フランチャイズ本部の法律業務をサポートして20年以上の経験と実績をもつ法律事務所

〒101-0041 東京都千代田区神田須田町1丁目4番地8
NCO神田須田町2階

03-3254-5665

受付時間

9:00~18:00(土日祝祭日は除く)

お気軽にご相談ください

個人情報保護法に関するよくある質問Q&A

「改正個人情報保護法の概要と実務上の留意点」

~すべての事業者に義務付けられる個人情報管理のポイント~

 個人情報の保護に関する法律(個人情報保護法)の改正法が2017530日に完全施行されました。旧法では、常時取り扱う個人情報の数が5000件を超えない事業者については、適用対象外とされていましたが、改正個人情報保護法では、取り扱う個人情報の数にかかわらず、個人情報を取り扱うすべての事業者が「個人情報取扱事業者」に該当し、個人情報保護法に則って、安全かつ適切に個人情報を取り扱うことを求められることになりました。

 また、改正法では、個人情報の定義が明確化され、新たに設けられた「要配慮個人情報」やマイナンバーを含む「特定個人情報」については、厳格な管理が事業者に義務付けられることになりました。

 改正法下において、すべての事業者は、個人情報保護法の内容を理解し、新たに策定されたガイドラインに則って、顧客や取引先の個人情報のみならず、従業員やその家族の個人情報を適切に取り扱わなければなりません。

 そこで、本コーナーでは、改正個人情報保護法の概要、および事業者が顧客や従業員等の個人情報を取り扱う際の留意点について、Q&A形式で解説します。

 

個人情報保護法はどうして改正されたのか?

個人情報保護法改正の背景には、社会環境の変化により、同法が制定された当時には想定されていなかった様々な問題が顕在化してきたという事情があります。

 具体的には、IT技術の急速な進展により、膨大なパーソナルデータ(個人の行動・状態等に関するデータ)の収集・分析が可能となり、パーソナルデータを活用した新たなビジネスやサービスが期待されるようになりました。しかし、旧個人情報保護法では、事業者が利用できる個人情報の範囲が曖昧であったために、いわゆる「グレーゾーン」問題が発生していました。

 また、グローバル化が進む中で、個人情報が国境を越えてやり取りされることが増えていますが、日本の個人情報保護法は個人情報保護先進国が求めるレベルに達していないとされ、EU諸国から日本への個人情報の自由な移転が禁じられていました。そのため、現地法人をもつ企業等では、親子会社間での個人情報のやり取りが困難な状況となっていました。

さらに、20146月にベネッセコーポレーションの業務委託先の社員が3万5千件を超える個人情報を持ち出して名簿業者に売り渡していたことが発覚し、名簿業者に流れた個人情報が犯罪に利用されたり、プライバシー侵害につながったりすることに対する社会的不安が一気に高まりました。

 こうした背景事情の下、個人情報保護法とマイナンバー法を同時に改正する法律が2015年9月3日に成立しました。また、この改正に伴い、それまで各主務大臣が策定していた27分野・38本にわたる個人情報に関するガイドラインは、個人情報取扱事業者に対する一元的な監督権限を有することになった「個人情報保護委員会」が新たに策定したガイドラインに一本化されることになりました。

 

 

改正法では個人情報の定義に新たに「個人識別符号」が追加されましたが、具体的にどのようなものが個人識別符号にあたりますか?

     旧法では、個人情報は、次のように定義されていました。

 

「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別できることになるものを含む)。」

 

 改正法では、いわゆる「グレーゾーン」をなくして、より客観的かつ容易に個人情報に該当するか否かを判断できるように、個人情報保護法第2条(定義)おいて、「文書、図画若しくは電磁的記録に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項」や、「個人識別符号が含まれるもの」が個人情報の定義に追加されました。そして、具体的にどのようなものが「個人識別符号」に当たるかについては、政令(個人情報の保護に関する法律施行令)で定められています。

 これにより、顔認識データや指紋認証データ、防犯カメラに録画された画像、ボイスレコーダーに録音された音声などのほか、マイナンバー、旅券番号、運転免許証番号などの公的機関が発行する番号も個人情報に該当することが明確になりました。

  なお、携帯電話番号やクレジットカード番号のように民間企業が消費者との契約に基づいて発行する番号については、様々な契約形態や運用実態があり、いかなる場合においても特定の個人を識別することができるとは限らないことから、個人識別符号には当たらないとされています。

 ただし、これらの番号も、氏名等の他の情報と容易に照合することができ、それによって特定の個人を識別することができる場合は、個人情報に該当します。

 

 

「要配慮個人情報」とは、どのようなものですか?

