...

重要改正法紹介 個人情報保護法の初めての実質的改正 (主要改正部分

by user

on
Category: Documents
16

views

Report

Comments

Transcript

重要改正法紹介 個人情報保護法の初めての実質的改正 (主要改正部分
DISPUTE RESOLUTION GROUP NEWSLETTER
2016 年 4 月
重要改正法紹介
個人情報保護法の初めての実質的改正
(主要改正部分は平成 29 年 9 月 8 日までに施行)
弁護士 日下部 真治
Contents
 個人情報保護法を初めて実質的に改正する改正法が、平成 27 年 9 月 9 日に公布された。
事業者の義務に関係する主要改正部分は、平成 29 年 9 月 8 日までに施行される。
 改正法の内容は多岐にわたるが、①個人情報保護委員会の新設、②保護対象情報の定め
の整備、③規制対象事業者の範囲の拡大、④事業者の義務の整備、⑤国際的取扱いの整
備、及び⑥個人情報データベース等提供罪の新設に大別できる。
 改正法の施行に向けて事業者のなすべき準備には、今後定められる個人情報保護委員会
規則に左右される部分が多い。しかし、同規則が定められる前から、事業者の担当部署にお
いては、改正法の内容を十分に把握し、できる準備を進めておくべきである。
法改正の経緯
う指摘もある。
個人情報の保護に関する法律(以下、「個人情報保
海外でも、個人情報の取扱状況の変化に応じて、
護法」という)は、平成 15 年 5 月 30 日に公布され、平
OECD(経済協力開発機構)では、平成 25 年 7 月、日
成 17 年 4 月 1 日に全面施行されて以来、10 年以上
本を含む加盟国において個人情報保護法制の基礎と
にわたり、実質的な改正は一度も行われなかった。そ
なるべきガイドラインの改正案が採択され、同年 9 月に
の一方で、個人情報保護法の施行後、情報通信技術
公表されており、EU や米国においても、個人情報保護
の発展に伴い、ビジネスにおける個人情報の利用形態
の枠組みの整備がなされているところである。個人情
も多種多様となり、近年では、購買履歴や位置情報を
報を利活用した企業活動のグローバル化が進んでいる
はじめとする個人に関する情報から当該個人の趣味・
現状において、こうした海外における個人情報保護の
嗜好を分析し、それに応じた広告を配信するといった、
動向に我が国も歩調を合わせる必要がある。
個人情報保護法制定時には想定されていなかった形
そこで、個人情報の適正かつ効果的な利活用にも
態での個人情報の利活用も行われるようになってい
配慮しつつ、個人の権利利益を保護し、また、海外に
る。
おける規制とも国際的な調和のとれる制度を構築すべ
個人情報がビジネスにおいて広く利活用されるに伴
く、平成 27 年 9 月 9 日に、「個人情報の保護に関する
って、消費者によるプライバシーに対する権利意識も
法律及び行政手続における特定の個人を識別するた
高まっている。個人情報保護法の規定の曖昧さから、
めの番号の利用等に関する法律の一部を改正する法
事業者による個人情報の利活用が躊躇されているとい
律」(以下、「改正法」という)が公布された。改正法に
©Anderson Mori & Tomotsune
2
よる個人情報保護法の改正事項は多岐にわたるが、
(2)保護対象情報の定めの整備
以下では、特に事業者がどのような事項に留意すべき
ア 「個人情報」の定義の整備
かという観点から、改正事項の概要を説明する(以下、
改正前法は、保護対象となる「個人情報」を、「生存
改正法による改正の前及び後の個人情報保護法を、
する個人に関する情報であって、当該情報に含まれる
それぞれ「改正前法」及び「改正後法」といい、個人情
氏名、生年月日その他の記述等により特定の個人を
報によって識別される特定の個人を「本人」という)。
識別することができるもの(他の情報と容易に照合する
なお、改正法の施行日は条文ごとに異なり、その一
ことができ、それにより特定の個人を識別することがで
部は平成 28 年 1 月 1 日に施行済みであるが、事業者
きることとなるものを含む。)」と定義していた(改正前法
の義務に関わる部分は、追って政令が定める平成 29
2 条 1 項)。改正前法においては、事業者による個人
年 9 月 8 日までの日に施行される。事業者は、それま
情報の取扱いが躊躇される理由として、この定義(特に、
