平成29年2月16 日
(令和3年6月30日更新)
個人情報保護委員会
「個人情報の保護に関する法律についてのガイドライン」及び 「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A
pdf版はこちら
(PDF : 1353KB)
目次
1 ガイドライン(通則編)
-
1-1 定義
- Q1-1
- Q1-2
- Q1-3
- Q1-4
- Q1-5
- Q1-6
- Q1-7
- Q1-7-2
- Q1-8
- Q1-9
- Q1-10
- Q1-11
- Q1-12
- Q1-13
- Q1-13-2
-
1-2 個人情報の利用目的(法第15条~第16条、第18条第3項関係)
-
1-3 個人情報の取得(法第17条・第18条関係)
-
1-4 個人データの管理(法第19条~第22条関係)
-
1-5 個人データの第三者への提供(法第23条~第26条関係)
-
1-6 保有個人データに関する事項の公表等、保有個人データの開示・訂正等・利用停止等(法第27条~第34条関係)、個人情報の取扱いに関する苦情処理(法第35条関係)
-
1-7 講ずべき安全管理措置の内容
-
1-8 その他
2 ガイドライン(外国にある第三者への提供編)
- Q9-1
- Q9-2
- Q9-3
- Q9-4
- Q9-5
- Q9-6
- Q9-7
- Q9-8
- Q9-9
- Q9-10
- Q9-11
3 ガイドライン(第三者提供時の確認・記録義務編)
-
3-1 確認・記録義務の適用対象
- Q10-1
- Q10-2
- Q10-3
- Q10-4
- Q10-5
- Q10-6
- Q10-7
- Q10-8
- Q10-9
- Q10-10
- Q10-11
- Q10-12
- Q10-13
- Q10-14
- Q10-15
- Q10-16
- Q10-17
- Q10-18
- Q10-19
- Q10-20
- Q10-21
-
3-2 確認義務、記録義務
- Q10-22
- Q10-23
- Q10-24
- Q10-25
- Q10-26
- Q10-27
- Q10-28
- Q10-29
- Q10-30
- Q10-31
- Q10-32
- Q10-33
- Q10-34
- Q10-35
4 ガイドライン(匿名加工情報編)
-
4-1 定義
- Q11-1
- Q11-1-2
- Q11-2
- Q11-3
-
4-2 匿名加工情報の適正な加工
- Q11-4
- Q11-4-2
- Q11-4-3
- Q11-5
- Q11-6
- Q11-7
- Q11-8
- Q11-9
- Q11-10
-
4-3 匿名加工情報等の安全管理措置等
- Q11-11
- Q11-12
- Q11-13
- Q11-13-2
- Q11-13-3
-
4-4 匿名加工情報の作成時の公表、匿名加工情報の第三者提供
- Q11-14
- Q11-15
- Q11-16
- Q11-17
- Q11-17-2
- Q11-17-3
- Q11-18
- Q11-19
- Q11-20
-
4-5 識別行為の禁止
- Q11-21
- Q11-22
5 個人データの漏えい等事案対応告示
- Q12-1
- Q12-2
- Q12-3
- Q12-4
- Q12-5
- Q12-6
- Q12-7
- Q12-8
- Q12-9
- Q12-10
- Q12-11
- Q12-12
6 その他
- Q13-1
- 【凡例】
- 「法」 個人情報の保護に関する法律(平成 15 年法律第 57 号)
- 「施行令」 個人情報の保護に関する法律施行令(平成 15 年政令第 507 号)
- 「施行規則」 個人情報の保護に関する法律施行規則(平成 28 年個人情報保護委員会規則第3号)
- 「ガイドライン(通則編)」
個人情報の保護に関する法律についてのガイドライン(通則編)(平成 28年個人情報保護委員会告示第6号)
- 「ガイドライン(外国にある第三者への提供編)」
個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)(平成 28 年個人情報保護委員会告示第7号)
- 「ガイドライン(第三者提供時の確認・記録義務編)」
個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)(平成 28 年個人情報保護委員会告示第8号)
- 「ガイドライン(匿名加工情報編)」
個人情報の保護に関する法律についてのガイドライン(匿名加工情報編) (平成 28 年個人情報保護委員会告示第9号)
- 「個人データの漏えい等事案対応告示」
個人データの漏えい等の事案が発生した場合等の対応について(平成 29年個人情報保護委員会告示第1号)
※ なお、特に断りのない限り、本ガイドラインにおいて示す個人情報の保護に関する法律の条番号は、同法の平成 27 年改正の施行日(平成 29 年5月 30 日)時点の条番号を示すものとする。 その他の法令に係る条文は、本Q&Aの公表(平成 29 年2月 16 日)時点の条番号を示すものとする。
※ 本Q&Aは、諸環境の変化を踏まえて、必要に応じ見直しを行うものとする。
1 ガイドライン(通則編)
1-1 定義
- (個人情報)
- Q1-1
「特定の個人を識別することができる」とは、どのような意味ですか。
- A1-1
「特定の個人を識別することができる」とは、社会通念上、一般人の判断力や理解力をもって、生存する具体的な人物と情報との間に同一性を認めるに至ることができることをいいます。
- (個人情報)
- Q1-2
ガイドライン(通則編)では、氏名のみでも個人情報に該当するとされていますが、同姓同名の人もあり、他の情報がなく氏名だけのデータでも個人情報といえますか。
- A1-2
本人と同姓同名の人が存在する可能性もありますが、氏名のみであっても、社会通念上、特定の個人を識別することができるものと考えられますので、個人情報に該当すると考えられます。
- (個人情報)
- Q1-3
住所や電話番号だけで個人情報に該当しますか。
- A1-3
個別の事例ごとに判断することになりますが、他の情報と容易に照合することにより特定の個人を識別することができる場合、当該情報とあわせて全体として個人情報に該当することがあります。
- (個人情報)
- Q1-4
メールアドレスだけでも個人情報に該当しますか。
- A1-4
メールアドレスのユーザー名及びドメイン名から特定の個人を識別することができる場合(例:kojin_ichiro@example.com)、当該メールアドレスは、それ自体が単独で、個人情報に該当します。
これ以外の場合、個別の事例ごとに判断することになりますが、他の情報と容易に照合することにより特定の個人を識別することができる場合、当該情報とあわせて全体として個人情報に該当することがあります。
- (個人情報)
- Q1-5
新聞やインターネットなどで既に公表されている個人情報は、個人情報保護法で保護されるのですか。
- A1-5
公知の情報であっても、その利用目的や他の個人情報との照合など取扱いの態様によっては個人の権利利益の侵害につながるおそれがあることから、個人情報保護法では、既に公表されている情報も他の個人情報と区別せず、保護の対象としています。
- (個人情報)
- Q1-6
外国に居住する外国人の個人情報についても、個人情報保護法による保護の対象になりますか。
- A1-6
居住地や国籍を問わず、日本の個人情報取扱事業者が取り扱う個人情報は、個人情報保護法による保護の対象となり得ます。
- (個人情報)
- Q1-7
個人情報に該当しない事例としては、どのようなものがありますか。
- A1-7
次のような事例が考えられます。
- 事例1)企業の財務情報等、法人等の団体そのものに関する情報(団体情報)
- 事例2)統計情報(複数人の情報から共通要素に係る項目を抽出して同じ分類ごとに集計して得られる情報)
- (個人情報)
- Q1-7-2
複数人の個人情報を機械学習の学習用データセットとして用いて生成した学習済みパラメータは、個人情報に当たりますか。
- A1-7-2
複数人の個人情報を機械学習の学習用データセットとして用いて生成した学習済みパラメータ(重み係数)は、学習済みモデルにおいて、特定の出力を行うために調整された処理・計算用の係数であり、当該パラメータと特定の個人との対応関係が排斥されている限りにおいては「個人に関する情報」に該当するものではないため、「個人情報」にも該当しないと考えられます。
(令和3年6月追加) - (個人情報)
- Q1-8
オンラインゲームで「ニックネーム」及び「ID」を公開していますが、個人情報に該当しますか。
- A1-8
オンラインゲームにおける「ニックネーム」及び「ID」が公開されていても、通常は特定の個人を識別することはできないため、個人情報には該当しません。ただ し、「ニックネーム」又は「ID」を自ら保有する他の情報と容易に照合することにより特定の個人を識別できる可能性があり、そのような場合には個人情報に該当し得ます。また、例外的にニックネームや ID から特定の個人が識別できる場合(有名なニックネーム等)には、個人情報に該当します。
- (個人情報)
- Q1-9
顧客との電話の通話内容は個人情報に該当しますか。また、通話内容を録音している場合、録音している旨を相手方に伝えなければなりませんか。
- A1-9
通話内容から特定の個人を識別することが可能な場合には個人情報に該当します。個人情報に該当する場合、個人情報保護法上は、利用目的を通知又は公表する義務はありますが、録音していることについて伝える義務まではありません。
- (個人情報)
- Q1-10
顧客との電話の通話内容を録音していますが、通話内容から特定の個人を識別することはできません。この場合の録音記録は、個人情報に該当しますか。
- A1-10
基本的には個人情報に該当しません。ただし、その他の情報と容易に照合で き、それによって特定の個人を識別することができれば、その情報とあわせて全体として個人情報に該当することはありますので、個別の事例ごとの判断が必要です。
なお、録音した音声から特徴情報を抽出し、これを話者認識システム等本人を認証することを目的とした装置やソフトウェアにより、本人を認証することができるデータに変換した場合、当該データは個人識別符号に該当し、それ単体で個人情報に該当します。
- (個人情報)
- Q1-11
店舗に防犯カメラを設置し、撮影した顔画像やそこから得られた顔認証デ ータを防犯目的で利用することを考えています。個人情報保護法との関係で、どのような措置を講ずる必要がありますか。
- A1-11
本人を判別可能なカメラ画像やそこから得られた顔認証データを取り扱う場 合、個人情報の利用目的をできる限り特定し、当該利用目的の範囲内でカメラ画像や顔認証データを利用しなければなりません。本人を判別可能なカメラ画像を撮影録画する場合は、個人情報の取得となりますので、個人情報の利用目的をあらかじめ公表しておくか、又は個人情報の取得後速やかに本人に通知若しくは公表することが必要です。
防犯カメラにより、防犯目的のみのために撮影する場合、「取得の状況からみて利用目的が明らか」(法第 18 条第4項第4号)であることから、利用目的の通知・公表は不要と解されますが、防犯カメラが作動中であることを店舗の入口や設置場所等に掲示する等、本人に対して自身の個人情報が取得されていることを認識させるための措置を講ずることが望ましいと考えられます。更に、カメラ画像の取得主体や内容を確認できるよう、問い合わせ先等について店舗の入り口や設置場所に明示するかあるいはこれを掲載した WEB サイトの URL 又は QR コード等を示すことが考えられます。
また、カメラ画像や顔認証データを体系的に構成して個人情報データベース等を構築した場合、個々のカメラ画像や顔認証データを含む情報は個人データに該当するため、個人情報保護法に基づく適切な取扱いが必要です。
なお、「顔認証」等の画像処理の方法等は利用目的として直ちに記載が求められているものではないものの、透明性を確保するために、カメラの設置者は被写体となる本人が確認できるよう、画像処理の方法等の詳細やプライバシーポリシーについて掲載したWEB サイトの URL 又は QR コード等を示すことが考えられます。
(平成 30 年 12 月更新) - (個人情報)
- Q1-12
店舗にカメラを設置し、撮影した顔画像やそこから得られた顔認証データをマーケティング等の商業目的に利用することを考えています。個人情報保護法との関係で、どのような措置を講ずる必要がありますか。
- A1-12
本人を判別可能なカメラ画像やそこから得られた顔認証データを取り扱う場合、個人情報の利用目的をできる限り特定し、あらかじめ公表するか、又は個人情報の取得後 速やかに本人に通知若しくは公表するとともに、当該利用目的の範囲内でカメラ画像や 顔認証データを利用しなければなりません。
なお、防犯目的のみのために取得したカメラ画像やそこから得られた顔認証データについて、他の目的に利用しようとする場合、本人の同意を得る必要があります。
- (個人情報)
- Q1-13
カメラ画像から抽出した性別や年齢といった属性情報や、人物を全身のシルエット画像に置き換えて作成した移動軌跡データ(人流データ)は、個人情報に該当しますか。
- A1-13
個人情報とは、特定の個人を識別することができる情報をいいます。性別、年齢、又は全身のシルエット画像等による移動軌跡データのみであれば、抽出元の本人を判別 可能なカメラ画像や個人識別符号等本人を識別することができる情報と容易に照合する ことができる場合を除き、個人情報には該当しません。
- (個人情報)
- Q1-13-2
防犯目的のために、万引き・窃盗等の犯罪行為や迷惑行為に対象を限定した上で、顔認証システムを導入しようとする場合にどのような注意が必要とされますか。
- A1-13-2
カメラ画像や顔認証データを体系的に構成して個人情報データベース等を構築した場合、個々のカメラ画像や顔認証データを含む情報は個人データに該当するため、個人情報保護法に基づく適切な取扱いが必要です。
防犯目的のために、万引き・窃盗等の犯罪行為や迷惑行為に対象を限定した上で、顔認証システムを導入して顔認証データを含む個人データを用いようとする場合には、特定された利用目的の達成のために必要最小限の範囲内において顔認証システムへの登録を行い、個人データを正確かつ最新の内容に保つ必要があります。
具体的には、各事業者においてどのような基準でデータベースに登録するか社内ルールを設定し、誤登録等を防ぐための適切な措置として、例えば被害届の有無により判断を行うなど客観的に犯罪・迷惑行為が確認されるケース等に限定するとともに、事業者内で責任を有する者により登録の必要性と正確性について確認が行われる体制を整えること等が重要です。
(平成 30 年 12 月追加) - (個人情報)
- Q1-13-3
電光掲示板等に内蔵したカメラで撮影した本人の顔画像から、性別や年齢といった属性情報を抽出し、当該本人向けにカスタマイズした広告を電光掲示板等に表示しています。属性情報を抽出した後、顔画像は即座に削除しています。個人情報保護法上、どのような措置を講ずる必要がありますか。
- A1-13-3
カメラにより特定の個人を識別できる顔画像を撮影した場合、個人情報を取得したことになりますので、不正の手段による取得とならないよう、事業者はカメラが作動中であることを掲示する等、カメラにより自身の個人情報が取得されていることを本人が容易に認識することが可能となる措置を講ずる必要があります。
また、個人情報取扱事業者が、一連の取扱いにおいて、顔画像を取得した後、属性情報を抽出した上で、当該属性情報に基づき当該本人向けに直接カスタマイズした広告を配信する場合、当該顔画像を直ちに廃棄したとしても、当該顔画像について、特定の個人を識別した上で、広告配信を行っていると解されます。このように顔画像を取り扱う場合には、その利用目的をできる限り特定し、あらかじめ公表するか、又は個人情報の取得後速やかに本人に通知若しくは公表するとともに、当該利用目的の範囲内で利用しなければなりません。
(平成 30 年 12 月追加) - (個人情報)
- Q1-14
A 社が保有する個人情報を、特定の個人を識別できない統計情報として B 社に提供した場合、B 社においては、この情報は個人情報に該当しますか。
- A1-14
統計情報(複数人の情報から共通要素に係る項目を抽出して同じ分類ごとに集計して得られる情報)は、特定の個人との対応関係が排斥されている限りにおいては、 「個人に関する情報」に該当するものではないため、「個人情報」にも該当しないと考えられます。
- (個人情報)
- Q1-15
事業者の各取扱部門が独自に取得した個人情報を取扱部門ごとに設置されているデータベースにそれぞれ別々に保管している場合において、ある取扱部門のデータベースと他の取扱部門のデータベースの双方を取り扱うことができないときには、「容易に照合することができ」(法第2条第1項)ないといえますか。
- A1-15
事業者の各取扱部門が独自に取得した個人情報を取扱部門ごとに設置されているデータベースにそれぞれ別々に保管している場合において、双方の取扱部門やこれらを統括すべき立場の者等が、規程上・運用上、双方のデータベースを取り扱うことが厳格に禁止されていて、特別の費用や手間をかけることなく、通常の業務における一般的な方法で双方のデータベース上の情報を照合することができない状態である場合は、「容易に照合することができ」ない状態であると考えられます。
一方、双方の取扱部門の間で、通常の業務における一般的な方法で双方のデータベース上の情報を照合することができる状態である場合は、「容易に照合することができ」る状態であると考えられます。
- (個人情報)
- Q1-16
「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなる」(法第2条第1項)に該当する事例としては、どのようなものがありますか。
- A1-16
例えば、特定の個人を識別することができる情報に割り当てられている識別子 (例:顧客 ID 等)と共通のものが割り当てられていることにより、事業者内部において、特定の個人を識別することができる情報とともに参照することが可能な場合、他の情報と容易に照合することができると解され得るものと考えられます。
- (個人情報)
- Q1-17
顧客情報のみでなく、従業員に関する情報も個人情報保護法の規律に従って取り扱う必要がありますか。
- A1-17
従業員に関する情報であっても、法第2条第1項の定義に該当する場合には、個人情報に該当するため、同法の規律に従って取り扱う必要があります。
- (個人情報)
- Q1-18
死者の情報は、個人情報保護法の保護の対象になりますか。
- A1-18
個人情報保護法は、「個人情報」を生存する個人に関する情報に限っており、死者に関する情報については保護の対象とはなりません。
ただし、死者に関する情報が、同時に生存する遺族などに関する情報である場合 (例:死者の家族関係に関する情報は、死者に関する情報であると同時に、生存する遺族に関する情報である場合があります。)には、その遺族などに関する「個人情報」となります。
なお、生存する個人と死者に関する情報を一体的に管理しているような場合におい て、事業及び情報の性質等を踏まえて、死者の情報についても漏えい等しないように適切に管理することは、望ましい取組と考えます。
- (個人識別符号)
- Q1-19
施行令第1条第1号に規定された個人識別符号に関するガイドライン(通則編)の記載において、「本人を認証することができるようにしたもの」とありますが、これは具体的にどのようなことを想定しているのですか。
- A1-19
「本人を認証することができるようにしたもの」とは、登録された顔の容貌やDNA、指紋等の生体情報をある人物の生体情報と照合することで、特定の個人を識別することができる水準である符号を想定しています。
- (個人識別符号)
- Q1-20
施行令第1条第1号に規定された個人識別符号に関するガイドライン(通則編)の記載において、「本人を認証することを目的とした装置やソフトウェアにより、本人を認証することができるようにしたもの」とありますが、これは、事業者が認証を目的としてある符号を取り扱っている場合にのみ、当該符号が個人識別符号に該当するという趣旨ですか。
- A1-20
「本人を認証することができるようにしたもの」とは、「本人を認証することができるだけの水準がある」という趣旨であり、事業者が実際に認証を目的として取り扱っている場合に限定しているものではありません。
- (個人識別符号)
- Q1-21
今回、ゲノムデータが個人識別符号に位置付けられましたが、学術研究機関が学術研究目的でゲノムデータを取り扱う場合にも個人情報保護法は適用されますか。
- A1-21
私立大学その他の学術研究を目的とする機関・団体又はそのような機関等に所属している方が、学術研究の用に供する目的でゲノムデータその他の個人情報を取り扱う場合には、法第4章に規定する各種義務規定は適用されません(法第 76 条第1項第3号)。
- (個人識別符号)
- Q1-22
携帯電話番号やクレジットカード番号は個人識別符号に該当しますか。
- A1-22
携帯電話番号やクレジットカード番号は、様々な契約形態や運用実態があり、およそいかなる場合においても特定の個人を識別することができるとは限らないこと等から、個人識別符号に位置付けておりません。
なお、このような番号も、氏名等の他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなる場合には、個人情報に該当します。
- (個人識別符号)
- Q1-23
各種被保険者証の記号・番号・保険者番号は、それぞれが個人識別符号なのですか、それとも3つ揃うことで個人識別符号なのですか。
- A1-23
各種被保険者証の記号・番号・保険者番号は、3つ(記号がない被保険者証の場合は2つ)揃うことで特定の個人を識別することができ、個人識別符号に該当します。
- (要配慮個人情報)
- Q1-24
「○△教に関する本を購入した」という購買履歴の情報や、特定の政党が発行する新聞や機関誌等を購読しているという情報は、要配慮個人情報に該当しますか。
- A1-24
当該情報だけでは、それが個人的な信条であるのか、単に情報の収集や教養を目的としたものであるのか判断することが困難であり、「信条」を推知させる情報にすぎないため、当該情報のみでは要配慮個人情報には該当しないと解されます。
- (要配慮個人情報)
- Q1-25
診療又は調剤に関する情報は、全て要配慮個人情報に該当しますか。
- A1-25
本人に対して医師等により行われた健康診断等の結果及びその結果に基づき医師等により行われた指導又は診療若しくは調剤が行われたことは、要配慮個人情報に該当します(施行令第2条第2号及び第3号)。
具体的には、病院、診療所、その他の医療を提供する施設における診療や調剤の過程において、患者の身体の状況、病状、治療状況等について、医師、歯科医師、薬剤師、看護師その他の医療従事者が知り得た情報全てを指し、診療記録や調剤録、薬剤服用歴、お薬手帳に記載された情報等が該当します。
また、病院等を受診したという事実及び薬局等で調剤を受けたという事実も該当します。
- (要配慮個人情報)
- Q1-26
消費者直販型遺伝子検査の結果(いわゆる DTC 遺伝子検査の結果)は、要配慮個人情報に該当しますか。
- A1-26
消費者直販型遺伝子検査の結果(いわゆる DTC(direct to consumer)遺伝子検査の結果)は、施行令第2条第2号に規定する「医師その他医療に関連する職務に従事する者」(医師等)により行われた健康診断等の結果に当たるため、要配慮個人情報に該当します。
- (要配慮個人情報)
- Q1-27
受刑の経歴は、要配慮個人情報に該当しますか。
- A1-27
受刑の経歴は、「有罪の判決を受けてこれが確定したこと」に係る事実に当たるため、要配慮個人情報に該当します。
- (要配慮個人情報)
- Q1-28
ある人の犯罪行為を撮影した防犯カメラ映像は、要配慮個人情報に該当しますか。
- A1-28
単に防犯カメラの映像等で、犯罪行為が疑われる映像が映ったのみでは、犯罪の経歴にも刑事事件に関する手続が行われたことにも当たらないため、要配慮個人情報に該当しません。
- (要配慮個人情報)
- Q1-29
外国政府により刑事事件に関する手続を受けた事実は、要配慮個人情報に該当しますか。
- A1-29
外国政府により、本人を被疑者又は被告人として刑事手続が行われた事実は、施行令第2条第4号に該当し、要配慮個人情報に該当します。
- (要配慮個人情報)
- Q1-30
無罪判決を受けた事実は、要配慮個人情報に該当しますか。
- A1-30
無罪判決を受けた事実は、それまで犯罪の嫌疑を受けて逮捕、取調べ、勾留、公訴提起等をされたことを示すため、本人を被疑者又は被告人として刑事事件に関する手続を受けた場合に含まれ、要配慮個人情報に該当します。
- (要配慮個人情報)
- Q1-31
不起訴処分となった場合は、「刑事事件に関する手続」として要配慮個人情報に該当しますか。
- A1-31
施行令で定める「刑事事件に関する手続」の範囲には、被疑者又は被告人の立場で刑事事件に関して刑事訴訟法に基づく一切の手続を受けた事実を含んでおり、具体的には、刑事訴訟法に基づく逮捕、捜索、差押え、勾留、公訴の提起のほか、不起訴、不送致、微罪処分等も該当します。
- (要配慮個人情報)
- Q1-32
障害福祉サービス事業者等において個人情報を取り扱う際に、留意すべきことはありますか。
- A1-32
障害福祉サービス事業者等においては、個人情報の取得や第三者提供、保有個人データに関する事項の公表等の段階に応じて、手話、点字等の方法により本人に対 し、その利用目的を明示することや、ホームページへの音声データの掲載を行うこと、知的障害者等に対してあらかじめ必要な情報が本人の知り得る状態にあることを平易な表現を用いて説明すること等、その障害の特性に応じた適切な配慮を行うことが望ましいと考えられます。
なお、障害福祉サービス事業者等以外の個人情報取扱事業者においても、これに準じた適切な配慮を行うことが望ましいと考えられます。
- (要配慮個人情報)
- Q1-33
要配慮個人情報を取得する際に、その本人が、同意したことによって生ずる結果について十分な判断能力を有しない障害者であるような場合には、どのように対応すればよいですか。
- A1-33
