個人情報保護法ガイドラインとは、個人情報保護に関する具体的指針です。ここでは、個人情報保護法ガイドラインについて解説します。
目次
1.個人情報保護法ガイドラインとは?
個人情報保護法ガイドラインとは、個人情報の保護に関する法律「第4条」「第8条」「第60条」にもとづいて、具体的指針として定めたもの。個人情報保護法ガイドラインには、以下の3種が別途定められています。
外国にある第三者への提供編
外国にある第三者への提供編とは、
- 個人情報の適正な取り扱いの確保に関する活動の支援
- 事業者が講ずる措置の適切かつ有効な実施
を目的とした「個人情報の保護に関する法律についてのガイドライン」の規定のうち、外国にある第三者への個人データ提供に関する部分に特化してわかりやすく一体的に示す観点から、通則ガイドラインとは別に定められたものです。
匿名加工情報編
匿名加工情報編とは、「個人情報の保護に関する法律についてのガイドライン」の規定のうち、匿名加工情報の取り扱いに関する部分に特化してわかりやすく一体的に示す観点から、通則ガイドラインとは別に定められたガイドラインです。
確認記録義務編
確認記録義務編とは、「個人情報の保護に関する法律についてのガイドライン」の規定のうち、法が定める事業者の義務内「第三者提供における確認・記録義務に関する部分」に特化して分かりやすく一体的に示す観点から、通則ガイドラインとは別に定められたガイドラインです。
2.個人情報について
個人情報とは、生存する個人に関する情報で、氏名・生年月日などにより特定個人を識別できるものです。ここでは、下記2つについて解説します。
- 個人識別符号とは
- 個人情報データベース等、個人データ、保有個人データとは
①個人識別符号とは?
個人識別符号とは、以下に該当する政令で定められた特定の個人を識別できる文字、番号、記号そのほかの符号のこと。たとえば下記のようなものです。
特定個人における身体の一部の特徴を電子計算機の用に供するため変換したもの
「個人に提供される役務の利用や個人に販売される商品の購入に関し割り当てられる」または「個人に発行されるカードその他書類へ記載・電磁的方式により記録されたもの」で、利用者や購入者または発行を受ける者ごとに異なるように割り当てられて記載され、記録されるもの
②「個人情報データベース等」「個人データ」「保有個人データ」とは?
個人情報データベース等、個人データ、そして保有個人データには、それぞれ以下に挙げるような定義があります。
- 個人情報データベース等…個人情報をデータベース化したり、検索可能にしたりした状態のもの
- 個人データ…個人情報をデータベース化したり、検索可能にしたりした「個人情報データベース等」を構成する情報
- 保有個人データ…個人データのうち、事業者に修正・削除などの権限があるもので、6ヵ月以上保有するもの
3.個人情報取扱事業者の個人情報の利用目的
個人情報保護法ガイドラインには、個人情報取扱事業者の個人情報の利用目的が定められています。ここでは、下記5つについて解説します。
- 利用目的の特定
- 利用目的の変更
- 利用目的による制限
- 事業の承継
- 利用目的による制限の例外
①利用目的の特定
個人情報取扱事業者が個人情報を取り扱う際、その利用目的をできる限り具体的に特定する必要があります。
「最終的にどのような事業に供されるのか」「どのような目的で個人情報を利用するのか」が、個人情報を持つ本人にとって一般的かつ合理的に想定できる程度に、具体的に特定するとよいとされています。
②利用目的の変更
変更前の利用目的と関連性を有すると合理的に認められる範囲、すなわち変更後の利用目的が変更前の利用目的から見て社会通念上、本人が通常予期し得る限度と客観的に認められる範囲内で利用目的を変更できるとされているのです。
変更された利用目的は、本人に通知または公表しなければならないとされています。
③利用目的による制限
個人情報取扱事業者は、法第15条第1項により、特定した利用目的の達成に必要な範囲を超えて個人情報を取り扱う場合、あらかじめ本人の同意を得なければなりません。これが、利用目的による制限にあたります。
ただし、当該同意を得るための個人情報の利用は、当初特定した利用目的として記載のない場合でも、目的外利用には該当しません。
④事業の承継
個人情報取扱事業者が、合併・分社化・事業譲渡等によるほかの個人情報取扱事業者からの事業承継に伴い、個人情報を取得するケースがあります。この場合、当該個人情報を承継前の利用目的達成に必要な範囲内で取り扱えば、本人の同意を得る必要はありません。
⑤利用目的による制限の例外
例外として、利用目的制限が除外されるケースもあります。たとえば以下のような事例です。
