企業法務・企業再生のためのリーガルサービスを目指します 中島成総合法律事務所

コンプライアンス、リスクマネジメント、個人情報の保護

3 個人情報保護法

(1)個人情報保護法の制定と改正

日本では2003年5月23日に個人情報保護法が成立し、以後実質的な改正は一度も行われていなかったところ、個人情報漏洩・流通への対応、ビッグデータの活用の観点等からの見直しがなされ、改正案が2015年通常国会に番号利用法(マイナンバー法)改正案とともに提出されて同年9月3日に成立した。2017年5月30日から改正個人情報保護法が全面施行されている。

(2)国際的な状況

国際的には、OECD(経済協力開発機構)が1980年に採択したガイドラインで示した8原則が各国の個人情報保護法制の基礎となった。

  • EU(欧州連合)では、OECDガイドラインを基礎とする個人情報保護法を各国が制定していたところ、EU一般データ保護規則(General Data Protection Regulation:GDPR)が、2018年5月25日からEU加盟諸国で発効する。
    GDPRでは、基本的に個人データのEU域内からの移転が制限され、違反した企業への罰則規定が厳しくなっている。EUに子会社、支店、営業所を有している企業は注意を要することになる。
  • 日本では、OECD8原則を基本的に踏襲する個人情報保護法が2003年5月に成立し、上記のとおり2017年5月30日に改正個人情報保護法が施行されている。
  • 米国は、OECDの加盟国であるものの、包括的な保護法は公的部門対象のものしかなく、民間部門については、個別法と自主規制による対応になっている。
  • 中国は、OECDの加盟国ではなく、包括的な個人情報保護法が存在しない。個人情報保護は、多数の法令、規則等に散在する状態である。
(3)個人情報保護法(日本)の内容

個人情報保護法が定める事業者の個人情報取り扱いに関する基本的な内容は次のとおりである。

  • 個人情報の利用目的を特定させ、本人の同意を得ずに利用目的達成に必要な範囲を超えて個人情報を取り扱ってはならない。
  • 偽りその他不正の手段で個人情報を取得してはならない。
  • 個人情報を取得した場合は、利用目的を、本人に通知し、又は公表しなければならない。
  • 契約書等に記載された個人情報を取得する場合等は、あらかじめ、本人に利用目的を明示しなければならない。
  • 利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。
  • 原則として、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
(4)個人情報保護法改正(2017年5月30日全面施行)の骨子


内閣府資料

(5)個人情報の取扱と企業の責任

個人情報の漏えい等、個人情報に係る問題が発生した場合、企業は、個人情報保護委員会から行政上の責任を問われたり、個人情報保護法等に基づく刑事責任を問われたり(※)、損害賠償請求責任を負担したり(例えば、一人当たり5000円〜1万円。多数人の情報漏洩では多額の責任になる)、さらにレピュテーションリスクも生じる。

※ ベネッセコーポレーションの個人情報漏洩ケースで、本人と家族の姓名、性別、生年月日、住所等が外部に漏洩したことについて男性が10万円の慰謝料を求めたのに対し、個人情報の漏洩で不快感や不安を抱いてだけでは損害賠償請求権はないとした高裁判決を、最高裁2017年10月23日判決は、プライバシー侵害程度などの審理を尽くしていない等として破棄し、高裁に差し戻している。損害賠償請求が法的に可能となる個人情報の範囲は、必ずしも資産や健康、信条等のいわゆる機微情報に限らない点に注意する必要がある。

※ 個人情報データベース等不正提供・盗用罪(個人情報保護法83条:1年以下の懲役、50万円以下の罰金)
従業者による不正漏えい行為に対し、従業者に罰則が課される他、雇用している企業にも罰金が科され得る。

以上

≪ 2 リスクマネジメント 

目次へ戻る

お問合わせ

企業法務・倒産法・会社の民事再生 中央区銀座 中島成総合法律事務所