個人情報取扱事業者の義務(「利用目的による制限」編)

個人情報取扱事業者の義務一覧

• 「個人情報」
  • 利用目的の特定(個人情報保護法15条)
  • 利用目的による制限(同法16条)(今回取り扱います)
  • 不適正な利用の禁止(改正同法16条の2)
  • 適正な取得(同法17条)
  • 取得に際しての利用目的の通知等(同法18条)
• 「個人データ」
  • データ内容の正確性の確保等(同法19条)
  • 安全管理措置(同法20条)
  • 従業者の監督(同法21条)
  • 委託先の監督(同法22条)
  • 漏えい等の報告等(改正同法22条の2)
  • 第三者提供の制限(同法23条)
  • 外国にある第三者への提供の制限(同法24条)
  • 第三者提供に係る記録の作成等(同法25条)
  • 第三者提供を受ける際の確認等(同法26条)
  • 個人関連情報の第三者提供の制限等(改正同法26条の2)
    ※ 提供されるのはあくまで「個人関連情報」であり、「個人データ(個人情報)」ではありませんが、関連するため記載しています。
• 「保有個人データ」
  • 保有個人データに関する事項の公表等(同法27条)
  • 開示(同法28条)
  • 訂正等(同法29条)
  • 利用停止等(同法30条)
  • 理由の説明(同法31条)
  • 開示等の請求等に応じる手続(同法32条)

そもそも「個人情報取扱事業者」とは

「個人情報取扱事業者」(個人情報保護法2条5項)とは、「個人情報データベース等を事業の用に供している者」をいいます。
「事業の用に供している」とは、事業者がその事業のために個人情報を利用していれば足り、利用方法は問いません。
「個人データ」を取り扱っているすべての民間事業主体が「個人情報取扱事業者」に該当すると考えて差し支えないと言い得ます。
取扱件数や営利性の有無に「個人情報取扱事業者」の該非は左右されませんし、従業員の「個人情報データベース等」のみを保有しているにすぎない場合であっても、これを事業の用に供していれば個人情報取扱事業者」に該当します。
また、委託先が委託元から提供された「個人情報データベース等」を利用する場合も、委託先は「個人情報取扱事業者」に該当します。

利用目的による制限(16条)

個人情報保護法第16条　個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
2　個人情報取扱事業者は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。
3　前2項の規定は、次に掲げる場合については、適用しない。
　一　法令に基づく場合
　二　人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
　三　公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
　四　国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

「あらかじめ本人の同意を得ないで」(1項)

個人情報取扱事業者が、個人情報保護法15条1項により特定した利用目的を達成するために必要な範囲を超えて個人情報を取り扱いたいと考えた場合であっても、あらかじめ本人の同意を得ているのであれば、利用目的による制限の例外を認めても、制限が設けられた趣旨からは問題がないこととなります。

ただし、事前に包括的に同意を得ることは認められません。
すなわち、個人情報がどのような目的でどのように利用されるのか、本人が十分に認識し得る程度に具体的に利用目的を示した上で、明示的な同意を得なければなりません。
個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」p24によると、次のような事例は、本人の同意を得ている事例とされています。

• 本人からの同意する旨の口頭による意思表示
• 本人からの同意する旨の書面(電磁的記録を含む。)の受領
• 本人からの同意する旨のメールの受信
• 本人による同意する旨の確認欄へのチェック
• 本人による同意する旨のホームページ上のボタンのクリック
• 本人による同意する旨の音声入力、タッチパネルへのタッチ、ボタンやスイッチ等による入力

前記ガイドラインp24
　「『本人の同意』とは、本人の個人情報が、個人情報取扱事業者によって示された取扱方法で取り扱われることを承諾する旨の当該本人の意思表示をいう(当該本人であることを確認できていることが前提となる。)。
　また、『本人の同意を得る』とは、本人の承諾する旨の意思表示を当該個人情報取扱事業者が認識することをいい、事業の性質及び個人情報の取扱状況に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な方法によらなければならない。
　なお、個人情報の取扱いに関して同意したことによって生ずる結果について、未成年者、成年被後見人、被保佐人及び被補助人が判断できる能力を有していないなどの場合は、親権者や法定代理人等から同意を得る必要がある。」

