一般企業法務CATEGORY
一般企業法務
代表弁護士 中川 浩秀

意外と知られていない。個人情報保護法の対象や守るべきルール

年々、個人情報の取扱いが厳しくなってきている印象があります。

これは、高度情報化社会の進展に伴い個人情報の利用が拡大しており、大手企業でも個人情報の流出事故が多発しているため、強化されるのは必然ですし法令上でも整備が進んでいます。

個人情報の取扱いに関しては、「個人情報の保護に関する法律」(通称「個人情報保護法」)に規定されています。コンプライアンスという側面から企業としてもしっかりと対応しなければならなりません。その中で、個人情報保護法の表記や内容はどのように決定すれば良いのかは難しい問題です。

そこで今回は、個人情報保護法について改めて学ぶとともに、表記の仕方や作成方法、それらを弁護士に依頼する場合の費用がどの程度かかるのかなどについて紹介します。

個人情報とは?

「個人情報」という言葉は、普段ニュースや新聞などで頻繁に目にします。しかし、「個人情報」とは具体的にどんなものかについて正しく説明できる人は少ないのが実情です。

そこで、個人情報とは一体どのようなものなのかについて最初に詳しく解説します。
個人情報保護法において、「個人情報」は以下のように定義されています。

生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述などによって特定の個人を識別できるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)、または個人識別符号が含まれるもの。(個人情報保護法2条)

ここから読み取れるポイントとしては、まずは「生存する個人」に関する情報であるという点です。
よって、例えばすでに亡くなられた方の情報は個人情報に該当しません。

また、次に重要なポイントは、「個人を識別できるもの」であることです。
その例として、条文では当該情報に含まれる「氏名」、「生年月日」、「その他の記述」が該当するとなっています。

よって、氏名と生年月日は個人情報の対象となりますし、「その他の記述」という文言があり、「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む」とあるためで、氏名や生年月日以外の情報の多くも「個人情報」に該当する可能性があります。

具体的には、主に以下が「個人情報」に該当すると言われています。

  • 氏名
  • 性別
  • 生年月日
  • 職業
  • 家族関係
  • メールアドレス
  • 個人が特定できる写真、動画、音声
  • インターネットや電話帳などで硬化されている個人に関連する情報
  • 死者に関する情報
  • 外国人の情報
  • 法人の代表者の情報
  • 行政機関に持ち込まれた相談事案の処理票に記載された相談の内容や処理の経過
  • 採用試験の結果

例えば、メールアドレスは、一般的には特定の個人を識別する性質を持つものではありませんが、契約しているプロバイダーにとっては、他の情報と照合して個人を特定することが可能となるため、「個人情報」といえます。

さて、ここで疑問となるのが、死者に関する情報です。
最初に「生存する個人」が対象となると説明しましたので、矛盾に感じてしまいますよね。

この件に関しては、総務省が出している見解があります。すなわち、死者に関する情報においても当該情報が遺族等の生存する個人に関する情報に該当する場合は、生存する個人を本人とする情報として「個人情報」に当たるとしています。
具体的には、死者に関する情報である相続財産などの情報の中に相続人の氏名の記載があるケースが想定されます。
他にも、外国人に関する情報についても、国籍などの区別なく個人情報に該当しますし、公人や公務員であっても、個人であることに変わりはありませから、対象から除外されていないことになりますので、取扱いに注意が必要となります。

このように、直接的でなくても間接的に個人情報に該当する場合もあるので、個人情報に当たるかどうかについては、細心の注意を払う必要があります。

個人情報保護法の歴史

個人情報がどういうものかについて理解できたところで、日本における個人情報保護の歴史について紹介します。
実は、個人情報保護法の歴史はまだまだ浅く、成立したのは2003年5月23日のことです。
5月30日に公布され、第4章〜第6章以外の規定が即日施行されて、その後2005年4月1日に全面施行にシフトしています。
日本以外の国では、既に個人情報の取扱についての整備が進んでいて、1980年にはOECD理事会においてプライバシー保護と個人データの国際流通についてのガイドラインに関するOECD理事会勧告が採択されています。

これによって、各国が個人情報について以下の8原則を取り入れて立法が進みました。

  • 収集制限の原則
  • データ内容の原則
  • 目的明確化の原則
  • 利用制限の原則
  • 安全保護の原則
  • 公開の原則
  • 個人参加の原則
  • 責任の原則

ただ、日本では法整備がなかなか進まず、OECD理事会勧告から20年以上経過したタイミングで、やっと法整備が進行し始めます。
OECD理事会勧告以外にも、以下の流れがあったことによって個人情報保護法の整備が進められた経緯があります。

  • 情報化社会の進展とプライバシー問題の認識が進んだこと
  • 個人情報保護法制定に対しての世界的潮流
  • 地方公共団体の個人情報保護条例の増加
  • EU一般データ保護規則(欧州連合指令)
  • 電子商取引におけるプライバシー保護に関する要請
  • 住民基本台帳法の改正による個人情報保護法制の要請

