官邸メールを急いでいた。もちろん理由がある。
日弁連もうひとつキャンペーン
総務省ネット犯罪撲滅キャンペーン
NHK解体キャンペーン
外患罪適用キャンペーン
スパイ法制定キャンペーン
在日特権剥奪キャンペーン
以上を新春早々開始する。
企業法務・顧問弁護専門サイトベリーベストから部分引用
1、要配慮個人情報とは?
(1)個人情報とは?
通常、私たちは特に意識することなく「個人情報」と言いがちですが、個人情報保護法では同法第2条第1項で、「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものと定められています。
氏名、生年月日その他の記述等…により特定の個人を識別することができるもの(同条項第1号)
個人識別符号が含まれる情報(同条項第2号)
(2)要配慮個人情報とは?
個人情報のなかには、人種、思想、犯罪歴、病歴等の他人に公開されることで本人が不当な差別や偏見などの不利益を被ってしまうような情報もあります。このような種類の個人情報について、改正前の個人情報保護法には規定がなく、個別の法令やガイドラインで措置をとることとされていました。また、プライバシーマークの規格である「JISQ150001」にも、思想、信条、人種、宗教等を機微情報と位置づけ、一定の場合を除き、その取得、利用または提供を行ってはならないとされていました。
そこで、平成29年5月30日に施行された改正法により、機微な個人情報の定義と規定を明確化したうえで新たに「要配慮個人情報」という区分が設けられ、「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報」(個人情報保護法第2条第3項)と定められています。
(3)要配慮個人情報の規定が新設された背景
平成29年に個人情報保護法が改正された背景は、改正前の個人情報保護法が施行されたあとに何が個人情報に該当するのか、第三者提供はどこまで許容されるのかなど、個人情報の定義や取り扱いに関するグレーゾーンが顕在化したことにあります。
特に改正法の要配慮個人情報に該当する機微な個人情報については、個人情報を不正入手するなどの事件が相次いだことを受け、その取り扱いに関して厳格化する必要性もあがっていました。
また、個人情報の取り扱いに関する法制度について国際的調和の必要性が生じたことも、要配慮個人情報の規定が新設された背景のひとつです。具体例としては、ヨーロッパの「EU個人データ保護指令」があげられます。この指令では、個人データをEU域内から移転できる国であると認められる条件のひとつとして、個人情報保護の施策がEU諸国同等の水準であるという「十分性認定」を得ていることを規定しています(同指令第25条)。この指令に対応する一環として、要配慮個人情報の規定を新設する必要があったのです。
(4)適用対象となる事業者
個人情報保護法では、個人情報データベース等(個人情報を含む情報の集合物で、パソコン等で検索することができるように体系化されたもの等)を事業の用に供していると、法人・個人に関係なく「個人情報取扱業者」になると規定されています(個人情報保護法第2条第5項、同条第4項)。これは従業員の個人情報であっても例外ではありません。個人情報取扱業者に該当した場合は、個人情報保護法の諸規定に従った個人情報の適切な管理が求められることになります。
2、要配慮個人情報の具体例
個人情報保護法第2条第3項では、要配慮個人情報について「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報」と規定しています。以下で、個人情報保護法、同施行令、個人情報の保護に関する法律についてのガイドライン(以下「ガイドライン」といいます)に基づく具体例および注意点をみてみましょう。
(1)人種(同3項)
人種には、民族的・種族的出身やアイデンティティなどが広く該当します。具体例としては、「在日○○人」、「○○地区・○○部落出身」、「日系○世」が挙げられます。ただし、国籍は単なる法的地位に過ぎないため、要配慮個人情報には該当しません。また、肌の色についてもそれだけでは人種を推知させるだけのものに過ぎないため、やはり要配慮個人情報に該当しません。
(2)信条(同3項)
信条とは、個人の基本的な考え方を意味し、思想と信仰の両者を包含します。具体例としては、信仰する宗教、政治的・倫理的な思想などがあげられます。
3)社会的身分(同3項)
4)病歴(同3項)
5)犯罪の経歴(同3項)
6)犯罪により害を被った事実(同3項)
7)身体障害、知的障害、精神障害(発達障害を含む)その他の個人情報保護委員会規則で定める心身の機能の障害があること(同3項、同施行令第2条第1号)
8)本人に対して医師その他医療に関連する職務に従事する者(次号において「医師等」という)により行われた疾病の予防及び早期発見のための健康診断その他の検査(同号において「健康診断等」という)の結果(同第3項、同施行令第2条第2号)
3、要配慮個人情報を取り扱うときに注意すべき点
