第12回:インターネット上に公開された個人情報を収集・利用する際の留意点

1.はじめに

 平成29年5月30日に改正個人情報保護法が施行された。施行前後は企業も弁護士も相当細かなものを含む実務対応に忙殺されていたものと推測される*1。我々3人もこの例に漏れず、そのために本連載の更新が遅くなってしまったことをお詫びしたい(特に松尾剛行は、『士業のための改正個人情報保護法の法律相談』(学陽書房)の執筆にも追われていた)。やっと一息ついたことから、久しぶりの更新をさせていただく運びとなった。今後も引き続き随時有益な情報を提供していく予定である。

 さて、インターネット上には、SNS上にアップロードされた情報等の多数の個人情報が存在する。事業者は、自らの事業を遂行するために、これらのインターネット上の個人情報を利用することがある。

 例えば、取引先の属性調査等の目的で、インターネットを利用して個人情報を収集する場合や、営業活動を行う連絡先を集める目的で個人情報を収集する場合もある。また、いわゆる名簿屋がインターネット上で個人情報を収集し、販売に供することもあるようである。

 インターネット上で公表されているなどの公知の情報であっても個人情報保護法の保護は及ぶ(Q&A5)。そこで今回は、個人情報取扱事業者が、インターネット上の個人情報の収集を行う場合における留意点について解説する。

【凡例】

  個人情報の保護に関する法律(個人情報保護法)
Q&A  「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A(平成29年2月16日個人情報保護委員会)
通則編  個人情報の保護に関する法律についてのガイドライン(通則編)
確認・記録編   個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)
〇〇編パブコメ   「個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)(案)」に関する意見募集の結果について(平成28年11月30日公示)
金融分野パブコメ  「金融分野における個人情報保護に関するガイドライン(案)」に関する意見募集結果 

2.取得時の留意点

(1)個人情報取得時の規制

 インターネット上で入手できる個人情報についても、これを取得する場合には、個人情報保護法における「個人情報」の取得に関する規制の対象になる。 インターネット上での個人情報の取得の態様が問題になる場面として、

① 当該情報を単に画面上で閲覧する場合、
② 当該情報を転記の上で検索可能な状態にした場合、
③ 当該情報が含まれるファイルをダウンロードしてデータベース化する場合、
④ 検索可能化・データベース化までせずにローカルPCのワードファイルに転記等した場合、

が想定しうる。

 このうち①については個人情報の「取得」に該当しないものとされているが(通則編31(*1)、Q&A4)、②③は個人情報保護委員会の公表しているQ&Aでは「個人情報を取得」したと「解し得る」と表現しており、歯切れが悪い表現になっている。通則編31(*1)では「転記等」を行った時点で「取得」と想定しているようにも思えるので、事業者としては、上記②から④の事例を含めて「取得」規制がかかるものと考えて行動せざるをえない*2。 

 個人情報取得時の規制としては、個人情報保護法(以下「法」という)15条1項(利用目的の特定)、法17条(適正な取得、要配慮個人情報の取得)、法18条(取得に際しての利用目的の通知等)がある。

・利用目的の通知・公表

 個人情報を取得する場合、あらかじめその利用目的を公表している場合を除き、速やかにその利用目的を、本人に通知し、または公表しなければならない(法18条1項)。プライバシーポリシーにより利用目的をあらかじめ公表していれば、「あらかじめその利用目的を公表している場合」に該当することから、その公表された利用目的のためにインターネットから個人情報を取得する場合でも、本人への通知・公表は原則として不要となる。

 また、法18条4項各号に該当する場合には、そもそも利用目的の通知・公表が不要となる。例えば、反社会的勢力に属することの調査を目的とする収集の場合は、「利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合」(法18条4項2号)に該当すると考えられる(通則編35(2))。

 なお、後述するとおり、市販の電話帳等と同一の情報をインターネット上からダウンロードするケースについては、個人情報データベース等から除外され、個人データの取得には該当しないが、それでも個人情報には該当するから、利用目的の通知・公表が必要であることに留意すべきである。

・適正な取得

 インターネット上に公開されている情報は誰でも自由に取得できるから、法17 条の「偽りその他不正の手段」による個人情報の取得にはならない、と考えるのは早計である。典型的には、個人情報の転売目的を秘して統計調査のためと虚偽の目的を告げて個人情報を取得する場合が「偽り」の手段、カメラによる私的行為の隠し撮りなどが「その他不正の手段」による取得とされている*3

