今回は、個人情報保護法を勉強しようということで、要配慮個人情報に関する義務について見てみたいと思います。
ではさっそく。なお、引用部分の太字、下線、改行などは管理人によるものです。
メモ
このカテゴリーでは、インハウスとしての法務経験からピックアップした、管理人の独学や経験の記録を綴っています。
ネット上の読み物としてざっくばらんに書いており、感覚的な理解を掴むことを目指していますが、書籍などを理解する際の一助になれば幸いです。
要配慮個人情報に関する義務
個人情報保護法は、個人に関する情報を、「個人情報」、「個人データ」、「保有個人データ」に分類し、この分類に従って段階的な義務を課しています(以下の表参照)。
本記事で見る義務は、このうち黄色ハイライトの部分にあたります。
個人情報 | 個人データ | 保有個人データ | 要配慮個人情報 | |
個人情報に関する義務 (法17条~法21条、法40条) |
〇 | 〇 | 〇 | 一部厳格化 |
個人データに関する義務 (法22条~法30条) |
〇 | 〇 | 一部厳格化 | |
保有個人データに関する義務 (法32条~法39条) |
〇 | (左記と同様) |
要配慮個人情報に関しては、段階的に義務が増えていくというよりは、そのようにして定められた義務の一部が厳格化されている、というふうになっています。
ざっくりいうと、取得の制限、オプトアウトによる第三者提供の適用排除、漏えい等が発生した場合の報告対象事態、の3つがあります。
以下、順に見てみます。
取得の場面
取得の制限(法20条2項)
まず、要配慮個人情報は、取得自体に制限がかけられています。
つまり、通常の個人情報(個人情報、個人データ、保有個人データ)は、不正な手段による場合を除いて取得自体は制限されていないのに対して、要配慮個人情報は、取得自体に本人の事前同意が必要とされています(法20条2項)。
▽法20条2項
2 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。
一~八 (略)
適用除外事由(2項各号)
ただし、「次に掲げる場合を除くほか」とされているように、以下の1号~8号まで適用除外事由も定められています。
これらの場合は、要配慮個人情報を取得する場合であっても、本人の同意は不要となります。
1号~6号(法令に基づく場合等)
1号~6号は、目的外使用の禁止に関する適用除外事由(法18条3項各号)や、第三者提供の制限に関する適用除外事由(法27条1項各号)と、概ねパラレルな内容になっています。
一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
五 当該個人情報取扱事業者が学術研究機関等である場合であって、当該要配慮個人情報を学術研究目的で取り扱う必要があるとき(当該要配慮個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
六 学術研究機関等から当該要配慮個人情報を取得する場合であって、当該要配慮個人情報を学術研究目的で取得する必要があるとき(当該要配慮個人情報を取得する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(当該個人情報取扱事業者と当該学術研究機関等が共同して学術研究を行う場合に限る。)。
例えば、本人が十分な判断能力を有せず法定代理人も選任されていない場合でも、以下のように障害福祉サービスの提供のために必要な範囲では、2号に基づき、要配慮個人情報を取得できるとされています。
▽ガイドラインQ&A1-36
要配慮個人情報を取得する際に、その本人が、同意したことによって生ずる結果について十分な判断能力を有しない障害者であるような場合には、どのように対応すればよいですか。
障害者本人に十分な判断能力がなく、成年後見人等の法定代理人が選任されている場合には、法定代理人から同意を得る必要があります。成年後見人等の法定代理人が選任されていない場合で、例えば、障害福祉サービス事業所が成年後見人等の法定代理人が選任されていない障害者に障害福祉サービスを提供するために、必要な範囲で要配慮個人情報の提供を受けるときは、法第20条第2項第2号「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」に該当すると解されるため、あらかじめ本人の同意を得ることなく、障害者の親族等から要配慮個人情報を取得することができると考えられます。
これらの1〜6号に対して、7号と8号は、本項に特有のものになっています。
7号(一定の者により公開されている場合)
7号は、一定の者により公開されている要配慮個人情報を取得する場合です。