個人情報取扱業者は、原則として要配慮個人情報の取得を禁止されています(個人情報保護法第17条第2項柱書)。そして、要配慮個人情報を取得するには、例外を除き、本人の事前の同意を得る必要があり、事後的な同意により追完することは認められません。
また、要配慮個人情報については、事前に本人に対して個人データを第三者提供することについて何らかの形で通知しておき、本人が明確な反対をしないかぎりこれに同意したものとして本人の個人データを第三者に提供をする行為、いわゆるオプトアウト方式は禁止されています(同法第23条第2項柱書)。そのため、要配慮個人情報を第三者に提供する場合は、同法第23条第1項各号、同条第5項各号に該当する以外には、基本的に事前に本人の同意を得ていたうえで行うオプトイン方式でなければならないのです。
5、違反した場合の罰則
個人情報保護法における個人情報取扱業者の監督機関は、個人情報保護委員会です。個人情報保護委員会は、個人情報取扱事業者に対する指導・助言と併せて、それに個人情報取扱業者従わない場合のペナルティとして措置勧告・措置命令を行う権限が与えられています。
もし、個人情報取扱業者が個人情報保護委員会の勧告や命令に違反した場合は6か月以下の懲役または30万円以下の罰金(個人情報保護法第84条、同法第42条第2項、同第3項)、個人情報保護委員会に対して報告を怠った場合や虚偽の報告を行った場合あるいは検査を忌避した場合は30万円以下の罰金(同第85条、同第40条第1項、同第56条)がそれぞれ科されます。また、不正な利用目的で個人情報を盗み出したり第三者へ提供した場合は、1年以下の懲役または50万円以下の罰金(同第83条)が科されます。
このほか、不正な個人情報の流出により被害を受けた人から、民事上の損害賠償を請求されることも考えられます。
6、まとめ
要配慮個人情報の新設に伺えるとおり、個人情報保護に関する各種規制は今後ますます厳格化・複雑化することが予想されます。特に個人情報の第三者提供や取得経緯などについては、悪質な違反事例が後を絶たないため、個人情報保護委員会および個人情報を提供している人々の個人情報取扱業者に対する監視の目は、より一層厳しくなるものと考えられます。
......
投稿
プライバシー侵害訴訟の相手方代理人である板倉陽一郎弁護士による、改正個人情報保護法の解説を入手しました。これによると、嶋﨑氏に個人情報を無条件交付した神奈川県弁護士会には法違反があると思われます。また、懲戒請求者一人一人の同意を得ずに、「単独(個別)の不法行為」として見ず知らずの人とまとめて提訴することにより、別の懲戒請求者に個人情報を渡したことも法違反になると思われます。個人情報保護法の第一人者である板倉弁護士の仰ることですので、間違いないと考えます。該当ページのPDFを添付し、重要箇所をいかに抜粋して太字および赤字にしました。
改正個人情報保護法のパラダイムチェンジとは? 板倉弁護士が読み解く法規制とビジネス対応
個人情報保護法
板倉陽一郎
弁護士会、弁護士(事務所)は個人情報保護法の対象である。
現時点では個人情報保護法は民間事業者を対象にしており、公的機関は含まれていない[※3]。国の行政機関については「行政機関個人情報保護法」、独立行政法人等については「独立行政法人等個人情報保護法」、また地方公共団体(具体的に遵守することとなるのは都道府県庁、市町村役場、教育委員会、公立学校、公立病院など)が保有する個人情報については各地方公共団体が策定する「個人情報保護条例」が適用される。
マーケティングにおいては、3つめの「個人情報を他人に渡す時のルール」が重要だ。個人情報を本人以外の第三者に提供する時は原則として本人の同意を得なければならない。第三者提供先が海外の場合は、さらに上乗せの義務がある。
・個人情報:個人情報データベースに保管される前の、氏名や生年月日その他の記述等によって特定の個人を識別できるもの、および個人識別符号が含まれるものを指す。時々、誤解している人がいるが、「氏名や生年月日」が個人情報なのではない。それらの情報によって特定の個人が特定できる場合には、その生存する個人に関する情報すべてが個人情報となるのであって、氏名や生年月日はその例のひとつにすぎない。この段階では「取得・利用に関するルール」が適用される。
・個人データ:個人情報データベース等を構成する個人情報のことで、通常、第三者提供などで問題となるのはこの段階である。「データベース」は電子的なものをイメージしやすいが、紙のデータベースも含まれる。この段階では「保管に関するルール」と「提供に関するルール」が適用される。
データを提供する側/される側、どちらが規律に服するのか
ここで板倉氏はひとつ、複雑だがおぼえておいたほうがいいルールを挙げた。
マスキングは個人情報保護の観点からは不十分
個人データの一部を第三者に提供する際、個人情報のうち、特定の個人を識別できる情報だけをマスキングすれば個人情報ではなくなるから、本人の同意を得なくても第三者に提供してもいいのではと思う人もいるかもしれない。ここで問題になるのは、個人データを提供する側と提供される側、どちらを基準に容易照合性を判断するのかという点だ。