 しかし、何が法17 条の「偽りその他不正の手段」に該当するかについては、定義規定もないため不明確であり、インターネット上で公開された個人情報の取得が同条に該当するか否かについては慎重な検討を要する。上記で挙げた事例のように、法17 条の「偽りその他不正の手段」は比較的狭い概念であり、インターネット上で公開された個人情報の取得であれば取得態様からして同条の適用はないと解する余地もある。

 他方で、そもそも、インターネット上に情報を公開することは第三者提供に該当し(確認・記録編23も参照)、その場合には、例えば本人の同意を得る、オプトアウトを利用する等の法23条の規定に適合した対応がなされていなければ、違法である。情報の公開の態様(公開されているサイトの内容、公開主体と情報の本人の関係について推測できる事情等)から、違法に取得されたものである疑いがあるにもかかわらず個人情報を取得する行為は、「その他不正の手段」による取得に該当すると評価される可能性も否定しえない。通則編31では同条に該当する6つの具体例が列挙されているが、そのうち事例5は法23条違反を知りまたは容易に知ることができる場合を挙げており、これとの均衡で該当するとされる可能性がある。

・要配慮個人情報の取得

 下記2(3)で検討する。

(2)データベース化された情報を取得する場合

 インターネット上から、検索可能となっている個人情報のリストをダウンロードする場合、個人データの提供を受ける行為に該当することから、上記(1)の個人情報の取得に関する規制に加え、法26条の確認記録義務が適用される可能性がある。

・個人情報データベース等の例外

 もっとも、次の3つの要件のすべてに該当する場合、個人情報データベース等を構成しない(法2条4項、施行令3条)ので、そのようなデータを入手しても、個人データの提供を受ける行為に該当せず、確認記録義務は適用されない。

① 不特定かつ多数の者に販売することを目的として発行されたものであって、かつ、その発行が法または法に基づく命令の規定に違反して行われたものでないこと
② 不特定かつ多数の者により随時に購入することができ、またはできたものであること
③ 生存する個人に関する他の情報を加えることなくその本来の用途に供しているものであること

 インターネット上の情報についても、この例外は適用される(Q&A42)。具体的には、有償で取得できる電話帳データベース等がこの例外の適用対象となる。例えば、インターネット上の個人情報のリストのうち、有料で取得できる電話帳データベース等については、個人情報データベース等に該当しない(法2条4項、施行令3条、通則編24)。

 したがって、そのような電話帳データベース等をダウンロードしたとしても、個人データの提供を受ける行為に該当しないから、確認記録義務は適用されない(Q&A101)。

 なお、個人情報データベース等に該当せず、個人情報保護法の適用対象とならないとはいえ、そこに記載された事項をみだりに公開する等した場合には、プライバシー侵害による不法行為が認められる可能性がある点には留意が必要である(プライバシー情報である住所、電話番号及び郵便番号について、一度は電話帳に記載されていたものの、これをインターネット上で公表すれば、開示の相手方および方法が著しく異なるとしてプライバシー侵害を認めた事例として、京都地判平成29年4月25日(平成27年(ワ)第2640号)判例集未登載がある)。

 なお、無償のデータベースや、いわゆる名簿屋の作成している名簿等は、この例外には該当しない。単に無償頒布されている名簿等やインターネット上で無料掲載されている名簿等は、市販されている名簿等に比べて作成、頒布した事業者が不明確であることが多く、意図せず漏えいした個人情報を利用したものである可能性もあることから、入手した事業者において安全管理措置等が講じられる必要があるものと考えられるため、販売することを目的として発行された名簿等のみを、個人情報データベース等から除外することとされている(通則編パブコメ266番)

・解釈により確認記録義務が不要になる場合

 インターネット上に公開されている個人データについては、「不特定多数の者が取得できる公開情報は、本来であれば受領者も自ら取得できる情報であり、それをあえて提供者から受領者に提供する行為は、受領者による取得行為を提供者が代行しているものであることから、実質的に確認・記録義務を課すべき第三者提供には該当せず、同義務は適用されない」ものとされている(確認・記録編23)。

