人工知能(AI)、ビッグデータ法務 IT企業法務 コンテンツビジネス法務(知的財産権、著作権) インターネット 著作権
個人情報保護法の取扱場面ごとの整理・ヴィジュアル化
この記事では、個人情報保護法の規制を取扱場面ごとにヴィジュアル化して簡潔に整理します。
2019年に同様の記事を公開しましたが、その後、法改正や講演等の度に手元資料の改訂を重ねており、この記事はその一部を抜粋するものです。
個人情報保護法の規律
(個人情報保護委員会「個人情報保護法の基本」(R4.8)より)
個人情報保護法の規律は、概ね上図のとおり、個人情報・個人データ・保有個人データという情報類型に対応する形で規律されています。
もっとも、日々多くの事業者の方から相談を受ける中で皆様が気にされていることは「この手元のデータをどのように取り扱うことができるのか」ということが中心です(上図でいうと右側部分)。
その際、個人情報保護法上、現在検討している取扱場面に適用される規律はなにかという観点から、個人情報のライフサイクルに応じた次のような図を用いて整理することが有益です。
なお、本稿のスコープも、上図と同様に民間部門を前提としています。
取扱場面から見た個人情報保護法の全体像
個人情報のライフサイクルに沿って取扱場面ごとに整理した個人情報保護法の全体像は、次のとおり図示できます。
以下では簡潔に各取扱場面ごとの規律のうち代表的なルールを確認します。
① 取得時の規制
同意は原則不要(法20条2項参照)
日本の個人情報保護法上の特徴として、個人情報の取得には、原則として同意は不要です。
例外的に、要配慮個人情報と呼ばれる一定の機微な個人情報を取得する場面では同意は必要となりますが(法20条2項)、取得に際して原則として同意が不要な点は日本の個人情報保護法の特色の一つといえます。
利用目的の特定・通知等(法17条1項・法21条1項2項)
一方、取得に際しての本人同意が不要であるとしても、ある事業者がどのように個人情報を取り扱うのか目的が明確になっていない場合、私たちはその個人情報取扱事業者に対して自身の個人情報を取得させて良いものか判断がつきません。
そこで、個人情報保護法は、事業者が個人情報を取得するに際し、当該事業者における利用目的をできるだけ特定して(法17条1項)、通知・公表、または直接書面等で取得する場合は明示することを義務付けています(法21条1項2項)。
不適正取得の禁止(法20条1項)
事業者は、偽り等の不正の手段により個人情報を取得することはできません(法20条1項)。
② 利用時の規制
利用目的による制限等(法18条・法17条2項・法21条3項)
事業者は、あらかじめ本人の同意を得ないで、取得時に特定した利用目的の達成に必要な範囲を超えて、個人情報を取り扱うことができません(法18条1項)。また、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて変更することができません(法17条2項)。そして、変更した場合には変更後の利用目的を本人に通知・公表する必要があります(法21条3項)。
取得時の規制の解説において、事業者は、目的明確化の観点から、本人に対して利用目的を特定し、通知・公表等する義務を負うと記載しました。そして、本人は当然取得時に通知・公表等されている利用目的において、当該事業者が個人情報を利用することを想定しています。そのため、このような本人の期待を保護するために、利用時の義務として、上記各利用目的による制限が設けられています。
不適正利用の禁止(法19条)
また、事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用することはできません。
③ 保管時の規制
安全管理措置(法23条)
安全管理措置は具体的内容として以下の各項目に分けられます。
⑴ 組織的安全管理措置
⑵ 人的安全管理措置
⑶ 物理的安全管理措置
⑷ 技術的安全管理措置
⑸ 外的環境の把握
詳細は個人情報保護法ガイドライン(通則編)の「10(別添)講ずべき安全管理措置の内容」をご確認ください。
従業者・委託先の監督(法24条・法25条)
事業者は、その従業者に個人データを取り扱わせる際や、委託先に対して個人データの取扱いの全部又は一部を委託する場合には、当該従業者及び委託先に対する必要かつ適切な監督を行う必要があります。
漏えい等の報告等(法26条)
事業者は、取り扱う個人データの漏えい、滅失、毀損等の報告対象事態が生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じたことを個人情報保護委員会に報告し、また、本人に通知する必要があります。
報告対象事態は次のとおりであり、当該報告対象事態を知った後速やかに行われる速報(規則8条1項参照)と、知った日から30日ないし60日の確報という2種類の報告からなります。また、当該事態の状況に応じて速やかに、当該本人の権利保護に必要な範囲において本人に所定の事項を通知する必要があります。
(1)要配慮個人情報が含まれる個人データの漏えい等が発生し、又は発生したおそれがある事態(規則第 7 条第 1 号関係)
(2)不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態(規則第 7 条第 2 号関係)
(3)不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生 したおそれがある事態(規則第 7 条第 3 号関係)
(4)個人データに係る本人の数が千人を超える漏えい等が発生し、又は発生したおそれが ある事態(規則第 7 条第 4 号関係)
保有個人データの公表等(法32条以下)
事業者は、個人情報保護法の規定に基づき、保有個人データについて、所定の事項を公表等し、また開示・訂正等・利用停止等の対応をする必要があります。
④ 提供時の規制
第三者提供規制〜総論〜
第三者提供規制は対象となる情報や国内・外国の別などにより規制が異なります。
以下では、派生類型を抑えるためにも基本的かつ重要な「個人データの第三者提供規制」
について解説します。
第三者提供時の同意取得原則(法27条1項柱書)
まず、大原則として、事業者は、あらかじめ本人の同意を得ないで、個人データを第三者に提供することができません。この原則を押さえたうえで、以下ではその例外事由を確認します。
同意取得原則の例外1〜法定例外事由(法27条1項各号)
第1の例外類型は、本来は形式的に同意が必要な場面であるものの、法律上の例外として明示されている類型です。以下に引用します。
