令和6年3月1日
個人情報保護委員会
「個人情報の保護に関する法律についてのガイドライン」に関するQ&A
[ PDF版 (PDF : 1222KB) | 令和6年3月 Q&Aの追加・更新 (PDF : 130KB) ]
目次
1 ガイドライン(通則編)
- 1-1 定義
- Q1-1
- Q1-2
- Q1-3
- Q1-4
- Q1-5
- Q1-6
- Q1-7
- Q1-8
- Q1-9
- Q1-10
- Q1-11
- Q1-12
- Q1-13
- Q1-14
- Q1-15
- Q1-16
- Q1-17
- Q1-18
- Q1-19
- Q1-20
- Q1-21
- Q1-22
- Q1-23
- Q1-24
- Q1-25
- Q1-26
- Q1-27
- Q1-28
- Q1-29
- Q1-30
- Q1-31
- Q1-32
- Q1-33
- Q1-34
- Q1-35
- Q1-36
- Q1-37
- Q1-38
- Q1-39
- Q1-40
- Q1-41
- Q1-42
- Q1-43
- Q1-44
- Q1-45
- Q1-46
- Q1-47
- Q1-48
- Q1-49
- Q1-50
- Q1-51
- Q1-52
- Q1-53
- Q1-54
- Q1-55
- Q1-56
- Q1-57
- Q1-58
- Q1-59
- Q1-60
- Q1-61
- Q1-62
- Q1-63
- 1-2 個人情報の利用目的(法第17条、第18条、第21条第3項関係)
- Q2-1
- Q2-2
- Q2-3
- Q2-4
- Q2-5
- Q2-6
- Q2-7
- Q2-8
- Q2-9
- Q2-10
- Q2-11
- Q2-12
- Q2-13
- Q2-14
- Q2-15
- 1-3 不適正利用の禁止(法第19条関係)(令和3年9月追加)
- Q3-1
- Q3-2
- Q3-3
- Q3-4
- 1-4 個人情報の取得(法第20条・第21条関係)
- Q4-1
- Q4-2
- Q4-3
- Q4-4
- Q4-5
- Q4-6
- Q4-7
- Q4-8
- Q4-9
- Q4-10
- Q4-11
- Q4-12
- Q4-13
- Q4-14
- Q4-15
- Q4-16
- Q4-17
- Q4-18
- 1-5 個人データの管理(法第22条~第25条関係)
- Q5-1
- Q5-2
- Q5-3
- Q5-4
- Q5-5
- Q5-6
- Q5-7
- Q5-8
- Q5-9
- Q5-10
- Q5-11
- Q5-12
- 1-6 個人データの漏えい等の報告等(第26条関係)(令和3年9月追加)
- Q6-1
- Q6-2
- Q6-3
- Q6-4
- Q6-5
- Q6-6
- Q6-7
- Q6-8
- Q6-9
- Q6-10
- Q6-11
- Q6-12
- Q6-13
- Q6-14
- Q6-15
- Q6-16
- Q6-17
- Q6-18
- Q6-19
- Q6-20
- Q6-21
- Q6-22
- Q6-23
- Q6-24
- Q6-25
- Q6-26
- Q6-27
- Q6-28
- Q6-29
- Q6-30
- Q6-31
- Q6-32
- Q6-33
- 1-7 個人データの第三者への提供(法第27条~第30条関係)
- Q7-1
- Q7-2
- Q7-3
- Q7-4
- Q7-5
- Q7-6
- Q7-7
- Q7-8
- Q7-9
- Q7-10
- Q7-11
- Q7-12
- Q7-13
- Q7-14
- Q7-15
- Q7-16
- Q7-17
- Q7-18
- Q7-19
- Q7-20
- Q7-21
- Q7-22
- Q7-23
- Q7-24
- Q7-25
- Q7-26
- Q7-27
- Q7-28
- Q7-29
- Q7-30
- Q7-31
- Q7-32
- Q7-33
- Q7-34
- Q7-35
- Q7-36
- Q7-37
- Q7-38
- Q7-39
- Q7-40
- Q7-41
- Q7-42
- Q7-43
- Q7-44
- Q7-45
- Q7-46
- Q7-47
- Q7-48
- Q7-49
- Q7-50
- Q7-51
- Q7-52
- Q7-53
- Q7-54
- Q7-55
- Q7-56
- Q7-57
- Q7-58
- 1-8 個人関連情報の第三者提供の制限等(法第31条)(令和3年9月追加)
- Q8-1
- Q8-2
- Q8-3
- Q8-4
- Q8-5
- Q8-6
- Q8-7
- Q8-8
- Q8-9
- Q8-10
- Q8-11
- Q8-12
- Q8-13
- 1-9 保有個人データに関する事項の公表等、保有個人データの開示・訂正等・利用停止等(法第32条~第39条関係)、個人情報の取扱いに関する苦情処理(法第40条関係)
- Q9-1
- Q9-2
- Q9-3
- Q9-4
- Q9-5
- Q9-6
- Q9-7
- Q9-8
- Q9-9
- Q9-10
- Q9-11
- Q9-12
- Q9-13
- Q9-14
- Q9-15
- Q9-16
- Q9-17
- Q9-18
- Q9-19
- Q9-20
- Q9-21
- Q9-22
- Q9-23
- Q9-24
- Q9-25
- Q9-26
- Q9-27
- Q9-28
- Q9-29
- Q9-30
- Q9-31
- Q9-32
- 1-10 講ずべき安全管理措置の内容
- Q10-1
- Q10-2
- Q10-3
- Q10-4
- Q10-5
- Q10-6
- Q10-7
- Q10-8
- Q10-9
- Q10-10
- Q10-11
- Q10-12
- Q10-13
- Q10-14
- Q10-15
- Q10-16
- Q10-17
- Q10-18
- Q10-19
- Q10-20
- Q10-21
- Q10-22
- Q10-23
- Q10-24
- Q10-25
- 1-11 その他
- Q11-1
- Q11-2
- Q11-3
- Q11-4
- Q11-5
- Q11-6
2 ガイドライン(外国にある第三者への提供編)
- Q12-1
- Q12-2
- Q12-3
- Q12-4
- Q12-5
- Q12-6
- Q12-7
- Q12-8
- Q12-9
- Q12-10
- Q12-11
- Q12-12
- Q12-13
- Q12-14
- Q12-15
- Q12-16
- Q12-17
- Q12-18
- Q12-19
- Q12-20
- Q12-21
3 ガイドライン(第三者提供時の確認・記録義務編)
- 3-1 確認・記録義務の適用対象
- Q13-1
- Q13-2
- Q13-3
- Q13-4
- Q13-5
- Q13-6
- Q13-7
- Q13-8
- Q13-9
- Q13-10
- Q13-11
- Q13-12
- Q13-13
- Q13-14
- Q13-15
- Q13-16
- Q13-17
- Q13-18
- Q13-19
- Q13-20
- Q13-21
- 3-2 確認義務、記録義務
- Q13-22
- Q13-23
- Q13-24
- Q13-25
- Q13-26
- Q13-27
- Q13-28
- Q13-29
- Q13-30
- Q13-31
- Q13-32
- Q13-33
- Q13-34
- Q13-35
4 ガイドライン(仮名加工情報・匿名加工情報編)
- 4-1 仮名加工情報(令和3年9月追加)
4-1-1 定義
- Q14-1
- Q14-2
4-1-2 仮名加工情報の適正な加工
- Q14-3
- Q14-4
- Q14-5
- Q14-6
- Q14-7
- Q14-8
- Q14-9
4-1-3 削除情報等の安全管理措置
- Q14-10
- Q14-11
- Q14-12
- Q14-13
4-1-4 仮名加工情報の利用目的の制限・公表
- Q14-14
- Q14-15
- Q14-16
4-1―5 仮名加工情報の第三者提供の禁止
- Q14-17
- Q14-18
4-1―6 本人への連絡等の禁止
- Q14-19
- Q14-20
4-1―7 識別行為の禁止
- Q14-21
4-2 匿名加工情報
- 4-2-1 定義
- Q15-1
- Q15-2
- Q15-3
- Q15-4
- 4-2-2 匿名加工情報の適正な加工
- Q15-5
- Q15-6
- Q15-7
- Q15-8
- Q15-9
- Q15-10
- Q15-11
- Q15-12
- Q15-13
- Q15-14
- 4-2-3 匿名加工情報等の安全管理措置等
- Q15-15
- Q15-16
- Q15-17
- Q15-18
- Q15-19
- 4-2-4 匿名加工情報の作成時の公表、匿名加工情報の第三者提供
- Q15-20
- Q15-21
- Q15-22
- Q15-23
- Q15-24
- Q15-25
- Q15-26
- Q15-27
- Q15-28
- 4-2-5 識別行為の禁止
- Q15-29
- Q15-30
5 その他
- Q16-1
- Q16-2
- 【凡例】
- 「法」 個人情報の保護に関する法律(平成15年法律第57号)
- 「施行令」 個人情報の保護に関する法律施行令(平成15年政令第507号)
- 「施行規則」 個人情報の保護に関する法律施行規則(平成28年個人情報保護委員会規則第3号)
- 「ガイドライン(通則編)」
個人情報の保護に関する法律についてのガイドライン(通則編)(平成 28年個人情報保護委員会告示第6号)
- 「ガイドライン(外国にある第三者への提供編)」
個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)(平成28年個人情報保護委員会告示第7号)
- 「ガイドライン(第三者提供時の確認・記録義務編)」
個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)(平成28年個人情報保護委員会告示第8号)
- 「ガイドライン(仮名加工情報・匿名加工情報編)」
個人情報の保護に関する法律についてのガイドライン(仮名加工情報・匿名加工情報編)(平成28年個人情報保護委員会告示第9号)
- 「ガイドライン(認定個人情報保護団体編)」
個人情報の保護に関する法律についてのガイドライン(認定個人情報保護団体編)(令和3年個人情報保護委員会告示第7号)
- 「ガイドライン(行政機関等編)」
個人情報の保護に関する法律についてのガイドライン(行政機関等編)(令和4年個人情報保護委員会告示第1号)
- 「事務対応ガイド(行政機関等向け)」
個人情報の保護に関する法律についての事務対応ガイド(行政機関等向け)
- 「Q&A(行政機関等編)」
個人情報の保護に関する法律についてのQ&A(行政機関等編)
-
※ なお、特に断りのない限り、本Q&Aにおいて示す個人情報の保護に関する法律の条番号は、令和3年改正による改正後の条番号を示すものとする。
その他の法令に係る条文は、本Q&Aの公表(令和5年3月31日)時点の条番号を示すものとする。※ 本Q&Aは、諸環境の変化を踏まえて、必要に応じ見直しを行うものとする。
1 ガイドライン(通則編)
1-1 定義
- (個人情報)
- Q1-1
「特定の個人を識別することができる」とは、どのような意味ですか。
- A1-1
「特定の個人を識別することができる」とは、社会通念上、一般人の判断力や理解力をもって、生存する具体的な人物と情報との間に同一性を認めるに至ることができることをいいます。
- (個人情報)
- Q1-2
ガイドライン(通則編)では、氏名のみでも個人情報に該当するとされていますが、同姓同名の人もあり、他の情報がなく氏名だけのデータでも個人情報といえますか。
- A1-2
本人と同姓同名の人が存在する可能性もありますが、氏名のみであっても、社会通念上、特定の個人を識別することができるものと考えられますので、個人情報に該当すると考えられます。
- (個人情報)
- Q1-3
住所や電話番号だけで個人情報に該当しますか。
- A1-3
個別の事例ごとに判断することになりますが、他の情報と容易に照合することにより特定の個人を識別することができる場合、当該情報とあわせて全体として個人情報に該当することがあります。
- (個人情報)
- Q1-4
メールアドレスだけでも個人情報に該当しますか。
- A1-4
メールアドレスのユーザー名及びドメイン名から特定の個人を識別することができる場合(例:kojin_ichiro@example.com)、当該メールアドレスは、それ自体が単独で、個人情報に該当します。
これ以外の場合、個別の事例ごとに判断することになりますが、他の情報と容易に照合することにより特定の個人を識別することができる場合、当該情報とあわせて全体として個人情報に該当することがあります。
- (個人情報)
- Q1-5
新聞やインターネットなどで既に公表されている個人情報は、個人情報保護法で保護されるのですか。
- A1-5
公知の情報であっても、その利用目的や他の個人情報との照合など取扱いの態様によっては個人の権利利益の侵害につながるおそれがあることから、個人情報保護法では、既に公表されている情報も他の個人情報と区別せず、保護の対象としています。
- (個人情報)
- Q1-6
外国に居住する外国人の個人情報についても、個人情報保護法による保護の対象になりますか。
- A1-6
居住地や国籍を問わず、日本にある個人情報取扱事業者及び行政機関等が取り扱う個人情報は、個人情報保護法による保護の対象となり得ます。
(令和4年4月更新) - (個人情報)
- Q1-7
個人情報に該当しない事例としては、どのようなものがありますか。
- A1-7
次のような事例が考えられます。
- 事例1)企業の財務情報等、法人等の団体そのものに関する情報(団体情報)
- 事例2)統計情報(複数人の情報から共通要素に係る項目を抽出して同じ分類ごとに集計して得られる情報)
- (個人情報)
- Q1-8
複数人の個人情報を機械学習の学習用データセットとして用いて生成した学習済みパラメータは、個人情報に当たりますか。
- A1-8
複数人の個人情報を機械学習の学習用データセットとして用いて生成した学習済みパラメータ(重み係数)は、学習済みモデルにおいて、特定の出力を行うために調整された処理・計算用の係数であり、当該パラメータと特定の個人との対応関係が排斥されている限りにおいては「個人に関する情報」に該当するものではないため、「個人情報」にも該当しないと考えられます。
(令和3年6月追加) - (個人情報)
- Q1-9
オンラインゲームで「ニックネーム」及び「ID」を公開していますが、個人情報に該当しますか。
- A1-9
オンラインゲームにおける「ニックネーム」及び「ID」が公開されていても、通常は特定の個人を識別することはできないため、個人情報には該当しません。ただし、「ニックネーム」又は「ID」を自ら保有する他の情報と容易に照合することにより特定の個人を識別できる可能性があり、そのような場合には個人情報に該当し得ます。また、例外的にニックネームやIDから特定の個人が識別できる場合(有名なニックネーム等)には、個人情報に該当します。
- (個人情報)
- Q1-10
顧客との電話の通話内容は個人情報に該当しますか。また、個人情報取扱事業者は、通話内容を録音している場合、録音している旨を相手方に伝えなければなりませんか。
- A1-10
通話内容から特定の個人を識別することが可能な場合には個人情報に該当します。個人情報に該当する場合、個人情報取扱事業者は、個人情報保護法上、利用目的を通知又は公表する義務を負いますが、録音していることについて伝える義務までは負いません。
(令和4年4月更新) - (個人情報)
- Q1-11
顧客との電話の通話内容を録音していますが、通話内容から特定の個人を識別することはできません。この場合の録音記録は、個人情報に該当しますか。
- A1-11
基本的には個人情報に該当しません。ただし、その他の情報と容易に照合でき、それによって特定の個人を識別することができれば、その情報とあわせて全体として個人情報に該当することはありますので、個別の事例ごとの判断が必要です。
なお、録音した音声から特徴情報を抽出し、これを話者認識システム等本人を認証することを目的とした装置やソフトウェアにより、本人を認証することができるデータに変換した場合、当該データは個人識別符号に該当し、それ単体で個人情報に該当します。
- (個人情報)
- Q1-12
カメラ画像から抽出した性別や年齢といった属性情報や、人物を全身のシルエット画像等に置き換えて作成した店舗等における移動軌跡データ(人流データ)は、個人情報に該当しますか。
- A1-12
個人情報とは、特定の個人を識別することができる情報をいいます。性別や年齢といった属性情報や、全身のシルエット画像等に置き換えて作成した店舗等における移動軌跡データ(人流データ)のみであれば、抽出元のカメラ画像や個人識別符号等特定の個人を識別することができる情報と容易に照合することができる場合を除き、個人情報には該当しません。
(令和5年5月更新) - (個人情報)
- Q1-13
店舗や、駅・空港等に従来型防犯カメラ(防犯目的で設置されているカメラのうち、撮影した画像から顔特徴データの抽出を行わないもの)を設置し、撮影したカメラ画像を防犯目的で利用することを考えています。個人情報保護法との関係で、どのような点に留意する必要がありますか。
- A1-13
個人情報取扱事業者は、カメラにより特定の個人を識別することができる画像を取得する場合、個人情報を取り扱うことになるため、利用目的をできる限り特定し、当該利用目的の範囲内でカメラ画像を利用しなければなりません。
また、個人情報の利用目的を本人に通知し、又は公表しなければなりませんが、カメラの設置状況等から利用目的が防犯目的であることが明らかである場合には、「取得の状況からみて利用目的が明らかであると認められる場合」(法第21条第4項第4号)に当たり、利用目的の通知・公表は不要と考えられます。
さらに、個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならないため、カメラの設置状況等から、カメラにより自らの個人情報が取得されていることを本人において容易に認識可能といえない場合には、容易に認識可能とするための措置を講じなければなりません(法第20条第1項)。例えば、防犯カメラが作動中であることを店舗や駅・空港等の入口や、カメラの設置場所等に掲示する等の措置を講じることが考えられます。また、外観上、カメラであることが明らかである等、カメラにより自らの個人情報が取得されていることを本人において容易に認識可能であったとしても、上記例で示した掲示等の措置を講じることにより、より容易に認識可能とすることが望ましいと考えられます。
(令和5年5月追加) - (個人情報)
- Q1-14
店舗や、駅・空港等に設置したカメラにより画像を取得し、そこから顔特徴データを抽出して、これを防犯目的で利用する(顔識別機能付きカメラシステムを利用する。)ことを考えています。個人情報保護法との関係で、従来型防犯カメラを利用する場合の留意点(Q1-13)に加えて、どのような点に留意する必要がありますか。
- A1-14
個人情報取扱事業者は、顔識別機能付きカメラシステムにより特定の個人を識別することができるカメラ画像やそこから得られた顔特徴データを取り扱う場合、個人情報を取り扱うことになるため、利用目的をできる限り特定し、当該利用目的の範囲内でカメラ画像や顔特徴データ等を利用しなければなりません。
具体的には、どのような個人情報の取扱いが行われているかを本人が利用目的から合理的に予測・想定できる程度に利用目的を特定しなければならないため、従来型防犯カメラの場合と異なり、犯罪防止目的であることだけではなく、顔識別機能を用いていることも明らかにして、利用目的を特定しなければなりません。
顔識別機能付きカメラシステムを利用する場合は、設置されたカメラの外観等から犯罪防止目的で顔識別機能が用いられていることを認識することが困難であるため、「取得の状況からみて利用目的が明らかであると認められる場合」(法第21条第4項第4号)に当たらず、個人情報の利用目的を本人に通知し、又は公表しなければなりません。また、顔識別機能付きカメラシステムに登録された顔特徴データ等が保有個人データに該当する場合には、保有個人データに関する事項の公表等(法第32条)をしなければなりません。なお、法第20条第1項に関する留意点はQ1-13のとおりです。
加えて、上記のとおり利用目的の通知・公表をしなければならず、また、本人から理解を得るためできる限り分かりやすく情報提供を行うため、顔識別機能付きカメラシステムの運用主体、同システムで取り扱われる個人情報の利用目的、問い合わせ先、さらに詳細な情報を掲載したWebサイトのURL又はQRコード等を店舗や駅・空港等の入口や、カメラの設置場所等に掲示することが望ましいと考えられます。
さらに、照合のためのデータベース(検知対象者のデータベース)に個人情報を登録するための登録基準を作成するに当たっては、対象とする犯罪行為等をあらかじめ明確にし、当該行為の性質に応じ、利用目的の達成に必要な範囲を超えて、個人情報が登録されることのないような登録基準としなければなりません(法第18条第1項)。例えば、犯罪行為等の防止を目的とするときは、登録基準の内容(登録対象者)は、当該犯罪行為等を行う蓋然性が高い者に厳格に限定し、登録時にも当該犯罪行為等を行う蓋然性があることを厳格に判断することが望ましいと考えられます。また、登録事務を行ういずれの担当者においても同様の判断を行うことができる文書化された統一的な基準を作成するとともに、当該基準に従って一定の運用を行うことができる体制を整備することも重要です。
駅・空港等で顔識別機能付きカメラシステムを利用する場合については、「犯罪予防や安全確保のための顔識別機能付きカメラシステムの利用について」(個人情報保護委員会、2023年3月)も参照のこと。
(令和5年5月更新) - (個人情報)
- Q1-15
防犯目的のために取得したカメラ画像やそこから得られた顔特徴データをマーケティング等の商業目的に利用することを考えています。個人情報保護法との関係で、どのような措置を講ずる必要がありますか。
- A1-15
当初防犯目的のために取得したカメラ画像やそこから得られた顔特徴データを、マーケティング等の商業目的のために利用する場合には、あらかじめ本人の同意を得なければなりません(法第18条第1項)。 なお、当初から商業目的のためにカメラ画像や顔特徴データを取得する場合については、Q1-13、Q1-14及びQ1-16を参照のこと。
(令和5年5月更新) - (個人情報)
- Q1-16
電光掲示板等に内蔵したカメラで撮影した本人の顔画像から、性別や年齢といった属性情報を抽出し、当該本人向けにカスタマイズした広告を電光掲示板等に表示しています。属性情報を抽出した後、顔画像は即座に削除しています。個人情報保護法上、どのような措置を講ずる必要がありますか。
- A1-16
個人情報取扱事業者は、カメラにより特定の個人を識別することができる画像を取得する場合、個人情報を取得することとなるため、偽りその他不正の手段により取得してはなりません。そのため、カメラの設置状況等から、カメラにより自らの個人情報が取得されていることを本人において容易に認識可能といえない場合には、容易に認識可能とするための措置を講じなければなりません。一般に、電光掲示板等に内蔵したカメラで撮影する場合には、掲示等がなければ、自らの個人情報が取得されていることを本人において容易に認識可能といえないと考えられるため、カメラが作動中であることを掲示する等、カメラにより自らの個人情報が取得されていることを本人において容易に認識可能とするための措置を講じなければなりません。
また、個人情報取扱事業者が、一連の取扱いにおいて、特定の個人を識別することができる顔画像を取得した後、顔画像から属性情報を抽出した上で、当該属性情報に基づき当該本人向けに直接カスタマイズした広告を配信する場合、当該顔画像を直ちに削除したとしても、個人情報を取り扱って広告配信を行っていると解されます。このため、個人情報取扱事業者は、顔画像から抽出した属性情報に基づき広告配信が行われることを本人が予測・想定できるように利用目的を特定し、これを通知・公表するとともに、当該利用目的の範囲内で顔画像を利用しなければなりません。
(令和5年5月更新) - (個人情報)
- Q1-17
A社が保有する個人情報を、特定の個人を識別できない統計情報としてB社に提供した場合、B社においては、この情報は個人情報に該当しますか。
- A1-17
統計情報(複数人の情報から共通要素に係る項目を抽出して同じ分類ごとに集計して得られる情報)は、特定の個人との対応関係が排斥されている限りにおいては、 「個人に関する情報」に該当するものではないため、「個人情報」にも該当しないと考えられます。
- (個人情報)
- Q1-18
事業者の各取扱部門が独自に取得した個人情報を取扱部門ごとに設置されているデータベースにそれぞれ別々に保管している場合において、ある取扱部門のデータベースと他の取扱部門のデータベースの双方を取り扱うことができないときには、「容易に照合することができ」(法第2条第1項)ないといえますか。
- A1-18
事業者の各取扱部門が独自に取得した個人情報を取扱部門ごとに設置されているデータベースにそれぞれ別々に保管している場合において、双方の取扱部門やこれらを統括すべき立場の者等が、規程上・運用上、双方のデータベースを取り扱うことが厳格に禁止されていて、特別の費用や手間をかけることなく、通常の業務における一般的な方法で双方のデータベース上の情報を照合することができない状態である場合は、「容易に照合することができ」ない状態であると考えられます。
一方、双方の取扱部門の間で、通常の業務における一般的な方法で双方のデータベース上の情報を照合することができる状態である場合は、「容易に照合することができ」る状態であると考えられます。
- (個人情報)
- Q1-19
「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなる」(法第2条第1項)に該当する事例としては、どのようなものがありますか。
- A1-19
例えば、特定の個人を識別することができる情報に割り当てられている識別子(例:顧客ID等)と共通のものが割り当てられていることにより、事業者内部において、特定の個人を識別することができる情報とともに参照することが可能な場合、他の情報と容易に照合することができると解され得るものと考えられます。
- (個人情報)
- Q1-20
顧客情報のみでなく、従業員に関する情報も個人情報保護法の規律に従って取り扱う必要がありますか。
- A1-20
従業員に関する情報であっても、法第2条第1項の定義に該当する場合には、個人情報に該当するため、同法の規律に従って取り扱う必要があります。
- (個人情報)
- Q1-21
死者の情報は、個人情報保護法の保護の対象になりますか。
- A1-21
個人情報保護法は、「個人情報」を生存する個人に関する情報に限っており、死者に関する情報については保護の対象とはなりません。
ただし、死者に関する情報が、同時に生存する遺族などに関する情報である場合(例:死者の家族関係に関する情報は、死者に関する情報であると同時に、生存する遺族に関する情報である場合があります。)には、その遺族などに関する「個人情報」となります。
なお、生存する個人と死者に関する情報を一体的に管理しているような場合において、事業及び情報の性質等を踏まえて、死者の情報についても漏えい等しないように適切に管理することは、望ましい取組と考えます。
- (個人識別符号)
- Q1-22
施行令第1条第1号に規定された個人識別符号に関するガイドライン(通則編)の記載において、「本人を認証することができるようにしたもの」とありますが、これは具体的にどのようなことを想定しているのですか。
- A1-22
「本人を認証することができるようにしたもの」とは、登録された顔の容貌やDNA、指紋等の生体情報をある人物の生体情報と照合することで、特定の個人を識別することができる水準である符号を想定しています。
- (個人識別符号)
- Q1-23
施行令第1条第1号に規定された個人識別符号に関するガイドライン(通則編)の記載において、「本人を認証することを目的とした装置やソフトウェアにより、本人を認証することができるようにしたもの」とありますが、これは、事業者が認証を目的としてある符号を取り扱っている場合にのみ、当該符号が個人識別符号に該当するという趣旨ですか。
- A1-23
「本人を認証することができるようにしたもの」とは、「本人を認証することができるだけの水準がある」という趣旨であり、事業者が実際に認証を目的として取り扱っている場合に限定しているものではありません。
- (個人識別符号)
- Q1-24
ゲノムデータは個人識別符号に位置付けられていますが、学術研究機関等が学術研究目的でゲノムデータを取り扱う場合にも個人情報保護法は適用されますか。
- A1-24
学術研究機関等(大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者をいう。法第16条第8項)が学術研究目的でゲノムデータを取り扱う場合にも、個人情報保護法が適用されます。その上で、利用目的による制限(法第18条第1項)、要配慮個人情報の取得制限(法20条第2項)、第三者提供の制限(法第27条第1項)等については、個人の権利利益を不当に侵害するおそれがある場合を除き、学術研究機関等に関する例外規定が設けられています(法第18条第3項第5号及び第6号、法第20条第2項第5号から第7号まで、法第27条第1項第5号から第7号まで等)。
(令和4年4月更新) - (個人識別符号)
- Q1-25
携帯電話番号やクレジットカード番号は個人識別符号に該当しますか。
- A1-25
携帯電話番号やクレジットカード番号は、様々な契約形態や運用実態があり、およそいかなる場合においても特定の個人を識別することができるとは限らないこと等から、個人識別符号に位置付けておりません。
なお、このような番号も、氏名等の他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなる場合には、個人情報に該当します。
- (個人識別符号)
- Q1-26
各種被保険者証に記載されている各種保険者番号・被保険者記号・番号は、それぞれの番号等自体が個人識別符号なのですか、それとも3つ揃うことで個人識別符号なのですか。
- A1-26
各種被保険者証に記載されている各種保険者番号・被保険者記号・番号は、3つ(被保険者記号が無い場合は2つ)揃うことで特定の個人を識別することができ、個人識別符号に該当します。
(令和4年4月更新) - (要配慮個人情報)
- Q1-27
「○△教に関する本を購入した」という購買履歴の情報や、特定の政党が発行する新聞や機関誌等を購読しているという情報は、要配慮個人情報に該当しますか。
- A1-27
当該情報だけでは、それが個人的な信条であるのか、単に情報の収集や教養を目的としたものであるのか判断することが困難であり、「信条」を推知させる情報にすぎないため、当該情報のみでは要配慮個人情報には該当しないと解されます。
- (要配慮個人情報)
- Q1-28
診療又は調剤に関する情報は、全て要配慮個人情報に該当しますか。
- A1-28
本人に対して医師等により行われた健康診断等の結果及びその結果に基づき医師等により指導又は診療若しくは調剤が行われたことは、要配慮個人情報に該当します(施行令第2条第2号及び第3号)。
具体的には、病院、診療所、その他の医療を提供する施設における診療や調剤の過程において、患者の身体の状況、病状、治療状況等について、医師、歯科医師、薬剤師、看護師その他の医療従事者が知り得た情報全てを指し、診療記録や調剤録、薬剤服用歴、お薬手帳に記載された情報等が該当します。
また、病院等を受診したという事実及び薬局等で調剤を受けたという事実も該当します。
- (要配慮個人情報)
- Q1-29
消費者直販型遺伝子検査の結果(いわゆるDTC遺伝子検査の結果)は、要配慮個人情報に該当しますか。
- A1-29
消費者直販型遺伝子検査の結果(いわゆるDTC(direct to consumer)遺伝子検査の結果)は、当該検査が施行令第2条第2号に規定する「医師その他医療に関連する職務に従事する者」(医師等)により行われ、かつ、疾病の予防及び早期発見のために行われたものである場合には、要配慮個人情報に該当します。
(令和4年4月更新) - (要配慮個人情報)
- Q1-30
受刑の経歴は、要配慮個人情報に該当しますか。
- A1-30
受刑の経歴は、「有罪の判決を受けてこれが確定したこと」に係る事実に当たるため、要配慮個人情報に該当します。
- (要配慮個人情報)
- Q1-31
ある人の犯罪行為を撮影した防犯カメラ映像は、要配慮個人情報に該当しますか。
- A1-31
単に防犯カメラの映像等で、犯罪行為が疑われる映像が映ったのみでは、犯罪の経歴にも刑事事件に関する手続が行われたことにも当たらないため、要配慮個人情報に該当しません。
- (要配慮個人情報)
- Q1-32
外国政府により刑事事件に関する手続を受けた事実は、要配慮個人情報に該当しますか。
- A1-32
外国政府により、本人を被疑者又は被告人として刑事手続が行われた事実は、施行令第2条第4号に該当し、要配慮個人情報に該当します。
- (要配慮個人情報)
- Q1-33
無罪判決を受けた事実は、要配慮個人情報に該当しますか。
- A1-33
無罪判決を受けた事実は、それまで犯罪の嫌疑を受けて逮捕、取調べ、勾留、公訴提起等をされたことを示すため、本人を被疑者又は被告人として刑事事件に関する手続を受けた場合に含まれ、要配慮個人情報に該当します。
- (要配慮個人情報)
- Q1-34
不起訴処分となった場合は、「刑事事件に関する手続」として要配慮個人情報に該当しますか。
- A1-34
施行令で定める「刑事事件に関する手続」の範囲には、被疑者又は被告人の立場で刑事事件に関して刑事訴訟法に基づく一切の手続を受けた事実を含んでおり、具体的には、刑事訴訟法に基づく逮捕、捜索、差押え、勾留、公訴の提起のほか、不起訴、不送致、微罪処分等も該当します。
- (要配慮個人情報)
- Q1-35
障害福祉サービス事業者等において個人情報を取り扱う際に、留意すべきことはありますか。
- A1-35
障害福祉サービス事業者等においては、個人情報の取得や個人データの第三者提供、保有個人データに関する事項の公表等の段階に応じて、手話、点字等の方法により本人に対し、その利用目的を明示することや、ホームページへの音声データの掲載を行うこと、知的障害者等に対してあらかじめ必要な情報が本人の知り得る状態にあることを平易な表現を用いて説明すること等、その障害の特性に応じた適切な配慮を行うことが望ましいと考えられます。
なお、障害福祉サービス事業者等以外の個人情報取扱事業者においても、これに準じた適切な配慮を行うことが望ましいと考えられます。
- (要配慮個人情報)
- Q1-36
要配慮個人情報を取得する際に、その本人が、同意したことによって生ずる結果について十分な判断能力を有しない障害者であるような場合には、どのように対応すればよいですか。
- A1-36
障害者本人に十分な判断能力がなく、成年後見人等の法定代理人が選任されている場合には、法定代理人から同意を得る必要があります。成年後見人等の法定代理人が選任されていない場合で、例えば、障害福祉サービス事業所が成年後見人等の法定代理人が選任されていない障害者に障害福祉サービスを提供するために、必要な範囲で要配慮個人情報の提供を受けるときは、法第20条第2項第2号「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」に該当すると解されるため、あらかじめ本人の同意を得ることなく、障害者の親族等から要配慮個人情報を取得することができると考えられます。
- (個人情報データベース等)
- Q1-37
メールソフトのアドレス帳や一定の規則で整理された名刺について、従業者本人しか使用できない状態であれば、企業の個人情報データベース等には該当しないと考えてよいですか。
- A1-37
従業者の私的な使用のみに用いられているのであれば、企業にとっての個人情報データベース等に該当しないと考えられます。しかし、従業者が企業における業務の用に供するために使用しているのであれば、企業の個人情報データベース等に該当することになり得ます。
- (個人情報データベース等)
- Q1-38
従業者が業務上使用している携帯電話等の電話帳に氏名と電話番号のデータが登録されている場合、個人情報データベース等に該当しますか。
- A1-38
特定の個人情報を検索できるように個人情報を体系的に構成されているといえるため、個人情報データベース等に該当すると解されます。
- (個人情報データベース等)
- Q1-39
ガイドライン(通則編)2-4の個人情報データベース等に該当する事例1に、「電子メールソフトに保管されているメールアドレス帳」とありますが、他人には容易に検索できない独自の分類方法によりメールアドレスを分類した状態である場合は、個人情報データベース等に該当しないと考えてよいですか。
- A1-39
メールアドレス帳に氏名を付してメールアドレスを保存した場合は、一般的には、当該アドレス帳の検索機能を使うことにより第三者でも特定のメールアドレスの検索を容易に行うことができるため、「他人には容易に検索できない独自の分類方法」となっていないと考えられます。したがって、この場合は個人情報データベース等に該当すると解されます。
- (個人情報データベース等)
- Q1-40
文書作成ソフトで議事録を作成しました。議事録には会議出席者の氏名が記録されており、文書作成ソフトの検索機能を用いれば、特定の個人を検索することが可能です。この議事録は個人情報データベース等に該当しますか。
- A1-40
文書作成ソフトで作成された議事録は、会議出席者の氏名が記録されているとしても、特定の個人情報を検索することができるように「体系的に構成」されているものとはいえないため、個人情報データベース等には該当しないと解されます。
- (個人情報データベース等)
- Q1-41
防犯カメラやビデオカメラなどで記録された映像情報は、特定の個人を識別することができる映像であれば、個人情報データベース等に該当しますか。
- A1-41
特定の個人を識別することができる映像情報であれば、個人情報に該当しますが、特定の個人情報を検索することができるように「体系的に構成」されたものでない限り、個人情報データベース等には該当しないと解されます。すなわち、記録した日時について検索することは可能であっても、特定の個人に係る映像情報について検索することができない場合には、個人情報データベース等には該当しないと解されます。
(令和5年5月更新) - (個人情報データベース等)
- Q1-42
録音した会話の内容に個人の氏名が含まれていますが、この場合、個人情報データベース等に該当しますか。
- A1-42
会話の内容に氏名が含まれていても、当該氏名により容易に検索可能な状態に整理されていない限り、個人情報データベース等に該当しません。
- (個人情報データベース等)
- Q1-43
宅配便の送り状を受けた日付順に並べてファイリングしていますが、この場合、個人情報データベース等に該当しますか。
- A1-43
送り状に氏名等の個人情報が含まれていても、当該送り状を受けた日付順に並べているだけで、特定の個人情報が含まれている送り状を検索し、抽出することが容易にできる状態に整理していない場合には、個人情報データベース等に該当しません。
- (個人情報データベース等)
- Q1-44
市販の電話帳等を無償で譲り受けた場合は個人情報データベース等から除外されますか。
- A1-44
市販されている名簿等を無償で譲り受けた場合については、当該名簿がいつでも購入することができ、広く一般に市販されているものに変わりはないことから、これに生存する個人に関する他の情報を加えることなくその本来の用途に供しているものである場合、利用方法からみて個人の権利利益を害するおそれが少ないものとして施行令で定めるものの要件に該当し、個人情報データベース等から除外されます。
- (個人情報データベース等)
- Q1-45
市販の職員録をインターネット上からデータをダウンロードして購入した場合であっても、個人情報データベース等から除外されますか。
- A1-45
市販されている名簿等であれば、書籍であっても電子データであっても、購入者が入手する個人情報の内容において変わりはなく、販売形態の違いをもって区別する制度上の合理性はないことから、施行令第4条第1項第1号の「発行」は紙媒体に限らず、電子データも含みます。すなわち、市販の職員録等の電子データをダウンロードして購入した場合も、当該データは個人情報データベース等から除外されます。
- (個人情報データベース等)
- Q1-46
カーナビゲーションシステムを購入したユーザーにおいて、ルート設定や過去の訪問歴等を記録した場合は、当該ユーザーにとって当該カーナビゲーションシステムは個人情報データベース等から除外されますか。
- A1-46
カーナビゲーションシステムを購入したユーザーによるルート設定や訪問歴の記録は、当該カーナビゲーションシステムに含まれるデータをメモリに入れているにとどまり、「生存する個人に関する他の情報を加え」たことには該当しないことから、当該ユーザーにとっては個人情報データベース等に該当しません。ただし、当該ユーザーにおいて、新たに個人情報等を加えてデータベースの内容を変更した場合は、個人情報データベース等に該当し得るものと考えます。
- (個人情報データベース等)
- Q1-47
ハローページは無償で頒布されていますが、個人情報データベース等から除外されないのですか。
- A1-47
ハローページは、全国的に無償頒布されているものの、住んでいる場所以外の地域のハローページについても広く有料で販売されており、誰もがいつでも購入することができるものに当たると考えられます。したがって、個人情報データベース等から除外されます。
- (個人情報データベース等)
- Q1-48
個人情報データベース等に入力する前の帳票類であれば、個人情報データベース等に該当しませんか。
- A1-48
個人情報データベース等に入力する前の帳票等であっても、それに記載された個人情報を50音順に整理している場合など、特定の個人情報を容易に検索することができるように体系的に構成している場合には、それ自体が個人情報データベース等に該当します。
- (個人情報データベース等)
- Q1-49
インターネット上等において不特定多数の者が取得できる公開情報(一般人・民間企業が公表している情報だけでなく、官報等公的機関が公表している情報を含む)を取得し、新たに特定の個人情報を検索することができるように構成したデータベースを作成した上で、不特定多数の者が閲覧できるようにすることはできますか。
- A1-49
