【個人情報保護法の規制(個人情報の第三者提供禁止・訂正や利用停止の請求)】
1 個人情報保護法による個人情報の利用の制限(規制)
2 『個人情報』の定義(概要)
3 『個人情報取扱事業者』の定義(概要)
4 個人情報の第三者への提供の禁止
5 オプトアウト方式(事前の同意の例外・概要)
6 個人情報保護法が適用される主体(対象者)
7 個人情報の取得の際の利用目的の通知・公表
8 情報の訂正・削除や利用停止の規定
9 個人情報保護委員会による監督と罰則(概要)
10 個人情報利用の有用性と利用の制限のバランス
1 個人情報保護法による個人情報の利用の制限(規制)
個人情報保護法によって,個人情報の利用や管理の方法は制限(規制)されています。
本記事では,個人情報保護法の規制の基本的な内容を説明します。
2 『個人情報』の定義(概要)
個人情報保護法の規制として利用が制限される対象,つまり保護されるものは,文字どおり『個人情報』です。
この『個人情報』とは,大雑把に言うと『個人を識別・特定できる情報』です。
正確な定義の内容については,別の記事で説明しています。
詳しくはこちら|『個人情報』の定義(個人識別符号・容易照合性の意味)と具体例
3 『個人情報取扱事業者』の定義(概要)
『個人情報』の利用や管理の方法が制限されるのは,『個人情報取扱事業者』です。
大雑把にいうと,個人情報をデータベースを使って管理する事業者が該当します。正確な定義については別の記事で説明しています。なお,平成27年の法改正(平成29年全面施行)によって定義は拡大されています。
詳しくはこちら|『個人情報取扱事業者』の定義(5000件要件の撤廃)
4 個人情報の第三者への提供の禁止
個人情報の保護,つまり,利用や管理の方法の制限の代表的なものは事前の同意なしで第三者に提供することの禁止です。
禁止される行為の典型例は,顧客の情報を名簿業者や名簿屋へ売ることです。
第三者への提供は原則として禁止されますが,一定の例外もあります(後記)。
<個人情報の第三者への提供の禁止>
あ 基本的内容
個人情報取扱事業者は,あらかじめ本人の同意を得ないで個人データを第三者に提供できない
い 例外
ア 法令に基づく場合イ 人の生命・身体・財産の保護のために必要がある場合であって,本人の同意を得ることが困難であるときウ 公衆衛生の向上or児童の健全な育成の推進のために特に必要がある場合であって,本人の同意を得ることが困難であるときエ 国の機関or地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって,本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき ※個人情報保護法23条1項
5 オプトアウト方式(事前の同意の例外・概要)
個人情報を第三者に提供するには事前に本人の同意が必要です(前記)。
しかし例外的に,事前の同意までは必要ではなくすること(オプトアウト方式)もできます。第三者への個人情報の提供をあらかじめ公表しておくなどの方法です。逆に,事後的に,本人から情報の提供の停止を請求されたら情報提供を停止するなどの体制を整備する必要もあります。
オプトアウトの内容については別の記事で説明しています。
詳しくはこちら|事前同意なしの個人情報の第三者提供(オプトアウト方式)の条件
6 個人情報保護法が適用される主体(対象者)
以上のように,個人情報保護法では,第三者への提供の禁止をはじめとして,いろいろな個人情報の扱いに関する制限が規定されています。
ただしこれらの規制が適用される者は,前記のように,個人情報取扱事業者に限定されています。個人情報取扱事業者に該当しない者は,個人情報保護法による規制は適用されません。
<個人情報保護法が適用される主体(対象者)>
個人情報取扱事業者該当性 | 事前同意なしの第三者提供の可否 |
該当する | 禁止される(原則) |
該当しない | 禁止されない |
7 個人情報の取得の際の利用目的の通知・公表
ところで,個人情報保護法は,個人情報の取得(入手)自体を禁止してはいません。
