Legal Note

リーガルノート

2021.07.12

2021-7-2 シリーズ 2020年改正個人情報保護法と実務への影響 第3回 不適正利用の禁止

M&P Legal Note 2021 No.7-2

シリーズ 2020年改正個人情報保護法と実務への影響
第3回 不適正利用の禁止

2021年7月14日
松田綜合法律事務所
弁護士 森田 岳人

PDFダウンロード

 

本稿はシリーズ「2020年改正個人情報保護法と実務への影響」の第3回となります。用語については特段の指摘がない場合には、従前と同じ意味で使用します。

 

1 不適正利用の禁止

(1)現行法

現行法では、個人情報の利用について、利用目的をできる限り特定すること(現行法15条)及び利用目的の達成に必要な範囲を超えて個人情報を利用してはならないこと(現行法16条1項)を定めています。また、個人情報の取得については、偽りその他不正な手段による取得を禁止しています(現行法17条1項)。

しかしながら、上記の規定に違反せず、違法とまでは言えないとしても、個情法の目的である個人の権利利益の保護に照らして、看過できないような方法で個人情報が利用されている事例が現実に見られるようになりました。

例えば、2019年には、あるウェブサイトの運営者が、官報に掲載された破産者の情報を収集し、それをGoogleマップ上で可視化させるという事件がありました。その件は世間を大きく騒がし、個人情報保護委員会が行政指導も行った結果、最終的にはウェブサイトの運営者がサイトを閉鎖しました。

 

(2)改正法

ア 不適正利用の禁止の新設

そこで、改正法では、個人情報取扱事業者は、違法又は不正な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならないという規定が新設されました(改正法16条の2)。

当該規定に違反した場合には、個人情報保護委員会による報告徴収(現行法40条)、指導及び助言(現行法41条)、勧告(現行法42条1項)の対象となり、勧告に応じなかった場合には命令の対象となり(現行法42条2項及び3項)、命令に違反すると公表(現行法42条4項)及び罰則(現行法83条)の対象となります。

また、個人情報取扱事業者は、本人から、保有個人データの利用停止等の請求を受けます(改正法30条1項等)。

本規定に違反し、本人権利利益が侵害されている場合には、民法等の一般的解釈により損害賠償請求を受ける可能性もあります。

 

イ ガイドライン案における明確化・具体化

ただ、改正法16条の2の条文だけでは、何が「違法又は不正な行為を助長」するのか、「誘発するおそれがある方法」とは何かが必ずしも明確ではなく、逆に、個人情報取扱事業者に対する過度の委縮効果を招く可能性があります。

そこで、ガイドライン案では、本条文の解釈を明確化するとともに、具体例を挙げることによって、個人情報取扱事業者に委縮効果が生じないように配慮しています。

 

ウ 「違法または不当な行為」や「おそれ」の解釈

まず、「違法又は不当な行為」とは、個情法その他の法令に違反する行為、及び直ちに違法とはいえないものの、個情法その他の法令の制度趣旨又は公序良俗に反する等、社会通念上適正とは認められない行為、と解されています(ガイドライン案3-2)。

また、「おそれ」とは、個人情報取扱事業者による個人情報の利用が、違法又は不当な行為を助長又は誘発することについて、社会通念上蓋然性が認められるか否かにより判断されること、その判断にあたっては、個人情報の利用方法等の客観的な事情に加えて、個人情報の利用時点における個人情報取扱事業者の認識及び予見可能性も踏まえる必要があると、解されています(ガイドライン案3-2)。

 

エ 具体的な事例

そしてガイドライン案では、本条文違反の具体的な事例として、以下のような事例を記載しています。

 

事例1)違法な行為を営むことが疑われる事業者(例:貸金業登録を行っていない貸金業者等)からの突然の接触による本人の平穏な生活を送る権利の侵害等、当該事業者の違法な行為を助長するおそれが想定されるにもかかわらず、当該事業者に当該本人の個人情報を提供する場合

事例 2)裁判所による公告等により散在的に公開されている個人情報(例:官報に掲載される破産者情報)を、当該個人情報に係る本人に対する違法な差別が、不特定多数の者によって誘発されるおそれがあることが予見できるにもかかわらず、それを集約してデータベース化し、インターネット上で公開する場合