公開情報であっても、生存する個人に関する情報であって特定の個人を識別できる情報(他の情報と容易に照合できる場合を含みます。)は、個人情報に該当し、このような情報を集めて、新たに特定の個人情報を検索できるように作成したデータベ ースは、原則として、個人情報データベース等に該当します。
したがって、事業者の規模にかかわらず、これを事業の用に供している場合は、個人情報取扱事業者に該当するため、利用目的の通知又は公表が必要となります(法第21条第1項)。
また、このような情報を不特定多数の者が閲覧できるような状態に供する行為は、第三者提供に該当し、原則として本人の同意が必要になります(法第27条第1項)。
(令和元年6月追加) - (個人情報取扱事業者)
- Q1-50
個人情報を取り扱う件数が少ない事業者も個人情報取扱事業者に該当しますか。
- A1-50
個人情報データベース等を事業の用に供している者であれば、当該個人情報データベース等を構成する個人情報によって識別される特定の個人の数の多寡にかかわらず、個人情報取扱事業者に該当します。
なお、平成27年改正の施行(平成29年5月30日)前においては、5000人分以下の個人情報しか取り扱っていない者は、個人情報取扱事業者から除外されていましたが、施行後はこれらの者も個人情報取扱事業者に該当することとなりますので、注意が必要です。
- (個人情報取扱事業者)
- Q1-51
個人情報を「事業の用に供している」とは、どのような意味ですか。加工、分析などをせず、データベースとして利用しているのみであれば、該当しませんか。
- A1-51
「事業の用に供している」とは、事業者がその行う事業のために個人情報を利用していることをいい、特にその方法は限定されません。事業のために個人情報データベース等を作成、加工、分析、提供することだけでなく、事業を行う上で必要となる顧客情報、従業員情報、配達先情報などをデータベースとして利用していることなども含みます。
- (個人情報取扱事業者)
- Q1-52
従業者に関する個人情報データベース等しか保有していない場合であっても、個人情報取扱事業者に該当しますか。
- A1-52
取り扱っている個人情報が従業者の個人情報のみであっても、個人情報データベース等を事業の用に供している者は、個人情報取扱事業者に該当します。
- (個人情報取扱事業者)
- Q1-53
委託業務として、委託元の個人情報データベース等を利用していますが、この場合も、個人情報取扱事業者に該当しますか。
- A1-53
委託元の個人情報データベース等を加工・分析等をせずにそのまま利用する場合でも、委託された業務を行うために利用するのであれば「事業の用に供している」ことになり、委託先も個人情報取扱事業者に該当します。
- (個人情報取扱事業者)
- Q1-54
NPO 法人や自治会・町内会、同窓会、PTA のような非営利の活動を行っている団体も、個人情報取扱事業者として、個人情報保護法の規制を受けるのですか。
- A1-54
個人情報保護法における「事業」とは、一定の目的をもって反復継続して遂行される同種の行為であって、かつ社会通念上事業と認められるものをいい、営利・非営利の別は問いません。したがって、非営利の活動を行っている団体であっても、個人情報データベース等を事業の用に供している場合は、個人情報取扱事業者に該当します。NPO法人や自治会・町内会、同窓会、PTAのほか、サークルやマンション管理組合なども個人情報取扱事業者に該当し得ます。
(平成30年7月更新) - (個人情報取扱事業者)
- Q1-55
民生委員・児童委員が個人情報を取り扱う場合、個人情報取扱事業者として個人情報保護法の規制を受けるのですか。
- A1-55
民生委員・児童委員は非常勤・特別職の地方公務員であり、法第16条第2項第2号における「地方公共団体」の職員に当たることから、民生委員・児童委員として活動する範囲内では個人情報取扱事業者から除かれています。
なお、民生委員・児童委員には民生委員法第15条等により守秘義務が課されています。
(平成30年7月追加) - (保有個人データ)
- Q1-56
個人データの取扱いが委託される場合、当該個人データは委託元と委託先のどちらの保有個人データとなりますか。
- A1-56
特に定めのない限り、委託元の保有個人データになると考えられますが、具体的には個別の事例ごとに判断することとなります。
委託元が、個人データを受託処理する個人情報取扱事業者である委託先に対し、自らの判断で当該個人データの開示等を行う権限を付与していないとき(委託元・委託先間で何ら取決めがなく委託先が自らの判断で開示等をすることができない場合も含む。)は、本人に対する開示等の権限を有しているのは委託元であるため、当該個人データは委託元の「保有個人データ」となります。
- (保有個人データ)
- Q1-57
ガイドライン(通則編)2-7の「(4)当該個人データの存否が明らかになることにより、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの」の事例1について、「警察から捜査関係事項照会等がなされることにより初めて取得した個人データ」とありますが、これは具体的にはどのような意味ですか。
- A1-57
例えば、ある事業者が、ある人物に関し、警察から刑事訴訟法第197条第2項に基づき、顧客情報の提供依頼を受けたが、依頼がなされた時点では、当該事業者が当該人物の個人データを保有していない場合、当該照会によって当該事業者は初めて当該人物の個人データを入手することとなります。このような個人データの存否が明らかになれば、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるため、「保有個人データ」からは除外されます。したがって、この事例では、当該人物の個人データは、開示請求の対象外となります。
- (保有個人データ)
- Q1-58
ガイドライン(通則編)2-7の「(4)当該個人データの存否が明らかになることにより、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの」の事例4について、「振り込め詐欺に利用された口座に関する情報に含まれる個人データ」とありますが、振り込め詐欺に利用された口座に関する全ての情報が「保有個人データ」に当たらないということですか。
- A1-58
振り込め詐欺に利用された口座であっても、名義人の氏名、住所、連絡先、口座番号等、口座開設の際に必要な当該名義人に関する情報そのものは、「保有個人データ」に該当します。他方、警察からの当該口座に関する照会に対応する過程で作成した照会受理簿、回答発信簿、照会対象者リスト等の個人データは、保有個人データに当たらないこととなります。
- (公表)
- Q1-59
店頭販売が中心の事業者が「公表」を行う場合、店頭ではなくホームページで公表することは可能ですか。
- A1-59
「公表」とは、広く一般に自己の意思を知らせることであり、公表に当たっては、事業の性質及び個人情報の取扱状況に応じ、合理的かつ適切な方法による必要があります。ホームページで公表することも可能と解されますが、当該店舗に来訪した者にとってそのホームページが合理的に把握可能であることを含め、分かりやすい場所への掲載が求められるものと解されます。
- (本人の同意)
- Q1-60
本人に対して、一定期間内に回答がない場合には同意したものとみなす旨の電子メールを送り、当該期間を経過した場合に、本人の同意を得たこととすることはできますか。
- A1-60
本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な方法によらなければなりません。したがって、一定期間回答がなかったことのみをもって、一律に本人の同意を得たものとすることはできません。
- (本人の同意)
- Q1-61
同意は、本人の明示的な意思表示を受ける方法によらなければなりませんか。
- A1-61
同意は、本人による承諾の意思表示をいいますので、「明示の同意」以外に「黙示の同意」が認められるか否かについては、個別の事案ごとに、具体的に判断することとなります。
- (本人の同意)
- Q1-62
何歳以下の子どもについて、同意をしたことによって生ずる結果を判断できる能力を有していないものとして、法定代理人等から同意を得る必要がありますか。
- A1-62
法定代理人等から同意を得る必要がある子どもの具体的な年齢は、対象となる個人情報の項目や事業の性質等によって、個別具体的に判断されるべきですが、一般的には12歳から15歳までの年齢以下の子どもについて、法定代理人等から同意を得る必要があると考えられます。
- (法令に基づく場合)
- Q1-63
個人情報保護法におけるいくつかの義務の例外規定として「法令に基づく場合」というものがありますが、ガイドライン(通則編)に記載されたもの(刑事訴訟法第197条第2項に基づく警察の捜査関係事項照会への対応等)の他にどのようなものがありますか。また、「法令」とは、法律以外も含まれるのですか。
- (参考)「法令に基づく場合」という例外規定が関連する主な条文
-
- 法第18条第3項第1号(利用目的による制限)
- 法第20条第2項第1号(要配慮個人情報の取得)
- 法第27条第1項第1号(第三者提供の制限)
- 法第28条(外国にある第三者への提供の制限)
- 法第29条(第三者提供に係る記録の作成等)
- 法第30条(第三者提供を受ける際の確認等)
- 法第31条(個人関連情報の第三者提供の制限等)
- 法第41条第6項(個人情報である仮名加工情報の第三者提供の制限等)
- 法第42条第1項(個人情報でない仮名加工情報の第三者提供の制限等)
- A1-63
次のようなものが考えられます。なお、「法令」には、「法律」のほか、法律に基づいて制定される「政令」「府省令」や地方公共団体が制定する「条例」などが含まれますが、一方、行政機関の内部における命令や指示である「訓令」や「通達」は、「法令」に含まれません。
- ○少年法第6条の4に基づく触法少年の調査に必要な質問や調査関係事項照会等
- ○少年法第6条の5に基づく令状による触法少年の調査
- ○金融商品取引法第210条、第211条等に基づく証券取引等監視委員会の職員による犯則事件の調査への対応
- ○犯罪による収益の移転防止に関する法律第4条に基づく取引時確認への対応
- ○犯罪による収益の移転防止に関する法律第8条第1項に基づく特定事業者による疑わしい取引の届出
- ○所得税法第225条第1項等による税務署長に対する支払調書等の提出
- ○国税通則法第74条の2に基づく税関の職員による消費税に関する調査への対応
- ○関税法第105条第1項各号に基づく税関の職員による関税法に基づく質問検査への対応
- ○国税通則法第131条、関税法第119条等に基づく税務署等及び税関の職員による犯則事件の調査への対応
- ○国税徴収法第141条に基づく税務署等及び税関の職員による滞納処分のための調査への対応
- ○地方税法第20 条の11 に基づく徴税吏員による地方税に関する調査に係る協力要請への対応
- ○地方税法第73 条の8第1項、地方税法第353 条第1項に基づく道府県又は市町村の徴税吏員等による不動産取得税・固定資産税に関する調査に係る質問検査への対応
- ○刑事訴訟法第507条による裁判執行関係事項照会への対応
- ○刑事訴訟法第279条、心神喪失等の状態で重大な他害行為を行った者の医療及び観察等に関する法律第24条第3項による裁判所からの照会への対応
- ○民事訴訟法第186条、第226条、家事事件手続法第62条による裁判所からの文書送付や調査の嘱託への対応
- ○家事事件手続法第58条に基づく家庭裁判所調査官による事実の調査への対応
- ○犯罪被害財産等による被害回復給付金の支給に関する法律第28条による検察官や被害回復事務管理人からの照会への対応
- ○児童虐待の防止等に関する法律第6条第1項に基づく児童虐待に係る通告
- ○統計法第13条による国勢調査などの基幹統計調査に対する報告
- ○統計法第30条及び第31条による国勢調査などの基幹統計調査に関する協力要請への対応
- ○会社法第381条第3項による親会社の監査役の子会社に対する調査への対応
- ○会社法第396条及び金融商品取引法第193条の2の規定に基づく財務諸表監査への対応
- 〇感染症の予防及び感染症の患者に対する医療に関する法律第15条第1項に基づく保健所が行う積極的疫学調査に対応する場合
- 〇電気事業法第34条第1項に基づき、災害発生時の停電復旧対応の迅速化等のため、経済産業大臣の求めに応じて、一般送配電事業者又は配電事業者が、関係行政機関又は地方公共団体の長に対して必要な情報を提供する場合
- 〇空家等対策の推進に関する特別措置法第10条第3項に基づき、市町村長からの求めに応じて、電気、ガス等の供給事業者等が、市町村長に対して空家等の所有者等に関する情報を提供する場合
- 〇生活保護法第29条に基づき、保護の決定若しくは実施等のために必要があるときに、要保護者等及びその扶養義務者の資産、収入及び支出の状況等について、保護の実施機関及び福祉事務所長からの求めに応じて報告する場合
- 〇賃金の支払の確保等に関する法律第12条の2第1項に基づく要請に応じて、労働基準監督署長に対して情報を提供する場合
(令和5年3月更新)
1-2 個人情報の利用目的(法第17条、第18条、第21条第3項関係)
- (利用目的の特定)
- Q2-1
個人情報取扱事業者は、個人情報の利用目的を「できる限り特定しなければならない」とされていますが、どの程度まで特定する必要がありますか。
- A2-1
利用目的を「できる限り」特定するとは、個人情報取扱事業者において、個人情報をどのような目的で利用するかについて明確な認識を持つことができ、また、本人において、自らの個人情報がどのような事業の用に供され、どのような目的で利用されるのかについて一般的かつ合理的に予測・想定できる程度に、利用目的を特定することをいいます。このため、特定される利用目的は、具体的で本人にとって分かりやすいものであることが望ましく、例えば、単に「お客様のサービスの向上」等のような抽象的、一般的な内容を利用目的とすることは、できる限り具体的に特定したことにはならないと解されます。
また、一連の個人情報の取扱いの中で、本人が合理的に予測・想定できないような個人情報の取扱いを行う場合には、かかる取扱いを行うことを含めて、利用目的を特定する必要があります。例えば、いわゆる「プロファイリング」といった、本人に関する行動・関心等の情報を分析する処理を行う場合には、分析結果をどのような目的で利用するかのみならず、前提として、かかる分析処理を行うことを含めて、利用目的を特定する必要があります。具体的には、以下のような事例においては、分析処理を行うことを含めて、利用目的を特定する必要があります。
- 事例1)ウェブサイトの閲覧履歴や購買履歴等の情報を分析して、本人の趣味・嗜好に応じた広告を配信する場合
- 事例2)行動履歴等の情報を分析して信用スコアを算出し、当該スコアを第三者へ提供する場合
(令和3年9月更新)
- (利用目的の特定)
- Q2-2
顧客の個人情報だけでなく、従業員を雇用するに当たり取り扱う当該従業員の個人情報についても、利用目的を特定する必要がありますか。
- A2-2
従業員を雇用するに当たり当該従業員の個人情報を取り扱う場合も、当該個人情報の利用目的をできる限り特定する必要があります。加えて、個人情報取扱事業者と従業員本人との間で争いとならないようにするためには、あらかじめ労働組合等に通知し、必要に応じて協議を行うことも望ましいと考えられます。
- (利用目的の特定)
- Q2-3
「利用」とは何を意味しますか。
- A2-3
特段の定義があるわけではありませんが、取得及び廃棄を除く取扱い全般を意味すると考えられます。したがって、保管しているだけでも利用に該当します。
- (利用目的の特定)
- Q2-4
登記簿等を閲覧して個人情報を取得する場合も利用目的の特定が必要ですか。
- A2-4
登記簿等により公開されているものでも個人情報であることに変わりはなく、それを取得する場合には利用目的の特定が必要です。
- (利用目的の特定)
- Q2-5
個人情報を統計処理して特定の個人を識別することができない態様で利用する場合についても、利用目的として特定する必要がありますか。
- A2-5
利用目的の特定は「個人情報」が対象であるため、個人情報に該当しない統計データは対象となりません。また、統計データへの加工を行うこと自体を利用目的とする必要はありません。
- (利用目的の変更)
- Q2-6
当初の利用目的が変更となったためその旨を通知する際、利用目的の範囲に含まれない商品告知等もあわせて同封することは問題はないのですか。
- A2-6
利用目的の範囲に含まれない商品告知等をすることはできません。利用目的の達成に必要な範囲を超える利用は、事前に本人の同意が必要となります。
- (利用目的の変更)
- Q2-7
利用目的の変更通知は、「××から◯◯に変わった」というように変更前の利用目的との対比によって示す必要がありますか。
- A2-7
変更後の利用目的を通知することで足ります。ただし、本人にとっての分かりやすさの観点等からは、「もともと××であったものを今後○○に変更します」など、当初特定した利用目的のどの点がどのように変わったのかを示すことが望ましいと考えられます。
- (利用目的の変更)
- Q2-8
法第17条第2項において、利用目的の変更が認められると考えられる事例を教えてください。
- A2-8
利用目的の変更が認められる範囲については、平成27年改正(平成29年5月30日施行)前の法第15条第2項(現在の法第17条第2項)において「変更前の利用目的と『相当の関連性』を有すると合理的に認められる範囲」とされていたところ、平成27年改正により、「変更前の利用目的と『関連性』を有すると合理的に認められる範囲」となりました。これは、一般的な消費者等からみて合理的な関連性のある範囲内において、利用目的の変更を柔軟かつ適時に可能とする規定です。
利用目的の変更が認められる事例については、個別具体的な事例ごとに判断されるものの、例えば、次のような場合が考えられます。
- ○「当社が提供する新商品・サービスに関する情報のお知らせ」という利用目的について、「既存の関連商品・サービスに関する情報のお知らせ」を追加する場合
- ○「当社が提供する既存の商品・サービスに関する情報のお知らせ」という利用目的について、「新規に提供を行う関連商品・サービスに関する情報のお知らせ」を追加する場合(例えば、フィットネスクラブの運営事業者が、会員向けにレッスンやプログラムの開催情報をメール配信する目的で個人情報を保有していたところ、同じ情報を用いて新たに始めた栄養指導サービスの案内を配信する場合もこれに含まれ得ると考えられます。)
- ○「当社が取り扱う既存の商品・サービスの提供」という利用目的について、「新規に提供を行う関連商品・サービスに関する情報のお知らせ」を追加する場合(例えば、防犯目的で警備員が駆け付けるサービスの提供のため個人情報を保有していた事業者が、新たに始めた「高齢者見守りサービス」について、既存の顧客に当該サービスを案内するためのダイレクトメールを配信する場合もこれに含まれ得ると考えられます。)
- ○「当社が取り扱う商品・サービスの提供」という利用目的について、「当社の提携先が提供する関連商品・サービスに関する情報のお知らせ」を追加する場合(例えば、住宅用太陽光発電システムを販売した事業者が、対象の顧客に対して、提携先である電力会社の自然エネルギー買取サービスを紹介する場合もこれに含まれ得ると考えられます。)
(令和4年4月更新)
- (利用目的の変更)
- Q2-9
法第17条第2項において、利用目的の変更が認められないと考えられる事例を教えてください。
- A2-9
法第17条第2項において、利用目的の変更が認められる範囲は、利用目的の変更が一般的な消費者等からみて、合理的な関連性の認められる範囲内かどうかにより判断されることとなりますが、変更が認められない事例としては、例えば、次のような場合が考えられます。
- ○当初の利用目的に「第三者提供」が含まれていない場合において、新たに、法第27条第2項の規定による個人データの第三者提供を行う場合
- ○当初の利用目的を「会員カード等の盗難・不正利用発覚時の連絡のため」としてメールアドレス等を取得していた場合において、新たに「当社が提供する商品・サービスに関する情報のお知らせ」を行う場合
- (事業の承継)
- Q2-10
このたび他社の事業を承継することとなり、これに伴って当該他社が保有していた個人情報も譲り受けることになりました。当社は、当該他社が保有していた個人情報を自社サービスに利用することができますか。
- A2-10
事業の承継に伴って他社から取得した個人情報は、当該他社が特定した利用目的の達成に必要な範囲内でこれを利用することができます。したがって、自社サービスへの利用が、マル1当該他社が特定した利用目的の範囲内又は②当該利用目的と関連性を有すると合理的に認められる範囲を超えずに変更した後の利用目的の範囲内に含まれる場合、当該他社から取得した個人情報を自社サービスに利用することができます。
- (事業の承継)
- Q2-11
不動産の売買が行われる際に、不動産所有者が売買契約締結前の交渉段階で、当該不動産の購入希望者から当該不動産に関する調査を受け、当該不動産の賃借人に係る個人データを提供する場合は、あらかじめ本人の同意を得る必要がありますか。
- A2-11
ガイドライン(通則編)3-6-3(2)と同様に、不動産売買契約に付随して、不動産の売主から買主に対して、当該不動産の管理に必要な範囲で当該不動産の賃借人の個人データが提供される場合には、当該不動産に係る事業の承継に伴って個人データが提供される場合と評価することができるため、法第27条第5項第2号に基づくものとして、本人の同意を得る必要はないものと解されます。
そして、不動産所有者が売買契約締結前の交渉段階で、当該不動産の購入希望者から、当該不動産に関する調査を受け、当該不動産の賃借人に係る個人データを提供する場合は、実質的に委託又は事業の承継に類似するものと認められるため、あらかじめ賃借人本人の同意を得ることなく又は第三者提供におけるオプトアウト手続を行うことなく、個人データを提供することができます。
ただし、この場合、不動産所有者と当該不動産を購入しようとする者は、当該個人データの利用目的及び取扱方法、漏えい等が発生した場合の措置、不動産所有者と当該不動産を購入しようとする者との交渉が不調となった場合の措置等、当該不動産を購入しようとする者に安全管理措置を遵守させるための必要な契約を締結しなければなりません。
(令和元年11月追加) - (事業の承継)
- Q2-12
ガイドライン(通則編)3-6-3(2)の「事業承継の交渉が不調となった場合の措置等」とは、具体的にどのような内容が考えられますか。
- A2-12
事業承継の交渉が不調に終わった場合に、当該不動産を購入しようとした者において、当該交渉に関連して提供を受けた個人データを返還、消去、廃棄する必要があります。なお、Q2-11の「不動産所有者と当該不動産を購入しようとする者との交渉が不調となった場合の措置」も同様と考えられます。
(令和元年11月追加) - (利用目的による制限の例外)
- Q2-13
法第18条第3項第2号及び第3号に「本人の同意を得ることが困難であるとき」とありますが、例えばどのような場合がこれに該当しますか。
- A2-13
例えば、本人の連絡先が不明等により、本人に同意を求めるまでもなく本人の同意を得ることが物理的にできない場合や、本人の連絡先の特定のための費用が極めて膨大で時間的余裕がない等の場合が考えられます。
- (利用目的による制限の例外)
- Q2-14
製薬企業が過去に臨床試験等で取得した個人情報を、有効な治療方法や薬剤が十分にない疾病等に関する疾病メカニズムの解明を目的とした研究のために、自社内で利用することを考えています。個人情報に係る本人の連絡先を保有しておらず、本人の同意を得ることが困難なのですが、本人同意なしに利用することは可能ですか。
- A2-14
個人情報取扱事業者は、あらかじめ本人の同意を得ないで、特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱うことができませんが、公衆衛生の向上のために特に必要がある場合であって、本人の同意を得ることが困難であるときには、あらかじめ本人の同意を得ないで、個人情報を当初の利用目的の達成に必要な範囲を超えて取り扱うことが許容されています(法第18条第3項第3号)。
製薬企業が過去に臨床試験等で取得した個人情報は、取得の際に特定された利用目的の範囲で取り扱う必要があり、この範囲を超えて取り扱う場合には、あらかじめ本人の同意を得る必要があります。
しかし、一般に、製薬企業が行う有効な治療方法や薬剤が十分にない疾病等に関する疾病メカニズムの解明、創薬標的探索、バイオマーカー同定、新たな診断・治療方法の探求等の研究は、その結果が広く共有・活用されていくことで、医学、薬学等の発展や医療水準の向上に寄与し、公衆衛生の向上に特に資するものであると考えられます。
また、連絡先を保有していないため本人への連絡ができない等の場合には、「本人の同意を得ることが困難であるとき」に該当するものと考えられます。
したがって、製薬企業が過去に臨床試験等で取得した個人情報を、有効な治療方法や薬剤が十分にない疾病等に関する疾病メカニズムの解明を目的とした自社内の研究のために用いる場合であって、連絡先を保有していないため本人からの同意取得が困難であるときには、同号の規定によりこれを行うことが許容されると考えられます。
なお、当該製薬企業においては、当初の利用目的及び当該研究のためという新たな利用目的の達成に必要な範囲を超えて、当該データを取り扱うことは原則できません。
この外、製薬企業には、倫理審査委員会の関与、研究対象者が拒否できる機会の保障、研究結果の公表等について規定する医学系研究等に関する指針や、関係法令の遵守が求められていることにも、留意が必要です。
(令和3年6月追加) - (利用目的による制限の例外)
- Q2-15
医療機関等が、以前治療を行った患者の臨床症例を、利用目的の範囲に含まれていない観察研究のために、当該医療機関等内で利用することを考えています。本人の転居等により有効な連絡先を保有していない場合や、同意を取得するための時間的余裕や費用等に照らし、本人の同意を得ることにより当該研究の遂行に支障を及ぼすおそれがある場合は、本人同意なしに利用することは可能ですか。
- A2-15
個人情報取扱事業者は、あらかじめ本人の同意を得ないで、特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱うことができませんが、公衆衛生の向上のために特に必要がある場合であって、本人の同意を得ることが困難であるときには、あらかじめ本人の同意を得ないで、個人情報を当初の利用目的の達成に必要な範囲を超えて取り扱うことが許容されています(法第18 条第3項第3号)。
一般に、医療機関等における臨床症例を、当該医療機関等における観察研究や診断・治療等の医療技術の向上のために利用することは、当該研究の成果が広く共有・活用されていくことや当該医療機関等を受診する不特定多数の患者に対してより優れた医療サービスを提供できるようになること等により、公衆衛生の向上に特に資するものであると考えられます。
また、医療機関等が、本人の転居等により有効な連絡先を保有していない場合や、同意を取得するための時間的余裕や費用等に照らし、本人の同意を得ることにより当該研究の遂行に支障を及ぼすおそれがある場合等には、「本人の同意を得ることが困難であるとき」に該当するものと考えられます。
したがって、医療機関等が保有する患者の臨床症例に係る個人情報を、観察研究のために用いる場合であって、本人の転居等により有効な連絡先を保有しておらず本人からの同意取得が困難であるときや、同意を取得するための時間的余裕や費用等に照らし、本人の同意を得ることにより当該研究の遂行に支障を及ぼすおそれがあるときには、同号の規定によりこれを行うことが許容されると考えられます。
なお、当該医療機関等においては、当初の利用目的及び当該研究のためという新たな利用目的の達成に必要な範囲を超えて、当該データを取り扱うことは原則できません。
この外、医療機関等には、倫理審査委員会の関与、研究対象者が拒否できる機会の保障、研究結果の公表等について規定する医学系研究等に関する指針や、関係法令の遵守が求められていることにも、留意が必要です。
(令和4年5月追加) - (不適正利用の禁止)
- Q3-1
法第19条における「違法又は不当な行為」とは、個人情報保護法に違反する行為又は個人情報保護法に照らして不当と考えられる行為に限られますか。
- A3-1
法第19条における「違法又は不当な行為」とは、個人情報保護法その他の法令に違反する行為、及び直ちに違法とはいえないものの、個人情報保護法その他の法令の制度趣旨又は公序良俗に反する等、社会通念上適正とは認められない行為をいいます。そのため、法第19条における「違法又は不当な行為」に該当するか否かは個別の事案ごとに判断されますが、必ずしも個人情報保護法に違反する行為や個人情報保護法に照らして不当と考えられる行為に限定されません。
- (不適正利用の禁止)
- Q3-2
個人情報取扱事業者が、当該個人情報取扱事業者自身の違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用する場合にも、不適正利用に該当しますか。
- A3-2
法第19条における違法又は不当な行為を「助長」するおそれがある方法による個人情報の利用とは、個人情報の利用が、直接に、既に存在する特定の違法又は不当な行為をさらに著しくするおそれがあることをいいます。また、違法又は不当な行為を「誘発」するおそれがある方法による個人情報の利用とは、個人情報の利用が原因となって、違法又は不当な行為が新たに引き起こされるおそれがあることをいいます。
そして、「助長」又は「誘発」の対象となる「違法又は不当な行為」の主体は、第三者に限られません。
そのため、個人情報取扱事業者が、第三者の違法又は不当な行為を「助長」し、又は「誘発」するおそれがある方法により個人情報を利用する場合のみならず、当該個人情報取扱事業者自身の違法又は不当な行為を「助長」し、又は「誘発」するおそれがある方法により個人情報を利用する場合も、法第19条により禁止される不適正利用に該当します。
- (不適正利用の禁止)
- Q3-3
事前に本人から同意を取得した上で第三者に個人情報を提供した後に、当該第三者が、当該個人情報を違法な行為に用いた場合、提供元の事業者による当該個人情報の提供行為は、不適正利用に該当しますか。
- A3-3
法第19条は、個人情報取扱事業者が、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用することを禁止しています。
ここでいう「おそれ」の有無は、個人情報取扱事業者による個人情報の利用が、違法又は不当な行為を助長又は誘発することについて、社会通念上蓋然性が認められるか否かにより判断されますが、この判断に当たっては、個人情報の利用方法等の客観的な事情に加えて、個人情報の利用時点における個人情報取扱事業者の認識及び予見可能性も踏まえる必要があります。
個別の事案ごとに判断されますが、例えば、提供先の第三者が個人情報の取得目的を偽っていた等、個人情報の提供の時点において、提供した個人情報が違法に利用されることについて、提供元の事業者が一般的な注意力をもってしても予見できない状況であった場合には、「おそれ」は認められないと考えられます。そのため、この場合には、提供元の事業者による個人情報の提供は、不適正利用には該当しないと考えられます。
他方で、例えば、提供の時点において、提供先の第三者が個人情報を違法に利用していることが窺われる客観的な事情を提供元の事業者が認識しており、提供した個人情報も当該第三者により違法に利用されることが一般的な注意力をもって予見できる状況であったにもかかわらず、当該第三者に対して個人情報を提供した場合には、「おそれ」が認められ、提供元の事業者による個人情報の提供は、不適正利用に該当する可能性があります。
- (不適正利用の禁止)
- Q3-4
ガイドライン(通則編)3-2の「個人情報取扱事業者が違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用している事例」事例4において、「個人情報を提供した場合、提供先において法第27条第1項に違反する第三者提供がなされることを予見できるにもかかわらず、当該提供先に対して、個人情報を提供する場合」が挙げられていますが、本人の事前の同意を得て第三者に個人情報を提供する場面において、提供元の事業者は、あらかじめ当該第三者による個人情報の利用目的や、当該第三者に個人情報を違法又は不当な目的で利用する意図がないことを確認する必要がありますか。
- A3-4
法第19条(不適正利用の禁止)は、本人の事前の同意を得て個人情報を第三者に提供する場面において、提供元の事業者に対して、提供先の第三者による個人情報の利用目的や、当該第三者に個人情報を違法又は不当な目的で利用する意図がないことの確認を義務付ける趣旨ではありません。
もっとも、例えば、提供の時点において、提供先の第三者が個人情報を違法に利用していることが窺われる客観的な事情を提供元の事業者が認識しており、自己の提供した個人情報も当該第三者により違法に利用されることが一般的な注意力をもって予見できる状況であったにもかかわらず、当該第三者に対して個人情報を提供した場合には、提供元の事業者にとって、当該個人情報の提供行為が不適正利用に該当する可能性があると考えられます。そのため、提供元の事業者が、提供先の第三者が個人情報を違法に利用していることが窺われる客観的な事情を認識した場合には、提供に先立って提供先の第三者による個人情報の利用目的や、当該第三者に個人情報を違法又は不当な目的で利用する意図がないことを確認する必要があると考えられます。
なお、本人の事前の同意を得て個人データを第三者に提供する場合には、原則として第三者提供時の記録義務(法第29条)が課されることにも注意が必要です(記録事項については、ガイドライン(確認・記録義務編)4-2-1-2参照)。
1-3 不適正利用の禁止(法第19条関係)(令和3年9月追加)
1-4 個人情報の取得(法第20条・第21条関係)
- (適正取得)
- Q4-1
サービスを利用した本人から友人を紹介してもらい、当該本人を介して、その友人の個人情報を取得する、「友人紹介キャンペーン」による取得は個人情報の取得の手段として適正ですか。
- A4-1
事業者が偽ったり騙したりする等により個人情報を不正に取得していなければ、法第20条第1項(適正取得)に違反しないことになると考えられます。
なお、御質問の方法による当該友人の個人情報の取得に当たっては、利用目的の通知又は公表が必要です。また、要配慮個人情報については当該友人のあらかじめの同意なく取得することはできません。
- (適正取得)
- Q4-2
名簿業者から個人の名簿を購入することは禁止されていますか。また、不正取得された名簿をそれと知らずに購入した場合は、どうですか。
- A4-2
名簿業者から個人の名簿を購入すること自体は禁止されていませんが、その購入に際しては、適正取得(法第20条第1項)や第三者提供を受ける際の確認・記録義務(法第30条)が適用される点に留意する必要があります。
具体的には、名簿の購入の際、相手方が個人データを取得した経緯などを確認・記録する必要があり、その結果、相手方が不正の手段により個人データを取得したことを知り又は容易に知ることができたにもかかわらず当該個人データを取得する場合、法第20条第1項に違反するおそれがあります。
特に、平成27年改正の施行(平成29年5月30日)以降は、一般的に名簿業者はオプトアウト規定による届出が必要となったため(法第27条第2項及び同条第3項)、個人情報保護委員会のホームページ上で、当該名簿業者が届出をしていることを確認する必要があると解されます。
(令和4年4月更新) - (適正取得)
- Q4-3
ガイドライン(通則編)3-3-1の「個人情報取扱事業者が不正の手段により個人情報を取得している事例」事例5の「法第27条第1項に規定する第三者提供制限違反がされようとしていること」を容易に知ることができる場合とは、具体的にどのような場合が考えられますか。
- A4-3
例えば、部外秘・社外秘である旨のラベリング、メモ書、透かしがある従業員名簿・ファイルなど、第三者提供が制限されていることが外形上明らかである場合、クレジットカード情報が含まれる顧客名簿・ファイルなど、社会通念上、第三者提供が制限されていることが推知できるような場合が考えられます。
また、個人データの第三者提供を受ける場合は、相手方が個人データを取得した経緯等について確認・記録する必要がある点にも留意が必要です(法第30条)。
なお、「個人データ」に該当しない「個人情報」の第三者提供を受ける場合は、法第30条の確認・記録義務は適用されませんが、適正取得(法第20条第1項)の義務は適用されるため、相手方が不正の手段で個人情報を取得したことを知り又は容易に知ることができたにもかかわらず当該個人情報を取得することは、法第20条第1項に違反するおそれがあると解されます。
- (適正取得)
- Q4-4
個人情報を含む情報がインターネット等により公にされている場合、マル1当該情報を単に画面上で閲覧する場合、②当該情報を転記の上、検索可能な状態にしている場合、③当該情報が含まれるファイルをダウンロードしてデータベース化する場合は、それぞれ「個人情報を取得」していると解されますか。
- A4-4
個人情報を含む情報がインターネット等により公にされている場合、それらの情報をマル1のように単に閲覧するにすぎない場合には「個人情報を取得」したとは解されません。一方、②や③のようなケースは、「個人情報を取得」したと解し得るものと考えられます。
- (適正取得)
- Q4-5
ダークウェブ(専用のウェブブラウザ等を利用しないとアクセスできないウェブ)上で掲載・取引されている個人情報を当該ダークウェブからダウンロード等により取得する場合、偽りその他不正の手段による個人情報の取得(法第20 条第1項)に該当しますか。
- A4-5
ダークウェブ上で掲載・取引されている個人情報は、掲載した者が偽りその他不正の手段により取得した個人情報である蓋然性が高く、また、掲載した者が法第27 条第1項に違反してこれをダークウェブ上で提供している蓋然性が高いといえます。このため、個人情報取扱事業者が、ダークウェブ上で掲載・取引されている個人情報を当該ダークウェブからダウンロード等により取得することは、偽りその他不正の手段による個人情報の取得に該当するものとして、法第20 条第1項に違反するおそれがあります。
ただし、個別の事案ごとに判断することとなりますが、例えば、二次被害防止のために自社から漏えいした個人情報を含むデータをダークウェブから取得する場合、社会的に影響のあるサイバー攻撃の解析等のために研究機関等が必要最小限の範囲で個人情報を含むデータをダークウェブから取得する場合には、法第20 条第1項には違反しないものと考えられます(ただし、その取得したデータに上記の取扱いの必要性が認められない個人情報も含まれていた場合には、直ちにこれを削除する必要があります)。他方、みだりに個人情報を含むデータをダークウェブから取得する場合には、法第20 条第1項に違反するおそれがあると考えられます。
(令和5年3月追加) - (要配慮個人情報の取得)
- Q4-6
平成27年改正の施行(平成29年5月30日)前に取得した個人情報であって、施行後に要配慮個人情報に該当することとなった場合、改めて取得について本人同意を得る必要がありますか。
- A4-6
平成 27 年改正の施行前に適法に取得した個人情報が施行後に要配慮個人情報に該当したとしても、改めて取得のための本人同意を得る必要はありません。
- (要配慮個人情報の取得)
- Q4-7
平成27年改正の施行(平成29年5月30日)前に取得した個人情報であって、施行後に要配慮個人情報に該当することとなり、当該情報について、新たに第三者提供をする場合には本人同意を得る必要がありますか。
- A4-7
個人データの第三者提供については、要配慮個人情報に係るものか否かを問わず、原則として本人の同意が必要です。
なお、平成27年改正の施行後に要配慮個人情報に該当することとなった場合、施行後はオプトアウトによる第三者提供は認められませんので、注意が必要です。
- (要配慮個人情報の取得)
- Q4-8
マル1郵便物の誤配など、事業者が求めていない要配慮個人情報が送られてきたことにより要配慮個人情報を手にすることとなった場合や、②要配慮個人情報を含む情報がインターネット等により公にされている場合であって単にこれを閲覧した場合であっても、事業者は要配慮個人情報の取得について本人の同意を得る必要がありますか。
- A4-8
マル1郵便物の誤配など、事業者が求めていない要配慮個人情報が送られてきた場合であっても、事業者(受領側)に提供を「受ける」行為がないときは、要配慮個人情報を取得しているとは解釈されません。すなわち、事業者が手にすることとなった要配慮個人情報を直ちに返送したり、廃棄したりするなど、提供を「受ける」行為がないといえる場合には、要配慮個人情報を取得しているとは解釈されません。
また、②要配慮個人情報を含む情報がインターネット等により公にされている場合であって、単にこれを閲覧するにすぎず、転記等を行わない場合は、要配慮個人情報を取得しているとは解釈されません。
- (要配慮個人情報の取得)
- Q4-9
本人の話し方や振る舞いから要配慮個人情報を取得した場合も、外形上明らかな要配慮個人情報を取得する場合に該当しますか。
- A4-9
本人の素振りから外形上、障害や疾患が明らかであれば、要配慮個人情報の取得の例外に該当する場合があるものと考えられます。なお、障害や疾患の内容にもよりますが、いずれの場合においても、障害や疾患の事情が推知されるにすぎない場合は、そもそも要配慮個人情報に該当しません。
- (要配慮個人情報の取得)
- Q4-10
取引の過程で、相手方企業の代表者等に前科があることが判明した場合、当該代表者等の同意を得る必要がありますか。
- A4-10
犯罪の経歴(有罪の判決を受けこれが確定した事実)は要配慮個人情報に該当します。取引の過程で前科があることが判明した場合、当該情報が推知情報にとどまる場合は、要配慮個人情報には該当しないため、取得に際してあらかじめ本人の同意を得る必要はありません。
一方で、当該情報が確定情報である場合は、要配慮個人情報に該当するため、原則として、取得に際してあらかじめ本人の同意を得る必要があります。ただし、個別の事例ごとに判断することとなりますが、例えば、当該情報の取得が、「法令に基づく場合」(法第20条第2項第1号)、「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」(法第20条第2項第2号)等に該当する場合や、本人や報道機関等により公開されている場合(法第20条第2項第7号)は、取得に際してあらかじめ本人の同意を得る必要はありません。
