御器谷法律事務所

企業と法律 「個人情報保護法」


1. 個人情報保護法とは、
 個人情報保護法とは、個人の利益を保護するために、個人情報を取得し取り扱っている事業者が守らなければならない義務や対応を定めた法律です。
 このような法律が成立した背景には、情報通信社会の進展に伴い、個人情報の不正利用や情報漏えいが増大したことがあります。例えば、インターネット接続会社やクレジット会社からの加入者情報や会員情報の流出という事件がマスコミでも大きく取り上げられたところです。個人情報保護法は、このような事態を防ぎ、個人の権利利益を保護することを目的として制定された法律です。
 本法律は、既に一部が施行されていますが、個人情報取扱事業者に課される義務や罰則などの規定は、平成17年4月1日から施行されました。

2. 誰の、どのような行為が問題となるのか。
(1) 誰の行為が問題になるのか
 問題になるのは個人情報保護法により個人情報を保護すべき義務を課される「個人情報取扱事業者」です。
 「個人情報取扱事業者」とは、「個人情報データベース等を事業の用に供している者」(法2条3項)を言います。
 「事業者」には、法人のみならず個人も含まれます。営利団体か非営利団体であるかを問いません。「個人情報」には顧客の情報のみならず、株主や従業員の情報も含まれます。
 例外として、保有するデータベースに含まれる個人の数の合計が過去6月以内のいずれの日にも5000人を超えない者や、情報内容に関知せず結果的に個人データを取り扱ったに過ぎない者は個人情報取扱業者に当たりません(法施行令2条)
 以下、用語の定義について若干の説明をいたします。
 「個人情報データベース等」
 「個人情報データベース等」とは、個人情報を含む情報の集合物であって1)特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの2)特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(法2条2項)を言います。
 このように、コンピュータによって検索されることが予定されているコンピュータ処理情報だけではなく、紙に書かれた個人情報でも、五十音順等でファイル管理され、容易に検索できるものは「個人情報データベース等」に当たります。
 「個人情報」
 「個人情報」とは、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)」を言います(法2条1項)。
 このような情報を「個人識別情報」と言います。氏名はもちろんのこと、生年月日など、その情報を見ればあの人のことだとわかってしまう情報であれば個人識別情報に当たります。
 暗号化されているかどうかを問いません。映像、音声の情報も含まれます。官報、電話帳、職員録などの公開情報も含まれます。
(2) 法律上、どのような義務が課されているか
 個人情報保護法によって個人情報取扱事業者に課される義務は、以下のとおりです。
個人情報の利用目的の特定、利用目的による制限(法15条、16条)
個人情報を取り扱うに当たり、その利用目的をできるだけ特定しなくてはなりません。
特定された利用目的の達成に必要な範囲を超えた個人情報の取扱いは原則として禁止されます。
個人情報の適正な取得、取得に際しての利用目的の通知等(法17条、18条)
偽りその他不正の手段による個人情報の取得が禁止されます。
個人情報を取得した際には利用目的を通知又は公表しなくてはなりません。
データ内容の正確性の確保(法19条)
利用目的の達成に必要な範囲内で個人データの正確性、最新性を確保しなくてはなりません。
安全管理措置、従業者・委託先の監督(法20条〜22条)
個人データの安全管理のために必要かつ適切な措置や従業者・委託先に対する必要かつ適切な監督をしなくてはなりません。
第三者提供の制限(法23条)
本人の同意を得ない個人データの第三者に対する提供は原則禁止されます。
本人の求めに応じて第三者に対する提供を停止しなくてはなりません。ただし、その旨その他一定の事項を通知等しているときは、第三者提供が可能です。
委託の場合、合併等の場合、特定の者との共同利用の場合(共同利用する旨その他一定の事項を通知等している場合)は第三者提供とみなされません。
公表等、開示、訂正等、利用停止等(法24条〜27条)
保有個人データの利用目的、開示等に必要な手続等についての公表をしなくてはなりません。
保有個人データの本人からの求めに応じて、開示、訂正、利用停止等しなくてはなりません。
苦情の処理(法31条)
個人情報の取扱いに関する苦情の適切かつ迅速な処理をしなくてはなりません。
 
(3) 罰則規定はどのような内容か
 個人情報取扱業者が行う事業等の所管大臣である主務大臣は個人情報取扱事業者に個人情報の取扱いに関し報告をさせることができ,この報告義務に違反するなどすると30万円以下の罰金が科されます(法57条)。
 また,個人情報取扱事業者が上記(2)の義務規定(ただし、ウの正確性の確保義務規定、キの苦情処理義務規定を除く)に違反すると、個人の権利利益保護のため必要がある場合には、主務大臣により違反行為の中止その他違反を是正するために必要な措置をとるよう勧告され(法34条1項)、勧告に従わない場合は、主務大臣により勧告に沿った措置をとるよう命令が下され(法34条2項)、この命令に違反した場合には6か月以下の懲役又は30万円以下の罰金という刑罰が科されます(法56条)。
 なお、個人情報を故意又は過失で漏洩してしまったような場合には、民法上の債務不履行責任や不法行為責任として損害賠償義務を負う場合もあるでしょう。