事例3)暴力団員により行われる暴力的要求行為等の不当な行為や総会屋による不当な要求を助長し、又は誘発するおそれが予見できるにもかかわらず、事業者間で共有している暴力団員等に該当する人物を本人とする個人情報や、不当要求による被害を防止するために必要な業務を行う各事業者の責任者の名簿等を、みだりに開示し、又は暴力団等に対しその存在を明らかにする場合

事例4)個人情報を提供した場合、提供先において法第 23 条第1 項に違反する第三者提供がなされることを予見できるにもかかわらず、当該提供先に対して、個人情報を提供する場合

事例5)採用選考を通じて個人情報を取得した事業者が、性別、国籍等の特定の属性のみにより、正当な理由なく本人に対する違法な差別的取扱いを行うために、個人情報を利用する場合

事例6)広告配信を行っている事業者が、第三者から広告配信依頼を受けた商品が違法薬物等の違法な商品であることが予見できるにもかかわらず、当該商品の広告配信のために、自社で取得した個人情報を利用する場合

 

(3)実務への影響

上記のとおり、改正法は個人情報の不適正利用を禁止する条文を新設しつつ、ガイドライン案でその解釈や具体例を示しているわけですが、個人情報取扱事業者としては、不適正利用であるという指摘を受けないように、より慎重に個人情報を利用していく必要があるでしょう。

特に上記(2)エの事例3のように、個人情報の提供先において違法・不当な利用がされることを予見できるにもかかわらず個人情報を提供することも、不適正利用となりますので、自社による個人情報の利用方法だけではなく、提供先での利用方法にも十分な調査や確認が必要ということになります。

したがって、個人情報を自社で利用する場合には、不適正利用が行われないように今一度社内の個人情報の管理体制を見直し、可能であれば、個人情報の利用方法について集中的に把握・確認できるような担当部署や担当者を設けるべきでしょう。

また、個人情報を外部(第三者や委託先等)に提供する場合には、契約書等で個人情報の利用目的を明示させつつ、不適正な利用をしないことを表明させるなどの対策をとることが考えられます。

さらに、個人情報保護委員会では、いわゆるPIA(Privacy Impact Assessment、個人情報保護評価)の取り組みを推奨しています。

PIAは、「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱」[1]において、「個人データの管理や従業員への教育効果等も含め、事業者自身にとって、効率的かつ効果的に必要十分な取組を進めるための有用な手段である」と評価されており、個人情報保護委員会も、2021年6月30日に、「PIA の取組の促進について ―PIA の意義と実施⼿順に沿った留意点―」を公表しています[2]

PIAは欧州での取り組みが先行しており、GDPR( General Data Protection Regulation、一般データ保護規則)では初めて法的義務として定められましたが、日本では法的義務にはなっていませんし、実務的にもまだまだ普及しているとは言えません。

しかし、今回の個人情報保護法の改正だけでなく、近年、個人情報の保護に関する社会的要請は世界的にもますます強くなってきていますので、この機会にPIAの導入について積極的に取り組まれることをおすすめします。

(つづく)

 

<註>

[1] https://www.ppc.go.jp/files/pdf/200110_seidokaiseitaiko.pdf

[2] https://www.ppc.go.jp/files/pdf/pia_promotion.pdf

 

シリーズ 2020年改正個人情報保護法と実務への影響

第1回 利用停止・消去、第三者提供の停止 (発表済)

第2回 漏えい等の報告・本人通知 (発表済)

第3回 不適正利用の禁止 (本稿)

第4回 認定団体制度の充実(以下、次回以降)

第5回 公表事項等

第6回 仮名加工情報

第7回 個人関連情報

第8回 越境移転

第9回 その他

 

このリーガルノートに関連する法務

 


お問い合わせ

この記事に関するお問い合わせ、ご照会は以下の連絡先までご連絡ください。

松田綜合法律事務所
弁護士 森田 岳人
info@jmatsuda-law.com

 

この記事に記載されている情報は、依頼者及び関係当事者のための一般的な情報として作成されたものであり、教養及び参考情報の提供のみを目的とします。いかなる場合も当該情報について法律アドバイスとして依拠し又はそのように解釈されないよう、また、個別な事実関係に基づく日本法または現地法弁護士の具体的な法律アドバイスなしに行為されないようご留意下さい。


    会社名

    部署・役職(任意)

    お名前 (必須)

    フリガナ

    電話番号 (必須)

    メールアドレス (必須)

    ホームページ

    お問い合わせ内容


    プライバシーポリシー