トップページ > 研究活動 > 個人情報保護法 > 個人情報保護法Q&A

個人情報保護法Q&A                        弁護士 井奈波朋子


1.個人情報保護法全般
2.個人情報とは 3.名刺(名刺記載の情報の取扱い) 4.電子メールアドレスの取扱い
5.従業員の情報の取扱い
6.顧客の管理に関する情報
7.インターネットを介して取得した情報の取扱い
8.業務委託の際の情報管理
9.個人情報の保存期間
10.過去の個人情報流出事件

1.個人情報保護法全般
  • 個人情報保護法の施行により、どのような点が変わるか。

     個人情報保護法施行前であっても、プライバシー侵害に対しては、不法行為責任が認められていた。個人情報保護法施行後は、プライバシーに該当しない個人情報であっても、適正な取扱を確保するために、一定の事項が義務づけられるようになる。したがって、個人情報取扱事業者が個人情報の取扱を誤った場合には、個人情報保護法上の義務違反の責任を問われると同時に、民事上の不法行為責任を追及される可能性がある。

  • 個人情報保護法によって、事業者に対してどのような義務が課せられるのか。

     個人情報保護法は、1.個人情報の取扱に対する義務、2.個人データの取扱に対する義務、3.保有個人データの取扱に対する義務に分類して、それぞれ規定している。
     1.個人情報の取扱に関する義務…利用目的の特定(15条)、利用目的による制限(16条)、適正な取得(17条)、利用目的の通知(18条)、苦情処理等に関する努力義務(31条)
     2.個人データの取扱に関する義務…データ内容の正確性を確保する努力義務(19条)、安全管理措置を講じる義務(20条)、従業者の監督義務(21条)、委託先の監督義務(22条)、第三者提供の制限(23条)。
     3.保有個人データの取扱に関する義務…公表義務(24条)、開示義務(25条)、訂正義務(26条)、利用停止等の措置をとる義務(27条)、請求に応じない場合の理由の説明義務(28条)。

  • 個人情報保護法に違反した場合、どのような制裁をうけるか。

     個人情報保護法に違反した個人情報取扱事業者は、主務大臣からの勧告を受けることがある。勧告を受けた個人情報取扱事業者が勧告に係る措置をとらなかった場合、主務大臣は、勧告に係る措置をとるべきことを命じることができる。また、緊急性がある場合には、違反行為の中止その他違反を是正するために必要な措置をとるよう命じることができる(34条)。命令に違反した者に対しては、懲役または罰金の制裁が定められている(56条1項)。

    [▲上へ]

2.個人情報とは
  • 個人情報とは何か。

     個人情報とは生存する個人に関する情報であり、特定の個人を識別できるものをいう。たとえば、氏名のほか、特定の個人を識別できる住所、電話番号、電子メール、嗜好、業績等の評価情報などが該当する。特定の個人を識別できなくなった統計情報や、法人の情報は個人情報ではない。

  • 個人情報とプライバシーの対象になる情報の違いは何か。

     個人情報とプライバシーの対象となる情報は、重なる部分があるが、完全に一致する概念ではない。プライバシーの権利は、自己の私生活をみだりに公表されない権利であるとか、自己に関する情報コントロール権であると定義されている(プライバシーの権利をどのように定義するかについては諸説あり、統一的な定義はない)。たとえば、個人の自宅電話番号は、個人情報に該当し、かつプライバシーの対象(たとえ知人に知らせていたとしても電話帳には掲載していないような場合)となる。また、たとえば、名刺に記載されている情報は、個人情報ではあるが、プライバシーではない。

