今日からはじめる個人情報保護法~取扱場面に沿って考える~
この記事は、裏法務系 Advent Calendar 2019の12月21日(土)の記事として投稿するものです。 いよいよクリスマスも近づいてきましたので、過去に撮った写真からクリスマスっぽい写真を選んでみました🎅
■はじめに
はじめまして。弁護士の山城*1と申します!迷えるOLさんからバトンを頂きました!
私は、この12月で登録4年目を迎えました69期の弁護士でして(早い・・・)、この3年間は主として、個人情報を含むデータビジネスやIT関係のビジネス領域を中心に取り扱ってきました。
公の場では初のブログとなるので、若干緊張しているのですが笑、
どうぞお手柔らかにお願いいたします。
■ターゲットと本エントリの内容
まず最初に、本エントリでは、「今日からはじめる個人情報保護法」と題して、これから個人情報保護法を学習しようという方をターゲットとして、民間の事業者における個人情報保護法上の義務の大枠を簡潔にご紹介できればと思います。
というのは、何を隠そう、私自身、最初は個人情報の分野について取っつきにくさを感じていました。また、普段、個人情報関係を取り扱っていない周りの知人も同じような印象を抱いている人が多いように思います。
そこで、本エントリでは、私なりに、一番手っ取り早い個人情報保護法上の義務の大枠の捉え方をご紹介できればと思います。
情報法関係の先達の皆様からすれば「何を今更」という内容となるかもしれませんが、もしよろしければ、皆さまが考える個人情報保護法のおすすめ勉強法や、個人情報保護法の大枠を教えてほしいと聞かれたときの説明方法など、ご教授を賜われることができれば幸いです。
■個人情報保護法の建て付け
まず、個人情報保護法(以下「法」ということがあります)の建て付けですが、ざっくり言うと、法第2条の定義規定に登場する「個人情報」「個人データ」「保有個人データ」という概念に沿って以下の順に規律が置かれています*2。
逐条解説本はもちろん、その他の体系的な基本書などでは、明示的であるかどうかは別として*3、「個人情報」「個人データ」「保有個人データ」という概念の区別に沿って(つまり、条文番号ごとに)、解説が行われていることが多いのではないかと思います。
■取扱場面に沿って考える
しかし、ある事業者が個人情報と思しき情報を取り扱うとき、
当該情報が「個人情報」「個人データ」「保有個人データ」のどれに当たるのか、という性質を決定するところから検討するでしょうか。
私の経験上、対象となる情報の性質を決定するところからスタートすることは、ほとんどないと考えています。
それよりもむしろ、事業者が個人情報と思しき情報を取り扱うときには、
個人情報保護法上、その取扱場面に応じて課せられる義務はなにか
ということを思考の出発点にすることが一般的です。
そのため、個人情報保護法上の義務の大枠を学ぶにあたっても、まずは、
取扱場面ごとの義務の内容を理解することが一番の近道だと考えています。
そこで以下では、取扱場面ごとの義務の内容を検討するために、
(1)取扱場面をどのように整理するのか
(2)各取扱場面に応じた義務の大枠
を順を追って見ていこうと思います。
その際、「個人情報」「個人データ」「保有個人データ」の概念を気にしないでいいように、ひとまず以下では、すべて「個人情報」として説明を続けていきます。*4 *5
(1)個人情報の取扱場面の整理
まず、取扱場面に応じた規律を理解するための有益な考え方に、
「個人情報のライフサイクル」という考え方があります。
これは、ある事業者が個人情報を取得してから消去に至るまでの、
いわば個人情報の一生を取扱場面ごとに分けて整理する考え方です。
取扱場面の整理方法は一義的に決まっているものではありませんが*6、
ここでは、私がこの考え方を最初に学んだ岡村先生の著書*7に倣い、
【①取得→②利用→③保管→④提供→⑤消去】
という整理をいたします。
(2)各取扱場面に応じた義務の大枠
それでは次に、これから個人情報を取り扱おうとする事業者には、
①~⑤の取扱場面に応じてどのような義務が課せられるのでしょうか。
これを簡略化して整理したのが下の図となります。
少しかいつまんで説明を加えると、
まず、①取得時には、利用目的をできるだけ特定した上で通知・公表又は明示し、かつ、取得にあたっては適正な取得を行わなければなりません。
なお、日本の個人情報保護法では、要配慮個人情報という一定のセンシティブな情報を除いて、取得時に本人の同意までは求められていません。(←なんか意外ですよね。)
- - - - -
