§ 個人データに関する義務

《 インターネット上の個人情報保護 》 ◆個人情報保護法の概要

← 前へ

§ 個人データに関する義務

(1)個人データに関する義務(19~23条)

 次に、データベース化された個人情報である個人データに関する義務について見る。
 これについては、正確性確保(22条)、安全管理措置(23条)、従業者や委託先の監督(24条、25条)といったもののほか、漏えい等の報告(26条)や第三者提供の制限(27条以下)が重要である。

 

(2)漏えい等の報告

 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない(26条1項)。
 個人情報保護法施行規則7条によれば、報告が必要な場合は、1000名分を超える個人データの漏えい等が発生、又はそのおそれがある事態や、要配慮個人情報が含まれる個人データの漏えい等が発生、又はそのおそれがある事態などである。
 また、報告は、報告対象事態を知った後に速やかに行うべき速報と、その後原則として30日以内に行うべき確報との2段階で行うべきものとされる(規則8条)。

(3)第三者提供の制限

(ⅰ)趣旨 27条は個人データの第三者提供の制限について規定する。このような制限がなされるのは、個人データの第三者提供が自由になされるとすると、本人にとっては自らの個人情報がどこでどのように利用されているかわからないという不透明な事態となり、また、個人データの提供先である第三者がすでに保有している個人情報との結合・照合等がなされ、本人の権利利益に重大な被害を及ぼすおそれがあるからである。今日では個人情報の財産的価値が益々増し、その流通に対するニーズも強いことから、保護と利活用とのバランスに考慮した適切な規律が必要である。
なお、個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託する等の行為は、第三者提供に当たらない(27条5項1号)。委託する場合には、委託先の監督義務がある(24条)。

(ⅱ)オプトイン原則 27条の規定はかなり詳細であるが、基本となるのは1項の規定である。それによれば、個人データの第三者提供は原則として禁止され、それが認められるのは、①本人の事前同意がある場合(つまり、オプトイン原則がとられている)と、②1項所定の事由がある場合に限られる。

 ②は、比較衡量によって第三者提供を認める利益が優越すると考えられることから認められており、次の4類型である(18条3項と同一である。学術研究機関等に関する規定は省略)。

  • ・法令に基づく場合(1号)
  • ・人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき(2号)。
  • ・公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき(3号)。
  • ・国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき(4号)。

(ⅲ)例外としてのオプトアウトによる提供 このような1項の基本原則に対し、2項は利用目的に第三者提供が挙げられている場合の特則を定める。住宅地図業者が住宅地図を制作して販売するために個人情報を収集する場合や、官報や新聞から官民の人事情報を取得してデータベース化し販売する場合のように、第三者提供を利用目的としていた場合でも、1項によれば、自由に第三者提供を行うことはできない。
 しかし、このように第三者提供を利用目的とする場合には、一定の条件のもと、制限は緩和されている(ただし、要配慮個人情報についてはここに述べる緩和は認められない)。すなわち、

  • ①27条2項各号所定の事項についてあらかじめ本人に通知し又は容易に知りうる状態においており
  • ②オプトアウト(本人の求めに応じて第三者提供を停止すること)を認め
  • ③個人情報保護委員会への届出を行っていれば、本人の事前同意は不要となる。

(ⅳ)その他
 2015年改正により、外国にある第三者への提供制限(28条)、第三者提供に係る記録の作成(29条)、確認(30条)が義務づけられている。

PAGE TOP