10分で分かる個人情報保護法の基礎

企業法務の基礎法ともいえる存在として、会社法と労働法は以前から存在感があるが、近年は特に情報法の重要性が増している。そこで、情報法の一角をなす個人情報保護法について、その基礎を解説しておこう。

この記事の最後に個人情報保護法の全体像の図を掲載しており、この全体像を把握することが10分後のゴールである。

1.個人情報は「蜜の味」

なぜ個人情報を保護する法律が必要なのか。それは、個人情報には商品価値があるからである。比喩的に言うと、個人情報は「蜜の味」がする。個人情報のこうした性質から、「名簿屋」と呼ばれる名簿販売業者によって個人情報が売り買いされるようになった。本人が知らないところで個人情報が売買されると、本人の「自己情報コントロール権」が侵害されるおそれがある。

2014年に発覚したベネッセの個人情報漏洩事件は記憶に新しい。どんな事件であったかというと、ベネッセの再委託先の社員が借金返済のためにベネッセの顧客情報を名簿屋に売っていたという事件である。ベネッセの顧客情報は複数の名簿屋の間で売買され、これを入手した業者がベネッセの顧客にダイレクトメールが発送したことから事件が発覚した。ベネッセの顧客情報を漏洩させた社員は逮捕され、ベネッセの取締役2名が引責辞任した。また、ベネッセの業績は赤字に転落し、ベネッセの株主からは役員の責任を追及する訴訟が提起され、個人情報を漏洩された顧客からは損害賠償を求める訴訟が提起された。

このように、個人情報の漏洩が発覚すると、個人情報を漏洩させた張本人の責任だけでなく、個人情報のデータベースを保有している企業、すなわち個人情報取扱事業者の責任も問われることになる。

図1:個人情報は「蜜の味」

2.漏洩すべからず、ただし過剰反応するなかれ

個人情報を漏洩させてはならないという意識は広まっている。しかし、世の中が個人情報の取扱いに敏感になりすぎて、個人情報が過剰に保護されていることが社会問題となった。個人情報への「過剰反応」と呼ばれる社会現象である。

もっとも有名な例が、2005年にJR福知山線脱線事故が起こった時に一部の病院がとった対応である。JRの列車が脱線し、死者100名以上、負傷者500名以上の大事故であった。この事故が起こった時、搬送先の病院に家族が安否確認の問い合わせをしても、個人情報の保護を理由に応じてもらえないということが起こった。しかし、このような場面で医療機関が家族に安否情報を提供することは、「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」(個人情報保護法23条1項2号)に該当し、本人の同意なく個人情報を提供してよいと一般に考えられている(厚生労働省「医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン」Ⅲ-5)。

そもそも個人情報保護法は、個人情報の漏洩防止だけを目的とした法律ではない。個人情報は「蜜の味」と述べたが、それだけ経済社会において有用な情報ということでもある。例えば、個人の購買履歴を分析すれば、ある商品を購入した人が他にどんな商品を購入する傾向にあるかが分かる。それによって、売る側としては需要のあるところに販促できるようになるし、買う側としても欲しい商品の情報を得られやすくなる。このような個人情報の有用性に配慮しつつ、個人の権利利益を保護することが、個人情報保護法の目的である。

過剰反応せずに個人情報を有効活用するために、個人情報保護法の全体像を見ていこう。

3.個人情報保護法には3種類の情報が登場する

個人情報保護法には、①個人情報、②要配慮個人情報、③匿名加工情報という3種類の情報が登場する。それぞれに適用されるルールが異なる。

このうち、「個人情報」のカテゴリーがもっとも重要である。個人情報保護法は「個人情報」のカテゴリーを中核とし、2015年の法改正で新たに「要配慮個人情報」と「匿名加工情報」という2つのカテゴリーを追加した。

⑴ 個人情報

個人情報とは、生存する個人に関する情報であって、特定の個人を識別できる情報のことである。ポイントは2つである。

第1に、「生存」する個人が対象である。亡くなった方の情報は個人情報ではない。

第2に、特定の個人を識別できることである。これが個人情報を個人情報たらしめている特徴であり、「個人識別性」という。

名刺、アドレス帳、顧客リスト、給与明細、人事考課表など、身の回りのあらゆる情報が個人識別性を持っており、個人情報である。文字情報だけでなく写真や音声も個人識別性を持ちうる。例えば、ゴルフコンペの記念写真や留守番電話の録音も、人の顔や声を識別できれば個人情報である。

また、2015年の法改正で個人情報の明確化が図られ、「個人識別符号」は個人情報であることが明確にされた(個人情報保護法2条1項2号)。「個人識別符号」には2種類ある。1つは、指紋データ・顔認証データなど、身体の一部の特徴をデジタル化した符号である。もう1つは、旅券番号・基礎年金番号・運転免許証番号など、行政サービス等との関係で特定の個人に紐づけられた符号である。これらの符号は個人識別性があり、とりもなおさず個人情報である。