注目すべきは、地方公共団体の個人情報保護条例の増加という理由です。
これは、条例という地方自治体レベルでは制定が進むのに、「法律」という国家レベルでは整備が停滞していることを意味していました。しかし、国際的な流れもあって、個人情報保護法が2003年に成立・一部施行、2005年に全面施行されてました。

改正個人情報保護法の概要

2005年から全面施行されている個人情報保護法ですが、2017年5月30日に改正個人情報保護法が施行されています。
従来の法律から、大きく4つの内容が追加もしくは明確化されているのが特徴です。

1. 個人識別符号の追加

個人情報保護法第2条で個人情報の定義が規定されているのですが、第1項2号で、「個人識別符号が含まれるもの」というのが追加されています。そして、その第2項1号で、「個人識別符号」を以下のように定義しています。

「特定の個人の身体の一部の特徴を・・・(一部省略)変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの」(個人情報保護法2条2項1号)

要するに、個人情報保護法2条2項1号でいう「個人識別符号」とは個人の身体的特徴をデータ化したものを指します。
例えば、指紋は人それぞれ異なるので、「指紋」・「DNA」・「声紋」といった情報は「特定の個人を識別できる情報」であるため、「個人識別符号」となります。
「個人識別符号」が含まれるこれらの情報は、「個人情報」になり得ます。

また、個人情報保護法2条2項2号では、「個人識別符号」を以下のようにも定義しています。

「個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの」(個人情報保護法2条2項2号)

要するに、個人情報保護法2条2項2号でいう「個人識別符号」とは個人に割り当てられるカード番号等の情報を指します。

例えば、運転免許証番号やパスポートの番号、基礎年金番号、クレジットカードの番号、マイナンバーも「個人識別符号」となります。

「個人識別符号」が含まれるこれらの情報は、「個人情報」になり得ます。

2. 要配慮個人情報の新設

改正個人情報保護法の中でも、個人識別符号と同様に大きな変化点となったのが「要配慮個人情報」という考えが追加された点です。
「要配慮個人情報」とは、第2条第3項で以下のように定義されています。

「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報」(個人情報保護法2条3項)

従来から問題とされていたのは、どんな宗教を信仰しているか、過去にどんな犯罪行為を行ったかなどの情報は、その取扱い方によっては本人に不等な差別や偏見を生む可能性があるということです。
この点について、EUから日本が個人情報保護法が個人情報保護に関する十分な措置を行っていると認められなかったため、「要配慮個人情報」を追加して国際的なレベルでの個人情報保護を事業者に求める形となったのです。

3. 個人情報取扱事業者の範囲拡大

中小企業にとって大きな変更となったのが、「個人情報取扱事業者」の範囲拡大です。
従来は、取り扱う個人データが5,000件を超える企業が対象となっていたのに対して、改正後は5,000件以下の小さな企業も「個人情報取扱事業者」として法令を遵守しなければならなくなりました。

4. 個人情報のグローバル対応

改正個人情報保護法の適用範囲が国境を超えてグローバル化しました。外国執行当局への情報提供なども法律に追加されています。

個人情報保護法で企業が得られるもの

個人情報保護法によって、個人は個人情報を保護されるので安心感が高まりますが、企業側にとってメリットは殆どありません。
唯一、個人情報を適切に取り扱いプライバシーポリシー(その企業やサービスの個人情報保護の方針を記載したもの)を明確にすることで、より安心感や信頼性を高めることができる効果があります。

利用者によっては、本当に適切に個人情報を取り扱ってくれているのか不安なサービスは利用しにくいものです。
そこで、プライバシーポリシーがしっかりしているサービスは安心して利用してもらえるので、企業にとって事業拡大のチャンスが広がる可能性はあります。

個人情報保護法を遵守する上での注意点は?

コンプライアンスの観点からも、個人情報保護法を遵守することは非常に重要なこととなります。
まずは、個人情報を取得する目的を明確に宣言することが重要です。

また、要配慮個人情報を取得する場合は、原則として本人の同意を得る必要があります。

次に、得た個人情報は絶対に漏洩しないように、安全管理措置を徹底することが求められます。
例えば、個人データへのアクセスについてはパスワードで保護するなどの対策はです。

他にも、従業員や業務委託先に対しても個人情報の扱い方に関して指導・監督をする、教育を施すなどの対策も重要です。
個人情報の第三者提供を行う場合は、本人からの同意が必要となりますし、提供を受け取る場合も受領者の氏名等を記録して一定期間保存する必要が生じます。

すべてに個人情報保護法が適用されるわけではない!

個人情報保護法が適用される範囲は、すべての事業者となっています。
これだけ見ると、どの事業者も適用されるように感じますし、個人情報保護委員会は発行しているハンドブックでも、紙やデータで名簿を管理している事業者は、すべて「個人情報取扱事業者」となり、法の対象になるとしています。

ただ、唯一小規模の事業者の事業が円滑に行われるように配慮する目的として、安全管理措置については一部の事業者を除き、従業員の数が 100 人以下の中小規模事業者に対して特例的な対応方法を取ることが認められています。

最低限実施すべき内容としては、安全管理体制の構築、個人情報の取扱いに関するマニュアル化、漏洩時の対処方法の確立などがあります。

守られていない!と指摘された場合の対処法は?