すなわち、以下の者により公開されている要配慮個人情報については、改めて本人からの同意取得を必要とする合理的理由に乏しいと考えられるため、適用除外事由とされています。
- 本人
- 国の機関
- 地方公共団体
- 学術研究機関等
- 法57条1項各号に掲げる者
- 放送機関・新聞社・通信社その他の報道機関(報道を業として行う個人を含む)
- 著述を業として行う者
- 宗教団体
- 政治団体
- その他個人情報保護委員会規則で定める者
- 外国政府、外国の政府機関、外国の地方公共団体又は国際機関
- 外国において法第16条第8項に規定する学術研究機関等に相当する者
- 外国において法第57条第1項各号に掲げる者に相当する者
条文も確認してみます。
▽法20条2項7号
七 当該要配慮個人情報が、本人、国の機関、地方公共団体、学術研究機関等、第五十七条第一項各号に掲げる者その他個人情報保護委員会規則で定める者により公開されている場合
↓ 施行規則6条
(法第二十条第二項第七号の個人情報保護委員会規則で定める者)
第六条 法第二十条第二項第七号の個人情報保護委員会規則で定める者は、次の各号のいずれかに該当する者とする。
一 外国政府、外国の政府機関、外国の地方公共団体又は国際機関
二 外国において法第十六条第八項に規定する学術研究機関等に相当する者
三 外国において法第五十七条第一項各号に掲げる者に相当する者
8号(その他政令で定める場合)
8号は、
八 その他前各号に掲げる場合に準ずるものとして政令で定める場合
です。これを受けて、施行令9条が、
- 本人を目視し、又は撮影することにより、その外形上明らかな要配慮個人情報を取得する場合(ex.身体障害等)
- 本人の同意を得ずに第三者提供できる場合のうち、「第三者」に該当しない場合(委託、事業の承継、共同利用)において、要配慮個人情報を取得する場合
を適用除外事由として定めています。
①の具体例としては、
- 身体の不自由な方が店舗に来店し、対応した店員がその旨をお客様対応録等に記録した場合(目視による取得)
- 身体の不自由な方の様子が店舗に設置された防犯カメラに映りこんだ場合(撮影による取得)
が挙げられており(通則ガイドライン3-3-2)、①は、このような場合の事業者の負担を考慮したものです。
冒頭で見たように、取得自体が制限されているというのは、適用除外事由または本人の事前同意がない限り、そもそも持ってはいけないということを意味するからです。
②は、提供側が「第三者」に該当しないとして本人の同意なく提供できる場合(法27条5項各号=委託、事業の承継、共同利用)であるのに、受領側は取得にあたり本人の同意が必要というのは、アンバランスであることを考慮したものです。
条文も確認してみます。
▽施行令9条
(要配慮個人情報を本人の同意なく取得することができる場合)
第九条 法第二十条第二項第八号の政令で定める場合は、次に掲げる場合とする。
一 本人を目視し、又は撮影することにより、その外形上明らかな要配慮個人情報を取得する場合
二 法第二十七条第五項各号(法第四十一条第六項の規定により読み替えて適用する場合及び法第四十二条第二項において読み替えて準用する場合を含む。)に掲げる場合において、個人データである要配慮個人情報の提供を受けるとき。
利用停止・消去請求の対象(法35条1項)
本項の違反事例としては、例えば、以下のような例が挙げられています(通則ガイドライン3-3-2)。
【法第20条第2項に違反している事例】
本人の同意を得ることなく、法第20条第2項第7号及び規則第6条で定める者以外がインターネット上で公開している情報から本人の信条や犯罪歴等に関する情報を取得し、既に保有している当該本人に関する情報の一部として自己のデータベース等に登録すること。
このように、適用除外事由がなく、また本人の事前同意も得ずに取得された要配慮個人情報である保有個人データは、利用停止・消去請求の対象となります(法35条1項)。
▽法35条1項
(利用停止等)
第三十五条 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが第十八条若しくは第十九条の規定に違反して取り扱われているとき、又は第二十条の規定に違反して取得されたものであるときは、当該保有個人データの利用の停止又は消去(以下この条において「利用停止等」という。)を請求することができる。
第三者提供の場面-オプトアウトによる提供の排除(法27条2項但書)
次に、要配慮個人情報は、オプトアウトによる第三者提供が認められていません(法27条2項但書)。
つまり、通常の個人情報(個人データ、保有個人データ)では、オプトアウト(=本人の求めによる提供停止)による第三者提供が認められていますが、要配慮個人情報ではその適用が排除されています。
