第1 正確性の確保等
事業者は、個人データについて正確かつ最新の内容に保ち、かつ利用する必要がなくなったときは、遅滞なく消去するよう努めることとされています(法第19条)。
個人データについては、後述します。
かかる義務は努力義務であり、かかる義務に違反したとしても、個人情報保護委員会による勧告(法第42条第1項)、命令(同条第2項、第3項)及び公表(同条第4項)の対象とはされていません。
もっとも、個人情報保護委員会による報告徴収等(法第40条)、指導及び助言(法第41条)の対象にはなります。
第2 個人データ
これまでは、個人情報に関する規制について説明してきましたが、新しい「個人データ」という概念が初めて出てきました。
個人データとは、「個人情報データベース等を構成する個人情報」であると定義されています(法第2条第6項)。
ここで、「個人情報データベース等」とは、個人情報を含む情報の集合物であって、①特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの(法第2条第4項第1号)、又は②個人情報を一定の規則に従って整理することにより特定の個人情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次、索引その他検索を容易にするためのものを有するもの(同項第2号)とされています。
要するに、1号は、デジタル情報のデータベースを指し、2号は、紙ベースのデータベースを指します。
例えば、50音順に整理して「あかさたな・・・」のインデックスを付けた名刺入れ等は、2号に定めるデータベースに該当することとなります。
個人データは、このようなデジタル情報又は紙ベースの情報のデータベースを構成する個々の個人情報(氏名等)のことを指します。
個人情報と個人データの違いは、このようにデータベース化されているか否かという点にあり、個人情報の中に個人データに該当する情報があるという位置づけとなります。
個人情報保護法第4章では、個人データを対象とする義務を規定しており、個人データに当たらない個人情報については第4章の義務を負うことはありません。
したがって、個人情報と個人データの違いを理解することは、事業者が、取り扱う情報についていかなる義務を負うのかを理解するうえで重要となります。
なお、個人情報保護法が個人情報と個人データについて規制に差異を設けているのは、あらゆる個人情報に個人データに課せられる規制と同様の規制を課した場合、事業者に大きな負担となるということが考慮されています。
私見ですが、このように個人情報と個人データを区別することが合理的であるのかという点には疑問があります。
その理由は割愛しますが、ここではEUにおける個人情報保護規制である「一般データ保護規則」(GDPR)では「Personal Data」(個人情報保護法における「個人情報」の定義よりも広い概念。)を保護しており、個人情報保護法におけるような「個人情報」と「個人データ」の区別を設けていないことだけ紹介しておきます。
第3 安全管理措置
事業者は、取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要な措置を講ずる必要があります(法第20条)。
どのような安全管理措置を講ずるべきかが問題となりますが、ガイドライン通則編によれば、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱い状況(取り扱う個人データの性質及び量を含む。)、個人データを記録した媒体の性質等に起因するリスクに応じて、必要かつ適切な内容としなければならないとしています(ガイドライン通則編41頁)。
ガイドライン通則編では、講ずべき安全管理措置の内容を次の6項目に分けて具体化しています(86頁以下)。
① 基本方針の策定 ② 個人データの取扱いに係る規律の整備 ③ 組織的安全管理措置 ⑴ 組織体制の整備 ⑵ 個人データの取扱いに係る規律に従った運用 ⑶ 個人データの取扱い状況を確認する手段の整備 ⑷ 漏えい等の事案に対応する体制の整備 ⑸ 取扱状況の把握及び安全管理措置の見直し ④ 人的安全管理措置 ⑤ 物理的安全管理措置 ⑴ 個人データを取り扱う区域の管理 ⑵ 機器及び電子媒体等の盗難等の防止 ⑶ 電子媒体等を持ち運ぶ場合の漏えい等の防止 ⑷ 個人データの削除及び機器、電子媒体等の廃棄 ⑥ 技術的安全管理措置 ⑴ アクセス制御 ⑵ アクセス者の識別と認証 ⑶ 外部からの不正アクセス等の防止 ⑷ 情報システムの使用に伴う漏えい等の防止 |
