現代社会はインターネットの普及に伴い、情報のやり取りが格段に容易になりました。
情報が簡単にやり取りできて便利な反面、個人情報の取り扱いには特に注意が必要です。
大手企業での個人情報漏えい問題がニュースとなることも多い昨今、中小企業や個人事業主の方も決して例外ではありません。
「個人情報保護法に遵守したうえで、個人情報を第三者提供するにはどうしたらよいのか」
「個人情報の取り扱いについてリスクは感じているが、何に気をつけるべきかわからない」
本記事はそのような方に是非読んでいただきたい記事になっております。
事業の内容と関係なく、個人情報は必ず取り扱う場面が出てきます。
改正後の法律と改正に至るまでの流れを知り正しい知識を身に着けることで、安心して本業である事業に集中できるはずです。
一つひとつ、一緒に学んでいきましょう。
▼この記事でわかること
- 2017年以降の改正後の個人情報保護法についての重要ポイントが分かります。
- 個人情報を第三者に提供する際、提供される際に気を付けなければならないことが分かります。
- 個人情報保護法を守らないとどのようなことになるのかが分かります。
▼こんな方におすすめ
- 改正後の個人情報保護法について学びたい方
- 従業員に個人情報を扱わせるリスクを知りたい方
- 個人情報を取り扱うすべての事業者の方
個人情報を第三者提供する際の確認・記録義務とは
2017年以降に改正された個人情報保護法における重要なポイントの一つが、第三者提供する際のルールの追加です。
第三者提供とは「その事業者」以外の者に個人情報を提供することをいい、法改正前から原則として本人の同意がない限りできないことになっていました。
例えば通販で買い物をしたときに、通販会社が自分の名前や住所を勝手に別の業者に渡すなどのことです。
改正前の個人情報保護法では例外的な方法を悪用することで、本人の同意なしに第三者提供ができてしまっていました。
そのようなことが起こる可能性を減らすため、ルールの改正がされたということです。
具体的にどのような要件が追加されたのでしょうか。
情報のトレーサビリティを確保する
一つは情報トレーサビリティの確保です。
トレーサビリティとは、日本語で言うと「追跡可能性」です。
つまり、その情報が「どこから来たのか」「どこへ流れたのか」を追えるようにしましょうということが法改正の趣旨の一つとなります。
情報の流れが追えるよう、改正法では個人情報の「第三者提供をする場合」と「第三者提供を受ける場合」、双方の手続きについて規定しています。
具体的な要件については後述しますが、個人情報を提供する側・提供される側それぞれに要件ができ、またその記録事項は一定期間の保存が義務付けられることとなりました。
これによって、仮に流出事件が起きても流出元と流出先のどちらも把握することができますし、この要件があることで流出事件の防止にもつながると考えられます。
オプトアウト規定の厳格化
オプトイン・オプトアウトという言葉を耳にしたことはあるでしょうか。
オプトインとは「同意」「許諾」の意味であり、事前に同意がなければ個人情報を取り扱うことができない、という立場を言います。
それに対しオプトアウトとは、顧客に同意を取ることなく個人情報の第三者提供をすることです(一定の要件を満たす必要あり)。
例外的な立場ではありますが、改正前の個人情報保護法では、「オプトアウト」という例外的な考え方により、一定の要件及び前提のもと、本人の同意がなくても個人情報の第三者提供ができる、とされていました。
この改正前のオプトアウト規定は、「第三者提供することを本人が簡単に知ることができる状態にしておき、本人からクレームが入った場合に限り提供できなくする」というスタンスをとっています。
ただ、「本人が簡単に知ることができる状態」というのが曖昧であることから、悪質な事業者によって本人の知らないところで個人情報のやり取りがされるなどの問題が指摘されていました。
このような背景から、オプトアウト規定が厳格化され、個人情報を提供する側と提供される側の双方に厳格な規定が設けられました。
特に第三者提供する側は、一定の項目を個人情報保護委員会へ届け出ることが必要になり、オプトアウト規定が安易に選択できなくなりました。
個人情報の第三者提供における注意点