2 個人情報取扱事業者は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。ただし、第三者に提供される個人データが要配慮個人情報…(略)…である場合は、この限りでない。
一~八 (略)
これはつまりどういうことなのか、一例を考えてみます。
例えば、実名報道で、被疑者として逮捕・勾留されたり捜索が行われたという情報(「刑事事件に関する手続」として要配慮個人情報)や、有罪判決が確定したという情報(「犯罪の経歴」として要配慮個人情報)は、日々流れてくるところです。
そこで、
- これらを記録することは制限されていないが(報道機関により公開された要配慮個人情報であるので、取得制限の適用除外事由の7号になる)、
- そのデータベースやこれを構成する個々の情報を、オプトアウト手続をとることによって第三者提供すること(本人の求めに応じて提供停止することとしたうえで、所定事項を公表し個人情報保護委員会に届け出ることによって、無償で開示したり、有償で販売したりすること)は認められていない、
ということです。
漏えい等の場面-報告対象事態(法26条1項→施行規則7条1号)
また、要配慮個人情報は、これらが漏えい等したときは、個人の権利利益を害するおそれが大きいものとして報告対象事態のひとつとされており、個人情報保護委員会への報告と本人への通知が必要となります(法26条)。
(漏えい等の報告等)
第二十六条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。…(略)…
2 前項に規定する場合には、個人情報取扱事業者…(略)…は、本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知しなければならない。…(略)…
報告対象事態は、施行規則7条に定められています。
このうち1号が、要配慮個人情報が含まれる個人データが漏えい等した場合を、報告対象事態として定めています。
▽施行規則7条
(個人の権利利益を害するおそれが大きいもの)
第七条 法第二十六条第一項本文の個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものは、次の各号のいずれかに該当するものとする。
一 要配慮個人情報が含まれる個人データ(高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものを除く。以下この条及び次条第一項において同じ。)の漏えい、滅失若しくは毀損(以下この条及び次条第一項において「漏えい等」という。)が発生し、又は発生したおそれがある事態
二~四 (略)
結び
今回は、個人情報保護法を勉強しようということで、要配慮個人情報に関する義務について見てみました。
[注記]
本記事を含む一連の勉強記事は、過去の自分に向けて、①自分の独学や経験の記録を見せる、②感覚的な理解を伝えることを優先する、③細かく正確な理解は書物に譲る、ということをコンセプトにした読みものです。ベテランの方が見てなるほどと思うようなことは書かれていないほか、業務上必要であるときなど、正確な内容については別途ご確認ください。また、法改正をはじめとした最新の情報を反映しているとは限りませんので、ご注意ください。
個人情報保護法に関するその他の勉強記事
参考文献・主要法令等
参考文献
当サイトではアフィリエイトプログラムを利用して商品・サービスを記載しています
主要法令等
- 個人情報保護法(「個人情報の保護に関する法律」)
- 個人情報保護法施行令(「個人情報の保護に関する法律施行令」)
- 個人情報保護法施行規則(「個人情報の保護に関する法律施行規則」)
- 通則ガイドライン(「個人情報の保護に関する法律についてのガイドライン(通則編)」)
- 外国提供ガイドライン(「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」)
- 確認・記録ガイドライン(「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)」)
- ガイドラインQ&A(「『個人情報の保護に関する法律についてのガイドライン』に関するQ&A」)
- 令和3年パブコメ(令和3年8月2日付「『個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)の一部を改正する告示』等に関する意見募集の結果について」)
- 金融ガイドライン(「金融分野における個人情報保護に関するガイドライン」)
- 電気通信ガイドライン(「電気通信事業における個人情報保護に関するガイドライン」)