弁護士 野溝夏生

個人情報取扱事業者の義務(「利用目的による制限」編)

個人情報取扱事業者の義務一覧

そもそも「個人情報取扱事業者」とは

「個人情報取扱事業者」(個人情報保護法2条5項)とは、「個人情報データベース等を事業の用に供している者」をいいます。
「事業の用に供している」とは、事業者がその事業のために個人情報を利用していれば足り、利用方法は問いません。
「個人データ」を取り扱っているすべての民間事業主体が「個人情報取扱事業者」に該当すると考えて差し支えないと言い得ます。
取扱件数や営利性の有無に「個人情報取扱事業者」の該非は左右されませんし、従業員の「個人情報データベース等」のみを保有しているにすぎない場合であっても、これを事業の用に供していれば個人情報取扱事業者」に該当します。
また、委託先が委託元から提供された「個人情報データベース等」を利用する場合も、委託先は「個人情報取扱事業者」に該当します。

利用目的による制限(16条)

個人情報保護法第16条 個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
2 個人情報取扱事業者は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。
3 前2項の規定は、次に掲げる場合については、適用しない。
 一 法令に基づく場合
 二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
 三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
 四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

「あらかじめ本人の同意を得ないで」(1項)

個人情報取扱事業者が、個人情報保護法15条1項により特定した利用目的を達成するために必要な範囲を超えて個人情報を取り扱いたいと考えた場合であっても、あらかじめ本人の同意を得ているのであれば、利用目的による制限の例外を認めても、制限が設けられた趣旨からは問題がないこととなります。

ただし、事前に包括的に同意を得ることは認められません。
すなわち、個人情報がどのような目的でどのように利用されるのか、本人が十分に認識し得る程度に具体的に利用目的を示した上で、明示的な同意を得なければなりません
個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」p24によると、次のような事例は、本人の同意を得ている事例とされています。

前記ガイドラインp24
 「『本人の同意』とは、本人の個人情報が、個人情報取扱事業者によって示された取扱方法で取り扱われることを承諾する旨の当該本人の意思表示をいう(当該本人であることを確認できていることが前提となる。)。
 また、『本人の同意を得る』とは、本人の承諾する旨の意思表示を当該個人情報取扱事業者が認識することをいい、事業の性質及び個人情報の取扱状況に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な方法によらなければならない。
 なお、個人情報の取扱いに関して同意したことによって生ずる結果について、未成年者、成年被後見人、被保佐人及び被補助人が判断できる能力を有していないなどの場合は、親権者や法定代理人等から同意を得る必要がある。」

「前条の規定により特定された利用目的の達成に必要な範囲を超えて」(1項)

個人情報保護法15条の規定に基づき特定された利用目的を実現するために必要でない場合をいいます。
「必要な範囲」か否かは、個人情報の取扱類型、内容、量等に照らして判断する必要があるとされています。
なお、本人の同意を得るために個人情報を利用すること(メールの送信や電話をかけること等)は、当初特定した利用目的として記載されていない場合でも、目的外利用には該当しません(前記ガイドラインp28)。

「個人情報を取り扱ってはならない」(1項)

「個人情報取扱事業者」とは「個人データ」を取り扱っているすべての民間事業主体であると考えて差し支えないと前述しました。
しかし、利用目的による制限は、「個人データ」のみが適用対象ではなく、「個人情報」全体にかかります
このように、個人情報取扱事業者になる要件と、個人情報取扱事業者としての個人情報の利用目的による制限の範囲とが、それぞれ異なっていることには注意が必要です。

なお、ここでいう「取り扱(う)」とは、個人情報の取扱いに関する一切の行為をいうものとされています。

「他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。」(2項)