なお、講ずべき安全管理措置の内容には中小規模事業者(従業員の数が100人以下であり、個人データの取扱件数が過去6月以内のいずれかの日において5000人を超えず、かつ委託を受けて個人データを取り扱ってもいない者。)における手法も例示されており、中小規模事業者、それにとどまらずこれから個人データの安全管理体制を構築していくことを検討している事業者においては、かかる手法の例示が参考となります。
第4 従業員、委託先の監督義務
事業者は、個人データを取り扱う従業員に対して、安全管理が図られるよう監督を行う必要があり(法第21条)、個人データの取扱いを委託した場合には、委託先に対しても安全管理が図られるよう監督を行う必要があります(同法第22条)。
ここで、取扱いの委託とは、「契約の形態・種類を問わず、個人情報取扱事業者が他の者に個人データの取扱いを行わせることをい」い、「具体的には、個人データの入力(本人からの取得を含む。)、編集、分析、出力等の処理を行うことを委託すること等が想定され」ます(ガイドライン通則編44頁)。
ガイドライン通則編によれば、次のような場合は、監督を果たしたとは言えないとされています。
事例1)個人データの安全管理措置の状況を契約締結時及びそれ以降も適宜把握せず外部の事業者に委託した結果、委託先が個人データを漏えいした場合 事例2)個人データの取扱いに関して必要な安全管理措置の内容を委託先に指示しなかった結果、委託先が個人データを漏えいした場合 事例3)再委託の条件に関する指示を委託先に行わず、かつ委託先の個人データの取扱状況の確認を怠り、委託先が個人データの処理を再委託した結果、当該再委託先が個人データを漏えいした場合 事例4)契約の中に、委託元は委託先による再委託の実施状況を把握することが盛り込まれているにもかかわらず、委託先に対して再委託に関する報告を求めるなどの必要な措置を行わず、委託元の認知しない再委託が行われた結果、当該再委託先が個人データを漏えいした場合 |
このようなガイドライン通則編の記載からすると、個人データの取扱いについては次の点に注意する必要があります。
まず、事業者は、委託先に対し、個人データに関する安全管理措置の状況について、委託契約締結時及びそれ以降も把握しなければならず、必要な安全管理措置がある場合には、その内容についても委託先に指示しなければなりません。
そのため、個人データの取扱いに関する委託を行う場合には、契約締結時に委託先に対して取扱状況を確認するとともに、委託契約書において委託先が委託元に対し個人データの取扱いに関する報告義務を課すような条項を設けることを検討するべきです。また、委託契約書に安全管理措置を講じるべき義務があることを明記しておくべきでしょう。
さらに、委託先からの再委託については特に注意が必要です。委託元が再委託先を監督することは、委託先を監督するよりも一般的に困難となるからです。
したがって、例えば、委託先との委託契約の中で、再委託を禁止するような条項を設けることを検討するべきです。また、再委託を容認する場合でも、委託契約書において、少なくとも再委託を行うに当たっては委託元の同意が必要である旨の条項及び再委託先における取扱状況について報告させる義務を設ける条項等再委託先の個人データ取扱い状況についてしっかりと把握できるような条項を設けることは必要でしょう。
第5 まとめ
個人データという新しい概念が出てきましたが、何が個人情報に当たり、何が個人データに当たるのかを具体的な事例の中で分けて考えることは難しく、基本的には個人情報に当たるものを個人データとしても取扱い、個人情報保護法における義務を遵守していくという対応が一般的かと思います。
また、GDPRが適用される事業者は、個人情報保護法と異なり、個人情報と個人データのように区別することなく、「Personal Data」として保護する必要がありますので注意が必要です。
この点、個人データに関しては安全管理措置を講じることが求められており、委託先に対しても安全管理が図られるように監督することが求められています。
そのため、個人データの取扱いの委託を行うようなケースでは契約条項に、例えば再委託を禁ずる条項、再委託する場合でも委託元の同意が必要となる旨の条項、適宜適切な時期に報告をさせて、取扱い状況を把握することができるような条項を設けておくことが重要です。