  • 個人データとは何か。個人情報との違いは何か。

     個人データは、個人情報データベース等を構成する個人情報である。個人情報データベースは、特定の個人情報を検索できるように体系的に構成したもので、電子計算機を用いて検索できるものだけでなく、紙媒体のものも含む。
     個人情報保護法によれば、個人データについては、データ内容の正確性を確保する努力義務(19条)、安全管理措置を講じる義務(20条)、従業者の監督義務(21条)、委託先の監督義務(22条)、第三者提供の制限(23条)の規制の対象になるが、個人情報はこれらの規制の対象にはならない。
     しかし、個人情報データベースに組み込まれていない個人情報(個人データでない)と個人情報データベースに組み込まれた個人情報(個人データである)とを区別し、個人データにのみこれらの義務を課す扱いには疑問が残る。個人情報保護の必要性が認識されることになった契機は、個人情報のデジタルデータ化により、個人情報の大量蓄積と移転が可能となったことにある。そうであれば、端的に個人情報データベースを規制の対象とすればよいように感じられる。

  • 保有個人データとは何か。個人データとの違いは何か。

     保有個人データは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データである。
     要するに、個人情報取扱事業者が、処分権限を持っている個人データである。たとえば、個人情報処理の委託を受けている業者は、このような権限を持っていないので、このような業者が取り扱う個人データは保有個人データに該当しない。

    [▲上へ]

3.名刺(名刺記載の情報の取扱い)
  • 個人情報に該当するか。

     個人情報に該当する。生存する個人に関する情報で、氏名、勤務先、役職等により特定の個人を識別することができる。

  • 名刺を受け取るときに利用目的を通知・公表する必要はあるか。

     名刺記載の情報も個人情報に該当するので、個人情報を取得する場合は、原則として利用目的を通知または公表しなければならない(18条1項)。しかし、利用目的が明らかであれば、特に利用目的を通知または公表する必要はない(18条4項4号)。名刺交換を行う場合には、後日の連絡の便宜を利用目的としていることは明らかであるから、通知や公表を行う必要はない。
     ただし、そのようにして受け取った名刺記載の個人情報は、DMの送付などの目的で用いることはできない。そのような使用は、利用目的の達成に必要な範囲を超えることになるので、本人の同意が必要である(16条1項)。

  • 名刺記載の情報を従業員個人がデータベース化したものは、個人情報データベースに該当するか。

     一般に個人情報データベースに該当する。名刺記載の情報も個人情報であり、50音順で検索可能なデータベースは、特定の個人情報を容易に検索できるように体系的に構成しているといえる。ただし、従業員個人にしか分からないようなやり方で体系化し特定の個人情報を容易に検索できないようなデータベースであれば、個人情報データベースに該当しない。

  • 名刺整理箱に入れた名刺の束は個人情報データベースに該当するか。

     個人情報保護法および政令によれば、紙媒体のデータベースであっても、特定の個人情報を容易に検索できるように体系的に構成したものは個人情報データベースであるが、名刺整理箱の中に分類せずに保管しているものや従業員個人にしか分からないようなやり方で整理しているものは、個人情報データベースに該当しない。したがって、50音別インデックスをつけるなどし、体系的に検索可能であれば、個人情報データベースに該当する。

  • 従業員が従業員個人で管理している名刺管理データベースが、PCの置き忘れなどにより流出した場合、事業者は責任を負うか。

     従業員個人の管理のデータベースであっても、事業者の事業の用に供しているものは事業者の個人情報データベースに該当する。個人情報保護法上は、個人情報取扱事業者が安全管理措置を怠っていなかったか否かが問題となる。個人情報取扱事業者が安全管理措置を怠っていなければ個人情報保護法上の責任は発生しない。
     また、名刺に記載している情報は、名刺に記載された本人が第三者に対して公に明らかしている情報であるから、プライバシーではない。しかし、その本人が、当該事業者と取引ないし何らかの関係があることがプライバシーに該当する可能性がある。したがって、事業者は民事上の不法行為責任を問われる可能性がある。

