4.管理に関する規律
(1)安全管理措置
個人情報が杜撰に取り扱われて漏洩したり、改ざんされたりという事態に対しては、多くの人が不安に感じているところであろう。特にデータベース化された個人データについては、顧客情報の大量流出等、社会問題を招き得る事態も生じかねない(注41)。そこで、個人情報取扱事業者は、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置(安全管理措置)を講じる義務を負っている(法20条)。
実際に、個人情報が(インターネット上又はそれ以外で)漏えい・流出した事案では、多くの場合安全管理義務違反が認められており、中小規模事業者についてもその特性を踏まえた安全管理措置の内容がガイドライン上に明記されている(注42)ことから、これらのガイドラインに準拠した対応を取ることは、個人情報保護法20条を遵守するというだけではなく、インターネット上を含む漏洩事案によるプライバシー侵害を理由とした不法行為責任を問われる事態を回避するという意味でも重要と思われる。
(2)従業員の監督
制度やシステムをいかに十分に整備しても、その適正な運用は結局は人に任されざるを得ない(注43)。そこで、個人情報取扱事業者は、個人データの安全管理が図られるよう、役員、従業員、派遣職員等の従業者に対する必要かつ適切な監督を行う(法21条)。
なお、従業者による顧客データの売却・持ち出し等は、それを行った従業者自身が本人に対し不法行為責任(民法709条)を負うだけではなく、個人情報取扱事業者自身も使用者責任を負う可能性がある(民法715条)(注44)。
(3)委託先の監督
例えば、ITサービス業者やクラウド業者等の第三者に個人情報の取扱いを委託することは、現代社会において頻繁にみられる(注45)。
委託先が不適切な取り扱いをしたり、階層的委託の繰り返しにより責任の所在が不明確になる等の事態を防ぐため(注46)、個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない(法22条)。
(4)本人の関与による個人情報取扱の適正化
さらに、法は、本人の関与による個人情報取扱の適正化のため、一定の要件で本人が個人情報取扱事業者に対し自己に関する保有個人データについて開示、訂正、利用停止等を請求することを認めた(法28条以下)。平成27年改正は、これらの本人関与が私法上の請求権であることを明確にしており(注47)、請求を行ったにもかかわらず個人情報取扱事業者がこれに応じなければ(注48)、裁判を通じて権利を実現することができる。
特にウェブ上のプライバシー情報の利用については、「インターネット上での消費者の同意しやすい環境と、サービスの継続性による同意の撤回の困難な環境が形成されてきた」と指摘される等(注49)、自己情報コントロール権がうまく機能しない状況にあると批判されている。その中で、個人情報保護法に基づく本人の関与は、十分に機能しない部分もあるものの、現行法上本人が持つ一つの武器として活用可能な部分もあるだろう。
5.利活用に関する規律
(1)第三者提供とトレーサビリティー
電子的に処理することが容易な個人データが本人の意思にかかわりなく第三者に提供されれば、本人の全く予期しないところで当該個人データが利用されたり、他のデータと結合・加工されるなどして、本人に不測の権利利益侵害をおよぶ恐れが高まる(注50)。
そこで、法23条は、個人データの第三者提供が認められる場合として、
① 本人の同意(法23条1項)
② 法令による場合等(法23条1項各号)
③ オプトアウト(法23条2項)
④ 委託先への提供(法23条5項1号)
⑤ 合併等の提供(法23条5項2号)
⑥ 共同利用(法23条5項3号)
の各場合を定めている(注51)。
個人データをインターネットで公開するなど、個人データを不特定多数の者が利用し得る状態におくことは第三者提供に該当する(注52)。そこで、これらのどれかの場合に該当しなければ、個人データの第三者提供は法23条違反である。また、その情報の内容や公開の形態にもよるが、法23条に違反するインターネット上への個人データの公開はプライバシー侵害として不法行為責任を負う可能性が高い。
なお、平成27年改正法は、平成26年に発生した民間企業による大規模個人情報漏洩事件を契機として、名簿屋対策を目的とするトレーサビリティ規定を新設する等の方策により違法な名簿屋による個人データの流通を阻止しようとしている。具体的には、第三者提供の際に提供元が記録を作成・保存し(法25条)、提供先は取得の経緯等の確認を行い(法26条1項)、記録を作成・保存しなければならない(法26条3、4項)(注53)。
(2)外国第三者提供
個人情報を外国にある第三者に提供することはインターネット等を使えば容易に可能である。もっとも、外国にある第三者において我が国と同等の水準で個人情報が保護されないおそれがあることから、平成27年改正により、個人データを外国にある第三者に提供する場合については、
① (外国にある第三者に個人データを提供することの)本人の同意
② 法令に定める場合等法23条1項各号に該当する場合
③ 「個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定める」外国にある第三者に提供する
④ 「個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者」に提供する
のいずれかを満たさなければならない(法24条)(注54)。
(3)匿名加工情報
個人情報の利活用に関する問題として、ビッグデータの利活用の問題がある。利用価値の高いパーソナルデータを積極的に利活用したいというニーズがある反面、内容によっては生活パターンや行動が把握できる履歴や思想信条のような内心に関するものように秘匿性の高いものも含まれることから、その取扱いによっては個人の権利利益を侵害することにつながりかねないとの懸念がある。そこで、消費者はその取扱いに不安を感じる一方、事業者はそれをどこまで保護すればいいか分からず、利活用に躊躇する状況が生じていた(注55)。
法は、匿名加工情報制度を導入し、個人情報に含まれる記述等の一部を削除する等の措置を講じて「特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたもの」を匿名加工情報と定義し(法2条9項)、匿名加工情報に対して個人情報と別個の規律を設ける(法36条以下)ことで、利活用を促進し、本人の不安を減少させることを意図している。
8.まとめ
かなり駆け足にはなったものの、個人情報保護法制の概要を、インターネット上の個人情報・プライバシー権侵害の理論と実務との関係で重要な部分に重点を置いて説明した。
個人情報保護法は個人情報・プライバシーの問題を考える上で最も重要な法令の1つであり、インターネット上における個人情報・プライバシー権侵害を考える上でもその重要性は否定できないことが分かっていただければ幸いである。
【次ページ】注と書籍紹介