個人情報取扱事業者の義務(「適正な取得」編)

個人情報取扱事業者の義務一覧

• 「個人情報」
  • 利用目的の特定(個人情報保護法15条)
  • 利用目的による制限(同法16条)
  • 不適正な利用の禁止(改正同法16条の2)
  • 適正な取得(同法17条)(今回取り扱います)
  • 取得に際しての利用目的の通知等(同法18条)
• 「個人データ」
  • データ内容の正確性の確保等(同法19条)
  • 安全管理措置(同法20条)
  • 従業者の監督(同法21条)
  • 委託先の監督(同法22条)
  • 漏えい等の報告等(改正同法22条の2)
  • 第三者提供の制限(同法23条)
  • 外国にある第三者への提供の制限(同法24条)
  • 第三者提供に係る記録の作成等(同法25条)
  • 第三者提供を受ける際の確認等(同法26条)
  • 個人関連情報の第三者提供の制限等(改正同法26条の2)
    ※ 提供されるのはあくまで「個人関連情報」であり、「個人データ(個人情報)」ではありませんが、関連するため記載しています。
• 「保有個人データ」
  • 保有個人データに関する事項の公表等(同法27条)
  • 開示(同法28条)
  • 訂正等(同法29条)
  • 利用停止等(同法30条)
  • 理由の説明(同法31条)
  • 開示等の請求等に応じる手続(同法32条)

そもそも「個人情報取扱事業者」とは

「個人情報取扱事業者」(個人情報保護法2条5項)とは、「個人情報データベース等を事業の用に供している者」をいいます。
「事業の用に供している」とは、事業者がその事業のために個人情報を利用していれば足り、利用方法は問いません。
「個人データ」を取り扱っているすべての民間事業主体が「個人情報取扱事業者」に該当すると考えて差し支えないと言い得ます。
取扱件数や営利性の有無に「個人情報取扱事業者」の該非は左右されませんし、従業員の「個人情報データベース等」のみを保有しているにすぎない場合であっても、これを事業の用に供していれば個人情報取扱事業者」に該当します。
また、委託先が委託元から提供された「個人情報データベース等」を利用する場合も、委託先は「個人情報取扱事業者」に該当します。

適正な取得(17条)

個人情報保護法第17条　個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。
2　個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。
　一　法令に基づく場合
　二　人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
　三　公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
　四　国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
　五　当該要配慮個人情報が、本人、国の機関、地方公共団体、第76条第1項各号に掲げる者その他個人情報保護委員会規則で定める者により公開されている場合
　六　その他前各号に掲げる場合に準ずるものとして政令で定める場合

同法施行規則第6条　法第17条第2項第5号の個人情報保護委員会規則で定める者は、次の各号のいずれかに該当する者とする。
　(1)　外国政府、外国の政府機関、外国の地方公共団体又は国際機関
　(2)　外国において法第76条第1項各号に掲げる者に相当する者

同法施行令第7条　法第17条第2項第6号の政令で定める場合は、次に掲げる場合とする。
　(1)　本人を目視し、又は撮影することにより、その外形上明らかな要配慮個人情報を取得する場合
　(2)　法第23条第5項各号に掲げる場合において、個人データである要配慮個人情報の提供を受けるとき。

「偽りその他不正の手段により個人情報を取得してはならない」(1項)

「偽り……の手段」とは、虚偽の目的を告げて個人情報を取得することをいい、「その他不正の手段」とは、十分な判断能力を有していない者から無関係のその家族の個人情報を家族の同意なく取得するような場合等をいいます。

個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」pp31-32及び同「『個人情報の保護に関する法律についてのガイドライン』及び『個人データの漏えい等の事案が発生した場合等の対応について』に関するQ&A」pp21-22(A3-3)によると、次のような事例は、個人情報取扱事業者が不正の手段により個人情報を取得している事例とされています。

• 十分な判断能力を有していない子供や障害者から、取得状況から考えて関係のない家族の収入事情などの家族の個人情報を、家族の同意なく取得する場合
• 法第23条第1項に規定する第三者提供制限違反をするよう強要して個人情報を取得する場合
• 個人情報を取得する主体や利用目的等について、意図的に虚偽の情報を示して、本人から個人情報を取得する場合
• 他の事業者に指示して不正の手段で個人情報を取得させ、当該他の事業者から個人情報を取得する場合
• 法第23条第1項に規定する第三者提供制限違反がされようとしていることを知り、又は容易に知ることができるにもかかわらず、個人情報を取得する場合
  • 社外秘等である旨のラベリング等があるファイル等、外形上第三者提供が制限されていることが明らかである場合
  • クレジットカード情報が含まれる顧客名簿等、社会通念上第三者提供が制限されていることが推知できるような場合
• 不正の手段で個人情報が取得されたことを知り、又は容易に知ることができるにもかかわらず、当該個人情報を取得する場合

