2020年7月30日、次のような報道がありました。

 

破産者の個人情報を違法掲載のウェブサイトに初の停止命令　応じなければ刑事告発も

 

「政府の個人情報保護委員会は２９日、多数の破産者の氏名や住所などの個人情報をウェブサイトに違法に掲載している２つの事業者に対し、個人情報保護法に基づいてサイトを停止するよう命令を出したと発表した。同委員会による停止命令は初めて。…」（東京新聞より引用）

 

　ここで問題となったのは、2019年3月ころに物議をかもした「破産者マップ」の後続サイトです。

　「破産者マップ」に関する詳しい経緯については、「破産情報のオンライン拡散問題への対策」（衆議院議員松平浩一氏）でまとめられていますので、こちらをご参照ください。

 

　これらのサイトでは、破産者に関する情報をデータベース化して検索できるようにしたものです。「破産者マップ」では、GoogleMAPに連携させることで、破産をした人の住所地をマップ上にピンを置いて可視化されていました。

 

　そもそも、借金が膨れ上がり、分割返済も困難となった時に、法的に救済する制度として破産制度があります。

　具体的には、裁判所に破産手続きを申立て、裁判所に免責が認められれば、債務を返済しなくてよくなります。ただ、破産申立てをした際には、その旨と氏名や住所などが官報に掲載されることが法律上決まっています。

　「破産者マップ」やその後続サイトは、この官報によって公開された情報をそのままデータベース化し、利用したものなのです。

 

　では、これにどのような問題があるのでしょうか。

　もしかしたら、「公開されているんだから、別にどう使おうがいいのでは？！」と思われた方もいるかもしれません。

 

　しかし、これはやはり個人情報保護法との関係で大きな問題があります。

　今回は、すべて事業者が対応を求められている個人情報保護法の制度について、基本を確認していきましょう。

　「個人情報保護法」という法律は、個人の利用者や消費者の個人情報の取り扱いについて、企業や事業者に取り扱い上のルールを課すとともに有効に活用できるルールも取り決めたものです。

 

　この個人情報保護法には、少し前に大きな改正がありました。

　平成29年5月30日から施行された改正個人情報保護法では、それまでは一定規模の事業者のみに課せられていたのですが、すべての事業者に適用されることとなりました。

　そのため、今では、事業として行ったその日から、すべての事業者がこのルールを守らなければいけません。

　実はこのことを知らずに事業をされている方が結構おられますので、要注意です。

 

　ここではポイントを確認しておきましょう。

「個人情報保護法ハンドブック」（個人情報保護委員会）、

「子どものための個人情報保護法ハンドブック」（個人情報保護委員会）をご参照下さい。

 

 

①対象となるのは「個人情報」と「個人識別符号」！

　「個人情報」は、氏名や生年月日などの特定の個人を識別できる情報です。情報の組み合わせによって識別できるのであれば、それは個人情報になります。

　「個人識別符号」は、その情報だけで個人を識別できる文字、番号、記号などです。指紋や免許証番号などがこれに当たります。

　そして、これらの情報をデータベース化したり、検索可能な状態にしたものを「個人情報データベース等」といいます。

 

 

②個人情報の利用は、利用目的を特定してあらかじめ公表するか、通知がする！

　個人情報を取得する場合には、利用目的をできるだけ特定しなければいけません。

　その上で、その利用目的をあらかじめ公表しておく（プライバシーポリシーの公表など）か、本人に通知する必要があります。　

ただし、人種・信条・病歴・前科などの「要配慮個人情報」については、利用目的の特定、公表や通知に加え、あらかじめ本人の同意が必要となります。

 

 

③取得した個人情報は利用目的の範囲内でのみ利用できる！

　そして、取得した個人情報はあくまでも利用目的の範囲内で利用しなければいけません。

　それ以外のことに利用する場合は、あらかじめ本人の同意を得なければなりません。

　なお、この同意を得ずに、利用目的外で利用していたことが問題になったケースとして、リクナビの内定辞退率流出の問題があります。この件でも、あらかじめ定めて公表していた利用目的の範囲を超えて個人情報を利用していたことが問題となり、個人情報保護委員会から行政指導を受け、大問題となりました。

 

 

④個人データの安全管理のために必要な措置をとる！

　個人情報の漏洩が生じないように、企業や事業者の内部で安全に管理しなければならないのはもちろん、業者や委託先にも安全管理を徹底する必要があります。

　各種安全措置の内容は「個人情報保護法ハンドブック」（個人情報保護委員会）から引用した一覧表でご確認ください。

 

 

⑤個人データを第三者に提供するならあらかじめ本人の同意が必要である！

　個人データを第三者に提供する場合、原則としてあらかじめ本人の同意を得なければなりません。

　また第三者に個人データを提供した場合には記録を残す必要があります。

 

 

⑥本人から開示請求があれば、開示しなければいけない！

 

　保有個人データの開示請求を受けたときは、本人に原則として当該データを開示しなければならない。

 

さらに詳細を調べたい方は、「個人情報の保護に関する法律についてのガイドライン（通則編）」（個人情報保護委員会）でご確認ください。

なお、個人情報保護委員会のHPには様々な情報が掲載されており、中小企業向け「自己点検チェックリッスト」などもあります。

個人情報保護法によって事業者に課せられるルールの中心となる部分がこれら①〜⑥です。

そこで、実務上は、オンライン上で取引が完結する場合はもちろんそうでない場合も、あらかじめ利用目的や第三者に提供する場合のことを規定した独自の個人情報保護方針＝プライバシーポリシーというものをホームページ上で公開しておくことが多いです。そうして一般に周知しつつ、ECサイトではオンライン上で全てを完結するため、利用規約の中にプライバシーポリシーに従う旨を明記しつつ、プライバシーポリシーに明記された第三者に提供する場合があることについて、同意をえておくことになります。

プライバシーポリシーを定めていない事業者は、是非この機会に策定しましょう。