1.はじめに
本連載では、まず5回に渡って個人情報保護法ガイドライン案を解説していく予定であるが、第2回となる今回は、個人情報の取得および第三者提供、具体的には、要配慮個人情報の取得(2.)およ第三者提供時の確認・記録(3.)を扱う。ガイドライン案でいうと、通則編3-2および3-4や第三者提供時の確認・記録編が解説の中心となる *1(各ガイドライン案の名称については第1回を参照)。
なお、本記事の校正中の平成28年11月30日にガイドラインが公示され、パプリックコメント結果も公表された。スケジュールの関係上、その内容を取り込むことはできていないものの、本連載において、ガイドライン案との相違点やパプリックコメント結果の内容のうち、実務上重要と解されるものについては、情報提供を続けていくので、ご期待頂きたい。
【凡例】
法 個人情報の保護に関する法律(平成 15 年法律第 57 号)
政令 個人情報の保護に関する法律施行令(平成 15 年政令第 507 号)
規則 個人情報の保護に関する法律施行規則(平成 28 年個人情報保護委員会規則第3号)
改正法 個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律(平成 27 年法律第 65 号)
パブコメ 個人情報の保護に関する法律施行令の一部を改正する政令(案)」および「個人情報の保護に関する法律施行規則(案)」に関する意見募集の結果について(平成28年10月5日公示)
2.要配慮個人情報に関する取得規制
個人情報の取得規制のうち、平成27年改正の目玉の一つは、要配慮個人情報に関する取得規制であった。
法17条2項は、個人情報のうち要配慮個人情報について、一定の例外(同条2項1号~6号)の場合に該当しないかぎり原則として取得を禁止するという規制をかけている。なお、このうちの、「要配慮個人情報」とは何かについては、第1回の連載を参照されたい(要するに、法2条3項*2で定める記述等が含まれる個人情報に該当するものをいう。パブコメ315番等参照)。
(1)「取得」概念の明確化
それでは、「取得」とは具体的にどのような行為をいうのだろうか。「取得」という語には、個人情報取扱事業者における個人情報処理のプロセスのスタートラインを広く定義するというニュアンスがあったと理解される*3が、従来はその外延があいまいであり、例えば「要配慮個人情報の取得」の文脈において、要配慮個人情報ではない情報からプロファイリングにより要配慮個人情報を取り出すことも「取得」と同視できるという論者*4と、「一般的には難しい」とする論者*5の間で対立がある*6。
平成27年改正法の立法段階の議論*7においては、不正アクセス行為の禁止等に関する法律4条*8の「取得」概念についての警察庁の解説*9を引いて、「情報の取得とは、当該情報を自己の支配下に移すことであり」「提供を求めるような積極的な行為であるか、送付を受けるような受動的行為であるかを問わない」としていた。このように、立法段階においては、「取得」概念をかなり広くとらえていたことから、「インターネット等を用いて閲覧する行為も形式的には取得に当たる」ことになる。立法段階では、それは広すぎないかという問題意識に応え、「一方的に送り付けられた場合や内容を知らずに閲覧したような場合等、その後利用に供されることがないような場合を規制の対象とする必要はない」とした上で、どのような場合に「取得」から除外されるのかについては「政令において具体的に規定するのが相当」としていた。もっとも、実際にはそのような「取得」を限定的に解釈する政令は規定されていない。
ここで、ガイドライン案は、一見(要配慮個人情報を含む)個人情報を取得したようにみえても、そもそも(要配慮個人情報を含む)個人情報の「取得」に該当しないケースがありうることを明らかにした*10*11。
すなわち、(法17条1項の文脈において)「個人情報を含む情報がインターネット等により公にされている場合であって、 単にこれを閲覧するにすぎず、転記等を行わない場合は、個人情報を取得しているとは解されない」(通則編3-2-1)ことが明らかにされており、立法段階で「取得」からの除外が意図されていたケースの一部をガイドラインレベルで除外することとしたのである。この例外の範囲は明確ではないが、たとえば、インターネット上には様々な要配慮個人情報が掲載されているところ、これらを個人情報取扱事業者の従業員が単に閲覧しただけであれば、それは「取得」ではないので、要配慮個人情報を取得できる例外の場合に該当するかを検討するまでもなく、法17条2項には違反しないと解されるだろう*12。