つまり,市販の名簿を購入して利用すること自体は違法ではありません。
ただし,個人情報を取得したことその利用目的を本人に通知するか,公表することは必要です。
法規制とは別ですが,例えばダイレクトメールを受け取った方は,どこで情報が渡ったのだろう,と疑問に思うことがあります。
そこで,情報の入手源の説明を盛り込むという方法も有用です。
また,個人情報取扱事業者は,本人からの請求により,情報の訂正・削除や利用停止をしなくてはならないこともあります(後記)。そこで,ダイレクトメールなどの中に,このような請求を受け付ける連絡先(窓口)を明記おくべきです。
なお,違法に取得した情報(名簿)だと分かっていて,これを購入して利用することは違法になり得ます。
<個人情報の取得の際の利用目的の通知・公表>
個人情報取扱事業者は,個人情報を取得した場合に
速やかに,利用目的を本人に通知or公表しなければならない
あらかじめ利用目的を公表している場合を除く
※個人情報保護法18条1項
8 情報の訂正・削除や利用停止の規定
個人情報の利用の制限として,本人からの請求による訂正・削除や利用停止の義務もあります。
例えば,ダイレクトメールを受け取った者が,情報が事実ではないという場合,例えば,氏名や住所が間違っていることに気づいた場合は,データの訂正・追加・削除のいずれかを請求できます。
また,情報の利用方法(目的)や取得方法が違法である場合には,本人は情報の利用の停止や消去を請求できます。
ダイレクトメールを受け取った本人が,送付するリストから自分の情報を削除して欲しいと思っても,それだけでは,法律上,削除や利用停止の請求をすることはできません。
もちろん,実際に受領者からの中止の要請があったら,法律上の義務ではなくても,送付リストから除外することが望ましいことは当然でしょう。
<情報の訂正・削除や利用停止の規定>
あ 訂正・追加・削除
個人データの内容が事実でない場合
→本人は,個人情報取扱事業者に対してデータの訂正・追加・削除を請求できる
※個人情報保護法29条
い 利用の停止・消去
個人データの利用方法(目的),取得方法が違反である場合
→本人は,個人情報取扱事業者に対してデータの利用の停止or消去を請求できる
※個人情報保護法30条
9 個人情報保護委員会による監督と罰則(概要)
以上のような個人情報保護法の規制が実際に遵守されるようにするために,個人情報保護委員会による監督がなされています。
監督の内容は,助言・指導・措置勧告・措置命令と,強さの程度が違うものがあります。措置命令違反やその他の違反については罰則が適用されます。
詳しくはこちら|個人情報保護法違反による行政的監督・刑事罰とその他のリスク
10 個人情報利用の有用性と利用の制限のバランス
企業活動,例えば販売促進・宣伝(マーケティング)において,個人情報を一切使えないとなったらどうなるでしょうか。
望ましい商品・サービスを,消費者が知らないままになってしまいます。
結果的に不便な生活を変えられない,ということにもつながります。
マーケティングは単に企業の金儲けというネガティブな意味ではなく,創造した価値の伝達・説得経路という意味で,情報を受け取る側の利益にもつながります。
つまり,個人情報の利用は,悪用されたくないというのと利用は望ましいという2つの面があるのです。
そこで,ルールの内容としては,規制自由のバランスを取っているのです。
悪用を止めるためのルールで,有用な活用による社会的な利益を奪ってしまうのは良くありません。
このような背景があるので,個人情報保護法1条には,目的として,個人情報の有用性に配慮する必要があることが明記されています。
本記事では,個人情報保護法による個人情報の保護,つまり規制の主な内容を説明しました。
実際に,個人情報を扱う際には,個人情報保護法の順守は当然として,顧客へ迷惑がかかるようなことは未然に防ぐような情報管理の設計をする必要があります。
実際に,個人情報に関する問題に直面されている方は,みずほ中央法律事務所の弁護士による法律相談をご利用くださることをお勧めします。