での間に、改正法の施行に向けた準備を整える必要が
アンダーライン部分のカッコ内の容易照合性に係る箇
ある(以下では、平成 28 年 4 月の時点で既に施行済
所)が曖昧であることが指摘されていた。
みの部分のみ、特に指摘する)。
改正後法は、上記アンダーライン部分を「個人識別
符号」が含まれない場合に限っての定義とし(改正後
(1)個人情報保護委員会の新設
法 2 条 1 項 1 号)、それとは別に、「個人識別符号」が
改正前法においては、個人情報取扱事業者に対す
含まれるものを「個人情報」の定義に付加した(改正後
る監督は、事業分野ごとの主務大臣が行っていた(改
法 2 条 1 項 2 号)。そして、「個人識別符号」とは、①
正前法 32 条から 36 条)。そのため、事業分野ごとに
個人の身体の一部の特徴をコンピュータ処理するため
個人情報保護法の取扱いに関するガイドラインが作成
に変換した符号で、当該個人を識別できるもの、又は
され、統一的かつ効率的な法執行を難しくし、かつ、主
②商品・サービスの購入・利用のために個人に割り当
務大臣が定まっていない事業分野での法執行に支障
てられ、又は個人に発行されるカード等の書類に記載・
を来していた。また、EU 諸国など外国の目から見た際
記録された符号で、当該個人を識別できるものとして、
に、我が国に個人情報保護を担う独立の行政機関が
政令で定めるものと定義される(改正後法 2 条 2 項)。
存在しないことは、我が国の個人情報保護体制が不
「個人識別符号」の具体的な内容・範囲については政
十分なものであると見做される理由となり得た。
令の定めを待つ必要があるが、①としては、指紋認証
そこで、改正法は、改正前マイナンバー法に基づい
データや顔認証データ等が、②としては、マイナンバー
て設置されていた特定個人情報保護委員会を改組す
や運転免許証番号等が該当することになると想定され
る方法で、新たに個人情報保護委員会を設置した(平
る。
成 28 年 1 月 1 日に施行済み)。
このような「個人情報」の定義の整備により、生存す
個人情報保護委員会は、独立行政委員会と呼ばれ
る個人に関する「個人識別符号」が含まれる情報が
る機関であり、行政組織上の位置付けは、公正取引委
「個人情報」に該当することが明確になる。しかし、「個
員会や国家公安委員会に伍する。個人情報保護委
人識別符号」が含まれない場合については、依然とし
員会は、委員長及び 8 名の委員で組織され、事務局
て上記アンダーライン部分どおりの判断枠組みが維持
を擁している(平成 28 年 4 月時点の事務局員数は 70
されているため、「個人情報」の定義が曖昧であるとい
人強であるが、今後の増加が見込まれる)。
う指摘が完全に解消されるとはいい難い。
個人情報保護委員会は、個人情報保護法の執行
を担うが、事業者に特に影響をもたらすのは、同委員
イ 「個人情報データベース等」の定義の変更
会が制定する個人情報保護委員会規則である。以下
改正前法は、「個人情報データベース等」を事業の
においても、同規則に随所で言及するが、平成 28 年 4
用に供している者を(一定の例外を除き)「個人情報取
月末時点においては、まだ同規則は制定されていな
扱事業者」と定義した上で(改正前法 2 条 3 項)、「個
い。
人情報」(①)のうち、「個人情報データベース等」を構
成するものを「個人データ」(②)と定義し(改正前法 2
©Anderson Mori & Tomotsune
3
条 4 項)、「個人データ」のうち個人情報取扱事業者が
な取扱いは定められていなかった。しかし、官庁などが
開示等の権限を有するものの一部を「保有個人データ」
公表する個人情報の取扱いに関するガイドラインでは、
(③)と定義し(改正前法 2 条 5 項)、①、②及び③のそ
こうした情報を「機微(センシティブ)情報」などと呼び、
れぞれについて個人情報取扱事業者に対する規制を
その取扱いについて事業者に特段の配慮が求められ
定めていた。そして、「個人情報取扱事業者」及び「個
ていた。
人データ」(②)を定義する「個人情報データベース等」
改正後法は、こうした情報を「要配慮個人情報」とい
は、個人情報を含む情報の集合体で、特定の個人情
う新たな概念として定義し、特別な取扱いをすることと
報をコンピュータ等により検索することができるように体
した。「要配慮個人情報」は、「本人の人種、信条、社
系的に構成したものと定義されていた(改正前法 2 条 2
