DISPUTE RESOLUTION GROUP NEWSLETTER 2016 年 4 月 重要改正法紹介 個人情報保護法の初めての実質的改正 (主要改正部分は平成 29 年 9 月 8 日までに施行) 弁護士 日下部 真治 Contents 個人情報保護法を初めて実質的に改正する改正法が、平成 27 年 9 月 9 日に公布された。 事業者の義務に関係する主要改正部分は、平成 29 年 9 月 8 日までに施行される。 改正法の内容は多岐にわたるが、①個人情報保護委員会の新設、②保護対象情報の定め の整備、③規制対象事業者の範囲の拡大、④事業者の義務の整備、⑤国際的取扱いの整 備、及び⑥個人情報データベース等提供罪の新設に大別できる。 改正法の施行に向けて事業者のなすべき準備には、今後定められる個人情報保護委員会 規則に左右される部分が多い。しかし、同規則が定められる前から、事業者の担当部署にお いては、改正法の内容を十分に把握し、できる準備を進めておくべきである。 法改正の経緯 う指摘もある。 個人情報の保護に関する法律(以下、「個人情報保 海外でも、個人情報の取扱状況の変化に応じて、 護法」という)は、平成 15 年 5 月 30 日に公布され、平 OECD(経済協力開発機構)では、平成 25 年 7 月、日 成 17 年 4 月 1 日に全面施行されて以来、10 年以上 本を含む加盟国において個人情報保護法制の基礎と にわたり、実質的な改正は一度も行われなかった。そ なるべきガイドラインの改正案が採択され、同年 9 月に の一方で、個人情報保護法の施行後、情報通信技術 公表されており、EU や米国においても、個人情報保護 の発展に伴い、ビジネスにおける個人情報の利用形態 の枠組みの整備がなされているところである。個人情 も多種多様となり、近年では、購買履歴や位置情報を 報を利活用した企業活動のグローバル化が進んでいる はじめとする個人に関する情報から当該個人の趣味・ 現状において、こうした海外における個人情報保護の 嗜好を分析し、それに応じた広告を配信するといった、 動向に我が国も歩調を合わせる必要がある。 個人情報保護法制定時には想定されていなかった形 そこで、個人情報の適正かつ効果的な利活用にも 態での個人情報の利活用も行われるようになってい 配慮しつつ、個人の権利利益を保護し、また、海外に る。 おける規制とも国際的な調和のとれる制度を構築すべ 個人情報がビジネスにおいて広く利活用されるに伴 く、平成 27 年 9 月 9 日に、「個人情報の保護に関する って、消費者によるプライバシーに対する権利意識も 法律及び行政手続における特定の個人を識別するた 高まっている。個人情報保護法の規定の曖昧さから、 めの番号の利用等に関する法律の一部を改正する法 事業者による個人情報の利活用が躊躇されているとい 律」(以下、「改正法」という)が公布された。改正法に ©Anderson Mori & Tomotsune 2 よる個人情報保護法の改正事項は多岐にわたるが、 (2)保護対象情報の定めの整備 以下では、特に事業者がどのような事項に留意すべき ア 「個人情報」の定義の整備 かという観点から、改正事項の概要を説明する(以下、 改正前法は、保護対象となる「個人情報」を、「生存 改正法による改正の前及び後の個人情報保護法を、 する個人に関する情報であって、当該情報に含まれる それぞれ「改正前法」及び「改正後法」といい、個人情 氏名、生年月日その他の記述等により特定の個人を 報によって識別される特定の個人を「本人」という)。 識別することができるもの(他の情報と容易に照合する なお、改正法の施行日は条文ごとに異なり、その一 ことができ、それにより特定の個人を識別することがで 部は平成 28 年 1 月 1 日に施行済みであるが、事業者 きることとなるものを含む。)」と定義していた(改正前法 の義務に関わる部分は、追って政令が定める平成 29 2 条 1 項)。改正前法においては、事業者による個人 年 9 月 8 日までの日に施行される。事業者は、それま 情報の取扱いが躊躇される理由として、この定義(特に、 での間に、改正法の施行に向けた準備を整える必要が アンダーライン部分のカッコ内の容易照合性に係る箇 ある(以下では、平成 28 年 4 月の時点で既に施行済 所)が曖昧であることが指摘されていた。 みの部分のみ、特に指摘する)。 