「前条の規定により特定された利用目的の達成に必要な範囲を超えて」(1項)

個人情報保護法15条の規定に基づき特定された利用目的を実現するために必要でない場合をいいます。
「必要な範囲」か否かは、個人情報の取扱類型、内容、量等に照らして判断する必要があるとされています。
なお、本人の同意を得るために個人情報を利用すること(メールの送信や電話をかけること等)は、当初特定した利用目的として記載されていない場合でも、目的外利用には該当しません(前記ガイドラインp28)。

「個人情報を取り扱ってはならない」(1項)

「個人情報取扱事業者」とは「個人データ」を取り扱っているすべての民間事業主体であると考えて差し支えないと前述しました。
しかし、利用目的による制限は、「個人データ」のみが適用対象ではなく、「個人情報」全体にかかります。
このように、個人情報取扱事業者になる要件と、個人情報取扱事業者としての個人情報の利用目的による制限の範囲とが、それぞれ異なっていることには注意が必要です。

なお、ここでいう「取り扱(う)」とは、個人情報の取扱いに関する一切の行為をいうものとされています。

「他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。」(2項)

合併、分割、事業譲渡等によって、他の個人情報取扱事業者から事業を承継した場合の規定です。
事業承継に伴って顧客情報等の個人情報を承継先事業者が資産として承継することが通常ですが、この場合に承継先事業者が自由に個人情報を利用できるというのでは、16条1項の意味が失われてしまいます。
そこで、本項により、承継先事業者につき、あらかじめ本人の同意を得ない限り、承継元事業者が特定した利用目的の達成に必要な範囲を超えて承継した個人情報を取り扱ってはならないとされています。

本項における各文言については、16条1項と同様なので割愛します。

承継先事業者は、承継した個人情報を、承継元から承継した事業以外の承継先事業者が行う事業に利用することも可能です。
ただし、承継元事業者が特定した利用目的の達成に必要な範囲内での利用でなければ、あらかじめ本人の同意を得なければなりません。

個人情報保護委員会「『個人情報の保護に関する法律についてのガイドライン』及び『個人データの漏えい等の事案が発生した場合等の対応について』に関するQ&A」pp20-21
　「事業の承継に伴って他社から取得した個人情報は、当該他社が特定した利用目的の達成に必要な範囲内でこれを利用することができます。したがって、自社サービスへの利用が、①当該他社が特定した利用目的の範囲内又は②当該利用目的と関連性を有すると合理的に認められる範囲を超えずに変更した後の利用目的の範囲内に含まれる場合、当該他社から取得した個人情報を自社サービスに利用することができます。」(A2-10)

なお、本項は、承継元事業者と承継先事業者のいずれもが個人情報取扱事業者である場合にのみ適用されます。 承継元事業者が個人情報取扱事業者でなかった場合、承継先事業者は15条1項に基づき自ら利用目的を特定した上で、16条1項に基づき当該利用目的の達成に必要な範囲内で個人情報を取り扱うことになります。
また、承継先事業者が個人情報取扱事業者でなかった場合、承継先事業者は個人情報取扱事業者としての義務を負わないこととなります。

「法令に基づく場合」(3項1号)

例外的に、具体的根拠を有する法令に基づく場合、個人情報取扱事業者は、特定された利用目的の達成に必要な範囲内でなくとも個人情報を取り扱うことが可能です。
ただし、通達等の行政規則は「法令」には含まれないことには注意が必要です。

本号が適用される例は、次のとおりです(前記ガイドラインp29)。

• 警察の捜査関係事項照会に対応する場合(刑事訴訟法第197条第2項)
• 裁判官の発する令状に基づく捜査に対応する場合(刑事訴訟法第218条)
• 税務署の所得税等に関する調査に対応する場合(国税通則法第74条の2他)
• 弁護士会からの照会に対応する場合(弁護士法第23条の2)