会的身分、病歴、犯罪の経歴、犯罪により害を被った
項)。
事実その他本人に対する不当な差別、偏見その他の
改正後法でも、上記の構造は変わらない(改正後法
不利益が生じないようにその取扱いに特に配慮を要す
2 条 4 項から 7 項)。しかし、改正後法では、「個人情
るものとして政令で定める記述等が含まれる個人情報」
報取扱事業者」及び「個人データ」を定義する「個人情
と定義される(改正後法 2 条 3 項)。「要配慮個人情報」
報データベース等」の定義が見直され、「利用方法か
の具体的な内容・範囲については、政令の定めを待つ
らみて個人の権利利益を害するおそれが少ないものと
必要がある。
して政令で定めるものを除く。」とされた(改正後法 2 条
4 項)。その具体的な内容・範囲については、政令の定
「要配慮個人情報」に対する特別な取扱いについて
は、後記(4)エ参照。
めを待つ必要があるが、市販の名簿等(例えば、電話
帳や四季報)や、自治会名簿等(構成員間の情報共
有目的の範囲で用いられる場合に限る)が、政令にお
エ 「匿名加工情報」という概念の新設
いわゆるビッグデータビジネスを促進するためには、
匿名化された個人に関する情報の利活用に対する規
いて定められると想定される。
このように「個人情報データベース等」の定義が狭ま
制は抑制的である必要がある。
ることにより、「個人情報取扱事業者」及び「個人デー
しかし、改正前法においては、保護対象となる「個人
タ」の範囲も狭まることになり、その限りで個人情報の
情報」は、前記(2)アのとおり、定義が曖昧であると指
取扱いが自由になる。もっとも、「個人情報取扱事業
摘されており、技術的に匿名化の工夫をしても、「個人
者」については、後記(3)のとおり、別の観点から、その
情報」に該当しないと解釈することには無理があると考
定義が拡大していることに留意が必要である。
えられていた。改正後法は、前記(2)アのとおり、「個人
識別符号」という概念を用いて「個人情報」の定義をあ
る程度明確にしたが、それのみでは、上記の問題が解
ウ 「要配慮個人情報」という概念の新設
改正前法では、人種や信条など、個人が不当な差
決されるとはいい難い。
別を受ける原因となるような個人情報について、特別
①「個人情報」
②「個人データ」
(「個人情報データベース等」を構成するもの)
③「保有個人データ」
(「個人情報取扱事業者」が開示等の権限を有するもの)
【個人情報取扱事業者が義務を負う保護対象となる情報】
©Anderson Mori & Tomotsune
4
そこで、改正後法は、「匿名加工情報」という概念を
して「個人情報取扱事業者」に該当せず、個人情報保
新設し(改正後法 2 条 9 項)、これを「個人情報」に関
護法における規制を受けなかった者が、改正後法の下
するものよりも緩和された規制にのみ服するものとし
では、規制を広く受けることになるため、特に中小企業
た。
の対策に不備がないかが問われることになる。また、後
「匿名加工情報」とは、個人情報に一定の措置を講
記(4)イ②のとおり、改正後法の下では、個人情報取
じて特定の個人を識別できないように加工し、かつ、当
扱事業者には、第三者から個人データの提供を受ける
該個人情報に復元できないようにしたものをいう(改正
に際して、提供者による法令遵守状況の確認が求めら
後法 2 条 9 項)。その加工の方法は、個人情報保護委
れると考えられるため、中小企業から個人データの提
員会規則で定められる基準に従わなければならない
供を受ける大企業にも、派生的にコンプライアンスの問
(改正後法 36 条 1 項)。
題が生じ得る。
なお、改正後法の規定の文言上、「匿名加工情報」
は「個人情報」には当たらないと明示的には定められて
(4)事業者の義務の整備
いない。しかし、匿名加工情報を自ら作成した個人情
ア 個人情報に関する義務
報取扱事業者は、その作成及び取扱いに当たって、本
利用目的の変更範囲の緩和
人を識別するために、他の情報と照合することが禁じら
改正前法においては、個人情報取扱事業者は、個
れ(改正後法 36 条 5 項)、また、匿名加工情報のデー
人情報の利用目的をできる限り特定し、個人情報の取
タベース等を事業の用に供している者(匿名加工情報
得に際しては利用目的の通知等をしなければならず
取扱事業者:改正後法 2 条 10 項)は、その取扱いに
(改正前法 15 条 1 項、18 条)、その利用目的の変更