改正後法は、上記アンダーライン部分を「個人識別 符号」が含まれない場合に限っての定義とし(改正後 (1)個人情報保護委員会の新設 法 2 条 1 項 1 号)、それとは別に、「個人識別符号」が 改正前法においては、個人情報取扱事業者に対す 含まれるものを「個人情報」の定義に付加した(改正後 る監督は、事業分野ごとの主務大臣が行っていた(改 法 2 条 1 項 2 号)。そして、「個人識別符号」とは、① 正前法 32 条から 36 条)。そのため、事業分野ごとに 個人の身体の一部の特徴をコンピュータ処理するため 個人情報保護法の取扱いに関するガイドラインが作成 に変換した符号で、当該個人を識別できるもの、又は され、統一的かつ効率的な法執行を難しくし、かつ、主 ②商品・サービスの購入・利用のために個人に割り当 務大臣が定まっていない事業分野での法執行に支障 てられ、又は個人に発行されるカード等の書類に記載・ を来していた。また、EU 諸国など外国の目から見た際 記録された符号で、当該個人を識別できるものとして、 に、我が国に個人情報保護を担う独立の行政機関が 政令で定めるものと定義される(改正後法 2 条 2 項)。 存在しないことは、我が国の個人情報保護体制が不 「個人識別符号」の具体的な内容・範囲については政 十分なものであると見做される理由となり得た。 令の定めを待つ必要があるが、①としては、指紋認証 そこで、改正法は、改正前マイナンバー法に基づい データや顔認証データ等が、②としては、マイナンバー て設置されていた特定個人情報保護委員会を改組す や運転免許証番号等が該当することになると想定され る方法で、新たに個人情報保護委員会を設置した(平 る。 成 28 年 1 月 1 日に施行済み)。 このような「個人情報」の定義の整備により、生存す 個人情報保護委員会は、独立行政委員会と呼ばれ る個人に関する「個人識別符号」が含まれる情報が る機関であり、行政組織上の位置付けは、公正取引委 「個人情報」に該当することが明確になる。しかし、「個 員会や国家公安委員会に伍する。個人情報保護委 人識別符号」が含まれない場合については、依然とし 員会は、委員長及び 8 名の委員で組織され、事務局 て上記アンダーライン部分どおりの判断枠組みが維持 を擁している(平成 28 年 4 月時点の事務局員数は 70 されているため、「個人情報」の定義が曖昧であるとい 人強であるが、今後の増加が見込まれる)。 う指摘が完全に解消されるとはいい難い。 個人情報保護委員会は、個人情報保護法の執行 を担うが、事業者に特に影響をもたらすのは、同委員 イ 「個人情報データベース等」の定義の変更 会が制定する個人情報保護委員会規則である。以下 改正前法は、「個人情報データベース等」を事業の においても、同規則に随所で言及するが、平成 28 年 4 用に供している者を(一定の例外を除き)「個人情報取 月末時点においては、まだ同規則は制定されていな 扱事業者」と定義した上で(改正前法 2 条 3 項)、「個 い。 人情報」(①)のうち、「個人情報データベース等」を構 成するものを「個人データ」(②)と定義し(改正前法 2 ©Anderson Mori & Tomotsune 3 条 4 項)、「個人データ」のうち個人情報取扱事業者が な取扱いは定められていなかった。しかし、官庁などが 開示等の権限を有するものの一部を「保有個人データ」 公表する個人情報の取扱いに関するガイドラインでは、 (③)と定義し(改正前法 2 条 5 項)、①、②及び③のそ こうした情報を「機微(センシティブ)情報」などと呼び、 れぞれについて個人情報取扱事業者に対する規制を その取扱いについて事業者に特段の配慮が求められ 定めていた。そして、「個人情報取扱事業者」及び「個 ていた。 人データ」(②)を定義する「個人情報データベース等」 改正後法は、こうした情報を「要配慮個人情報」とい は、個人情報を含む情報の集合体で、特定の個人情 う新たな概念として定義し、特別な取扱いをすることと 報をコンピュータ等により検索することができるように体 した。「要配慮個人情報」は、「本人の人種、信条、社 系的に構成したものと定義されていた(改正前法 2 条 2 会的身分、病歴、犯罪の経歴、犯罪により害を被った 項)。 事実その他本人に対する不当な差別、偏見その他の 改正後法でも、上記の構造は変わらない(改正後法 不利益が生じないようにその取扱いに特に配慮を要す 2 条 4 項から 7 項)。