個人情報保護法の改正で中小企業はどのような対策が必要?
平成29年5月30日には、個人情報保護法について、大改正が行なわれ、新しい改正個人情報保護法が施行されることになりま…[続きを読む]
個人情報保護法違反とは?法律の概要と事例をわかりやすく解説
ネットを利用している場合、自分の個人情報が流出することを心配する人が多いです。このような場合、個人情報保護法によって守られることはあるのでしょうか?
個人情報保護法については、名前は知っていても、実はその内容をよく知らない、ということが多く、誤解をしている方もたくさんいます。
また、具体的な事例として、個人情報保護法が適用されたケースには、どのようなものがあるのかも知っておくと役立ちます。
そこで今回は、個人情報保護法の概要と適用場面について解説します。
なお、個人情報保護法は3年ごと見直しの規定により、2020年に改正されています。
改正内容についてはこちらの記事で解説していますので、ぜひ参考にしてください。
【関連記事】2020年改正個人情報保護法を徹底解説|改正の重要ポイントは?
個人情報保護法とは
ネット上での個人情報の流出が心配な場合、個人情報保護法によって自分の情報が守られるのかが心配になることがよくあります。
個人情報保護法とは、いったいどのような法律で、どのような場面で適用されるのでしょうか?ネット上の個人情報の流出との関係や、ネット上でプライバシー権侵害を受けた場合の対処方法に使えるのかなどが問題です。
個人情報保護法は、その正式名称を「個人情報の保護に関する法律」と言います。
近年急速に情報社会が発展して、個人の権利侵害が行われる危険性が高まったことや、国際的にも個人情報保護を強化する内容の法律の制定例などが見られたことにより、日本でも制定しようと言うことになり、作られた法律です。
平成15年5月、個人情報保護法が公布されて平成17年4月に全面的に施行されました。
さらに、情報通信技術が発展したことや事業活動がグローバル化したことなどがあり、環境が大きく変わったので、平成27年9月に法改正が行われ、改正個人情報保護法が公布されました。
法改正にともなって、平成28年1月1日から、個人情報保護法の国の所管は消費者庁から個人情報保護委員会に移っています。
また、改正個人情報保護法を全面施行する際には、個人情報保護法に関する勧告や命令などの権限が個人情報保護委員会に集約される予定です(現在は各主務大臣が個別に権限を持っています)。
個人情報保護法の概要
それでは、個人情報保護法は、具体的にはどのような法律なのでしょうか?その概要を見てみましょう。
個人情報保護法の目的(1条)
個人情報保護法では、まずは、法律の目的を明らかにしています(1条)。
具体的には、「個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しながら、個人の権利利益を保護すること」が目的とされています。
つまり、情報化社会の中で、個人の権利を保護しながらも経済社会的発展を目指す、というような内容です。
定義づけ(2条)
次に、個人情報・個人データ・保有個人データの定義づけをしています。(2条1項、4項、5項)
個人情報保護法に言う「個人情報」とは、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別できるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)」です。
「個人データ」とは、上記の個人情報をコンピュータによってデータベース化したものであり、そのうち事業者が6ヶ月以上にわたって保有しているもののことを、「保有個人データ」としています。
個人情報取扱事業者(2条3項)とは
個人情報保護法を理解しようとするとき、「個人情報取扱事業者」(2条3項)がどのようなものかが重要になります。
個人情報保護法によって主に規律を受けるのは、「個人情報取扱事業者」だからです。
そして、「個人情報取扱事業者」とは、個人情報やデータベース等を事業活動に利用しているもののことです。つまり、単なる一般的な個人には個人情報保護法の適用はないということになります。
個人情報取扱事業者について、法改正前は保有する個人情報が5000人を超えるものに限られていましたが、近年インターネットなどの普及によって、保有する個人情報の数が少なくても流出のおそれなどが高まっていることから、この保有数についての条件はなくされました。
よって、改正個人情報保護法の施行後は、保有する個人情報の数によらず、取り扱う個人情報の数が5000人分以下の事業者も個人情報保護法による規律を受けることになります。
利用目的の特定(15条)と目的外利用の禁止(16条)
個人情報が適用される場合、具体的にはどのような規律がなされるのでしょうか?
