平成28年11月
(令和6年12月一部改正)
個人情報保護委員会
[ PDF版 (PDF : 3059KB) |新旧対照表 (PDF : 433KB) ]
目次
- 1目的及び適用対象
- 2定義
- 2-1個人情報(法第2条第1項関係)
- 2-2個人識別符号(法第2条第2項関係)
- 2-3要配慮個人情報(法第2条第3項関係)
- 2-4個人情報データベース等(法第16条第1項関係)
- 2-5個人情報取扱事業者(法第16条第2項・法第2条第9項、第10項、第11項・法別表第2関係)
- 2-6個人データ(法第16条第3項関係)
- 2-7保有個人データ(法第16条第4項関係)
- 2-8個人関連情報(法第2条第7項関係)
- 2-9個人関連情報取扱事業者(法第16条第7項関係)
- 2-10仮名加工情報(法第2条第5項関係)
- 2-11仮名加工情報取扱事業者(法第16条第5項関係)
- 2-12匿名加工情報(法第2条第6項関係)
- 2-13匿名加工情報取扱事業者(法第16条第6項関係)
- 2-14「本人に通知」
- 2-15「公表」
- 2-16「本人の同意」
- 2-17「提供」
- 2-18学術研究機関等(法第16条第8項関係)
- 2-19「学術研究目的」
- 3 個人情報取扱事業者等の義務
- 3-1個人情報の利用目的(法第17条・第18条、第21条第3項関係)
- 3-1-1 利用目的の特定(法第17条第1項関係)
- 3-1-2 利用目的の変更(法第17条第2項、第21条第3項関係)
- 3-1-3 利用目的による制限(法第18条第1項関係)
- 3-1-4 事業の承継(法第18条第2項関係)
- 3-1-5 利用目的による制限の例外(法第18条第3項関係)
- 3-2不適正利用の禁止(法第19条関係)
- 3-3個人情報の取得(法第20条・第21条関係)
- 3-3-1 適正取得(法第20条第1項関係)
- 3-3-2 要配慮個人情報の取得(法第20条第2項関係)
- 3-3-3 利用目的の通知又は公表(法第21条第1項関係)
- 3-3-4 直接書面等による取得(法第21条第2項関係)
- 3-3-5 利用目的の通知等をしなくてよい場合(法第21条第4項関係)
- 3-4個人データの管理(法第22条~第25条関係)
- 3-4-1 データ内容の正確性の確保等(法第22条関係)
- 3-4-2 安全管理措置(法第23条関係)
- 3-4-3 従業者の監督(法第24条関係)
- 3-4-4 委託先の監督(法第25条関係)
- 3-5個人データの漏えい等の報告等(法第26条関係)
- 3-5-1 「個人データ」の「漏えい等」の考え方
- 3-5-2 漏えい等事案が発覚した場合に講ずべき措置
- 3-5-3 個人情報保護委員会への報告(法第26条第1項関係)
- 3-5-4 本人への通知(法第26条第2項関係)
- 3-6個人データの第三者への提供(法第27条~第30条関係)
- 3-6-1 第三者提供の制限の原則(法第27条第1項関係)
- 3-6-2 オプトアウトによる第三者提供(法第27条第2項~第4項関係)
- 3-6-3 第三者に該当しない場合(法第27条第5項・第6項関係)
- 3-6-4 外国にある第三者への提供の制限(法第28条関係)
- 3-6-5 第三者提供に係る記録の作成等(法第29条関係)
- 3-6-6 第三者提供を受ける際の確認等(法第30条関係)
- 3-7個人関連情報の第三者提供の制限等(法第31条関係)
- 3-7-1 法第31条の適用の有無について
- 3-7-2 本人の同意の取得方法
- 3-7-3 本人の同意等の確認の方法(法第31条第1項関係)
- 3-7-4 提供元における記録義務(法第31条第3項、第30条第3項関係)
- 3-7-5 提供先の第三者における確認義務(法第30条第1項)
- 3-7-6 提供先の第三者における記録義務(法第30条第3項関係)
- 3-8保有個人データに関する事項の公表等、保有個人データの開示・訂正等・利用停止等(法第32条~第39条関係)
- 3-8-1 保有個人データに関する事項の公表等(法第32条関係)
- 3-8-2 保有個人データの開示(法第33条第1項~第4項関係)
- 3-8-3 第三者提供記録の開示(法第33条第5項、第1項~第3項関係)
- 3-8-4 保有個人データの訂正等(法第34条関係)
- 3-8-5 保有個人データの利用停止等(法第35条関係)
- 3-8-6 理由の説明(法第36条関係)
- 3-8-7 開示等の請求等に応じる手続(法第37条関係)
- 3-8-8 手数料(法第38条関係)
- 3-8-9 裁判上の訴えの事前請求(法第39条関係)
- 3-9個人情報の取扱いに関する苦情処理(法第40条関係)
- 3-10仮名加工情報取扱事業者等の義務(法第41条・第42条関係)
- 3-11匿名加工情報取扱事業者等の義務(法第43条~第46条関係)
- 3-1個人情報の利用目的(法第17条・第18条、第21条第3項関係)
- 4「勧告」、「命令」、「緊急命令」等についての考え方
- 5適用除外(法第57条関係)
- 6適用の特例(法第58条・第125条関係)
- 7学術研究機関等の責務(法第59条関係)
- 8域外適用(法第171条関係)
- 9 ガイドラインの見直し
- 10(別添)講ずべき安全管理措置の内容
- 【付録】
- 【凡例】
- 「法」 個人情報の保護に関する法律(平成15年法律第57号)
- 「政令」 個人情報の保護に関する法律施行令(平成15年政令第507号)
- 「規則」 個人情報の保護に関する法律施行規則(平成28年個人情報保護委員会規則第3号)
- 「平成27年改正法」個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律(平成27年法律第65号)
- 「令和2年改正法」個人情報の保護に関する法律等の一部を改正する法律(令和2年法律第44号)
- 「令和3年改正法」デジタル社会の形成を図るための関係法律の整備に関する法律(令和3年法律第37号)
※ なお、特に断りのない限り、本ガイドラインにおいて示す法令の条番号は、令和 6 年 12 月 2 日時点の条番号を示すものとする。
個人情報の保護に関する法律についてのガイドライン
1 目的及び適用対象
1-1 目的
本ガイドラインは、事業者が個人情報の適正な取扱いの確保に関して行う活動を支援すること、及び当該支援により事業者が講ずる措置が適切かつ有効に実施されることを目的として、法第4条、第9条及び第131条に基づき具体的な指針として定めるものである。
なお、法の規定のうち、第28条(外国にある第三者への提供の制限)、第29条(第三者提供に係る記録の作成等)及び第30条(第三者提供を受ける際の確認等)、第4章第3節(仮名加工情報取扱事業者等の義務)(法第2条第5項及び第16条第5項に定める「仮名加工情報」及び「仮名加工情報取扱事業者」の定義に関する内容を含む。)及び第4章第4節(匿名加工情報取扱事業者等の義務)(法第2条第6項及び第16条第6項に定める「匿名加工情報」及び「匿名加工情報取扱事業者」の定義に関する内容を含む。)、並びに第4章第5節(民間団体による個人情報の保護の推進)に関する内容については、各々について分かりやすく一体的に示す観点から、別途「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」(平成28年個人情報保護委員会告示第7号。以下「外国第三者提供ガイドライン」という。)、「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)」(平成28年個人情報保護委員会告示第8号。以下「確認・記録義務ガイドライン」という。)、「個人情報の保護に関する法律についてのガイドライン(仮名加工情報・匿名加工情報編)」(平成28年個人情報保護委員会告示第9号。以下「仮名加工情報・匿名加工情報ガイドライン」という。)及び「個人情報の保護に関する法律についてのガイドライン(認定個人情報保護団体編)」(令和3年個人情報保護委員会告示第7号)においてそれぞれ定めている(※1)。
本ガイドラインの中で、「しなければならない」及び「してはならない」と記述している事項については、これらに従わなかった場合、法違反と判断される可能性がある。
一方、「努めなければならない」、「望ましい」等と記述している事項については、これらに従わなかったことをもって直ちに法違反と判断されることはないが(4(「勧告」、「命令」、「緊急命令」等についての考え方)参照)、「個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであることに鑑み、その適正な取扱いが図られなければならない。」とする法の基本理念(法第3条)を踏まえ、事業者の特性や規模に応じ可能な限り対応することが望まれるものである。もっとも、法の目的(法第1条)の趣旨に照らして、公益上必要な活動や正当な事業活動等までも制限するものではない。
本ガイドラインにおいて記述した具体例は、事業者の理解を助けることを目的として典型的なものを示したものであり、全ての事案を網羅したものでなく、記述した内容に限定する趣旨で記述したものでもない。また、記述した具体例においても、個別ケースによっては別途考慮すべき要素もあり得るので注意を要する。
なお、認定個人情報保護団体(※3)が個人情報保護指針を作成又は変更し、また、事業者団体等が事業の実態及び特性を踏まえ、当該事業者団体等の会員企業等を対象とした自主的ルール(事業者団体ガイドライン等)を作成又は変更することもあり得るが、その場合は、認定個人情報保護団体の対象事業者や事業者団体等の会員企業等は、個人情報の取扱いに当たり、法及び本ガイドラインに加えて、当該指針又はルールに沿った対応を行う必要がある。特に、認定個人情報保護団体においては、認定個人情報保護団体が対象事業者に対し個人情報保護指針を遵守させるために必要な措置をとらなければならないこととされていることを踏まえることも重要である(法第54条第4項参照)。
- (※1)EU及び英国域内から十分性認定(EUにあってはGDPR(※2)第45条に基づき、欧州委員会が、国又は地域等を個人データについて十分な保護水準を確保していると認める決定をいい、英国にあってはこれに相当する決定をいう。)により移転を受けた個人データを取り扱う場合には、別途定める「個人情報の保護に関する法律に係るEU及び英国域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」を参照のこと。
なお、ここでいうEUとは、「個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国等」(平成31年個人情報保護委員会告示第1号)に定める国を指す(ただし、英国は含まない。)。 - (※2)個人データの取扱いに係る自然人の保護及び当該データの自由な移転並びに指令95/46/ECの廃止に関する欧州議会及び欧州理事会規則(一般データ保護規則)(REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC(General Data Protection Regulation))
- (※3)認定個人情報保護団体制度については、別途定める「個人情報の保護に関する法律についてのガイドライン(認定個人情報保護団体編)」を参照のこと。
(参考)
- 法第1条
- この法律は、デジタル社会の進展に伴い個人情報の利用が著しく拡大していることに鑑み、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにし、個人情報を取り扱う事業者及び行政機関等についてこれらの特性に応じて遵守すべき義務等を定めるとともに、個人情報保護委員会を設置することにより、行政機関等の事務及び事業の適正かつ円滑な運営を図り、並びに個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。
- 法第3条
- 個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであることに鑑み、その適正な取扱いが図られなければならない。
- 法第4条
- 国は、この法律の趣旨にのっとり、国の機関、地方公共団体の機関、独立行政法人等、地方独立行政法人及び事業者等による個人情報の適正な取扱いを確保するために必要な施策を総合的に策定し、及びこれを実施する責務を有する。
- 法第9条
- 国は、地方公共団体が策定し、又は実施する個人情報の保護に関する施策及び国民又は事業者等が個人情報の適正な取扱いの確保に関して行う活動を支援するため、情報の提供、地方公共団体又は事業者等が講ずべき措置の適切かつ有効な実施を図るための指針の策定その他の必要な措置を講ずるものとする。
- 法第47条
-
- 個人情報取扱事業者、仮名加工情報取扱事業者又は匿名加工情報取扱事業者(以下この章において「個人情報取扱事業者等」という。)の個人情報、仮名加工情報又は匿名加工情報(以下この章において「個人情報等」という。)の適正な取扱いの確保を目的として次に掲げる業務を行おうとする法人(法人でない団体で代表者又は管理人の定めのあるものを含む。次条第3号ロにおいて同じ。)は、個人情報保護委員会の認定を受けることができる。
- 業務の対象となる個人情報取扱事業者等(以下この節において「対象事業者」という。)の個人情報等の取扱いに関する第53条の規定による苦情の処理
- 個人情報等の適正な取扱いの確保に寄与する事項についての対象事業者に対する情報の提供
- 前二号に掲げるもののほか、対象事業者の個人情報等の適正な取扱いの確保に関し必要な業務
- 前項の認定は、対象とする個人情報取扱事業者等の事業の種類その他の業務の範囲を限定して行うことができる。
- 第1項の認定を受けようとする者は、政令で定めるところにより、個人情報保護委員会に申請しなければならない。
- 個人情報保護委員会は、第1項の認定をしたときは、その旨(第2項の規定により業務の範囲を限定する認定にあっては、その認定に係る業務の範囲を含む。)を公示しなければならない。
- 個人情報取扱事業者、仮名加工情報取扱事業者又は匿名加工情報取扱事業者(以下この章において「個人情報取扱事業者等」という。)の個人情報、仮名加工情報又は匿名加工情報(以下この章において「個人情報等」という。)の適正な取扱いの確保を目的として次に掲げる業務を行おうとする法人(法人でない団体で代表者又は管理人の定めのあるものを含む。次条第3号ロにおいて同じ。)は、個人情報保護委員会の認定を受けることができる。
- 法第54条(第4項)
-
- 認定個人情報保護団体は、前項の規定により個人情報保護指針が公表されたときは、対象事業者に対し、当該個人情報保護指針を遵守させるため必要な指導、勧告その他の措置をとらなければならない。
- 法第131条
- 委員会は、行政機関等の事務及び事業の適正かつ円滑な運営を図り、並びに個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護するため、個人情報の適正な取扱いの確保を図ること(個人番号利用事務等実施者(行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号利用法」という。)第12条に規定する個人番号利用事務等実施者をいう。)に対する指導及び助言その他の措置を講ずることを含む。)を任務とする。
1-2 適用対象
本ガイドラインは、事業者の業種・規模等を問わず、法の適用対象である個人情報取扱事業者、個人関連情報取扱事業者、仮名加工情報取扱事業者又は匿名加工情報取扱事業者(以下「個人情報取扱事業者等」という。)に該当する事業者に適用される。
2 定義
2-1 個人情報(法第2条第1項関係)
- 法第2条(第1項)
-
- この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
- 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第2号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
- 個人識別符号が含まれるもの
- この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
「個人情報」(※1)とは、生存する「個人に関する情報」(※2)(※3)であって、「当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ(※4)、それにより特定の個人を識別することができるものを含む。)」(法第2条第1項第1号)、又は「個人識別符号(※5)が含まれるもの」(同項第2号)をいう。
「個人に関する情報」とは、氏名、住所、性別、生年月日、顔画像等個人を識別する情報に限られず、ある個人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表す全ての情報であり、評価情報、公刊物等によって公にされている情報や、映像、音声による情報も含まれ、暗号化等によって秘匿化されているかどうかを問わない。
- 【個人情報に該当する事例】
- 事例1)本人の氏名
- 事例2)生年月日、連絡先(住所・居所・電話番号・メールアドレス)、会社における職位又は所属に関する情報について、それらと本人の氏名を組み合わせた情報
- 事例3)防犯カメラに記録された情報等本人が判別できる映像情報
- 事例4)本人の氏名が含まれる等の理由により、特定の個人を識別できる音声録音情報
- 事例5)特定の個人を識別できるメールアドレス(kojin_ichiro@example.com 等のようにメールアドレスだけの情報の場合であっても、example社に所属するコジンイチロウのメールアドレスであることが分かるような場合等)
- 事例6)個人情報を取得後に当該情報に付加された個人に関する情報(取得時に生存する特定の個人を識別することができなかったとしても、取得後、新たな情報が付加され、又は照合された結果、生存する特定の個人を識別できる場合は、その時点で個人情報に該当する。)
- 事例7)官報、電話帳、職員録、法定開示書類(有価証券報告書等)、新聞、ホームページ、SNS(ソーシャル・ネットワーク・サービス)等で公にされている特定の個人を識別できる情報
- (※1)法は、「個人情報」、「要配慮個人情報」(2-3(要配慮個人情報)参照)、「個人データ」(2-6(個人データ)参照)、「保有個人データ」(2-7(保有個人データ)参照)、「個人関連情報」(2-8(個人関連情報)参照)、「仮名加工情報」(2-10(仮名加工情報)参照)、「匿名加工情報」(2-12(匿名加工情報)参照)等の語を使い分けており、個人情報取扱事業者等に課される義務はそれぞれ異なるので、注意を要する。
- (※2)死者に関する情報が、同時に、遺族等の生存する個人に関する情報でもある場合には、当該生存する個人に関する情報に該当する。
- (※3)法人その他の団体は「個人」に該当しないため、法人等の団体そのものに関する情報は「個人情報」に該当しない(ただし、役員、従業員等に関する情報は個人情報に該当する。)。なお、「個人」は日本国民に限らず、外国人も含まれる。
- (※4)「他の情報と容易に照合することができ」るとは、事業者の実態に即して個々の事例ごとに判断されるべきであるが、通常の業務における一般的な方法で、他の情報と容易に照合することができる状態をいい、例えば、他の事業者への照会を要する場合等であって照合が困難な状態は、一般に、容易に照合することができない状態であると解される。
- (※5)個人識別符号については、2-2(個人識別符号)を参照のこと。
2-2 個人識別符号(法第2条第2項関係)
- 法第2条(第2項)
-
- この法律において「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、政令で定めるものをいう。
- 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの
- 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの
- この法律において「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、政令で定めるものをいう。
- 政令第1条
- 個人情報の保護に関する法律(以下「法」という。)第2条第2項の政令で定める文字、番号、記号その他の符号は、次に掲げるものとする。
- 次に掲げる身体の特徴のいずれかを電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、特定の個人を識別するに足りるものとして個人情報保護委員会規則で定める基準に適合するもの
- イ 細胞から採取されたデオキシリボ核酸(別名DNA)を構成する塩基の配列
- ロ 顔の骨格及び皮膚の色並びに目、鼻、口その他の顔の部位の位置及び形状によって定まる容貌
- ハ 虹彩の表面の起伏により形成される線状の模様
- ニ 発声の際の声帯の振動、声門の開閉並びに声道の形状及びその変化
- ホ 歩行の際の姿勢及び両腕の動作、歩幅その他の歩行の態様
- ヘ 手のひら又は手の甲若しくは指の皮下の静脈の分岐及び端点によって定まるその静脈の形状
- ト 指紋又は掌紋
- 旅券法(昭和26年法律第267号)第6条第1項第1号の旅券の番号
- 国民健康保険法(昭和33年法律第192号)第111条の2第1項に規定する被保険者記号・番号等
- 国民年金法(昭和34年法律第141号)第14条に規定する基礎年金番号
- 道路交通法(昭和35年法律第105号)第93条第1項第1号の免許証の番号
- 住民基本台帳法(昭和42年法律第81号)第7条第13号に規定する住民票コード
- 高齢者の医療の確保に関する法律(昭和 57 年法律第 80 号)第161 条の 2 第1項に規定する被保険者番号等
- 介護保険法(平成 9 年法律第 123 号)第 12 条第 3 項の被保険者証にその発行を受ける者ごとに異なるものとなるように記載された個人情報保護委員会規則で定める文字、番号、記号その他の符号
- 行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号)第2条第5項に規定する個人番号
- その他前各号に準ずるものとして個人情報保護委員会規則で定める文字、番号、記号その他の符号
- 次に掲げる身体の特徴のいずれかを電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、特定の個人を識別するに足りるものとして個人情報保護委員会規則で定める基準に適合するもの
- 規則第2条
- 個人情報の保護に関する法律施行令(以下「令」という。)第1条第1号の個人情報保護委員会規則で定める基準は、特定の個人を識別することができる水準が確保されるよう、適切な範囲を適切な手法により電子計算機の用に供するために変換することとする。
- 規則第3条
- 令第 1 条第 8 号の個人情報保護委員会規則で定める文字、番号、記号その他の符号は、同号に規定する被保険者証の番号及び保険者番号とする。
- 規則第4条
- 令第 1 条第 10 号の個人情報保護委員会規則で定める文字、番号、記号その他の符号は、次に掲げるものとする。
- 健康保険法(大正11年法律第70号)第3条第11項に規定する保険者番号及び同条第12項に規定する被保険者等記号・番号
- 船員保険法(昭和14年法律第73号)第2条第10項に規定する保険者番号及び同条第11項に規定する被保険者等記号・番号
- 出入国管理及び難民認定法(昭和26年政令第319号)第2条第5号に規定する旅券(日本国政府の発行したものを除く。)の番号
- 出入国管理及び難民認定法第19条の4第1項第5号の在留カードの番号
- 私立学校教職員共済法(昭和28年法律第245号)第45条第1項に規定する加入者等記号・番号等
- 国家公務員共済組合法(昭和33年法律第128号)第112条の2第1項に規定する組合員等記号・番号等
- 地方公務員等共済組合法(昭和37年法律第152号)第144条の24の2第1項に規定する組合員等記号・番号等
- 雇用保険法施行規則(昭和50年労働省令第3号)第10条第1項の雇用保険被保険者証の被保険者番号
- 日本国との平和条約に基づき日本の国籍を離脱した者等の出入国管理に関する特例法(平成3年法律第71号)第8条第1項第3号の特別永住者証明書の番号
「個人識別符号」とは、当該情報単体から特定の個人を識別できるものとして政令に定められた文字、番号、記号その他の符号をいい、これに該当するものが含まれる情報は個人情報となる(2-1(個人情報)参照)(※)。
具体的な内容は、政令第1条及び規則第2条から第4条までに定めるとおりである。
政令第1条第1号においては、同号イからトまでに掲げる身体の特徴のいずれかを電子計算機の用に供するために変換した文字、番号、記号その他の符号のうち、「特定の個人を識別するに足りるものとして個人情報保護委員会規則で定める基準に適合するもの」が個人識別符号に該当するとされている。当該基準は規則第2条において定められているところ、この基準に適合し、個人識別符号に該当することとなるものは次のとおりである。
- イ 細胞から採取されたデオキシリボ核酸(別名DNA)を構成する塩基の配列
- ゲノムデータ(細胞から採取されたデオキシリボ核酸(別名DNA)を構成する塩基の配列を文字列で表記したもの)のうち、全核ゲノムシークエンスデータ、全エクソームシークエンスデータ、全ゲノム一塩基多型(single nucleotide polymorphism:SNP)データ、互いに独立な40箇所以上のSNPから構成されるシークエンスデータ、9座位以上の4塩基単位の繰り返し配列(short tandem repeat:STR)等の遺伝型情報により本人を認証することができるようにしたもの
- ロ 顔の骨格及び皮膚の色並びに目、鼻、口その他の顔の部位の位置及び形状によって定まる容貌
- 顔の骨格及び皮膚の色並びに目、鼻、口その他の顔の部位の位置及び形状から抽出した特徴情報を、本人を認証することを目的とした装置やソフトウェアにより、本人を認証することができるようにしたもの
- ハ 虹彩の表面の起伏により形成される線状の模様
- 虹彩の表面の起伏により形成される線状の模様から、赤外光や可視光等を用い、抽出した特徴情報を、本人を認証することを目的とした装置やソフトウェアにより、本人を認証することができるようにしたもの
- ニ 発声の際の声帯の振動、声門の開閉並びに声道の形状及びその変化によって定まる声の質
- 音声から抽出した発声の際の声帯の振動、声門の開閉並びに声道の形状及びその変化に関する特徴情報を、話者認識システム等本人を認証することを目的とした装置やソフトウェアにより、本人を認証することができるようにしたもの
- ホ 歩行の際の姿勢及び両腕の動作、歩幅その他の歩行の態様
- 歩行の際の姿勢及び両腕の動作、歩幅その他の歩行の態様から抽出した特徴情報を、本人を認証することを目的とした装置やソフトウェアにより、本人を認証することができるようにしたもの
- ヘ 手のひら又は手の甲若しくは指の皮下の静脈の分岐及び端点によって定まるその静脈の形状
- 手のひら又は手の甲若しくは指の皮下の静脈の分岐及び端点によって定まるその静脈の形状等から、赤外光や可視光等を用い抽出した特徴情報を、本人を認証することを目的とした装置やソフトウェアにより、本人を認証することができるようにしたもの
- ト 指紋又は掌紋
- (指紋)指の表面の隆線等で形成された指紋から抽出した特徴情報を、本人を認証することを目的とした装置やソフトウェアにより、本人を認証することができるようにしたもの
- (掌紋)手のひらの表面の隆線や皺等で形成された掌紋から抽出した特徴情報を、本人を認証することを目的とした装置やソフトウェアにより、本人を認証することができるようにしたもの
- チ 組合せ
- 政令第1条第1号イからトまでに掲げるものから抽出した特徴情報を、組み合わせ、本人を認証することを目的とした装置やソフトウェアにより、本人を認証することができるようにしたもの
(※)「その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように」(法第2条第2項第2号)とは、文字、番号、記号その他の符号が利用者等によって異なるようにすることをいう。
2-3 要配慮個人情報(法第2条第3項関係)
- 法第2条(第3項)
-
- この法律において「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。
- 政令第2条
- 法第2条第3項の政令で定める記述等は、次に掲げる事項のいずれかを内容とする記述等(本人の病歴又は犯罪の経歴に該当するものを除く。)とする。
- 身体障害、知的障害、精神障害(発達障害を含む。)その他の個人情報保護委員会規則で定める心身の機能の障害があること。
- 本人に対して医師その他医療に関連する職務に従事する者(次号において「医師等」という。)により行われた疾病の予防及び早期発見のための健康診断その他の検査(同号において「健康診断等」という。)の結果
- 健康診断等の結果に基づき、又は疾病、負傷その他の心身の変化を理由として、本人に対して医師等により心身の状態の改善のための指導又は診療若しくは調剤が行われたこと。
- 本人を被疑者又は被告人として、逮捕、捜索、差押え、勾留、公訴の提起その他の刑事事件に関する手続が行われたこと。
- 本人を少年法(昭和23年法律第168号)第3条第1項に規定する少年又はその疑いのある者として、調査、観護の措置、審判、保護処分その他の少年の保護事件に関する手続が行われたこと。
- 規則第5条
- 令第2条第1号の個人情報保護委員会規則で定める心身の機能の障害は、次に掲げる障害とする。
- 身体障害者福祉法(昭和24年法律第283号)別表に掲げる身体上の障害
- 知的障害者福祉法(昭和35年法律第37号)にいう知的障害
- 精神保健及び精神障害者福祉に関する法律(昭和25年法律第123号)にいう精神障害(発達障害者支援法(平成16年法律第167号)第2条第1項に規定する発達障害を含み、前号に掲げるものを除く。)
- 治療方法が確立していない疾病その他の特殊の疾病であって障害者の日常生活及び社会生活を総合的に支援するための法律(平成17年法律第123号)第4条第1項の政令で定めるものによる障害の程度が同項の主務大臣が定める程度であるもの
「要配慮個人情報」とは、不当な差別や偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして次の(1)から(11)までの記述等が含まれる個人情報をいう。
要配慮個人情報の取得や第三者提供には、原則として本人の同意が必要であり、法第27条第2項の規定による第三者提供(オプトアウトによる第三者提供)は認められていないので、注意が必要である(3-3-2(要配慮個人情報の取得)、3-6-1(第三者提供の制限の原則)、3-6-2(オプトアウトによる第三者提供)参照)。また、要配慮個人情報が含まれる個人データの漏えい等が発生し、又は発生したおそれがある事態が生じた場合には、個人情報保護委員会に報告しなければならない(3-5-3(個人情報保護委員会への報告)参照)。
なお、次に掲げる情報を推知させる情報にすぎないもの(例:宗教に関する書籍の購買や貸出しに係る情報等)は、要配慮個人情報には含まない。
- (1)人種
- 人種、世系又は民族的若しくは種族的出身を広く意味する。なお、単純な国籍や「外国人」という情報は法的地位であり、それだけでは人種には含まない。また、肌の色は、人種を推知させる情報にすぎないため、人種には含まない。
- (2)信条
- 個人の基本的なものの見方、考え方を意味し、思想と信仰の双方を含むものである。
- (3)社会的身分
- ある個人にその境遇として固着していて、一生の間、自らの力によって容易にそれから脱し得ないような地位を意味し、単なる職業的地位や学歴は含まない。
- (4)病歴
- 病気に罹患した経歴を意味するもので、特定の病歴を示した部分(例:特定の個人ががんに罹患している、統合失調症を患っている等)が該当する。
- (5)犯罪の経歴
- 前科、すなわち有罪の判決を受けこれが確定した事実が該当する。
- (6)犯罪により害を被った事実
- 身体的被害、精神的被害及び金銭的被害の別を問わず、犯罪の被害を受けた事実を意味する。具体的には、刑罰法令に規定される構成要件に該当し得る行為のうち、刑事事件に関する手続に着手されたものが該当する。
- (7)身体障害、知的障害、精神障害(発達障害を含む。)その他の個人情報保護委員会規則で定める心身の機能の障害があること(政令第2条第1号関係)
- 次のマル1からマル4までに掲げる情報をいう。この他、当該障害があること又は過去にあったことを特定させる情報(例:障害者の日常生活及び社会生活を総合的に支援するための法律(平成17年法律第123号)に基づく障害福祉サービスを受けていること又は過去に受けていたこと)も該当する。
- マル1「身体障害者福祉法(昭和24年法律第283号)別表に掲げる身体上の障害」があることを特定させる情報
- 医師又は身体障害者更生相談所により、別表に掲げる身体上の障害があることを診断又は判定されたこと(別表上の障害の名称や程度に関する情報を含む。)
- 都道府県知事、指定都市の長又は中核市の長から身体障害者手帳の交付を受け、これを所持していること又は過去に所持していたこと(別表上の障害の名称や程度に関する情報を含む。)
- 本人の外見上明らかに別表に掲げる身体上の障害があること
- マル2「知的障害者福祉法(昭和35年法律第37号)にいう知的障害」があることを特定させる情報
- 医師、児童相談所、知的障害者更生相談所、精神保健福祉センター、障害者職業センターにより、知的障害があると診断又は判定されたこと(障害の程度に関する情報を含む。)
- 都道府県知事又は指定都市の長から療育手帳の交付を受け、これを所持していること又は過去に所持していたこと(障害の程度に関する情報を含む。)
- マル3
「精神保健及び精神障害者福祉に関する法律(昭和25年法律第123号)にいう精神障害(発達障害者支援法(平成16年法律第167号)第2条第1項に規定する発達障害を含み、知的障害者福祉法にいう知的障害を除く。)」があることを特定させる情報
- 医師又は精神保健福祉センターにより精神障害や発達障害があると診断又は判定されたこと(障害の程度に関する情報を含む。)
- 都道府県知事又は指定都市の長から精神障害者保健福祉手帳の交付を受け、これを所持していること又は過去に所持していたこと(障害の程度に関する情報を含む。)
- マル4
「治療方法が確立していない疾病その他の特殊の疾病であって障害者の日常生活及び社会生活を総合的に支援するための法律第4条第1項の政令で定めるものによる障害の程度が同項の主務大臣が定める程度であるもの」があることを特定させる情報
- 医師により、主務大臣が定める特殊の疾病による障害により継続的に日常生活又は社会生活に相当な制限を受けていると診断されたこと(疾病の名称や程度に関する情報を含む。)
- マル1「身体障害者福祉法(昭和24年法律第283号)別表に掲げる身体上の障害」があることを特定させる情報
- (8)本人に対して医師その他医療に関連する職務に従事する者(次号において「医師等」という。)により行われた疾病の予防及び早期発見のための健康診断その他の検査(同号において「健康診断等」という。)の結果(政令第2条第2号関係)(※)
-
疾病の予防や早期発見を目的として行われた健康診査、健康診断、特定健康診査、健康測定、ストレスチェック、遺伝子検査(診療の過程で行われたものを除く。)等、受診者本人の健康状態が判明する検査の結果が該当する。
具体的な事例としては、労働安全衛生法(昭和47年法律第57号)に基づいて行われた健康診断の結果、同法に基づいて行われたストレスチェックの結果、高齢者の医療の確保に関する法律(昭和57年法律第80号)に基づいて行われた特定健康診査の結果などが該当する。また、法律に定められた健康診査の結果等に限定されるものではなく、人間ドックなど保険者や事業主が任意で実施又は助成する検査の結果も該当する。さらに、医療機関を介さないで行われた遺伝子検査により得られた本人の遺伝型とその遺伝型の疾患へのかかりやすさに該当する結果等も含まれる。なお、健康診断等を受診したという事実は該当しない。
なお、身長、体重、血圧、脈拍、体温等の個人の健康に関する情報を、健康診断、診療等の事業及びそれに関する業務とは関係ない方法により知り得た場合は該当しない。
- (9)健康診断等の結果に基づき、又は疾病、負傷その他の心身の変化を理由として、本人に対して医師等により心身の状態の改善のための指導又は診療若しくは調剤が行われたこと(政令第2条第3号関係)(※)
「健康診断等の結果に基づき、本人に対して医師等により心身の状態の改善のための指導が行われたこと」とは、健康診断等の結果、特に健康の保持に努める必要がある者に対し、医師又は保健師が行う保健指導等の内容が該当する。
指導が行われたことの具体的な事例としては、労働安全衛生法に基づき医師又は保健師により行われた保健指導の内容、同法に基づき医師により行われた面接指導の内容、高齢者の医療の確保に関する法律に基づき医師、保健師、管理栄養士により行われた特定保健指導の内容等が該当する。また、法律に定められた保健指導の内容に限定されるものではなく、保険者や事業主が任意で実施又は助成により受診した保健指導の内容も該当する。なお、保健指導等を受けたという事実も該当する。
「健康診断等の結果に基づき、又は疾病、負傷その他の心身の変化を理由として、本人に対して医師等により診療が行われたこと」とは、病院、診療所、その他の医療を提供する施設において診療の過程で、患者の身体の状況、病状、治療状況等について、医師、歯科医師、薬剤師、看護師その他の医療従事者が知り得た情報全てを指し、例えば診療記録等がこれに該当する。また、病院等を受診したという事実も該当する。
「健康診断等の結果に基づき、又は疾病、負傷その他の心身の変化を理由として、本人に対して医師等により調剤が行われたこと」とは、病院、診療所、薬局、その他の医療を提供する施設において調剤の過程で患者の身体の状況、病状、治療状況等について、薬剤師(医師又は歯科医師が自己の処方箋により自ら調剤する場合を含む。)が知り得た情報全てを指し、調剤録、薬剤服用歴、お薬手帳に記載された情報等が該当する。また、薬局等で調剤を受けたという事実も該当する。
なお、身長、体重、血圧、脈拍、体温等の個人の健康に関する情報を、健康診断、診療等の事業及びそれに関する業務とは関係のない方法により知り得た場合は該当しない。
- (10)本人を被疑者又は被告人として、逮捕、捜索、差押え、勾留、公訴の提起その他の刑事事件に関する手続が行われたこと(犯罪の経歴を除く。)(政令第2条第4号関係)
- 本人を被疑者又は被告人として刑事事件に関する手続が行われたという事実が該当する。他人を被疑者とする犯罪捜査のために取調べを受けた事実や、証人として尋問を受けた事実に関する情報は、本人を被疑者又は被告人としていないことから、これには該当しない。
- (11)本人を少年法(昭和23年法律第168号)第3条第1項に規定する少年又はその疑いのある者として、調査、観護の措置、審判、保護処分その他の少年の保護事件に関する手続が行われたこと(政令第2条第5号関係)
- 本人を非行少年又はその疑いのある者として、保護処分等の少年の保護事件に関する手続が行われたという事実が該当する。
-
(※)遺伝子検査により判明する情報の中には、差別、偏見につながり得るもの(例:将来発症し得る可能性のある病気、治療薬の選択に関する情報等)が含まれ得るが、当該情報は、「本人に対して医師その他医療に関連する職務に従事する者により行われた疾病の予防及び早期発見のための健康診断その他の検査の結果」(政令第2条第2号関係)又は「健康診断等の結果に基づき、又は疾病、負傷その他の心身の変化を理由として、本人に対して医師等により心身の状態の改善のための指導又は診療若しくは調剤が行われたこと」(政令第2条第3号関係)に該当し得る。
2-4 個人情報データベース等(法第16条第1項関係)
- 法第16条(第1項)
-
- この章及び第8章において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。)をいう。
- 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
- 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの
- この章及び第8章において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。)をいう。
- 政令第4条
-
- 法第16条第1項の利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものは、次の各号のいずれにも該当するものとする。
- 不特定かつ多数の者に販売することを目的として発行されたものであって、かつ、その発行が法又は法に基づく命令の規定に違反して行われたものでないこと。
- 不特定かつ多数の者により随時に購入することができ、又はできたものであること。
- 生存する個人に関する他の情報を加えることなくその本来の用途に供しているものであること。
- 法第16条第1項第2号の政令で定めるものは、同項に規定する情報の集合物に含まれる個人情報を一定の規則に従って整理することにより特定の個人情報を容易に検索することができるように体系的に構成したものであって、目次、索引その他検索を容易にするためのものを有するものをいう。
- 法第16条第1項の利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものは、次の各号のいずれにも該当するものとする。
「個人情報データベース等」とは、特定の個人情報をコンピュータを用いて検索することができるように体系的に構成した、個人情報を含む情報の集合物をいう。また、コンピュータを用いていない場合であっても、紙面で処理した個人情報を一定の規則(例えば、五十音順等)に従って整理・分類し、特定の個人情報を容易に検索することができるよう、目次、索引、符号等を付し、他人によっても容易に検索可能な状態に置いているものも該当する。
ただし、次の(1)から(3)までのいずれにも該当するものは、利用方法からみて個人の権利利益を害するおそれが少ないため、個人情報データベース等には該当しない。
- 不特定かつ多数の者に販売することを目的として発行されたものであって、かつ、その発行が法又は法に基づく命令の規定に違反して行われたものでないこと。
- 不特定かつ多数の者により随時に購入することができ、又はできたものであること。
- 生存する個人に関する他の情報を加えることなくその本来の用途に供しているものであること。
- 【個人情報データベース等に該当する事例】
- 事例1)電子メールソフトに保管されているメールアドレス帳(メールアドレスと氏名を組み合わせた情報を入力している場合)
- 事例2)インターネットサービスにおいて、ユーザーが利用したサービスに係るログ情報がユーザーIDによって整理され保管されている電子ファイル(ユーザーIDと個人情報を容易に照合することができる場合)
- 事例3)従業者が、名刺の情報を業務用パソコン(所有者を問わない。)の表計算ソフト等を用いて入力・整理している場合
- 事例4)人材派遣会社が登録カードを、氏名の五十音順に整理し、五十音順のインデックスを付してファイルしている場合
- 【個人情報データベース等に該当しない事例】
- 事例1)従業者が、自己の名刺入れについて他人が自由に閲覧できる状況に置いていても、他人には容易に検索できない独自の分類方法により名刺を分類した状態である場合
- 事例2)アンケートの戻りはがきが、氏名、住所等により分類整理されていない状態である場合
- 事例3)市販の電話帳、住宅地図、職員録、カーナビゲーションシステム等
2-5 個人情報取扱事業者(法第16条第2項・法第2条第9項、第10項、第11項・法別表第2関係)
- 法第16条(第2項)
-
- この章及び第6章から第8章までにおいて「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。
- 国の機関
- 地方公共団体
- 独立行政法人等
- 地方独立行政法人
- この章及び第6章から第8章までにおいて「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。
- 法第2条(第9項)
-
- この法律において「独立行政法人等」とは、独立行政法人通則法(平成11年法律第103号)第2条第1項に規定する独立行政法人及び別表第1に掲げる法人をいう。
- 法第2条(第10項)
-
- この法律において「地方独立行政法人」とは、地方独立行政法人法(平成15年法律第118号)第2条第1項に規定する地方独立行政法人をいう。
- 法第2条(第11項)
-
- この法律において「行政機関等」とは、次に掲げる機関をいう。
- 行政機関
- 地方公共団体の機関(議会を除く。次章、第3章及び第69条第2項第3号を除き、以下同じ。)
- 独立行政法人等(別表第2に掲げる法人を除く。第16条第2項第3号、第63条、第78条第1項第7号イ及びロ、第89条第4項から第6項まで、第119条第5項から第7項まで並びに第125条第2項において同じ。)
- 地方独立行政法人(地方独立行政法人法第21条第1号に掲げる業務を主たる目的とするもの又は同条第2号若しくは第3号(チに係る部分に限る。)に掲げる業務を目的とするものを除く。第16条第2項第4号、第63条、第78条第1項第7号イ及びロ、第89条第7項から第9項まで、第119条第8項から第10項まで並びに第125条第2項において同じ。)
法別表第2 名称 根拠法 沖縄科学技術大学院大学学園 沖縄科学技術大学院大学学園法 国立研究開発法人 独立行政法人通則法 国立大学法人 国立大学法人法 大学共同利用機関法人 国立大学法人法 独立行政法人国立病院機構 独立行政法人国立病院機構法(平成14年法律第191号) 独立行政法人地域医療機能推進機構 独立行政法人地域医療機能推進機構法(平成17年法律第71号) 福島国際研究教育機構 福島復興再生特別措置法 放送大学学園 放送大学学園法
- この法律において「行政機関等」とは、次に掲げる機関をいう。
「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者のうち、国の機関、地方公共団体、法第2条第9項に規定する独立行政法人等(別表第2に掲げる法人を除く。)及び法第2条第10項に規定する地方独立行政法人(地方独立行政法人法第21条第1号に掲げる業務を主たる目的とするもの又は同条第2号若しくは第3号(チに係る部分に限る。)に掲げる業務を目的とするものを除く。)を除いた者をいう。
ここでいう「事業の用に供している」の「事業」とは、一定の目的をもって反復継続して遂行される同種の行為であって、かつ社会通念上事業と認められるものをいい、営利・非営利の別は問わない。
また、個人情報データベース等を事業の用に供している者であれば、当該個人情報データベース等を構成する個人情報によって識別される特定の個人の数の多寡にかかわらず、個人情報取扱事業者に該当する。
なお、法人格のない、権利能力のない社団(任意団体)又は個人であっても、個人情報データベース等を事業の用に供している場合は個人情報取扱事業者に該当する。
2-6 個人データ(法第16条第3項関係)
- 法第16条(第3項)
-
- この章において「個人データ」とは、個人情報データベース等を構成する個人情報をいう。
「個人データ」とは、個人情報取扱事業者が管理する「個人情報データベース等」を構成する個人情報をいう。
なお、法第16条第1項及び政令第4条第1項に基づき、利用方法からみて個人の権利利益を害するおそれが少ないため、個人情報データベース等から除かれているもの(例:市販の電話帳・住宅地図等)を構成する個人情報は、個人データに該当しない(2-4(個人情報データベース等)参照)。
- 【個人データに該当する事例】
- 事例1)個人情報データベース等から外部記録媒体に保存された個人情報
- 事例2)個人情報データベース等から紙面に出力された帳票等に印字された個人情報
- 【個人データに該当しない事例】
- 事例) 個人情報データベース等を構成する前の入力用の帳票等に記載されている個人情報
2-7 保有個人データ(法第16条第4項関係)
- 法第16条(第4項)
-
- この章において「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの以外のものをいう。
- 政令第5条