また、要配慮個人情報を直接本人から取得する場合に、法17条2項に基づき「同意書」まで取得する必要があるかについて、「個人情報取扱事業者が要配慮個人情報を書面又は口頭等により本人から適正に直接取得する場合は、本人が当該情報を提供したことをもって、当該個人情報取扱事業者が当該情報を取得することについて本人の同意があったものと解される」(通則編3−2−2*2)とされており、必ずしも「同意書」等を別途取得することまでは必要ないと解される。
(2)例外事由の解釈の明確化
法17条2項1号から4号までの例外は、概ね利用目的による制限の例外(通則編3-2-1)と同様と理解される(通則編3-2-2(1)~(4)参照)。
そこで以下、それら以外の例外について説明する。
・公開主体の明確化
公開された要配慮個人情報の取得についての例外(法17条2項5号、規則6号)については公開主体の限定に留意が必要である。具体的には、本人、国の機関・外国の政府・外国の政府機関、地方公共団体・外国の地方公共団体、放送機関・新聞社・通信社その他の報道機関(報道を業として行う個人を含む)および外国のこれらに相当する者、著述を業として行う者および外国のこれらに相当する者、大学その他の学術研究を目的とする機関もしくは団体またはそれらに属する者及び外国のこれらに相当する者、宗教団体及び外国のこれらに相当するもの、政治団体及び外国のこれらに相当するもの、国際機関が挙げられる(通則編3-2-2(5))。そこで、たとえば本人が要配慮個人情報を公開する、すなわち、その意思で要配慮個人情報を他人の知ることができる状態に置いたという場合には、この例外に該当するものの、たとえば、一般のSNSユーザーが第三者の要配慮個人情報を公開していてもこの例外には該当しない。
・政令7条の定める例外
これらの法17条2項1〜5号に明記された例外に加えて、政令7条1号および2号がさらなる例外を定めている。その趣旨は、本人の利益のために必要がある場合や他の利益のためにやむをえない場合、また、規制の合理性がなく規制自体によって本人の権利利益の保護が図れるともいえない場合等について、政令の明文で規定することで、本人の同意なく個人情報を取得できる例外を定めるというところにある(パブコメ324番)。
・目視、撮影による外形上明らかな要配慮個人情報の取得
本人を目視し、または撮影することにより、その外形上明らかな要配慮個人情報を取得する場合については、本人の同意が不要という例外が定められている(法17条2項6号、政令7条1号)。外形上の特徴から要配慮個人情報に含まれる事項が一般的に認識されうる状態にある場合には、本人は、社会生活を送るにあたって自己の要配慮個人情報に含まれる事項が公に認識されることを想定していると考えられるところ、第三者が客観的に認識した事項を記録等することによって当該本人の要配慮個人情報を取得する際には、そのつど本人の同意を得る必要性は低いという趣旨から規定された(パブコメ332番ほか)。たとえば身体障害等が「本人の外形上の特徴により」「明らか」である場合にあらかじめ本人の同意を得ることなく、当該要配慮個人情報を取得することができることが確認された(通則編3-2-2(6))。ここで、外形上明らかであれば、それが本人の意思によるのか(たとえばデモにおいてプラカードを掲げる場合等が考えられる)、そうではないのかにかかわらずこの例外が適用されることも確認された(通則編3-2-2(6))。具体例として「身体の不自由な方が店舗に来店し、対応した店員がその旨をお客様対応録等に記録した場合(目視による取得)や、身体の不自由な方の様子が店舗に設置された防犯カメラ*13に映りこんだ場合(撮影による取得)」が挙げられている(通則編3-2-2(6))。
・法23条5項各号に掲げる場合
法23条5項各号に掲げる場合において、個人データである要配慮個人情報の提供を受けるとき(法17条2項6号、政令7条2号)の例外は、法17条2項と法23条5項各号との間で整合性を図るために定められた(パブコメ353番)。
