ダークウェブ(専用のウェブブラウザ等を利用しないとアクセスできないウェブ)上で掲載・取引されている個人情報を当該ダークウェブからダウンロード等により取得する場合、偽りその他不正の手段による個人情報の取得(法第20 条第1項)に該当しますか。

(適正取得)
Q4-5

ダークウェブ(専用のウェブブラウザ等を利用しないとアクセスできないウェブ)上で掲載・取引されている個人情報を当該ダークウェブからダウンロード等により取得する場合、偽りその他不正の手段による個人情報の取得(法第20 条第1項)に該当しますか。

A4-5

ダークウェブ上で掲載・取引されている個人情報は、掲載した者が偽りその他不正の手段により取得した個人情報である蓋然性が高く、また、掲載した者が法第27 条第1項に違反してこれをダークウェブ上で提供している蓋然性が高いといえます。このため、個人情報取扱事業者が、ダークウェブ上で掲載・取引されている個人情報を当該ダークウェブからダウンロード等により取得することは、偽りその他不正の手段による個人情報の取得に該当するものとして、法第20 条第1項に違反するおそれがあります。

ただし、個別の事案ごとに判断することとなりますが、例えば、二次被害防止のために自社から漏えいした個人情報を含むデータをダークウェブから取得する場合、社会的に影響のあるサイバー攻撃の解析等のために研究機関等が必要最小限の範囲で個人情報を含むデータをダークウェブから取得する場合には、法第20 条第1項には違反しないものと考えられます(ただし、その取得したデータに上記の取扱いの必要性が認められない個人情報も含まれていた場合には、直ちにこれを削除する必要があります)。他方、みだりに個人情報を含むデータをダークウェブから取得する場合には、法第20 条第1項に違反するおそれがあると考えられます。
(令和5年3月追加)

検索キーワード