- 法第16条第4項の政令で定めるものは、次に掲げるものとする。
- 当該個人データの存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの
- 当該個人データの存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれがあるもの
- 当該個人データの存否が明らかになることにより、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの
- 当該個人データの存否が明らかになることにより、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの
「保有個人データ」(※1)とは、個人情報取扱事業者が、本人又はその代理人から請求される開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止の全て(以下「開示等」という。)に応じることができる権限を有する(※2)「個人データ」をいう。
ただし、個人データのうち、次に掲げるものは、「保有個人データ」ではない。
- 当該個人データの存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの
- 事例) 家庭内暴力、児童虐待の被害者の支援団体が保有している、加害者(配偶者又は親権者)及び被害者(配偶者又は子)を本人とする個人データ
- 当該個人データの存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれがあるもの
- 事例1)暴力団等の反社会的勢力による不当要求の被害等を防止するために事業者が保有している、当該反社会的勢力に該当する人物を本人とする個人データ
- 事例2)不審者や悪質なクレーマー等による不当要求の被害等を防止するために事業者が保有している、当該行為を行った者を本人とする個人データ
- 当該個人データの存否が明らかになることにより、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの
- 事例1)製造業者、情報サービス事業者等が保有している、防衛に関連する兵器・設備・機器・ソフトウェア等の設計又は開発の担当者名が記録された、当該担当者を本人とする個人データ
- 事例2)要人の訪問先やその警備会社が保有している、当該要人を本人とする行動予定等の個人データ
- 当該個人データの存否が明らかになることにより、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの。
- 事例1)警察から捜査関係事項照会等がなされることにより初めて取得した個人データ
- 事例2)警察から契約者情報等について捜査関係事項照会等を受けた事業者が、その対応の過程で作成した照会受理簿・回答発信簿、照会対象者リスト等の個人データ(※なお、当該契約者情報自体は「保有個人データ」に該当する。)
- 事例3)犯罪による収益の移転防止に関する法律(平成19年法律第22号)第8条第1項に基づく疑わしい取引(以下「疑わしい取引」という。)の届出の有無及び届出に際して新たに作成した個人データ
- 事例4)振り込め詐欺に利用された口座に関する情報に含まれる個人データ
- (※1)法は、「個人情報」(2-1(個人情報)参照)、「要配慮個人情報」(2-3(要配慮個人情報)参照)、「個人データ」(2-6(個人データ)参照)、「保有個人データ」、「個人関連情報」(2-8(個人関連情報)参照)、「仮名加工情報」(2-10(仮名加工情報)参照)、「匿名加工情報」(2-12(匿名加工情報)参照)等の語を使い分けており、個人情報取扱事業者等に課される義務はそれぞれ異なるので、注意を要する。
- (※2)開示等の具体的な対応が必要となる場合等については、3-8-2(保有個人データの開示)以降を参照のこと。なお、個人データの取扱いについて、委託等により複数の個人情報取扱事業者が関わる場合には、契約等の実態によって、どの個人情報取扱事業者が開示等に応じる権限を有しているのかについて判断することとなる。
2-8 個人関連情報(法第2条第7項関係)
- 法第2条(第7項)
-
- この法律において「個人関連情報」とは、生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。
個人関連情報とは、生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。
「個人に関する情報」とは、ある個人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表す全ての情報である。「個人に関する情報」のうち、氏名、生年月日その他の記述等により特定の個人を識別することができるものは、個人情報に該当するため、個人関連情報には該当しない。
また、統計情報は、特定の個人との対応関係が排斥されている限りにおいては、「個人に関する情報」に該当するものではないため、個人関連情報にも該当しない。
- 【個人関連情報に該当する事例(※)】
- 事例1)Cookie等の端末識別子を通じて収集された、ある個人のウェブサイトの閲覧履歴
- 事例2)メールアドレスに結び付いた、ある個人の年齢・性別・家族構成等
- 事例3)ある個人の商品購買履歴・サービス利用履歴
- 事例4)ある個人の位置情報
- 事例5)ある個人の興味・関心を示す情報
(※)個人情報に該当する場合は、個人関連情報に該当しないことになる。例えば、一般的に、ある個人の位置情報それ自体のみでは個人情報には該当しないものではあるが、個人に関する位置情報が連続的に蓄積される等して特定の個人を識別することができる場合には、個人情報に該当し、個人関連情報には該当しないことになる。
2-9 個人関連情報取扱事業者(法第16条第7項関係)
- 法第16条(第7項)
-
- この章、第6章及び第7章において「個人関連情報取扱事業者」とは、個人関連情報を含む情報の集合物であって、特定の個人関連情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の個人関連情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(第31条第1項において「個人関連情報データベース等」という。)を事業の用に供している者をいう。ただし、第2項各号に掲げる者を除く。
- 政令第8条
法第16条第7項の政令で定めるものは、同項に規定する情報の集合物に含まれる個人関連情報を一定の規則に従って整理することにより特定の個人関連情報を容易に検索することができるように体系的に構成したものであって、目次、索引その他検索を容易にするためのものを有するものをいう。
「個人関連情報取扱事業者」とは、個人関連情報データベース等を事業の用に供している者のうち、国の機関、地方公共団体、法第2条第9項に規定する独立行政法人等(別表第2に掲げる法人を除く。)及び法第2条第10項に規定する地方独立行政法人(地方独立行政法人法第21条第1号に掲げる業務を主たる目的とするもの又は同条第2号若しくは第3号(チに係る部分に限る。)に掲げる業務を目的とするものを除く。)を除いた者をいう。
「個人関連情報を含む情報の集合物であって、特定の個人関連情報を電子計算機を用いて検索することができるように体系的に構成したもの」とは、特定の個人関連情報をコンピュータを用いて検索することができるように体系的に構成した、個人関連情報を含む情報の集合物をいう。また、コンピュータを用いていない場合であっても、紙媒体の個人関連情報を一定の規則に従って整理・分類し、特定の個人関連情報を容易に検索することができるよう、目次、索引、符号等を付し、他人によっても容易に検索可能な状態に置いているものも該当する。
ここでいう「事業の用に供している」の「事業」とは、一定の目的をもって反復継続して遂行される同種の行為であって、かつ社会通念上事業と認められるものをいい、営利・非営利の別は問わない。なお、法人格のない、権利能力のない社団(任意団体)又は個人であっても、個人関連情報データベース等を事業の用に供している場合は、個人関連情報取扱事業者に該当する。
2-10 仮名加工情報(法第2条第5項関係)
仮名加工情報の定義については、別途定める「仮名加工情報・匿名加工情報ガイドライン」を参照のこと。
(参考)
- 法第2条(第5項)
-
- この法律において「仮名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいう。
- 第1項第1号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
- 第1項第2号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
- この法律において「仮名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいう。
2-11 仮名加工情報取扱事業者(法第16条第5項関係)
仮名加工情報取扱事業者の定義については、別途定める「仮名加工情報・匿名加工情報ガイドライン」を参照のこと。
(参考)
- 法第16条(第5項)
-
- この章、第6章及び第7章において「仮名加工情報取扱事業者」とは、仮名加工情報を含む情報の集合物であって、特定の仮名加工情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の仮名加工情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(第41条第1項において「仮名加工情報データベース等」という。)を事業の用に供している者をいう。ただし、第2項各号に掲げる者を除く。
- 政令第6条
法第16条第5項の政令で定めるものは、同項に規定する情報の集合物に含まれる仮名加工情報を一定の規則に従って整理することにより特定の仮名加工情報を容易に検索することができるように体系的に構成したものであって、目次、索引その他検索を容易にするためのものを有するものをいう。
2-12 匿名加工情報(法第2条第6項関係)
匿名加工情報の定義については、別途定める「仮名加工情報・匿名加工情報ガイドライン」を参照のこと。
(参考)
- 法第2条(第6項)
-
- この法律において「匿名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。
- 第1項第1号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
- 第1項第2号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
- この法律において「匿名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。
2-13 匿名加工情報取扱事業者(法第16条第6項関係)
匿名加工情報取扱事業者の定義については、別途定める「仮名加工情報・匿名加工情報ガイドライン」を参照のこと。
(参考)
- 法第16条(第6項)
-
- この章、第6章及び第7章において「匿名加工情報取扱事業者」とは、匿名加工情報を含む情報の集合物であって、特定の匿名加工情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の匿名加工情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(第43条第1項において「匿名加工情報データベース等」という。)を事業の用に供している者をいう。ただし、第2項各号に掲げる者を除く。
- 政令第7条
法第16条第6項の政令で定めるものは、同項に規定する情報の集合物に含まれる匿名加工情報を一定の規則に従って整理することにより特定の匿名加工情報を容易に検索することができるように体系的に構成したものであって、目次、索引その他検索を容易にするためのものを有するものをいう。
2-14 「本人に通知」
- 法第21条(第1項)
-
- 個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
※(参考)上記のほか、「本人に通知」に関する主な条文
- マル1 利用目的に関するもの
- 法第21条第3項及び第4項(3-1-2(利用目的の変更)、3-3-5(利用目的の通知等をしなくてよい場合)参照)
- マル2 漏えい等に関するもの
- 法第26条第2項(3-5-4(本人への通知)参照)
- マル3 個人データの第三者提供に関するもの
- 法第27条第2項及び第3項、並びに第5項第3号及び第6項(3-6-2(オプトアウトによる第三者提供)、3-6-3(第三者に該当しない場合)参照)
- マル4 外国にある第三者への提供における情報提供に関するもの
- 法第28条第3項並びに規則第18条第4項及び第5項(3-6-4(外国にある第三者への提供の制限)参照)
- マル5 開示等の請求等に関するもの
- 法第32条第2項及び第3項、法第33条第3項(同条第5項において準用する場合を含む。)、法第34条第3項並びに法第35条第7項(3-8-1(保有個人データに関する事項の公表等)、3-8-2(保有個人データの開示)、3-8-3(第三者提供記録の開示)、3-8-4(保有個人データの訂正等)、3-8-5(保有個人データの利用停止等)参照)
「本人に通知」とは、本人に直接知らしめることをいい、事業の性質及び個人情報の取扱状況に応じ、内容が本人に認識される合理的かつ適切な方法によらなければならない。
- 【本人への通知に該当する事例】
- 事例1)ちらし等の文書を直接渡すことにより知らせること。
- 事例2)口頭又は自動応答装置等で知らせること。
- 事例3)電子メール、FAX等により送信し、又は文書を郵便等で送付することにより知らせること。
2-15 「公表」
- 法第21条(第1項)
-
- 個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
※(参考)上記のほか、個人情報取扱事業者等による「公表」に関する主な条文
- マル1 利用目的に関するもの
- 法第21条第3項(3-1-2(利用目的の変更)参照)
- マル2 仮名加工情報に関するもの
- 法第41条第4項、第6項及び法第42条第2項(3-10(仮名加工情報取扱事業者等の義務)参照)
- マル3 匿名加工情報に関するもの
- 法第43条第3項、第4項及び第6項、第44条、並びに第46条(3-11(匿名加工情報取扱事業者等の義務)参照)
- マル4 その他
- 法第57条第3項(5-2(適用除外)参照)
「公表」とは、広く一般に自己の意思を知らせること(不特定多数の人々が知ることができるように発表すること)をいい、公表に当たっては、事業の性質及び個人情報の取扱状況に応じ、合理的かつ適切な方法によらなければならない。
- 【公表に該当する事例】
- 事例1)自社のホームページのトップページから1回程度の操作で到達できる場所への掲載
- 事例2)自社の店舗や事務所等、顧客が訪れることが想定される場所におけるポスター等の掲示、パンフレット等の備置き・配布
- 事例3)(通信販売の場合)通信販売用のパンフレット・カタログ等への掲載
2-16 「本人の同意」
- 法第18条(第1項)
-
- 個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
※(参考)上記のほか、「本人の同意」に関する主な条文
- マル1 利用目的に関するもの
- 法第18条第2項及び第3項第2号から第4号まで(3-1-4(事業の承継)、3-1-5(利用目的による制限の例外)参照)
- マル2 要配慮個人情報の取得に関するもの
- 法第20条第2項(3-3-2(要配慮個人情報の取得)参照)
- マル3 個人データの第三者提供に関するもの
- 法第27条第1項及び第28条第1項(3-6-1(第三者提供の制限の原則)、3-6-4(外国にある第三者への提供の制限)参照)
- マル4 個人関連情報の第三者提供に関するもの
- 法第31条第1項(3-7(個人関連情報の第三者提供の制限等)参照)
「本人の同意」とは、本人の個人情報が、個人情報取扱事業者によって示された取扱方法で取り扱われることを承諾する旨の当該本人の意思表示をいう(当該本人であることを確認できていることが前提となる。)。
また、「本人の同意を得(る)」とは、本人の承諾する旨の意思表示を当該個人情報取扱事業者が認識することをいい、事業の性質及び個人情報の取扱状況に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な方法によらなければならない。
なお、個人情報の取扱いに関して同意したことによって生ずる結果について、未成年者、成年被後見人、被保佐人及び被補助人が判断できる能力を有していないなどの場合は、親権者や法定代理人等から同意を得る必要がある。
- 【本人の同意を得ている事例】
- 事例1)本人からの同意する旨の口頭による意思表示
- 事例2)本人からの同意する旨の書面(電磁的記録を含む。)の受領
- 事例3)本人からの同意する旨のメールの受信
- 事例4)本人による同意する旨の確認欄へのチェック
- 事例5)本人による同意する旨のホームページ上のボタンのクリック
- 事例6)本人による同意する旨の音声入力、タッチパネルへのタッチ、ボタンやスイッチ等による入力
2-17 「提供」
- 法第16条(第4項)
-
- この章において「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの以外のものをいう。
- 法第27条(第1項)
-
- 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
(1)~(7) 略
※(参考)上記のほか、「提供」に関する主な条文
- マル1 個人データの第三者提供に関するもの
- 法第27条第2項、第5項、第28条、第29条及び第30条(3-6-2(オプトアウトによる第三者提供)、3-6-3(第三者に該当しない場合)、3-6-4(外国にある第三者への提供の制限)、3-6-5(第三者提供に係る記録の作成等)、3-6-6(第三者提供を受ける際の確認等)参照)
- マル2 個人関連情報の第三者提供に関するもの
- 法第31条第1項(3-7(個人関連情報の第三者提供の制限等)参照)
- マル3 保有個人データの第三者提供の停止に係る請求に関するもの
- 法第35条第3項、第4項、第5項、第6項及び第7項(3-8-5(保有個人データの利用停止等)参照)
- マル4 仮名加工情報に関するもの
- 法第41条第6項並びに第42条第1項及び第2項(3-10(仮名加工情報取扱事業者等の義務)参照)
- マル5 匿名加工情報に関するもの
- 法第43条第4項及び第44条(3-11(匿名加工情報取扱事業者等の義務)参照)
「提供」とは、個人データ、保有個人データ、個人関連情報、仮名加工情報又は匿名加工情報(以下この項において「個人データ等」という。)を、自己以外の者が利用可能な状態に置くことをいう。個人データ等が、物理的に提供されていない場合であっても、ネットワーク等を利用することにより、個人データ等を利用できる状態にあれば(利用する権限が与えられていれば)、「提供」に当たる。
2-18 学術研究機関等(法第16条第8項関係)
- 法第16条(第8項)
-
- この章において「学術研究機関等」とは、大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者をいう。
「学術研究機関等(※1)」とは、大学その他の学術研究(※2)を目的とする機関若しくは団体又はそれらに属する者をいう。
「大学その他の学術研究を目的とする機関若しくは団体」とは、国公立・私立大学、公益法人等の研究所等の学術研究を主たる目的として活動する機関や「学会」をいい、「それらに属する者」とは、国公立・私立大学の教員、公益法人等の研究所の研究員、学会の会員等をいう。
なお、民間団体付属の研究機関等における研究活動についても、当該機関が学術研究を主たる目的とするものである場合には、「学術研究機関等」に該当する。
一方で、当該機関が単に製品開発を目的としている場合は「学術研究を目的とする機関又は団体」には該当しないが、製品開発と学術研究の目的が併存している場合には、主たる目的により判断する。
- (※1)国公立の大学等、法別表第2に掲げる法人又は地方独立行政法人のうち地方独立行政法人法第21条第1号に掲げる業務を主たる目的とするもの若しくは同条第2号若しくは第3号(チに係る部分に限る。)に掲げる業務を目的とするもののうち、学術研究機関等にも該当するものについては、原則として私立の大学、民間の学術研究機関等と同等の規律が適用される。
- (※2)「学術研究」については、2-19(学術研究目的)を参照のこと。
2-19 「学術研究目的」
- 法第18条(第3項第5号)
-
- 当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人情報を学術研究の用に供する目的(以下この章において「学術研究目的」という。)で取り扱う必要があるとき(当該個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
※(参考)上記のほか、「学術研究目的」に関する主な条文
- マル1 利用目的変更の制限の例外に関するもの
- 法第18条第3項第6号(3-1-5(利用目的による制限の例外)参照)
- マル2 要配慮個人情報の取得の制限の例外に関するもの
- 法第20条第2項第5号及び第6号(3-3-2(要配慮個人情報の取得)参照)
- マル3 個人データの第三者提供の制限の例外に関するもの
- 法第27条第1項第6号及び第7号(3-6-1(第三者提供の制限の原則)参照)
- マル4 学術研究機関等の責務に関するもの
- 法第59条(7(学術研究機関等の責務)参照)
「学術」とは、人文・社会科学及び自然科学並びにそれらの応用の研究であり、あらゆる学問分野における研究活動及びその所産としての知識・方法の体系をいい、具体的活動としての「学術研究」としては、新しい法則や原理の発見、分析や方法論の確立、新しい知識やその応用法の体系化、先端的な学問領域の開拓などをいう。
なお、製品開発を目的として個人情報を取り扱う場合は、当該活動は、学術研究目的とは解されない。
※「学術研究機関等」については、2-18(学術研究機関等)を参照のこと。
3 個人情報取扱事業者等の義務
3-1 個人情報の利用目的(法第17条・第18条、第21条第3項関係)
3-1-1 利用目的の特定(法第17条第1項関係)
- 法第17条(第1項)
-
- 個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。
個人情報取扱事業者は、個人情報を取り扱うに当たっては、利用目的をできる限り具体的に特定しなければならないが、利用目的の特定に当たっては、利用目的を単に抽象的、一般的に特定するのではなく、個人情報が個人情報取扱事業者において、最終的にどのような事業の用に供され、どのような目的で個人情報を利用されるのかが、本人にとって一般的かつ合理的に想定できる程度に具体的に特定することが望ましい(※1)(※2)。
なお、あらかじめ、個人情報を第三者に提供することを想定している場合には、利用目的の特定に当たっては、その旨が明確に分かるよう特定しなければならない(3-6-1(第三者提供の制限の原則)参照)。
- 【具体的に利用目的を特定している事例】
- 事例) 事業者が商品の販売に伴い、個人から氏名・住所・メールアドレス等を取得するに当たり、「○○事業における商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせのために利用いたします。」等の利用目的を明示している場合
- 【具体的に利用目的を特定していない事例】
- 事例1)「事業活動に用いるため」
- 事例2)「マーケティング活動に用いるため」
- (※1)「利用目的の特定」の趣旨は、個人情報を取り扱う者が、個人情報がどのような事業の用に供され、どのような目的で利用されるかについて明確な認識を持ち、できるだけ具体的に明確にすることにより、個人情報が取り扱われる範囲を確定するとともに、本人の予測を可能とすることである。
本人が、自らの個人情報がどのように取り扱われることとなるか、利用目的から合理的に予測・想定できないような場合は、この趣旨に沿ってできる限り利用目的を特定したことにはならない。
例えば、本人から得た情報から、本人に関する行動・関心等の情報を分析する場合、個人情報取扱事業者は、どのような取扱いが行われているかを本人が予測・想定できる程度に利用目的を特定しなければならない。
- 【本人から得た情報から、行動・関心等の情報を分析する場合に具体的に利用目的を特定している事例】
- 事例1)「取得した閲覧履歴や購買履歴等の情報を分析して、趣味・嗜好に応じた新商品・サービスに関する広告のために利用いたします。」
- 事例2)「取得した行動履歴等の情報を分析し、信用スコアを算出した上で、当該スコアを第三者へ提供いたします。」
- (※2)定款等に規定されている事業の内容に照らして、個人情報によって識別される本人からみて、自分の個人情報が利用される範囲が合理的に予想できる程度に特定されている場合や業種を明示することで利用目的の範囲が想定される場合には、これで足りるとされることもあり得るが、多くの場合、業種の明示だけでは利用目的をできる限り具体的に特定したことにはならないと解される。なお、利用目的の特定に当たり「○○事業」のように事業を明示する場合についても、社会通念上、本人からみてその特定に資すると認められる範囲に特定することが望ましい。
また、単に「事業活動」、「お客様のサービスの向上」等のように抽象的、一般的な内容を利用目的とすることは、できる限り具体的に特定したことにはならないと解される。
- (※1)「利用目的の特定」の趣旨は、個人情報を取り扱う者が、個人情報がどのような事業の用に供され、どのような目的で利用されるかについて明確な認識を持ち、できるだけ具体的に明確にすることにより、個人情報が取り扱われる範囲を確定するとともに、本人の予測を可能とすることである。
3-1-2 利用目的の変更(法第17条第2項、第21条第3項関係)
- 法第17条(第2項)
-
- 個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。
- 法第21条(第3項)
-
- 個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。
上記3-1-1(利用目的の特定)により特定した利用目的は、変更前の利用目的と関連性を有すると合理的に認められる範囲、すなわち、変更後の利用目的が変更前の利用目的からみて、社会通念上、本人が通常予期し得る限度と客観的に認められる範囲内(※1)で変更することは可能である。変更された利用目的は、本人に通知(※2)するか、又は公表(※3)しなければならない。
なお、特定された利用目的(法第17条第2項に定める範囲で変更された利用目的を含む。)の達成に必要な範囲を超えて個人情報を取り扱う場合は、法第18条第1項に従って本人の同意を得なければならない。ただし、本人の身体等の保護のために必要があり、かつ本人の同意を得ることが困難である場合等、法第18条第3項各号に掲げる場合には、あらかじめ本人の同意を得ることなく、特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱うことができる(3-1-5(利用目的による制限の例外)参照)。
- (※1)「本人が通常予期し得る限度と客観的に認められる範囲」とは、本人の主観や事業者の恣意的な判断によるものではなく、一般人の判断において、当初の利用目的と変更後の利用目的を比較して予期できる範囲をいい、当初特定した利用目的とどの程度の関連性を有するかを総合的に勘案して判断される。
- (※2)「本人に通知」については、2-14(本人に通知)を参照のこと。
- (※3)「公表」については、2-15(公表)を参照のこと。
3-1-3 利用目的による制限(法第18条第1項関係)
- 法第18条(第1項)
-
- 個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
個人情報取扱事業者は、法第17条第1項により特定した利用目的の達成に必要な範囲を超えて、個人情報を取り扱う場合は、あらかじめ本人の同意(※)を得なければならない。
ただし、当該同意を得るために個人情報を利用すること(メールの送信や電話をかけること等)は、当初特定した利用目的として記載されていない場合でも、目的外利用には該当しない。
なお、令和3年改正法第50条の規定の施行日(令和4年4月1日)前に別表第二法人等(法別表第2に掲げる法人、法第58条第2項の規定により個人情報取扱事業者、仮名加工情報取扱事業者若しくは個人関連情報取扱事業者とみなされる独立行政法人労働者健康安全機構又は学術研究機関等である個人情報取扱事業者をいう。以下同じ。)に対しされた本人の個人情報の取扱いに関する同意がある場合において、その同意が法第17条第1項の規定により特定される利用目的以外の目的で個人情報を取り扱うことを認める旨の同意に相当するものであるときは、令和3年改正法第50条の規定の施行日(令和4年4月1日)において法第18条第1項の同意があったものとみなす(令和3年改正法附則第7条第1項)。
また、令和3年改正法第51条の規定の施行日(令和5年4月1日)前に特定地方独立行政法人等(法第58条第1項第2号に掲げる者又は同条第2項の規定により個人情報取扱事業者、仮名加工情報取扱事業者若しくは個人関連情報取扱事業者とみなされる法第58条第2項第1号に掲げる者をいう。以下同じ。)に対しされた本人の個人情報の取扱いに関する同意がある場合において、その同意が法第17条第1項の規定により特定される利用目的以外の目的で個人情報を取り扱うことを認める旨の同意に相当するものであるときは、令和3年改正法第51条の規定の施行日(令和5年4月1日)において法第18条第1項の同意があったものとみなす(令和3年改正法附則第9条第1項)。
(※)「本人の同意」については、2-16(本人の同意)を参照のこと。
3-1-4 事業の承継(法第18条第2項関係)
- 法第18条(第2項)
-
- 個人情報取扱事業者は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。
個人情報取扱事業者が、合併、分社化、事業譲渡等により他の個人情報取扱事業者から事業の承継をすることに伴って個人情報を取得した場合であって、当該個人情報に係る承継前の利用目的の達成に必要な範囲内で取り扱う場合は目的外利用にはならず、本人の同意(※)を得る必要はない。
なお、事業の承継後に、承継前の利用目的の達成に必要な範囲を超えて、個人情報を取り扱う場合は、あらかじめ本人の同意を得る必要があるが、当該同意を得るために個人情報を利用すること(メールの送信や電話をかけること等)は、承継前の利用目的として記載されていない場合でも、目的外利用には該当しない。
なお、令和 3 年改正法第 50 条の規定の施行日(令和 4 年 4 月 1 日)前に別表第二法人等(3-1-3(利用目的による制限)参照)に対しされた本人の個人情報の取扱いに関する同意がある場合において、その同意が法第 17 条第 1 項の規定により特定される利用目的以外の目的で個人情報を取り扱うことを認める旨の同意に相当するものであるときは、令和 3 年改正法第 50条の規定の施行日(令和 4 年 4 月 1 日)において法第 18 条第 2 項の同意があったものとみなす(令和 3 年改正法附則第 7 条第 1 項)。
また、令和 3 年改正法第 51 条の規定の施行日(令和 5 年 4 月 1 日)前に特定地方独立行政法人等(3-1-3(利用目的による制限)参照)に対しされた本人の個人情報の取扱いに関する同意がある場合において、その同意が法第 17 条第 1 項の規定により特定される利用目的以外の目的で個人情報を取り扱うことを認める旨の同意に相当するものであるときは、令和 3 年改正法第 51 条の規定の施行日(令和 5 年 4 月 1 日)において法第 18 条第 2 項の同意があったものとみなす(令和 3 年改正法附則第 9 条第 1 項)。
(※)「本人の同意」については、2-16(本人の同意)を参照のこと。
3-1-5 利用目的による制限の例外(法第18条第3項関係)
- 法第18条(第3項)
-
- 前二項の規定は、次に掲げる場合については、適用しない。
- 法令(条例を含む。以下この章において同じ。)に基づく場合
- 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
- 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
- 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
- 当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人情報を学術研究の用に供する目的(以下この章において「学術研究目的」という。)で取り扱う必要があるとき(当該個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
- 学術研究機関等に個人データを提供する場合であって、当該学術研究機関等が当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
- 前二項の規定は、次に掲げる場合については、適用しない。
次に掲げる場合については、法第18条第1項及び第2項において、特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱うに当たり本人の同意(※)を得ることが求められる場合であっても、当該同意は不要である。
(※)「本人の同意」については、2-16(本人の同意)を参照のこと。
- 法令に基づく場合(法第18条第3項第1号関係)
法令に基づく場合は、法第18条第1項又は第2項の適用を受けず、あらかじめ本人の同意を得ることなく、特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱うことができる。
- 事例1)警察の捜査関係事項照会に対応する場合(刑事訴訟法(昭和23年法律第131号)第197条第2項)
- 事例2)裁判官の発する令状に基づく捜査に対応する場合(刑事訴訟法第218条)
- 事例3)税務署の所得税等に関する調査に対応する場合(国税通則法(昭和37年法律第66号)第74条の2他)
- 事例4)製造・輸入事業者が消費生活用製品安全法(昭和48年法律第31号)第39条第1項の規定による命令(危害防止命令)を受けて製品の回収等の措置をとる際に、販売事業者が、同法第38条第3項の規定に基づき製品の購入者等の情報を当該製造・輸入事業者に提供する場合
- 事例5)弁護士会からの照会に対応する場合(弁護士法(昭和24年法律第205号)第23条の2)
- 事例6)保健所が行う積極的疫学調査に対応する場合(感染症の予防及び感染症の患者に対する医療に関する法律(平成10年法律第114号)第15条第1項)
- 事例7)災害発生時の停電復旧対応の迅速化等のため、経済産業大臣の求めに応じて、一般送配電事業者が、関係行政機関又は地方公共団体の長に対して必要な情報を提供する場合(電気事業法(昭和39年法律第170号)第34条第1項)
- 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき(法第18条第3項第2号関係)
人(法人を含む。)の生命、身体又は財産といった具体的な権利利益の保護が必要であり、かつ、本人の同意を得ることが困難である場合は、法第18条第1項又は第2項の適用を受けず、あらかじめ本人の同意を得ることなく、特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱うことができる。
- 事例1)急病その他の事態が生じたときに、本人について、その血液型や家族の連絡先等を医師や看護師に提供する場合
- 事例2)大規模災害や事故等の緊急時に、被災者情報・負傷者情報等を家族、行政機関、地方自治体等に提供する場合
- 事例3)事業者間において、暴力団等の反社会的勢力情報、振り込め詐欺に利用された口座に関する情報、意図的に業務妨害を行う者の情報について共有する場合
- 事例4)製造した商品に関連して事故が生じたため、又は、事故は生じていないが、人の生命若しくは身体に危害を及ぼす急迫した危険が存在するため、当該商品の製造事業者等が当該商品をリコールする場合で、販売事業者、修理事業者又は設置工事事業者等が当該製造事業者等に対して、当該商品の購入者等の情報を提供する場合
- 事例5)上記事例4のほか、商品に重大な欠陥があり人の生命、身体又は財産の保護が必要となるような緊急時に、製造事業者から顧客情報の提供を求められ、これに応じる必要がある場合
- 事例6)不正送金等の金融犯罪被害の事実に関する情報を、関連する犯罪被害の防止のために、他の事業者に提供する場合
- 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき(法第18条第3項第3号関係)
- 公衆衛生の向上又は心身の発達途上にある児童の健全な育成のために特に必要があり、かつ、本人の同意を得ることが困難である場合は、法第18条第1項又は第2項の適用を受けず、あらかじめ本人の同意を得ることなく、特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱うことができる。
- 事例1)健康保険組合等の保険者等が実施する健康診断の結果等に係る情報を、健康増進施策の立案、保健事業の効果の向上、疫学調査等に利用する場合
- 事例2)児童生徒の不登校や不良行為等について、児童相談所、学校、医療機関等の関係機関が連携して対応するために、当該関係機関等の間で当該児童生徒の情報を交換する場合
- 事例3)児童虐待のおそれのある家庭情報を、児童相談所、警察、学校、病院等が共有する必要がある場合
- 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して、事業者が協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき(法第18条第3項第4号関係)
- 国の機関等(地方公共団体又はその委託を受けた者を含む。)が法令の定める事務を実施する上で、民間企業等の協力を得る必要があり、かつ、本人の同意を得ることが当該事務の遂行に支障を及ぼすおそれがあると認められる場合は、当該民間企業等は、法第18条第1項又は第2項の適用を受けず、あらかじめ本人の同意を得ることなく、特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱うことができる。
- 事例1)事業者が税務署又は税関の職員等の任意の求めに応じて個人情報を提出する場合
- 事例2)事業者が警察の任意の求めに応じて個人情報を提出する場合
- 事例3)一般統計調査や地方公共団体が行う統計調査に回答する場合
- 当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人情報を学術研究の用に供する目的(以下この章において「学術研究目的」という。)で取り扱う必要があるとき(当該個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(法第18条第3項第5号関係)
学術研究機関等(※1)が個人情報を学術研究目的(※2)で取り扱う必要がある場合(当該個人情報を取り扱う目的の一部が学術研究目的である場合を含む。)であって、個人の権利利益を不当に侵害するおそれがない場合は、当該学術研究機関等は、法第18条第1項又は第2項(利用目的による制限)の適用を受けず、あらかじめ本人の同意を得ることなく、特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱うことができる(※3)。
- (※1)「学術研究機関等」については、2-18(学術研究機関等)を参照のこと。
- (※2)「学術研究目的」については、2-19(学術研究目的)を参照のこと。
- (※3)「個人の権利利益を不当に侵害するおそれがある場合」には、個人情報の目的外利用をすることはできない。この場合、個人の権利利益を不当に侵害しないような措置を講ずるなど適切に処理する必要がある。この点、学術研究目的で個人情報を取り扱う必要があって、目的外利用をする場合であっても、本人又は第三者の権利利益の保護の観点から、特定の個人を識別することができないよう個人情報を加工するなど、学術研究の目的に照らして可能な措置を講ずることが望ましい。
- 学術研究機関等に個人データを提供する場合であって、当該学術研究機関等が当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(法第18条第3項第6号関係)
個人情報取扱事業者が、学術研究機関等(※1)に個人データを提供し、かつ、当該学術研究機関等が当該個人データを学術研究目的(※2)で取り扱う必要がある場合(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く(※3)。)は、法第18条第1項又は第2項(利用目的による制限)の適用を受けず、あらかじめ本人の同意を得ることなく、特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱うことができる。
- (※1)「学術研究機関等」については、2-18(学術研究機関等)を参照のこと。
- (※2)「学術研究目的」については、2-19(学術研究目的)を参照のこと。
- (※3)「個人の権利利益を不当に侵害するおそれがある場合」には、学術研究機関等に個人情報を提供することはできない。この場合、個人の権利利益を不当に侵害しないような措置を講ずるなど適切に処理する必要がある。この点、学術研究目的で個人データを取り扱う必要があって、学術研究機関等に個人データを提供する場合であっても、提供する個人データの範囲を限定するなど、学術研究の目的に照らして可能な措置を講ずることが望ましい。
3-2 不適正利用の禁止(法第19条関係)
- 法第19条
- 個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。
個人情報取扱事業者は、違法又は不当な行為(※1)を助長し、又は誘発するおそれ(※2)がある方法により個人情報を利用してはならない。
- 【個人情報取扱事業者が違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用している事例】
-
- 事例1)違法な行為を営むことが疑われる事業者(例:貸金業登録を行っていない貸金業者等)からの突然の接触による本人の平穏な生活を送る権利の侵害等、当該事業者の違法な行為を助長するおそれが想定されるにもかかわらず、当該事業者に当該本人の個人情報を提供する場合
- 事例2)裁判所による公告等により散在的に公開されている個人情報(例:官報に掲載される破産者情報)を、当該個人情報に係る本人に対する違法な差別が、不特定多数の者によって誘発されるおそれがあることが予見できるにもかかわらず、それを集約してデータベース化し、インターネット上で公開する場合
- 事例3)暴力団員により行われる暴力的要求行為等の不当な行為や総会屋による不当な要求を助長し、又は誘発するおそれが予見できるにもかかわらず、事業者間で共有している暴力団員等に該当する人物を本人とする個人情報や、不当要求による被害を防止するために必要な業務を行う各事業者の責任者の名簿等を、みだりに開示し、又は暴力団等に対しその存在を明らかにする場合
- 事例4)個人情報を提供した場合、提供先において法第27条第1項に違反する第三者提供がなされることを予見できるにもかかわらず、当該提供先に対して、個人情報を提供する場合
- 事例5)採用選考を通じて個人情報を取得した事業者が、性別、国籍等の特定の属性のみにより、正当な理由なく本人に対する違法な差別的取扱いを行うために、個人情報を利用する場合
- 事例6)広告配信を行っている事業者が、第三者から広告配信依頼を受けた商品が違法薬物等の違法な商品であることが予見できるにもかかわらず、当該商品の広告配信のために、自社で取得した個人情報を利用する場合
- (※1)「違法又は不当な行為」とは、法(個人情報の保護に関する法律)その他の法令に違反する行為、及び直ちに違法とはいえないものの、法(個人情報の保護に関する法律)その他の法令の制度趣旨又は公序良俗に反する等、社会通念上適正とは認められない行為をいう。
- (※2)「おそれ」の有無は、個人情報取扱事業者による個人情報の利用が、違法又は不当な行為を助長又は誘発することについて、社会通念上蓋然性が認められるか否かにより判断される。この判断に当たっては、個人情報の利用方法等の客観的な事情に加えて、個人情報の利用時点における個人情報取扱事業者の認識及び予見可能性も踏まえる必要がある。例えば、個人情報取扱事業者が第三者に個人情報を提供した場合において、当該第三者が当該個人情報を違法な行為に用いた場合であっても、当該第三者が当該個人情報の取得目的を偽っていた等、当該個人情報の提供の時点において、提供した個人情報が違法に利用されることについて、当該個人情報取扱事業者が一般的な注意力をもってしても予見できない状況であった場合には、「おそれ」は認められないと解される。
3-3 個人情報の取得(法第20条・第21条関係)
3-3-1 適正取得(法第20条第1項関係)
- 法第20条(第1項)
- 1 個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。
個人情報取扱事業者は、偽り等の不正の手段により個人情報を取得(※1)してはならない(※2)。
- 【個人情報取扱事業者が不正の手段により個人情報を取得している事例】
- 事例1)十分な判断能力を有していない子供や障害者から、取得状況から考えて関係のない家族の収入事情などの家族の個人情報を、家族の同意なく取得する場合
- 事例2)法第27条第1項に規定する第三者提供制限違反をするよう強要して個人情報を取得する場合
- 事例3)個人情報を取得する主体や利用目的等について、意図的に虚偽の情報を示して、本人から個人情報を取得する場合
- 事例4)他の事業者に指示して不正の手段で個人情報を取得させ、当該他の事業者から個人情報を取得する場合
- 事例5)法第27条第1項に規定する第三者提供制限違反がされようとしていることを知り、又は容易に知ることができるにもかかわらず、個人情報を取得する場合
- 事例6)不正の手段で個人情報が取得されたことを知り、又は容易に知ることができるにもかかわらず、当該個人情報を取得する場合
- (※1)個人情報を含む情報がインターネット等により公にされている場合であって、単にこれを閲覧するにすぎず、転記等を行わない場合は、個人情報を取得しているとは解されない。
- (※2)個人情報取扱事業者若しくはその従業者又はこれらであった者が、その業務に関して取り扱った個人情報データベース等(その全部又は一部を複製し、又は加工したものを含む。)を自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、法第179条により刑事罰(1年以下の懲役又は50万円以下の罰金)が科され得る。
3-3-2 要配慮個人情報の取得(法第20条第2項関係)
- 法第20条(第2項)
-
- 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。
- 法令に基づく場合
- 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
- 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
- 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
- 当該個人情報取扱事業者が学術研究機関等である場合であって、当該要配慮個人情報を学術研究目的で取り扱う必要があるとき(当該要配慮個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
- 学術研究機関等から当該要配慮個人情報を取得する場合であって、当該要配慮個人情報を学術研究目的で取得する必要があるとき(当該要配慮個人情報を取得する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(当該個人情報取扱事業者と当該学術研究機関等が共同して学術研究を行う場合に限る。)。