障害者本人に十分な判断能力がなく、成年後見人等の法定代理人が選任されている場合には、法定代理人から同意を得る必要があります。成年後見人等の法定代理人が選任されていない場合で、例えば、障害福祉サービス事業所が成年後見人等の法定代理人が選任されていない障害者に障害福祉サービスを提供するために、必要な範囲で要配慮個人情報の提供を受けるときは、法第 17 条第2項第2号「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」に該当すると解されるため、あらかじめ本人の同意を得ることなく、障害者の親族等から要配慮個人情報を取得することができると考えられます。
- (個人情報データベース等)
- Q1-34
メールソフトのアドレス帳や一定の規則で整理された名刺について、従業者本人しか使用できない状態であれば、企業の個人情報データベース等には該当しないと考えてよいですか。
- A1-34
従業者の私的な使用のみに用いられているのであれば、企業にとっての個人情報データベース等には含まれないと考えられます。しかし、従業者が企業における業務の用に供するために使用しているのであれば、企業の個人情報データベース等に該当することになり得ます。
- (個人情報データベース等)
- Q1-35
従業者が業務上使用している携帯電話等の電話帳に氏名と電話番号のデータが登録されている場合、個人情報データベース等に該当しますか。
- A1-35
特定の個人情報を検索できるように個人情報を体系的に構成されているといえるため、個人情報データベース等に該当すると解されます。
- (個人情報データベース等)
- Q1-36
ガイドライン(通則編)2-4の個人情報データベース等に該当する事例1 に、「電子メールソフトに保管されているメールアドレス帳」とありますが、他人には容易に検索できない独自の分類方法によりメールアドレスを分類した状態である場合は、個人情報データベース等に該当しないと考えてよいですか。
- A1-36
メールアドレス帳に氏名を付してメールアドレスを保存した場合は、一般的には、当該アドレス帳の検索機能を使うことにより第三者でも特定のメールアドレスの検索が容易に行うことができるため、「他人には容易に検索できない独自の分類方法」となっていないと考えられます。したがって、この場合は個人情報データベース等に該当すると解されます。
- (個人情報データベース等)
- Q1-37
文書作成ソフトで議事録を作成しました。議事録には会議出席者の氏名が 記録されており、文書作成ソフトの検索機能を用いれば、特定の個人を検索 することが可能です。この議事録は個人情報データベース等に該当しますか。
- A1-37
文書作成ソフトで作成された議事録は、会議出席者の氏名が記録されているとしても、特定の個人情報を検索することができるように「体系的に構成」されているものとはいえないため、個人情報データベース等には該当しないと解されます。
- (個人情報データベース等)
- Q1-38
防犯カメラやビデオカメラなどで記録された映像情報は、本人が判別できる映像であれば、個人情報データベース等に該当しますか。
- A1-38
本人が判別できる映像情報であれば、個人情報に該当しますが、特定の個人情報を検索することができるように「体系的に構成」されたものでない限り、個人情報データベース等には該当しないと解されます。すなわち、記録した日時について検索することは可能であっても、特定の個人に係る映像情報について検索することができない場合には、個人情報データベース等には該当しないと解されます。
- (個人情報データベース等)
- Q1-39
録音した会話の内容に個人の氏名が含まれていますが、この場合、個人情報データベース等に該当しますか。
- A1-39
会話の内容に氏名が含まれていても、当該氏名により容易に検索可能な状態に整理されていない限り、個人情報データベース等に該当しません。
- (個人情報データベース等)
- Q1-40
宅配便の送り状を受けた日付順に並べてファイリングしていますが、この場合、個人情報データベース等に該当しますか。
- A1-40
送り状に氏名等の個人情報が含まれていても、当該送り状を受けた日付順に並べているだけで、特定の個人情報が含まれている送り状を検索し、抽出することが容易にできる状態に整理していない場合には、個人情報データベース等に該当しません。
- (個人情報データベース等)
- Q1-41
市販の電話帳等を無償で譲り受けた場合は個人情報データベース等から除外されますか。
- A1-41
市販されている名簿等を無償で譲り受けた場合については、当該名簿がいつでも購入することができ、広く一般に市販されているものに変わりはないことから、これに生存する個人に関する他の情報を加えることなくその本来の用途に供しているものである場合、利用方法からみて個人の権利利益を害するおそれが少ないものとして施行令で定めるものの要件に該当し、個人情報データベース等から除外されます。
- (個人情報データベース等)
- Q1-42
市販の職員録をインターネット上からデータをダウンロードして購入した場合であっても、個人情報データベース等から除外されますか。
- A1-42
市販されている名簿等であれば、書籍であっても電子データであっても、購入者が入手する個人情報の内容において変わりはなく、販売形態の違いをもって区別する制度上の合理性はないことから、施行令第3条第1項第1号の「発行」は紙媒体に限らず、電子データも含みます。すなわち、市販の職員録等の電子データをダウンロードして購入した場合も、当該データは個人情報データベース等から除外されます。
- (個人情報データベース等)
- Q1-43
カーナビゲーションシステムを購入したユーザーにおいて、ルート設定や過去の訪問歴等を記録した場合は、当該ユーザーにとって当該カーナビゲーションシステムは個人情報データベース等から除外されますか。
- A1-43
カーナビゲーションシステムを購入したユーザーによるルート設定や訪問歴の記録は、当該カーナビゲーションシステムに含まれるデータをメモリに入れているにとどまり、「生存する個人に関する他の情報を加え」たことには該当しないことから、当該ユーザーにとっては個人情報データベース等に該当しません。ただし、当該ユーザーにおいて、新たに個人情報等を加えてデータベースの内容を変更した場合は、個人情報データベース等に該当し得るものと考えます。
- (個人情報データベース等)
- Q1-44
ハローページは無償で頒布されていますが、個人情報データベース等から除外されないのですか。
- A1-44
ハローページは、全国的に無償頒布されているものの、住んでいる場所以外の地域のハローページについても広く有料で販売されており、誰もがいつでも購入することができるものに当たると考えられます。したがって、個人情報データベース等から除外されます。
- (個人情報データベース等)
- Q1-45
個人情報データベース等に入力する前の帳票類であれば、個人情報データベース等に該当しませんか。
- A1-45
個人情報データベース等に入力する前の帳票等であっても、それに記載された個人情報を 50 音順に整理している場合など、特定の個人情報を容易に検索することができるように体系的に構成している場合には、それ自体が個人情報データベース等に該当します。
- (個人情報データベース等)
- Q1-45-2
インターネット上等において不特定多数の者が取得できる公開情報(一般人・民間企業が公表している情報だけでなく、官報等公的機関が公表している情報を含む)を取得し、新たに特定の個人情報を検索することができるように構成したデータベースを作成した上で、不特定多数の者が閲覧できるようにすることはできますか。
- A1-45-2
公開情報であっても、生存する個人に関する情報であって特定の個人を識別できる情報(他の情報と容易に照合できる場合を含みます。)は、個人情報に該当し、このような情報を集めて、新たに特定の個人情報を検索できるように作成したデータベ ースは、原則として、個人情報データベース等に該当します。
したがって、事業者の規模にかかわらず、これを事業の用に供している場合は、個人情報取扱事業者に該当するため、利用目的の通知又は公表が必要となります(法第 18 条第1項)。
また、このような情報を不特定多数の者が閲覧できるような状態に供する行為は、第三者提供に該当し、原則として本人の同意が必要になります(法第 23 条第1項)。
(令和元年6月追加) - (個人情報取扱事業者)
- Q1-46
個人情報を取り扱う件数が少ない事業者も個人情報取扱事業者に該当しますか。
- A1-46
個人情報データベース等を事業の用に供している者であれば、当該個人情報データベース等を構成する個人情報によって識別される特定の個人の数の多寡にかかわらず、個人情報取扱事業者に該当します。
なお、平成 27 年改正の施行(平成 29 年5月 30 日)前においては、5000 人分以下の個人情報しか取り扱っていない者は、個人情報取扱事業者から除外されていましたが、施行後はこれらの者も個人情報取扱事業者に該当することとなりますので、注意が必要です。
- (個人情報取扱事業者)
- Q1-47
個人情報を「事業の用に供している」とは、どのような意味ですか。加工、分析などをせず、データベースとして利用しているのみであれば、該当しませんか。
- A1-47
「事業の用に供している」とは、事業者がその行う事業のために個人情報を利用していることをいい、特にその方法は限定されません。事業のために個人情報データベース等を作成、加工、分析、提供することだけでなく、事業を行う上で必要となる顧客情報、従業員情報、配達先情報などをデータベースとして利用していることなども含みます。
- (個人情報取扱事業者)
- Q1-48
従業者に関する個人情報データベース等しか保有していない場合であっても、個人情報取扱事業者に該当しますか。
- A1-48
取り扱っている個人情報が従業者の個人情報のみであっても、個人情報データベース等を事業の用に供している者は、個人情報取扱事業者に該当します。
- (個人情報取扱事業者)
- Q1-49
委託業務として、委託元の個人情報データベース等を利用していますが、この場合も、個人情報取扱事業者に該当しますか。
- A1-49
委託元の個人情報データベース等を加工・分析等をせずにそのまま利用する場合でも、委託された業務を行うために利用するのであれば「事業の用に供している」ことになり、委託先も個人情報取扱事業者に該当します。
- (個人情報取扱事業者)
- Q1-50
NPO 法人や自治会・町内会、同窓会、PTA のような非営利の活動を行っている団体も、個人情報取扱事業者として、個人情報保護法の規制を受けるのですか。
- A1-50
個人情報保護法における「事業」とは、一定の目的をもって反復継続して遂行される同種の行為であって、かつ社会通念上事業と認められるものをいい、営利・非営利の別は問いません。したがって、非営利の活動を行っている団体であっても、個人情報データベース等を事業の用に供している場合は、個人情報取扱事業者に該当します。NPO 法人や自治会・町内会、同窓会、PTA のほか、サークルやマンション管理組合なども個人情報取扱事業者に該当し得ます。
(平成 30 年7月更新) - (個人情報取扱事業者)
- Q1-50-2
民生委員・児童委員が個人情報を取り扱う場合、個人情報取扱事業者として個人情報保護法の規制を受けるのですか。
- A1-50-2
民生委員・児童委員は非常勤・特別職の地方公務員であり、法第2条第5 項第2号における「地方公共団体」の職員に当たることから、民生委員・児童委員として活動する範囲内では個人情報取扱事業者から除かれています。
なお、民生委員・児童委員には民生委員法第 15 条等により守秘義務が課されています。
(平成 30 年7月追加) - (保有個人データ)
- Q1-51
6か月以内に消去することとなるものは保有個人データに該当しないとされていますが、その起算点はいつですか。
- A1-51
当該個人データを取得したときから起算します。
- (保有個人データ)
- Q1-52
個人データの取扱いが委託される場合、当該個人データは委託元と委託先のどちらの保有個人データとなりますか。
- A1-52
特に定めのない限り、委託元の保有個人データになると考えられますが、具体的には個別の事例ごとに判断することとなります。
委託元が、個人データを受託処理する個人情報取扱事業者である委託先に対し、自らの判断で当該個人データの開示等を行う権限を付与していないとき(委託元・委託先間で何ら取決めがなく委託先が自らの判断で開示等をすることができない場合も含む。) は、本人に対する開示等の権限を有しているのは委託元であるため、当該個人データは委託元の「保有個人データ」となります。
- (保有個人データ)
- Q1-53
ガイドライン(通則編)2-7の「(4)当該個人データの存否が明らかに なることにより、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維 持に支障が及ぶおそれがあるもの」の事例1について、「警察から捜査関係 事項照会等がなされることにより初めて取得した個人データ」とありますが、これは具体的にはどのような意味ですか。
- A1-53
例えば、ある事業者が、ある人物に関し、警察から刑事訴訟法第 197 条第2項に基づき、顧客情報の提供依頼を受けたが、依頼がなされた時点では、当該事業者が当該人物の個人データを保有していない場合、当該照会によって当該事業者は初めて当該人物の個人データを入手することとなります。このような個人データの存否が明らかになれば、犯罪の予防、鎮圧、捜査又は公共の安全と秩序の維持に支障が及ぶおそれがあるため、「保有個人データ」からは除外されます。したがって、この事例では、当該人物の個人データは、開示請求の対象外となります。
- (保有個人データ)
- Q1-54
ガイドライン(通則編)2-7の「(4)当該個人データの存否が明らかになることにより、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの」の事例4について、「振り込め詐欺に利用された口座に関する情報に含まれる個人データ」とありますが、振り込め詐欺に利用された口座に関する全ての情報が「保有個人データ」に当たらないということですか。
- A1-54
振り込め詐欺に利用された口座であっても、名義人の氏名、住所、連絡先、口座番号等、口座開設の際に必要な当該名義人に関する情報そのものは、「保有個人データ」に該当します。他方、警察からの当該口座に関する照会に対応する過程で作成した照会受理簿、回答発信簿、照会対象者リスト等の個人データは、保有個人データに当たらないこととなります。
- (公表)
- Q1-55
店頭販売が中心の事業者が「公表」を行う場合、店頭ではなくホームページで公表することは可能ですか。
- A1-55
「公表」とは、広く一般に自己の意思を知らせることであり、公表に当たっては、事業の性質及び個人情報の取扱状況に応じ、合理的かつ適切な方法による必要があります。ホームページで公表することも可能と解されますが、当該店舗に来訪した者にとってそのホームページが合理的に把握可能であることを含め、分かりやすい場所への掲載が求められるものと解されます。
- (本人の同意)
- Q1-56
本人に対して、一定期間内に回答がない場合には同意したものとみなす旨の電子メールを送り、当該期間を経過した場合に、本人の同意を得たこととすることはできますか。
- A1-56
本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な方法によらなければなりません。したがって、一定期間回答がなかったことのみをもって、一律に本人の同意を得たものとすることはできません。
- (本人の同意)
- Q1-57
同意は、本人の明示的な意思表示を受ける方法によらなければなりませんか。
- A1-57
同意は、本人による承諾の意思表示をいいますので、「明示の同意」以外に「黙示の同意」が認められるか否かについては、個別の事案ごとに、具体的に判断することとなります。
- (本人の同意)
- Q1-58
何歳以下の子どもについて、同意をしたことによって生ずる結果を判断できる能力を有していないものとして、法定代理人等から同意を得る必要がありますか。
- A1-58
法定代理人等から同意を得る必要がある子どもの具体的な年齢は、対象となる個人情報の項目や事業の性質等によって、個別具体的に判断されるべきですが、一般的には 12 歳から 15 歳までの年齢以下の子どもについて、法定代理人等から同意を得る必要があると考えられます。
- (法令に基づく場合)
- Q1-59
個人情報保護法におけるいくつかの義務の例外規定として「法令に基づく場合」というものがありますが、ガイドラン(通則編)に記載されたもの(刑事訴訟法第 197 条第2項に基づく警察の捜査関係事項照会への対応等) の他にどのようなものがありますか。また、「法令」とは、法律以外も含まれるのですか。
- A1-59
次のようなものが考えられます。なお、「法令」には、「法律」のほか、法律に基づいて制定される「政令」「府省令」や地方自治体が制定する「条例」などが含まれますが、一方、行政機関の内部における命令や指示である「訓令」や「通達」は、「法令」に含まれません。
- ○ 少年法第6条の4に基づく触法少年の調査に必要な質問や調査関係事項照会等
- ○ 少年法第6条の5に基づく令状による触法少年の調査
- ○金融商品取引法第 210 条、第 211 条等に基づく証券取引等監視委員会の職員による犯則事件の調査への対応
- ○犯罪による収益の移転防止に関する法律第4条に基づく取引時確認への対応
- ○ 犯罪による収益の移転防止に関する法律第8条第1項に基づく特定事業者による疑わしい取引の届出
- ○所得税法第 225 条第1項等による税務署長に対する支払調書等の提出
- ○国税通則法第 74 条の2に基づく税関の職員による消費税に関する調査への対応
- ○関税法第 105 条第1項各号に基づく税関の職員による関税法に基づく質問検査への対応
- ○国税犯則取締法第1条、関税法第 119 条等に基づく税務署等及び税関の職員による犯則事件の調査への対応
- ○国税徴収法第 141 条に基づく税務署等及び税関の職員による滞納処分のための調査への対応
- ○刑事訴訟法第 507 条による裁判執行関係事項照会への対応
- ○刑事訴訟法第 279 条、心神喪失等の状態で重大な他害行為を行った者の医療及び監察等に関する法律第 24 条第3項による裁判所からの照会への対応
- ○民事訴訟法第 186 条、第 226 条、家事事件手続法第 62 条による裁判所からの文書送付や調査の嘱託への対応
- ○家事事件手続法第 58 条に基づく家庭裁判所調査官による事実の調査への対応
- ○ 犯罪被害財産等による被害回復給付金の支給に関する法律第 28 条による検察官や被害回復事務管理人からの照会への対応
- ○ 児童虐待の防止等に関する法律第6条第1項に基づく児童虐待に係る通告
- ○統計法第 13 条による国勢調査などの基幹統計調査に対する報告
- ○統計法第 30 条及び第 31 条による国勢調査などの基幹統計調査に関する協力要請への対応
- ○会社法第 381 条第3項による親会社の監査役の子会社に対する調査への対応
- ○会社法第 396 条及び金融商品取引法第 193 条の2の規定に基づく財務諸表監査への対応
1-2 個人情報の利用目的(法第 15 条~第 16 条、第 18 条第3項関係)
- (利用目的の特定)
- Q2-1
個人情報取扱事業者は、個人情報の利用目的を「できる限り特定しなければならない」とされていますが、どの程度まで特定する必要がありますか。
- A2-1
利用目的を「できる限り」特定するとは、個人情報取扱事業者が、個人情報をどのような目的で利用するかについて明確な認識を持つことができ、本人にとっても、自己の個人情報がどのような事業の用に供され、どのような目的で利用されるのかが、一般的かつ合理的に想定できる程度に特定するという趣旨です。
このため、特定される利用目的は、具体的で本人にとって分かりやすいものであることが望ましく、例えば、単に「お客様のサービスの向上」等のような抽象的、一般的な内容を利用目的とすることは、できる限り具体的に特定したことにはならないと解されます。
- (利用目的の特定)
- Q2-2
顧客の個人情報だけでなく、従業員を雇用するに当たり取り扱う当該従業員の個人情報についても、利用目的を特定する必要がありますか。
- A2-2
従業員を雇用するに当たり当該従業員の個人情報を取り扱う場合も、当該個人情報の利用目的をできる限り特定する必要があります。加えて、個人情報取扱事業者と従業員本人との間で争いとならないようにするためには、あらかじめ労働組合等に通知し、必要に応じて協議を行うことも望ましいと考えられます。
- (利用目的の特定)
- Q2-3
「利用」とは何を意味しますか。
- A2-3
特段の定義があるわけではありませんが、取得及び廃棄を除く取扱い全般を意味すると考えられます。したがって、保管しているだけでも利用に該当します。
- (利用目的の特定)
- Q2-4
登記簿等を閲覧して個人情報を取得する場合も利用目的の特定が必要ですか。
- A2-4
登記簿等により公開されているものでも個人情報であることに変わりはなく、それを取得する場合には利用目的の特定が必要です。
- (利用目的の特定)
- Q2-5
個人情報を統計処理して特定の個人を識別することができない態様で利用する場合についても、利用目的として特定する必要がありますか。
- A2-5
利用目的の特定は「個人情報」が対象であるため、個人情報に該当しない統計データは対象となりません。また、統計データへの加工を行うこと自体を利用目的とする必要はありません。
- (利用目的の変更)
- Q2-6
当初の利用目的が変更となったためその旨を通知する際、利用目的の範囲に含まれない商品告知等もあわせて同封することは問題はないのですか。
- A2-6
利用目的の範囲に含まれない商品告知等をすることはできません。利用目的の達成に必要な範囲を超える利用は、事前に本人の同意が必要となります。
- (利用目的の変更)
- Q2-7
利用目的の変更通知は、「××から◯◯に変わった」というように変更前の利用目的との対比によって示す必要がありますか。
- A2-7
変更後の利用目的を通知することで足ります。ただし、本人にとっての分かりやすさの観点等からは、「もともと××であったものを今後○○に変更します」など、当初特定した利用目的のどの点がどのように変わったのかを示すことが望ましいと考えられます。
- (利用目的の変更)
- Q2-8
法第 15 条第2項において、利用目的の変更が認められると考えられる事例を教えてください。
- A2-8
利用目的の変更が認められる範囲については、法第 15 条第2項において「変更前の利用目的と『相当の関連性』を有すると合理的に認められる範囲」とされていたところ、平成 27 年改正(平成 29 年5月 30 日施行)により、「変更前の利用目的と『関連性』を有すると合理的に認められる範囲」となりました。これは、一般的な消費者等からみて合理的な関連性のある範囲内において、利用目的の変更を柔軟かつ適時に可能とする規定です。
利用目的の変更が認められる事例については、個別具体的な事例ごとに判断されるものの、例えば、次のような場合が考えられます。
- ○「当社が提供する新商品・サービスに関する情報のお知らせ」という利用目的について、「既存の関連商品・サービスに関する情報のお知らせ」を追加する場合
- ○「当社が提供する既存の商品・サービスに関する情報のお知らせ」という利用目的について、「新規に提供を行う関連商品・サービスに関する情報のお知らせ」を追加する場合(例えば、フィットネスクラブの運営事業者が、会員向けにレッスンやプログラムの開催情報をメール配信する目的で個人情報を保有していたところ、同じ情報を用いて新たに始めた栄養指導サービスの案内を配信する場合もこれに含まれ得ると考えられます。)
- ○「当社が取り扱う既存の商品・サービスの提供」という利用目的について、「新規に提供を行う関連商品・サービスに関する情報のお知らせ」を追加する場合(例えば、防犯目的で警備員が駆け付けるサービスの提供のため個人情報を保有していた事業者が、新たに始めた「高齢者見守りサービス」について、既存の顧客に当該サービスを案内するためのダイレクトメールを配信する場合もこれに含まれ得ると考えられます。)
- ○「当社が取り扱う商品・サービスの提供」という利用目的について、「当社の提携先が提供する関連商品・サービスに関する情報のお知らせ」を追加する場合(例えば、住宅用太陽光発電システムを販売した事業者が、対象の顧客に対して、提携先である電力会社の自然エネルギー買取サービスを紹介する場合もこれに含まれ得ると考えられます。)
- (利用目的の変更)
- Q2-9
法第 15 条第2項において、利用目的の変更が認められないと考えられる事例を教えてください。
- A2-9
法第 15 条第2項において、利用目的の変更が認められる範囲は、利用目的の変更が一般的な消費者等からみて、合理的な関連性の認められる範囲内かどうかにより判断されることとなりますが、変更が認められない事例としては、例えば、次のような場合が考えられます。
- ○ 当初の利用目的に「第三者提供」が含まれていない場合において、新たに、法第 23条第2項の規定による個人データの第三者提供を行う場合
- ○当初の利用目的を「会員カード等の盗難・不正利用発覚時の連絡のため」としてメールアドレス等を取得していた場合において、新たに「当社が提供する商品・サービスに関する情報のお知らせ」を行う場合
- (事業の承継)
- Q2-10
このたび他社の事業を承継することとなり、これに伴って当該他社が保有していた個人情報も譲り受けることになりました。当社は、当該他社が保有していた個人情報を自社サービスに利用することができますか。
- A2-10
事業の承継に伴って他社から取得した個人情報は、当該他社が特定した利用目的の達成に必要な範囲内でこれを利用することができます。したがって、自社サービスへの利用が、①当該他社が特定した利用目的の範囲内又は②当該利用目的と関連性を有すると合理的に認められる範囲を超えずに変更した後の利用目的の範囲内に含まれる場合、当該他社から取得した個人情報を自社サービスに利用することができます。
- (事業の承継)
- Q2-10-2
不動産の売買が行われる際に、不動産所有者が売買契約締結前の交渉段階で、当該不動産の購入希望者から当該不動産に関する調査を受け、当該不動産の賃借人に係る個人データを提供する場合は、あらかじめ本人の同意を得る必要がありますか。
- A2-10-2
