第42問
「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン(平成 26 年 12 月)」の対象となっている個人情報として、最も不適切なものはどれか。
ア 企業が保有している雇用管理情報
イ 企業の財務情報等、法人等の団体そのものに関する情報
ウ 特定個人を識別できる情報ではないが、周知の情報の補完によって個人を識別できる情報
エ 日本国民ではない外国人の個人に関する情報
オ 防犯カメラに記録された情報等本人が判別できる映像情報
個人情報保護法
個人情報保護法に関しては、益々遵守の厳しさが増している分野なので詳しく知っておくべきところです。2018年にはEU一般データ保護規則(GDPR)も施行され、グローバル企業は特に慎重度合いを増している分野です。
その前に、前提となる「個人情報」の法律的な解釈を知っておきましょう。
法第 2 条(第 1 項)
この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
(1)
当該情報に含まれる 氏名、生年月日その他の記述等で作られる記録
(2)
個人識別符号が含まれるもの
個人に関する情報とは、氏名、住所、性別、生年月日、顔画像等個人を識別する情報、個人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表す全ての情報
例えば、注意すべきは会社のメールアドレスについてです。
tokumei @ XXXX社.co.jp ということであれば本人に関する情報が含まれないのですが、 aino_ueo @ XXXX社.co.jp であれば、XXXX社に「あいのうえお」さんという人がいる、ということが分かるので個人情報に該当するのです。
個人情報取扱事業者とは
個人情報保護法で個人情報を扱う「個人情報取扱事業者」の定義は下記です。
個人情報 データベース等を事業の用に供している者。ここでいう「事業の用に供している」の「事業」とは、一定の目的をもって反復継続して遂行される同種の行為であって、かつ社会通念上事業と認められるものをいい、営利・非営利の別は問わない。
ただし、国や行政、一部独立行政法人は、個人情報取扱事業者の対象ではありません。(※また別の法律のくくりとなる)
保護の範囲は?
企業が保有している雇用管理情報はもちろん、周知の情報の補完によって個人を識別できる情報、防犯カメラに映る個人を識別する情報については個人情報で保護されるべきものです。
また、個人情報は国籍や性別を問いませんから、海外の人であっても個人情報は守られるものです。
したがって、海外から旅行で訪日した観光旅行客の情報も保護の対象となります。
なお、法人格は「個人」には該当しませんが、「法人に属する個人」は当然ながら該当します。
よって答えはイとなります。
同意の確認や情報開示
実務上注意したい点としては、個人情報を得る場合は必ず該当する本人に対して利用目的などの同意を得なければなりません。同意は「口頭確認」でも良いとされますが、法的根拠となるよう書面での署名や同意部分へのチェック、ウェブ上ではクリックしなければ進めないなどの対策をとる企業が大半です。
第三者への提供は、その範囲に関して同意を得る必要があります。なお、フランチャイズの本部と加盟店、グループ会社、親会社と子会社など、これらの関係は第三者に該当します。なお、同一企業内の部署間の交換や、警察による捜査協力の場合は本人の同意なしに情報を提供することができます。
インターネット上で個人情報を取り扱う場合は、1クリック程度で移動できる範囲に個人情報保護法についての利用目的の情報提供をしなければなりません。
