フランチャイズ本部・IT企業の法律業務をサポートして20年以上の経験と実績をもつ法律事務所

フランテック法律事務所
〒101-0041 東京都千代田区神田須田町1丁目4番地8
NCO神田須田町2階

03-3254-5665

受付時間

9:00~18:00(土日祝祭日は除く)

お気軽にご相談ください

個人情報保護法に関するよくある質問Q&A

「改正個人情報保護法の概要と実務上の留意点」

~すべての事業者に義務付けられる個人情報管理のポイント~

 個人情報の保護に関する法律(個人情報保護法)の改正法が2017530日に完全施行されました。旧法では、常時取り扱う個人情報の数が5000件を超えない事業者については、適用対象外とされていましたが、改正個人情報保護法では、取り扱う個人情報の数にかかわらず、個人情報を取り扱うすべての事業者が「個人情報取扱事業者」に該当し、個人情報保護法に則って、安全かつ適切に個人情報を取り扱うことを求められることになりました。

 また、改正法では、個人情報の定義が明確化され、新たに設けられた「要配慮個人情報」やマイナンバーを含む「特定個人情報」については、厳格な管理が事業者に義務付けられることになりました。

 改正法下において、すべての事業者は、個人情報保護法の内容を理解し、新たに策定されたガイドラインに則って、顧客や取引先の個人情報のみならず、従業員やその家族の個人情報を適切に取り扱わなければなりません。

 そこで、本コーナーでは、改正個人情報保護法の概要、および事業者が顧客や従業員等の個人情報を取り扱う際の留意点について、Q&A形式で解説します。

 

個人情報保護法はどうして改正されたのか?

個人情報保護法改正の背景には、社会環境の変化により、同法が制定された当時には想定されていなかった様々な問題が顕在化してきたという事情があります。

 具体的には、IT技術の急速な進展により、膨大なパーソナルデータ(個人の行動・状態等に関するデータ)の収集・分析が可能となり、パーソナルデータを活用した新たなビジネスやサービスが期待されるようになりました。しかし、旧個人情報保護法では、事業者が利用できる個人情報の範囲が曖昧であったために、いわゆる「グレーゾーン」問題が発生していました。

 また、グローバル化が進む中で、個人情報が国境を越えてやり取りされることが増えていますが、日本の個人情報保護法は個人情報保護先進国が求めるレベルに達していないとされ、EU諸国から日本への個人情報の自由な移転が禁じられていました。そのため、現地法人をもつ企業等では、親子会社間での個人情報のやり取りが困難な状況となっていました。

さらに、20146月にベネッセコーポレーションの業務委託先の社員が3万5千件を超える個人情報を持ち出して名簿業者に売り渡していたことが発覚し、名簿業者に流れた個人情報が犯罪に利用されたり、プライバシー侵害につながったりすることに対する社会的不安が一気に高まりました。

 こうした背景事情の下、個人情報保護法とマイナンバー法を同時に改正する法律が2015年9月3日に成立しました。また、この改正に伴い、それまで各主務大臣が策定していた27分野・38本にわたる個人情報に関するガイドラインは、個人情報取扱事業者に対する一元的な監督権限を有することになった「個人情報保護委員会」が新たに策定したガイドラインに一本化されることになりました。

 

 

改正法では個人情報の定義に新たに「個人識別符号」が追加されましたが、具体的にどのようなものが個人識別符号にあたりますか?

     旧法では、個人情報は、次のように定義されていました。

 

「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別できることになるものを含む)。」

 

 改正法では、いわゆる「グレーゾーン」をなくして、より客観的かつ容易に個人情報に該当するか否かを判断できるように、個人情報保護法第2条(定義)おいて、「文書、図画若しくは電磁的記録に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項」や、「個人識別符号が含まれるもの」が個人情報の定義に追加されました。そして、具体的にどのようなものが「個人識別符号」に当たるかについては、政令(個人情報の保護に関する法律施行令)で定められています。

 これにより、顔認識データや指紋認証データ、防犯カメラに録画された画像、ボイスレコーダーに録音された音声などのほか、マイナンバー、旅券番号、運転免許証番号などの公的機関が発行する番号も個人情報に該当することが明確になりました。

  なお、携帯電話番号やクレジットカード番号のように民間企業が消費者との契約に基づいて発行する番号については、様々な契約形態や運用実態があり、いかなる場合においても特定の個人を識別することができるとは限らないことから、個人識別符号には当たらないとされています。

 ただし、これらの番号も、氏名等の他の情報と容易に照合することができ、それによって特定の個人を識別することができる場合は、個人情報に該当します。

 

 

「要配慮個人情報」とは、どのようなものですか?

