基本から考える個人情報保護法(その1)
楽しくない時代
最近、個人情報の保護に関する法律(以下「保護法」)に関して検討した事案があり、2017年5月30日から改正保護法が全面施行されたこともあるので、改めて保護法について基本から考えてみることにした。IT、AIに関する法務のかなりの部分は、「情報」、「データ」が関連するので、「AIと法」の法部門の嚆矢にふさわしいだろう。
さて多くの事業主や企業は「御社のした個人情報の取得(提供)は、違法である」といわれると、それだけで震え上がってしまう。これにプライバシー、コンプライアンス、説明責任と畳みかけられると、頭の中が真っ白になってしまうことになる。でもそのような指摘が正しいことは稀である。
今は、「個人情報」に限らず、本来正しい出自を持つ(であろう)言葉が、本来的な定義や意味内容とは関係なく「語感」を恣意的に膨らませたイメージを基にして、「ゴシップ」(ロビン・ダンバーがいう言語の起源を想定している。)の「武器」として使用され、あたかもそれが真実であるかの如くネットを通じて勢いよく拡散、流通してしまう。
何が正しいのかとは別に、このような事態になりそうな、あるいはなってしまったときの最低限の対応(あるいは心構え)だけは考えておく必要がある。私はIT、AI大好き人間であるが、この「ゴシップ」の拡散、流通を楽しいとは思わない。
前振りが長くなってしまったが、「ゴシップ」の拡散問題は追々考えていくとして、ここではまず「個人情報」として降りかかってきた火の粉を、正当に振り払うために、保護法を基本から考えてみよう。
まず本項(その1)では、保護法に違反するとどうなるのか、事業者が取り組むべき課題は「個人情報データベース」の適切な運用であること、そもそも「個人情報」とは何かという、保護法の「尾根」を辿ってみよう。
保護法に違反するとどうなるのかを考えよう
指導、助言、勧告(それでも是正されなければ命令)を受けるだけであること
保護法は、「個人情報取扱事業者」が「個人情報」(及び「個人データ」、「保有個人データ」)を取り扱う(取得、利用、提供等する)場合のルールを定めている。取り扱う「情報」が何種類にも分かれ(改正法によって「個人識別符号」、「要配慮個人情報」、「匿名加工情報」が付加された。)、それに応じてなすべき行為も複雑に絡みあっているので、お世辞にも分かりやすいとはいえない。取り扱う「個人情報」が膨大で違反した場合の影響が大きい大手事業者以外は、内心びくびくしながら、表面をなぞって済ませるのが精一杯であろう。
ところで精一杯なぞった結果、残念ながら保護法に違反していた場合、どうなるのであろうか。
それは、保護法の「第3節 監督」に書かれている。
「個人情報取扱事業者」に何か問題があったら(ありそうだったら)、
①必要な報告若しくは資料の提出を求められたり、立入検査を受けることがあります(40条1項)、
②個人情報等の取扱いに関し必要な指導及び助言を受けることがあります(41条)、
③「保護法の規定に違反した場合において個人の権利利益を保護するため必要があると認めるときは、違反行為の中止その他違反を是正するために必要な措置をとるべき旨を勧告されることがあります(42条1項)、
④「勧告を受けても正当な理由がなくてその勧告に係る措置をとらなかった場合において個人の重大な権利利益の侵害が切迫していると認めるときは、その勧告に係る措置をとるべきことを命じられることがあります(42条2項)、
⑤「緊急の場合はいきなり命じられることもあります」(42条3項)という流れになる。
そして、 ④⑤に違反した場合は、「6月以下の懲役又は30万円以下の罰金に処する」、①に従わなかった場合は、「30万円以下の罰金に処する」ことになる。
おや!「個人情報」の取扱いに不備があった場合は、お役所にいろいろと調べてもらって、保護法に沿うように指導、助言、勧告をしてもらい、それを聞き入れず、命令にも従わなかった場合にはじめて「6月以下の懲役又は30万円以下の罰金」?これは決して重い罰則ではないし、お役所がそこまでやってくれたのなら普通は聞き入れるだろう。
その外に苦情処理制度に付き合わされることもある。多少煩わしい場合があるかも知れないが、それも問題がある場合に任意の解決をしようとする制度だ。
それに、今回の法改正で「個人情報取扱事業者」には、事実上、すべての事業者が含まれることになったこともあり、大量あるいはセンシティブな「個人情報」を取り扱っている事業者以外の行為が問題になることは稀であろう。
要は、保護法は、これからの「高度情報通信社会の進展」の中で大量に流通する「個人情報」の取扱いは極めて大切なことだから、漏洩等が生じないようにみんなで保護法のルールを守りましょうという、ソフトな「仕組み」になっている(「交通違反」の対応とは大違いだ。)。そう考えると、随分気楽になるし、保護法のルールも冷静に取り入れようという気になるのではないか。
それだけでは済まない問題もある
ただそれにも拘わらず、どうして「個人情報」の取扱いがこれほど問題なることがあるのだろうか。
ひとつは、「個人情報」の他に、「プライバシー」という法律上保護される利益があり、「個人情報」と「プライバシー」が重なる部分があって、保護法に違反することが、プライバシーの侵害と同視され、非難、クレームの対象とされてしまうことがあることにあろう。実態は単なる「ゴシップ」の類で言いがかりに等しい場合もあるが、そうでない場合もある。事業者としては「炎上」を意識し、内容に応じた適切な対応をすることを余儀なくされるのはやむを得ない。
もうひとつは、「個人情報」が業法に組み入れられている業種があり、その場合は、免許の問題にもなってしまうことがある。
