今回は、個人情報保護法を勉強しようということで、個人データに関する義務について見てみたいと思います。
ではさっそく。なお、引用部分の太字、下線、改行などは管理人によるものです。
メモ
カテゴリー「会社法務」では、インハウスとしての法務経験からピックアップした、管理人の独学や経験の記録を綴っています。
ネット上の読み物としてざっくばらんに書いており、感覚的な理解を掴むことを目指していますが、書籍などを理解する際の一助になれば幸いです。
「個人データ」に関する義務
個人情報保護法は、個人に関する情報を、「個人情報」、「個人データ」、「保有個人データ」に分類し、この分類に従って段階的な義務を課している(以下の表参照)。
本記事で見てみる義務は、このうち黄色ハイライトの部分にあたる。
| 個人情報 | 個人データ | 保有個人データ | 要配慮個人情報 | |
| 個人情報に関する義務 (法17条~法21条、法40条) |
〇 | 〇 | 〇 | 一部厳格化 |
| 個人データに関する義務 (法22条~法30条) |
〇 | 〇 | 一部厳格化 | |
| 保有個人データに関する義務 (法32条~法39条) |
〇 | (左記と同様) |
ざっくりいうと、「個人データ」に関する義務としては、正確性・最新性の確保、安全管理措置の実施、従業員の監督、委託先の監督、個人データの漏洩等の報告等、第三者提供の制限等がある。
以下、順に見てみる。
正確性・最新性の確保(法22条)
個人情報取扱事業者は、個人データに関して、利用目的の達成に必要な範囲内において、正確かつ最新の内容に保つよう努めなければならないとされている。
(データ内容の正確性の確保等)
第二十二条 個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。
個人情報取扱事業者としては、例えば、
- 個人情報データベース等への個人情報の入力時の照合・確認手続の整備
- 誤り等を発見した場合の訂正等の手続の整備
- 記録事項の更新
- 保存期間の設定
等を、状況に応じて適切に行うことが必要になる(通則ガイドライン3-4-1)。
これは、不正確な個人データが利用されたり出回ったりすると、本人がそのことにより損害を被ることがあり得るからである(例えば、誤った信用情報により、当該本人の経済的信用が損なわれるなど)。
「利用目的の達成に必要な範囲内において」なので、保有する個人データを一律に又は常に最新化する必要はなく、それぞれの利用目的に応じて、その必要な範囲内で正確性・最新性を確保すれば足りる。
また、利用する必要がなくなったときは、遅滞なく消去するよう努めなければならないとされている。
これらはいずれも努力義務である。
なお、条文に直接書かれてはいませんが、当然のこととして、個人データの消去に関しては、法令の定めにより保存期間等が定められている場合は、消去しなくてよいとされています(通則ガイドライン3-4-1)。
安全管理措置の実施(法23条)
個人情報取扱事業者は、個人データの漏えい・滅失・毀損の防止、その他の安全管理のため、必要かつ適切な措置を講じなければならない。
(安全管理措置)
第二十三条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
基本的な考え方としては、
個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)、個人データを記録した媒体の性質等に起因するリスクに応じて、必要かつ適切な内容としなければならない
とされており(通則ガイドライン3-4-2)、それぞれの業種やリスクに応じて判断すべきものとなっている。
具体的な措置の内容は、①組織的安全管理措置、②人的安全管理措置、③物理的安全管理措置、④技術的安全管理措置の4つに分けて整理されている(通則ガイドライン10「(別添)講ずべき安全管理措置の内容」)。
組織的安全管理措置
組織的安全管理措置としては、
- 組織体制の整備
- 個人データの取扱いに係る規律に従った運用
- 個人データの取扱状況を確認する手段の整備
- 漏えい等事案に対応する体制の整備
- 取扱状況の把握及び安全管理措置の見直し
の措置を講じなければならないとされている。
感覚的にいうと、組織的な取り組みをせよということであり、組織的な取り組みというのは、個人情報の領域に限らず、先ずは責任者を決める、次にルールを決める、そしてそのルールを執行し、かつ、執行されているかのチェックをする、というのが一種の定石です。
流行りのインフルエンサー風にいえば、”仕組み化”みたいなことです。PDCAです。
人的安全管理措置
人的安全管理措置としては、
- 従業員の教育
の措置を講じなければならないとされている。
つまり、従業員に、個人データの適正な取扱いを周知徹底するとともに、適切な教育を行わなければならない。
また、次の条文(法24条)で見るように、従業者に個人データを取り扱わせるにあたっては、個人データの安全管理が図られるよう従業者に対する監督をしなければならない。
感覚的にいうと、従業員はいわば人的設備なので、そこがちゃんと機能するように教育と監督をしましょうということです。
物理的安全管理措置
物理的安全管理措置としては、
- 個人データを取り扱う区域の管理
- 機器及び電子媒体等の盗難等の防止
- 電子媒体等を持ち運ぶ場合の漏えい等の防止
- 個人データの削除及び機器、電子媒体等の廃棄
の措置を講じなければならないとされている。