しかし、改正後法では、「個人情 るものとして政令で定める記述等が含まれる個人情報」 報取扱事業者」及び「個人データ」を定義する「個人情 と定義される(改正後法 2 条 3 項)。「要配慮個人情報」 報データベース等」の定義が見直され、「利用方法か の具体的な内容・範囲については、政令の定めを待つ らみて個人の権利利益を害するおそれが少ないものと 必要がある。 して政令で定めるものを除く。」とされた(改正後法 2 条 4 項)。その具体的な内容・範囲については、政令の定 「要配慮個人情報」に対する特別な取扱いについて は、後記(4)エ参照。 めを待つ必要があるが、市販の名簿等(例えば、電話 帳や四季報)や、自治会名簿等(構成員間の情報共 有目的の範囲で用いられる場合に限る)が、政令にお エ 「匿名加工情報」という概念の新設 いわゆるビッグデータビジネスを促進するためには、 匿名化された個人に関する情報の利活用に対する規 いて定められると想定される。 このように「個人情報データベース等」の定義が狭ま 制は抑制的である必要がある。 ることにより、「個人情報取扱事業者」及び「個人デー しかし、改正前法においては、保護対象となる「個人 タ」の範囲も狭まることになり、その限りで個人情報の 情報」は、前記(2)アのとおり、定義が曖昧であると指 取扱いが自由になる。もっとも、「個人情報取扱事業 摘されており、技術的に匿名化の工夫をしても、「個人 者」については、後記(3)のとおり、別の観点から、その 情報」に該当しないと解釈することには無理があると考 定義が拡大していることに留意が必要である。 えられていた。改正後法は、前記(2)アのとおり、「個人 識別符号」という概念を用いて「個人情報」の定義をあ る程度明確にしたが、それのみでは、上記の問題が解 ウ 「要配慮個人情報」という概念の新設 改正前法では、人種や信条など、個人が不当な差 決されるとはいい難い。 別を受ける原因となるような個人情報について、特別 ①「個人情報」 ②「個人データ」 (「個人情報データベース等」を構成するもの) ③「保有個人データ」 (「個人情報取扱事業者」が開示等の権限を有するもの) 【個人情報取扱事業者が義務を負う保護対象となる情報】 ©Anderson Mori & Tomotsune 4 そこで、改正後法は、「匿名加工情報」という概念を して「個人情報取扱事業者」に該当せず、個人情報保 新設し(改正後法 2 条 9 項)、これを「個人情報」に関 護法における規制を受けなかった者が、改正後法の下 するものよりも緩和された規制にのみ服するものとし では、規制を広く受けることになるため、特に中小企業 た。 の対策に不備がないかが問われることになる。また、後 「匿名加工情報」とは、個人情報に一定の措置を講 記(4)イ②のとおり、改正後法の下では、個人情報取 じて特定の個人を識別できないように加工し、かつ、当 扱事業者には、第三者から個人データの提供を受ける 該個人情報に復元できないようにしたものをいう(改正 に際して、提供者による法令遵守状況の確認が求めら 後法 2 条 9 項)。その加工の方法は、個人情報保護委 れると考えられるため、中小企業から個人データの提 員会規則で定められる基準に従わなければならない 供を受ける大企業にも、派生的にコンプライアンスの問 (改正後法 36 条 1 項)。 題が生じ得る。 なお、改正後法の規定の文言上、「匿名加工情報」 は「個人情報」には当たらないと明示的には定められて (4)事業者の義務の整備 いない。しかし、匿名加工情報を自ら作成した個人情 ア 個人情報に関する義務 報取扱事業者は、その作成及び取扱いに当たって、本 利用目的の変更範囲の緩和 人を識別するために、他の情報と照合することが禁じら 改正前法においては、個人情報取扱事業者は、個 れ(改正後法 36 条 5 項)、また、匿名加工情報のデー 人情報の利用目的をできる限り特定し、個人情報の取 タベース等を事業の用に供している者(匿名加工情報 得に際しては利用目的の通知等をしなければならず 取扱事業者:改正後法 2 条 10 項)は、その取扱いに (改正前法 15 条 1 項、18 条)、その利用目的の変更 当たって、本人を識別するために、他の情報と照合す は、変更前の利用目的と「相当の関連性」を有すると ることが禁じられている(改正後法 38 条)。