(第三者提供の制限)第二十七条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。一 法令に基づく場合二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得 ることが困難であるとき。三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であっ て、本人の同意を得ることが困難であるとき。四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行 することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。五 当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データの提供が学術研究の成果の公表又は教授のためやむを得ないとき(個人の権利利益を不当に侵害するおそれがある場合を除く。)。六 当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データを学術研究目的で提供する必要があるとき(当該個人データを提供する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(当該個人情報取扱事業者と当該第三者が共同して学術研究を行う場合に限る。)。七 当該第三者が学術研究機関等である場合であって、当該第三者が当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
同意取得原則の例外2〜オプトアウト(法27条2項)
(第三者提供の制限)第二十七条2 個人情報取扱事業者は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。ただし、第三者に提供される個人データが要配慮個人情報又は第二十条第一項の規定に違反して取得されたもの若しくは他の個人情報取扱事業者からこの項本文の規定により提供されたもの(その全部又は一部を複製し、又は加工したものを含む。)である場合は、この限りでない。一~八 略
第2の例外類型は、オプトアウトによる第三者提供です(法27条2項)。オプトアウトによる第三者提供を一言で言うと、個人データの第三者提供時にあらかじめ本人の同意を得るという大原則を、提供後に本人から提供停止の求めがあった場合に、当該本人にかかる個人データの提供を中止するというルールに修正する例外類型といえます。
オプトアウトによる第三者提供をするためには、提供前に、所定の事項を、本人に通知等するとともに個人情報保護委員会に対して届け出る必要があります。
なお、要配慮個人情報はオプトアウトによる第三者提供の対象とはできません。
同意取得原則の例外3〜「第三者」に該当しない類型(法27条5項各号)
(第三者提供の制限)第二十七条5 次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
一 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
二 合併その他の事由による事業の承継に伴って個人データが提供される場合
三 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
第3の例外類型は、提供行為はあるものの、提供先の事業者が「第三者」に該当しないと整理される類型です。
以下に整理する(1)〜(3)の場合については、個人データの提供先は、提供主体である事業者と別の主体として形式的には第三者に該当するものの、本人との関係において提供主体である事業者と一体のものとして取り扱うことに合理性があるため、個人情報保護法上、第三者には該当しないものとされています(法27条5項)。
(1)委託類型(法27条5項1号)
利用目的の達成に必要な範囲内において、個人データの取扱いに関する業務の全部又は一部を委託することに伴い、当該個人データが提供される場合は、当該提供先は第三者に該当しません。
この場合、当該提供先は、委託された業務の範囲内でのみ、本人との関係において提供主体である事業者と一体のものとして取り扱われることに合理性があるため、委託された業務以外に当該個人データを取り扱うことはできません。
(2)事業承継類型(法27条5項2号)
合併、分社化、事業譲渡等により事業が承継されることに伴い、当該事業に係る個人データが提供される場合は、当該提供先は第三者に該当しません。 なお、事業の承継後も、個人データが当該事業の承継により提供される前の利用目的の範囲内で利用する必要があります。
(3)共同利用類型(法27条5項3号)
特定の者との間で共同して利用される個人データを当該特定の者に提供する場合であって、所定の事項を、提供に当たりあらかじめ本人に通知等するときには、当該提供先は、本人から見て、当該個人データを当初提供した事業者と一体のものとして取り扱われることに合理性があると考えられることから、第三者に該当しないと整理されています。
既に特定の事業者が取得している個人データを他の事業者と共同して利用する場合には、当該共同利用は、社会通念上、共同して利用する者の範囲や利用目的等が当該個人データの本人が通常予期し得ると客観的に認められる範囲内である必要があります。
同意取得原則の例外4〜「個人データ」の提供ではない場合
ここで冒頭の「個人情報保護法の規律」に立ち返ります。
個人情報保護法の規律は、概ね上図のとおり、個人情報・個人データ・保有個人データという情報類型に対応する形で設けられており、第三者提供規制は「個人データ」に対する規律でした。
したがって、個人データには該当しない個人情報(データベースを構成しない散在した個人情報)は、第三者提供規制の対象外です。
また、個人情報保護法は、法律上定義される各情報類型(個人関連情報・仮名加工情報・匿名加工情報)に応じた規律を置いています。このうち、匿名加工情報や、一部の個人関連情報については、本人の同意を得ずに第三者提供をすることができます。
なお、仮名加工情報は第三者提供が禁止されています(過去記事「仮名加工情報はAI開発をどのように変えるのか~医療AI開発のケースを元に考えてみた~」参照)。
⑤ 消去時の規制
個人情報保護法上、事業者は、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならないと規定されています(22条。努力義務)。
まとめ
以上、なるべく簡潔に、個人情報保護法の規律を取扱場面ごとに再構成してヴィジュアル化を試みました。取扱場面から規律の全体像を眺めることにより個人情報保護法を身近に感じていただく一助となれば幸いです。(弁護士山城尚嵩)