1. ホーム
  2. プラットフォーム関連

個人情報保護法とは?【プラットフォームと個人情報保護法1】

Q
 プラットフォームビジネスの事業者は、多様な顧客情報を扱う場面が多々あります。どのような法令に留意すべきでしょうか。

A
 プラットフォームビジネスを行う事業者は、利用者のデータを蓄積・利用する場面が多いため、個人情報保護法の規律を受けることが多いです。ここでは、個人情報保護法の内容と仕組みについてご説明いたします。


澤田直彦

監修弁護士:澤田直彦
弁護士法人 直法律事務所 代表弁護士

IPO弁護士として、ベンチャースタートアップ企業のIPO実績や社外役員経験等をもとに、永田町にて弁護士法人を設立・運営しています。
本記事では、
「個人情報保護法とは?【プラットフォームと個人情報保護法1】」
について、詳しくご解説します。

弁護士のプロフィール紹介はこちら直法律事務所の概要はこちら

はじめに

プラットフォームビジネスは、情報通信技術やデータを活用して第三者にオンラインのサービスの「場」を提供し、そこに異なる複数の利用者層が存在する多面市場を形成をするという特徴があります。その形態としては、検索サービスやオンラインショッピングモール、音楽・動画等のコンテンツ配信サービスなどがあります。 当該ビジネスにおいては、多数の個人情報データを扱う場面が多々あります。

例えば、

  • 検索サービスにおける、検索結果上の氏名や生年月日
  • オンラインショッピングモールにおける、住所やクレジットカード情報
  • 音楽・動画等のコンテンツ配信サービスにおける利用者登録情報

プラットフォームビジネスを行う事業者は、利用者のデータを蓄積・利用する場面が多いため、個人情報保護法の規律を受けることとなります。

個人情報保護法とは

高度情報通信社会の進展に伴い個人情報の利用が著しく拡大し、これに対するセキュリティの重要性が高まってきました。そこで、制定されたのが個人情報保護法(以下「法」といいます。)です。

「個人情報」とは

「個人情報」とは、生存する個人に関する情報であって、その情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの、又は個人識別符号が含まれるものをいいます(法2条1項)。
また、それ単体では特定の個人を識別することができなくても、これと容易に照合することができる他の情報を補うことによって、特定の個人を識別することができる情報も個人情報に含まれます。例えば、クレジットカード番号は、単体では個人を識別することはできませんが、氏名等と結びつくことによって、特定の個人を識別することができる情報となるため、「個人情報」に含まれます。

~注意事例~
複数の顧客に新サービスのご案内を電子メールで知らせる際に、BCCに顧客のメールアドレスを入力すべきところを、CCに入力し送信しそうになったという事例があります。
例えば、個人のフルネームが入っているような電子メールアドレスについてはそれ単体で個人情報に該当する可能性があり、上記の事例については、同意のない第三者提供、漏洩に該当する場合がありますので、ご注意ください。

個人情報漏えい等が発生した場合の法的責任【プラットフォームと個人情報保護法2】

「個人識別符号」とは、次のいずれかに該当する文字、番号、記号その他の符号であって、特定の個人を識別することができるものとして政令で定めるものをいいます(法2条2項)。

  1. 特定の個人の身体の一部の特徴をコンピュータで用いるために変換した符号
    (例えば、顔認識データ、音声認識データ、指紋認識データ等)

  2. 個人ごとに異なるものとなるように役務の利用、商品の購入又はカードその他の書類に付与される符号
    (例えば、パスポート番号、運転免許証番号、個人番号(マイナンバー)等)


なお、次に挙げる情報は個人情報とはなりません。

  • 企業の財務情報、法人等の団体そのものに関する情報(団体情報)
  • 統計情報(複数人の情報から共通要素に係る項目を抽出して同じ分類ごとに集計して得られる情報)

さらに、個人情報保護法が保護しようとしている「情報」は、「個人情報」以外にも、「個人データ」「保有個人データ」「要配慮個人情報」「匿名加工情報」の5種類あります。

個人情報保護法が保護しようとしている「情報」

個人情報 生存する個人に関する情報であって、その情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの、又は個人識別符号が含まれるもの |個人データ | 個人情報データベース等を構成する個人情報(法2条6項)。
(「個人情報データベース等」とは、これに含まれる個人情報を、容易に検索することができるように構成した個人情報の集合物をいいます(法2条4項))。
個人データ 個人情報データベース等を構成する個人情報(法2条6項)。
(「個人情報データベース等」とは、これに含まれる個人情報を、一定の規則に従って整理し、容易に検索することができるように構成した個人情報の集合物をいいます(法2条4項))。
保有個人データ 個人データのうち、個人情報取扱事業者が開示、訂正、消去等の権限を有し、かつ、6ヵ月を超えて保有するものをいいます(法2条7項)。
要配慮個人情報 「要配慮個人情報」とは、個人情報のうち、本人の人種、信条、社会的身分。病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれるものをいいます(法2条3項)。
匿名加工情報 個人情報に一定の匿名化措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報で、当該個人情報を復元することができないようにしたもの

