澤田直彦
監修弁護士:澤田直彦
弁護士法人 直法律事務所
代表弁護士
IPO弁護士として、ベンチャースタートアップ企業のIPO実績や社外役員経験等をもとに、永田町にて弁護士法人を設立・運営しています。
本記事では、
「「個人情報」と「プライバシー情報」はどんな関係にあるの?」
について、詳しく解説します。
当事務所では、LINEでのお問い合わせも受け付けております。お気軽にご相談ください。
登録はこちらから
個人情報保護法とプライバシー情報
個人に関する情報を取り扱う上で、個人情報保護法違反やプライバシーの侵害がないように注意することが重要となってきます。
それでは、プライバシーとして保護される情報や、個人情報保護法で保護される情報はどのようなものでしょうか。
プライバシーとは
「プライバシー」という言葉は、皆さんも使ったことがあると思います。
では、法律上はどのように考えられているのでしょうか。
プライバシーの権利について、当初は、一人にしておいてもらう権利という考え方が主流でした。しかし、ネットなどの通信のめまぐるしい発達、国際的な情報流通の活発化などにより、自分の情報を管理するという意識の高まり、「自己の情報をコントロールする権利」と考えるようになってきました。
情報漏洩などによりプライバシーを侵害した場合、個人との関係で損害賠償責任を負います。
個人情報保護法と個人情報
個人情報保護法
個人情報保護法は、「個人の権利・利益の保護」と「個人情報の有用性」とのバランスを図ることを目的に、個人情報の取扱いに関する基本理念を定めています。
同法は、個人に関する情報を個人情報、個人データ及び保有個人データに分類し、それぞれの情報類型ごとに⺠間事業者における取扱いルールを規定しています。
具体的には、個人情報保護法は、企業(つまり個人情報取扱事業者)に対して、以下の5つの義務を課しています。
- 個人情報を取得する際の、利用目的の特定と、本人への通知または公表。
- 個人情報を利用する際の、利用目的の達成に必要な範囲でのみの利用。
- 個人データを保管・管理する際の、漏えい等を防止する安全管理措置及び委託先の監督。
- 個人データを第三者に提供する際、原則として本人の同意取得。また、その際の記録保存。
- 本人からの開示請求に対する対応。
個人情報とは
個人情報保護法の適用対象となる情報を「個人情報」といいます。 個人情報とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができるものを含みます。)又は個人識別符号が含まれるものをいいます(個人情報保護法第2条第1項)。
違反した場合
個人情報保護法は、国が、行政の観点から、事業者の個人情報取扱いルールを定めたものです。
個人情報保護法に違反した場合、個人情報保護委員会は、必要に応じて事業者等に対して報告徴収・立入検査の実施(法第143条)、指導・助言(法第144条)、また、勧告・命令(法第145条)を行うことができます。
これらに従わなければ刑事罰が課される可能性もあります。
しかし、情報を利用されたり漏洩されたりした本人(個人)が、事業者に対して、個人情報保護法違反を理由に損害賠償請求などができるわけではありません。
個人情報とプライバシー情報の関係
保護される情報
個人情報保護法上の個人情報とプライバシー情報は、何が違うのでしょうか。
プライバシーを自己の情報をコントロールする権利と考えると、個人情報は「自己の情報」に包摂される関係にあるので、プライバシー保護の対象にもなります。
個人情報は、プライバシー情報の中でも特に個人が特定され、プライバシーが侵害されるリスクが高い情報を、特に保護するものと考えるとわかりやすいかも知れません。
このように、個人情報保護の対象は、プライバシー保護の対象と重複しています。
個人情報保護法違反とプライバシー侵害
前述のとおり、個人情報保護法に違反した場合、個人情報保護委員会から勧告・命令を受けることや刑事罰が課されることがあります。
しかし、情報を利用されたり漏洩されたりした本人(個人)は、事業者に対して、個人情報保護法違反を理由に損害賠償請求などはできません。