- 当該要配慮個人情報が、本人、国の機関、地方公共団体、学術研究機関等、第57条第1項各号に掲げる者その他個人情報保護委員会規則で定める者により公開されている場合
- その他前各号に掲げる場合に準ずるものとして政令で定める場合
- 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。
- 規則第6条
- 法第20条第2項第7号の個人情報保護委員会規則で定める者は、次の各号のいずれかに該当する者とする。
- 外国政府、外国の政府機関、外国の地方公共団体又は国際機関
- 外国において法第16条第8項に規定する学術研究機関等に相当する者
- 外国において法第57条第1項各号に掲げる者に相当する者
- 政令第9条
- 法第20条第2項第8号の政令で定める場合は、次に掲げる場合とする。
- 本人を目視し、又は撮影することにより、その外形上明らかな要配慮個人情報を取得する場合
- 法第27条第5項各号(法第41条第6項の規定により読み替えて適用する場合及び法第42条第2項において読み替えて準用する場合を含む。)に掲げる場合において、個人データである要配慮個人情報の提供を受けるとき。
要配慮個人情報(※1)を取得する場合には、あらかじめ本人の同意(※2)を得なければならない。ただし、次の(1)から(9)までに掲げる場合については、本人の同意を得る必要はない。
- (※1)「要配慮個人情報」については、2-3(要配慮個人情報)を参照のこと。なお、要配慮個人情報の第三者提供には、原則として本人の同意が必要であり、オプトアウトによる第三者提供は認められていないので、注意が必要である(3-6-1(第三者提供の制限の原則)、3-6-2(オプトアウトによる第三者提供)参照)。
- (※2)「本人の同意」については、2-16(本人の同意)を参照のこと。なお、個人情報取扱事業者が要配慮個人情報を書面又は口頭等により本人から適正に直接取得する場合は、本人が当該情報を提供したことをもって、当該個人情報取扱事業者が当該情報を取得することについて本人の同意があったものと解される。
また、個人情報取扱事業者が要配慮個人情報を第三者提供の方法により取得した場合、提供元が法第20条第2項及び法第27条第1項に基づいて本人から必要な同意(要配慮個人情報の取得及び第三者提供に関する同意)を取得していることが前提となるため、提供を受けた当該個人情報取扱事業者が、改めて本人から法第20条第2項に基づく同意を得る必要はないものと解される。
- 法令に基づく場合(法第20条第2項第1号関係)
法令に基づく場合は、あらかじめ本人の同意を得ることなく、要配慮個人情報を取得することができる。なお、具体的な事例は、3-1-5(利用目的による制限の例外)に示すもののほか、次の事例も該当する。
- 事例) 個人情報取扱事業者が、労働安全衛生法に基づき健康診断を実施し、これにより従業員の身体状況、病状、治療等の情報を健康診断実施機関から取得する場合
- 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき(法第20条第2項第2号関係)
人(法人を含む。)の生命、身体又は財産といった具体的な権利利益の保護が必要であり、かつ、本人の同意を得ることが困難である場合は、あらかじめ本人の同意を得ることなく、要配慮個人情報を取得することができる。
- 事例1)急病その他の事態が生じたときに、本人の病歴等を医師や看護師が家族から聴取する場合
- 事例2)事業者間において、不正対策等のために、暴力団等の反社会的勢力情報、意図的に業務妨害を行う者の情報のうち、過去に業務妨害罪で逮捕された事実等の情報について共有する場合
- 事例3)不正送金等の金融犯罪被害の事実に関する情報を、関連する犯罪被害の防止のために、他の事業者から取得する場合
- 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき(法第20条第2項第3号関係)
公衆衛生の向上又は心身の発達途上にある児童の健全な育成のために特に必要があり、かつ、本人の同意を得ることが困難である場合は、あらかじめ本人の同意を得ることなく、要配慮個人情報を取得することができる。
- 事例1)健康保険組合等の保険者等が実施する健康診断等の結果判明した病名等について、健康増進施策の立案や保健事業の効果の向上を目的として疫学調査等のために提供を受けて取得する場合
- 事例2)児童生徒の不登校や不良行為等について、児童相談所、学校、医療機関等の関係機関が連携して対応するために、ある関係機関において、他の関係機関から当該児童生徒の保護事件に関する手続が行われた情報を取得する場合
- 事例3)児童虐待のおそれのある家庭情報のうち被害を被った事実に係る情報を、児童相談所、警察、学校、病院等の関係機関が、他の関係機関から取得する場合
- 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して、事業者が協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき(法第20条第2項第4号関係)
国の機関等(地方公共団体又はその委託を受けた者を含む。)が法令の定める事務を実施する上で、民間企業等の協力を得る必要があり、かつ、本人の同意を得ることが当該事務の遂行に支障を及ぼすおそれがあると認められる場合は、当該民間企業等は、あらかじめ本人の同意を得ることなく、要配慮個人情報を取得することができる。
- 事例) 事業者が警察の任意の求めに応じて要配慮個人情報に該当する個人情報を提出するために、当該個人情報を取得する場合
- 当該個人情報取扱事業者が学術研究機関等である場合であって、当該要配慮個人情報を学術研究目的で取り扱う必要があるとき(当該要配慮個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(法第20条第2項第5号)
学術研究機関等(※1)が要配慮個人情報を学術研究目的(※2)で取り扱う必要がある場合(当該要配慮個人情報を取り扱う目的の一部が学術研究目的である場合を含む。)であって、個人の権利利益を不当に侵害するおそれがない場合は、当該学術研究機関等は、あらかじめ本人の同意を得ることなく、要配慮個人情報を取得することができる(※3)。
- (※1)「学術研究機関等」については、2-18(学術研究機関等)を参照のこと。
- (※2)「学術研究目的」については、2-19(学術研究目的)を参照のこと。
- (※3)「個人の権利利益を不当に侵害するおそれがある場合」には、要配慮個人情報を取得することはできない。この場合、個人の権利利益を不当に侵害しないような措置を講ずるなど適切に処理する必要がある。この点、学術研究目的で要配慮個人情報を取り扱う必要がある場合であっても、本人又は第三者の権利利益の保護の観点から、取得する要配慮個人情報の範囲を限定するなど、学術研究の目的に照らして可能な措置を講ずることが望ましい。
- 学術研究機関等から当該要配慮個人情報を取得する場合であって、当該要配慮個人情報を学術研究目的で取得する必要があるとき(当該要配慮個人情報を取得する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(当該個人情報取扱事業者と当該学術研究機関等が共同して学術研究を行う場合に限る。)(法第20条第2項第6号関係)
個人情報取扱事業者が要配慮個人情報を学術研究目的(※1)で取得する必要があり、かつ、当該個人情報取扱事業者と共同して学術研究を行う学術研究機関等(※2)から当該要配慮個人情報を取得する場合(当該要配慮個人情報を取得する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く(※3)。)は、あらかじめ本人の同意を得ることなく、要配慮個人情報を取得することができる。
- (※1)「学術研究目的」については、2-19(学術研究目的)を参照のこと。
- (※2)「学術研究機関等」については、2-18(学術研究機関等)を参照のこと。
- (※3)「個人の権利利益を不当に侵害するおそれがある場合」には、要配慮個人情報を取得することはできない。この場合、個人の権利利益を不当に侵害しないような措置を講ずるなど適切に処理する必要がある。この点、学術研究目的で要配慮個人情報を取得する必要があって、学術研究機関等と共同して学術研究を行う場合であっても、本人又は第三者の権利利益の保護の観点から、取得する個人データの範囲を限定するなど、学術研究の目的に照らして可能な措置を講ずることが望ましい。
- 当該要配慮個人情報が、本人、国の機関、地方公共団体、学術研究機関等、法第57条第1項各号に掲げる者その他個人情報保護委員会規則で定める者により公開されている場合(法第20条第2項第7号、規則第6条関係)
要配慮個人情報が、次に掲げる者により公開されている場合は、あらかじめ本人の同意を得ることなく、当該公開されている要配慮個人情報を取得することができる。
- マル1本人
- マル2国の機関
- マル3地方公共団体
- マル4学術研究機関等
- マル5放送機関・新聞社・通信社その他の報道機関(報道を業として行う個人を含む。)
- マル6著述を業として行う者
- マル7宗教団体
- マル8政治団体
- マル9外国政府、外国の政府機関、外国の地方公共団体又は国際機関
- マル10外国において法第16条第8項に規定する学術研究機関等に相当する者
- マル11外国において法第57条第1項各号に掲げる者に相当する者
- 本人を目視し、又は撮影することにより、その外形上明らかな要配慮個人情報を取得する場合(法第20条第2項第8号、政令第9条第1号関係)
本人の意思にかかわらず、本人の外形上の特徴により、要配慮個人情報に含まれる事項(例:身体障害等)が明らかであるときは、あらかじめ本人の同意を得ることなく、当該要配慮個人情報を取得することができる。
- 事例) 身体の不自由な方が店舗に来店し、対応した店員がその旨をお客様対応録等に記録した場合(目視による取得)や、身体の不自由な方の様子が店舗に設置された防犯カメラに映りこんだ場合(撮影による取得)
- 法第27条第5項各号(法第41条第6項の規定により読み替えて適用する場合及び法第42条第2項において読み替えて準用する場合を含む。)に掲げる場合において、個人データである要配慮個人情報の提供を受けるとき(法第20条第2項第8号、政令第9条第2号関係)
要配慮個人情報を、法第27条第5項各号(法第41条第6項の規定により読み替えて適用する場合及び法第42条第2項において読み替えて準用する場合を含む。)に定める委託、事業承継又は共同利用により取得する場合は、あらかじめ本人の同意を得る必要はない。
- 【法第20条第2項に違反している事例】
- 本人の同意を得ることなく、法第20条第2項第7号及び規則第6条で定める者以外がインターネット上で公開している情報から本人の信条や犯罪歴等に関する情報を取得し、既に保有している当該本人に関する情報の一部として自己のデータベース等に登録すること。
3-3-3 利用目的の通知又は公表(法第21条第1項関係)
- 法第21条(第1項)
-
- 個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
個人情報取扱事業者は、個人情報を取得する場合は、あらかじめその利用目的を公表(※1)していることが望ましい。公表していない場合は、取得後速やかに、その利用目的を、本人に通知(※2)するか、又は公表しなければならない。
- 【本人への通知又は公表が必要な事例】
- 事例1)インターネット上で本人が自発的に公にしている個人情報を取得した場合(単に閲覧しただけの場合を除く。)
- 事例2)インターネット、官報、職員録等から個人情報を取得した場合(単に閲覧しただけの場合を除く。)
- 事例3)個人情報の第三者提供を受けた場合
- (※1)「公表」については、2-15(公表)を参照のこと。
- (※2)「本人に通知」については、2-14(本人に通知)を参照のこと。
3-3-4 直接書面等による取得(法第21条第2項関係)
- 法第21条(第2項)
-
- 個人情報取扱事業者は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電磁的記録を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。
個人情報取扱事業者は、契約書や懸賞応募はがき等の書面等による記載、ユーザー入力画面への打ち込み等の電磁的記録により、直接本人から個人情報を取得する場合には、あらかじめ、本人に対し、その利用目的を明示(※)しなければならない。
なお、名刺などは、一般の慣行として、自身の個人情報を、本人の自発的な意思で、任意の簡便な形式により相手に提供するものであり、申込書、アンケート調査票、懸賞応募はがき等のように、個人情報取扱事業者が一定の書式や様式を準備した上で、本人が当該事業者の求めに沿う形で個人情報を提供する場合とは異なることから、本項の義務を課するものではないが、その場合は法第21条第1項に基づいて、あらかじめ利用目的を公表するか、取得後速やかに、その利用目的を、本人に通知するか、又は公表しなければならない(ただし、3-3-5(利用目的の通知等をしなくてよい場合)参照)。口頭により個人情報を取得する場合についても同様である。
また、人(法人を含む。)の生命、身体又は財産の保護のために緊急に必要がある場合は、あらかじめ、本人に対し、その利用目的を明示する必要はないが、その場合は法第21条第1項に基づいて、取得後速やかにその利用目的を、本人に通知し、又は公表しなければならない(3-3-3(利用目的の通知又は公表)参照)。
- 【あらかじめ、本人に対し、その利用目的を明示しなければならない事例】
- 事例1)本人の個人情報が記載された申込書・契約書等を本人から直接取得する場合
- 事例2)アンケートに記載された個人情報を直接本人から取得する場合
- 事例3)自社が主催するキャンペーンへの参加希望者が、参加申込みのために自社のホームページの入力画面に入力した個人情報を直接本人から取得する場合
- 【利用目的の明示に該当する事例】
- 事例1)利用目的を明記した契約書その他の書面を相手方である本人に手渡し、又は送付する場合
なお、契約約款又は利用条件等の書面(電磁的記録を含む。)中に利用目的条項を記載する場合は、例えば、裏面約款に利用目的が記載されていることを伝える、又は裏面約款等に記載されている利用目的条項を表面にも記載し、かつ、社会通念上、本人が認識できる場所及び文字の大きさで記載する等、本人が実際に利用目的を確認できるよう留意することが望ましい。 - 事例2)ネットワーク上において、利用目的を、本人がアクセスした自社のホームページ上に明示し、又は本人の端末装置上に表示する場合
なお、ネットワーク上において個人情報を取得する場合は、本人が送信ボタン等をクリックする前等にその利用目的(利用目的の内容が示された画面に1回程度の操作でページ遷移するよう設定したリンクやボタンを含む。)が本人の目に留まるようその配置に留意することが望ましい。
(※)「本人に対し、その利用目的を明示」とは、本人に対し、その利用目的を明確に示すことをいい、事業の性質及び個人情報の取扱状況に応じ、内容が本人に認識される合理的かつ適切な方法による必要がある。
3-3-5 利用目的の通知等をしなくてよい場合(法第21条第4項関係)
- 法第21条(第4項)
-
- 前三項の規定は、次に掲げる場合については、適用しない。
- 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
- 利用目的を本人に通知し、又は公表することにより当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合
- 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。
- 取得の状況からみて利用目的が明らかであると認められる場合
- 前三項の規定は、次に掲げる場合については、適用しない。
次に掲げる場合については、法第21条第1項から第3項までにおいて利用目的の本人への通知(※1)、公表(※2)又は明示(※3)(以下この項において「利用目的の通知等」という。)が求められる場合であっても、当該利用目的の通知等は不要である。
- 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合(法第21条第4項第1号関係)
- 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合は、法第21条第1項から第3項までの適用を受けず、当該利用目的の通知等は不要である。
- 事例) 児童虐待等に対応するために、児童相談所、学校、医療機関等の関係機関において、ネットワークを組んで対応する場合に、加害者である本人に対して当該本人の個人情報の利用目的を通知・公表することにより、虐待を悪化させたり、虐待への対応に支障等が生じたりするおそれがある場合
- 利用目的を本人に通知し、又は公表することにより事業者の権利又は正当な利益を害するおそれがある場合(法第21条第4項第2号関係)
- 利用目的を本人に通知し、又は公表することにより事業者の権利又は正当な利益を害するおそれがある場合は、法第21条第1項から第3項までの適用を受けず、当該利用目的の通知等は不要である。
- 事例) 暴力団等の反社会的勢力情報、疑わしい取引の届出の対象情報、業務妨害行為を行う悪質者情報等を、本人又は他の事業者等から取得したことが明らかになることにより、当該情報を取得した企業に害が及ぶ場合
- 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき(法第21条第4項第3号関係)
- 国の機関等(地方公共団体又はその委託を受けた者を含む。)が法令の定める事務を実施する上で、民間企業等の協力を得る必要があり、かつ、本人に対する利用目的の通知等により当該事務の遂行に支障を及ぼすおそれがあると認められる場合は、当該民間企業等は、法第21条第1項から第3項までの適用を受けず、当該利用目的の通知等は不要である。
- 事例) 警察が、公開手配を行わないで、被疑者に関する個人情報を、被疑者の立ち回りが予想される個人情報取扱事業者に限って提供した場合において、警察から当該個人情報を受け取った当該個人情報取扱事業者が、利用目的を本人に通知し、又は公表することにより、捜査活動に支障を及ぼすおそれがある場合
- 取得の状況からみて利用目的が明らかであると認められる場合(法第21条第4項第4号関係)
- 取得の状況からみて利用目的が明らかであると認められる場合は、法第21条第1項から第3項までの適用を受けず、当該利用目的の通知等は不要である。
- 事例1)商品・サービス等を販売・提供するに当たって住所・電話番号等の個人情報を取得する場合で、その利用目的が当該商品・サービス等の販売・提供のみを確実に行うためという利用目的であるような場合
- 事例2)一般の慣行として名刺を交換する場合、直接本人から、氏名・所属・肩書・連絡先等の個人情報を取得することとなるが、その利用目的が今後の連絡や、所属する会社の広告宣伝のための冊子や電子メールを送付するという利用目的であるような場合
- (※1)本人への「通知」については、2-14(本人に通知)を参照のこと。
- (※2)「公表」については、2-15(公表)を参照のこと。
- (※3)「明示」については、3-3-4(直接書面等による取得)を参照のこと。
3-4 個人データの管理(法第22条~第25条関係)
3-4-1 データ内容の正確性の確保等(法第22条関係)
- 法第22条
- 個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。
個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人情報データベース等への個人情報の入力時の照合・確認の手続の整備、誤り等を発見した場合の訂正等の手続の整備、記録事項の更新、保存期間の設定等を行うことにより、個人データを正確かつ最新の内容に保つよう努めなければならない。
なお、保有する個人データを一律に又は常に最新化する必要はなく、それぞれの利用目的に応じて、その必要な範囲内で正確性・最新性を確保すれば足りる。
また、個人情報取扱事業者は、保有する個人データについて利用する必要がなくなったとき、すなわち、利用目的が達成され当該目的との関係では当該個人データを保有する合理的な理由が存在しなくなった場合や、利用目的が達成されなかったものの当該目的の前提となる事業自体が中止となった場合等は、当該個人データを遅滞なく消去するよう努めなければならない(※)。なお、法令の定めにより保存期間等が定められている場合は、この限りではない。
- 【個人データについて利用する必要がなくなったときに該当する事例】
- 事例) キャンペーンの懸賞品送付のため、当該キャンペーンの応募者の個人データを保有していたところ、懸賞品の発送が終わり、不着対応等のための合理的な期間が経過した場合
(※)「個人データの消去」とは、当該個人データを個人データとして使えなくすることであり、当該データを削除することのほか、当該データから特定の個人を識別できないようにすること等を含む。
3-4-2 安全管理措置(法第23条関係)
- 法第23条
- 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損(以下「漏えい等」という。)の防止その他の個人データの安全管理のため、必要かつ適切な措置を講じなければならないが、当該措置は、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)、個人データを記録した媒体の性質等に起因するリスクに応じて、必要かつ適切な内容としなければならない。
なお、「その他の個人データの安全管理のために必要かつ適切な措置」には、個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、当該個人情報取扱事業者が個人データとして取り扱うことを予定しているものの漏えい等を防止するために必要かつ適切な措置も含まれる。
具体的に講じなければならない措置や当該措置を実践するための手法の例等については、「10(別添)講ずべき安全管理措置の内容」を参照のこと。
3-4-3 従業者の監督(法第24条関係)
- 法第24条
- 個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。
個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たって、法第23条に基づく安全管理措置を遵守させるよう、当該従業者に対し必要かつ適切な監督をしなければならない。その際、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)等に起因するリスクに応じて、個人データを取り扱う従業者に対する教育、研修等の内容及び頻度を充実させるなど、必要かつ適切な措置を講ずることが望ましい。
「従業者」とは、個人情報取扱事業者の組織内にあって直接間接に事業者の指揮監督を受けて事業者の業務に従事している者等をいい、雇用関係にある従業員(正社員、契約社員、嘱託社員、パート社員、アルバイト社員等)のみならず、取締役、執行役、理事、監査役、監事、派遣社員等も含まれる。
- 【従業者に対して必要かつ適切な監督を行っていない事例】
- 事例1)従業者が、個人データの安全管理措置を定める規程等に従って業務を行っていることを確認しなかった結果、個人データが漏えいした場合
- 事例2)内部規程等に違反して個人データが入ったノート型パソコン又は外部記録媒体が繰り返し持ち出されていたにもかかわらず、その行為を放置した結果、当該パソコン又は当該記録媒体が紛失し、個人データが漏えいした場合
3-4-4 委託先の監督(法第25条関係)
- 法第25条
- 個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託(※1)する場合は、委託を受けた者(以下「委託先」という。)において当該個人データについて安全管理措置が適切に講じられるよう、委託先に対し必要かつ適切な監督をしなければならない。
具体的には、個人情報取扱事業者は、法第23条に基づき自らが講ずべき安全管理措置と同等の措置が講じられるよう、監督を行うものとする(※2)。
その際、委託する業務内容に対して必要のない個人データを提供しないようにすることは当然のこととして、取扱いを委託する個人データの内容を踏まえ、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、委託する事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)等に起因するリスクに応じて、次の(1)から(3)までに掲げる必要かつ適切な措置を講じなければならない(※3)。
- 適切な委託先の選定
委託先の選定に当たっては、委託先の安全管理措置が、少なくとも法第23条及び本ガイドラインで委託元に求められるものと同等であることを確認するため、「10((別添)講ずべき安全管理措置の内容)」に定める各項目が、委託する業務内容に沿って、確実に実施されることについて、あらかじめ確認しなければならない。
- 委託契約の締結
委託契約には、当該個人データの取扱いに関する、必要かつ適切な安全管理措置として、委託元、委託先双方が同意した内容とともに、委託先における委託された個人データの取扱状況を委託元が合理的に把握することを盛り込むことが望ましい。
- 委託先における個人データ取扱状況の把握
委託先における委託された個人データの取扱状況を把握するためには、定期的に監査を行う等により、委託契約で盛り込んだ内容の実施の程度を調査した上で、委託の内容等の見直しを検討することを含め、適切に評価することが望ましい。
また、委託先が再委託を行おうとする場合は、委託を行う場合と同様、委託元は、委託先が再委託する相手方、再委託する業務内容、再委託先の個人データの取扱方法等について、委託先から事前報告を受け又は承認を行うこと、及び委託先を通じて又は必要に応じて自らが、定期的に監査を実施すること等により、委託先が再委託先に対して本条の委託先の監督を適切に果たすこと、及び再委託先が法第23条に基づく安全管理措置を講ずることを十分に確認することが望ましい(※4)。再委託先が再々委託を行う場合以降も、再委託を行う場合と同様である。
- 【委託を受けた者に対して必要かつ適切な監督を行っていない事例】
- 事例1)個人データの安全管理措置の状況を契約締結時及びそれ以後も適宜把握せず外部の事業者に委託した結果、委託先が個人データを漏えいした場合
- 事例2)個人データの取扱いに関して必要な安全管理措置の内容を委託先に指示しなかった結果、委託先が個人データを漏えいした場合
- 事例3)再委託の条件に関する指示を委託先に行わず、かつ委託先の個人データの取扱状況の確認を怠り、委託先が個人データの処理を再委託した結果、当該再委託先が個人データを漏えいした場合
- 事例4)契約の中に、委託元は委託先による再委託の実施状況を把握することが盛り込まれているにもかかわらず、委託先に対して再委託に関する報告を求めるなどの必要な措置を行わず、委託元の認知しない再委託が行われた結果、当該再委託先が個人データを漏えいした場合
- (※1)「個人データの取扱いの委託」とは、契約の形態・種類を問わず、個人情報取扱事業者が他の者に個人データの取扱いを行わせることをいう。具体的には、個人データの入力(本人からの取得を含む。)、編集、分析、出力等の処理を行うことを委託すること等が想定される。
- (※2)委託元が法第23条が求める水準を超える高い水準の安全管理措置を講じている場合に、委託先に対してもこれと同等の措置を求める趣旨ではなく、法律上は、委託先は、法第23条が求める水準の安全管理措置を講じれば足りると解される。
- (※3)委託先の選定や委託先における個人データ取扱状況の把握に当たっては、取扱いを委託する個人データの内容や規模に応じて適切な方法をとる必要があるが、例えば、必要に応じて個人データを取り扱う場所に赴く又はこれに代わる合理的な方法(口頭による確認を含む。)により確認することが考えられる。
- (※4)委託元が委託先について「必要かつ適切な監督」を行っていない場合で、委託先が再委託をした際に、再委託先が不適切な取扱いを行ったときは、元の委託元による法違反と判断され得るので、再委託をする場合は注意を要する。
3-5 個人データの漏えい等の報告等(法第26条関係)
3-5-1 「個人データ」の「漏えい等」の考え方
3-5-1-1 規則第 7 条の「個人データ」の考え方
規則第 7 条は、法第 26 条第 1 項に基づく漏えい等の報告の対象となる事態について定めているところ、規則第 7 条に規定する「個人データ」とは、個人情報取扱事業者が取り扱う個人データをいう。
ただし、同条第 3 号に規定する「個人データ」には、「当該個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているもの」が含まれる。
そのため、同号に定める事態との関係では、3-5-1-2(「漏えい」の考え方)から3-5-1-4(「毀損」の考え方)までにおける「個人データ」は、個人情報取扱事業者が取り扱う個人データに加え、「当該個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているもの」を含む。
同号に定める事態について、詳細は 3-5-3-1(報告対象となる事態)を参照のこと。
3-5-1-2 「漏えい」の考え方
個人データの「漏えい」とは、個人データが外部に流出することをいう。
- 【個人データの漏えいに該当する事例】
- 事例1)個人データが記載された書類を第三者に誤送付した場合
- 事例2)個人データを含むメールを第三者に誤送信した場合
- 事例3)システムの設定ミス等によりインターネット上で個人データの閲覧が可能な状態となっていた場合
- 事例4)個人データが記載又は記録された書類・媒体等が盗難された場合
- 事例5)不正アクセス等により第三者に個人データを含む情報が窃取された場合
- 事例6)個人情報取扱事業者のウェブサイトの入力ページが第三者に改ざんされ、ユーザーが当該ページに入力した個人情報が、当該第三者に送信された場合であり、かつ、当該個人情報取扱事業者が、当該ページに入力される個人情報を個人情報データベース等へ入力することを予定していたとき
なお、個人データを第三者に閲覧されないうちに全てを回収した場合は、漏えいに該当しない。また、個人情報取扱事業者が自らの意図に基づき個人データを第三者に提供する場合(※)は、漏えいに該当しない。
(※)個人情報取扱事業者は、個人データの第三者への提供に当たり、原則としてあらかじめ本人の同意を取得する必要がある。
3-5-1-3 「滅失」の考え方
個人データの「滅失」とは、個人データの内容が失われることをいう。
- 【個人データの滅失に該当する事例】
- 事例1)個人情報データベース等から出力された氏名等が記載された帳票等を誤って廃棄した場合(※1)
- 事例2)個人データが記載又は記録された書類・媒体等を社内で紛失した場合(※2)
なお、上記の場合であっても、その内容と同じデータが他に保管されている場合は、滅失に該当しない。また、個人情報取扱事業者が合理的な理由により個人データを削除する場合は、滅失に該当しない。
- (※1)当該帳票等が適切に廃棄されていない場合には、個人データの漏えいに該当する場合がある。
- (※2)社外に流出した場合には、個人データの漏えいに該当する。
3-5-1-4 「毀損」の考え方
個人データの「毀損」とは、個人データの内容が意図しない形で変更されることや、内容を保ちつつも利用不能な状態となることをいう。
- 【個人データの毀損に該当する事例】
- 事例1)個人データの内容が改ざんされた場合
- 事例2)暗号化処理された個人データの復元キーを喪失したことにより復元できなくなった場合
- 事例3)ランサムウェア等により個人データが暗号化され、復元できなくなった場合(※)
なお、上記事例2)及び事例3)の場合であっても、その内容と同じデータが他に保管されている場合は毀損に該当しない。
(※)同時に個人データが窃取された場合には、個人データの漏えいにも該当する。
3-5-2 漏えい等事案が発覚した場合に講ずべき措置
個人情報取扱事業者は、漏えい等又はそのおそれのある事案(以下「漏えい等事案」という。)が発覚した場合は、漏えい等事案の内容等に応じて、次の(1)から(5)に掲げる事項について必要な措置を講じなければならない。
- 事業者内部における報告及び被害の拡大防止
責任ある立場の者に直ちに報告するとともに、漏えい等事案による被害が発覚時よりも拡大しないよう必要な措置を講ずる。
- 事実関係の調査及び原因の究明
漏えい等事案の事実関係の調査及び原因の究明に必要な措置を講ずる。
- 影響範囲の特定
上記(2)で把握した事実関係による影響範囲の特定のために必要な措置を講ずる。
- 再発防止策の検討及び実施
上記(2)の結果を踏まえ、漏えい等事案の再発防止策の検討及び実施に必要な措置を講ずる。
- 個人情報保護委員会への報告及び本人への通知
3-5-3(個人情報保護委員会への報告)、3-5-4(本人への通知)を参照のこと。なお、漏えい等事案の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、事実関係及び再発防止策等について、速やかに公表することが望ましい。
3-5-3 個人情報保護委員会への報告(法第26条第1項関係)
3-5-3-1 報告対象となる事態
- 法第26条(第1項)
-
- 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。ただし、当該個人情報取扱事業者が、他の個人情報取扱事業者又は行政機関等から当該個人データの取扱いの全部又は一部の委託を受けた場合であって、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を当該他の個人情報取扱事業者又は行政機関等に通知したときは、この限りでない。
- 規則第7条
- 法第26条第1項本文の個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものは、次の各号のいずれかに該当するものとする。
- 要配慮個人情報が含まれる個人データ(高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものを除く。以下この条及び次条第 1 項において同じ。)の漏えい、滅失若しくは毀損(以下この条及び次条第 1 項において「漏えい等」という。)が発生し、又は発生したおそれがある事態
- 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
- 不正の目的をもって行われたおそれがある当該個人情報取扱事業者に対する行為による個人データ(当該個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているものを含む。)の漏えい等が発生し、又は発生したおそれがある事態
- 個人データに係る本人の数が千人を超える漏えい等が発生し、又は発生したおそれがある事態
個人情報取扱事業者は、次の(1)から(4)までに掲げる事態(以下「報告対象事態」という。)を知ったときは、個人情報保護委員会に報告しなければならない(※1)(※2)。
- 要配慮個人情報が含まれる個人データの漏えい等が発生し、又は発生したおそれがある事態(規則第7条第1号関係)
- 【報告を要する事例】
- 事例1)病院における患者の診療情報や調剤情報を含む個人データを記録したUSBメモリーを紛失した場合
- 事例2)従業員の健康診断等の結果を含む個人データが漏えいした場合
- 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態(規則第7条第2号関係)
財産的被害が生じるおそれについては、対象となった個人データの性質・内容等を踏まえ、財産的被害が発生する蓋然性を考慮して判断する。
- 【報告を要する事例】
- 事例1)ECサイトからクレジットカード番号を含む個人データが漏えいした場合
- 事例2)送金や決済機能のあるウェブサービスのログインIDとパスワードの組み合わせを含む個人データが漏えいした場合
- 不正の目的をもって行われたおそれがある当該個人情報取扱事業者に対する行為による個人データ(当該個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているものを含む。)の漏えい等が発生し、又は発生したおそれがある事態(規則第 7 条第 3 号関係)
「不正の目的をもって行われたおそれがある当該個人情報取扱事業者に対する行為」(以下「不正行為」という。)の主体には、第三者のみならず、従業者も含まれる。また、不正行為の相手方である「当該個人情報取扱事業者」には、当該個人情報取扱事業者が第三者に個人データの取扱いを委託している場合(※3)における当該第三者(委託先)及び当該個人情報取扱事業者が個人データを取り扱うに当たって第三者の提供するサービスを利用している場合における当該第三者も含まれる。
当該個人情報取扱事業者が「取得しようとしている個人情報」に該当するかどうかは、当該個人情報取扱事業者が用いている個人情報の取得手段等を考慮して客観的に判断する。
個人情報データベース等へ入力すること等を予定していれば、最終的に個人情報に該当しない統計情報への加工を行うことを予定している場合等であっても、「個人データとして取り扱われることが予定されている」に該当する。
- 【報告を要する事例】(※4)
- 事例1)不正アクセスにより個人データ(個人情報データベース等へ入力する予定の個人情報を含む。以下、事例5)まで同じ。)が漏えいした場合
- 事例2)ランサムウェア等により個人データが暗号化され、復元できなくなった場合
- 事例3)個人データが記載又は記録された書類・媒体等が盗難された場合
- 事例4)従業者が顧客の個人データを不正に持ち出して第三者に提供した場合(※5)
- 事例5)従業者の私用の端末又は取引先の端末が情報を窃取するマルウェアに感染し、その後、当該端末と個人情報取扱事業者のサーバとの電気通信に起因して、当該サーバも当該マルウェアに感染し、個人データが漏えいした場合
- 事例6)個人情報取扱事業者のウェブサイトの入力ページが第三者に改ざんされ、ユーザーが当該ページに入力した個人情報が当該第三者に送信された場合であり、かつ、当該個人情報取扱事業者が、当該ページに入力される個人情報を個人情報データベース等へ入力することを予定していたとき
- 事例7)個人情報取扱事業者のウェブサイト上に設置された、入力ページに遷移するためのリンクやボタンが第三者に改ざんされ、当該リンクやボタンをユーザーがクリックした結果、偽の入力ページに遷移し、当該ユーザーが当該偽の入力ページに入力した個人情報が当該第三者に送信された場合であり、かつ、当該個人情報取扱事業者が、当該個人情報取扱事業者の入力ページに入力される個人情報を個人情報データベース等へ入力することを予定していたとき
- 事例8)個人情報取扱事業者が、第三者により宛先の改ざんされた返信用封筒を顧客に送付した結果、当該返信用封筒により返信されたアンケート用紙に記入された個人情報が当該第三者に送付された場合であり、かつ、当該個人情報取扱事業者が、当該個人情報を個人情報データベース等へ入力することを予定していたとき
- 個人データに係る本人の数が千人を超える漏えい等が発生し、又は発生したおそれがある事態(規則第7条第4号関係)
「個人データに係る本人の数」は、当該個人情報取扱事業者が取り扱う個人データのうち、漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数をいう。「個人データに係る本人の数」について、事態が発覚した当初1,000人以下であっても、その後1,000人を超えた場合には、1,000人を超えた時点で規則第7条第4号に該当することになる。本人の数が確定できない漏えい等において、漏えい等が発生したおそれがある個人データに係る本人の数が最大1,000人を超える場合には、規則第7条第4号に該当する。
- 事例)システムの設定ミス等によりインターネット上で個人データの閲覧が可能な状態となり、当該個人データに係る本人の数が1,000人を超える場合
-
- (※1) 報告対象事態に該当しない漏えい等事案であっても、個人情報取扱事業者は個人情報保護委員会に任意の報告をすることができる。
- (※2) 報告対象事態における「おそれ」については、その時点で判明している事実関係に基づいて個別の事案ごとに蓋然性を考慮して判断することになる。漏えい等が発生したおそれについては、その時点で判明している事実関係からして、漏えい等が疑われるものの漏えい等が生じた確証がない場合がこれに該当する。
- (※3) 個人情報取扱事業者が、個人データとして取り扱うことを予定している個人情報の取扱いを第三者に委託する場合であって、当該第三者(委託先)が当該個人情報を個人データとして取り扱う予定はないときも、ここにいう「個人情報取扱事業者が第三者に個人データの取扱いを委託している場合」に該当する。
- (※4)サイバー攻撃の事案について、「漏えい」が発生したおそれがある事態に該当し得る事例としては、例えば、次の(ア)から(オ)が考えられる。
- (ア))個人データ(個人情報データベース等へ入力する予定の個人情報を含む。(イ)において同じ。)を格納しているサーバや、当該サーバにアクセス権限を有する端末において外部からの不正アクセスによりデータが窃取された痕跡が認められた場合
- (イ)個人データを格納しているサーバや、当該サーバにアクセス権限を有する端末において、情報を窃取する振る舞いが判明しているマルウェアの感染が確認された場合
- (ウ)マルウェアに感染したコンピュータに不正な指令を送り、制御するサーバ(C&Cサーバ)が使用しているものとして知られているIPアドレス・FQDN(Fully Qualified Domain Name の略。サブドメイン名及びドメイン名からなる文字列であり、ネットワーク上のコンピュータ(サーバ等)を特定するもの。)への通信が確認された場合
- (エ)個人情報の取得手段であるウェブページを構成するファイルを保存しているサーバや、当該サーバにアクセス権限を有する端末において、外部からの不正アクセスにより、当該ファイルに、当該ウェブページに入力された情報を窃取するような改ざんがされた痕跡が確認された場合
- (オ)不正検知を行う公的機関、セキュリティ・サービス・プロバイダ、専門家等の第三者から、漏えいのおそれについて、一定の根拠に基づく連絡を受けた場合
- (※5)従業者による個人データ又は個人情報の持ち出しの事案について、「漏えい」が発生したおそれがある事態に該当し得る事例としては、例えば、個人データ又は個人情報を格納しているサーバや、当該サーバにアクセス権限を有する端末において、通常の業務で必要としないアクセスによりデータが窃取された痕跡が認められた場合が考えられる。
なお、漏えい等が発生し、又は発生したおそれがある個人データ又は個人情報について、高度な暗号化等の秘匿化がされている場合等、「高度な暗号化その他の個人の権利利益を保護するために必要な措置」が講じられている場合については、報告を要しない。
3-5-3-2 報告義務の主体
漏えい等報告の義務を負う主体は、原則として、漏えい等が発生し、又は発生したおそれがある個人データを取り扱う個人情報取扱事業者である。ただし、規則第 7 条第 3 号に定める事態について漏えい等報告の義務を負う主体は、漏えい等が発生し、又は発生したおそれがある個人データ又は個人情報を取り扱い、又は取得しようとしている個人情報取扱事業者である(3-5-1-1(規則第 7 条の「個人データ」の考え方)参照)。
個人データの取扱いを委託している場合においては、委託元と委託先の双方が個人データ又は個人情報を取り扱っており、又は取得しようとしていることになるため、報告対象事態に該当する場合には、原則として委託元と委託先の双方が報告する義務を負う。この場合、委託元及び委託先の連名で報告することができる。なお、委託先が、報告義務を負っている委託元に当該事態が発生したことを通知したときは、委託先は報告義務を免除される(3-5-3-5(委託元への通知による例外)参照)。
また、委託元から委託先にある個人データ(個人データA)の取扱いを委託している場合であって、別の個人データ(個人データB)の取扱いを委託していないときには、個人データBについて、委託元において報告対象事態が発生した場合であっても、委託先は報告義務を負わず、委託元のみが報告義務を負うことになる。
3-5-3-3 速報(規則第8条第1項関係)
- 規則第8条(第1項)
-
- 個人情報取扱事業者は、法第26条第1項本文の規定による報告をする場合には、前条各号に定める事態を知った後、速やかに、当該事態に関する次に掲げる事項(報告をしようとする時点において把握しているものに限る。次条において同じ。)を報告しなければならない。
- 概要
- 漏えい等が発生し、又は発生したおそれがある個人データ(前条第 3 号に定める事態については、同号に規定する個人情報を含む。次号において同じ。)の項目
- 漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数
- 原因
- 二次被害又はそのおそれの有無及びその内容
- 本人への対応の実施状況
- 公表の実施状況
- 再発防止のための措置
- その他参考となる事項
- 個人情報取扱事業者は、法第26条第1項本文の規定による報告をする場合には、前条各号に定める事態を知った後、速やかに、当該事態に関する次に掲げる事項(報告をしようとする時点において把握しているものに限る。次条において同じ。)を報告しなければならない。
個人情報取扱事業者は、報告対象事態を知ったときは、速やかに、個人情報保護委員会に報告しなければならない。個人情報保護委員会が法第150条第1項の規定により報告を受理する権限を事業所管大臣に委任している場合には、当該事業所管大臣に報告する。事業所管大臣に報告する場合、報告期限は個人情報保護委員会に報告する場合と同様である。
報告期限の起算点となる「知った」時点については、個別の事案ごとに判断されるが、個人情報取扱事業者が法人である場合には、いずれかの部署が当該事態を知った時点を基準とする。「速やか」の日数の目安については、個別の事案によるものの、個人情報取扱事業者が当該事態を知った時点から概ね3~5日以内である。
個人情報保護委員会への漏えい等報告については、次の(1)から(9)までに掲げる事項を、原則として、個人情報保護委員会のホームページの報告フォームに入力する方法により行う。速報時点での報告内容については、報告をしようとする時点において把握している内容を報告すれば足りる。
- 「概要」
当該事態の概要について、発生日、発覚日、発生事案、発見者、規則第7条各号該当性、委託元及び委託先の有無、事実経過等を報告する。
- 「漏えい等が発生し、又は発生したおそれがある個人データ(前条第3号に定める事態については、同号に規定する個人情報を含む。次号において同じ。)の項目」
漏えい等が発生し、又は発生したおそれがある個人データ(規則第 7 条第 3 号に定める事態については、同号に規定する個人情報を含む。)の項目について、媒体や種類(顧客情報、従業員情報の別等)とともに報告する。
- 「漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数」
漏えい等が発生し、又は発生したおそれがある個人データ(規則第 7 条第 3 号に定める事態については、同号に規定する個人情報を含む。)に係る本人の数について報告する。
- 「原因」
当該事態が発生した原因について、当該事態が発生した主体(報告者又は委託先)とともに報告する。
- 「二次被害又はそのおそれの有無及びその内容」
当該事態に起因して発生する被害又はそのおそれの有無及びその内容について報告する。
- 「本人への対応の実施状況」
当該事態を知った後、本人に対して行った措置(通知を含む。)の実施状況について報告する。
- 「公表の実施状況」
当該事態に関する公表の実施状況について報告する。
- 「再発防止のための措置」
漏えい等事案が再発することを防止するために講ずる措置について、実施済みの措置と今後実施予定の措置に分けて報告する。
- 「その他参考となる事項」
