澤田直彦
監修弁護士:澤田直彦
弁護士法人 直法律事務所 代表弁護士
IPO弁護士として、ベンチャースタートアップ企業のIPO実績や社外役員経験等をもとに、永田町にて弁護士法人を設立・運営しています。
本記事では、
「株式上場(IPO)と個人情報保護法」
について、詳しくご解説します。
個人情報保護法の概要
個人情報保護法(正式名称は、「個人情報の保護に関する法律」)は、個人の権利利益の保護を目的として、個人情報を扱う国・地方公共団体や事業者の責務等について定めた法律です。
令和2年に「個人情報の保護に関する法律等の一部を改正する法律」が公布されました。個人情報保護法は、大きく以下のような構成をとります。
- 第1章 総則(目的・定義・基本理念について定めた章)☆
- 第2章 国及び地方自治体の責務等
- 第3章 国及び地方公共団体の個人情報の保護に関する施策
- 第4章 個人情報取扱事業者の義務等☆
- 第5章 個人情報保護委員会(所掌事務の範囲や組織について定めた章)
- 第6章 雑則(法律の適用範囲等について定めた章)
- 第7章 罰則☆
- 附則(法律の施行期日や経過措置について定めた章)
個人情報を扱う会社の義務等
※分かりやすさを優先し、一部条文の文言を変えています。
その為、細かい点について定義や範囲が不正確になっている箇所がございます(例えば、以下で、「法人の代表者」とだけ記載している部分には、正確には、法人格を持たない団体の管理者が含まれている場合もございます。もっとも会社は全て法人です)。
現行法の正確な条文については、個人情報の保護に関する法律 | e-Gov法令検索 を、改正法の正確な条文については、200612_houritsu.pdf、及び200612_sinkyutaisyohyo.pdfを、ご参照ください。
※現行法の条文を黒字で記載し、改正点は赤字で記載しています。
第2条 定義規定
個人情報とは、生存する個人に関する情報で、氏名・住所・生年月日等により特定の個人を識別できるもの(他の情報と容易に照合でき、それにより特定の個人を識別できるものを含む)、又は特定の個人を識別するための記号等(免許証の番号やDNA・顔・指紋)を含む情報をいう。
個人データとは、個人情報データベース(名簿のように、電子媒体・紙媒体を問わず、特定の個人情報を検索できるように体系的に構成したもの)を構成する個人情報をいい、保有個人データとは、個人情報取扱事業者が開示、訂正、削除等の権限を有する個人データ(Cookie等、6か月以内に消去することとなるものを除く)をいう。改正法では、左の括弧書きが削除されます。
個人情報取扱事業者とは、個人情報データベース等を事業の用に供している者をいう(会社は規模に関わらず全て含まれます)。但し、国や地方公共団体は除く。
要配慮個人情報とは、不当な差別や偏見を招かないように特に配慮して扱うべき情報(本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪の被害に遭った事実等)をいう。
匿名加工情報とは、通常の人では個人を特定できず、加工前の個人情報に復元できない程度にまで、加工した個人情報をいう。
改正法では、以下の新しい概念が加わります。
仮名加工情報とは、個人情報の一部を削除する事により、他の情報と照合しない限り特定の個人を識別できないように、加工した情報をいう。(上記の匿名加工情報よりも簡易なものが想定されています。利用用途は事業者の内部分析に限られますが、開示請求や利用停止請求への対応義務等が緩和されます)
仮名加工情報取扱事業者とは、仮名加工情報データベース等を事業の用に供している者をいう。
個人関連情報とは、個人に関する情報ではあるものの、個人情報・仮名加工情報・匿名加工情報のいずれにも該当しないものをいう。
第15条
個人情報を利用する目的は、できる限り特定しなければならない。
利用目的を変更する場合は、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えてはならない。
第16条
利用目的の達成に必要な範囲を超えて、個人情報を取扱う場合は、予め本人の同意が必要である。
但し、例外的に本人の同意が不要な場合が4つある。
❶法令に基づく場合
❷人の生命、身体又は財産の保護の為に必要で、かつ本人の同意を得る事が困難な場合
❸公衆衛生の向上又は自動の健全な育成の推進の為に特に必要で、かつ本人の同意を得る事が困難な場合
❹国や地方公共団体が行う事務に協力する必要がある場合で、かつ本人の同意を得ると当該事務の遂行に支障が生じる虞がある場合
第16条の2 違法又は不当な行為を助長し、又は誘発する虞がある方法で個人情報を利用してはならない。
第17条
偽りその他の不正な手段を用いて、個人情報を取得してはならない。
要配慮個人情報を取得する時は、予め本人の同意が必要である。
但し、例外的に本人の同意が不要な場合が6つある。
❶ ~❹ 上記同様