そのため、 合理的に認められる範囲に限られていた(改正前法 こうした事業者との関係では、「個人情報」の定義中の 15 条 2 項)。 容易照合性(前記(2)ア参照)が認められず、従って、 改正後法においても、上記の規制の枠組みは維持 「匿名加工情報」は「個人情報」ではないと解釈される されているが、利用目的の変更範囲は、変更前の利 と考えられる。 用目的と「関連性」を有すると合理的に認められる範 「匿名加工情報」に関する規制については、後記(4) オ参照。 囲へと、若干緩和された(改正後法 15 条 2 項)。 この緩和により具体的にどの程度利用目的の変更 が認められ易くなるかは明らかではない。しかし、少なく (3)規制対象事業者の範囲の拡大 とも、利用目的の変更範囲を改正前法の文言に則り 改正前法では、「個人情報データベース等」を事業 「相当の関連性」のある範囲としているプライバシーポリ の用に供している者を「個人情報取扱事業者」としつつ、 シーを有する事業者は、ポリシーの当該部分を改正後 一定の者を例外的に除外していたが、その例外には、 法の文言に則り「関連性」のある範囲に修正することが 事業の用に供している「個人情報データベース等」に 考えられる。 含まれる個人の数が、過去 6 か月のどの日においても 5,000 以下の者(いわゆる小規模事業者)が含まれて イ 個人データに関する義務 いた(改正前法 2 条 3 項 5 号、個人情報の保護に関 ① オプトアウト方式での第三者提供への規制強化 する法律施行令 2 条)。 改正前法では、予め本人が第三者提供に関する一 改正後法は、この小規模事業者の例外扱いを廃止 定の事項を容易に知り得る状態にするなど、所定の要 している(改正後法 2 条 5 項)。その背景としては、小 件を満たしていれば、本人の同意を得ずに(オプトアウト 規模事業者による取扱いの場合でも、個人情報保護 方式により)個人データを第三者提供することが可能で の必要性が失われるわけではないことや、国際的な動 あった(改正前法 23 条 2 項及び 3 項)。 向を踏まえたことが挙げられる。 この改正により、改正前法の下では小規模事業者と 改正後法でも、上記の仕組みは変わらないが、要件 として、第三者提供に関する一定の事項を個人情報 ©Anderson Mori & Tomotsune 5 保護委員会へ届け出ることも必要となった(改正後法 を正確かつ最新の内容に保つ努力義務を負っていた 23 条 2 項及び 3 項)。なお、個人情報保護委員会は、 (改正前法 19 条)。 届出に係る事項を公表する(改正後法 23 条 4 項)。 これらは、本人が、個人情報保護委員会の HP 等で 個人データの第三者提供をしている事業者をまとめて 改正後法においては、上記に加えて、利用する必要 がなくなった個人データを遅滞なく消去する努力義務 が新たに課せられた(改正後法 19 条)。 把握し、希望するなら第三者提供の停止を求められる 上記はいずれも努力義務ではあるが、個人情報取 ようにするための措置である。個人データの第三者提 扱事業者は、個人データの消去プロセスを構築するこ 供をする個人情報取扱事業者は、個人情報保護委員 とを検討すべきであり、また、改正前法下での努力義 会への届出の準備を進めなければならない。 務を謳うプライバシーポリシーを有する事業者は、該当 ② 第三者提供の適正化とトレーサビリティーの確保 部分を見直すことが考えられる。 改正後法は、改正前法と異なり、個人データの第三 者提供に際し、原則として、受領側の個人情報取扱事 ウ 保有個人データに関する義務 業者に、提供者である第三者の氏名又は名称、住所、 本人の開示等請求権の明確化 代表者等の氏名のほか、「当該第三者による当該個 改正前法では、個人情報取扱事業者は、本人から、 人データの取得の経緯」を確認することを義務付けた。 保有個人データの開示、(その内容が事実に反する場 具体的な確認方法については、個人情報保護委員会 合の)訂正、追加若しくは削除、又は(その取扱い、取 規則により定められるが(改正後法 26 条 1 項)、「当該 得若しくは第三者提供が違法になされた場合の)利用 第三者による当該個人データの取得の経緯」について 停止、消去若しくは提供停止を求められた場合に、そ は、提供者による法令遵守状況の確認を受領者に求 れらに応じる義務が定められていた(改正前法 25 条か める趣旨と考えられている。