そのかわり、情報を利活用された本人(個人)は、プライバシー権を侵害された場合、事業者に対して損害賠償請求などができます。
このように個人が企業に対して請求等する場合に問題となるのは、プライバシー権侵害なのです。
プライバシー侵害を防止するために
プライバシー侵害とは何か
プライバシーを保護するためには、どのような場合にプライバシー侵害として不法行為が成立するのか知っておくことが大切です。
プライバシー侵害が違法とならない許容基準は法令では明確に定められていませんが、早稲田大学名簿提出事件・上告審(最高裁平成15年9月12日判決・民集57巻8号973頁)は、大学が講演会の主催者として学生から収集した参加申込者の学籍番号、氏名、住所及び電話番号に係る情報は、本人が、自己が欲しない他者にはみだりにこれを開示されたくないと考えることは自然なことであり、そのことへの期待は保護されるべきものであるとして、参加申込者のプライバシーに係る情報として法的保護の対象となり、これらの情報を参加申込者に無断で警察に開示した行為は、大学が開示についてあらかじめ参加申込者の承諾を求めることが困難であった特別の事情がうかがわれないという事実関係の下では、参加申込者のプライバシーを侵害するものとして不法行為を構成すると判事しました。
これによれば、個人に関する情報が「みだりに」第三者に開示又は公表された場合に不法行為が成立します。
不法行為が成立しないためには、プライバシー情報の内容、同情報の取り扱いの態様を総合考慮して、次のような事情が認められることが必要です。
- 定型的に判断した場合に推定的同意があった
- 社会生活上受忍される限度の範囲内であった
- 公益が優先する
また、次の場合には、違法性が阻却され、不法行為が成立しません。
・取り扱いが正当行為(法令に基づく行為や正当な業務による行為)である場合
プライバシー侵害をしないためにとるべき事業者の対応
事業者がプライバシー情報を収集・利活用する場合に、公益として優先するといった事情や、正当行為に該当するという事情はあまり考えられず、主張は難しいでしょう。
そこで、事業者は、①本人の同意があった、②プライバシー侵害の程度が受忍限度の範囲内であったといえるようにする必要があります。
この①本人の同意があった、②プライバシー侵害の程度が受忍限度の範囲内であったという事情は、ともにプライバシー保護の方法として密接な関係があるため、事業者としては双方の事情をクリアするよう努めるようにしましょう。
本人の同意の取得
具体的には、①事業者としては、本人の推定的な同意があった又は本人が取扱いに同意していたと言える必要があります。
どのような説明をすれば本人の十分な理解が得られるのか、どのようにすれば適切な同意を得ることができるのかについて、取得又は利用する情報や利活用方法等に応じて事例ごとに判断し、取扱いについて本人が理解した上でする同意を適切に取得するようにしましょう。
プライバシー侵害の程度を受忍限度の範囲内とすること
次に、②受忍限度の範囲内といえるよう、プライバシー情報の内容や取扱いの態様に応じて、できるかぎりプライバシー侵害の程度が少ない方法を用いるように注意しましょう
(※「受忍限度」=被害の程度が社会通念上我慢できる範囲のことをいいます)。
この場合、情報自体の保護する必要性(要保護性)と当該情報の収集や利用方法による侵害の程度を考慮する必要があります。
例えば、ある商品の購入履歴について、氏名だけをまとめたデータと、住所・メールアドレス・収入・他の商品の購入履歴などを加えたデータでは、その情報自体の保護する必要性(要保護性)に違いがあります。
また、ある商品の発送のために取得した氏名や住所などを配送完了後するに廃棄する場合と、当該データを他のデータを合わせて分析利用するという利用方法ではプライバシー侵害の程度は異なります。
なお、情報自体の保護する必要性(要保護性)の高低は次のような要素をもとに判断します。
- 当該情報の社会的な意味合い
- 個人と情報との結びつきの程度
- 情報の不変性の程度
- 当該情報により本人に到達できる可能性の程度
- 他の情報との連携可能性の程度