では、個人情報を提供する際に気を付けなければならないことは何でしょうか。
個人情報を提供する側、受け取る側それぞれの立場から、解説いたします。
個人情報を提供する側
個人情報を第三者提供する事業者は、提供した年月日等、以下の一定の事項に関する記録を作成し、一定期間(通常3年間)保存する義務があります。
オプトアウトによる提供、本人の同意を得た後の提供、それぞれの場合の記録すべき事項は以下のようなことです。
オプトアウトによって第三者提供する場合 |
|
本人の同意を得て、個人情報を第三者提供する場合 |
|
個人情報を受け取る側
法改正後は個人情報を受け取る側にもルールが規定されました。
まず、提供元の情報について確認する必要があります。
確認事項は以下の通りです。
- 提供元の氏名または名称、住所(法人の場合は代表者の氏名)
- 提供元が個人情報を取得した経緯
以上の情報確認を義務付けることによって、提供元が不正取得したデータの場合、受領者が不正取得されたものだと知って受け取ったということが明確になります。
不正に取得されたものだと知りながら個人情報を受け取る行為は個人情報保護法違反となりますので、注意が必要です。
また、提供する側と同様に、提供される側も一定の事項についての記録を保存する義務(通常3年間)があります。
オプトアウトによる提供、本人の同意を得た後の提供、それぞれの場合の記録すべき事項は以下のようなことです。
オプトアウト手続きによって個人情報が提供される場合 |
|
本人の同意を得て個人情報の提供を受ける場合 |
|
法改正によって、オプトアウトで個人情報を第三者提供する場合、個人情報保護委員会への届出義務があることとなりました。
つまり、個人情報保護委員会からの公表がされていない事業者から個人情報を受け取ることは、不正となる可能性があるということです。
個人情報の第三者提供について法改正に至った理由
法改正に至った理由の一つに、「株式会社ベネッセコーポレーション情報流出事件」があります。
こちらの事件をきっかけに、改正前個人情報保護法の欠点が浮き彫りになりました。
当時は連日ニュースとなっていたので記憶に新しい方もいるかもしれませんが、改めて概要をご説明します。
株式会社ベネッセコーポレーション個人情報流出事件
ニュースではベネッセコーポレーション情報流出事件として報道されましたが、その実情はベネッセコーポレーションのグループ会社である「シンフォーム」で起こった流出事件です。
シンフォームで働く派遣社員の男が、社内で共有されていた氏名・生年月日・住所などのベネッセの顧客情報を私的に複製し、外部に流出させました。
この派遣社員の男は、個人的に外部の業者に顧客情報を流すことで数百万円を受け取っていたとされています。
事件の発覚によりこの派遣社員の男は不正競争防止法違反の疑いで逮捕され、同時にベネッセとシンフォームも民事裁判にかけられることとなりました。
個人情報の複製及び外部への流出は派遣社員が行ったことですが、その監督責任がシンフォーム及びベネッセにあるのかどうかが裁判の争点になりました。
判決の結果、シンフォームに対しては派遣社員の監督責任があったとして1人当たり3,300円の損害賠償が認められました。
一方で、グループ会社の派遣社員の行動への予見可能性がないこと、指揮監督関係がないことから、ベネッセに対しては賠償は命じられませんでした。
判決で損害賠償が命じられなかったベネッセですが、お詫びとして一人当たり500円の金券を配布することとしたため、会社としては大きな損失を計上することとなり、世間からも注目を集める流出事件となりました。
(この個人情報はどこから仕入れたものなのか、適切な方法で仕入れたものなのかが確認できなくても個人情報の第三者提供ができてしまい、情報の漏えい元が分からない)
個人情報の第三者提供における例外のケース
流出事件があり逮捕者も出たということから、個人情報の取り扱いには怖さを感じる方もいるかもしれません。
ただ条件を満たせば個人情報の第三者提供は難しくなく、例外のケースもあります。
ここでは個人情報の第三者提供における例外のケースをご紹介していきます。
第三者提供とみなされないケース
「第三者」とは、その個人情報の「本人」と「その個人情報を取り扱う事業者」以外の「すべての人」のことを指します。
