個人情報取扱事業者の義務

プライバシーと個人情報保護

個人情報取扱事業者の義務

【個人情報取扱事業者に課される義務】

個人情報保護法は、個人に関する情報を「個人情報」、「個人データ」、「保有個人データ」に区分して、それぞれについて個人情報取扱事業者の義務を定めている。

【個人情報に関する義務】

個人情報保護法が個人情報取扱事業者に対して課している「個人情報に関する義務」については以下のものがある。

・利用目的の特定:個人情報の取扱いにあたり、利用目的をできるだけ特定しなければならない。

・利用目的の変更:特定した利用目的の変更は、変更前の利用目的と関連性を有すると合理的に認められる範囲でのみ認められる。

・利用目的の制限:特定された利用目的の達成に必要な範囲を超えて、個人情報を取扱ってはならない。

・適正な取得:個人情報取扱事業者は、不正な手段により個人情報を取得してはならない(適正な取得であれば、本人以外からの取得が可能で、本人の同意も不要)。

・取得に際しての利用目的の通知等:本人から直接書面で個人情報を取得する場合には、あらかじめ本人に対して利用目的を明示する必要があり、それ以外の方法で取得する場合には、速やかに、その利用目的を本人に通知・公表しなければならない(あらかじめ公表している場合を除く)。

・利用目的を変更した場合の通知等:変更された利用目的について本人に通知し、または公表しなければならない。

<補足>

・目的外利用が認められる場合としては、「本人同意がある場合」、「法令に基づく場合」、「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」、「公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき」、「国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき」が定められている。

・一般の個人情報であれば、適正に取得している場合は、本人以外から取得したり、本人の同意なく取得したりすることが可能であるものの、要配慮個人情報の場合は、本人の同意を得ずに取得することはできない。

【個人データに関する義務】

個人情報保護法が個人情報取扱事業者に対して課している「個人データに関する義務」については、特に「データ内容の正確性確保」、「安全管理措置」、「第三者提供の制限」が重要である。

・データ内容の正確性確保:個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。

・安全管理措置:取扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

・第三者提供の制限:個人データの第三者提供は原則として禁止であり、それが認められるのは、①本人の事前同意がある場合(オプトイン原則)と、②所定の事由がある場合に限られる。

【保有個人データに関する義務】

個人情報取扱事業者は、保有個人データの利用目的や本人関与の手続等について公表しなければならない。

・開示:本人は原則として、個人情報取扱事業者に対し、本人が識別される保有個人データの開示を求めることができる。

・訂正等:本人は、個人情報取扱事業者に対し、保有個人データの内容が事実でないときに内容の訂正を求めることができる。

・利用停止等:保有個人データが利用目的外で利用されていたり、適正に取得されていなかったり、認められていない形で第三者提供がなされたりしている場合は、本人が個人情報取扱事業者に対し利用停止等を請求できる。

【個人データの第三者提供】

個人データの第三者提供が自由になされるとすると、本人にとっては自らの個人情報がどこでどのように利用されているかわからないという不透明な事態となり、また、個人データの提供先である第三者がすでに保有している個人情報との結合・照合等がなされ、本人の権利利益に重大な被害を及ぼすおそれがある。

このため、個人情報保護法は、個人データの第三者提供を制限している。

なお、個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部または一部を委託する等の行為は、第三者提供には当たらない。その代わり、委託先の監督義務が生じる。

<補足>

・本人の事前同意がなくても個人データの第三者提供ができる「所定の事由」としては、「法令に基づく場合」、「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」、「公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき」、「国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき」が定められている。

・第三者提供を利用目的とする場合(例えば、住宅地図業者が住宅地図を制作・販売するために個人情報を収集する場合)でも、自由に第三者提供を行うことはできない。

・外国にある第三者への提供は、制限される。

・第三者提供に係る記録の作成が義務づけられている。