法23条5項は委託、事業承継または共同利用を定め、このような場合に、(要配慮個人情報を含む)個人情報を第三者に提供することができるとしている*14。
そうすると、提供する側は、法23条5項各号に掲げる場合については本人の同意なく(要配慮個人情報を含む)個人データを提供できることになる。しかし、このような場合は法17条2項1号から5号までの例外のどれにもあてはまらないため、提供を受ける側は本人の同意がなければ要配慮個人情報を含む個人データを取得できないようにも思われる。このような不整合を解消するため、ガイドライン案においては、法23条5項各号に掲げる場合に要配慮個人情報を取得してもあらかじめ本人の同意を得る必要がないことが確認された(通則編3-2-2(7))*15。
3.第三者提供の確認・記録義務と法25条、26条の解釈
(1)はじめに
個人データについては、法23条1項により原則として本人同意のない第三者提供が禁止されている。もっとも、同条2項により要配慮個人情報を除く個人データについては、いわゆるオプトアウト手続を実施することで本人同意なくして第三者提供が可能になっている。
このような状況下で、平成27年改正個人情報保護法は、平成26年に発生した民間企業による大規模個人情報漏洩事件を契機として、名簿屋対策を目的とするトレーサビリティ規定を新設する等の方策により違法な名簿屋による個人データの流通を阻止しようとしている*16が、正常な事業活動を行っている事業者に対する過度な負担を懸念する声が多く上がっていることから、国会においても現実的な規制のあり方について検討する必要があると指摘されていた*17。
このような指摘を受けてガイドライン案は、第三者提供の確認・記録義務と法25条、26条の解釈において、この「現実的な規制のあり方」について一定程度明らかにしており、実務上興味深い。以下、その内容を概観してみよう。
(2)確認・記録義務が適用されるか否かのキー概念:第三者提供
どのような場合に確認・記録義務が適用されるのかは、実務において大きな悩みどころであろう。ガイドライン案は、第三者提供という概念を手がかりに、確認・記録義務の発生する範囲の明確化を試みている。
法25条1項は「個人情報取扱事業者は、個人データを第三者(第2条第5項各号に掲げる者を除く。以下この条及び次条において同じ。)に提供したときは、……記録を作成しなければならない」とし、法26条1項は「個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、個人情報保護委員会規則で定めるところにより、次に掲げる事項の確認を行わなければならない」とする。
すなわち、法25条は提供をする側について(個人データを)「第三者」に「提供したとき」に、また法26条は提供を受ける側について「第三者から個人データの提供を受けるに際して」、それぞれ確認・記録義務が生じるとしており、第三者提供をする側と第三者提供をされる側においてそれぞれ確認・記録義務が発生する、と読める*18。
そして、確認・記録義務が適用される第三者提供か否かを検討するにあたっては、本来、法23条における「第三者」や「提供」の解釈がきわめて参考になるものと思われる。なぜなら、第三者提供については、法23条1項が「個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない」と規定しており、法25条および26条の第三者提供も法23条の第三者提供と同一の意味であると解釈するのが自然だからである。
そこでガイドライン案、たとえば通則編3-4-1*2の法23条に関する解釈が参考になる。通則編3-4-1*2は、「ブログやその他の SNS に書き込まれた個人データを含む情報については、当該情報を書き込んだ者の明確な意思で不特定多数又は限定された対象に対して公開されている情報であり、その内容を誰が閲覧できるかについて当該情報を書き込んだ者が指定していることから、その公開範囲について、インターネット回線への接続サービスを提供するプロバイダやブログその他のSNSの運営事業者等に裁量の余地はないため、このような場合は、当該事業者が個人データを第三者に提供しているとは解されない」とする。この解釈は、法25条および26条の第三者提供においても適用されると解される。
