個人情報保護法の改正(その2)

 嶋津 裕介

2016年12月15日

<ポイント>
◆「オプトアウト」の厳格化、トレーサビリティの確保が図られる
◆データベース提供罪が新設された
◆国内企業が国内の個人情報を外国のグループ会社等に提供するときの規制

個人情報保護法の改正法(平成27年9月9日公布、2年以内の施行)の説明の2回目です。今回は第三者提供の禁止と例外について改正ポイントを中心にご説明します。

個人情報保護法は23条で、個人情報取扱事業者は、原則として、本人の同意を得ないで、個人データを第三者に提供してはならないと定めています。
個人データとは、個人情報を含む情報の集合物であって、コンピュータ等で検索できるよう体系的に構成された「個人情報データベース等」を構成する個人情報をいいます。顧客データなどデータベースの一部を構成する個人情報をいいますが、ここでは分かりやすくするため、個人データとはいわずに、個人情報といいます。
なお、取り扱う個人情報によって識別される個人の数が5000人を超えなければ「個人情報取扱事業者」にはならないという要件が撤廃され、小規模な事業者でも個人情報保護法による義務付けが適用されることになったことは、前回ご説明しました。

現行法でも、例外として第三者提供が許される場合が規定されていました。
個人情報の取り扱いを委託したり、会社の合併に伴って移転したり、グループ会社間で共同利用されたりする場合も許されていました。
加えて、これまでも「オプトアウト」に該当する場合は、事前の本人同意は不要とされていました。
つまり、本人の求めがあれば個人情報を第三者に提供することを停止することを予め定めておき、第三者に提供される個人情報の項目や提供の方法などと共に、その定めをホームページなどで本人が容易に知り得る状態にしておけば、事前の本人同意を得ることなく第三者に提供できるとしていたのです。
個人情報を取得すること自体は禁止されていないので、名簿業者などは何らか適正な手段で個人情報を収集し、「オプトアウト」のための措置を取っておきさえすれば、名簿を作成して、販売するなどして第三者に提供することができました。
本人が名簿業者が自分の個人情報を取り扱っていることが分かれば、その業者に第三者提供の停止を求めることができるから、それでよい、という考えです。
ところが、本人からすれば、自分の個人情報をどの名簿業者が扱っているか分からず、あるいは転売の事実も知らなければ、「第三者提供停止の求め」をするきっかけがそもそもありません。
この点で、個人情報の保護が十分でないということから、今回、規制が若干厳しくなりました。それは、オプトアウトを利用しようとする名簿業者などは、その旨、取り扱う個人情報の項目や第三者への提供の方法と共に、「個人情報保護委員会」に届け出なければならないとし、個人情報保護委員会はそのことを公表しなければならないとしました。
(個人情報保護委員会とは、改正法によって新設された政府の組織です。これまで分野毎に主務大臣(省庁)の権限が分かれていたのを一元化した組織です)。
そうすると、個人本人からすれば、個人情報保護委員会の公表内容をみれば、オプトアウトを利用する名簿業者を知ることができ、第三者提供停止を求めることができるという建付けです。
ただ、自分の個人情報を委員会が一元的に管理しているわけでは当然なく、結局、すべての名簿業者に対して網羅的に停止を求めなければならなくなるのではないか、その意味で実効的なのかは疑問に感じます。
なお、人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実など「要配慮個人情報」は、オプトアウトによっても第三者提供ができないことが明記されたのも改正点です。

規制の強化という点では、ベネッセの大規模漏えい事件などを受けて、データベース提供罪が新設されたのもポイントです。
個人情報取扱事業者の代表者、役員またはその従業者(退職者を含む)が、その業務に関して取り扱った個人情報データベース等(その全部または一部を複製し、または加工したものを含む)を、自己もしくは第三者の不正な利益を図る目的で提供し、または盗用したときは、1年以下の懲役又は50万円以下の罰金に処せられるというものです。
今でも、不正競争防止法上の「営業秘密取得罪」があり、10年以下の懲役もしくは2000万円以下の罰金が科されること(併科もあり)となっています。
ただ、持ちだした個人情報が果たして営業秘密かどうかが裁判上の争点になってしまいますので、それが営業秘密かどうかは問わずに、単に「個人情報データベース等」を持ち出して第三者に提供すれば刑罰が科されることになりました。

そのほか、これも主に名簿業者が対象として想定されますが、名簿など個人情報を第三者に提供する際には、提供の年月日や提供先の名称を記録し、かつ保存しておかなければならず、受領する側も提供者の名称を記録し、保存しなければならないことになりました。
また、提供を受ける側は、提供者が個人情報を取得した経緯を確認しなければならないとしています。
「トレーサビリディ」という言葉が、物品や食品の生産以降の流通経路を追跡可能なものとする趣旨で使われますが、個人情報についてもトレーサビリティを確保しようとするものです。
ベネッセ事件でも顧客データがその不正な所得経緯も不明なまま転々売買されたことを受けての改正だと考えられます。

第三者提供の禁止と例外に関する規定が、国内業者が外国で個人情報を取り合う場合にも適用されるとしつつ、外国にある第三者への提供の制限について条文が新設されました。
個人情報取扱事業者が、外国にある第三者に個人情報を提供する場合には、予め「外国にある第三者への提供を認める」旨の本人の同意を得なければならないとしています。
ただ、日本と同等水準の個人情報保護制度を整備していると個人情報保護委員会が認定した外国や、そうでない外国でも提供先事業者が個人情報保護法が求める措置に相当する基準に適合する場合には、本人の同意のほか、オプトアウト、共同利用、委託による提供が認められます。