法律Q&A

法律Q&A

個人情報保護法(令和2年改正)

総論・定義

1. 個人情報取扱事業者

当社は製造業を目的としている中小企業です。個人情報の取り扱いについて、何か対策を講じる必要はあるのでしょうか。

個人情報データベース等を事業の用に供しているのであれば、業種・規模等を問わず、個人情報保護法が定める対策を取る必要があります。
法の施行(平成29年5月30日)前においては、 5000人分以下の個人情報しか取り扱っていない者は、個人情報取扱事業者から除外されていましたが、施行後はこれらの者も個人情報取扱事業者に該当することとなりました。

より詳細な解説はこちら
2. 個人情報

自社の従業員の携帯電話番号や、運転免許証番号などは個人情報に該当しますか。

従業員に関する情報であっても、法2条1項の定義に該当すれば、個人情報に該当します。携帯電話番号については、氏名等の他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなる場合には、個人情報に該当します。運転免許証番号は、法2条2項2号の定める個人識別符号に該当する個人情報です。

より詳細な解説はこちら
3. 個人情報、個人データ、保有個人データ

個人情報、個人データ、保有個人データは、それぞれどのように異なるのですか。

たとえば、イベントの参加者に氏名等の情報を紙に書いてもらい、回収した紙を段ボールに入れて保管している場合、当該氏名等の情報は「個人情報」にあたります。この紙に記載された情報について、情報処理の外部委託をして、受託者がイベントの参加者の情報を業務用パソコンのエクセル等に入力したり、紙を五十音順に並べて索引等をつけたりすることにより、当該情報が検索可能な状態にされれば、受託者にとっては「個人データ」にあたることになります。イベントを開催した会社が自ら上記の作業を行った場合、当該データは「保有個人データ」となります。

より詳細な解説はこちら
4. 匿名加工情報、仮名加工情報、個人関連情報

令和2年改正において、新たに仮名加工情報制度が作られたと聞いたのですが、匿名加工情報とどのような点が異なるのでしょうか。その他、データの利活用に関する改正点があれば教えてください。

匿名加工情報は、個人情報に含まれないため、個人情報に関する義務規定(法15条~35条)が適用されず、本人の同意なく第三者提供をすることが可能です。他方、仮名加工情報は、個人情報にあたりうるため、本人の同意なく第三者提供をすることはできません。データの利活用に関する改正点としては、個人関連情報に関する規定が新設されたことが挙げられます。

より詳細な解説はこちら

個人情報取扱事業者の義務(1) ─個人情報に関する義務

1. 利用目的の特定

私は、この度、健康食品の通信販売を行う事業を立ち上げることにしました。当社の商品の販売のためには、顧客の名前、連絡先、代金の支払方法など、顧客の様々な個人情報が必要になることから、商品購入の申し込み時に、顧客のこれらの情報を提供してもらう必要があります。この際、個人情報の利用目的を特定しておく必要があると聞きましたが、具体的にはどう特定すればいいのでしょうか。

あなたが個人情報を取り扱うことによって達成しようとする最終的な目的を、利用目的として特定する必要があります。あなたの場合、「健康食品の販売事業における商品の発送、関連するアフターサービス、新商品、サービスに関する情報のお知らせのために利用する」という特定になると思われます。

より詳細な解説はこちら
2. 個人情報の取得時の利用目的の通知

私は、前記1のとおり、会社を立ち上げることにしました。当社の商品購入にあたっては、インターネットによる商品の申し込みのみとし、申込時に、顧客から、商品販売に必要な個人情報を全て入力してもらうことを考えています。このような方法をとる場合、当社として注意すべきことはありますか。

インターネットにおいて入力された個人情報を取得する場合には、あらかじめ本人に対しその利用目的を明示する必要があります。そのため、あなたは、顧客が個人情報を貴社に送信する前に、特定された利用目的を開示し、顧客がその内容を理解したことを確認するための処理をする必要があります。

より詳細な解説はこちら
3. 利用目的外の利用の禁止

前記2で、当社の経営は順調でしたが、健康食品の販売を継続することに不安があることから、当社では、健康食品の販売事業を停止し、これまで収集した個人情報や顧客の購入履歴等の情報を利用して、消費者のニーズを分析し、その情報を第三者に提供する事業を行いたいと思っています。このような場合に、従来の顧客の個人情報を利用することはできますか。

個人情報を収集した事業者は、一定の例外事由が認められない限り、特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱うことはできません。消費者のニーズの分析は、Q2-1において特定した貴社の利用目的には含まれておらず、法が定める例外事由にもあたらないため、貴社は、そのような利用はできません。

より詳細な解説はこちら
4. 利用目的の変更

前記3の事例で、従来の顧客の個人情報の利用ができないのであれば、当社利用目的を「商品の通信販売に利用」から、「市場調査に利用」というように変更したいと思います。このような変更は可能ですか。

変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行うことはできませんので、このような利用目的の変更はできません。

より詳細な解説はこちら

個人情報取扱事業者の義務(2) ─個人データに関する義務

1. 正確・最新保持義務、消去義務、安全管理措置義務

当社では、当社主催イベントを開催するにあたり、事前に参加希望者に氏名、住所、電話番号を明記してお申し込みいただきました。イベント参加者の氏名、住所、電話番号はパソコンに入力して保存しています。個人情報保護法上、気をつけなければならない点を教えてください。