 これに対し、インターネット上の個人データであっても、特定の者のみアクセスできる情報については、確認記録義務の対象となる(確認・記録編23)。例えば、友人限定公開のSNSから取得する個人データについては、確認記録義務の対象となるものと解される(なお、限定公開の規模について、「SNS上で友人限定公開だとしても、その友人が1000人いる場合には『公開』と考えてよいか。1万人ならどうか」という質問に対し、個人情報保護委員会は、「一般論として、御指摘の例は不特定多数の者が取得できる公開情報には該当しないものと考えられます」と回答している(確認・記録編パブコメ882番))。

 また、冒頭の事例と異なり、ダウンロードを行わず、ブラウザで閲覧するだけであれば、「受ける行為がなく、確認記録義務は適用されない(確認・記録編22)。

(3)要配慮個人情報取得時の留意点

 取得しようとする個人情報または個人データに、要配慮個人情報(法2条3項)が含まれている場合、法17条2項により、原則として本人の同意がなければこれを取得できない。インターネット上で取得できるからといって、本人の同意なしに取得してはならないのが原則である(なお、「取得」概念については前述のとおりである)。

 この例外として、法17条2項5号は、情報が公開されている場合に、本人の同意なく要配慮個人情報を取得することを認めている。この例外に該当するためには、公開されているだけではなく、公開した者(公開主体)が以下の者に該当する必要がある(規則6条、通則編32(5))。

① 本人
② 国の機関
③ 地方公共団体
④ 放送機関・新聞社・通信社その他の報道機関(報道を業として行う個人を含む)
⑤ 著述を業として行う者
⑥ 大学その他の学術研究を目的とする機関もしくは団体またはそれらに属する者
⑦ 宗教団体
⑧ 政治団体
⑨ 外国政府、外国の政府機関、外国の地方公共団体または国際機関
⑩ 外国において上記④~⑧に相当する者

 この例外にあたるかどうかを判断するにあたって、SNS 等において一定の範囲のみに限定して公開している場合は、公開に該当しないとされている点にも留意が必要である(通則編パブコメ428番)。例えば、対象となる情報の公開範囲が友人に限定されている場合、この例外を利用することはできない。

 また、上記2(1)と同じく、閲覧は取得に該当しない(通則編パブコメ463番)。

3. 利用・第三者提供時の留意点

(1)利用

 インターネットから取得した個人情報は、あらかじめ公表し、または、本人に通知・公表した利用目的の範囲内でのみ利用できる(法16条1項)。その範囲を超えて利用する場合には、あらかじめ本人の同意を得なければならない(同項)。

 また、利用目的の変更(法15条2項)を行うことも考えられるが、「変更前の利用目的と関連性を有すると合理的に認められる範囲」という制限に留意が必要である。

(2)第三者提供

 インターネットで公開されている情報から作成した個人データについては、上記2(2)のとおり、第三者提供時の記録義務は適用されない(確認・記録編23)。例えば、公開情報を収集してデータベース化して第三者に提供する場合、記録義務は適用されない(Q&A1013)。

 ただし、インターネットで公開されている情報から作成した個人データに、インターネットで公開されていない情報を付加した場合には、「本来であれば受領者も自ら取得できる情報であり、それをあえて提供者から受領者に提供する行為は、受領者による取得行為を提供者が代行している」とはいえないことから、第三者提供時の記録義務が適用されるものと思われる点には留意が必要である。 

(加藤伸樹・大島義則・松尾剛行)

*1:ただし、一部報道によると、そもそも個人情報保護法が適用されても、対応をしない企業が多いとのことであり、非常に憂慮される事態である(https://www.j-cast.com/2017/06/12300190.html?p=all)。

*2: ここにいう「取得」について、個人情報保護委員会はこれを明確に定義しておらず、単に閲覧する場合は含まれない(通則編3−2−3)、「すみやかに黒塗りして保管する場合は取得に該当しない」(金融分野パブコメ26番)、「ファイルに綴じるなどにより保管等した段階において取得に該当する」(金融分野パブコメ25番)というように、個別の場面について解釈を示している。関連する概念として、個人データの受領者の確認記録義務に関し、「提供を受ける」行為について、これは「個人データを自己の占有に移転する行為」をいうとされている(確認・記録編パブコメ906番)。これらを踏まえると、個別の事案によるが、情報が事業者自身の支配下に移ったかどうかを基準に「取得」があったかどうかを検討することになるだろう。

*3:宇賀克也『個人情報保護法の逐条解説〔第5版〕』(有斐閣・2016年)87頁。