当たって、本人を識別するために、他の情報と照合す
は、変更前の利用目的と「相当の関連性」を有すると
ることが禁じられている(改正後法 38 条)。そのため、
合理的に認められる範囲に限られていた(改正前法
こうした事業者との関係では、「個人情報」の定義中の
15 条 2 項)。
容易照合性(前記(2)ア参照)が認められず、従って、
改正後法においても、上記の規制の枠組みは維持
「匿名加工情報」は「個人情報」ではないと解釈される
されているが、利用目的の変更範囲は、変更前の利
と考えられる。
用目的と「関連性」を有すると合理的に認められる範
「匿名加工情報」に関する規制については、後記(4)
オ参照。
囲へと、若干緩和された(改正後法 15 条 2 項)。
この緩和により具体的にどの程度利用目的の変更
が認められ易くなるかは明らかではない。しかし、少なく
(3)規制対象事業者の範囲の拡大
とも、利用目的の変更範囲を改正前法の文言に則り
改正前法では、「個人情報データベース等」を事業
「相当の関連性」のある範囲としているプライバシーポリ
の用に供している者を「個人情報取扱事業者」としつつ、
シーを有する事業者は、ポリシーの当該部分を改正後
一定の者を例外的に除外していたが、その例外には、
法の文言に則り「関連性」のある範囲に修正することが
事業の用に供している「個人情報データベース等」に
考えられる。
含まれる個人の数が、過去 6 か月のどの日においても
5,000 以下の者(いわゆる小規模事業者)が含まれて
イ 個人データに関する義務
いた(改正前法 2 条 3 項 5 号、個人情報の保護に関
① オプトアウト方式での第三者提供への規制強化
する法律施行令 2 条)。
改正前法では、予め本人が第三者提供に関する一
改正後法は、この小規模事業者の例外扱いを廃止
定の事項を容易に知り得る状態にするなど、所定の要
している(改正後法 2 条 5 項)。その背景としては、小
件を満たしていれば、本人の同意を得ずに(オプトアウト
規模事業者による取扱いの場合でも、個人情報保護
方式により)個人データを第三者提供することが可能で
の必要性が失われるわけではないことや、国際的な動
あった(改正前法 23 条 2 項及び 3 項)。
向を踏まえたことが挙げられる。
この改正により、改正前法の下では小規模事業者と
改正後法でも、上記の仕組みは変わらないが、要件
として、第三者提供に関する一定の事項を個人情報
©Anderson Mori & Tomotsune
5
保護委員会へ届け出ることも必要となった(改正後法
を正確かつ最新の内容に保つ努力義務を負っていた
23 条 2 項及び 3 項)。なお、個人情報保護委員会は、
(改正前法 19 条)。
届出に係る事項を公表する(改正後法 23 条 4 項)。
これらは、本人が、個人情報保護委員会の HP 等で
個人データの第三者提供をしている事業者をまとめて
改正後法においては、上記に加えて、利用する必要
がなくなった個人データを遅滞なく消去する努力義務
が新たに課せられた(改正後法 19 条)。
把握し、希望するなら第三者提供の停止を求められる
上記はいずれも努力義務ではあるが、個人情報取
ようにするための措置である。個人データの第三者提
扱事業者は、個人データの消去プロセスを構築するこ
供をする個人情報取扱事業者は、個人情報保護委員
とを検討すべきであり、また、改正前法下での努力義
会への届出の準備を進めなければならない。
務を謳うプライバシーポリシーを有する事業者は、該当
② 第三者提供の適正化とトレーサビリティーの確保
部分を見直すことが考えられる。
改正後法は、改正前法と異なり、個人データの第三
者提供に際し、原則として、受領側の個人情報取扱事
ウ 保有個人データに関する義務
業者に、提供者である第三者の氏名又は名称、住所、
本人の開示等請求権の明確化
代表者等の氏名のほか、「当該第三者による当該個
改正前法では、個人情報取扱事業者は、本人から、
人データの取得の経緯」を確認することを義務付けた。
保有個人データの開示、(その内容が事実に反する場
具体的な確認方法については、個人情報保護委員会
合の)訂正、追加若しくは削除、又は(その取扱い、取
規則により定められるが(改正後法 26 条 1 項)、「当該
得若しくは第三者提供が違法になされた場合の)利用
第三者による当該個人データの取得の経緯」について
停止、消去若しくは提供停止を求められた場合に、そ