上記の(1)から(8)までの事項を補完するため、個人情報保護委員会が当該事態を把握する上で参考となる事項を報告する。
3-5-3-4 確報(規則第8条第2項関係)
- 規則第8条(第2項)
- 前項の場合において、個人情報取扱事業者は、当該事態を知った日から30日以内(当該事態が前条第3号に定めるものである場合にあっては、60日以内)に、当該事態に関する前項各号に定める事項を報告しなければならない。
個人情報取扱事業者は、報告対象事態を知ったときは、速報に加え(※1)、30日以内(規則第7条第3号の事態においては60日以内。同号の事態に加え、同条第1号、第2号又は第4号の事態にも該当する場合も60日以内。)に個人情報保護委員会(個人情報保護委員会が法第150条第1項の規定により報告を受理する権限を事業所管大臣に委任している場合には、当該事業所管大臣)に報告しなければならない。30日以内又は60日以内は報告期限であり、可能である場合には、より早期に報告することが望ましい。
報告期限の起算点となる「知った」時点については、速報と同様に、個人情報取扱事業者が法人である場合には、いずれかの部署が当該事態を知った時点を基準とし、確報の報告期限の算定(※2)に当たっては、その時点を1日目とする。
確報においては、3-5-3-3(1)から(9)までに掲げる事項の全てを報告しなければならない。確報を行う時点(報告対象事態を知った日から30日以内又は60日以内)において、合理的努力を尽くした上で、一部の事項が判明しておらず、全ての事項を報告することができない場合には、その時点で把握している内容を報告し、判明次第、報告を追完するものとする。
- (※1) 速報の時点で全ての事項を報告できる場合には、1回の報告で速報と確報を兼ねることができる。
- (※2) 確報の報告期限(30日以内又は60日以内)の算定に当たっては、土日・祝日も含める。ただし、30日目又は60日目が土日、祝日又は年末年始閉庁日(12月29日~1月3日)の場合は、その翌日を報告期限とする(行政機関の休日に関する法律(昭和63年法律第91号)第2条)。
3-5-3-5 委託元への通知による例外(規則第9条関係)
- 規則第9条
- 個人情報取扱事業者は、法第26条第1項ただし書の規定による通知をする場合には、第7条各号に定める事態を知った後、速やかに、前条第1項各号に定める事項を通知しなければならない。
委託先は、個人情報保護委員会(個人情報保護委員会が法第150条第1項の規定により報告を受理する権限を事業所管大臣に委任している場合には、当該事業所管大臣)への報告義務を負っている委託元に対し、3-5-3-3(1)から(9)までに掲げる事項のうち、その時点で把握しているものを通知したときは、報告義務を免除される。委託元への通知については、速報としての報告と同様に、報告対象事態を知った後、速やかに行わなければならない。「速やか」の日数の目安については、個別の事案によるものの、委託先が当該事態の発生を知った時点から概ね3~5日以内である。
この場合、委託先から通知を受けた委託元が報告をすることになる。委託元は、通常、遅くとも委託先から通知を受けた時点で、報告対象事態を知ったこととなり、速やかに報告を行わなければならない。
なお、通知を行った委託先は、委託元から報告するに当たり、事態の把握を行うとともに、必要に応じて委託元の漏えい等報告に協力することが求められる。
3-5-4 本人への通知(法第26条第2項関係)
- 法第26条(第2項)
-
- 前項に規定する場合には、個人情報取扱事業者(同項ただし書の規定による通知をした者を除く。)は、本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知しなければならない。ただし、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
- 規則第10条
- 個人情報取扱事業者は、法第26条第2項本文の規定による通知をする場合には、第7条各号に定める事態を知った後、当該事態の状況に応じて速やかに、当該本人の権利利益を保護するために必要な範囲において、第8条第1項第1号、第2号、第4号、第5号及び第9号に定める事項を通知しなければならない。
3-5-4-1 通知対象となる事態及び通知義務の主体
個人情報取扱事業者は、報告対象事態を知ったときは、本人への通知を行わなければならない。
通知義務を負う主体は、原則として、漏えい等が発生し、又は発生したおそれがある個人データを取り扱う個人情報取扱事業者である。ただし、規則第7条第3号に定める事態について本人への通知の義務を負う主体は、漏えい等が発生し、又は発生したおそれがある個人データ又は個人情報を取り扱い、又は取得しようとしている個人情報取扱事業者である(3-5-1-1(規則第 7 条の「個人データ」の考え方)参照)。
個人データの取扱いを委託している場合においては、委託元と委託先の双方が個人データ又は個人情報を取り扱い、又は取得しようとしていることになるため、報告対象事態に該当する場合には、原則として委託元と委託先の双方が本人への通知を行う義務を負う。委託先が、報告義務を負っている委託元に3-5-3-3(1)から(9)までに掲げる事項のうち、その時点で把握しているものを通知したときは、委託先は報告義務を免除されるとともに、本人への通知義務も免除される。なお、委託元への通知を行った委託先は、必要に応じて委託元による本人への通知に協力することが求められる。
3-5-4-2 通知の時間的制限
個人情報取扱事業者は、報告対象事態を知ったときは、当該事態の状況に応じて速やかに、本人への通知を行わなければならない。
「当該事態の状況に応じて速やかに」とは、速やかに通知を行うことを求めるものであるが、具体的に通知を行う時点は、個別の事案において、その時点で把握している事態の内容、通知を行うことで本人の権利利益が保護される蓋然性、本人への通知を行うことで生じる弊害等を勘案して判断する。
- 【その時点で通知を行う必要があるとはいえないと考えられる事例(※)】
- 事例1)インターネット上の掲示板等に漏えいした複数の個人データがアップロードされており、個人情報取扱事業者において当該掲示板等の管理者に削除を求める等、必要な初期対応が完了しておらず、本人に通知することで、かえって被害が拡大するおそれがある場合
- 事例2)漏えい等のおそれが生じたものの、事案がほとんど判明しておらず、その時点で本人に通知したとしても、本人がその権利利益を保護するための措置を講じられる見込みがなく、かえって混乱が生じるおそれがある場合
(※)「当該事態の状況に応じて速やかに」本人への通知を行うべきことに変わりはない。
3-5-4-3 通知の内容
本人へ通知すべき事項については、漏えい等報告における報告事項のうち、「概要」(規則第 8 条第 1 項第 1 号)、「漏えい等が発生し、又は発生したおそれがある個人データ(前条第 3 号に定める事態については、同号に規定する個人情報を含む。次号において同じ。)の項目」(同項第 2号)、「原因」(同項第 4 号)、「二次被害又はそのおそれの有無及びその内容」(同項第 5 号)及び「その他参考となる事項」(同項第 9 号)(※)に限られている。これらの事項が全て判明するまで本人への通知をする必要がないというものではなく、本人への通知は、「当該事態の状況に応じて速やかに」行う必要がある(3-5-4-2(通知の時間的制限)参照)。
本人への通知については、「本人の権利利益を保護するために必要な範囲において」行うものである。
また、当初報告対象事態に該当すると判断したものの、その後実際には報告対象事態に該当していなかったことが判明した場合には、本人への通知が「本人の権利利益を保護するために必要な範囲において」行うものであることに鑑み、本人への通知は不要である。
- 【本人の権利利益を保護するために必要な範囲において通知を行う事例】
- 事例1)不正アクセスにより個人データが漏えいした場合において、その原因を本人に通知するに当たり、個人情報保護委員会に報告した詳細な内容ではなく、必要な内容を選択して本人に通知すること。
- 事例2)漏えい等が発生した個人データの項目が本人ごとに異なる場合において、当該本人に関係する内容のみを本人に通知すること。
(※)規則第8条第1項第1号、第2号、第4号、第5号及び第9号に定める事項については、3-5-3-3(速報)を参照のこと。なお、同項第9号に定める事項については、本人への通知を補完するため、本人にとって参考となる事項をいい、例えば、本人が自らの権利利益を保護するために取り得る措置が考えられる。
3-5-4-4 通知の方法
「本人への通知」とは、本人に直接知らしめることをいい、事業の性質及び個人データの取扱状況に応じ、通知すべき内容が本人に認識される合理的かつ適切な方法によらなければならない(2-14(本人に通知)参照)。また、漏えい等報告と異なり、本人への通知については、その様式が法令上定められていないが、本人にとって分かりやすい形で通知を行うことが望ましい。
- 【本人への通知の方法の事例】
- 事例1)文書を郵便等で送付することにより知らせること。
- 事例2)電子メールを送信することにより知らせること。
3-5-4-5 通知の例外
本人への通知を要する場合であっても、本人への通知が困難である場合は、本人の権利利益を保護するために必要な代替措置(※1)を講ずることによる対応が認められる。
- 【本人への通知が困難な場合に該当する事例】
- 事例1)保有する個人データの中に本人の連絡先が含まれていない場合
- 事例2)連絡先が古いために通知を行う時点で本人へ連絡できない場合
- 【代替措置に該当する事例】
- 事例1)事案の公表(※2)
- 事例2)問合せ窓口を用意してその連絡先を公表し、本人が自らの個人データが対象となっているか否かを確認できるようにすること
- (※1)代替措置として事案の公表を行わない場合であっても、当該事態の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、公表を行うことが望ましい。
- (※2)公表すべき内容は、個別の事案ごとに判断されるが、本人へ通知すべき内容を基本とする。
3-6 個人データの第三者への提供(法第27条~第30条関係)
3-6-1 第三者提供の制限の原則(法第27条第1項関係)
- 法第27条(第1項)
-
- 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
- 法令に基づく場合
- 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
- 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
- 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
- 当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データの提供が学術研究の成果の公表又は教授のためやむを得ないとき(個人の権利利益を不当に侵害するおそれがある場合を除く。)。
- 当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データを学術研究目的で提供する必要があるとき(当該個人データを提供する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(当該個人情報取扱事業者と当該第三者が共同して学術研究を行う場合に限る。)。
- 当該第三者が学術研究機関等である場合であって、当該第三者が当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
- 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
個人情報取扱事業者は、個人データの第三者への提供に当たり、あらかじめ本人の同意(※1)を得ないで提供してはならない(※2)(※3)。同意の取得に当たっては、事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)等に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な範囲の内容を明確に示さなければならない。
なお、あらかじめ、個人情報を第三者に提供することを想定している場合には、利用目的において、その旨を特定しなければならない(3-1-1(利用目的の特定)参照)。
また、令和3年改正法第50条の規定の施行日(令和4年4月1日)前に別表第二法人等(3-1-3(利用目的による制限)参照)に対しされた本人の個人情報の取扱いに関する同意がある場合において、その同意が法第27条第1項の規定による個人データの第三者への提供を認める旨の同意に相当するものであるときは、令和3年改正法第50条の規定の施行日(令和4年4月1日)において同項の同意があったものとみなす。(令和3年改正法附則第7条第2項)。
さらに、令和3年改正法第51条の規定の施行日(令和5年4月1日)前に特定地方独立行政法人等(3-1-3(利用目的による制限)参照)に対しされた本人の個人情報の取扱いに関する同意がある場合において、その同意が法第27条第1項の規定による個人データの第三者への提供を認める旨の同意に相当するものであるときは、令和3年改正法第51条の規定の施行日(令和5年4月1日)において同項の同意があったものとみなす(令和3年改正法附則第9条第2項)。
- (※1)「本人の同意」については、2-16(本人の同意)を参照のこと。
- (※2)ブログやその他のSNSに書き込まれた個人データを含む情報については、当該情報を書き込んだ者の明確な意思で不特定多数又は限定された対象に対して公開されている情報であり、その内容を誰が閲覧できるかについて当該情報を書き込んだ者が指定していることから、その公開範囲について、インターネット回線への接続サービスを提供するプロバイダやブログその他のSNSの運営事業者等に裁量の余地はないため、このような場合は、当該事業者が個人データを第三者に提供しているとは解されない。
- (※3)個人情報取扱事業者若しくはその従業者又はこれらであった者が、その業務に関して取り扱った個人情報データベース等(その全部又は一部を複製し、又は加工したものを含む。)を自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、法第179条により刑事罰(1年以下の懲役又は50万円以下の罰金)が科され得る。
- 【第三者提供とされる事例】(ただし、法第27条第5項各号の場合を除く。)
- 事例1)親子兄弟会社、グループ会社の間で個人データを交換する場合
- 事例2)フランチャイズ組織の本部と加盟店の間で個人データを交換する場合
- 事例3)同業者間で、特定の個人データを交換する場合
- 【第三者提供とされない事例】(ただし、利用目的による制限がある。)
- 事例) 同一事業者内で他部門へ個人データを提供する場合
ただし、次の(1)から(7)までに掲げる場合については、第三者への個人データの提供に当たって、本人の同意は不要である。なお、(1)から(4)までの具体的な事例は、3-1-5(利用目的による制限の例外)を参照のこと。
- 法令に基づいて個人データを提供する場合(法第27条第1項第1号関係)
- 人(法人を含む。)の生命、身体又は財産といった具体的な権利利益が侵害されるおそれがあり、これを保護するために個人データの提供が必要であり、かつ、本人の同意を得ることが困難である場合(法第27条第1項第2号関係)
- 公衆衛生の向上又は心身の発展途上にある児童の健全な育成のために特に必要な場合であり、かつ、本人の同意を得ることが困難である場合(法第27条第1項第3号関係)
- 国の機関等が法令の定める事務を実施する上で、民間企業等の協力を得る必要がある場合であって、協力する民間企業等が当該国の機関等に個人データを提供することについて、本人の同意を得ることが当該事務の遂行に支障を及ぼすおそれがある場合(法第27条第1項第4号関係)
- 学術研究機関等(※1)が個人データを提供する場合であり、かつ、当該個人データの提供が学術研究の成果の公表又は教授のためやむを得ない場合(個人の権利利益を不当に侵害するおそれがある場合を除く(※2)。)(法第27条第1項第5号関係)
- 事例1)顔面の皮膚病に関する医学論文において、症例に言及する場合であって、写真全体にモザイク処理を施す等の対応をすることにより当該論文による研究成果の公表の目的が達せられなくなるとき
- 事例2)実名で活動する特定の作家の作風を論ずる文学の講義において、当該作家の実名を含む出版履歴に言及する場合であって、作家の実名を伏せることにより当該講義による教授の目的が達せられなくなるとき
- (※1)「学術研究機関等」については、2-18(学術研究機関等)を参照のこと。
- (※2)「個人の権利利益を不当に侵害するおそれがある場合」には、個人データを第三者に提供することはできない。この場合、個人の権利利益を不当に侵害しないような措置を講ずるなど適切に処理する必要がある。この点、学術研究の成果の公表又は教授のためやむを得ず、個人データを提供する場合であっても、本人又は第三者の権利利益の保護の観点から、提供する個人データの範囲を限定するなど、学術研究の目的に照らして可能な措置を講ずることが望ましい。
- 学術研究機関等(※1)が個人データを提供する場合であり、かつ、当該学術研究機関等と共同して学術研究を行う第三者(学術研究機関等であるか否かを問わない。)に当該個人データを学術研究目的(※2)で提供する必要がある場合(当該個人データを提供する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く(※3)。)(法第27条第1項第6号関係)
- (※1)「学術研究機関等」については、2-18(学術研究機関等)を参照のこと。
- (※2)「学術研究目的」については、2-19(学術研究目的)を参照のこと。
- (※3)「個人の権利利益を不当に侵害するおそれがある場合」には、個人データを第三者に提供することはできない。この場合、個人の権利利益を不当に侵害しないような措置を講ずるなど適切に処理する必要がある。この点、学術研究目的で個人データを提供する必要があって、学術研究機関等と共同して学術研究を行う場合であっても、本人又は第三者の権利利益の保護の観点から、提供する個人データの範囲を限定するなど、学術研究の目的に照らして可能な措置を講ずることが望ましい。
- 学術研究機関等(※1)が個人データの第三者提供を受ける場合であり、かつ、当該学術研究機関等が当該個人データを学術研究目的(※2)で取り扱う必要がある場合(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く(※3)。)(法第27条第1項第7号関係)
- (※1)「学術研究機関等」については、2-18(学術研究機関等)を参照のこと。
- (※2)「学術研究目的」については、2-19(学術研究目的)を参照のこと。
- (※3)「個人の権利利益を不当に侵害するおそれがある場合」には、個人データを第三者に提供することはできない。この場合、個人の権利利益を不当に侵害しないような形で当該個人データを加工するなど適切に処理する必要がある。この点、学術研究目的で個人データの提供を受ける必要がある場合であっても、本人又は第三者の権利利益の保護の観点から、提供する個人データの範囲を限定するなど、学術研究の目的に照らして可能な措置を講ずることが望ましい。
3-6-2 オプトアウトによる第三者提供(法第27条第2項~第4項関係)
3-6-2-1 オプトアウトに関する原則(法第27条第2項関係)
- 法第27条(第2項)
-
- 個人情報取扱事業者は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。ただし、第三者に提供される個人データが要配慮個人情報又は第20条第1項の規定に違反して取得されたもの若しくは他の個人情報取扱事業者からこの項本文の規定により提供されたもの(その全部又は一部を複製し、又は加工したものを含む。)である場合は、この限りでない。
- 第三者への提供を行う個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人。以下この条、第30条第1項第1号及び第32条第1項第1号において同じ。)の氏名
- 第三者への提供を利用目的とすること。
- 第三者に提供される個人データの項目
- 第三者に提供される個人データの取得の方法
- 第三者への提供の方法
- 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
- 本人の求めを受け付ける方法
- その他個人の権利利益を保護するために必要なものとして個人情報保護委員会規則で定める事項
- 個人情報取扱事業者は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。ただし、第三者に提供される個人データが要配慮個人情報又は第20条第1項の規定に違反して取得されたもの若しくは他の個人情報取扱事業者からこの項本文の規定により提供されたもの(その全部又は一部を複製し、又は加工したものを含む。)である場合は、この限りでない。
- 規則第11条
-
- 法第27条第2項又は第3項の規定による通知又は容易に知り得る状態に置く措置は、次に掲げるところにより、行うものとする。
- 第三者に提供される個人データによって識別される本人(次号において「本人」という。)が当該提供の停止を求めるのに必要な期間をおくこと。
- 本人が法第27条第2項各号に掲げる事項を確実に認識できる適切かつ合理的な方法によること。
- 法第27条第2項又は第3項の規定による届出は、次に掲げる方法のいずれかにより行わなければならない。
- 電子情報処理組織(個人情報保護委員会の使用に係る電子計算機と届出を行う者の使用に係る電子計算機とを電気通信回線で接続した電子情報処理組織をいう。)を使用する方法
- 別記様式第2(法第27条第3項の規定による個人データの提供をやめた旨の届出を行う場合にあっては、別記様式第3)による届出書及び当該届出書に記載すべき事項を記録した光ディスク(これに準ずる方法により一定の事項を確実に記録しておくことができる物を含む。以下「光ディスク等」という。)を提出する方法
- 個人情報取扱事業者が、代理人によって法第27条第2項又は第3項の規定による届出を行う場合には、別記様式第4によるその権限を証する書面(電磁的記録を含む。第17条第1項、第18条第2項、第30条、第47条第1項、第48条第2項、第54条第2項、第6項及び第7項、第60条並びに第66条第2項を除き、以下同じ。)を個人情報保護委員会に提出しなければならない。
- 法第27条第2項第8号の個人情報保護委員会規則で定める事項は、次に掲げる事項とする。
- 第三者に提供される個人データの更新の方法
- 当該届出に係る個人データの第三者への提供を開始する予定日
- 法第27条第2項又は第3項の規定による通知又は容易に知り得る状態に置く措置は、次に掲げるところにより、行うものとする。
- 規則第12条
- 外国にある個人情報取扱事業者は、法第27条第2項又は第3項の規定による届出を行う場合には、国内に住所を有する者であって、当該届出に関する一切の行為につき、当該個人情報取扱事業者を代理する権限を有するものを定めなければならない。この場合において、当該個人情報取扱事業者は、当該届出と同時に、当該個人情報取扱事業者が国内に住所を有する者に、当該届出に関する一切の行為につき、当該個人情報取扱事業者を代理する権限を付与したことを証する書面(日本語による翻訳文を含む。)を個人情報保護委員会に提出しなければならない。
- 規則第14条
- 個人情報取扱事業者は、法第27条第4項の規定による公表がされた後、速やかに、インターネットの利用その他の適切な方法により、次の各号に掲げる場合の区分に応じ、それぞれ当該各号に定める事項を公表するものとする。
- 法第27条第2項の規定による届出を行った場合 同項各号に掲げる事項
- 法第27条第3項の規定による変更の届出を行った場合 変更後の同条第2項各号に掲げる事項
- 法第27条第3項の規定による個人データの提供をやめた旨の届出を行った場合 その旨
個人情報取扱事業者は、個人データの第三者への提供に当たり、次の(1)から(9)までに掲げる事項をあらかじめ(※1)本人に通知し、又は本人が容易に知り得る状態(※2)に置くとともに、個人情報保護委員会に届け出た場合には(※3)、法第27条第1項の規定にかかわらず、あらかじめ本人の同意(※4)を得ることなく、個人データを第三者に提供することができる(※5)(オプトアウトによる第三者提供)。
なお、法第27条第2項の規定により個人データを第三者に提供しようとする別表第二法人等(3-1-3(利用目的による制限)参照)は、令和3年改正法の第50条の規定の施行日(令和4年4月1日)前においても、令和3年改正法規則(第50条改正関係)附則第3条で準用する規則第11条及び第12条の規定により、同項各号に掲げる事項に相当する事項について、本人に通知するとともに、個人情報保護委員会に届け出ることができる。この場合において、当該通知及び届出は、令和3年改正法第50条の規定の施行日(令和4年4月1日)以後は、同項の規定による通知及び届出とみなす(令和3年改正法附則第7条第3項)。
また、法第27条第2項の規定により個人データを第三者に提供しようとする特定地方独立行政法人等(3-1-3(利用目的による制限)参照)は、令和3年改正法第51条の規定の施行日(令和5年4月1日)前においても、令和3年改正法規則(第51条改正関係)附則第3条で準用する規則第11条及び第12条の規定により、同項各号に掲げる事項に相当する事項について、本人に通知するとともに、個人情報保護委員会に届け出ることができる。この場合において、当該通知及び届出は、令和3年改正法第51条の規定の施行日(令和5年4月1日)以後は、同項の規定による通知及び届出とみなす(令和3年改正法附則第9条第3項)。
さらに、個人情報取扱事業者は、法第27条第2項に基づき、必要な事項を個人情報保護委員会に届け出たときは、その内容を自らもインターネットの利用その他の適切な方法により公表(※6)するものとする。
なお、要配慮個人情報をオプトアウトにより第三者に提供することや、オプトアウトにより提供を受けた個人データをオプトアウトにより再提供することはできず、第三者に提供するに当たっては、法第27条第1項各号又は同条第5項各号に該当する場合以外は、必ずあらかじめ本人の同意を得る必要があるので、注意を要する。また、不正取得された個人データについても、オプトアウトにより第三者に提供することはできない(※7)。
- 個人情報取扱事業者の氏名又は名称及び住所並びに法人等の代表者の氏名
- 第三者への提供を利用目的とすること。
利用目的が具体的に分かる内容とすること。「等」や「その他」等のあいまいな表現の記入は望ましくない。
- 事例1)住宅地図帳、住宅地図データベース及び住宅地図関連商品(配信サービスを含む)を制作し、販売することで、個人データを第三者に提供すること。
- 事例2)年齢別、資産家、健康食品購入者、同窓会、弁護士、不動産投資者及びマンションオーナーの名簿を制作し、販売することで、個人データを第三者に提供すること。
- 第三者に提供される個人データの項目
オプトアウトにより第三者に提供される個人データの項目を網羅的に示す必要がある。提示されていない個人データの項目を、オプトアウトにより第三者に提供することはできないことに、注意を要する。
- 事例1)氏名、住所、電話番号、年齢
- 事例2)氏名、商品購入履歴
- 第三者に提供される個人データの取得の方法
オプトアウトにより第三者に提供される個人データについて、取得元(取得源)と取得の方法を示す必要がある。
- 事例1)新聞・雑誌・書籍・ウェブサイトの閲覧による取得
- 事例2)官公庁による公開情報からの取得
- 第三者への提供の方法
- 事例1)書籍(電子書籍を含む。)として出版
- 事例2)インターネットに掲載
- 事例3)プリントアウトして交付
- 事例4)各種通信手段による配信
- 事例5)その他外部記録媒体の形式での交付
- 本人の求めに応じて第三者への提供を停止すること。
- 本人の求めを受け付ける方法(※8)
- 事例1)郵送
- 事例2)メール送信
- 事例3)ホームページ上の指定フォームへの入力
- 事例4)事業所の窓口での受付
- 事例5)電話
- 第三者に提供される個人データの更新の方法
第三者に提供される個人データをどのように更新しているかを記入する。
- 当該届出に係る個人データの第三者への提供を開始する予定日
新規の届出の場合には、オプトアウトによる第三者提供を開始する予定日を記入する。変更届の場合には、変更届に基づいて第三者提供を開始する予定日を記入する。
- 【オプトアウトによる第三者提供の事例】
- 事例) 住宅地図業者(表札や郵便受けを調べて住宅地図を作成・販売)やデータベース事業者(ダイレクトメール用の名簿等を作成・販売)が、あらかじめ上記(1)から(9)までに掲げる事項を自社のホームページに常時掲載し、本人からの停止の求めを受け付けられる状態にし、個人情報保護委員会に必要な届出を行った上で、販売等を行う場合
- (※1)オプトアウトによる第三者提供を行う際は、第三者に提供される個人データによって識別される本人が当該提供の停止を求めるのに必要な期間をおかなければならない(規則第11条第1項第1号)ため、本人に通知し又は本人が容易に知り得る状態に置いた時点から、極めて短期間の後に、第三者提供を行ったような場合は、「本人が当該提供の停止を求めるのに必要な期間」をおいていないと判断され得る 。
具体的な期間については、業種、ビジネスの態様、通知又は容易に知り得る状態の態様、本人と個人情報取扱事業者との近接性、本人から停止の求めを受け付ける体制、提供される個人データの性質などによっても異なり得るため、個別具体的に判断する必要がある。
また、「本人に通知し、又は本人が容易に知り得る状態に置く」時期と、「個人情報保護委員会に届け出」る時期は、必ずしも同時である必要はないが、本人に通知し、又は本人が容易に知り得る状態に置いた後、速やかに個人情報保護委員会に届け出ることが望ましい
- (※2)「本人に通知」については、2-14(本人に通知)を参照のこと。
「本人が容易に知り得る状態」とは、事業所の窓口等への書面の掲示・備付けやホームページへの掲載その他の継続的方法により、本人が知ろうとすれば、時間的にも、その手段においても、簡単に知ることができる状態をいい、事業の性質及び個人情報の取扱状況に応じ、本人が確実に認識できる適切かつ合理的な方法によらなければならない(規則第11条第1項第2号)。
- 【本人が容易に知り得る状態に該当する事例】
- 事例1)本人が閲覧することが合理的に予測される個人情報取扱事業者のホームページにおいて、本人が分かりやすい場所(例:ホームページのトップページから1回程度の操作で到達できる場所等)に法に定められた事項を分かりやすく継続的に掲載する場合
- 事例2)本人が来訪することが合理的に予測される事務所の窓口等への掲示、備付け等が継続的に行われている場合
- 事例3)本人に頒布されている定期刊行物への定期的掲載を行っている場合
- 事例4)電子商取引において、商品を紹介するホームページにリンク先を継続的に表示する場合
- (※3)届出の方法は、電子情報処理組織を使用する方法等によって行わなければならない(規則第11条第2項)。なお、代理人によって届出を行う場合は、個人情報保護委員会が定める様式によるその権限を証する書面を提出しなければならない(規則第11条第3項)。また、外国にある個人情報取扱事業者が、届出を行う場合には、国内に住所を有する者に、当該届出に関する一切の行為につき当該個人情報取扱事業者を代理する権限を有するものを定めなければならず、当該代理権を証する書面を個人情報保護委員会に提出しなければならない。
- (※4)「本人の同意」については、2-16(本人の同意)を参照のこと。
- (※5)法第17条第1項の規定により特定された当初の利用目的に、個人情報の第三者提供に関する事項が含まれていない場合は、第三者提供を行うと目的外利用となるため、オプトアウトによる第三者提供を行うことはできない。
- (※6)基本的には「インターネットの方法」による「公表」が望ましいが、個人情報取扱事業者の特性、本人との近接性などにより、当該方法以外の適切な方法による公表も可能である。「公表」については2-15(公表)を参照のこと。
- (※7)オプトアウトにより提供を受けた個人データのオプトアウトによる再提供の禁止や、不正取得された個人データのオプトアウトによる提供の禁止については、当該個人データの全部又は一部を複製・加工したものについても適用があるため、注意を要する。
- (※8)「本人の求めを受け付ける方法」には、本人が求めを行う連絡先(事業者名、窓口名、郵送先住所又は送信先メールアドレス等。当該個人情報取扱事業者が外国に本拠地を置く場合においては国内代理人の氏名、連絡先等。)が含まれる。
- (※1)オプトアウトによる第三者提供を行う際は、第三者に提供される個人データによって識別される本人が当該提供の停止を求めるのに必要な期間をおかなければならない(規則第11条第1項第1号)ため、本人に通知し又は本人が容易に知り得る状態に置いた時点から、極めて短期間の後に、第三者提供を行ったような場合は、「本人が当該提供の停止を求めるのに必要な期間」をおいていないと判断され得る 。
3-6-2-2 オプトアウトに関する事項の変更及び個人データの提供をやめた場合(法第27条第3項関係)
- 法第27条(第3項)
-
- 個人情報取扱事業者は、前項第1号に掲げる事項に変更があったとき又は同項の規定による個人データの提供をやめたときは遅滞なく、同項第3号から第5号まで、第7号又は第8号に掲げる事項を変更しようとするときはあらかじめ、その旨について、個人情報保護委員会規則で定めるところにより、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければならない。
- 規則第11条、第12条及び第14条
- (略)(3-6-2-1(オプトアウトに関する原則)参照)
個人情報取扱事業者は、法第27条第2項に基づきオプトアウトにより個人データの第三者提供を行っている場合であって、次の(1)から(3)までのいずれかに該当する場合は、その旨について、本人に通知し、又は本人が容易に知り得る状態(※1)に置くとともに、個人情報保護委員会に届け出なければならない(※2)。
なお、個人情報取扱事業者は、法第27条第3項に基づき、必要な事項を個人情報保護委員会に届け出たときは、その内容を自らも公表(※3)するものとする。
- 届出事項(第三者に提供される個人データの項目等)の変更があった場合
第三者に提供される個人データの項目、第三者に提供される個人データの取得の方法、第三者への提供の方法、第三者への提供を停止すべきとの本人の求めを受け付ける方法、個人データの更新の方法又は第三者への提供を開始する予定日を変更する場合は、変更する内容について、あらかじめ(※4)、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければならない。
- 届出事項(氏名又は名称、住所、法人等の代表者の氏名)の変更があった場合
第三者への提供を行う個人情報取扱事業者の氏名又は名称、住所、法人等の代表者の氏名に変更があったときは、遅滞なく、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければならない。
- 個人データの提供をやめた場合
法第27条第2項に基づく個人データの第三者提供をやめたときは、遅滞なく、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければならない。
- (※1)「本人に通知」については、2-14(本人に通知)を参照のこと。「本人が容易に知り得る状態」については、3-6-2-1(オプトアウトに関する原則)を参照のこと。なお、次のような方法であれば、適切かつ合理的な方法と解される。
- 変更する内容を、例えば新旧対照表等により、分かりやすく明示した書面により本人に通知すること。
- 本人が閲覧することが合理的に予測される個人情報取扱事業者のホームページにおいて、本人が分かりやすい場所に変更する内容を、例えば新旧対照表等により、分かりやすく明示すること。
- (※2)届出の方法等については、3-6-2-1(オプトアウトに関する原則)を参照のこと。
- (※3)「公表」については、2-15(公表)を参照のこと。
- (※4)「あらかじめ」の具体的な期間については、3-6-2-1(オプトアウトに関する原則)を参照のこと。
3-6-3 第三者に該当しない場合(法第27条第5項・第6項関係)
- 法第27条(第5項)
-
- 次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
- 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
- 合併その他の事由による事業の承継に伴って個人データが提供される場合
- 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
- 次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
次の(1)から(3)までの場合については、個人データの提供先は個人情報取扱事業者とは別の主体として形式的には第三者に該当するものの、本人との関係において提供主体である個人情報取扱事業者と一体のものとして取り扱うことに合理性があるため、第三者に該当しないものとする。
このような要件を満たす場合には、個人情報取扱事業者は、法第27条第1項から第3項までの規定にかかわらず、あらかじめの本人の同意又は第三者提供におけるオプトアウトを行うことなく、個人データを提供することができる。
- 委託(法第27条第5項第1号関係)
利用目的の達成に必要な範囲内において、個人データの取扱いに関する業務の全部又は一部を委託することに伴い、当該個人データが提供される場合は、当該提供先は第三者に該当しない。この場合、当該提供先は、委託された業務の範囲内でのみ、本人との関係において提供主体である個人情報取扱事業者と一体のものとして取り扱われることに合理性があるため、委託された業務以外に当該個人データを取り扱うことはできない。
なお、個人情報取扱事業者には、法第25条により、委託先に対する監督責任が課される(3-4-4(委託先の監督)参照)。
- 事例1)データの打ち込み等、情報処理を委託するために個人データを提供する場合
- 事例2)百貨店が注文を受けた商品の配送のために、宅配業者に個人データを提供する場合
- 事業の承継(法第27条第5項第2号関係)
合併、分社化、事業譲渡等により事業が承継されることに伴い、当該事業に係る個人データが提供される場合は、当該提供先は第三者に該当しない。
なお、事業の承継後も、個人データが当該事業の承継により提供される前の利用目的の範囲内で利用しなければならない(3-1-4(事業の承継)参照)。
また、事業の承継のための契約を締結するより前の交渉段階で、相手会社から自社の調査を受け、自社の個人データを相手会社へ提供する場合も、本号に該当し、あらかじめ本人の同意を得ることなく又は第三者提供におけるオプトアウト手続を行うことなく、個人データを提供することができるが、当該データの利用目的及び取扱方法、漏えい等が発生した場合の措置、事業承継の交渉が不調となった場合の措置等、相手会社に安全管理措置を遵守させるために必要な契約を締結しなければならない。
- 事例1)合併、分社化により、新会社に個人データを提供する場合
- 事例2)事業譲渡により、譲渡先企業に個人データを提供する場合
- 共同利用(法第27条第5項第3号関係)
特定の者との間で共同して利用される個人データを当該特定の者に提供する場合(※1)であって、次のマル1からマル5までの情報(※2)を、提供に当たりあらかじめ本人に通知(※3)し、又は本人が容易に知り得る状態(※4)に置いているときには、当該提供先は、本人から見て、当該個人データを当初提供した事業者と一体のものとして取り扱われることに合理性があると考えられることから、第三者に該当しない(※5)。
なお、法第27条第5項第3号の規定により本人に通知し、又は本人が容易に知り得る状態に置かなければならない事項に相当する事項について、令和3年改正法第50条の規定の施行日(令和4年4月1日)前に、別表第二法人等(3-1-3(利用目的による制限)参照)により本人に通知されているときは、当該通知は、令和3年改正法第50条の規定の施行日(令和4年4月1日)以後は、同号の規定による通知とみなす(令和3年改正法附則第7条第4項)。
また、法第27条第5項第3号の規定により本人に通知し、又は本人が容易に知り得る状態に置かなければならない事項に相当する事項について、令和3年改正法第51条の規定の施行日(令和5年4月1日)前に、特定地方独立行政法人等(3-1-3(利用目的による制限)参照)により本人に通知されているときは、当該通知は、令和3年改正法第51条の規定の施行日(令和5年4月1日)以後は、同号の規定による通知とみなす(令和3年改正法附則第9条第4項)。
さらに、既に特定の事業者が取得している個人データを他の事業者と共同して利用する場合には、当該共同利用は、社会通念上、共同して利用する者の範囲や利用目的等が当該個人データの本人が通常予期し得ると客観的に認められる範囲内である必要がある。その上で、当該個人データの内容や性質等に応じて共同利用の是非を判断し、既に取得している事業者が法第17条第1項の規定により特定した利用目的の範囲で共同して利用しなければならない。
- マル1共同利用をする旨
- マル2共同して利用される個人データの項目
- 事例1)氏名、住所、電話番号、年齢
- 事例2)氏名、商品購入履歴
- マル3共同して利用する者の範囲
-
「共同利用の趣旨」は、本人から見て、当該個人データを提供する事業者と一体のものとして取り扱われることに合理性がある範囲で、当該個人データを共同して利用することである。
したがって、共同利用者の範囲については、本人がどの事業者まで将来利用されるか判断できる程度に明確にする必要がある。
なお、当該範囲が明確である限りにおいては、必ずしも事業者の名称等を個別に全て列挙する必要はないが、本人がどの事業者まで利用されるか判断できるようにしなければならない。
- マル4利用する者の利用目的
-
共同して利用する個人データについて、その利用目的を全て、本人に通知し、又は本人が容易に知り得る状態に置いていなければならない。
なお、利用目的が個人データの項目によって異なる場合には、当該個人データの項目ごとに利用目的を区別して記載することが望ましい。
- マル5当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
-
「個人データの管理について責任を有する者」とは、開示等の請求及び苦情を受け付け、その処理に尽力するとともに、個人データの内容等について、開示、訂正、利用停止等の権限を有し、安全管理等個人データの管理について責任を有する者をいう。
なお、ここでいう「責任を有する者」とは、共同して利用する全ての事業者の中で、第一次的に苦情の受付・処理、開示・訂正等を行う権限を有する者をいい、共同利用者のうち一事業者の内部の担当責任者をいうものではない。
また、個人データの管理について責任を有する者は、利用目的の達成に必要な範囲内において、共同利用者間で利用している個人データを正確かつ最新の内容に保つよう努めなければならない(3-4-1(データ内容の正確性の確保等)参照)。
- 【共同利用に該当する事例】
- 事例1)グループ企業で総合的なサービスを提供するために取得時の利用目的(法第17条第2項の規定に従い変更された利用目的を含む。以下同じ。)の範囲内で情報を共同利用する場合
- 事例2)親子兄弟会社の間で取得時の利用目的の範囲内で個人データを共同利用する場合
- 事例3)使用者と労働組合又は労働者の過半数を代表する者との間で取得時の利用目的の範囲内で従業者の個人データを共同利用する場合
- (※1)共同利用の対象となる個人データの提供については、必ずしも全ての共同利用者が双方向で行う必要はなく、一部の共同利用者に対し、一方向で行うこともできる。
- (※2)事業者が共同利用を実施する場合には、共同利用者における責任等を明確にし円滑に実施する観点から、上記マル1からマル5までの情報のほか、例えば、次の(ア)から(カ)までの事項についても、あらかじめ取り決めておくことが望ましい。
- (ア)共同利用者の要件(グループ会社であること、特定のキャンペーン事業の一員であること等、共同利用による事業遂行上の一定の枠組み)
- (イ)各共同利用者の個人情報取扱責任者、問合せ担当者及び連絡先
- (ウ)共同利用する個人データの取扱いに関する事項
- 個人データの漏えい等防止に関する事項
- 目的外の加工、利用、複写、複製等の禁止
- 共同利用終了後のデータの返還、消去、廃棄に関する事項
- (エ)共同利用する個人データの取扱いに関する取決めが遵守されなかった場合の措置
- (オ)共同利用する個人データに関する事件・事故が発生した場合の報告・連絡に関する事項
- (カ)共同利用を終了する際の手続
- (※3)「本人に通知」については、2-14(本人に通知)を参照のこと。
- (※4)「本人が容易に知り得る状態」については、3-6-2(オプトアウトによる第三者提供)を参照のこと。
- (※5)共同利用か委託かは、個人データの取扱いの形態によって判断されるものであって、共同利用者の範囲に委託先事業者が含まれる場合であっても、委託先との関係は、共同利用となるわけではなく、委託元は委託先の監督義務を免れるわけではない。
<共同利用に係る事項の変更(法第27条第6項関係)>
- 法第27条(第6項)
-
- 個人情報取扱事業者は、前項第3号に規定する個人データの管理について責任を有する者の氏名、名称若しくは住所又は法人にあっては、その代表者の氏名に変更があったときは遅滞なく、同号に規定する利用する者の利用目的又は当該責任を有する者を変更しようとするときはあらかじめ、その旨について、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
個人情報取扱事業者は、個人データを共同利用する場合において、「個人データの管理について責任を有する者の氏名、名称若しくは住所又は法人にあっては、その代表者の氏名」に変更があったときは遅滞なく、当該変更後の内容について、「共同利用する者の利用目的」又は「当該責任を有する者」を変更しようとするときは変更する前に、変更しようとする内容について、本人に通知(※1)し、又は本人が容易に知り得る状態(※2)に置かなければならない。
なお、「共同利用する者の利用目的」については、社会通念上、本人が通常予期し得る限度と客観的に認められる範囲内(※3)で変更することができる。
「共同して利用される個人データの項目」及び「共同して利用する者の範囲」について変更することは、原則として認められないが、例えば次のような場合は、引き続き共同利用を行うことができる。
- 事例1)共同利用を行う個人データの項目や事業者の変更につき、あらかじめ本人の同意を得た場合
- 事例2)共同利用を行う事業者の名称に変更があるが、共同して利用される個人データの項目には変更がない場合
- 事例3)共同利用を行う事業者について事業の承継(※4)が行われた場合(共同利用する個人データの項目等の変更がないことが前提)
- (※1)「本人に通知」については、2-14(本人に通知)を参照のこと。
- (※2)「本人が容易に知り得る状態」については、3-6-2(オプトアウトによる第三者提供)を参照のこと。
- (※3)「本人が通常予期し得る限度と客観的に認められる範囲」については、3-1-2(利用目的の変更)を参照のこと。
- (※4)「事業の承継」については、3-1-4(事業の承継)を参照のこと。
3-6-4 外国にある第三者への提供の制限(法第28条関係)
外国にある第三者への提供の制限については、別途定める「外国第三者提供ガイドライン」を参照のこと。
(参考)
- 法第28条
-
- 個人情報取扱事業者は、外国(本邦の域外にある国又は地域をいう。以下この条及び第31条第1項第2号において同じ。)(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。以下この条及び同号において同じ。)にある第三者(個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置(第3項において「相当措置」という。)を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この項及び次項並びに同号において同じ。)に個人データを提供する場合には、前条第1項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。