  • 従業員個人で保管している名刺1枚を安易に他人に渡した場合、事業者は責任を負うか。

     第三者提供の制限(23条1項)の対象は、個人データである。したがって、当該名刺一枚が個人データに該当するかどうかが問題になる。当該名刺一枚がなにも整理されていない状態であれば、当該名刺は個人データに該当しない。しかし、名刺整理箱のなかに五十音順で整理されているような場合は、それを構成する名刺は個人データに該当する。したがって、後者の場合、個人情報取扱事業者は第三者提供の制限に違反していることになる。法律上はこのような結論にならざるを得ないが、同じ名刺一枚を渡した場合であっても、整理のされ方によって結論が異なるのは、バランスを欠いている。
     なお、名刺記載の情報も個人情報であるから、たとえば、利用目的外に使用されることを知って他人に渡したような場合には、利用目的達成に必要な範囲を超えて個人情報を取り扱ってはならない個人情報保護法上の義務に違反していることになり、そのような従業員の行為に対して、個人情報取扱事業者たる会社が責任を負うことがありうる。

    [▲上へ]

4.電子メールアドレスの取扱い
  • 個人情報に該当するか。

     生存する個人に関する情報で、氏名と結びつくことにより特定の個人を識別することができるので、個人情報に該当する。なお、経済産業省のガイドラインでは、数字を羅列したようなアドレスは個人情報でないとするが、このようなアドレスであっても氏名と結びついて特定の個人を識別することができれば個人情報である。

  • 電子メールを受け取るときに利用目的を通知・公表する必要はあるか。

     電子メールアドレスを含む電子メール記載の情報名刺記載の情報も個人情報に該当するので、個人情報を取得する場合は、原則として利用目的を通知または公表しなければならない(18条1項)。しかし、利用目的が明らかであれば、特に利用目的を通知または公表する必要はない(18条4項4号)。電子メールの送受信は連絡のためであることは明らかであり、個人情報保護法上の通知や公表を行う必要はない。
     ただし、そのようにして受け取った電子メールアドレスや電子メール記載の個人情報を利用して、目的外の利用はできない。たとえば、DM送付などが目的外の利用に該当する場合には、本人の同意が必要である(16条1項)。

  • 通常の電子メールの受信で受け取った電子メールアドレスを広告メール送信目的のために流用してもよいか。

     目的外の使用に該当し、あらかじめ本人の同意が必要である(16条1項)。事前の同意が必要となるため、「送信を希望しない場合には送信を停止します」という内容を記載して目的外の広告メール送信する場合には、本人が黙認したとしても16条1項の同意には該当しない。なお、目的外の広告メールを送信するために、あらかじめ同意を得るためにメールを送信するのであれば、目的外使用には該当しない。

  • CCによる電子メールの送信に個人情報保護法上の問題はないか。

     CCで送信することによって、他人の個人情報を第三者に提供する結果となるので、特定のグループに登録の上、CCでの送信をあらかじめ承諾しているような場合を除き、他人に知れるような方法で送信することは、個人情報保護法上、同意を得ない第三者提供に該当する可能性がある。

  • 従業員のPCに保存されている電子メールアドレス帳は、個人情報データベースに該当するか。

     一般に個人情報データベースに該当する。ただし、従業員個人にしか分からないようなやり方で体系化し特定の個人情報を容易に検索できないようなデータベースであれば、個人情報データベースに該当しない。

    [▲上へ]

5.従業員の情報の取扱い
  • 採用面接で取得した従業員の履歴書も個人情報に該当するか。

     従業員に関する情報であっても、個人情報である。また、採用面接により取得し、採用に至らなかった者の履歴書も個人情報である。

  • 給与台帳、人事管理簿記載の情報は個人情報に該当するか。個人情報データベースに該当するか。

     従業員の個人情報であっても個人情報に該当する。人事評価のようにその情報が本人に対する評価に関するものであっても個人情報に該当する。給与台帳、人事管理簿等は、紙であってもデータベースであっても、通常、特定の個人情報を容易に検索できるように体系的に構成しているといえるので、個人情報データベースに該当する。

  • 従業員から個人情報保護法に基づき人事管理簿記載の情報開示や訂正を求められた場合、これに応じなければならないか。

     従業員の個人データは、会社の保有個人データに該当する。したがって、会社は、開示義務(25条)、訂正義務(26条)を負っている。ただし、人事管理簿記載の情報を開示することによって、個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがあると認められる場合には、開示請求を拒否することができる(25条1項2号)。訂正請求についても、調査の結果、訂正の必要がないと判断される場合には訂正をおこなわなくてもよい(26条1項)。

