個人情報保護法制はこういうふうになっていたんですね![編集部]
*本連載のうち、第1木曜日掲載分は、個人情報・プライバシー等、名誉毀損とも関係の深い、広義の「人格権」や「プロ責法」関係の解説を行っていきます。
平成27年改正を踏まえた個人情報保護法の概要
1.はじめに
個人情報保護法は平成27年に改正され、改正法はその一部が既に施行済みであるが、本格施行は来年(平成29年)春が予定されている(注1)。
それに伴い、筆者は他の弁護士等と共同研究を行い、改正政令・規則の内容をまとめたり、ガイドラインを踏まえた実務的な取扱いをまとめたりしており、実務における個人情報保護法改正を踏まえた個人情報取扱規程の改訂等のニーズに応えようとしている(実際にいくつもの案件を経験させていただいている)ところである。
このような個人情報保護法の規定は、開示請求権等について平成27年改正によって民事的請求権を付与した(注2)他は、直接的に民事的な権利義務を定めるものではなく、例えば、個人情報取扱事業者の個人情報の取扱い(ウェブサービス業者によるユーザーの個人情報の取扱い等)が個人情報保護法に形式的に違反していても、個人情報保護委員会による行政上の措置が講じられるとしても(法40条以下)、不法行為等を根拠とした損害賠償等の請求が認められるとは限らない(注3)。逆に、「個人情報」の第三者提供等、個人情報保護法に形式的に違反しない行為が、プライバシー侵害の不法行為とされることもあり得る(注4)。しかし、プライバシー権を一定程度反映して個人情報取扱事業者のなすべき個人情報の取扱いを定めた個人情報保護法の規律は、個人情報取扱事業者が本人のプライバシー情報について負う私法上(典型的には不法行為法上)の義務の内容を解明する上で個人情報保護法の規定は大変参考になる(注5)。
その意味で、個人情報保護法の内容は、インターネット上のプライバシー情報の取扱いによる本人と相手方の間の紛争の解決基準を解明する上で、重要な意味を持つといえよう。
紙幅もあるので、あまり細部に入ることはできない(注6)ものの、本稿では、インターネット上の個人情報・プライバシー権侵害の理論と実務に関係するものを中心に平成27年改正を踏まえた個人情報保護法の概要をまとめたい(注7)。
2.キー概念
個人情報保護法が難しい、ないしは難しいと思われている理由は、「似て異なる」複数の概念が使われることである。例えば「個人情報」「個人データ」「保有個人データ」は全て、日常語としては個人に関する情報のこととして大差ないような印象を受ける可能性があるものの、それぞれが異なる意味を持っており、例えば、ある情報が「個人情報」であれば、これを第三者に提供することを直接制限する個人情報保護法上の規定はない(注8)。個人情報保護法上、「個人データ」であってはじめて規制される。
このようなハードルを越えるためには、最低でも3つのキー概念を理解する必要がある。「個人情報」「個人データ」「保有個人データ」である。それは、個人情報保護法が段階的規制(注9)を設けており、各種類のデータの保護の必要性の高低等に応じて、異なる保護ないし規制をしているのである。
キー概念の1つ目が「個人情報」(法2条1項)であり、法2条1項は個人情報には従来型個人情報(同1号)(注10)と個人識別符号型個人情報(同2号及び法2条2項(注11)があるとしているものの、従来型個人情報と個人識別型個人情報の双方で共通するのは生存する個人に関する情報であって、「特定」の個人を「識別することができる」という要件である(法2条1項1号、2項1号及び2号)。つまり、一般人の判断力や理解力をもって、生存する具体的な人物と情報との間の同一性を認めるに至ることができるもの(注12)、要するに誰のことを指しているのか分かるものが個人情報である(注13)。
個人情報は、データベース(注14)化されていない情報(いわゆる「散在情報」)を当然に含む概念である。例えば、企業の営業マンが名刺交換をして相手の名刺を1枚もらうとしよう。そこには「●×商事株式会社 営業部長 山田太郎」という記載等がある。これはまさに個人情報である(注15)。場合によっては、口頭で「私は山田太郎です。」と自己紹介を受けるかもしれない。これも「個人情報」といえば個人情報である。ただ、個人情報がデータベース化されているかどうかで、その保護の必要性は大きく異なる(注16)。
そこで2つ目のキー概念「個人データ」が出てくる。これは、個人情報データベース等を構成する個人情報(法2条6項)である。要するにデータベース化され、容易に検索等ができるように体系的に構成された個人情報については、その権利侵害の可能性が高いことから、これを「個人データ」として、個人情報一般よりもより強い保護を与えているのである。
さらに、強い保護が与えられているのは、3つ目のキー概念「保有個人データ」である。これは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであり(法2条7項)(注17)、保有個人データについては、本人のプライバシー権(自己コントロール権)を背景とした(注18)、本人が自己の情報に適切に関与できるようにという要請を踏まえた開示、訂正、利用停止等の請求が認められている(法28条以下参照)。