改正法では、「要配慮個人情報」の概念が新設され、本人に対する不当な差別、偏見その他の不利益が生じるおそれのある情報については、一般的な個人情報よりも厳格に保護されることになりました。

 要配慮個人情報とは、「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして、政令(個人情報の保護に関する法律施行令)で定める記述等が含まれる個人情報」のことをいいます。

 

「要配慮個人情報」に該当する情報

①人種

 民族的・種族的出身や世系

 ※「外国人」という情報は、法的地位であり人種に含まれない。

②信条

 思想や信仰等、個人の内心の基本的考え方

③社会的身分

 その境遇として固着していて、一生の間、自らの力によって脱し得ないような地位

 ※学歴や職業的地位は社会的身分に含まれない。

④病歴

 ガンに罹患した経歴等

⑤犯罪の経歴

 業務上横領罪の前科、万引きの前科等

⑥犯罪により害を被った事実

 空き巣に入られた、暴行を受けた等

⑦心身の機能障害

 身体障害者手帳、療育手帳の交付を受けている等

⑧健康診断等の結果

 健康診断の結果、ストレスチェックの結果、特定健康診査の結果等

 ※会社が法人契約しているフィットネスクラブが保有している従業員の身長、体重、

  血圧、脈拍、体温等の個人の健康情報は「健康診断の結果」には当たらない。 

⑨健康診断の結果に基づき診療または調剤は行われたこと

 健康診断等の結果により医師または保健師が行う保健指導、面接指導等

⑩刑事事件の手続きが行われたこと(犯罪の経歴を除く)

 逮捕、捜査、差押え、勾留、公訴の提訴等の刑事手続きを受けた事実

⑪少年の保護事件の手続きが行われたこと

 少年法に基づき、調査、観護の措置、審判、保護処分等の手続きを受けた事実

 

 要配慮個人情報は、原則として、予め本人の同意を得ないで取得することはできません。オプトアウトによる第三者提供も認められません。ただし、法令に基づく場合や、委託、事業承継、および共同利用に該当する場合は、あらかじめ本人の同意を得ることなく取得、利用または第三者提供を行うことができます。

 なお、要配慮個人情報とよく似た概念に、「機微情報」があります。金融分野のガイドラインでは、「個人情報取扱事業者は、要配慮個人情報ならびに労働組合への加盟、門地、本籍地、保護医療および性生活に関する情報(以下「機微(センシティブ)情報」という)について、取得、利用または第三者提供を行わないこととする」と規定されています。

 事業者は、従業員の要配慮個人情報を取り扱うにあたっては、新ガイドラインに則って取り扱うことはもとより、要配慮個人情報に該当しない個人情報についても、従業員のプライバシーを侵害しないよう、十分な配慮が必要とされます。

 

「要配慮個人情報」に該当しない情報の例
①本籍地
②国籍
③反社会的勢力に該当する事実
④運転免許証の条件等および臓器提供意思の確認欄
⑤労働組合への加盟
⑥性生活
⑦介護に関する情報

※ここに記載している情報は、パブリックコメントで取り上げられた情報です。

 

 

個人情報の第三者提供に関する義務は強化されたとのことですが、具体的にどのように強化されたのですか?

第三者提供に関する義務強化のポイントは、次の3つです。
① 第三者提供に伴う届け出義務の新設
② 第三者提供を行った際、および第三者から提供を受けた際の記録
  の作成・保存
③ 「個人情報データベース等不正提供罪」の新設

 

 今回は、①の届出義務について解説します。

 本人の事前の同意なく個人データを第三者に提供し、本人の求めがあった場合には、第三者への提供を停止するという方法により個人データを第三者に提供することを「オプトアウトによる第三者提供」といいます。オプトアウトによる第三者提供を行う個人情報取扱事業者は、次の事項についてあらかじめ本人がわかる状態にしておく必要があります。

 

①  第三者への提供を利用目的とすること
②  第三者に提供される個人データの項目
③  第三者への提供の方法

④  本人の求めに応じて本人が識別される個人データの

   第三者への提供を停止すること

⑤  本人の求めを受け付ける方法

 

 改正法では、オプトアウトによる第三者提供を行う個人情報取扱事業者に対し、これらの事項について個人情報保護委員会に届け出ることを義務付け、個人情報保護委員会がその内容を公表することが規定されています。

 そして、施行規則により、個人情報取扱事業者自身も、個人情報保護委員会に届け出た内容について、自ら公表しなければならないとされています。

 公表の方法について、新ガイドラインでは、インターネットで行うことが望ましいとしていますが、インターネット以外の方法も認められています。

 自社従業員の個人情報に関してオプトアウトによる第三者提供が行われるケースとしては、建設事業や構内作業を伴う事業者が安全管理のために元請け企業からの求めに応じて自社従業員の名簿を提出することなどが想定されますが、このような場合についても、オプトアウトによる第三者提供を行うにあたっては、個人情報保護委員会への届出が必要となります。

 なお、給与計算等の情報処理を委託している外部事業者に自社従業員の個人データを開示するなど、委託業務の遂行に必要な範囲で委託先に個人情報を開示する場合には、第三者提供の問題は生じません。

 

 

 

※改正個人情報保護法Q&Aは順次更新していきます。

 

 

 

******以下は改正前の解説となります******

 

個人情報保護法の目的とは?