改正法では、「要配慮個人情報」の概念が新設され、本人に対する不当な差別、偏見その他の不利益が生じるおそれのある情報については、一般的な個人情報よりも厳格に保護されることになりました。

 要配慮個人情報とは、「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして、政令(個人情報の保護に関する法律施行令)で定める記述等が含まれる個人情報」のことをいいます。

 

「要配慮個人情報」に該当する情報

①人種

 民族的・種族的出身や世系

 ※「外国人」という情報は、法的地位であり人種に含まれない。

②信条

 思想や信仰等、個人の内心の基本的考え方

③社会的身分

 その境遇として固着していて、一生の間、自らの力によって脱し得ないような地位

 ※学歴や職業的地位は社会的身分に含まれない。

④病歴

 ガンに罹患した経歴等

⑤犯罪の経歴

 業務上横領罪の前科、万引きの前科等

⑥犯罪により害を被った事実

 空き巣に入られた、暴行を受けた等

⑦心身の機能障害

 身体障害者手帳、療育手帳の交付を受けている等

⑧健康診断等の結果

 健康診断の結果、ストレスチェックの結果、特定健康診査の結果等

 ※会社が法人契約しているフィットネスクラブが保有している従業員の身長、体重、

  血圧、脈拍、体温等の個人の健康情報は「健康診断の結果」には当たらない。 

⑨健康診断の結果に基づき診療または調剤は行われたこと

 健康診断等の結果により医師または保健師が行う保健指導、面接指導等

⑩刑事事件の手続きが行われたこと(犯罪の経歴を除く)

 逮捕、捜査、差押え、勾留、公訴の提訴等の刑事手続きを受けた事実

⑪少年の保護事件の手続きが行われたこと

 少年法に基づき、調査、観護の措置、審判、保護処分等の手続きを受けた事実

 

 要配慮個人情報は、原則として、予め本人の同意を得ないで取得することはできません。オプトアウトによる第三者提供も認められません。ただし、法令に基づく場合や、委託、事業承継、および共同利用に該当する場合は、あらかじめ本人の同意を得ることなく取得、利用または第三者提供を行うことができます。

 なお、要配慮個人情報とよく似た概念に、「機微情報」があります。金融分野のガイドラインでは、「個人情報取扱事業者は、要配慮個人情報ならびに労働組合への加盟、門地、本籍地、保護医療および性生活に関する情報(以下「機微(センシティブ)情報」という)について、取得、利用または第三者提供を行わないこととする」と規定されています。

 事業者は、従業員の要配慮個人情報を取り扱うにあたっては、新ガイドラインに則って取り扱うことはもとより、要配慮個人情報に該当しない個人情報についても、従業員のプライバシーを侵害しないよう、十分な配慮が必要とされます。

 

「要配慮個人情報」に該当しない情報の例
①本籍地
②国籍
③反社会的勢力に該当する事実
④運転免許証の条件等および臓器提供意思の確認欄
⑤労働組合への加盟
⑥性生活
⑦介護に関する情報

※ここに記載している情報は、パブリックコメントで取り上げられた情報です。

 

 

従業員の健康診断の結果等の取扱いについて、なにか変更点はありますか?

