個人情報保護法

個人の権利利益保護を目的とした個人情報の保護に関する法律は個人情報の有用性に配慮し、本人の了解を得ない個人情報の流用や売買、譲渡は規制対象になります。
経済産業省はこの法律に関する分野別のガイドラインのほか、個人情報保護委員会でもガイドラインを公表していますが、個人情報をビックデータとしてビジネスに活用したい事業者からは、氏名や住所を削除するなどして目的外利用や第三者提供が可能な匿名加工情報も利用できるようになりました。これらの権利に関連するものにパブリシティ権やプライバシー権などがあります。

続きを読む »

パブリシティ権

著名人の肖像や名前はCMなどで利用されるように購買意欲やイメージアップの促進に効果的であり、相対的な経済価値ながら財産的な権利が認められています。
この財産的な価値を占有することのできる権利をパブリシティ権と言い、相続財産の対象ともなっています。この権利の侵害行為に対しては、損害賠償請求や差止請求があります。

• 権利の内容
1. 対価(報酬)を得て第三者に利用させる権利
2. 経済的価値を無断使用する第三者の行為を差止めする権利

プライバシー権

パブリシティ権は著名人しか認められませんが、一般人にも私生活をみだりに公開されない権利があります。この権利を一般的にプライバシー権と呼び、侵害行為に対し、パブリシティ権と同様の請求権が認められています。

• 不法行為となる侵害要件例
1. 私生活上の事実又は事実と受取られる恐れがあること。
2. 一般人の常識的な感性から判断し、公開されたくないこと。
3. 一般人には、未だ知られていないこと。
4. 公開されることにより、その人が不快、不安となること。

対象となる個人情報

• 生存する個人に関する情報で特定の個人を識別可能なもの(第2条第1項)
  この個人情報は氏名、性別、生年月日など個人を識別する情報に限らず、個人の身体、財産、職種、肩書き等の属性に関し、事実、判断、評価を表す全ての情報であり、評価情報、公刊物等によって公にされている情報や映像、音声による情報も含まれ、暗号化の有無を問わないとされます。
• 個人情報データベース等のを検索できるよう体系的に構成したもの(第2条第2項)
  カルテや指導要録等、紙面で処理した個人情報を一定の規則に従って整理分類し、特定の個人情報を容易に検索できるよう目次、索引、符号などを付し、他人によっても容易に検索可能な状態においているもので、コンピュータ処理情報や政令で定めるマニュアル処理情報などが対象になります。
• 要配慮個人情報(第2条第3項)

人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実などが含まれるものなどで、本人の同意がある場合や、法令に基づく場合など一定の場合を除いて、取得が禁止されており、オプトアウトによる第三者提供も禁止されています。

個人情報の保有リスク

一度取得した個人情報はデータとして再利用することがあるかもとの漠然とした理由から、中々消去されないものです。しかし、これらの蓄積は確実にリスクとなる認識が必要です。個人情報保護法の適用対象外の事業所でも損害賠償が免除されるわけではありません。
NPO日本ネットワークセキュリティ協会は個人情報漏洩事件に係る漏洩原因や想定損害賠償額の算出モデルなどを調査した「情報セキュリティインシデント調査報告書」を毎年公表しています。
漏洩原因の過半数を占める「管理ミス」は約半数が誤廃棄であり、誤って他の情報と一緒に廃棄する例が多く、定期的な情報の棚卸実施が有効です。次の「誤操作」は以下の順に多く、技術的対策がとりにくい手動操作に依存する部分で情報漏洩が発生しています。