「個人情報を取得」につき、インターネット等により公にされている個人情報を含む情報を単に閲覧するにとどまる場合を含みません(前記ガイドラインp32、前記Q&A p22(A3-4))。
もっとも、単に閲覧するにとどまらず、当該情報を転記したりダウンロードしたりする場合には、「個人情報を取得」した場合に該当するものと考えられています(前記Q&A p22(A3-4))。

なお、「個人情報取扱事業者」とは「個人データ」を取り扱っているすべての民間事業主体であると考えて差し支えないと前述しました。
しかし、適正な取得にかかる義務は、「個人データ」のみが適用対象ではなく、「個人情報」全体にかかります。
このように、個人情報取扱事業者になる要件と、個人情報取扱事業者としての個人情報の適正な取得が求められる範囲とが、それぞれ異なっていることには注意が必要です。

「個人情報取扱事業者は……要配慮個人情報を取得してはならない」(1項)

原則として、個人情報取扱事業者による要配慮個人情報の取得は禁止されています。
なお、「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴等、本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するとされた記述が含まれる個人情報をいいます(個人情報保護法2条3項)。

個人情報保護法第2条　(略)
2　(略)
3　この法律において「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。

同法施行令第2条　(略)

同法施行規則第5条　(略)

郵便物の誤配等個人情報取扱事業者が求めていない要配慮個人情報が送られてきたとしても、これを直ちに返送したり破棄したりする等の行為に及んだ場合には、「要配慮個人情報を取得」したことにはなりません(前記Q&A pp22-23(A3-7))。
また、インターネット等により公にされている要配慮個人情報を含む情報を単に閲覧するにとどまる場合には、16条1項と同様、「要配慮個人情報を取得」したことにはなりません(同上)。

なお、プロファイリングによって要配慮個人情報が新たに生み出された場合(問題となるのは本人の同意がない場合です。)、これが「要配慮個人情報を取得」したことにあたるかどうかについて、大きな問題となっています。

「あらかじめ本人の同意を得ないで」(2項)

「本人の同意」については、個人情報取扱事業者の義務(「利用目的による制限」編)で述べた場合と基本的には同様です。
個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」p24によると、次のような事例は、本人の同意を得ている事例とされています。

• 本人からの同意する旨の口頭による意思表示
• 本人からの同意する旨の書面(電磁的記録を含む。)の受領
• 本人からの同意する旨のメールの受信
• 本人による同意する旨の確認欄へのチェック
• 本人による同意する旨のホームページ上のボタンのクリック
• 本人による同意する旨の音声入力、タッチパネルへのタッチ、ボタンやスイッチ等による入力

前記ガイドラインp36
　「なお、個人情報取扱事業者が要配慮個人情報を書面又は口頭等により本人から適正に直接取得する場合は、本人が当該情報を提供したことをもって、当該個人情報取扱事業者が当該情報を取得することについて本人の同意があったものと解される。
　また、個人情報取扱事業者が要配慮個人情報を第三者提供の方法により取得した場合、提供元が法第17条第2項及び法第23条第1項に基づいて本人から必要な同意(要配慮個人情報の取得及び第三者提供に関する同意)を取得していることが前提となるため、提供を受けた当該個人情報取扱事業者が、改めて本人から法第17条第2項に基づく同意を得る必要はないものと解される。」

また、「平成27年改正(法)の施行前に適法に取得した個人情報が施行後に要配慮個人情報に該当したとしても、改めて取得のための本人同意を得る必要はありません。」(前記Q&A p22(A3-5))

ところで、前記Q&A p23(Q3-9)は、「取引の過程で、相手方企業の代表者等に前科があることが判明した場合、当該代表者等の同意を得る必要がありますか。」という質問を記載しています。
これへの回答である前記Q&A p23(A3-9)は、いわゆる前科は一般論として要配慮個人情報に該当するとした上で、当該情報の確度に応じて次のように区別されると述べています。

• 当該情報が推知情報にとどまる場合
  • 当該情報はそもそも要配慮個人情報には該当しないために17条2項に基づく同意は不要
• 当該情報が確定情報である場合
  • 原則として当該情報の取得にはあらかじめ本人の同意が必要

前記Q&A p23
　「犯罪の経歴(有罪の判決を受けこれが確定した事実)は要配慮個人情報に該当します。取引の過程で前科があることが判明した場合、当該情報が推知情報にとどまる場合は、要配慮個人情報には該当しないため、取得に際してあらかじめ本人の同意を得る必要はありません。
　一方で、当該情報が確定情報である場合は、要配慮個人情報に該当するため、原則として、取得に際してあらかじめ本人の同意を得る必要があります。ただし、個別の事例ごとに判断することとなりますが、例えば、当該情報の取得が、「法令に基づく場合」(法第17条第2項第1号)、「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」(法第17条第2項第2号)等に該当する場合や、本人や報道機関等により公開されている場合(法第17条第2項第5号)は、取得に際してあらかじめ本人の同意を得る必要はありません。」(A3-9)

「法令に基づく場合」(2項1号)