従前における規律水準と比較して変更はなく、事業者は、これまでと同様に適切に取り扱うよう留意すべきとされています

 

 従業員の心身の健康に関する情報は、要配慮個人情報であり、事業者は、その取扱いについて十分に留意する必要があります。この点について、「雇用管理に関する個人情報のうち健康情報を取り扱うにあたっての留意点について」(平成29年5月29日付個人情報保護委員会事務局長・厚生労働省基準局長通知)では、健康診断の結果等の健康情報の取扱いについて、新ガイドラインの通則編に定める措置の実施にあたっては、従前における規律水準と比較して変更はなく、事業者においてこれまでと同様に適切に取り扱うよう留意すべきとされています。

 

 また、この通知では、「HIV感染症やB型肝炎等の職場において感染したり、蔓延したりする可能性が低い感染症に関する情報や、色覚検査等の遺伝性疾病に関する情報については、職業上の特別な必要性がある場合を除き、事業者は、労働者等から取得すべきではない。ただし、労働者の求めに応じて、これらの疾病等の治療等のため就業上の配慮を行う必要がある場合については、当該就業上の配慮に必要な情報に限って、事業者が労働者から取得することは考えられる。」とされています。

 

 実際に、ガンを患った従業員の仕事と治療の両立や、メンタルヘルス不調者の休職や職場復帰などにおいては、事業者が適切な就労環境を整備するために、本人から心身の状況に関する情報を取得したうえで、他の従業員と情報を共有することが必要になるものと思われます。要配慮個人情報の取得については、従業員の業務量の調整、適正配置等を行ううえで不可欠な情報か否か、従業員に対する就業上の配慮を行ううえで必要な情報であるかなどを判断基準として、取得する情報の範囲および利用目的を定めることが求められます。

 

 取得した要配慮個人情報について、職場の上司や同僚等と情報を共有することは「第三者提供」には当たらないため、本人の同意は必要とされません。ただし、情報の共有にあたっては、本人のプライバシーに配慮し、情報を共有する対象者や共有する情報の範囲(具体的病名は公表しないなど)について本人と事前に話し合い、本人の意向を確認したうえで、慎重に判断する必要があります。

 

 なお、従業員が要配慮個人情報に該当する情報をSNSなどを使ってインターネット上で自ら公開(限定公開は除く)している場合、閲覧するだけであれば、「取得」にあたりませんが、当該情報を記録する行為は、「取得」にあたるため、本人の事前の同意が必要となります。

 

個人情報の第三者提供に関する義務は強化されたとのことですが、具体的にどのように強化されたのですか?

第三者提供に関する義務強化のポイントは、次の3つです。
① 第三者提供に伴う届け出義務の新設
② 第三者提供を行った際、および第三者から提供を受けた際の記録
  の作成・保存
③ 「個人情報データベース等不正提供罪」の新設

る名簿

 今回は、①の届出義務について解説します。

 本人の事前の同意なく個人データを第三者に提供し、本人の求めがあった場合には、第三者への提供を停止するという方法により個人データを第三者に提供することを「オプトアウトによる第三者提供」といいます。オプトアウトによる第三者提供を行う個人情報取扱事業者は、次の事項についてあらかじめ本人がわかる状態にしておく必要があります。

 

①  第三者への提供を利用目的とすること
②  第三者に提供される個人データの項目
③  第三者への提供の方法

④  本人の求めに応じて本人が識別される個人データの

   第三者への提供を停止すること

⑤  本人の求めを受け付ける方法

 

 改正法では、オプトアウトによる第三者提供を行う個人情報取扱事業者に対し、これらの事項について個人情報保護委員会に届け出ることを義務付け、個人情報保護委員会がその内容を公表することが規定されています。

 そして、施行規則により、個人情報取扱事業者自身も、個人情報保護委員会に届け出た内容について、自ら公表しなければならないとされています。

 公表の方法について、新ガイドラインでは、インターネットで行うことが望ましいとしていますが、インターネット以外の方法も認められています。

 自社従業員の個人情報に関してオプトアウトによる第三者提供が行われるケースとしては、建設事業や構内作業を伴う事業者が安全管理のために元請け企業からの求めに応じて自社従業員の名簿を提出することなどが想定されますが、このような場合についても、オプトアウトによる第三者提供を行うにあたっては、個人情報保護委員会への届出が必要となります。

 なお、給与計算等の情報処理を委託している外部事業者に自社従業員の個人データを開示するなど、委託業務の遂行に必要な範囲で委託先に個人情報を開示する場合には、第三者提供の問題は生じません。

 

第三者提供の際の記録の作成について教えてください。

事業者は、個人データを第三者に提供する際には、第三者の氏名や提供した個人データの項目等について記録を作成して保存する義務があります。他方、第三者から個人データを受領した際にも、第三者の氏名や取得の経緯、提供を受けた個人データの項目等について、記録の作成・保存が必要とされます。

