個人情報保護法は、その名の通り「個人情報」に関する法律になります。
ところで、そもそも「個人情報」には、どのような情報が当てはまるのでしょうか。
今回のコラムでは、「個人情報」とは何かについて解説します。
第1 個人情報保護法とは
個人情報保護法(正式名称:個人情報の保護に関する法律)は、平成15年に成立した法律です。平成17年から全面的に施行されました。
この法律は、個人情報の適切な取り扱いに関し、個人情報の有用性に配慮しつつ、個人の権利利益の保護を図ることを目的としています。
平成28年には、国の機関として個人情報保護委員会が設立され、個人情報保護法のガイドラインの策定・公表や、事業者に対する監督などを行っています。
この法律については、たびたび改正がなされています。
第2 個人情報保護法における「個人情報」とは
1 個人情報とは(概要)
個人情報保護法では、個人情報について、以下のように規定しています。
【個人情報保護法第2条第1項】
この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
(1) 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第2号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
(2) 個人識別符号が含まれるもの
以上のとおり、個人情報保護法での「個人情報」とは、生きている個人に関する情報であることを前提に、
①特定の個人であると分かるもの(氏名、住所、生年月日等)及び他の情報と紐づけることで容易に特定の個人であると分かるもの
②個人識別符号が含まれるもの
と定義されています。
以下、具体的なケースを見ていきます。
2 個人情報に該当するか否かの具体例
⑴ 氏名(のみ)
氏名については、同姓同名の方がほかに存在する可能性も考えられます。
もっとも、特定の個人であると分かるかどうかは、社会通念上、一般人の判断力や理解力をもって識別できるか否かによって判断されます。
そして、氏名については、それだけで個人情報に該当すると考えられています。
⑵ 住所や電話番号、メールアドレスのみ
住所や電話番号、メールアドレスといった情報のみしかない場合であっても、それらを他の情報と容易に照合することにより、特定の個人を認識することができる場合には、照合先の情報と合わせて、全体として個人情報に該当する可能性があります。
なお、メールアドレスについては、自分の氏名を入れている場合もあります。
そのような場合には、そのメールアドレスだけで、個人情報に該当します。
⑶ 公表されている個人情報
新聞や雑誌などには、個人の氏名が掲載されていることがあります。
また、企業(法人)の代表者氏名については、インターネット上で公表されていることもあります。
これらについては、多くの場合、自発的に個人情報(氏名等)を公にしているため、保護の必要性が無いようにも思えます。
ただ、個人情報保護法では、すでに公表されている情報か否かで区別せず、保護の対象とされています。
なお、法人(企業や団体など)自体は生きている「個人」ではないため、法人情報は「個人情報」には含まれません。
⑷ 亡くなった方の情報
個人情報保護法の第2条第1項において、「個人情報」とは、生存する個人に関する情報であることを前提としています。
したがって、亡くなった方の情報は、個人情報保護法における「個人情報」には該当しないことになります。
もっとも、亡くなった方の相続人等の情報は、生きている個人の情報になりますので、個人情報保護法における「個人情報」に該当し、保護の対象となります。
⑸ 防犯カメラの映像
防犯カメラにより、特定の個人を識別することができる映像を取得する場合には、その映像は「個人情報」となります。
ただし、一般的には、個人情報を取り扱う場合には、利用目的を本人に通知し、又は公表しなければなりませんが、防犯カメラの設置状況等から利用目的が「防犯目的」であることが明らかである場合には、個人情報保護法の第21条第4項第4号における「取得の状況からみて利用目的が明らかであると認められる場合」に該当し、利用目的の通知や公表は不要となります。
なお、防犯カメラ映像から、顔特徴データを取得して、防犯のために使用するという場合には、従来の防犯カメラの場合と異なり、犯罪を防止するといった目的にとどまりません。
そのため、顔識別機能を用いていることも明らかにして、利用目的を特定する必要があります
また、顔識別機能のあるカメラシステムを利用する場合には、設置されたカメラの外観等からは、犯罪防止目的で顔識別機能が用いられていることを認識することは困難です。
そのため、個人情報保護法の第21条第4項第4号における「取得の状況からみて利用目的が明らかであると認められる場合」に該当しませんので、個人情報の利用目的を本人に通知し、又は公表しなければなりません。
第3 「個人情報」に該当する場合に受ける規律
1 取得、利用するとき
個人情報取扱事業者は、個人情報を取り扱うに当たっては、どのような目的で個人情報を利用するのかについて、具体的に特定し、かつ、あらかじめホームページ等により公表するか、本人に知らせなければなりません(個人情報保護法第17条第1項、第21条第1項)。
そして、取得した個人情報は、利用目的の範囲で利用しなければなりません。
もし、個人情報を特定した利用目的の範囲外のために利用したい場合には、あらかじめ本人から同意を得る必要があります(個人情報保護法第18条第1項)。
2 保管するとき
取得した個人情報については、漏えい等の事態が生じないよう、安全に管理するための必要な措置を講じなければなりません(個人情報保護法第23条)。
必要な措置としては、例えば、パスワードの設定、鍵を掛けられる場所に収納するなどの対応が考えられます。
なお、個人データの漏えい等が発生し、個人の権利利益を害するおそれが大きいとされている一定の場合には、個人情報保護委員会へ報告し、かつ、本人に通知する義務があります(個人情報保護法第26条第1項、第2項)。
3 第三者への提供をするとき
個人データを本人以外の第三者に提供するときは、原則として、あらかじめ本人の同意が必要となります。
ただし、法令に基づく場合等には、本人の同意を得る必要はありません(個人情報保護法第27条第1項)
また、第三者へ提供したときには、一定事項を記録し、保存する義務があります(個人情報保護法第29条)。
4 開示請求等を受けたとき
本人は、個人情報取扱事業者に対し、「保有されている個人データが、事実でない」という理由によって、内容の訂正、追加又は削除の請求をすることができます。
そのような請求を受けた事業者は、利用目的の達成に必要な範囲で、遅滞なく必要な調査を行う必要があります。
そして、その結果に基づき、必要があれば訂正等を行わなければなりません。
また、本人は、個人情報取扱事業者に対して、当該本人の保有個人データが、
・個人情報保護法第18条の規定に違反して、本人の同意なく目的外の利用がされている
・個人情報保護法第19条の規定に違反して、不適正な利用が行われている
・個人情報保護法第20条の規定に違反して、偽りその他不正の手段により個人情報が取得されている/本人の同意なく要配慮個人情報が取得されたものである
という理由によって、利用の停止や消去の請求をすることができます。
さらに、本人は、個人情報取扱事業者に対して、当該本人の保有個人データに関し、
・利用する必要がなくなった場合
・当該本人が識別される保有個人データに係る法第26条第1項本文に規定する事態が生 じた場合
・当該本人の権利又は正当な利益が害されるおそれがある場合
のいずれかの場合に該当するときは、利用停止等(利用の停止や消去)の請求をすることができます。
本人から、これらの請求を受けたときは、法律に則って適切に対応する必要があります。
第4 まとめ
個人情報の取扱いについては、近年の意識の高まりによって、消費者や利用者、顧客も強い関心を持っていることが多いと思われます。
どのようなものが個人情報に該当し、個人情報保護法の適用を受けるのか、適切に判断する必要があります。