❺当該要配慮個人情報が、本人や国、地方公共団体等により既に公開されている場合
➏その他、政令で定められている場合
第18条
個人情報を取得した場合、予め利用目的を公表している場合を除き、速やかに、利用目的を、本人に通知し、又は公表しなければならない。
本人と交わした契約書その他本人から直接書面(電磁的記録を含む)に記載された個人情報を取得する場合は、人の生命・身体・財産を保護する為に緊急の必要がある場合を除き、予め本人に利用目的を明示しなければならない。
利用目的を変更した場合も、それについて本人に通知し、又は公表しなければならない。
但し、本人への通知や公表が不要な場合が4つある。
ア 本人への通知や公表により、本人又は第三者の生命・身体・財産その他の権利利益を害する虞がある場合
イ 本人への通知や公表により、会社の権利利益を害する虞がある場合
ウ 国や地方公共団体が行う事務に協力する必要があり、かつ、本人への通知や公表により当該事務の遂行に支障が生じる場合
エ 取得の状況からみて、本人への通知や公表をしなくても、利用目的が明らかな場合
第19条
個人データは、利用目的の達成に必要な範囲内で、正確かつ最新の内容に保つとともに、利用の必要が無くなったら遅滞なく消去するよう努めなければならない。
第20条
個人データの安全管理の為に必要かつ適切な措置を講じなければならない。
第21条
従業員に個人データを扱わせる際は、個人データの安全な管理の為に必要かつ適切な監督を従業員に対し行わなければならない。
第22条
個人データの扱いの全部又は一部を委託する場合、個人データの安全な管理の為に必要かつ適切な監督を委託先に対し行わなければならない。
第22条の2 取り扱う個人データの漏洩・滅失・毀損等、個人データの安全を脅かす事態で、かつ、個人の権利利益を害する虞が大きいものとして個人情報保護委員会規則で定めるものが生じた時は、個人情報保護委員会規則に従い、当該事態の発生を個人情報保護委員会に報告しなければならない。但し、他の個人情報取扱事業者から当該個人データの取扱いの全部又は一部の委託を受けた場合で、かつ、個人情報保護委員会規則に従い、提供元の個人情報取扱事業者に当該事態の発生を通知した時は不要。
個人情報保護委員会に報告すべき場合、本人にも当該事態の発生を通知しなければならない。但し、本人への通知が困難で、かつ本人の権利利益を保護する為に必要な代替措置を講じる場合は不要。
*現行法では、個人情報の漏洩、滅失、毀損等が発生した場合、個人情報保護委員会に漏洩報告を行うか否かの判断は、事業者に委ねられています。
第23条
個人データを第三者に提供する場合、予め本人の同意が必要である。
但し、例外的に本人の同意が不要な場合が4つある。
❶ ~❹ 上記同様
また、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとし、かつ、5つの事項(ⅰ第三者への提供を利用目的とすること、ⅱ第三者に提供する個人データの項目、ⅲ第三者への提供方法、ⅳ本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること、ⅴ本人の求めの受付方法)について、個人情報保護委員会規則に従い、予め本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出た場合は、本人の同意なしに、当該個人データ(要配慮個人情報を除く)を第三者に提供できる(←オプトアウト方式=本人が反対しない限り、同意したものと看做す方式)。但し、改正法では、①要配慮個人情報、②17条にいう偽りその他の不正な手段を用いて取得された個人データ、➂他の個人情報取扱事業者からオプトアウト方式により提供を受けた個人データ(その全部又は一部を複製し又は加工したものを含む)については、オプトアウト方式を利用できない、とされます。
また、改正法では、本人への通知等や個人情報保護委員会への届出をすべき事項として、上記5つの事項のほか、更に、ⅵ提供元の氏名又は名称及び住所、並びに、事業者が法人の場合は代表者の氏名、ⅶ提供される個人データの取得方法、ⅷその他個人の権利利益を保護する為に必要なものとして個人情報保護委員会規則で定める事項、が追加されます。
上記ⅱ・ⅲ・ⅴについて(改正法では、ⅶ、ⅷも含む)変更する場合は、個人情報保護委員会規則に従い、予め本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければならない。
また、改正法では、ⅵを変更した時又はオプトアウト方式による個人データの提供をやめた時は、遅滞なく、個人情報保護委員会規則に従い、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届出なければならない、とされます。
次の者は、たとえ個人データの提供を受けても、上記第三者に該当しない。
①利用目的の達成に必要な範囲内で、個人データの扱いの委託を受けた者