は、提供者による法令遵守状況の確認を受領者に求
れらに応じる義務が定められていた(改正前法 25 条か
める趣旨と考えられている。なお、提供者は、受領側
ら 27 条)。しかし、その規定ぶりから、本人に開示等の
の個人情報取扱事業者による上記確認の際に、確認
請求権が私法上の権利として認められるのか否かにつ
事項を偽ってはならないとされた(改正後法 26 条 2
いて見解が分かれ、これを否定する裁判例も見られた
項)。
(東京地判平成 19 年 6 月 27 日)。
また、改正後法は、個人データの第三者提供に際し、
改正後法は、本人に私法上の権利として開示等の
原則として、提供側及び受領側の双方の個人情報取
請求権があることを明確にするとともに(改正後法 28
扱事業者に、提供に関する記録の作成及びその一定
条から 30 条)、本人がその請求権に基づく訴えの提起
期間の保存を義務付けた。記録事項、記録方法及び
又は仮処分命令の申立てをするには、予め個人情報
記録の保存期間については、個人情報保護委員会規
取扱事業者に裁判所外の請求を行い、2 週間を経過
則により定められる(改正後法 25 条並びに 26 条 3 項
することが必要であると定めた(改正後法 34 条)。
及び 4 項)。
このように保有個人データに関する本人の開示等の
これらは、個人データの第三者提供の際に、一定事
請求権が明確になり、かつ、訴え提起又は仮処分命
項の確認並びに記録の作成及び保存を義務付けるこ
令申立ての前の手続が明確になったことにより、個人
とで、不適切な個人データの漏えいを抑止すると共に、
情報取扱事業者は、本人から開示等の請求を受けた
個人データが漏えいした場合に、どのような経路を辿っ
場合に、2 週間以内にしかるべき対応ができる体制を
て漏えいしたのかを追跡できるようにすることを意図し
整えることが必要になっている。
たものである。個人データの第三者提供の当事者とな
る個人情報取扱事業者は、一定事項の確認並びに記
録の作成及び保存を適切になすことのできる体制を整
エ 「要配慮個人情報」に対する特別な取扱い
改正後法の下では、前記(2)ウで説明した「要配慮
えなければならない。
個人情報」については、そうではない個人情報、個人
③ 不要な個人データの消去努力義務の新設
データ及び保有個人データとは異なり、以下の特別な
改正前法においては、個人情報取扱事業者は、利
用目的の達成に必要な範囲内において、個人データ
取扱いが必要とされる。
① 個人情報の取得の局面
©Anderson Mori & Tomotsune
6
「要配慮個人情報」の取得においては、一定の例外
三者提供の際の一定事項の公表及び当該第三者に
の場合を除き、予め本人の同意を得なければならない
対する明示を、個人情報保護委員会規則に従って行
(改正後法 17 条 2 項)。
わなければならない(改正後法 37 条)。
② 個人データの第三者提供の局面
また、匿名加工情報取扱事業者は、匿名加工情報
「要配慮個人情報」については、オプトアウト方式に
の取扱いに当たって、本人を識別するために、元とな
より本人の同意を得ずに第三者に提供することはでき
った情報等を取得すること、及び他の情報と照合する
ない(改正後法 23 条 1 項及び 2 項)。
ことが禁じられ(改正後法 38 条)、さらに、匿名加工情
③ 保有個人データの利用停止等の請求の局面
報の適正な取扱いを確保するために必要な措置を自
「要配慮個人情報」が上記①又は②に違反して取
得又は第三者提供された場合、本人は、これを含む
ら講じ、その内容を公表する努力義務を負う(改正後
法 39 条)。
保有個人データの利用停止、消去又は提供停止を請
以上のとおり、「匿名加工情報」に関しては、「個人
求することができる(改正後法 30 条 1 項及び 3 項)。
情報」に関するものよりも規制は緩和されているが、個
以上により、個人情報取扱事業者は、「要配慮個人
人情報保護委員会規則で定められる対応が求められ
情報」については従来と異なる取扱いをする体制を整
るため、いわゆるビッグデータビジネスに関わる事業者
えるか、そもそも「要配慮個人情報」を取得しない体制
は、同規則に従った体制を構築することが必要となる。
を整えることが必要になろう。
(5)国際的取扱いの整備
オ 「匿名加工情報」に関する規制
改正後法の下では、前記(2)エで説明した「匿名加
工情報」に関して、個人情報取扱事業者及び匿名加