個人情報保護法は、個人情報取扱事業者に対し、個人情報の利用目的を特定するよう求めており(15条)、その目的外での利用も禁止しています(16条)。
個人情報を取り扱う際、利用目的をできるだけ特定しなければならないとされており、予め本人から同意を得た場合以外には、利用目的を超えて個人情報を用いることが禁じられます。
個人情報の適切な取得(17条)と取得時の通知義務(18条)
個人情報保護法には、個人情報を取得する場合の方法(17条)と、取得時の通知義務(18条)の規定があります。
個人情報取扱事業者が、個人情報を偽りなどの不正な手段で取得することは禁止されていますし、情報の取得時には、情報の本人に対して利用目的を通知することが必要になります。事前に通知することができなかった場合には、情報の取得後、速やかに本人に対して利用目的を通知するか公表する必要があります。
安全管理措置(20条)と監督義務(21,22条)
個人情報保護法には、安全管理措置(20条)と従業者や委託先の監督義務(21・22条)もあります。
個人情報取扱事業者は、個人データが漏えいしたり滅失したりすることを防止するため、必要かつ適切な保護措置を講じる必要があります。
安全に個人データを管理するため、事業者の従業員や個人情報管理の委託先などに対し、必要かつ適切な方法で監督する義務を負います。
第三者提供の制限(23条)
個人情報保護法では、第三者提供の制限(23条)も重要です。
個人情報取扱事業者は、原則的に、あらかじめ本人の同意を得た場合以外には本人以外の者に対し、個人データを提供することができません。ただし、情報管理の委託の場合、事業承継や情報の共同利用をする場合には、法律で禁じられる第三者提供には該当しません。
本人からの開示、訂正、利用停止の求めについて(25~30条)
個人情報保護法には、個人情報の本人からの開示、訂正、利用停止等の求めについての制度もあります(25~30条)。
個人情報取扱事業者は、情報の本人からの要求があれば、保有個人データを開示しなければなりません。そして、内容に誤りがある場合には訂正等に応じなければなりませんし、目的外利用などの法律上の義務に違反する取扱いや、不適正な取得方法、本人の同意なしに第三者提供している場合には、情報の利用を停止しなければならないとされています。
以上のように、個人情報保護法は、個人情報を取り扱う事業者に対してさまざまな義務を課することにより、国民の権利を守ろうとする法律です。
この基本的な考え方を、まずは理解しておきましょう。
個人情報保護法違反!個人情報流出が問題になった事例
次に、具体的に個人情報流出が問題になった事例を見てみましょう。
日本年金機構の個人情報流出事故
まず、日本年金機構における情報流出事故があります。
これは、平成27年(2015年)5月に明らかになった事故で、月日本年金機構が外部からの不正アクセスを受けて、年金情報管理システムサーバから年金に関する個人情報が流出した問題です。
このとき、日本年金機構の職員が、偽装メールに記載されていた外部リンクのアドレスをクリックしてファイルをダウンロードしてしまったことにより、ウイルスに感染した可能性が高いと考えられています。
日本年金機構では、パスワード設定などのセキュリティを職員任せにしてチェックを適切に行っていない運用方法であったことや、インターネット接続しているPCから個人情報サーバにアクセスできるネットワーク設計であったことなどが原因で、流出事故を招いたとされています。
この流出問題を受けて、日本年金機構は、対応のために専用の電話窓口を設置しました。すると、問い合わせが殺到して、2日間に15万件以上にもなりました。
日本年金機構はこのサイバー犯罪について警視庁に対して通報し、捜査を依頼し、警察が捜査を開始しました。
さらに、日本年金機構では、事件の反省から、個人情報を適切に管理するため、外部の有識者をメンバーに加えて原因調査や再発防止の為の委員会を設置しました。
ベネッセコーポレーションの個人情報流出事件
次に、ベネッセコーポレーションの個人情報流出問題をご紹介します。
これは、平成25年12月ころから、ベネッセの従業員がベネッセの顧客情報を持ち出して転売していた事件であり、平成26年(2014年)6月ころに事実が明らかになりました。
顧客情報の流出によって、平成26年6月ことから、ベネッセの顧客宛てに他社からダイレクトメールが届くようになったため、ベネッセから個人情報が漏洩している可能性が指摘され始めたのがそもそものきっかけです。
ベネッセが社内調査を行ったところ、ベネッセ従業員によって顧客情報が持ち出されていたことが明らかになりました。
このとき、進研ゼミなどの顧客について、子供や保護者の氏名、住所、電話番号、性別や生年月日などの個人情報が最大約2070万件もの情報が漏洩した可能性があると発表されています。
同年7月19日、ベネッセのグループ企業の派遣社員エンジニアが逮捕され、取り調べにより、このエンジニアが顧客情報を持ち出して名簿業者に転売したことが明らかになりました。
ベネッセの取締役が2人引責辞任することとなり、この事件の影響によって大規模な顧客離れが起きてベネッセは赤字転落しました。
さらに、経済産業省はベネッセに対し、個人情報保護法にもとづいて、違反行為を是正するために必要な措置をとって、情報流出の再発防止を徹底するように勧告しています。
ベネッセには、個人情報に関する安全管理措置義務(第20条)や委託先の管理監督義務(第22条)の違反があると認定されました。
ネット上のプライバシー権侵害は、基本的に個人情報保護法と関係ない!
