個人情報を取り扱うときには、個人情報保護法では、利用目的を特定し、本人に通知または公表しなければならないといった、いくつかのルールがあります。具体的にどのようなことが必要なのか、個人情報保護法ガイドラインの内容などを中心に解説します。
第1 個人情報保護法に関する基礎知識
1 個人情報保護法とは
個人情報保護法(正式名称:個人情報の保護に関する法律)は、平成15年に成立した法律です。
この法律は、個人情報の適切な取り扱いに関し、個人情報の有用性に配慮しつつ、個人の権利利益の保護を図ることを目的としています。
平成28年には、国の機関として個人情報保護委員会が設立され、個人情報保護法のガイドラインの策定・公表や、事業者に対する監督などを行っています。
2 個人情報とは(概要)
個人情報保護法では、「個人情報」とは、生きている個人に関する情報であることを前提に、①特定の個人であると分かるもの(氏名、住所、生年月日等)及び他の情報と紐づけることで容易に特定の個人であると分かるもの、または、②個人識別符号が含まれるものと定義されています(個人情報保護法第2条第1項)。
したがって、亡くなった方の情報は、個人情報保護法における「個人情報」にはあたりません。
また、法人(企業や団体など)は生きている個人ではないため、法人情報は「個人情報」に含まれません(もっとも、法人の情報であっても、法人の役員の氏名といった情報は、「個人情報」に含まれることになります。)。
第2 個人情報の利用目的の特定
1 利用目的の特定
個人情報保護法では、個人情報を取り扱うに際して、以下のような規定があります。
【個人情報保護法第17条】
「個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。」
このように、個人情報を取り扱うときには、利用目的をできる限り特定する必要があります。
この規定は、
●事業者→個人情報がどのような事業の用に供され、どのような目的で利用されるのか、明確な認識を持ち、できる限り具体的に明確にすることにより、個人情報が取り扱われる範囲を確定する
●本人→これらの点を予測可能にする
ために置かれています。
なお、個人情報を第三者に提供することがすでに想定されている場合もあるかと思います。その場合には、利用目的を特定するときに、その旨が明確に分かるよう特定しなければなりません。
2 利用目的による制限
利用目的を特定すると、事業者は、その内容に拘束されます。
【個人情報保護法第18条第1項】
「個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。」
そのため、すでに特定している利用目的以外の目的で、個人情報を利用したい場合には、本人の同意を得る必要があります(同意を得るための連絡に個人情報を使用することは、利用目的として特定しなくても許されます。)
3 利用目的による制限の例外
ただし、以下の規定に該当する場合には、利用目的として特定していない使途であったとしても、本人の同意なく利用することが許されます。
【個人情報保護法第18条第3項】
「前二項の規定は、次に掲げる場合については、適用しない。
(1) 法令(条例を含む。以下この章において同じ。)に基づく場合
(2) 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
(3) 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
(4) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(5) 当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人情報を学術研究の用に供する目的(以下この章において「学術研究目的」という。)で取り扱う必要があるとき(当該個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
(6) 学術研究機関等に個人データを提供する場合であって、当該学術研究機関等が当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。」
一般的には、(1)~(4)が多いと思います。
(1)は、刑事訴訟法という法律に基づき、裁判所や警察に開示するなどの場合です。
(2)は、急病や大規模災害時などの事態が想定されます。
(3)は、健康保険施策に利用する場合や、児童虐待への対応などの場合です。
(4)は、税務署や警察などによる任意の求めに応じる場合が考えられます。
第3 利用目的の通知・公表
1 利用目的の通知または公表
利用目的は、特定さえすればよいというものではありません。事業者は、利用目的をあらかじめ公表するか、個人情報の取得後すみやかに、本人に対して、利用目的を通知または公表する必要があります。
【個人情報保護法第21条第1項】
「個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公
表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなけれ
ばならない。」
2 直接書面などにより取得する場合の特則
契約書などの書面により、本人から直接個人情報を取得する場合には、あらかじめ、本人に利用目的を明示しなければなりません。
【個人情報保護法第21条第2項】
「個人情報取扱事業者は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電磁的記録を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。」
3 例外的に利用目的の通知や公表、明示が不要な場合
なお、例外的に、以下の規定に該当する場合には、上記のような利用目的の通知や公表、明示は必要ありません。
【個人情報保護法第21条第4項】
「前三項の規定は、次に掲げる場合については、適用しない。
(1) 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
(2) 利用目的を本人に通知し、又は公表することにより当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合
(3) 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(4) 取得の状況からみて利用目的が明らかであると認められる場合」
第4 まとめ
個人情報を取り扱う場面について、個人情報保護法では、様々なルールを定めています。
法令違反とならないよう、今一度、自社の制度を見直す必要があります。
個人情報の取り扱いについてのご相談がある場合は、ぜひ当事務所までお問い合わせください。
グリーンリーフ法律事務所は、設立以来30年以上の実績があり、17名の弁護士が所属する、埼玉県ではトップクラスの法律事務所です。 企業が直面する様々な法律問題については、各分野を専門に担当する弁護士が対応し、契約書の添削も特定の弁護士が行います。企業法務を得意とする法律事務所をお探しの場合、ぜひ、当事務所との顧問契約をご検討ください。
※ 本コラムの内容に関するご質問は、顧問会社様、アネット・Sネット・Jネット・保険ネット・Dネット・介護ネットの各会員様のみ受け付けております。