、本人からの当該本人が識別される「保有個人データ」が16条に違反して取り扱われ、又は17条に違反して取得されたものであるとした当該「保有個人データ」の利用停止等の請求を受けたときで、かつ、その請求に理由があることが判明したときは、当該違反の是正に必要な限度で、原則として遅滞なく当該「保有個人データ」の利用停止等を行わなければなりません(同条1項2項)。

また、個人情報取扱事業者は、本人からの当該本人が識別される「保有個人データ」につき当該個人情報取扱事業者が利用する必要がなくなった場合等、当該本人が識別される「保有個人データ」の取扱いにより当該本人の権利又は正当な利益が害されるおそれがあるとした当該「保有個人データ」の利用停止や第三者提供停止等の請求を受けたときで、かつ、その請求に理由があることが判明したときは、本人の権利利益の侵害防止に必要な限度で、原則として遅滞なく当該「保有個人データ」の利用停止や第三者提供停止等を行わなければなりません(改正法同条5項6項)

理由の説明(31条)

個人情報取扱事業者は、27条ないし29条までに規定のある本人からの求め又は請求のあった措置の全部又は一部につき、当該措置をとらない旨又は当該措置と異なる措置をとる旨を通知した場合は、本人に対し、その理由を説明するよう努めなければなりません。

開示等の請求等に応じる手続(32条、説明は改正法準拠)

個人情報取扱事業者は、27条ないし30条までに規定のある本人からの求め又は請求に関し、政令で定めるところにより、その求め又は請求を受け付ける方法を定めることができます(同条1項前段)。
また、個人情報取扱事業者は、当該請求等に関し、その対象となる「保有個人データ」又は第三者提供記録を特定するに足りる事項の提示を求めることができます(同条2項本文)。
ただし、個人情報取扱事業者は、本人が容易かつ的確に当該請求等をすることができるよう、当該「保有個人データ」又は第三者提供記録の特定に資する情報の提供その他本人の利便を考慮した適切な措置をとらなければならず(同条2項ただし書)、また、本人に過重な負担を課するものとならないよう配慮しなければなりません(同条4項)。

まずはお気軽にお問い合わせください。

03-3580-7110

受付: 09:30~18:30 / 土日祝を除く