- (利用目的の通知又は公表)
- Q4-11
住民基本台帳を閲覧して取得した個人情報を使ってダイレクトメールを送ることができますか。
- A4-11
現行の住民基本台帳の閲覧制度では、閲覧できる場合が一定の事項に限られ、また、閲覧した個人情報を第三者に提供することも禁止されています。したがって、ダイレクトメールの送付を目的として住民基本台帳を閲覧することはできません(住民基本台帳法第11条の2参照)。
ただし、住民基本台帳の閲覧制度の変更(平成18年11月1日改正住民基本台帳法施行)前に、ダイレクトメールの送付を目的としている旨を記載した上で、住民基本台帳を閲覧して取得した個人情報を用いてダイレクトメールを送付することは、個人情報保護法では禁止されていません。なお、この場合、個人情報を取得した際に、利用目的の通知又は公表を行っていることが必要です(法第21条第1項)。
- (利用目的の通知又は公表)
- Q4-12
飲食店を営んでいます。顧客から予約を受けるときに取得した個人情報を取り扱う際に、どんなことに注意すればよいですか。
- A4-12
事業者の規模にかかわらず、事業者が事業の用に供するために個人情報データベース等を取り扱っている場合、個人情報取扱事業者に相当するため、利用目的の通知又は公表が必要になります(法第21条第1項)。
また、個人情報取扱事業者が保有する個人データを第三者に提供するには、原則として本人の同意が必要になります(法第27条第1項)。
なお、電話番号等の連絡先等も、氏名等の特定の個人を識別できる情報と結びついて保存されている場合、個人情報に該当することになります。
(平成30年7月追加) - (利用目的の通知又は公表)
- Q4-13
PTAが学校から生徒等に関する個人情報を取得する場合、どういった点に注意すればよいですか。
- A4-13
PTAが名簿を作成しようとする場合、本人にその利用目的を通知・公表し、本人から取得した個人情報をその利用目的の範囲内で利用することが可能です。
なお、学校による個人情報(個人データ又は保有個人情報)の第三者提供については、個人情報保護法の規定に基づいて適正に取り扱うことが求められます。
(平成30年7月追加・令和5年3月更新) - (利用目的の通知又は公表)
- Q4-14
市販の人名録を使ってダイレクトメールを送付したいのですが、その人名録の利用目的を当該ダイレクトメールに記載して送付したいと考えています。人名録を買ってどれくらいの期日までにダイレクトメールを送付すれば、法第21条第1項にいう「速やかに」に該当しますか。
- A4-14
全ての場合に通じるような一定の期日の定めはありません。「速やかに」とは、事情が許容する限りもっとも早期にという意味です。したがって、合理的な事情がない限り、取得後、可能な限り早期に通知する必要があります。
- (利用目的の通知又は公表)
- Q4-15
グループ企業全体の採用の応募受付をホームページで行っています。応募者には個人情報をグループ企業間において共同利用する旨をこのホームページに掲載していますが、利用目的については採用活動のためであることが明らかなため、特に明示しなくてもよいですか。
- A4-15
共同利用の目的が自明であるか否かを問わず、法第27条第5項第3号に基づいて、共同利用に関する事項を本人に通知し、又は本人が容易に知り得る状態に置いている必要があります。
- (利用目的の通知又は公表)
- Q4-16
名刺交換により取得した連絡先に対して、自社の広告宣伝のための冊子や電子メールを送ることはできますか。
- A4-16
個人情報取扱事業者の従業者であることを明らかにした上で名刺を交換した場合、相手側は名刺を渡した者が所属する個人情報取扱事業者から広告宣伝のための冊子や電子メールが送られてくることについて、一定の予測可能性があると考えられます。
この場合に、従業者が取得した名刺の連絡先に対して自社業務の広告宣伝のための冊子や電子メールを送ることは、「取得の状況からみて利用目的が明らかであると認められる場合」に該当すると解されます。業務時間外や、事業場外で名刺交換した場合であっても、個人情報取扱事業者の従業者であることを明らかにした上で名刺交換を行った場合は、同様に「取得の状況からみて利用目的が明らかであると認められる場合」に該当すると解されます。
なお、個人情報取扱事業者が行う広告宣伝のための電子メールに関しては、個人情報保護法だけでなく、特定電子メールの送信の適正化等に関する法律(平成14年法律第26号)における受信拒否の通知を受けた場合の対応や、当該事業者が通信販売等をする場合には特定商取引に関する法律(昭和51年法律第57号)における規制など、他の法令の規定も遵守する必要があります。
(令和3年9月更新) - (直接書面等による取得)
- Q4-17
申込書やホームページ上のユーザー入力画面で連絡先を記入させる場合、当該連絡先の利用目的を明示する必要がありますか。また、具体的にどのような場合に取得の状況からみて利用目的が明らかで利用目的の明示が不要となりますか。
- A4-17
申込書等の書面(ホームページ上の入力画面を含む。)に本人が記入し、直接その本人から個人情報を取得する場合は、原則として利用目的の明示が必要です(法第21条第2項)。ただし、取得の状況からみて利用目的が明らかな場合は、例外的に利用目的の明示は不要です(同条第4項第4号)。
具体的には、次のような事例が考えられます。
- 【取得の状況からみて利用目的が明らかであると認められる場合】
- ○申込書の記載により取得したメールアドレス情報等を申込内容の確認、履行の結果通知等の目的で利用する場合(ただし、新たなサービスの案内、提携先への提供等に利用することは自明の利用目的に該当しない場合があるので注意を要します。)
- ○懸賞付きアンケートによって取得した連絡先を、懸賞商品の抽選や懸賞商品に関する連絡・発送等のみに利用する場合
- (直接書面等による取得)
- Q4-18
私立学校、自治会・町内会、同窓会、PTA等が本人から書面で提出を受けた個人情報を利用して名簿を作成し、配布する場合はどのようにすればよいですか。
- A4-18
私立学校、自治会・町内会、同窓会、PTA等は本人に対し利用目的を明示した上で、個人情報を取得し、名簿を作成することが可能です。名簿を配布するなど、本人以外の者に個人データを提供する場合には、原則として、本人の同意を得る必要があります。
例えば、掲載されている全員に配布する名簿を作成し、クラス内で配布するなど利用目的及び提供先を明示し、同意の上で所定の用紙に個人情報を記入・提出してもらう方法などが考えられます。
※詳しくは、「会員名簿を作るときの注意事項
(https://www.ppc.go.jp/files/pdf/meibo_sakusei.pdf)」をご覧ください。
(平成30年7月追加)
1-5 個人データの管理(法第22条~第25条関係)
- (データ内容の正確性の確保等)
- Q5-1
A事業のために個人データを取得した後、B事業のために取得した個人データの内容から住所変更があった事実が判明した場合、A事業についても住所変更を反映させることが可能ですか。
- A5-1
法第22条により、個人データを正確かつ最新の内容に保つよう努めなければならないとされていることから、住所変更の内容を反映させることは可能と考えられます。
ただし、A事業とB事業における個人情報の利用目的が異なる等、利用目的の達成に必要な範囲を超えて個人情報を取り扱うこととなる場合には、あらかじめ本人の同意が必要と考えられます。
- (データ内容の正確性の確保等)
- Q5-2
取得した個人情報は、いつ廃棄しなければなりませんか。
- A5-2
個人情報保護法では、個人情報の保存期間や廃棄すべき時期について規定していません。もっとも、個人情報取扱事業者は、その取扱いに係る個人データを利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければなりません(法第22条)。
- (データ内容の正確性の確保等)
- Q5-3
「遅滞なく消去する」とは、具体的にどのような期間で消去することを求めていますか。
- A5-3
「遅滞なく」が示す具体的な期間は、個人データの取扱状況等により異なり得ますが、業務の遂行上の必要性や引き続き当該個人データを保管した場合の影響等も勘案し、必要以上に長期にわたることのないようにする必要があると解されます。他方で、事業者のデータ管理のサイクル等、実務上の都合に配慮することは認められます。
- (データ内容の正確性の確保等)
- Q5-4
カメラ画像や顔特徴データ等の個人データの保有期間についてはどのように考えればよいですか。
- A5-4
個人情報取扱事業者は、法第22条に基づき、利用の必要性を考慮して保存期間を設定し、個人データを利用する必要がなくなったときは、遅滞なく消去するよう努めなければなりません。
(令和5年5月更新) - (従業者の監督)
- Q5-5
法第24条で定められている「従業者の監督」の「従業者」には、派遣社員も含まれますか。
- A5-5
法第24条の「従業者」とは、個人情報取扱事業者の指揮監督を受けて業務に従事している者等をいい、事業者との雇用契約の有無を問いません。したがって、派遣社員であっても、派遣先事業者(個人情報取扱事業者)の指揮監督を受けてその業務に従事している限り、当該事業者の「従業者」に該当します。
- (従業者の監督)
- Q5-6
町内会やマンション管理組合等において、監督が必要となる「従業者」には、どのような者が該当しますか。
- A5-6
町内会やマンション管理組合等の形態や管理の実態にもよりますが、例えば、町内会やマンション管理組合の運営を担う理事等は、個人情報保護法における「従業者」に該当するものと考えられます。
- (従業者の監督)
- Q5-7
従業者に対する監督の一環として、個人データを取り扱う従業者を対象とするビデオやオンライン等による監視(モニタリング)を実施する際の留意点について教えてください。
- A5-7
個人データの取扱いに関する従業者の監督、その他安全管理措置の一環として従業者を対象とするビデオ及びオンラインによるモニタリングを実施する場合は、次のような点に留意することが考えられます。なお、モニタリングに関して、個人情報の取扱いに係る重要事項等を定めるときは、あらかじめ労働組合等に通知し必要に応じて協議を行うことが望ましく、また、その重要事項等を定めたときは、従業者に周知することが望ましいと考えられます。
- ○モニタリングの目的をあらかじめ特定した上で、社内規程等に定め、従業者に明示すること
- ○モニタリングの実施に関する責任者及びその権限を定めること
- ○あらかじめモニタリングの実施に関するルールを策定し、その内容を運用者に徹底すること
- ○モニタリングがあらかじめ定めたルールに従って適正に行われているか、確認を行うこと
- (委託先の監督)
- Q5-8
「委託契約の締結」に関して、実態として安全管理措置に係る委託元と委託先の合意が担保できるものであれば、「業務委託契約書の取交し」以外の態様(例えば、委託先から委託元への誓約書の差入れや、覚書や合意書などの取交し)も認められますか。
- A5-8
委託元・委託先の双方が安全管理措置の内容について合意をすれば法的効果が発生しますので、当該措置の内容に関する委託元・委託先間の合意内容を客観的に明確化できる手段であれば、書式の類型を問いません。
- (委託先の監督)
- Q5-9
「委託先における個人データ取扱状況の把握」に関して、委託元が委託先に立入検査等を行うことは義務ですか。
- A5-9
法第25条に基づく委託先の監督の一環として、委託先における個人データの取扱状況を把握することが必要であり、その手段として、必要に応じて個人データを取り扱う場所に赴くことも考えられますが、これが義務付けられているわけではなく、取扱いを委託する個人データの内容や規模に応じて適切な方法(口頭による確認も含む。)を講じれば足りるものと考えられます。
- (委託先の監督)
- Q5-10
委託元が、法第23条が求める水準を超える高い水準の安全管理措置を講じている場合、委託先は、これと同等の水準の措置を講じる必要がありますか。
- A5-10
委託元が法第23条が求める水準を超える高い水準の措置を講じている場合に、委託先はこれと同等の措置を講じることまで法により義務付けられるわけではなく、法律上は、委託先は法第23条が求める水準の安全管理措置を講じれば足りると解されます。
- (委託先の監督)
- Q5-11
外部事業者に定型的業務を委託する場合、必ず、当該外部事業者が用意している約款等に加えて、自己の社内内規を遵守するよう求める覚書を追加的に締結する等の対応が必要となりますか。
- A5-11
個人データの取扱いを委託する場合の委託先の監督については、取扱いを委託する個人データの内容を踏まえ、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、委託する事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)などに起因するリスクに応じて行うべきものと考えられます。当該約款等を吟味した結果、当該約款等を遵守することにより当該個人データの安全管理が図られると判断される場合には、当該定型的業務を委託することについて必ずしも追加的に覚書を締結する必要まではないと考えられます。
- (委託先の監督)
- Q5-12
個人データの取扱いを委託する場合、委託元は委託先に対して、当該委託業務に従事する委託先の従業員から守秘義務等に係る誓約書を取得することが義務付けられていますか。また、委託先の従業員等の個人情報の提出を求めることはできますか。
- A5-12
個人データの取扱いの委託に当たり、委託先の監督の一環として、委託先の従業員等から守秘義務等に係る誓約書を取得したり、委託先の従業員等の個人情報の提出を求めたりすることも、その手法の一つと考えられますが、これが義務付けられるわけではありません。なお、委託元は、委託先からその従業員等の個人情報又は個人データの提供を受ける場合には、これに伴い必要となる個人情報保護法上の義務(利用目的の通知又は公表等)を果たす必要があります。
1-6 個人データの漏えい等の報告等(法第26条関係)(令和3年9月追加)
- (「個人データ」の漏えい等の考え方)
- Q6-1
施行規則第7 条に規定する「個人データ」には、どのような情報が含まれますか。
- A6-1
施行規則第7 条に規定する「個人データ」とは、個人情報取扱事業者が取り扱う個人データをいいます。
ただし、同条第3 号に規定する「個人データ」には、「当該個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、当該個人情報取扱事業者が個人データとして取り扱うことを予定しているもの」が含まれるため、次のマル1から④までの情報が同号に規定する「個人データ」に該当します。
- マル1 個人情報取扱事業者が取り扱う個人データ
- ② 個人情報取扱事業者が取り扱う個人情報(個人データとして取り扱われることが予定されているものに限る。)
- ③ 個人情報取扱事業者が取得しようとしている個人データ
- ④ 個人情報取扱事業者が取得しようとしている個人情報(個人データとして取り扱われることが予定されているものに限る。)
(令和6年3月追加)
- (漏えい等の考え方)
- Q6-2
個人データの漏えいに該当しない「個人データを第三者に閲覧されないうちに全てを回収した場合」としては、どのようなものがありますか。
- A6-2
次のような事例が考えられます。
- 事例1)個人データを含むメールを第三者に誤送信した場合において、当該第三者が当該メールを削除するまでの間に当該メールに含まれる個人データを閲覧していないことが確認された場合
- 事例2)システムの設定ミス等によりインターネット上で個人データの閲覧が可能な状態となっていた場合において、閲覧が不可能な状態とするまでの間に第三者が閲覧していないことがアクセスログ等から確認された場合
なお、上記の事例において、誤送信先の取扱いやアクセスログ等が確認できない場合には、漏えい(又は漏えいのおそれ)に該当し得ます。
- (漏えい等の考え方)
- Q6-3
個人データが記録されたUSBメモリを紛失したものの、紛失場所が社内か社外か特定できない場合には、漏えいに該当しますか。
- A6-3
個別の事例ごとに判断することとなりますが、個人データが記録されたUSBメモリを紛失したものの、紛失場所が社内か社外か特定できない場合には、漏えい(又は漏えいのおそれ)に該当すると考えられます。なお、社内で紛失したままである場合には、滅失(又は滅失のおそれ)に該当すると考えられます。
- (漏えい等事案が発覚した場合に講ずべき措置)
- Q6-4
ガイドライン(通則編)3-5-2の「漏えい等事案が発覚した場合に講ずべき措置」の「(1)事業者内部における報告及び被害の拡大防止」にある「責任ある立場の者」とは、どういう役職を想定していますか。
- A6-4
「責任ある立場の者」の役職は限定されていませんが、あらかじめ、取扱規程等により、漏えい等事案が発覚した場合の適切かつ迅速な報告連絡体制を整備しておくことが必要です。
- (漏えい等事案が発覚した場合に講ずべき措置)
- Q6-5
ガイドライン(通則編)3-5-2の「漏えい等事案が発覚した場合に講ずべき措置」の「(1)事業者内部における報告及び被害の拡大防止」にある「漏えい等事案による被害が発覚時よりも拡大しないよう必要な措置を講ずる」とは、具体的には、どのような対応をとることが考えられますか。
- A6-5
例えば、外部からの不正アクセスや不正プログラムの感染が疑われる場合には、当該端末等のLANケーブルを抜いてネットワークからの切り離しを行う又は無線の無効化を行うなどの措置を直ちに行うこと等が考えられます。
- (漏えい等事案が発覚した場合に講ずべき措置)
- Q6-6
ガイドライン(通則編)3-5-2の「漏えい等事案が発覚した場合に講ずべき措置」の「(3)影響範囲の特定」にある「把握した事実関係による影響範囲の特定のために必要な措置を講ずる」とは、どういうことですか。
- A6-6
事案の内容によりますが、例えば、個人データの漏えいの場合は、漏えいした個人データに係る本人の数、漏えいした個人データの内容、漏えいした原因、漏えい先等を踏まえ、影響の範囲を特定することが考えられます。
- (報告の対象となる事態)
- Q6-7
第三者の作成した個人情報取扱事業者の正規のウェブサイトに偽装したウェブサイト(いわゆるフィッシングサイト)に本人がアクセスし、ID やパスワード等を入力した場合、「不正の目的をもって行われたおそれがある当該個人情報取扱事業者に対する行為による個人データ(当該個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているものを含む。)の漏えい等」(施行規則第7条第3号)に該当し報告対象となりますか。
具体的には、以下の場合は報告対象となりますか。
- マル1 本人が、当該個人情報取扱事業者の正規のウェブサイトや当該個人情報取扱事業者が送信したメール等を経由せずに偽のウェブサイトにアクセスし、ID やパスワード等を入力した場合
- ② 第三者が、偽のウェブサイトに遷移するリンクを、当該個人情報取扱事業者の正規のウェブサイト又は当該個人情報取扱事業者が送信したメール等に不正に設置又は記載し、本人が、当該リンクをクリックして当該偽のウェブサイトにアクセスし、ID やパスワード等を入力した場合
- A6-7
それぞれ次のように考えられます。
- マル1:個人情報取扱事業者の正規のウェブサイトに偽装したウェブサイト(以下本項において「偽装ウェブサイト」という。)を第三者が不正に作成する行為は、直ちに「当該個人情報取扱事業者に対する行為」に該当するものではないと考えられます。また、本人が第三者に個人情報取扱事業者の取り扱う個人データ(当該個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているものを含む。以下本項において同じ。)と同じ内容の情報を詐取されたのみでは、第三者に当該個人情報取扱事業者の取り扱う個人データが漏えいしたこととはなりません。そのため、 マル1のようなケースは、当該個人情報取扱事業者による報告対象になるものではないと考えられます。
- ②:第三者が、偽装ウェブサイトに遷移するリンクを、当該個人情報取扱事業者の正規のウェブサイトや当該個人情報取扱事業者が送信したメール等に不正に設置等する行為は「当該個人情報取扱事業者に対する行為」に該当すると考えられます。また、偽装ウェブサイトに入力された情報が、当該個人情報取扱事業者が「取得しようとしている」情報に該当するか否かは、個別の事案ごとに判断されます。例えば、正規のウェブサイト上の、ID 及びパスワード等を入力する入力ページに遷移するためのリンクが改ざんされていた場合に、当該リンクをクリックした個人が、当該クリックにより遷移した偽の入力ページにおいてID及びパスワード等を入力したときには、当該ID 及びパスワード等は、当該個人情報取扱事業者が「取得しようとしている」情報に該当すると考えられます。
そのため、②のようなケースの第三者の行為が原因となり、本人が、当該個人情報取扱事業者が「取得しようとしている」個人情報を偽装ウェブサイトに入力し、当該個人情報が第三者に送信された場合、当該個人情報の「漏えい」に該当するため、当該個人情報取扱事業者が当該個人情報を個人情報データベース等へ入力すること等を予定していれば、当該個人情報取扱事業者による報告対象になると考えられます。
いずれにせよ、正規のウェブサイトを運営する個人情報取扱事業者においては、本人が個人情報を詐取される等の被害に遭わないよう、対策を講じる必要があると考えられます。
(令和6年3月追加)
- (報告の対象となる事態)
- Q6-8
個人情報取扱事業者の正規のウェブサイトに偽装したウェブサイト(いわゆるフィッシングサイト)に本人が入力したID やパスワード等を利用して、第三者が本人になりすまし、個人データが表示される当該個人情報取扱事業者の正規のウェブサイトにログインした場合、報告対象となりますか。
- A6-8
個別の事案ごとに判断されますが、偽装したウェブサイトに本人が入力した情報(ID やパスワード等)を利用して、第三者が本人になりすまし、個人データが表示される当該個人情報取扱事業者の正規のウェブサイトにログインした場合には、一般的には、「不正の目的をもって行われたおそれがある当該個人情報取扱事業者に対する行為による個人データ…の漏えい等が発生し、又は発生したおそれがある事態」が生じたものとして、報告対象となると考えられます。
(令和6年3月更新) - (報告の対象となる事態)
- Q6-9
医療機関において、健康診断等の結果を誤って本人以外の者に交付した場合には、報告対象となりますか。
- A6-9
健康診断の結果等の要配慮個人情報が含まれる個人データを漏えいした場合に該当するため、件数にかかわらず報告対象となります。
- (報告の対象となる事態)
- Q6-10
個人データ又は個人データとして取り扱われることが予定されている個人情報の一部が漏えいし、当該漏えいした個人データ又は個人情報によっては第三者が特定の個人を識別することができない場合でも、報告対象となりますか。
- A6-10
施行規則第7条第1号、第2号及び第4号に定める事態について、漏えい等した情報が個人データに該当するかどうかは、当該情報を取り扱う個人情報取扱事業者を基準に判断するため、報告対象事態に該当すれば、報告が必要となります。
施行規則第7条第3号に定める事態について、漏えい等した情報が同号に規定する「個人データ」に該当するかどうかは、当該情報を取り扱い、又は取得しようとしている個人情報取扱事業者を基準に判断するため、報告対象事態に該当すれば、報告が必要となります。
(令和6年3月更新) - (報告の対象となる事態)
- Q6-11
個人データである住所、電話番号、メールアドレス、SNSアカウントが漏えいした場合、「不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等」(施行規則第7条第2号)に該当しますか。
- A6-11
「不正に利用されることにより財産的被害が生じるおそれがある」(施行規則第7条第2号)とは、漏えい等した個人データを利用し、本人になりすまして財産の処分が行われる場合が想定されています。そのため、住所、電話番号、メールアドレス、SNSアカウントといった個人データのみの漏えいは、直ちに「不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等」に該当するものではないと考えられます。
- (報告の対象となる事態)
- Q6-12
個人データであるクレジットカード番号のみが漏えいした場合「不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等」(施行規則第7条第2号)に該当しますか。
- A6-12
個人データであるクレジットカード番号のみの漏えいでも、暗証番号やセキュリティコードが割り出されるおそれがあるため、「不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等」に該当すると考えられます。なお、個人データであるクレジットカード番号の下4桁のみとその有効期限の組合せが漏えいした場合は、直ちに「不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等」に該当するものではないと考えられます。
- (報告の対象となる事態)
- Q6-13
クレジットカード又はデビッドカードを誤って第三者に郵送した場合、報告対象となりますか。
- A6-13
クレジットカード又はデビットカードを誤って第三者に郵送した場合、当該カードを発行した個人情報取扱事業者において、「不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等」に該当すると考えられます。なお、クレジットカード又はデビッドカードが同封された郵便物が未開封のまま回収された場合には、通常、漏えいに該当せず、報告対象となりません。
- (報告の対象となる事態)
- Q6-14
個人データである銀行口座情報(金融機関名、支店名、預金種別、口座番号、口座名義等)のみが漏えいした場合「不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等」(施行規則第7条第2号)に該当しますか。
- A6-14
個人データである銀行口座情報のみの漏えいは、直ちに「不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等」に該当するものではないと考えられます。なお、銀行口座情報がインターネットバンキングのログインに用いられている場合であって、銀行口座情報とインターネットバンキングのパスワードの組合せが漏えいした場合には、「不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等」に該当すると考えられます。
- (報告の対象となる事態)
- Q6-15
「不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等」(施行規則第7条第2号)について、漏えい等が生じた後に講じた措置によって財産的被害が生じるおそれがなくなった場合でも報告対象となりますか。
- A6-15
漏えい等事案を知った時点において、財産的被害が生じるおそれがある場合には、その後の被害防止措置により財産的被害が生じるおそれがなくなったとしても、報告対象となると考えられます。
- (報告の対象となる事態)
- Q6-16
「不正の目的をもって行われたおそれがある当該個人情報取扱事業者に対する行為による個人データ(当該個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているものを含む。)の漏えい等」(施行規則第7条第3号)について、ガイドライン(通則編)3-5-3-1(3)には、「不正行為の相手方である「当該個人情報取扱事業者」には、当該個人情報取扱事業者が第三者に個人データの取扱いを委託している場合における当該第三者(委託先)及び当該個人情報取扱事業者が個人データを取り扱うに当たって第三者の提供するサービスを利用している場合における当該第三者も含まれる。」とありますが、例えばどのような者が考えられますか。
- A6-16
例えば、個人情報取扱事業者が、個人データ又は個人情報(個人データとして取り扱われることが予定されているものに限る。以下本項において同じ。)の取得・利用その他の取扱いの手段として第三者を活用している場合における、当該第三者が考えられます。
- (例)
-
- 個人情報取扱事業者が、ダイレクトメールの発送業務を外部事業者に委託し、これに伴い、ダイレクトメールの送付先である顧客の氏名や住所等の個人データを当該外部事業者に伝えている場合における、当該外部事業者
- 個人情報取扱事業者が入力フォーム作成ツールを利用して個人情報を取得・管理している場合における、当該ツールの提供事業者
- 個人情報取扱事業者がストレージサービスを利用して個人データ又は個人情報を保管している場合における、当該サービスの提供事業者
- SNS を運営する個人情報取扱事業者が、第三者のウェブサイトに当該SNS の「ボタン」等を設置し、当該ウェブサイトを閲覧したユーザーの閲覧履歴等の個人情報を取得している場合における、当該第三者
- 決済代行サービスを提供する個人情報取扱事業者が、EC サイトの決済ページにタグを設置し、当該ページに入力されたクレジットカード情報等の個人情報を取得している場合における、当該EC サイトの運営事業者
- 決済代行サービスを提供する個人情報取扱事業者が、自らの管理する決済ページに遷移するリンクをEC サイトに設置し、当該ページに入力されたクレジットカード情報等の個人情報を取得している場合における、当該EC サイトの運営事業者
- 個人情報取扱事業者が、入力フォーム最適化サービスやスマートフォンサイト自動変換サービス等を利用し、自己のウェブサイト上の入力ページに入力された個人情報を取得している場合における、当該サービスの提供事業者
- 個人情報取扱事業者が、短縮URL 作成サービスを利用し、当該サービスを利用して作成された短縮URL に係るリンクをクリックして自己のウェブサイト上の入力ページに遷移した個人から個人情報を取得している場合における、当該サービスの提供事業者
- 個人情報取扱事業者が、アクセス解析ツールを利用し、自己のウェブサイトを閲覧したユーザーの閲覧履歴等の個人情報を取得・管理している場合における、当該ツールの提供事業者
- 個人情報取扱事業者が、返信用封筒を顧客に配布し、配送事業者による当該返信用封筒の配送を通じて個人情報を取得している場合における、当該配送事業者
(令和6年3月追加)
- (報告の対象となる事態)
- Q6-17
ガイドライン(通則編)3-5-3-1の「(※4)(イ)」に、個人データ(個人情報データベース等へ入力する予定の個人情報を含む。)「を格納しているサーバや、当該サーバにアクセス権限を有する端末において、情報を窃取する振る舞いが判明しているマルウェアの感染が確認された場合」とありますが、個人データ又は個人情報データベース等へ入力する予定の個人情報を格納しているサーバにおいてマルウェアを検知した場合には、漏えいのおそれがあると判断されますか。
- A6-17
ガイドライン(通則編)3-5-3-1(※4)は、漏えいが発生したおそれがある事態に該当し得る事例を示したものであり、単にマルウェアを検知したことをもって直ちに漏えいのおそれがあると判断するものではなく、防御システムによるマルウェアの実行抑制の状況、外部通信の遮断状況等についても考慮することになります。
(令和6年3月更新) - (報告の対象となる主体)
- Q6-18
報告対象事態に該当しない場合であっても、個人情報保護委員会等への報告を行うことは可能ですか。
- A6-18
可能です。この場合、報告書の様式における「規則第7条各号該当性」については、「非該当(上記に該当しない場合の報告)」として報告を行うことになります。
- (報告の対象となる主体)
- Q6-19
「漏えい等が発生し、又は発生したおそれがある個人データについて、高度な暗号化等の秘匿化がされている場合」とは、どのような場合が該当しますか。
- A6-19
報告を要しない「漏えい等が発生し、又は発生したおそれがある個人データについて、高度な暗号化等の秘匿化がされている場合」に該当するためには、当該漏えい等事案が生じた時点の技術水準に照らして、漏えい等が発生し、又は発生したおそれがある個人データについて、これを第三者が見読可能な状態にすることが困難となるような暗号化等の技術的措置が講じられるとともに、そのような暗号化等の技術的措置が講じられた情報を見読可能な状態にするための手段が適切に管理されていることが必要と解されます。
第三者が見読可能な状態にすることが困難となるような暗号化等の技術的措置としては、適切な評価機関等により安全性が確認されている電子政府推奨暗号リストやISO/IEC18033等に掲載されている暗号技術が用いられ、それが適切に実装されていることが考えられます。
また、暗号化等の技術的措置が講じられた情報を見読可能な状態にするための手段が適切に管理されているといえるためには、マル1暗号化した情報と復号鍵を分離するとともに復号鍵自体の漏えいを防止する適切な措置を講じていること、②遠隔操作により暗号化された情報若しくは復号鍵を削除する機能を備えていること、又は③第三者が復号鍵を行使できないように設計されていることのいずれかの要件を満たすことが必要と解されます。
- (報告の対象となる事態)
- Q6-20
「テンプレート保護技術(暗号化等の技術的措置を講じた生体情報を復号することなく本人認証に用いる技術)を施した個人識別符号が漏えいした場合も、報告対象となりますか。
- A6-20
テンプレート保護技術を施した個人識別符号について、高度な暗号化等の秘匿化(Q6-16参照)がされており、かつ、当該個人識別符号が漏えいした場合に、漏えいの事実を直ちに認識し、テンプレート保護技術に用いる秘匿化のためのパラメータを直ちに変更するなど漏えいした個人識別符号を認証に用いることができないようにしている場合には、「高度な暗号化その他の個人の権利利益を保護するために必要な措置」を講じていることになるため、報告は不要と考えられます。
- (報告義務の主体)
- Q6-21
委託元から個人データの取扱いの委託を受けている場合において、委託元において報告対象となる個人データの漏えい等が発生した場合、委託先は報告義務を負いますか。
- A6-21
委託先が取り扱う個人データの漏えい等が生じていないことから、委託先は報告義務を負わないと考えられます。
- (報告義務の主体)
- Q6-22
クラウドサービス提供事業者が、個人データを取り扱わないこととなっている場合(Q7-53参照)において、報告対象となる個人データの漏えい等が発生したときには、クラウドサービスを利用する事業者とクラウドサービス提供事業者はそれぞれ報告義務を負いますか。
- A6-22
クラウドサービス提供事業者が、個人データを取り扱わないこととなっている場合において、報告対象となる個人データの漏えい等が発生したときには、クラウドサービスを利用する事業者が報告義務を負います。この場合、クラウドサービスを利用する事業者としては、自らが負う報告義務に基づく報告を、クラウドサービス提供事業者に代行させることができます。また、クラウドサービス提供事業者は、法第26条第1項の報告義務を負いませんが、クラウドサービスを利用する事業者が安全管理措置義務及び同項の報告義務を負っていることを踏まえて、契約等に基づいてクラウドサービスを利用する事業者に対して通知する等、適切な対応を行うことが求められます。
(令和5年 12 月更新) - (報告義務の主体)
- Q6-23
配送事業者を利用して個人データを含むものを送る場合において、当該配送事業者の誤配送により報告対象となる個人データの漏えいが発生したときには、配送事業者を利用した事業者と配送事業者はそれぞれ報告義務を負いますか。
- A6-23
配送事業者は、通常、配送を依頼された中身の詳細については関知しないことから、当該配送事業者との間で特に中身の個人データの取扱いについて合意があった場合等を除き、当該個人データに関しては取扱いの委託をしているものではないものと解されます。
そのため、当該配送事業者の誤配送により報告対象となる個人データの漏えいが発生したときには、配送事業者を利用した個人情報取扱事業者が報告義務を負います。この場合、配送事業者は、法第26条第1項の報告義務を負いませんが、配送事業者を利用する事業者が安全管理措置義務及び同項の報告義務を負っていることを踏まえて、契約等に基づいて、配送事業者を利用する事業者に対して通知する等、適切な対応を行うことが求められます。
- (速報)
- Q6-24
ガイドライン(通則編)3-5-3-3において、報告期限の起算点となる「知った」時点について、「個人情報取扱事業者が法人である場合には、いずれかの部署が当該事態を知った時点を基準」とありますが、具体的には部署内の誰が認識した時点を基準としますか。
- A6-24
個別の事案ごとに判断されますが、部署内のある従業者が報告対象事態を知った時点で「部署が知った」と考えられます。なお、従業者等の不正な持ち出しの事案においては、不正な持ち出しを行った従業者等を除いた上で判断することとなります。
- (速報)
- Q6-25
漏えい等報告における報告事項となっている「二次被害又はそのおそれの有無及びその内容」の「二次被害」にはどのような事項が含まれますか。
- A6-25
次のような事項が考えられます。
- 事例1)クレジットカードの不正利用
- 事例2)ポイントサービスにおけるポイントの不正利用
- 事例3)漏えいしたメールアドレス宛てに第三者が不審なメール・詐欺メールを送信すること
- (速報)
- Q6-26
漏えい等報告における報告事項となっている「その他参考となる事項」には、どのような事項が含まれますか。
- A6-26
次のような事項が考えられます。
- 事例1)他の行政機関等への報告状況(捜査機関への申告状況も含む。)
- 事例2)外国の行政機関等への報告状況
- 事例3)当該個人情報取扱事業者が上場会社である場合、適時開示の実施状況・実施予定
- 事例4)既に報告を行っている漏えい等事案がある中で、同時期に別の漏えい等事案が発生した場合には、両者が別の事案である旨
- (速報)
- Q6-27
漏えい等事案漏えい等事案について、個人情報保護委員会に報告する場合、どのような方法で報告すればよいですか。
- A6-27
個人情報保護委員会のホームページに報告フォームを設置していますので、当該報告フォームから報告してください。なお、報告先が事業所管大臣となるときは、事業所管大臣が報告方法を定めている場合にはその方法により、定めがない場合には報告書を提出する方法により報告してください。
- (速報)
- Q6-28
個人番号を含む個人データの漏えい等が発生し、行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号)第29条の4の報告対象に該当するとともに、法第26条第1項の報告対象にも該当する場合には、どのように報告を行えばよいですか。
- A6-28
行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号)第29条の4の報告対象と、法第26条第1項の報告対象はそれぞれ個別に判断するため、双方の報告対象に該当する場合は、双方の法に基づく報告を行う必要があります。この場合、個人情報保護委員会のホームページにおいて双方の法に基づく報告を一括して行うためのフォームを設置していますので、これを利用することが考えられます。
- (本人への通知)
- Q6-29
本人への通知について、口頭で行うことは可能ですか。
- A6-29
本人への通知の方法として口頭で知らせる方法も可能ですが、本人が口頭で通知を受けた内容を事後的に確認できるようにする観点から、必要に応じて書面又は電子メール等による通知を併用することが望ましいと考えられます。
- (本人への通知)
- Q6-30
本人に関する連絡先を複数保有している場合において、1つの連絡先に連絡して本人に連絡がとれなければ、本人への通知が困難であると解してよいですか。
- A6-30
本人への通知に関し、複数の連絡手段を有している場合において、1つの手段で連絡ができなかったとしても、直ちに「本人への通知が困難である場合」に該当するものではありません。例えば、本人の連絡先として、住所と電話番号を把握しており、当該住所へ書面を郵送する方法により通知しようとしたものの、本人が居住していないとして当該書面が還付された場合には、別途電話により連絡することが考えられます。
- (本人への通知)
- Q6-31
ガイドライン(通則編)3-5-4-5の「代替措置に該当する事例」である「問合せ窓口を用意してその連絡先を公表し、本人が自らの個人データが対象となっているか否かを確認できるようにする」場合について、問合せ窓口として、常設している個人情報の取扱いに関する相談を受け付ける窓口を利用することは可能ですか。
- A6-31
可能です。
- (本人への通知)
- Q6-32
本人への通知の代替措置として事案の公表を行う場合に、本人が特定されるおそれがある事項についてまで公表する必要がありますか。
- A6-32
事案の公表に当たっては、公表することでかえって被害の拡大につながることがないように留意する必要があります。公表内容については、本人へ通知すべき内容を基本としつつ、特定の個人が識別されるおそれがある事項については、公表しないようにすることが考えられます。
- (本人への通知)
- Q6-33
漏えい等事案が発生した場合に、公表を行うことは義務付けられていますか。
- A6-33
本人への通知の代替措置として、事案の公表を行う場合を除き、事案の公表が義務付けられているものではありませんが、漏えい等事案の内容等に応じて、公表することが望ましいと考えられます。なお、二次被害の防止の観点から必要がないと認められる場合や、公表することでかえって被害の拡大につながる可能性があると考えられる場合には、公表を行わないことが考えられます。
1-7 個人データの第三者への提供(法第27条~第30条関係)
- (第三者提供の制限の原則)
- Q7-1
「第三者」とはどのような者をいうのですか。
- A7-1
「第三者」とは、一般にマル1当該個人データによって特定される本人、②当該個人データを提供しようとする個人情報取扱事業者以外の者をいい、自然人、法人その他の団体を問いません。
なお、第三者提供の制限(法第27条)、外国にある第三者への提供の制限(法第28条)、確認・記録義務(法第29条及び第30条)の各条において、マル1及び②に加えて「第三者」から除外される者が規定されていますので、各ガイドラインの「第三者」に係る記載を確認してください。
- ガイドライン(通則編)3-6-3