  • 履歴書(紙)ファイルは、個人情報データベースに該当するか。

     紙で保管されているものであっても、特定の個人情報を容易に検索できるように体系的に構成しているもの(50音順にファイルしているような場合)は、個人情報データベースに該当する。履歴書を取得した順に綴じているような場合は、特定の個人情報を容易に検索できるように体系的に構成したとはいえず、個人情報データベースに該当しない。

  • 履歴書ファイルが社外に流出した場合、会社はどのような責任を負うか。

     個々の履歴書に記載されている情報は、家族構成、趣味・特技、賞罰などのプライバシーが含まれている。したがって、会社は、プライバシーを侵害したことに対して不法行為責任を問われる可能性がある。
     さらに、履歴書ファイルが個人情報データベースに該当する場合には、個人情報データベースを構成する個々の情報は個人データに該当し、個人情報保護法上、個人情報取扱事業者は、安全管理措置を施す義務を負っている。したがって、安全管理措置を怠っていた場合、当該義務に違反しているとして個人情報保護法上の責任を問われる可能性がある。

[▲上へ]
6.顧客の管理に関する情報
  • 顧客名簿(紙、データ)は個人情報データベースに該当するか。

     コンピュータで検索できるよう体系的に構成したものが個人情報データベースに該当することはもちろん、紙媒体であっても、50音順などにより特定の個人情報を容易に検索できるように体系的に構成しているものは、個人情報データベースに該当する。

  • 顧客名簿の流出に対する企業の責任

     顧客名簿に含まれる情報は、個人の嗜好に関する情報が含まれている。したがって、会社は、プライバシーを侵害したことに対してに対して不法行為責任を問われる可能性がある。そのほか、個人情報取扱事業者は、安全管理措置を怠ったことに対する個人情報保護法上の責任を問われる可能性がある。

  • FAXで送信された発注書・注文書記載の情報は個人情報に該当するか。これを綴じたファイルは個人情報データベースに該当するか。

     発注書・注文書などに記載されている情報は、本人を識別できる氏名・住所・電話番号および本人の嗜好等を示す情報が含まれている。したがって、個人情報に該当する。これを単純に綴じたファイルは個人情報データベースに該当しないが、紙をファイルしたものでも特定の個人情報を容易に検索できるように体系的に構成している場合、たとえば顧客を50音順に分類したファイルは、個人情報データベースに該当する。

  • 親子会社間で顧客情報をやり取りすることは自由にできるか。

     親子会社間であっても、相互に第三者に該当するので、第三者提供の制限(23条)を受け、自由に顧客の個人データをやりとりすることはできない。ただし、以下の場合には、顧客情報をやり取りすることが可能となる。
     1. あらかじめ本人の同意を得ているとき。
     2. オプトアウトを採用しているとき。オプトアウトとは、本人が求めれば第三者への提供をとめることができる制度である。あらかじめ一定の事項を本人が容易に知りうる状態にしていることが必要である。
     3. 業務委託の場合、第三者に該当しない。
     4. 共同利用の要件を満たす場合には第三者に該当しない。この場合、共同して利用する旨、共同利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的、個人データの管理について責任を有する者の氏名又は名称について、あらかじめ本人に通知するか、本人が容易に知りうる状態に置いていることが必要である。

[▲上へ]
7.インターネットを介して取得した情報の取扱い
  • ホームページへのアクセスログは個人情報か。

     IPアドレスだけでは、本人が特定できないので個人情報ではない。しかし、プロバイダなど、本人の情報と照合して個人を特定できる場合には、個人情報に該当する。

  • インターネット上で商品注文を受けた場合、サーバー上に蓄積された情報は個人情報か、個人データベースに該当するか。

     インターネット上の注文フォームに記載されている情報は、本人を識別できる氏名・住所・電話番号および本人の嗜好等を示す情報が含まれている。したがって、個人情報に該当する。当該注文フォームの送信により、サーバー上で自動的にデータベース化されるようなシステムとなっていれば、個人情報データベースに該当する。