改正個人情報保護法においては、もし個人情報が漏洩したなどの問題が発生した場合は、本人が個人情報取扱事業者に対して「開示」、「訂正等」、「利用停止等」、「第三者提供の停止」の請求権を有することが定められました。

しかし、本人は開示請求等を求めていきなり訴訟提起を行う行うことができず、あらかじめ裁判外で請求を行う必要があります。そして、その請求の意思表示が到達した日から2週間を経過すれば、その訴えを提起することができます(個人情報保護法34条1項)。
なぜこのような内容となっているかというと、個人情報の取扱いに関しては基本的に裁判によって争うのではなく、当事者同士での解決がが望まれていること、また当事者にとっては裁判による負担が大きいためです。

ただし、個人情報取扱事業者が開示等の請求を拒んだ場合、本人は、2週間を待たず訴えを提起することができます(個人情報保護法34条1項但書)。
裁判上の訴えと同じく、仮処分命令の申立てについても2週間を経過した後でなければ行うことができません(個人情報保護法34条3項)。

もし、個人情報取扱事業者が法の定める義務に違反し、個人情報保護委員会の改善命令にも違反した場合は、6ヶ月以下の懲役または30万円以下の罰金が処されることになります(個人情報保護法84条)。
個人情報に関して争いが生じた場合は、弁護士に対応を依頼して適切に対処することが望まれます。

個人情報の取扱い・管理体制の構築

個人情報の取扱いは重要ですが、その管理については効率良く運用することもまた重要です。

具体的には、個人情報保護の体制を構築し、個人情報の取扱いに関する規程類を社内で若しくは外部の専門家の力を借りて整備し、外部の専門家のチェックを受けるなどの事例があります。

扱う個人情報の種類によってセキュリティの水準を変え、機械的管理とソフトな管理を使い分けるなどによって、適切な管理を実現した例もあり、創意工夫によっては個人情報の管理にかかる人的工数を削減することも可能です。

プライバシーポリシーを作成したい

個人情報を取り扱う場合、初期段階に最も頭を悩ませるのが個人情報保護法の取扱いに関する表記やその内容についてです。
個人情報保護法の取扱いに関する表記とは、事業主がどのような範囲において、どのような個人情報を収集し、それをどのような目的で利用するのかなどを明確に表現したものです。

「プライバシーポリシー」(「個人情報保護方針」ともいいます。)という名称でも知られており、主にインターネット・ウェブサイト上で表記されています。
プライバシーポリシーで宣言する項目として、主に以下の4項目があります。

  • 利用の目的について
  • 第三者への提供について
  • 共同利用について
  • 保有個人データについて

また、プライバシーポリシーによって個人情報取扱事業者に課せられた義務に関する項目を記載することができます。

  • 個人情報を取得した場合の利用目的
  • 個人情報取扱事業者の氏名または名称
  • 保有個人データの利用目的
  • 開示などの請求に応じるための手続
  • 保有個人データに関する苦情の申出先
  • 個人情報取扱事業者が認定個人情報保護団体の対象事業者であるときの認定個人情報保護団体の名称および苦情の申出先

ただし、このプライバシーポリシーに記載すべき内容は、個人情報保護法や個人情報の取扱い方に関する知識がないと作成が困難です。
特に、中小企業のように社内に法律の専門家がいない企業の場合は、なおさら作成が難しい項目となっています。

そこで、プライバシーポリシーの作成を専門家に依頼したいというニーズが出てきます。

プライバシーポリシーの作成に関しては、法律の専門家である弁護士が適任です。

プライバシーポリシーの作成を弁護士に依頼するとどのぐらいの費用がかかるのか?

実際に弁護士にプライバシーポリシーの作成を依頼する場合の費用ですが、「それ単体」であれば、5万~10万円というのが相場です。
「それ単体」と記載したのが、プライバシーポリシーは何らかのウェブサービスやスマートフォンアプリの利用規約とセットで作成することが多いからです。その場合の費用は、合計で20~30万円というのが相場です。
あわせて「特定商取引法の表記」も作成することも多いです。

まとめ

今回は、主に個人情報保護法の全体的な内容について述べ、プライバシーポリシーを作成についても述べました。
個人情報の取扱いはコンプライアンス上非常に重要ですので、適切に取り扱うことが重要です。個人情報の取得にあたっては、プライバシーポリシーをしっかりとしたものにして、個人情報を提供する利用者に信頼してもらうことが重要です。
今回ご説明した内容を理解いただき、適切かつ効率的な個人情報の管理体制を構築することが望ましいです。

東京スタートアップ法律事務所では、個人情報の取扱方法、利用者から開示等の請求があった場合の対処法、管理体制の構築などについて法的なアドバイスを提供させていただいております。
また、その企業に合わせたプライバシーポリシーの作成も行っております。
どうぞお気軽にご相談ください。

代表弁護士中川 浩秀 東京弁護士会
2010年司法試験合格。2011年弁護士登録。東京スタートアップ法律事務所の代表弁護士。同事務所の理念である「Update Japan」を実現するため、日々ベンチャー・スタートアップ法務に取り組んでいる。