ガイドライン(通則編)3-4-3(2)と同様に、不動産売買契約に付随して、不動産の売主から買主に対して、当該不動産の管理に必要な範囲で当該不動産の賃借人の個人データが提供される場合には、当該不動産に係る事業の承継に伴って個人データが提供される場合と評価することができるため、法第 23 条第5項第2号に基づくものとして、本人の同意を得る必要はないものと解されます。
そして、不動産所有者が売買契約締結前の交渉段階で、当該不動産の購入希望者から、当該不動産に関する調査を受け、当該不動産の賃借人に係る個人データを提供する場合は、実質的に委託又は事業の承継に類似するものと認められるため、あらかじめ賃借人本人の同意を得ることなく又は第三者提供におけるオプトアウト手続を行うことなく、個人データを提供することができます。
ただし、この場合、不動産所有者と当該不動産を購入しようとする者は、当該個人データの利用目的及び取扱方法、漏えい等が発生した場合の措置、不動産所有者と当該不動産を購入しようとする者との交渉が不調となった場合の措置等、当該不動産を購入しようとする者に安全管理措置を遵守させるための必要な契約を締結しなければなりません。
(令和元年 11 月追加) - (事業の承継)
- Q2-10-3
ガイドライン(通則編)3-4-3(2)の「事業承継の交渉が不調となった場合の措置等」とは、具体的にどのような内容が考えられますか。
- A2-10-3
事業承継の交渉が不調に終わった場合に、当該不動産を購入しようとした者において、当該交渉に関連して提供を受けた個人データを返還、消去、廃棄する必要があります。なお、Q2-10-2の「不動産所有者と当該不動産を購入しようとする者との交渉が不調となった場合の措置」も同様と考えられます。
(令和元年 11 月追加) - (利用目的による制限の例外)
- Q2-11
法第 16 条第3項第2号及び第3号に「本人の同意を得ることが困難であるとき」とありますが、例えばどのような場合がこれに該当しますか。
- A2-11
例えば、本人の連絡先が不明等により、本人に同意を求めるまでもなく本人の同意を得ることが物理的にできない場合や、本人の連絡先の特定のための費用が極めて膨大で時間的余裕がない等の場合が考えられます。
- (利用目的による制限の例外)
- Q2-12
製薬企業が過去に臨床試験等で取得した個人情報を、有効な治療方法や薬剤が十分にない疾病等に関する疾病メカニズムの解明を目的とした研究のために、自社内で利用することを考えています。個人情報に係る本人の連絡先を保有しておらず、本人の同意を得ることが困難なのですが、本人同意なしに利用することは可能ですか。
- A2-12
個人情報取扱事業者は、あらかじめ本人の同意を得ないで、特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱うことができませんが、公衆衛生の向上のために特に必要がある場合であって、本人の同意を得ることが困難であるときには、あらかじめ本人の同意を得ないで、個人情報を当初の利用目的の達成に必要な範囲を超えて取り扱うことが許容されています(法第 16 条第3項第3号)。
製薬企業が過去に臨床試験等で取得した個人情報は、取得の際に特定された利用目的の範囲で取り扱う必要があり、この範囲を超えて取り扱う場合には、あ らかじめ本人の同意を得る必要があります。
しかし、一般に、製薬企業が行う有効な治療方法や薬剤が十分にない疾病等に関する疾病メカニズムの解明、創薬標的探索、バイオマーカー同定、新たな診断・治療方法の探求等の研究は、その結果が広く共有・活用されていくことで、医学、薬学等の発展や医療水準の向上に寄与し、公衆衛生の向上に特に資するものであると考えられます。
また、連絡先を保有していないため本人への連絡ができない等の場合には、「本人の同意を得ることが困難であるとき」に該当するものと考えられます。
したがって、製薬企業が過去に臨床試験等で取得した個人情報を、有効な治療方法や薬剤が十分にない疾病等に関する疾病メカニズムの解明を目的とした自社内の研究のために用いる場合であって、連絡先を保有していないため本人からの同意取得が困難であるときには、同号の規定によりこれを行うことが許容されると考えられます。
なお、当該製薬企業においては、当初の利用目的及び当該研究のためという新たな利用目的の達成に必要な範囲を超えて、当該データを取り扱うことは原則できません。
この外、製薬企業には、倫理審査委員会の関与、研究対象者が拒否できる機会の保障、研究結果の公表等について規定する医学系研究等に関する指針や、関係法令の遵守が求められていることにも、留意が必要です。
(令和3 年 6 月追加)
1-3 個人情報の取得(法第 17 条・第 18 条関係)
- (適正取得)
- Q3-1
サービスを利用した本人から友人を紹介してもらい、当該本人を介して、その友人の個人情報を取得する、「友人紹介キャンペーン」による取得は個人情報の取得の手段として適正ですか。
- A3-1
事業者が偽ったり騙したりする等により個人情報を不正に取得していなければ、法第 17 条第1項(適正取得)に違反しないことになると考えられます。
なお、御質問の方法による当該友人の個人情報の取得に当たっては、利用目的の通知又は公表が必要です。また、要配慮個人情報については当該友人のあらかじめの同意なく取得することはできません。
- (適正取得)
- Q3-2
名簿業者から個人の名簿を購入することは禁止されていますか。また、不正取得された名簿をそれと知らずに購入した場合は、どうですか。
- A3-2
名簿業者から個人の名簿を購入すること自体は禁止されていませんが、その購入に際しては、適正取得(法第 17 条第1項)や第三者提供を受ける際の確認・記録義務 (法第 26 条)が適用される点に留意する必要があります。
具体的には、名簿の購入の際、相手方が個人データを取得した経緯などを確認・記録する必要があり、その結果、相手方が不正の手段により個人データを取得したことを知り又は容易に知ることができたにもかかわらず当該個人データを取得する場合、法第 17 条第1項に違反するおそれがあります。
特に、平成 27 年改正の施行(平成 29 年5月 30 日)以降は、一般的に名簿業者はオプトアウト規定による届出が必要となるため(法第 23 条第3項)、個人情報保護委員会のホームページ上で、当該名簿業者が届出をしていることを確認する必要があると解されます。
- (適正取得)
- Q3-3
ガイドライン(通則編)3-2-1の「個人情報取扱事業者が不正の手段により個人情報を取得している事例」事例5の「法第 23 条第1項に規定する第三者提供制限違反がされようとしていること」を容易に知ることができる場合とは、具体的にどのような場合が考えられますか。
- A3-3
例えば、部外秘・社外秘である旨のラベリング、メモ書、透かしがある従業員名簿・ファイルなど、第三者提供が制限されていることが外形上明らかである場合、クレジットカード情報が含まれる顧客名簿・ファイルなど、社会通念上、第三者提供が制限されていることが推知できるような場合が考えられます。
また、個人データの第三者提供を受ける場合は、相手方が個人データを取得した経緯等について確認・記録する必要がある点にも留意が必要です(法第 26 条)。
なお、「個人データ」に該当しない「個人情報」の第三者提供を受ける場合は、法第 26条の確認・記録義務は適用されませんが、適正取得(法第 17 条第1項)の義務は適用されるため、相手方が不正の手段で個人情報を取得したことを知り又は容易に知ることができたにもかかわらず当該個人情報を取得することは、法第 17 条第1項に違反するおそれがあると解されます。
- (適正取得)
- Q3-4
個人情報を含む情報がインターネット等により公にされている場合、①当該情報を単に画面上で閲覧する場合、②当該情報を転記の上、検索可能な状態にしている場合、③当該情報が含まれるファイルをダウンロードしてデータベース化する場合は、それぞれ「個人情報を取得」していると解されますか。
- A3-4
個人情報を含む情報がインターネット等により公にされている場合、それらの情報を①のように単に閲覧するにすぎない場合には「個人情報を取得」したとは解されません。一方、②や③のようなケースは、「個人情報を取得」したと解し得るものと考えられます。
- (要配慮個人情報の取得)
- Q3-5
平成 27 年改正の施行(平成 29 年5月 30 日)前に取得した個人情報であって、施行後に要配慮個人情報に該当することとなった場合、改めて取得について本人同意を得る必要がありますか。
- A3-5
平成 27 年改正の施行前に適法に取得した個人情報が施行後に要配慮個人情報に該当したとしても、改めて取得のための本人同意を得る必要はありません。
- (要配慮個人情報の取得)
- Q3-6
平成 27 年改正の施行(平成 29 年5月 30 日)前に取得した個人情報であって、施行後に要配慮個人情報に該当することとなり、当該情報について、新たに第三者提供をする場合には本人同意を得る必要がありますか。
- A3-6
個人データの第三者提供については、要配慮個人情報に係るものか否かを問わず、原則として本人の同意が必要です。
なお、平成 27 年改正の施行後に要配慮個人情報に該当することとなった場合、施行後はオプトアウトによる第三者提供は認められませんので、注意が必要です。
- (要配慮個人情報の取得)
- Q3-7
①郵便物の誤配など、事業者が求めていない要配慮個人情報が送られてきたことにより要配慮個人情報を手にすることとなった場合や、②要配慮個人情報を含む情報がインターネット等により公にされている場合であって単にこれを閲覧した場合であっても、事業者は要配慮個人情報の取得について本人の同意を得る必要がありますか。
- A3-7
①郵便物の誤配など、事業者が求めていない要配慮個人情報が送られてきた場合であっても、事業者(受領側)に提供を「受ける」行為がないときは、要配慮個人情報を取得しているとは解釈されません。すなわち、事業者が手にすることとなった要配慮個人情報を直ちに返送したり、廃棄したりするなど、提供を「受ける」行為がないといえる場合には、要配慮個人情報を取得しているとは解釈されません。
また、②要配慮個人情報を含む情報がインターネット等により公にされている場合であって、単にこれを閲覧するにすぎず、転記等を行わない場合は、要配慮個人情報を取得しているとは解釈されません。
- (要配慮個人情報の取得)
- Q3-8
本人の話し方や振る舞いから要配慮個人情報を取得した場合も、外形上明らかな要配慮個人情報を取得する場合に該当しますか。
- A3-8
本人の素振りから外形上、障害や疾患が明らかであれば、要配慮個人情報の取得の例外に該当する場合があるものと考えられます。なお、障害や疾患の内容にもよりますが、いずれの場合においても、障害や疾患の事情が推知されるにすぎない場合は、そもそも要配慮個人情報に該当しません。
- (要配慮個人情報の取得)
- Q3-9
取引の過程で、相手方企業の代表者等に前科があることが判明した場合、当該代表者等の同意を得る必要がありますか。
- A3-9
犯罪の経歴(有罪の判決を受けこれが確定した事実)は要配慮個人情報に該当します。取引の過程で前科があることが判明した場合、当該情報が推知情報にとどまる場合は、要配慮個人情報には該当しないため、取得に際してあらかじめ本人の同意を得る必要はありません。
一方で、当該情報が確定情報である場合は、要配慮個人情報に該当するため、原則として、取得に際してあらかじめ本人の同意を得る必要があります。ただし、個別の事例ごとに判断することとなりますが、例えば、当該情報の取得が、「法令に基づく場合」(法第 17 条第2項第1号)、「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」(法第 17 条第2項第2号)等に該当する場合や、本人や報道機関等により公開されている場合(法第 17 条第2項第5号)は、取得に際してあらかじめ本人の同意を得る必要はありません。
- (利用目的の通知又は公表)
- Q3-10
住民基本台帳を閲覧して取得した個人情報を使ってダイレクトメールを送ることができますか。
- A3-10
現行の住民基本台帳の閲覧制度では、閲覧できる場合が一定の事項に限られ、また、閲覧した個人情報を第三者に提供することも禁止されています。したがって、ダイレクトメールの送付を目的として住民基本台帳を閲覧することはできません(住民基本台帳法第 11 条の2参照)。
ただし、住民基本台帳の閲覧制度の変更(平成 18 年 11 月1日改正住民基本台帳法施行)前に、ダイレクトメールの送付を目的としている旨を記載した上で、住民基本台帳を閲覧して取得した個人情報を用いてダイレクトメールを送付することは、個人情報保護法では禁止されていません。なお、この場合、個人情報を取得した際に、利用目的の通知又は公表を行っていることが必要です(法第 18 条第1項)。
- (利用目的の通知又は公表)
- Q3-10-2
飲食店を営んでいます。顧客から予約を受けるときに取得した個人情報を取り扱う際に、どんなことに注意すればよいですか。
- A3-10-2
事業者の規模にかかわらず、事業者が事業の用に供するために個人情報データベース等を取り扱っている場合、個人情報取扱事業者に相当するため、利用目的の通知又は公表が必要になります(法第 18 条第1項)。
また、個人情報取扱事業者が保有する個人データを第三者に提供するには、原則として本人の同意が必要になります(法第 23 条第1項)。
なお、電話番号等の連絡先等も、氏名等の特定の個人を識別できる情報と結びついて保存されている場合、個人情報に該当することになります。
(平成 30 年7月追加) - (利用目的の通知又は公表)
- Q3-10-3
PTA が学校から生徒等に関する個人情報を取得する場合、どういった点に注意すればよいですか。
- A3-10-3
PTA が名簿を作成しようとする場合、本人にその利用目的を通知・公表し、本人から取得した個人情報をその利用目的の範囲内で利用することが可能です。
なお、学校による個人情報の提供については、私立学校の場合には個人情報保護法が、国公立の学校の場合には、設立主体に応じて独立行政法人等個人情報保護法や自治体の条例が適用され、それらの規定に基づいて適切に取り扱うことが求められます。
(平成 30 年7月追加) - (利用目的の通知又は公表)
- Q3-11
市販の人名録を使ってダイレクトメールを送付したいのですが、その人名録の利用目的を当該ダイレクトメールに記載して送付したいと考えています。人名録を買ってどれくらいの期日までにダイレクトメールを送付すれば、法第 18 条第1項にいう「速やかに」に該当しますか。
- A3-11
全ての場合に通じるような一定の期日の定めはありません。「速やかに」とは、事情が許容する限りもっとも早期にという意味です。したがって、合理的な事情がない限り、取得後、可能な限り早期に通知する必要があります。
- (利用目的の通知又は公表)
- Q3-12
グループ企業全体の採用の応募受付をホームページで行っています。応募者には個人情報をグループ企業間において共同利用する旨をこのホームページに掲載していますが、利用目的については採用活動のためであることが明らかなため、特に明示しなくてもよいですか。
- A3-12
共同利用の目的が自明であるか否かを問わず、法第 23 条第5項第3号に基づいて、共同利用に関する事項を本人に通知し、又は本人が容易に知り得る状態に置いている必要があります。
- (利用目的の通知又は公表)
- Q3-12-2
名刺交換により取得した連絡先に対して、自社の広告宣伝のための冊子や電子メールを送ることはできますか。
- A3-12-2
個人情報取扱事業者の従業者であることを明らかにした上で名刺を交換した場合、相手側は名刺を渡した者が所属する個人情報取扱事業者から広告宣伝のための冊子や電子メールが送られてくることについて、一定の予測可能性があると考えられます。
この場合に、従業者が取得した名刺の連絡先に対して自社業務の広告宣伝のための冊子や電子メールを送ることは、「取得の状況からみて利用目的が明らかであると認められる場合」に該当すると解されます。業務時間外や、事業場外で名刺交換した場合であっても、個人情報取扱事業者の従業者であることを明らかにした上で名刺交換を行った場合は、同様に「取得の状況からみて利用目的が明らかであると認められる場合」に該当すると解されます。
現行の個人情報保護法では、個人情報取扱事業者は、保有個人データを法第16条の規定に違反して取り扱っている場合又は法第17条の規定に違反して取得した場合でなければ、当該保有個人データの利用の停止又は消去の請求に応じる義務はありませんが、顧客から寄せられた冊子や電子メールの送付の停止等の要求を苦情として扱った上で、適切かつ迅速に処理するよう努めなければならず(法第35条第1項)、令和2年改正法(未施行)において利用の停止又は消去の請求の要件が緩和されたことにより将来的には対応が必要になる場合があることも踏まえ、適切に利用停止又は消去の請求に応じることが望ましいと考えられます。
なお、個人情報取扱事業者が行う広告宣伝のための電子メールに関しては、個人情報保護法だけでなく、特定電子メールの送信の適正化等に関する法律(平成14年法律第26号)における受信拒否の通知を受けた場合の対応や、当該事業者が通信販売等をする場合には特定商取引に関する法律(昭和51年法律第57号)における規制など、他の法令の規定も遵守する必要があります。
(令和2年9月追加) - (直接書面等による取得)
- Q3-13
申込書やホームページ上のユーザー入力画面で連絡先を記入させる場合、当該連絡先の利用目的を明示する必要がありますか。また、具体的にどのような場合に取得の状況からみて利用目的が明らかで利用目的の明示が不要となりますか。
- A3-13
申込書等の書面(ホームページ上の入力画面を含む。)に本人が記入し、直接その本人から個人情報を取得する場合は、原則として利用目的の明示が必要です(法第 18 条第2項)。ただし、取得の状況からみて利用目的が明らかな場合は、例外的に利用目的の明示は不要です(同条第4項第4号)。
具体的には、次のような事例が考えられます。- 【取得の状況からみて利用目的が明らかであると認められる場合】
- ○ 申込書の記載により取得したメールアドレス情報等を申込内容の確認、履行の結果通知等の目的で利用する場合(ただし、新たなサービスの案内、提携先への提供等に利用することは自明の利用目的に該当しない場合があるので注意を要します。)
- ○懸賞付きアンケートによって取得した連絡先を、懸賞商品の抽選や懸賞商品に関する連絡・発送等のみに利用する場合
- (直接書面等による取得)
- Q3-14
私立学校、自治会・町内会、同窓会、PTA 等が本人から書面で提出を受けた個人情報を利用して名簿を作成し、配布する場合はどのようにすればよいですか。
- A3-14
私立学校、自治会・町内会、同窓会、PTA 等は本人に対し利用目的を明示した上で、個人情報を取得し、名簿を作成することが可能です。名簿を配布するなど、本人以外の者に個人データを提供する場合には、原則として、本人の同意を得る必要があります。
例えば、掲載されている全員に配布する名簿を作成し、クラス内で配布するなど利用目的及び提供先を明示し、同意の上で所定の用紙に個人情報を記入・提出してもらう方法などが考えられます。
※詳しくは、「会員名簿を作るときの注意事項
(https://www.ppc.go.jp/files/pdf/meibo_sakusei.pdf)」をご覧ください。
(平成 30 年7月追加)
1-4 個人データの管理(法第 19 条~第 22 条関係)
- (データ内容の正確性の確保等)
- Q4-1
A 事業のために個人データを取得した後、B 事業のために取得した個人データの内容から住所変更があった事実が判明した場合、A 事業についても住所変更を反映させることが可能ですか。
- A4-1
法第 19 条により、個人データを正確かつ最新の内容に保つよう努めなければならないとされていることから、住所変更の内容を反映させることは可能と考えられます。
ただし、A 事業と B 事業における個人情報の利用目的が異なる等、利用目的の達成に必要な範囲を超えて個人情報を取り扱うこととなる場合には、あらかじめ本人の同意が必要と考えられます。
- (データ内容の正確性の確保等)
- Q4-2
取得した個人情報は、いつ廃棄しなければなりませんか。
- A4-2
個人情報保護法では、個人情報の保存期間や廃棄すべき時期について規定していません。もっとも、個人情報取扱事業者は、その取扱いに係る個人データを利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければなりません(法第 19 条)。
- (データ内容の正確性の確保等)
- Q4-3
「遅滞なく消去する」とは、具体的にどのような期間で消去することを求めていますか。
- A4-3
「遅滞なく」が示す具体的な期間は、個人データの取扱状況等により異なり得ますが、業務の遂行上の必要性や引き続き当該個人データを保管した場合の影響等も勘案し、必要以上に長期にわたることのないようにする必要があると解されます。他方で、事業者のデータ管理のサイクル等、実務上の都合に配慮することは認められます。
- (データ内容の正確性の確保等)
- Q4-3-2
防犯カメラにおける顔画像や顔認証データなどの個人データの保有期間についてはどのように考えれば良いですか。
- A4-3-2
個人情報取扱事業者は法第 19 条に基づき個人データをその利用目的を達成する範囲内において保有することとされており、その保有期間については、利用する必要がある最小限の期間とする必要があります。
個人情報取扱事業者は、利用目的の達成に必要な範囲内において、保存期間の設定等を行う必要があります。顔画像や顔認証データなどの個人データについては、取得後6か月を超えて保有する等の場合には保有個人データに該当することとなります。
(平成 30 年 12 月追加) - (従業者の監督)
- Q4-4
法第 21 条で定められている「従業者の監督」の「従業者」には、派遣社員も含まれますか。
- A4-4
法第 21 条の「従業者」とは、個人情報取扱事業者の指揮監督を受けて業務に従事している者等をいい、事業者との雇用契約の有無を問いません。したがって、派遣社員であっても、派遣先事業者(個人情報取扱事業者)の指揮監督を受けてその業務に従事している限り、当該事業者の「従業者」に該当します。
- (従業者の監督)
- Q4-5
町内会やマンション管理組合等において、監督が必要となる「従業者」には、どのような者が該当しますか。
- A4-5
町内会やマンション管理組合等の形態や管理の実態にもよりますが、例えば、町内会やマンション管理組合の運営を担う理事等は、個人情報保護法における「従業者」に該当するものと考えられます。
- (従業者の監督)
- Q4-6
従業者に対する監督の一環として、個人データを取り扱う従業者を対象とするビデオやオンライン等による監視(モニタリング)を実施する際の留意点について教えてください。
- A4-6
個人データの取扱いに関する従業者の監督、その他安全管理措置の一環として従業者を対象とするビデオ及びオンラインによるモニタリングを実施する場合は、次のような点に留意することが考えられます。なお、モニタリングに関して、個人情報の取扱いに係る重要事項等を定めるときは、あらかじめ労働組合等に通知し必要に応じて協議を行うことが望ましく、また、その重要事項等を定めたときは、従業者に周知することが望ましいと考えられます。
- ○ モニタリングの目的をあらかじめ特定した上で、社内規程等に定め、従業者に明示すること
- ○モニタリングの実施に関する責任者及びその権限を定めること
- ○ あらかじめモニタリングの実施に関するルールを策定し、その内容を運用者に徹底すること
- ○ モニタリングがあらかじめ定めたルールに従って適正に行われているか、確認を行うこと
- (委託先の監督)
- Q4-7
「委託契約の締結」に関して、実態として安全管理措置に係る委託元と委託先の合意が担保できるものであれば、「業務委託契約書の取交し」以外の態様(例えば、委託先から委託元への誓約書の差入れや、覚書や合意書などの取交し)も認められますか。
- A4-7
委託元・委託先の双方が安全管理措置の内容について合意をすれば法的効果が発生しますので、当該措置の内容に関する委託元・委託先間の合意内容を客観的に明確化できる手段であれば、書式の類型を問いません。
- (委託先の監督)
- Q4-8
「委託先における個人データ取扱状況の把握」に関して、委託元が委託先に立入検査等を行うことは義務ですか。
- A4-8
法第 22 条に基づく委託先の監督の一環として、委託先における個人データの取扱状況を把握することが必要であり、その手段として、必要に応じて個人データを取り扱う場所に赴くことも考えられますが、これが義務付けられているわけではなく、取扱いを委託する個人データの内容や規模に応じて適切な方法(口頭による確認も含む。)を講じれば足りるものと考えられます。
- (委託先の監督)
- Q4-9
委託元が、法第 20 条が求める水準を超える高い水準の安全管理措置を講じている場合、委託先は、これと同等の水準の措置を講じる必要がありますか。
- A4-9
委託元が法第 20 条が求める水準を超える高い水準の措置を講じている場合に、委託先はこれと同等の措置を講じることまで法により義務付けられるわけではなく、法 律上は、委託先は法第 20 条が求める水準の安全管理措置を講じれば足りると解されます。
- (委託先の監督)
- Q4-10
外部事業者に定型的業務を委託する場合、必ず、当該外部事業者が用意している約款等に加えて、自己の社内内規を遵守するよう求める覚書を追加的に締結する等の対応が必要となりますか。
- A4-10
個人データの取扱いを委託する場合の委託先の監督については、取扱いを委託する個人データの内容を踏まえ、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、委託する事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)などに起因するリスクに応じて行うべきものと考えられます。当該約款等を吟味した結果、当該約款等を遵守することにより当該個人データの安全管理が図られると判断される場合には、当該定型的業務を委託することについて必ずしも追加的に覚書を締結する必要まではないと考えられます。
- (委託先の監督)
- Q4-11