- 個人情報取扱事業者は、前項の規定により本人の同意を得ようとする場合には、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報を当該本人に提供しなければならない。
- 個人情報取扱事業者は、個人データを外国にある第三者(第1項に規定する体制を整備している者に限る。)に提供した場合には、個人情報保護委員会規則で定めるところにより、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供しなければならない。
- 規則第16条
- 法第28条第1項の個人情報保護委員会規則で定める基準は、次の各号のいずれかに該当することとする。
- 個人情報取扱事業者と個人データの提供を受ける者との間で、当該提供を受ける者における当該個人データの取扱いについて、適切かつ合理的な方法により、法第4章第2節の規定の趣旨に沿った措置の実施が確保されていること。
- 個人データの提供を受ける者が、個人情報の取扱いに係る国際的な枠組みに基づく認定を受けていること。
- 規則第17条
-
- 法第28条第2項又は法第31条第1項第2号の規定により情報を提供する方法は、電磁的記録の提供による方法、書面の交付による方法その他の適切な方法とする。
- 法第28条第2項又は法第31条第1項第2号の規定による情報の提供は、次に掲げる事項について行うものとする。
- 当該外国の名称
- 適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報
- 当該第三者が講ずる個人情報の保護のための措置に関する情報
- 前項の規定にかかわらず、個人情報取扱事業者は、法第28条第1項の規定により本人の同意を得ようとする時点において、前項第1号に定める事項が特定できない場合には、同号及び同項第2号に定める事項に代えて、次に掲げる事項について情報提供しなければならない。
- 前項第1号に定める事項が特定できない旨及びその理由
- 前項第1号に定める事項に代わる本人に参考となるべき情報がある場合には、当該情報
- 第2項の規定にかかわらず、個人情報取扱事業者は、法第28条第1項の規定により本人の同意を得ようとする時点において、第2項第3号に定める事項について情報提供できない場合には、同号に定める事項に代えて、その旨及びその理由について情報提供しなければならない。
- 規則第18条
-
- 法第28条第3項(法第31条第2項において読み替えて準用する場合を含む。)の規定による外国にある第三者による相当措置の継続的な実施を確保するために必要な措置は、次に掲げる措置とする。
- 当該第三者による相当措置の実施状況並びに当該相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその内容を、適切かつ合理的な方法により、定期的に確認すること。
- 当該第三者による相当措置の実施に支障が生じたときは、必要かつ適切な措置を講ずるとともに、当該相当措置の継続的な実施の確保が困難となったときは、個人データ(法第31条第2項において読み替えて準用する場合にあっては、個人関連情報)の当該第三者への提供を停止すること。
- 法第28条第3項の規定により情報を提供する方法は、電磁的記録の提供による方法、書面の交付による方法その他の適切な方法とする。
- 個人情報取扱事業者は、法第28条第3項の規定による求めを受けたときは、本人に対し、遅滞なく、次に掲げる事項について情報提供しなければならない。ただし、情報提供することにより当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合は、その全部又は一部を提供しないことができる。
- 当該第三者による法第28条第1項に規定する体制の整備の方法
- 当該第三者が実施する相当措置の概要
- 第1項第1号の規定による確認の頻度及び方法
- 当該外国の名称
- 当該第三者による相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその概要
- 当該第三者による相当措置の実施に関する支障の有無及びその概要
- 前号の支障に関して第1項第2号の規定により当該個人情報取扱事業者が講ずる措置の概要
- 個人情報取扱事業者は、法第28条第3項の規定による求めに係る情報の全部又は一部について提供しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。
- 個人情報取扱事業者は、前項の規定により、本人から求められた情報の全部又は一部について提供しない旨を通知する場合には、本人に対し、その理由を説明するよう努めなければならない。
- 法第28条第3項(法第31条第2項において読み替えて準用する場合を含む。)の規定による外国にある第三者による相当措置の継続的な実施を確保するために必要な措置は、次に掲げる措置とする。
3-6-5 第三者提供に係る記録の作成等(法第29条関係)
第三者提供に係る記録の作成等については、別途定める「確認・記録義務ガイドライン」を参照のこと。
(参考)
- 法第29条
-
- 個人情報取扱事業者は、個人データを第三者(第16条第2項各号に掲げる者を除く。以下この条及び次条(第31条第3項において読み替えて準用する場合を含む。)において同じ。)に提供したときは、個人情報保護委員会規則で定めるところにより、当該個人データを提供した年月日、当該第三者の氏名又は名称その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。ただし、当該個人データの提供が第27条第1項各号又は第5項各号のいずれか(前条第1項の規定による個人データの提供にあっては、第27条第1項各号のいずれか)に該当する場合は、この限りでない。
- 個人情報取扱事業者は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。
- 規則第19条
-
- 法第29条第1項の規定による同項の記録を作成する方法は、文書、電磁的記録又はマイクロフィルムを用いて作成する方法とする。
- 法第29条第1項の記録は、個人データを第三者(同項に規定する第三者をいう。以下この条、次条、第22条から第24条まで、第27条及び第28条において同じ。)に提供した都度、速やかに作成しなければならない。ただし、当該第三者に対し個人データを継続的に若しくは反復して提供(法第27条第2項の規定による提供を除く。以下この項において同じ。)したとき、又は当該第三者に対し個人データを継続的に若しくは反復して提供することが確実であると見込まれるときの記録は、一括して作成することができる。
- 前項の規定にかかわらず、法第27条第1項又は法第28条第1項の規定により、本人に対する物品又は役務の提供に関連して当該本人に係る個人データを第三者に提供した場合において、当該提供に関して作成された契約書その他の書面に次条第1項各号に定める事項が記載されているときは、当該書面をもって法第29条第1項の当該事項に関する記録に代えることができる。
- 規則第20条
-
- 法第29条第1項の個人情報保護委員会規則で定める事項は、次の各号に掲げる場合の区分に応じ、それぞれ当該各号に定める事項とする。
- 法第27条第2項の規定により個人データを第三者に提供した場合 次のイからニまでに掲げる事項
- イ 当該個人データを提供した年月日
- ロ 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人。第28条第1項第3号において同じ。)の氏名(不特定かつ多数の者に対して提供したときは、その旨)
- ハ 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
- ニ 当該個人データの項目
- 法第27条第1項又は法第28条第1項の規定により個人データを第三者に提供した場合 次のイ及びロに掲げる事項
- イ 法第27条第1項又は法第28条第1項の本人の同意を得ている旨
- ロ 前号ロからニまでに掲げる事項
- 法第27条第2項の規定により個人データを第三者に提供した場合 次のイからニまでに掲げる事項
- 前項各号に定める事項のうち、既に前条に規定する方法により作成した法第29条第1項の記録(当該記録を保存している場合におけるものに限る。)に記録されている事項と内容が同一であるものについては、同項の当該事項の記録を省略することができる。
- 法第29条第1項の個人情報保護委員会規則で定める事項は、次の各号に掲げる場合の区分に応じ、それぞれ当該各号に定める事項とする。
- 規則第21条
- 法第29条第2項の個人情報保護委員会規則で定める期間は、次の各号に掲げる場合の区分に応じて、それぞれ当該各号に定める期間とする。
- 第19条第3項に規定する方法により記録を作成した場合 最後に当該記録に係る個人データの提供を行った日から起算して1年を経過する日までの間
- 第19条第2項ただし書に規定する方法により記録を作成した場合 最後に当該記録に係る個人データの提供を行った日から起算して3年を経過する日までの間
- 前二号以外の場合 3年
3-6-6 第三者提供を受ける際の確認等(法第30条関係)
第三者提供を受ける際の確認等については、別途定める「確認・記録義務ガイドライン」を参照のこと。
(参考)
- 【第三者提供を受ける際の確認(法第30条第1項・第2項関係)】
-
- 法第30条(第1項・第2項)
-
- 個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、個人情報保護委員会規則で定めるところにより、次に掲げる事項の確認を行わなければならない。ただし、当該個人データの提供が第27条第1項各号又は第5項各号のいずれかに該当する場合は、この限りでない。
- 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
- 当該第三者による当該個人データの取得の経緯
- 前項の第三者は、個人情報取扱事業者が同項の規定による確認を行う場合において、当該個人情報取扱事業者に対して、当該確認に係る事項を偽ってはならない。
- 個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、個人情報保護委員会規則で定めるところにより、次に掲げる事項の確認を行わなければならない。ただし、当該個人データの提供が第27条第1項各号又は第5項各号のいずれかに該当する場合は、この限りでない。
- 規則第22条
-
- 法第30条第1項の規定による同項第1号に掲げる事項の確認を行う方法は、個人データを提供する第三者から申告を受ける方法その他の適切な方法とする。
- 法第30条第1項の規定による同項第2号に掲げる事項の確認を行う方法は、個人データを提供する第三者から当該第三者による当該個人データの取得の経緯を示す契約書その他の書面の提示を受ける方法その他の適切な方法とする。
- 前二項の規定にかかわらず、第三者から他の個人データの提供を受けるに際して既に前二項に規定する方法による確認(当該確認について次条に規定する方法による記録の作成及び保存をしている場合におけるものに限る。)を行っている事項の確認を行う方法は、当該事項の内容と当該提供に係る法第30条第1項各号に掲げる事項の内容が同一であることの確認を行う方法とする。
【第三者提供を受ける際の記録の作成等(法第30条第3項・第4項関係)】
- 法第30条(第3項・第4項)
-
- 個人情報取扱事業者は、第1項の規定による確認を行ったときは、個人情報保護委員会規則で定めるところにより、当該個人データの提供を受けた年月日、当該確認に係る事項その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。
- 個人情報取扱事業者は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。
- 規則第23条
-
- 法第30条第3項の規定による同項の記録を作成する方法は、文書、電磁的記録又はマイクロフィルムを用いて作成する方法とする。
- 法第30条第3項の記録は、第三者から個人データの提供を受けた都度、速やかに作成しなければならない。ただし、当該第三者から継続的に若しくは反復して個人データの提供(法第27条第2項の規定による提供を除く。以下この条において同じ。)を受けたとき、又は当該第三者から継続的に若しくは反復して個人データの提供を受けることが確実であると見込まれるときの記録は、一括して作成することができる。
- 前項の規定にかかわらず、本人に対する物品又は役務の提供に関連して第三者から当該本人に係る個人データの提供を受けた場合において、当該提供に関して作成された契約書その他の書面に次条第1項各号に定める事項が記載されているときは、当該書面をもって法第30条第3項の当該事項に関する記録に代えることができる。
- 規則第24条
-
- 法第30条第3項の個人情報保護委員会規則で定める事項は、次の各号に掲げる場合の区分に応じ、それぞれ当該各号に定める事項とする。
- 個人情報取扱事業者から法第27条第2項の規定による個人データの提供を受けた場合 次のイからホまでに掲げる事項
- イ 個人データの提供を受けた年月日
- ロ 法第30条第1項各号に掲げる事項
- ハ 当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項
- ニ 当該個人データの項目
- ホ 法第27条第4項の規定により公表されている旨
- 個人情報取扱事業者から法第27条第1項又は法第28条第1項の規定による個人データの提供を受けた場合 次のイ及びロに掲げる事項
- イ 法第27条第1項又は法第28条第1項の本人の同意を得ている旨
- ロ 前号ロからニまでに掲げる事項
- 個人関連情報取扱事業者から法第31条第1項の規定による個人関連情報の提供を受けて個人データとして取得した場合 次のイからニまでに掲げる事項
- イ 法第31条第1項第1号の本人の同意が得られている旨及び外国にある個人情報取扱事業者にあっては、同項第2号の規定による情報の提供が行われている旨
- ロ 法第30条第1項第1号に掲げる事項
- ハ 第1号ハに掲げる事項
- ニ 当該個人関連情報の項目
- 第三者(個人情報取扱事業者に該当する者を除く。)から個人データの提供を受けた場合 第1号ロからニまでに掲げる事項
- 個人情報取扱事業者から法第27条第2項の規定による個人データの提供を受けた場合 次のイからホまでに掲げる事項
- 前項各号に定める事項のうち、既に前条に規定する方法により作成した法第30条第3項の記録(当該記録を保存している場合におけるものに限る。)に記録された事項と内容が同一であるものについては、同項の当該事項の記録を省略することができる。
- 法第30条第3項の個人情報保護委員会規則で定める事項は、次の各号に掲げる場合の区分に応じ、それぞれ当該各号に定める事項とする。
- 規則第25条
- 法第30条第4項の個人情報保護委員会規則で定める期間は、次の各号に掲げる場合の区分に応じて、それぞれ当該各号に定める期間とする。
- 第23条第3項に規定する方法により記録を作成した場合 最後に当該記録に係る個人データの提供を受けた日から起算して1年を経過する日までの間
- 第23条第2項ただし書に規定する方法により記録を作成した場合 最後に当該記録に係る個人データの提供を受けた日から起算して3年を経過する日までの間
- 前二号以外の場合 3年
3-7 個人関連情報の第三者提供の制限等(法第31条関係)
個人関連情報の定義については、2-8(個人関連情報)を参照のこと。
(参考)
- 法第2条(第7項)
-
- この法律において「個人関連情報」とは、生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。
個人関連情報取扱事業者の定義については、2-9(個人関連情報取扱事業者)を参照のこと。
(参考)
- 法第16条(第7項)
-
- この章、第6章及び第7章において「個人関連情報取扱事業者」とは、個人関連情報を含む情報の集合物であって、特定の個人関連情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の個人関連情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(第31条第1項において「個人関連情報データベース等」という。)を事業の用に供している者をいう。ただし、第2項各号に掲げる者を除く。
- 政令第8条
- 法第16条第7項の政令で定めるものは、同項に規定する情報の集合物に含まれる個人関連情報を一定の規則に従って整理することにより特定の個人関連情報を容易に検索することができるように体系的に構成したものであって、目次、索引その他検索を容易にするためのものを有するものをいう。
3-7-1 法第31条の適用の有無について
個人関連情報取扱事業者は、提供先の第三者が個人関連情報(個人関連情報データベース等を構成するものに限る。以下同じ。)を個人データとして取得することが想定されるときは、法第27条第1項各号に掲げる場合を除き、あらかじめ当該個人関連情報に係る本人の同意が得られていること等を確認しないで、当該個人関連情報を提供してはならない。
法第31条第1項は、個人関連情報取扱事業者による個人関連情報の第三者提供一般に適用されるものではなく、提供先の第三者が個人関連情報を「個人データとして取得することが想定されるとき」に適用されるものである。そのため、個人関連情報の提供を行う個人関連情報取扱事業者は、提供先の第三者との間で、提供を行う個人関連情報の項目や、提供先の第三者における個人関連情報の取扱い等を踏まえた上で、それに基づいて法第31条第1項の適用の有無を判断する。
3-7-1-1 「個人データとして取得する」について
法第31条第1項の「個人データとして取得する」とは、提供先の第三者において、個人データに個人関連情報を付加する等、個人データとして利用しようとする場合をいう。
提供先の第三者が、提供を受けた個人関連情報を、ID等を介して提供先が保有する他の個人データに付加する場合には、「個人データとして取得する」場合に該当する。
提供先の第三者が、提供を受けた個人関連情報を直接個人データに紐付けて利用しない場合は、別途、提供先の第三者が保有する個人データとの容易照合性が排除しきれないとしても、ここでいう「個人データとして取得する」場合には直ちに該当しない。
3-7-1-2 「想定される」について
「想定される」とは、提供元の個人関連情報取扱事業者において、提供先の第三者が「個人データとして取得する」(3-7-1-1(「個人データとして取得する」について))ことを現に想定している場合、又は一般人の認識(※)を基準として「個人データとして取得する」ことを通常想定できる場合をいう。
- 「個人データとして取得する」ことを現に想定している場合
提供元の個人関連情報取扱事業者が、提供先の第三者において個人データとして取得することを現に認識している場合をいう。
【現に想定している場合に該当する例】
- 事例1)提供元の個人関連情報取扱事業者が、顧客情報等の個人データを保有する提供先の第三者に対し、ID等を用いることで個人関連情報を個人データと紐付けて取得することが可能であることを説明している場合
- 事例2) 提供元の個人関連情報取扱事業者が、提供先の第三者から、個人関連情報を受領した後に個人データと紐付けて取得することを告げられている場合
- 「個人データとして取得する」ことを通常想定できる場合
提供元の個人関連情報取扱事業者において現に想定していない場合であっても、提供先の第三者との取引状況等の客観的事情に照らし、一般人の認識を基準に通常想定できる場合には、「想定される」に該当する。
【通常想定できる場合】
- 事例)個人関連情報を提供する際、提供先の第三者において当該個人関連情報を氏名等と紐付けて利用することを念頭に、そのために用いるID等も併せて提供する場合
(※)ここでいう「一般人の認識」とは、同種の事業を営む事業者の一般的な判断力・理解力を前提とする認識をいう。
3-7-1-3 契約等による対応について
提供元の個人関連情報取扱事業者及び提供先の第三者間の契約等において、提供先の第三者において、提供を受けた個人関連情報を個人データとして利用しない旨が定められている場合には、通常、「個人データとして取得する」ことが想定されず、法第31条は適用されない。この場合、提供元の個人関連情報取扱事業者は、提供先の第三者における個人関連情報の取扱いの確認まで行わなくとも、通常、「個人データとして取得する」ことが想定されない。もっとも、提供先の第三者が実際には個人関連情報を個人データとして利用することが窺われる事情がある場合には、当該事情に応じ、別途、提供先の第三者における個人関連情報の取扱いも確認した上で「個人データとして取得する」ことが想定されるかどうか判断する必要がある。
3-7-2 本人の同意の取得方法
3-7-2-1 本人の同意
法第31条第1項第1号の「本人の同意」とは、個人関連情報取扱事業者が第三者に個人関連情報を提供し、当該第三者が当該個人関連情報を個人データとして取得することを承諾する旨の当該本人の意思表示をいう。同号の同意の取得に当たっては、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な範囲の内容を明確に示した上で、本人の同意の意思が明確に確認できることが必要である。
また、本人の同意は、必ずしも第三者提供のたびに取得しなければならないものではなく、本人が予測できる範囲において、包括的に同意を取得することも可能である。
なお、令和2年改正法の施行日(令和4年4月1日)前になされた本人の個人関連情報の取扱いに関する同意がある場合において、その同意が法第31条第1項の規定による個人関連情報の第三者への提供を認める旨の同意に相当するものであるときは、同項第1号の同意があったものとみなす(令和2年改正法附則第5条第1号)。
また、令和3年改正法第50条の規定の施行日(令和4年4月1日)前に別表第二法人等(3-1-3(利用目的による制限)参照)に対しされた本人の個人関連情報の取扱いに関する同意がある場合において、その同意が法第31条第1項第1号の規定による個人関連情報の第三者への提供を認める旨の同意に相当するものであるときは、令和3年改正法第50条の規定の施行日(令和4年4月1日)において同号の同意があったものとみなす(令和3年改正法附則第7条第8項)。
さらに、令和3年改正法第51条の規定の施行日(令和5年4月1日)前に特定地方独立行政法人等(3-1-3(利用目的による制限)参照)に対しされた本人の個人関連情報の取扱いに関する同意がある場合において、その同意が法第31条第1項第1号の規定による個人関連情報の第三者への提供を認める旨の同意に相当するものであるときは、令和3年改正法第51条の規定の施行日(令和5年4月1日)において同号の同意があったものとみなす(令和3年改正法附則第9条第8項)。
3-7-2-2 同意を取得する主体
法第31条第1項第1号の「本人の同意」を取得する主体は、本人と接点を持ち、情報を利用する主体となる提供先の第三者であるが、同等の本人の権利利益の保護が図られることを前提に、同意取得を提供元の個人関連情報取扱事業者が代行することも認められる。
提供先の第三者による同意取得の場合であっても、提供元の個人関連情報取扱事業者による同意取得の代行の場合であっても、個人関連情報の提供を受けて個人データとして取得する主体、対象となる個人関連情報の項目、個人関連情報の提供を受けて個人データとして取得した後の利用目的等について、本人が認識できるようにする必要がある。
- 提供先の第三者による同意取得の場合
提供先の第三者が、個人関連情報の提供を受けて個人データとして取得する主体として、本人に対して、対象となる個人関連情報を特定できるように示した上で同意を取得しなければならない。
個人関連情報を個人データとして取得した後の利用目的については、提供先の第三者において法第21条により通知又は公表を行う必要があるが、提供先において同意を取得する際には同時に当該利用目的についても本人に示すことが望ましい。
- 提供元の個人関連情報取扱事業者による同意取得の代行の場合
提供元の個人関連情報取扱事業者が同意取得を代行する場合、本人は利用の主体を認識できないことから、提供元の個人関連情報取扱事業者において、個人関連情報の提供を受けて個人データとして取得する提供先の第三者を個別に明示し、また、対象となる個人関連情報を特定できるように示さなければならない。
提供先の第三者が個人関連情報を個人データとして取得した後の利用目的については、提供先の第三者において法第21条により通知又は公表を行わなければならない。
また、提供元の個人関連情報取扱事業者が同意取得を代行する場合であっても、提供先の第三者が同意取得の主体であることに変わりはないことから、提供先の第三者は提供元の個人関連情報取扱事業者に適切に同意取得させなければならない。
3-7-2-3 同意取得の方法
同意取得の方法としては、様々な方法があるが、例えば、本人から同意する旨を示した書面や電子メールを受領する方法、確認欄へのチェックを求める方法がある。ウェブサイト上で同意を取得する場合は、単にウェブサイト上に本人に示すべき事項を記載するのみでは足りず、それらの事項を示した上でウェブサイト上のボタンのクリックを求める方法等によらなければならない。
また、同意取得に際しては、本人に必要な情報を分かりやすく示すことが重要であり、例えば、図を用いるなどして工夫することが考えられる。
なお、個人関連情報の第三者提供につき、同意取得の一般的なフローについては、本ガイドライン末尾の【付録】を参照のこと。
3-7-3 本人の同意等の確認の方法(法第31条第1項関係)
3-7-3-1 個人データとして取得することを認める旨の本人の同意を得られていること(法第31条第1項第1号、規則第26条第1項関係)
- 法第31条(第1項)
-
- 個人関連情報取扱事業者は、第三者が個人関連情報(個人関連情報データベース等を構成するものに限る。以下この章及び第6章において同じ。)を個人データとして取得することが想定されるときは、第27条第1項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個人情報保護委員会規則で定めるところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはならない。
- 当該第三者が個人関連情報取扱事業者から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意が得られていること。
- (略)
- 個人関連情報取扱事業者は、第三者が個人関連情報(個人関連情報データベース等を構成するものに限る。以下この章及び第6章において同じ。)を個人データとして取得することが想定されるときは、第27条第1項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個人情報保護委員会規則で定めるところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはならない。
- 規則第26条(第1項)
-
- 法第31条第1項の規定による同項第1号に掲げる事項の確認を行う方法は、個人関連情報の提供を受ける第三者から申告を受ける方法その他の適切な方法とする。
個人関連情報取扱事業者は、提供先の第三者が個人関連情報を個人データとして取得することが想定されるときは、原則として、あらかじめ当該個人関連情報に係る本人の同意が得られていることを確認しないで個人関連情報を提供してはならない。
本人から同意を得る主体は、原則として提供先の第三者となり、個人関連情報取扱事業者は、当該第三者から申告を受ける方法その他の適切な方法によって本人同意が得られていることを確認することになる。提供先の第三者から申告を受ける場合、個人関連情報取扱事業者は、その申告内容を一般的な注意力をもって確認すれば足りる。
提供先の第三者において、複数の本人から同一の方式で同意を取得している場合、提供元はそれぞれの本人から同意が取得されていることを確認する必要があるが、同意取得の方法については、本人ごとに個別の申告を受ける必要はなく、複数の本人からどのように同意を取得したか申告を受け、それによって確認を行えば足りる。
なお、提供先の第三者から提供元の個人関連情報取扱事業者に対する申告に際し、提供先の第三者が法第31条第1項第1号の同意を取得済みのID等を提供する行為は、個人データの第三者提供に該当する場合があるが、法第31条第1項の確認行為において必要となる情報のみを提供する場合は、法令に基づく場合(法第27条第1項第1号)に該当する。
また、提供元の個人関連情報取扱事業者において、同意取得を代行する場合、当該同意を自ら確認する方法も「その他の適切な方法」による確認に該当する。
- 【第三者から申告を受ける方法に該当する事例】
- 事例1)提供先の第三者から口頭で申告を受ける方法
- 事例2)提供先の第三者が本人の同意を得ていることを誓約する書面を受け入れる方法
- 【その他の適切な方法に該当する事例】
- 事例1)提供先の第三者が取得した本人の同意を示す書面等を確認する方法
- 事例2)提供元の個人関連情報取扱事業者において同意取得を代行して、当該同意を自ら確認する方法
3-7-3-2 外国にある第三者への提供にあっては、必要な情報が当該本人に提供されていること(法第31条第1項第2号、規則第26条第2項関係)
- 法第31条(第1項)
-
- 個人関連情報取扱事業者は、第三者が個人関連情報(個人関連情報データベース等を構成するものに限る。以下この章及び第6章において同じ。)を個人データとして取得することが想定されるときは、第27条第1項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個人情報保護委員会規則で定めるところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはならない。
- (略)
- 外国にある第三者への提供にあっては、前号の本人の同意を得ようとする場合において、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報が当該本人に提供されていること。
- 第28条第3項の規定は、前項の規定により個人関連情報取扱事業者が個人関連情報を提供する場合について準用する。この場合において、同条第3項中「講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供し」とあるのは、「講じ」と読み替えるものとする。
- 個人関連情報取扱事業者は、第三者が個人関連情報(個人関連情報データベース等を構成するものに限る。以下この章及び第6章において同じ。)を個人データとして取得することが想定されるときは、第27条第1項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個人情報保護委員会規則で定めるところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはならない。
- 規則第17条(第1項・第2項)
-
- 法第28条第2項又は法第31条第1項第2号の規定により情報を提供する方法は、電磁的記録の提供による方法、書面の交付による方法その他の適切な方法とする。
- 法第28条第2項又は法第31条第1項第2号の規定による情報の提供は、次に掲げる事項について行うものとする。
- 当該外国の名称
- 適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報
- 当該第三者が講ずる個人情報の保護のための措置に関する情報
- 規則第18条(第1項)
-
- 法第28条第3項(法第31条第2項において読み替えて準用する場合を含む。)の規定による外国にある第三者による相当措置の継続的な実施を確保するために必要な措置は、次に掲げる措置とする。
- 当該第三者による相当措置の実施状況並びに当該相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその内容を、適切かつ合理的な方法により、定期的に確認すること。
- 当該第三者による相当措置の実施に支障が生じたときは、必要かつ適切な措置を講ずるとともに、当該相当措置の継続的な実施の確保が困難となったときは、個人データ(法第31条第2項において読み替えて準用する場合にあっては、個人関連情報)の当該第三者への提供を停止すること。
- 法第28条第3項(法第31条第2項において読み替えて準用する場合を含む。)の規定による外国にある第三者による相当措置の継続的な実施を確保するために必要な措置は、次に掲げる措置とする。
個人関連情報取扱事業者は、個人関連情報の提供先が外国にある第三者である場合には、法第31条第1項第1号に基づき本人の同意が得られていることを確認するに当たって、当該同意が得られていることに加え、当該同意を得ようとする時点において次の(1)から(3)までの情報が当該本人に提供されていることを確認しなければならない。
情報提供の方法及び提供すべき情報の内容の考え方等については、外国第三者提供ガイドライン「5-1(情報提供の方法)」及び「5-2(提供すべき情報)」を参照のこと。
- 当該外国の名称(規則第17条第2項第1号関係)
- 適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報(規則第17条第2項第2号関係)
- 当該第三者が講ずる個人情報の保護のための措置に関する情報(規則第17条第2項第3号関係)
ただし、次のマル1又はマル2のいずれかに該当する場合には、本人同意の取得時に上記の(1)から(3)までの情報が提供されていることを確認する必要はない。
- マル1 当該第三者が個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報保護制度を有している国にある場合
個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報保護制度を有している外国として規則で定める国(※1)は、法第31条第1項第2号の「外国」には該当しない。そのため、個人関連情報の提供先が、当該国にある第三者である場合には、法第31条第1項第2号は適用されない。
- マル2 当該第三者が個人情報取扱事業者が講ずべき措置に相当する措置を継続的に講ずるために必要な体制を整備している場合
個人関連情報の提供先である外国にある第三者が、個人情報取扱事業者が講ずべき措置に相当する措置を継続的に講ずるために必要な体制として規則第16条で定める基準に適合する体制を整備している場合(※2)には、当該第三者は、法第31条第1項第2号における「第三者」に該当しない。そのため、当該体制を整備している外国にある第三者への個人関連情報の提供については、法第31条第1項第2号は適用されない。
ただし、規則第16条で定める基準に適合する体制を整備している外国にある第三者に個人関連情報の提供を行った場合には、個人関連情報取扱事業者は、法第31条第2項により読み替えて準用される法第28条第3項に基づき、次の(ア)及び(イ)の措置を講じなければならない(※3)(※4)。
講ずべき措置の考え方等については、外国第三者提供ガイドライン「6-1(相当措置の継続的な実施を確保するために必要な措置)」を参照のこと。
- (ア) 当該第三者による相当措置の実施状況並びに当該相当措置の実施に影響を及ぼすおそれのある当該外国の制度の有無及びその内容を、適切かつ合理的な方法により、定期的に確認すること(規則第18条第1項第1号関係)
- (イ) 当該第三者による相当措置の実施に支障が生じたときは、必要かつ適切な措置を講ずるとともに、当該相当措置の継続的な実施の確保が困難となったときは、個人関連情報の当該第三者への提供を停止すること(規則第18条第1項第2号関係)
- (※1)規則で定める国とは、平成31年個人情報保護委員会告示第1号に定める国を指す。詳細については、外国第三者提供ガイドライン「3(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国)」を参照のこと。
- (※2)個人情報取扱事業者が講ずべき措置に相当する措置を継続的に講ずるために必要な体制の基準の詳細については、外国第三者提供ガイドライン「4(個人情報取扱事業者が講ずべき措置に相当する措置を継続的に講ずるために必要な体制の基準)」を参照のこと。
- (※3)法第26条の2第2項(現行法第31条第2項)において読み替えて準用される法第24条第3項(現行法第28条第3項)の規定は、個人関連情報取扱事業者が令和2年改正法の施行日以後に同項に規定する外国にある第三者に個人関連情報を提供した場合について適用される(令和2年改正法附則第5条第2項)。
- (※4)法第31条第2項において読み替えて準用される法第28条第3項の規定は、別表第二法人等(3-1-3(利用目的による制限)参照)が令和3年改正法第50条の規定の施行日(令和4年4月1日)以後に同項に規定する外国にある第三者に個人関連情報を提供した場合について適用される(令和3年改正法附則第7条第9項)。
- (※5)法第 31 条第 2 項において読み替えて準用される法第 28 条第3 項の規定は、特定地方独立行政法人等(3-1-3(利用目的による制限)参照)が令和 3 年改正法第 51 条の規定の施行日(令和5 年 4 月 1 日)以後に同項に規定する外国にある第三者に個人関連情報を提供した場合について適用される(令和 3 年改正法附則第 9 条第 9 項)。
<確認の方法(規則第26条第2項関係)>
- 規則第26条(第2項)
-
- 法第31条第1項の規定による同項第2号に掲げる事項の確認を行う方法は、同号の規定による情報の提供が行われていることを示す書面の提示を受ける方法その他の適切な方法とする。
本人から同意を得る主体は、原則として提供先の第三者となり、個人関連情報取扱事業者は、書面の提示を受ける方法その他の適切な方法によって必要な情報の提供が行われていることを確認しなければならない。
- 【書面の提示を受ける方法に該当する事例】
- 事例1)提供先の第三者が本人に対して法第31条第1項第2号の規定による情報の提供を行う際に使用している書面の提示を受ける方法
- 事例2)提供先の第三者が本人に対してホームページ上で法第31条第1項第2号の規定による情報の提供を行っている場合において、当該ホームページの写しの提示を受ける方法
- 事例3)提供先の第三者が本人に対して法第31条第1項第2号の規定による情報の提供を行っていることを誓約する書面を受け入れる方法
- 【その他の適切な方法に該当する事例】
- 事例1)提供先の第三者が本人に対してホームページ上で法第31条第1項第2号の規定による情報の提供を行っている場合において、当該ホームページの記載内容を確認する方法
- 事例2)提供元の個人関連情報取扱事業者において同意取得を代行している場合において、同意取得に当たって必要な情報が提供されていることを自ら確認する方法
3-7-3-3 既に確認を行った第三者に対する確認の方法(規則第26条第3項)
- 規則第26条(第3項)
-
- 前二項の規定にかかわらず、第三者に個人関連情報の提供を行うに際して既に前二項に規定する方法による確認(当該確認について次条に規定する方法による記録の作成及び保存をしている場合におけるものに限る。)を行っている事項の確認を行う方法は、当該事項の内容と当該提供に係る法第31条第1項各号に掲げる事項の内容が同一であることの確認を行う方法とする。
- 令和2年改正法規則附則第4条
-
法第31条第1項第1号に規定する事項のうち、施行日前に第26条に規定する方法に相当する方法で確認(当該確認について第27条に規定する方法に相当する方法で記録を作成し、かつ、保存している場合におけるものに限る。)を行っているものについては、第26条第3項の規定を適用することができる。この場合において、同項中「前二項に規定する方法」とあるのは「前二項に規定する方法に相当する方法」と読み替えるものとする。
複数回にわたって同一「本人」の個人関連情報を提供する場合において、同一の内容である事項を重複して確認する合理性はないため、既に規則第26条に規定する方法(3-7-3-1(個人データとして取得することを認める旨の本人の同意を得られていること)、3-7-3-2(外国にある第三者への提供にあっては、参考となるべき情報が当該本人に提供されていること))により確認を行い、3-7-4(提供元における記録義務)に規定する方法により作成し、かつ、その時点において保存している記録に記録された事項と内容が同一であるものについては、当該事項の確認を省略することができる。
令和2年改正法の施行日(令和4年4月1日)の前に上記に規定する方法に相当する方法で作成した記録についても同様とする。
例えば、個人関連情報取扱事業者が、同じ提供先に対して、既に確認・記録義務を履行した本人に係る個人関連情報であることを認識しながら、個人関連情報の提供を行う場合は、「同一であることの確認」が行われているものである。
3-7-4 提供元における記録義務(法第31条第3項、第30条第3項関係)
- 法第31条(第3項)
-
- 前条第2項から第4項までの規定は、第1項の規定により個人関連情報取扱事業者が確認する場合について準用する。この場合において、同条第3項中「の提供を受けた」とあるのは、「を提供した」と読み替えるものとする。
- 法第30条(第3項)
-
- 個人情報取扱事業者は、第1項の規定による確認を行ったときは、個人情報保護委員会規則で定めるところにより、当該個人データの提供を受けた年月日、当該確認に係る事項その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。
個人関連情報取扱事業者は、法第31条第1項の規定による確認を行った場合は、その記録を作成しなければならない(法第31条第3項において準用される法第30条第3項)。なお、「第三者」のうち、次の(1)から(4)までに掲げる者に個人関連情報の提供を行う場合は、記録義務は適用されない(法第31条第3項において読み替えて準用する法第30条第3項、第29条第1項)。
- 国の機関(法第16条第2項第1号関係)
- 地方公共団体(法第16条第2項第2号関係)
- 独立行政法人等(独立行政法人通則法第2条第1項 に規定する独立行政法人及び別表第1に掲げる法人をいう。別表第2に掲げる法人を除く。)(法第16条第2項第3号関係)
- 地方独立行政法人(地方独立行政法人法第2条第1項に規定する地方独立行政法人をいう。同法第21条第1号に掲げる業務を主たる目的とするもの又は同条第2号若しくは第3号(チに係る部分に限る。)に掲げる業務を目的とするものを除く。)(法第16条第2項第4号関係)
3-7-4-1 記録を作成する媒体(規則第27条第1項関係)
- 規則第27条(第1項)
-
- 法第31条第3項において読み替えて準用する法第30条第3項の規定による同項の記録を作成する方法は、文書、電磁的記録又はマイクロフィルムを用いて作成する方法とする。
個人関連情報取扱事業者は、記録を、文書、電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。)で作られる記録をいう。以下同じ。法第2条第1項第1号参照)又はマイクロフィルムを用いて作成しなければならない。
3-7-4-2 記録を作成する方法 原則(規則第27条第2項関係)
3-7-4-2-1 原則(規則第27条第2項関係)
- 規則第27条(第2項)
-
- 法第31条第3項において読み替えて準用する法第30条第3項の記録は、個人関連情報を第三者に提供した都度、速やかに作成しなければならない。(略)
個人関連情報取扱事業者は、記録を作成する場合、原則として、個人関連情報の提供の都度、速やかに、記録を作成しなければならない。
なお、個人関連情報を提供する前に記録を作成することもできる。
3-7-4-2-2 一括して記録を作成する方法(規則第27条第2項関係)
- 規則第27条(第2項)
-
- (略)当該第三者に対し個人関連情報を継続的に若しくは反復して提供したとき、又は当該第三者に対し個人関連情報を継続的に若しくは反復して提供することが確実であると見込まれるときの記録は、一括して作成することができる。
一定の期間内に特定の事業者に対して継続的に又は反復して個人関連情報を提供する場合は、個々の提供に係る記録を作成する代わりに、一括して記録を作成することができる。
- 【一括して記録を作成する方法に該当する事例】
- 事例1)最初の提供の際に一旦記録を作成した上で、継続的に又は反復して個人関連情報を提供する対象期間内に、随時、追加の記録事項を作成する方法
- 事例2)継続的に又は反復して個人関連情報を提供する対象期間内に、月ごとに記録を作成する方法
- 事例3)継続的に又は反復して個人関連情報を提供する対象期間の終了後、速やかに記録を作成する方法
「確実であると見込まれるとき」の例としては、継続的に又は反復して個人関連情報を提供することを内容とする基本契約を締結することで、以後、継続的に又は反復して個人関連情報を提供することが確実であると見込まれる場合などが該当する。この場合は、当該基本契約に係る契約書をもって記録とすることができる。
「一括して記録を作成する方法」は、例外としての記録作成方法であることに鑑みて、その対象期間、対象範囲等を明確にすることが望ましい。
3-7-4-2-3 契約書等の代替手段による方法(規則第27条第3項関係)
- 規則第27条(第3項)
-
- 前項の規定にかかわらず、法第31条第1項の規定により、本人に対する物品又は役務の提供に関連して当該本人に係る個人関連情報を第三者に提供した場合において、当該提供に関して作成された契約書その他の書面に次条第1項各号に定める事項が記載されているときは、当該書面をもって法第31条第3項において読み替えて準用する法第30条第3項の当該事項に関する記録に代えることができる。
個人関連情報取扱事業者が、本人に対する物品又は役務の提供に係る契約を締結し、かかる契約の履行に伴って、当該本人に係る個人関連情報を当該個人関連情報取扱事業者から第三者に提供する場合は、当該契約書その他の書面をもって記録とすることができる。
仮に、規則第27条第3項の要件を満たさない書面も、記録事項が記載されていれば記録として認められるが、保存期間の違いに留意する必要がある(3-7-4-4(保存期間)参照)。
- 「本人に対する物品又は役務の提供」
提供元の個人関連情報取扱事業者若しくは提供先の第三者又はその双方が「本人に対する物品又は役務の提供」の主体となる場合も含む。
- 「当該提供に関して作成された(契約書その他の書面)」
複数の書面を合わせて一つの記録とすることは妨げられない。
- 「契約書その他の書面」
本人と提供元の個人関連情報取扱事業者との間で作成した契約書のみならず、提供元の個人関連情報取扱事業者と提供先の第三者との間で作成した契約書も、含まれる。
「契約書」の他にも、「その他の書面」には、個人関連情報取扱事業者又は提供先の第三者の内部で作成された帳票、記録簿等も含まれる。
また、「契約書その他の書面」は電磁的記録を含むため(規則第11条第3項参照)、システム上の記録等も「契約書その他の書面」に該当する。
- 【契約書等の代替手段による方法の例】
- 事例)提供元の個人関連情報取扱事業者が提供先の第三者との間で、個人関連情報の提供に関して「契約書その他の書面」を交わしている場合であって、当該書面に規則第28条第1項各号に掲げる事項が記載されている場合
3-7-4-2-4 代行により記録を作成する方法
提供先の第三者は提供元の個人関連情報取扱事業者の記録義務の全部又は一部を代替して行うことができる。なお、この場合であっても、提供元の個人関連情報取扱事業者は自己の義務が免責されるわけではないことから、実質的に自らが記録作成義務を果たしているものと同等の体制を構築しなければならない。
3-7-4-3 提供元における記録事項(規則第28条関係)
3-7-4-3-1 提供元における記録事項(規則第28条第1項関係)
- 法第31条(第3項)
-
- 前条第2項から第4項までの規定は、第1項の規定により個人関連情報取扱事業者が確認する場合について準用する。この場合において、同条第3項中「の提供を受けた」とあるのは、「を提供した」と読み替えるものとする。
