「個人情報取扱事業者」(個人情報保護法2条5項)とは、「個人情報データベース等を事業の用に供している者」をいいます。
「事業の用に供している」とは、事業者がその事業のために個人情報を利用していれば足り、利用方法は問いません。
「個人データ」を取り扱っているすべての民間事業主体が「個人情報取扱事業者」に該当すると考えて差し支えないと言い得ます。
取扱件数や営利性の有無に「個人情報取扱事業者」の該非は左右されませんし、従業員の「個人情報データベース等」のみを保有しているにすぎない場合であっても、これを事業の用に供していれば個人情報取扱事業者」に該当します。
また、委託先が委託元から提供された「個人情報データベース等」を利用する場合も、委託先は「個人情報取扱事業者」に該当します。
個人情報保護法第17条 個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。
2 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。
一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
五 当該要配慮個人情報が、本人、国の機関、地方公共団体、第76条第1項各号に掲げる者その他個人情報保護委員会規則で定める者により公開されている場合
六 その他前各号に掲げる場合に準ずるものとして政令で定める場合同法施行規則第6条 法第17条第2項第5号の個人情報保護委員会規則で定める者は、次の各号のいずれかに該当する者とする。
(1) 外国政府、外国の政府機関、外国の地方公共団体又は国際機関
(2) 外国において法第76条第1項各号に掲げる者に相当する者
同法施行令第7条 法第17条第2項第6号の政令で定める場合は、次に掲げる場合とする。
(1) 本人を目視し、又は撮影することにより、その外形上明らかな要配慮個人情報を取得する場合
(2) 法第23条第5項各号に掲げる場合において、個人データである要配慮個人情報の提供を受けるとき。
「偽り……の手段」とは、虚偽の目的を告げて個人情報を取得することをいい、「その他不正の手段」とは、十分な判断能力を有していない者から無関係のその家族の個人情報を家族の同意なく取得するような場合等をいいます。
個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」pp31-32及び同「『個人情報の保護に関する法律についてのガイドライン』及び『個人データの漏えい等の事案が発生した場合等の対応について』に関するQ&A」pp21-22(A3-3)によると、次のような事例は、個人情報取扱事業者が不正の手段により個人情報を取得している事例とされています。
「個人情報を取得」につき、インターネット等により公にされている個人情報を含む情報を単に閲覧するにとどまる場合を含みません(前記ガイドラインp32、前記Q&A p22(A3-4))。
もっとも、単に閲覧するにとどまらず、当該情報を転記したりダウンロードしたりする場合には、「個人情報を取得」した場合に該当するものと考えられています(前記Q&A p22(A3-4))。
なお、「個人情報取扱事業者」とは「個人データ」を取り扱っているすべての民間事業主体であると考えて差し支えないと前述しました。
しかし、適正な取得にかかる義務は、「個人データ」のみが適用対象ではなく、「個人情報」全体にかかります。
このように、個人情報取扱事業者になる要件と、個人情報取扱事業者としての個人情報の適正な取得が求められる範囲とが、それぞれ異なっていることには注意が必要です。
原則として、個人情報取扱事業者による要配慮個人情報の取得は禁止されています。
なお、「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴等、本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するとされた記述が含まれる個人情報をいいます(個人情報保護法2条3項)。
個人情報保護法第2条 (略)
2 (略)
3 この法律において「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。同法施行令第2条 (略)
同法施行規則第5条 (略)
郵便物の誤配等個人情報取扱事業者が求めていない要配慮個人情報が送られてきたとしても、これを直ちに返送したり破棄したりする等の行為に及んだ場合には、「要配慮個人情報を取得」したことにはなりません(前記Q&A pp22-23(A3-7))。
また、インターネット等により公にされている要配慮個人情報を含む情報を単に閲覧するにとどまる場合には、16条1項と同様、「要配慮個人情報を取得」したことにはなりません(同上)。