次に、取得された個人情報の②利用時には、取得時に通知・公表し、又は明示した利用目的の範囲内で利用しなければなりません。
そうでなければ、取得時に示された利用目的に納得して個人情報を提供した本人にとって不意打ちとなるためです。
- - - - -
また、取得された個人情報は当該事業者内で保管されることとなります。
③保管時には、個人情報が漏洩しないよう、取得した個人情報に対して安全管理措置を図ることや、個人情報を取扱う従業者や委託先を監督することが義務付けられています*8。また、保管している個人情報について、本人からの開示等の求めがあれば、これに応じる義務を負っています。
なんとなく、当たり前のことといえば、当たり前のことですね。
- - - - -
そして、個人情報保護法は、個人情報の提供に際しては、単なる利用とは異なる特則を置いています*9。つまり、個人情報の④提供時には、単に利用目的が示されているだけではなく、原則として事前の本人による同意を必要としています。
これは本当によく問題となり、実際、どうしたら第三者に適法に提供できるのかというご相談は多いです。
- - - - -
ライフサイクルの最後に位置づけられるのが、個人情報の⑤消去です。
保管時に本人からの請求に基づき消去する場合のほか、ある個人情報を利用する必要がなくなったときは、当該個人情報を消去する努力義務が課せられています。
以上、紹介してきましたように、
個人情報を取り扱う事業者は、個人情報の取得から消去に至るまでの一連のライフサイクル(取扱場面)に応じて、様々な義務を負うこととなります。
そして、実際の取扱いの場面では、このようなライフサイクルに即した流れ図やチェックリスト*10などを参照しながら、
a どの取扱場面が問題となっているかの確認
b 当該取扱場面における個人情報保護法上の義務の把握
c 義務違反とならないような取扱いスキーム・体制等の構築
というステップで検討を行うことになります*11。
■おわりに
最初に述べたとおり、本エントリは、「今日からはじめる個人情報保護法」と題して、これから個人情報保護法を学習しようという方を対象に、民間の事業者における個人情報保護法上の義務の大枠をご紹介するものでした。
なお、本エントリで紹介した「取扱場面ごとの義務の内容を理解する」という考え方は、ある程度個人情報に触れてきた人であれば、自然に染み付いているものではないかと思います。
(なので、「何を今更」という内容だったかもしれません)
一方で、冒頭でも少し触れましたが、
私がこれまで、クライアントの相談や、修習生・サマークラークなどの研修生、同業者含む知人からの質問を受けてくる中で、
「なかなか全体像がが掴みづらい・・・」
「結局、何をどこまでしていいん・・・」
などという声を聞くことが少なからずありました。
そしてそう、この声はまさに弁護士1年目の私の悲痛な叫び声でもありました。
しかし今考えてみると、個々の条文に書かれている内容と、ビジネス上の取扱いとがリンクしていなければ、なかなか全体像を捉えられなくて当然なのではないかと思います。
私の場合は、確か、案件をこなしていく中で、条文の内容とビジネス上の取扱いが徐々にリンクしていきましたが、今思うに、初めから、個人情報のライフサイクル(取扱場面)に応じて義務を理解することが一番てっとり早かったのではないかと思います。
そこで、本エントリでは、これから個人情報保護法を学習しようという方を対象に、ライフサイクル(取扱場面)ごとに義務の内容を把握するという視点を提供することを、私なりに試みてみました*12。
が、ここで紹介したのはあくまで1つの説明方法に過ぎませんので、その他のオススメの整理方法等があればぜひともご教示頂けると幸いです。
本エントリが、これから個人情報保護法を学習しようという方や、かつての私のように個人情報保護法にお困りの方の一助となれば幸いです。
■補論(とにかくエントリを続けよう)
ここまで書いてみて、良くも悪くも、弁護士1年目のときになんとなく抱いていた個人情報保護法に対する取っ付きにくさ(?)のようなものを忘れてしまっていることに気づきました。
そこで、自分自身が何に悩んできたかという足跡を残すため、これからも、本noteにて、1年目の私でもわかるようになるべく平易に、個人情報やパーソナルデータに関することを書いていこうと思います。
具体的には、大枠を知っていただくという本エントリの性格上割愛しました、ライフサイクル(取扱場面)ごとの義務の詳細やその対応(上記ステップb・c)について、書いていこうかと思っています。
長くなりましたが、ここまでご覧いただき、ありがとうございました。
明日は、ms-utenaTさんです!(表も裏もご担当なんですね・・!)