- 法第30条(第3項)
-
- 個人情報取扱事業者は、第1項の規定による確認を行ったときは、個人情報保護委員会規則で定めるところにより、当該個人データの提供を受けた年月日、当該確認に係る事項その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。
- 規則第28条(第1項)
-
- 法第31条第3項において読み替えて準用する法第30条第3項の個人情報保護委員会規則で定める事項は、次に掲げる事項とする。
- 法第31条第1項第1号の本人の同意が得られていることを確認した旨及び外国にある第三者への提供にあっては、同項第2号の規定による情報の提供が行われていることを確認した旨
- 個人関連情報を提供した年月日(前条第2項ただし書の規定により、法第31条第3項において読み替えて準用する法第30条第3項の記録を一括して作成する場合にあっては、当該提供の期間の初日及び末日)
- 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
- 当該個人関連情報の項目
- 法第31条第3項において読み替えて準用する法第30条第3項の個人情報保護委員会規則で定める事項は、次に掲げる事項とする。
提供元の個人関連情報取扱事業者は、法第31条第1項の規定による確認を行ったときは、次の項目を記録しなければならない。
- 「法第31条第1項第1号の本人の同意が得られていることを確認した旨及び外国にある第三者への提供にあっては、同項第2号の規定による情報の提供が行われていることを確認した旨」
法第31条第1項第1号の本人の同意が得られていること及び外国にある第三者への提供にあっては、同項第2号の規定による情報の提供が行われていることについて確認した旨をその方法を含めて記載する。
提供元の個人関連情報取扱事業者が同意取得を代行している場合においては、それぞれの事項を提供元の個人関連情報取扱事業者が自ら確認した旨を記載する。
- 「個人関連情報を提供した年月日(前条第2項ただし書の規定により、法第31条第3項において読み替えて準用する法第30条第3項の記録を一括して作成する場合にあっては、当該提供の期間の初日及び末日)」
個人関連情報を継続的に若しくは反復して提供した場合又は個人関連情報を継続的に若しくは反復して提供することが確実であると見込まれる場合、記録を一括して作成することができるが、この場合、個人関連情報の提供の初日と末日を記載する。
- 「当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名」
- 「当該個人関連情報の項目」
- 事例1)ウェブサイトの閲覧履歴
- 事例2)商品購入履歴
- 事例3)年齢、性別
当該記載から、どのような個人関連情報が提供されているか分かる程度に具体的な記載をする必要がある。「当社が有するいずれかの情報」等の記載では、「当該個人関連情報の項目」には該当しないものと解される。
また、記録・保存が求められているのは「個人関連情報の項目」であって、個人関連情報そのものを保存する必要はない。
提供年月日 | 第三者の氏名等 | 本人の氏名等 | 個人データ (個人関連情報)の項目 |
本人の同意等(※) | |
---|---|---|---|---|---|
個人関連情報の提供を受 けて個人データとして取得した場合 |
○ | ○ | ○ | ○ | |
(参考)本人の同意による 第三者提供 |
○ | ○ | ○ | ○ | |
(参考)オプトアウトによる 第三者提供 |
○ | ○ | ○ | ○ |
(※) 個人関連情報の第三者提供について、外国にある第三者への提供にあっては、法第31条第1項第2号の規定による情報の提供についても記録する。
3-7-4-3-2 記録事項の省略(規則第28条第2項関係)
- 規則第28条(第2項)
-
- 前項各号に定める事項のうち、既に前条に規定する方法により作成した法第31条第3項において読み替えて準用する法第30条第3項の記録(当該記録を保存している場合におけるものに限る。)に記録された事項と内容が同一であるものについては、法第31条第3項において読み替えて準用する法第30条第3項の当該事項の記録を省略することができる。
- 令和2年改正法規則附則第5条
-
第28条第1項に規定する事項のうち、施行日前に第27条に規定する方法に相当する方法で記録(当該記録を保存している場合におけるものに限る。)を作成しているものについては、第28条第2項の規定を適用することができる。この場合において、同項中「前条に規定する方法」とあるのは「前条に規定する方法に相当する方法」と読み替えるものとする。
複数回にわたって同一「本人」の個人関連情報の提供をする場合において、同一の内容である事項を重複して記録する必要はないことから、その旨を明確にするものである。すなわち、既に3-7-4(提供元における記録義務)に規定する方法により作成した記録(現に保存している場合に限る。)に記録された事項と内容が同一であるものについては、当該事項の記録を省略することができる。
令和2年改正法の施行日(令和4年4月1日)の前に上記に規定する方法に相当する方法で作成した記録についても同様とする。
なお、記録事項のうち、一部の事項の記録の作成を規則第28条第2項に基づき省略し、残りの事項の記録のみを作成した場合、記録全体としての保存期間の起算点は、残りの事項を作成した時点とする。保存期間については、3-7-4-4(保存期間)を参照のこと。
3-7-4-4 保存期間(法第31条第3項、第30条第4項関係)
- 法第31条(第3項)
-
- 前条第2項から第4項までの規定は、第1項の規定により個人関連情報取扱事業者が確認する場合について準用する。この場合において、同条第3項中「の提供を受けた」とあるのは、「を提供した」と読み替えるものとする。
- 法第30条(第4項)
-
- 個人情報取扱事業者は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。
- 規則第29条
-
法第31条第3項において準用する法第30条第4項の個人情報保護委員会規則で定める期間は、次の各号に掲げる場合の区分に応じ、それぞれ当該各号に定める期間とする。
- 第27条第3項に規定する方法により記録を作成した場合 最後に当該記録に係る個人関連情報の提供を行った日から起算して1年を経過する日までの間
- 第27条第2項ただし書に規定する方法により記録を作成した場合 最後に当該記録に係る個人関連情報の提供を行った日から起算して3年を経過する日までの間
- 前二号以外の場合 3年
個人関連情報取扱事業者は、作成した記録を規則で定める期間保存しなければならない。保存期間は記録の作成方法によって異なる。具体的には、次の表のとおりである。
記録の作成方法の別 | 保存期間 |
---|---|
「3-7-4-2-3 契約書等の代替手段による方法」により記録を作成した場合 | 最後に当該記録に係る個人関連情報の提供を行った日から起算して1年を経過する日までの間 |
「3-7-4-2-2 一括して記録を作成する方法」により記録を作成した場合 | 最後に当該記録に係る個人関連情報の提供を行った日から起算して3年を経過する日までの間 |
上述以外の場合 | 3年 |
3-7-5 提供先の第三者における確認義務(法第30条第1項)
- 法第30条(第1項)
-
- 個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、個人情報保護委員会規則で定めるところにより、次に掲げる事項の確認を行わなければならない。(略)
個人情報取扱事業者である提供先の第三者は、法第31条第1項の規定による個人関連情報の提供(法第27条第1項各号に掲げる場合を除く。)を受けて個人データとして取得する場合は、法第30条第1項の確認義務の適用を受ける。
3-7-5-1 確認方法(法第30条第1項、規則第22条関係)
- 法第30条(第1項)
-
- 個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、個人情報保護委員会規則で定めるところにより、次に掲げる事項の確認を行わなければならない。(略)
- 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
- 当該第三者による当該個人データの取得の経緯
- 個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、個人情報保護委員会規則で定めるところにより、次に掲げる事項の確認を行わなければならない。(略)
- 規則第22条(第1項)
-
- 法第30条第1項の規定による同項第1号に掲げる事項の確認を行う方法は、個人データを提供する第三者から申告を受ける方法その他の適切な方法とする。
個人情報取扱事業者である提供先の第三者は、第三者から法第31条第1項の規定による個人関連情報の提供を受けて個人データとして取得する際は、当該第三者(提供元の個人関連情報取扱事業者)の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名を確認しなければならない。確認・記録義務ガイドライン「3-1-1(第三者の氏名及び住所並びに法人にあっては、その代表者の氏名)」も参照のこと。
なお、「当該第三者による当該個人データの取得の経緯」(法第30条第1項第2号)については、提供元の個人関連情報取扱事業者において、提供する個人関連情報を個人データとして取得していないことから、提供先の個人情報取扱事業者における確認の対象とならない。
3-7-5-2 既に確認を行った第三者に対する確認方法(規則第22条関係)
- 規則第22条(第3項)
-
- 前二項の規定にかかわらず、第三者から他の個人データの提供を受けるに際して既に前二項に規定する方法による確認(当該確認について次条に規定する方法による記録の作成及び保存をしている場合におけるものに限る。)を行っている事項の確認を行う方法は、当該事項の内容と当該提供に係る法第30条第1項各号に掲げる事項の内容が同一であることの確認を行う方法とする。
- 平成27年改正法規則附則第4条
-
法第26条第1項各号に規定する事項のうち、施行日前に第15条に規定する方法に相当する方法で確認(当該確認について第16条に規定する方法に相当する方法により記録を作成し、かつ、保存している場合におけるものに限る。)を行っているものについては、第15条第3項を適用することができる。この場合において、同項中「前二項に規定する方法」とあるのは「前二項に規定する方法に相当する方法」と読み替えるものとする。
- 令和3年改正法規則(第50条改正関係)附則第5条
-
別表第二法人等において、法第30条第1項各号に規定する事項のうち、施行日前に新規則第22条に規定する方法に相当する方法で確認(当該確認について新規則第23条に規定する方法に相当する方法により記録を作成し、かつ、保存している場合におけるものに限る。)を行っているものについては、新規則第22条第3項を適用することができる。この場合において、同項中「前二項に規定する方法」とあるのは「前二項に規定する方法に相当する方法」と読み替えるものとする。
- 令和3年改正法規則(第51条改正関係)附則 第5条
-
特定地方独立行政法人等において、新個人情報保護法第30条第1項各号に規定する事項のうち、施行日前に新規則第22条に規定する方法に相当する方法で確認(当該確認について新規則第23条に規定する方法に相当する方法により記録を作成し、かつ、保存している場合におけるものに限る。)を行っているものについては、新規則第22条第3項を適用することができる。この場合において、同項中「前二項に規定する方法」とあるのは「前二項に規定する方法に相当する方法」と読み替えるものとする。
複数回にわたって同一「本人」の個人関連情報の提供を受けて個人データとして取得する場合において、同一の内容である事項を重複して確認する合理性はないため、既に規則第22条に規定する方法(3-7-5-1(確認方法))により確認を行い、3-7-4(提供元における記録義務)に規定する方法により作成し、かつ、その時点において保存している記録に記録された事項と内容が同一であるものについては、当該事項の確認を省略することができる。
例えば、個人情報取扱事業者である提供先の第三者が、同じ提供元の個人関連情報取扱事業者から、既に確認・記録義務を履行した本人に係る個人関連情報であることを認識しながら、個人関連情報の提供を受けて個人データとして取得する場合は、「同一であることの確認」が行われているものである。
3-7-5-3 提供先の第三者による適正取得
個人情報取扱事業者である提供先の第三者は、偽りその他不正の手段により、個人関連情報を個人データとして取得してはならない(法第20条第1項)。
- 【提供先の個人情報取扱事業者が偽りその他不正の手段により個人関連情報を個人データとして取得している事例】
- 事例1)提供先の個人情報取扱事業者が、提供元の個人関連情報取扱事業者に個人データとして利用する意図を秘して、本人同意を得ずに個人関連情報を個人データとして取得した場合
- 事例2)提供先の個人情報取扱事業者が、本人同意を取得していないにもかかわらず、同意取得していると提供元の個人関連情報取扱事業者に虚偽の申告をして、個人関連情報を個人データとして取得した場合
- 事例3)提供元の個人関連情報取扱事業者が同意取得を代行することを念頭に、実際には提供元の個人関連情報取扱事業者が適切に同意取得していない場合において、提供先の個人情報取扱事業者がこれを知り、又は容易に知ることができるにもかかわらず、当該個人関連情報を個人データとして取得した場合
3-7-6 提供先の第三者における記録義務(法第30条第3項関係)
- 法第30条(第3項)
-
- 個人情報取扱事業者は、第1項の規定による確認を行ったときは、個人情報保護委員会規則で定めるところにより、当該個人データの提供を受けた年月日、当該確認に係る事項その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。
個人情報取扱事業者である提供先の第三者は、法第31条第1項の規定による個人関連情報の提供(法第27条第1項各号に掲げる場合を除く。)を受けて個人データとして取得する場合は、法第30条第3項の記録義務の適用を受ける。
3-7-6-1 記録を作成する媒体(規則第23条第1項関係)
- 規則第23条(第1項)
-
- 法第30条第3項の規定による同項の記録を作成する方法は、文書、電磁的記録又はマイクロフィルムを用いて作成する方法とする。 個人情報取扱事業者である提供先の第三者は、記録を、文書、電磁的記録又はマイクロフィルムを用いて作成しなければならない。
3-7-6-2 記録を作成する方法
3-7-6-2-1 原則(規則第23条第2項関係)
- 規則第23条(第2項)
-
- 法第30条第3項の記録は、第三者から個人データの提供を受けた都度、速やかに作成しなければならない。(略)
個人情報取扱事業者である提供先の第三者は、記録を作成する場合、原則として、個人関連情報の提供を受けて個人データとして取得する都度、速やかに、記録を作成しなければならない。
なお、個人関連情報の提供を受けて個人データとして取得する前に記録を作成することもできる。
3-7-6-2-2 一括して記録を作成する方法(規則第23条第2項関係)
- 規則第23条(第2項)
-
- (略)当該第三者から継続的に若しくは反復して個人データの提供(法第27条第2項の規定による提供を除く。以下この条において同じ。)を受けたとき、又は当該第三者から継続的に若しくは反復して個人データの提供を受けることが確実であると見込まれるときの記録は、一括して作成することができる。
個人情報取扱事業者である提供先の第三者は、一定の期間内に特定の事業者から継続的に又は反復して個人関連情報の提供を受けて個人データとして取得する場合は、個々の提供に係る記録を作成する代わりに、一括して記録を作成することができる。3-7-4-2-2(一括して記録を作成する方法)も参照のこと。
3-7-6-2-3 契約書等の代替手段による方法(規則第23条第3項関係)
- 規則第23条(第3項)
-
- 前項の規定にかかわらず、本人に対する物品又は役務の提供に関連して第三者から当該本人に係る個人データの提供を受けた場合において、当該提供に関して作成された契約書その他の書面に次条第1項各号に定める事項が記載されているときは、当該書面をもって法第30条第3項の当該事項に関する記録に代えることができる。
個人情報取扱事業者である提供先の第三者が、本人に対する物品又は役務の提供に係る契約を締結し、かかる契約の履行に伴って、当該本人に係る個人関連情報の提供を受けて個人データとして取得する場合は、当該契約書その他の書面をもって記録とすることができる。
仮に、規則第23条第3項の要件を満たさない書面も、記録事項が記載されていれば記録として認められるが、保存期間の違いに留意する必要がある(3-7-6-4(保存期間)参照)。
3-7-4-2-3(契約書等の代替手段による方法)も参照のこと。
3-7-6-3 提供先の第三者における記録事項(規則第24条関係)
3-7-6-3-1 提供先の第三者における記録事項(規則第24条第1項関係)
- 規則第24条(第1項)
-
- 法第30条第3項の個人情報保護委員会規則で定める事項は、次の各号に掲げる場合の区分に応じ、それぞれ当該各号に定める事項とする。
(1)(2)(略)
- 個人関連情報取扱事業者から法第31条第1項の規定による個人関連情報の提供を受けて個人データとして取得した場合 次のイからニまでに掲げる事項
- イ 法第31条第1項第1号の本人の同意が得られている旨及び外国にある個人情報取扱事業者にあっては、同項第2号の規定による情報の提供が行われている旨
- ロ 法第30条第1項第1号に掲げる事項
- ハ 第1号ハに掲げる事項
- ニ 当該個人関連情報の項目
- 個人関連情報取扱事業者から法第31条第1項の規定による個人関連情報の提供を受けて個人データとして取得した場合 次のイからニまでに掲げる事項
- 法第30条第3項の個人情報保護委員会規則で定める事項は、次の各号に掲げる場合の区分に応じ、それぞれ当該各号に定める事項とする。
個人情報取扱事業者である提供先の第三者は、個人関連情報の提供を受けて個人データとして取得した場合は、次の項目を記録しなければならない。
- 「法第31条第1項第1号の本人の同意が得られている旨及び外国にある個人情報取扱事業者にあっては、同項第2号の規定による情報の提供が行われている旨」
法第31条第1項第1号の本人の同意が得られている旨及び外国にある第三者への提供にあっては、同項第2号の規定による情報の提供が行われている旨を記載する。
同意の取得や情報提供について、これを行ったことを示す証跡等がある場合には、当該証跡等をもって記録とすることもできる。
- 「法第30条第1項第1号に掲げる事項」
提供元の個人関連情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名を記録しなければならない。
- 「第1号ハに掲げる事項」
「当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項」を記録しなければならない。
なお、例えば「当社が有する全ての個人情報に係る本人」等の記載では、「当該本人を特定するに足りる」ものではないと解される。
- 【その他の当該本人を特定するに足りる事項に該当する事例】
- 事例)本人ごとに番号・IDなどを付して個人データの管理をしている場合において、当該番号・IDなどにより本人を特定できるときの当該番号・ID
- 「当該個人関連情報の項目」
3-7-4-3-1(提供元における個人関連情報取扱事業者の記録事項)を参照のこと。
<提供先の記録事項> 横スクロール可。
提供を受けた年月日 第三者の氏名等 取得の経緯 本人の氏名等 個人データ(個人関連情報)
の項目個人情報保護委員会による公表 本人の同意等(※) 個人関連情報の提供を受けて
個人データとして取得した場合
○
○ ○
○ (参考)本人の同意による
第三者提供
○ ○ ○ ○
○ (参考)オプトアウト による
第三者提供○ ○ ○ ○ ○ ○
(参考)私人などからの
第三者提供
○ ○ ○ ○
(※)個人関連情報の第三者提供について、外国にある第三者への提供にあっては、法第31条第1項第2号の規定による情報の提供についても記録する。
3-7-6-3-2 記録事項の省略(規則第24条第2項関係)
- 規則第24条(第2項)
-
- 前項各号に定める事項のうち、既に前条に規定する方法により作成した法第30条第3項の記録(当該記録を保存している場合におけるものに限る。)に記録された事項と内容が同一であるものについては、同項の当該事項の記録を省略することができる。
- 令和2年改正法規則附則第3条
第24条第1項第3号に規定する事項のうち、施行日前に第23条に規定する方法に相当する方法で記録(当該記録を保存している場合におけるものに限る。)を作成しているものについては、第24条第2項を適用することができる。この場合において、同項中「前条に規定する方法」とあるのは「前条に規定する方法に相当する方法」と読み替えるものとする。
複数回にわたって同一「本人」の個人関連情報の提供を受けて個人データとして取得する場合において、同一の内容である事項を重複して記録する必要はないことから、その旨を明確にするものである。すなわち、既に3-7-6(提供先の第三者における記録義務)に規定する方法により作成した記録(現に保存している場合に限る。)に記録された事項と内容が同一であるものについては、当該事項の記録を省略することができる。
令和2年改正法の施行日(令和4年4月1日)の前に上記に規定する方法に相当する方法で作成した記録についても同様とする。
なお、記録事項のうち、一部の事項の記録の作成を規則第24条第2項に基づき省略し、残りの事項の記録のみを作成した場合、記録全体としての保存期間の起算点は、残りの事項を作成した時点とする。保存期間については、3-7-6-4(保存期間)を参照のこと。
3-7-6-4 保存期間(法第30条第4項、規則第25条関係)
- 法第30条(第4項)
-
- 個人情報取扱事業者は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。
- 規則第25条
-
法第30条第4項の個人情報保護委員会規則で定める期間は、次の各号に掲げる場合の区分に応じて、それぞれ当該各号に定める期間とする。
- 第23条第3項に規定する方法により記録を作成した場合 最後に当該記録に係る個人データの提供を受けた日から起算して1年を経過する日までの間
- 第23条第2項ただし書に規定する方法により記録を作成した場合 最後に当該記録に係る個人データの提供を受けた日から起算して3年を経過する日までの間
- 前二号以外の場合 3年
個人情報取扱事業者である提供先の第三者は、作成した記録を規則で定める期間保存しなければならない。保存期間は記録の作成方法によって異なる。具体的には、次の表のとおりである。
記録の作成方法の別 | 保存期間 |
---|---|
「3-7-6-2-3 契約書等の代替手段による方法」により記録を作成した場合 | 最後に当該記録に係る提供を受けて個人データとして取得した日から起算して1年を経過する日までの間 |
「3-7-6-2-2 一括して記録を作成する方法」により記録を作成した場合 | 最後に当該記録に係る提供を受けて個人データとして取得した日から起算して3年を経過する日までの間 |
上述以外の場合 | 3年 |
3-8 保有個人データに関する事項の公表等、保有個人データの開示・訂正等・利用停止等(法第32条~第39条関係)
3-8-1 保有個人データに関する事項の公表等(法第32条関係)
- 保有個人データに関する事項の本人への周知(法第32条第1項関係)
- 法第32条(第1項)
-
- 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
- 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
- 全ての保有個人データの利用目的(第21条第4項第1号から第3号までに該当する場合を除く。)
- 次項の規定による求め又は次条第1項(同条第5項において準用する場合を含む。)、第34条第1項若しくは第35条第1項、第3項若しくは第5項の規定による請求に応じる手続(第38条第2項の規定により手数料の額を定めたときは、その手数料の額を含む。)
- 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの
- 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
- 政令第10条
-
法第32条第1項第4号の政令で定めるものは、次に掲げるものとする。
- 法第23条の規定により保有個人データの安全管理のために講じた措置(本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除く。)
- 当該個人情報取扱事業者が行う保有個人データの取扱いに関する苦情の申出先
- 当該個人情報取扱事業者が認定個人情報保護団体の対象事業者である場合にあっては、当該認定個人情報保護団体の名称及び苦情の解決の申出先
個人情報取扱事業者は、保有個人データについて、次のマル1からマル5までの情報を本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。以下同じ。)(※1)に置かなければならない。
- マル1個人情報取扱事業者の氏名又は名称及び住所(※2)並びに法人にあっては、その代表者の氏名
- マル2全ての保有個人データの利用目的(※3)(ただし、一定の場合(※4)を除く。)
- マル3保有個人データの利用目的の通知の求め又は開示等の請求(※5)に応じる手続及び保有個人データの利用目的の通知の求め又は開示の請求に係る手数料の額(定めた場合に限る。)(※6)
- マル4保有個人データの安全管理のために講じた措置(ただし、本人の知り得る状態に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除く。)
個人情報取扱事業者は、法第23条の規定により保有個人データの安全管理のために講じた措置の内容を本人の知り得る状態に置かなければならない。
ただし、当該保有個人データの安全管理に支障を及ぼすおそれがあるものについては、その必要はない。
当該安全管理のために講じた措置は、事業の規模及び性質、保有個人データの取扱状況(取り扱う保有個人データの性質及び量を含む。)、保有個人データを記録した媒体等に起因するリスクに応じて、必要かつ適切な内容としなければならない。このため、当該措置の内容は個人情報取扱事業者によって異なり、本人の知り得る状態に置く安全管理のために講じた措置の内容についても個人情報取扱事業者によって異なる。
なお、当該安全管理のために講じた措置には、個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、当該個人情報取扱事業者が保有個人データとして取り扱うことを予定しているものの漏えい等を防止するために講じた措置も含まれる。
本人の知り得る状態については、本人の求めに応じて遅滞なく回答する場合を含むため、講じた措置の概要や一部をホームページに掲載し、残りを本人の求めに応じて遅滞なく回答を行うといった対応も可能であるが、例えば、「個人情報の保護に関する法律についてのガイドライン(通則編)」に沿って安全管理措置を実施しているといった内容の掲載や回答のみでは適切ではない。
- 【安全管理のために講じた措置として本人の知り得る状態に置く内容の事例】(※7)
-
- (基本方針の策定)
- 事例)個人データの適正な取扱いの確保のため、「関係法令・ガイドライン等の遵守」、「質問及び苦情処理の窓口」等についての基本方針を策定
- (個人データの取扱いに係る規律の整備)
- 事例)取得、利用、保存、提供、削除・廃棄等の段階ごとに、取扱方法、責任者・担当者及びその任務等について個人データの取扱規程を策定
- (組織的安全管理措置)
- 事例1)個人データの取扱いに関する責任者を設置するとともに、個人データを取り扱う従業者及び当該従業者が取り扱う個人データの範囲を明確化し、法や取扱規程に違反している事実又は兆候を把握した場合の責任者への報告連絡体制を整備
- 事例2)個人データの取扱状況について、定期的に自己点検を実施するとともに、他部署や外部の者による監査を実施
- (人的安全管理措置)
- 事例1)個人データの取扱いに関する留意事項について、従業者に定期的な研修を実施
- 事例2)個人データについての秘密保持に関する事項を就業規則に記載
- (物理的安全管理措置)
- 事例1)個人データを取り扱う区域において、従業者の入退室管理及び持ち込む機器等の制限を行うとともに、権限を有しない者による個人データの閲覧を防止する措置を実施
- 事例2)個人データを取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するための措置を講じるとともに、事業所内の移動を含め、当該機器、電子媒体等を持ち運ぶ場合、容易に個人データが判明しないよう措置を実施
- (技術的安全管理措置)
- 事例1)アクセス制御を実施して、担当者及び取り扱う個人情報データベース等の範囲を限定
- 事例2)個人データを取り扱う情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入
- (外的環境の把握)
- 事例)個人データを保管しているA国における個人情報の保護に関する制度を把握した上で安全管理措置を実施(※8)
- 【本人の知り得る状態に置くことにより支障を及ぼすおそれがあるものの事例】(※9)
- 事例1)個人データが記録された機器等の廃棄方法、盗難防止のための管理方法
- 事例2)個人データ管理区域の入退室管理方法
- 事例3)アクセス制御の範囲、アクセス者の認証手法等
- 事例4)不正アクセス防止措置の内容等
- 【中小規模事業者(※10)における安全管理のために講じた措置として本人の知り得る状態に置く内容の事例】(※11)
-
- (基本方針の策定)
- 事例)個人データの適正な取扱いの確保のため、「関係法令・ガイドライン等の遵守」、「質問及び苦情処理の窓口」等についての基本方針を策定(【安全管理のために講じた措置として本人の知り得る状態に置く内容の事例】と同様)
- (個人データの取扱いに係る規律の整備)
- 事例)個人データの取得、利用、保存等を行う場合の基本的な取扱方法を整備
- (組織的安全管理措置)
- 事例1)整備した取扱方法に従って個人データが取り扱われていることを責任者が確認
- 事例2)従業者から責任者に対する報告連絡体制を整備
- (人的安全管理措置)
- 事例1)個人データの取扱いに関する留意事項について、従業者に定期的な研修を実施(【安全管理のために講じた措置として本人の知り得る状態に置く内容の事例】と同様)
- 事例2)個人データについての秘密保持に関する事項を就業規則に記載(【安全管理のために講じた措置として本人の知り得る状態に置く内容の事例】と同様)
- (物理的安全管理措置)
- 事例1)個人データを取り扱うことのできる従業者及び本人以外が容易に個人データ を閲覧できないような措置を実施
- 事例2)個人データを取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するための措置を講じるとともに、事業所内の移動を含め、当該機器、電子媒体等を持ち運ぶ場合、容易に個人データが判明しないよう措置を実施(【安全管理のために講じた措置として本人の知り得る状態に置く内容の事例】と同様)
- (技術的安全管理措置)
- 事例1)個人データを取り扱うことのできる機器及び当該機器を取り扱う従業者を明確化し、個人データへの不要なアクセスを防止
- 事例2)個人データを取り扱う機器を外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入
- (外的環境の把握)
- 事例)個人データを保管しているA国における個人情報の保護に関する制度を把握した上で安全管理措置を実施(【安全管理のために講じた措置として本人の知り得る状態に置く内容の事例】と同様)
- マル5保有個人データの取扱いに関する苦情の申出先
(例)苦情を受け付ける担当窓口名・係名、郵送用住所、受付電話番号その他の苦情申出先(個人情報取扱事業者が認定個人情報保護団体の対象事業者である場合は、その団体の名称及び苦情解決の申出先を含む。)
- (※1)「本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)」とは、ホームページへの掲載、パンフレットの配布、本人の求めに応じて遅滞なく回答を行うこと等、本人が知ろうとすれば、知ることができる状態に置くことをいい、常にその時点での正確な内容を本人の知り得る状態に置かなければならない。必ずしもホームページへの掲載、又は事務所等の窓口等へ掲示すること等が継続的に行われることまでを必要とするものではないが、事業の性質及び個人情報の取扱状況に応じ、内容が本人に認識される合理的かつ適切な方法によらなければならない。
なお、普段から問合せ対応が多い事業者等において、ホームページへ継続的に掲載する方法は、「本人が容易に知り得る状態」(3-6-2(オプトアウトによる第三者提供)参照)及び「本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)」の両者の趣旨に合致する方法である。
- 【本人の知り得る状態に該当する事例】
- 事例1)問合せ窓口を設け、問合せがあれば、口頭又は文書で回答できるよう体制を構築しておく場合
- 事例2)店舗にパンフレットを備え置く場合
- 事例3)電子商取引において、商品を紹介するホームページに問合せ先のメールアドレスを表示する場合
- (※2)個人情報取扱事業者が外国に所在する場合は、当該外国(本邦の域外にある国又は地域)の名称を含む。
- (※3)利用目的に第三者提供が含まれる場合は、その旨も明らかにしなければならない。
- (※4)「一定の場合」とは、法第21条第4項第1号から第3号までに掲げる次の場合をいう(3-3-5(利用目的の通知等をしなくてよい場合)参照)。
- ア)利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
- イ)利用目的を本人に通知し、又は公表することにより当該個人情報取扱事業者の権利又は利益が侵害されるおそれがある場合
- ウ)国の機関等が法令の定める事務を実施する上で、民間企業等の協力を得る必要がある場合であり、協力する民間企業等が国の機関等から受け取った個人情報の利用目的を本人に通知し、又は公表することにより、当該事務の遂行に支障を及ぼすおそれがある場合
- (※5)「開示等の請求」とは、保有個人データの開示(3-8-2(保有個人データの開示)参照)、保有個人データの内容の訂正、追加若しくは削除(3-8-4(保有個人データの訂正等)参照)、保有個人データの利用の停止若しくは消去又は保有個人データの第三者への提供の停止(3-8-5(保有個人データの利用停止等)参照)、第三者提供記録の開示(3-8-3(第三者提供記録の開示))の請求をいう。
- (※6)手数料の額を定める場合は、実費を勘案して合理的であると認められる範囲内において、定めなければならない(3-8-8(手数料)参照)。
- (※7)法第32条第1項第4号及び政令第10条第1号の規定により本人の知り得る状態に置く必要があるのは保有個人データの安全管理のために講じた措置であるが、これに代えて、個人データの安全管理のために講じた措置について本人の知り得る状態に置くことは妨げられない。なお、本ガイドラインでは、個人データの安全管理のために講じた措置についての事例を記載している。
安全管理措置の事例について、詳細は「10(別添)講ずべき安全管理措置の内容」を参照のこと。ただし、上記事例も含め、掲げられている事例の内容の全てを本人の知り得る状態に置かなければならないわけではなく、また、本人の知り得る状態に置かなければならないものは事例の内容に限られない。本人の適切な理解と関与を促す観点から、事業の規模及び性質、保有個人データの取扱状況等に応じて、上記事例以上に詳細な内容の掲載や回答とすることは、より望ましい対応である。
- (※8)外国(本邦の域外にある国又は地域)の名称については、必ずしも正式名称を求めるものではないが、本人が合理的に認識できると考えられる形で情報提供を行う必要がある。また、本人の適切な理解と関与を促す観点から、保有個人データを取り扱っている外国の制度についても、本人の知り得る状態に置くといった対応が望ましい。
- (※9)例えば、【安全管理のために講じた措置として本人の知り得る状態に置く内容の事例】にあるような、「盗難又は紛失等を防止するための措置を講じる」、「外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入」といった内容のみでは、本人の知り得る状態に置くことにより保有個人データの安全管理に支障を及ぼすおそれがあるとはいえないが、その具体的な方法や内容については、本人の知り得る状態に置くことにより保有個人データの安全管理に支障を及ぼすおそれがあると考えられる。しかしながら、何をもって安全管理に支障を及ぼすおそれがあるかについては、取り扱われる個人情報の内容、個人情報の取扱いの態様等によって様々であり、事業の規模及び性質、保有個人データの取扱状況等に応じて判断される。
- (※10)「中小規模事業者」については、「10(別添)講ずべき安全管理措置の内容」を参照のこと。
- (※11)中小規模事業者における安全管理措置の事例についても、詳細は「10(別添)講ずべき安全管理措置の内容」を参照のこと。その他の個人情報取扱事業者と同様に、上記事例も含め、掲げられている事例の内容の全てを本人の知り得る状態に置かなければならないわけではなく、また、本人の知り得る状態に置かなければならないものは事例の内容に限られない。また、中小規模事業者が、その他の個人情報取扱事業者と同様に「10(別添)講ずべき安全管理措置の内容」に掲げる「手法の例示」に記述した手法を採用し、当該手法の内容を本人の知り得る状態に置くことは、より望ましい対応である。
- (※1)「本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)」とは、ホームページへの掲載、パンフレットの配布、本人の求めに応じて遅滞なく回答を行うこと等、本人が知ろうとすれば、知ることができる状態に置くことをいい、常にその時点での正確な内容を本人の知り得る状態に置かなければならない。必ずしもホームページへの掲載、又は事務所等の窓口等へ掲示すること等が継続的に行われることまでを必要とするものではないが、事業の性質及び個人情報の取扱状況に応じ、内容が本人に認識される合理的かつ適切な方法によらなければならない。
- 保有個人データの利用目的の通知(法第32条第2項・第3項関係)
- 法第32条(第2項・第3項)
-
- 個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知しなければならない。ただし、次の各号のいずれかに該当する場合は、この限りでない。
- 前項の規定により当該本人が識別される保有個人データの利用目的が明らかな場合
- 第21条第4項第1号から第3号までに該当する場合
- 個人情報取扱事業者は、前項の規定に基づき求められた保有個人データの利用目的を通知しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。
- 個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知しなければならない。ただし、次の各号のいずれかに該当する場合は、この限りでない。
個人情報取扱事業者は、次のマル1からマル4までの場合を除いて、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、遅滞なく、本人に通知(※)しなければならない。
なお、通知しない旨を決定したときは、遅滞なく、その旨を本人に通知しなければならない。
- マル1上記(1)(法第32条第1項)の措置により、本人が識別される保有個人データの利用目的が明らかである場合
- マル2利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合(法第21条第4項第1号)(3-3-5(利用目的の通知等をしなくてよい場合)参照)
- マル3利用目的を本人に通知し、又は公表することにより当該個人情報取扱事業者の権利又は利益が侵害されるおそれがある場合(法第21条第4項第2号)(3-3-5(利用目的の通知等をしなくてよい場合)参照)
- マル4国の機関等が法令の定める事務を実施する上で、民間企業等の協力を得る必要がある場合であり、協力する民間企業等が国の機関等から受け取った保有個人データの利用目的を本人に通知し、又は公表することにより、当該事務の遂行に支障を及ぼすおそれがある場合(法第21条第4項第3号)(3-3-5(利用目的の通知等をしなくてよい場合)参照)
(※)「本人に通知」については、2-14(本人に通知)を参照のこと。
3-8-2 保有個人データの開示(法第33条第1項~第4項関係)
- 法第33条(第1項~第4項)
-
- 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの電磁的記録の提供による方法その他の個人情報保護委員会規則で定める方法による開示を請求することができる。
- 個人情報取扱事業者は、前項の規定による請求を受けたときは、本人に対し、同項の規定により当該本人が請求した方法(当該方法による開示に多額の費用を要する場合その他の当該方法による開示が困難である場合にあっては、書面の交付による方法)により、遅滞なく、当該保有個人データを開示しなければならない。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
- 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
- 当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
- 他の法令に違反することとなる場合
- 個人情報取扱事業者は、第1項の規定による請求に係る保有個人データの全部若しくは一部について開示しない旨の決定をしたとき、当該保有個人データが存在しないとき、又は同項の規定により本人が請求した方法による開示が困難であるときは、本人に対し、遅滞なく、その旨を通知しなければならない。
- 他の法令の規定により、本人に対し第2項本文に規定する方法に相当する方法により当該本人が識別される保有個人データの全部又は一部を開示することとされている場合には、当該全部又は一部の保有個人データについては、第1項及び第2項の規定は、適用しない。
- 規則第30条
- 法第33条第1項(同条第5項において準用する場合を含む。)の個人情報保護委員会規則で定める方法は、電磁的記録の提供による方法、書面の交付による方法その他当該個人情報取扱事業者の定める方法とする。
個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの開示(存在しないときにはその旨を知らせることを含む。)の請求を受けたときは、本人に対し、電磁的記録の提供による方法、書面の交付による方法その他当該個人情報取扱事業者の定める方法のうち本人が請求した方法(※1)(当該方法による開示に多額の費用を要する場合その他の当該方法による開示が困難である場合にあっては、書面の交付による方法(※2))により、遅滞なく、当該保有個人データを開示しなければならない(※3)。
電磁的記録の提供による方法については、個人情報取扱事業者がファイル形式や記録媒体などの具体的な方法を定めることができるが、開示請求等で得た保有個人データの利用等における本人の利便性向上の観点から、可読性・検索性のある形式による提供や、技術的に可能な場合には、他の事業者へ移行可能な形式による提供を含め、できる限り本人の要望に沿った形で対応することが望ましい。
- 【電磁的記録の提供による方法の事例】
- 事例1)電磁的記録をCD-ROM等の媒体に保存して、当該媒体を郵送する方法
- 事例2)電磁的記録を電子メールに添付して送信する方法
- 事例3)会員専用サイト等のウェブサイト上で電磁的記録をダウンロードしてもらう方法
- 【その他当該個人情報取扱事業者の定める方法の事例】
- 事例1)個人情報取扱事業者が指定した場所における音声データの視聴
- 事例2)個人情報取扱事業者が指定した場所における文書の閲覧
- 【当該方法による開示が困難である場合の事例】
- 事例1)本人が電磁的記録の提供による開示を請求した場合であって、個人情報取扱事業者が当該開示請求に応じるために、大規模なシステム改修を行わなければならないような場合
- 事例2)本人が電磁的記録の提供による開示を請求した場合であって、書面で個人情報や帳簿等の管理を行っている小規模事業者が、電磁的記録の提供に対応することが困難な場合
ただし、開示することにより次の(1)から(3)までのいずれかに該当する場合は、その全部又は一部を開示しないことができるが、これにより開示しない旨の決定をしたとき又は請求に係る保有個人データが存在しないときは、遅滞なく、その旨を本人に通知(※4)しなければならない。また、本人が請求した方法による開示が困難であるときは、その旨を本人に通知した上で、書面の交付による方法により開示を行わなければならない。
- (1)本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
- 保有個人データを本人に開示することにより、本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合は、当該保有個人データの全部又は一部を開示しないことができる。
- 事例) 医療機関等において、病名等を患者に開示することにより、患者本人の心身状況を悪化させるおそれがある場合
- (2)個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
- 保有個人データを本人に開示することにより、個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合は、当該保有個人データの全部又は一部を開示しないことができる。なお、「著しい支障を及ぼすおそれ」に該当する場合とは、個人情報取扱事業者の業務の実施に単なる支障ではなく、より重い支障を及ぼすおそれが存在するような例外的なときに限定され、単に開示すべき保有個人データの量が多いという理由のみでは、一般には、これに該当しない。
- 事例1)試験実施機関において、採点情報の全てを開示することにより、試験制度の維持に著しい支障を及ぼすおそれがある場合
- 事例2)同一の本人から複雑な対応を要する同一内容について繰り返し開示の請求があり、事実上問合せ窓口が占有されることによって他の問合せ対応業務が立ち行かなくなる等、業務上著しい支障を及ぼすおそれがある場合
- 事例3)電磁的記録の提供にふさわしい音声・動画ファイル等のデータを、あえて書面で請求することにより、業務上著しい支障を及ぼすおそれがある場合
- (3)他の法令に違反することとなる場合
- 保有個人データを本人に開示することにより、他の法令に違反することとなる場合は、当該保有個人データの全部又は一部を開示しないことができる。
- 事例 )刑法(明治40年法律第45号)第134条(秘密漏示罪)や電気通信事業法(昭和59年法律第86号)第4条(通信の秘密の保護)に違反することとなる場合
- また、他の法令の規定により、法第33条第2項本文に規定する方法に相当する方法により当該本人が識別される保有個人データを開示することとされている場合には、法第33条第1項及び第2項の規定は適用されず、当該他の法令の規定が適用されることとなる(法第33条第4項)。
- 事例) タクシー業務適正化特別措置法(昭和45年法律第75号)第19条に規定する登録実施機関が、同法第12条及び第19条の規定に基づき、登録運転者に係る原簿の謄本の交付又は閲覧に係る請求に対応する場合
- なお、本人が、裁判上の訴えにより、当該本人が識別される保有個人データの開示を請求する場合と本条との関係については、3-8-9(裁判上の訴えの事前請求)を参照のこと。
