ガイドライン(案)から考える令和2年改正個人情報保護法 (第1回:個人情報の不適切利用の禁止)(弁護士 中馬康貴)
1 はじめに
令和3年5月19日、個人情報保護委員会より令和2年改正個人情報保護法に関するガイドライン(案)が公表されました。
ガイドラインとは、改正個人情報保護法の施行に向け基本的な考え方や具体的事例等を提示するものです。確定版は夏頃の公表が予定されていますが、今回公表されたガイドライン(案)も改正法の解釈や具体的な法の運用に関して具体的な事例を踏まえた説明がなされており、事業者にとって非常に参考となるものです。
そこで、今回から、公表されたガイドライン(案)の内容を踏まえて、令和2年改正個人情報保護法の改正項目について数回にわたって説明をいたします(※1)。
第1回では「個人情報の不適切利用の禁止」(改正法16条の2)を取り上げます。
※1 なお当事務所公式YouTubeチャンネルの動画「【ダイジェスト版】個人情報保護法のポイント」では、個人情報保護法のポイントを、 個人情報、個人データなどの定義から、個人情報の取得・管理・利活用の各場面におけるルールをダイジェストで説明しておりますので、ぜひご視聴ください。
(YouTubeアドレス) https://www.youtube.com/watch?v=qvdhRQBqyzU
(令和3年8月13日追記)
令和3年8月2日に、個人情報保護委員会よりガイドラインの確定版が公表されました(※2、※3)。なお、本稿で取り扱う項目(個人情報の不適切利用の禁止)について、ガイドライン(案)からの変更はありません。
※2 個人情報の保護に関する法律についてのガイドライン(通則編)
https://www.ppc.go.jp/files/pdf/210802_guidelines01.pdf
※3 ガイドライン(通則編)新旧対照表
https://www.ppc.go.jp/files/pdf/210802_guidelines01_shinkyu.pdf
2 「不適切利用の禁止」とは?
|
(改正法16条の2) 個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。 |
⑴ 現行法上は、個人情報取扱いの最初の段階である個人情報の「取得」について、適正な手段によることが求められています(現行個人情報保護法17条1項)。
他方で、「取得」後については、あらかじめ特定した利用目的の範囲内での取扱いは求められているものの(現行法16条1項)、事業者があらかじめ特定した利用目的の範囲で個人情報を利用する限り、その利用方法が適正ではなくても、直ちに現行法の明文の規定に違反するわけではありませんでした。
ところが、本改正に至るまでの間に、看過できないような方法で個人情報が利用されている事例がみられたこと(例:破産者マップ事件 ※3)もあり、個人の権利利益の保護という法の目的を実現するため、令和2年改正法において、個人情報の適正な「利用」を求める旨を明確化することになったのです。
⑵ ただし、改正法の条文は、「個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。」のみ定められていることから、どのような場合に「違法又は不当な行為を助長し、又は誘発するおそれがある」のかが必ずしも明確ではなく、ガイドラインによる具体例の明示が待たれていました。
※3 「破産者マップ事件」の概要はこちら
3 ガイドライン(案)における不適切利用の例
そのような中、公表されたガイドライン(案)では、「違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用している」例として、以下の例が挙げられています。
⑴ 違法な行為を営むことが疑われる事業者(例:貸金業登録を行っていない貸金業者等)からの突然の接触による本人の平穏な生活を送る権利の侵害等、当該事業者の違法な行為を助長するおそれが想定されるにもかかわらず、当該事業者に当該本人の個人情報を提供する場合
⑵ 違法な行為を営むことが疑われる事業者(例:貸金業登録を行っていない貸金業者等)からの突然の接触による本人の平穏な生活を送る権利の侵害等、当該事業者の違法な行為を助長するおそれが想定されるにもかかわらず、当該事業者に当該本人の個人情報を提供する場合
⑶ 暴力団員により行われる暴力的要求行為等の不当な行為や総会屋による不当な要求を助長し、又は誘発するおそれが予見できるにもかかわらず、事業者間で共有している暴力団員等に該当する人物を本人とする個人情報や、不当要求による被害を防止するために必要な業務を行う各事業者の責任者の名簿等を、みだりに開示し、又は暴力団等に対しその存在を明らかにする場合
⑷ 個人情報を提供した場合、提供先において法第 23 条第1 項に違反する第三者提供がなされることを予見できるにもかかわらず、当該提供先に対して、個人情報を提供する場合
⑸ 採用選考を通じて個人情報を取得した事業者が、性別、国籍等の特定の属性のみにより、正当な理由なく本人に対する違法な差別的取扱いを行うために、個人情報を利用する場合
⑹ 広告配信を行っている事業者が、第三者から広告配信依頼を受けた商品が違法薬物等の違法な商品であることが予見できるにもかかわらず、当該商品の広告配信のために、自社で取得した個人情報を利用する場合
4 改正法の考え方
⑴ 「利用」には2種類ある!