なお、提供者は、受領側 ら 27 条)。しかし、その規定ぶりから、本人に開示等の の個人情報取扱事業者による上記確認の際に、確認 請求権が私法上の権利として認められるのか否かにつ 事項を偽ってはならないとされた(改正後法 26 条 2 いて見解が分かれ、これを否定する裁判例も見られた 項)。 (東京地判平成 19 年 6 月 27 日)。 また、改正後法は、個人データの第三者提供に際し、 改正後法は、本人に私法上の権利として開示等の 原則として、提供側及び受領側の双方の個人情報取 請求権があることを明確にするとともに(改正後法 28 扱事業者に、提供に関する記録の作成及びその一定 条から 30 条)、本人がその請求権に基づく訴えの提起 期間の保存を義務付けた。記録事項、記録方法及び 又は仮処分命令の申立てをするには、予め個人情報 記録の保存期間については、個人情報保護委員会規 取扱事業者に裁判所外の請求を行い、2 週間を経過 則により定められる(改正後法 25 条並びに 26 条 3 項 することが必要であると定めた(改正後法 34 条)。 及び 4 項)。 このように保有個人データに関する本人の開示等の これらは、個人データの第三者提供の際に、一定事 請求権が明確になり、かつ、訴え提起又は仮処分命 項の確認並びに記録の作成及び保存を義務付けるこ 令申立ての前の手続が明確になったことにより、個人 とで、不適切な個人データの漏えいを抑止すると共に、 情報取扱事業者は、本人から開示等の請求を受けた 個人データが漏えいした場合に、どのような経路を辿っ 場合に、2 週間以内にしかるべき対応ができる体制を て漏えいしたのかを追跡できるようにすることを意図し 整えることが必要になっている。 たものである。個人データの第三者提供の当事者とな る個人情報取扱事業者は、一定事項の確認並びに記 録の作成及び保存を適切になすことのできる体制を整 エ 「要配慮個人情報」に対する特別な取扱い 改正後法の下では、前記(2)ウで説明した「要配慮 えなければならない。 個人情報」については、そうではない個人情報、個人 ③ 不要な個人データの消去努力義務の新設 データ及び保有個人データとは異なり、以下の特別な 改正前法においては、個人情報取扱事業者は、利 用目的の達成に必要な範囲内において、個人データ 取扱いが必要とされる。 ① 個人情報の取得の局面 ©Anderson Mori & Tomotsune 6 「要配慮個人情報」の取得においては、一定の例外 三者提供の際の一定事項の公表及び当該第三者に の場合を除き、予め本人の同意を得なければならない 対する明示を、個人情報保護委員会規則に従って行 (改正後法 17 条 2 項)。 わなければならない(改正後法 37 条)。 ② 個人データの第三者提供の局面 また、匿名加工情報取扱事業者は、匿名加工情報 「要配慮個人情報」については、オプトアウト方式に の取扱いに当たって、本人を識別するために、元とな より本人の同意を得ずに第三者に提供することはでき った情報等を取得すること、及び他の情報と照合する ない(改正後法 23 条 1 項及び 2 項)。 ことが禁じられ(改正後法 38 条)、さらに、匿名加工情 ③ 保有個人データの利用停止等の請求の局面 報の適正な取扱いを確保するために必要な措置を自 「要配慮個人情報」が上記①又は②に違反して取 得又は第三者提供された場合、本人は、これを含む ら講じ、その内容を公表する努力義務を負う(改正後 法 39 条)。 保有個人データの利用停止、消去又は提供停止を請 以上のとおり、「匿名加工情報」に関しては、「個人 求することができる(改正後法 30 条 1 項及び 3 項)。 情報」に関するものよりも規制は緩和されているが、個 以上により、個人情報取扱事業者は、「要配慮個人 人情報保護委員会規則で定められる対応が求められ 情報」については従来と異なる取扱いをする体制を整 るため、いわゆるビッグデータビジネスに関わる事業者 えるか、そもそも「要配慮個人情報」を取得しない体制 は、同規則に従った体制を構築することが必要となる。 を整えることが必要になろう。 (5)国際的取扱いの整備 オ 「匿名加工情報」に関する規制 改正後法の下では、前記(2)エで説明した「匿名加 工情報」に関して、個人情報取扱事業者及び匿名加 改正後法は、以下のとおり、個人情報が国際的に取 り扱われる場合の規制を整備した。 