• 紙媒体の誤配送
• 電子メールの誤送信
• FAXによる誤配送

紙媒体の誤配送とFAXによる誤配送は共に自治体で多く発生していますが、封入の入れ間違いや宛先の確認漏れが主な原因で、作業内容の見直しや体制強化で防げる内容です。対策は配送に関わる準備作業中の割り込み作業を禁止するルールや作業スペースの確保、二重チェックを目的とした体制強化などの運用や組織面の対策が重要であるとされています。
個人情報が含まれるFAXは試し送信後にリダイヤル機能を使って送信するといったルールも有効です。一方、電子メールの誤送信は企業で比較的多く発生しています。
前述の紙媒体の誤配送と同様のインシデントである電子メールに特化した「Bccに入れるべきメールアドレスをToに入れ、送ってしまう事故」も発生していますので、紙媒体の誤配送とFAXによる誤配送の対策を実施し、併せて同報メールを自動化するシステムの導入も効果的です。
現行刑法は目に見えない電気も勝手に電線に繋いで盗めば使用窃盗として罰せられますが、ソフトがないと見えない電子データをメール送信したり、ウェブに公開しても窃盗罪とならず、電子データの保存フロッピーやキャッシュメモリー、CDなどと一緒に盗んで初めて窃盗罪になります。
情報だけでは財物としての客観的な価値がないと言うことです。流出に伴う被害があれば民事上での損害賠償が請求できますが、刑事事件にならないので捜査もされず、相手が行方不明になったり、ネット上に流出するなどの事態になれば、深刻です。
収集する個人情報は少なくても、セキュリティ対策とネットと切り離した外部記憶装置で最小限のデータを保存し、むやみに蓄積せずに不要や期限となった場合は速やかに消去する体制づくりと意識改革が必要です。

個人情報漏洩賠償責任保険制度

個人情報の漏洩リスクに備える保険には、損保各社が取扱っている「個人情報漏洩保険」があります。商工会議所や商工会を窓口に小規模企業者が割安保険料で加入できる情報漏えい賠償責任保険制度や全国商工会情報漏えい保険があります。
年商2千万円の小売業で賠償損害1千万円(費用損害100万円・免責10万円)の場合、約3万円の保険料です。ただし、商工会議所会員のために開発した保険のため、商工会議所会員以外は加入できません。
この保険は漏洩による事業者の法的な損害賠償及び損害費用となる謝罪広告の掲載・謝罪会見の費用、お詫び状作成と送付費用、見舞金や見舞品の購入費用等での事後対応に必要な費用を幅広く補償しています。

個人情報取扱事業者の義務

個人情報取扱事業者の義務は個人の権利利益を害する懸念が少ない個人事業者や自治会などの非営利法人であっても除外されていませんが、消費者はプライバシーポリシーの明示を信頼の判断基準として重視します。

利用方法による制限(第16条）

個人情報を収集するときは、利用目的の明示と本人の了解を得る必要があります。

適正な取得(第17条）

個人情報を収集するときは、利用目的の通知と公表をしなければなりません。

データ内容の正確性の確保(第19条）

個人情報取扱事業者は利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つよう努めなければならないとしています。

安全管理の措置(第20条）

個人の同意を得ず第三者に情報提供をしてはいけませんが、情報が社員から漏洩、盗難、紛失しないよう対策を講じると伴に外部委託事業者の監督義務も生じます。

第三者提供の制限(第23条）

目的外利用の場合、原則的に事前の本人同意が必要ですが、次の場合は除外されます。

1. 法令に基づく場合(例：届け出、通知等）
2. 人の生命、身体又は財産の保護に必要な場合(例：急病の場合等）
3. 公衆衛生・児童の健全育成に特に必要な場合(例：疫学調査等）
4. 国等に協力する場合(例：税務調査に協力する場合）

犯罪捜査に基づく令状がなくても、警察の正式な捜査協力要請であるなどの事実確認が必要です。後日のため「捜査関係事項照会書」の発行を求め、これに応ずる形での提供が望ましく、電話による要請などは重視されない情報と受け止め、不用意に応ずるべきではありません。
本人が求めれば、オプトアウトする場合は次の項目をあらかじめ通知し、又は本人の知り得る状態にある場合に限定されます。

1. 第三者提供すること
2. 提供される情報の種類及び内容
3. 提供の手段
4. 求めに応じて第三者提供を停止すること

なお、第三者に当たらないとは、次の場合が該当します。

1. 委託先への提供(委託元に管理責任）
2. 合併などに伴う提供(当初の目的の範囲内）
3. グループによる共同利用(共同利用する者の範囲や利用目的などを予め明確にしている場合に限る）

利用目的の通知義務(第24条第2項)

保有個人データがどのような目的で利用されているかを原則として、本人に通知しなければなりません。

開示・訂正・利用停止

開示の確保(第25条第1項)

本人からの求めに応じ、原則として保有個人データを本人に開示しなければなりません。ただし、開示しないことができる例として次の場合が該当します。

• 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
• 個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合