まず、ガイドライン(案)では上記のとおり6つの例が挙げられていますが、これらは大別して2つの類型に分けることができます。
一つ目は、事業者が保有する個人情報を、違法又は不当な目的で個人情報を利用している第三者に提供する場合です(上記事例の⑴、⑵、⑶、⑷がこれに分類されます。)。
二つ目は、事業者自身が保有する個人情報を違法又は不当な目的で使用する場合です(上記事例の⑸、⑹がこれに分類されます。)
このように、改正法における「利用」には、事業者自身が違法又は不当な目的で個人情報を利用する場合のみならず、違法又は不当な目的で個人情報を利用する第三者に個人情報を提供する場合も「利用」に当たることをまずは押さえておく必要があります。
⑵ 「違法又は不当な行為」とは?
ア 次に、「違法又は不当な行為」とは何を指すのでしょうか。
特に「不当」の意味を考えるにあたっては、個人情報保護法の目的、すなわち、法は個人情報の利活用を促進する目的も有していることを踏まえる必要があります(法の目的を定める個人情報保護法第1条にも「個人情報の有用性に配慮しつつ」とあります。)。
なぜなら、「不当」の範囲が過度に広がってしまうと、事業者の「どのような利用がダメで、どのような利用がOKなのか」という予測可能性が確保されず、事業活動に委縮効果が生じる結果、個人情報の十分な利活用ができなくなってしまうからです。
イ そこで、「違法又は不当な行為」のうち、「不当な行為」とは、相当程度悪質なケースに限られるというべきです。この点、ガイドライン(案)においても、「違法又は不当な行為」は、①「法(個人情報の保護に関する法律)その他の法令に違反する行為」、②「直ちに違法とは言えないものの、個人情報保護法その他の法令の制度趣旨や公序良俗に反している等、社会通念上、適正とは認められない行為」と定義づけています。
もっとも、最終的にはケースバイケースの判断にならざるを得ないところです。
⑶ 「おそれ」の有無
また、「違法又は不当な行為を助長し、又は誘発する『おそれ』」の有無の判断においても、事業者の予測可能性が考慮されています。すなわち、事業者が個人情報を第三者に提供する時点において、当該第三者が個人情報を違法又は不当に利用することについて、一般的な注意力をもってしても予見することができなかったばあいには、「おそれ」は認められないとされています。
⑷ 違反の場合の制裁・効果
個人情報の不適切利用の禁止に違反した場合は、行政処分(指導、勧告、命令)の対象となり(改正法41条及び42条)、また、命令に従わない場合は罰則の対象になります(改正法83条、87条)。
また、当該個人情報の本人は、違反した個人情報取扱事業者に対し、当該保有個人データの利用停止又は消去を請求することができます(改正法30条1号)。
5 まとめ
上記のとおり、どのような利用が「違法又は不当な行為」に当たるのかは、最終的にはケースバイケースの判断にならざるを得ません。
もっとも、以下は私見ではありますが、法令違反以外のケースにおいて「違法又は不当な行為」かどうかを判断するにあたっては、
①個人情報の利用目的の内容(利用者が利益を得ることのみを目的としたものか、公の利益にも資する目的か等)
②個人情報の利用態様(事業者自身の利用にとどまるのか第三者提供を伴うものか、利用の頻度の多寡等)
③個人情報の利用に伴う本人の権利利益侵害の性質・程度(利用により社会的評価の低下を生じさせるものか等)
等の事情を考慮して判断すべきと考えます。
以上
(弁護士 中馬康貴 記)