 

 改正法では、いわゆる名簿業者対策として、個人情報の流通経路のトレーサビリティ確保のため、個人データを第三者に提供した際に記録を作成すること、また、第三者から提供を受けた際にも、原則として当該個人データの取得の経緯などを確認し、その記録を作成・保存することが個人情報取扱事業者に義務付けられました。

 

この記録は、国内に限らず、外国にある事業者との間で個人データを授受する場合にも作成する必要があります。たとえば、近時では国内外の大学からインターンシップ生を受け入れる企業が増えていますが、大学からインターンシップ生の個人情報を受領する際も、記録の作成・保存が必要となります。

 

 実務上対応しなければならない事項の詳細は、ガイドラインの「第三者提供時の確認・記録義務編」に規定されていますので、個人データを第三者に提供する場合、または第三者から受領する場合は、ガイドラインの内容を確認し、適切に対応することが必要とされます。

 

ただし、委託、事業承継、共同利用等による提供に該当する場合は、記録の作成・保存義務の適用はありません。また、ガイドラインでは、記録作成義務が適用されないケースとして、次の例が挙げられています。

 

     ① SNS上で投稿者のプロフィール、投稿内容を取得する場合

②事業者が顧客から電話で契約内容の紹介を受けたため、社内の担当者の氏名、連絡先等を当該顧客に案内する場合

③提供者が氏名などを削除するなどして個人が特定できないようにしたデータの提供を受けた場合

 

[第三者提供した際の記録事項]

 

提供年月日

第三者の氏名等

本人の氏名等

個人データの項目

本人の同意

オプトアウトによる第三者提供

 

本人の同意による

第三者提供

 

出典:個人情報保護法ガイドライン(確認記録義務編)

 

[第三者から受領した際の記録事項]

 

提供を受けた年月日

第三者の氏名等

取得の経緯

本人の氏名等

個人データの項目

個人情報保護委員会による公表

本人の同意

オプトアウトによる

第三者提供

 

本人の同意による

第三者提供

 

 

私人などのからの

第三者提供

 

 

 

出典:個人情報保護法ガイドライン(確認記録義務編)

 

[記録の保存期間]

 

保存期間

記録の作成方法

本人を当事者とする契約書等に基づく個人データの授受について記録する場合

最後に当該記録に係る個人データの提供した日または提供を受けた日から起算して1年を経過する日までの間

特定の事業者との間の継続的または反復した個人データの授受について一括して記録を作成する場合

最後に当該記録に係る個人データを提供した日または提供を受けた日から起算して3年を経過する日までの間

  

上記以外の場合

3年間

 

 

改正法ではこれまでになかった罰則が設けられたそうですが、どのようなものですか?

個人情報取扱事業者もしくはその従業者またはこれらであった者が、その業務に関して取り扱った個人情報データベース等を不正な利益を図る目的で提供し、または盗用したときは、1年以下の懲役または50万円以下の罰金に処せられることになりました。さらに、当該従業員等の所属する法人にも両罰規定として50万円以下の罰金が科されます。

 

個人情報の保護に関する法律 第83条 

個人情報取扱事業者(その者が法人[法人でない団体で代表者又は管理人の定めのあるものを含む。第87条第1項において同じ。]である場合にあっては、その役員、代表者又は管理人)もしくはその従業者またはこれらであった者が、その業務に関して取り扱った個人情報データベース等(その全部または一部を複製し、または加工したものを含む。)を自己もしくは第三者の不正な利益を図る目的で提供し、または盗用したときは、1年以下の懲役または50万円以下の罰金に処する。

 

個人情報の保護に関する法律 第87条

第1項 法人の代表者または法人もしくは人の代理人、使用人その他の従業者が、その法人または人の業務に関して、第83条から第85条までの違反行為をしたときは、行為者を罰するほか、その法人または人に対しても、各本条の罰金刑を科する。

 

ここにいう「従業者」とは、事業者の組織内にあって直接間接に事業者の指揮監督を受けて事業者の業務に従事している者をいい、具体的には、従業員のほか、取締役、監査役、理事、監事、派遣労働者等が含まれます。

