個人情報の適正な利用義務とは

IT・情報セキュリティ

 令和2年個人情報保護法改正によって、個人情報の適正な利用義務が規定化されたとのことですが、その背景と適用のあり方について教えてください。

 個人情報取扱事業者は、形式的には個人情報保護法の規定に違反しなくても、違法または不当な行為を助長し、または誘発するおそれがある方法により個人情報を利用した場合は、令和2年改正個人情報保護法16条の2(令和3年改正個人情報保護法19条)違反となり、個人情報保護委員会の行政処分の対象となり得ます。

解説

目次

  1. 令和2年改正によって規定された個人情報の適正な利用義務に関する条文
  2. 個人情報の適正な利用義務について改正された背景(制度改正大綱をもとに)
  3. 個人情報の適正な利用義務の解釈
    1. 「違法又は不当な行為」とは
    2. 助長または誘発の「おそれ」とは
  4. 想定される事例
  5. 実務上の影響は

令和2年改正によって規定された個人情報の適正な利用義務に関する条文

   令和2年個人情報保護法改正によって、下記の規定が設けられました。

個人情報保護法16条の2
個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。

 個人情報取扱事業者が同条に違反した場合、形式的には個人情報保護法の規定に違反しなくても、個人情報保護委員会の行政処分の対象となり得ます。

 「利用」については、個人情報保護法に定義はありませんが、取得および廃棄を除く取扱い全般を意味すると考えられます。したがって、保管しているだけでも利用に該当します(個人情報保護委員会「『個人情報の保護に関する法律についてのガイドライン』及び『個人データの漏えい等の事案が発生した場合等の対応について』に関するQ&A」Q2−3)。

個人情報の適正な利用義務について改正された背景(制度改正大綱をもとに)

 個人情報保護委員会「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱」(令和元年12月13日)(制度改正大綱)においては、個人情報の適正な利用義務に関する本改正の趣旨について、以下のとおり規定しています(下線筆者)。

  • 昨今の急速なデータ分析技術の向上等を背景に、潜在的に個人の権利利益の侵害につながることが懸念される個人情報の利用の形態がみられるようになり、消費者側の懸念が高まりつつある。

  • そのような中で、特に、現行法の規定に照らして違法ではないとしても、違法又は不当な行為を助長し、又は誘発するおそれのある方法により個人情報を利用するなど、本法の目的である個人の権利利益の保護に照らして、看過できないような方法で個人情報が利用されている事例が、一部にみられる。

  • こうした実態に鑑み、個人情報取扱事業者は、適正とは認めがたい方法による、個人情報の利用を行ってはならない旨を明確化することとする。

 上記のような記載がありますが、本規定が設けられた直截的な転機は、いわゆるリクナビ問題において、提供先で個人データになることが想定されたにもかかわらず、本人の同意なくクッキー情報に紐づいた内定辞退率のデータが提供されていたことによるものです。

個人情報の適正な利用義務の解釈

「違法又は不当な行為」とは

 個人情報保護法16条の2(令和3年改正個人情報保護法19条)において助長または誘発の対象とされている「違法又は不当な行為」とは、個人情報保護法その他の法令に違反する行為、およびただちに違法とはいえないものの、個人情報保護法その他の法令の制度趣旨または公序良俗に反する等、社会通念上適正とは認められない行為をいいます(通則編ガイドライン3−2(※1))。

助長または誘発の「おそれ」とは

 「おそれ」の有無は、個人情報取扱事業者による個人情報の利用が、違法または不当な行為を助長または誘発することについて、社会通念上蓋然性が認められるか否かにより判断されます。この判断にあたっては、個人情報の利用方法等の客観的な事情に加えて、個人情報の利用時点における個人情報取扱事業者の認識および予見可能性も踏まえる必要があります(通則編ガイドライン3−2(※2))。

〇「おそれ」があると認められると考えられる例
 提供先が個人情報を違法に利用していることを認識している等、自己が提供する個人情報についても、同様に違法に利用されることが予見できるにもかかわらず、当該提供先に対して個人情報を提供する場合。

〇「おそれ」があると認められないと考えられる例
 提供先が個人情報の取得目的を偽っており、当該提供先が取得した個人情報を違法に利用することについて、一般的な注意力をもってしても予見できない状況で、当該提供先に対して個人情報を提供する場合。

想定される事例

 以下のような事例が不適正利用に該当すると想定されます(通則編ガイドライン3-2【個人情報取扱事業者が違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用している事例】)。

事例1)違法な行為を営むことが疑われる者(例:貸金業登録を行っていない貸金業者)からの突然の接触による本人の平穏な生活を送る権利の侵害等、当該事業者の違法な行為を助長するおそれが想定されるにもかかわらず、当該事業者に当該本人の個人情報を提供する場合。


事例2)裁判所による公告等により散在的に公開されている個人情報(例:官報に掲載される破産者情報)を、当該個人情報に係る本人に対する違法な差別が、不特定多数の者によって誘発されるおそれがあることが予見できるにもかかわらず、それを集約してデータベース化し、インターネット上で公開する場合。


事例3)暴力団員により行われる暴力的要求行為等の不当な行為や総会屋による不当な要求を助長し、又は誘発するおそれが予見できるにもかかわらず、事業者間で共有している暴力団員等に該当する人物を本人とする個人情報や、不当要求による被害を防止するために必要な業務を行う各事業者の責任者の名簿等を、みだりに開示し、又は暴力団等に対しその存在を明らかにする場合。


事例4)個人情報を提供した場合、提供先において法第23条第1項に違反する第三者提供がなされることを予見できるにもかかわらず、当該提供先に対して、個人情報を提供する場合。


事例5)採用選考を通じて個人情報を取得した事業者が、性別、国籍等の特定の属性のみにより、正当な理由なく本人に対する違法な差別的取扱いを行うために、個人情報を利用する場合。


事例6)広告配信を行っている事業者が、第三者から広告配信依頼を受けた商品が違法薬物等の違法な商品であることが予見できるにもかかわらず、当該商品の広告配信のために、自社で取得した個人情報を利用する場合。


実務上の影響は

 本改正により、形式的には個人情報保護法の規定に違反しなくても、違法または不当な行為を助長し、または誘発するおそれがある方法により個人情報を利用した場合は、個人情報保護法16条の2(令和3年改正個人情報保護法19条)違反となり、個人情報保護委員会の行政処分の対象となり得ます。

 実際に、個人情報保護委員会に執行されることになるのは、上記4のような事例のほか、相当悪質なケースであると考えられます。

令和2年改正個人情報保護法Q&A 増補版―ガイドライン対応実務と規程例―
  • 関連書籍
  • 令和2年改正個人情報保護法Q&A 増補版―ガイドライン対応実務と規程例―
  • 著者:渡邉 雅之
  • 定価:本体 3,200円+税
  • 出版社:第一法規
  • 発売年月:2021年9月

  • 令和2(2020)年に成立した個人情報保護法の改正法に加え、令和3(2021)年に成立した改正内容や最新「ガイドライン」情報まで新たに織り込み、わかりやすくQ&Aとクイズで解説。サイトより規程等ひな型のダウンロードもできる。

この実務Q&Aを見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する