「個人情報取扱事業者」とは

「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいいます(個人情報保護法2条5項)。
 プラットフォームビジネスにおいて前述のような「情報」を扱う場合には、当該事業者は「個人情報取扱事業者」にあたります。
「個人情報取扱事業者」は、以下に記載する個人情報保護法上の義務を負うことになります。

「個人情報取扱事業者」の義務

「個人情報取扱事業者」は、どのようなことをすべきなのでしょうか。以下では、7つに分けて、その内容を見ていきます。

(1) 個人情報の利用目的の特定が必要です。

個人情報取扱事業者は、個人情報を取り扱うときには、その利用目的をできる限り特定しなければなりません(法15条1項)。また、利用目的の変更は、変更前の利用目的と関連性を有すると合理的に認められる範囲内に限られます(同2項)。

(2) 利用目的の範囲内での利用をしなければなりません。

個人情報取扱事業者は、原則として、特定した利用目的の達成に必要な範囲を超えて個人情報を取り扱うことができません(法16条1項)。

(3) 個人情報の適正な取得をしましょう。

個人情報取扱事業者は、偽りその他不正の手段によって個人情報を取得することはできません(法17条1項)。また、要配慮個人情報については、その取得に当たってあらかじめ本人の同意が必要になります。

(4) 利用目的の通知・公表・明示をしなければなりません。

個人情報取扱事業者が個人情報を取得した場合は、あらかじめ利用目的を公表している場合を除き、速やかに、利用目的を本人に通知又は公表しなければなりません(法18条1項)。これにかかわらず、本人との間で契約を締結することに伴って契約書等の書面(メール等の電磁的記録を含みます。)に記載された個人情報を取得する場合や、本人から直接書面に記載された個人情報を取得する場合には、原則として、あらかじめ、本人に対して、利用目的を明示する必要があります(同2項本文)。

一般的に、プラットフォームビジネスなどのウェブサービスにおいては、利用目的を記載したプライバシーポリシーをウェブサイト上に掲載することになります。

利用目的の変更には上記(1)で説明したように制限がありますので(法15条2項)、プライバシーポリシーを作成する際には、自らのサービスで利用する個人情報の内容を踏まえて、利用目的を慎重に検討すべきです。

(5) 情報漏洩等の防止のためにした場合には、安全管理措置を取る必要があります。

個人情報取扱事業者は、取り扱う個人データの漏えい、滅失又は毀損の防止その他の安全管理のために必要かつ適切な措置を講じる必要があります(法20条)。また、個人データの取扱いを行う従業員に対しては、その安全管理が図られるよう必要かつ適切な監督を行うこと、個人データの取扱いの全部又は一部を委託する場合には、委託を受けた者に対して必要かつ適切な監督を行うことが求められます(法21条・22条)。

(6) 第三者提供については制限があります。

原則として、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはなりません。
ただし、以下の4類型にあたれば、事前の同意は不要です(法23条1項)。

法令に基づく場合
人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼす恐れがあるとき

~注意事例~

 当社は、CtoCのプラットフォームビジネスを展開していますが、ユーザーから取引にあたって他のユーザーに損害を与えられたので、このユーザーの連絡先を教えて欲しいと尋ねてきました。当社は、連絡先を教えてもいいのでしょうか。


 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるときなど第三者提供制限の例外事由に該当する場合を除き、個人データ(個人情報データベース等を構成する個人情報)を第三者に提供する場合には、あらかじめ本人の同意が必要となります(第三者提供共通)。 他のユーザーに対して法的責任を追及したいというような理由であっても、本人に無断で個人データを提供してはいけません。提供する前に、本人から同意を得ましょう。

【プラットフォーム事業者必見】CtoCにおけるユーザーの名前や電話番号の表示義務

また、本人にオプトアウト(本人の求めに応じて個人データの第三者提供を停止すること)を認めている場合にも、一定の条件のもとで、個人データを本人の同意なく第三者に提供することが可能です(法23条2項)。

オプトアウトが認められている個人データ※を本人の同意なく第三者に提供する場合には

●本人に以下の5つの内容を通知し、又は本人が容易に知り得る状態に置く必要があります
①第三者への提供を利用目的とすること
②第三者に提供される個人データの項目
③第三者への提供の方法
④本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること
⑤④について本人の求めを受け付ける方法
●個人情報委員会への届出が必要です。なお、オプトアウト手続の届出の主な対象者は、いわゆる名簿業者です。名簿業者以外の事業者が届出が必要となるかは個別の判断となりますが、本手続を行う必要がない場合もあります。