訂正の確保(26条第1項)

保有個人データの内容が事実でない時、利用目的の達成に必要な範囲内で訂正などを行う必要があります。つまり、公開された個人情報が事実と異なる場合は本人の申し出により訂正や削除に応じる必要があり、個人情報の取扱いに関する苦情に対し、遅滞なく適切に対処しなければなりません。

利用停止の確保(第27条第1項、第2項）

• 利用目的による制限
• 適正な取得
• 第三者提供の制限

違反が判明した場合は違反是正の必要限度内で利用停止などの処分が原則です。

適用除外規定(第50条）

1. 5つの主体5分野活動は個人情報取扱事業者の義務除外で、主務大臣の勧告命令なども適用されない。
2. 5つの主体の個人情報保護のために必要な措置を自ら講じ、内容を公表する努力義務があります。

主務大臣の権限の制限(第35条）

1. 主務大臣が勧告命令などを行うにあたり、憲法上保障された自由に関わる活動を妨げてはならない。
2. 5つの主体5分野活動に対する情報提供行為に主務大臣は権限行使をしないが義務規定は適用する。

罰則

この法律に違反しても直ちに罰則があるわけではありません。当事者間での苦情処理による解決ができなかった場合に報告が求められ助言されます。それでも改善せず、個人の権利保護が必要であると認めて、初めて主務大臣の勧告及び命令があります。この命令に対する違反は6月以下の懲役又は30万円以下の罰金、報告義務違反の場合は30万円以下の罰金になります。
国の定める一定数以上の従業員を擁する企業や大量カルテを有する医療機関等、個人情報をデータベース化する事業者は個人情報を第三者に提供する際に利用目的を情報主体に通知し、了解を得る必要があり、更に不正流用防止のための管理義務が発生します。

漏洩などが発生した場合の措置

個人データが漏洩、紛失などがあった場合は漏洩内容を速やかに本人へ通知し、又はウェブ上で本人が容易に知りうる状態に置かなければなりません。
一方、本人の権利や利益が侵害されず、今後も権利利益の侵害の可能性がなく又は極めて少ないと考えられる次の場合は影響を受ける可能性のある本人への連絡や事実関係、再発防止策などの公表を省略して差し支えないとされます。

1. 高度な暗号化などで秘匿化が施されている場合
   電子政府推奨暗号リスト又はISO/IEC18033に掲げられている暗号アルゴリズムによって個人データを適切に暗号化し、かつ、復号化のための鍵が適切に管理されていると認められる場合(生体認証システムを利用していることを含む)
2. 紛失した個人データを第三者に見られることなく、速やかに回収した場合

個人情報の第三者認証制度

個人情報保護に関するコンプライアンス・プログラムの要求事項のJISQ15001に基づく個人情報の取扱いを適切に行っている事業者に対し、一般法人日本情報経済社会推進協会はプライバシーマークを付与します。中国、四国地域の事業者は中四国プライバシーマーク審査センターが窓口となります。
この制度は経産省の個人情報保護の取組みを受け、民間事業者が積極的に推進する自主規制や努力に刺激を与え、国内の個人情報保護を一層促進させる手段として、事業者団体と協調して実施しており、消費者や顧客はこのマークを表示する事業者の個人情報の管理体制が適切であるのかどうかの判断に利用できます。
JIPDECはJISQ15001との適合性を評価する第三者機関としてプライバシーマーク制度を運用していますが、認定条件はJIS規格に相当するため容易ではありません。
例えば、常時使用する従業員数が20人以下の小規模事業者の場合は申請手数料、現地調査料、マーク使用料等の費用が30万円で、更に更新時は22万円が必要です。

例えば、常時使用する従業員数が20人以下の小規模事業者の場合は申請手数料、現地調査料、マーク使用料等の費用が30万円で、更に更新時は22万円が必要です。 プライバシーポリシーの一般的な表示事項は通信販売における個人情報保護ガイドラインがあります。

この他、日本プライバシー認証機構が個人情報保護の第三者認証プログラムTRUSTeを運営していますが、取得費はライセンス料金・審査料金があり、他にコンサルティング料金が必要とされる場合があります。

« 続きを隠す