感覚的にいうと、リアル世界でのアナログな管理をせよ、ということです。
わかりやすい例でいうと、例えば、個人情報の詰まった会社の携帯電話をどこかに落としたりしないように、必ずストラップを着けて首からぶらさげるという運用にしましょう、みたいなことです。
技術的安全管理措置
技術的安全管理措置としては、
- アクセス制御
- アクセス者の識別と認証
- 外部からの不正アクセス等の防止
- 情報システムの使用に伴う漏えい等の防止
の措置を講じなければならないとされている。
感覚的にいうと、こちらはアナログのことではなく、デジタル世界における広い意味でのサイバーセキュリティのことです。
従業者の監督(法24条)
個人情報取扱事業者は、従業者に個人データを取り扱わせるにあたって、上記で見たような安全管理措置(法23条)を遵守させるよう、従業者に必要かつ適切な監督をしなければならない。
(従業者の監督)
第二十四条 個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。
ここでいう「従業者」とは、個人情報取扱事業者の組織内にあって直接間接に事業者の指揮監督を受けて事業者の業務に従事している者等をいい、雇用関係にある従業員(正社員、契約社員、嘱託社員、パート社員、アルバイト社員等)のみならず、取締役、執行役、理事、監査役、監事、派遣社員等も含まれる(通則ガイドライン3-4-3)。
簡単にいえば、社会的に、人を介した過ち(いわゆるヒューマンエラー)により個人データの流出が起こる事案が多いので、こういった定めがあるわけであり、例えば、
- 従業者が、個人データの安全管理措置を定める規程等に従って業務を行っていることを確認しなかった結果、個人データが漏えいした場合
- 内部規程等に違反して個人データが入ったノート型パソコン又は外部記録媒体が繰り返し持ち出されていたにもかかわらず、その行為を放置した結果、当該パソコン又は当該記録媒体が紛失し、個人データが漏えいした場合
が、従業者に対して必要かつ適切な監督を行っていない事例として挙げられている(通則ガイドライン3-4-3)。
委託先の監督(法25条)
個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、委託先において個人データについて上記で見たような安全管理措置(法23条)が適切に講じられるよう、委託先に必要かつ適切な監督をしなければならない。
「取扱いの委託」とは、契約の形態・種類を問わず、個人情報取扱事業者が他の者に個人データの取扱いを行わせることをいう。具体的には、個人データの入力(本人からの取得を含む)、編集、分析、出力等の処理を行うことを委託すること等が想定されている(通則ガイドライン3-4-4)。
(委託先の監督)
第二十五条 個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
委託する業務内容に対して必要のない個人データを提供しないようにすることは当然のこととして、①適切な委託先の選定、②委託契約の締結、③委託先における個人データ取扱状況の把握を、必要かつ適切な措置として講じる必要がある(通則ガイドライン3-4-4)。
以下、①~③を順に見てみる。
適切な委託先の選定
委託先の選定にあたっては、委託先の安全管理措置が、委託する業務内容に沿って確実に実施されることをあらかじめ確認しなければならない。
これは、委託先の安全管理措置(上記で見たような組織的・人的・物理的・技術的な安全管理措置)が、少なくとも法的に委託元に求められる水準を満たしていることを、実際に委託する前に確認せよということである。
委託契約の締結
委託契約には、個人データの取扱いに関する必要かつ適切な安全管理措置として委託元・委託先双方が同意した内容とともに、委託先における個人データの取扱状況を委託元が合理的に把握することを盛り込むことが望ましいとされている。
委託先における個人データ取扱状況の把握
委託先における個人データの取扱状況を把握するためには、定期的に監査を行う等により、適切に評価することが望ましいとされている。
ここでいう「取扱状況の把握」は、取扱いを委託する個人データの内容や規模に応じて適切な方法をとるべきものとされ、例えば、必要に応じて個人データを取り扱う場所に赴く、または、これに代わる合理的な方法(口頭による確認を含む)により確認することが挙げられている(通則ガイドライン3-4-4の※2)。
なお、場所に赴くこと(立入検査等)が義務とされているわけではない。
▽ガイドラインQ&A5-9
「委託先における個人データ取扱状況の把握」に関して、委託元が委託先に立入検査等を行うことは義務ですか。
法第25条に基づく委託先の監督の一環として、委託先における個人データの取扱状況を把握することが必要であり、その手段として、必要に応じて個人データを取り扱う場所に赴くことも考えられますが、これが義務付けられているわけではなく、取扱いを委託する個人データの内容や規模に応じて適切な方法(口頭による確認も含む。)を講じれば足りるものと考えられます。
委託契約書のなかに監査として立入検査を行う旨が書かれている場合、契約書チェックの際に修正のやり取りが発生する例がしばしばあるかと思いますが、上記Q&Aのように、立入検査は1つの方法であって義務ではないです(個人データの内容や規模によっては、義務になると解されるケースもあるかもですが)。
個人データの再委託は?