しかしながら、法23条の第三者提供の場合にすべて確認・記録義務が発生すると解釈すると、「正常な事業活動を行っている事業者に対する過度な負担」になることが考えられる。
この点についてガイドライン案は、①法23条等を参考にしながら「明文により確認・記録義務が適用されない第三者提供」を確定した上で(第三者提供時の確認・記録編2-1)、②形式的には第三者提供の外形を有するが、確認・記録義務の趣旨にかんがみて実質的に確認・記録義務を課する必要性に乏しい第三者提供の類型を、「解釈により確認・記録義務が適用されない第三者提供」として解釈によって導き出す手法をとっている(第三者提供時の確認・記録編2-2)。
(3)明文により確認・記録義務が適用されない第三者提供
ガイドライン案は、明文の規定により、確認・記録義務が適用されない第三者提供として、次の場合を挙げる。これらは法文を読めば導出される、ある意味当然のことではあるが、ガイドライン案においてわかりやすくまとめ直して整理されたことは評価できるだろう。
第1に、確認・記録義務を定める法25条ただし書および法26条ただし書が法23条1項各号に該当する場合を除外しているので、法23条1項1号~4号までの第三者提供規制の例外に該当する場合には、確認・記録義務も適用されない(第三者提供時の確認・記録編2-1-1)*19。
第2に、確認・記録義務を定める法25条ただし書および法26条ただし書が法23条5項各号に該当する場合を除外しているので、法23条5項1号~3号の①委託、②合併その他の事由による事業承継、③共同利用の場合にも、確認・記録義務は適用されない(第三者提供時の確認・記録編2-1-2。なお、外国にある第三者に個人データを提供する場合の確認・記録義務の適用については、第三者提供時の確認・記録編2-1-2(3)参照)。
第3に、法25条が明文で提供する「第三者」について法2条5項各号の国の機関、地方公共団体、独立行政法人等、地方独立行政法人を除外しているので、これらの組織に提供する場合も確認・記録義務を負わない(第三者提供時の確認・記録編2-1-3)。
(4)解釈により確認・記録義務が適用されない第三者提供
ガイドライン案は、形式的に法23条1項の第三者提供の外形を有する場合であっても、確認・記録義務の趣旨にかんがみて、第三者提供、すなわち、「提供者」から「受領者」に対する「提供」行為の各要素の該当性を実質的に判断することで、「正常な事業活動を行っている事業者に対する過度な負担」を回避しようとしている(第三者提供時の確認・記録編2-2-1)*20。
以下、ガイドライン案の整理にそって、解釈により確認・記録義務が適用されない第三者提供の内容を簡単にまとめたい。
ア 提供者および受領者に確認・記録義務が課されない場合
・本人による提供
まず、「本人による提供」として、「事業者が運営するSNS等に本人が入力した内容が、自動的に個人データとして不特定多数の第三者が取得できる状態に置かれている場合は、実質的に『本人による提供』をしている」とする(第三者提供時の確認・記録編2-2-1-1(1))*21。このSNS「等」の外延は必ずしも明らかではないが、形式的には第三者である事業者が提供していても、「本人が入力」した内容が「自動的」に表示されており実質的に「本人による提供」をしている場合ということからは、いわゆるプラットフォーマーである事業者のサービスを利用して、ユーザーが情報を伝達する場合の一部がこれに該当すると想定される。
・本人に代わって提供
次に、「本人に代わって」の提供として、本人に代わって本人からの委託等に基づき個人情報取扱事業者が第三者提供をする場合には、当該個人情報取扱事業者自身が第三者提供をしているのではないと整理する(第三者提供時の確認・記録編2-2-1-1(2))。ガイドライン案では、具体例として以下の8つの事例を挙げている。
事例 1)本人から、別の者の口座への振込依頼を受けた仕向銀行が、振込先の口座を有する被仕向銀行に対して、当該振込依頼に係る情報を提供する場合
事例 2)事業者のオペレーターが、顧客から販売商品の修理依頼の連絡を受けたため、提携先の修理業者につなぐこととなり、当該顧客の同意を得た上で当該顧客に代わって、当該顧客の氏名、連絡先等を当該修理業者に伝える場合