- ガイドライン(外国にある第三者への提供編)2-2、3、4
- ガイドライン(第三者提供時の確認・記録義務編)2-1-2、2-1-3
- (第三者提供の制限の原則)
- Q7-2
会社の他の部署へ個人データを提供する場合、あらかじめ本人の同意を得る必要はありますか。
- A7-2
同一事業者内での個人データの提供は、第三者提供には該当しないため、第三者提供に関する本人の同意は必要ありません。ただし、他の部署によって、当初特定した利用目的の達成に必要な範囲を超えて個人情報が利用される場合には、あらかじめ、目的外利用に関する本人の同意を得る必要があります(法第18条第1項)。
- (第三者提供の制限の原則)
- Q7-3
当社の提携会社や協力会社から、当社の従業者にお中元を贈りたいとの理由で、当該従業者の連絡先を教えてほしいと言われた場合に、提携会社や協力会社に当該従業者の連絡先を提供してもよいですか。
- A7-3
提携会社や協力会社に従業者の個人情報を提供することは第三者提供に該当しますので、あらかじめ従業者本人から同意を得ておくなどの措置が必要となります。
- (第三者提供の制限の原則)
- Q7-4
ある大学から当社に対して、当社に勤務する当該大学の卒業生の名簿(氏名・卒業年度・所属部署)の提出を求められました。これは第三者提供に該当しますか。従業者数が多いので同意の取りようがないのですが、具体的に何をすればよいですか。
- A7-4
第三者提供に該当しますので、本人の同意が必要になります。例えば、該当する従業者に対しメール等でその旨を通知し、同意を得られた従業者のみを名簿にして提出するなどの方法が考えられます。
- (第三者提供の制限の原則)
- Q7-5
デパートの中で、迷子になった幼少児の名前をアナウンスしても問題はありませんか。
- A7-5
一般的に、幼少児の個人情報を第三者提供するために必要な同意は親権者から得る必要がありますが、迷子になった幼少児の保護者を探して当該幼少児の安全を確保する必要がある場合は、その名前をアナウンスすることができるものと解されます(法第27条第1項第2号)。
- (第三者提供の制限の原則)
- Q7-6
「あらかじめ」とは、具体的にはいつまでに同意を得る必要がありますか。
- A7-6
当該個人データが第三者へ提供される時点より前までに同意を得る必要があります。
- (第三者提供の制限の原則)
- Q7-7
本人から個人情報を取得する際に、同時に第三者提供についての同意を得ることはできるのですか。
- A7-7
法文上、「あらかじめ」と規定されていますが(法第18条第1項、法第27条第1項)、その具体的な時期については限定されていません。したがって、個人情報を取得する際に、同時に、第三者提供をすることについての同意を得ることも可能です。
- (第三者提供の制限の原則)
- Q7-8
本人の同意は、個人データの第三者提供に当たってその都度得る必要があるのですか。
- A7-8
必ずしも第三者提供のたびに同意を得なければならないわけではありません。例えば、個人情報の取得時に、その時点で予測される個人データの第三者提供について、包括的に同意を得ておくことも可能です。
- (第三者提供の制限の原則)
- Q7-9
第三者提供の同意を得るに当たり、提供先の氏名又は名称を本人に明示する必要はありますか。
- A7-9
提供先を個別に明示することまでが求められるわけではありません。もっとも、想定される提供先の範囲や属性を示すことは望ましいと考えられます。
- (第三者提供の制限の原則)
- Q7-10
介護施設の入居者の家族から、当該入居者に関する情報の提供の依頼があった場合、提供してもよいですか。
- A7-10
個人データを第三者に提供する際には、原則としてあらかじめ本人の同意を得る必要がありますが、人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であると認められる場合は、本人の同意を得ずに提供することができます(法第27条第1項第2号)。したがって、当該入居者の生命、身体又は財産の保護のために必要があり、当該入居者の同意を得ることが困難である場合は、当該入居者の同意を得ずにその情報を家族に提供することができると解されます。
- (第三者提供の制限の原則)
- Q7-11
会社の行事で撮影された写真などを、当社内で展示する場合、写真に写っている本人からあらかじめ同意を得る必要がありますか。
- A7-11
一般的に、本人を判別可能な写真の画像は個人情報には該当しますが、個人データ(個人情報データベース等を構成する個人情報)ではないと解されるため、あらかじめ本人の同意を得ずに展示等を行っても、法第27条第1項に違反するおそれはないと解されますが、利用目的を通知又は公表することは必要です(法第21条第1項)。
なお、プライバシーの権利や肖像権の侵害に当たる場合もあるため、例えば展示期間を限定したり、不特定多数の者への提供に際しては自主的に本人の同意を得る等の取組が望ましいと考えられます。
- (第三者提供の制限の原則)
- Q7-12
第三者から、当社を退職した従業者に関する在籍確認や勤務状況等について問合せを受けていますが、当該問合せに答えることはできますか。
- A7-12
退職した従業者に関する在籍状況や勤務状況等が個人データ(個人情報データベース等を構成する個人情報)になっている場合、問合せに答えることは個人データの第三者提供に該当し、本人の同意がある場合や第三者提供制限の例外事由に該当する場合を除いて、第三者に提供することはできません。
- (第三者提供の制限の原則)
- Q7-13
企業の代表者情報等の公開情報を第三者提供する際に、本人の同意が必要ですか。
- A7-13
個人データを第三者に提供する際には、あらかじめ本人の同意を得る必要がありますが(法第27条第1項)、例えば、ある企業の代表取締役の氏名が当該会社のホームページで公開されていて、当該本人の役職(代表取締役)及び氏名のみを第三者に伝える場合等、提供する個人データの項目や提供の態様によっては、本人の同意があると事実上推認してよい場合もあると解されます。
- (第三者提供の制限の原則)
- Q7-14
第三者提供の例外規定のひとつである「法令に基づく場合」であれば、必ず個人データを提供しなければなりませんか。
- A7-14
「他の法令により個人情報を第三者へ提供することを義務付けられている場合」には、当該法令に基づき個人データを提供しなければならないと解されます。
一方、「他の法令に、個人情報を第三者に提供することについて具体的根拠が示されてはいるが、提供すること自体は義務付けられていない場合」には、必ず個人情報を提供しなければならないわけではなく、当該法令の趣旨に照らし、第三者提供の必要性と合理性が認められることを確認した上で対応することが、個人情報保護法の趣旨に沿うと解されます。
- (第三者提供の制限の原則)
- Q7-15
株主より株主名簿の閲覧を求められた場合、株主名簿を開示することは第三者提供に該当するため、全株主の同意がない限り、当該閲覧請求を拒否できますか。
- A7-15
会社法において、株主には株主名簿の閲覧請求権が認められているため(会社法第125条第2項)、会社法に基づく適法な閲覧請求に応じることは、法第27条第1項第1号に規定する「法令に基づく場合」に該当します。したがって、全株主の同意がないことは、個人情報保護法上、閲覧請求を拒否する理由にはならないものと解されます。
- (第三者提供の制限の原則)
- Q7-16
弁護士法第23条の2に基づき、当社の従業者の情報について弁護士会から照会があった場合、当該従業者の同意を得ずに弁護士会に当該従業者情報を提供してもよいですか。
- A7-16
弁護士法第23条の2に基づく弁護士会からの照会に対する回答は、「法令に基づく場合」(法第27条第1項第1号)に該当するため、照会に応じて提供する際に本人の同意を得る必要はありません。
- (第三者提供の制限の原則)
- Q7-17
刑事訴訟法第197条第2項に基づき、警察から顧客に関する情報について照会があった場合、顧客本人の同意を得ずに回答してもよいですか。同法第507条に基づき、検察官から裁判の執行に関する照会があった場合はどうですか。
- A7-17
警察や検察等の捜査機関からの照会(刑事訴訟法第197条第2項)や、検察官及び裁判官等からの裁判の執行に関する照会(同法第507条)に対する回答は、「法令に基づく場合」(法第27条第1項第1号)に該当するため、これらの照会に応じて個人情報を提供する際に本人の同意を得る必要はありません。要配慮個人情報を提供する際も同様です。
なお、これらの照会は、いずれも、捜査や裁判の執行に必要な場合に行われるもので、相手方に回答すべき義務を課すものと解されており、また、上記照会により求められた顧客情報を本人の同意なく回答することが民法上の不法行為を構成することは、通常考えにくいため、これらの照会には、一般に回答をすべきであると考えられます。ただし、本人との間の争いを防止するために、照会に応じ警察等に対し顧客情報を提供する場合には、当該情報提供を求めた捜査官等の役職、氏名を確認するとともに、その求めに応じ提供したことを後日説明できるようにしておくことが必要と考えられます。
- (第三者提供の制限の原則)
- Q7-18
株主総会開催の際、管轄の警察署に会場の警備を依頼しています。それに伴い、要注意株主のリスト(氏名、住所、持株数等)の提出を警察署から求められた場合、個人情報保護法との関係では、本人の同意なく提供することができますか。
- A7-18
提供することができます。法第18条第3項第1号、第2号又は第4号、法第27条第1項第1号、第2号又は第4号に該当すると考えられます。
- (第三者提供の制限の原則)
- Q7-19
過去に販売した製品に不具合が発生したため、製造会社で当該製品を回収することになりました。販売会社を通じて購入者情報を提供してもらい、製造会社から購入者に連絡を取りたいのですが、購入者数が膨大なため、販売会社が購入者全員から第三者提供についての同意を得るのは困難です。さらに、製品の不具合による人命に関わる事故が発生するおそれもあるため、製品を至急回収したいのですが、このような場合でも購入者全員の同意を得なければならないですか。
- A7-19
製品の不具合が重大な事故を引き起こす危険性がある場合で、購入者に緊急に連絡を取る必要があるが、購入者が膨大で、購入者全員から同意を得るための時間的余裕もないときは、販売会社から購入者の情報を提供することは、法第27条第1項第2号で規定する「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」に該当すると考えられるため、購入者本人の同意を得る必要はないと解されます。
- (第三者提供の制限の原則)
- Q7-20
民生委員・児童委員をしていますが、市町村や民間の事業者から、活動に必要な個人情報の提供を受けられず苦慮しています。提供を受けることは可能ですか。
- A7-20
民生委員・児童委員は、福祉事務所などの協力機関として職務を行うものとされており、活動の円滑な実施のためには、個人情報の適切な提供を受ける必要があります。民生委員・児童委員には、民生委員法等において守秘義務が課せられていることも踏まえ、各主体から、その活動に必要な個人情報が適切に提供されることが望ましいと考えられます。
民生委員・児童委員は特別職の地方公務員と整理されているため、当該民生委員等への個人データの提供が法令に基づく場合や、当該民生委員等が法令の定める事務を遂行することに対して協力する必要があり、本人の同意を得ることで当該事務の遂行に支障を及ぼすおそれがある場合は、本人の同意を得ることなく当該個人データを提供することができると解されます(法第27条第1項第1号及び第4号)。したがって、これらの場合、民生委員等は本人の同意を得ることなく、個人データの提供を受けることは可能と考えられます。
(令和5年3月更新) - (第三者提供の制限の原則)
- Q7-21
大規模災害等の緊急時に、被災者情報・負傷者情報等の個人情報を関係者で共有する場合、本人の同意なく共有することができますか。
- A7-21
個人データを第三者に提供する際には原則本人の同意が必要ですが、「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」は本人の同意は不要となっています(法第27条第1項第2号)。したがって、大規模災害等の緊急時に、人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるときには自治会等の個人情報取扱事業者が保有する個人データを本人の同意なく関係者等に提供することは可能と解されます。
(平成30年7月追加) - (第三者提供の制限の原則)
- Q7-22
地震等の災害時に支援が必要な高齢者、障害者等のリストを災害時に備えて関係者間で共有することは可能ですか。
- A7-22
災害対策基本法では、市町村長は、避難行動要支援者(※1)について、避難支援等を実施するための基礎となる名簿(避難行動要支援者名簿)を作成することが義務付けられているとともに、当該避難行動要支援者について避難支援等を実施するための計画(個別避難計画)を作成するよう努めなければならないこととされています。
同法では、この名簿や計画に記載し、又は記録された情報は、災害の発生に備え、避難支援等の実施に必要な限度で、名簿については避難行動要支援者本人の同意が、計画については避難行動要支援者及び避難支援等実施者(※2)本人の同意が得られる場合は、地域防災計画の定めるところにより、避難支援等関係者に対し、当該情報を提供するものとされています(ただし、各市町村の条例に特別の定めがある場合は、当該同意を得ずに避難支援等関係者に提供するものとなります。)。
また、同法に基づき、災害が発生し、又は災害が発生するおそれがある場合で避難行動要支援者の生命又は身体を災害から保護するために特に必要があると認めるときは、避難支援等の実施に必要な限度で、本人の同意を得ずに避難支援等関係者等に提供することができます。
なお、災害対策基本法には、名簿や計画に記載し、又は記録された情報を提供する際に避難行動要支援者や第三者の権利利益を保護するために必要な措置を講じるよう努めることや、提供を受けた場合の秘密保持義務なども規定されています。
※1 「避難行動要支援者」とは、当該市町村に居住する、高齢者、障害者、乳幼児その他の特に配慮を要する者のうち、災害が発生し、又は災害が発生するおそれがある場合に自ら避難することが困難な者であって、その円滑かつ迅速な避難の確保を図るため特に支援を要するものとされています。
※2 「避難支援等実施者」とは、消防機関、都道府県警察、民生委員、市町村社会福祉協議会、自主防災組織その他の避難支援等の実施に携わる関係者のうち当該個別避難計画に係る避難行動要支援者について避難支援等を実施する者とされています。
(平成30年7月追加・令和4年4月更新) - (第三者提供の制限の原則)
- Q7-23
自社の従業者が指定感染症に罹患したため、当該従業者が感染可能期間中に訪問した取引先が適切な対応策を取ることができるよう、情報提供することを考えています。当該従業者は現在入院しており、取引先への第三者提供に係る同意を取得することが困難ですが、同意を取得せずに情報提供することはできますか。
- A7-23
個人データを第三者に提供する際には原則本人の同意が必要ですが(法第27条第1項本文)、「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」(法第27条第1項第2号)や、「公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき」(同項第3号)は、本人の同意は不要です。
したがって、取引先での2次感染の発生による取引先の従業者等の生命若しくは身体への危険を防止するために必要がある場合、当該取引先における感染拡大に伴う事業活動の停止等への危険を防止するために必要がある場合、又は公衆衛生の向上のため特に必要がある場合であって、自社の従業者本人の同意を取得することが困難なときは、当該従業者本人の個人データを本人の同意なく取引先に対して提供することができると考えられます。
(令和2年9月追加) - (第三者提供の制限の原則)
- Q7-24
医療機関等が、以前治療を行った患者の臨床症例を、観察研究のために、他の医療機関等へ提供することを考えています。本人の転居等により有効な連絡先を保有していない場合や、同意を取得するための時間的余裕や費用等に照らし、本人の同意を得ることにより当該研究の遂行に支障を及ぼすおそれがある場合は、本人同意なしに提供することは可能ですか。
- A7-24
個人情報取扱事業者は、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはなりませんが、公衆衛生の向上のために特に必要がある場合であって、本人の同意を得ることが困難であるときには、あらかじめ本人の同意を得ないで、個人データを第三者へ提供することが許容されています(法第27条第1項第3号)。
医療機関等は、あらかじめ患者の同意を得ないで、当該患者の個人データを第三者である他の医療機関等へ提供することはできません。
しかし、一般に、医療機関等における臨床症例を、他の医療機関等に提供し、当該他の医療機関等における観察研究や診断・治療等の医療技術の向上のために利用することは、当該研究の成果が広く共有・活用されていくことや当該他の医療機関等を受診する不特定多数の患者に対してより優れた医療サービスを提供できるようになること等により、公衆衛生の向上に特に資するものであると考えられます。
また、医療機関等が、本人の転居等により有効な連絡先を保有していない場合や、同意を取得するための時間的余裕や費用等に照らし、本人の同意を得ることにより当該研究の遂行に支障を及ぼすおそれがある場合等には、「本人の同意を得ることが困難であるとき」に該当するものと考えられます。
したがって、医療機関等が以前治療を行った患者の臨床症例に係る個人データを、観察研究のために他の医療機関等へ提供する場合であって、本人の転居等により有効な連絡先を保有しておらず本人からの同意取得が困難であるときや、同意を取得するための時間的余裕や費用等に照らし、本人の同意を得ることにより当該研究の遂行に支障を及ぼすおそれがあるときには、同号の規定によりこれを行うことが許容されると考えられます。
なお、当該他の医療機関等においては、提供を受けた際に特定された利用目的の範囲内で個人データを取り扱う必要があり、観察研究のためという利用目的の達成に必要な範囲を超えて、提供を受けた個人データを取り扱うことは原則できません。また、法第27条第1項第3号の規定において個人データを提供できるのは「特に必要がある場合」とされていることからも、当該医療機関等が提供する個人データは、利用目的の達成に照らして真に必要な範囲に限定することが必要です。具体的には、利用目的の達成には不要と考えられる氏名、生年月日等の情報は削除又は置換した上で、必要最小限の情報提供とすることなどが考えられます。
この外、提供元及び提供先の医療機関等には、倫理審査委員会の関与、研究対象者が拒否できる機会の保障、研究結果の公表等について規定する医学系研究等に関する指針や、関係法令の遵守が求められていることにも、留意が必要です。
(令和3年6月追加・令和4年5月更新) - (第三者提供の制限の原則)
- Q7-25
医療機関等が保有する患者の臨床症例について、有効な治療方法や薬剤が十分にない疾病等に関する疾病メカニズムの解明を目的とした研究のために、製薬企業へ提供することを考えています。本人の転居等により有効な連絡先を保有していない場合や、同意を取得するための時間的余裕や費用等に照らし、本人の同意を得ることにより当該研究の遂行に支障を及ぼすおそれがある場合は、本人同意なしに提供することは可能ですか。
- A7-25
個人情報取扱事業者は、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはなりませんが、公衆衛生の向上のために特に必要がある場合であって、本人の同意を得ることが困難であるときには、あらかじめ本人の同意を得ないで、個人データを第三者へ提供することが許容されています(法第27条第1項第3号)。
医療機関等は、あらかじめ患者の同意を得ないで、当該患者の個人データを第三者である製薬企業へ提供することはできません。
しかし、一般に、製薬企業が行う有効な治療方法や薬剤が十分にない疾病等に関する疾病メカニズムの解明、創薬標的探索、バイオマーカー同定、新たな診断・治療方法の探求等の研究は、その結果が広く共有・活用されていくことで、医学、薬学等の発展や医療水準の向上に寄与し、公衆衛生の向上に特に資するものと考えられます。
また、医療機関等が、本人の転居等により有効な連絡先を保有していない場合や、同意を取得するための時間的余裕や費用等に照らし、本人の同意を得ることにより当該研究の遂行に支障を及ぼすおそれがある場合等には、「本人の同意を得ることが困難であるとき」に該当するものと考えられます。
したがって、医療機関等が保有する患者の臨床症例に係る個人データを、有効な治療方法や薬剤が十分にない疾病等に関する疾病メカニズムの解明を目的とした研究のために製薬企業に提供する場合であって、本人の転居等により有効な連絡先を保有しておらず本人からの同意取得が困難であるときや、同意を取得するための時間的余裕や費用等に照らし、本人の同意を得ることにより当該研究の遂行に支障を及ぼすおそれがあるときには、同号の規定によりこれを行うことが許容されると考えられます。
なお、当該製薬企業においては、提供を受けた際に特定された利用目的の範囲内で個人データを取り扱う必要があり、上記研究のためという利用目的の達成に必要な範囲を超えて、提供を受けた個人データを取り扱うことは原則できません。また、法第27条第1項第3号の規定において個人データを提供できるのは「特に必要がある場合」とされていることからも、当該医療機関等が提供する個人データは、利用目的の達成に照らして真に必要な範囲に限定することが必要です。具体的には、利用目的の達成には不要と考えられる氏名、生年月日等の情報は削除又は置換した上で、必要最小限の情報提供とすることなどが考えられます。
この外、医療機関等及び製薬企業には、倫理審査委員会の関与、研究対象者が拒否できる機会の保障、研究結果の公表等について規定する医学系研究等に関する指針や、関係法令の遵守が求められていることにも、留意が必要です。
(令和3年6月追加・令和4年5月更新) - (オプトアウトによる第三者提供)
- Q7-26
オプトアウトの届出事項である「第三者に提供される個人データの取得の方法」(法第27条第2項第4号)に関して、オプトアウト届出を行っている個人情報取扱事業者が内部で独自に生成した個人データがある場合には、何か記載する必要がありますか。どのように記載すればよいですか。
- A7-26
オプトアウト届出を行っている個人情報取扱事業者が内部で独自に生成した個人データについては、「第三者に提供される個人データの取得の方法」として記載する必要はありませんが、当該個人データを第三者に提供している場合には、「第三者に提供される個人データの項目」(法第27条第2項第3号)等に記載する必要があります。
(令和3年9月追加) - (オプトアウトによる第三者提供)
- Q7-27
ホームページに継続的に掲載すれば、法第27条第2項の「本人が容易に知り得る状態」に該当しますか。
- A7-27
「本人が容易に知り得る状態」とは、本人が知ろうとすれば、時間的にも、その手段においても、簡単に知ることができる状態をいい、事業の性質及び個人情報の取扱状況に応じ、本人が確実に認識できる適切かつ合理的な方法によらなければなりません。
例えば、本人が閲覧することが合理的に予測される個人情報取扱事業者のホームページにおいて、本人が分かりやすい場所(例:ホームページのトップページから1回程度の操作で到達できる場所等)に法に定められた事項を分かりやすく継続的に掲載しておくことで、通常は、「本人が容易に知り得る状態」になり得ると考えられます。
- (オプトアウトによる第三者提供)
- Q7-28
サービスの提供の申込の際に、申込者から申込書・約款等で包括的に同意を得ながらも、事後的に当該同意の撤回を申し出ることができるようにしています。この場合、法第27条第2項・第3項に規定する手続に則る必要がありますか。
- A7-28
第三者提供について法第27条第1項に基づく本人の同意を得ている場合には、法第27条第2項・第3項は適用されないため、それらの義務や手続に則る必要はありません。
(令和3年9月更新) - (オプトアウトによる第三者提供)
- Q7-29
「本人・・・が当該提供の停止を求めるのに必要な期間をおくこと」(施行規則第11条第1項第1号)の「必要な期間」とは、いつから起算しますか。また、満了点はいつですか。
- A7-29
「必要な期間」は、個人情報取扱事業者が法第27条第2項に基づき、本人に通知し、又は本人が容易に知り得る状態に置いた時点から起算します。また、この「必要な期間」の満了点は、オプトアウトによる第三者提供を行う前である必要があります。
- (オプトアウトによる第三者提供)
- Q7-30
法第27条第2項各号に係る事項をインターネットで「本人が容易に知り得る状態」に置いている場合、個人情報保護委員会への届出をした後、改めて、施行規則第14条に基づき、公表しなければなりませんか。
- A7-30
個人情報取扱事業者が、法第27条第2項各号に係る事項をインターネットで「本人が容易に知り得る状態」に置いている場合には、実質的に施行規則第14条を履行しているものと考えられますので、別途、公表をする必要はありません。
- (オプトアウトによる第三者提供)
- Q7-31
オプトアウトにより提供を受けた個人データのオプトアウトによる再提供の禁止について、令和2年改正法の施行日(令和4年4月1日)以前にオプトアウトにより提供を受けた個人データについても再提供が禁止されますか。
- A7-31
法第27条第2項の適用については、オプトアウトによる再提供の禁止を含め、個人データの提供時を基準に判断することになります。
そのため、令和2年改正法の施行後は、個人データの取得の時点にかかわらず、オプトアウトにより提供を受けた個人データを、オプトアウトにより再提供することはできなくなります。
(令和3年9月追加) - (オプトアウトによる第三者提供)
- Q7-32
オプトアウトにより提供を受けた個人データのオプトアウトによる再提供の禁止について、オプトアウト規定ができる前に他の事業者から取得した個人データについても、再提供が禁止されますか。
- A7-32
法第27条第2項ただし書は、オプトアウトにより提供を受けた個人データを、オプトアウトにより再提供することを禁止しています。オプトアウト規定は、個人情報保護法が平成17年4月1日に施行された時点で導入されたものであるところ、同日以前に取得した個人データについては、オプトアウトにより提供を受けた個人データではないため、上記規制の対象外となります。
(令和3年9月追加) - (オプトアウトによる第三者提供)
- Q7-33
オプトアウトにより提供を受けた個人データについて、令和2年改正法の施行後において、提供を受けた個人情報取扱事業者が内部利用することはできますか。また、他の事業者からダイレクトメール発送の依頼を受けた場合、オプトアウトにより提供を受けた個人データをダイレクトメール発送のために利用することはできますか。
- A7-33
法第27条第2項ただし書は、オプトアウトにより提供を受けた個人データを、オプトアウトにより再提供することを禁止していますが、オプトアウトにより提供を受けた個人データを、個人情報保護法のその他の規定を遵守した上で、取得時に特定した利用目的の範囲内で利用することは可能です。そのため、オプトアウトにより提供を受けた個人データを、取得時に特定した利用目的の範囲内で内部利用したり、他の事業者からダイレクトメール発送の依頼を受けてそのために利用したりすることは可能です。
(令和3年9月追加) - (第三者に該当しない場合)
- Q7-34
ダイレクトメールの発送業務を業者に委託する場合、ダイレクトメールの発送業務の委託に伴い、ダイレクトメールの送付先である顧客の氏名や住所等を本人の同意なくこの業者に伝えることはできますか。
- A7-34
個人情報取扱事業者が、その利用目的の達成に必要な範囲内において、ダイレクトメールの発送業務を業者に「委託」(法第27条第5項第1号)する場合には、顧客の氏名や住所等をダイレクトメールの発送業者に伝えても第三者提供の制限に違反することにはなりません。ただし、委託者は、委託先を監督する義務があります(法第25条)。
- (第三者に該当しない場合)
- Q7-35
配送事業者、通信事業者等の外部事業者を利用して、個人データを含むものを送る場合は、当該外部事業者に対して当該個人データの取扱いを委託(法第27条第5項第1号)しているものと考えられますか。
- A7-35
一般的に、外部事業者を利用して、個人情報データベース等に含まれる相手の氏名、住所等宛に荷物等を送付する行為は、委託に該当すると解されます。
ただし、配送事業者を利用する場合、通常、当該配送事業者は配送を依頼された中身の詳細については関知しないことから、当該配送事業者との間で特に中身の個人データの取扱いについて合意があった場合等を除き、当該個人データに関しては取扱いの委託をしているものではないものと解されます。
また、通信事業者による通信手段を利用する場合も、当該通信事業者は、通常、通信手段を提供しているにすぎず、通信を依頼された中身の詳細について関知するものでないことから、同様に通信の対象である個人データについてはその取扱いを委託しているものではないものと解されます。
なお、いずれの場合も、外部事業者を利用する個人情報取扱事業者には、安全管理措置を講ずる義務が課せられているため、中身の個人データが漏えい等しないよう、適切な外部事業者の選択、安全な配送方法の指定等の措置を講ずる必要があります。
- (第三者に該当しない場合)
- Q7-36
当社は、外部事業者を利用して消費者アンケート調査を実施します。当該外部事業者において新たに個人データを取得し、その結果を集計して統計情報を作成し、当社は統計情報のみ提供を受けます。この場合、当社は当該外部事業者に対して個人データの取扱いの委託(法第27条第5項第1号をしているものと考えられますか。
- A7-36
個別の事例ごとに判断することになりますが、外部事業者のみがアンケート調査に係る個人データを取り扱っており、調査を依頼した事業者が一切個人データの取扱いに関与しない場合は、通常、当該個人データに関しては取扱いの委託をしていないと解されます。この場合、当該外部事業者は委託を受けることなく自ら個人データを取り扱う主体となり、例えば、本人から保有個人データの開示等の請求があった場合には、これに対応する必要があります。
他方、例えば、調査を依頼した事業者が当該個人データの内容を確認できる場合は、当該個人データに関して取扱いの委託をしていると解されます。また、契約上、調査を依頼した事業者に個人データの取扱いに関する権限が付与されている場合や、外部事業者における個人データの取扱いについて制限が設けられている場合には、当該個人データに関して取扱いの委託をしていると解されます。
(令和3年9月追加) - (第三者に該当しない場合)
- Q7-37
ガイドライン(通則編)3-6-3の「(1)委託(法第27条第5項第1号関係)」に、個人情報保護法上委託に該当しない場合として記載されている「委託された業務以外に当該個人データを取扱う」事例としては、どのようなものがありますか。
- A7-37
次のような事例が考えられます。
- 事例1)個人情報取扱事業者から個人データの取扱いの委託を受けている者が、提供された個人データを委託の内容と関係のない自社の営業活動等のために利用する場合
- 事例2)複数の個人情報取扱事業者から個人データの取扱いの委託を受けている者が、各個人情報取扱事業者から提供された個人データを区別せずに混ぜて取り扱っている場合
(平成30年12月追加)
- (第三者に該当しない場合)
- Q7-38
委託に伴って提供された個人データを、委託先が自社のために統計情報に加工した上で利用することはできますか。
- A7-38
委託先は、委託(法第27条第5項第1号)に伴って委託元から提供された個人データを、委託された業務の範囲内でのみ取り扱わなければなりません。委託先が当該個人データを統計情報に加工することが委託された業務の範囲内である場合には、委託先は当該加工を行うことができますが、委託された業務の範囲外で委託先が当該加工を行い、作成された統計情報を自社のために用いることはできません。
(令和3年9月追加) - (第三者に該当しない場合)
- Q7-39
委託に伴って提供された個人データを、委託業務を処理するための一環として、委託先が自社の分析技術の改善のために利用することはできますか。
- A7-39
個別の事例ごとに判断することになりますが、委託先は、委託元の利用目的の達成に必要な範囲内である限りにおいて、委託元から提供された個人データを、自社の分析技術の改善のために利用することができます。
(令和3年9月追加) - (第三者に該当しない場合)
- Q7-40
広告配信の委託を受け、これに伴って提供された氏名・メールアドレス等の個人データを利用して広告配信を行い、当該広告に対する本人の反応等の別の個人データを取得しました。取得した別の個人データを自社のために利用することができますか。
- A7-40
個人データの取扱いの委託を受けた者は、当該個人データのみならず、当該個人データを利用して取得した個人データについても、委託された業務以外に取り扱うことはできません。したがって、当該広告に対する本人の反応等の別の個人データを委託先が自社のために利用することはできません。
(令和3年9月追加) - (第三者に該当しない場合)
- Q7-41
委託に伴って提供された個人データを、委託先が独自に取得した個人データ又は個人関連情報と本人ごとに突合することはできますか。
- A7-41
個人データの取扱いの委託(法第27条第5項第1号)において、委託先は、委託に伴って委託元から提供された個人データを、独自に取得した個人データ又は個人関連情報と本人ごとに突合することはできません。
したがって、個人データの取扱いの委託に関し、委託先において以下のような取扱いをすることはできません。
- 事例1)既存顧客のメールアドレスを含む個人データを委託に伴ってSNS運営事業者に提供し、当該SNS運営事業者において提供を受けたメールアドレスを当該SNS運営事業者が保有するユーザーのメールアドレスと突合し、両者が一致した場合に当該ユーザーに対し当該SNS上で広告を表示すること
- 事例2)既存顧客のリストを委託に伴ってポイントサービス運営事業者等の外部事業者に提供し、当該外部事業者において提供を受けた既存顧客のリストをポイント会員のリストと突合して既存顧客を除外した上で、ポイント会員にダイレクトメールを送付すること
これらの取扱いをする場合には、マル1外部事業者に対する個人データの第三者提供と整理した上で、原則本人の同意を得て提供し、提供先である当該外部事業者の利用目的の範囲内で取り扱うか、②外部事業者に対する委託と整理した上で、委託先である当該外部事業者において本人の同意を取得する等の対応を行う必要があります。
(令和3年9月追加) - (第三者に該当しない場合)
- Q7-42
委託に伴って提供された個人データを、委託先が独自に取得した個人データ又は個人関連情報と本人ごとに突合し、新たな項目を付加して又は内容を修正して委託元に戻すことはできますか。
- A7-42
個人データの取扱いの委託(法第27条第5項第1号)において、委託先は、委託に伴って委託元から提供された個人データを、独自に取得した個人データ又は個人関連情報と本人ごとに突合することはできず、委託先で新たな項目を付加して又は内容を修正して委託元に戻すこともできません。
したがって、個人データの取扱いの委託に関し、委託先において以下のような取扱いをすることはできません。
- 事例1)顧客情報を外部事業者に委託に伴って提供し、当該外部事業者において提供を受けた顧客情報に含まれる住所について、当該外部事業者が独自に取得した住所を含む個人データと突合して誤りのある住所を修正し、当該顧客情報を委託元に戻すこと
- 事例2)顧客情報をデータ・マネジメント・プラットフォーム等の外部事業者に委託に伴って提供し、当該外部事業者において、提供を受けた顧客情報に、当該外部事業者が独自に取得したウェブサイトの閲覧履歴等の個人関連情報を付加し、当該顧客情報を委託元に戻すこと
これらの取扱いをする場合には、委託先において本人の同意を取得する等、付加・修正する情報を委託元に適法に提供するための対応を行う必要があります。なお、事例1)については、当該外部事業者が住所を含む個人データについて、法第27条第2項に従って個人情報保護委員会への届出等を行っており、オプトアウトによる第三者提供が可能である場合には、あらかじめ本人の同意を取得することなく、当該顧客情報を委託元に戻すことができます。
(令和3年9月追加) - (第三者に該当しない場合)
- Q7-43
A社及びB社から統計情報の作成の委託を受ける場合に、以下の取扱いをすることはできますか。
- マル1A社及びB社の指示に基づき、A社から委託に伴って提供を受けた個人データとB社から委託に伴って提供を受けた個人データを本人ごとに突合することで、本人ごとに個人データの項目を増やす等した上で統計情報を作成し、これをA社及びB社に提供すること
- ②A社及びB社の指示に基づき、A社から委託に伴って提供を受けた個人データとB社から委託に伴って提供を受けた個人データを本人ごとに突合することなく、サンプルとなるデータ数を増やす目的で合わせて1つの統計情報を作成し、これをA社及びB社に提供すること
- A7-43
- マル1個人データの取扱いの委託(法第27条第5項第1号)において、複数の委託を受ける委託先は、各委託元から委託に伴って提供を受けた個人データを本人ごとに突合することはできません。したがって、A社から委託に伴って提供を受けた個人データとB社から委託に伴って提供を受けた個人データを本人ごとに突合することはできず、突合して得られた個人データから統計情報を作成することもできません。
外部事業者に対する委託と整理した上で、委託先である当該外部事業者において提供を受けた個人データを本人ごとに突合して統計情報を作成する場合には、A社及びB社においてそれぞれに対する第三者提供に関する本人の同意を取得する等の対応を行う必要があります。
- ②A社から委託に伴って提供を受けた個人データとB社から委託に伴って提供を受けた個人データを本人ごとに突合していないため、委託先においてA社から委託に伴って提供を受けた個人データとB社から委託に伴って提供を受けた個人データをサンプルとなるデータ数を増やす目的で合わせて1つの統計情報を作成することができます。
(令和3年9月追加)
- マル1個人データの取扱いの委託(法第27条第5項第1号)において、複数の委託を受ける委託先は、各委託元から委託に伴って提供を受けた個人データを本人ごとに突合することはできません。したがって、A社から委託に伴って提供を受けた個人データとB社から委託に伴って提供を受けた個人データを本人ごとに突合することはできず、突合して得られた個人データから統計情報を作成することもできません。
- (第三者に該当しない場合)
- Q7-44
当社の事業の一部を他社に承継する場合において、利用目的の一部が当社に残るときは、当社に個人データを残して利用することはできますか。
- A7-44
個人データを残して利用することができると考えられます。
- (第三者に該当しない場合)
- Q7-45
「共同して利用する者の範囲」として、「必ずしも事業者の名称等を個別に全て列挙する必要はないが、本人がどの事業者まで利用されるか判断できるようにしなければならない」とのことですが、具体的にはどのような場合が考えられますか。
- A7-45
個別具体的に判断されるものですが、例えば、「当社の子会社及び関連会社」といった表記の場合、当該子会社及び関連会社の全てがホームページ上で公表されている場合等が考えられます。
- (第三者に該当しない場合)
- Q7-46
共同利用する際に「あらかじめ」本人への通知又は本人が知り得る状態に置く必要がありますが、「あらかじめ」とはいつまでですか。
- A7-46
個人データの共同利用が開始される前を意味します。
- (第三者に該当しない場合)
- Q7-47
複数の企業でセミナーを共催して、申込受付やアンケートを共同で実施する場合等、個人情報を数社が共同で取得する際には、どのようにすればよいですか。
- A7-47
申込受付やアンケートの形式上、共催する各社が、それぞれ個人情報を取得することが分かるようにする方法があります。この場合には、各社ごとに、利用目的をあらかじめ明示する必要があります(法第21条第2項)。
また、申込受付やアンケートの形式上、幹事会社だけが取得する場合で、その後、個人データとして幹事会社から共催各社に提供するのであれば、原則として、本人の同意を取得する必要があります(法第27条第1項)。
その他、共同利用の要件(法第27条第5項第3号)を満たせば、共同利用とすることも可能です。
- (第三者に該当しない場合)
- Q7-48
共同して利用している個人データの内容(本人の住所等)の一部について、共同利用者が各自で更新することはできますか。
- A7-48
共同利用者が各自で更新することは可能ですが、これに伴い、各共同利用者が利用する個人データの内容に相違が生ずる可能性があるため、責任を有する者は、個人データを正確かつ最新の内容に保つよう努めることが必要です。
- (第三者に該当しない場合)
- Q7-49
各共同利用者を「責任を有する者」とし、それぞれが開示等の請求等や苦情を受け付けることとすることはできますか。
- A7-49
可能ですが、法第27条第5項第3号の規定に基づき、各共同利用者を「責任を有する者」としていることが明確にされていることが必要です。
- (第三者に該当しない場合)
- Q7-50
防犯目的のために取得するカメラ画像・顔特徴データ等について、防犯目的の達成に照らして真に必要な範囲内で共同利用をすることは可能ですか。その場合には、どのような点に注意する必要がありますか。
- A7-50
一般に個人データを共同利用しようとする場合には、法第27条第5項第3号に基づき、マル1共同利用をする旨、②共同して利用される個人データの項目、③共同して利用する者の範囲、④利用する者の利用目的、⑤当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名をあらかじめ本人に通知又は容易に知りうる状態に置かなければなりません。