 

また、「その業務に関して取り扱った」とは、具体的に個人情報を取り扱う業務に従事していたことまでを要するものではなく、たとえば、顧客名簿等の取扱いに従事していない従業者が業務上知り得たパスワードを利用して顧客名簿のデータベースにアクセスしたうえで第三者に漏えいしたような場合にも本罪の適用があります。

 

 本罪の適用については、行為者に「不正な利益を図る目的」があることが要件とされていますが、「不正な利益」とは、入手した個人情報を第三者に販売して経済的利益を得ることなどを指します。そのため、会社に対する嫌がらせや興味本位で個人情報を持ち出した場合には、本条の適用がない可能性が高いものと思われます。

 

事業者としては、悪質な名簿業者や個人情報漏えい事件に対する社会的な危機意識が高まったことにより本罪が新設されたことを理解し、自社において個人情報の漏えい事件が発生することを未然に防止するためにも、この機会に、自社における個人情報の管理方法について確認・見直し等を行うとともに、従業者に対する個人情報の保護についての教育・研修を継続的に実施することが望まれます。

 

 海外にある業務委託先との間で従業員の個人情報をやり取りする際、注意すべき事項はありますか?

外国にある第三者に個人データを提供する際は、原則として、本人から同意を得ることが必要です。この同意は、委託、事業承継、共同利用の目的で第三者に個人データを提供する場合も必要とされます。また、オプトアウト方式により外国にある第三者へ個人情報を提供することはできません。

 改正法により、個人情報取扱事業者が海外の事業者に個人データを提供する場合には、原則として、外国にある第三者への提供を認める旨の本人の同意が必要となりました。外国にある第三者への個人データの提供については、日本国内の第三者に個人データを提供する場合とは異なり、「委託」、「事業承継」、「共同利用」に該当する場合であっても、原則として本人の事前の同意が必要となりますので、注意が必要です。

 

 「外国にある第三者」とは、日本以外の国・地域にある者であって、提供者である個人情報取扱事業者と本人以外の者をいいます。「外国にある第三者」に該当するか否かは、個人データを提供する個人情報取扱事業者と異なる法人格を有するか否かで判断されます。たとえば、同一法人の海外支店や駐在員事務所は法人格を有しないため「第三者」に該当しません。これに対して、海外にある親会社や子会社などの現地法人は、傘下のグループ企業であっても別の法人格を有するため、「外国にある第三者」に該当します。

 

 個人情報取扱事業者は、次の4つのいずれかに該当する場合に外国にある第三者に個人データの提供を行うことができます。

 

 あらかじめ、本人から「外国にある第三者への提供を認める」旨の同意を        取得した場合

 改正法第23条第1項各号のいずれかに該当する場合※1

 外国にある第三者が個人情報保護委員会が我が国と同等の水準にあると認       められる個人情報保護制度を有している国として個人情報保護委員会規則       で定める国にある場合※2

 外国にある第三者が個人情報取扱事業者が講ずべき措置に相当する措置を

    継続的に講ずるために必要な体制として規則で定める基準に適合する体制

    を整備している場合※3

※1 法令に基づいて提供する場合、人の生命、身体または財産などの権利利益が侵害されるおそれがある場合、公衆衛生の向上等のために必要な場合、および国の機関等により協力を求められた場合

※2 現時点(20188月)では個人情報保護委員会規則で定める国はありませんが、近いうちにEUがこれに該当することが予定されています。

※3 「外国にある第三者が委員会規則で定める基準に適合する体制を整備していることへの該当性については、新ガイドラインにその判断基準が規定されています。

 

[外国にある第三者への提供の可否]

 

 「外国にある第三者への提供を認める」旨の本人の同意の取得に際しては、本人が同意するか否かを適切に判断できるように、提供先の国または地域名を個別に示したり、外国にある第三者に提供する場面を具体的に特定するなどして、適切かつ合理的な方法で取得することが求められます。 

そのため、現地法人や外国にある委託先事業者等との間で従業員等の個人情報のやり取りを行っている事業者については、個人情報の取得および利用等に関する同意書を作成したり、既に同意書のフォームがある場合にはその内容の見直しを行う必要があると思われます。

欧州と日本の間で個人データのやり取りする際に注意すべき事項はありますか?