※ 要配慮個人情報については、上記方法による第三者提供を行うことができないので注意が必要です。

さらに、個人情報取扱事業者は、第三者に個人データを提供する場合、提供先である第三者の氏名等の一定事項を記録し、原則として作成してから3年間保存しなければなりません(法25条1項本文・同条2項)。
また、第三者から個人データの提供を受ける場合にも、提供者の氏名や個人データの取得経緯等の一定事項を確認・記録し、原則として作成してから3年間その記録を保存しなければなりません(法26条)。

(7) 本人からの請求等に応じる必要があります。

個人情報取扱事業者は、保有個人データに関し、利用目的等について、本人の知り得る状態に置かなければならず、また、本人から自らに係る保有個人データの利用目的の通知を求められたときは、本人に対し遅滞なくこれを通知しなければなりません(法27条)。
これに加え、個人情報取扱事業者は、本人から、①自らに係る保有個人データの開示、②訂正、追加又は削除、③利用停止又は消去、④第三者提供の停止を請求された場合には、必要がある限り、遅滞なくこれに応じなければなりません(法28条〜30条)。

ガイドラインについて

また、事業者は、個人情報保護委員会によるガイドラインを確認する必要があります。

「個人情報の保護に関する法律についてのガイドライン(通則編)」(平成31年1月一部改正)

「個人情報保護に関する法律についてのガイドライン(外国にある第三者への提供編)」(平成31年1月一部改正)

「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)」

「個人情報の保護に関する法律についてのガイドライン(匿名加工情報編)」(平成29年3月一部改正)

また、金融関連分野、医療関連分野、電気通信事業分野等の特定の分野においては、上記の4ガイドラインに加えて、当該特定分野向けのガイドラインの内容も遵守して個人情報を取り扱う必要があります。 https://www.ppc.go.jp/personalinfo/legal/

金融関連分野、医療関連分野、電気通信事業分野等の事業を経営されている企業においては必ずチェックするようにしてください。

最新の個人情報保護法の改正について

個人情報保護法の改正法が、令和2年6月5日の国会において可決、成立し、令和2年6月12日に公布されました。改正法の施行は一部を除き、公布後2年以内となります。

同改正法は、主に以下の内容を含んでおり、留意が必要です。

  • 本人の権利の拡大(保有個人データの定義の拡大、電磁的記録での開示請求権、第三者提供時の確認記録の開示義務化、利用停止・消去、第三者提供停止請求権の拡大)(法2条7項、28条1項・5項、30条1項・5項・6項)
  • 漏洩等の個人情報保護委員会への報告義務及び本人への通知義務の法定(法22条の2)
  • 不適正利用禁止の明文化(法16条の2)
  • 仮名加工情報の概念の創設と仮名加工情報の利活用の促進(法2条9項・35条の2・35条の3)
  • 個人関連情報の概念の創設と個人関連情報の第三者提供時の規制の導入(法26条の2)
  • 個人情報保護法の域外適用、越境移転規制の強化(法75条・24条)
  • 個人情報保護法上の刑罰にかかる法定刑の引き上げ(法83条・85条・87条1項1号)


詳しくは、個人情報保護法委員会作成の『「個人情報の保護に関する法律等の一部を改正する法律」の公布について』をご確認ください。
https://www.ppc.go.jp/news/press/2020/200612/


関連記事

個人情報漏えい等が発生した場合の法的責任【プラットフォームと個人情報保護法2】
情報漏えいの予防と対応【プラットフォームと個人情報保護法3】

上記関連記事のほかにも個人情報保護法について解説した記事もございます。
下記記事も参考にご一読ください。
【法務担当者必見!】個人情報の取扱い~外部へ委託をする場合~


また、下記記事をはじめとしたプラットフォームビジネスに関する記事もプラットフォーム関連にまとめて掲載しております。
ショッピングモールビジネスと個人情報保護法


直法律事務所では、プラットフォーム、クラウド、SaaSビジネスについて、ビジネスモデルが適法なのか(法規制に抵触しないか)迅速に審査の上、アドバイスいたします。
ご面談でのアドバイスは当事務所のクライアントからのご紹介の場合には無料となっておりますが、別途レポート(有料)をご希望の場合は面談時にお見積り致します。

SaaS企業のお悩みは、
SaaS弁護士に相談して解決

プラットフォーム・クラウド・SaaSビジネスにおける法務のお悩みは、SaaSに強い弁護士に相談されると適切かつ迅速な解決が可能となります。大きなトラブルになる前に、少しでも気になる事は、お早めにSaaS弁護士にご相談ください。

クライアント企業一例