事例 3)事業者が、取引先から、製品サービス購入希望者の紹介を求められたため、顧客の中から希望者を募り、購入希望者リストを事業者に提供する場合
事例 4)本人がアクセスするサイトの運営業者が、本人認証の目的で、既に当該本人を認証している他のサイトの運営業者のうち当該本人が選択した者との間で、インターネットを経由して、当該本人に係る情報を授受する場合
事例 5)保険会社が事故車の修理手配をする際に、本人が選択した提携修理工場に提供する場合
事例 6)取引先・契約者から、専門業者・弁護士等の紹介を求められ、専門業者・弁護士等のリストから紹介を行う場合
事例 7)事業者が、顧客から電話で契約内容の照会を受けたため、社内の担当者の氏名、連絡先等を当該顧客に案内する場合
事例 8)本人から、取引の媒介を委託された事業者が、相手先の候補となる他の事業者に、価格の妥当性等の検討に必要な範囲の情報を提供する場合
もっとも、本人が単に提供に同意しているというだけでは、「本人に代わって」提供されたとはみなされない*22。ある行為が、「本人に代わって」の提供といえるかについては「主に、委託等の内容、提供の客体である個人データの内容、提供するとき及び提供先の個人情報取扱事業者等の要素を総合的に考慮して、本人が当該提供を具体的に特定できているか否かの観点から判断する」とされているだけで、とりわけ「具体的に特定」の基準は明確ではない。
ガイドライン案の出された趣旨が現実的な規制のあり方を示すというものであったことを考えると、このあたりは柔軟に解釈すべきということなのかもしれない。たとえば上記の事例6では、多数の弁護士等の情報が多数の契約者等へ、そして多数の契約者等の情報が多数の弁護士等へとやりとりされる可能性があるところ、そのような多人数に対し個人情報を提供することも「本人に代わって」提供となりうるというニュアンスを読み取ることもできる。
・受領者が本人と一体と評価できる関係にある場合
「受領者」が本人の代理人または家族等、本人と一体と評価できる関係にある場合には「第三者」提供ではないと解釈されている(第三者提供時の確認・記録編2-2-1-2)。
たとえば、金融機関の営業員が、家族とともに来店した顧客に対して、保有金融商品の損益状況等を説明する場合には、本人と一体と評価できる関係にある者(家族)への提供にすぎないので、「第三者」提供ではないと整理されている。
また、振込依頼人の法人が、受取人の個人の氏名、口座番号などの個人データを仕向銀行を通じて被仕向銀行の振込先の口座に振り込む場合については、提供者が、最終的に本人に提供することを意図したうえで、受領者を介在して第三者提供を行い、本人がそれを明確に認識できる場合として同様に扱うとされている。
なお、いかなる場合に本人と一体と評価されるかについて「常に家族であることをもって本人側と評価されるものではなく、個人データの性質、両者の関係等に鑑みて実質的に判断する必要がある」とされている。当該情報がプライバシーとして保護すべき度合いの高さと、当該家族と本人の関係等が問題とされるということであろう。
・受領者による取得行為の代行
「不特定多数の者が取得できる公開情報」については、「本来であれば受領者も自ら取得できる情報」であるとして、それは「受領者による取得行為の代行」であるから「実質的に確認・記録義務を課すべき第三者提供には該当せず、同義務は適用されない」とされる(第三者提供時の確認・記録編2-2-1-3)。そこで、ウェブサイト等で公表されている情報、報道機関により報道されている情報等には記録義務が適用されないとされている。
ここで、法23条における第三者提供については、従来より、非公知情報のみならず公知情報も第三者提供制限の対象とすると解されてきた*23。ガイドライン案の「受領者による取得行為の代行」における解釈は、第三者提供についてのこれまでの一般的な解釈とは大きくかけ離れたものであるといえるだろう。
実際、「また、いわゆる公開情報であっても、『個人情報』(法第2条第 1 項)に該当するため、法第4章第 1 節のうち、確認・記録義務以外の規定は適用される」(第三者提供時の確認・記録編2-2-1-3)と明示されている。そこで、個人情報保護委員会の意図としては、法25条および法26条についてのみ、上記のような実質解釈が適用され、法23条についての従前の一般的な解釈を変更するものではないという整理であると理解されるが、この解釈を、法23条と同じ「第三者」「提供」という文言を用いている法25条および法26条に適用することはきわめて異例と評価できよう。