防犯目的のために取得したカメラ画像・顔特徴データ等を共同利用しようとする場合には、共同利用されるカメラ画像・顔特徴データ等の範囲や、共同利用する者の範囲を、利用目的の達成に照らして真に必要な範囲に限定することが適切であると考えられます。例えば、カメラ画像・顔特徴データ等を、組織的な窃盗の防止を目的として共同利用する場合、盗難被害にあった商品や、当該商品に関する全国的あるいは地域全体における組織的な窃盗の発生状況をもとに、登録対象者が共同利用する者の範囲において同様の犯行を行うことの蓋然性を踏まえて、共同利用されるカメラ画像・顔特徴データ等の範囲や、共同利用する者の範囲を、利用目的の達成に照らして真に必要な範囲に限定することが適切であると考えられます。
また、共同利用は、本人から見て、当該個人データを提供する事業者と一体のものとして取り扱われることに合理性がある範囲で当該個人データを共同して利用することを認める制度です。このため、共同利用する者の範囲は、本人がどの事業者まで現在あるいは将来利用されるか判断できる程度に明確にする必要があります。
さらに、個人データの開示等の請求及び苦情を受け付けその処理に尽力するとともに、個人データの内容等について開示、訂正、利用停止等の権限を有し安全管理等個人データの管理について責任を有する管理責任者を明確に定めて、必要な対応を行うことが求められます。
加えて、カメラ画像・顔特徴データ等を共同利用する場合には、共同利用する全ての者が同様の取扱いを行うための統一的な運用基準(登録基準や保存期間等)を作成することが望ましいと考えられます。共同利用するカメラ画像・顔特徴データ等の登録基準については、Q1-14を参照のこと。
(令和5年5月更新) - (第三者に該当しない場合)
- Q7-51
過去に取得した個人データを特定の事業者との間で共同利用することは可能ですか。
- A7-51
一般に、個人データを共同して利用する場合には、マル1共同利用をする旨、②共同して利用される個人データの項目、③共同して利用する者の範囲、④利用する者の利用目的、⑤当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、個人データの共同利用を開始する前に、本人に対して通知するか、本人が容易に知り得る状態に置く必要があります(ガイドライン(通則編)3ー6-3(3)参照)。これに加えて、既に事業者が取得している個人データについて共同利用を検討する際には、当該個人データの内容や性質等に応じて共同利用の是非を判断した上で、当該個人データを取得する際に当該事業者が法第17条第1項の規定により特定した利用目的の範囲内であることを確認する必要があります。
(令和3年9月追加) - (第三者に該当しない場合)
- Q7-52
既に特定の事業者が取得している個人データを他の事業者と共同して利用する場合について、「社会通念上、共同して利用する者の範囲や利用目的等が当該個人データの本人が通常予期しうると客観的に認められる範囲内」に含まれる場合とは、どのような場合ですか。
- A7-52
取得の際に通知・公表している利用目的の内容や取得の経緯等にかんがみて、既に特定の事業者が取得している個人データを他の事業者と共同して利用すること、共同して利用する者の範囲、利用する者の利用目的等が、当該個人データの本人が通常予期しうると客観的に認められるような場合をいいます。
(平成30年12月追加) - (第三者に該当しない場合)
- Q7-53
個人情報取扱事業者が、個人データを含む電子データを取り扱う情報システムに関して、クラウドサービス契約のように外部の事業者を活用している場合、個人データを第三者に提供したものとして、「本人の同意」(法第27条第1項柱書)を得る必要がありますか。または、「個人データの取扱いの全部又は一部を委託」(法第27条第5項第1号)しているものとして、法第25条に基づきクラウドサービス事業者を監督する必要がありますか。
- A7-53
クラウドサービスには多種多様な形態がありますが、クラウドサービスの利用が、本人の同意が必要な第三者提供(法第27条第1項)又は委託(法第27条第5項第1号)に該当するかどうかは、保存している電子データに個人データが含まれているかどうかではなく、クラウドサービスを提供する事業者において個人データを取り扱うこととなっているのかどうかが判断の基準となります。
当該クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合には、当該個人情報取扱事業者は個人データを提供したことにはならないため、「本人の同意」を得る必要はありません。
また、上述の場合は、個人データを提供したことにならないため、「個人データの取扱いの全部又は一部を委託することに伴って・・・提供される場合」(法第27条第5項第1号)にも該当せず、法第25条に基づきクラウドサービス事業者を監督する義務はありません。
当該クラウドサービス提供事業者が当該個人データを取り扱わないこととなっている場合の個人情報取扱事業者の安全管理措置の考え方についてはQ7-54参照。
当該クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合とは、契約条項によって当該外部事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられます。
なお、法第28条との関係についてはQ12-3参照。
- (第三者に該当しない場合)
- Q7-54
クラウドサービスの利用が、法第27条の「提供」に該当しない場合、クラウドサービスを利用する事業者は、クラウドサービスを提供する事業者に対して監督を行う義務は課されないと考えてよいですか。
- A7-54
クラウドサービスの利用が、法第27条の「提供」に該当しない場合、法第25条に基づく委託先の監督義務は課されませんが(Q7-53参照)、クラウドサービスを利用する事業者は、自ら果たすべき安全管理措置の一環として、適切な安全管理措置を講じる必要があります。
- (第三者に該当しない場合)
- Q7-55
個人データを含む電子データを取り扱う情報システム(機器を含む。)の保守の全部又は一部に外部の事業者を活用している場合、個人データを第三者に提供したものとして、「本人の同意」(法第27条第1項柱書)を得る必要がありますか。または、「個人データの取扱いの全部又は一部を委託することに伴って・・・提供」(法第27条第5項第1号)しているものとして、法第25条に基づき当該事業者を監督する必要がありますか。
- A7-55
当該保守サービスを提供する事業者(以下本項において「保守サービス事業者」という。)がサービス内容の全部又は一部として情報システム内の個人データを取り扱うこととなっている場合には、個人データを提供したことになり、本人の同意を得るか、又は、「個人データの取扱いの全部又は一部を委託することに伴って・・・提供」(法第27条第5項第1号)しているものとして、法第25条に基づき当該保守サービス事業者を監督する必要があります。
(例)- ○個人データを用いて情報システムの不具合を再現させ検証する場合
- ○個人データをキーワードとして情報を抽出する場合
一方、単純なハードウェア・ソフトウェア保守サービスのみを行う場合で、契約条項によって当該保守サービス事業者が個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等には、個人データの提供に該当しません。
- (例)
- ○システム修正パッチやマルウェア対策のためのデータを配布し、適用する場合
- ○保守サービスの作業中に個人データが閲覧可能となる場合であっても、個人データの取得(閲覧するにとどまらず、これを記録・印刷等すること等をいう。)を防止するための措置が講じられている場合
- ○保守サービスの受付時等に個人データが保存されていることを知らされていない場合であって、保守サービス中に個人データが保存されていることが分かった場合であっても、個人データの取得を防止するための措置が講じられている場合
- ○不具合の生じた機器等を交換若しくは廃棄又は機器等を再利用するために初期化する場合等であって、機器等に保存されている個人データを取り扱わないことが契約等で明確化されており、取扱いを防止するためのアクセス制御等の措置が講じられている場合
- ○不具合の生じたソフトウェアの解析をするためにメモリダンプの解析をする場合であって、メモリダンプ内の個人データを再現しないこと等が契約等で明確化されており、再現等を防止するための措置が講じられている場合
- ○個人データのバックアップの取得又は復元を行う場合であって、バックアップデータ内の当該個人データを取り扱わないことが契約等で明確化されており、取扱いを防止するためのアクセス制御等の措置が講じられている場合
- (第三者に該当しない場合)
- Q7-56
マンション管理組合でマンションの修繕を予定しており、工事会社に居住者の個人情報を提供する必要がありますが、あらかじめ本人の同意を得なければいけませんか。
- A7-56
個人データを第三者に提供する際には、原則としてあらかじめ本人の同意を得る必要があります。利用目的の達成に必要な範囲内において、個人データの取扱いに関し委託(法第27条第5項第1号)をする場合には、本人の同意は不要です。したがって、マンション管理組合が工事会社に修繕を発注する際に、当該工事会社が修繕を行うために個人データの取扱いを委託する必要がある場合には、居住者の氏名等を提供するための本人の同意は不要ですが、委託者は個人データの取扱いについて、委託先を監督する義務があります(法第25条)。
(平成30年7月追加) - (第三者に該当しない場合)
- Q7-57
マンション管理組合とマンション管理会社の間で居住者の氏名等の情報を共有することは可能ですか。
- A7-57
個人データを第三者に提供する際には、原則としてあらかじめ本人の同意が必要となりますので、本人の同意を取得している場合はマンション管理組合とマンション管理会社の間で居住者の氏名等の個人データを共有することは可能です。なお、管理組合が管理会社に対して、利用目的の達成に必要な範囲内において個人データの取扱いに関し委託(法第27条第5項第1号)をする場合には、第三者提供に該当しないため、本人の同意がなくとも、個人データの提供を受けることが可能です。ただし、委託者は個人データの取扱いについて、委託先を監督する義務があります(法第25条)。
(平成30年7月追加) - (第三者に該当しない場合)
- Q7-58
マンション管理組合がマンション管理会社に管理業務を委託している場合に、管理組合が保有する組合員名簿を管理会社が提供してもらうよう求めることは可能ですか。
- A7-58
マンション管理規約や管理業務委託契約の内容にもよりますが、一般的に利用目的の達成に必要な範囲内において、個人データの取扱いに関する業務を委託する場合には、第三者提供には該当しません。また、委託内容に組合員名簿の作成・保管等が含まれている場合に管理会社から管理組合に名簿を提供することも第三者提供にはなりません。したがって、この委託の範囲内であれば、個人情報保護法上、管理組合が管理会社へ本人の同意を取得することなく名簿を提供することは可能と解されます。ただし、委託者は個人データの取扱いについて、委託先を監督する義務があります(法第25条)。
(平成30年12月更新) - (個人関連情報)
- Q8-1
Cookie等の端末識別子は個人関連情報に該当しますか。家族等で情報端末を共用している場合はどうですか。
- A8-1
個別の事案ごとに判断することとなりますが、Cookie等の端末識別子について、個人情報に該当しない場合には、通常、当該端末識別子に係る情報端末の利用者に関する情報として、「個人に関する情報」に該当し、個人関連情報に該当することとなると考えられます。また、家族等の特定少数の人が情報端末を共用している場合であっても、通常、情報端末の共用者各人との関係で、「個人に関する情報」に該当し、個人関連情報に該当することとなると考えられます。
なお、Cookie等の端末識別子は、他の情報と容易に照合することにより特定の個人を識別することができる場合には、当該情報とあわせて全体として個人情報に該当することとなります。
- (個人関連情報)
- Q8-2
メールアドレスは個人関連情報に該当しますか。
- A8-2
個別の事案ごとに判断することとなりますが、メールアドレスについて、個人情報に該当しない場合には、通常、当該メールアドレスに係るアカウントの利用者に関する情報として、「個人に関する情報」に該当し、個人関連情報に該当することとなると考えられます。
なお、メールアドレスは、ユーザー名及びドメイン名から特定の個人を識別することができる場合には、それ自体単独で個人情報に該当し、 また、他の情報と容易に照合することにより特定の個人を識別することができる場合には、当該情報とあわせて全体として個人情報に該当することとなります(Q1-4参照)。
- (法第31条の適用の有無について)
- Q8-3
個人関連情報を第三者に提供する場合には、常に本人の同意が得られていること等を確認しなければならないですか。
- A8-3
法第31条第1項は、個人関連情報の第三者提供一般に適用されるものではなく、提供先の第三者が個人関連情報を「個人データとして取得することが想定される」場合に限り適用されます。
上記以外の場合には、本人の同意が得られていること等を確認することなく、個人関連情報を提供することができます。
- (法第31条の適用の有無について)
- Q8-4
提供先の第三者が個人関連情報を「個人データとして取得することが想定される」かは、いつの時点を基準に判断しますか。
- A8-4
個人関連情報の提供時点を基準に判断します。個人関連情報の提供時点において、提供先の第三者が「個人データとして取得する」ことが想定されないのであれば、本人の同意が得られていること等を確認することなく、個人関連情報を提供することができます。事後的に、提供先の第三者が個人関連情報を個人データとして利用したことが明らかになったとしても、提供元の個人関連情報取扱事業者は、法第31条第1項に違反することとはなりません。
なお、個人情報取扱事業者である提供先の第三者は、提供元である個人関連情報取扱事業者に個人データとして利用する意図を秘して、本人同意を得ずに個人関連情報を個人データとして取得した場合には、法第20条第1項に違反することとなります。
- (法第31条の適用の有無について)
- Q8-5
提供元の個人関連情報取扱事業者は、提供先の第三者における個人関連情報の取扱いを確認した上で、法第31条第1項の適用の有無を判断する必要がありますか。
- A8-5
個人関連情報取扱事業者は、一般に、提供先の第三者における個人関連情報の取扱いを確認する義務を負うものではありません。しかし、提供先の第三者の事業内容、提供先の第三者との取引状況、提供する個人関連情報の項目、提供先の第三者における個人データの利用状況等の客観的事情に照らし、提供先の第三者が個人関連情報を個人データとして利用することが窺われる場合には、提供先の第三者における個人関連情報の取扱いを確認した上で、「個人データとして取得する」ことが想定されるかどうかを判断する必要があります。
- (法第31条の適用の有無について)
- Q8-6
ガイドライン(通則編)3-7-1-3では、「提供元の個人関連情報取扱事業者及び提供先の第三者間の契約等において」と記載されていますが、提供先の第三者が、提供を受けた個人関連情報を個人データとして利用しない旨の誓約書を提出した場合においても、法第31条第1項は適用されないこととなりますか。
- A8-6
個別の事案ごとに判断することとなりますが、提供先の第三者が、提供元の個人関連情報取扱事業者に対して、提供を受けた個人関連情報を個人データとして利用しない旨の誓約書を提出した場合には、通常、提供先の第三者は当該誓約に従って個人関連情報を取り扱うものと考えられるため、原則として、「個人データとして取得する」ことは想定されず、法第31条第1項は適用されないと考えられます。
- (法第31条の適用の有無について)
- Q8-7
ガイドライン(通則編)3-7-1-3では、「提供先の第三者が実際には個人関連情報を個人データとして利用することが窺われる事情がある場合」には、提供先の第三者における個人関連情報の取扱いを確認する必要があると記載されていますが、どのような場合には「窺われる事情がある」こととなりますか。
- A8-7
個別の事案ごとに判断することとなりますが、例えば、契約に基づき個人関連情報を継続的に提供している場合において、提供先の第三者が契約の定めに反して個人関連情報を個人データとして利用したことが明らかになった場合、提供先の第三者は引き続き個人関連情報を個人データとして利用することが窺われるため、その後の個人関連情報の提供については、提供先の第三者における個人関連情報の取扱いを確認した上で、「個人データとして取得する」ことが想定されるかどうかを判断する必要があります。
- (法第31条の適用の有無について)
- Q8-8
個人関連情報の第三者提供について、個人データの第三者提供における、委託、事業の承継及び共同利用(法第27条第5項各号)に相当する例外規定はありますか。
- A8-8
個人関連情報の第三者提供について、法第27条第5項各号に相当する例外規定はありません。法第31条第1項の適用の有無については、提供先の第三者が個人関連情報を個人データとして取得することが想定されるかどうかによって判断することとなります。
- (法第31条の適用の有無について)
- Q8-9
個人データの取扱いの委託に伴って委託先に個人データを提供しました。委託先にとって当該データが個人データに該当せず、個人関連情報に該当する場合、委託先が当該データを委託元に返す行為について、法第31条第1項は適用されますか。
- A8-9
個人データの取扱いの委託に伴って委託元が提供した個人データが、委託先にとって個人データに該当せず、個人関連情報に該当する場合において、委託先が委託された業務の範囲内で委託元に当該データを返す行為については、法第31条第1項は適用されません。
ただし、委託先が、委託先で独自に取得した個人関連情報を当該データに付加し、その付加後の当該データを委託元に返す場合には、法第31条第1項が適用されます。
- (法第31条の適用の有無について)
- Q8-10
A社が自社のウェブサイトにB社のタグを設置し、B社が当該タグを通じてA社ウェブサイトを閲覧したユーザーの閲覧履歴を取得している場合、A社はB社にユーザーの閲覧履歴を提供したことになりますか。
- A8-10
個別の事案ごとに判断することとなりますが、A社がB社のタグにより収集される閲覧履歴を取り扱っていないのであれば、A社がB社に閲覧履歴を「提供」したことにはならず、B社が直接にユーザーから閲覧履歴を取得したこととなると考えられます。このため、B社がそのタグを通じて閲覧履歴を取得することについて、法第31条第1項は適用されないと考えられます。
なお、個人情報取扱事業者であるB社は、閲覧履歴を個人情報として取得する場合には、偽りその他不正の手段によりこれを取得してはならず(法第20条第1項)、また、個人情報の利用目的を通知又は公表する必要があります(法第21条第1項)。
- (本人の同意等の確認の方法)
- Q8-11
A社がB社に個人関連情報を提供することとなり、A社及びB社は、マル1B社が「本人」から法第31条第1項第1号の同意を取得する、②B社は同意を取得した「本人」のIDのリストをA社に提供する、③A社はリストに掲載されたIDと紐付く個人関連情報をB社に提供する、というフローで個人関連情報を提供することとしました。この場合、B社が、A社に対し、法第31条第1項第1号の同意を取得した「本人」のIDのみをA社に提供すると事前に誓約していれば、A社は、当該誓約及びIDのリストを確認することで、リストに掲載されたIDに係る「本人」各自について、「本人の同意が得られていること」(法第31条第1項第1号)を一括して確認することはできますか。
- A8-11
提供元の個人関連情報取扱事業者は、提供先の第三者が個人関連情報を個人データとして取得することが想定される場合、「本人」各自から、法第31条第1項第1号の同意を得ていること(同意の取得方法を含む。)を、提供前にあらかじめ確認する必要がありますが、必ずしも「本人」毎に個別に確認する必要はなく、複数の「本人」につき一括して確認することも可能です。
このため、提供先のB社が、提供元のA社に対し、所定の方法で法第31条第1項第1号の同意を取得した「本人」のIDのみをA社に提供すると事前に誓約し、その後、IDのリストをA社に提供した場合には、A社は、当該誓約及びIDのリストを確認することで、当該リストに掲載されたIDに係る「本人」各自から、法第31条第1項第1号の同意を得ていることを、一括して確認したこととなります。
- (本人の同意等の確認の方法)
- Q8-12
当社は、提供先の第三者が、ID及びウェブサイトの閲覧履歴の取得につき包括的に本人の同意を得ていることを確認し、当該「本人」のID及びこれに紐付くウェブサイトの閲覧履歴を提供して、その記録を作成しました。その後、当該第三者に対し、同一「本人」の以下の各個人関連情報を提供する場合、施行規則第26条第3項に基づき、本人の同意が得られていることの確認を省略することができますか。
- マル1 IDと紐付く商品購買履歴
- ② IDと紐付くウェブサイトの閲覧履歴(当社が前回提供後に取得したもの)
- A8-12
提供元の個人関連情報取扱事業者は、法第31条第1項各号の確認事項につき、既に確認を行った事項と内容が同一であるもの(当該確認について記録の作成及び保存をしている場合に限る)については、その確認を省略することができます。
- マル1について、提供先における商品購買履歴の取得は、既に確認した「本人の同意」の範囲に含まれていない(内容が同一でない)ため、商品購買履歴を提供するに当たっては、商品購買履歴の取得につき本人の同意が得られていることを確認する必要があります。
- ②について、提供先がウェブサイトの閲覧履歴の取得につき包括的に(前回提供分に限定することなく)本人の同意を得ていることを前提とすると、提供先におけるウェブサイトの閲覧履歴の取得は、既に確認した「本人の同意」の範囲に含まれている(内容が同一である)ため、その提供に当たっては、本人の同意が得られていることの確認を省略することができます。
- (提供元における記録事項)
- Q8-13
提供先の第三者との間で基本契約を締結して、これに基づき継続的に又は反復して個人関連情報を提供することを予定しています。この場合、記録義務はどのように履行すれば良いですか。
- A8-13
特定の事業者に対して継続的に又は反復して個人関連情報を提供することが確実であると見込まれる場合、個々の提供に係る記録を作成する代わりに、一括して記録を作成することができます(施行規則第27条第2項ただし書)。例えば、マル1最初の提供時に一旦記録を作成し、その後、随時、追加の記録事項を作成する方法、②提供期間の終了後に速やかに記録を作成する方法等で記録を作成することが考えられます。
一括して記録を作成する場合、「個人関連情報を提供した年月日」(施行規則第28条第1項第2号)については、提供期間の初日及び末日を記録することとなります。
マル1の方法で記録を作成する場合において、あらかじめ提供期間の末日が確定していない場合には、最初の提供時にまず提供期間の初日を記録し、継続的に又は反復して個人関連情報を提供することが終了した段階で、提供期間の末日を記録することとなります。
基本契約に基づき個人関連情報を提供する場合、基本契約に係る契約書及びこれに付帯する資料等をもって記録とすることもできます。例えば、提供の開始時に、提供する個人関連情報の項目、個人関連情報の提供期間の初日、提供先の第三者の名称・住所・代表者氏名を契約書に記載しておき、その後、提供期間の終了後に、個人関連情報の提供期間の末日、本人の同意が得られていることを確認した旨(同意取得の方法を含む。)を付帯資料に記載する、といった方法で記録義務を履行することも可能です。この場合に、契約書及び付帯資料について、施行規則第27条第3項の要件を満たす場合には、最後に当該記録に係る個人関連情報の提供を行った日から起算して1年を経過する日までの間、当該記録を保存すれば足りることとなります(施行規則第29条第1号)。
- (保有個人データに関する事項の公表等)
- Q9-1
法第32条第1項第3号は、開示等の請求等に応じる手続を本人の知り得る状態に置かなければならないと定めていますが、必ずホームページに掲載しなければいけませんか。
- A9-1
必ずしもホームページに掲載しなければならないわけではありません。開示等の請求等に応じる手続については、本人の知り得る状態に置かなければなりませんが、本人の求めに応じて遅滞なく回答する場合も含むとされています(法第32条第1項)。
例えば、問合せ窓口を設け、問合せがあれば、口頭又は文書で回答できるよう体制を構築しておけば足ります(ガイドライン(通則編)3-8-1(1)(※1)参照)。
なお、問合せ窓口(保有個人データの取扱いに関する苦情の申出先。施行令第10条第2号)については、分かりやすくしておくことが望ましいと考えられます。
- (保有個人データに関する事項の公表等)
- Q9-2
当社では、法第32条第1項に基づき、全ての保有個人データの利用目的を本人の求めに応じて遅滞なく回答することとしています。マル1全ての保有個人データの利用目的について回答を求められた場合には、当該本人が識別されない保有個人データの利用目的についても回答する必要がありますか。また、その場合、本人が識別される保有個人データの利用目的とそれ以外の利用目的とを区別して回答する必要がありますか。②同条第2項の規定に基づく利用目的の通知の求めの場合と比べて、対象となる利用目的の範囲などに違いはありますか。
- A9-2
マル1当該本人が識別されない保有個人データの利用目的についても回答する必要があります。この場合、本人が識別される保有個人データの利用目的とそれ以外の利用目的とを区別して回答する必要はありません。
②法第32条第2項の場合には、当該本人が識別される保有個人データの利用目的に対象が限定されている点、求めに対する措置の実施に関し手数料を徴収することができる点などで、同条第1項の場合と異なっています。
- (保有個人データに関する事項の公表等)
- Q9-3
「法第23条の規定により保有個人データの安全管理のために講じた措置」(法第32条第1項第4号・施行令第10条第1号)について、ホームページにおいては、安全管理措置の概要及び問合せ窓口を掲載し、安全管理措置の具体的な内容については、本人からの問合せに応じて遅滞なく回答する、という対応を取ることはできますか。
- A9-3
個人情報取扱事業者は、「保有個人データの安全管理のために講じた措置」について、「本人の知り得る状態」に置く必要がありますが、「本人の知り得る状態」は、「本人の求めに応じて遅滞なく回答する場合」を含みます。
例えば、ホームページにおいて、安全管理措置の概要及び問合せ窓口を掲載し、本人からの問合せがあれば、安全管理措置の具体的な内容を遅滞なく回答する体制を構築している場合には、保有個人データの安全管理のために講じた措置について、「本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)」に置いたこととなります。
(令和3年9月追加) - (保有個人データに関する事項の公表等)
- Q9-4
従業者の監督(法第24条)・委託先の監督(法第25条)についても、「法第23条の規定により保有個人データの安全管理のために講じた措置」(法第32条第1項第4号・施行令第10条第1号)として、本人の知り得る状態に置く必要がありますか。
- A9-4
法第24条及び法第25条は、法第23条の安全管理措置の一環として、従業者及び委託先に対する監督義務を明記するものであり、従業者及び委託先に対する監督は、法第23条の安全管理措置の一部を成します。このため、従業者及び委託先に対する監督についても、法第23条の規定により保有個人データの安全管理のために講じた措置として、本人の知り得る状態に置く必要があります。
(令和3年9月追加) - (保有個人データの開示)
- Q9-5
社内で取り扱う個人情報については、個人情報が検索できる状態ではありませんが、そのような状態であれば、本人からの開示の請求に応じなくてもよいですか。
- A9-5
開示義務の対象は「保有個人データ」とされていますが、御指摘の場合には、特定の個人情報を検索することができない状態ですので、「個人データ」に該当しません。したがって、開示義務の対象となる「保有個人データ」にも該当しません。そのため、開示の請求に応じる法的義務は課されないと解されます。
- (保有個人データの開示)
- Q9-6
市販の人名録を利用してダイレクトメール等を送付していた場合、人名録の利用者は、その内容の訂正、追加、削除等の権限を有していないため、保有個人データに該当しないものとして、開示等の請求を受けた場合であっても、これに応じる義務はないと考えてよいですか。
- A9-6
市販の人名録を用いる場合であっても、これを営業活動等に利用している限り、このデータについては、その内容の訂正、追加、削除等の権限を有します。したがって、その他の保有個人データの要件を満たす場合には、開示等の請求に応じる義務が課されます。
- (保有個人データの開示)
- Q9-7
「貴社が保有する私の情報全てを開示せよ」という請求があった場合には、どのように対応したらよいですか。
- A9-7
同一の情報主体についても、様々な保有個人データを保有していることが多いため、法第37条第2項前段により、個人情報取扱事業者は、開示を請求している本人に対して、対象となる保有個人データを特定するに足りる事項の提示を求めることができます。したがって、本人が、この求めに応じて、開示を請求する範囲を一部に特定した場合には、本人が特定した範囲で開示をすれば足ります。
ただし、法第37条第2項後段により、個人情報取扱事業者は、本人が容易かつ的確に開示の請求をすることができるよう、当該保有個人データの特定に資する情報の提供その他本人の利便を考慮した適切な措置をとらなければなりません。
なお、法第37条第2項前段は、本人に対し、開示を請求する保有個人データの範囲を一部に限定する義務を課すものではなく、また、個人情報取扱事業者に対し、本人が開示を請求する範囲を限定させる権利を認めるものでもありません。ただし、個人情報取扱事業者は、本人からの保有個人データの開示の請求を受けて、保有個人データを開示することにより、個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合には、法第33条第2項第2号に該当し、当該保有個人データの全部又は一部を開示しないことができます。
(平成30年12月更新) - (保有個人データの開示)
- Q9-8
保有個人データであっても、本人以外の他の個人情報(例えば、家族の氏名等)が同時に含まれているものがあります。本人からの保有個人データの開示の請求があった場合、家族の氏名等、本人以外の他の個人情報については、開示をしなくともよいですか。
- A9-8
当該本人が識別される保有個人データが対象です。したがって、本人以外の他の個人情報は、開示の対象にはなりません。
- (保有個人データの開示)
- Q9-9
ユーザーから商品クレームに関する問合せ等があり、それをデータベース化しています。データベースには、ユーザーの氏名・電話番号及び対応履歴等だけでなく、会社としての所見(例えば、「悪質なクレーマーと思われる」)が記録されていることもあります。これらは全て保有個人データに該当し、開示の請求に応じなければならないですか。
- A9-9
いわゆる不審者、悪質なクレーマー等からの不当要求被害を防止するため、当該行為を繰り返す者を本人とする個人データを保有している場合に、当該個人データは「当該個人データの存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれがあるもの」(施行令第5条第2号)に該当しますので、保有個人データには該当しません(ガイドライン(通則編)2-7参照)。
また、保有個人データに該当する場合であっても、それを開示することにより、当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合には、当該保有個人データの全部又は一部を開示しないことができます(法第33条第2項第2号)。
- (保有個人データの開示)
- Q9-10
電磁的記録の提供による方法で保有個人データを開示する場合において、本人が指定したファイル形式や提供方法による開示が技術的に困難な場合には、どう対応すべきですか。
- A9-10
個人情報取扱事業者は、本人が保有個人データの電磁的記録の提供による方法による開示を請求した場合には、当該方法による開示が困難である場合を除き、電磁的記録の提供による方法(本人が請求した方法)でこれを開示する必要があります。
この場合、個人情報取扱事業者は、電磁的記録のファイル形式(PDF形式、Word形式等)や、電磁的記録の提供方法(電磁的記録を記録媒体に保存してこれを郵送する、電磁的記録を電子メールに添付して送信する、ウェブサイト上で電磁的記録をダウンロードさせる等)を定めることができ、本人がファイル形式等を指定した場合であっても、これに応じる必要はありません。
このため、個人情報取扱事業者は、本人が指定したファイル形式等による開示が困難な場合には、個人情報取扱事業者において対応可能なファイル形式等で開示すれば足ります。もっとも、本人の利便性向上の観点から、できる限り本人の要望に沿った形で対応することが望ましいと考えられます。
(令和3年9月追加) - (保有個人データの開示)
- Q9-11
雇用管理情報には、人事評価や選考に係る個々人の情報など非開示とすることが想定される情報が含まれますが、どのように対応したらよいですか。
- A9-11
個人情報取扱事業者は、雇用管理情報の開示の請求に応じる手続について、あらかじめ、労働組合等と必要に応じ協議した上で、本人から開示の請求を受けた保有個人データについて、その全部又は一部を開示することによりその業務の適正な実施に著しい支障を及ぼすおそれがある場合に該当するとして非開示とすることが想定される保有個人データの開示に関する事項を定め、従業者に周知するための措置を講ずることが望ましいと考えられます。
- (保有個人データの開示)
- Q9-12
保有個人データの開示請求を受けた場合、請求対象となるデータを検索・集約する等の一定の作業を要する場合がありますが、請求を受けてからどの程度の期間内に開示する必要がありますか。
- A9-12
個人情報取扱事業者は、保有個人データの開示請求を受けたときは、「遅滞なく」これを開示する必要があります(法第33条第1項・第2項)。
「遅滞なく」とは理由のない滞りを生じさせることなくという趣旨です。請求対象となるデータを検索・集約する等の一定の作業を要する場合には、当該作業を行うために通常必要と考えられる期間も考慮した上で、合理的な期間内に開示を行えば、「遅滞なく」開示したこととなると考えられます。
(令和3年9月追加) - (保有個人データの開示)
- Q9-13
顔識別機能付きカメラシステム等に顔特徴データ等を登録して保有個人データとした場合には、個人情報保護法に基づきどのように開示請求、内容の訂正、利用停止の請求等に対応する必要がありますか。
- A9-13
顔識別機能付きカメラシステム等に登録された顔特徴データ等が保有個人データに該当する場合、法令に基づき開示請求等に適切に対応しなければなりません。すなわち、開示請求がなされた場合には、保有個人データの開示義務の例外事由に該当しない限り、開示請求に適切に対応しなければなりません。また、訂正等請求や利用停止等の請求が行われた際にも、法令に基づき適切に対応しなければなりません。
(平成30年12月追加・令和5年5月更新) - (第三者提供記録の開示)
- Q9-14
法第31条第3項において準用される法第30条第3項の記録(個人関連情報の第三者提供に関する記録)は、法第33条第5項において準用される同条第1項に基づく第三者提供記録の開示対象となりますか。
- A9-14
開示の対象となる第三者提供記録は、法第29条第1項及び法第30条第3項の記録に限られ、法第31条第3項において準用される法第30条第3項の記録(個人関連情報の第三者提供に関する記録)は第三者提供記録の開示対象となりません。
(令和3年9月追加) - (第三者提供記録の開示)
- Q9-15
本人から開示請求された記録が第三者提供記録から除かれる「その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの」(法第33条第5項)に該当する場合、どのように対応すればよいですか。
- A9-15
「その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの」については、その該当性を慎重に判断する必要がありますが、これに該当する場合には、開示請求の対象となる第三者提供記録から除外されていることから、本人に対しては、法第33条第5項で準用される同条第3項に基づき、第三者提供記録が存在しない旨を通知することになります。
(令和3年9月追加) - (第三者提供記録の開示)
- Q9-16
ガイドライン(通則編)3-8-3-2において、契約書の代替手段による方法で第三者提供記録を作成した場合、「当該契約書中、記録事項となっている事項を抽出した上で、本人が求める方法により開示すれば足り、契約書そのものを開示する必要はない」とありますが、具体的にどのような方法で開示をすることが考えられますか。
- A9-16
契約書の代替手段による方法で第三者提供記録を作成した場合の開示の方法としては、記録事項以外の部分をマスキングして開示する方法のほか、記録事項を抜粋して別媒体に記録して開示する方法も考えられます。
(令和3年9月追加) - (第三者提供記録の開示)
- Q9-17
第三者提供記録の開示請求を受けた場合、請求対象となる記録を検索・集約する等の一定の作業を要する場合がありますが、請求を受けてからどの程度の期間内に開示する必要がありますか。
- A9-17
個人情報取扱事業者は、第三者提供記録の開示請求を受けたときは、「遅滞なく」これを開示する必要があります(法第33条第5項において準用する同条第1項・第2項)。
「遅滞なく」とは理由のない滞りを生じさせることなくという趣旨です。請求対象となる記録を検索・集約する等の一定の作業を要する場合には、当該作業を行うために通常必要と考えられる期間も考慮した上で、合理的な期間内に開示を行えば、「遅滞なく」開示したこととなると考えられます。
(令和3年9月追加) - (保有個人データの訂正等)
- Q9-18
一般的には「削除」と「消去」は同じ意味と考えられますが、保有個人データを削除すべき場合(法第34条)と消去すべき場合(法第35条)の違いは何ですか。
- A9-18
法第34条は、保有個人データの内容が事実ではない場合について規定しており、他方、法第35条は、保有個人データが法第18条若しくは第19条の規定に違反して取り扱われている場合又は法第20条の規定に違反して取得されたものである場合について規定しており、その適用場面が異なります。
なお、「削除」とは、不要な情報を除くことであり、他方、「消去」とは、保有個人データを保有個人データとして使えなくすることであり、当該データを削除することのほか、当該データから特定の個人を識別できないようにすること等を含みます。
(令和4年4月更新) - (保有個人データの訂正等)
- Q9-19
本人から保有個人データの評価が誤っているとして訂正等の請求があった場合には、訂正等に応じなければなりませんか。
- A9-19
個人情報保護法では、「保有個人データの内容が事実でないとき」に訂正等を行う義務が生じます。そのため、訂正等の対象が事実ではなく評価に関する情報である場合には、訂正等を行う必要はありません。
ただし、評価に関する保有個人データに評価の前提となっている事実も記載されており、それに誤りがある場合においては、その限りにおいて訂正等を行う義務が生じます。
- (保有個人データの訂正等・保有個人データの利用停止等)
- Q9-20
会社の採用面接で不採用にした応募者から、当社に提出された履歴書の返却を求められていますが、個人情報取扱事業者として、返却に応じなければなりませんか。履歴書に記載された応募者の情報の利用停止等の請求を受けた場合はどうですか。
- A9-20
個人情報保護法では、本人からの請求による保有個人データの削除(法第34条)、保有個人データの利用の停止又は消去(法第35条)に関する規定は定められていますが、履歴書等の受け取った書類を返還する義務は規定されていません。そのため、個人情報保護法上、提出された履歴書を返却する義務はありません。
他方、応募者本人から、履歴書に記載された当該本人の情報について、保有個人データに該当する場合に、再応募への対応等のための合理的な期間が経過した後、利用する必要がなくなった場合に該当するとして利用停止等の請求を受けたときには、当該請求に応じる義務があると考えられます(法第35条第6項)。
なお、法第22条では、個人データの消去についての努力義務が明記されていますので、個人情報取扱事業者は、個人データを利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければなりません。
(令和3年9月更新) - (保有個人データの利用停止等)
- Q9-21
当社では、電話で資料請求をしてきたお客様にダイレクトメールを送付していますが、お客様から、ダイレクトメールの停止及び個人情報の消去を求められた場合、応じなければならないですか。
- A9-21
ダイレクトメールを送付することについて、利用目的として特定した上で、当該利用目的を顧客に通知又は公表する必要があります。
そして、個人情報取扱事業者は、保有個人データを法第18条若しくは第19条の規定に違反して取り扱っている場合又は法第20条の規定に違反して取得したものである場合には、当該保有個人データの利用の停止又は消去をする義務があります(法第35条第2項)。
また、個人情報取扱事業者は、当該本人の権利又は正当な利益が害されるおそれがある場合等、法第35条第5項の要件を満たす場合には、当該保有個人データの利用の停止又は消去をする義務があります(法第35条第6項)。具体的には、以下のような事例が考えられます。
- 事例1)ダイレクトメールを送付するために個人情報取扱事業者が保有していた情報について、当該個人情報取扱事業者がダイレクトメールの送付を停止した後、本人が消去を請求した場合
- 事例2)ダイレクトメールの送付を受けた本人が、送付の停止を求める意思を表示したにもかかわらず、個人情報取扱事業者がダイレクトメールを繰り返し送付していることから、本人が利用停止等を請求する場合
なお、個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならないとされているため(法第40条第1項)、利用停止等の請求に理由がない場合であっても、顧客からのダイレクトメールの停止等の要求を苦情として扱った上で、適切かつ迅速に処理するよう努めなければなりません。
(令和4年4月更新) - (保有個人データの利用停止等)
- Q9-22