- (※1)開示の請求を行った者から開示の方法について特に指定がなく、個人情報取扱事業者が提示した方法に対して異議を述べなかった場合は、当該個人情報取扱事業者が提示した方法で開示することができる。
- (※2)本人が請求する方法による開示が困難な場合に、直ちに書面の交付による開示を行うのではなく、個人情報取扱事業者が対応できる方法への変更を求めることが望ましい。また、開示の請求に際して提出すべき書面の様式において、個人情報取扱事業者が対応できる方法や媒体等をあらかじめ示しておくといった対応も考えられる。
- (※3)消費者等、本人の権利利益保護の観点からは、事業活動の特性、規模及び実態を考慮して、個人情報の取得方法(取得源の種類等)を、可能な限り具体的に明記し、本人からの求めに一層対応していくことが望ましい。
- (※4)「本人に通知」については、2-14(本人に通知)を参照のこと。
3-8-3 第三者提供記録の開示(法第33条第5項、第1項~第3項関係)
3-8-3-1 第三者提供記録の定義
- 法第33条(第5項)
-
- 第1項から第3項までの規定は、当該本人が識別される個人データに係る第29条第1項及び第30条第3項の記録(その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるものを除く。第37条第2項において「第三者提供記録」という。)について準用する。
- 法第33条(第1項~第3項)
- (略)(3-8-2(保有個人データの開示)参照)
- 政令第11条
-
法第33条第5項の政令で定めるものは、次に掲げるものとする。
- 当該記録の存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの
- 当該記録の存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれがあるもの
- 当該記録の存否が明らかになることにより、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの
- 当該記録の存否が明らかになることにより、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの
第三者提供記録とは、法第29条第1項及び第30条第3項の記録のうち、次の(1)から(4)までに掲げるものを除いたものをいう。明文又は解釈により法第29条第1項又は第30条第3項の規定が適用されない場合において、これらの規定に基づくことなく作成された記録は第三者提供記録に含まれない。
- 当該記録の存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの
事例) 犯罪被害者支援や児童虐待防止を目的とする団体が、加害者を本人とする個人データの提供を受けた場合に作成された記録
- 当該記録の存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれがあるもの
事例)暴力団等の反社会的勢力による不当要求の被害等を防止するために、暴力団等の反社会的勢力に該当する人物を本人とする個人データの提供を受けた場合に作成された記録
- 当該記録の存否が明らかになることにより、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの
事例)要人の警備のために、要人を本人とする行動記録等に関する個人データの提供を受けた場合に作成された記録
- 当該記録の存否が明らかになることにより、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの
事例)警察の犯罪捜査の協力のために、事前に取得していた同意に基づき、犯罪者を本人とする個人データの提供を行った場合に作成された記録
3-8-3-2 第三者提供記録の開示の方法
- 法第33条(第5項)
-
- 第1項から第3項までの規定は、当該本人が識別される個人データに係る第29条第1項及び第30条第3項の記録(その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるものを除く。第37条第2項において「第三者提供記録」という。)について準用する。
- 法第33条(第1項)
-
- 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの電磁的記録の提供による方法その他の個人情報保護委員会規則で定める方法による開示を請求することができる。
- 規則第30条
-
法第33条第1項(同条第5項において準用する場合を含む。)の個人情報保護委員会規則で定める方法は、電磁的記録の提供による方法、書面の交付による方法その他当該個人情報取扱事業者の定める方法とする。
個人情報取扱事業者は、本人から、当該本人が識別される個人データに係る第三者提供記録の開示(存在しないときにはその旨を知らせることを含む。)の請求を受けたときは、本人に対し、電磁的記録の提供による方法、書面の交付による方法その他当該個人情報取扱事業者の定める方法のうち本人が請求した方法(当該方法による開示に多額の費用を要する場合その他の当該方法による開示が困難である場合にあっては、書面の交付による方法)により、遅滞なく、当該第三者提供記録を開示しなければならない(3-8-2(保有個人データの開示)参照)。
個人情報取扱事業者が第三者提供記録を本人に開示するに当たっては、法において記録事項とされている事項を本人が求める方法により開示すれば足り、それ以外の事項を開示する必要はない。例えば、契約書の代替手段による方法で記録を作成した場合には、当該契約書中、記録事項となっている事項を抽出した上で、本人が求める方法により開示すれば足り、契約書そのものを開示する必要はない。
3-8-3-3 第三者提供記録の不開示事由等
- 法第33条(第5項)
-
- 第1項から第3項までの規定は、当該本人が識別される個人データに係る第29条第1項及び第30条第3項の記録(その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるものを除く。第37条第2項において「第三者提供記録」という。)について準用する。
- 法第33条(第2項・第3項)
-
- 個人情報取扱事業者は、前項の規定による請求を受けたときは、本人に対し、同項の規定により当該本人が請求した方法(当該方法による開示に多額の費用を要する場合その他の当該方法による開示が困難である場合にあっては、書面の交付による方法)により、遅滞なく、当該保有個人データを開示しなければならない。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
- 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
- 当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
- 他の法令に違反することとなる場合
- 個人情報取扱事業者は、第1項の規定による請求に係る保有個人データの全部若しくは一部について開示しない旨の決定をしたとき、当該保有個人データが存在しないとき、又は同項の規定により本人が請求した方法による開示が困難であるときは、本人に対し、遅滞なく、その旨を通知しなければならない。
- 個人情報取扱事業者は、前項の規定による請求を受けたときは、本人に対し、同項の規定により当該本人が請求した方法(当該方法による開示に多額の費用を要する場合その他の当該方法による開示が困難である場合にあっては、書面の交付による方法)により、遅滞なく、当該保有個人データを開示しなければならない。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
第三者提供記録を開示することにより次の(1)から(3)までのいずれかに該当する場合は、その全部又は一部を開示しないことができるが、これにより開示しない旨の決定をしたとき又は請求に係る第三者提供記録が存在しないときは、遅滞なく、その旨を本人に通知(※)しなければならない。また、本人が請求した方法による開示が困難であるときは、その旨を本人に通知した上で、書面の交付による方法により開示を行わなければならない。
- 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
第三者提供記録を本人に開示することにより、本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合は、当該第三者提供記録の全部又は一部を開示しないことができる。
- 事例1)第三者提供記録に個人データの項目として本人が難病であることを示す内容が記載されている場合において、当該第三者提供記録を開示することにより、患者本人の心身状況を悪化させるおそれがある場合
- 事例2)企業の与信判断等に用いられる企業情報の一部として代表者の氏名等が提供され、第三者提供記録が作成された場合において、当該第三者提供記録を開示することにより、提供を受けた第三者が与信判断、出資の検討、提携先・取引先の選定等を行っていることを含む秘密情報が漏えいするおそれがある場合
- 個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
第三者提供記録を本人に開示することにより、個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合は、当該第三者提供記録の全部又は一部を開示しないことができる。他の事業者と取引関係にあることが契約上秘密情報とされている場合であっても、記録事項そのものを開示することについては、直ちにこれに該当するものではなく、個別具体的に判断する必要がある。
- 事例)同一の本人から複雑な対応を要する同一内容について繰り返し開示の請求があり、事実上問合せ窓口が占有されることによって他の問合せ対応業務が立ち行かなくなる等、業務上著しい支障を及ぼすおそれがある場合
- 他の法令に違反することとなる場合
第三者提供記録を本人に開示することにより、他の法令に違反することとなる場合は、当該第三者提供記録の全部又は一部を開示しないことができる。
- 事例 )刑法(明治40年法律第45号)第134条(秘密漏示罪)に違反することとなる場合
(※)「本人に通知」については、2-14(本人に通知)を参照のこと。
3-8-4 保有個人データの訂正等(法第34条関係)
- 法第34条
-
- 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの内容が事実でないときは、当該保有個人データの内容の訂正、追加又は削除(以下この条において「訂正等」という。)を請求することができる。
- 個人情報取扱事業者は、前項の規定による請求を受けた場合には、その内容の訂正等に関して他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行わなければならない。
- 個人情報取扱事業者は、第1項の規定による請求に係る保有個人データの内容の全部若しくは一部について訂正等を行ったとき、又は訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨(訂正等を行ったときは、その内容を含む。)を通知しなければならない。
個人情報取扱事業者は、本人から、当該本人が識別される保有個人データに誤りがあり、事実でないという理由によって、内容の訂正、追加又は削除(※1)(以下「訂正等」という。)の請求を受けた場合は、利用目的の達成に必要な範囲で遅滞なく必要な調査を行い、その結果に基づき、原則として(※2)、訂正等を行わなければならない。
なお、個人情報取扱事業者は、法第34条第2項の規定に基づき請求に係る保有個人データの内容の全部若しくは一部について訂正等を行ったとき、又は訂正等を行わない旨の決定をしたときは、遅滞なく、その旨(訂正等を行ったときは、その内容を含む。)を本人に通知(※3)しなければならない。
また、保有個人データの内容の訂正等に関して他の法令の規定により特別の手続が定められている場合には、法第34条第1項及び第2項の規定は適用されず、当該他の法令の規定が適用されることとなる。
なお、本人が、裁判上の訴えにより、当該本人が識別される保有個人データの訂正等を請求する場合と本条との関係については、3-8-9(裁判上の訴えの事前請求)を参照のこと。
- (※1)「削除」とは、不要な情報を除くことをいう。
- (※2)利用目的からみて訂正等が必要ではない場合、保有個人データが誤りである旨の指摘が正しくない場合には、訂正等を行う必要はない。ただし、その場合には、遅滞なく、訂正等を行わない旨を本人に通知しなければならない。
- (※3)「本人に通知」については、2-14(本人に通知)を参照のこと。
3-8-5 保有個人データの利用停止等(法第35条関係)
- 法第35条
-
- 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが第18条若しくは第19条の規定に違反して取り扱われているとき、又は第20条の規定に違反して取得されたものであるときは、当該保有個人データの利用の停止又は消去(以下この条において「利用停止等」という。)を請求することができる。
- 個人情報取扱事業者は、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行わなければならない。ただし、当該保有個人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
- 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが第27条第1項又は第28条の規定に違反して第三者に提供されているときは、当該保有個人データの第三者への提供の停止を請求することができる。
- 個人情報取扱事業者は、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、遅滞なく、当該保有個人データの第三者への提供を停止しなければならない。ただし、当該保有個人データの第三者への提供の停止に多額の費用を要する場合その他の第三者への提供を停止することが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
- 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データを当該個人情報取扱事業者が利用する必要がなくなった場合、当該本人が識別される保有個人データに係る第26条第1項本文に規定する事態が生じた場合その他当該本人が識別される保有個人データの取扱いにより当該本人の権利又は正当な利益が害されるおそれがある場合には、当該保有個人データの利用停止等又は第三者への提供の停止を請求することができる。
- 個人情報取扱事業者は、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、本人の権利利益の侵害を防止するために必要な限度で、遅滞なく、当該保有個人データの利用停止等又は第三者への提供の停止を行わなければならない。ただし、当該保有個人データの利用停止等又は第三者への提供の停止に多額の費用を要する場合その他の利用停止等又は第三者への提供の停止を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
- 個人情報取扱事業者は、第1項若しくは第5項の規定による請求に係る保有個人データの全部若しくは一部について利用停止等を行ったとき若しくは利用停止等を行わない旨の決定をしたとき、又は第3項若しくは第5項の規定による請求に係る保有個人データの全部若しくは一部について第三者への提供を停止したとき若しくは第三者への提供を停止しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。
3-8-5-1 利用停止等の要件
個人情報取扱事業者は、次の(1)から(3)までのいずれかに該当する場合については、保有個人データの利用の停止若しくは消去(※1)(以下「利用停止等」という。)又は第三者提供の停止を行わなければならない。
- 法違反の場合の利用停止等
個人情報取扱事業者は、本人から、当該本人が識別される保有個人データが、法第18条の規定に違反して本人の同意なく目的外利用がされている若しくは法第19条の規定に違反して不適正な利用が行われている、又は法第20条の規定に違反して偽りその他不正の手段により個人情報が取得され若しくは本人の同意なく要配慮個人情報が取得されたものであるという理由によって、利用停止等の請求を受けた場合であって、その請求に理由があることが判明したときは、原則として(※2)、遅滞なく、利用停止等を行わなければならない。
- 法違反の場合の第三者提供の停止
個人情報取扱事業者は、本人から、当該本人が識別される保有個人データが、法第27条第1項又は第28条の規定に違反して本人の同意なく第三者に提供されているという理由によって、当該保有個人データの第三者提供の停止の請求を受けた場合であって、その請求に理由があることが判明したときは、原則として(※3)、遅滞なく、第三者提供の停止を行わなければならない。
- 法第35条第5項の要件を満たす場合の利用停止等又は第三者提供の停止
個人情報取扱事業者は、次のマル1からマル3までのいずれかに該当する場合については、原則として、遅滞なく、利用停止等又は第三者提供の停止を行わなければならない。
- マル1利用する必要がなくなった場合
個人情報取扱事業者は、本人から、当該本人が識別される保有個人データを当該個人情報取扱事業者が利用する必要がなくなったという理由によって、当該保有個人データの利用停止等又は第三者提供の停止の請求を受けた場合であって、その請求に理由があることが判明したときは、原則として、遅滞なく、利用停止等又は第三者提供の停止を行わなければならない。
「当該個人情報取扱事業者が利用する必要がなくなった」とは、法第22条と同様に、当該保有個人データについて利用する必要がなくなったとき、すなわち、利用目的が達成され当該目的との関係では当該保有個人データを保有する合理的な理由が存在しなくなった場合や利用目的が達成されなかったものの当該目的の前提となる事業自体が中止となった場合等をいう(※4)。
- 【利用する必要がなくなったとして利用停止等又は第三者提供の停止が認められる事例】
- 事例1)ダイレクトメールを送付するために個人情報取扱事業者が保有していた情報について、当該個人情報取扱事業者がダイレクトメールの送付を停止した後、本人が消去を請求した場合
- 事例2)電話勧誘のために個人情報取扱事業者が保有していた情報について、当該個人情報取扱事業者が電話勧誘を停止した後、本人が消去を請求した場合
- 事例3)キャンペーンの懸賞品送付のために個人情報取扱事業者が保有していた当該キャンペーンの応募者の情報について、懸賞品の発送が終わり、不着対応等のための合理的な期間が経過した後に、本人が利用停止等を請求した場合
- 事例4)採用応募者のうち、採用に至らなかった応募者の情報について、再応募への対応等のための合理的な期間が経過した後に、本人が利用停止等を請求した場合
- マル2当該本人が識別される保有個人データに係る法第26条第1項本文に規定する事態が生じた場合
個人情報取扱事業者は、本人から、当該本人が識別される保有個人データに係る法第26条第1項本文に規定する事態が生じたという理由によって、当該保有個人データの利用停止等又は第三者提供の停止の請求を受けた場合であって、その請求に理由があることが判明したときは、原則として、遅滞なく、利用停止等又は第三者への提供の停止を行わなければならない。
「当該本人が識別される保有個人データに係る法第26条第1項本文に規定する事態が生じた」とは、法第26条第1項本文に定める漏えい等事案が生じたことをいう。法第26条第1項本文に定める漏えい等事案については、3-5-3-1(報告対象となる事態)参照のこと。
- マル3当該本人の権利又は正当な利益が害されるおそれがある場合
個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの取扱いにより当該本人の権利又は正当な利益が害されるおそれがあるという理由によって、当該保有個人データの利用停止等又は第三者提供の停止の請求を受けた場合であって、その請求に理由があることが判明したときは、原則として、遅滞なく、利用停止等又は第三者への提供の停止を行わなければならない。
「本人の権利又は正当な利益が害されるおそれがある場合」とは、法目的に照らして保護に値する正当な利益(※5)が存在し、それが侵害されるおそれ(※6)がある場合をいう。
- 【本人の権利又は正当な利益が害されるおそれがあるとして利用停止等又は第三者提供の停止が認められると考えられる事例】
- 事例1)ダイレクトメールの送付を受けた本人が、送付の停止を求める意思を表示したにもかかわらず、個人情報取扱事業者がダイレクトメールを繰り返し送付していることから、本人が利用停止等を請求する場合
- 事例2)電話勧誘を受けた本人が、電話勧誘の停止を求める意思を表示したにもかかわらず、個人情報取扱事業者が本人に対する電話勧誘を繰り返し行っていることから、本人が利用停止等を請求する場合
- 事例3)個人情報取扱事業者が、安全管理措置を十分に講じておらず、本人を識別する保有個人データが漏えい等するおそれがあることから、本人が利用停止等を請求する場合
- 事例4)個人情報取扱事業者が、法第27条第1項に違反して第三者提供を行っており、本人を識別する保有個人データについても本人の同意なく提供されるおそれがあることから、本人が利用停止等を請求する場合
- 事例5)個人情報取扱事業者が、退職した従業員の情報を現在も自社の従業員であるようにホームページ等に掲載し、これによって本人に不利益が生じるおそれがあることから、本人が利用停止等を請求する場合
- 【本人の権利又は正当な利益が害されるおそれがないとして利用停止等又は第三者提供の停止が認められないと考えられる事例】
- 事例1)電話の加入者が、電話料金の支払いを免れるため、電話会社に対して課金に必要な情報の利用停止等を請求する場合
- 事例2)インターネット上で匿名の投稿を行った者が、発信者情報開示請求による発信者の特定やその後の損害賠償請求を免れるため、プロバイダに対してその保有する接続認証ログ等の利用停止等を請求する場合
- 事例3)過去に利用規約に違反したことを理由としてサービスの強制退会処分を受けた者が、再度当該サービスを利用するため、当該サービスを提供する個人情報取扱事業者に対して強制退会処分を受けたことを含むユーザー情報の利用停止等を請求する場合
- 事例4)過去の信用情報に基づく融資審査により新たな融資を受けることが困難になった者が、新規の借入れを受けるため、当該信用情報を保有している個人情報取扱事業者に対して現に審査に必要な信用情報の利用停止等又は第三者提供の停止を請求する場合
- (※1)「消去」とは、保有個人データを保有個人データとして使えなくすることであり、当該データを削除することのほか、当該データから特定の個人を識別できないようにすること等を含む(3-4-1(データ内容の正確性の確保等)参照)。
- (※2)法違反である旨の指摘が正しくない場合は、利用停止等を行う必要はない。
- (※3)法違反である旨の指摘が正しくない場合は、第三者提供を停止する必要はない。
- (※4)請求の対象となっている保有個人データにつき、複数の利用目的がある場合、全ての利用目的との関係で「利用する必要がなくなった」かどうかを判断する必要がある。
- (※5)「正当」かどうかは、相手方である個人情報取扱事業者との関係で決まるものであり、個人情報取扱事業者に本人の権利利益の保護の必要性を上回る特別な事情がない限りは、個人情報取扱事業者は請求に応じる必要がある。本人の権利利益の保護の必要性を上回る特別な事情があるかどうかを判断するに当たっては、例えば、以下のような事情を考慮することになる。
- (ア)本人又は第三者の生命、身体、財産その他の権利利益を保護するために当該保有個人データを取り扱う事情
- (イ)法令を遵守するために当該保有個人データを取り扱う事情
- (ウ)契約に係る義務を履行するために当該保有個人データを取り扱う事情
- (エ)違法又は不当な行為を防止するために当該保有個人データを取り扱う事情
- (オ)法的主張、権利行使又は防御のために当該保有個人データを取り扱う事情
- (※6)「おそれ」は、一般人の認識を基準として、客観的に判断する。
- マル1利用する必要がなくなった場合
3-8-5-2 本人の権利利益の侵害を防止するために必要な限度
3-8-5-1(利用停止等の要件)の(3)に該当する場合、個人情報取扱事業者は、本人の権利利益の侵害を防止するために必要な限度で、利用停止等又は第三者提供の停止を行わなければならない。
- 【本人からの請求に対し、本人の権利利益の侵害を防止するために必要な限度での対応として考えられる事例】
- 事例1)本人から保有個人データの全てについて、利用停止等が請求された場合に、一部の保有個人データの利用停止等によって、生じている本人の権利利益の侵害のおそれを防止できるものとして、一部の保有個人データに限定して対応を行う場合
- 事例2)法第27条第1項に違反して第三者提供が行われているとして保有個人データの消去を請求された場合に、利用停止又は第三者提供の停止による対応によって、生じている本人の権利利益の侵害のおそれを防止できるものとして、利用停止又は第三者提供の停止による対応を行う場合
3-8-5-3 本人の権利利益を保護するため必要なこれに代わるべき措置
3-8-5-1(利用停止等の要件)の(1)から(3)までのいずれかに該当する場合であっても、利用停止等又は第三者提供の停止を行うことが困難である場合は、本人の権利利益を保護するために必要な代替措置を講ずることによる対応が認められる。
「困難な場合」については、利用停止等又は第三者提供の停止に多額の費用を要する場合のほか、個人情報取扱事業者が正当な事業活動において保有個人データを必要とする場合についても該当し得る。
代替措置については、事案に応じて様々であるが、生じている本人の権利利益の侵害のおそれに対応するものであり、本人の権利利益の保護に資するものである必要がある。
- 【本人の権利利益を保護するため必要なこれに代わるべき措置として考えられる事例】
- 事例1)既に市販されている名簿の刷り直し及び回収作業に多額の費用を要するとして、名簿の増刷時の訂正を約束する場合や必要に応じて金銭の支払いをする場合
- 事例2)個人情報保護委員会への報告の対象となる重大な漏えい等が発生した場合において、当該本人との契約が存続しているため、利用停止等が困難であるとして、以後漏えい等の事態が生じることがないよう、必要かつ適切な再発防止策を講じる場合
- 事例3)他の法令の規定により保存が義務付けられている保有個人データを遅滞なく消去する代わりに、当該法令の規定による保存期間の終了後に消去することを約束する場合
個人情報取扱事業者は、上記により、利用停止等を行ったとき若しくは利用停止等を行わない旨の決定をしたとき、又は、第三者提供の停止を行ったとき若しくは第三者提供を停止しない旨の決定をしたときは、遅滞なく、その旨を本人に通知(※)しなければならない。
また、本人が、裁判上の訴えにより、当該本人が識別される保有個人データの利用停止等又は第三者提供の停止を請求する場合と本条との関係については、3-8-9(裁判上の訴えの事前請求)を参照のこと。
なお、消費者等、本人の権利利益保護の観点からは、事業活動の特性、規模及び実態を考慮して、保有個人データについて本人から求めがあった場合には、自主的に利用停止等又は第三者提供の停止に応じる等、本人からの求めにより一層対応していくことが望ましい。
(※)「本人に通知」については、2-14(本人に通知)を参照のこと。
3-8-6 理由の説明(法第36条関係)
- 法第36条
- 個人情報取扱事業者は、第32条第3項、第33条第3項(同条第5項において準用する場合を含む。)、第34条第3項又は前条第7項の規定により、本人から求められ、又は請求された措置の全部又は一部について、その措置をとらない旨を通知する場合又はその措置と異なる措置をとる旨を通知する場合には、本人に対し、その理由を説明するよう努めなければならない。
個人情報取扱事業者は、保有個人データの利用目的の通知の求め、保有個人データの開示、訂正等、利用停止等若しくは第三者提供の停止に関する請求、又は第三者提供記録の開示に関する請求(以下「開示等の請求等」という。)に係る措置の全部又は一部について、その措置をとらない旨又はその措置と異なる措置をとる旨を本人に通知(※)する場合は、併せて、本人に対して、その理由を説明するように努めなければならない。
(※)「本人に通知」については、2-14(本人に通知)を参照のこと。
3-8-7 開示等の請求等に応じる手続(法第37条関係)
- 法第37条
-
- 個人情報取扱事業者は、第32条第2項の規定による求め又は第33条第1項(同条第5項において準用する場合を含む。次条第1項及び第39条において同じ。)、第34条第1項若しくは第35条第1項、第3項若しくは第5項の規定による請求(以下この条及び第54条第1項において「開示等の請求等」という。)に関し、政令で定めるところにより、その求め又は請求を受け付ける方法を定めることができる。この場合において、本人は、当該方法に従って、開示等の請求等を行わなければならない。
- 個人情報取扱事業者は、本人に対し、開示等の請求等に関し、その対象となる保有個人データ又は第三者提供記録を特定するに足りる事項の提示を求めることができる。この場合において、個人情報取扱事業者は、本人が容易かつ的確に開示等の請求等をすることができるよう、当該保有個人データ又は当該第三者提供記録の特定に資する情報の提供その他本人の利便を考慮した適切な措置をとらなければならない。
- 開示等の請求等は、政令で定めるところにより、代理人によってすることができる。
- 個人情報取扱事業者は、前三項の規定に基づき開示等の請求等に応じる手続を定めるに当たっては、本人に過重な負担を課するものとならないよう配慮しなければならない。
- 政令第12条
- 法第37条第1項の規定により個人情報取扱事業者が開示等の請求等を受け付ける方法として定めることができる事項は、次に掲げるとおりとする。
- 開示等の請求等の申出先
- 開示等の請求等に際して提出すべき書面(電磁的記録を含む。第35条第1項及び第40条第3項において同じ。)の様式その他の開示等の請求等の方式
- 開示等の請求等をする者が本人又は次条に規定する代理人であることの確認の方法
- 法第38条第1項の手数料の徴収方法
- 政令第13条
- 法第37条第3項の規定により開示等の請求等をすることができる代理人は、次に掲げる代理人とする。
- 未成年者又は成年被後見人の法定代理人
- 開示等の請求等をすることにつき本人が委任した代理人
個人情報取扱事業者は、開示等の請求等(※1)において、これを受け付ける方法として次の(1)から(4)までの事項を定めることができる。
- 開示等の請求等の申出先
(例)担当窓口名・係名、郵送先住所、受付電話番号、受付FAX番号、メールアドレス等
- 開示等の請求等に際して提出すべき書面(電磁的記録を含む。)の様式、その他の開示等の請求等の受付方法
(例)郵送、FAX、電子メールやウェブサイト等のオンラインで受け付ける等
- 開示等の請求等をする者が本人又はその代理人(マル1未成年者又は成年被後見人の法定代理人、マル2開示等の請求等をすることにつき本人が委任した代理人)であることの確認の方法(※2)
- 保有個人データの利用目的の通知又は保有個人データの開示をする際に徴収する手数料の徴収方法
ただし、開示等の請求等を受け付ける方法を定めるに当たっては、当該手続が、事業の性質、保有個人データの取扱状況、開示等の請求等の受付方法等に応じて適切なものになるよう配慮するとともに、必要以上に煩雑な書類を書かせたり、請求等を受け付ける窓口を他の業務を行う拠点とは別にいたずらに不便な場所に限定したりする等、本人に過重な負担を課するものとならないよう配慮しなければならない。
また、開示等の請求等を受け付ける方法を定めた場合には、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置いておかなければならない(3-8-1(保有個人データに関する事項の公表等)参照)。「本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)」とは、本人が知ろうとすれば、知ることができる状態に置くことをいい、事業の性質及び個人情報の取扱状況に応じ、内容が本人に認識される合理的かつ適切な方法によらなければならないが、開示等の請求等を行おうとする本人がその手続を把握できるようにしておくことが重要であり、例えば、ホームページへの掲載による場合、本人が簡単な操作によって該当箇所へ到達でき、円滑に請求等を行えるようにしておくことが望ましい。また、「本人の求めに応じて遅滞なく回答する」ことによって対応する場合には、その前提として、少なくとも本人が簡単な操作によって求めを行うことができるようにすることが望ましい。
なお、個人情報取扱事業者が、開示等の請求等を受け付ける方法を合理的な範囲で定めたときは、本人は、当該方法に従って開示等の請求等を行わなければならず、当該方法に従わなかった場合は、個人情報取扱事業者は当該開示等の請求等を拒否することができる(※3)。
また、法第37条第2項前段は、本人に対し、開示を請求する保有個人データ又は第三者提供記録の範囲を一部に限定する義務を課すものではなく、また、個人情報取扱事業者に対し、本人が開示を請求する範囲を限定させる権利を認めるものでもない。
個人情報取扱事業者は、円滑に開示等の手続が行えるよう、本人に対し、開示等の請求等の対象となる当該本人が識別される保有個人データ又は第三者提供記録の特定に必要な事項(住所、ID、パスワード、会員番号等)の提示を求めることができる。なお、その際には、本人が容易かつ的確に開示等の請求等をすることができるよう、当該保有個人データ又は第三者提供記録の特定に資する情報を提供するなど、本人の利便性を考慮しなければならない。
- (※1)「開示等の請求等」とは、保有個人データの利用目的の通知の求め(3-8-1(保有個人データに関する事項の公表等)参照)、保有個人データの開示(3-8-2(保有個人データの開示)参照)、訂正等(3-8-4(保有個人データの訂正等)参照)、利用停止等若しくは第三者提供の停止(3-8-5(保有個人データの利用停止等)参照)、又は第三者提供記録の開示(3-8-3(第三者提供記録の開示)参照)の請求をいう。
- (※2)確認の方法としては、次のような事例が考えられるが、事業の性質、保有個人データの取扱状況、開示等の請求等の受付方法等に応じて、適切なものでなければならず、本人確認のために事業者が保有している個人データに比して必要以上に多くの情報を求めないようにするなど、本人に過重な負担を課するものとならないよう配慮しなくてはならない。
なお、代理人による来所や送付等の場合にあっては、確認書類として、本人及び代理人についての次の事例に示す書類等のほか、代理人について、代理権を与える旨の委任状(親権者が未成年者の法定代理人であることを示す場合は、本人及び代理人が共に記載され、その続柄が示された戸籍謄抄本、住民票の写し。また、成年後見人が成年被後見人の法定代理人であることを示す場合は、登記事項証明書)が考えられる。
- 事例1)来所の場合:運転免許証、健康保険の資格確認書、個人番号カード(マイナンバーカード)表面、旅券(パスポート)、在留カード、特別永住者証明、年金手帳、印鑑証明書と実印
- 事例2)オンラインの場合:あらかじめ本人が個人情報取扱事業者に対して登録済みのIDとパスワード、公的個人認証による電子署名
- 事例3)電話の場合:あらかじめ本人が個人情報取扱事業者に対して登録済みの登録情報(生年月日等)、コールバック
- 事例4)送付(郵送、FAX等)の場合:運転免許証や健康保険の資格確認書等の公的証明書のコピーの送付を顧客等から受け、当該公的証明書のコピーに記載された顧客等の住所に宛てて文書を書留郵便により送付
- (※3)開示等の請求等を受け付ける方法を定めない場合には、自由な申請を認めることとなるので注意が必要である。
3-8-8 手数料(法第38条関係)
- 法第38条
-
- 個人情報取扱事業者は、第32条第2項の規定による利用目的の通知を求められたとき又は第33条第1項の規定による開示の請求を受けたときは、当該措置の実施に関し、手数料を徴収することができる。
- 個人情報取扱事業者は、前項の規定により手数料を徴収する場合は、実費を勘案して合理的であると認められる範囲内において、その手数料の額を定めなければならない。
個人情報取扱事業者は、保有個人データの利用目的の通知(法第32条第2項)を求められ、又は保有個人データの開示の請求(法第33条第1項)若しくは第三者提供記録の開示の請求(法第33条第5項において準用する同条第1項)を受けたときは、当該措置の実施に関し、手数料の額を定め、これを徴収することができる。
なお、当該手数料の額を定めた場合には、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)(※)に置いておかなければならない(法第32条第1項第3号)。
また、手数料を徴収する場合は、実費を勘案して合理的であると認められる範囲内において、その手数料の額を定めなければならない。
(※)「本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)」については、3-8-1(保有個人データに関する事項の公表等)を参照のこと。
3-8-9 裁判上の訴えの事前請求(法第39条関係)
- 法第39条
-
- 本人は、第33条第1項、第34条第1項又は第35条第1項、第3項若しくは第5項の規定による請求に係る訴えを提起しようとするときは、その訴えの被告となるべき者に対し、あらかじめ、当該請求を行い、かつ、その到達した日から2週間を経過した後でなければ、その訴えを提起することができない。ただし、当該訴えの被告となるべき者がその請求を拒んだときは、この限りでない。
- 前項の請求は、その請求が通常到達すべきであった時に、到達したものとみなす。
- 前二項の規定は、第33条第1項、第34条第1項又は第35条第1項、第3項若しくは第5項の規定による請求に係る仮処分命令の申立てについて準用する。
自己が識別される保有個人データの開示(※1)、訂正等(※2)、利用停止等(※3)若しくは第三者提供の停止(※4)又は自己が識別される個人データに係る第三者提供記録の開示(※5)の個人情報取扱事業者に対する請求について裁判上の訴えを提起しようとするときは、あらかじめ裁判外において当該請求を個人情報取扱事業者に対して行い、かつ、当該請求が当該個人情報取扱事業者に到達した日から2週間を経過した後でなければ、当該訴えを提起することができない(※6)(※7)。
ただし、個人情報取扱事業者が当該裁判外の請求を拒んだとき(※8)は、2週間を経過する前に、当該請求に係る裁判上の訴えを提起することができる。
- (※1)保有個人データの開示については、3-8-2(保有個人データの開示)を参照のこと。
- (※2)保有個人データの訂正等とは、保有個人データの訂正、追加又は削除のことをいう(3-8-4(保有個人データの訂正等)参照)。
- (※3)保有個人データの利用停止等とは、保有個人データの利用の停止又は消去のことをいう(3-8-5(保有個人データの利用停止等)参照)。
- (※4)保有個人データの第三者提供の停止については、3-8-5(保有個人データの利用停止等)を参照のこと。
- (※5)第三者提供記録の開示については、3-8-3(第三者提供記録の開示)を参照のこと。
- (※6)例えば、本人から個人情報取扱事業者に対する保有個人データの開示請求が4月1日に到達した場合には、本人が当該請求に係る裁判上の訴えを提起することができるのは、当該到達日から2週間が経過した日(4月16日)以降となる。
- (※7)自己が識別される保有個人データの開示、訂正等、利用停止等若しくは第三者提供の停止又は自己が識別される個人データに係る第三者提供記録の開示について仮処分命令を申し立てるときも、同様に、あらかじめ個人情報取扱事業者に対し、これらの請求を行い、かつ、当該請求が当該個人情報取扱事業者に到達した日から2週間を経過した後でなければ、当該仮処分命令を申し立てることができない。
- (※8)「当該裁判外の請求を拒んだとき」とは、法第33条第3項(同条第5項において準用する場合を含む。)、第34条第3項、及び第35条第7項に掲げる場合のほか、個人情報取扱事業者が当該請求を行った者に対して特に理由を説明することなく単に当該請求を拒む旨を通知した場合等も含まれる。
3-9 個人情報の取扱いに関する苦情処理(法第40条関係)
- 法第40条
-
- 個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。
- 個人情報取扱事業者は、前項の目的を達成するために必要な体制の整備に努めなければならない。
個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。
また、苦情の適切かつ迅速な処理を行うに当たり、苦情処理窓口の設置や苦情処理の手順を定める等必要な体制の整備に努めなければならない(※1)。もっとも、無理な要求にまで応じなければならないものではない。
なお、個人情報取扱事業者は、保有個人データの取扱いに関する苦情の申出先(個人情報取扱事業者が認定個人情報保護団体の対象事業者である場合は、その団体の名称及び苦情解決の申出先を含む。)について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)(※2)に置かなければならない(3-8-1(保有個人データに関する事項の公表等)参照)。
- (※1)消費者等本人との信頼関係を構築し事業活動に対する社会の信頼を確保するためには、「個人情報保護を推進する上での考え方や方針(いわゆる、プライバシーポリシー、プライバシーステートメント等)」を策定し、それをホームページへの掲載又は店舗の見やすい場所への掲示等により公表し、あらかじめ、対外的に分かりやすく説明することや、委託の有無、委託する事務の内容を明らかにする等、委託処理の透明化を進めることも重要である。
- (※2)「本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)」については、3-8-1(保有個人データに関する事項の公表等)を参照のこと。
3-10 仮名加工情報取扱事業者等の義務(法第41条・第42条関係)
仮名加工情報取扱事業者等の義務については、別途定める「仮名加工情報・匿名加工情報ガイドライン」を参照のこと。
(参考)
【仮名加工情報の作成等(法第41条第1項関係)】
- 法第41条(第1項)
-
- 個人情報取扱事業者は、仮名加工情報(仮名加工情報データベース等を構成するものに限る。以下この章及び第6章において同じ。)を作成するときは、他の情報と照合しない限り特定の個人を識別することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い、個人情報を加工しなければならない。
- 規則第31条
-
法第41条第1項の個人情報保護委員会規則で定める基準は、次のとおりとする。
- 個人情報に含まれる特定の個人を識別することができる記述等の全部又は一部を削除すること(当該全部又は一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
- 個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
- 個人情報に含まれる不正に利用されることにより財産的被害が生じるおそれがある記述等を削除すること(当該記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
【仮名加工情報の安全管理措置等(法第41条第2項、第42条第3項関係)】
- 法第41条(第2項)
-
- 個人情報取扱事業者は、仮名加工情報を作成したとき、又は仮名加工情報及び当該仮名加工情報に係る削除情報等(仮名加工情報の作成に用いられた個人情報から削除された記述等及び個人識別符号並びに前項の規定により行われた加工の方法に関する情報をいう。以下この条及び次条第3項において読み替えて準用する第7項において同じ。)を取得したときは、削除情報等の漏えいを防止するために必要なものとして個人情報保護委員会規則で定める基準に従い、削除情報等の安全管理のための措置を講じなければならない。
- 法第42条(第3項)
-
- 第23条から第25条まで、第40条並びに前条第7項及び第8項の規定は、仮名加工情報取扱事業者による仮名加工情報の取扱いについて準用する。この場合において、第23条中「漏えい、滅失又は毀損」とあるのは「漏えい」と、前条第7項中「ために、」とあるのは「ために、削除情報等を取得し、又は」と読み替えるものとする。
- 規則第32条
-
法第41条第2項の個人情報保護委員会規則で定める基準は、次のとおりとする。
- 法第41条第2項に規定する削除情報等(同条第1項の規定により行われた加工の方法に関する情報にあっては、その情報を用いて仮名加工情報の作成に用いられた個人情報を復元することができるものに限る。以下この条において同じ。)を取り扱う者の権限及び責任を明確に定めること。
- 削除情報等の取扱いに関する規程類を整備し、当該規程類に従って削除情報等を適切に取り扱うとともに、その取扱いの状況について評価を行い、その結果に基づき改善を図るために必要な措置を講ずること。
- 削除情報等を取り扱う正当な権限を有しない者による削除情報等の取扱いを防止するために必要かつ適切な措置を講ずること。
【利用目的の制限・公表等(法第41条第3項・第4項関係)】
- 法第41条(第3項・第4項)
-
- 仮名加工情報取扱事業者(個人情報取扱事業者である者に限る。以下この条において同じ。)は、第18条の規定にかかわらず、法令に基づく場合を除くほか、第17条第1項の規定により特定された利用目的の達成に必要な範囲を超えて、仮名加工情報(個人情報であるものに限る。以下この条において同じ。)を取り扱ってはならない。
- 仮名加工情報についての第21条の規定の適用については、同条第1項及び第3項中「、本人に通知し、又は公表し」とあるのは「公表し」と、同条第4項第1号から第3号までの規定中「本人に通知し、又は公表する」とあるのは「公表する」とする。
【利用する必要がなくなった場合の消去(法第41条第5項関係)】
- 法第41条(第5項)
-
- 仮名加工情報取扱事業者は、仮名加工情報である個人データ及び削除情報等を利用する必要がなくなったときは、当該個人データ及び削除情報等を遅滞なく消去するよう努めなければならない。この場合においては、第22条の規定は、適用しない。
【第三者提供の禁止等(法第41条第6項、第42条第1項・第2項関係)】
- 法第41条(第6項)
-
- 仮名加工情報取扱事業者は、第27条第1項及び第2項並びに第28条第1項の規定にかかわらず、法令に基づく場合を除くほか、仮名加工情報である個人データを第三者に提供してはならない。この場合において、第27条第5項中「前各項」とあるのは「第41条第6項」と、同項第3号中「、本人に通知し、又は本人が容易に知り得る状態に置いて」とあるのは「公表して」と、同条第6項中「、本人に通知し、又は本人が容易に知り得る状態に置かなければ」とあるのは「公表しなければ」と、第29条第1項ただし書中「第27条第1項各号又は第5項各号のいずれか(前条第1項の規定による個人データの提供にあっては、第27条第1項各号のいずれか)」とあり、及び第30条第1項ただし書中「第27条第1項各号又は第5項各号のいずれか」とあるのは「法令に基づく場合又は第27条第5項各号のいずれか」とする。
- 法第42条(第1項・第2項)
-
- 仮名加工情報取扱事業者は、法令に基づく場合を除くほか、仮名加工情報(個人情報であるものを除く。次項及び第3項において同じ。)を第三者に提供してはならない。
- 第27条第5項及び第6項の規定は、仮名加工情報の提供を受ける者について準用する。この場合において、同条第5項中「前各項」とあるのは「第42条第1項」と、同項第1号中「個人情報取扱事業者」とあるのは「仮名加工情報取扱事業者」と、同項第3号中「、本人に通知し、又は本人が容易に知り得る状態に置いて」とあるのは「公表して」と、同条第6項中「個人情報取扱事業者」とあるのは「仮名加工情報取扱事業者」と、「、本人に通知し、又は本人が容易に知り得る状態に置かなければ」とあるのは「公表しなければ」と読み替えるものとする。