個人データの取扱いを委託する場合、委託元は委託先に対して、当該委託業務に従事する委託先の従業員から守秘義務等に係る誓約書を取得することが義務付けられていますか。また、委託先の従業員等の個人情報の提出を求めることはできますか。
- A4-11
個人データの取扱いの委託に当たり、委託先の監督の一環として、委託先の従業員等から守秘義務等に係る誓約書を取得したり、委託先の従業員等の個人情報の提出を求めたりすることも、その手法の一つと考えられますが、これが義務付けられるわけではありません。なお、委託元は、委託先からその従業員等の個人情報又は個人データの提供を受ける場合には、これに伴い必要となる個人情報保護法上の義務(利用目的の通知又は公表等)を果たす必要があります。
1-5 個人データの第三者への提供(法第 23 条~第 26 条関係)
- (第三者提供の制限の原則)
- Q5-1
「第三者」とはどのような者をいうのですか。
- A5-1
「第三者」とは、一般に①当該個人データによって特定される本人、②当該個人データを提供しようとする個人情報取扱事業者以外の者をいい、自然人、法人その他の団体を問いません。
なお、第三者提供の制限(法第 23 条)、外国にある第三者への提供の制限(法第 24 条)、確認・記録義務(法第 25 条及び第 26 条)の各条において、①及び②に加えて「第三者」から除外される者が規定されていますので、各ガイドラインの「第三者」に係る記載を確認してください。
- ガイドライン(通則編)3-4-3
- ガイドライン(外国にある第三者への提供編)2-2、3
- ガイドライン(第三者提供時の確認・記録義務編)2-1-3
- (第三者提供の制限の原則)
- Q5-2
会社の他の部署へ個人データを提供する場合、あらかじめ本人の同意を得る必要はありますか。
- A5-2
同一事業者内での個人データの提供は、「第三者提供」には該当しないため、第三者提供に関する本人の同意は必要ありません。ただし、他の部署によって、当初特定した利用目的の達成に必要な範囲を超えて個人情報が利用される場合には、あらかじめ、目的外利用に関する本人の同意を得る必要があります(法第 16 条第1項)。
- (第三者提供の制限の原則)
- Q5-3
当社の提携会社や協力会社から、当社の従業者にお中元を贈りたいとの理由で、当該従業者の連絡先を教えてほしいと言われた場合に、提携会社や協力会社に当該従業者の連絡先を提供してもよいですか。
- A5-3
提携会社や協力会社に従業者の個人情報を提供することは第三者提供に該当しますので、あらかじめ従業者本人から同意を得ておくなどの措置が必要となります。
- (第三者提供の制限の原則)
- Q5-4
ある大学から当社に対して、当社に勤務する当該大学の卒業生の名簿(氏名・卒業年度・所属部署)の提出を求められました。これは第三者提供に該当しますか。従業者数が多いので同意の取りようがないのですが、具体的に何をすればよいですか。
- A5-4
第三者提供に該当しますので、本人の同意が必要になります。例えば、該当する従業者に対しメール等でその旨を通知し、同意を得られた従業者のみを名簿にして提出するなどの方法が考えられます。
- (第三者提供の制限の原則)
- Q5-5
デパートの中で、迷子になった幼少児の名前をアナウンスしても問題はありませんか。
- A5-5
一般的に、幼少児の個人情報を第三者提供するために必要な同意は親権者から得る必要がありますが、迷子になった幼少児の保護者を探して当該幼少児の安全を確保する必要がある場合は、その名前をアナウンスすることができるものと解されます(法第23 条第1項第2号)。
- (第三者提供の制限の原則)
- Q5-6
「あらかじめ」とは、具体的にはいつまでに同意を得る必要がありますか。
- A5-6
当該個人データが第三者へ提供される時点より前までに同意を得る必要があります。
- (第三者提供の制限の原則)
- Q5-7
本人から個人情報を取得する際に、同時に第三者提供についての同意を得ることはできるのですか。
- A5-7
法文上、「あらかじめ」と規定されていますが(法第 16 条第1項、法第 23 条第1項)、その具体的な時期については限定されていません。したがって、個人情報を取得する際に、同時に、第三者提供をすることについての同意を得ることも可能です。
- (第三者提供の制限の原則)
- Q5-8
本人の同意は、個人データの第三者提供に当たってその都度得る必要があるのですか。
- A5-8
必ずしも第三者提供のたびに同意を得なければならないわけではありません。例えば、個人情報の取得時に、その時点で予測される個人データの第三者提供について、包括的に同意を得ておくことも可能です。
- (第三者提供の制限の原則)
- Q5-9
第三者提供の同意を得るに当たり、提供先の氏名又は名称を本人に明示する必要はありますか。
- A5-9
提供先を個別に明示することまでが求められるわけではありません。もっとも、想定される提供先の範囲や属性を示すことは望ましいと考えられます。
- (第三者提供の制限の原則)
- Q5-10
介護施設の入居者の家族から、当該入居者に関する情報の提供の依頼があった場合、提供してもよいですか。
- A5-10
個人データを第三者に提供する際には、原則としてあらかじめ本人の同意を得る必要がありますが、人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であると認められる場合は、本人の同意を得ずに提供することができます(法第 23 条第1項第2号)。したがって、当該入居者の生命、身体又は財産の保護のために必要があり、当該入居者の同意を得ることが困難である場合は、当該入居者の同意を得ずにその情報を家族に提供することができると解されます。
- (第三者提供の制限の原則)
- Q5-11
会社の行事で撮影された写真などを、当社内で展示する場合、写真に写っている本人からあらかじめ同意を得る必要がありますか。
- A5-11
一般的に、本人を判別可能な写真の画像は個人情報には該当しますが、個人データ(個人情報データベース等を構成する個人情報)ではないと解されるため、あらかじめ本人の同意を得ずに展示等を行っても、法第 23 条第1項に違反するおそれはないと解されますが、利用目的を通知又は公表することは必要です(法第 18 条第1項)。
なお、プライバシーの権利や肖像権の侵害に当たる場合もあるため、例えば展示期間を限定したり、不特定多数の者への提供に際しては自主的に本人の同意を得る等の取組が望ましいと考えられます。
- (第三者提供の制限の原則)
- Q5-12
第三者から、当社を退職した従業者に関する在籍確認や勤務状況等について問合せを受けていますが、当該問合せに答えることはできますか。
- A5-12
退職した従業者に関する在籍状況や勤務状況等が個人データ(個人情報データベース等を構成する個人情報)になっている場合、問合せに答えることは個人データの第三者提供に該当し、本人の同意がある場合や第三者提供制限の例外事由に該当する場合を除いて、第三者に提供することはできません。
- (第三者提供の制限の原則)
- Q5-13
企業の代表者情報等の公開情報を第三者提供する際に、本人の同意が必要ですか。
- A5-13
個人データを第三者に提供する際には、あらかじめ本人の同意を得る必要がありますが(法第 23 条第1項)、例えば、ある企業の代表取締役の氏名が当該会社のホームページで公開されていて、当該本人の役職(代表取締役)及び氏名のみを第三者に伝える場合等、提供する個人データの項目や提供の態様によっては、本人の同意があると事実上推認してよい場合もあると解されます。
- (第三者提供の制限の原則)
- Q5-14
第三者提供の例外規定のひとつである「法令に基づく場合」であれば、必ず個人データを提供しなければなりませんか。
- A5-14
「他の法令により個人情報を第三者へ提供することを義務付けられている場合」には、当該法令に基づき個人データを提供しなければならないと解されます。
一方、「他の法令に、個人情報を第三者に提供することについて具体的根拠が示されてはいるが、提供すること自体は義務付けられていない場合」には、必ず個人情報を提供しなければならないわけではなく、当該法令の趣旨に照らし、第三者提供の必要性と合理性が認められることを確認した上で対応することが、個人情報保護法の趣旨に沿うと解されます。
- (第三者提供の制限の原則)
- Q5-15
株主より株主名簿の閲覧を求められた場合、株主名簿を開示することは第三者提供に該当するため、全株主の同意がない限り、当該閲覧請求を拒否できますか。
- A5-15
会社法において、株主には株主名簿の閲覧請求権が認められているため(会社法第 125 条第2項)、会社法に基づく適法な閲覧請求に応じることは、法第 23 条第1項第1号に規定する「法令に基づく場合」に該当します。したがって、全株主の同意がないことは、個人情報保護法上、閲覧請求を拒否する理由にはならないものと解されます。
- (第三者提供の制限の原則)
- Q5-16
弁護士法第 23 条の2に基づき、当社の従業者の情報について弁護士会から照会があった場合、当該従業者の同意を得ずに弁護士会に当該従業者情報を提供してもよいですか。
- A5-16
弁護士法第 23 条の2に基づく弁護士会からの照会に対する回答は、「法令に基づく場合」(法第 23 条第1項第1号)に該当するため、照会に応じて提供する際に本人の同意を得る必要はありません。
- (第三者提供の制限の原則)
- Q5-17
刑事訴訟法第 197 条第2項に基づき、警察から顧客に関する情報について照会があった場合、顧客本人の同意を得ずに回答してもよいですか。同法第507 条に基づき、検察官から裁判の執行に関する照会があった場合はどうですか。
- A5-17
警察や検察等の捜査機関からの照会(刑事訴訟法第 197 条第2項)や、検察官及び裁判官等からの裁判の執行に関する照会(同法第 507 条)に対する回答は、「法令に基づく場合」(法第 23 条第1項第1号)に該当するため、これらの照会に応じて個人情報を提供する際に本人の同意を得る必要はありません。要配慮個人情報を提供する際も同様です。
なお、これらの照会は、いずれも、捜査や裁判の執行に必要な場合に行われるもので、相手方に回答すべき義務を課すものと解されており、また、上記照会により求められた顧客情報を本人の同意なく回答することが民法上の不法行為を構成することは、通常考えにくいため、これらの照会には、一般に回答をすべきであると考えられます。ただし、本人との間の争いを防止するために、照会に応じ警察等に対し顧客情報を提供する場合には、当該情報提供を求めた捜査官等の役職、氏名を確認するとともに、その求めに応じ提供したことを後日説明できるようにしておくことが必要と考えられます。
- (第三者提供の制限の原則)
- Q5-18
株主総会開催の際、管轄の警察署に会場の警備を依頼しています。それに伴い、要注意株主のリスト(氏名、住所、持株数等)の提出を警察署から求められた場合、個人情報保護法との関係では、本人の同意なく提供することができますか。
- A5-18
提供することができます。法第 16 条第3項第1号、第2号又は第4号、法第 23条第1項第1号、第2号又は第4号に該当すると考えられます。
- (第三者提供の制限の原則)
- Q5-19
過去に販売した製品に不具合が発生したため、製造会社で当該製品を回収することになりました。販売会社を通じて購入者情報を提供してもらい、製造会社から購入者に連絡を取りたいのですが、購入者数が膨大なため、販売会社が購入者全員から第三者提供についての同意を得るのは困難です。さらに、製品の不具合による人命に関わる事故が発生するおそれもあるため、製品を至急回収したいのですが、このような場合でも購入者全員の同意を得なければならないですか。
- A5-19
製品の不具合が重大な事故を引き起こす危険性がある場合で、購入者に緊急に連絡を取る必要があるが、購入者が膨大で、購入者全員から同意を得るための時間的余裕もないときは、販売会社から購入者の情報を提供することは、法第 23 条第1項第2号で規定する「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」に該当すると考えられるため、購入者本人の同意を得る必要はないと解されます。
- (第三者提供の制限の原則)
- Q5-20
民生委員・児童委員をしていますが、市町村や民間の事業者から、活動に必要な個人情報の提供を受けられず苦慮しています。提供を受けることは可能ですか。
- A5-20
民生委員・児童委員は、福祉事務所などの協力機関として職務を行うものとされ ており、活動の円滑な実施のためには、個人情報の適切な提供を受ける必要があります。 民生委員・児童委員には、民生委員法等において守秘義務が課せられていることも踏まえ、各主体から、その活動に必要な個人情報が適切に提供されることが望ましいと考えられ ます。
民生委員・児童委員は特別職の地方公務員と整理されているため、当該民生委員等への個人データの提供が法令に基づく場合や、当該民生委員等が法令の定める事務を遂行することに対して協力する必要があり、本人の同意を得ることで当該事務の遂行に支障を及ぼすおそれがある場合は、本人の同意を得ることなく当該個人データを提供することができると解されます(法第 23 条第1項第1号及び第4号)。したがって、これらの場合、民生委員等は本人の同意を得ることなく、個人データの提供を受けることは可能と考えられます。
また、地方公共団体の保有する個人情報については、それぞれの条例に基づいて提供が行われることとなります。
(平成 30 年7月更新) - (第三者提供の制限の原則)
- Q5-20-2
大規模災害等の緊急時に、被災者情報・負傷者情報等の個人情報を関係者で共有する場合、本人の同意なく共有することができますか。
- A5-20-2
個人データを第三者に提供する際には原則本人の同意が必要ですが、「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」は本人の同意は不要となっています(法第 23 条第1項第2号)。したがって、大規模災害等の緊急時に、人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるときには自治会等の個人情報取扱事業者が保有する個人データを本人の同意なく関係者等に提供することは可能と解されます。
(平成 30 年7月追加) - (第三者提供の制限の原則)
- Q5-20-3
地震等の災害時に支援が必要な高齢者、障害者等のリストを災害時に備えて関係者間で共有することは可能ですか。
- A5-20-3
災害対策基本法では、市町村長は、避難行動要支援者(※)について、避難支援等を実施するための基礎となる名簿(避難行動要支援者名簿)を作成することが義務付けられています。
この名簿は、災害の発生に備え、避難支援等の実施に必要な限度で、原則本人の同意を取得した上で関係者に提供するものとされています(ただし、各市町村の条例に特別の定めがある場合は、本人の同意を得ずに関係者で共有することができます。)。
また、災害発生時又は災害発生のおそれがある場合で特に必要があると認めるときは、避難支援等の実施に必要な限度で、本人の同意を得ずに関係者で共有することができます。
なお、災害対策基本法には、名簿を提供する際に避難行動要支援者や第三者の権利利益を保護するために必要な措置を講じるよう努めることや、提供を受けた場合の秘密保持義務なども規定されています。
※ 「避難行動要支援者」とは、当該市町村に居住する、高齢者、障害者、乳幼児その他の特に配慮を要する者のうち、災害が発生し、又は災害が発生するおそれがある場合に自ら避難することが困難な者であって、その円滑かつ迅速な避難の確保を図るため特に支援を要するものとされています。
(平成 30 年7月追加) - (第三者提供の制限の原則)
- Q5-20-4
自社の従業者が指定感染症に罹患したため、当該従業者が感染可能期間中に訪問した取引先が適切な対応策を取ることができるよう、情報提供することを考えています。当該従業者は現在入院しており、取引先への第三者提供に係る同意を取得することが困難ですが、同意を取得せずに情報提供することはできますか。
- A5-20-4
個人データを第三者に提供する際には原則本人の同意が必要ですが(法第23条第1項本文)、「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」(法第23条第1項第2号)や、「公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき」(同項第3号)は、本人の同意は不要です。
したがって、取引先での2次感染の発生による取引先の従業者等の生命若しくは身体への危険を防止するために必要がある場合、当該取引先における感染拡大に伴う事業活動の停止等への危険を防止するために必要がある場合、又は公衆衛生の向上のため特に必要がある場合であって、自社の従業者本人の同意を取得することが困難なときは、当該従業者本人の個人データを本人の同意なく取引先に対して提供することができると考えられます。
(令和2年9月追加) - (第三者提供の制限の原則)
- Q5-20-5
医療機関が、以前治療を行った患者の臨床症例を、症例研究のために、他の医療機関へ提供することを考えています。本人の転居により有効な連絡先を保有しておらず、本人の同意を得ることが困難なのですが、本人同意なしに提供することは可能ですか。
- A5-20-5
個人情報取扱事業者は、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはなりせんが、公衆衛生の向上のために特に必要がある場合であって、本人の同意を得ることが困難であるときには、あらかじめ本人の同意を得ない で、個人データを第三者へ提供することが許容されています(法第23 条第1 項第3号)。
医療機関は、あらかじめ患者の同意を得ないで、当該患者の個人データを第三者である他の医療機関へ提供することはできません。
しかし、一般に、医療機関における臨床症例を、他の医療機関に提供し、当該他の医療機関における症例研究や診断・治療等の医療技術の向上のために利用することは、当該他の医療機関を受診する不特定多数の患者に対してより優れた医療サービスを提供できるようになること等により、公衆衛生の向上に特に資するものであると考えられます。
また、医療機関が、本人の転居により有効な連絡先を保有していない等の場合には、「本人の同意を得ることが困難であるとき」に該当するものと考えられます。
したがって、医療機関が以前治療を行った患者の臨床症例に係る個人データを、症例研究のために他の医療機関へ提供する場合であって、本人の転居により有効な連絡先を保有しておらず本人からの同意取得が困難であるときには、同号の規定によりこれを行うことが許容されると考えられます。
なお、当該他の医療機関においては、提供を受けた際に特定された利用目的の範囲内で個人データを取り扱う必要があり、症例研究のためという利用目的の達成に必要な範囲を超えて、提供を受けた個人データを取り扱うことは原則できません。また、法第 23 条第 1 項第 3 号の規定において個人データを提供できるのは「特に必要がある場合」とされていることからも、当該医療機関が提供する個人データは、利用目的の達成に照らして真に必要な範囲に限定することが必要です。具体的には、利用目的の達成には不要と考えられる氏名、生年月日等の情報は削除又は置換した上で、必要最小限の情報提供とすることなどが考えられます。
この外、提供元及び提供先の医療機関には、倫理審査委員会の関与、研究対象者が拒否できる機会の保障、研究結果の公表等について規定する医学系研究等に関する指針や、関係法令の遵守が求められていることにも、留意が必要です。
(令和3年6月追加) - (第三者提供の制限の原則)
- Q5-20-6
医療機関が保有する患者の臨床症例について、有効な治療方法や薬剤が十分にない疾病等に関する疾病メカニズムの解明を目的とした研究のために、製薬企業へ提供することを考えています。本人の転居により有効な連絡先を保有しておらず、本人の同意を得ることが困難なのですが、本人同意なしに提供することは可能ですか。
- A5-20-6
個人情報取扱事業者は、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはなりせんが、公衆衛生の向上のために特に必要がある場合であって、本人の同意を得ることが困難であるときには、あらかじめ本人の同意を得ないで、個人データを第三者へ提供することが許容されています(法第23 条第 1 項第 3号)。
医療機関は、あらかじめ患者の同意を得ないで、当該患者の個人データを第三者である製薬企業へ提供することはできません。
しかし、一般に、製薬企業が行う有効な治療方法や薬剤が十分にない疾病等に関する疾病メカニズムの解明、創薬標的探索、バイオマーカー同定、新たな診断・治療方法の探求等の研究は、その結果が広く共有・活用されていくことで、医学、薬学等の発展や医療水準の向上に寄与し、公衆衛生の向上に特に資するものと考えられます。
また、医療機関が、本人の転居により有効な連絡先を保有していない等の場合には、「本人の同意を得ることが困難であるとき」に該当するものと考えられます。
したがって、医療機関が保有する患者の臨床症例に係る個人データを、有効な治療方法や薬剤が十分にない疾病等に関する疾病メカニズムの解明を目的とした研究のために製薬企業に提供する場合であって、本人の転居により有効な連絡先を保有しておらず本人からの同意取得が困難であるときには、同号の規定によりこれを行うことが許容されると考えられます。
なお、当該製薬企業においては、提供を受けた際に特定された利用目的の範囲内で個人データを取り扱う必要があり、上記研究のためという利用目的の達成に必要な範囲を超えて、提供を受けた個人データを取り扱うことは原則できません。また、法第23 条第 1 項第 3 号の規定 において個人データを提供できるのは「特に必要がある場合」とされていることからも、当該医療機関が提供する個人データは、利用目的の達成に照らして真に必要な範囲に限定することが必要です。具体的には、利用目的の達成には不要と考えられる氏名、生年月日等の情報は削除又は置換した上で、必要最小限の情報提供とすることなどが考えられます 。
この外、医療機関及び製薬企業には、倫理審査委員会の関与、研究対象者が拒否できる機会の保障、研究結果の公表等について規定する医学系研究等に関する指針や、関係法令の遵守が求められていることにも、留意が必要です。
(令和3年6月追加) - (オプトアウトによる第三者提供)
- Q5-21
ホームページに継続的に掲載すれば、法第 23 条第2項の「本人が容易に知り得る状態」に該当しますか。
- A5-21
「本人が容易に知り得る状態」とは、本人が知ろうとすれば、時間的にも、その手段においても、簡単に知ることができる状態をいい、事業の性質及び個人情報の取扱状況に応じ、本人が確実に認識できる適切かつ合理的な方法によらなければなりません。
例えば、本人が閲覧することが合理的に予測される個人情報取扱事業者のホームページにおいて、本人が分かりやすい場所(例:ホームページのトップページから1回程度の操作で到達できる場所等)に法に定められた事項を分かりやすく継続的に掲載しておくことで、通常は、「本人が容易に知り得る状態」になり得ると考えられます。
- (オプトアウトによる第三者提供)
- Q5-22
サービスの提供の申込の際に、申込者から申込書・約款等で包括的に同意を得ながらも、事後的に当該同意の撤回を申し出ることができるようにしています。この場合、法第 23 条第2項・第3項に規定する手続に則る必要がありますか。
- A5-22
第三者提供について法第 23 条第1項に基づく本人の同意を得ている場合には、法第 23 条第2項・第3項の義務は適用されないため、同項に規定する手続に則る必要はありません。
- (オプトアウトによる第三者提供)
- Q5-23
「本人・・・が当該提供の停止を求めるのに必要な期間をおくこと」(施行規則第7条第1項第1号)の「必要な期間」とは、いつから起算しますか。また、満了点はいつですか。
- A5-23
「必要な期間」は、個人情報取扱事業者が法第 23 条第2項に基づき、本人に通知し、又は本人が容易に知り得る状態に置いた時点から起算します。また、この「必要な期間」の満了点は、オプトアウトによる第三者提供を行う前である必要があります。
- (オプトアウトによる第三者提供)
- Q5-24
法第 23 条第2項各号に係る事項をインターネットで「本人が容易に知り得る状態」に置いている場合、個人情報保護委員会への届出をした後、改めて、施行規則第 10 条に基づき、公表しなければなりませんか。
- A5-24
個人情報取扱事業者が、法第 23 条第2項各号に係る事項をインターネットで「本人が容易に知り得る状態」に置いている場合には、実質的に施行規則第 10 条を履行しているものと考えられますので、別途、公表をする必要はありません。
- (第三者に該当しない場合)
- Q5-25
ダイレクトメールの発送業務を業者に委託する場合、ダイレクトメールの発送業務の委託に伴い、ダイレクトメールの送付先である顧客の氏名や住所等を本人の同意なくこの業者に伝えることはできますか。
- A5-25
個人情報取扱事業者が、その利用目的の達成に必要な範囲内において、ダイレクトメールの発送業務を業者に「委託」(法第 23 条第5項第1号)する場合には、顧客の氏名や住所等をダイレクトメールの発送業者に伝えても第三者提供の制限に違反することにはなりません。ただし、委託者は、委託先を監督する義務があります(法第 22 条)。
- (第三者に該当しない場合)
- Q5-26
配送事業者、通信事業者等の外部事業者を利用して、個人データを含むものを送る場合は、当該外部事業者に対して当該個人データの取扱いを委託(法第 23 条第5項第1号)しているものと考えられますか。
- A5-26
一般的に、外部事業者を利用して、個人情報データベース等に含まれる相手の氏名、住所等宛に荷物等を送付する行為は、委託に該当すると解されます。
ただし、配送事業者を利用する場合、通常、当該配送事業者は配送を依頼された中身の詳細については関知しないことから、当該配送事業者との間で特に中身の個人データの取扱いについて合意があった場合等を除き、当該個人データに関しては取扱いの委託をしているものではないものと解されます。
また、通信事業者による通信手段を利用する場合も、当該通信事業者は、通常、通信手段を提供しているにすぎず、通信を依頼された中身の詳細について関知するものでないことから、同様に通信の対象である個人データについてはその取扱いを委託しているものではないものと解されます。