退職した社員から、法第35条第5項に基づき、利用する必要がなくなった場合に該当するとして保有個人データの消去を求められた場合、応じなければならないですか。
- A9-22
退職した社員の個人情報についても、取得時に特定した利用目的の範囲内で利用することは可能ですが、当該利用目的が達成されたときには、利用する必要がなくなった場合に該当し、当該請求に応じる義務があると考えられます(法第35条第6項)。
(令和3年9月追加) - (保有個人データの利用停止等)
- Q9-23
ガイドライン(通則編)3-8-5-1に「本人の権利又は正当な利益が害されるおそれがないとして利用停止等又は第三者提供の停止が認められないと考えられる事例」として記載されている「過去の信用情報に基づく融資審査により新たな融資を受けることが困難になった者が、新規の借入れを受けるため、当該信用情報を保有している個人情報取扱事業者に対して現に審査に必要な信用情報の利用停止等又は第三者提供の停止を請求する場合」について、本人が今後金融機関に一切融資を申し込むつもりがないとしている場合には、「現に審査に必要」ではないとして、利用停止等又は第三者提供の停止の請求に応じなければならないですか。
- A9-23
信用情報については、将来本人から融資等の申込みがあった場合に備えて一定期間保有しておく必要があることから、本人が今後一切融資を申し込むつもりがないと述べていることをもって、「現に審査に必要」ではないとはいえず、利用停止等又は第三者提供の停止の請求に応じる必要はないと考えられます。
(令和3年9月追加) - (保有個人データの利用停止等)
- Q9-24
本人の権利又は正当な利益が害されるおそれがある場合の利用停止等について、「法令を遵守するために当該保有個人データを取り扱う事情」が正当かどうかの判断において考慮されるとのことですが、将来受ける可能性のある行政調査等も考慮されますか。
- A9-24
「法令を遵守するために当該保有個人データを取り扱う事情」としては、例えば、当該保有個人データにつき法令上保管が義務付けられている場合等が考えられますが、保管が義務付けられていない保有個人データについて、将来の行政調査等のために保管することは通常考慮されないと考えられます。
(令和3年9月追加) - (開示等の請求等に応じる手続)
- Q9-25
本人からの開示等の請求等に備えて、開示等の請求等を受け付ける方法をあらかじめ定めておく必要がありますか。
- A9-25
個人情報保護法上、個人情報取扱事業者は、開示等の請求に応じる義務がありますが、その手続については各事業者において定めることができます(法第37条第1項)。
開示等の請求等を受け付ける方法をあらかじめ定めている場合には、本人は当該方法に従って開示等の請求等をすることになります。
一方、当該方法をあらかじめ定めていない場合には、本人は任意の方法により開示等の請求等をすることとなりますので、その事業者は、個別に相談しながら対応することとなります。
- (開示等の請求等に応じる手続)
- Q9-26
開示等の請求等をする者が本人であることの確認の方法として、運転免許証の提示に加え、印鑑登録証明書の提示を求めることはできますか。
- A9-26
個人情報保護法上、個人情報取扱事業者は、開示等の請求等をする者の本人確認方法も含め、本人からの開示等の請求等を受け付ける方法を定めることができるとされています(法第37条第1項)。
ただし、個人情報取扱事業者は、開示等の請求等の手続を定めるに当たっては、本人に過重な負担を課するものとならないよう配慮しなければならないとされているため(法第37条第4項)、本人確認のために事業者が保有している個人データに比して必要以上に多くの情報を求めないようにする必要があります。
- (手数料)
- Q9-27
開示等の手数料はいくらにすべきですか。
- A9-27
手数料の額は、実費を予測して平均的単価を算出して定めることが望ましいと考えられます。
この点、業種や保有個人データの種類を勘案する必要があるため、統一的な相場を示すことは困難です。例えば、郵便で開示の請求に応じる場合、配達証明付の書留料金を勘案するなど適切な金額をご検討ください。
- (手数料)
- Q9-28
本人から開示の請求があり、開示手数料を徴収している場合、結果として開示しなかった場合でも、徴収した手数料は返さなくてもよいですか。
- A9-28
手数料を定めた法第38条は、現に開示を行ったか否かにより特に区別していませんので、必ずしも返還する義務は生じません。
- (手数料)
- Q9-29
当社では、保有個人データの開示の請求を受けた際に手数料を徴収することとしましたが、手数料により利潤を得ることはできますか。
- A9-29
本人から保有個人データの開示の請求を受けた個人情報取扱事業者は、開示の実施に関し手数料を徴収することが認められています(法第38条第1項)。しかし、その手数料の額は、実費を勘案して合理的であると認められる範囲内で定めなければなりません(同条第2項)。
(令和3年9月更新) - (裁判上の訴えの事前請求)
- Q9-30
事前の請求の手続は、平成27年改正の施行(平成29年5月30日)前の開示等の求めの手続と同じ手続ということでよいですか。
- A9-30
事前の請求の手続については、平成27年改正前の開示等の求めの手続と異なるところはありません。個人情報取扱事業者は、本人からの開示等の請求等を受け付ける方法を定めること(法第37条第1項)、本人に対し、開示等の請求等に関し、その対象となる保有個人データを特定するに足りる事項の提示を求めること(法第37条第2項)、開示の請求等を受けたときは、手数料を徴収すること(法第38条第1項)等ができます。
- (苦情処理)
- Q9-31
苦情の適切かつ迅速な処理を行うに当たり、具体的にはどのような体制を整備すればよいですか。
- A9-31
個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理を行うために、必要な体制の整備に努めなければならないとされています(法第40条第2項)。例えば、苦情処理の担当者や手順を定めておくことなどが考えられます(ガイドライン(通則編)3-9参照)。
なお、必要な体制の整備に当たっては、例えば、「品質マネジメント-顧客満足-組織における苦情対応のための指針」(JISQ10002)等を参考にすることができます。
- (苦情処理)
- Q9-32
個人情報保護法に基づく開示請求、内容の訂正、利用停止の請求等への対応等に関する苦情や相談がある場合に、当該個人情報取扱事業者とともに、認定個人情報保護団体が対応することは可能ですか。
- A9-32
認定個人情報保護団体は、消費者と事業者の間に立ち、対象事業者である個人情報取扱事業者の個人情報の適正な取扱いの確保を目的として、消費者からの苦情の処理や相談対応を行うこととされています。また、認定個人情報保護団体は、各業界の特性を踏まえつつ、個人情報に係る利用目的の特定、安全管理のための措置、開示等の請求等に応じる手続等に関し、個人情報保護指針を作成し、対象事業者はこれを遵守することとされています。
認定個人情報保護団体に対して、対象事業者の保有個人データの開示請求、内容の訂正、利用の停止等の請求等への対応等に関する苦情の申出があったときは、認定個人情報保護団体は法令に基づいてこれを受け付けて、当該個人情報取扱事業者とともに、適切に対応を行うことが求められています。
(平成30年7月追加) - (全般)
- Q10-1
ガイドライン(通則編)(10(別添)講ずべき安全管理措置の内容)に示されている項目を全て講じないと違法になりますか。
- A10-1
ガイドライン(通則編)では、講じなければならない措置及び当該措置を実践するための手法の例等を示しています。
「講じなければならない措置」として示している内容については、全ての個人情報取扱事業者において講じていただく必要がありますが、これを実践するための具体的な手法については、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)、個人データを記録した媒体の性質等に起因するリスクに応じて、必要かつ適切な内容とすべきものであるため、必ずしもガイドライン(通則編)で示す例示の内容の全てを講じなければならないわけではなく、また、適切な手法は例示の内容のみに限定されるものではありません。
- (全般)
- Q10-2
「中小規模事業者」の定義における「従業員」にはどのような者が含まれますか。また、いつの時点の従業員の数で判断されますか。
- A10-2
「中小規模事業者」の定義における「従業員」は、中小企業基本法における従業員をいい、労働基準法第20条の適用を受ける労働者(解雇の予告を必要とする労働者)に相当する者をいいます。ただし、同法第21条の規定により同法第20条の適用が除外されている者は除かれます。具体的には、日々雇い入れられる者、2ヶ月以内の期間を定めて使用される者等が除かれます。
また、中小規模事業者の定義における従業員の数は、事業年度末(事業年度がない場合には年末等)の従業員の数で判定されます(判定し、毎年同時期に見直しを行う必要があります)。
- (全般)
- Q10-3
「中小規模事業者」の定義のうち、「事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数」について、例えば、市販の電話帳を保有している場合、これに氏名・電話番号等が掲載されている個人の数は含まれますか。
- A10-3
市販の電話帳は、個人情報データベース等に該当しないと解されるので(法第16条第1項、ガイドライン(通則編)2-4)、電話帳に掲載されている個人の数は、ここでいう「特定の個人の数」に含まれません。
- (全般)
- Q10-4
「中小規模事業者」の定義のうち、「事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数」について、例えば、倉庫業、データセンター等の事業において、当該情報が個人情報に該当するかどうかを認識することなく預かっている場合は、当該情報中に含まれる個人情報に係る個人の数は含まれますか。
- A10-4
御指摘の情報は、当該事業者にとっては個人情報として認識されていないため、事業の用に供しているとはいえず、「事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数」には含まれないと考えられます。
- (全般)
- Q10-5
「中小規模事業者」も、大企業と同等の安全管理措置を講じなくてはいけませんか。
- A10-5
法第23条により、個人情報取扱事業者は、取り扱う個人データの安全管理のために必要かつ適切な措置を講じなければなりません。
ただし、安全管理措置を講ずるための具体的な手法については、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)、個人データを記録した媒体の性質等に起因するリスクに応じて、必要かつ適切な内容とすべきものであるため、中小規模事業者において、必ずしも大企業と同等の安全管理措置を講じなければならないわけではありません。ガイドライン(通則編)「10(別添)講ずべき安全管理措置の内容」に記載した「中小規模事業者における手法の例示」等を参考に、具体的な措置の内容を検討してください。
- (全般)
- Q10-6
従来、主務大臣が定めていたガイドラインに従って、適切に安全管理措置を講じているが、さらに多くのことをしなければいけないのか。
- A10-6
従来、主務大臣が定めていたガイドラインに従って、適切に安全管理措置を講じている場合は、適切な措置を講じられていると考えられますが、安全管理措置を講ずるための具体的な手法については、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)、個人データを記録した媒体の性質等に起因するリスクに応じて、必要かつ適切な内容とすべきものであり、それらは時代や環境によっても変化し得るものであるので、あらためてガイドライン(通則編)を参考に、現在講じている安全管理措置の内容を再点検し、必要に応じて見直すことも、有効な取組と考えられます。
- (全般)
- Q10-7
標的型メール攻撃や、その他不正アクセス等による個人データの漏えい等の被害を防止するために、安全管理措置に関して、どのような点に注意すればよいですか。
- A10-7
ガイドライン(通則編)に記載されている技術的安全管理措置の各項目を遵守することや、それらについて従業者に対して必要な研修・注意喚起を行うことに加え、次のような措置を講ずることが考えられます。
- ○不正アクセス等の被害に遭った場合であっても、被害を最小化する仕組み(ネットワークの遮断等)を導入し、適切に運用すること。
- ○巧妙化する攻撃の傾向を把握し、適宜必要な対策を従業者に周知すること。
- ○個人データを端末に保存する必要がある場合、パスワードの設定又は暗号化により秘匿すること(なお、データの暗号化又はパスワードによる保護に当たっては、不正に入手した者が容易に解読できないように、暗号鍵及びパスワードの運用管理、パスワードに用いる文字の種類や桁数等の要素を考慮することも有効な取組と解されます)。
また、内閣サイバーセキュリティセンター(NISC)や独立行政法人情報処理推進機構(IPA)等がホームページで公表しているセキュリティ対策等を参考にすることも考えられます。
(令和5年3月更新) - (全般)
- Q10-8
カメラを設置してカメラ画像・顔特徴データ等を取り扱う場合には、安全管理措置として特にどのような点に注意すればよいですか。
- A10-8
個人情報取扱事業者は、法第23条に基づき個人データについて安全管理措置を講ずることが義務付けられています。カメラ画像・顔特徴データ等が個人データに該当する場合には、その性質(特に、顔特徴データは不変性が高く、個人の行動の追跡が可能となること等)も踏まえ、当該個人データの漏えい、滅失又は毀損の防止その他の安全管理のために必要かつ適切な措置を講じなければならず、具体的には組織的安全管理措置、人的安全管理措置、物理的安全管理措置、技術的安全管理措置、外的環境の把握として、例えば以下のような措置が考えられます。
- マル1組織的安全管理措置:カメラ画像・顔特徴データ等を取り扱う情報システムを使用できる従業者を限定、事業者内の責任者を定める、管理者及び情報の取扱いに関する規程等を整備する 等
- ②人的安全管理措置:従業者に対する適切な研修(個人情報保護法の適用範囲・義務規定、カメラ画像・顔特徴データ等の取扱いに関する講義等)等を実施する 等
- ③物理的安全管理措置:カメラ、画像データ・顔特徴データ等を保存する電子媒体等の盗難又は紛失等を防止するために、設置場所に応じた適切な安全管理を行う 等
- ④技術的安全管理措置:情報システムを使用してカメラ画像・顔特徴データ等を取り扱う場合や、IPカメラ(ネットワークカメラ、Webカメラ)のようにネットワークを介してカメラ画像等を取り扱う場合に、必要とされる当該システムへの技術的なアクセス制御や漏えい防止策等を講ずる(パスワード設定等の措置がアクセス制御のために適切な場合はかかる措置も含む。)、アクセスログの取得分析により不正利用の有無を監視する 等
- ⑤外的環境の把握:外国において個人データを取り扱う場合、当該外国の個人情報の保護に関する制度等を把握した上で、個人データの安全管理のために必要かつ適切な措置を講ずる
また、カメラ画像・顔特徴データ等が保有個人データに該当する場合には、保有個人データの安全管理のために講じた措置の内容を本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければなりません。ただし、本人の知り得る状態に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものについては、本人の知り得る状態に置く必要はありません(法第32条第1項第4号、施行令第10条第1号)。
なお、カメラ画像・顔特徴データ等がデータベースを構築していない場合には、個人データとして法第23条の安全管理措置を講ずる義務が直接適用される対象ではないものの、当該画像が漏えい等することがないよう、上記の各種安全管理措置を参考として適切に取り扱うことが望ましいと考えられます。
(平成30年12月追加・令和5年5月更新) - (基本方針の策定)
- Q10-9
基本方針の策定は義務ですか。またこれを公表することは義務ですか。
- A10-9
基本方針の策定は、義務ではありませんが、個人データの適正な取扱いの確保について組織として取り組むために、策定することが重要です。なお、基本方針を策定した場合に、これを公表することを義務付けるものではありません。
- (組織的安全管理措置)
- Q10-10
「個人データの取扱状況を確認する手段の整備」に関して、いわゆる「個人情報取扱台帳」のようなものを作成しなければいけませんか。
- A10-10
この項目について、講じていただく必要があるのは、個人データの取扱状況を確認できるように手段を整備することであるため、いわゆる「個人情報取扱台帳」を作成することが義務付けられているわけではありません。
ただし、個人情報取扱事業者において取り扱っている個人データとしてどのようなものがあるかを明確化することは、個人データの取扱状況を把握するに当たって有効な取組であると考えられます。
- (組織的安全管理措置)
- Q10-11
「取扱状況の把握及び安全管理措置の見直し」について、手法の例示として「監査を実施する」とありますが、実施に当たって参考となるような規格はありますか。
- A10-11
例えば、「マネジメントシステム監査指針JISQ19011(ISO19011)」に準拠した監査を行うことが考えられますが、これに限られるわけではありません。
- (人的安全管理措置)
- Q10-12
「従業者の教育」について、研修の頻度はどの程度とすることが適切ですか。
- A10-12
研修の頻度は、事業者の規模や取り扱う個人データの性質・量等によっても異なり得るため、それらを踏まえて適切に判断いただく必要がありますが、適切な内容の研修であれば、年1回程度でも少ないとはいえないと考えられます。
- (人的安全管理措置)
- Q10-13
従業者との雇用契約において守秘義務を定めたり、派遣社員の派遣元との間の契約において派遣社員の守秘義務を定めることは義務付けられますか。
- A10-13
人的安全管理措置として、義務付けられるわけではありません。ただし、人的安全管理措置及び従業者の監督(法第24条)の一環として、従業者との雇用契約において守秘義務を定める等の対応を取ることも、有効な取組と考えられます。なお、関係業法において守秘義務が定められている場合もあるため、留意が必要です。
- (人的安全管理措置)
- Q10-14
「従業者の教育」としての研修は、全従業者を一堂に集めて講義形式で行う必要がありますか。
- A10-14
個人データの安全管理に関して留意すべき事項は、事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)、個人データを記録した媒体の性質等によって異なり得ますので、研修の形式も個人情報取扱事業者ごとに異なり得るものと考えられます。全従業者を対象とした講義形式による研修も含まれ得ますが、これに限られるものではなく、部署ごとに個人データの取扱いに関する責任者からの講話形式、eラーニング形式、標的型メールを疑似体験する形での訓練形式など、様々な形式が考えられます。
- (物理的安全管理措置)
- Q10-15
「個人データを取り扱う区域の管理」に関して、個人データを取り扱う場所は、全て厳格な入退室管理を実施する必要がありますか。
- A10-15
個人データを取り扱う区域の管理として、常に入退室管理の実施が求められるわけではありませんが、個人情報データベース等を取り扱うサーバやメインコンピュータ等の重要な情報システムを管理する区域(管理区域)については、入退室管理の実施、承認されていない記録媒体やカメラ等の持込の制限等が有効な取組と考えられます。
- (物理的安全管理措置)
- Q10-16
「座席配置の工夫」「のぞき込みを防止する措置」「個人データを取り扱うことのできる従業者及び本人以外が容易に個人データを閲覧等できないような措置」とは、例えばどのような措置が該当しますか。
- A10-16
具体的には、以下のような措置が該当すると考えられます。
- ○個人データの取扱いを、個人データを取り扱う権限が付与されていない者の往来が少ない場所で実施すること
- ○個人データをパソコンで取り扱う場合、離席時にパスワード付スクリーンセーバーの起動又はコンピュータのロック等で閲覧できないようにすること
- ○個人データを記した書類、媒体、携帯可能なコンピュータ等を机上、社内等に放置しないこと
- (技術的安全管理措置)
- Q10-17
紙でしか個人情報を管理していない場合も、技術的安全管理措置を講じる必要がありますか。
- A10-17
ガイドライン(通則編)で定めている技術的安全管理措置は、情報システムを使用して個人データを取り扱う場合に講じなければならないものであるため、紙でのみ個人情報を管理している場合には、技術的安全管理措置を講じる必要はありません。
- (技術的安全管理措置)
- Q10-18
「アクセス制御」を講じるための手法は、ガイドライン(通則編)で示されている以外にどのようなものが考えられますか。
- A10-18
ガイドライン(通則編)に示した手法を具体的に記述したものも含めて、例えば、次のような手法が考えられます。
- ○識別に基づいたアクセス制御の実施
- ○アクセス権限を有する者に付与する権限の最小化
- ○個人データを取り扱う情報システムへのアクセスが必要最小限となるような措置 (当該情報システムの同時利用者数の制限、当該情報システムの利用時間の制限(例えば、休業日や業務時間外等の時間帯には情報システムにアクセスできないようにする等))
- ○個人データを格納した情報システムへの無権限アクセスからの保護(例えば、ファイアウォール、ルータ等の設定)
- ○個人データにアクセス可能なアプリケーションの無権限利用の防止(例えば、アプリケーションシステムに認証システムを実装する、業務上必要となる者が利用する機器のみに必要なアプリケーションシステムをインストールする、業務上必要な機能のみメニューに表示させる等。)
- ○個人データを取り扱う情報システムに導入したアクセス制御機能の有効性の検証 (例えば、OS・ウェブアプリケーションのぜい弱性有無の検証等。)
- ○個人データにアクセスできる者を許可する権限管理の適切かつ定期的な実施(例えば、個人データにアクセスする者の登録を行う作業担当者が適当であることを定期的に審査し、その者だけが登録等の作業を行えるようにする等。)
- (技術的安全管理措置)
- Q10-19
「アクセス者の識別と認証」を講じるための手法は、ガイドライン(通則編)で示されている以外にどのようなものが考えられますか。
- A10-19
ガイドライン(通則編)に示した手法を具体的に記述したものも含めて、例えば、次のような手法が考えられます。
- ○(ID・パスワードを利用する場合)同一又は類似パスワードの再利用の制限、最低パスワード文字数の設定、一定回数以上ログインに失敗したIDを停止する等
- ○個人データへのアクセス権限を有する者が使用できる端末又はアドレス等の識別と認証の実施(例えば、IPアドレス認証、電子証明書等)
- (技術的安全管理措置)
- Q10-20
「外部からの不正アクセス等の防止」を講じるための手法は、ガイドライン(通則編)で示されている以外にどのようなものが考えられますか。
- A10-20
ガイドライン(通則編)に示した手法を具体的に記述したものも含めて、例えば、次のような手法が考えられます。
- ○個人データを取り扱う情報システムの使用状況、個人データへのアクセス状況(操作内容も含む。)、個人データを取り扱う情報システムへの外部からのアクセス状況等の監視(個人データへのアクセスや操作の成功や失敗の記録及び不正が疑われる異常な記録の存否の定期的な確認(当該記録の漏えい、滅失及び毀損並びに改ざん及び不正消去等からの適切な保護も含む)も含む。)
- ○導入したセキュリティ対策ソフトウェア等の有効性・安定性の確認(例えば、パターンファイルや修正ソフトウェアの更新確認等。)
- ○端末及びサーバ等のオペレーティングシステム、ミドルウェア、アプリケーション等に対するセキュリティ対策用修正ソフトウェアの適用
- ○個人情報取扱事業者において許可していないソフトウェアの導入防止のための対策
- (技術的安全管理措置)
- Q10-21
「情報システムの使用に伴う漏えい等の防止」を講じるための手法は、ガイドライン(通則編)で示されている以外にどのようなものが考えられますか。
- A10-21
ガイドライン(通則編)に示した手法を具体的に記述したものも含めて、例えば、次のような手法が考えられます。
- ○盗聴される可能性のあるネットワーク(例えば、インターネットや無線LAN等)による個人データの送信(例えば、本人及び従業者による入力やアクセス、メールに添付してファイルを送信する等を含むデータの転送等)時における、個人データの暗号化等の秘匿化(例えば、SSL/TLS、S/MIME等)
- ○個人データを取り扱う情報システムの動作確認を行う際に、テストデータとして個人データを利用することを禁止したり、動作確認に影響のない範囲で、個人データの一部を他のデータに置き換える等、テストデータとして利用する個人データを必要最小限とすること。
- ○個人データを取り扱う情報システムの変更時に、当該変更によって情報システム又は運用環境のセキュリティが損なわれないことを検証すること
- ○個人データを取り扱う情報システムの使用状況の定期的な監視
- (外的環境の把握)
- Q10-22
「外的環境の把握」について、「外国において個人データを取り扱う場合」とは、どのような場合ですか。
- A10-22
例えば、以下に掲げるような場合は、「外国において個人データを取り扱う場合」に該当するため、個人情報取扱事業者は、当該外国の個人情報の保護に関する制度等を把握した上で、安全管理措置を講じる必要があります。
- ○個人情報取扱事業者が、外国にある支店・営業所に個人データを取り扱わせる場合(Q10-23参照)
- ○個人情報取扱事業者が、外国にある第三者に個人データの取扱いを委託する場合(Q10-24参照)
- ○外国にある個人情報取扱事業者が、国内にある者に対する物品又は役務の提供に関連して、国内にある者を本人とする個人データを取り扱う場合(法第171条参照)
(令和3年9月追加)
- (外的環境の把握)
- Q10-23
「外的環境の把握」について、外国にある支店や営業所に個人データを取り扱わせる場合には、当該外国の個人情報の保護に関する制度等を把握する必要がありますか。外国にある従業者に個人データを取り扱わせる場合はどうですか。
また、この場合、「法第23条の規定により保有個人データの安全管理のために講じた措置」(法第32条第1項第4号・施行令第10条第1号)として、どのような事項を本人の知り得る状態に置く必要がありますか。
- A10-23
個人情報取扱事業者は、外国にある支店や営業所に個人データを取り扱わせる場合、外国において個人データを取り扱うこととなるため、支店等が所在する外国の個人情報の保護に関する制度等を把握した上で、安全管理措置を講じる必要があります。
また、外国に支店等を設置していない場合であっても、外国にある従業者に個人データを取り扱わせる場合、本人が被る権利利益の侵害の大きさを考慮し、その個人データの取扱状況(個人データを取り扱う期間、取り扱う個人データの性質及び量を含む。)等に起因するリスクに応じて、従業者が所在する外国の制度等を把握すべき場合もあると考えられます。例えば、外国に居住してテレワークをしている従業者に個人データを取り扱う業務を担当させる場合には、当該従業者の所在する外国の制度等も把握して安全管理措置を講じる必要があると考えられます。他方、外国に出張中の従業者に一時的にのみ個人データを取り扱わせる場合には、必ずしも、安全管理措置を講じるに当たって、外国の制度等を把握する必要まではないと考えられます。
以上は、外国にある支店等や従業者が、日本国内に所在するサーバに保存されている個人データにアクセスして、これを取り扱う場合においても同様です。
そして、外国の制度等を把握して安全管理措置を講じる場合には、「保有個人データの安全管理のために講じた措置」として、支店等や従業者が所在する外国の名称を明らかにし、当該外国の制度等を把握した上で講じた措置の内容を本人の知り得る状態に置く必要があります。
(令和3年9月追加) - (外的環境の把握)
- Q10-24
「外的環境の把握」について、外国にある第三者に個人データの取扱いを委託する場合には、当該外国の個人情報の保護に関する制度等を把握する必要がありますか。委託先が外国にある第三者に個人データの取扱いを再委託した場合はどうですか。
また、この場合、「法第23条の規定により保有個人データの安全管理のために講じた措置」(法第32条第1項第4号・施行令第10条第1号)として、どのような事項を本人の知り得る状態に置く必要がありますか。
- A10-24
外国にある第三者に個人データの取扱いを委託する場合、委託元は、委託先を通じて外国において個人データを取り扱うこととなるため、委託先が所在する外国の個人情報の保護に関する制度等を把握した上で、委託先の監督その他の安全管理措置を講じる必要があります。また、委託先が外国にある第三者に個人データの取扱いを再委託する場合、委託元は、委託先及び再委託先を通じて外国において個人データを取り扱うこととなるため、再委託先が所在する外国の制度等も把握した上で、安全管理措置を講じる必要があります。以上は、委託先や再委託先が、日本国内に所在するサーバに保存されている個人データにアクセスして、これを取り扱う場合においても同様です。
そして、かかる場合には、「保有個人データの安全管理のために講じた措置」として、委託先・再委託先が所在する外国の名称を明らかにし、当該外国の制度等を把握した上で講じた措置の内容を本人の知り得る状態に置く必要があります。
なお、委託元は、個人データの取扱いの委託に伴って委託先に個人データを提供する場合において、委託先が「外国にある第三者」(法第28条第1項)に該当するときは、原則として委託先が所在する外国の名称等を本人に情報提供した上で、本人の同意を取得する必要があります(法第28条第1項・第2項)。かかる場合においても、委託元は、上記のとおり、安全管理措置を講じる必要があり、また、保有個人データの安全管理のために講じた措置を本人の知り得る状態に置く必要があります。
(令和3年9月追加) - (外的環境の把握)
- Q10-25
「外的環境の把握」について、外国にある第三者の提供するクラウドサービスを利用し、その管理するサーバに個人データを保存する場合、当該外国の個人情報の保護に関する制度等を把握する必要がありますか。
また、この場合、「法第23条の規定により保有個人データの安全管理のために講じた措置」(法第32条第1項第4号・施行令第10条第1号)として、どのような事項を本人の知り得る状態に置く必要がありますか。
- A10-25
外国にある第三者の提供するクラウドサービスを利用する場合において、クラウドサービス提供事業者が個人データを取り扱わないこととなっている場合には、個人データの第三者への「提供」には該当しませんが、個人情報取扱事業者は、自ら果たすべき安全管理措置の一環として、適切な安全管理措置を講じる必要があります(Q7-53、Q7-54、Q12-3参照)。
この場合、個人情報取扱事業者は、外国において個人データを取り扱うこととなるため、当該外国の個人情報の保護に関する制度等を把握した上で、安全管理措置を講じる必要があります。日本国内に所在するサーバに個人データが保存される場合においても同様です。
かかる場合には、「保有個人データの安全管理のために講じた措置」として、クラウドサービス提供事業者が所在する外国の名称及び個人データが保存されるサーバが所在する外国の名称を明らかにし、当該外国の制度等を把握した上で講じた措置の内容を本人の知り得る状態に置く必要があります。他方、個人データが保存されるサーバが所在する国を特定できない場合には、サーバが所在する外国の名称に代えて、マル1サーバが所在する国を特定できない旨及びその理由、及び、②本人に参考となるべき情報を本人の知り得る状態に置く必要があります。②本人に参考となるべき情報としては、例えば、サーバが所在する外国の候補が具体的に定まっている場合における当該候補となる外国の名称等が考えられます。
(令和3年9月追加) - (勧告、命令、緊急命令)
- Q11-1
個人情報取扱事業者等が個人情報保護法に違反した場合、どのような措置が採られるのですか。
- A11-1
個人情報取扱事業者、仮名加工情報取扱事業者、匿名加工情報取扱事業者又は個人関連情報取扱事業者(以下「個人情報取扱事業者等」という。)が、個人情報保護法の義務規定に違反し、不適切な個人情報、個人関連情報、仮名加工情報又は匿名加工情報(以下本項において「個人情報等」という。)の取扱いを行っている場合には、個人情報保護委員会は、必要に応じて、当該個人情報取扱事業者等その他の関係者に対して報告徴収・立入検査を実施し(法第146条)(※)、当該個人情報取扱事業者等に対して指導・助言を行い(法第147条)、また、勧告・命令を行う(法第148条)ことができます。
個人情報保護委員会からの報告徴収・立入検査に応じなかった場合や、報告徴収に対して虚偽の報告をした場合等には、刑事罰(50万円以下の罰金)が科される可能性があります(法第182条)。また、個人情報保護委員会の命令に個人情報取扱事業者等が違反した場合には、個人情報保護委員会は、その旨を公表することができ(法第148条第4項)、加えて、当該命令に違反した者には、刑事罰(1年以下の懲役又は100万円以下の罰金)が科される可能性があります(法第178条)。
なお、個人情報取扱事業者若しくはその従業者又はこれらであった者が、その業務に関して取り扱った個人情報データベース等(その全部又は一部を複製し、又は加工したものを含む。)を自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、刑事罰(1年以下の懲役又は50万円以下の罰金)が科される可能性があります(法第179条)。
さらに、法人の代表者又は法人若しくは人の代理人、使用人その他の従業者(以下本項において「従業者等」という。)がその法人又は人の業務に関して、上記の罰則の対象となる行為を行った場合には、両罰規定により、行為者に加え、その法人や人にも罰金刑が科される可能性があります(法第184条)。
具体的には、従業者等が法人の業務に関して、マル1法第178条又は第179条に掲げる違反行為を行った場合、当該法人には、1億円以下の罰金刑が科される可能性があり、②法第182条に掲げる違反行為を行った場合、当該法人には50万円以下の罰金刑が科される可能性があります。また、従業者等が人の業務に関して、法第178条、第179条及び第182条に掲げる違反行為を行った場合には、当該人に対して、当該違反行為を定める各条文に規定する罰金刑が科される可能性があります。
(※)法第150条に基づく権限の委任が行われた場合には、事業所管大臣(各省庁)も報告徴収・立入検査を実施する権限を有することとなります。
(令和4年4月更新) - (域外適用)
- Q11-2
外国で活動する事業者ですが、日本国内にある者に対して音楽の配信サービスを提供するために本人から個人情報を取得する場合、その個人情報の取扱いについて個人情報保護法は適用されますか。また、日本国内の別の事業者から個人情報を取得する場合はどうなりますか。
- A11-2
法第171条に基づき、外国にある個人情報取扱事業者等が、日本の居住者等の日本国内にある者に対する物品やサービスの提供に関連して、日本国内にある者を本人とする個人情報、当該個人情報として取得されることとなる個人関連情報又は当該個人情報を用いて作成された仮名加工情報若しくは匿名加工情報を、外国において取り扱う場合には、個人情報保護法が適用されます。
そのため、外国にある個人情報取扱事業者が、日本国内にある者に対して音楽の配信サービスを提供することに関連して、日本国内にある者を本人とする個人情報を外国で取り扱う場合、当該外国にある個人情報取扱事業者による当該個人情報の取扱いには、個人情報保護法が適用されます。このことは、当該外国にある個人情報取扱事業者が、日本国内にある本人から直接個人情報を取得した場合であっても、日本国内の別の事業者から間接的に取得した場合であっても同様です(ガイドライン(通則編)8参照)。
なお、域外適用の対象となる外国にある個人情報取扱事業者は、個人データを取り扱う当該外国の個人情報の保護に関する制度等を把握した上で、個人データの安全管理のために必要かつ適切な措置を講ずる必要があります(法第23条)。その上で、「保有個人データの安全管理のために講じた措置」として、当該外国の名称を明らかにし、当該外国の制度等を把握した上で講じた措置の内容を本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置く必要があります(法第32条第1項第4号、施行令第10条第1号)。
また、外国にある個人情報取扱事業者に個人データを提供する日本国内の個人情報取扱事業者は、法第28条第1項により、原則として、あらかじめ「外国にある第三者への個人データの提供を認める」旨の本人の同意を得る必要がある点に注意が必要です。
(令和3年9月更新) - (域外適用)
- Q11-3
外国で活動する事業者で、日本を含む各国にある者に対してサービスを提供しており、当該サービス提供のため各本人から個人情報を取得しています。日本国内の利用者の個人データを含む漏えい等事案が生じた場合、漏えい等事案が発覚した場合に講ずべき措置を講ずるとともに、漏えい等事案の報告及び本人への通知を行う必要がありますか。
- A11-3
外国にある個人情報取扱事業者が、日本の居住者等の日本国内にある者に対する物品又はサービスの提供に関連して、日本国内にある者を本人とする個人情報を外国において取り扱う場合には、個人情報保護法の域外適用の対象となり、法第23条(安全管理措置)や法第26条(漏えい等の報告等)も適用されます(法第171条)。
したがって、このような外国にある個人情報取扱事業者が、日本国内の利用者へのサービス提供に関連して取り扱っている日本国内の利用者の個人データについて漏えい等事案を発生させた場合には、日本国内の個人情報取扱事業者と同様に、漏えい等事案が発覚した場合に講ずべき措置(ガイドライン(通則編)3-5-2参照)を講ずる必要があります。
また、当該漏えい等事案が法第26条の要件を満たす場合(ガイドライン(通則編)3-5-3-1参照)には、同条に基づく報告及び本人通知が必要となります。なお、この場合、「個人データに係る本人の数が千人を超える漏えい等が発生し、又は発生したおそれがある事態」(施行規則第7条第4号)との関係では、当該外国にある個人情報取扱事業者において漏えい等事案が発生した個人データのうち、法第171条に係る本人の数が「千人を超える」かどうかを判断することになります。
なお、域外適用についてはQ11-2をご参照ください。
(令和3年9月更新) - (域外適用)
- Q11-4
外国で活動する事業者ですが、日本国内の事業者から、日本国内のユーザー向けのアプリの開発・運営のため、日本国内のユーザーを本人とする個人データの取扱いの委託を受けました。この場合、外国の事業者が委託に伴って取得した個人データの取扱いについて個人情報保護法は適用されますか。
- A11-4
外国にある個人情報取扱事業者が、日本の居住者等の日本国内にある者に対する物品又はサービスの提供に関連して、日本国内にある者を本人とする個人情報を外国において取り扱う場合には、個人情報保護法の域外適用の対象となります(法第171条)。
外国にある個人情報取扱事業者が、日本国内のユーザー向けのアプリの開発・運営のために、日本国内の事業者から日本国内のユーザーを本人とする個人データの取扱いの委託を受けて外国で取り扱う場合、当該外国にある個人情報取扱事業者による当該個人データの取扱いは、日本国内にある者に対する物品又はサービスの提供に関連するものであると考えられることから、個人情報保護法の域外適用の対象となります。
なお、外国にある個人情報取扱事業者に対して個人データを提供する日本国内の個人情報取扱事業者は、法第28条第1項により、原則として、あらかじめ「外国にある第三者への個人データの提供を認める」旨の本人の同意を得る必要がある点に注意が必要です。
(令和3年9月追加) - (適用除外)
- Q11-5
個人情報保護法の適用除外とはどのような制度ですか。
- A11-5
個人情報取扱事業者等のうち、憲法上保障された自由(表現の自由、信教の自由、政治活動の自由)に関わる以下の主体が以下の活動のために個人情報等を取り扱う場合には、その限りにおいて、個人情報取扱事業者等の義務は適用されません(法第57条第1項)。
- 報道機関報道活動
- 著述を業として行う者著述活動
- 宗教団体宗教活動
- 政治団体政治活動
また、これらの諸活動の自由を確保するため、これらの活動の相手方である個人情報取扱事業者等の行為(例:マル1政党から政治活動を行うため要請があった場合に、後援会等が本人の同意なく個人データを提供すること、②新聞社等の報道機関が報道目的で個人情報を取り扱う場合に、報道機関に対して本人の同意なく個人データを提供すること)についても、個人情報保護委員会は、その行為に関する限り、その個人情報取扱事業者等に対して、報告の徴収、勧告、命令などの権限を行使しないこととされています(法第149条第2項)。
(令和4年4月更新) - (適用除外)
- Q11-6
大学等の学術研究機関等と民間企業や私立病院等が、学術研究目的の研究を共同で行う場合における個人情報の取扱いに関して留意すべき点を教えてください。
- A11-6
個人データを第三者に提供する場合には、原則として、あらかじめ本人の同意を得る必要がありますが(法第27条第1項柱書)、法第16条第8項に規定する学術研究機関等が共同研究を行う第三者(学術研究機関等であるか否かを問いません。)に対して個人データを学術研究目的で提供する必要がある場合(法第27条第1項第6号)や、個人情報取扱事業者が個人データを学術研究目的で取り扱う必要がある学術研究機関等に対して提供する場合(同項第7号)は、個人の権利利益を不当に侵害するおそれがない限り、法第27条第1項柱書に規定する本人の同意を得ずに個人データを提供することができます。
ただし、当該共同研究の目的が営利事業への転用に置かれているなど、必ずしも学術研究目的とはみなされない場合には、提供に当たってあらかじめ本人の同意を得る必要があることに留意が必要です。
また、学術研究目的とはみなされない場合であっても、例えば、公衆衛生の向上に特に必要がある場合で本人の同意を得ることが困難であるときは、あらかじめ本人の同意を得ることなく個人データを第三者に提供することができます(法第27条第1項第3号)。