【識別行為の禁止(法第41条第7項、第42条第3項関係)】
- 法第41条(第7項)
-
- 仮名加工情報取扱事業者は、仮名加工情報を取り扱うに当たっては、当該仮名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該仮名加工情報を他の情報と照合してはならない。
- 法第42条(第3項)
-
- 第23条から第25条まで、第40条並びに前条第7項及び第8項の規定は、仮名加工情報取扱事業者による仮名加工情報の取扱いについて準用する。この場合において、第23条中「漏えい、滅失又は毀損」とあるのは「漏えい」と、前条第7項中「ために、」とあるのは「ために、削除情報等を取得し、又は」と読み替えるものとする。
【本人への連絡等の禁止(法第41条第8項、第42条第3項)】
- 法第41条(第8項)
-
- 仮名加工情報取扱事業者は、仮名加工情報を取り扱うに当たっては、電話をかけ、郵便若しくは民間事業者による信書の送達に関する法律(平成14年法律第99号)第2条第6項に規定する一般信書便事業者若しくは同条第9項に規定する特定信書便事業者による同条第2項に規定する信書便により送付し、電報を送達し、ファクシミリ装置若しくは電磁的方法(電子情報処理組織を使用する方法その他の情報通信の技術を利用する方法であって個人情報保護委員会規則で定めるものをいう。)を用いて送信し、又は住居を訪問するために、当該仮名加工情報に含まれる連絡先その他の情報を利用してはならない。
- 法第42条(第3項)
-
- 第23条から第25条まで、第40条並びに前条第7項及び第8項の規定は、仮名加工情報取扱事業者による仮名加工情報の取扱いについて準用する。この場合において、第23条中「漏えい、滅失又は毀損」とあるのは「漏えい」と、前条第7項中「ために、」とあるのは「ために、削除情報等を取得し、又は」と読み替えるものとする。
- 規則第33条
法第41条第8項に規定する電磁的方法は、次に掲げる方法とする。
- 電話番号を送受信のために用いて電磁的記録を相手方の使用に係る携帯して使用する通信端末機器に送信する方法(他人に委託して行う場合を含む。)
- 電子メールを送信する方法(他人に委託して行う場合を含む。)
- 前号に定めるもののほか、その受信をする者を特定して情報を伝達するために用いられる電気通信(電気通信事業法(昭和59年法律第86号)第2条第1号に規定する電気通信をいう。)を送信する方法(他人に委託して行う場合を含む。)
【適用除外(法第41条第9項)】
- 法第41条(第9項)
-
- 仮名加工情報、仮名加工情報である個人データ及び仮名加工情報である保有個人データについては、第17条第2項、第26条及び第32条から第39条までの規定は、適用しない。
3-11 匿名加工情報取扱事業者等の義務(法第43条~第46条関係)
匿名加工情報取扱事業者等の義務については、別途定める「仮名加工情報・匿名加工情報ガイドライン」を参照のこと。
(参考)
【匿名加工情報の作成等(法第43条第1項関係)】
- 法第43条(第1項)
-
- 個人情報取扱事業者は、匿名加工情報(匿名加工情報データベース等を構成するものに限る。以下この章及び第6章において同じ。)を作成するときは、特定の個人を識別すること及びその作成に用いる個人情報を復元することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い、当該個人情報を加工しなければならない。
- 規則第34条
- 法第43条第1項の個人情報保護委員会規則で定める基準は、次のとおりとする。
- 個人情報に含まれる特定の個人を識別することができる記述等の全部又は一部を削除すること(当該全部又は一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
- 個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
- 個人情報と当該個人情報に措置を講じて得られる情報とを連結する符号(現に個人情報取扱事業者において取り扱う情報を相互に連結する符号に限る。)を削除すること(当該符号を復元することのできる規則性を有しない方法により当該個人情報と当該個人情報に措置を講じて得られる情報を連結することができない符号に置き換えることを含む。)。
- 特異な記述等を削除すること(当該特異な記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
- 前各号に掲げる措置のほか、個人情報に含まれる記述等と当該個人情報を含む個人情報データベース等を構成する他の個人情報に含まれる記述等との差異その他の当該個人情報データベース等の性質を勘案し、その結果を踏まえて適切な措置を講ずること。
【匿名加工情報の安全管理措置等(法第43条第2項・第3項、第6項、第46条関係)】
- 法第43条(第2項・第3項・第6項)
-
- 個人情報取扱事業者は、匿名加工情報を作成したときは、その作成に用いた個人情報から削除した記述等及び個人識別符号並びに前項の規定により行った加工の方法に関する情報の漏えいを防止するために必要なものとして個人情報保護委員会規則で定める基準に従い、これらの情報の安全管理のための措置を講じなければならない。
- 個人情報取扱事業者は、匿名加工情報を作成したときは、個人情報保護委員会規則で定めるところにより、当該匿名加工情報に含まれる個人に関する情報の項目を公表しなければならない。
- 個人情報取扱事業者は、匿名加工情報を作成したときは、当該匿名加工情報の安全管理のために必要かつ適切な措置、当該匿名加工情報の作成その他の取扱いに関する苦情の処理その他の当該匿名加工情報の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。
- 法第46条
- 匿名加工情報取扱事業者は、匿名加工情報の安全管理のために必要かつ適切な措置、匿名加工情報の取扱いに関する苦情の処理その他の匿名加工情報の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。
- 規則第35条
- 法第43条第2項の個人情報保護委員会規則で定める基準は、次のとおりとする。
- 加工方法等情報(匿名加工情報の作成に用いた個人情報から削除した記述等及び個人識別符号並びに法第43条第1項の規定により行った加工の方法に関する情報(その情報を用いて当該個人情報を復元することができるものに限る。)をいう。以下この条において同じ。)を取り扱う者の権限及び責任を明確に定めること。
- 加工方法等情報の取扱いに関する規程類を整備し、当該規程類に従って加工方法等情報を適切に取り扱うとともに、その取扱いの状況について評価を行い、その結果に基づき改善を図るために必要な措置を講ずること。
- 加工方法等情報を取り扱う正当な権限を有しない者による加工方法等情報の取扱いを防止するために必要かつ適切な措置を講ずること。
- 規則第36条
-
- 法第43条第3項の規定による公表は、匿名加工情報を作成した後、遅滞なく、インターネットの利用その他の適切な方法により行うものとする。
- 個人情報取扱事業者が他の個人情報取扱事業者の委託を受けて匿名加工情報を作成した場合は、当該他の個人情報取扱事業者が当該匿名加工情報に含まれる個人に関する情報の項目を前項に規定する方法により公表するものとする。この場合においては、当該公表をもって当該個人情報取扱事業者が当該項目を公表したものとみなす。
【匿名加工情報の第三者提供(法第43条第4項、第44条関係)】
- 法第43条(第4項)
-
- 個人情報取扱事業者は、匿名加工情報を作成して当該匿名加工情報を第三者に提供するときは、個人情報保護委員会規則で定めるところにより、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示しなければならない。
- 法第44条
- 匿名加工情報取扱事業者は、匿名加工情報(自ら個人情報を加工して作成したものを除く。以下この節において同じ。)を第三者に提供するときは、個人情報保護委員会規則で定めるところにより、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法について公表するとともに、当該第三者に対して、当該提供に係る情報が匿名加工情報である旨を明示しなければならない。
- 規則第37条
-
- 法第43条第4項の規定による公表は、インターネットの利用その他の適切な方法により行うものとする。
- 法第43条第4項の規定による明示は、電子メールを送信する方法又は書面を交付する方法その他の適切な方法により行うものとする。
- 規則第38条
-
- 前条第1項の規定は、法第44条の規定による公表について準用する。
- 前条第2項の規定は、法第44条の規定による明示について準用する。
【識別行為の禁止(法第43条第5項、第45条関係)】
- 法第43条(第5項)
-
- 個人情報取扱事業者は、匿名加工情報を作成して自ら当該匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該匿名加工情報を他の情報と照合してはならない。
- 法第45条
- 匿名加工情報取扱事業者は、匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該個人情報から削除された記述等若しくは個人識別符号若しくは第43条第1項若しくは第116条第1項(同条第2項において準用する場合を含む。)の規定により行われた加工の方法に関する情報を取得し、又は当該匿名加工情報を他の情報と照合してはならない。
4 「勧告」、「命令」、「緊急命令」等についての考え方
- 法第148条
-
- 委員会は、個人情報取扱事業者が第18条から第20条まで、第21条(第1項、第3項及び第4項の規定を第41条第4項の規定により読み替えて適用する場合を含む。)、第23条から第26条まで、第27条(第4項を除き、第5項及び第6項の規定を第41条第6項の規定により読み替えて適用する場合を含む。)、第28条、第29条(第1項ただし書の規定を第41条第6項の規定により読み替えて適用する場合を含む。)、第30条(第2項を除き、第1項ただし書の規定を第41条第6項の規定により読み替えて適用する場合を含む。)、第32条、第33条(第1項(第5項において準用する場合を含む。)を除く。)、第34条第2項若しくは第3項、第35条(第1項、第3項及び第5項を除く。)、第38条第2項、第41条(第4項及び第5項を除く。)若しくは第43条(第6項を除く。)の規定に違反した場合、個人関連情報取扱事業者が第31条第1項、同条第2項において読み替えて準用する第28条第3項若しくは第31条第3項において読み替えて準用する第30条第3項若しくは第4項の規定に違反した場合、仮名加工情報取扱事業者が第42条第1項、同条第2項において読み替えて準用する第27条第5項若しくは第6項若しくは第42条第3項において読み替えて準用する第23条から第25条まで若しくは第41条第7項若しくは第8項の規定に違反した場合又は匿名加工情報取扱事業者が第44条若しくは第45条の規定に違反した場合において個人の権利利益を保護するため必要があると認めるときは、当該個人情報取扱事業者等に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべき旨を勧告することができる。
- 委員会は、前項の規定による勧告を受けた個人情報取扱事業者等が正当な理由がなくてその勧告に係る措置をとらなかった場合において個人の重大な権利利益の侵害が切迫していると認めるときは、当該個人情報取扱事業者等に対し、その勧告に係る措置をとるべきことを命ずることができる。
- 委員会は、前二項の規定にかかわらず、個人情報取扱事業者が第18条から第20条まで、第23条から第26条まで、第27条第1項、第28条第1項若しくは第3項、第41条第1項から第3項まで若しくは第6項から第8項まで若しくは第43条第1項、第2項若しくは第5項の規定に違反した場合、個人関連情報取扱事業者が第31条第1項若しくは同条第2項において読み替えて準用する第28条第3項の規定に違反した場合、仮名加工情報取扱事業者が第42条第1項若しくは同条第3項において読み替えて準用する第23条から第25条まで若しくは第41条第7項若しくは第8項の規定に違反した場合又は匿名加工情報取扱事業者が第45条の規定に違反した場合において個人の重大な権利利益を害する事実があるため緊急に措置をとる必要があると認めるときは、当該個人情報取扱事業者等に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべきことを命ずることができる。
- 委員会は、前二項の規定による命令をした場合において、その命令を受けた個人情報取扱事業者等がその命令に違反したときは、その旨を公表することができる。
- 法第178条
- 第148条第2項又は第3項の規定による命令に違反した場合には、当該違反行為をした者は、1年以下の懲役又は100万円以下の罰金に処する。
- 法第184条
-
- 法人の代表者又は法人若しくは人の代理人、使用人その他の従業者が、その法人又は人の業務に関して、次の各号に掲げる違反行為をしたときは、行為者を罰するほか、その法人に対して当該各号に定める罰金刑を、その人に対して各本条の罰金刑を科する。
- 第178条及び第179条 1億円以下の罰金刑
- 第182条 同条の罰金刑
- 法人でない団体について前項の規定の適用がある場合には、その代表者又は管理人が、その訴訟行為につき法人でない団体を代表するほか、法人を被告人又は被疑者とする場合の刑事訴訟に関する法律の規定を準用する。
- 法人の代表者又は法人若しくは人の代理人、使用人その他の従業者が、その法人又は人の業務に関して、次の各号に掲げる違反行為をしたときは、行為者を罰するほか、その法人に対して当該各号に定める罰金刑を、その人に対して各本条の罰金刑を科する。
法第148条に規定される個人情報保護委員会の「勧告(第1項)」、「命令(第2項)」及び「緊急命令(第3項)」については、個人情報取扱事業者等が本ガイドラインに沿って必要な措置等を講じたか否かにつき判断して行うものとする。
すなわち、本ガイドラインの中で、「しなければならない」及び「してはならない」と記述している事項については、これらに従わなかった場合、個人情報取扱事業者においては法第18条から第20条まで、第21条(第1項、第3項及び第4項の規定を第41条第4項の規定により読み替えて適用する場合を含む。)、第23条から第26条まで、第27条(第4項を除き、第5項及び第6項の規定を第41条第6項の規定により読み替えて適用する場合を含む。)、第28条、第29条(第1項ただし書の規定を第41条第6項の規定により読み替えて適用する場合を含む。)、第30条(第2項を除き、第1項ただし書の規定を第41条第6項の規定により読み替えて適用する場合を含む。)、第32条、第33条(第1項(第5項において準用する場合を含む。)を除く。)、第34条第2項若しくは第3項、第35条(第1項、第3項及び第5項を除く。)、第38条第2項、第41条(第4項及び第5項を除く。)又は第43条(第6項を除く。)の規定違反、個人関連情報取扱事業者においては法第31条第1項若しくは同条第2項において読み替えて準用する第28条第3項又は第31条第3項において読み替えて準用する第30条第3項若しくは第4項の規定違反、仮名加工情報取扱事業者においては法第42条第1項若しくは同条第2項において読み替えて準用する第27条第5項若しくは第6項又は第42条第3項において読み替えて準用する第23条から第25条まで若しくは第41条第7項若しくは第8項の規定違反、匿名加工情報取扱事業者においては法第44条又は第45条の規定違反と判断される可能性がある。
違反と判断された場合において、実際に個人情報保護委員会が「勧告」を行うこととなるのは、個人の権利利益を保護するため必要があると個人情報保護委員会が認めたときとなる。
一方、本ガイドライン中、「努めなければならない」、「望ましい」等と記述している事項については、これに従わなかったことをもって直ちに法違反と判断されることはないが、法の基本理念(法第3条)を踏まえ、事業者の特性や規模に応じ可能な限り対応することが望まれるものである。
「命令」は、単に「勧告」に従わないことをもって発せられることはなく、正当な理由なくその勧告に係る措置をとらなかった場合において個人の重大な権利利益の侵害が切迫していると個人情報保護委員会が認めたときに発せられる。
なお、「勧告」に従わなかったか否かを明確にするため、個人情報保護委員会は、「勧告」に係る措置を講ずべき期間を設定して「勧告」を行うこととする。
「緊急命令」は、個人情報取扱事業者等が上記各規定に違反した場合において、個人の重大な権利利益を害する事実があるため緊急に措置をとる必要があると個人情報保護委員会が認めたときに、「勧告」を前置せずに行う。
また、「命令」及び「緊急命令」に従わなかったか否かを明確にするため、個人情報保護委員会は、「命令」及び「緊急命令」に係る措置を講ずべき期間を設定して「命令」及び「緊急命令」を行い、当該期間中に措置が講じられない場合は、「公表(法第148条第4項)」の対象となるほか、「罰則(法第178条、第184条)」が適用される。
なお、個人情報保護委員会は、事案の性質等に応じ、国民への情報提供等の観点から(法第9条)、個人情報保護委員会による権限行使について、公表を行うことがある。
5 適用除外(法第57条関係)
- 法第57条
-
- 個人情報取扱事業者等及び個人関連情報取扱事業者のうち次の各号に掲げる者については、その個人情報等及び個人関連情報を取り扱う目的の全部又は一部がそれぞれ当該各号に規定する目的であるときは、この章の規定は、適用しない。
- 放送機関、新聞社、通信社その他の報道機関(報道を業として行う個人を含む。) 報道の用に供する目的
- 著述を業として行う者 著述の用に供する目的
- 宗教団体 宗教活動(これに付随する活動を含む。)の用に供する目的
- 政治団体 政治活動(これに付随する活動を含む。)の用に供する目的
- 前項第1号に規定する「報道」とは、不特定かつ多数の者に対して客観的事実を事実として知らせること(これに基づいて意見又は見解を述べることを含む。)をいう。
- 第1項各号に掲げる個人情報取扱事業者等は、個人データ、仮名加工情報又は匿名加工情報の安全管理のために必要かつ適切な措置、個人情報等の取扱いに関する苦情の処理その他の個人情報等の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。
- 個人情報取扱事業者等及び個人関連情報取扱事業者のうち次の各号に掲げる者については、その個人情報等及び個人関連情報を取り扱う目的の全部又は一部がそれぞれ当該各号に規定する目的であるときは、この章の規定は、適用しない。
報道機関(※1)が報道の用に供する目的で個人情報等を取り扱う場合、小説家等が著述(※2)の用に供する目的で個人情報等を取り扱う場合、宗教団体が宗教活動の用に供する目的で個人情報等を取り扱う場合(※3)及び政治団体が政治活動の用に供する目的で個人情報等を取り扱う場合(※4)は、憲法が保障する基本的人権への配慮から、法第4章に定める個人情報取扱事業者等の義務等に係る規定は適用されない(※5)。
ただし、上記に定める各主体は、安全管理措置、苦情処理等、個人情報等の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。
- (※1)「報道」とは、新聞、ラジオ、テレビ等を通じて社会の出来事などを広く知らせることをいい、「報道機関」とは、報道を目的とする施設、組織体をいう。なお、「報道機関」の概念には、報道を業とするフリージャーナリストのような個人も含まれる。
- (※2)「著述」とは、文芸作品の創作、文芸批評、評論等がこれに該当し、学術書、実用書等人間の知的活動の成果といえるものを書き表すことも、これに該当する。一方、名簿等のようにデータの羅列にすぎないものは「著述」に該当しない。
- (※3)「宗教団体」とは、宗教の教義を広め、儀式行事を行い、及び信者を教化育成することを主たる目的とする、マル1礼拝の施設を備える団体(神社、寺院、教会、修道院その他これらに類する団体)、又はマル2単位宗教団体を包括する団体(教派、宗派、教団、教会、修道会、司教区その他これに類する団体)をいう。
また、「宗教活動」とは、宗教の教義を広め、儀式行事を行い、及び信者を教化育成することであり、「これに付随する活動」とは、霊園、宿坊の経営や他宗派の人々に対する葬儀の運営のように、宗教活動を主たる目的とする活動とまではいえないものの、その活動の副次的効果として教義を広める等の効果を期待して行われているものをいう。
- (※4)「政治団体」とは、マル1政治上の主義又は施策を推進、支持又は反対することを本来の目的とする団体、マル2特定の公職の候補者を推薦、支持又は反対することを本来の目的とする団体、マル3その他、政治上の主義若しくは施策を推進、支持若しくは反対すること、又は特定の公職の候補者を推薦、支持若しくは反対することをその主たる活動として組織的かつ継続的に行う団体をいう。また、こうした団体の活動と密接な関連を有する、政治上の主義又は施策を研究する団体や政党のために資金上の援助をすることを目的とする団体も、本条の「政治団体」に含まれる。
また、「政治活動」とは、上記マル1からマル3までの活動を行うことであり、「これに付随する活動」とは、労働運動の支援等、それ自体が政治活動とはいえないものの、副次的に政治目的の達成に役立つ活動をいう。
- (※5)ただし、法第57条第1項各号に定める者についても、法第179条(個人情報データベース等不正提供罪)は適用される点について留意が必要である。
6 適用の特例(法第58条・第125条関係)
- 法第58条
-
- 個人情報取扱事業者又は匿名加工情報取扱事業者のうち次に掲げる者については、第32条から第39条まで及び第4節の規定は、適用しない。
- 別表第2に掲げる法人
- 地方独立行政法人のうち地方独立行政法人法第21条第1号に掲げる業務を主たる目的とするもの又は同条第2号若しくは第3号(チに係る部分に限る。)に掲げる業務を目的とするもの
- 次の各号に掲げる者が行う当該各号に定める業務における個人情報、仮名加工情報又は個人関連情報の取扱いについては、個人情報取扱事業者、仮名加工情報取扱事業者又は個人関連情報取扱事業者による個人情報、仮名加工情報又は個人関連情報の取扱いとみなして、この章(第32条から第39条まで及び第4節を除く。)及び第6章から第8章までの規定を適用する。
- 地方公共団体の機関 医療法(昭和23年法律第205号)第1条の5第1項に規定する病院(次号において「病院」という。)及び同条第2項に規定する診療所並びに学校教育法(昭和22年法律第26号)第1条に規定する大学の運営
- 独立行政法人労働者健康安全機構 病院の運営
- 個人情報取扱事業者又は匿名加工情報取扱事業者のうち次に掲げる者については、第32条から第39条まで及び第4節の規定は、適用しない。
- 法第125条
-
- 第58条第2項各号に掲げる者が行う当該各号に定める業務における個人情報、仮名加工情報又は個人関連情報の取扱いについては、この章(第1節、第66条第2項(第4号及び第5号(同項第4号に係る部分に限る。)に係る部分に限る。)において準用する同条第1項、第75条、前二節、前条第2項及び第127条を除く。)の規定、第176条及び第180条の規定(これらの規定のうち第66条第2項第4号及び第5号(同項第4号に係る部分に限る。)に定める業務に係る部分を除く。)並びに第181条の規定は、適用しない。
- 第58条第1項各号に掲げる者による個人情報又は匿名加工情報の取扱いについては、同項第1号に掲げる者を独立行政法人等と、同項第2号に掲げる者を地方独立行政法人と、それぞれみなして、第1節、第75条、前二節、前条第2項、第127条及び次章から第8章まで(第176条、第180条及び第181条を除く。)の規定を適用する。
- 第58条第1項各号及び第2項各号に掲げる者(同項各号に定める業務を行う場合に限る。)についての第98条の規定の適用については、同条第1項第1号中「第61条第2項の規定に違反して保有されているとき、第63条の規定に違反して取り扱われているとき、第64条の規定に違反して取得されたものであるとき、又は第69条第1項及び第2項の規定に違反して利用されているとき」とあるのは「第18条若しくは第19条の規定に違反して取り扱われているとき、又は第20条の規定に違反して取得されたものであるとき」と、同項第2号中「第69条第1項及び第2項又は第71条第1項」とあるのは「第27条第1項又は第28条」とする。
国立大学法人及び医療事業を行う独立行政法人等(※)における個人情報の取扱い並びに独立行政法人労働者健康安全機構の行う病院の運営の業務に係る個人情報の取扱いについては、学術研究機関、医療機関等としての特性を踏まえ、基本的に民間の学術研究機関、医療機関等と同様、民間部門における個人情報の取扱いに係る規律が適用される。
(※)国立大学法人、医療事業を行う独立行政法人等とは、法別表第2に掲げる次の法人等をいう。
- 沖縄科学技術大学院大学学園
- 国立研究開発法人
- 国立大学法人
- 大学共同利用機関法人
- 独立行政法人国立病院機構
- 独立行政法人地域医療機能推進機構
- 福島国際研究教育機構
- 放送大学学園
他方、政府の一部を構成するとみられる独立行政法人等としての特性を踏まえ、開示請求等に係る制度、行政機関等匿名加工情報の提供等については、現行の取扱いを維持し、公的部門における規律(法第5章第1節、第75条、第5章第4節及び第5節、第124条第2項、第127条並びに第6章から第8章まで(第176条、第180条及び第181条を除く。))が適用される。
また、地方独立行政法人のうち試験研究等を主たる目的とするもの又は大学等の設置及び管理若しくは病院事業の経営の業務を目的とするもの(※)における個人情報の取扱い並びに地方公共団体の機関の行う病院及び診療所並びに大学の運営の業務に係る個人情報の取扱いについては、学術研究機関、医療機関等としての特性を踏まえ、基本的に民間の学術研究機関、医療機関等と同様、民間部門における個人情報の取扱いに係る規律が適用されるが、開示請求等に係る制度、行政機関等匿名加工情報の提供等については、上記の法別表第2に掲げる法人や独立行政法人労働者健康安全機構の行う病院の運営の業務と同様に、公的部門における規律(法第5章第1節、第75条、第5章第4節及び第5節、第124条第2項、第127条並びに第6章から第8章まで(第176条、第180条及び第181条を除く。))が適用される。
(※)地方独立行政法人のうち、地方独立行政法人法第21条第1号に掲げる業務を主たる目的とするもの又は同条第2号若しくは第3号(チに係る部分に限る。)に掲げる業務を目的とするものをいう。
個人情報等の取扱い等に関する規律 | 個人情報ファイル簿に関する規律 | 開示、訂正、利用停止等に関する規律 | 匿名加工情報に関する規律 | ||
---|---|---|---|---|---|
国の行政機関
|
国の行政機関 | 公的部門の規律 (第5章第2節) |
公的部門の規律 (第5章第3節) |
公的部門の規律 (第5章第4節) |
公的部門の規律 (第5章第5節) |
独立行政法人等
|
独立行政法人等 | 公的部門の規律 (第5章第2節) |
公的部門の規律 (第 5 章第 3節)※第 75 条のみ |
公的部門の規律 (第5章第4節) |
公的部門の規律 (第5章第5節) |
独立行政法人等 | 別表第2に掲げる法人及び (独)労働者健康安全機構(※1、2) |
民間部門の規律 (第4章)(※3) |
公的部門の規律 (第 5 章第 3節)※第 75 条のみ |
公的部門の規律 (第5章第4節) |
公的部門の規律 (第5章第5節) |
地方公共団体の機関地方公共団体
の機関 |
地方公共団体の機関 | 公的部門の規律 (第5章第2節) |
公的部門の規律 (第 5 章第 3節)※第 75 条のみ |
公的部門の規律 (第5章第4節) |
公的部門の規律 (第5章第5節) |
地方公共団体の機関 | 病院及び診療所並びに大学の運営の業務(※2) | 民間部門の規律 (第4章)(※3) |
公的部門の規律 (第 5 章第 3節)※第 75 条のみ |
公的部門の規律 (第5章第4節) |
公的部門の規律 (第5章第5節) |
地方独立行政法人
|
地方独立行政法人 | 公的部門の規律 (第5章第2節) |
公的部門の規律 (第 5 章第 3節)※第 75 条のみ |
公的部門の規律 (第5章第4節) |
公的部門の規律 (第5章第5節) |
地方独立行政法人 | 試験研究等を主たる目的とするもの又は大学等の設置及び管理若しくは病院事業の経営の業務を目的とするもの(※2) | 民間部門の規律 (第4章)(※3) |
公的部門の規律 (第 5 章第 3節)※第 75 条のみ |
公的部門の規律 (第5章第4節) |
公的部門の規律 (第5章第5節) |
- (※1)独立行政法人労働者健康安全機構については、病院の運営の業務に限る。
- (※2)これらが行う業務のうち政令で定めるものについては、安全管理措置義務(法第66条)、従事者の義務(法第67条)及び一定の罰則(法第176条及び第180条)について、この表にかかわらず、行政機関等に準じた扱いがなされる。(政令第19条関係)
- (※3)第2節中保有個人データに関する事項の公表等(第32条)、開示、訂正等及び利用停止等(第33条~第39条)並びに匿名加工情報取扱事業者等の義務(第4章第4節)に関する規定は適用が除外される。
7 学術研究機関等の責務(法第59条関係)
7-1 学術研究機関等の責務(法第59条関係)
- 法第59条
- 個人情報取扱事業者である学術研究機関等は、学術研究目的で行う個人情報の取扱いについて、この法律の規定を遵守するとともに、その適正を確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。
学術研究機関等(※1)が学術研究目的(※2)で個人情報を取り扱う場合には、当該個人情報の取扱いについて、この法律を遵守するとともに、学術研究機関等について法律の特例が設けられているものも含め、安全管理措置、苦情処理等、個人情報等の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。
この点、個人情報の利用、取得及び提供に係る規律のうち、個人情報の目的外利用の制限(法第18条)、要配慮個人情報の取得(法第20条第2項)及び第三者提供の制限(法第27条)に関しては、学術研究機関等が学術研究目的で取り扱う必要がある場合について、本人又は第三者の権利利益を不当に侵害するおそれがない場合に限って、事前の本人同意を要しない等の特例が設けられている(※3)。
一方で、個人情報の利用、取得及び提供に係る規律であっても、利用目的の特定(法第17条)、不適正な利用の禁止(法第19条)、適正な取得(法第20条第1項)、利用目的の通知(法第21条)及びデータ内容の正確性の確保(法第22条)については、他の個人情報取扱事業者と同様の規律が個人情報取扱事業者である学術研究機関等にも適用されることになる。
また、個人データの安全管理措置に係る規律(法第23条から第26条まで)、保有個人データの開示、訂正等及び利用停止等の請求に係る規律(法第33条から第40条まで)、仮名加工情報取扱事業者等の義務(法第4章第3節)、匿名加工情報取扱事業者等の義務(法第4章第4節)及び民間団体による個人情報の保護の推進に係る規定(法第4章第5節)についても、他の個人情報取扱事業者と同様の規律が個人情報取扱事業者である学術研究機関等にも適用されることになる。
- (※1)「学術研究機関等」については、2-18(学術研究機関等)を参照のこと。
- (※2)「学術研究目的」については、2-19(学術研究目的)を参照のこと。
- (※3)各規定に関する例外規定については、3-1-5(利用目的による制限の例外)、3-3-2(要配慮個人情報の取得)及び3-6-1(第三者提供の制限の原則)を参照のこと。
7-2 学術研究機関等による自主規範の策定・公表
大学の自治を始めとする学術研究機関等の自律性に鑑みれば、学術研究機関等の自律的な判断を原則として尊重する必要があると考えられる。このため、学術研究機関等が、個人情報を利用した研究の適正な実施のための自主規範を単独又は共同して策定・公表した場合であって、当該自主規範の内容が個人の権利利益の保護の観点から適切であり、その取扱いが当該自主規範にのっとっているときは、法第149条第1項の趣旨を踏まえ、個人情報保護委員会は、これを尊重する。
ただし、自主規範にのっとった個人情報の取扱いであっても、本人の権利利益を不当に侵害するおそれがある場合には、原則として、個人情報保護委員会は、その監督権限を行使する。
(参考)
- 法第149条(第1項)
-
- 委員会は、前三条の規定により個人情報取扱事業者等に対し報告若しくは資料の提出の要求、立入検査、指導、助言、勧告又は命令を行うに当たっては、表現の自由、学問の自由、信教の自由及び政治活動の自由を妨げてはならない。
8 域外適用(法第171条関係)
- 法第171条
- この法律は、個人情報取扱事業者、仮名加工情報取扱事業者、匿名加工情報取扱事業者又は個人関連情報取扱事業者が、国内にある者に対する物品又は役務の提供に関連して、国内にある者を本人とする個人情報、当該個人情報として取得されることとなる個人関連情報又は当該個人情報を用いて作成された仮名加工情報若しくは匿名加工情報を、外国において取り扱う場合についても、適用する。
外国にある個人情報取扱事業者等(※1)が、日本の居住者等国内にある者(※2)に対する物品又は役務の提供(※3)に関連して、国内にある者を本人とする個人情報、当該個人情報として取得されることとなる個人関連情報又は当該個人情報を用いて作成された仮名加工情報若しくは匿名加工情報を、外国において取り扱う場合には、法が適用される(※4)。なお、域外適用の対象となる場合は、外国にある個人情報取扱事業者等がこれらの情報を本人から直接取得して取り扱う場合に限られず、本人以外の第三者から提供を受けて取り扱う場合も含まれる。
- 【域外適用の対象となる事例】
- 事例1)外国のインターネット通信販売事業者が、日本の消費者に対する商品の販売・配送に関連して、日本の消費者の個人情報を取り扱う場合
- 事例2)外国のメールサービス提供事業者が、日本の消費者に対するメールサービスの提供に関連して、日本の消費者の個人情報を取り扱う場合
- 事例3)外国のホテル事業者が、日本の消費者に対する現地の観光地やイベント等に関する情報の配信等のサービスの提供に関連して、日本にある旅行会社等から提供を受けた日本の消費者の個人情報を取り扱う場合
- 事例4)外国の広告関連事業者が、日本のインターネット通信販売事業者に対し、当該インターネット通信販売事業者による日本の消費者に対するキャンペーン情報の配信等のサービスの提供に関連して、当該インターネット通信販売事業者が保有する日本の消費者の個人データと結び付けることが想定される個人関連情報を提供する場合
- 事例5)外国のアプリ提供事業者が、日本の消費者に対するサービスの提供に関連して、新サービスの開発のために、日本の消費者の個人情報を用いて作成された仮名加工情報を取り扱う場合
- 事例6)外国のインターネット通信販売事業者が、日本の消費者に対する商品の販売又はサービスの提供に関連して、傾向分析等を行うために、日本の消費者の個人情報を用いて作成された匿名加工情報を取り扱う場合
- 【域外適用の対象とならない事例】
- 事例)外国にある親会社が、グループ会社の従業員情報の管理のため、日本にある子会社の従業員の個人情報を取り扱う場合(※5)
- (※1)外国にのみ活動拠点を有する個人情報取扱事業者等(日本から海外に活動拠点を移転した個人情報取扱事業者等を含む。)に限られず、例えば、日本に支店や営業所等を有する個人情報取扱事業者等の外国にある本店、日本に本店を有する個人情報取扱事業者等の外国にある支店や営業所等も含まれる。
- (※2)「物品又は役務の提供」の対象となる「国内にある者」と「個人情報」の本人である「国内にある者」については、必ずしも同一である必要はない。例えば、外国にある個人情報取扱事業者が、国内にある者Aを本人とする個人情報が記載された名簿を国内にある者Bに販売することに関連して、当該個人情報を取り扱う場合、域外適用の対象となる。
- (※3)「物品又は役務の提供」に対して、本人から対価が支払われるか否かは問わない。
- (※4)法第171条により法の適用を受ける外国事業者が、法に違反した場合には、個人情報保護委員会が指導、助言、勧告又は命令等を行うことができる。
- (※5)日本にある子会社が外国にある親会社に対して従業員の個人データを提供するためには、法第28条に従い、本人の同意を取得するなど外国にある第三者に個人データを提供するための措置を講ずる必要がある。詳細については、「外国第三者提供ガイドライン」を参照のこと。
9 ガイドラインの見直し
個人情報の保護についての考え方は、社会情勢の変化、国民の認識の変化、技術の進歩、国際的動向等に応じて変わり得るものであり、本ガイドラインは、法の施行後の状況等諸環境の変化を踏まえて、必要に応じ見直しを行うものとする。
10 (別添)講ずべき安全管理措置の内容
法第23条に定める安全管理措置として、個人情報取扱事業者が具体的に講じなければならない措置や当該措置を実践するための手法の例等を次に示す(※1)。
安全管理措置を講ずるための具体的な手法については、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)、個人データを記録した媒体の性質等に起因するリスクに応じて、必要かつ適切な内容とすべきものであるため、必ずしも次に掲げる例示の内容の全てを講じなければならないわけではなく、また、適切な手法はこれらの例示の内容に限られない。
なお、中小規模事業者(※2)については、その他の個人情報取扱事業者と同様に、法第23条に定める安全管理措置を講じなければならないが、取り扱う個人データの数量及び個人データを取り扱う従業者数が一定程度にとどまること等を踏まえ、円滑にその義務を履行し得るような手法の例を示すこととする。もっとも、中小規模事業者が、その他の個人情報取扱事業者と同様に「手法の例示」に記述した手法も採用することは、より望ましい対応である。
- (※1)法第 23 条に定める「その他の個人データの安全管理のために必要かつ適切な措置」には、個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、当該個人情報取扱事業者が個人データとして取り扱うことを予定しているものの漏えい等を防止するために必要かつ適切な措置も含まれる。そのため、次に掲げる措置及び例示における「個人データ」には、当該個人情報も含まれる。
- (※2)「中小規模事業者」とは、従業員(※3)の数が100人以下の個人情報取扱事業者をいう。ただし、次に掲げる者を除く。
- その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数の合計が過去6月以内のいずれかの日において5,000を超える者
- 委託を受けて個人データを取り扱う者
- (※3)中小企業基本法(昭和38年法律第154号)における従業員をいい、労働基準法(昭和22年法律第49号)第20条の適用を受ける労働者に相当する者をいう。ただし、同法第21条の規定により同法第20条の適用が除外されている者は除く。
10-1 基本方針の策定
個人情報取扱事業者は、個人データの適正な取扱いの確保について組織として取り組むために、基本方針を策定することが重要である。
具体的に定める項目の例としては、「事業者の名称」、「関係法令・ガイドライン等の遵守」、「安全管理措置に関する事項」、「質問及び苦情処理の窓口」等が考えられる。
10-2 個人データの取扱いに係る規律の整備
個人情報取扱事業者は、その取り扱う個人データの漏えい等の防止その他の個人データの安全管理のために、個人データの具体的な取扱いに係る規律を整備しなければならない。
講じなければならない措置 | 手法の例示 | 中小規模事業者における手法の例示 |
---|---|---|
○個人データの取扱いに係る規律の整備 | 取得、利用、保存、提供、削除・廃棄等の段階ごとに、取扱方法、責任者・担当者及びその任務等について定める個人データの取扱規程を策定することが考えられる。なお、具体的に定める事項については、以降に記述する組織的安全管理措置、人的安全管理措置及び物理的安全管理措置の内容並びに情報システム(パソコン等の機器を含む。)を使用して個人データを取り扱う場合(インターネット等を通じて外部と送受信等する場合を含む。)は技術的安全管理措置の内容を織り込むことが重要である。 |
|
10-3 組織的安全管理措置
個人情報取扱事業者は、組織的安全管理措置として、次に掲げる措置を講じなければならない。
- 組織体制の整備
安全管理措置を講ずるための組織体制を整備しなければならない。
- 個人データの取扱いに係る規律に従った運用
あらかじめ整備された個人データの取扱いに係る規律に従って個人データを取り扱わなければならない。
なお、整備された個人データの取扱いに係る規律に従った運用の状況を確認するため、利用状況等を記録することも重要である。
- 個人データの取扱状況を確認する手段の整備
個人データの取扱状況を確認するための手段を整備しなければならない。
- 漏えい等事案に対応する体制の整備
漏えい等事案の発生又は兆候を把握した場合に適切かつ迅速に対応するための体制を整備しなければならない。
なお、漏えい等事案が発生した場合、二次被害の防止、類似事案の発生防止等の観点から、事案に応じて、事実関係及び再発防止策等を早急に公表することが重要である(※)。
(※)個人情報取扱事業者において、漏えい等事案が発生した場合等の対応の詳細については、3-5(個人データの漏えい等の報告等)を参照のこと。
- 取扱状況の把握及び安全管理措置の見直し
個人データの取扱状況を把握し、安全管理措置の評価、見直し及び改善に取り組まなければならない。
講じなければならない措置 | 手法の例示 | 中小規模事業者における手法の例示 |
---|---|---|
(1)組織体制の整備 | (組織体制として整備する項目の例)
|
|
(2)個人データの取扱いに係る規律に従った運用 | 個人データの取扱いに係る規律に従った運用を確保するため、例えば次のような項目に関して、システムログその他の個人データの取扱いに係る記録の整備や業務日誌の作成等を通じて、個人データの取扱いの検証を可能とすることが考えられる。
|
|
(3)個人データの取扱状況を確認する手段の整備 | 例えば次のような項目をあらかじめ明確化しておくことにより、個人データの取扱状況を把握可能とすることが考えられる。
|
|
(4)漏えい等事案に対応する体制の整備 | 漏えい等事案の発生時に例えば次のような対応を行うための、体制を整備することが考えられる。
|
|
(5)取扱状況の把握及び安全管理措置の見直し |
|
|
10-4 人的安全管理措置
個人情報取扱事業者は、人的安全管理措置として、次に掲げる措置を講じなければならない。また、個人情報取扱事業者は、従業者に個人データを取り扱わせるに当たっては、法第24条に基づき従業者に対する監督をしなければならない(3-4-3(従業者の監督)参照)。
- ○従業者の教育
- 従業者に、個人データの適正な取扱いを周知徹底するとともに適切な教育を行わなければならない。
講じなければならない措置 | 手法の例示 | 中小規模事業者における手法の例示 |
---|---|---|
○従業者の教育 |
|
(同左) |
10-5 物理的安全管理措置
個人情報取扱事業者は、物理的安全管理措置として、次に掲げる措置を講じなければならない。
- (1)個人データを取り扱う区域の管理
- 個人情報データベース等を取り扱うサーバやメインコンピュータ等の重要な情報システムを管理する区域(以下「管理区域」という。)及びその他の個人データを取り扱う事務を実施する区域(以下「取扱区域」という。)について、それぞれ適切な管理を行わなければならない。
- (2)機器及び電子媒体等の盗難等の防止
- 個人データを取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するために、適切な管理を行わなければならない。
- (3)電子媒体等を持ち運ぶ場合の漏えい等の防止
- 個人データが記録された電子媒体又は書類等を持ち運ぶ場合、容易に個人データが判明しないよう、安全な方策を講じなければならない。
なお、「持ち運ぶ」とは、個人データを管理区域又は取扱区域から外へ移動させること又は当該区域の外から当該区域へ移動させることをいい、事業所内の移動等であっても、個人データの紛失・盗難等に留意する必要がある。 - (4)個人データの削除及び機器、電子媒体等の廃棄
- 個人データを削除し又は個人データが記録された機器、電子媒体等を廃棄する場合は、復元不可能な手段で行わなければならない。
また、個人データを削除した場合、又は、個人データが記録された機器、電子媒体等を廃棄した場合には、削除又は廃棄した記録を保存することや、それらの作業を委託する場合には、委託先が確実に削除又は廃棄したことについて証明書等により確認することも重要である。
講じなければならない措置 | 手法の例示 | 中小規模事業者における手法の例示 |
---|---|---|
(1)個人データを取り扱う区域の管理 |
(管理区域の管理手法の例)
|
|
(2)機器及び電子媒体等の盗難等の防止 |
|
(同左) |
(3)電子媒体等を持ち運ぶ場合の漏えい等の防止 |
|
|
(4)個人データの削除及び機器、電子媒体等の廃棄 | (個人データが記載された書類等を廃棄する方法の例)
|
|
10-6 技術的安全管理措置
個人情報取扱事業者は、情報システム(パソコン等の機器を含む。)を使用して個人データを取り扱う場合(インターネット等を通じて外部と送受信等する場合を含む。)、技術的安全管理措置として、次に掲げる措置を講じなければならない。
- (1)アクセス制御
- 担当者及び取り扱う個人情報データベース等の範囲を限定するために、適切なアクセス制御を行わなければならない。
- (2)アクセス者の識別と認証
- 個人データを取り扱う情報システムを使用する従業者が正当なアクセス権を有する者であることを、識別した結果に基づき認証しなければならない。
- (3)外部からの不正アクセス等の防止
- 個人データを取り扱う情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入し、適切に運用しなければならない。
- (4)情報システムの使用に伴う漏えい等の防止
- 情報システムの使用に伴う個人データの漏えい等を防止するための措置を講じ、適切に運用しなければならない。
講じなければならない措置 | 手法の例示 | 中小規模事業者における手法の例示 |
---|---|---|
(1)アクセス制御 |
|
|
(2)アクセス者の識別と認証 | (情報システムを使用する従業者の識別・認証手法の例)
|
|
(3)外部からの不正アクセス等の防止 |
|
|
(4)情報システムの使用に伴う漏えい等の防止 |
|
|
10-7 外的環境の把握
個人情報取扱事業者が、外国において個人データを取り扱う場合、当該外国の個人情報の保護に関する制度等を把握した上で、個人データの安全管理のために必要かつ適切な措置を講じなければならない。
提供元:A 社
|
提供先:B 社
|
本人
|
|
---|---|---|---|
1.本人の同意の取得 | |
個人関連情報を取得し個人データに紐付けることを利用目的等とともに本人に説明
|
↔
同意
|
2. 個人関連情報の取扱いに関する確認
|
|
|
|
3. 本人同意の有無の確認と個人関連情報の提供
※ 外国にある第三者への提供の場合、情報提供についても確認 |
同意を得ている ID 等の個人関連情報を B 社に提供
|
||
4. 記録 | 記録
|
記録
|
※ 上記フロー図は一例であり、1.と 2.が前後する場合等もある。
提供元:A 社
|
提供先:B 社
|
本人
|
||
---|---|---|---|---|
1. 個人関連情報の取扱いに関する確認
|
|
|
||
2. 本人の同意の取得 | 提供先において、個人関連情報を個人データに紐付けることを本人に説明
|
同意
|
||
3. 本人同意の有無の 確認と個人関連情報の提供
※ 外国にある第三者への提供の場合、情報提供についても確認 |
同意を得ている ID 等の個人関連情報を B 社に提供
|
|||
4. 記録 | 記録
|
記録
|