以上のように、個人情報保護法の適用が問題になるシーンは、事業者がその保有する個人情報を流出させた場面などであり、ネット上のプライバシー権侵害などの場面では直接的な適用はありません。
たとえば、2ちゃんねるでプライバシー権侵害の投稿があったとします。
このとき、投稿者は単なる個人であり、個人情報保護法における個人情報取扱事業者ではありません。よって、投稿者の投稿行為に対し、個人情報保護法によって何らかの罰則が適用されることはありません。
2ちゃんねる自身が個人情報を保管していたわけでもないので、2ちゃんねるに対して個人情報保護法上の責任を問うこともできません。
このように、ネット上のプライバシー権侵害やネット誹謗中傷問題は、基本的に個人情報保護法とは無関係な問題なので、その点を理解しておくことが大切です。
ネット上でプライバシー権侵害を受けた場合には、侵害行為を行った投稿者に対して、直接プライバシー権侵害にもとづく損害賠償請求をすることができます。
プライバシー権侵害や誹謗中傷行為は、民法上の不法行為(民法709条)となるからです。
そして、プライバシー権侵害にもとづいて損害賠償請求をするためには、まずは相手がどこのどのような人物であるかを特定して、その相手に対して直接賠償請求の通知を送る必要があります。
このように、ネット上でプライバシー権を侵害されたときの法律的な考え方や対処方法については、一般の素人にとっては難しいことが多いです。
この記事を読むまで、個人情報保護法による保護があるのだろう、と考えていた方もいるでしょう。
そこで、正しく法律を適用して相手に対して正当な請求をするためには、まずは法律のプロである弁護士に相談することが重要です。
ネット上でのプライバシー権侵害や誹謗中傷問題で悩んだら、ネット問題に強い弁護士を探してアドバイスをもらい、正しい対処方法をとりましょう。
まとめ
今回は、個人情報保護法についての解説をしました。ネット上でプライバシー権侵害を受けた場合、個人情報保護法による保護が受けられないのかと考える方も多いですが、この場合には個人情報保護法の適用はありません。
個人情報保護法は、個人情報を取り扱う事業者に対し、適切に個人情報の取扱をするように求める法律であり、個人が他人のプライバシー情報を開示する場合に適用されるものではないからです。
個人によってプライバシー権侵害を受けた場合には、相手に対して直接損害賠償請求をする必要があり、正しい法律を適用して適切な賠償請求を行うためには弁護士に依頼する必要性が高いです。
ネット上での権利侵害に悩んでいるなら、まずはネット問題に強い弁護士を探して相談を受けてみることをおすすめします。
弁護士法人YMPでは「発信者(犯人)の特定」を得意としております! 爆サイ、ホスラブ、5ch、2ch、たぬき、各種ブログ、口コミサイト、SNS等の誹謗中傷にお困りでしたら、お気軽ににご相談下さい!
弁護士法人YMPでは「発信者(犯人)の特定」を得意としております! 爆サイ、ホスラブ、5ch、2ch、たぬき、各種ブログ、口コミサイト、SNS等の誹謗中傷にお困りでしたら、お気軽ににご相談下さい!
弁護士法人YMPは、爆サイ、ホスラブ、5ch、2ch、たぬき等をはじめとする掲示板のネット誹謗中傷問題の解決を得意としております。ネット投稿の削除も得意としておりますが、再発防止の効果も見込め、被害の抜本的解決ができる「発信者(犯人)の特定」により注力して、ご相談者様の悩める心情に寄り添いながら、解決に向かって迅速に業務を遂行してまいります。
お電話でのお問い合わせはこちら
050-5267-6228
[電話受付]平日 9:00~21:00 土日祝 9:00~18:00