  • インターネット上で実施したアンケート調査で得た情報をマーケティングに利用することは可能か。

     アンケートフォームに記載された情報が、本人を識別できる情報を含む場合には、アンケート調査に含まれる情報は個人情報に該当する。広告メールの送信などの態様によるマーケティングへの利用は、アンケート実施の利用目的に含まれていないため、このような利用は原則としてできない(16条1項)。ただし、あらかじめ本人の同意を得ていれば、利用が可能である。たとえば、アンケート調査を行う際、DMを発送することを利用目的として公表しておく、DMの発送を希望するか否かをチェックする欄を設け事前の同意を得るなどの方法をとっていれば、フォームに記載された個人情報をDMの発送などのマーケティングに用いることも可能である。
     なお、当該個人情報を個人が識別できないアンケート集計結果のような形でマーケティングに用いることは可能である。

[▲上へ]
8.業務委託の際の情報管理
  • DM発送などの業務委託を行うために顧客名簿を委託先に渡すことは可能か。

     個人情報保護法上、委託業者は第三者に該当しないので、本人の同意を得ることなく、委託先に顧客名簿を渡すことが可能である。その際には、個人情報取扱事業者は、委託先に対して必要かつ適切な監督を行うことが求められている。

  • DM発送などの業務委託に基づき取得した顧客名簿に対しては、個人情報保護法上どのような管理が義務付けられるか。

     個人情報の取得に該当するので、利用目的の通知または公表が必要である(18条1項)。
     さらに、このような顧客名簿は、一般に個人情報データベースに該当すると考えられ、個人情報データベースを構成する個々の個人情報は、個人データに該当する。そこで、業務委託に基づき個人情報を取得した個人情報取扱事業者は、データ内容の正確性の確保(19条)、安全管理措置を講じる義務(20条)、従業者の監督義務(21条)、(再)委託先の監督義務(22条)、第三者提供の制限(23条)を義務付けられる。
     しかし、このような業務委託によって取得した顧客名簿中の個々のデータに関して、受託者には処分権限がない。そこで、個人情報データベースを構成する個々の個人情報は、保有個人データには該当しない。したがって、保有個人データに関する事項の公表(24条)を行う必要はなく、また、開示(25条)、訂正(26条)、利用停止(27条)等の措置を行う権限はないのでこのような請求には応じられない。

[▲上へ]
9.個人情報の保存期間
[▲上へ]
10.過去の個人情報流出事件
  • 個人情報流出により、責任が認められた裁判例はあるか。

     主要なものとして以下の裁判例がある。
     1. 大阪高判H13.12.25(宇治市住民基本台帳データ流出事件)
     宇治市の委託先アルバイト従業員が、住民基本台帳のデータを持ち出した事件で、プライバシー侵害について、宇治市の使用者責任を肯定し、慰謝料一人あたり1万円、弁護士費用5000円を認めた。
     2. 東京高判H14.1.16(早稲田大学名簿提出事件)
     早稲田大学が、警察に江沢民主席の講演会の参加者名簿を警察庁に提出した行為事件で、プライバシーの権利が侵害されたと主張する控訴人らに対し、金11万円(慰謝料10万円、弁護士費用1万円)の損害賠償を認めた。なお原審は原告敗訴。

  • 個人情報流出事件を起こした事業者が、500円相当の商品券を配布するケースがあったが、法的な根拠はあるか。

     法的な根拠はあるが、金額には特別な根拠はない。流出した個人情報の主体である本人は、慰謝料請求権がある。そこで、設例のケースでは、法律上は、事業者が本人に慰謝料請求権があることを認め、慰謝料として500円を支払ったということになる。しかし、プライバシー侵害の裁判例によれば、1万円から10万円の慰謝料が認められている。また、個人情報の漏洩により本人が何らかの不利益を受ければ、さらに財産上の損害賠償が認められたり、慰謝料の金額が増額されたりするケースも考えられる。いずれにせよ、500円という金額については根拠がない。

[▲上へ]