情報通信技術の発達により、企業も大量の情報を扱うようになりました。その中には個人の機微にかかわる重要な情報も含まれます。このような情報は厳重に管理する必要があり、違反があれば処罰も必要です。ここでは、企業の個人情報の保護について解説します。
このページの目次
個人情報保護法
個人情報の保護に関する法律(個人情報保護法)は、「デジタル社会の進展に伴い個人情報の利用が著しく拡大していることに鑑み、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにし、個人情報を取り扱う事業者及び行政機関等についてこれらの特性に応じて遵守すべき義務等を定めるとともに、個人情報保護委員会を設置することにより、行政機関等の事務及び事業の適正かつ円滑な運営を図り、並びに個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的」としています(第1条)。
個人情報とは、生存する個人に関する情報であって、氏名、生年月日その他の記述等により特定の個人を識別することができるもの(第2条第1項第1号)や個人識別符号(第2条第2項)が含まれるもの(第2条第1項第2号)をいいます。
企業については「第四章 個人情報取扱事業者等の義務等」において定められています。
個人情報データベース等(個人情報保護法第16条第1項・個人情報の保護に関する法律施行令(個人情報保護法施行令)第4条。個人情報を含む情報の集合物であって、特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したものなど)を事業の用に関している企業などは個人情報取扱事業者とされます(個人情報保護法第16条第2項)。
顧客の氏名などを検索すれば出せるようにすれば該当するので、顧客の氏名等の情報をデータとして保存している企業であれば、個人情報取扱事業者に該当するでしょう。
個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用目的をできる限り特定しなければならず(同法第17条第1項)、あらかじめ本人の同意を得ないで、この利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはなりません(同法第18条第1項)。
個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはなりません(同法第19条)。
個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはなりません(同法第20条第1項)。
個人情報取扱事業者(法人の場合は、その役員)若しくはその従業者又はこれらであった者が、その業務に関して取り扱った個人情報データベース等(その全部または一部を複製し、又は加工したものを含みます。)を自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、1年以下の懲役又は50万円以下の罰金に処されます(個人情報保護法第179条)。
法人の代表者や従業者等がその法人の業務に関して上記のような違反をしたときは、法人も1億円以下の罰金に処されます(個人情報第184条第1項第1号)。
個人情報保護委員会
個人情報保護委員会は、個人情報取扱事業者等やその関係者に対し、個人情報等の取扱いに関し、必要な報告若しくは資料の提出を求め、又はその職員に、当該個人情報取扱事業者等その他の関係者の事務所その他必要な場所に立ち入らせ、個人情報等の取扱いに関し質問をさせ、若しくは帳簿書類その他の物件を検査させることができます(個人情報保護法第46条第1項)。
委員会は、第四章の規定の施行に必要な限度において、個人情報取扱事業者等に対し、個人情報等の取扱いに関し必要な指導及び助言をすることができます(個人情報保護法第47条)。
委員会は、個人情報取扱事業者に違反がある場合、個人の権利利益を保護するため必要があると認めるときは、当該個人情報取扱事業者等に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべき旨を勧告することができます(個人情報保護法第148条第1項)。
この勧告を受けた個人情報取扱事業者等が正当な理由がなくてその勧告に係る措置をとらなかった場合において個人の重大な権利利益の侵害が切迫していると認めるときは、個人上保護委員会は、当該個人情報取扱事業者等に対し、その勧告に係る措置をとるべきことを命ずることができます(個人情報保護法第148条第2項)。
また、個人情報保護委員会は、一定の違反の場合において個人の重大な権利利益を害する事実があるため緊急に措置をとる必要があると認めるときは、当該個人情報取扱事業者等に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべきことを命ずることができます(同条第3項)。これらの命令をした場合において、その命令を受けた個人情報取扱事業者等がその命令に違反したときは、その旨を公表することができます(同条第4項)。
これらの命令に違反した場合には、当該違反行為をした者は、1年以下の懲役又は100万円以下の罰金に処されます(個人情報保護法第178条)。法人の代表者や従業者等がその法人の業務に関しこの違反をしたときは、法人も1億円以下の罰金に処されます(同法第184条第1項第1号)。
個人情報取扱事業者(法人の場合は、その役員)若しくはその従業者又はこれらであった者が、その業務に関して取り扱った個人情報データベース等(その全部または一部を複製し、又は加工したものを含みます。)を自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、1年以下の懲役又は50万円以下の罰金に処されます(個人情報保護法第179条)。法人の代表者や従業者等がその法人の業務に関しこの違反をしたときは、法人も1億円以下の罰金に処されます(同法第184条第1項第1号)。
まとめ
以上のように、企業は個人情報の適切な管理が求められます。
個人情報保護について不安のある方は、弁護士法人あいち刑事事件総合法律事務所へご相談ください。
お問い合わせはこちらからどうぞ。