EU加盟国およびアイスランド、リヒテンシュタイン及びノルウェー(EEA)域内から十分性認定により移転を受けた個人データについては、個人情報保護委員会が2018年8月24日に公表した「個人情報の保護に関する法律にかかるEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」に則った取扱いが必要とされます。

「個人情報の保護に関する法律にかかるEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」(以下「十分性認定補完的ルール」といいます)は、日本の個人情報取扱事業者がEEA域内からEU一般データ保護規則(General Data Protection Regulation : GDPR(※1)の第45条に基づく十分性認定に基づいて個人データを移転する場合に遵守する必要があるルールです。十分性認定補完的ルールは、法的拘束力を有する規律であり、十分性認定補完的ルールに基づく権利および義務は、個人情報保護委員会の執行対象となります。また、十分性認定補完的ルールに定める権利および義務に対する侵害があった場合、本人は裁判所からも救済を得ることができます。

 

個人情報取扱事業者は、EEA域内からGDPRに基づく十分性認定により移転を受けた個人データの取扱いについて、十分性認定補完的ルールに基づき、次の5つの事項を遵守する必要があります。

 

    個人データについて、「性生活」、「性的指向」、「労働組合」に関する情報について、要配慮個人情報と同様の取扱いをすること

 

    6か月以内に消去することとなる個人データについても、保有個人データとして扱うこと

 

    確認記録義務を通じて確認した利用目的の範囲内で利用目的を特定し、その範囲で個人データを利用すること

 

    本人の同意に基づき再移転する場合は、本人が同意するために必要な移転先の状況についての情報を提供し、提供先の体制整備をもって再移転する場合は、契約等により、個人情報保護法と同水準の保護措置を実施すること

 

    個人情報保護法上の匿名加工情報として扱おうとする場合は、加工方法に関する情報を削除し、再識別を不可能なものとすること

 

 

 十分性認定補完的ルールは、EEA域内からGDPRに基づく十分性認定により移転を受けた個人データの取扱いに関して適用されるものであり、標準契約条項(SCC(※2)や拘束的企業準則(BCR(※3)などに基づいて移転を受けた個人データには適用されません。

 

 なお、GDPRに基づく十分性認定の時期については、日欧の共同プレースメントにおいて「両者は、2018年の秋までに日・EU間の相互の円滑な個人データ移転の枠組みが運用可能となるために必要とされる関連国内手続きを完了させることにコミットする」と宣言されていますが、具体的な時期については、今のところ明らかになっていません。

 

 

※1 EU一般データ保護規則(General Data Protection RegulationGDPR)は、欧州経済領域(European Economic AreaEEAEU加盟28か国およびアイスランド、リヒテンシュタイン、ノルウェー)の個人データ保護を目的とした管理規則であり、個人データの移転と処理について法的要件が定められているものです。

 

※2 2018525日から適用が開始されたGDPRでは、EEA内からEEA外への個人データの移転は原則として違法とされていますが、データ輸出者とデータ輸入者との間で標準的契約条項(Standard contractual clausesSCC)を締結することが、移転が適法と認められるためのひとつの手段とされています。

 

※3 拘束的企業準則(Binding Corporate RulesBCR)は、EU内にある企業が同じ企業の中で個人データを移転する際の方針を定めた内部規定で、主に多国籍企業によって用いられています。

 

 

 

※改正個人情報保護法Q&Aは順次更新していきます。

 

 

 

******以下は改正前の解説となります******

 

個人情報保護法の目的とは?

個人情報の有用性に配慮しながら、個人の権利利益を保護することを目的としています。

個人情報保護法は、個人情報の有用性に配慮しながら、個人の権利利益を保護することを目的としています。

従って、個人情報の取り扱いについては、個人情報の「保護」と「利用」のバランスを図ることが重要となります。

個人情報とは? 

生存する個人に関する情報で、特定の個人を識別することができるものをいいます。

メールアドレスは個人情報か?