ア 域外適用 工情報取扱事業者に、それぞれ、以下の規制が適用 改正前法は、行為の主体が日本の個人・法人であ される。なお、個人情報取扱事業者及び匿名加工情 るか、外国の個人・法人であるかを問わず、日本国内 報取扱事業者は、その匿名加工情報に関する限り、 でなされる個人情報に関わる行為に対して適用されて 別途「個人情報」に関する規制を受けないと考えられ いた。 る。そのため、例えば、匿名加工情報の第三者提供に 改正後法も、上記の適用関係が基本であることは変 当たっては、本人の同意を得る必要はなくなる。 わらない。しかし、改正後法は、一定の行為については、 ① 個人情報取扱事業者に対する規制 それが外国においてなされる場合にも適用されるもの 個人情報取扱事業者は、匿名加工情報の作成、元 とした。すなわち、国内にある者に対する物品又は役 となった情報等の安全管理措置、匿名加工情報に含 務の提供に関連してその者を本人とする個人情報を まれる個人に関する情報の項目の公表、並びに匿名 取得した個人情報取扱事業者が、外国において当該 加工情報の第三者提供の際の一定事項の公表及び 個人情報又は当該個人情報を用いて作成した匿名加 当該第三者に対する明示を、個人情報保護委員会規 工情報を取り扱う場合には、その行為につき、改正後 則に従って行わなければならない(改正後法 36 条 1 法の多くの規定が適用される(改正後法 75 条)。 項から 4 項)。 これにより、外国を本拠とする企業グループはもちろ また、個人情報取扱事業者は、匿名加工情報の作 ん、日本を本拠とする企業グループにおいても、グル 成及び取扱いに当たって、本人を識別するために、他 ープ企業の外国における行為に改正後法が適用され の情報と照合することが禁じられ(改正後法 36 条 5 るか否かを検証する必要が生じることとなった。 項)、さらに、匿名加工情報の適正な取扱いを確保す るために必要な措置を自ら講じ、その内容を公表する 努力義務を負う(改正後法 36 条 6 項)。 ② 匿名加工情報取扱事業者に対する規制 匿名加工情報取扱事業者は、匿名加工情報の第 イ 外国にある第三者への個人データの提供 前記(4)イ①のとおり、改正後法の下でも、所定の要 件を満たせば、本人の同意を得ずに(オプトアウト方式 により)個人データを第三者提供することが可能である。 ©Anderson Mori & Tomotsune 7 しかし、提供先の第三者が外国にある場合には、特則 記録の作成及びその一定期間の保存が義務付けられ として、本人の同意を得なければ個人データの提供は る(改正後法 26 条 1 項、3 項及び 4 項)。しかし、外 できないことが原則とされた(改正後法 24 条)。この例 国にある受領側の個人情報取扱事業者にはそうした 外となるのは、個人情報保護の制度が我が国と同等 義務は及ばない(域外適用を定める改正後法 75 条は、 の水準にある国として個人情報保護委員会規則で定 改正後法 26 条を引用していない)。 められる国にある第三者に対する提供の場合、又は、 個人情報保護委員会規則が定める基準に適合する ウ 外国にある第三者からの個人データの受領 個人情報の保護体制を整備している第三者に対する 外国にある第三者からの個人データの受領の場合、 提供の場合とされる。これらの例外に該当すれば、国 受領行為が日本国内でなされるときは、前記(4)イ② 内の第三者に対する個人データの提供の場合と同じ のとおり、受領側の個人情報取扱事業者には、提供者 規制に服することになる。 である第三者の氏名又は名称、住所、代表者等の氏 改正前法の下で、オプトアウト方式により外国にある 名及び「当該第三者による当該個人データの取得の 第三者に対して個人データを提供していた個人情報 経緯」を確認することのほか、提供に関する記録の作 取扱事業者は、そのような扱いを改正後法の下におい 成及びその一定期間の保存が義務付けられる(改正 ても継続できるか否かを、個人情報保護委員会規則 後法 26 条 1 項、3 項及び 4 項)。そして、「当該第三 に照らして判断することが必要となる。 者による当該個人データの取得の経緯」については、 なお、改正前法において、国内の第三者に対する個 提供者による法令遵守状況の確認を受領者に求める 人データの提供については、(a)利用目的の達成に必 趣旨と考えられているため、提供者が外国にある場合、 要な範囲での取扱いの委託をする場合、(b)事業の承 外国の個人情報保護法制を当該提供者が遵守して 継に伴う場合、及び(c)一定の条件の下で特定の者と いることの確認が求められると考えられる。