平成の初めまで、学校の卒業名簿は流通していたし、NTTのイエローページに個人宅が多く掲載されていたことが大昔のように思えます。氏名、性別、年齢、住所、電話番号、勤務先といった個人情報だけでなく、近年はインターネット、SNS、オンラインショッピングなどの普及によって、購買行動、位置情報、趣味、興味、友達、どんな動画を見たとか、どんなツイートしたとかの大量のデータを分析し商用利用する時代になりました。ITと経済の発展に伴い個人情報の有用性に配慮しつつ、個人のプライバシー権利を保護することを目的に制定された法律が個人情報保護法です。
個人情報保護法の基礎概念
(1)個人情報とは:生存する個人に関する情報で、特定の個人を識別できるもの
(2)個人データとは:個人情報を検索できるデーターベース(紙の電話帳や名刺帳を含む)
(3)保有個人データとは:個人情報取扱事業者が開示・訂正・追加・削除等の権限を有する個人データ。但し、一年以内に消去するものは除く。
(4)個人情報取扱事業者とは: 国や地方公共団体等を除き、個人データを事業の用に供している者
個人情報取扱事業者の義務
(1)個人情報の利用目的の特定、適正な取得及び利用目的の通知・公表・明治、苦情の処理
(2)取得した個人データの正確性の確保、安全な管理、委託先への監督、第三者への提供制限(原則禁止)
(3)保有個人データの利用目的等の公表
平成27年改正
①「個人識別符号」(生体認証など)の追加、②「匿名加工情報」(個人が特定できないデータへ加工)の利活用、③個人情報保護委員会の設置、④個人情報取扱事業者の範囲撤廃(従来は取扱う個人情報数が5,000以下は対象外であった)
実務上のポイント
(1)第三者への提供:原則として個人情報の本人の同意を得るか、オプトアウト(あらかじめ第三者提供を通知・認識し得る状態にしておき、本人が反対しない限り同意したとみなすこと)が必要です。第三者への個人データ提供の場合は記録の作成が必要で、受け取る場合も記録の作成が必要です。
(2)個人情報取扱事業者が一定の規定に違反した場合、かつ個人の権利利益を保護する必要があるとき、主務大臣は違反を是正するために必要な措置をとるべき旨の勧告、命令、緊急命令を行うことができます。この命令に違反した場合は、6か月以下の懲役又は30万円以下の行政罰を受ける可能性があります。不思議なのは、個人情報を漏洩したこと自体には刑事罰はありません。
(3)実際の個人情報が漏洩した場合には、①事実調査・原因究明、②影響範囲の特定、③再発防止策、④影響を受ける可能性のある本人への連絡、⑤主務大臣等への報告など、大忙しになります。 漏洩によって個人の権利を侵害した場合は、債務不履行、または不法行為に基づく損害賠償責任の可能性もあります。他に弁護士費用、謝罪広告費用、コールセンターなどの費用も支出しなければならないでしょう。
ベネッセ事件の場合は延べ1億人もの個人情報(かなり被っているのでしょうが)が5次取得者にまで広がったそうですから、個人情報の有用性は高いのだと改めて認識できます。