来年4月1日の個人情報の保護に関する法律(以下、「法」と記す)全面施行に向け、各事業者は、法に規定された義務を履行するための体制整備を本格化させているところである。その際、各所管官庁が策定するガイドラインの果たす役割は非常に大きく、とりわけ、経済産業省の策定するガイドラインは対象となる事業分野が広く、経済界全体に与える影響も大きいと考えられる。したがって、ガイドラインの内容は、各事業の実態を踏まえた、分かりやすいものでなければならない。
そのような観点から、今般公表された「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」※について、下記のとおりコメントする。
なお、個人情報保護を実効あるものにするためには、事業者が保有する個人情報を不正に持出す行為を処罰できるようにすることが必要である。この点については、経済産業省のガイドラインに直接関係することではないが、法整備等、必要な対策を政府が講ずるよう求めたい。
※ http://www.meti.go.jp/feedback/data/i40615gj.html
(1) 理解を助けるための参考例として特定業種の事例等が記述されているが、P1にも記載されているように、これらは全ての業種の例を網羅しているわけではない。このような事例を掲載することによって、却って事業者が判断に迷ったり、個人情報の利用に萎縮的になってしてしまったりするおそれがあるので、事例についてはガイドライン本体から削除し、別途、事例集等を作成すべきである。
(2) 分野横断的に事業を展開している企業の取組みに支障が生じることのないよう、他省庁の策定するガイドラインと整合性ある内容とすべきである。
【個人情報に該当しない事例】の事例2で、「記号や数字等の文字列だけから特定個人の情報であるか否かの区別がつかないメールアドレス」とされているが、今日では多くのメールアドレスが個人名を特定できないようにしてあり、それだけの理由で保護の対象から外すのは合理的でないので、メールアドレスは全て個人情報に該当することとすべきである。
【個人情報データベース等に該当する事例】の事例3で、「社員が、名刺の情報を業務用パソコン(所有者を問わない。) に入力し、他の社員等も検索できる状態にしている場合」とされているが、パソコンの場合、何らの規則性もなく情報を入力したとしても検索は可能である。この事例によって個人情報データベース等に該当するものが極端に多くなってしまう懸念があるので、修正または削除すべきである。
【個人情報データベース等に該当する事例】の事例5で、「氏名、住所、企業別に分類整理されている市販の人名録」とされているが、市販の人名録や職業別電話帳等を購入しただけで個人情報取扱事業者に該当し、法に規定された各種義務を負うことになるのは不合理である。法の全面施行後にオプトアウトされて販売される人名録や職業別電話帳等については、個人情報データベース等から除外すべきである。
【特定の個人の数に算入しない事例】の事例4で、「倉庫業、データセンター(ハウジング、ホスティング)等の事業において預かった、その内容について関知しない個人情報」とあるが、「その内容について関知しない」の意味を明確にすべきである。
保有個人データの定義について、法では、「個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより・・・」となっているが、「権限を有する」の意味を明確にすべきである。
「○○事業の特定に当たっては、社会通念上、本人から見てその特定に資すると認められる範囲に特定することが望ましい。例えば日本標準産業分類の中分類から小分類程度の分類が参考になる」とあるが、事業によって分類の方法は様々なので、必ずしも日本標準産業分類に囚われる必要はないことを明確に示すべきである。
【具体的に利用目的を特定している事例】の事例3で、「情報処理サービスを行っている事業者の場合は、・・・のようにすれば利用目的を特定したことになる」とされているが、情報処理サービス産業が他の産業よりも細かい分類で利用目的を特定しなければならないという印象を与えるので、削除すべきである。
法第16条第3項第1号関連で、「刑事訴訟法第197条第2項(捜査と必要な取調べ)等のような、個人情報の提供が任意協力の場合についても対象となり得ると考えられるが、個別の判断が必要とされる」とあるが、事業者が捜査に任意協力し、個人データを警察に提供する場合、個人情報保護法に規定された義務との整合性が図られるようにすべきである。
個人情報取扱事業者は、個人情報を取得後速やかにその利用目的を本人に通知または公表しなければならないが、業務委託に際しては通常、(1)委託先が守秘義務を負っていること、(2)委託元が個人情報の取得に際して利用目的を通知または公表する義務を負っていることから、委託先は利用目的を通知または公表する義務を負わない旨を明記すべきである。
法第18条第4項第4号「取得の状況から見て利用目的が明らかであると認められる場合」の事例1で、「商品・サービス等を販売・提供する場合、住所・電話番号等の個人情報を取得する場合があるが、その利用目的が当該商品の販売、サービスの提供のみを確実に行うためという自明の利用目的である場合」とされているが、必要以上に事業活動に制限を加える可能性があるので、修正すべきである。
法第19条により、個人情報取扱事業者は個人データを正確かつ最新の内容に保つよう努めなければならないが、通常、(1)業務の委託先は必要な情報を本人から直接得ることができないこと、(2)本人は個人情報を正確かつ最新に保つための情報を委託元に提供することから、委託先については、委託元から受託した業務の範囲内で個人データを正確かつ最新の内容に保つことで足りることを明記すべきである。
【必要かつ適切な安全管理措置を講じているとはいえない場合】の事例3で、「個人情報取扱事業者による不適切な取り扱いにより滅失又はき損し、本人がサービスの提供を受けられてなくなった」場合には、必要かつ適切な安全管理措置を講じているとはいえないとされているが、「不適切な取り扱い」という曖昧な表現では、ここに掲載されている望ましい事項を事業者が全て実施していない場合には「必要かつ適切な安全管理措置を講じているとはいえない」と判断され、事業者が必要以上の措置を講じざるを得なくなる可能性があるので、修正または削除すべきである。
個人データの委託に際しては、本来委託元が講ずべき安全管理措置を全て委託先が講じる契約を強要するなど、委託先に過度な負担が課されることのないよう、配慮すべきである。
個人情報取扱事業者が個人データの取扱いの全部または一部を委託する場合、委託契約において、「安全管理措置の内容を盛り込むとともに、当該契約の内容が遵守されていることを、予め定めた間隔で定期的に確認」しなければならないこととされているが、委託元と委託先双方の負担に過度な負担を課すことがないよう、契約内容が遵守されているかどうかの確認をする間隔については、柔軟な運用が可能になるよう配慮すべきである。
事業活動の実態を踏まえ、組織的に同一と考えられる100%株式保有子会社については、第三者に該当しないこととすべきである。
「オプトアウトが認められている事例」とあるが、オプトアウトが認められない場合があると誤解される恐れがあるので、削除すべきである。
個人データを特定の者との間で共同して利用する場合、「別々の利用目的で利用することはできない」とされているが、個人情報の円滑な流通に配慮し、利用目的を個別に特定している場合には、個人データを別々の利用目的で共同利用できることとすべきである。
個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならないが、委託先に直接本人から苦情が寄せられることは想定し難いため、委託先としては、委託元と合意した内容に基づき、苦情の適切かつ迅速な処理が可能な体制を整備しておけば足りることを明記すべきである。