特定の個人を識別することができない場合には、個人情報に該当しません。

記号や文字がランダムに並べられているものなど、特定の個人を識別することができない場合には、個人情報に該当しません。

ただし、ユーザー名やドメイン名から特定の個人を識別することができる場合、あるいは別に名簿などがあり、それとマッチングすることにより個人を特定できる場合は、個人情報に該当します。

死者の情報は個人情報か?

死者の情報は、個人情報保護法で保護される個人情報には該当しません。

映像や音声は個人情報か?

特定の個人が識別できる場合は、個人情報に該当します。

法人に関する情報は、個人情報か?

個人情報に該当しません。

法人その他団体の情報は、個人情報に該当しません。

ただし、法人情報の中に個人に関する情報が含まれる場合には、その部分については個人情報に該当します。

従業員の情報は、個人情報か?

従業員の情報も個人情報です。

従業員番号や学席番号、パソコンIDなどは、個人情報に該当するか?

個人情報に該当します。

特定の個人が識別できれば個人情報に該当します。

また、別に管理する名簿などと容易に照合することができ、特定の個人を識別することができる場合も、個人情報に該当します。

新聞やインターネット上で公表されている個人情報は、個人情報保護法の保護対象?

保護対象となります。

「個人データ」とは?

「個人情報データベース等」を構成する個人情報をいいます。

「個人情報データベース等」とは?

個人情報を含む情報の集合物で、特定の個人情報を電子計算機で検索できるように体系的に構成したものです。

個人情報を含む情報の集合物で、特定の個人情報を電子計算機を用いて検索できるように体系的に構成したもの、またはこれに準ずるものをいいます。

また、コンピュータを用いずに紙面で処理したものであっても、目次、索引、符号等を付して他人が容易に検索できるような状態にあるものも、個人情報データベース等に該当します。

「保有個人データ」とは? 

個人情報取扱事業者が開示等の権限を有する個人データです。

個人情報取扱事業者が開示等の権限を有する個人データで、その存否が明らかになることにより公益その他の利益が害されるもの、または6カ月以内に消去することになるもの以外のものをいいます。

個人情報取扱事業者とは?

個人情報データベース等を事業の用に供している者をいいます。

国の機関、地方公共団体および独立行政法人等を除く、個人情報データベース等を事業の用に供している者をいいます。

ただし、事業の用に供する個人情報データベース等を構成する個人情報によって特定される個人の数が、過去6カ月以内のいずれの日においても5000を超えない者は除外されます。

現在は5000以上の個人情報をもっていなくても、過去半年のうち一日でも個人情報の合計が5000を超えていたら、個人情報取扱業者に該当します。

個人情報取扱事業者に該当した場合届出等の手続が必要?

届出等の手続は何もありません。

個人情報取扱事業者でなければ、個人情報保護法上の規定を遵守する義務はない? 

事業者は、個人情報の保護に自主的に取り組むことが求められます。

義務はありません。

ただし、事業分野によっては、各省庁の定めるガイドラインにおいて、個人情報取扱事業者に該当しない事業者に対してもガイドラインの遵守を求めている場合があります。

また、たとえ個人情報取扱事業者に該当しない場合であっても、社会的要請として、事業者は、個人情報の保護に自主的に取り組むことが求められます。

市販の電話帳や名簿のみを用いて事業活動している場合、個人情報取扱事業者に該当するか?

名簿等を編集したり加工したりせずにそのまま用いている場合は、個人情報取扱事業者に該当しません。

年賀状を出すために知人の住所等をデータベース化して管理していると個人情報保護法の適用を受けるか?

個人が私的な目的で個人情報を扱う場合には、個人情報保護法は適用されません。

自治会や町内会、あるいは同窓会などの団体も個人情報取扱事業者として個人情報保護法の適用を受けるか?

過去6カ月以内に5000件を超える個人情報を取り扱っていれば適用を受けます。

個人情報保護法にいう「事業」とは、一定の目的をもって反復継続的に行われる行為の総体を指し、営利・非営利を問わないことから、過去6カ月以内に5000件を超える個人情報を取り扱っていれば適用を受けます。

外国法人も個人情報保護法の適用を受けるか?

日本国内で活動する外国法人も適用を受けます。

これに対し、外国で活動する日本法人は、個人情報保護法の適用を受けません。

防犯カメラの設置に関して個人情報保護法上の問題はないか?