例えば先ほどご紹介したベネッセとシンフォームのような、他の事業者・子会社・グループ会社が挙げられます。
個人情報保護法で規制されているのは「第三者提供」であるため、提供先が「第三者」に当たらない場合は、本人の同意なしに提供しても問題ないという考え方になります。
よって以下の3つについては、「第三者」提供に該当しないとされます。
委託先への提供
自社の業務を他社に依頼する際の委託先においては、その業務に必要な場合、個人情報を提供することは問題ないとされます。
ただし、この場合でも委託先がきちんと個人情報を管理しているか等、委託元には「監督義務」が課せられます。
例えば、店で商品を購入し自宅へ送ってもらう場合、店側は配送のためお客さんの住所・氏名を宅配業者へ教えることになりますが、この場合は第三者提供に当たりません。
店側が宅配業者へ配送を「委託」するという形になり、提供のために本人の同意は不要となりますが、店側は委託元として、適切な宅配業者を選定し監督する義務があります。
共同利用
個人情報を複数の事業者が利用したり、管理する「共同利用」においても、第三者提供にあたりませんが、本人の許可なく「共同利用」とすることはできません。
以下の5点について予め本人に通知するか、本人が簡単に知ることができる状態にしておくことが必要になります。
|
事業承継による提供
「事業承継」とは、合併や事業分割等により事業が別の会社に引き継がれることです。
事業自体が引き継がれるため、個人情報も引き継がれるのが自然だと考えられています。
事業ごとの引継ぎであることから、引継ぎ先は第三者にはあたらないとされています。
事業承継による個人情報提供で注意しなければならないのは、あくまで元会社の利用範囲に限定されるということです。
事業承継後に、元の利用範囲と異なる範囲で個人情報を利用する場合は、あらためて本人からの同意を得る必要があります。
同意がなくても第三者提供ができるケース
以上、「第三者」ではないケースについてご紹介しました。
次に、「第三者」の場合でも本人の同意なしに個人情報を第三者提供できる場合についてご紹介していきます。
本人の同意を得ることが合理的でない場合
原則として個人情報の第三者提供には本人の同意が必要ですが、実際のところは合理的でない場合として、例外も認められています。
例えば以下のようなケースが挙げられます。
|
オプトアウトの場合
法改正に伴いオプトアウトの要件は厳しくなりましたが、要件を満たせば今までと変わらずに、本人の同意なしに第三者提供することが可能です。
要件は大きく2点あり、以下のような内容となっています。
|
個人情報保護法に違反した場合のペナルティ
ここまで改正後の個人情報保護法について説明してきましたが、最後にこれらの要件を守らず違反した場合のペナルティについてご紹介します。
ペナルティが課されるのは、違反した従業員本人とその所属会社に対してです。
具体的には、以下のような刑事罰が科せられる可能性があります。
|
また上記とは別に民事上の損害賠償を請求されることが考えられます。
実際のところ、ベネッセコーポレーションは裁判の上では責任はないとされましたが、お詫びとして一人500円の金券を配布することとしたため、会計上の特別損失が200億円以上になったと言われています。
また金銭的な問題だけでなく、個人情報流出事件=ベネッセのような不名誉は今後もインターネット上に残ります。
社会的な信用の観点からも、個人情報の取り扱いには注意が必要です。
まとめ
本記事では、改正後の個人情報保護法についてご説明させていただきました。
改正前の個人情報には曖昧なところもあったため、オプトアウトの解釈を悪用することで個人情報を自由に取り扱えてしまうところがありました。
法改正によって、個人情報を提供する側・提供される側の双方に責任がかかるということが明確になり、個人情報を取り扱う事業者は、より厳密な法律順守が求められるようになりました。
是非、本記事を読んで十分理解の上、個人情報の取り扱いをしていただきたいと思います。
また、個人情報の取り扱いにご不安な点がある場合は、一度法律の専門家である弁護士にご相談されることをオススメします。
事業をやる上で個人情報を取り扱うことは必須ですので、本業と関係ない部分でリスクを負わないためにも、法令順守の上で事業運営を行っていただきたいと思います。