個人情報取扱事業者として、利用目的の達成に必要な範囲で、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければなりません。
また、個人データの安全管理のために必要かつ適切な措置を講じなければなりません。

より詳細な解説はこちら
2. 安全管理措置

「安全管理のために必要かつ適切な措置」として、どのような措置をとる必要がありますか。

基本方針の策定、個人データ取扱いに係る規律の整備、組織的安全管理措置、人的安全管理措置、物理的安全管理措置、技術的安全管理措置をとる必要があります。

より詳細な解説はこちら
3. 個人データの第三者提供

自社の取引先が、同種のイベントを開催するにあたり、案内状を送りたいので、自社イベントの参加者の住所、氏名を提供して欲しいと言っています。提供しても大丈夫でしょうか。

個人情報取扱事業者は、あらかじめ本人の同意を得ないで、原則として個人データを第三者に提供してはなりません。

より詳細な解説はこちら

個人情報取扱事業者の義務(3) ─保有個人データに関する義務

1. 保有個人データに関する事項の公表等

当社はインターネットで通信販売を行っています。今後、顧客から個人情報の開示請求を受ける場合もあると予想されますが、あらかじめ準備しておかないといけないことは何かありますか。

保有個人データに該当する場合、以下の事項を本人の知りうる状態に置く必要があります(本人の求めに応じて遅滞なく回答する場合も含みます。)。
(1) 個人情報取扱事業者の氏名又は名称
(2) 全ての保有個人データの利用目的(法18条4項の通知等をしなくてよい場合 1を除く。)
(3) 保有個人データについて、利用目的の通知、開示、訂正・追加・削除、又は利用停止・消去の請求に応じる手続(手数料を定める場合はその額)
(4) 苦情申出先
(5) 認定個人情報保護団体の名称(個人情報取扱事業者が対象事業者である場合)及び苦情解決の申出先

より詳細な解説はこちら
2. 保有個人データの開示

前記1の場合において、実際に保有個人データの開示請求を受けた場合、何をどのようにして回答すればいいのでしょうか。

遅滞なく、書面により(開示請求を行った者が同意した方法がある場合は別です。)、回答する必要があります。
本人若しくは第三者の生命・身体・財産その他の権利利益を害するおそれのある場合、貴社の業務に著しい支障を生ずるおそれのある場合、又は法令違反となる場合は全部又は一部を開示しないことができます。

より詳細な解説はこちら
3. 保有個人データの訂正、追加又は削除

支払を遅滞している顧客から、遅滞情報の訂正を求められましたが、誤りはありません。どのように対応したらよいのでしょうか。

調査の結果、遅滞情報に誤りがない場合、訂正には応じられないと本人に遅滞なく通知することになります。

より詳細な解説はこちら
4. 保有個人データの利用の停止又は消去等

当社から5年ほど前に1度購入したことがある顧客から、当該顧客の保有個人データの利用停止を求められました。どのように対応したらいいのでしょうか。

当該顧客の請求の理由が、同意なく個人情報を取得された、利用目的外の利用がされているなど、不正取得又は不正利用を理由としている場合には、遅滞なく、違反を是正するために必要な限度で、消去するなど利用停止に対応しなければなりません。逆に、当該保有個人データにこのような不正事由がなければ、利用停止に対応する必要はありません。ただし、令和2年改正法では、以下の解説で述べる通り、不正以外の理由でも対応を必要とする場面が追加されました。
なお、多額の費用を要する場合その他の利用停止等を行うことが困難な場合には、本人の権利利益を保護するため必要なこれに代わるべき措置をとることもできます。

より詳細な解説はこちら

GDPRの概要

1. GDPRとは

EUで制定されたGDPRとは何ですか。EU域内に拠点を持たない日本企業にも適用されるのですか。

GDPRとは、General Data Protection Regulationの略称で、2018年5月25日に施行されています。EU域内に拠点を持たない日本企業であっても、欧州経済領域(EEA)に在住する自然人の個人データを扱う場合、GDPRの適用対象となり得ます。

より詳細な解説はこちら
2. GDPRの主な規制内容

GDPRの主な規制内容を教えてください。

GDPRは、個人データの取扱い及び移転に関する規律を定めると共に、データ主体の権利、個人データ侵害が生じた場合の措置、規則違反に対する制裁等も定めています。

より詳細な解説はこちら
3. GDPRに基づく制裁金

GDPRに違反すると高額な制裁金が科せられると聞きましたが、本当でしょうか。また、施行後2年間で高額な制裁が科された事例はあるのでしょうか。

GDPRは、高額な制裁金を定めています。施行後2年間で高額な制裁事例も出てきています。

より詳細な解説はこちら
4. 日本企業の注意点

GDPRについて、特に日本企業が注意すべきポイントを教えてください。

前記1のとおり、EU域内に拠点を置かない日本企業であっても適用される場合があること、日本の個人情報保護法とGDPRでは規律内容に違いが存在する部分があることに留意が必要です。

より詳細な解説はこちら
Page Top