- 法令にもとづく場合
- 人の生命、身体または財産の保護のために必要がある場合で、本人の同意を得ることが困難
国の機関若しくは地方公共団体またはその委託を受けた者が、法令の定める事務の遂行に対して協力する必要がある場合で、本人の同意を得ることにより当該事務の遂行に支障を及ぼす恐れがある
4.個人情報取扱事業者の個人情報の取得に関して
個人情報取扱事業者の個人情報の取得に関して、詳細に定められているのです。ここでは、下記5点についてポイントを解説します。
- 適正取得
- 要配慮個人情報の取得
- 利用目的の通知または公表
- 直接書面などによる取得
- 利用目的の通知などをしなくてよい場合
①適正取得
個人情報取扱事業者は、偽りなどによる不正の手段によって個人情報を取得してはならならないとされています。個人情報取扱事業者は、個人情報を取得する際、法律に違反しないように適正な手段を用いて取得する義務があるのです。
②要配慮個人情報の取得
配慮が必要な個人情報を取得する場合、あらかじめ本人の同意を得なければならないとされています。ただし以下に挙げるようなケースなどでは、本人の同意を得る必要はありません。
- 法令にもとづく場合
- 人の生命、身体または財産の保護のために必要がある場合で、本人の同意を得ることが困難
- 公衆衛生の向上または児童の健全な育成を推進するため特に必要がある場合で、本人の同意を得ることが困難
③利用目的の通知または公表
個人情報取扱事業者が個人情報を取得する場合、あらかじめ利用目的を公表していることが望ましいとされています。公表していない場合は取得後速やかに、利用目的を本人に通知または公表しなければなりません。
④直接書面などによる取得
個人情報取扱事業者が「契約書や懸賞応募はがきといった書面などによる記載」「ユーザー入力画面への打ち込みといった電磁的記録」によって、直接本人から個人情報を取得するケースがあります。
このような直接書面などによって個人情報取扱事業者が個人情報を取得する場合、あらかじめ本人に対して、取得した個人情報の利用目的を明示しなければなりません。
⑤利用目的の通知などをしなくてよい場合
法第18条第1項から第3項までにおいて、「利用目的の本人への通知」「利用目的の公表」「利用目的の明示」が求められる場合でも、利用目的の通知などが不要になるケースがあります。
たとえば、「利用目的を本人に通知・公表すると本人または第三者の生命、身体、財産その他の権利利益を害するおそれがある」「利用目的を本人に通知・公表すると事業者の権利または正当な利益を害するおそれがある」などです。
5.個人情報取扱事業者の個人データの管理
個人情報取扱事業者の個人データの管理について、いくつか押さえておきたいポイントがあります。ここでは、下記3つのポイントについて簡単に解説しましょう。
- データ内容を正確・最新に保つ
- 安全管理措置
- 従業者の監督
①データ内容を正確・最新に保つ
個人情報取扱事業者は、利用目的達成に必要な範囲内で、「個人情報データベースなどへの個人情報の入力を照合」「確認手続の整備」そのほかを行い、個人データを正確かつ最新の内容に保つよう努めなければなりません。
②安全管理措置
個人情報取扱事業者が、「個人データの漏えい」「滅失・き損の防止」など、個人データの安全管理のため、必要かつ適切な措置を講じなければならないとされています。
当該措置は、個人データの漏えいなどで本人が被る権利利益の侵害の大きさを考慮し、事業の規模および性質などに起因するリスクに応じ、必要かつ適切な内容としなければなりません。
③従業者の監督
個人情報取扱事業者が従業者に個人データを取り扱わせる際、個人情報保護法第20条の安全管理措置を遵守させるよう、当該従業者に対し必要かつ適切な監督をしなければならないとされています。
また従業者に対する教育や研修などの内容・頻度を充実させるといった措置を講ずることも望ましい、とされているのです。
委託先の監督
個人情報取扱事業者は個人データの取り扱いのすべてまたは一部を委託する場合、委託を受けた者において当該個人データについて安全管理措置が適切に講じられるよう、委託先に対し必要かつ適切な監督をしなければならないとされています。
個人情報取扱事業者は、従業者の監督だけでなく委託者の監督に関しても、必要かつ適切な監督をしなければならない立場にあるのです。
」「安全管理措置」「従業者の監督」を行わなければなりません
6.個人情報取扱事業者が個人データを第三者へ提供する場合の注意点
個人情報取扱事業者が個人データを第三者へ提供する場合に押さえるべき点について、下記5点から解説します。
- 本人の同意を得ないで情報を提供するのはNG