なお、学術研究機関等の自律性に鑑みれば、学術研究機関等の自律的な判断を原則として尊重する必要があると考えられることから、学術研究機関等が、個人情報を利用した研究の適正な実施のための自主規範を単独又は共同して策定・公表した場合であって、当該自主規範の内容が個人の権利利益の保護の観点から適切であり、その取扱いが当該自主規範にのっとっているときは、法第149条第1項の趣旨を踏まえ、個人情報保護委員会は、これを尊重することとされていますが、自主規範にのっとった個人情報の取扱いであっても、本人の権利利益を不当に侵害するおそれがある場合には、原則として、個人情報保護委員会は、その監督権限を行使することとされています(ガイドライン(通則編)7-2参照)。この点、医学系研究等に関する指針としては、例えば以下が定められています。
- 〇人を対象とする生命科学・医学系研究に関する倫理指針(文部科学省、厚生労働省、経済産業省)
- 〇遺伝子治療等臨床研究に関する指針(厚生労働省)
- 〇ヒト受精胚の作成を行う生殖補助医療研究に関する倫理指針(文部科学省、厚生労働省)
- 〇ヒト受精胚に遺伝情報改変技術等を用いる研究に関する倫理指針(文部科学省、厚生労働省)
- 〇ヒトES細胞の分配機関に関する指針(文部科学省)
- 〇ヒトES細胞の使用に関する指針(文部科学省)
- 〇ヒトiPS細胞又はヒト組織幹細胞からの生殖細胞の作成を行う研究に関する指針(文部科学省)
(令和4年4月更新)
-
- Q12-1
委託は法第27条第1項の第三者提供に当たらないとされていますが、外国にある第三者に個人データの取扱いを委託する場合は、法第28条第1項に基づいて「外国にある第三者への個人データの提供を認める」旨の本人の同意を得る必要がありますか。
- A12-1
個人情報取扱事業者が、外国にある第三者に個人データを提供する場合には、以下のマル1から③までのいずれかに該当する場合を除き、法第28条第1項に基づきあらかじめ「外国にある第三者への個人データの提供を認める」旨の本人の同意を得る必要があります。この点は、外国にある第三者に個人データの取扱いを委託する場合も同様です。
- マル1 当該第三者が、我が国と同等の水準にあると認められる個人情報保護制度を有している国として施行規則第15条で定める国(※)にある場合
- ② 当該第三者が、個人情報取扱事業者が講ずべき措置に相当する措置を継続的に講ずるために必要な体制として施行規則第16条で定める基準に適合する体制を整備している場合
- ③ 法第27条第1項各号のいずれかに該当する場合
なお、上記マル1から③のいずれにも該当せず、法第28条第1項の規定により本人の同意を得ようとする場合には、あらかじめ、施行規則第17条第2項から第4項までの規定により求められる情報を本人に提供する必要があることに留意が必要です(法第28条第2項)。
(※)施行規則第15条で定める国とは、「個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国等」(平成31年個人情報保護委員会告示第1号)に定める国を指し、具体的には、令和3年9月時点でEU及び英国が該当します。なお、ここでいうEUとは、平成31年個人情報保護委員会告示第1号に定める国(ただし、英国を除きます。)を指します。
(令和3年9月更新) - Q12-2
「個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国」はどこですか。
- A12-2
法第28条第1項の「個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国」とは、「個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国等」(平成31年個人情報保護委員会告示第1号)に定める国を指し、具体的には、令和3年9月時点でEU及び英国が該当します。なお、ここでいうEUとは、平成31年個人情報保護委員会告示第1号に定める国(ただし、英国を除きます。)を指します。
(令和3年9月更新) - Q12-3
外国にあるサーバに個人データを含む電子データを保存することは外国にある第三者への提供に該当しますか。
- A12-3
個人情報取扱事業者自らが外国に設置し、自ら管理・運営するサーバに個人データを保存することは、外国にある第三者への提供(法第28条第1項)に該当しません。
また、個人情報取扱事業者が、外国にある事業者が外国に設置し、管理・運営するサーバに個人データを保存する場合であっても、当該サーバを運営する当該外国にある事業者が、当該サーバに保存された個人データを取り扱わないこととなっている場合には、外国にある第三者への提供(法第28条第1項)に該当しません。ここでいう「当該サーバに保存された個人データを取り扱わないこととなっている場合」とは、契約条項によって当該事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられます(Q7-53参照)。
なお、個人情報取扱事業者が、外国に設置されたサーバに個人データを保存する場合、外国において個人データを取り扱うこととなるため、当該外国の個人情報の保護に関する制度等を把握した上で、個人データの安全管理のために必要かつ適切な措置を講ずる必要があり(法第23条)、また、保有個人データの安全管理について講じた措置を本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置く(法第32条第1項第4号、施行令第10条第1号)必要があることに留意が必要です(Q10-25参照)。
(令和3年9月更新) - Q12-4
外国にある事業者が運営するクラウドを利用していますが、サーバは国内にある場合、外国にある第三者への提供に該当しますか。
- A12-4
当該サーバを運営する外国にある事業者が、当該サーバに保存された個人データを取り扱っている場合には、サーバが国内にある場合であっても、外国にある第三者への提供(法第28条第1項)に該当します。ただし、当該サーバを運営する外国にある事業者が、当該サーバに保存された個人データを日本国内で取り扱っており、日本国内で個人情報データベース等を事業の用に供していると認められる場合には、外国にある第三者への提供(法第28条第1項)に該当しません(ガイドライン(外国にある第三者への提供編)2-2参照)。
なお、当該サーバを運営する外国にある事業者が、当該サーバに保存された個人データを取り扱わないこととなっている場合には、外国にある第三者への提供(法第28条第1項)に該当しません(Q7-53、Q12-3参照)。
(令和3年9月更新) - Q12-5
国内事業者が外国事業者に個人データを提供する場合において、当該外国事業者が日本に出張所を有する場合、外国にある第三者に提供したこととなりますか。
- A12-5
個人データの提供先が外国事業者である場合であっても、当該外国事業者が日本国内で個人情報データベース等を事業の用に供していると認められる場合には、外国にある第三者への提供(法第28条第1項)に該当しません。
もっとも、日本国内で個人情報データベース等を事業の用に供していると認められるか否かは、日本国内における事業の実態を勘案して、個別の事例ごとに判断することとなるため、国内に出張所を有することのみをもって直ちに当該外国事業者への個人データの提供が「外国にある第三者への提供」に該当しないこととなるわけではありません。
(令和3年9月更新) - Q12-6
施行規則第16条第1号では、「個人情報取扱事業者と個人データの提供を受ける者との間」で適切かつ合理的な方法により措置の実施を確保することとされています。国内にある事業者Aが外国にある事業者との間で、Aのグループ会社の個人データの取扱いに係る委託契約を締結していますが、Aの子会社であり、Aと同じ内規等が適用される国内にある事業者Bが、当該外国にある事業者に対して委託に伴って個人データを提供する場合、当該委託契約及び当該内規等は「適切かつ合理的な方法」に該当しますか。
- A12-6
当該委託契約及び当該内規等によって、個人データの提供先である外国にある第三者が、我が国の個人情報取扱事業者の講ずべきこととされている措置に相当する措置を継続的に講ずることを実質的に担保することができる場合には、適切かつ合理的な方法に該当するものと考えられます。
なお、提供先の外国にある第三者が施行規則第16条に定める基準に適合する体制を整備していることを根拠として、事前の本人の同意を得ずに当該外国にある第三者に対して個人データの提供を行った場合には、個人情報取扱事業者は、法第28条第3項に基づき、当該外国にある第三者による相当措置(個人データの取扱いについて法第4章第2節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置をいいます。以下同じ。)の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供する必要があります(ガイドライン(外国にある第三者への提供編)6参照)。
(令和3年9月更新) - Q12-7
提供先の外国にある第三者が施行規則第16条に定める基準に適合する体制を整備していることを根拠として個人データを提供した後、当該提供先がさらに別の「第三者」(再提供先)に個人データを提供する場合、当該提供先が施行規則第16条に定める基準に適合する体制を整備しているといえるためには、どのような措置の実施が確保される必要がありますか。当該「第三者」(再提供先)が当該提供先と同一国内にある者等の外国にある者であるときと、当該「第三者」(再提供先)が日本にある者であるときで、実施が確保されるべき措置が変わりますか。
- A12-7
法第28条第1項の「外国」は、本邦の域外にある国又は地域(我が国と同等の水準にあると認められる個人情報保護制度を有している国として施行規則第15条で定める国(※)を除きます。以下本項において同じ。)を指します。
したがって、提供先の外国にある第三者が施行規則第16条に定める基準に適合する体制を整備していることを根拠として、個人データを提供した後、当該提供先がさらに別の「第三者」(再提供先)に当該個人データを再提供する場合において、当該「第三者」(再提供先)が本邦の域外にある国又は地域にある者であるときは、当該提供先と同一国若しくは地域にあるか、又は異なる国若しくは地域にあるかにかかわらず、当該提供先による当該「第三者」(再提供先)への個人データの提供について、法第28条の規定の趣旨に沿った措置(ガイドライン(外国にある第三者への提供編)4-2-12参照)の実施が確保される必要があります。
他方で、当該「第三者」(再提供先)が日本にある者であるときは、当該「第三者」(再提供先)は、「外国にある第三者」(法第28条第1項)に該当しません。そのため、この場合には、当該提供先による当該「第三者」(再提供先)への個人データの移転について、法第27条の規定の趣旨に沿った措置(同ガイドライン4-2-11参照)の実施が確保される必要があります。
(※)施行規則第15条で定める国とは、「個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国等」(平成31年個人情報保護委員会告示第1号)に定める国を指し、具体的には、令和3年9月時点でEU及び英国が該当します。なお、ここでいうEUとは、平成31年個人情報保護委員会告示第1号に定める国(ただし、英国を除きます。)を指します。
(令和3年9月更新) - Q12-8
外国にある第三者に対して、提供元において氏名を削除するなどして個人を特定できないようにして当該提供先にとっては個人情報に該当しないデータの取扱いを委託し、当該提供先が個人情報に復元することがないような場合においても、法第28条第1項により、あらかじめ「外国にある第三者への個人データの提供を認める」旨の本人の同意を得る必要がありますか。
- A12-8
提供先の外国にある第三者にとって個人情報に該当しないデータの取扱いを委託する場合において、委託契約において当該提供先が元となった個人情報を復元しないことが定められている等、当該提供先が元となった個人情報に係る本人を識別しないこととなっているときは、結果として、施行規則第16条で定める基準に適合する体制を整備しているものと解されます。
そのため、この場合、当該提供先は、法第28条第1項における「第三者」に該当しないため、当該提供先に対する個人データの提供に際して、外国にある第三者への個人データの提供を認める旨の本人の同意を得る必要はありません。
ただし、この場合であっても、提供元である個人情報取扱事業者は、当該提供先において元となった個人情報の復元がなされていないか等の定期的な確認を含め、当該提供先による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を提供する必要があります(法第28条第3項)。さらに、提供元である個人情報取扱事業者は、法第25条に基づき当該提供先に対する監督義務を負うことに留意が必要です。
(令和3年9月更新) - Q12-9
日本法人の外国支店と取引があり、当該外国支店に対して個人データの提供を行う予定ですが、当該外国支店に対する個人データの提供は、外国にある第三者への提供に該当しますか。
- A12-9
個別の事案ごとに判断する必要がありますが、国内にある個人情報取扱事業者が、他の日本法人の外国支店に直接個人データを提供する場合には、当該外国支店への個人データの提供は、外国にある第三者への提供(法第28条第1項)に該当し得ると考えられます。
(令和3年9月追加) - Q12-10
法第28条第2項の規定による本人への情報提供の方法として、必要な情報が掲載されたwebページのURLを本人に対して提供することは認められますか。
- A12-10
個別の事案ごとに判断されますが、例えば、施行規則第17条第2項から第4項までの規定により求められる情報が掲載されたWebページが存在する場合に、当該WebページのURLを自社のホームページに掲載し、当該URLに掲載された情報を本人に閲覧させる方法も、施行規則第17条第1項における「適切な方法」に該当すると考えられます。
ただし、この場合であっても、例えば、当該URLを本人にとって分かりやすい場所に掲載した上で、同意の可否の判断の前提として、本人に対して当該情報の確認を明示的に求めるなど、本人が当該URLに掲載された情報を閲覧すると合理的に考えられる形で、情報提供を行う必要があると考えられます。
(令和3年9月追加) - Q12-11
提供先の外国にある第三者は、A国に所在していますが、B国にサーバを設置しており、当該第三者に個人データを提供した場合には、当該サーバにおいて保存されることになります。この場合、施行規則第17条第2項第1号の「当該外国の名称」として提供すべき名称は、どちらになりますか。
- A12-11
施行規則第17条第2項第1号の「当該外国の名称」における外国とは、提供先の第三者が個人データを保存するサーバが所在する外国ではなく、提供先の第三者が所在する外国をいうため、A国の名称を情報提供する必要があります。
なお、提供先の第三者が所在する外国の名称に加え、当該第三者が個人データを取り扱うサーバの所在国についても情報提供することは、望ましい取組であると考えられます。
(令和3年9月追加) - Q12-12
施行規則第17条第2項第3号の「当該第三者が講ずる個人情報の保護のための措置に関する情報」を確認する方法として、どのような方法が考えられますか。
- A12-12
個別の事案ごとに判断する必要がありますが、例えば、提供先の外国にある第三者に確認する方法や、提供先の外国にある第三者との間で締結している契約において、当該第三者による個人データの取扱いについて定めている場合に、当該契約を確認する方法等が考えられます。
(令和3年9月追加) - Q12-13
法第28条第2項に基づく情報提供を行った上で、外国にある第三者への個人データの提供を認める旨の本人の同意を得て外国にある第三者に個人データを提供した後に、当該外国における個人情報の保護に関する制度の改正があった場合、本人に対して、改正後の制度に関する情報を提供した上で、再度同意を得る必要がありますか。
- A12-13
施行規則第17条第2項第2号の「外国における個人情報の保護に関する制度に関する情報」は、一般的な注意力をもって「適切かつ合理的な方法」により確認したものである必要がありますが、「適切かつ合理的な方法」により確認を行った「外国における個人情報の保護に関する制度に関する情報」を提供した上で外国にある第三者への個人データの提供を認める旨の本人の同意を取得した後に、当該外国における個人情報の保護に関する制度についての変更があった場合であっても、既に取得された同意の有効性には影響を及ぼさないものと考えられます。
もっとも、例えば、当該外国における個人情報の保護に関する制度について、我が国の個人情報保護法との間の本質的な差異の認識に影響を及ぼすような重要な変更がなされたことを提供元の事業者が認識した場合には、本人に情報提供することが望ましいと考えられます。
(令和3年9月追加) - Q12-14
外国の事業者に対して個人データの取扱いを委託する予定であるものの、法第28条第1項の本人の同意を得ようとする時点において、具体的な委託先が定まっていません。この場合、施行規則第17条第3項の「前項第1号に定める事項が特定できない場合」に該当しますか。また、同条第4項の「第2項第3号に定める事項について情報提供できない場合」に該当しますか。
- A12-14
法第28条第2項の趣旨は、外国にある第三者への個人データの提供がなされる場合に、当該外国における個人情報の保護に関する制度や当該第三者が講ずる個人情報の保護のための措置に関する差異に起因するリスクについて、本人の予測可能性を高める点にあります。そのため、提供先の第三者及び当該第三者が所在する外国を特定した上で、本人に対する情報提供を行うことが原則です。
例えば、一定の具体的な目的のもとに個人データの取扱いを外国にある第三者に委託する予定であるものの、本人の同意を得ようとする時点において、委託先が具体的に定まっていない等により、提供先の第三者が所在する外国が特定できない場合は、施行規則第17条第3項における「前項第1号に定める事項が特定できない場合」に該当し得ると考えられます。この場合であっても、特定できない旨及びその具体的な理由(委託先が定まる前に本人同意を得る必要性を含む。)を情報提供するとともに、提供先の第三者が所在する外国の範囲を特定できる場合の当該範囲に関する情報など、外国の名称に代わる本人に参考となるべき情報の提供が可能である場合には、当該情報を提供する必要があります(施行規則第17条第3項各号)。
また、同様に本人の同意を得ようとする時点において、委託先が具体的に定まっていない等により、提供先の第三者が特定できず、当該第三者が講ずる個人情報の保護のための措置に関する情報が提供できない場合は、施行規則第17条第4項における「第2項第3号に定める事項について情報提供できない場合」に該当し得ると考えられます。この場合であっても、情報提供できない旨及びその具体的な理由(委託先が定まる前に本人同意を得る必要性を含む。)を情報提供する必要があります(施行規則第17条第4項)。
施行規則第17条第3項及び第4項の規定による情報提供に際しては、どのような場面で外国にある第三者に個人データの提供を行うかについて、具体的に説明することが望ましく、また、事後的に提供先の第三者が所在する外国が特定できた場合や当該第三者が講ずる個人情報の保護のための措置についての情報提供が可能となった場合には、本人の求めに応じて情報提供を行うことが望ましいと考えられます(ガイドライン(外国にある第三者への提供編)5-3-1(1)、5-3-2参照)。
なお、法第28条第1項の規定により本人の同意を得ようとする時点において、提供先の第三者が具体的に定まっていない場合には、その時点で施行規則第17条第3項及び第4項に基づく情報提供を行った上で本人の同意を得て個人データを提供するのではなく、提供先の第三者が具体的に定まった後に、当該第三者との間で契約を締結すること等により、当該第三者における施行規則第16条に定める基準に適合する体制を整備した上で、個人データの提供を行うことも考えられます。
(令和3年9月追加) - Q12-15
提供先の外国にある第三者が施行規則第16条に定める基準に適合する体制を整備していることを根拠として個人データを提供しました。法第28条第3項に基づいて当該第三者による相当措置の実施状況等を確認する等の義務は、いつまで履行する必要がありますか。当該第三者との契約が解除された場合はどうですか。
- A12-15
提供先の外国にある第三者が施行規則第16条に定める基準に適合する体制を整備していることを根拠として個人データを提供した場合、提供元の個人情報取扱事業者は、当該第三者において当該個人データの取扱いが継続する限り、法第28条第3項に基づく措置等を講ずる必要があり、かかる義務は、提供元の個人情報取扱事業者と当該第三者との間の契約等が解除された場合でも、免除されるものではありません。
(令和3年9月追加) - Q12-16
個人情報取扱事業者が、国内にある委託先に個人データの取扱いを委託した後、委託先が外国にある再委託先に対して、当該再委託先が施行規則第16条に定める基準に適合する体制を整備していることを根拠として個人データを提供した場合、法第28条第3項の義務が課される主体は誰ですか。
- A12-16
個別の事案ごとに判断されますが、委託元の個人情報取扱事業者が国内にある事業者である委託先に対して法第27条第5項第1号に基づき個人データの取扱いを委託し、当該委託先が委託に伴って取得した当該個人データを、外国にある事業者に対して再委託に伴って再提供した場合において、委託先である国内にある事業者と再委託先である外国にある事業者との間の契約等により、施行規則第16条第1号の基準を満たすための「法第4章第2節の規定の趣旨に沿った措置」の実施が確保されている場合には、法第28条第3項の義務は、委託先に課されると考えられます。
ただし、この場合でも、委託元は委託先に対する監督義務を負うため(法第25条)、委託元は、委託先が法第28条第3項に基づき必要な措置等を講じているか否か、委託先が法第25条に基づき再委託先に対して必要かつ適切な監督を行っているか否かを含め、委託先を監督する必要があります。
(令和3年9月追加) - Q12-17
提供先の第三者が所在する外国において施行規則第18条第1項第1号の「相当措置の実施に影響を及ぼすおそれのある当該外国の制度」が存在する場合には、直ちに当該第三者による「相当措置の継続的な実施の確保が困難となったとき」(施行規則第18条第1項第2号)に該当し、当該第三者への個人データの提供を停止する必要がありますか。
- A12-17
一般に、提供先の第三者が所在する外国において、「相当措置の実施に影響を及ぼすおそれのある当該外国の制度」が存在する場合においても、当該制度の存在自体により、直ちに外国にある第三者による「相当措置の継続的な実施の確保が困難となった場合」に該当するものではなく、当該第三者による個人データの取扱状況や、当該制度の運用の状況等を踏まえて、外国にある第三者による相当措置の継続的な実施の確保が困難となったか否かを個別の事案ごとに判断する必要があると考えられます。
(令和3年9月追加・令和4年4月更新) - Q12-18
提供先の外国にある第三者が施行規則第16 条に定める基準に適合する体制を整備していることを根拠として、事前の本人の同意を得ずに当該外国にある第三者に対して個人データの提供を行った場合、提供先の外国にある第三者による相当措置の実施状況について、当該外国に所在する提供元のグループ企業が提供先の第三者を訪問することや提供先の第三者から書面の提出を受けること等により、契約等の履行状況等を確認することで足りますか。
- A12-18
提供先の外国にある第三者による相当措置の実施状況については、当該外国にある第三者に提供する個人データの内容や規模に応じて、適切かつ合理的な方法により、定期的に確認する必要があります(施行規則第18 条第1項第1号)。具体的な確認の方法については、個別の事案における具体的な事情も踏まえて決定すべきものですが、当該外国に所在する提供元のグループ企業が、提供先の第三者を訪問することや提供先の第三者から書面の提出を受けること等により、契約等の履行状況等を確認した上で、提供元が、当該グループ企業から書面により相当措置の実施状況の共有を受けて確認することも、適切かつ合理的な方法に該当し得ると考えられます。
(令和5年3月追加) - Q12-19
提供先の外国にある第三者が施行規則第 16 条に定める基準に適合する体制を整備していることを根拠として個人データを提供した後、当該外国にある第三者による相当措置の継続的な実施の確保が困難となった場合、当該外国にある第三者に対して既に提供した個人データについて、返還又は削除を求める必要がありますか。
- A12-19
提供先の外国にある第三者が施行規則第 16 条に定める基準に適合する体制を整備していることを根拠に、当該提供先に対して個人データの提供を行った場合において、当該提供先による相当措置の実施に支障が生じた場合には、当該支障の解消又は改善のために「必要かつ適切な措置」を講ずることが求められます(施行規則第 18 条第1項第2号)。
このような「必要かつ適切な措置」の一環として、当該提供先による相当措置の継続的な実施の確保が困難となり、既に提供された個人データについて、我が国の個人情報取扱事業者により個人データが取り扱われる場合に相当する程度の本人の権利利益の保護を確保することが困難となった場合には、提供元の事業者は、当該提供先に対し、当該個人データの返還又は削除を求める必要があると考えられます。
なお、提供元の事業者が、当該提供先に対して法第 27 条第5項第1号に基づいて個人データの取扱いの委託を行っている場合には、当該提供先に対する監督義務を負うため(法第 25 条)、当該提供先による当該個人データの安全管理の確保が困難となっているにもかかわらず、提供元の事業者が当該提供先に対して当該個人データの返還又は削除を求めない場合には、提供元の事業者の監督義務違反となる可能性があります。
(令和3年9月追加) - Q12-20
法第28条第3項の規定による必要な措置に関する情報の本人への提供の方法として、必要な情報が掲載されたwebペ-ジのURLを本人に対して提供することは認められますか。
- A12-20
個別の事案ごとに判断されますが、例えば、施行規則第18条第3項の規定により求められる情報が掲載されたWebページが存在する場合に、当該WebページのURLを本人に対して提供する方法も、改正後の施行規則第18条第2項における「適切な方法」に該当すると考えられます。
(令和3年9月追加) - Q12-21
施行規則第18条第3項各号に掲げる情報の提供を行う前提として、本人に関する情報を特定するのに手間と時間がかかりますが、この場合、同項ただし書きの「情報提供することにより当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合」に該当しますか。
- A12-21
施行規則第18条第3項の「著しい支障を及ぼすおそれ」に該当する場合とは、個人情報取扱事業者の業務の実施に単なる支障ではなく、より重い支障を及ぼすおそれが存在するような例外的なときに限定され、単に開示すべき情報の量が多いという理由や、特定に手間や時間がかかるという理由のみでは、一般には、これに該当しないと考えられます。
(令和3年9月追加) - 3-1 確認・記録義務の適用対象
- Q13-1
市販の電話帳を取得した際にも、確認・記録義務は適用されますか。
- A13-1
一般に市販の電話帳は個人情報データベース等に該当しないため、取得する際に確認・記録義務は適用されません。
- Q13-2
外国にある第三者に個人データを提供する場合、法第29条に基づく記録を作成しなければなりませんか。また、この場合において、提供者は、法第28条・施行規則第16条第1号との関係において、当該第三者からさらに別の第三者に提供する場合に記録を作成するように措置を講じなければなりませんか。
- A13-2
外国にある第三者に個人データを提供する場合でも、原則として、法第29条に基づく記録義務は適用されます。具体的には、ガイドライン(第三者提供時の確認・記録義務編)2-1-2の【外国にある第三者に個人データを提供する場合の記録義務の適用】のとおりです。
他方、法第28条・施行規則第16条第1号との関係において、当該第三者から別の第三者に提供する場合においては、法第29条に基づく記録に相当する記録を作成する措置を講じる必要はありません。
(平成30年12月更新) - Q13-3
訴訟代理人の弁護士・裁判所に、訴訟の相手方に係る個人データを含む証拠等を提出する場合、記録をしなければなりませんか。
- A13-3
訴訟追行のために、訴訟代理人の弁護士・裁判所に、訴訟の相手方に係る個人データを含む証拠等を提出する場合は、「財産の保護のために必要がある」といえ、かつ、一般的に当該相手方の同意を取得することが困難であることから、法第27条第1項第2号に該当し得るものであり、その場合には記録義務は適用されないものと考えられます。
- Q13-4
顧客からグループ会社の紹介を求められたため、当該顧客本人の氏名・住所等の連絡先等を、当該グループ会社に提供する場合は、記録を作成しなければなりませんか。
- A13-4
本人に代わって個人データを第三者提供しているため、記録義務は適用されません。なお、提供を受けた会社においても、確認・記録義務は適用されません。
- Q13-5
取引先A社からの依頼に基づき、取引先B社の窓口担当者の氏名・連絡先等を、同窓口担当者の同意を得て、A社に伝達する場合、記録を作成しなければなりませんか。
- A13-5
本人に代わって個人データを第三者提供しているため、記録義務は適用されません。なお、提供を受けた取引先A社においても、確認・記録義務は適用されません。
- Q13-6
A社が、自己の提供する役務とB社の提供する別の役務とをセットで販売して、B社に購入者の個人データを提供する場合、記録を作成しなければなりませんか。
- A13-6
本人に代わって個人データを第三者提供しているため、記録義務は適用されません。なお、提供を受けたB社においても、確認・記録義務は適用されません。
- Q13-7
小売業者Aは、顧客から製品の注文を受けた場合に、当該製品のメーカーに、当該顧客の氏名・住所を伝え、当該メーカーから当該製品を当該顧客に送付しているところ、当該メーカーへの個人データの提供につき、記録を作成しなければなりませんか。(なお、小売業者Aとメーカー間には委託契約はない。また、小売業者Aと顧客との契約書には、メーカーから当該製品が直接送付される旨が規定されている。)
- A13-7
本人に代わって個人データを第三者提供しているため、記録義務は適用されません。なお、提供を受けたメーカーにおいても、確認・記録義務は適用されません。
- Q13-8
個人データの提供先の第三者を個別に明示していなければ、本人に代わって提供しているものと評価されませんか。
- A13-8
提供先の事業者名を個別に明示していない場合においても、本人からの委託等の内容、提供の客体である個人データの内容、提供するとき等の要素を総合的に考慮して、当該提供を具体的に特定できている場合には、本人に代わって提供しているものと評価されることもあり得ます。
- Q13-9
会社間で代表取締役の名義で締結する契約書面を事務担当者間で授受する際、代表取締役の氏名に係る個人データを第三者提供しているものとして、記録を作成しなければなりませんか。
- A13-9
機関としての代表者の氏名を提供する行為は、確認・記録義務が適用される第三者提供には該当しないものと考えられます。
- Q13-10
顧客が別の者を指定して、自己に連絡をする際は指定した者を通すようにと事業者に要請していた場合、その連絡内容に当該顧客に係る個人データが含まれていたときは、当該者に第三者提供をしたものとして、記録を作成しなければなりませんか。
- A13-10
本人と一体と評価できる関係にある者に提供しているものとして、記録義務は適用されません。
- Q13-11
後見人の他に、保佐人、補助人も、「本人と一体と評価できる関係にある者」と評価することはできますか。
- A13-11
家庭裁判所から選任された保佐人、補助人の権限の範囲内で個人データの提供が行われる場合には、「本人と一体と評価できる関係にある者」に該当するものと考えられます。
- Q13-12
従業員の口座に給与を振り込む際も、記録義務は適用されますか。
- A13-12
従業員の口座に給与を振り込む場合は、提供者が、最終的に本人に提供することを意図した上で、受領者を介在して提供を行っているものであるので、記録義務は適用されないものと考えられます。
- Q13-13
公開情報を収集してデータベース化している事業者から当該情報の提供を受ける場合は、元の情報が公開情報であることから確認・記録義務は適用されませんか。
- A13-13
データベースの内容が、「不特定多数の者が取得できる公開情報」である場合には、当該データベースの提供を受ける行為については、確認・記録義務は適用されません。
- Q13-14
顧客から、当該顧客の配偶者の紹介を受ける行為について、確認・記録義務が適用されますか。
- A13-14
受領者にとって個人データに該当しない個人情報を受領したものと考えられ、確認・記録義務は適用されません。
- Q13-15
顧客から別の者を紹介してもらう場合に、1名ではなく、夫婦・家族の連絡先をまとめて紹介される場合においても、個人データに該当しないときであれば、第三者提供の確認・記録義務の対象になりませんか。
- A13-15
第三者から複数の個人情報の提供を受ける場合であっても、個人データに該当しない場合には、確認・記録義務は適用されません。
- Q13-16
電話や口頭で個人情報を聞いた場合には、確認・記録義務は適用されますか。
- A13-16
個人データに該当しない個人情報を取得した場合には、確認・記録義務は適用されません。
- Q13-17
個人データの第三者提供を受ける際に、受領者にとって「個人データ」に該当しない場合、法第30条に加えて、他の法第4章第2節に規定される条文も適用されませんか。
- A13-17
受領者にとって個人データに該当しない場合であっても、個人情報に該当するときは、個人情報に係る規定である法第17条から第21条まで及び第40条の規定を遵守する必要があります。
また、個人データの第三者提供を受けた後、受領者が当該個人情報を自己のデータベースに入力した場合には、入力時点から個人情報データベース等を構成する個人データに該当することになるため、法第22条から第39条までの規定(法第30条及び第31条を除く。)が適用されることとなります。
(令和4年4月更新) - Q13-18
データベース業者と契約を締結し、ネットワークで繋がった上で、当該データベース業者のデータベースを自己の端末で参照し、そのデータベースの内容は当該データベース業者が随時更新を行う場合において、それを利用する事業者に確認・記録義務は適用されますか。
- A13-18
データベース業者が自己の支配下で管理しているデータベースを単に参照する場合には、確認・記録義務は適用されません。
- Q13-19
本人以外の者(「当初の提供元」)から個人データの提供を受けた場合において、あらかじめ公表している利用目的の範囲内で、後日、当初の提供元に対して、同じ内容の個人データを提供するとき、確認・記録義務は適用されますか。
- A13-19
当初の提供の際に作成した記録の枠内であれば、改めて、確認・記録義務は適用されません。なお、当初に作成した記録の範囲内にとどまらず、実質的に新規の第三者提供と同視される場合は、確認・記録義務が適用されるものと考えられます。
- Q13-20
金融機関から債権の買取りを行うに際して、当該金融機関と守秘義務契約を締結して入札に参加する場合において、債権譲受候補者が当該金融機関から提供を受けた債務者データ(個人データ)を利用して譲渡対象債権のデューデリジェンスを行って入札価格を提示したものの、落札に至らなかったために、守秘義務契約に基づき当該データを速やかに削除する例においては、当該候補者は確認・記録義務を履行する必要がありますか。
- A13-20
かかる例においては、その提供の形態は実質的に委託又は事業承継に類似するものと認められ、また、提供者・受領者間において契約により提供の対象となる個人データを削除することとなっているものであり、その他確認・記録義務を課すべき特段の事情がないものといえ、当該候補者に確認・記録義務は適用されないものと考えられます。
- Q13-21
オプトアウトによる第三者提供について、確認・記録義務が適用されない場面はありますか。
- A13-21
ありません。
- 3-2 確認義務、記録義務
- Q13-22
第三者から個人データの提供を受ける際は、代表取締役の氏名を確認しなければなりませんか。
- A13-22
法第30条第1項第1号の「代表者」には、代表権を有する者の他、確認の対象となる第三者提供を業務として執行する権限を有している者も含まれます。
- Q13-23
「取得の経緯」を対面又は電話により口頭で確認する方法は認められますか。
- A13-23
口頭で申告を受ける方法も否定されませんが、法第20条第1項に抵触しないことが担保されるように、正確に確認し、法第30条第3項に基づき記録を作成しなければならない点に留意する必要があります。
- Q13-24
取得の経緯を確認する際に、本人が署名した同意書面を確認することをもって取得の経緯を確認し、その旨を記録する場合に、同時に本人の同意が有る旨の記録として取り扱ってもよいですか。
- A13-24
取得の経緯を確認・記録をする場合において、当該記録が「本人の同意を得ている旨」を含むものであるときは、施行規則第20条第1項第2号イの記録とすることもできます。
- Q13-25
記録を作成するに当たって、台帳のようなものを用意する必要はありますか。
- A13-25
既存の契約書などで記録事項を充たしている場合は、それらが記録として認められます。したがって、事業者は、別途、台帳のようなものを用意する必要はありませんが、保存義務を履行するために、明確にする必要があります。
- Q13-26
個人データを提供先にデータ伝送している場合、伝送日時、伝送先などのログを記録とすることはできますか。
- A13-26
ログを記録とすることは認められます。
- Q13-27
継続的に又は反復して個人データを授受することを内容とする基本契約書に加えて、当該基本契約書に付帯する資料などをあわせて、施行規則第19条第2項・第23条第2項に基づく記録とすることはできますか。
- A13-27
最初に基本契約書に記録を作成し、継続的に又は反復して個人データを授受する対象期間内に、随時、提供される個人データによって識別される本人の氏名に係る記録を、別途、当該基本契約書に付帯する資料などをもって作成する方法も認められるものと考えられます。
- Q13-28
「契約書その他の書面」(施行規則第19条第3項・第23条第3項)には、原本のみならず、写しも含まれますか。
- A13-28
「契約書その他の書面」には、原本のみならず、写しも含まれます。
- Q13-29
同意書をもって記録とする方法を採用する場合、代表者氏名以外については同意書により記録し、代表者氏名については有価証券報告書の記載箇所を記録として用いる又は補記する等の対応は可能ですか。
- A13-29
全体として一つの記録として保存されていれば、認められるものと考えられます。
- Q13-30
提供者にとって個人データに該当するが受領者にとって個人データでないため、提供者のみに記録義務が生じる場合においても、受領者が提供者の記録義務の全部又は一部を代行して行うことは妨げられないという理解でよいですか。
- A13-30
自身は確認・記録義務を負わない受領者が、提供者の記録義務を代行することはできるものと考えられます。
- Q13-31
代行により記録を作成する方法を採用する場合に、代行させる者(委託者)及び代行を行う者(受託者)との間では、契約書等において、代行させる旨の規定を置くことは必須ですか。
- A13-31
契約書等において、代行させる旨の規定を置くことは必須ではありません。
- Q13-32
確認・記録義務の履行のために個人データを保存する場合は、消去義務(法第22条)に違反しませんか。また、利用目的の特定・通知等をしなければなりませんか。
- A13-32
個人情報取扱事業者は、個人データを利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければなりませんが、確認・記録義務の履行のために個人データを保存する場合は、この限りではないものと考えられます。また、利用目的の特定・通知等は不要です。
- Q13-33
「同意の存在を明示的に又は黙示的に示す証跡等」には、マル1本人による同意する旨のホームページ上のボタンのクリックに係るシステムログ、②ホームページの構造上、個人情報を取得する直前に必ず本人による同意をする旨のホームページ上のボタンのクリックが必須となっていること(ボタンクリックによる同意を経なければ取得できない)は、該当しますか。
- A13-33
いずれも「同意の存在を明示的に又は黙示的に示す証跡等」に該当します。
- Q13-34
対象となる複数の本人の記録を一体として作成する際に、保存期間は個々の個人ごとに計算するものですか。
- A13-34
対象となる複数の本人の記録を一体として作成した場合も、保存期間は個々の個人ごとに計算することとなります。例えば、施行規則第19条第2項・第23条第2項に基づく記録を作成した場合は、個々の個人ごとに最後に当該記録に係る個人データの提供を行なった日から起算して3年を経過する日までの間が保存期間となります(施行規則第21条第2号・第25条第2号)。
- Q13-35
複数の対象者の個人データについて、毎週、同様の提供が行われることから、一つのファイルに翌月1日に前月の分を一括して記録を作成する方法により記録を作成している場合において、2018年1月に本人Xについて提供が行われ2018年2月1日に記録がなされ、2019年1月に本人Yについて提供が行われ、2019年2月1日に記録がなされた場合、X及びYについての保存期間はどのように考えられますか。
- A13-35
「記録を作成した日」が起算点となります。よって、Xについての記録の部分は、2021年2月1日まで、Yについての記録の部分は2022年2月1日までが保存期間となります。
- 4-1 仮名加工情報(令和3年9月追加)
- 4-1-1 定義
- Q14-1
匿名加工情報と仮名加工情報の違いは何ですか。
- A14-1
匿名加工情報は、特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたもの(法第2条第6項)です。「個人情報」(法第2条第1項)に該当せず、本人の同意を得ずに第三者に提供することが可能です(匿名加工情報の取扱いに係る義務等については、ガイドライン(仮名加工情報・匿名加工情報編)3-2参照)。