②合併などによる事業承継に伴い提供された場合
➂特定の者との間で共同利用される個人データが当該特定の者に提供される場合で、かつ、ⅰその旨、ⅱ共同利用される個人データの項目、ⅲ共同利用者の範囲、ⅳ利用目的、ⅴ当該個人データの管理責任者の氏名又は名称及び住所並びに法人の場合はその代表者の氏名、について、予め本人に通知し、又は本人が容易に知り得る状態に置く場合(ⅳ及びⅴを変更する場合は、変更する内容について、予め本人に通知し、又は本人が容易に知り得る状態に置くこと)
改正法では、➂の括弧書きについて、以下のように書換られています。「ⅳ及びⅴの責任者を変更する時は予め、ⅴの氏名、名称若しくは住所又は法人代表者の氏名を変更した時は遅滞なく、本人に通知し、又は本人が容易に知り得る状態に置くこと」
第24条
外国にいる第三者に個人データを提供する場合、個人情報保護委員会規則で定めた国や第三者に該当する場合及び前条の❶~❹に該当する場合を除き、予め外国にある第三者への提供を認める旨の本人の同意が必要である。この場合、23条は適用しない。
改正法では、本人の同意を取得する際、予め、当該外国における個人情報の保護に関する制度等、参考となる情報を提供しなければならない、とされています。また、提供先における個人データの安全な管理を継続的に確保する為に必要な措置を講じ、本人の求めに応じて、どのような必要な措置を講じたのかに関する情報を本人に提供しなければならない、とされています。
第25条
個人データを第三者(国・地方公共団体・独立行政法人等・地方独立行政法人を除く)に提供した時は、個人情報保護委員会規則に従い、提供した年月日・提供先の氏名又は名称などの記録を作成し、一定期間保存しなければならない。但し、❶~❹又は①~➂に該当する場合は不要。
第26条
第三者から個人データの提供を受ける際は、個人情報保護委員会規則に従い、提供元の氏名又は名称及び住所、並びに提供元が法人の場合はその代表者の氏名、提供元による当該個人データの取得の経緯を確認し、提供を受けた年月日等の記録を作成し、一定期間保存しなければならない。
第26条の2 個人関連情報が第三者に提供される場合、提供先においては、個人データとして取得されることが想定される場合には、本人の同意が必要である。提供先が外国にいる第三者の場合は、第24条にいう情報提供や必要な措置を講じる事も必要である。また、第26条にいう個人データの取得経緯等も確認しなければならない。
第27条
保有個人データに関し、利用目的や第33条にいう手数料の額、事業者の氏名及び住所並びに法人代表者の氏名等の事項を、本人の知り得る状態におかなければならない(本人の求めに応じて遅滞なく回答できればよい)。
本人が求めた時は、遅滞なく、当該本人が識別される保有個人データの利用目的を通知しなければならない。但し、ア~エに該当する場合は、通知しない決定をした旨を本人に遅滞なく通知すれば、利用目的を通知しないことができる。
第28条
本人の請求を受けた時は、遅滞なく、当該本人が識別される保有個人データ及び個人データの第三者提供における第25・26条にいう記録を開示しなければならない。但し、開示により、本人又は第三者の権利利益や当該事業者の業務遂行を害する虞がある場合には開示しないことができる。開示しない決定をした時や当該データが存在しない時や本人が請求した方法による開示が困難な時は、本人にその旨を遅滞なく通知しなければならない。
現行法では、開示は原則として書面の交付による開示でしたが、改正法では、本人は、保有個人データの電磁的記録の提供等、個人情報保護委員会規則で定める方法による開示を請求できるようになります。但し、本人の請求する方法によると多額の費用を要する等、本人の請求する方法による開示が困難な場合には、書面の交付による方法になります。
第29条
本人から当該本人が識別される保有個人データの訂正等の請求を受けた時は、遅滞なく必要な調査を行い、当該データの内容が事実でないと認められる場合は、その訂正等をしなければならない。訂正を終えた時や調査結果に基づき訂正を行わない決定をした時は、その旨を本人に遅滞なく通知しなければならない。
第30条
本人の請求を受け、当該本人が識別される保有個人データがこの法律に違反して取得され又は第三者に提供されている事が判明した場合、遅滞なく、当該保有個人データの利用・提供の停止等をしなければならない。但し、多額の費用を要する等、それを行うことが困難な事情がある場合には、本人の権利利益を保護する為に必要な代替措置を講じることで足りる。停止等の措置を行わない時は、その旨を遅滞なく本人に通知しなければならない。
改正法では、上記「この法律に違反して取得され又は第三者に提供されている事」に加え、①事業者が個人データを利用する必要が無くなった場合、②第22条にいう個人情報保護委員会への漏洩報告をすべき漏洩等の事態が生じた場合、➂その他本人の権利利益が害される虞がある場合、にも、利用・提供の停止等を請求できるようになります。