なお、いずれの場合も、外部事業者を利用する個人情報取扱事業者には、安全管理措置を講ずる義務が課せられているため、中身の個人データが漏えい等しないよう、適切な外部事業者の選択、安全な配送方法の指定等の措置を講ずる必要があります。
- (第三者に該当しない場合)
- Q5-26-2
ガイドライン(通則編)3-4-3の「(1)委託(法第 23 条第5項第1号関係)」に、個人情報保護法上委託に該当しない場合として記載されている「委託された業務以外に当該個人データを取扱う」事例としては、どのようなものがありますか。
- A5-26-2
次のような事例が考えられます。
- 事例1)個人情報取扱事業者から個人データの取扱いの委託を受けている者が、提供された個人データを委託の内容と関係のない自社の営業活動等のために利用する場合
- 事例2)複数の個人情報取扱事業者から個人データの取扱いの委託を受けている者が、各個人情報取扱事業者から提供された個人データを区別せずに混ぜて取り扱っている場合
(平成 30 年 12 月追加) - (第三者に該当しない場合)
- Q5-27
当社の事業の一部を他社に承継する場合において、利用目的の一部が当社に残るときは、当社に個人データを残して利用することはできますか。
- A5-27
個人データを残して利用することができると考えられます。
- (第三者に該当しない場合)
- Q5-28
「共同して利用する者の範囲」として、「必ずしも事業者の名称等を個別に全て列挙する必要はないが、本人がどの事業者まで利用されるか判断できるようにしなければならない」とのことですが、具体的にはどのような方法が考えられますか。
- A5-28
個別具体的に判断されるものですが、例えば、「当社の子会社及び関連会社」といった表記の場合、当該子会社及び関連会社の全てがホームページ上で公表されている場合等が考えられます。
- (第三者に該当しない場合)
- Q5-29
共同利用する際に「あらかじめ」本人への通知又は本人が知り得る状態に置く必要がありますが、「あらかじめ」とはいつまでですか。
- A5-29
個人データの共同利用が開始される前を意味します。
- (第三者に該当しない場合)
- Q5-30
複数の企業でセミナーを共催して、申込受付やアンケートを共同で実施する場合等、個人情報を数社が共同で取得する際には、どのようにすればよいですか。
- A5-30
申込受付やアンケートの形式上、共催する各社が、それぞれ個人情報を取得することが分かるようにする方法があります。この場合には、各社ごとに、利用目的をあらかじめ明示する必要があります(法第 18 条第2項)。
また、申込受付やアンケートの形式上、幹事会社だけが取得する場合で、その後、個人データとして幹事会社から共催各社に提供するのであれば、原則として、本人の同意を取得する必要があります(法第 23 条第1項)。
その他、共同利用の要件(法第 23 条第5項第3号)を満たせば、共同利用とすることも可能です。
- (第三者に該当しない場合)
- Q5-31
共同して利用している個人データの内容(本人の住所等)の一部について、共同利用者が各自で更新することはできますか。
- A5-31
共同利用者が各自で更新することは可能ですが、これに伴い、各共同利用者が利用する個人データの内容に相違が生ずる可能性があるため、責任を有する者は、個人データを正確かつ最新の内容に保つよう努めることが必要です。
- (第三者に該当しない場合)
- Q5-32
各共同利用者を「責任を有する者」とし、それぞれが開示等の請求等や苦情を受け付けることとすることはできますか。
- A5-32
可能ですが、法第 23 条第5項第3号の規定に基づき、各共同利用者を「責任を有する者」としていることが明確にされていることが必要です。
- (第三者に該当しない場合)
- Q5-32-2
防犯目的のために取得したカメラ画像・顔認証データ等について、防犯目的の達成に照らして真に必要な範囲内で共同利用をすることは可能ですか。その場合には、どのような点に注意する必要がありますか。
- A5-32-2
一般に個人データを共同利用しようとする場合には、法第 23 条第5項に基づき、①共同利用をする旨、②共同して利用される個人データの項目、③共同して利用する者の範囲、④利用する者の利用目的及び⑤当該個人データの管理について責任を有する者の氏名又は名称をあらかじめ本人に通知又は容易に知りうる状態に置く必要があります。
防犯目的のために取得したカメラ画像・顔認証データを共同利用しようとする場合に は、共同利用されるカメラ画像・顔認証データ、共同利用する者の範囲を目的の達成に照らして真に必要な範囲に限定することが適切であると考えられます。防犯目的の達成に 照らし、共同利用される個人データを必要な範囲に限定することを確保する観点からは、例えば共同利用するデータベースへの登録条件を整備して犯罪行為や迷惑行為に関わら ない者の情報については登録・共有しないことが必要です。
また、共同利用は、本人から見て、当該個人データを提供する事業者と一体のものとして取り扱われることに合理性がある範囲で当該個人データを共同して利用することを認める制度です。このため、共同利用する者の範囲は本人がどの事業者まで現在あるいは将来利用されるか判断できる程度に明確にする必要があります。
さらに、個人データの開示等の請求及び苦情を受け付けその処理に尽力するとともに個人データの内容等について開示、訂正、利用停止等の権限を有し安全管理等個人データの管理について責任を有する管理責任者を明確に定めて必要な対応を行うことが求められます。
(平成 30 年 12 月追加) - (第三者に該当しない場合)
- Q5-32-3
過去に取得した個人データを特定の事業者との間で共同利用することは可能ですか。
- A5-32-3
一般に、個人データを共同して利用する場合には、①共同利用をする旨、② 共同して利用される個人データの項目、③共同して利用する者の範囲、④利用する者の利用目的及び⑤当該個人データの管理について責任を有する者の氏名又は名称について、個人データの共同利用を開始する前に、本人に対して通知するか、本人が容易に知り得る状態に置く必要があります(ガイドライン(通則編)3-4-3(3)参照)。これに加えて、既に事業者が取得している個人データについて共同利用を検討する際には、当該個人データの内容や性質等に応じて共同利用の是非を判断した上で、当該個人データを取得する際に当該事業者が法第 15 条第1項の規定により特定した利用目的の範囲内であることを確認する必要があります。
(平成 30 年 12 月追加) - (第三者に該当しない場合)
- Q5-32-4
既に特定の事業者が取得している個人データを他の事業者と共同して利用する場合について、「社会通念上、共同して利用する者の範囲や利用目的等が当該個人データの本人が通常予期しうると客観的に認められる範囲内」に含まれる場合とは、どのような場合ですか。
- A5-32-4
取得の際に通知・公表している利用目的の内容や取得の経緯等にかんがみて、既に特定の事業者が取得している個人データを他の事業者と共同して利用すること、共同して利用する者の範囲、利用する者の利用目的等が、当該個人データの本人が通常予期しうると客観的に認められるような場合をいいます。
(平成 30 年 12 月追加) - (第三者に該当しない場合)
- Q5-33
個人情報取扱事業者が、個人データを含む電子データを取り扱う情報システムに関して、クラウドサービス契約のように外部の事業者を活用している場合、個人データを第三者に提供したものとして、「本人の同意」(法第 23 条第1項柱書)を得る必要がありますか。または、「個人データの取扱いの全部又は一部を委託」(法第 23 条第5項第1号)しているものとして、法第 22条に基づきクラウドサービス事業者を監督する必要がありますか。
- A5-33
クラウドサービスには多種多様な形態がありますが、クラウドサービスの利用が、本人の同意が必要な第三者提供(法第 23 条第1項)又は委託(法第 23 条第5項第1 号)に該当するかどうかは、保存している電子データに個人データが含まれているかどうかではなく、クラウドサービスを提供する事業者において個人データを取り扱うこととなっているのかどうかが判断の基準となります。
当該クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合には、当該個人情報取扱事業者は個人データを提供したことにはならないため、「本人の同意」を得る必要はありません。
また、上述の場合は、個人データを提供したことにならないため、「個人データの取扱いの全部又は一部を委託することに伴って・・・提供される場合」(法第 23 条第5項第1号)にも該当せず、法第 22 条に基づきクラウドサービス事業者を監督する義務はありません。
当該クラウドサービス提供事業者が当該個人データを取り扱わないこととなっている場合の個人情報取扱事業者の安全管理措置の考え方についてはQ5-34 参照。
当該クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合とは、契約条項によって当該外部事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられます。なお、法第 24 条との関係についてはQ9-5参照。
- (第三者に該当しない場合)
- Q5-34
クラウドサービスの利用が、法第 23 条の「提供」に該当しない場合、クラウドサービスを利用する事業者は、クラウドサービスを提供する事業者に対して監督を行う義務は課されないと考えてよいですか。
- A5-34
クラウドサービスの利用が、法第 23 条の「提供」に該当しない場合、法第 22 条に基づく委託先の監督義務は課されませんが(Q5-33 参照)、クラウドサービスを利用する事業者は、自ら果たすべき安全管理措置の一環として、適切な安全管理措置を講じる必要があります。
- (第三者に該当しない場合)
- Q5-35
個人データを含む電子データを取り扱う情報システム(機器を含む。)の保守の全部又は一部に外部の事業者を活用している場合、個人データを第三者に提供したものとして、「本人の同意」(法第23条第1項柱書)を得る必要がありますか。または、「個人データの取扱いの全部又は一部を委託することに伴って・・・提供」(法第23条第5項第1号)しているものとして、法第22条に基づき当該事業者を監督する必要がありますか。
- A5-35
当該保守サービスを提供する事業者(以下本項において「保守サービス事業者」という。)がサービス内容の全部又は一部として情報システム内の個人データを取り扱うこととなっている場合には、個人データを提供したことになり、本人の同意を得るか、又は、「個人データの取扱いの全部又は一部を委託することに伴って・・・提供」(法第 23条第5項第1号)しているものとして、法第 22 条に基づき当該保守サービス事業者を監督する必要があります。
(例)- ○ 個人データを用いて情報システムの不具合を再現させ検証する場合
- ○個人データをキーワードとして情報を抽出する場合
-
一方、単純なハードウェア・ソフトウェア保守サービスのみを行う場合で、契約条項によって当該保守サービス事業者が個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等には、個人データの提供に該当しません。
- (例)
- ○システム修正パッチやマルウェア対策のためのデータを配布し、適用する場合
- ○保守サービスの作業中に個人データが閲覧可能となる場合であっても、個人データの取得(閲覧するにとどまらず、これを記録・印刷等すること等をいう。)を防止するための措置が講じられている場合
- ○保守サービスの受付時等に個人データが保存されていることを知らされていない場合であって、保守サービス中に個人データが保存されていることが分かった場合であっても、個人データの取得を防止するための措置が講じられている場合
- ○不具合の生じた機器等を交換若しくは廃棄又は機器等を再利用するために初期化する場合等であって、機器等に保存されている個人データを取り扱わないことが契約等で明確化されており、取扱いを防止するためのアクセス制御等の措置が講じられている場合
- ○不具合の生じたソフトウェアの解析をするためにメモリダンプの解析をする場合であって、メモリダンプ内の個人データを再現しないこと等が契約等で明確化されており、再現等を防止するための措置が講じられている場合
- ○個人データのバックアップの取得又は復元を行う場合であって、バックアップデータ内の当該個人データを取り扱わないことが契約等で明確化されており、取扱いを防止するためのアクセス制御等の措置が講じられている場合
- (第三者に該当しない場合)
- Q5-36
マンション管理組合でマンションの修繕を予定しており、工事会社に居住者の個人情報を提供する必要がありますが、あらかじめ本人の同意を得なければいけませんか。
- A5-36
個人データを第三者に提供する際には、原則としてあらかじめ本人の同意を得る必要があります。利用目的の達成に必要な範囲内において、個人データの取扱いに関し委託(法第 23 条第5項第1号)をする場合には、本人の同意は不要です。したがって、マンション管理組合が工事会社に修繕を発注する際に、当該工事会社が修繕を行うため に個人データの取扱いを委託する必要がある場合には、居住者の氏名等を提供するため の本人の同意は不要ですが、委託者は個人データの取扱いについて、委託先を監督する義務があります(法第 22 条)。 (平成 30 年7月追加)
- (第三者に該当しない場合)
- Q5-37
マンション管理組合とマンション管理会社の間で居住者の氏名等の情報を共有することは可能ですか。
- A5-37
個人データを第三者に提供する際には、原則としてあらかじめ本人の同意が必要となりますので、本人の同意を取得している場合はマンション管理組合とマンション管理会社の間で居住者の氏名等の個人データを共有することは可能です。なお、管理組合が管理会社に対して、利用目的の達成に必要な範囲内において個人データの取扱いに関し委託(法第 23 条第5項第1号)をする場合には、第三者提供に該当しないため、本人の同意がなくとも、個人データの提供を受けることが可能です。ただし、委託者は個人データの取扱いについて、委託先を監督する義務があります(法第 22 条)。 (平成 30 年7月追加)
- (第三者に該当しない場合)
- Q5-38
マンション管理組合がマンション管理会社に管理業務を委託している場合に、管理組合が保有する組合員名簿を管理会社が提供してもらうよう求めることは可能ですか。
- A5-38
マンション管理規約や管理業務委託契約の内容にもよりますが、一般的に利用目的の達成に必要な範囲内において、個人データの取扱いに関する業務を委託する場合には、第三者提供には該当しません。また、委託内容に組合員名簿の作成・保管等が含まれている場合に管理会社から管理組合に名簿を提供することも第三者提供にはなりません。したがって、この委託の範囲内であれば、個人情報保護法上、管理組合が管理会社へ本人の同意を取得することなく名簿を提供することは可能と解されます。ただし、委託者は個人データの取扱いについて、委託先を監督する義務があります(法第 22 条)。
(平成 30 年 12 月更新)
1-6 保有個人データに関する事項の公表等、保有個人データの開示・訂正等・利用停止等(法第 27 条~第 34 条関係)、個人情報の取扱いに関する苦情処理(法第 35 条関係)
- (保有個人データに関する事項の公表等)
- Q6-1
法第 27 条第1項第3号は、開示等の請求等に応じる手続を本人の知り得る状態に置かなければならないと定めていますが、必ずホームページに掲載しなければいけませんか。
- A6-1
必ずしもホームページに掲載しなければならないわけではありません。開示等の請求等に応じる手続については、本人の知り得る状態に置かなければなりませんが、本人の求めに応じて遅滞なく回答する場合も含むとされています(法第 27 条第1項)。
例えば、問合せ窓口を設け、問合せがあれば、口頭又は文書で回答できるよう体制を構築しておけば足ります(ガイドライン(通則編)3-5-1(1)(※1)参照)。
なお、問合せ窓口(保有個人データの取扱いに関する苦情の申出先。施行令第8条第1 号)については、分かりやすくしておくことが望ましいと考えられます。
- (保有個人データに関する事項の公表等)
- Q6-2
当社では、法第 27 条第1項に基づき、全ての保有個人データの利用目的を本人の求めに応じて遅滞なく回答することとしています。①全ての保有個人 データの利用目的について回答を求められた場合には、当該本人が識別され ない保有個人データの利用目的についても回答する必要がありますか。また、その場合、本人が識別される保有個人データの利用目的とそれ以外の利用目 的とを区別して回答する必要がありますか。②同条第2項の規定に基づく利 用目的の通知の求めの場合と比べて、対象となる利用目的の範囲などに違い はありますか。
- A6-2
①当該本人が識別されない保有個人データの利用目的についても回答する必要があります。この場合、本人が識別される保有個人データの利用目的とそれ以外の利用目的とを区別して回答する必要はありません。
②法第 27 条第2項の場合には、当該本人が識別される保有個人データの利用目的に対象が限定されている点、求めに対する措置の実施に関し手数料を徴収することができる点などで、同条第1項の場合と異なっています。
- (保有個人データの開示)
- Q6-3
社内で取り扱う個人情報については、個人情報が検索できる状態ではありませんが、そのような状態であれば、本人からの開示の請求に応じなくてもよいですか。
- A6-3
開示義務の対象は「保有個人データ」とされていますが、御指摘の場合には、特定の個人情報を検索することができない状態ですので、「個人データ」に該当しません。したがって、開示義務の対象となる「保有個人データ」にも該当しません。そのため、開示の請求に応じる法的義務は課されないと解されます。
- (保有個人データの開示)
- Q6-4
市販の人名録を利用してダイレクトメール等を送付していた場合、人名録の利用者は、その内容の訂正、追加、削除等の権限を有していないため、保有個人データに該当しないものとして、開示等の請求を受けた場合であっても、これに応じる義務はないと考えてよいですか。
- A6-4
市販の人名録を用いる場合であっても、これを営業活動等に利用している限り、このデータについては、その内容の訂正、追加、削除等の権限を有します。したがって、その他の保有個人データの要件を満たす場合には、開示等の請求に応じる義務が課され ます。
- (保有個人データの開示)
- Q6-5
「貴社が保有する私の情報全てを開示せよ」という請求があった場合には、どのように対応したらよいですか。
- A6-5
同一の情報主体についても、様々な保有個人データを保有していることが多いため、法第 32 条第2項前段により、個人情報取扱事業者は、開示を請求している本人に対して、対象となる保有個人データを特定するに足りる事項の提示を求めることができます。したがって、本人が、この求めに応じて、開示を請求する範囲を一部に特定した場合には、本人が特定した範囲で開示をすれば足ります。
ただし、法第 32 条第2項後段により、個人情報取扱事業者は、本人が容易かつ的確に開示の請求をすることができるよう、当該保有個人データの特定に資する情報の提供その他本人の利便を考慮した適切な措置をとらなければなりません。
なお、法第 32 条第2項前段は、本人に対し、開示を請求する保有個人データの範囲を一部に限定する義務を課すものではなく、また、個人情報取扱事業者に対し、本人が開示を請求する範囲を限定させる権利を認めるものでもありません。ただし、個人情報取扱事業者は、本人からの保有個人データの開示の請求を受けて、保有個人データを開示することにより、個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合には、法第 28 条第2項第2号に該当し、当該保有個人データの全部又は一部を開示しないことができます。
(平成 30 年 12 月更新) - (保有個人データの開示)
- Q6-6
保有個人データであっても、本人以外の他の個人情報(例えば、家族の氏名等)が同時に含まれているものがあります。本人からの保有個人データの開示の請求があった場合、家族の氏名等、本人以外の他の個人情報については、開示をしなくともよいですか。
- A6-6
当該本人が識別される保有個人データが対象です。したがって、本人以外の他の個人情報は、開示の対象にはなりません。
- (保有個人データの開示)
- Q6-7
ユーザーから商品クレームに関する問合せ等があり、それをデータベース化しています。データベースには、ユーザーの氏名・電話番号及び対応履歴等だけでなく、会社としての所見(例えば、「悪質なクレーマーと思われる」) が記録されていることもあります。これらは全て保有個人データに該当し、開示の請求に応じなければならないですか。
- A6-7
いわゆる不審者、悪質なクレーマー等からの不当要求被害を防止するため、当該行為を繰り返す者を本人とする個人データを保有している場合に、当該個人データは「当該個人データの存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれがあるもの」(施行令第4条第2号)に該当しますので、保有個人データには該当しません(ガイドライン(通則編)2-7参照)。
また、保有個人データに該当する場合であっても、それを開示することにより、当該個 人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合には、当 該保有個人データの全部又は一部を開示しないことができます(法第 28 条第2項第2号)。
- (保有個人データの開示)
- Q6-8
本人から自分の個人情報の取得元の開示を請求された場合には、どのように対応すればよいですか。
- A6-8
個人情報保護法上、本人に個人情報の取得元を明らかにすることを義務付ける規定はありません。
ただし、個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならないとされていますので(法第 35 条第1項)、まずは苦情相談窓口等において相談に対応することが考えられます。
なお、保有個人データ自体に取得元に関する情報が含まれている場合であって、法第 28条第1項に基づく開示の請求を受けたときは、原則として開示することになります。
- (保有個人データの開示)
- Q6-9
雇用管理情報には、人事評価や選考に係る個々人の情報など非開示とすることが想定される情報が含まれますが、どのように対応したらよいですか。
- A6-9
個人情報取扱事業者は、雇用管理情報の開示の請求に応じる手続について、あらかじめ、労働組合等と必要に応じ協議した上で、本人から開示の請求を受けた保有個人データについて、その全部又は一部を開示することによりその業務の適正な実施に著しい支障を及ぼすおそれがある場合に該当するとして非開示とすることが想定される保有個人データの開示に関する事項を定め、従業者に周知するための措置を講ずることが望ましいと考えられます。
- (保有個人データの開示)
- Q6-9-2
防犯目的のために、万引き・窃盗等の犯罪行為や迷惑行為に対象を限定した上で、顔認証データを登録して保有個人データとした場合には、個人情報保護法に基づきどのように開示請求、内容の訂正、利用停止の請求等に対応する必要がありますか。
- A6-9-2
防犯目的のために登録された顔認証データ等が保有個人データである場合、法令に基づき開示請求等に適切に対応する必要があります。すなわち、開示請求がなされ た場合には、保有個人データの開示義務の例外事由に該当しない限り、開示請求に適切に 対応する必要があります。また、訂正等請求や利用停止等の請求が行われた際にも、法令 に基づき適切に対応する必要があります。
(平成 30 年 12 月追加) - (保有個人データの訂正等)
- Q6-10
一般的には「削除」と「消去」は同じ意味と考えられますが、保有個人データを削除すべき場合(法第 29 条)と消去すべき場合(法第 30 条)の違いは何ですか。
- A6-10
法第 29 条は、保有個人データの内容が事実ではない場合について規定しており、他方、法第 30 条は、保有個人データが法第 16 条の規定に違反して取り扱われている場合又は法第 17 条の規定に違反して取得されたものである場合について規定しており、その適用場面が異なります。
なお、「削除」とは、不要な情報を除くことであり、他方、「消去」とは、保有個人データを保有個人データとして使えなくすることであり、当該データを削除することのほか、当該データから特定の個人を識別できないようにすること等を含みます。
- (保有個人データの訂正等)
- Q6-11
本人から保有個人データの評価が誤っているとして訂正等の請求があった場合には、訂正等に応じなければなりませんか。
- A6-11
個人情報保護法では、「保有個人データの内容が事実でないとき」に訂正等を行う義務が生じます。そのため、訂正等の対象が事実ではなく評価に関する情報である場合には、訂正等を行う必要はありません。
ただし、評価に関する保有個人データに評価の前提となっている事実も記載されており、それに誤りがある場合においては、その限りにおいて訂正等を行う義務が生じます。
- (保有個人データの訂正等)
- Q6-12
会社の採用面接で不採用にした応募者から、当社に提出された履歴書の返却を求められていますが、個人情報取扱事業者として、返却に応じなければなりませんか。
- A6-12
個人情報保護法では、本人からの請求による保有個人データの削除(法第 29 条)、保有個人データの利用の停止又は消去(法第 30 条)に関する規定は定められていますが、履歴書等の受け取った書類を返還する義務は規定されていません。そのため、個人情報保護法上、提出された履歴書を返却する義務はありません。
なお、法第 19 条では、個人データの消去についての努力義務が明記されていますので、個人情報取扱事業者は、個人データを利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければなりません。
- (保有個人データの利用停止等)
- Q6-13
当社では、電話で資料請求をしてきたお客様にダイレクトメールを送付していますが、お客様から、ダイレクトメールの停止及び個人情報の消去を求められた場合、応じなければならないですか。