これに対し、仮名加工情報は、他の情報と照合しない限り特定の個人を識別できないように加工した個人に関する情報(法第2条第5項)であり、仮名加工情報を作成した個人情報取扱事業者においては、通常、当該仮名加工情報の作成の元となった個人情報や当該仮名加工情報に係る削除情報等を保有していると考えられることから、原則として「個人情報」(法第2条第1項)に該当するものです。変更前の利用目的と関連性を有すると合理的に認められる範囲を超える利用目的の変更が可能ですが(法第41条第9項)、原則として第三者への提供が禁止されています(法第41条第6項)(仮名加工情報の取扱いに係る義務等については、ガイドライン(仮名加工情報・匿名加工情報編)2-2参照)。
- Q14-2
個人情報である仮名加工情報と個人情報でない仮名加工情報とは何ですか。
- A14-2
仮名加工情報取扱事業者が、仮名加工情報の作成の元となった個人情報や当該仮名加工情報に係る削除情報等を保有している等により、当該仮名加工情報が「他の情報と容易に照合することができ、それにより特定の個人を識別することができる」状態にある場合には、当該仮名加工情報は、「個人情報」(法第2条第1項)に該当します。
これに対し、例えば、法第41条第6項又は第42条第1項若しくは第2項の規定により仮名加工情報の提供を受けた仮名加工情報取扱事業者において、当該仮名加工情報の作成の元となった個人情報や当該仮名加工情報に係る削除情報等を保有していない等により、当該仮名加工情報が「他の情報と容易に照合することができ、それにより特定の個人を識別することができる」状態にない場合には、当該仮名加工情報は、「個人情報」(法第2条第1項)に該当しません。
なお、仮名加工情報取扱事業者が遵守すべき個人情報である仮名加工情報の取扱いに関する義務等(ガイドライン(仮名加工情報・匿名加工情報編)2-2-3参照)と個人情報でない仮名加工情報の取扱いに関する義務等(ガイドライン(仮名加工情報・匿名加工情報編)2-2-4参照)は異なりますので、注意が必要です。
- 4-1-2 仮名加工情報の適正な加工
- Q14-3
法第41条第1項・施行規則第31条に定める基準に従わずに個人情報を加工したものを仮名加工情報として取り扱うことは認められますか。
- A14-3
仮名加工情報を作成するためには、法第41条第1項に基づき、施行規則第31条各号で定める基準に従い加工する必要があります。具体的には個別に判断されることとなりますが、これらの基準に従い加工が行われていない場合については、仮名加工情報に該当しないものと考えられます。
- Q14-4
個人情報を、安全管理措置の一環等としてマスキング等によって仮名化した場合、仮名加工情報として取り扱う必要がありますか。
- A14-4
仮名加工情報を作成するためには、仮名加工情報作成の意図を持って、法第41条第1項に基づき、施行規則第31条各号で定める基準に従い加工する必要があります。
したがって、仮名加工情報の加工基準に基づかずに、個人情報を安全管理措置の一環等としてマスキング等によって仮名化した場合には、仮名加工情報としては扱われません。また、客観的に仮名加工情報の加工基準に沿った加工がなされている場合であっても、引き続き個人情報の取扱いに係る規律が適用されるものとして取り扱う意図で加工された個人に関する情報については、仮名加工情報の取扱いに係る規律は適用されません。
- Q14-5
安全管理措置の一環等として、元の個人情報とは別に、元の個人情報から氏名等の一部の記述等を削除した情報を作成し、引き続き個人情報として取り扱っていますが、このように仮名化された個人情報から仮名加工情報を作成するためには、どのような措置を講ずる必要がありますか。
- A14-5
既に仮名化された個人情報について、施行規則第31条各号で定める基準を満たす加工がなされていない場合には、これを満たすよう更なる加工を行う必要があります(法第41条第1項)。
これに対して、既に仮名化された個人情報について、客観的に施行規則第31条各号で定める基準を満たす加工がなされている場合には、更なる加工を行うことなく仮名加工情報として取り扱うことが可能です。
ただし、この場合には、当該個人情報を仮名加工情報として取り扱うこととした時点から、仮名加工情報の取扱いに係る規律が適用されることになるため、注意が必要です(仮名加工情報の取扱いに係る規律については、ガイドライン(仮名加工情報・匿名加工情報編)2-2参照)。
なお、仮名加工情報(個人情報であるもの)、仮名加工情報である個人データ及び仮名加工情報である保有個人データについては、以下の規定が適用されないこととなります(法第41条第9項)。
- ・利用目的の変更の制限(法第17条第2項)
- ・漏えい等の報告及び本人通知(法第26条)
- ・保有個人データに関する事項の公表等、及び保有個人データの開示・訂正等・利用停止等への対応等(法第32条から第39条まで)
- Q14-6
要配慮個人情報を含む個人情報から仮名加工情報を作成することは認められますか。
- A14-6
法第2条第3項に定める要配慮個人情報を含む個人情報を加工して仮名加工情報を作成することも可能です。
- Q14-7
氏名や住所、年齢、性別などの記述が含まれていた場合は必ず全ての記述について削除等の措置が必要になりますか。
- A14-7
氏名のようにそれ単体で特定の個人を識別できるものについては措置が必要となりますが、住所、年齢、性別などのその組合せにより特定の個人を識別できるような記述については、その一部を削除等することにより特定の個人を識別できないようにすることも可能であると考えられます。
- Q14-8
施行規則第31条第3号の「不正に利用されることにより財産的被害が生じるおそれがある記述等」とはどのようなものですか。口座番号やクレジットカード番号の下4桁は削除する必要がありますか。
- A14-8
個別の事案ごとに判断されますが、口座番号それ自体やクレジットカード番号の下4桁それ自体が不正に利用されることにより直ちに財産的被害が生じるおそれがあるとはいえないと考えられますので、口座番号それ自体や、クレジットカード番号の下4桁それ自体については、施行規則第31条第3号における「不正に利用されることにより財産的被害が生じるおそれがある記述等」には該当しないと考えられます。
もっとも、口座番号やクレジットカード番号の下4桁についても、その部分を何らかの分析等に利用する必要性がないのであれば、削除又は置換することが望ましいと考えます。
- Q14-9
個人情報を加工して仮名加工情報を作成すること自体を、利用目的として特定する必要はありますか。
- A14-9
仮名加工情報への加工を行うこと自体を個人情報の利用目的として特定する必要はありません。
個人情報である仮名加工情報を作成した場合における当該仮名加工情報の利用目的や、当該利用目的の変更については、Q14-14、Q14-15を参照のこと。
- 4-1-3 削除情報等の安全管理措置
- Q14-10
施行規則第32条に定める基準に従って安全管理措置を講ずることが求められる削除情報等とはどのような情報ですか。
- A14-10
施行規則第32条の基準に従って安全管理措置を講ずることが求められる削除情報等には、個人情報を加工する過程で削除された記述等や個人識別符号のほか、それを用いて仮名加工情報の作成に用いられた個人情報を復元することができる加工の方法に関する情報が該当し、例えば、氏名を仮IDに置き換えた場合における置き換えアルゴリズムに用いられる乱数等のパラメータや氏名と仮IDの対応表などが考えられますが、「氏名を削除した」というような復元につながらない情報は該当しません。
- Q14-11
仮名加工情報が適切に加工されていることを伝えるために、それぞれの情報の項目をどのように加工したのかといった情報を仮名加工情報の取扱いについての委託先などに伝えることは可能ですか。
- A14-11
安全管理措置が必要となる削除情報等に該当する加工の方法に関する情報とは、その情報を用いることによって元の個人情報を復元することができるものです。したがって、例えば、住所を都道府県レベルに加工したことや、年齢を10歳刻みにしたことといった情報などについては、元の個人情報を復元できるものではなく、委託先などに伝えることも可能です。
- Q14-12
委託契約により委託先の事業者において仮名加工情報を作成した場合、削除情報等を委託元と共有することはできますか。
- A14-12
個人情報を提供して仮名加工情報の作成を委託した場合においては、委託元と委託先が共同して作成したものとして、削除情報等を共有することは可能です。ただし、削除情報等を取り扱う者の権限を委託元においても明確に定めるなど、委託元も含め施行規則第32条に定める基準に従って適切な安全管理措置を講じる必要があります。
- Q14-13
仮名加工情報の削除情報等が漏えいした場合、どのような対応が必要となりますか。
- A14-13
個別の事例ごとに判断する必要がありますが、氏名と仮IDの対応表等、それを用いて元の個人情報を復元することのできる削除情報等が漏えいした場合には、削除情報等の安全管理措置を講ずる義務(法第41条第2項)や仮名加工情報である個人データの安全管理措置を講ずる義務(法第23条)の履行の観点から、原則として、当該仮名加工情報に含まれる仮IDを振り直すこと等により仮名加工情報を新たに作り直す等の措置を講じることが必要となります。
また、削除情報等が個人データに該当する場合において、当該削除情報等が漏えいし、それが法第26条の要件を満たす場合には、同条に基づく報告及び本人通知が必要となります。
- 4-1-4 仮名加工情報の利用目的の制限・公表
- Q14-14
法第41条第3項において「第17条第1項の規定により特定された利用目的」とありますが、個人情報取扱事業者が個人情報を加工して仮名加工情報を作成した場合、当該仮名加工情報の利用目的はどのように特定されますか。
- A14-14
仮名加工情報(個人情報であるもの。以下本項において同じ。)を作成したときは、作成の元となった個人情報に関して法第17条第1項の規定により特定された利用目的(当該個人情報について法第17条第2項に定める範囲で利用目的が変更された場合の変更後の利用目的を含む。)が、当該仮名加工情報の利用目的として引き継がれます。
また、仮名加工情報については、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えた利用目的の変更が可能であるところ(法第41条第9項)、利用目的を変更した場合には、変更後の利用目的をできる限り特定した上で、原則として、変更後の利用目的を公表する必要があります(法第17条第1項、第41条第4項において読み替えて適用される法第21条第3項、同条第4項)。
- Q14-15
個人情報を加工して仮名加工情報を作成した場合、仮名加工情報の利用目的を公表する必要がありますか。また、仮名加工情報の利用目的を変更した場合はどうですか。
- A14-15
個人情報である仮名加工情報を取得した場合には、あらかじめその利用目的を公表している場合を除き、原則として、速やかにその利用目的を公表する必要があります(法第41条第4項により読み替えて適用される法第21条第1項、同条第4項)。もっとも、個人情報取扱事業者が、自らが保有する個人情報の一部を削除する等の加工を行って仮名加工情報を作成した場合は、ここでいう個人情報である仮名加工情報の「取得」に該当しないため、仮名加工情報を作成した時点で仮名加工情報の利用目的を公表する必要はありません。
なお、この場合、作成の元となった個人情報に関して法第17条第1項の規定により特定された利用目的(当該個人情報について法第17条第2項に定める範囲で利用目的が変更された場合の変更後の利用目的を含む。)が、当該仮名加工情報の利用目的として引き継がれます。
他方、個人情報である仮名加工情報について、利用目的を変更した場合には、変更後の利用目的をできる限り特定した上で、原則として、変更後の利用目的を公表する必要があります(法第41条第4項により読み替えて適用される法第21条第3項、同条第4項)。
なお、変更後の利用目的の公表に際しては、それが仮名加工情報に係るものであることを明確にする必要があります。
- Q14-16
仮名加工情報に含まれる情報の項目を公表する必要はありますか。
- A14-16
仮名加工情報に含まれる情報の項目を公表することは求められません。
- 4-1-5 仮名加工情報の第三者提供の禁止
- Q14-17
仮名加工情報を第三者に提供することはできますか。仮名加工情報を作成する前に、本人から同意を得ていた場合はどうですか。
- A14-17
仮名加工情報(個人情報であるもの)、仮名加工情報である個人データ及び仮名加工情報である保有個人データについては、通常の個人情報、個人データ及び保有個人データと異なり、以下の規定が適用されないこととなります(法第41条第9項)。
- 利用目的の変更の制限(法第17条第2項)
- 漏えい等の報告及び本人通知(法第26条)
- 保有個人データに関する事項の公表等、及び保有個人データの開示・訂正等・利用停止等への対応等(法第32条から第39条まで)
これらの例外は、仮名加工情報が、加工によりそれ自体では特定の個人を識別できない状態になっており、事業者内部で本人と紐づくことなく利用されるのであれば、個人の権利利益が侵害されるリスクが相当程度低減されることを踏まえたものです。
他方で、仮名加工情報の第三者提供を認める場合、以下のような弊害が考えられます。
- 仮名加工情報を取得した悪意者により識別行為が行われるおそれがあり、個人の権利利益が侵害されるリスクを高めること
- 漏えい等発生時におけるリスクの低下を図るため、それ単体では特定の個人を識別することができないように加工しているにもかかわらず、第三者提供について本人に関与させるためには、あえて加工前の個人情報を復元し、特定の個人を識別することが必要となるため、むしろ漏えい等発生時におけるリスクを高めること
以上を踏まえ、仮名加工情報は、法令に基づく場合を除くほか、第三者提供は認められません(法第41条第6項、第42条第1項)。これは、仮名加工情報を作成する前に本人の同意を得ていた場合であっても、同様です。
ただし、委託、事業承継、又は共同利用の場合には、提供元の仮名加工情報取扱事業者と提供先の事業者を一体として取り扱うことに合理性があるため、仮名加工情報を提供することは可能です(法第41条第6項により読み替えて適用される法第27条第5項各号、法第42条第2項により読み替えて準用される法第27条第5項各号)。
なお、仮名加工情報の作成の元となった個人データについては、本人の事前の同意を得て第三者提供することは可能です。
- Q14-18
仮名加工情報である個人データを共同利用により提供することは可能ですか。可能である場合、どのような手続を実施する必要がありますか。
- A14-18
仮名加工情報を共同利用により第三者に提供することは可能です(法第41条第6項により読み替えて適用される法第27条第5項第3号、法第42条第2項により読み替えて準用される法第27条第5項第3号)。
この場合、仮名加工情報である個人データの提供に先立って、マル1仮名加工情報である個人データを共同利用する旨、②共同して利用される仮名加工情報である個人データの項目、③共同して利用する者の範囲、④利用する者の利用目的、⑤当該仮名加工情報である個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名を公表する必要があります。
共同利用を実施する場合に、あらかじめ事業者間で取り決めておくことが望ましい事項については、ガイドライン(仮名加工情報・匿名加工情報編)2-2-3-3(3)(※3)を参照のこと。
- 4-1-6 本人への連絡等の禁止
- Q14-19
法第41条第8項おける「電磁的方法」とは、どのような方法をいいますか。例えば、いわゆるSNS(ソーシャル・ネットワーキング・サービス)のメッセージ機能によりメッセージを送信する方法はこれに該当しますか。
- A14-19
法第41条第8項における「電磁的方法」とは、マル1から③までのいずれかの方法をいいます。
- マル1いわゆるショートメールを送信する方法(他人に委託して行う場合も含む。)(施行規則第33条第1号)
- ②電子メールを送信する方法(他人に委託して行う場合を含む。)(施行規則第33条第2号)
- ③上記②のほか、その受信をする者を特定して情報を伝達するために用いられる電気通信(電気通信事業法(昭和59年法律第86号)第2条第1号に規定する電気通信をいう。)を送信する方法(他人に委託して行う場合を含む。)(施行規則第33条第3号)
例:いわゆるSNS(ソーシャル・ネットワーキング・サービス)のメッセージ機能によりメッセージを送信する方法、CookieIDを用いて受信する者を特定した上で、当該受信者に対して固有の内容のインターネット広告を表示する方法
- Q14-20
仮名加工情報を用いて分析を行い、統計情報を作成した上で、当該統計情報により得られた傾向等を踏まえて、当該仮名加工情報の作成の元となった個人情報を用いて広告配信を行うことはできますか。
- A14-20
可能です。ただし、広告配信を行うことが、加工前の個人情報について特定された利用目的の範囲内である必要があります。利用目的の達成に必要な範囲を超える利用は、原則として事前に本人の同意が必要となります(法第18条第1項・第3項)。
- 4-1-7 識別行為の禁止
- Q14-21
委託により仮名加工情報を取り扱っていたところ、偶然に当該仮名加工情報の作成の元となった個人情報の本人を識別してしまった場合にも識別行為の禁止義務に違反しますか。
- A14-21
法第41条第7項及び法第42条第3項により準用される法第41条第7項に定めるように、仮名加工情報の作成の元となった個人情報の本人を識別するために他の情報と照合しているとはいえない場合は、直ちに識別行為の禁止義務に違反するものではないと考えられますが、再度同じような形で個人を識別することがないようにする必要があります。
もっとも、取り扱う仮名加工情報に記述等を付加して特定の個人を識別する状態となった場合には、個人情報の不適正な取得となりますので、当該情報を速やかに削除することが望ましいと考えられます。
- 4-2 匿名加工情報
- 4-2-1 定義
- Q15-1
個人情報から作成した統計情報についても匿名加工情報に該当しますか。
- A15-1
ガイドライン(仮名加工情報・匿名加工情報編)3-1にもあるように、統計情報は、複数人の情報から共通要素に係る項目を抽出して同じ分類ごとに集計して得られるデータであり、集団の傾向又は性質などを数量的に示すのみで特定の個人との対応関係が排斥されている限りにおいては、「個人に関する情報」に該当するものではないため、個人情報保護法の対象外となります。一方、特定の個人が識別できる情報であれば、個人情報に該当することとなりますので留意が必要です。
- Q15-2
統計情報と匿名加工情報の違いは何ですか。
- A15-2
統計情報は、複数人の情報から共通要素に係る項目を抽出して同じ分類ごとに集計等して得られる情報であり、一般に、特定の個人との対応関係が排斥されているため、「個人情報」に該当しないものです。他方、匿名加工情報は、法第43条第1項に基づき、施行規則第34条各号で定める基準に従い加工したものであり、例えば、ある一人の人物の購買履歴や移動履歴等の情報など、個人単位の「個人に関する情報」を含むものです。
(平成30年7月追加) - Q15-3
匿名加工情報を作成する途中の情報など十分な加工がされていない情報はどのように取り扱えばよいですか。
- A15-3
匿名加工情報を作成するために個人情報を加工する作業を行っている途上であるものは、加工が不十分である場合には、特定の個人を識別することができる、又は元の個人情報が復元できる状態にある可能性があることから、原則として個人情報として取り扱うことが適当であると考えられます。
- Q15-4
匿名加工情報として提供を受けたものの、加工が不十分な情報であった場合にはどのように取り扱えばよいですか。
- A15-4
匿名加工情報として提供を受けたものの、加工が不十分な情報であるために匿名加工情報に該当しないと判明した場合は速やかに当該情報を削除することが望ましいと考えられます。
- 4-2-2 匿名加工情報の適正な加工
- Q15-5
法第43条第1項に定める基準に従わずに個人情報を加工したものを匿名加工情報として取り扱うことは認められますか。
- A15-5
匿名加工情報を作成するためには、法第43条第1項に基づき、施行規則第34条各号で定める基準に従い加工する必要があります。具体的には個別に判断されることとなりますが、これらの基準に従い加工が行われていない場合については、匿名加工情報に該当しないものと考えられます。
- Q15-6
個人情報を、安全管理措置の一環等としてマスキング等によって匿名化した場合、匿名加工情報として取り扱う必要がありますか。
- A15-6
匿名加工情報を作成するためには、匿名加工情報作成の意図を持って、法第43条第1項に基づき、施行規則第34条各号で定める基準に従い加工する必要があります。
したがって、匿名加工情報の加工基準に基づかずに、個人情報を安全管理措置の一環等としてマスキング等によって匿名化した場合には、匿名加工情報としては扱われません。また、客観的に匿名加工情報の加工基準に沿った加工がなされている場合であっても、引き続き個人情報の取扱いに係る規律が適用されるものとして取り扱う意図で加工された個人に関する情報については、匿名加工情報の取扱いに係る規律は適用されません。
(令和3年9月更新) - Q15-7
個人情報を加工して匿名加工情報を作成する場合についても、利用目的として特定する必要はありますか。
- A15-7
利用目的の特定は個人情報が対象であるため、個人情報に該当しない匿名加工情報は対象となりません。また、匿名加工情報への加工を行うこと自体を利用目的とする必要はありません。
(平成30年7月追加) - Q15-8
匿名加工情報を作成するときに施行規則第34条各号に定める基準で求められている措置を全て行う必要がありますか。
- A15-8
匿名加工情報を作成するためには、法第43条第1項に基づき、施行規則第34条各号で定める基準に従い加工する必要がありますが、各号に定める措置を選択的に講ずればよいものではなく、各号全ての措置を行う必要があります(ただし、該当する情報がない場合は当該措置を講じる必要はありません)。なお、プライバシー保護等の観点から追加的に措置を講じていただくことを妨げるものではありません。
- Q15-9
提供を受けた匿名加工情報を再度加工する場合は匿名加工情報の作成に該当しますか。
- A15-9
匿名加工情報は個人情報を加工して作成するものであり、匿名加工情報を再加工することは新たな別の匿名加工情報の作成には当たるものではないと考えられます。
なお、一般的には、加工をした情報と元の匿名加工情報との対応関係が一定程度認められる場合には、同一の匿名加工情報として扱うことが適当であると考えられます。
また、匿名加工情報としての取扱いが引き続き求められる場合には、第三者への提供時には当該匿名加工情報に含まれる個人に関する情報の項目及び提供方法を公表する必要があります。
- Q15-10
要配慮個人情報を加工して匿名加工情報を作成することはできますか。
- A15-10
法第2条第3項に定める要配慮個人情報を含む個人情報を加工して匿名加工情報を作成することも可能です。
- Q15-11
氏名や住所、年齢、性別などの記述が含まれていた場合は必ず全ての記述について削除等の措置が必要になりますか。
- A15-11
氏名のようにそれ単体で特定の個人を識別できるものについては措置が必要となりますが、住所、年齢、性別などのその組合せにより特定の個人を識別できるような記述については、その一部を削除等することにより特定の個人を識別できないようにすることも可能であると考えられます。
- Q15-12
施行規則第34条第5号において、「個人情報に含まれる記述等と当該個人情報を含む個人情報データベース等を構成する他の個人情報に含まれる記述等との差異その他の当該個人情報データベース等の性質を勘案し」とありますが、ここでの「当該個人情報を含む個人情報データベース等」については、事業者が保有する個人情報データベース等全体を勘案する必要がありますか。
- A15-12
ここでの「当該個人情報を含む個人情報データベース等」とは、当該個人情報取扱事業者が匿名加工情報を作成する際に加工対象とする個人情報データベース等を想定しています。すなわち、 加工対象とならない個人情報を含む全ての個人情報データベース等の性質を勘案することを求めるものではありません。
(令和3年9月更新) - Q15-13
個人情報である仮名加工情報を加工して、匿名加工情報を作成することはできますか。
- A15-13
匿名加工情報を作成するためには、匿名加工情報作成の意図を持って、法第43条第1項に基づき、施行規則第34条各号で定める基準に従って個人情報を加工する必要がありますが、これらの要件を満たす限り、個人情報である仮名加工情報を加工して匿名加工情報を作成することは可能です。
(令和3年9月追加) - Q15-14
匿名加工情報を作成する過程において氏名等を仮IDに置き換えた場合における氏名と仮IDの対応表は、匿名加工情報の作成後は破棄する必要がありますか。また、氏名等の仮IDへの置き換えに用いた置き換えアルゴリズムに用いられる乱数等のパラメータについてはどうですか。
- A15-14
匿名加工情報の作成の過程において、氏名等を仮IDに置き換えた場合における氏名と仮IDの対応表は、匿名加工情報と容易に照合することができ、それにより匿名加工情報の作成の元となった個人情報の本人を識別することができるものであることから、匿名加工情報の作成後は破棄する必要があります。
また、匿名加工情報を作成した個人情報取扱事業者が、氏名等を仮IDに置き換えるために用いた置き換えアルゴリズムと乱数等のパラメータの組み合わせを保有している場合には、当該置き換えアルゴリズム及び当該乱数等のパラメータを用いて再度同じ置き換えを行うことによって、匿名加工情報とその作成の元となった個人情報とを容易に照合でき、それにより匿名加工情報の作成の元となった個人情報の本人を識別することができることから、匿名加工情報の作成後は、当該パラメータを破棄する必要があります。
(令和3年9月更新) - 4-2-3 匿名加工情報等の安全管理措置等
- Q15-15
施行規則第35条に定める基準に従って安全管理措置を講ずることが求められる加工方法等情報とはどのような情報ですか。年齢のデータを10歳刻みのデータに置き換えた」という情報はこれに該当しますか。
- A15-15
施行規則第35条に定める基準に従って安全管理措置を講ずることが求められる加工方法等情報には、個人情報を加工する過程で削除された記述等や個人識別符号のほか、それを用いて匿名加工情報の作成に用いられた個人情報を復元することができる加工の方法に関する情報が該当しますが、「年齢のデータを10歳刻みのデータに置き換えた」というような復元につながらない情報は該当しません。
(令和3年9月更新) - Q15-16
匿名加工情報が適切に加工されていることを伝えるために、それぞれの情報の項目をどのように加工したのかといった情報を匿名加工情報の提供先などに伝えることは可能ですか。
- A15-16
安全管理措置が必要となる加工方法等情報には、その情報を用いることによって元の個人情報を復元することができるものが該当します。したがって、例えば、年齢を10歳刻みにしたことや商品名をどのカテゴリにまとめたといった情報などについては、元の個人情報を復元できるものではなく、提供先に伝えることも可能です。
- Q15-17
委託契約により委託先の事業者において匿名加工情報を作成した場合、加工方法等情報を委託元と共有することはできますか。
- A15-17
個人情報を提供して匿名加工情報の作成を委託した場合等においては、委託元と委託先が共同して作成したものとして、加工方法等情報を共有することは可能です。ただし、加工方法等情報を取り扱う者の権限を委託元においても明確に定めるなど、委託元も含め施行規則第35条に従って適切な安全管理措置を講じる必要があります。
- Q15-18
匿名加工情報の作成の委託を複数の会社から受けることは可能ですか。その場合、どのようなことに留意する必要がありますか。
- A15-18
複数の会社から匿名加工情報の作成の委託を受けることは可能です。ただし、委託を受けた各個人情報の取扱い及び匿名加工情報の作成については、各委託者の指示に基づきその範囲内で独立した形で行う必要があります。異なる委託者から委託された個人情報を突合したり、組み合わせたりすることはできません。
(令和3年9月更新) - Q15-19
委託に伴って提供された個人データを、委託先が自社のために匿名加工情報に加工した上で利用することはできますか。
- A15-19
委託先は、委託(法第27条第5項第1号)に伴って委託元から提供された個人データを、委託された業務の範囲内でのみ取り扱わなければなりません。委託先が当該個人データを匿名加工情報に加工することが委託された業務の範囲内である場合には、委託先は当該加工を行うことができますが、委託された業務の範囲外で委託先が当該加工を行い、作成された匿名加工情報を自社のために用いることはできません。
(令和2年9月追加) - 4-2-4 匿名加工情報の作成時の公表、匿名加工情報の第三者提供
- Q15-20
プライバシーポリシーに、取得した個人情報に含まれる個人に関する情報の項目を明示するとともに、「取得した個人情報から匿名加工情報を作成することがあります」といった趣旨の記載をして公表する場合は、当該記載をもって作成時及び第三者提供時の公表を履行したことになりますか。
- A15-20
匿名加工情報に含まれる個人に関する情報の項目の公表は、「作成したとき」又は「提供したとき」に行うことが求められるものであり、実際に匿名加工情報に含まれる個人に関する情報の項目が分かるようにする必要があります。したがって、事前にプライバシーポリシーに包括的な記載を掲載するだけでは当該義務を履行したものとは考えられません。
- Q15-21
作成した匿名加工情報に購買履歴が含まれる場合、個人に関する情報の項目として、商品名まで公表する必要がありますか。
- A15-21
匿名加工情報に購買履歴が含まれる場合において、当該匿名加工情報の作成時の公表や第三者提供時の公表については、具体的な商品名の公表まで必要はなく、ガイドライン(仮名加工情報・匿名加工情報編)3-2-4、3-2-5にあるように、「購買履歴」等の情報の項目を公表することで足ります。
- Q15-22
含まれる情報の項目が同じ匿名加工情報を継続的に作成する場合、その都度匿名加工情報に含まれる個人に関する情報の項目等を公表する必要がありますか。
- A15-22
ガイドライン(仮名加工情報・匿名加工情報編)3-2-4にあるように、個人に関する情報の項目が同じである匿名加工情報を同じ手法により反復・継続的に作成する場合には、最初の匿名加工情報を作成して個人に関する項目を公表する際に、作成期間又は継続的な作成を予定している旨を明記するなど継続的に作成されることとなる旨を明らかにしておくことにより、包括的に公表を行うことが可能です。
- Q15-23
匿名加工情報の作成時の公表において、当該匿名加工情報の利用目的についても公表する必要がありますか。
- A15-23
法第43条第3項においては、匿名加工情報を作成したときは、個人に関する情報の項目を公表しなければならないとされていますが、利用目的の公表は求められていません。
- Q15-24
匿名加工情報を作成する際に元の個人情報に含まれるある項目の情報の全てを削除した場合、あるいは、その全てを置き換えた場合に、その項目について、匿名加工情報を作成したとき、あるいは、第三者に提供したときに公表する必要はありますか。
- A15-24
匿名加工情報を作成する際に、元の個人情報に含まれるある項目について、その情報の全てを削除あるいは置き換えた場合には、匿名加工情報の作成あるいは第三者提供の際の公表事項として当該項目を含める必要はありません。
(平成30年7月追加) - Q15-25
匿名加工情報を作成した際に公表する個人に関する情報の項目の一部を「等」として省略することはできますか。また、「個人に関する情報の項目」の分類をどの程度、細かくする必要がありますか。まとめることは可能ですか。
- A15-25
匿名加工情報を作成したときは、匿名加工情報に含まれる「個人に関する情報の項目」を公表する必要があります。公表される匿名加工情報に含まれる「個人に関する情報の項目」を省略することはできません。
また、「個人に関する情報の項目」は、どのような情報が匿名加工情報に含まれているか、一般的かつ合理的に想定できる程度に分類する必要があります。その範囲であれば、「購買履歴」等とまとめた形で項目を示すことも考えられます。
(平成30年7月追加) - Q15-26
匿名加工情報の第三者提供時の公表において、当該匿名加工情報の提供先名や利用目的についても公表する必要がありますか。
- A15-26
法第43条第4項及び第44条における第三者提供時の公表に関しては、提供先名及び利用目的の公表は求められていません。
- Q15-27
法第43条第3項の匿名加工情報作成時の情報の項目に関する公表と同条第4項の公表を同時に行うことはできますか。
- A15-27
匿名加工情報の作成時の公表については、匿名加工情報を作成した後、遅滞なく行うこととされており、また第三者提供時の公表については提供に当たってあらかじめ公表することとされています。したがって、個人情報取扱事業者が、匿名加工情報を第三者に提供することを前提として当該情報を作成し直ちに第三者提供をしようとする場合には、匿名加工情報の作成時の公表と第三者提供時の公表が結果的に同時に行われる場合もあり得ると考えられます。
- Q15-28
個人情報を提供して、匿名加工情報の作成を委託した場合、依頼する委託元事業者とこれを受けた委託先事業者のどちらに法第43条の規定が適用されますか。
- A15-28
個人情報を提供して匿名加工情報の作成を委託した場合には、匿名加工情報の作成は委託先事業者において行われることになりますが、匿名加工情報の作成は委託元事業者と委託先事業者が共同で行っているものと解されますので、法第43条の規定は委託元事業者と委託先事業者の双方に課せられると考えられます。ただし、匿名加工情報の作成時の公表については、施行規則第36条第2項により委託元事業者において行うものとされ、委託先においての公表は必要ありません。
- 4-2-5 識別行為の禁止
- Q15-29
匿名加工情報を取り扱っていたところ、偶然に当該匿名加工情報の作成の元となった個人情報の本人を識別してしまった場合にも識別行為の禁止義務に違反しますか。
- A15-29
法第43条第5項又は第45条に定めるように、匿名加工情報の作成の元となった個人情報の本人を識別するために他の情報と照合しているとはいえない場合は、直ちに識別行為の禁止義務に違反するものではないと考えられますが、再度同じような形で個人を識別することがないようにする必要があります。
もっとも、取り扱う匿名加工情報に記述等を付加して特定の個人を識別する状態となった場合には、個人情報の不適正な取得となりますので、当該情報を速やかに削除することが望ましいと考えられます。
(令和3年9月更新) - Q15-30
匿名加工情報や加工に関する方法の安全性の検証のために元となる個人情報と匿名加工情報を照合させることはできますか。
- A15-30
匿名加工情報に関しては、法第43条第5項及び第45条において、元となった個人情報に係る本人を識別するために、当該匿名加工情報を他の情報と照合してはならないとされています。匿名加工情報や加工に関する方法の安全性の検証のために他の情報と照合する行為は「当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために・・・照合」という要件に該当するかどうかという観点から個別に判断されるべきものと考えますが、仮にこの要件に該当しない範囲において法第43条第6項に定める匿名加工情報の安全管理措置の一環等で適切に行われる場合があれば識別禁止義務に違反しないものとなり得ると考えられます。
(令和3年9月更新) -
- Q16-1
ガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編、仮名加工情報・匿名加工情報編及び認定個人情報保護団体編)以外に、事業者等が遵守すべきガイドライン等はありますか。
- A16-1
従来、関係省庁が作成していたガイドラインのうち個人情報保護法に関するものは、平成27年改正の施行(平成29年5月30日)をもって、原則として個人情報保護委員会が作成したガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)に一元化されました。
ただし、医療関連・金融関連・情報通信関連分野等については、個人情報の性質及び利用方法並びに従来の規律の特殊性を踏まえて、個人情報保護委員会が作成したガイドラインを基礎としつつ、追加的に、当該分野においてさらに必要となるガイドライン等が定められるため、これも遵守する必要があります。当該追加的なガイドライン等については、個人情報保護委員会のホームページを参照してください。
また、認定個人情報保護団体の対象事業者は、当該団体が作成する個人情報保護指針を遵守することが必要です。なお、事業者団体等が事業の実態及び特性を踏まえて自主的ルールを作成している場合もありますのであわせてご確認ください。
なお、令和4年4月1日からは、ガイドライン(認定個人情報保護団体編)が新たに施行されました。
このほか、令和3年改正の全面施行(令和5年4月1日)以降、法第58条及び第125条の規定により、法第4章及び法第5章の規定の適用の特例を受ける法別表第2に掲げる法人や行政機関等が参照すべきガイドライン等については、Q16-2を参照してください。
(令和4年4月更新) - Q16-2
令和3年改正法の全面施行(令和5年4月1日)以降、法第58条及び第125条の規定により、法第4章及び法第5章の規定の適用の特例を受ける個人情報取扱事業者等や行政機関等が遵守すべきガイドライン等はありますか。
- A16-2
個人情報取扱事業者又は匿名加工情報取扱事業者のうち、マル1法別表第2に掲げる法人、②地方独立行政法人のうち、試験研究を行うこと等を主たる目的とするもの、大学等の設置及び管理等を目的とするもの並びに病院事業の経営を目的とするものについては、法第 58 条第1項の定めにより、法第4章の規定のうち、第 32 条から第 39 条まで及び同章第4節(第 43 条から第 46 条まで)の規定の適用が無い一方で、法第 125 条第2項の定めにより、その個人情報又は匿名加工情報の取扱いについて、独立行政法人等と、地方独立行政法人による個人情報又は匿名加工情報の取扱いとそれぞれみなして、法第5章第1節(第 60 条)、第 75 条、同章第4節(第 76 条から第 108 条まで)及び第5節(第 109 条から第 123 条まで)、第124 条第2項、第 127 条並びに第6章から第8章まで(第 176 条、第 180 条及び第 181 条を除く。)の規定が適用されます。
また、マル1地方公共団体の機関が行う業務のうち病院及び診療所並びに大学の運営の業務、②独立行政法人労働者健康安全機構が行う病院の運営の業務における個人情報、仮名加工情報又は個人関連情報の取扱いについては、法第 58 条第2項の定めにより、個人情報取扱事業者、仮名加工情報取扱事業者又は個人関連情報取扱事業者による個人情報、仮名加工情報又は個人関連情報の取扱いとみなして、法第4章(第 32 条から第 39 条まで及び第4節(第 43 条から第 46 条まで)を除く。)及び第6章から第8章までの規定が適用される一方で、法第 125 条第1項の定めにより、法第5章(第1節(第 60 条)、第 66条第2項(第4号及び第5号(同項第4号に係る部分に限る。)に係る部分に限る。)において準用する同条第1項、第 75 条、第4節(第 76 条から第 108 条まで)及び第5節(第109 条から第 123 条まで)、第 124 条第2項並びに第 127 条を除く。)の規定、第 176 条及び第 180 条の規定(これらの規定のうち第 66 条第2項第4号及び第5号(同項第4号に係る部分に限る。)に定める業務に係る部分を除く。)並びに第 181 条の規定は適用されません。
これらの法人等においては、ガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編、仮名加工情報・匿名加工情報編及び認定個人情報保護団体編)の関係する条項に係る部分のほか、ガイドライン(行政機関等編)、事務対応ガイド(行政機関等向け)及びQ&A(行政機関等編)の関係する条項に係る部分についても参照してください。
(令和5年3月更新)(参考)各法人・業務と法第4章・第5章の適用関係
法第4章 法第5章 - マル1法別表第2に掲げる法人(法第2条第 11 項により、同項第3号の「独立行政法人等」からは除外。)
- ②地方独立行政法人のうち、試験研究を行うこと等を主たる目的とするもの、大学等の設置及び管理等を目的とするもの並びに病院事業の経営を目的とするもの
個人情報取扱事業者又は匿名加工情報取扱事業者として、以下の規定を除く規定の適用がある。
- 第32条から第39条まで
- 第4節(第43条から第46条まで)
独立行政法人等、地方独立行政法人とそれぞれみなして、以下の規定の適用がある。
- 第1節(第60条)
- 第75条
- 第4節(第76条から第108条まで)
- 第5節(第109条から第123条まで)
- 第124条第2項
- 第127条
※第66条第2項(第3号及び第5号)は、直接適用される。
- マル1地方公共団体の機関が行う業務のうち病院及び診療所並びに大学の運営の業務
- ②独立行政法人労働者健康安全機構が行う病院の運営の業務(法第2条第 11 項第3号の「独立行政法人等」に該当。)
個人情報取扱事業者、仮名加工情報取扱事業者又は個人関連情報取扱事業者とみなして、以下の規定を除く規定の適用がある。 - 第32条から第39条まで
- 第4節(第43条から第46条まで)
以下の規定の適用がある。 - 第1節(第60条)
- 第66条第1項(同条第2項において準用する場合(第4号及び第5号関係))
- 第75条
- 第4節(第76条から第108条まで)
- 第5節(第109条から第123条まで)
- 第124条第2項
- 第127条
(令和4年4月追加・令和5年3月更新)
1-8 個人関連情報の第三者提供の制限等(法第31条関係)(令和3年9月追加)
1-9 保有個人データに関する事項の公表等、保有個人データの開示・訂正等・利用停止等(法第32条~第39条関係)、個人情報の取扱いに関する苦情処理(法第40条関係)
1-10 講ずべき安全管理措置の内容
1-11 その他
2 ガイドライン(外国にある第三者への提供編)
3 ガイドライン(第三者提供時の確認・記録義務編)
4 ガイドライン(仮名加工情報・匿名加工情報編)
5 その他