防犯目的でカメラを設置する場合、取得された個人情報の利用目的が明らかであることから、利用目的の公表は必要とされません。

防犯カメラで取得される個人情報は、個人情報保護法の保護対象となることから、不正な意図をもった隠し撮りなどは、個人情報保護法違反となります。

ただし、防犯目的でカメラを設置する場合、取得された個人情報の利用目的が明らかであることから、利用目的の公表は必要とされません。

契約書やアンケート用紙などから個人情報を取得する場合の注意点は?

原則として、予め本人に利用目的を明示することが必要です。

書面(電子メールやウェブサイトの画面を含みます)に記載された個人情報を取得する場合には、原則として、予め本人に利用目的を明示することが必要です。

アンケートはがきを送付する場合、個人情報を覆うシールは必要か?

取得する情報の内容などによっては必要とされる場合もありますが、一律に必要とされるものではありません。

市販されている名簿を処分する場合も、シュレッダーにかける必要ありか?

市販の名簿であれば、シュレッダーにかけずに廃棄しても問題ありません。

学校や地域で名簿を作成・配布してはいけない? 

そういうことはありません。

ただ、名簿の配布は、個人情報の第三者提供にあたるため、個人情報取扱事業者の場合は、本人の同意をとるか、あるいは、同意にかわる措置をとることが必要となります。

個人情報取扱事業者は、個人データを第三者に提供する場合、都度、本人の同意をえなければならないか?

必ずしも第三者提供の度ごとに同意を得ることが必要とされる訳ではありません。

情報の取得時に包括的同意を得ておくことも可能です。

個人情報の取扱に関して法定代理人等から同意を得る必要がある子供とは、何歳程度の子供をいうのか?

一般に12歳から15歳までの年齢以下を指すと考えられます

個人情報の利用とは?

特に定義はありません。個人情報を保管しているだけでも利用に該当します。

利用目的に関する制限はあるか?

ありません。他の法令や公序良俗に反しない範囲で自由に利用できます。

「お友達キャンペーン」で本人からその友人の個人情報を取得することは違法か?

違法ではありません。

住民基本台帳を閲覧して取得した個人情報を使ってDMを送ることはできるか?

できません。DM送付目的で住民台帳を閲覧することは違法です。

社内報に個人情報を掲載する場合、本人の同意が必要か?

社内のみで配布する場合には同意をとる必要はありません

社内のみで配布する場合には同意をとる必要はありませんが、取引先にも配布する場合には、第三者提供に当たりますので、同意を得る必要があります。

グループ企業全体で採用の応募を行う場合、グループ企業間で個人情報を共同利用しても問題ないか?

グループ企業間で個人情報を採用活動の目的で共同利用する旨がHP等で予め明示されていれば問題ありません。

「個人データを正確かつ最新の内容に保つよう努めなければならない」とは、具体的にはどのようなことをすればよいのか?

利用目的が達成できる程度に更新等をすることが必要です

個人情報保護管理者を選任する場合、特段の資格等は必要か?

資格は必要ありません。

従業員が個人情報を漏えいした場合、従業員に対して損害賠償請求することは可能か?

可能です。ただし、誓約書等で予め損害賠償の額を定めたり、違約金を定めたりすることは労働基準法に違反します

社内に従業員の連絡網を貼り出してもよいか?

問題ありません。ただし、社外の人の目に触れないところに貼り出すなどの配慮が必要です。

個人情報の複製を行った場合、複製物はどのように扱うべきか?

原本と同様に扱う必要があります。

東京都千代田区の弁護士事務所「フランテック法律事務所」は、IPOを目指すベンチャー企業さま、新興市場に上場している企業さま、フランチャイズあるいはIT系の中小企業さま、ソーシャルメディアに関心のある企業さまの法律業務を中心にお手伝しております。
経験豊富な弁護士が親切・丁寧に相談にのりますので、お気軽にご相談ください。
労務問題にお困りの企業さまには社会保険労務士と共にご対応いたします。

お電話でのお問合せ・ご相談の予約はこちら

初回見積り相談無料

03-3254-5665

受付時間:9:00~18:00 (土日祝祭日は除く)

担当:毎熊(まいくま)・永島(ながしま)