改正後法は、以下のとおり、個人情報が国際的に取
り扱われる場合の規制を整備した。
ア 域外適用
工情報取扱事業者に、それぞれ、以下の規制が適用
改正前法は、行為の主体が日本の個人・法人であ
される。なお、個人情報取扱事業者及び匿名加工情
るか、外国の個人・法人であるかを問わず、日本国内
報取扱事業者は、その匿名加工情報に関する限り、
でなされる個人情報に関わる行為に対して適用されて
別途「個人情報」に関する規制を受けないと考えられ
いた。
る。そのため、例えば、匿名加工情報の第三者提供に
改正後法も、上記の適用関係が基本であることは変
当たっては、本人の同意を得る必要はなくなる。
わらない。しかし、改正後法は、一定の行為については、
① 個人情報取扱事業者に対する規制
それが外国においてなされる場合にも適用されるもの
個人情報取扱事業者は、匿名加工情報の作成、元
とした。すなわち、国内にある者に対する物品又は役
となった情報等の安全管理措置、匿名加工情報に含
務の提供に関連してその者を本人とする個人情報を
まれる個人に関する情報の項目の公表、並びに匿名
取得した個人情報取扱事業者が、外国において当該
加工情報の第三者提供の際の一定事項の公表及び
個人情報又は当該個人情報を用いて作成した匿名加
当該第三者に対する明示を、個人情報保護委員会規
工情報を取り扱う場合には、その行為につき、改正後
則に従って行わなければならない(改正後法 36 条 1
法の多くの規定が適用される(改正後法 75 条)。
項から 4 項)。
これにより、外国を本拠とする企業グループはもちろ
また、個人情報取扱事業者は、匿名加工情報の作
ん、日本を本拠とする企業グループにおいても、グル
成及び取扱いに当たって、本人を識別するために、他
ープ企業の外国における行為に改正後法が適用され
の情報と照合することが禁じられ(改正後法 36 条 5
るか否かを検証する必要が生じることとなった。
項)、さらに、匿名加工情報の適正な取扱いを確保す
るために必要な措置を自ら講じ、その内容を公表する
努力義務を負う(改正後法 36 条 6 項)。
② 匿名加工情報取扱事業者に対する規制
匿名加工情報取扱事業者は、匿名加工情報の第
イ 外国にある第三者への個人データの提供
前記(4)イ①のとおり、改正後法の下でも、所定の要
件を満たせば、本人の同意を得ずに(オプトアウト方式
により)個人データを第三者提供することが可能である。
©Anderson Mori & Tomotsune
7
しかし、提供先の第三者が外国にある場合には、特則
記録の作成及びその一定期間の保存が義務付けられ
として、本人の同意を得なければ個人データの提供は
る(改正後法 26 条 1 項、3 項及び 4 項)。しかし、外
できないことが原則とされた(改正後法 24 条)。この例
国にある受領側の個人情報取扱事業者にはそうした
外となるのは、個人情報保護の制度が我が国と同等
義務は及ばない(域外適用を定める改正後法 75 条は、
の水準にある国として個人情報保護委員会規則で定
改正後法 26 条を引用していない)。
められる国にある第三者に対する提供の場合、又は、
個人情報保護委員会規則が定める基準に適合する
ウ 外国にある第三者からの個人データの受領
個人情報の保護体制を整備している第三者に対する
外国にある第三者からの個人データの受領の場合、
提供の場合とされる。これらの例外に該当すれば、国
受領行為が日本国内でなされるときは、前記(4)イ②
内の第三者に対する個人データの提供の場合と同じ
のとおり、受領側の個人情報取扱事業者には、提供者
規制に服することになる。
である第三者の氏名又は名称、住所、代表者等の氏
改正前法の下で、オプトアウト方式により外国にある
名及び「当該第三者による当該個人データの取得の
第三者に対して個人データを提供していた個人情報
経緯」を確認することのほか、提供に関する記録の作
取扱事業者は、そのような扱いを改正後法の下におい
成及びその一定期間の保存が義務付けられる(改正
ても継続できるか否かを、個人情報保護委員会規則
後法 26 条 1 項、3 項及び 4 項)。そして、「当該第三
に照らして判断することが必要となる。
者による当該個人データの取得の経緯」については、
なお、改正前法において、国内の第三者に対する個
提供者による法令遵守状況の確認を受領者に求める
人データの提供については、(a)利用目的の達成に必
趣旨と考えられているため、提供者が外国にある場合、