イ 受領者に確認・記録義務が適用されない場合
ここまで、提供者および受領者に確認・記録義務が課されない場合についてみてきたが、以下で扱われるのは、提供者の記録義務は適用されうるが受領者の確認・記録義務が適用されない、という場合である。
・法26条の「個人データ」該当性
受領者側については、受領者にとって「個人データ」に該当しない場合、受領者に確認・記録義務は適用されない(第三者提供時の確認・記録編2-2-2-1(1))。
ガイドライン案では、データベースとして管理しているファイルから名刺1枚を取り出してそのコピーを他の事業者に渡す場合が挙げられている*24。この場合でも、提供者側には記録義務が課されることから、受領者側でデータベースを構成しない散在情報になった場合には、それ以降のトレーサビリティを確保する必要はない、との判断にもとづく解釈と思われる。
この点に関して、「本来であれば個人データに該当するにもかかわらず、確認・記録義務を免れる目的の為に、あえて分断して形式的に『個人データには該当しない個人情報』として提供を受ける行為」は、法の潜脱であり、確認・記録義務が課されるとされている。しかし、上記の名刺の例で、受領者が、受け取った名刺を受領者の個人情報データベースに登録する場合、受領者に確認・記録義務は課されないと思われ、この名刺の枚数が数枚であっても結論は変わらないと思われるが、このような適法事例と、法の潜脱にあたる行為との間に明確な線引きができるのかという点については、不透明な状況であると思われる。
・法26条の受領者にとっての「個人情報」該当性
そもそも受領者にとって「個人情報」に該当しない場合(第三者提供時の確認・記録編2-2-2-1(2))も、受領者に確認・記録義務は課されない。たとえば、提供者側で氏名を削除する場合等が挙げられている。
この場合も、提供者側にはなお記録義務が課されると解されるが、受領者側にとって個人情報でない以上、それ以降のトレーサビリティを確保する必要はないとの判断にもとづく解釈と思われる。
・「提供を受け」るに際して
単に閲覧する行為は「提供を受ける行為」ではないとされている(第三者提供時の確認・記録編2-2-2-2)。
具体的には、口頭、FAX、メール、電話等で、受領者の意思とは関係なく、一方的に個人データを提供された場合において、受領者側に「提供を受ける」行為がないときは、法26条の確認・記録義務は適用されない(第三者提供時の確認・記録編2-2-2-2)とされている。
しかし、「提供を受ける」行為の外延は必ずしも明確とはいえない。たとえば、誤送信されたメールに、個人情報データベースファイルが添付されているようなケースでは、そのままメールボックスに放置するだけで、提供を受けると評価されるのか、提供を受ける行為と評価されないために、当該メールを削除する必要があるのか、といった点は明らかではないと思われる。
ウ 例外が認められず確認・記録義務が適用される事案
たとえば、一度第三者から個人データの提供を受けた後、これを速やかに削除することで、確認・記録義務を免れられることはできないか等も問題となる。一般論としては「第三者から個人データの提供を受け」ているものと評価される場合は、仮に事後的に削除などをしたとしても確認・記録義務は適用されるとされており(パブコメ727番)、このような速やかな削除による例外は認められず、確認・記録義務がなお適用されると理解される。
もっとも、上記のとおり、口頭、FAX、メール、電話等で、受領者の意思とは関係なく、一方的に個人データを提供された場合において、受領者側に「提供を受ける」行為がないときは、法26条の確認・記録義務は適用されないとされていることから、上記の速やかな削除の事案として想定されていた事案の一部については、「提供を受ける」行為の解釈によって対応できる場合もあると思われる。
(5)実務的示唆
以上のとおり、法23条1項の第三者提供の意義とガイドライン案における法25条および法26条の第三者提供の意義との間には、大きなズレがあるようである。法25条および法26条の制度趣旨から第三者提供に該当するケースを解釈的に限定する手法はアクロバティックであり、法律レベルではなくガイドラインレベルの行政解釈によりその運用を決定している部分が大きい。
