個人情報保護法の仕組み【ECサイト運営者のための弁護士が教える個人情報対策②】

個人情報保護法

 前回は、「個人情報」漏洩のリスクと対策の必要性についての記事を書きました。
 今回は、個人情報に関する法律の中で、最重要となる「個人情報保護法」の概要について書きたいと思います。
当記事では、具体的に誰が個人情報保護法を守らなくてはならないのか(対象)とか「個人情報」って何??ということや、大まかなルールを書いて行きたいと思います。上の記事でもあげましたが、ECサイト事業では、個人情報の取り扱いは非常に重要となりますので、要チェックです。
 各ルールの詳細はすぐ別記事で書きますので、楽しみにしていただければと思います。

1 「個人情報」って??

(定義)
個人情報保護法第2条  この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。

とされています。つまり、その情報によって、ある個人を他の個人と区別できるものをいいます。
 例えば、性別や年齢のみでは、個人を特定できません。しかし、氏名と結びついてこれらの情報が管理される場合には、管理者側からすれば個人と他人を区別できる情報になりますので、「個人情報」に含まれることになります。

2 だれが個人情報保護法を守らなくてはならないのか。

 個人情報保護法という法律があるということは、皆さんご存知ですし、それを守らなければならないこともご存知だと思います。
ただし、個人情報保護法は、すべての人に対して、個人情報保護法を守れ!!とはいっていません。
 それでは、だれが個人情報保護法を守らなくてはならないのでしょうか。

2.1 「個人情報取扱事業者」

 個人情報保護法は国等も対象にされている法律なんですが、具体的に義務を負うとされているのは「個人情報取扱事業者」(個人情報保護法2条3項)とされています。

2.2 「個人情報取扱事業者」にあたるのは?

 それでは、個人情報取扱事業者とはどのような事業者なのでしょうか。

① 過去6ヶ月いずれかの日において、合計5000人以上の氏名や住所等の個人情報データベース等(これには、エクセルや名刺管理ソフト、紙ベースであっても検索容易な形でファイルされているものも含む)を
② 事業目的に使用している事業者(会社のような営利団体ももちろん、NPO法人や組合、個人事業主も含まれます。)

以上の①②の要件を満たすものが「個人情報取扱事業者」にあたります。なお、5000名には、お客さんの数のみでなく、容易に検索でいる形でかんりしている従業員の個人情報も含みますので要注意です。

3 個人情報保護法の全体のルール(概要)

 それでは、「個人情報取扱事業者」に該当する場合、どのようなルールに規律されるのか、その概要を見て行きましょう。
なお、各ルールについての詳細は、随時当サイトで具体的に検討していきますので、詳細や具体的な対策論は、そちらをご覧下さい。

3.1 利用目的について

① 利用目的をできる限り特定する
② 本人の同意を得ることなしに、利用目的のために必要な範囲を超えて取り扱ってはならない
③ 保有しているデータについて、その利用目的を本人が知ることができる状態にしておくこと

が必要になります。つまり、個人情報については、利用目的を具体的に特定・公表し、その利用目的の範囲内で使用することしかできませんよっということなのです。

3.2 取得方法について

 法律は、嘘をついたり、だましたりする方法で、個人情報を取得してはいけないよといっています。
ちゃんと利用目的を公表して取得してくださいといってもいます。

3.3 第三者(他の人や会社への)提供について

 原則として、あらかじめ本人の同意を得なければ、第三者に個人データを提供してはいけません(個人情報保護法23条)。
なお、今回は概要ということで解説していますが、この辺りは例外がありますので、それは別記事でご確認下さい。

3.4 取得後の管理について

① 正確かつ最新の内容に保つように努めること、
② 安全管理のために必要な措置を講じること、
③ (当該個人情報を扱う)従業員や委託先に対して監督を行うこと

が必要となります。
今回は、概要ということで、このくらいにしておきます(具体的にどうすればいいねん!?という方は、これに特化した記事を書きますのでそちらを参照して下さい。)。

3.5 本人に向けた対応について

① 保有する個人データを開示する
② 内容が事実でないときは訂正等を行う
③ 目的外利用や適正に取得されていない場合、その利用停止を行う
④ 苦情を適切かつ迅速に処理することと、その体制の整備を努力する

ことが必要です。

4 まとめ

 以上が個人情報保護法の概要となります。各個別のルールに対しては、より詳細な解説が必要なものや例外があったります。さらに詳細なルール内容や具体的にとるべき個人情報管理対策まで踏み込んだものを別記事で書いていきますので、是非、そちらもご覧ください。

  • このエントリーをはてなブックマークに追加

永吉 啓一郎ピクト法律事務所代表弁護士

投稿者プロフィール

自らもECサイトや新規事業(税務調査士認定制度等)の立上げや運営を行ってきた弁護士。
多くのベンチャー企業や新規ビジネスの立上げ等について、法律的なアドバイスのみでなく「パートナー」としてかかわっている。
得意分野は、ECサイトやIT関連企業を初めとして企業法務と税法

ピクト法律事務所

この著者の最新の記事

関連記事

コメントは利用できません。

運営者情報

IT・EC特化型リーガルパートナー

お気軽にお問い合わせ下さい

ページ上部へ戻る