- A6-13
ダイレクトメールを送付することについて、利用目的を顧客に通知又は公表している限り、原則として、ダイレクトメールを送付することができます。
ただし、個人情報取扱事業者は、保有個人データを法第 16 条の規定に違反して取り扱っている場合又は法第 17 条の規定に違反して取得したものである場合には、当該保有個人データの利用の停止又は消去をする義務があります(法第 30 条第2項)。
なお、個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならないとされているため(法第 35 条第1項)、違反の事実がない場合であっても、顧客からのダイレクトメールの停止等の要求を苦情として扱った上で、適切かつ迅速に処理するよう努めなければなりません。
- (開示等の請求等に応じる手続)
- Q6-14
本人からの開示等の請求等に備えて、開示等の請求等を受け付ける方法をあらかじめ定めておく必要がありますか。
- A6-14
個人情報保護法上、個人情報取扱事業者は、開示等の請求に応じる義務がありますが、その手続については各事業者において定めることができます(法第 32 条第1項)。開示等の請求等を受け付ける方法をあらかじめ定めている場合には、本人は当該方法に従って開示等の請求等をすることになります。
一方、当該方法をあらかじめ定めていない場合には、本人は任意の方法により開示等の請求等をすることとなりますので、その事業者は、個別に相談しながら対応することとなります。
- (開示等の請求等に応じる手続)
- Q6-15
開示等の請求等をする者が本人であることの確認の方法としては、どのようなものがありますか。
- A6-15
開示等の請求等をする者が本人であることの確認の方法としては、次に掲げる例が考えられます。
- 事例1)来所の場合:運転免許証、健康保険の被保険者証、個人番号カード(マイナンバーカード)表面、旅券(パスポート)、在留カード、特別永住者証明、年金手帳、印鑑証明書と実印
- 事例2)オンラインの場合:あらかじめ本人が個人情報取扱事業者に対して登録済みのID とパスワード
- 事例3)電話の場合:あらかじめ本人が個人情報取扱事業者に対して登録済みの一定の登録情報(生年月日等)、コールバック
- 事例4)送付(郵送、FAX 等)の場合:運転免許証や健康保険の被保険者証等の公的証明書のコピーの送付を顧客等から受け、当該公的証明書のコピーに記載された顧客等の住所に宛てて文書を書留郵便により送付
- (開示等の請求等に応じる手続)
- Q6-16
開示等の請求等をする者が本人であることの確認の方法として、運転免許証の提示に加え、印鑑登録証明書の提示を求めることはできますか。
- A6-16
個人情報保護法上、個人情報取扱事業者は、開示等の請求等をする者の本人確認方法も含め、本人からの開示等の請求等を受け付ける方法を定めることができるとされています(法第 32 条第1項)。
ただし、個人情報取扱事業者は、開示等の請求等の手続を定めるに当たっては、本人に過重な負担を課するものとならないよう配慮しなければならないとされているため(法第 32 条第4項)、本人確認のために事業者が保有している個人データに比して必要以上に多くの情報を求めないようにする必要があります。
- (手数料)
- Q6-17
開示等の手数料はいくらにすべきですか。
- A6-17
手数料の額は、実費を予測して平均的単価を算出して定めることが望ましいと考えられます。
この点、業種や保有個人データの種類を勘案する必要があるため、統一的な相場を示すことは困難です。例えば、郵便で開示の請求に応じる場合、配達証明付の書留料金を勘案するなど適切な金額をご検討ください。
- (手数料)
- Q6-18
本人から開示の請求があり、開示手数料を徴収している場合、結果として開示しなかった場合でも、徴収した手数料は返さなくてもよいですか。
- A6-18
手数料を定めた法第 33 条は、現に開示を行ったか否かにより特に区別していませんので、必ずしも返還する義務は生じません。
- (手数料)
- Q6-19
当社では、保有個人データの開示の請求を受けた際に手数料を徴収することとしましたが、手数料により利潤を得ることはできますか。また、開示の方法を閲覧のみにすることは、個人情報保護法上問題がありますか。
- A6-19
本人から保有個人データの開示の請求を受けた個人情報取扱事業者は、開示の実施に関し手数料を徴収することが認められています(法第 33 条第1項)。しかし、その手数料の額は、実費を勘案して合理的であると認められる範囲内で定めなければなりません(同条第2項)。
また、開示の方法については、開示の請求を行った者が同意した方法でない限り、書面の交付によることとされており(施行令第9条)、個人情報取扱事業者のみの都合で閲覧のみにすることは個人情報保護法に違反する可能性があります。
- (裁判上の訴えの事前請求)
- Q6-20
事前の請求の手続は、平成 27 年改正の施行(平成 29 年5月 30 日)前の開示等の求めの手続と同じ手続ということでよいですか。
- A6-20
事前の請求の手続については、平成 27 年改正前の開示等の求めの手続と異なるところはありません。個人情報取扱事業者は、本人からの開示等の請求等を受け付ける方法を定めること(法第 32 条第1項)、本人に対し、開示等の請求等に関し、その対象となる保有個人データを特定するに足りる事項の提示を求めること(法第 32 条第2項)、開示の請求等を受けたときは、手数料を徴収すること(法第 33 条第1項)等ができます。
- (苦情処理)
- Q6-21
苦情の適切かつ迅速な処理を行うに当たり、具体的にはどのような体制を整備すればよいですか。
- A6-21
個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理を行うために、必要な体制の整備に努めなければならないとされています(法第 35 条第2項)。例えば、苦情処理の担当者や手順を定めておくことなどが考えられます(ガイドライン(通則編)3-6参照)。
なお、必要な体制の整備に当たっては、例えば、JISQ10002「品質マネジメント-顧客 満足-組織における苦情対応のための指針」(JISQ10002)等を参考にすることができます。
- (苦情処理)
- Q6-22
個人情報保護法に基づく開示請求、内容の訂正、利用停止の請求等への対応等に関する苦情や相談がある場合に、当該個人情報取扱事業者とともに、認定個人情報保護団体が対応することは可能ですか。
- A6-22
認定個人情報保護団体は、消費者と事業者の間に立ち、対象事業者である個人情報取扱事業者の個人情報の適正な取扱いの確保を目的として、消費者からの苦情の処理や相談対応を行うこととされています。また、認定個人情報保護団体は、各業界の特性を踏まえつつ、個人情報に係る利用目的の特定、安全管理のための措置、開示等の請求等に応じる手続等に関し、個人情報保護指針を作成し、対象事業者はこれを遵守することとされています。
認定個人情報保護団体に対して、対象事業者の保有個人データの開示請求、内容の訂正、利用の停止等の請求等への対応等に関する苦情の申出があったときは、認定個人情報保 護団体は法令に基づいてこれを受け付けて、当該個人情報取扱事業者とともに、適切に対 応を行うことが求められています。
(平成 30 年7月追加)
1-7 講ずべき安全管理措置の内容
- (全般)
- Q7-1
ガイドライン(通則編)(8(別添)講ずべき安全管理措置の内容)に示されている項目を全て講じないと違法になりますか。
- A7-1
ガイドライン(通則編)では、講じなければならない措置及び当該措置を実践するための手法の例等を示しています。
「講じなければならない措置」として示している内容については、全ての個人情報取扱事業者において講じていただく必要がありますが、これを実践するための具体的な手法については、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)、個人データを記録した媒体の性質等に起因するリスクに応じて、必要かつ適切な内容とすべきものであるため、必ずしもガイドライン(通則編)で示す例示の内容の全てを講じなければならないわけではなく、また、適切な手法は例示の内容のみに限定されるものではありません。
- (全般)
- Q7-2
「中小規模事業者」の定義における「従業員」にはどのような者が含まれますか。また、いつの時点の従業員の数で判断されますか。
- A7-2
「中小規模事業者」の定義における「従業員」は、中小企業基本法における従業員をいい、労働基準法第 20 条の適用を受ける労働者(解雇の予告を必要とする労働者)に相当する者をいいます。ただし、同法第 21 条の規定により同法第 20 条の適用が除外されている者は除かれます。具体的には、日々雇い入れられる者、2ヶ月以内の期間を定めて使用される者等が除かれます。
また、中小規模事業者の定義における従業員の数は、事業年度末(事業年度がない場合には年末等)の従業員の数で判定されます(判定し、毎年同時期に見直しを行う必要があります)。
- (全般)
- Q7-3
「中小規模事業者」の定義のうち、「事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数」について、例えば、市販の電話帳を保有している場合、これに氏名・電話番号等が掲載されている個人の数は含まれますか。
- A7-3
市販の電話帳は、個人情報データベース等に該当しないと解されるので(法第2 条第4項、ガイドライン(通則編)2-4)、電話帳に掲載されている個人の数は、ここでいう「特定の個人の数」に含まれません。
- (全般)
- Q7-4
「中小規模事業者」の定義のうち、「事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数」について、例えば、倉庫業、データセンター等の事業において、当該情報が個人情報に該当するかどうかを認識することなく預かっている場合は、当該情報中に含まれる個人情報に係る個人の数は含まれますか。
- A7-4
御指摘の情報は、当該事業者にとっては個人情報として認識されていないため、事業の用に供しているとはいえず、「事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数」には含まれないと考えられます。
- (全般)
- Q7-5
「中小規模事業者」も、大企業と同等の安全管理措置を講じなくてはいけませんか。
- A7-5
法第 20 条により、個人情報取扱事業者は、取り扱う個人データの安全管理のために必要かつ適切な措置を講じなければなりません。
ただし、安全管理措置を講ずるための具体的な手法については、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)、個人データを記録した媒体の性質等に起因するリスクに応じて、必要かつ適切な内容とすべきものであるため、中小規模事業者において、必ずしも大企業と同等の安全管理措置を講じなければならないわ けではありません。ガイドライン(通則編)「8(別添)講ずべき安全管理措置の内容」に記載した「中小規模事業者における手法の例示」等を参考に、具体的な措置の内容を検討してください。
- (全般)
- Q7-6
従来、主務大臣が定めていたガイドラインに従って、適切に安全管理措置を講じているが、さらに多くのことをしなければいけないのか。
- A7-6
従来、主務大臣が定めていたガイドラインに従って、適切に安全管理措置を講じている場合は、適切な措置を講じられていると考えられますが、安全管理措置を講ずるための具体的な手法については、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)、個人データを記録した媒体の性質等に起因するリスクに応じて、必要かつ適切な内容とすべきものであり、それらは時代や環境によっても変化し得るものであるので、あらためてガイドライン(通則編)を参考に、現在講じている安全管理措置の内容を再点検し、必要に応じて見直すことも、有効な取組と考えられます。
- (全般)
- Q7-7
標的型メール攻撃や、その他不正アクセス等による個人データの漏えい等の被害を防止するために、安全管理措置に関して、どのような点に注意すればよいですか。
- A7-7
ガイドライン(通則編)に記載されている技術的安全管理措置の各項目を遵守することや、それらについて従業者に対して必要な研修・注意喚起を行うことに加え、次のような措置を講ずることが考えられます。
- ○不正アクセス等の被害に遭った場合であっても、被害を最小化する仕組み(ネットワークの遮断等)を導入し、適切に運用すること。
- ○ 巧妙化する攻撃の傾向を把握し、適宜必要な対策を従業者に周知すること。
- ○ 個人データを端末に保存する必要がある場合、パスワードの設定又は暗号化により秘匿すること(なお、データの暗号化又はパスワードによる保護に当たっては、不正に入手した者が容易に解読できないように、暗号鍵及びパスワードの運用管理、パスワードに用いる文字の種類や桁数等の要素を考慮することも有効な取組と解されます)。
また、独立行政法人情報処理推進機構(IPA)等がホームページで公表しているセキュリティ対策等を参考にすることも考えられます。
- (全般)
- Q7-7-2
防犯カメラを設置して個人データを取り扱う場合には、安全管理措置として特にどのような点に注意すれば良いですか。
- A7-7-2
個人情報取扱事業者は法第 20 条に基づき個人データについて安全管理措置を講ずることが義務付けられています。顔画像や顔認証データなどの個人データについ ては、当該個人データの漏えい、滅失又はき損の防止その他の安全管理のために必要かつ 適切な措置を講じる必要があり、具体的には組織的安全管理措置、人的安全管理措置、物 理的安全管理措置、技術的安全管理措置として、例えば以下のような措置が考えられます。
- ①組織的安全管理措置:カメラ画像等を取り扱う情報システムを使用できる従業者を限定、事業者内の責任者を定める、管理者及び情報の取扱いに関する規程等を整備する 等
- ②人的安全管理措置:従業者に対する適切な研修(個人情報保護法の適用範囲・義務規定、カメラ画像の取扱いに関する講義等)等を実施する 等
- ③物理的安全管理措置:カメラ及び画像データを保存する電子媒体等の盗難又は紛失等を防止するために、設置場所に応じた適切な安全管理を行う 等
- ④技術的安全管理措置:情報システムを使用してカメラ画像等を取り扱う場合や、IP カメラ(ネットワークカメラ、WEB カメラ)のようにネットワークを介してカメラ画像等を取り扱う場合に、必要とされる当該システムへの技術的なアクセス制御や漏えい防止策等を講ずる(アクセス制御には適切な場合にはパスワード設定等の措置もむ。) 等
なお、カメラ画像がデータベースを構築していない場合には、個人データとして法第 20 条の安全管理措置を講ずる義務が直接適用される対象ではないものの、当該画像が漏えい等することがないよう、上記の各種安全管理措置を参考として適切に取り扱うことが望ましいと考えられます。
(平成 30 年 12 月追加) - (基本方針の策定)
- Q7-8
基本方針の策定は義務ですか。またこれを公表することは義務ですか。
- A7-8
基本方針の策定は、義務ではありませんが、個人データの適切な取扱いの確保について組織として取り組むために、策定することが重要です。なお、基本方針を策定した場合に、これを公表することを義務付けるものではありません。
- (組織的安全管理措置)
- Q7-9
「個人データの取扱状況を確認する手段の整備」に関して、いわゆる「個人情報取扱台帳」のようなものを作成しなければいけませんか。
- A7-9
この項目について、講じていただく必要があるのは、個人データの取扱状況を確認できるように手段を整備することであるため、いわゆる「個人情報取扱台帳」を作成することが義務付けられているわけではありません。
ただし、個人情報取扱事業者において取り扱っている個人データとしてどのようなものがあるかを明確化することは、個人データの取扱状況を把握するに当たって有効な取組であると考えられます。
- (組織的安全管理措置)
- Q7-10
「取扱状況の把握及び安全管理措置の見直し」について、手法の例示として「監査を実施する」とありますが、実施に当たって参考となるような規格はありますか。
- A7-10
例えば、「マネジメントシステム監査指針 JIS Q19011(ISO 19011)」に準拠した監査を行うことが考えられますが、これに限られるわけではありません。
- (人的安全管理措置)
- Q7-11
「従業者の教育」について、研修の頻度はどの程度とすることが適切ですか。
- A7-11
研修の頻度は、事業者の規模や取り扱う個人データの性質・量等によっても異なり得るため、それらを踏まえて適切に判断いただく必要がありますが、適切な内容の研修であれば、年1回程度でも少ないとはいえないと考えられます。
- (人的安全管理措置)
- Q7-12
従業者との雇用契約において守秘義務を定めたり、派遣社員の派遣元との間の契約において派遣社員の守秘義務を定めることは義務付けられますか。
- A7-12
人的安全管理措置として、義務付けられるわけではありません。ただし、人的安全管理措置及び従業者の監督(法第 21 条)の一環として、従業者との雇用契約において守秘義務を定める等の対応を取ることも、有効な取組と考えられます。なお、関係業法において守秘義務が定められている場合もあるため、留意が必要です。
- (人的安全管理措置)
- Q7-13
「従業者の教育」としての研修は、全従業者を一堂に集めて講義形式で行う必要がありますか。
- A7-13
個人データの安全管理に関して留意すべき事項は、事業の規模及び性質、取り扱う個人データの性質・量等によって異なり得ますので、研修の形式も個人情報取扱事業者ごとに異なり得るものと考えられます。全従業者を対象とした講義形式による研修も含まれ得ますが、これに限られるものではなく、部署ごとに個人データの取扱いに関する責任者からの講話形式、e ラーニング形式、標的型メールを疑似体験する形での訓練形式など、様々な形式が考えられます。
- (物理的安全管理措置)
- Q7-14
「個人データを取り扱う区域の管理」に関して、個人データを取り扱う場所は、全て厳格な入退室管理を実施する必要がありますか。
- A7-14
個人データを取り扱う区域の管理として、常に入退室管理の実施が求められるわけではありませんが、個人情報データベース等を取り扱うサーバやメインコンピュータ等の重要な情報システムを管理する区域(管理区域)については、入退室管理の実施、承認されていない記録媒体やカメラ等の持込の制限等が有効な取組と考えられます。
- (物理的安全管理措置)
- Q7-15
「座席配置の工夫」「のぞき込みを防止する措置」「個人データを取り扱うことのできる従業者及び本人以外が容易に個人データを閲覧等できないような措置」とは、例えばどのような措置が該当しますか。
- A7-15
具体的には、以下のような措置が該当すると考えられます。
- ○ 個人データの取扱いを、個人データを取り扱う権限が付与されていない者の往来が少ない場所で実施すること
- ○ 個人データをパソコンで取り扱う場合、離席時にパスワード付スクリーンセーバーの起動又はコンピュータのロック等で閲覧できないようにすること
- ○ 個人データを記した書類、媒体、携帯可能なコンピュータ等を机上、社内等に放置しないこと
- (技術的安全管理措置)
- Q7-16
紙でしか個人情報を管理していない場合も、技術的安全管理措置を講じる必要がありますか。
- A7-16
ガイドライン(通則編)で定めている技術的安全管理措置は、情報システムを使用して個人データを取り扱う場合に講じなければならないものであるため、紙でのみ個人情報を管理している場合には、技術的安全管理措置を講じる必要はありません。
- (技術的安全管理措置)
- Q7-17
「アクセス制御」を講じるための手法は、ガイドライン(通則編)で示されている以外にどのようなものが考えられますか。
- A7-17
ガイドライン(通則編)に示した手法を具体的に記述したものも含めて、例えば、次のような手法が考えられます。
- ○識別に基づいたアクセス制御の実施
- ○ アクセス権限を有する者に付与する権限の最小化
- ○個人データを取り扱う情報システムへのアクセスが必要最小限となるような措置 (当該情報システムの同時利用者数の制限、当該情報システムの利用時間の制限(例えば、休業日や業務時間外等の時間帯には情報システムにアクセスできないようにする等))
- ○個人データを格納した情報システムへの無権限アクセスからの保護(例えば、ファイアウォール、ルータ等の設定)
- ○個人データにアクセス可能なアプリケーションの無権限利用の防止(例えば、アプリケーションシステムに認証システムを実装する、業務上必要となる者が利用する機器のみに必要なアプリケーションシステムをインストールする、業務上必要な機能のみメニューに表示させる等。)
- ○個人データを取り扱う情報システムに導入したアクセス制御機能の有効性の検証 (例えば、OS・ウェブアプリケーションのぜい弱性有無の検証等。)
- ○個人データにアクセスできる者を許可する権限管理の適切かつ定期的な実施(例えば、個人データにアクセスする者の登録を行う作業担当者が適当であることを定期的に審査し、その者だけが登録等の作業を行えるようにする等。)
- (技術的安全管理措置)
- Q7-18
「アクセス者の識別と認証」を講じるための手法は、ガイドライン(通則編) で示されている以外にどのようなものが考えられますか。
- A7-18
ガイドライン(通則編)に示した手法を具体的に記述したものも含めて、例えば、次のような手法が考えられます。
- ○(ID・パスワードを利用する場合)同一又は類似パスワードの再利用の制限、最低パスワード文字数の設定、一定回数以上ログインに失敗した ID を停止する等
- ○ 個人データへのアクセス権限を有する者が使用できる端末又はアドレス等の識別と認証の実施(例えば、IP アドレス認証、電子証明書等)
- (技術的安全管理措置)
- Q7-19
「外部からの不正アクセス等の防止」を講じるための手法は、ガイドライン(通則編)で示されている以外にどのようなものが考えられますか。
- A7-19
ガイドライン(通則編)に示した手法を具体的に記述したものも含めて、例えば、次のような手法が考えられます。
- ○個人データを取り扱う情報システムの使用状況、個人データへのアクセス状況(操作内容も含む。)、個人データを取り扱う情報システムへの外部からのアクセス状況等の監視(個人データへのアクセスや操作の成功や失敗の記録及び不正が疑われる異常な記録の存否の定期的な確認(当該記録の漏えい、滅失及び毀損並びに改ざん及び不正消去等からの適切な保護も含む)も含む。)
- ○導入したセキュリティ対策ソフトウェア等の有効性・安定性の確認(例えば、パターンファイルや修正ソフトウェアの更新確認等。)
- ○端末及びサーバ等のオペレーティングシステム、ミドルウェア、アプリケーション等に対するセキュリティ対策用修正ソフトウェアの適用
- ○ 個人情報取扱事業者において許可していないソフトウェアの導入防止のための対策
- (技術的安全管理措置)
- Q7-20
「情報システムの使用に伴う漏えい等の防止」を講じるための手法は、ガイドライン(通則編)で示されている以外にどのようなものが考えられますか。
- A7-20
ガイドライン(通則編)に示した手法を具体的に記述したものも含めて、例えば、次のような手法が考えられます。
- ○ 盗聴される可能性のあるネットワーク(例えば、インターネットや無線 LAN 等)による個人データの送信(例えば、本人及び従業者による入力やアクセス、メールに添付してファイルを送信する等を含むデータの転送等)時における、個人データの暗号化等の秘匿化(例えば、SSL/TLS、S/MIME 等)
- ○個人データを取り扱う情報システムの動作確認を行う際に、テストデータとして個人データを利用することを禁止したり、動作確認に影響のない範囲で、個人データの一部を他のデータに置き換える等、テストデータとして利用する個人データを必要最小限とすること。
- ○ 個人データを取り扱う情報システムの変更時に、当該変更によって情報システム又は運用環境のセキュリティが損なわれないことを検証すること
- ○ 個人データを取り扱う情報システムの使用状況の定期的な監視
1-8 その他
- (勧告、命令、緊急命令)
- Q8-1
個人情報取扱事業者等が個人情報保護法に違反した場合、どのような措置が採られるのですか。
- A8-1
個人情報取扱事業者等が、個人情報保護法の義務規定に違反し、不適切な個人情報の取扱いを行っている場合には、個人情報保護委員会(※)が、必要に応じて、事業者に対して報告徴収・立入検査を実施し(法第 40 条)、指導・助言を行い(法第 41 条)、また、勧告・命令を行う(法第 42 条)ことができます。個人情報保護委員会の命令に個人情報取扱事業者等が従わなかった場合や、個人情報保護委員会からの報告徴収・立入検査に応じなかった場合、報告徴収に対して虚偽の報告をした場合等には、罰則(30 万円以下の罰金)の対象になります。
なお、個人情報取扱事業者若しくはその従業者又はこれらであった者が、その業務に関して取り扱った個人情報データベース等(その全部又は一部を複製し、又は加工したものを含む。)を自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、法第 83 条により刑事罰(1年以下の懲役又は 50 万円以下の罰金)が科される可能性があります。
(※)法第 44 条に基づく権限の委任が行われた場合には、事業所管大臣(各省庁)が報告徴収・立入検査を実施することとなります。
- (域外適用)
- Q8-2
外国で活動する事業者ですが、日本にいる者に対して音楽の配信サービスを提供するために本人から個人情報を取得する場合、その個人情報の取扱いについて個人情報保護法は適用されますか。また、日本の別の事業者から個人情報を取得する場合はどうなりますか。
- A8-2
一般に、国の法令の効力は外国には及びません。しかし、我が国の消費者を保護する観点より平成 27 年改正により導入された法第 75 条に基づき、外国にある個人情報取扱事業者のうち、日本にいる者に対して物品やサービスの提供を行い、これに関連して本人から個人情報を取得した者が、外国においてその個人情報を取り扱う場合は、個人情報保護法のうち、一部の規定が適用されます。適用される規定については、ガイドライン(通則編)の「6-1 域外適用」を参照ください。
