既に多くの企業において、反社会的勢力(反社)に対する法務対応(以下「反社対応」という)がなされているのではないかと思われる。暴力団排除条項の導入、反社データベースの構築・充実化、反社との取引解消、反社からの不当要求の排除等、企業における反社対応は広範にわたるようになってきている。
個人情報保護法との関係でいうと、反社対応のためには、例えば新規取引先が反社ではないかをチェックするであるとか、反社のデータベースを構築するといった個人情報に関係する作業が必要になる。そのため、今回は、平成27年の改正個人情報保護法により個人情報の取得・保管・開示等のルールが改正されたことを受けて、改正法下における企業の反社対応について解説をしたい。
【凡例】
法 個人情報の保護に関する法律(平成 15 年法律第 57 号)
政令 個人情報の保護に関する法律施行令(平成 15 年政令第 507 号)
通則編 個人情報の保護に関する法律についてのガイドライン(通則編)
1.情報取得の場面
要配慮個人情報は「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実」(法2条3項)および政令2条各号の事実である。反社に関する個人情報との関係では、「犯罪の経歴」(法2条3項)該当性が問題となる。法2条3項の「犯罪の経歴」は「前科、すなわち有罪の判決を受けこれが確定した事実」である(通則編2−3(5)。有罪判決には至らないが逮捕された事実等の前歴については政令2条4号該当性が問題となる)。
また、「本人を被疑者又は被告人として、逮捕、捜索、差押え、勾留、公訴の提起その他の刑事事件に関する手続が行われたこと」(政令2条4号)および「本人を少年法(昭和 23 年法律第 168 号)第 3 条第 1 項に規定する少年又はその疑いのある者として、調査、観護の措置、審判、保護処分その他の少年の保護事件に関する手続が行われたこと」(政令2条5号)への該当性が問題となる。
なお、特定の個人が反社会的勢力に属しているという情報は、社会的身分に該当しない。また、犯罪の経歴や刑事事件に関する手続が行われたことには該当せず、要配慮個人情報には該当しないとされている(GL通則パブコメ143番、159番)。
要配慮個人情報の取得は原則として「あらかじめ本人の同意を得」る(法17条2項)必要があるが、「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」には、本人の同意なく取得することが可能である。この例外については「事業者間において、不正対策等のために、暴力団等の反社会的勢力情報、意図的に業務妨害を行う者の情報のうち、過去に業務妨害罪で逮捕された事実等の情報について共有する場合」(通則編3−3−2(2))が含まれると解されているので、このような場合には反社情報を取得できる。
なお、取得の場面についての適正取得規制(法17条1項)には類似の例外はない。したがって、不正対策等の目的で反社情報を取得する場合であっても、欺罔行為を用いるなど不正な手段を用いることは許されない。
2.情報の利用の場面
個人情報取扱事業者はあらかじめ利用目的を定め(法15条1項)、また、あらかじめ本人の同意を得ないで利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはならない(法16条1項)。ただし「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」には、目的外利用ができる(法16条3項2号)とされており「事業者間において、暴力団等の反社会的勢力情報、振り込め詐欺に利用された口座に関する情報、意図的に業務妨害を行う者の情報について共有する場合」が例示されている(通則編3−1−5(2))。
なお、利用目的は原則として通知等(法18条1項)しなければならないが、「利用目的を本人に通知し、又は公表することにより当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合」(法18条4項2号)には例外的に不要とされている。そして、「暴力団等の反社会的勢力情報、疑わしい取引の届出の対象情報、業務妨害行為を行う悪質者情報等を、本人又は他の事業者等から取得したことが明らかになることにより、当該情報を取得した企業に害が及ぶ場合」にこの例外にあてはまるとされている(通則編3−2−5(2))。
したがって、反社対応のためという利用目的を通知、公表することなく、企業は反社情報を反社対応のために利用できる。
3.情報の共有・開示の場面
例えば、個人データとなっている反社情報につき、同業者で反社情報を共有する、暴力追放運動推進センターに提供する等、反社情報の第三者提供を行うことがありうる。
第三者提供の場合、原則として本人同意が必要だが、法23条1項2号は「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」には例外的に本人同意が不要とされている。法16条3項2号の利用目的の制限があてはまらない場合の例外と同じ文言が用いられており、同様の解釈が適用される(通則編3−4−1および3−1−5(2))。
そこで、「事業者間において、暴力団等の反社会的勢力情報、振り込め詐欺に利用された口座に関する情報、意図的に業務妨害を行う者の情報について共有する場合」には本人の同意なく第三者提供が可能である。この場合、提供を受ける側は、上記1のとおり、法17条2項2号により、本人の同意なく要配慮個人情報に該当する情報を取得できる。
そして、法23条1項2号に該当する場合、確認記録義務に関する法25条および法26条の適用はないため(いずれの条文も個人データの提供が法23条1項各号に該当する場合を適用除外事由としている)、反社情報の第三者提供の際に確認記録義務を履行する必要はない。
なお、提供先が外国の第三者であっても、同様である。すなわち、法24条は、前条(法23条)1項各号に掲げる場合を適用除外としていることから、法23条1項2号が適用され、また、法25条1項は、法24条の規定による個人データの提供であっても法23条1項各号に該当する場合を適用除外としているからである。
4.本人からの開示等請求の場面
法27条は保有個人データに関する事項の公表等を、法28条以下は開示請求等を求めているが、そもそも対象となる情報が保有個人データに該当しなければこの問題は生じない。ここで、法2条7項は保有個人データを「個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの又は1年以内の政令で定める期間以内に消去することとなるもの以外のものをいう」と定義して、政令で例外を定めることを示しているが、政令4条2号は「当該個人データの存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれがあるもの」を例外として定めている。
「暴力団等の反社会的勢力による不当要求の被害等を防止するために事業者が保有している、当該反社会的勢力に該当する人物を本人とする個人データ」(通則編2−7(2))がこの政令4条2号にあたるとされているので、この場合には保有個人データに該当しない。
したがって、反社勢力からの開示等の請求については、保有個人データが存在しない旨回答して対応することになる。なお、反社データベース記載の情報は、それを開示することにより不当な要求等につながるおそれがあることから、法28条2項1号の不開示事由にも該当しうるものである。しかし法28条2項1号による不開示の場合、反社情報を保有個人データとして保有していることを前提に理由を説明しなければならない(法31条)ことになり、反社勢力による不当な要求等を誘発するおそれがあるので、前述のように、保有個人データに該当しないと整理して対応すべきである。
5.まとめ
改正個人情報保護法では要配慮個人情報規制や確認記録義務の規定などが創設されるとともに、法令の改正により従前の義務規定に関しても適用条項が変更されているので、企業法務担当者は改正個人情報保護法下における反社対応を改めて整理・確認しておく必要がある。
今回は、改正個人情報保護法下における反社対応について、情報流通の過程の観点から分節し、①情報取得の場面、②情報の利用の場面、③情報の共有・開示の場面、④本人からの開示等請求の場面に分けて解説を行った。自らがどのような場面において反社情報を取り扱っているのかに留意し、適切に改正個人情報保護法を解釈・適用できるようにしておくことが重要であろう。