さらに保護法の条文の構成、内容の出来がよくないことからもたらされる混乱もある。以下、これについて2点指摘しよう。
事業者が保護法によって取り組むべき課題は「個人情報データベース」の適切な運用であること
事業者が保護法によって取り組むべき一番大事な課題(ルール)は「個人情報データベース」の適切な運用である。そもそも保護法が適用される「個人情報取扱事業者」とは「個人情報データベース等を事業の用に供している者」(保護法2条5項)であり、個人情報データベース等を事業に使っていない者は、保護法の適用を受けないから、「個人情報」(「個人データ」、「保有個人データ」)についてのルールは一切適用されない。
事業者が、「個人情報データベース」を利用するからこそ、その構成「要素」である「個人情報」の「取得や利用目的」についてのルール、及び「個人情報データベース」のうち事業者に管理権限のあるもの(「保有個人データ」)について一定の事項の公表や本人の開示等の請求に対応する義務が定められているのである(保護法27条~34条)。
ここで用語を整理しておくと、「個人情報データベース等」とは、「個人情報を含む情報の集合物であって、ⅰ特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの及び、ⅱ特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるものから、利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除いたもの」である(保護法2条4項)。ざっくりとPCで利用する「個人情報データベース」(整理された紙情報も含むが)を念頭に置けば足りるだろう。
そして、個人情報データベースを構成する個人情報を、「個人データ」と呼称し、保護法は個人情報データベースを構成する「個人データ」について、正確性の確保等、安全管理措置(従業員、委託先の監督を含む。「情報セキュリティ管理」)、第三者提供の制限を規定している(保護法19条ないし26条)。
ここが事業者の「本丸」である。データベースの情報が漏洩したり、丸ごと第3者に提供されたりすることについて、守るべきルールがあり、そこに義務が課されているというのは当然であるし、それは分かりやすいであろう。
更に一定の管理権限を有する「保有個人データ」についての「個人情報データベース」について、付加的な義務が課されているのは前述のとおりである。
この部分の各論は、「その2」に譲ろう。
「個人情報」をめぐって
「個人情報」についての規定
保護法は、「個人情報」について15条から18条に規定している。
保護法を読む場合、まず2条の定義を読み、15条から18条を読むのが普通であるが、これを読んで、ここに何が書かれ、具体的にこれがどういうルールなのか、理解できる人はいないだろう。それほど不安定で曖昧模糊として書きぶりになっている。
しかし、事業者が取り組むべき課題は「個人情報データベース」の適切な運用であることを理解し、「個人情報」は取得後、「個人情報データベース」の「個人データ」として加工、収納されるが、その間の、どこに落ち着くか分からないぼやっとした過程を、「取得」、「利用目的」で制御したのが「個人情報」の規定であると捉えれば、随分分かりやすくなる。
個人情報の取得
「個人情報」の「取得」は出発点であるが、「偽りその他不正の手段」によらない限り自由に取得すべきものである(ただし、改正法で導入された「要配慮個人情報」の取得には本人の「同意」が必要である。)。
「個人情報」の「利用目的」とは何か
問題は入り組んだルールになっている「利用目的」であるが、目的であるから「……のため」に利用するという形で、できる限り特定することになろうが、ここでも、個人情報は「個人情報データベース」に加工、収納されるべき要素であるから、「利用目的」は、「個人情報データベースを構築しこれを……のために利用する」という形で問題になると考えるのが分かりやすい。
したがって個人情報取扱事業者(個人情報データベース等を事業の用に供している者)が、個人情報データベースと無関係に取得した「個人情報」は、保護法の埒外にあると解すべきであろう。中小の事業主や企業ではこの種の一過性の「個人情報」が問題とされることが多い。仮に、個人情報取扱事業者である限りすべての「個人情報」について保護法の適用があると解するのであれば(お役所は、目的的な「解釈」ができないことから、無反省にそのようなことを言う)、保護法18条の解釈に工夫を凝らすことになろう。さらにそのような「個人情報」は個人情報データベースに組み入れられることはないから、有形情報は廃棄すれば足りる。
そもそも「個人情報」とは何か
ここで、通常一番最初に取り上げられるそもそも「個人情報」とは何かについて検討する。
「個人情報」の定義の基本は、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの」である(法2条1項)。
すなわち、「生存する個人に関する情報」のうち、その中に記述された「氏名、生年月日等」(「識別の手段となる情報」といえよう、)があることで、特定の個人を識別することができるものである。
「生存する個人に関する情報」の中に記述された「氏名、生年月日等」の「識別の手段となる情報」だけでも「個人情報」ではあろうが、そんなカスカスの情報に特段の意味があるわけではなく、それによって特定の個人のものであることが分かる「生存する個人に関する様々な情報」が、保護法の「保護」に値する「個人情報」である。
そうであるからこそ「識別の手段となる情報」はなくても、「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるもの」は、「個人情報」となることが理解できる。