要な範囲での取扱いの委託をする場合、(b)事業の承
外国の個人情報保護法制を当該提供者が遵守して
継に伴う場合、及び(c)一定の条件の下で特定の者と
いることの確認が求められると考えられる。このような
共同して利用する場合には、提供を受ける者を「第三
外国法制の遵守の確認を具体的にどのようにすべきで
者」に該当しないものとし、その者に対する個人データ
あるのかは、今後、実務的な工夫が必要になろう。
の提供は、本人の同意が必要とされる「第三者」提供
に当たらないとされていた(改正前法 23 条 4 項)。
なお、前記(4)イ②のとおり、提供側の個人情報取扱
事業者には、提供に関する記録の作成及びその一定
改正後法においても、上記の仕組みには変化はな
期間の保存が義務付けられるが(改正後法 25 条)、こ
い(改正後法 23 条 5 項)。しかし、前述した、外国にあ
の義務は、提供行為が外国でなされる場合でも、域外
る第三者への個人データの提供に原則として本人の
適用の要件を満たせば適用される(改正後法 75 条は、
同意が必要とされる定め(改正後法 24 条)は、上記
改正後法 25 条を引用している)。
(a)、(b)及び(c)の場合の個人データの提供にも等しく
適用されることに留意が必要である(改正後法 23 条 5
項柱書、24 条第 2 文)。
(6)個人情報データベース等提供罪
改正後法は、個人情報保護法上の罰則(刑事犯罪)
また、外国にある第三者への個人データの提供の場
として、個人情報データベース等提供罪を新設した
合でも、前記(4)イ②のとおり、提供側の個人情報取
(改正後法 83 条)。これは、個人情報の漏えい事件が
扱事業者には、提供に関する記録の作成及びその一
社会問題となったことを受けて、悪質な漏えいや盗用
定期間の保存が義務付けられる(改正後法 25 条)。そ
をした個人を処罰するものである。
して、この義務は、提供行為が外国でなされる場合で
個人情報データベース等提供罪は、①個人情報取
も、域外適用の要件を満たせば適用される(改正後法
扱事業者(法人等の場合は、役員、代表者又は管理
75 条は、改正後法 25 条を引用している)。一方、前
人)若しくはその従業者又はこれらであった者が、②そ
記(4)イ②のとおり、受領側の個人情報取扱事業者に
の業務に関して取り扱った個人情報データベース等
は、提供者である第三者の氏名又は名称、住所、代
(その全部又は一部を複製し、又は加工したものを含
表者等の氏名及び「当該第三者による当該個人デー
む)を、③自己若しくは第三者の不正な利益を図る目
タの取得の経緯」を確認することのほか、提供に関する
的で提供し、又は盗用したことにより構成される。例え
©Anderson Mori & Tomotsune
8
ば、個人情報取扱事業者である企業の従業員が、業
した個人が法人の代表者、代理人、使用人その他の
務上取り扱っていた顧客のデータベースを社外の第三
従業者であり、その法人の業務に関して当該違反行為
者に売り渡す場合がこれに当たる。
をした場合は、その法人にも上記罰金刑が科せられる
個人情報データベース等提供罪の法定刑は、1 年
以下の懲役又は 50 万円以下の罰金である。
個人情報データベース等提供罪については、国外犯
も処罰される(改正後法 86 条)。
(改正後法 87 条)。そのため、法人である事業者として
は、自らの法的リスクでもあるとの認識を持ち、役職員
に対して、社員研修などで、同罪について十分な注意
喚起を図るべきである。
また、同罪には両罰規定の適用があり、違反行為を

本ニュースレターの内容は、一般的な情報提供であり、具体的な法的アドバイスではありません。お問い合わ
せ等ございましたら、下記弁護士までご遠慮なくご連絡下さいますよう、お願いいたします。

本ニュースレターの執筆者は、以下のとおりです。
弁護士 日下部 真治
Tel: 03-6888-1062
Fax: 03-6888-3062
http://www.amt-law.com/professional/profile/SJK

本ニュースレターの配信又はその停止をご希望の場合には、お手数ですが、
までご連絡下さいますようお願いいたします。

本ニュースレターのバックナンバーは、http://www.amt-law.com/bulletins3.html にてご覧いただけます。
©Anderson Mori & Tomotsune
Fly UP