一方、外国にある事業者が本人以外の第三者から当該本人の個人情報を取得する場合には、原則どおり、当該事業者には個人情報保護法の規定は適用されません。ただし、外国にある事業者に個人データを提供する国内の個人情報取扱事業者には、法第 24 条が適用されます。
- (域外適用)
- Q8-2-2
外国で活動する事業者で、日本を含む各国にいる者に対してサービスを提供しており、当該サービス提供のため各本人から個人情報を取得しています。日本の利用者の個人データを含む漏えい等事案が生じた場合、漏えい等事案が発覚した場合に講ずべき措置をとるとともに、個人情報保護委員会等へ報告する必要がありますか。
- A8-2-2
法第 75 条に基づき、外国にある個人情報取扱事業者のうち、日本にいる者に対して物品やサービスの提供を行い、これに関連して本人から個人情報を取得した者が、外国においてその個人情報を取り扱う場合は、ガイドライン(通則編)の「6-1 域外適用」にあるように、法第 20 条(安全管理措置)も適用されます。
したがって、このような外国にある個人情報取扱事業者が日本の利用者の個人データを含む漏えい等事案を発生させた場合には、日本にある個人情報取扱事業者と同様に、漏えい等事案が発覚した場合に講ずべき措置及び個人情報保護委員会等への報告の対象となります。
なお、域外適用についてはQ8-2をご参照ください。
(平成 30 年7月追加) - (適用除外)
- Q8-3
個人情報保護法の適用除外とはどのような制度ですか。
- A8-3
個人情報取扱事業者等のうち、憲法上保障された自由(表現の自由、学問の自由、信教の自由、政治活動の自由)に関わる以下の主体が以下の活動のために個人情報等を取り扱う場合には、その限りにおいて、個人情報取扱事業者等の義務は適用されません(法第 76 条第1項)。
- 報道機関 報道活動
- 著述を業として行う者 著述活動
- 学術研究機関・団体 学術活動
- 宗教団体 宗教活動
- 政治団体 政治活動
また、これらの諸活動の自由を確保するため、これらの活動の相手方である個人情報取扱事業者等の行為(例:①政党から政治活動を行うため要請があった場合に、後援会等が本人の同意なく個人データを提供すること、②新聞社等の報道機関が報道目的で個人情報を取り扱う場合に、報道機関に対して本人の同意なく個人データを提供すること)についても、個人情報保護委員会は、その行為に関する限り、その個人情報取扱事業者等に対して、報告の徴収、勧告、命令などの権限を行使しないこととされています(法第 43 条第2項)。
(平成 30 年7月更新) - (適用除外)
- Q8-4
大学等の学術研究機関と民間企業や私立病院等が、学術研究目的の研究を共同で行う場合における個人情報の取扱いに関して留意すべき点を教えてください。
- A8-4
法第 76 条第1項第3号により、大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者による個人情報等の取扱いの目的の全部又は一部が学術研 究の用に供する目的であるときは、当該者に法第4章の規定は適用されないため、例えば、私立大学、研究所、学会(学会に所属する医師等も含む。)等に限らず、1つの主体とみ なすことができる共同研究が学術研究の用に供する目的で個人情報等を取り扱う場合に は、法第4章の規定は適用されません。
したがって、民間企業や私立病院等であっても、上記の1つの主体とみなすことができる共同研究に属する者と認められる場合には、学術研究の目的に個人情報等を利用する限りにおいて、法第4章の規定は適用されません。
ただし、当該共同研究の目的が営利事業への転用に置かれているなど、必ずしも学術研究の用に供する目的で取り扱っているとはみなされない場合には、法第 76 条第1項第3 号の適用除外には当たらず、法第4章の規定が適用されることに留意が必要です。
また、法第4章の規定が適用される場合であっても、例えば、公衆衛生の向上に特に必要がある場合で本人の同意を得ることが困難であるときは、あらかじめ本人の同意を得ることなく個人データを第三者に提供することができるほか(法第 23 条第1項第3号)、学術研究機関が学術研究の目的で個人情報等を取り扱う場合に、その者に対して個人情報等を提供する行為については、個人情報保護委員会は権限を行使しないものとされています(法第 43 条第2項)。
なお、医学系研究等に関する指針としては、例えば以下が定められています。
- ○「人を対象とする医学系研究に関する倫理指針」(文部科学省、厚生労働省)
- ○「ヒトゲノム・遺伝子解析研究に関する倫理指針」(文部科学省、厚生労働省、経済産業省)
- ○遺伝子治療等臨床研究に関する指針(厚生労働省)
2 ガイドライン(外国にある第三者への提供編)
-
- Q9-1
委託は法第 23 条の第三者提供に当たらないとされていますが、外国にある第三者に個人データの取扱いを委託する場合も、法第 24 条は適用されないのですか。
- A9-1
委託、事業承継、共同利用(法第 23 条第5項)に当たって個人データを外国の第三者に提供する場合であっても、法第 24 条は適用されます。
- Q9-2
本人の同意を取得する際には、外国にある第三者への提供であることを明確にしなければならないとされていますが、常に提供先の国名を個別に示す必要はありますか。
- A9-2
外国にある第三者への提供を認める旨の本人の同意を取得する際には、事業の性質及び個人データの取扱状況に応じ、当該本人が当該同意に係る判断を行うために必要と考えられる適切かつ合理的な方法によらなければなりません。この方法には、提供先の国又は地域名(例:米国、EU 加盟国)を個別に示す方法、実質的に本人からみて提供先の国名等を特定できる方法(例:本人がサービスを受ける際に実質的に本人自身が個人データの提供先が所在する国等を決めている場合)、国名等を特定する代わりに外国にある第三者に提供する場面を具体的に特定する方法などが含まれ得ます。
- Q9-3
法第 24 条の同意を本人から取得する方法のうち、実質的に本人からみて提供先の国名等を特定できる方法とはどういう例がありますか。
- A9-3
本人がサービスを受ける際に実質的に本人自身が個人データの提供先が所在する国等を決めている場合を指します。例えば、本人が日本の旅行会社に外国旅行を申し込んだ場合に、当該旅行会社が当該国の宿泊先に当該本人の情報を提供することは、当該国の記載がなくても、実質的に本人からみて提供先の国名を特定できるものと考えられます。
- Q9-4
「我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国」はどこですか。
- A9-4
様々な国において制度の見直しが行われていることもあり、また、詳細かつ多角的な調査・検討が必要であることから、今後、継続的に検討します。
- Q9-5
外国にあるサーバに個人データを含む電子データを保存することは外国にある第三者への提供に該当しますか。
- A9-5
当該サーバの運営事業者が、当該サーバに保存された個人データを取り扱わないこととなっている場合には、外国にある第三者への提供(法第 24 条)に該当しません。
当該サーバに保存された個人データを取り扱わないこととなっている場合とは、契約条項によって当該事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられます(Q5-33 参照)。
- Q9-6
外国の事業者が運営するクラウドを利用していますが、サーバは国内にある場合、外国にある第三者への提供に該当しますか。
- A9-6
当該サーバの運営事業者が、当該サーバに保存された個人データを取り扱わないこととなっている場合には、外国にある第三者への提供に該当しません(Q5-33、Q 9-5参照)。
また、当該サーバの運営事業者が、当該サーバに保存された個人データを国内で取り扱っていると認められる場合には、当該サーバの運営事業者は個人情報取扱事業者に該当しますので、外国にある第三者への提供に該当しません。
- Q9-7
国内事業者が外国事業者に個人データを提供する場合、当該外国事業者が日本に出張所を有する場合、「外国にある第三者」に提供したこととなりますか。
- A9-7
個人データの提供先が個人情報取扱事業者に該当する場合には、「外国にある第三者」に提供したこととはなりません。個人情報取扱事業者の該当性は、事業の実態を勘案して、日本国内で個人情報データベース等を事業の用に供していると認められるか否かを個別の事例ごとに判断することとなるため、国内に出張所を有することのみをもって当該外国事業者が個人情報取扱事業者に該当するわけではありません。
- Q9-8
外国で事業をしている外国事業者から個人データに相当するデータの提供を受けて当該個人データの編集・加工業務を受託している場合において、その委託の成果物を当該外国事業者に納品するときは、法第 24 条は適用されることとなりますか。
- A9-8
個人情報保護法の適用が及ばない域外の外国事業者から、個人情報の編集・加工等の業務を受託することに伴って提供を受けた場合に、その委託業務に基づいて、委託の成果物を当該外国事業者に返却する行為については、法第 24 条は適用されず、法第 23 条第5項第1号が適用されるものと解されます。
- Q9-9
施行規則第 11 条の2第1号では、「個人情報取扱事業者と個人データの提供を受ける者との間」で適切かつ合理的な方法により措置の実施を確保することとされていますが、個人情報取扱事業者と同じ内規等が適用される別会社と、個人データの提供を受ける者との間で締結された委託契約は適切かつ合理的な方法に該当しますか。
- A9-9
当該委託契約及び当該内規等によって、個人データの提供先である外国にある第三者が、我が国の個人情報取扱事業者の講ずべきこととされている措置に相当する措置を継続的に講ずることを実質的に担保することができる場合には、適切かつ合理的な方法に該当するものと考えられます。
(平成 30 年 12 月更新) - Q9-10
個人データを「外国にある第三者」(提供先)に提供した後、当該「外国にある第三者」がさらに別の「第三者」(再提供先)に個人データを提供する場合、当該「第三者」(再提供先)が「外国にある第三者」(提供先)と同一国内にある者のときは、どのような措置を講じる必要がありますか。また、当該「第三者」(再提供先)が日本にある者のときは、どのような措置を講じる必要がありますか。
- A9-10
法第 24 条の「外国」は、本邦の域外にある国又は地域を指します。したがって、当該「第三者」(再提供先)が本邦の域外にある国又は地域にある者の場合は、「外国にある第三者」(提供先)と同一国若しくは地域にあるか、又は異なる国若しくは地域にあるかにかかわらず、同条の規定の趣旨に沿った措置(ガイドライン(外国にある第三者への提供編)4-2-10)を講じる必要があります。
他方、当該「第三者」(再提供先)が日本にある者の場合は、「外国にある第三者」に該当しないため、法第 23 条の規定の趣旨に沿った措置(同ガイドライン4-2-9)を講じる必要があります。
(令和元年6月更新) - Q9-11
外国にある第三者に対して、氏名を削除するなどして個人を特定できないようにして当該者にとっては個人情報に該当しないデータの取扱いを委託し、当該者が個人情報に復元することがないような場合においても、法第 24条は適用されますか。
- A9-11
法第 24 条は適用されます。受領者たる「外国にある第三者」にとって個人情報に該当しないデータを提供する場合において、当該者が個人情報を復元することがない こととなっているときは、結果として、施行規則第 11 条の2で定める基準に適合する体制を整備しているものと解されます。ただし、この場合であっても、委託者たる個人情報取扱事業者は法第 22 条に基づき委託先に対する監督義務があることに留意が必要です。
(平成 30 年 12 月更新)
3 ガイドライン(第三者提供時の確認・記録義務編)
- 3-1 確認・記録義務の適用対象
- Q10-1
市販の電話帳を取得した際にも、確認・記録義務は適用されますか。
- A10-1
一般に市販の電話帳は個人情報データベース等に該当しないため、取得する際に確認・記録義務は適用されません。
- Q10-2
外国にある第三者に個人データを提供する場合、法第 25 条に基づく記録を作成しなければなりませんか。また、この場合において、提供者は、法第 24条・施行規則第 11 条の2第1号との関係において、当該第三者からさらに別の第三者に提供する場合に記録を作成するように措置を講じなければなりませんか。
- A10-2
外国にある第三者に個人データを提供する場合でも、原則として、法第 25 条に基づく記録義務は適用されます。具体的には、ガイドライン(第三者提供時の確認・記録 義務編)2-1-2の【外国にある第三者に個人データを提供する場合の記録義務の適用】のとおりです。
他方、法第 24 条・施行規則第 11 条の2第1号との関係において、当該第三者から別の第三者に提供する場合においては、法第 25 条に基づく記録に相当する記録を作成する措置を講じる必要はありません。
(平成 30 年 12 月更新) - Q10-3
訴訟代理人の弁護士・裁判所に、訴訟の相手方に係る個人データを含む証拠等を提出する場合、記録をしなければなりませんか。
- A10-3
訴訟追行のために、訴訟代理人の弁護士・裁判所に、訴訟の相手方に係る個人データを含む証拠等を提出する場合は、「財産の保護のために必要がある」といえ、かつ、一般的に当該相手方の同意を取得することが困難であることから、法第 23 条第1項第2 号に該当し得るものであり、その場合には記録義務は適用されないものと考えられます。
- Q10-4
顧客からグループ会社の紹介を求められたため、当該顧客本人の氏名・住所等の連絡先等を、当該グループ会社に提供する場合は、記録を作成しなければなりませんか。
- A10-4
本人に代わって個人データを第三者提供しているため、記録義務は適用されません。なお、提供を受けた会社においても、確認・記録義務は適用されません。
- Q10-5
取引先 A 社からの依頼に基づき、取引先 B 社の窓口担当者の氏名・連絡先等を、同窓口担当者の同意を得て、A 社に伝達する場合、記録を作成しなければなりませんか。
- A10-5
本人に代わって個人データを第三者提供しているため、記録義務は適用されません。なお、提供を受けた取引先 A 社においても、確認・記録義務は適用されません。
- Q10-6
A 社が、自己の提供する役務と B 社の提供する別の役務とをセットで販売して、B 社に購入者の個人データを提供する場合、記録を作成しなければなりませんか。
- A10-6
本人に代わって個人データを第三者提供しているため、記録義務は適用されません。なお、提供を受けた B 社においても、確認・記録義務は適用されません。
- Q10-7
小売業者 A は、顧客から製品の注文を受けた場合に、当該製品のメーカーに、当該顧客の氏名・住所を伝え、当該メーカーから当該製品を当該顧客に送付しているところ、当該メーカーへの個人データの提供につき、記録を作成しなければなりませんか。(なお、小売業者 A とメーカー間には委託契約はない。また、小売業者 A と顧客との契約書には、メーカーから当該製品が直接送付される旨が規定されている。)
- A10-7
本人に代わって個人データを第三者提供しているため、記録義務は適用されません。なお、提供を受けたメーカーにおいても、確認・記録義務は適用されません。
- Q10-8
個人データの提供先の第三者を個別に明示していなければ、本人に代わって提供しているものと評価されませんか。
- A10-8
提供先の事業者名を個別に明示していない場合においても、本人からの委託等 の内容、提供の客体である個人データの内容、提供するとき等の要素を総合的に考慮して、当該提供を具体的に特定できている場合には、本人に代わって提供しているものと評価 されることもあり得ます。
- Q10-9
会社間で代表取締役の名義で締結する契約書面を事務担当者間で授受する際、代表取締役の氏名に係る個人データを第三者提供しているものとして、記録を作成しなければなりませんか。
- A10-9
機関としての代表者の氏名を提供する行為は、確認・記録義務が適用される第三者提供には該当しないものと考えられます。
- Q10-10
顧客が別の者を指定して、自己に連絡をする際は指定した者を通すようにと事業者に要請していた場合、その連絡内容に当該顧客に係る個人データが含まれていたときは、当該者に第三者提供をしたものとして、記録を作成しなければなりませんか。
- A10-10
本人と一体と評価できる関係にある者に提供しているものとして、記録義務は適用されません。
- Q10-11
後見人の他に、保佐人、補助人も、「本人と一体と評価できる関係にある者」と評価することはできますか。
- A10-11
家庭裁判所から選任された保佐人、補助人の権限の範囲内で個人データの提供が行われる場合には、「本人と一体と評価できる関係にある者」に該当するものと考えられます。
- Q10-12
従業員の口座に給与を振り込む際も、記録義務は適用されますか。
- A10-12
従業員の口座に給与を振り込む場合は、提供者が、最終的に本人に提供することを意図した上で、受領者を介在して提供を行っているものであるので、記録義務は適用されないものと考えられます。
- Q10-13
公開情報を収集してデータベース化している事業者から当該情報の提供を受ける場合は、元の情報が公開情報であることから確認・記録義務は適用されませんか。
- A10-13
データベースの内容が、「不特定多数の者が取得できる公開情報」である場合には、当該データベースの提供を受ける行為については、確認・記録義務は適用されません。
- Q10-14
顧客から、当該顧客の配偶者の紹介を受ける行為について、確認・記録義務が適用されますか。
- A10-14
受領者にとって個人データに該当しない個人情報を受領したものと考えられ、確認・記録義務は適用されません。
- Q10-15
顧客から別の者を紹介してもらう場合に、1名ではなく、夫婦・家族の連絡先をまとめて紹介される場合においても、個人データに該当しないときであれば、第三者提供の確認・記録義務の対象になりませんか。
- A10-15
第三者から複数の個人情報の提供を受ける場合であっても、個人データに該当しない場合には、確認・記録義務は適用されません。
- Q10-16
電話や口頭で個人情報を聞いた場合には、確認・記録義務は適用されますか。
- A10-16
個人データに該当しない個人情報を取得した場合には、確認・記録義務は適用されません。
- Q10-17
個人データの第三者提供を受ける際に、受領者にとって「個人データ」に該当しない場合、法第 26 条に加えて、他の法第4章第1節に規定される条文も適用されませんか。
- A10-17
受領者にとって個人データに該当しない場合であっても、個人情報に該当するときは、個人情報に係る規定である法第 15 条から第 18 条及び第 35 条の規定を遵守する必要があります。
また、個人データの第三者提供を受けた後、受領者が当該個人情報を自己のデータベースに入力した場合には、入力時点から個人情報データベース等を構成する個人データに該当することになるため、法第 19 条から第 34 条までの規定(第 26 条を除く。)が適用されることとなります。
- Q10-18
データベース業者と契約を締結し、ネットワークで繋がった上で、当該データベース業者のデータベースを自己の端末で参照し、そのデータベースの内容は当該データベース事業者が随時更新を行う場合において、それを利用する事業者に確認・記録義務は適用されますか。
- A10-18
データベース業者が自己の支配下で管理しているデータベースを単に参照する場合には、確認・記録義務は適用されません。
- Q10-19
本人以外の者(「当初の提供元」)から個人データの提供を受けた場合において、あらかじめ公表している利用目的の範囲内で、後日、当初の提供元に対して、同じ内容の個人データを提供するとき、確認・記録義務は適用されますか。
- A10-19
当初の提供の際に作成した記録の枠内であれば、改めて、確認・記録義務は適用されません。なお、当初に作成した記録の範囲内にとどまらず、実質的に新規の第三者提供と同視される場合は、確認・記録義務が適用されるものと考えられます。
- Q10-20
金融機関から債権の買取りを行うに際して、当該金融機関と守秘義務契約を締結して入札に参加する場合において、債権譲受候補者が当該金融機関から提供を受けた債務者データ(個人データ)を利用して譲渡対象債権のデューデリジェンスを行って入札価格を提示したものの、落札に至らなかったために、守秘義務契約に基づき当該データを速やかに削除する例においては、当該候補者は確認・記録義務を履行する必要がありますか。
- A10-20
かかる例においては、その提供の形態は実質的に委託又は事業承継に類似するものと認められ、また、提供者・受領者間において契約により提供の対象となる個人データを削除することとなっているものであり、その他確認・記録義務を課すべき特段の事情がないものといえ、当該候補者に確認・記録義務は適用されないものと考えられます。
- Q10-21
オプトアウトによる第三者提供について、確認・記録義務が適用されない場面はありますか。
- A10-21
ありません。
- 3-2 確認義務、記録義務
- Q10-22
第三者から個人データの提供を受ける際は、代表取締役の氏名を確認しなければなりませんか。
- A10-22
法第 26 条第1項第1号の「代表者」には、代表権を有する者の他、確認の対象となる第三者提供を業務として執行する権限を有している者も含まれます。
- Q10-23
「取得の経緯」を対面又は電話により口頭で確認する方法は認められますか。
- A10-23
口頭で申告を受ける方法も否定されませんが、法第 17 条第1項に抵触しないことが担保されるように、正確に確認し、法第 26 条第3項に基づき記録を作成しなければならない点に留意する必要があります。
- Q10-24
取得の経緯を確認する際に、本人が署名した同意書面を確認することをもって取得の経緯を確認し、その旨を記録する場合に、同時に本人の同意が有る旨の記録として取り扱ってもよいですか。
- A10-24
取得の経緯を確認・記録をする場合において、当該記録が「本人の同意を得ている旨」を含むものであるときは、施行規則第 13 条第1項第2号イの記録とすることもできます。
- Q10-25
記録を作成するに当たって、台帳のようなものを用意する必要はありますか。
- A10-25
既存の契約書などで記録事項を充たしている場合は、それらが記録として認められます。したがって、事業者は、別途、台帳のようなものを用意する必要はありませんが、保存義務を履行するために、明確にする必要があります。
- Q10-26
個人データを提供先にデータ伝送している場合、伝送日時、伝送先などのログを記録とすることはできますか。
- A10-26
ログを記録とすることは認められます。
- Q10-27
継続的に又は反復して個人データを授受することを内容とする基本契約書に加えて、当該基本契約書に付帯する資料などをあわせて、施行規則第 12 条第2項・第 16 条第2項に基づく記録とすることはできますか。
- A10-27
最初に基本契約書に記録を作成し、継続的に又は反復して個人データを授受する対象期間内に、随時、提供される個人データによって識別される本人の氏名に係る記録を、別途、当該基本契約書に付帯する資料などをもって作成する方法も認められるものと考えられます。
- Q10-28
「契約書その他書面」(施行規則第 12 条第3項・第 16 条第3項)には、原本のみならず、写しも含まれますか。
- A10-28
「契約書その他書面」には、原本のみならず、写しも含まれます。
- Q10-29
同意書をもって記録とする方法を採用する場合、代表者氏名以外については同意書により記録し、代表者氏名については有価証券報告書の記載箇所を記録として用いる又は補記する等の対応は可能ですか。
- A10-29
全体として一つの記録として保存されていれば、認められるものと考えられます。
- Q10-30
提供者にとって個人データに該当するが受領者にとって個人データでないため、提供者のみに記録義務が生じる場合においても、受領者が提供者の記録義務の全部又は一部を代行して行うことは妨げられないという理解でよいですか。
- A10-30
自身は確認・記録義務を負わない受領者が、提供者の記録義務を代行することはできるものと考えられます。
- Q10-31
代行により記録を作成する方法を採用する場合に、代行させる者(委託者)及び代行を行う者(受託者)との間では、契約書等において、代行させる旨の規定を置くことは必須ですか。
- A10-31
契約書等において、代行させる旨の規定を置くことは必須ではありません。
- Q10-32
確認・記録義務の履行のために個人データを保存する場合は、消去義務(法第 19 条)に違反しませんか。また、利用目的の特定・通知等をしなければなりませんか。
- A10-32
個人情報取扱事業者は、個人データを利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければなりませんが、確認・記録義務の履行のために個人データを保存する場合は、この限りではないものと考えられます。また、利用目的の特定・通知等は不要です。
- Q10-33
「同意の存在を明示的に又は黙示的に示す証跡等」には、①本人による同意する旨のホームページ上のボタンのクリックに係るシステムログ、②ホームページの構造上、個人情報を取得する直前に必ず本人による同意をする旨のホームページ上のボタンのクリックが必須となっていること(ボタンクリックによる同意を経なければ取得できない)は、該当しますか。
- A10-33
いずれも「同意の存在を明示的に又は黙示的に示す証跡等」に該当します。
- Q10-34
対象となる複数の本人の記録を一体として作成する際に、保存期間は個々の個人ごとに計算するものですか。
- A10-34
対象となる複数の本人の記録を一体として作成した場合も、保存期間は個々の個人ごとに計算することとなります。例えば、施行規則第 12 条第2項・第 16 条第2項に基づく記録を作成した場合は、個々の個人ごとに最後に当該記録に係る個人データの提供を行なった日から起算して3年を経過する日までの間が保存期間となります(施行規則第 14 条第2号・第 18 条第2号)。
- Q10-35