3. 実務でのアドバイス
 このような、義務違反を犯さないために事業者はどうしたらよいのでしょうか。
(1) まず、ハッカーや盗聴など外部からの個人情報漏えいを防ぐために技術的な情報のセキュリティをアップさせる必要があるでしょう。
(2) また、個人情報保護法を念頭においた事業者内部の体制作りも必要です。
 そのためには、1)保有個人情報を特定し、2)情報保護法を念頭においたマニュアル(事業活動の実際を想定し、利用目的の通知記録の作成、保存、個人情報の廃棄、委託先の選定基準、本人の確認方法、各種問い合わせの対応等の個人情報に関する管理方法や利用手順について具体的なもの)を策定し、3)社員に個人情報保護法教育を施すなどの必要があるでしょう。
(3) なお、経済産業の分野に関して経済産業省は、個人情報保護法の適用をまとめた「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」を策定し、平成16年6月15日に公表しました。このガイドラインでは、「利用目的の特定、通知・公表」「安全管理措置」「従業員の監督」「委託先の監督」「第三者提供の制限」について、具体的にとるべき措置を例示していますので、企業実務での重要な指針となるでしょう。

4. 経済産業省の新ガイドラインによる実務の対応
 個人情報保護法は、個人データの安全管理について、安全管理のための必要かつ適切な措置をとり(法20条)、かつ、従業者と委託先を監督することを義務付けています。
 経済産業省の新ガイドラインによれば、実務でとるべき「安全管理のための必要かつ適切な措置」として、以下のような措置が想定されています。
(1) 組織的安全管理措置
 組織的安全管理措置とは、安全管理に関する従業者の責任と権限とを明確にし、安全管理に関する規程や手順書を整備・運用し、実施状況の確認を行うなどして全社を挙げて組織的に個人データの安全管理に取り組むことをいいます。
 具体的には以下のような措置が挙げられます。
(1) 個人情報保護に関する方針を社内外に向けて宣言する。
(2) 個人情報保護管理者の設置など組織体制を整備する。
(3) 詳細な規程、マニュアル、書式などを整備し、これに基づき運用する。
(4) 社内で保有している個人データの取得日、利用目的、保管場所などを記載した個人データ取扱台帳を整備する。
(5) 社会の動向にあわせて安全管理措置を評価し、見直し、改善する。
(6) 万一、事故又は違反が起きた場合に対処できる体制を整えておく。
(2) 人的安全管理措置
 人的安全管理措置とは、社内の従業員・役員などと業務上秘密とされた個人データの非開示契約の締結や、個人情報の取扱いについて教育、訓練を実施したりすることを言います。個人情報を委託する委託先の監督も含めて考えてもよいでしょう。
 具体的には以下のような措置が挙げられます。
(1) 従業員等の採用時又は委託契約時に守秘義務契約を締結する。
(2) 従業員等に対する個人情報の取扱いに関する内部規定を周知し、教育・訓練を実施する。
(3) 委託先との委託契約の際に委託元において定められている安全管理措置の内容を委託契約に盛り込んだり、契約内容の遵守状況に関する確認を行う。
 なお新ガイドラインは、委託契約書に1)委託者及び受託者の責任の明確化、2)個人データの安全管理に関する事項、3)再委託に関する事項、4)委託者に対する報告内容・報告頻度、5)契約内容が遵守されていることの確認、6)契約内容が遵守されなかった場合における措置、7)セキュリティ事件・事故の発生時における報告、連絡に関する事項を委託契約書に記載すべきであるとしています。
(3) 物理的安全管理措置
 物理的安全管理措置とは、個人データが保管されている建物、部屋などへ入退出の管理、個人データの盗難の防止などの措置をいいます。
 具体的には以下のような措置が挙げられます。
(1) 施錠やIDカードなどにより入退室の管理が施された安全管理区画を設置する。
(2) 離席時における個人データの管理などを取り決めるなど、個人データの盗難などに対する対策を検討する。
(3) 機器・装置の物理的な保護を図る。
(4) 技術的安全管理措置
 技術的安全管理装置とは、個人データ及びそれを取り扱う情報システムへのアクセス制御、不正ソフトウェア対策、情報システムの監視など個人データに対する技術的な安全管理措置を施すことをいいます。
 具体的には以下のような措置が挙げられます。
(1) アクセス権限を与える従業員数を制限するなど個人データへのアクセスを制御する。
(2) ウイルス検出ソフトウェアの導入など情報システムに対する不正ソフトウェアへの対策を講ずる。
(3) 個人データを暗号化する。
(4) 個人データを取り扱う情報システム等を監視する。

5. 判例や実務の対応
 個人情報流出による損害賠償請求訴訟における認容額等の推移については、次のような判例等があります。
 (1) 宇治市住民基本台帳データ流出事件
最高裁判所 平成14年7月11日判決
  1人あたり、1万5000円を認容。       
 (2) 早稲田大学中国前国家主席講演会参加者名簿提出事件
最高裁判所 平成15年9月12日判決
 1人あたり、5000円〜1万円を認容。
 (3) ヤフーBB事件
大阪地方裁判所 平成18年5月19日判決
  1人あたり、6000円を認容。      
 (4) 実務上、1人500円の商品券配布も。
ヤフーBB等。
 (5) TBCエステ情報流出事件
東京地方裁判所 平成19年2月8日判決
  1人あたり、2万2000円〜3万5000円を認容。
    (東京高裁 平成19年8月28日判決 -上記地判を支持)
 この個人情報保護法につきましても、遠慮なく当事務所宛ご相談ください
企業法務の法律相談へ

執務の方針| 弁護士のプロフィール| 取扱事件 | ご案内 顧問契約 |

弁護士費用 | 事務所案内図 | リンク| トップ