また、取扱状況の把握に関連するトピックとして、個人データの取り扱いの再委託を行う場合は、再委託に関して委託先から事前報告を受け、承認を行うことが望ましいとされている。再々委託を行う場合以降も同様である。
▽通則ガイドライン3-4-4
また、委託先が再委託を行おうとする場合は、委託を行う場合と同様、委託元は、委託先が再委託する相手方、再委託する業務内容、再委託先の個人データの取扱方法等について、委託先から事前報告を受け又は承認を行うこと、及び委託先を通じて又は必要に応じて自らが、定期的に監査を実施すること等により、委託先が再委託先に対して本条の委託先の監督を適切に果たすこと、及び再委託先が法第23条に基づく安全管理措置を講ずることを十分に確認することが望ましい(※4)。再委託先が再々委託を行う場合以降も、再委託を行う場合と同様である。
個人データの漏洩等の報告等(法26条)
漏えい等事案が発覚した場合に講ずべき措置
個人情報取扱事業者は、個人データの漏えい・滅失・毀損又はそのおそれのある事案(漏えい等事案)が発覚した場合は、漏えい等事案の内容等に応じて、
- 事業者内部における報告及び被害の拡大防止
- 事実関係の調査及び原因の究明
- 影響範囲の特定
- 再発防止策の検討及び実施
- 個人情報保護委員会への報告及び本人への通知(法26条)
について必要な措置を講じなければならない(通則ガイドライン3-5-2)。
個人情報保護委員会への報告及び本人への通知
上記⑤に関しては、漏えい等事案のなかでも、個人の権利利益を害するおそれが大きいもの(報告対象事態)が生じたときは、個人情報保護員会への報告及び本人への通知が必要であるとされている(法26条)。
(漏えい等の報告等)
第二十六条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。ただし、当該個人情報取扱事業者が、他の個人情報取扱事業者又は行政機関等から当該個人データの取扱いの全部又は一部の委託を受けた場合であって、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を当該他の個人情報取扱事業者又は行政機関等に通知したときは、この限りでない。
2 前項に規定する場合には、個人情報取扱事業者(同項ただし書の規定による通知をした者を除く。)は、本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知しなければならない。ただし、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
報告対象事態は、施行規則7条に定められている。以下の1号~4号までがある。
▽施行規則7条
(個人の権利利益を害するおそれが大きいもの)
第七条 法第二十六条第一項本文の個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものは、次の各号のいずれかに該当するものとする。
一 要配慮個人情報が含まれる個人データ(高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものを除く。以下この条及び次条第一項において同じ。)の漏えい、滅失若しくは毀損(以下この条及び次条第一項において「漏えい等」という。)が発生し、又は発生したおそれがある事態
二 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
三 不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
四 個人データに係る本人の数が千人を超える漏えい等が発生し、又は発生したおそれがある事態
他の関連事項も合わせてトピックが多いので、詳しくは別の記事にて。
第三者提供の制限(法27条)
個人情報取扱事業者は、個人データを第三者提供するには、あらかじめ本人の同意を得なければならない。
(第三者提供の制限)
第二十七条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
一~七 (略)
例外的に、本人の同意を要しない場合として、
- 適用除外の場合(1項各号)
- オプトアウト(本人の求めによる提供停止)による第三者提供の場合(2項)
- 第三者に該当しない場合(5項)
の3つがあるが、他の関連事項も合わせてトピックが多いので、詳しくは別の記事にて。
結び
今回は、個人情報保護法を勉強しようということで、個人データに関する義務について見てみました。
なお、「個人データ」とは何かについては、以下の関連記事に書いています。
-
-
個人情報保護法を勉強しよう|個人データ・保有個人データの定義
続きを見る
[注記]
本記事を含む一連の勉強記事は、過去の自分に向けて、①自分の独学や経験の記録を見せる、②感覚的な理解を伝えることを優先する、③細かく正確な理解は書物に譲る、ということをコンセプトにした読みものです。ベテランの方が見てなるほどと思うようなことは書かれていないほか、業務上必要であるときなど、正確な内容については別途ご確認ください。また、法改正をはじめとした最新の情報を反映しているとは限りませんので、ご注意ください。
個人情報保護法に関するその他の勉強記事
参考文献・主要法令等
参考文献
主要法令等
- 個人情報保護法(「個人情報の保護に関する法律」)
- 個人情報保護法施行令(「個人情報の保護に関する法律施行令」)
- 個人情報保護法施行規則(「個人情報の保護に関する法律施行規則」)
- 通則ガイドライン(「個人情報の保護に関する法律についてのガイドライン(通則編)」)
- 外国提供ガイドライン(「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」)
- 確認・記録ガイドライン(「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)」)
- ガイドラインQ&A(「『個人情報の保護に関する法律についてのガイドライン』に関するQ&A」)
- 令和3年パブコメ(令和3年8月2日付「『個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)の一部を改正する告示』等に関する意見募集の結果について」)
- 金融ガイドライン(「金融分野における個人情報保護に関するガイドライン」)
- 電気通信ガイドライン(「電気通信事業における個人情報保護に関するガイドライン」)