というのも、現在では民間事業者のIT化によって、通常の業務従事者の能力で照合できる範囲が拡大している。「このデータを切り離せば個人を特定できないだろう」と思って提供した先で、別のデータと照合することによって個人が特定できる可能性が高まっているのだ。
この状況を踏まえて、個人情報保護法では、個人情報を取得した事業者に、一義的に、本人の権利利益を保護する義務を課している(提供元基準)。したがって、個人情報データベース等の一部を提供するのであれば、それはすべて個人データの第三者提供にあたる。提供する部分に特定の個人を識別可能な情報が含まれていなくても(たとえば履歴情報のみであっても)、個人データの第三者提供の規律に服すことになり、提供元が本人の同意を取得する必要がある。たとえ提供先で個人を識別できなくても、個人の権利を保護する義務は提供元にあることに注意してほしい。
第三者提供の制限
1.第三者提供の制限
第23条
1 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
① 法令に基づく場合(民間日弁連が勝手に作った決めごとは法令ではなく対象外)
② 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
③ 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
④ 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
2 個人情報取扱事業者は、第三者に提供される個人データ(要配慮個人情報を除く。以下この項において同じ。)について、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。
① 第三者への提供を利用目的とすること。
② 第三者に提供される個人データの項目
③ 第三者への提供の方法
④ 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
⑤ 本人の求めを受け付ける方法
3 個人情報取扱事業者は、前項第2号、第3号又は第5号に掲げる事項を変更する場合は、変更する内容について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければならない。
4 個人情報保護委員会は、第2項の規定による届出があったときは、個人情報保護委員会規則で定めるところにより、当該届出に係る事項を公表しなければならない。前項の規定による届出があったときも、同様とする。
5 次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
① 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
② 合併その他の事由による事業の承継に伴って個人データが提供される場合
③ 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
6 個人情報取扱事業者は、前項第3号に規定する利用する者の利用目的又は個人データの管理について責任を有する者の氏名若しくは名称を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
第23条第1項第2号
「人」は、自然人のみならず法人等の団体も含み、また、他人に限らず、個人情報の本人も含まれます。
「本人の同意を得ることが困難であるとき」には、本人の急病で意識不明の状態にある等、物理的に同意が得がたい場合のみならず、本人が悪質なクレーマーであることの情報のように、本人が第三者提供に同意することが期待しがたい場合も含みます。
第23条第1項第4号
第4号の例としては、事業者が警察官、税務署・税関の職員等の任意の求めに応じて個人情報を提出する場合、国や地方公共団体が行う統計調査に対して事業者が回答する場合が挙げられます。
第23条第2項
「第三者に提供される個人データ(要配慮個人情報を除く。以下この項において同じ。)について、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合」とは、住宅地図業者(表札や郵便受けを調べて住宅地図を作成販売する業者)やデータベース業者(ダイレクトメール用の名簿等を作成販売する業者)が、第三者に提供すること自体を利用目的として取得した個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者提供を停止すること(オプトアウト)をいいます。
なお、要配慮個人情報については、オプトアウトにより第三者に提供することはできず、23条1項各号の例外に当たるか、又は予め本人の同意を得る必要があります。
Comentarios