- 第三者提供を行う場合はオプトアウト手続が必要
- オプトアウトにかんする事項を変更する場合も届出が必要
- 第三者に該当しない場合
- 外国の第三者への提供の制限
①本人の同意を得ないで情報を提供するのはNG
個人情報取扱事業者が個人データを第三者への提供するに当たり、あらかじめ本人の同意を得ないで提供してはならないとされています。
本人の同意を取得するに当たっては、「事業規模および性質」「個人データの取扱状況」などに応じて、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な範囲の内容を明確に、示さなければなりません。
②第三者提供を行う場合はオプトアウト手続が必要
個人情報取扱事業者が個人データを第三者へ提供するにあたり、下記内容をあらかじめ本人に通知、または本人が容易に知り得る状態に置かなければならないとされています。
- 第三者への提供を利用目的とする
- 第三者に提供される個人データの項目
- 第三者への提供の方法
- 本人の求めに応じて第三者への提供を停止する
- 本人の求めを受け付ける方法
③オプトアウトに関する事項を変更する場合も届出が必要
個人情報取扱事業者が、
- オプトアウトにより個人データの第三者提供を行っている
- 提供される個人データの項目、提供の方法または第三者への提供を停止すべきといった本人の求めを受け付ける方法を変更する
といったケースでは、変更内容についてあらかじめ本人に通知または本人が容易に知り得る状態に置き、個人情報保護委員会に届け出る必要があります。
④第三者に該当しない場合
個人データの提供先である個人情報取扱事業者とは別の主体として形式的には第三者に該当するものの、本人との関係にて提供主体である個人情報取扱事業者と一体のものとして取り扱うことに合理性があるため、第三者に該当しないものとするケースがあります。
例として挙げられるのは、委託・事業の承継・共同利用などです。
⑤外国の第三者への提供の制限
個人情報取扱事業者が外国の第三者に個人データを提供する場合、一部の場合を除くほか、あらかじめ外国の第三者への提供を認める旨の本人の同意を得なければなりません。これが、外国の第三者への提供の制限にあたります。
7.個人情報取扱事業者が個人情報主に対し守らねばならない事柄
個人情報取扱事業者が個人情報主に対し守らねばならない事柄とは、個人情報取扱事業者の保有個人データの公表・開示です。ここでは個人情報取扱事業者が個人情報主に対して守らねばならない事柄を5つ解説します。
- 保有個人データの内容の開示請求があった場合は、受け付ける
- 保有個人データの訂正を本人から受けた場合は、訂正を行う
- 保有個人データに関する利用目的や苦情先などを、開示する
- 保有個人データの利用停止を本人から要請された場合は、利用を停止する
- 開示や訂正を受け付けない場合は、その理由を本人に明示し説明する
①保有個人データの内容の開示請求があった場合は、受け付ける
個人情報取扱事業者には、本人から当該本人が識別される保有個人データの開示の請求を受けた場合、当該保有個人データを「本人に対して書面の交付による方法によって開示する」「遅滞なく開示する」と義務付けられています。
②保有個人データの訂正を本人から受けた場合は、訂正を行う
個人情報取扱事業者には、本人から当該本人が識別される保有個人データに誤りがあり、内容の訂正・追加・削除の請求を受けた場合、「利用目的の達成に必要な範囲で遅滞なく必要な調査を行う」「結果にもとづき原則、訂正などを行う」義務があります。
③保有個人データに関する利用目的や苦情先などを、開示する
個人情報取扱事業者には、保有個人データについて、「すべての保有個人データの利用目的」「保有個人データの利用目的の通知を求めるまたは開示などの請求」「保有個人データの取り扱いに関する苦情の申出先」などを、本人の知り得る状態に置く義務があります。
④保有個人データの利用停止を本人から要請された場合は、利用を停止する
個人情報取扱事業者は、本人から「本人と識別される保有個人データが同意なく目的外利用されている」などにより、個人データの利用の停止・消去について請求を受け、かつ請求に理由があると判明した際は原則、遅滞なく利用停止などを行わなければならない義務があります。
⑤開示や訂正を受け付けない場合は、その理由を本人に明示し説明する
個人情報取扱事業者は、保有個人データの利用目的の通知を求めるなど、利用停止もしくは第三者提供の停止に関する請求に係る措置のすべてまたは一部について、「措置をとらない旨・措置と異なる措置をとる旨」を本人に通知する場合、理由を説明するよう努めなければなりません。