なお、プロファイリングによって要配慮個人情報が新たに生み出された場合(問題となるのは本人の同意がない場合です。)、これが「要配慮個人情報を取得」したことにあたるかどうかについて、大きな問題となっています。
「本人の同意」については、個人情報取扱事業者の義務(「利用目的による制限」編)で述べた場合と基本的には同様です。
個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」p24によると、次のような事例は、本人の同意を得ている事例とされています。
前記ガイドラインp36
「なお、個人情報取扱事業者が要配慮個人情報を書面又は口頭等により本人から適正に直接取得する場合は、本人が当該情報を提供したことをもって、当該個人情報取扱事業者が当該情報を取得することについて本人の同意があったものと解される。
また、個人情報取扱事業者が要配慮個人情報を第三者提供の方法により取得した場合、提供元が法第17条第2項及び法第23条第1項に基づいて本人から必要な同意(要配慮個人情報の取得及び第三者提供に関する同意)を取得していることが前提となるため、提供を受けた当該個人情報取扱事業者が、改めて本人から法第17条第2項に基づく同意を得る必要はないものと解される。」
また、「平成27年改正(法)の施行前に適法に取得した個人情報が施行後に要配慮個人情報に該当したとしても、改めて取得のための本人同意を得る必要はありません。」(前記Q&A p22(A3-5))
ところで、前記Q&A p23(Q3-9)は、「取引の過程で、相手方企業の代表者等に前科があることが判明した場合、当該代表者等の同意を得る必要がありますか。」という質問を記載しています。
これへの回答である前記Q&A p23(A3-9)は、いわゆる前科は一般論として要配慮個人情報に該当するとした上で、当該情報の確度に応じて次のように区別されると述べています。
前記Q&A p23
「犯罪の経歴(有罪の判決を受けこれが確定した事実)は要配慮個人情報に該当します。取引の過程で前科があることが判明した場合、当該情報が推知情報にとどまる場合は、要配慮個人情報には該当しないため、取得に際してあらかじめ本人の同意を得る必要はありません。
一方で、当該情報が確定情報である場合は、要配慮個人情報に該当するため、原則として、取得に際してあらかじめ本人の同意を得る必要があります。ただし、個別の事例ごとに判断することとなりますが、例えば、当該情報の取得が、「法令に基づく場合」(法第17条第2項第1号)、「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」(法第17条第2項第2号)等に該当する場合や、本人や報道機関等により公開されている場合(法第17条第2項第5号)は、取得に際してあらかじめ本人の同意を得る必要はありません。」(A3-9)
個人情報取扱事業者の義務(「利用目的による制限」編)で述べた場合と基本的には同様です。
本号が適用される例は、次のとおりです(前記ガイドラインp29、p33)。
本人の同意を得ることが困難であるときの例は、次のとおりです。
本号が適用される例は、次のとおりです(前記ガイドラインpp33-34)。
本号が適用される例は、次のとおりです(前記ガイドラインp34)。
本号が適用される例は、次のとおりです(前記ガイドラインp34)。
要配慮個人情報が、次に掲げる者により公開されている場合は、あらかじめ本人の同意を得ることなく、当該公開されている要配慮個人情報を取得することができます。
個人情報取扱事業者は、その外形上明らかな要配慮個人情報を構成する記述等(身体障害等)を取得する場合、あらかじめ本人の同意を得ることなく、要配慮個人情報を取得することができます(施行令7条1号)。
例えば、前記ガイドラインp35によると、次のような場合がこれに該当します。
なお、障害や疾患の事情が推知されるにすぎない場合には、前述した前科の場合と同様、そもそも要配慮個人情報に該当しないため、17条2項の適用はありません。
前記Q&A p23
「本人の素振りから外形上、障害や疾患が明らかであれば、要配慮個人情報の取得の例外に該当する場合があるものと考えられます。なお、障害や疾患の内容にもよりますが、いずれの場合においても、障害や疾患の事情が推知されるにすぎない場合は、そもそも要配慮個人情報に該当しません。」(A3-8)
また、個人情報取扱事業者は、法23条5項各号に定める委託、事業承継又は共同利用により要配慮個人情報を取得する場合、あらかじめ本人の同意を得る必要はありません(施行令7条2号)。
17条2項に違反している事例は、次のような事例となります。
前記ガイドラインpp35-36
「本人の同意を得ることなく、法第17条第2項第5号及び規則第6条で定める者以外がインターネット上で公開している情報から本人の信条や犯罪歴等に関する情報を取得し、既に保有している当該本人に関する情報の一部として自己のデータベース等に登録すること。」
受付: 10:00~18:00 / 土日祝を除く