このような手法は、個人情報取扱事業者の過度な負担を軽減するという趣旨には確かに合致しているが、法25条・法26条が法23条と同じ「第三者」「提供」という文言を用いているにもかかわらず、たとえば「不特定多数の者が取得できる公開情報」について「第三者」「提供」の際の記録義務がかからないと解するのは、解釈としてはかなり異例といわざるをえないだろう。
また、たとえば、「本人に代わって」の提供等、ガイドライン案上で明示された事例以外にどこまでがそのような行政解釈の適用範囲であるか、外延が不明といわざるをえないものも多い。
このような観点からは、少なくともガイドライン案が具体的に明示した事例に当てはまるケースについては安定的な実務運用が予想されるものの、それ以外のガイドライン案が明示していない事例類型についての実務運用がどうなっていくか、また、このような解釈が法23条や法24条の解釈にどのような影響を与えるかは不明確といわざるをえず、今後とも注視が必要である。
*1:なお、第三者提供時の確認・記録編は、今回の解説で扱う、「どのような場合に確認・記録義務が発生するのか」以外にも、「確認・記録義務が発生した場合にどのように対応するか」という問題も扱っているものの、今回の解説の対象からは外させていただく。
*2:「この法律において『要配慮個人情報』とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。」
*3:個人情報保護法のベースとなった個人情報基本法制に関する大綱の作成の経緯において、個人情報保護法制化専門委員会第15回議事録(http://www.kantei.go.jp/jp/it/privacy/houseika/dai15/15gijiroku.html)における議論等も参照のこと。
*4:山本龍彦「インターネット時代の個人情報保護」阪本昌成先生古稀記念『自由の法理』(成文堂・2015年)565頁。なお、藤原からの批判に対し、そう解さなければ「迂回的取得を通じて本人の同意なくその私生活が丸裸にされ得る」等という山本龍彦「ビッグデータ社会とプロファイリング」論究ジュリスト18号(2016年)39頁の再反論も参照。
*5:鼎談「個人情報保護法改正の意義と課題」行政法研究13号(2016年)11頁参照〔藤原静雄発言〕。
*6:なお、この対立についてガイドライン案は何も明示的なことを示していないものの、基本的には藤原説(注5参照)の立場ではないかと思われる。
*7:平成27年改正法制定時における法制局説明資料(「1.どのような行為が第17条第2項により制限されるか。」で始まるもの)参照。
*8:「何人も、不正アクセス行為(……)の用に供する目的で、アクセス制御機能に係る他人の識別符号を取得してはならない。」
*9:「『取得』とは、識別符号を自己の支配下に移す行為をいい、具体的には、識別符号が記載された紙や、識別符号が記録されたUSBメモリ、ICカード等の電磁的記録媒体を受け取る行為、自らが使用する通信端末機器の映像面に識別符号を表示させる行為、識別符号を知得する行為(再現可能な状態で記憶する行為)等が該当します。」(https://www.npa.go.jp/cyber/legislation/pdf/1_kaisetsu.pdf)
*10:なお、これとは異なり、個人情報取扱事業者Aが、個人情報取扱事業者Bから特定の情報を取得する場合において、少なくとも個人情報取扱事業者Aにとって当該情報が個人情報でなければ、要配慮「個人情報」の取得規制がかからないことにも留意が必要である(パブコメ317番参照)。
*11:「取得」概念は、法17条1項との関係でも重要である。
*12:後述のとおり、本人等一定の主体が公開した要配慮個人情報等は取得が可能であるが(法17条2項5号)、これらの主体以外が公開した要配慮個人情報の「取得」には厳しい制限がかけられている。
*13:このように解さないと、当該障害の状況を防犯カメラで撮影し「取得」することに本人の同意を得ることができない場合には、映像の処理や映り込みがないかの確認等が必要になるところ、これは事業者にとって過大な負担となり、防犯カメラによる撮影を萎縮させかねないだろう。