ーーーーーーーーーーーーーーーーーーーーーーーー
*1 Twitterと同じHNでnoteを開設しましたが、本名・所属は、STORIA法律事務所という事務所で弁護士をしております山城と申します。
*2 図は、宇賀克也著「個人情報保護法の逐条解説[第6版]」(有斐閣・2018)27頁から引用
*3 明示的に「個人情報に関する義務」「個人データに関する義務」「保有個人データに関する権利義務」と整理する例として、①岡村久道著「個人情報保護法[第3版]」(商事法務・2017)があります。ちな みに同じく岡村先生ご執筆の入門書②「個人情報保護法の知識<第4版>」(日本経済新聞社・2017)でも同様の構成となっています。
*4 同様に取扱場面ごとに個人情報・個人データ・保有個人データの区別なく説明を試みるものとして、個人情報保護委員会「中小企業向け 「これだけは!」10のチェックリスト付 はじめての個人情報保護法 ~シンプルレッスン~」(平成29年6月)の3頁が挙げられます。ここでは、取扱場面ごとの規律を図で示した上で、脚注にて個人情報と個人データの違いを説明しています。
*5 初めてブログを書いてみて思ったのですが、こうした割り切りをして書き進めるのって、本ではなかなかうまく行かないと思うので、ブログの強みではないかなと思いました。
*6 例えば、前掲*4の個人情報保護委員会の資料では、①取得・利用、②保管、③提供、④開示請求等への対応と整理されています。
*7 前掲*3①の644頁以下・②の263頁以下ご参照
*8 安全管理措置(法20条)や従業者・委託先の監督(法21条・22条)は、個人情報の「取扱い」を行うに際して課せられる義務です。また、「取扱い」とは、狭義の利用だけでなく、取得、入力、蓄積、編集・加工、更新、消去、出力、提供等の一切を含むとされています(前掲*3の①177頁)。そのため、これらの義務は、厳密には個人情報のライフサイクル全てに関連する事項ですが、ここでは安全管理措置と結びつきの強い「保管」にすべて位置づけています。
*9 「提供」に関する法第23条は、「利用目的による制限」を定める法第16条の特則とされています(園部・藤原編「個人情報保護法の解説《第二次改訂版》」(ぎょうせい・2018)172頁)
*10 2019-12-18「個人情報保護上の重要チェックポイント」(ITをめぐる法律問題について考える 弁護士水町雅子のIT情報法ブログ)内におけるシートのようなリストを活用して洗い出しを行うことが考えられます。
*11 よく、個人情報をメインに取り扱っていると言うと、個人情報保護法を取り扱っている弁護士というのは何をしているのか、と聞かれることが多いのですが、結局このステップa~c(特にc)に関するアドバイスをよくやっているのではないかと思います。
なお、エントリ時は、まさに「個人情報保護法を取り扱っている弁護士とは何をしているのか」ということをテーマに書こうと思っていたのですが、田村先生・佐藤先生・北先生による弁護士四方山話にて板倉先生の特集(全5回・必見)が行われてしまいましたので、没となりました。笑
*12 浅学ながら、取得から始まる取扱場面ごとに義務の内容を明確に分けて議論を展開している書籍はそう多くないのではないかと考えています。また、知人らの質問を受けていても、個人情報に普段から触れていない方にとっては、取扱場面ごとに整理するという思考方法自体、それほど広くナレッジ化されていないのではないかと印象を受けています。
なお、書籍部門でのこの切り口の代表選手は、関原秀行著「ストーリーとQ&Aで学ぶ改正個人情報保護法」(日本加除出版・2017)やTMI総合法律事務所編「個人情報管理ハンドブック〔第4版〕」(商事法務・2018)でしょうか。また、個人情報保護委員会が出している資料では、前掲*4の資料のほか「個人情報保護法ハンドブック」内でも、同様の視点から「守るべき4つの基本ルール」として示されていると認識しています。
その他にも、よろしければ、これから個人情報保護法を学ぶにあたってオススメの書籍/資料等があれば、ぜひともご教示を頂けると幸いです。
以上
この記事が気に入ったらサポートをしてみませんか?