合併、分割、事業譲渡等によって、他の個人情報取扱事業者から事業を承継した場合の規定です。
事業承継に伴って顧客情報等の個人情報を承継先事業者が資産として承継することが通常ですが、この場合に承継先事業者が自由に個人情報を利用できるというのでは、16条1項の意味が失われてしまいます。
そこで、本項により、承継先事業者につき、あらかじめ本人の同意を得ない限り、承継元事業者が特定した利用目的の達成に必要な範囲を超えて承継した個人情報を取り扱ってはならないとされています。

本項における各文言については、16条1項と同様なので割愛します。

承継先事業者は、承継した個人情報を、承継元から承継した事業以外の承継先事業者が行う事業に利用することも可能です。
ただし、承継元事業者が特定した利用目的の達成に必要な範囲内での利用でなければ、あらかじめ本人の同意を得なければなりません。

個人情報保護委員会「『個人情報の保護に関する法律についてのガイドライン』及び『個人データの漏えい等の事案が発生した場合等の対応について』に関するQ&A」pp20-21
 「事業の承継に伴って他社から取得した個人情報は、当該他社が特定した利用目的の達成に必要な範囲内でこれを利用することができます。したがって、自社サービスへの利用が、①当該他社が特定した利用目的の範囲内又は②当該利用目的と関連性を有すると合理的に認められる範囲を超えずに変更した後の利用目的の範囲内に含まれる場合、当該他社から取得した個人情報を自社サービスに利用することができます。」(A2-10)

なお、本項は、承継元事業者と承継先事業者のいずれもが個人情報取扱事業者である場合にのみ適用されます。 承継元事業者が個人情報取扱事業者でなかった場合、承継先事業者は15条1項に基づき自ら利用目的を特定した上で、16条1項に基づき当該利用目的の達成に必要な範囲内で個人情報を取り扱うことになります。
また、承継先事業者が個人情報取扱事業者でなかった場合、承継先事業者は個人情報取扱事業者としての義務を負わないこととなります。

「法令に基づく場合」(3項1号)

例外的に、具体的根拠を有する法令に基づく場合、個人情報取扱事業者は、特定された利用目的の達成に必要な範囲内でなくとも個人情報を取り扱うことが可能です。
ただし、通達等の行政規則は「法令」には含まれないことには注意が必要です。

本号が適用される例は、次のとおりです(前記ガイドラインp29)。

「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」(3項2号)

例外的に、法人を含む「人」の生命、身体又は財産の保護のために必要があって、かつ、本人の同意を得ることが困難である場合、個人情報取扱事業者は、特定された利用目的の達成に必要な範囲内でなくとも個人情報を取り扱うことが可能です。
あくまでも「本人の同意を得ることが困難であるとき」に、あらかじめの同意なくして特定された利用目的の達成に必要な範囲内でなくとも個人情報を取り扱うことを可能とするものですので、この点には注意が必要です。

本人の同意を得ることが困難であるときの例は、次のとおりです。

本号が適用される例は、次のとおりです(前記ガイドラインp30)。

「公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき」(3項3号)

例外的に、公衆衛生の向上又は心身の発達途上にある児童の健全な育成のために特に必要があり、かつ、本人の同意を得ることが困難である場合、個人情報取扱事業者は、特定された利用目的の達成に必要な範囲内でなくとも個人情報を取り扱うことが可能です。

本号が適用される例は、次のとおりです(前記ガイドラインpp30-31)。

「国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して、事業者が協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき」(3項4号)

例外的に、国の機関等(地方公共団体又はその委託を受けた者を含みます。)が法令の定める事務を実施する上で、民間企業等の協力を得る必要があり、かつ、本人の同意を得ることが当該事務の遂行に支障を及ぼすおそれがあると認められる場合、個人情報取扱事業者は、特定された利用目的の達成に必要な範囲内でなくとも個人情報を取り扱うことが可能です。

本号が適用される例は、次のとおりです(前記ガイドラインp31)。

まずはお気軽にお問い合わせください。

03-3580-7110

受付: 09:30~18:30 / 土日祝を除く