個人情報の有用性に配慮しながら、個人の権利利益を保護することを目的としています。

個人情報保護法は、個人情報の有用性に配慮しながら、個人の権利利益を保護することを目的としています。

従って、個人情報の取り扱いについては、個人情報の「保護」と「利用」のバランスを図ることが重要となります。

個人情報とは? 

生存する個人に関する情報で、特定の個人を識別することができるものをいいます。

メールアドレスは個人情報か?

特定の個人を識別することができない場合には、個人情報に該当しません。

記号や文字がランダムに並べられているものなど、特定の個人を識別することができない場合には、個人情報に該当しません。

ただし、ユーザー名やドメイン名から特定の個人を識別することができる場合、あるいは別に名簿などがあり、それとマッチングすることにより個人を特定できる場合は、個人情報に該当します。

死者の情報は個人情報か?

死者の情報は、個人情報保護法で保護される個人情報には該当しません。

映像や音声は個人情報か?

特定の個人が識別できる場合は、個人情報に該当します。

法人に関する情報は、個人情報か?

個人情報に該当しません。

法人その他団体の情報は、個人情報に該当しません。

ただし、法人情報の中に個人に関する情報が含まれる場合には、その部分については個人情報に該当します。

従業員の情報は、個人情報か?

従業員の情報も個人情報です。

従業員番号や学席番号、パソコンIDなどは、個人情報に該当するか?

個人情報に該当します。

特定の個人が識別できれば個人情報に該当します。

また、別に管理する名簿などと容易に照合することができ、特定の個人を識別することができる場合も、個人情報に該当します。

新聞やインターネット上で公表されている個人情報は、個人情報保護法の保護対象?

保護対象となります。

「個人データ」とは?

「個人情報データベース等」を構成する個人情報をいいます。

「個人情報データベース等」とは?

個人情報を含む情報の集合物で、特定の個人情報を電子計算機で検索できるように体系的に構成したものです。

個人情報を含む情報の集合物で、特定の個人情報を電子計算機を用いて検索できるように体系的に構成したもの、またはこれに準ずるものをいいます。

また、コンピュータを用いずに紙面で処理したものであっても、目次、索引、符号等を付して他人が容易に検索できるような状態にあるものも、個人情報データベース等に該当します。

「保有個人データ」とは? 

個人情報取扱事業者が開示等の権限を有する個人データです。

個人情報取扱事業者が開示等の権限を有する個人データで、その存否が明らかになることにより公益その他の利益が害されるもの、または6カ月以内に消去することになるもの以外のものをいいます。

個人情報取扱事業者とは?

個人情報データベース等を事業の用に供している者をいいます。

国の機関、地方公共団体および独立行政法人等を除く、個人情報データベース等を事業の用に供している者をいいます。

ただし、事業の用に供する個人情報データベース等を構成する個人情報によって特定される個人の数が、過去6カ月以内のいずれの日においても5000を超えない者は除外されます。

現在は5000以上の個人情報をもっていなくても、過去半年のうち一日でも個人情報の合計が5000を超えていたら、個人情報取扱業者に該当します。

個人情報取扱事業者に該当した場合届出等の手続が必要?

届出等の手続は何もありません。

個人情報取扱事業者でなければ、個人情報保護法上の規定を遵守する義務はない? 

事業者は、個人情報の保護に自主的に取り組むことが求められます。

義務はありません。

ただし、事業分野によっては、各省庁の定めるガイドラインにおいて、個人情報取扱事業者に該当しない事業者に対してもガイドラインの遵守を求めている場合があります。

また、たとえ個人情報取扱事業者に該当しない場合であっても、社会的要請として、事業者は、個人情報の保護に自主的に取り組むことが求められます。

市販の電話帳や名簿のみを用いて事業活動している場合、個人情報取扱事業者に該当するか?

名簿等を編集したり加工したりせずにそのまま用いている場合は、個人情報取扱事業者に該当しません。

年賀状を出すために知人の住所等をデータベース化して管理していると個人情報保護法の適用を受けるか?

個人が私的な目的で個人情報を扱う場合には、個人情報保護法は適用されません。

自治会や町内会、あるいは同窓会などの団体も個人情報取扱事業者として個人情報保護法の適用を受けるか?

