個人情報ほご自治会

インターネット初心者が、ネットに溢れる悪意と戦う為の知恵を共有する場所

トップ > コラム > 続_令和2年3月10日「個人情報の保護に関する法律等の一部を改正する法律案の閣議決定について」

続_令和2年3月10日「個人情報の保護に関する法律等の一部を改正する法律案の閣議決定について」

コラム

昨日の続きです。色々あってまだ十分読めていないのですが、今きっとこのブログに来られる方が気になる点は、「例のサイト類に対して影響力を発揮できる法律改正なのかどうか」だと思います。なので、その点に絞って自分なりに読み込んでみました。最初に申し上げておきますが、私は専門家でもなんでもないです。理系ですしせいぜい般教レベルの知識しかございませんので、そういう視点でお願いいたします。

 

さてポイントとなるのは、以下の3点だと私は考えています。

①官報記載個人情報の要配慮情報への追加

②オプトアウト規定の厳格化

③罰則強化

 

まず①に関してですが、これは今回公表された法改正には盛り込まれていません。というか、もともと中間整理の段階でも入っていなかったので、これは仕方ないと思います。まあ無理だろうな、とは思ってました。ここは今後の付帯決議なんかに滑り込ませることができたらなーとは思いますが。

 

②と③に関しては、それなりに強化されています。このあたりを、ちょっと考察してみます。

 

第十六条の二に、以下の文言が新設されています。

 

「個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。」

 

違法又は不当な行為とは何でしょうか?大綱のときのパブリックコメントでも、これに対する突っ込みが色々あったように記憶してますが、これは恐らくガイドラインで具体的な説明をするのだと思います。

 

この「第十六条の二」に関連する条文として、第三十条があります。以下です。

 

「本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが第十六条若しくは第十六条の二の規定に違反して取り扱われているとき、又は第十七条の規定に違反して取得されたものであるときは、当該保有個人データの利用の停止又は消去を請求することができる」

 

つまり、事業者が違法又は不法不当な個人情報の使い方をしている場合は、我々個人は事業者に対して利用停止と消去を請求する権利がある(そして事業者は請求を受け入れなければならない)ということです。

 

さて、ここで現行のガイドラインが生きてきます。

https://www.ppc.go.jp/files/pdf/1911_APPI_QA.pdf

Q:インターネット上等において不特定多数の者が取得できる公開情報(一
般人・民間企業が公表している情報だけでなく、官報等公的機関が公表している情報を含む)を取得し、新たに特定の個人情報を検索することができるように構成したデータベースを作成した上で、不特定多数の者が閲覧できるようにすることはできますか。

 

A:公開情報であっても、生存する個人に関する情報であって特定の個人を識別できる情報(他の情報と容易に照合できる場合を含みます。)は、個人情報に該当し、このような情報を集めて、新たに特定の個人情報を検索できるように作成したデータベースは、原則として、個人情報データベース等に該当します。
したがって、事業者の規模にかかわらず、これを事業の用に供している場合は、個人情報取扱事業者に該当するため、利用目的の通知又は公表が必要となります(法第 18 条第1項)。
また、このような情報を不特定多数の者が閲覧できるような状態に供する行為は、第三者提供に該当し、原則として本人の同意が必要になります(法第 23 条第1項)。

 

つまり、勝手に官報データベースを作成してネットで公開する行為は、すでに「問題があるよ」(※あえて違法不法とは言いません)とガイドラインで指摘されているわけです。この行為は、今回新設された第十六条の二にも抵触する(今後は違法であると明確化される)、と私は考えます。そして個人は第三十条に基づいて利用停止と消去を請求することができるようになるのだと考えます。また、委員会はこの第十六条の二に基づいて事業者に対して行政指導命令が可能になります。このあたりが、オプトアウト規定の厳格化のひとつ(不法行為を認めない)、という風にも見えますが、どうでしょう。なお、「第三者提供の制限」に関してはかなりの文量が追加されています。

 

では、事業者が従わなかったら?これに対しては罰則の強化がされているわけです。そしてなにやら公示送達に関する条文が新設されています。個人情報保護委員会は公示送達をすることができる、と明確に記載されています。裁判所の掲示板に貼るの?あるいは官報に載せるんですかね?知らん。

 

この辺はちょーっとややこしいのでいったん切ります。

 

余談ですが、以下の「金融機関における個人情報保護に関するQ&A」にもきちんと官報の個人情報についての定義付けがされています。

https://www.ppc.go.jp/files/pdf/kinyukikan_QA_170331.pdf

Q:官報や民間の新聞等により公表されている情報であっても「個人情報」に当たるか。

A:「個人情報」とは、個人情報保護法第2条第1項において、「生存する個人に関する情報であって、

① 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。)で作られる記録をいう。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
② 個人識別符号が含まれるもの
のいずれかに該当するもの」とされています。官報や民間の新聞等により公表されている情報であっても、上記要件に該当すれば、「個人情報」に該当するものと解されます。

官報で広く公開されているから個人情報には該当しないよーというのは通用しません。これはまあ当たり前です。