なお、このような義務を負うのは、個人情報取扱事業者(注19)であり、平成27年前は小規模事業者等個人情報取扱事業者ではない企業も少なくなかったものの、平成27年改正後はほぼすべての企業が個人情報取扱事業者となったといっても過言ではないだろう(注20)。
3.取得に関する規律
(1)利用目的に関する規制
個人情報がみだりに利用されないような適正な取扱に関するルールとして最も基本となるのが、個人情報をいかなる目的で利用するかを明確に特定した上で、その取扱いを当該目的の達成に必要な範囲内に限定することである(注21)。
そこで、個人情報取扱事業者は個人情報を取得するにあたって、利用目的をできる限り特定しなければならず(法15条1項)、利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはならず(法16条1項)、個人情報の取得に関し、利用目的を通知又は公表しなければならない(法18条)。
ここで、個人情報取扱事業者が個人情報の利用目的を変更したくなることがあり得るところ、法15条2項は「個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。」としている。この意義につき、個人情報保護委員会のガイドラインは「変更後の利用目的が変更前の利用目的からみて、社会通念上、本人が通常予期し得る限度と客観的に認められる範囲内」(注22)ないし「一般人の判断において、当初の利用目的と変更後の利用目的を比較して予期できる範囲」(注23)とされている(注24)。本人がそのような取扱いがなされると想定可能な範囲内であれば、事後的に利用目的の変更が可能であるが、いずれにせよ、個人情報は本人がいかなる目的で利用されるかを予期できる範囲で取り扱わなければならないのである(注25)。
(2)適正な取得に関する規制
適正な取得については、「偽りその他不正の手段」による個人情報取得の禁止が重要である。「偽り」は「不正の手段」の一例であって、不適法または適正性を欠く方法または手続きであれば広く禁止される(注26)。
ここで、個人情報を収集している事実や収集する目的を偽って取得する場合、正当な権限なく他人が管理する個人情報を取得したり隠し撮りする場合、十分な判断能力を有していない子供から親の個人情報を取得する場合等が挙げられる(注27)のに加え、不正の手段により取得されたことを知りながら二次的に取得する場合(注28)や後述の第三者提供制限違反がされようとしていることを知り、又は容易に知ることができるにもかかわらず、個人情報を取得する場合も含まれる(注29)。
なお、インターネットとの関係で重要なのは、取得の意義についてガイドラインが「個人情報を含む情報がインターネット等により公にされている場合であって、単にこれを閲覧するにすぎず、転記等を行わない場合は、個人情報を取得しているとは解されない。」としていることである(注30)。そこで、企業の担当者が業務上ある個人について調べるために当該個人の氏名を検索エンジンに打ち込んで閲覧したところ、当該個人についての情報が出てきたが、そのサイトが不正の手段により取得された情報を掲載し、又は第三者提供制限に違反している可能性が高いといった事案においては、企業の担当者は転記等をしてはならないものの、転記等をしなければ、「取得」に該当しないことから、法17条違反にはならないと解される。
(3)要配慮個人情報の取得に関する規制
平成27年改正で、いわゆるセンシティブ情報である要配慮個人情報(法2条3項)について、通常の個人情報よりも重い、原則本人の同意なき取得を禁止する規制が入った(法17条2項)(注31)。
要配慮個人情報とは、人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により被害を被った事実(法2条3項)及び障害(政令2条1号)(注32)、健康診断等の結果(政令2条2号)(注33)、医師等による指導・診療・調剤等(政令2条3号)(注34)刑事手続が行われたこと(政令2条4号)(注35)、少年保護事件に関する手続が行われたこと(政令2条5号)(注36)が挙げられる。
法17条2項が定める一定の例外事由がなければ、そもそも要配慮個人情報を本人の同意なく「取得」することすらできないという厳しい規制が課されているのは、要配慮個人情報が取得の必要があるとはあまり考えられない場合にも取得され、取り扱われることによって差別や偏見を生む恐れがある情報だからである(注37)。
実務的には、この要配慮個人情報に該当する情報であればプライバシー権侵害の不法行為の成否の判断においても、また、違法と認めた場合の損害賠償額の判断においても法が「慎重な取扱を要する」ものと認めた(注38)ことを背景に判断されると思われること、そして、上記のとおり、法17条1項の「取得」概念が限定されており、単なるウェブサイト上の情報の閲覧は取得にならないと解されていること(注39)等に留意が必要であろう(注40)。
【次ページ】管理・利活用に対する規律