いまさら聞けない個人情報保護法への対応と罰則

行政書士 岡 高志 でございます。

個人情報の保護に関する法律(個人情報保護法)への対応、御社では大丈夫でしょうか?

2017年に改正 個人情報保護法が施行されて、取り扱う個人情報の数が5000以下である事業者を規制の対象外とする制度を廃止したので、ほとんどの事業者が個人情報取扱事業者として個人情報保護法による規制を受けることになりました。自治会や同窓会等の非営利組織でさえも規制の対象です。

法規制に慎重になるだけで、何の対策も取られていない会社も多いと感じます。法律の内容をおさえて適切な対応をとりましょう。

個人情報取扱事業者の義務

(利用目的の特定)
個人情報の利用目的をできる限り特定しなければならない。
利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。

(利用目的による制限)
あらかじめ本人の同意を得ないで、利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。

次に掲げる場合については、適用しない。
・法令に基づく場合
・人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
・公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
・国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

(適正な取得)
偽りその他不正の手段により個人情報を取得してはならない。
あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。

次に掲げる場合については、適用しない。
・法令に基づく場合
・人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
・公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
・国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
・当該要配慮個人情報が、本人、国の機関、地方公共団体、適用除外事業者その他個人情報保護委員会規則で定める者により公開されている場合
・その他政令で定める場合

(取得に際しての利用目的の通知等)
個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。

次に掲げる場合については、適用しない。
・利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
・利用目的を本人に通知し、又は公表することにより当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合
・国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。
・取得の状況からみて利用目的が明らかであると認められる場合

(データ内容の正確性の確保等)
利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。

(安全管理措置)
取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために
必要かつ適切な措置を講じなければならない。

(従業者の監督)
従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、 従業者に対する必要かつ適切な監督を行わなければならない。

(委託先の監督)
個人データの取扱いの全部又は一部を委託する場合は、
取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

(第三者提供の制限)
あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。

次に掲げる場合については、適用しない。
・法令に基づく場合
・人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
・公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
・国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

(外国にある第三者への提供の制限)
外国にある第三者に個人データを提供する場合には、
あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。

(第三者提供に係る記録の作成等)
個人データを第三者に提供したときは、個人情報保護委員会規則で定めるところにより、
当該個人データを提供した年月日、当該第三者の氏名又は名称その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。記録は、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。

(第三者提供を受ける際の確認等)
第三者から個人データの提供を受けるに際しては、個人情報保護委員会規則で定めるところにより、 次に掲げる事項の確認を行わなければならない。
・第三者の氏名又は名称及び住所並びに法人の代表者の氏名
・第三者による当該個人データの取得の経緯

個人情報保護委員会規則で定めるところにより、当該個人データの提供を受けた年月日、
当該確認に係る事項その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。

(保有個人データに関する事項の公表等)
保有個人データに関し、次に掲げる事項について、本人の知り得る状態に置かなければならない。
・当該個人情報取扱事業者の氏名又は名称
・全ての保有個人データの利用目的
本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知しなければならない。

(開示)
本人は識別される保有個人データの開示を請求することができる。開示の請求を受けたときは、本人に対し、政令で定める方法により、遅滞なく、 当該保有個人データを開示しなければならない。

ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
・本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
・当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
・他の法令に違反することとなる場合
保有個人データの全部又は一部について開示しない旨の決定をしたとき又は当該保有個人データが存在しないときは、本人に対し、遅滞なく、その旨を通知しなければならない。

(訂正等)
本人が識別される保有個人データの内容が事実でないときは、内容の訂正等を請求することができる。請求を受けた場合には、その内容の訂正等に関して他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行わなければならない。
保有個人データの内容の全部若しくは一部について訂正等を行ったとき、又は訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。

(利用停止等)
本人が識別される保有個人データが利用目的に違反して取り扱われているとき又は適正に取得されていないときは、当該保有個人データの利用停止等を請求することができる。
請求を受けた場合であって、その請求に理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行わなければならない。
ただし、当該保有個人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

保有個人データが違反して第三者に提供されているときは、当該保有個人データの第三者への提供の停止を請求することができる。
請求を受けた場合であって、その請求に理由があることが判明したときは、遅滞なく、当該保有個人データの第三者への提供を停止しなければならない。
ただし、当該保有個人データの第三者への提供の停止に多額の費用を要する場合その他の第三者への提供を停止することが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

保有個人データの全部若しくは一部について利用停止等を行ったときしくは利用停止等を行わない旨の決定をしたとき、又は第三項の規定による請求に係る保有個人データの全部若しくは一部について第三者への提供を停止したとき若しくは第三者への提供を停止しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。

(開示等の請求等に応じる手続)
開示等の請求等に関し、政令で定めるところにより、その求め又は請求を受け付ける方法を定めることができる。この場合において、本人は、当該方法に従って、開示等の請求等を行わなければならない。本人に対し、開示等の請求等に関し、その対象となる保有個人データを特定するに足りる事項の提示を求めることができる。この場合において、個人情報取扱事業者は、本人が容易かつ的確に開示等の請求等をすることができるよう、当該保有個人データの特定に資する情報の提供その他本人の利便を考慮した適切な措置をとらなければならない。

(手数料)
開示の請求を受けたときは、手数料を徴収することができる。
手数料を徴収する場合は、実費を勘案して合理的であると認められる範囲内において、その手数料の額を定めなければならない。

(事前の請求)
本人は、請求に係る訴えを提起しようとするときは、その訴えの被告となるべき者に対し、
あらかじめ、当該請求を行い、かつ、その到達した日から2週間を経過した後でなければ、
その訴えを提起することができない。ただし、当該訴えの被告となるべき者がその請求を拒んだときは、この限りでない。

(個人情報取扱事業者による苦情の処理)
個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。
必要な体制の整備に努めなければならない。

罰則

個人情報保護法は罰則規定があります。詳細にはここに記載できませんが、簡易にまとめています。ご参考まで。

個人情報取扱事業者若しくはその従業者又はこれらであった者が、その業務に関して取り扱った個人情報データベース等 を自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、
1年以下の懲役又は50万円以下の罰金

個人情報保護委員会の命令に違反した者は、
6月以下の懲役又は30万円以下の罰金

次の各号のいずれかに該当する者は、30万円以下の罰金

  • 個人情報保護委員会に報告若しくは資料の提出をせず、
  • 若しくは虚偽の報告をし、
  • 若しくは虚偽の資料を提出し、
  • 又は当該職員の質問に対して答弁をせず、
  • 若しくは虚偽の答弁をし、
  • 若しくは検査を拒み、妨げ、若しくは忌避した者
  • 認定個人情報保護団体に対し報告をせず、又は虚偽の報告をした者

法人だけでなく行為者も罰せられる両罰規定です。

次の各号のいずれかに該当する者は、10万円以下の過料

  • 第三者が個人情報を提供する際に、個人情報取扱事業者に対して、名称や情報取得の経緯当該確認に係る事項を偽った。
  • 認定個人情報保護団体でない者が、認定個人情報保護団体という名称又はこれに紛らわしい名称を用いた。
  • 認定個人情報保護団体が認定業務の廃止届出をしないか虚偽の届出をした場合

個人情報保護法への対応について行政書士事務所としてご相談承ります。