*14:なお、要配慮個人情報については、法23条2項括弧書きにより、いわゆるオプトアウト方式による個人データの第三者提供が禁止されていることに留意が必要である(通則編3-2-2*1)参照。
*15:なお、法23条5項各号は「個人データ」に限られているところ、個人データではない情報について委託、事業承継または共同利用により提供を受ける場合については、「承継元が当該要配慮個人情報を取得した根拠が承継先においても同様に該当するか否か」、「承継元が要配慮個人情報を同意に基づき取得した場合には、当該同意が承継先についても及ぶか否か」で判断するものとされている(パブコメ353番)。
*16:なお、オプトアウトへの規制も強化された。法23条2〜4項参照。
*17:衆議院内閣委員会における附帯決議(平成 27 年 5 月 20 日)、参議院内閣委員会における附帯決議(平成 27 年 8 月 27 日)。
*18:ただし、「提供を行う際において、提供者にとって個人データに該当すれば改正後の法第 25条の記録義務が適用され、受領者にとって個人データに該当すれば改正後の法第26条の確認・記録義務が適用されます」(パブコメ603番)という個人情報保護委員会の整理によれば、法25条の適用はあくまでも提供者にとって個人データか否かで判断され、法26条の適用はあくまでも受領者にとって個人データか否かで判断されることから、同じデータのやりとりであっても、一方にのみ義務が生じ、他方は義務を負わないということがありうる。
*19:なお、法例にもとづく場合(法23条1項1号)について、一般論として、「法令」に外国の法令は含まれないとされている(パブコメ751番)。
*20:はたしてこれが法23条1項の実質解釈なのか、法25条および法26条の実質解釈なのかはガイドライン案の明文からは明らかではないが、第三者提供時の確認・記録編2-2-1が「同義務の対象たる第三者提供」としており、一般的な第三者提供と記録義務の対象たる第三者提供を区別していると読めること、および、第三者提供時の確認・記録編2-2-1-3が「法第4章第1節のうち、確認・記録義務以外の規定は適用される」としていることを重視すれば、後者(法25条および法26条の実質解釈)なのではないか。
*21:上記のとおり、通則編において法23条の解釈について同様の解釈が示されているところ、法25条・26条の文脈においても(実質的に)本人による提供だから第三者提供ではないと整理したものと理解される。
*22:「改正個人情報保護法第25条・第26条の確認・記録義務の方向性について」(http://www.ppc.go.jp/files/pdf/280329_siryou2-3.pdf)の事例3は「団体Aが、あらかじめ同意を得た上で、地域の税理士等の氏名・連絡先等を記載した名簿を作成し、団体加盟企業に配布する場合、団体Aは、その都度、配付した年月日等の記録作成を行わなければならないか」という事例について「本人の同意に基づき個人データを提供する場合の記録事項は緩和する」としており、本人の同意がある場合でも、なお記録義務は(緩和されるものの)存続することを前提としている。そこで、この事例は記録義務がかかるものの、本人の同意による第三者提供をする場合(規則13条1項2号、第三者提供時の確認・記録編4-2-1-2参照)として、義務の内容が緩和されるというものと理解される。
*23:たとえば、園部逸夫編『個人情報保護法の解説〔改訂版〕』(ぎょうせい・平成17年)150頁は「*対象を非公知情報に限らない理由」として「本規定は、第三者への提供が制限される個人データを非公知情報(未だ公に知られるに至っていない情報)に限っていない。これは、公知となっている個人情報であっても、情報通信技術を活用してデータベース化されていると、他のデータと結合するなどにより、その利用範囲、利用可能性が飛躍的に拡大し、新たに本人の権利利益侵害をもたらすおそれが十分あることから、公知、非公知を区別することの実益がないことによる」とする。
*24:なお、ADR機関等の個人情報取扱事業者が、苦情申出人Aから第三者Bの個人情報を受領する場合に、それはBの「個人情報」であって「個人データ」に該当しないため、その後個人情報取扱事業者においてデータベース化した場合でも確認・記録義務は適用されないとされる(パブコメ758番)のも、その一例であろう。