第31条
27~30条において、本人の請求とは異なる決定をした旨を通知する時は、その理由を説明するように努めなければならない。
第32条
27~30条における本人からの請求について、本人にとって過重な負担とならない限度で、本人が従うべき請求手続を定めることができる。また、本人が容易かつ的確に請求できるように、必要な情報提供をする等の措置を講じた上であれば、どの保有個人データ・第三者提供記録が請求の対象となっているのかを特定する為に必要な事項を提示するよう、本人に請求できる。
第33条
27条により利用目的の通知を求められた時、又は28条により開示請求を受けた時は、合理的な額の手数料を徴収できる。
第34条
本人が予め28~30条の請求をせず、又は請求が通常到達すべきであった時から2週間が経過する前に、訴えを提起した時は、予め請求をし、かつそれが通常到達すべきであった時から2週間を経過してから訴えを提起するよう、主張することができる。
第35条
個人情報の取り扱いに関する苦情は、適切かつ迅速に処理するよう、努めなければならない
第35条の2 仮名加工情報を作成する時は、個人情報保護委員会規則に従い、作成し、作成に用いた情報の安全管理措置等を講じ、特定された利用目的の達成に必要な範囲を超えて取り扱ってはならない(16条は適用しない)。
18条等を適用する際は、本人への通知という手段は使えず、公表しなければならない。
仮名加工情報である個人データ等を利用する必要が無くなった時は、遅滞なく消去するよう努めなければならない(19条は適用しない)。
法令に基づく場合を除き、仮名加工情報を第三者に提供してはならない(23条1項2項・24条1項は適用しない)。
本人を識別する為に、当該仮名加工情報を他の情報と照合してはならない。
電話をかけ、郵便等により送付し、FAX等を用いて送信し、又は住居訪問をするために、当該仮名加工情報に含まれる連絡先等を利用してはならない。
仮名加工情報に、15条2項(利用目的の変更に関する部分)、22条の2、27~34条は適用しない。
第36~39条
匿名加工情報を作成する時は、個人情報保護委員会規則に従い、作成し、作成に用いた情報の安全管理措置等を講じ、当該匿名加工情報に含まれる個人に関する情報の項目を公表しなければならない。講じた措置の内容は公表するよう努めなければならない。 匿名加工情報を第三者に提供する時は、個人情報保護委員会規則に従い、当該匿名加工情報に含まれる個人に関する情報の項目及び提供方法を公表し、当該第三者に、提供される情報が匿名加工情報である旨を明示しなければならない。 匿名加工情報を取り扱う際は、作成に用いた個人情報に係る本人を識別する為に、当該匿名加工情報を他の情報と照合してはならない。
第82~88条
個人情報保護委員会の命令に違反した場合には、6か月以下の懲役または30万円以下の罰金(改正法では、1年以下の懲役または100万円以下の罰金、法人は1億円以下の罰金)、個人情報データベース等を不正に提供した場合等には、1年以下の懲役または50万円以下の罰金(改正法では、法人は1億円以下の罰金)報告義務に違反した場合(例えば情報漏洩が起きたのに主務大臣に和えて報告しなかったり虚偽の報告をしたりした場合等)には30万円以下の罰金(改正法では50万円以下の罰金)が科せられる。
改正法では、法人と個人の資力格差を考慮し、法人が上記違反行為を行った場合の罰金の上限額は1億円に引き上げられています。
また、改正法では、日本国内にある者に係る個人情報等を取り扱う外国事業者も、個人情報保護委員会による報告徴収や命令の対象とされます。
個人情報保護法に関する相談について、個人情報保護委員会が相談ダイヤルやAIによる24時間対応の相談チャットの場を設けているので、ご参照ください。個人情報保護委員会 - PPC
また、個人情報保護委員会が作成したハンドブックもありますので、ご参照ください。
https://www.ppc.go.jp/files/pdf/kojinjouhou_handbook.pdf
法改正の概要
令和2年6月12日、「個人情報の保護に関する法律等の一部を改正する法律」が公布されました。改正法の全面施行は、令和4年の4月頃に予定されています。
改正点については、⑵個人情報を扱う会社の義務等のところで、赤の文字で記載した通りですので、ご参照ください。
今回の法改正は、個人情報保護法の「3年ごと見直し」規定(附則第12条)に基づくもので、今後も何度か改正される可能性がありますので、ご注意ください。
【関連記事】
株式上場(IPO)と情報セキュリティ
直法律事務所では、IPO(上場準備)、上場後のサポートを行っております。お気軽にご相談ください。
ご面談でのアドバイスは当事務所のクライアントからのご紹介の場合には無料となっておりますが、別途レポート(有料)をご希望の場合は面談時にお見積り致します。