- 情報の取得についての本人の認識可能性の程度
プライバシー保護のための個人情報保護法の活用
個人情報保護法で保護される個人情報はプライバシー保護の対象となる「自己の情報」に包摂される関係にあるため、個人情報以外の「自己の情報」については個人情報保護法と同様の保護までは必要ないように思われます。
しかし、個人が企業に対して請求等する場合に問題となるのは、プライバシー権の侵害です。ただ、個人情報保護法に反する取り扱いであったか否かは、プライバシー侵害の有無を検討する一要素となりえます。
そのため、個人情報以外の情報であっても、少なくとも個人情報保護法と同様の保護をはかることが望ましいです。
プライバシー保護と、個人情報保護法の基本的な考え方は共通しています。
プライバシー侵害に関して、1980年9月にOECD(経済協力開発機構)の理事会で採択された「プライバシー保護と個人データの国際流通についての勧告」で公表されたOECD8原則という原則がありますが、日本の個人情報保護法は、この8つの原則を取り込む形で制定されているからです。
そのため、プライバシーについても、個人情報保護法に沿った取扱いを行っていけば、プライバシー侵害の程度も下げることができます。
ただ、個人情報保護法では、情報取得の際に、情報の利用目的を通知又は公表するという最低限の規制があるのみで、個人はどのような内容の情報がどのように利用されるのかについて具体的に知ることはできず、プライバシー保護の観点からは十分であるとは言い難い場合もあります。
取り扱うプライバシー情報の量が増加し、質が向上していけばいくほど、保護の程度も上げていかなければなりません。そのため、企業としては、個人情報保護法の遵守を図る際に、プライバシー保護の観点も持って検討する必要があります。
個人情報保護法の求める水準を形式的に守るだけではなく、個人情報保護法の考え方をもとに、多面的にプライバシーを保護していくことが大切です。
【OECD8原則】
適性・公正な手段により、かつ、情報主体に通知又は同意を得て収集されるべきである。
●データ内容の原則
利用目的に沿ったもので、かつ、正確、完全、最新であるべきである。
●目的明確化の原則
収集目的を明確にし、データ利用は収集目的に合致するべきである。
●利用制限の原則
データ主体は同意がある場合、法律による場合以外は目的以外に利用使用してはならない。
●安全保護の原則
合理的安全保護措置により、紛失・破壊・使用・修正・開示等から保護するべきである。
●公開の原則
データ収集の実施方針等を公開し、データの存在、利用目的、管理者等を明示するべきである。
●個人参加の原則
自身に関するデータの所在・内容を確認させ、また、異議申立を保証するべきである。
●責任の原則
管理者は諸原則を実施する責任を有する。
まとめ
個人情報やプライバシー情報の利活用に際しては、個人情報保護法の遵守は当然として、本人から情報の取扱いについて理解を得た上で適切な同意を取得すること、利用する情報の要保護性に応じ、できる限りプライバシーの侵害の程度の低い利用方法を用いるなどの工夫が重要です。
そのため、企業としては、個人情報保護法の遵守を図る際に、プライバシー保護の観点も持って検討し、個人情報保護法の求める水準を形式的に守るだけではなく、個人情報保護法の考え方をもとに、多面的にプライバシーを保護していくことが大切です。
【関連記事】
プライバシーと個人情報保護法【損害賠償の事例も紹介】
「個人情報」って何を指すの?【正しく理解することが重要!】
直法律事務所では、IPO(上場準備)、上場後のサポートを行っております。
その他、プラットフォーム、クラウド、SaaSビジネスについて、ビジネスモデルが適法なのか(法規制に抵触しないか)迅速に審査の上、アドバイスいたします。お気軽にご相談ください。
ご面談でのアドバイスは当事務所のクライアントからのご紹介の場合には無料となっておりますが、別途レポート(有料)をご希望の場合は面談時にお見積り致します。
アカウントをお持ちの方は、当事務所のFacebookページもぜひご覧ください。記事掲載等のお知らせをアップしております。