過去6カ月以内に5000件を超える個人情報を取り扱っていれば適用を受けます。

個人情報保護法にいう「事業」とは、一定の目的をもって反復継続的に行われる行為の総体を指し、営利・非営利を問わないことから、過去6カ月以内に5000件を超える個人情報を取り扱っていれば適用を受けます。

外国法人も個人情報保護法の適用を受けるか?

日本国内で活動する外国法人も適用を受けます。

これに対し、外国で活動する日本法人は、個人情報保護法の適用を受けません。

防犯カメラの設置に関して個人情報保護法上の問題はないか?

防犯目的でカメラを設置する場合、取得された個人情報の利用目的が明らかであることから、利用目的の公表は必要とされません。

防犯カメラで取得される個人情報は、個人情報保護法の保護対象となることから、不正な意図をもった隠し撮りなどは、個人情報保護法違反となります。

ただし、防犯目的でカメラを設置する場合、取得された個人情報の利用目的が明らかであることから、利用目的の公表は必要とされません。

契約書やアンケート用紙などから個人情報を取得する場合の注意点は?

原則として、予め本人に利用目的を明示することが必要です。

書面(電子メールやウェブサイトの画面を含みます)に記載された個人情報を取得する場合には、原則として、予め本人に利用目的を明示することが必要です。

アンケートはがきを送付する場合、個人情報を覆うシールは必要か?

取得する情報の内容などによっては必要とされる場合もありますが、一律に必要とされるものではありません。

市販されている名簿を処分する場合も、シュレッダーにかける必要ありか?

市販の名簿であれば、シュレッダーにかけずに廃棄しても問題ありません。

学校や地域で名簿を作成・配布してはいけない? 

そういうことはありません。

ただ、名簿の配布は、個人情報の第三者提供にあたるため、個人情報取扱事業者の場合は、本人の同意をとるか、あるいは、同意にかわる措置をとることが必要となります。

個人情報取扱事業者は、個人データを第三者に提供する場合、都度、本人の同意をえなければならないか?

必ずしも第三者提供の度ごとに同意を得ることが必要とされる訳ではありません。

情報の取得時に包括的同意を得ておくことも可能です。

個人情報の取扱に関して法定代理人等から同意を得る必要がある子供とは、何歳程度の子供をいうのか?

一般に12歳から15歳までの年齢以下を指すと考えられます

個人情報の利用とは?

特に定義はありません。個人情報を保管しているだけでも利用に該当します。

利用目的に関する制限はあるか?

ありません。他の法令や公序良俗に反しない範囲で自由に利用できます。

「お友達キャンペーン」で本人からその友人の個人情報を取得することは違法か?

違法ではありません。

住民基本台帳を閲覧して取得した個人情報を使ってDMを送ることはできるか?

できません。DM送付目的で住民台帳を閲覧することは違法です。

社内報に個人情報を掲載する場合、本人の同意が必要か?

社内のみで配布する場合には同意をとる必要はありません

社内のみで配布する場合には同意をとる必要はありませんが、取引先にも配布する場合には、第三者提供に当たりますので、同意を得る必要があります。

グループ企業全体で採用の応募を行う場合、グループ企業間で個人情報を共同利用しても問題ないか?

グループ企業間で個人情報を採用活動の目的で共同利用する旨がHP等で予め明示されていれば問題ありません。

「個人データを正確かつ最新の内容に保つよう努めなければならない」とは、具体的にはどのようなことをすればよいのか?

利用目的が達成できる程度に更新等をすることが必要です

個人情報保護管理者を選任する場合、特段の資格等は必要か?

資格は必要ありません。

従業員が個人情報を漏えいした場合、従業員に対して損害賠償請求することは可能か?

可能です。ただし、誓約書等で予め損害賠償の額を定めたり、違約金を定めたりすることは労働基準法に違反します

社内に従業員の連絡網を貼り出してもよいか?

問題ありません。ただし、社外の人の目に触れないところに貼り出すなどの配慮が必要です。

個人情報の複製を行った場合、複製物はどのように扱うべきか?

原本と同様に扱う必要があります。

東京都千代田区の弁護士事務所「フランテック法律事務所」は、IPOを目指すベンチャー企業さま、新興市場に上場している企業さま、フランチャイズあるいはIT系の中小企業さま、ソーシャルメディアに関心のある企業さまの法律業務を中心にお手伝しております。
経験豊富な弁護士が親切・丁寧に相談にのりますので、お気軽にご相談ください。
労務問題にお困りの企業さまには社会保険労務士と共にご対応いたします。

お電話でのお問合せ・ご相談の予約はこちら

初回見積り相談無料

03-3254-5665

受付時間:9:00~18:00 (土日祝祭日は除く)

担当:毎熊(まいくま)・永島(ながしま)