「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」(3項2号)

例外的に、法人を含む「人」の生命、身体又は財産の保護のために必要があって、かつ、本人の同意を得ることが困難である場合、個人情報取扱事業者は、特定された利用目的の達成に必要な範囲内でなくとも個人情報を取り扱うことが可能です。
あくまでも「本人の同意を得ることが困難であるとき」に、あらかじめの同意なくして特定された利用目的の達成に必要な範囲内でなくとも個人情報を取り扱うことを可能とするものですので、この点には注意が必要です。

本人の同意を得ることが困難であるときの例は、次のとおりです。

• 本人の連絡先が不明な場合や本人が死亡している場合等、物理的に本人の同意を得ることが不可能又は困難な場合
• 本人に同意を求めたが拒否された場合
• 本人に同意を求めることで違法な行為や不当な行為を助長するおそれがある場合
• 本人の連絡先の特定のための費用が極めて高額で時間的余裕のない場合

本号が適用される例は、次のとおりです(前記ガイドラインp30)。

• 急病その他の事態が生じたときに、本人について、その血液型や家族の連絡先等を医師や看護師に提供する場合
• 大規模災害や事故等の緊急時に、被災者情報･負傷者情報等を家族、行政機関、地方自治体等に提供する場合
• 事業者間において、暴力団等の反社会的勢力情報、振り込め詐欺に利用された口座に関する情報、意図的に業務妨害を行う者の情報について共有する場合
• 製造した商品に関連して事故が生じたため、又は、事故は生じていないが、人の生命若しくは身体に危害を及ぼす急迫した危険が存在するため、当該商品の製造事業者等が当該商品をリコールする場合で、販売事業者、修理事業者又は設置工事事業者等が当該製造事業者等に対して、当該商品の購入者等の情報を提供する場合
• 商品に重大な欠陥があり人の生命、身体又は財産の保護が必要となるような緊急時に、製造事業者から顧客情報の提供を求められ、これに応じる必要がある場合
• 不正送金等の金融犯罪被害の事実に関する情報を、関連する犯罪被害の防止のために、他の事業者に提供する場合

「公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき」(3項3号)

例外的に、公衆衛生の向上又は心身の発達途上にある児童の健全な育成のために特に必要があり、かつ、本人の同意を得ることが困難である場合、個人情報取扱事業者は、特定された利用目的の達成に必要な範囲内でなくとも個人情報を取り扱うことが可能です。

本号が適用される例は、次のとおりです(前記ガイドラインpp30-31)。

• 健康保険組合等の保険者等が実施する健康診断の結果等に係る情報を、健康増進施策の立案、保健事業の効果の向上、疫学調査等に利用する場合
• 児童生徒の不登校や不良行為等について、児童相談所、学校、医療機関等の関係機関が連携して対応するために、当該関係機関等の間で当該児童生徒の情報を交換する場合
• 児童虐待のおそれのある家庭情報を、児童相談所、警察、学校、病院等が共有する必要がある場合

「国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して、事業者が協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき」(3項4号)

例外的に、国の機関等(地方公共団体又はその委託を受けた者を含みます。)が法令の定める事務を実施する上で、民間企業等の協力を得る必要があり、かつ、本人の同意を得ることが当該事務の遂行に支障を及ぼすおそれがあると認められる場合、個人情報取扱事業者は、特定された利用目的の達成に必要な範囲内でなくとも個人情報を取り扱うことが可能です。

本号が適用される例は、次のとおりです(前記ガイドラインp31)。

• 事業者が税務署又は税関の職員等の任意の求めに応じて個人情報を提出する場合
• 事業者が警察の任意の求めに応じて個人情報を提出する場合
• 一般統計調査や地方公共団体が行う統計調査に回答する場合

まずはお気軽にお問い合わせください。