Case Study

「個人情報保護法(2)」

前回、経済産業省や厚生労働省などが作成したガイドラインがあるという話をしましたが、個人情報の保護に関する法律では、国や地方公共団体などは、個人情報の適正な取り扱いを確保するために、必要な政策の実施やこれに必要な措置を講じる責務があるとされています。経済産業省のガイドラインは、経済産業大臣が法を執行する際の基準となるものですが、従業員の個人情報に関する部分については、厚生労働大臣と共同で執行することになっているようです。
法律やガイドラインは、個人情報保護法の規制の対象である「個人情報」について、生存する「個人に関する情報」であって特定の個人を識別することができるもの、と定義しています。それは、氏名や生年月日などに限らず、財産、職種、肩書等の属性に関して、事実、判断、評価を表すすべての情報であり、公刊物等で公にされている情報や、映像、音声による情報も含まれます。
個人情報に該当する具体例としては、①本人の氏名、②生年月日、連絡先(住所、居所、電話番号、メールアドレス)、会社における職位又は所属に関する情報について、それらと本人の氏名を組み合わせた情報、③防犯カメラに記録された情報等、本人が判別できる映像情報、④特定の個人を識別できるメールアドレス情報(会社名と氏名の文字列などが入っているようなもの)、⑤雇用管理情報(会社が社員を評価した情報を含む)、⑥官報、電話帳、職員録等で公にされている情報(本人の氏名等)などがあげられています。
また、逆に、個人情報に該当しない事例としては、⑴企業の財務情報等、法人等の団体そのものに関する情報、⑵記号や数字等の文字列だけからは特定個人の情報であるか否かの区別がつかないメールアドレス情報(ただし、他の情報と容易に照合することによって特定の個人を識別できる場合は、個人情報となります)、⑶特定の個人を識別することができない統計情報、が挙げられています。
個人情報取扱事業者は、個人情報を扱うにあたり、その利用目的を出来る限り特定し(法15条)、これを通知・公表しなければなりません(18条)。そして目的に必要な範囲を超えて利用してはならず(16条)、不正な手段(窃盗や脅迫による取得や十分な判断能力のない子供からの取得など)により情報を取得することも許されません(17条)。また、本人の求めに応じて、開示(25条)、利用停止(27条)、理由の説明(28条)等に応じる義務もあります。
また、個人情報保護法は、個人情報取扱事業者に対し、事業者の義務に違反する行為を禁止しており、違反した場合には、最高で6ヶ月以下の懲役または30万円以下の罰金(56条)という罰則があります。もし、個人情報の漏えいがあった場合には、このほかに、漏えいされた本人に実被害があれば、プライバシー権の侵害等として企業には民事上の損害賠償責任が発生し、たとえ実被害がなかったとしても、漏えいについて企業の管理責任が問われることにもなります。