これまでの世上流通していた「解説」は「個人情報」として主として「識別の手段となる情報」だけを取り上げていたから、わかりにくさが倍増していた。それが保護法から人を遠ざけていた面があったと思うが、今回の法改正によってこの点の理解は深まったように思う。
その1のまとめ
以上、保護法に違反すると事業者はどうなるのか、事業者が取り組むべき課題は「個人情報データベース」の適切な運用であること、そもそも「個人情報」とは何かという、保護法の「尾根」を辿ってみた。「その2」では、事業者が取り組むべき課題について詳述することにする。
こういう俯瞰図の元に保護法にアクセスすると、随分、分かりやすいと思うのだが、ここまででかなりの分量になってしまった。以下、参照条文を載せておく。
個人情報の保護に関する法(抄録)
第二条(定義)
この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。第十八条第二項において同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二 個人識別符号が含まれるもの
2 この法律において「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、政令で定めるものをいう。
一 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの
二 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの
3 この法律において「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。
4 この法律において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。)をいう。
一 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
二 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの
5 この法律において「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。
一 国の機関
二 地方公共団体
三 独立行政法人等(独立行政法人等の保有する個人情報の保護に関する法律(平成十五年法律第五十九号)第二条第一項に規定する独立行政法人等をいう。以下同じ。)
四 地方独立行政法人(地方独立行政法人法(平成十五年法律第百十八号)第二条第一項に規定する地方独立行政法人をいう。以下同じ。)
6 この法律において「個人データ」とは、個人情報データベース等を構成する個人情報をいう。
7 この法律において「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの又は一年以内の政令で定める期間以内に消去することとなるもの以外のものをいう。
第十五条(利用目的の特定)
個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。
2 個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。
第十六条(利用目的による制限)
個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
2 個人情報取扱事業者は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。
3 前二項の規定は、次に掲げる場合については、適用しない。
一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
第十七条(適正な取得)
個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。
2 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。
一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
五 当該要配慮個人情報が、本人、国の機関、地方公共団体、第七十六条第一項各号に掲げる者その他個人情報保護委員会規則で定める者により公開されている場合
六 その他前各号に掲げる場合に準ずるものとして政令で定める場合
第十八条(取得に際しての利用目的の通知等)
個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
2 個人情報取扱事業者は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電磁的記録を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。
3 個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。
4 前三項の規定は、次に掲げる場合については、適用しない。
一 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
二 利用目的を本人に通知し、又は公表することにより当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合
三 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。
四 取得の状況からみて利用目的が明らかであると認められる場合