複数の対象者の個人データについて、毎週、同様の提供が行われることから、一つのファイルに翌月1日に前月の分を一括して記録を作成する方法によ り記録を作成している場合において、2018 年1月に本人 X について提供が行われ 2018 年2月1日に記録がなされ、2019 年1月に本人 Y について提供 が行われ、2019 年2月1日に記録がなされた場合、X 及びY についての保存 期間はどのように考えられますか。
- A10-35
「記録を作成した日」が起算点となります。よって、Xについての記録の部分は、2021 年2月1日まで、Yについての記録の部分は 2022 年2月1日までが保存期間となります。
4 ガイドライン(匿名加工情報編)
- 4-1 定義
- Q11-1
個人情報から作成した統計情報についても匿名加工情報に該当しますか。
- A11-1
ガイドライン(匿名加工情報編)2-1にもあるように、統計情報は、複数人の 情報から共通要素に係る項目を抽出して同じ分類ごとに集計して得られるデータであり、集団の傾向又は性質などを数量的に示すのみで特定の個人との対応関係が排斥されてい る限りにおいては、「個人に関する情報」に該当するものではないため、個人情報保護法 の対象外となります。一方、特定の個人が識別できる情報であれば、個人情報に該当する こととなりますので留意が必要です。
- Q11-1-2
統計情報と匿名加工情報の違いは何ですか。
- A11-1-2
統計情報は、複数人の情報から共通要素に係る項目を抽出して同じ分類ごとに集計等して得られる情報であり、一般に、特定の個人との対応関係が排斥されているため、「個人情報」に該当しないものです。他方、匿名加工情報は、法第 36 条第1項に基づき、施行規則第 19 条各号で定める基準に従い加工したものであり、例えば、ある一人の人物の購買履歴や移動履歴等の情報など、個人単位の「個人に関する情報」を含むものです。
(平成 30 年7月追加) - Q11-2
匿名加工情報を作成する途中の情報など十分な加工がされていない情報はどのように取り扱えばよいですか。
- A11-2
匿名加工情報を作成するために個人情報を加工する作業を行っている途上であるものは、加工が不十分である場合には、特定の個人を識別することができる、又は元の個人情報が復元できる状態にある可能性があることから、原則として個人情報として取り扱うことが適当であると考えられます。
- Q11-3
匿名加工情報として提供を受けたものの、加工が不十分な情報であった場合にはどのように取り扱えばよいですか。
- A11-3
匿名加工情報として提供を受けたものの、加工が不十分な情報であるために匿名加工情報に該当しないと判明した場合は速やかに当該情報を削除することが望ましいと考えられます。
- 4-2 匿名加工情報の適正な加工
- Q11-4
法第 36 条第1項に定める基準に従わずに個人情報を加工したものを匿名加工情報として取り扱うことは認められますか。
- A11-4
匿名加工情報を作成するためには、法第 36 条第1項に基づき、施行規則第 19 条各号で定める基準に従い加工する必要があります。具体的には個別に判断されることとなりますが、これらの基準に従い加工が行われていない場合については、匿名加工情報に該当しないものと考えられます。
- Q11-4-2
個人情報を、安全管理措置の一環等のためにマスキング等によって匿名化した場合、匿名加工情報に相当するのですか。
- A11-4-2
匿名加工情報を作成するためには、匿名加工情報作成の意図を持って、法第36 条第1項に基づき、施行規則第 19 条各号で定める基準に従い加工する必要があります。
したがって、匿名加工情報作成基準に基づかずに、個人情報を安全管理措置の一環等のためにマスキング等によって匿名化した場合には、匿名加工情報としては扱われません。
(平成 30 年7月追加) - Q11-4-3
個人情報を加工して匿名加工情報を作成する場合についても、利用目的として特定する必要はありますか。
- A11-4-3
利用目的の特定は個人情報が対象であるため、個人情報に該当しない匿名加工情報は対象となりません。また、匿名加工情報への加工を行うこと自体を利用目的とする必要はありません。
(平成 30 年7月追加) - Q11-5
匿名加工情報を作成するときに施行規則第 19 条各号に定める基準で求められている措置を全て行う必要がありますか。
- A11-5
匿名加工情報を作成するためには、法第 36 条第1項に基づき、施行規則第 19 条各号で定める基準に従い加工する必要がありますが、各号に定める措置を選択的に講ずればよいものではなく、各号全ての措置を行う必要があります(ただし、該当する情報がない場合は当該措置を講じる必要はありません)。なお、プライバシー保護等の観点から追加的に措置を講じていただくことを妨げるものではありません。
- Q11-6
提供を受けた匿名加工情報を再度加工する場合は匿名加工情報の作成に該当しますか。
- A11-6
匿名加工情報は個人情報を加工して作成するものであり、匿名加工情報を再加工することは新たな別の匿名加工情報の作成には当たるものではないと考えられます。
なお、一般的には、加工をした情報と元の匿名加工情報との対応関係が一定程度認められる場合には、同一の匿名加工情報として扱うことが適当であると考えられます。
また、匿名加工情報としての取扱いが引き続き求められる場合には、第三者への提供時には当該匿名加工情報に含まれる個人に関する情報の項目及び提供方法を公表する必要があります。
- Q11-7
要配慮個人情報を加工して匿名加工情報を作成することはできますか。
- A11-7
法第2条第3項に定める要配慮個人情報を含む個人情報を加工して匿名加工情報を作成することも可能です。
- Q11-8
氏名や住所、年齢、性別などの記述が含まれていた場合は必ず全ての記述について削除等の措置が必要になりますか。
- A11-8
氏名のようにそれ単体で特定の個人を識別できるものについては措置が必要となりますが、住所、年齢、性別などのその組合せにより特定の個人を識別できるような記述については、その一部を削除等することにより特定の個人を識別できないようにすることも可能であると考えられます。
- Q11-9
施行規則第 19 条第5号において、「個人情報に含まれる記述等と当該個人情報を含む個人情報データベース等を構成する他の個人情報に含まれる記述等との差異その他の当該個人情報データベース等の性質を勘案し」とありますが、ここでの「当該個人情報を含む個人情報データベース等」については、事業者が保有する個人情報データベース等全体を勘案する必要がありますか。
- A11-9
ここでの「当該個人情報を含む個人情報データベース等」とは、当該個人情報取扱事業者が匿名加工情報を作成する際に加工対象とする個人情報データベース等を想定しています。すなわち、匿名加工情報を作成する個人情報取扱事業者が保有する加工とは無関係の個人情報を含む全ての個人情報データベース等の性質を勘案することを求めるものではありません。
- Q11-10
匿名加工情報を作成するときには、氏名と仮 ID 等の対応表を破棄しないといけませんか。
- A11-10
氏名と仮 ID 等の対応表は加工方法等情報に該当すると考えられます。したがって、当該対応表の破棄までは求められませんが、加工方法等情報として施行規則第 20 条各号の基準に従って安全管理措置を講ずる必要があります。また、匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、他の情報と照合してはならないとされていることから、当該目的で対応表を利用することはできませんが、匿名加工情報の安全性の検証作業などで利用することもあり得ると考えられます。
- 4-3 匿名加工情報等の安全管理措置等
- Q11-11
加工方法等情報にはどのような情報が含まれますか。
- A11-11
加工方法等情報には、個人情報を加工する過程で削除した情報のほか、具体的な加工方法に関する情報が該当し、例えば、置き換えのアルゴリズムに用いられたパラメータや氏名と仮 ID の対応表などが考えられます。このような情報については施行規則第 20 条に従って安全管理のための措置を講ずることが求められます。
- Q11-12
匿名加工情報が適切に加工されていることを伝えるために、それぞれの情報の項目をどのように加工したのかといった情報を匿名加工情報の提供先などに伝えることは可能ですか。
- A11-12
安全管理措置が必要となる加工方法等情報には、その情報を用いることによって元の個人情報を復元することができるものが該当します。したがって、例えば、年齢を10 歳刻みにしたことや商品名をどのカテゴリにまとめたといった情報などの情報については、元の個人情報を復元できるものではなく、提供先に伝えることも可能です。
- Q11-13
委託契約により委託先の事業者において匿名加工情報を作成した場合、加工方法等情報を委託元と共有することはできますか。
- A11-13
個人情報を提供して匿名加工情報の作成を委託した場合等においては、委託元と委託先が共同して作成したものとして、加工方法等情報を共有することは可能です。ただし、加工方法等情報を取り扱う者の権限を委託元においても明確に定めるなど、委託元も含め施行規則第 20 条に従って適切な安全管理措置を講じる必要があります。
- Q11-13-2
匿名加工情報の作成の委託を複数の会社から受けることは可能ですか。その場合、どのようなことに留意する必要がありますか。
- A11-13-2
複数の会社から匿名加工情報の作成の委託を受けることは可能です。ただし、委託を受けた各個人情報の取扱い及び匿名加工情報の作成については、各委託者の指示に基づきその範囲内で独立した形で行う必要があります。異なる委託者から委託された個人情報を組み合わせたり、突合したりすることはできません。
(平成 30 年7月追加) - Q11-13-3
委託に伴って提供された個人データを、委託先が自社のために匿名加工情報に加工した上で利用することはできますか。
- A11-13-3
委託先は、委託(法第23条第5項第1号)に伴って委託元から提供された個人データを、委託された業務の範囲内でのみ取り扱わなければなりません。委託先が当該個人データを匿名加工情報に加工することが委託された業務の範囲内である場合には、委託先は当該加工を行うことができますが、委託された業務の範囲外で委託先が当該加工を行い、作成された匿名加工情報を自社のために用いることはできません。
(令和2年9月追加) - 4-4 匿名加工情報の作成時の公表、匿名加工情報の第三者提供
- Q11-14
プライバシーポリシーに、取得した個人情報に含まれる個人に関する情報の項目を明示するとともに、「取得した個人情報から匿名加工情報を作成することがあります」といった趣旨の記載をして公表する場合は、当該記載をもって作成時及び第三者提供時の公表を履行したことになりますか。
- A11-14
匿名加工情報に含まれる個人に関する情報の項目の公表は、「作成したとき」又は「提供したとき」に行うことが求められるものであり、実際に匿名加工情報に含まれる個人に関する情報の項目が分かるようにする必要があります。したがって、事前にプライバシーポリシーに包括的な記載を掲載するだけでは当該義務を履行したものとは考えられません。
- Q11-15
作成した匿名加工情報に購買履歴が含まれる場合、個人に関する情報の項目として、商品名まで公表する必要がありますか。
- A11-15
匿名加工情報に購買履歴が含まれる場合において、当該匿名加工情報の作成時の公表や第三者提供時の公表については、具体的な商品名の公表まで必要はなく、ガイドライン(匿名加工情報編)3-4、3-5にあるように、「購買履歴」等の情報の項目を公表することで足ります。
- Q11-16
含まれる情報の項目が同じ匿名加工情報を継続的に作成する場合、その都度匿名加工情報に含まれる個人に関する情報の項目等を公表する必要がありますか。
- A11-16
ガイドライン(匿名加工情報編)3-4にあるように、個人に関する情報の項目が同じである匿名加工情報を同じ手法により反復・継続的に作成する場合には、最初の匿名加工情報を作成して個人に関する項目を公表する際に、作成期間又は継続的な作成を予定している旨を明記するなど継続的に作成されることとなる旨を明らかにしておくことにより、包括的に公表を行うことが可能です。
- Q11-17
匿名加工情報の作成時の公表において、当該匿名加工情報の利用目的についても公表する必要がありますか。
- A11-17
法第 36 条第3項においては、匿名加工情報を作成したときは、個人に関する情報の項目を公表しなければならないとされていますが、利用目的の公表は求められていません。
- Q11-17-2
匿名加工情報を作成する際に元の個人情報に含まれるある項目の情報の全てを削除した場合、あるいは、その全てを置き換えた場合に、その項目について、匿名加工情報を作成したとき、あるいは、第三者に提供したときに公表する必要はありますか。
- A11-17-2
匿名加工情報を作成する際に、元の個人情報に含まれるある項目について、その情報の全てを削除あるいは置き換えた場合には、匿名加工情報の作成あるいは第三 者提供の際の公表事項として当該項目を含める必要はありません。
(平成 30 年7月追加) - Q11-17-3
匿名加工情報を作成した際に公表する個人に関する情報の項目の一部を「等」として省略することはできますか。また、「個人に関する情報の項目」の分類をどの程度、細かくする必要がありますか。まとめることは可能ですか。
- A11-17-3
匿名加工情報を作成したときは、匿名加工情報に含まれる「個人に関する情報の項目」を公表する必要があります。公表される匿名加工情報に含まれる「個人に関する情報の項目」を省略することはできません。
また、「個人に関する情報の項目」は、どのような情報が匿名加工情報に含まれているか、一般的かつ合理的に想定できる程度に分類する必要があります。その範囲であれば、「購買履歴」等とまとめた形で項目を示すことも考えられます。
(平成 30 年7月追加) - Q11-18
匿名加工情報の第三者提供時の公表において、当該匿名加工情報の提供先名や利用目的についても公表する必要がありますか。
- A11-18
法第 36 条第4項及び第 37 条における第三者提供時の公表に関しては、提供先名及び利用目的の公表は求められていません。
- Q11-19
法第 36 条第3項の匿名加工情報作成時の情報の項目に関する公表と同条第4項の公表を同時に行うことはできますか。
- A11-19
匿名加工情報の作成時の公表については、匿名加工情報を作成した後、遅滞なく行うこととされており、また第三者提供時の公表については提供に当たってあらかじめ公表することとされています。したがって、個人情報取扱事業者が、匿名加工情報を第三者に提供することを前提として当該情報を作成し直ちに第三者提供をしようとする場合には、匿名加工情報の作成時の公表と第三者提供時の公表が結果的に同時に行われる場合もあり得ると考えられます。
- Q11-20
個人情報を提供して、匿名加工情報の作成を委託した場合、依頼する委託元事業者とこれを受けた委託先事業者にはどのような法律の規律が課せられますか。
- A11-20
個人情報を提供して匿名加工情報の作成を委託した場合には、匿名加工情報の作成は委託先事業者において行われることになりますが、匿名加工情報の作成は委託元事業者と委託先事業者が共同で行っているものと解されますので、法第 36 条の規定は委託元事業者と委託先事業者の双方に課せられると考えられます。ただし、匿名加工情報の作成時の公表については、施行規則第 21 条第2項により委託元事業者において行うものとされ、委託先においての公表は必要ありません。
- 4-5 識別行為の禁止
- Q11-21
匿名加工情報を取り扱っていたところ、偶然に当該匿名加工情報の作成の元となった個人情報の本人を識別してしまった場合にも識別行為の禁止義務に違反しますか。
- A11-21
法第 36 条第5項又は第 38 条に定めるように、匿名加工情報の作成の元となった個人情報の本人を識別するために他の情報と照合しているとはいえない場合は、直ちに識別行為の禁止義務に違反するものではないと考えられます。
もっとも、取り扱う匿名加工情報に記述等を付加して特定の個人を識別する状態となった場合には、個人情報の不適正な取得となりますので、当該情報を速やかに削除することが望ましいと考えられます。
- Q11-22
匿名加工情報や加工に関する方法の安全性の検証のために元となる個人情報と匿名加工情報を照合させることはできますか。
- A11-22
匿名加工情報に関しては、法第 36 条第5項及び第 38 条において、元となった個人情報に係る本人を識別するために、当該匿名加工情報を他の情報と照合してはならないとされています。匿名加工情報や加工に関する方法の安全性の検証のために他の情報と照合する行為は「当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために・・・照合」という要件に該当するかどうかという観点から個別に判断されるべきものと考えますが、仮にこの要件に該当しない範囲において法第 36 条第6項に定める匿名加工情報の安全管理措置の一環等で適切に行われる場合があれば同項に違反しないものとなり得ると考えられます。
5 個人データの漏えい等事案対応告示
- Q12-1
漏えい等事案が発覚した場合に講ずべき措置の「(1)事業者内部における報告及び被害の拡大防止」にある「責任ある立場の者」とは、どういう役職を想定していますか。
- A12-1
「責任ある立場の者」の役職は限定されていませんが、あらかじめ、取扱規程等により、漏えい等事案が発覚した場合の適切かつ迅速な報告連絡体制を整備しておくことが必要です。
- Q12-2
漏えい等事案が発覚した場合に講ずべき措置の「(1)事業者内部における報告及び被害の拡大防止」にある「漏えい等事案による被害が発覚時よりも拡大しないよう必要な措置を講ずる」とは、具体的には、どのような対応をとることが考えられますか。
- A12-2
例えば、外部からの不正アクセスや不正プログラムの感染が疑われる場合には、当該端末等の LAN ケーブルを抜いてネットワークからの切り離しを行うなどの措置を直ちに行うこと等が考えられます。
- Q12-3
漏えい等事案が発覚した場合に講ずべき措置の「(3)影響範囲の特定」にある「把握した事実関係による影響の範囲を特定する」とは、どういうことですか。
- A12-3
事案の内容によりますが、例えば、個人データの漏えいの場合は、漏えいした個人データに係る本人の数、漏えいした個人データの内容、漏えいした手段、漏えいした原因等を踏まえ、影響の範囲を特定することが考えられます。
- Q12-4
漏えい等事案が発覚した場合に講ずべき措置の「(5)影響を受ける可能性のある本人への連絡等」にある「本人が容易に知り得る状態に置く」とは、どういうことですか。
- A12-4
本人がアクセス(ログイン)できるホームページへの掲載や専用窓口の設置による対応などが考えられます。
- Q12-5
漏えい等事案が発覚した場合に講ずべき措置の「(5)影響を受ける可能性のある本人への連絡等」及び「(6)事実関係及び再発防止策等の公表」について、「漏えい等事案の内容等に応じて」とされていますが、どのような場合に本人への連絡等や公表をしなくてもよいのですか。
- A12-5
例えば、漏えい等事案に係る個人データ又は加工方法等情報について、第三者に閲覧されることなく速やかに回収した場合、高度な暗号化等の秘匿化がされている場合、漏えい等をした事業者以外では特定の個人を識別することができない場合であって本人 に被害が生じるおそれがない場合など、漏えい等事案によって本人の権利利益が侵害さ れておらず、二次被害の防止の観点からも必要はないと認められる場合等には、本人への連絡等や公表を省略することも考えられます。
なお、公表については、サイバー攻撃による場合等で、公表することでかえって被害の拡大につながる可能性があると考えられる場合にはこれを差し控え、専門機関等に相談することも考えられます。また、漏えい等事案の影響を受ける可能性のある本人全てに連絡がついた場合に公表を省略することも考えられます。
- Q12-6
漏えい等事案が発生した場合、個人情報保護委員会には、どのような方法で報告すればよいですか。
- A12-6
個人情報保護委員会のホームページに漏えい等事案の報告フォームを設置していますので、当該報告フォームから報告してください。なお、報告先が事業所管大臣又は認定個人情報保護団体となる場合は、当該報告先が定める方法に従ってください。
(令和元年6月更新) - Q12-7
「法第 44 条第1項に基づき法第 40 条第1項に規定する個人情報保護委員会の権限(報告徴収及び立入検査)が事業所管大臣に委任されている分野」とは、どの分野ですか。また、報告先はどこになりますか。
- A12-7
法第 44 条第1項に基づき法第 40 条第1項に規定する個人情報保護委員会の権限(報告徴収及び立入検査)が事業所管大臣に委任されている分野及びその報告先については、個人情報保護委員会のホームページにおいて公表していますので、そちらをご参照ください。
(平成 29 年5月更新) - Q12-8
個人情報保護委員会等への報告を要しないと規定されている場合であっても、個人情報保護委員会等への報告を行うことは可能ですか。
- A12-8
可能です。また、個人情報保護委員会等への報告を要しない場合に形式的に該当する場合であっても、漏えい等事案に係る個人データ又は加工方法等情報の件数が膨大であるなど社会的影響が大きいと考えられる事案の場合には、個人情報保護委員会等への報告を行うことが望ましいと考えられます。
- Q12-9
委託先において漏えい等事案が生じた場合、委託先が個人情報保護委員会等への報告を行うことになりますか。
- A12-9
委託先において漏えい等事案が発生した場合であっても、委託元が漏えい等事案に係る個人データ又は加工方法等情報について最終的な責任を有することに変わりありませんので、原則として、委託元が個人情報保護委員会等へ報告するよう努めていただきます。ただし、漏えい等事案に係る個人データ又は加工方法等情報の実際の取扱状況を知る委託先が報告の内容を作成したり、委託元及び委託先の連名で報告するといったことが妨げられるものではありません。
- Q12-10
実質的に個人データ又は加工方法等が外部に漏えいしていないと判断される場合に該当する「漏えい等事案に係る個人データ又は加工方法等情報について高度な暗号化等の秘匿化がされている場合」とは、どのような場合が該当しますか。
- A12-10
実質的に個人データ又は加工方法等情報が外部に漏えいしていないと判断される場合のうち、「高度な暗号化等の秘匿化がされている場合」に該当するためには、当該漏えい等事案が生じた時点の技術水準に照らして、漏えい等事案に係る情報について、これを第三者が見読可能な状態にすることが困難となるような暗号化等の技術的措置が講じられるとともに、そのような暗号化等の技術的措置が講じられた情報を見読可能な状態にするための手段が適切に管理されていることが必要と解されます。
第三者が見読可能な状態にすることが困難となるような暗号化等の技術的措置としては、適切な評価機関等により安全性が確認されている電子政府推奨暗号リストや ISO/IEC 18033 等に掲載されている暗号技術が用いられ、それが適切に実装されていることが考えられます。
また、暗号化等の技術的措置が講じられた情報を見読可能な状態にするための手段が適切に管理されているといえるためには、①暗号化した情報と復号鍵を分離するとともに復号鍵自体の漏えいを防止する適切な措置を講じていること、②遠隔操作により暗号化された情報若しくは復号鍵を削除する機能を備えていること、又は③第三者が復号鍵を行使できないように設計されていることのいずれかの要件を満たすことが必要と解されます。
- Q12-11
テンプレート保護技術(暗号化等の技術的措置を講じた生体情報を復号することなく本人認証に用いる技術)を施した個人識別符号が漏えいした場合も、個人情報保護委員会等への報告、本人への連絡等並びに事実関係及び再発防止策等の公表を行う必要がありますか。
- A12-11
テンプレート保護技術を施した個人識別符号について、高度な暗号化等の秘匿化(Q12-10 参照)がされており、かつ、当該個人識別符号が漏えいした場合に、漏えいの事実を直ちに認識し、テンプレート保護技術に用いる秘匿化のためのパラメータを直ちに変更するなど漏えいした個人識別符号を認証に用いることができないようにしている場合には、「実質的に個人データ又は加工方法等情報が外部に漏えいしていないと判断される場合」に該当し、個人情報保護委員会等への報告は不要と考えられます。
なお、本人への連絡等並びに事実関係及び再発防止策等の公表については、事案に応じて必要な措置を講ずることとされています。
- Q12-12
取引先に荷物を送付するに当たり、誤って宛名票を二重に貼付してしまい、本来の送付先とは無関係の第三者の宛名情報が漏えいした場合も、「FAX 若しくはメールの誤送信、又は荷物の誤配等のうち軽微なものの場合」に該当し得ますか。
- A12-12
御指摘の場合も、誤って貼付した宛名票において、宛先及び送信者名以外に個人 データ又は加工方法等情報が含まれていないのであれば、「FAX 若しくはメールの誤送信、又は荷物の誤配等のうち軽微なものの場合」に該当すると考えられます。
6 その他
- Q13-1
ガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)以外に、事業者が遵守すべきガイドライン等はありますか。
- A13-1
従来、関係省庁が作成していたガイドラインのうち個人情報保護法に関するものは、平成 27 年改正の施行(平成 29 年5月 30 日)をもって、原則として個人情報保護委員会が作成したガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)に一元化されます。 ただし、医療関連・金融関連・情報通信関連分野等については、個人情報の性質及び利用方法並びに従来の規律の特殊性を踏まえて、個人情報保護委員会が作成したガイドラインを基礎としつつ、追加的に、当該分野においてさらに必要となるガイドライン等が定められるため、これも遵守する必要があります。当該追加的なガイドライン等については、個人情報保護委員会のホームページを参照してください。
また、認定個人情報保護団体の対象事業者は、当該団体が作成する個人情報保護指針を遵守することが必要です。なお、事業者団体等が事業の実態及び特性を踏まえて自主的ルールを作成している場合もありますのであわせてご確認ください。