⑵ 要配慮個人情報

要配慮個人情報とは、本人に対する不当な差別や偏見などの不利益が生じないように、その取扱いに特に配慮を要する個人情報のことである。人種、信条、社会的身分、病歴、犯罪の経歴、犯罪の被害に遭った事実などに関する個人情報である。

要配慮個人情報は、本人に対する差別や偏見につながるおそれがあるため、次の2点においてルールが厳格になっている。第1に、本人の事前同意がなければ取得できない。第2に、後述するオプトアウトによる第三者提供はできない。

⑶ 匿名加工情報

匿名加工情報とは、特定の個人を識別することができないように個人情報を加工し、当該個人情報を復元できないようにした情報のことである。

匿名加工情報は、加工によって個人識別性を失っているので、個人情報ではない。しかし、元々は個人情報なので、その取扱いには一定のルールが課されている。ルールの概要については、個人情報保護委員会のウェブサイトを参照されたい(①適切な加工、②安全管理措置、③公表義務、④識別行為の禁止の4点がルールの大枠である)。

参考:個人情報保護委員会「匿名加工情報制度について」
https://www.ppc.go.jp/personalinfo/tokumeikakouInfo/

図2:個人情報保護法の3つのカテゴリー

4.個人情報保護法は3層構造になっている

個人情報保護法は、個人情報の有用性の程度に応じて「個人情報」、「個人データ」、「保有個人データ」の3層に色分けし、有用性が高くなるとルールを追加するという構造になっている。有用性が高いということは、より「蜜の味」がするということであり、漏洩や不適正な取扱いによって本人が不利益を受けるリスクも上がる。高い有用性には、重い責任が伴うのである。

有用性のランクは、①個人情報、②個人データ、③保有個人データの順に上がっていく。「個人情報」はバラバラの状態でも有用である。例えば、1枚の名刺からは、ある人の氏名、所属、肩書、連絡先などの情報が得られる。これを名刺管理ソフト等に入力して、大量の名刺情報の中から容易に検索できるように体系化すると、一層有用になる。このようにデータベース等の中に組み込まれた個人情報のことを「個人データ」という。さらにこれを6か月を超えて継続利用する場合、長期にわたって個人データに活用でき、なお一層有用である。この状態の個人データのことを「保有個人データ」という。

ランクごとにルールの概要を見ていこう。

⑴ 個人情報

個人情報には、取得・利用に関するルールが適用される。

【取得】につき、不正な手段による取得は禁止されている。特に要配慮個人情報については、本人の事前同意がなければ取得できない。

【利用】にあたっては、利用目的をできる限り特定しなければならない。そして、自ら特定した利用目的の範囲内で利用しなければならない。利用目的は通知または公表しなければならない。これはプライバシーポリシーという形で公表されていることが多い。

⑵ 個人データ

個人データには、個人情報に適用される全てのルールに加えて、管理・提供に関するルールが適用される。

【管理】につき、情報セキュリティのために安全管理措置を講じることとされている。また、ベネッセの個人情報漏洩事件のように、委託先の従業員などから個人情報が漏洩するリスクがあるため、従業者・委託先の監督義務が課されている。なお、データはなるべく正確かつ最新の内容に保ち、不要になったら消去することとされているが、これは努力義務である。

【提供】にあたっては、原則として本人の事前同意が得なければならない(本人が事前に同意することを「オプトイン」という)。例外的に個人情報保護委員会への届出等をすることで、本人の事前同意なく第三者に提供し、本人から求められたら提供を停止するという方式をとることができる(これを「オプトアウト」による第三者提供という)。ただし、要配慮個人情報については、オプトアウトによる第三者提供はできない。

また、データの流通経路をたどれるように、第三者提供をした場合の記録作成・保存、第三者提供を受けた場合の提供元等の確認が義務付けられている。

⑶ 保有個人データ

保有個人データには、個人データに適用される全てのルールに加えて、本人対応に関するルールが適用される。

【本人対応】につき、本人は個人情報取扱事業者に対して保有個人データの①開示、②訂正等、③利用停止等を請求できる。また、保有個人データを持たれていることを本人が知り得る状態でなければ①~③を請求しようがないため、個人情報取扱事業者には保有個人データに関する事項の公表または通知が義務付けられている。

5.まとめ

個人情報保護法には3つのカテゴリーがあり、その中核をなす「個人情報」のカテゴリーは有用性のランクが上がるごとにルールが追加されるという3層構造になっている。これが個人情報保護法の全体像である。一つ一つのルールは細かいが、全体像が分かっていれば、必要に迫られてルールの詳細を調べるときにも役に立つかと思う。

図3:個人情報保護法の全体像

松澤 邦典
この記事を書いた人
骨董通り法律事務所弁護士
東京大学法学部卒、東京大学法科大学院修了。2015年に弁護士登録(東京弁護士会)。骨董通り法律事務所For the Arts所属。著書に『わかって使える商標法』(共著・太田出版)、『Q&A引用・転載の実務と著作権法〔第4版〕』(共著・中央経済社)など。