このような 共同して利用する場合には、提供を受ける者を「第三 外国法制の遵守の確認を具体的にどのようにすべきで 者」に該当しないものとし、その者に対する個人データ あるのかは、今後、実務的な工夫が必要になろう。 の提供は、本人の同意が必要とされる「第三者」提供 に当たらないとされていた(改正前法 23 条 4 項)。 なお、前記(4)イ②のとおり、提供側の個人情報取扱 事業者には、提供に関する記録の作成及びその一定 改正後法においても、上記の仕組みには変化はな 期間の保存が義務付けられるが(改正後法 25 条)、こ い(改正後法 23 条 5 項)。しかし、前述した、外国にあ の義務は、提供行為が外国でなされる場合でも、域外 る第三者への個人データの提供に原則として本人の 適用の要件を満たせば適用される(改正後法 75 条は、 同意が必要とされる定め(改正後法 24 条)は、上記 改正後法 25 条を引用している)。 (a)、(b)及び(c)の場合の個人データの提供にも等しく 適用されることに留意が必要である(改正後法 23 条 5 項柱書、24 条第 2 文)。 (6)個人情報データベース等提供罪 改正後法は、個人情報保護法上の罰則(刑事犯罪) また、外国にある第三者への個人データの提供の場 として、個人情報データベース等提供罪を新設した 合でも、前記(4)イ②のとおり、提供側の個人情報取 (改正後法 83 条)。これは、個人情報の漏えい事件が 扱事業者には、提供に関する記録の作成及びその一 社会問題となったことを受けて、悪質な漏えいや盗用 定期間の保存が義務付けられる(改正後法 25 条)。そ をした個人を処罰するものである。 して、この義務は、提供行為が外国でなされる場合で 個人情報データベース等提供罪は、①個人情報取 も、域外適用の要件を満たせば適用される(改正後法 扱事業者(法人等の場合は、役員、代表者又は管理 75 条は、改正後法 25 条を引用している)。一方、前 人)若しくはその従業者又はこれらであった者が、②そ 記(4)イ②のとおり、受領側の個人情報取扱事業者に の業務に関して取り扱った個人情報データベース等 は、提供者である第三者の氏名又は名称、住所、代 (その全部又は一部を複製し、又は加工したものを含 表者等の氏名及び「当該第三者による当該個人デー む)を、③自己若しくは第三者の不正な利益を図る目 タの取得の経緯」を確認することのほか、提供に関する 的で提供し、又は盗用したことにより構成される。例え ©Anderson Mori & Tomotsune 8 ば、個人情報取扱事業者である企業の従業員が、業 した個人が法人の代表者、代理人、使用人その他の 務上取り扱っていた顧客のデータベースを社外の第三 従業者であり、その法人の業務に関して当該違反行為 者に売り渡す場合がこれに当たる。 をした場合は、その法人にも上記罰金刑が科せられる 個人情報データベース等提供罪の法定刑は、1 年 以下の懲役又は 50 万円以下の罰金である。 個人情報データベース等提供罪については、国外犯 も処罰される(改正後法 86 条)。 (改正後法 87 条)。そのため、法人である事業者として は、自らの法的リスクでもあるとの認識を持ち、役職員 に対して、社員研修などで、同罪について十分な注意 喚起を図るべきである。 また、同罪には両罰規定の適用があり、違反行為を 本ニュースレターの内容は、一般的な情報提供であり、具体的な法的アドバイスではありません。お問い合わ せ等ございましたら、下記弁護士までご遠慮なくご連絡下さいますよう、お願いいたします。 本ニュースレターの執筆者は、以下のとおりです。 弁護士 日下部 真治 Tel: 03-6888-1062 Fax: 03-6888-3062 http://www.amt-law.com/professional/profile/SJK 本ニュースレターの配信又はその停止をご希望の場合には、お手数ですが、 までご連絡下さいますようお願いいたします。 本ニュースレターのバックナンバーは、http://www.amt-law.com/bulletins3.html にてご覧いただけます。 ©Anderson Mori & Tomotsune
© Copyright 2024 Paperzz