個人情報取扱事業者の義務(「利用目的による制限」編)で述べた場合と基本的には同様です。

本号が適用される例は、次のとおりです(前記ガイドラインp29、p33)。

• 警察の捜査関係事項照会に対応する場合(刑事訴訟法第197条第2項)
• 裁判官の発する令状に基づく捜査に対応する場合(刑事訴訟法第218条)
• 税務署の所得税等に関する調査に対応する場合(国税通則法第74条の2他)
• 弁護士会からの照会に対応する場合(弁護士法第23条の2)
• 個人情報取扱事業者が、労働安全衛生法に基づき健康診断を実施し、これにより従業員の身体状況、病状、治療等の情報を健康診断実施機関から取得する場合

「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」(2項2号)

本人の同意を得ることが困難であるときの例は、次のとおりです。

• 本人の連絡先が不明な場合や本人が死亡している場合等、物理的に本人の同意を得ることが不可能又は困難な場合
• 本人に同意を求めたが拒否された場合
• 本人に同意を求めることで違法な行為や不当な行為を助長するおそれがある場合
• 本人の連絡先の特定のための費用が極めて高額で時間的余裕のない場合

本号が適用される例は、次のとおりです(前記ガイドラインpp33-34)。

• 急病その他の事態が生じたときに、本人の病歴等を医師や看護師が家族から聴取する場合
• 事業者間において、不正対策等のために、暴力団等の反社会的勢力情報、意図的に業務妨害を行う者の情報のうち、過去に業務妨害罪で逮捕された事実等の情報について共有する場合
• 不正送金等の金融犯罪被害の事実に関する情報を、関連する犯罪被害の防止のために、他の事業者から取得する場合

「公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき」(2項3号)

本号が適用される例は、次のとおりです(前記ガイドラインp34)。

• 健康保険組合等の保険者等が実施する健康診断等の結果判明した病名等について、健康増進施策の立案や保健事業の効果の向上を目的として疫学調査等のために提供を受けて取得する場合
• 児童生徒の不登校や不良行為等について、児童相談所、学校、医療機関等の関係機関が連携して対応するために、ある関係機関において、他の関係機関から当該児童生徒の保護事件に関する手続が行われた情報を取得する場合
• 児童虐待のおそれのある家庭情報のうち被害を被った事実に係る情報を、児童相談所、警察、学校、病院等の関係機関が、他の関係機関から取得する場合

「国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して、事業者が協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき」(2項4号)

本号が適用される例は、次のとおりです(前記ガイドラインp34)。

• 事業者が警察の任意の求めに応じて要配慮個人情報に該当する個人情報を提出するために、当該個人情報を取得する場合

「当該要配慮個人情報が、本人、国の機関、地方公共団体、第76条第1項各号に掲げる者その他個人情報保護委員会規則で定める者により公開されている場合」(2項5号、施行規則6条)

要配慮個人情報が、次に掲げる者により公開されている場合は、あらかじめ本人の同意を得ることなく、当該公開されている要配慮個人情報を取得することができます。

• 本人
• 国の機関
• 地方公共団体
• 放送機関･新聞社･通信社その他の報道機関(報道を業として行う個人を含む。)
• 著述を業として行う者
• 大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者
• 宗教団体
• 政治団体
• 外国政府、外国の政府機関、外国の地方公共団体又は国際機関
• 外国において法第76条第1項各号に掲げる者に相当する者

「その他前各号に掲げる場合に準ずるものとして政令で定める場合」(2項6号、施行令7条)

個人情報取扱事業者は、その外形上明らかな要配慮個人情報を構成する記述等(身体障害等)を取得する場合、あらかじめ本人の同意を得ることなく、要配慮個人情報を取得することができます(施行令7条1号)。

例えば、前記ガイドラインp35によると、次のような場合がこれに該当します。

• 身体の不自由な方が店舗に来店し、対応した店員がその旨をお客様対応録等に記録した場合(目視による取得)
• 身体の不自由な方の様子が店舗に設置された防犯カメラに映りこんだ場合(撮影による取得)

なお、障害や疾患の事情が推知されるにすぎない場合には、前述した前科の場合と同様、そもそも要配慮個人情報に該当しないため、17条2項の適用はありません。

前記Q&A p23
　「本人の素振りから外形上、障害や疾患が明らかであれば、要配慮個人情報の取得の例外に該当する場合があるものと考えられます。なお、障害や疾患の内容にもよりますが、いずれの場合においても、障害や疾患の事情が推知されるにすぎない場合は、そもそも要配慮個人情報に該当しません。」(A3-8)

また、個人情報取扱事業者は、法23条5項各号に定める委託、事業承継又は共同利用により要配慮個人情報を取得する場合、あらかじめ本人の同意を得る必要はありません(施行令7条2号)。

17条2項違反事例

17条2項に違反している事例は、次のような事例となります。

前記ガイドラインpp35-36
　「本人の同意を得ることなく、法第17条第2項第5号及び規則第6条で定める者以外がインターネット上で公開している情報から本人の信条や犯罪歴等に関する情報を取得し、既に保有している当該本人に関する情報の一部として自己のデータベース等に登録すること。」

まずはお気軽にお問い合わせください。