個人情報保護で守るべき法律は?

個人情報」は大事に取り扱わなきゃいけないっていうのは分かりましたけど、個人情報保護法ってあるんですよね?そしたら、その法律を守ってればOKってことですか?

もちろん個人情報保護法は大事です。でも、それだけ守っていればセーフという訳ではないんですよ。

違うんですか。ややこしい。

もちろん、個人情報保護法を守っていればリスクは大分少なくなります。でも、そもそも個人情報保護法って、すべての人が規制の対象になっている訳ではないんです。

え? どういうことですか?

個人情報保護法は、基本的に「個人情報取扱事業者」の義務を定めているんです。「個人情報取扱事業者」というのは、簡単にいえば個人情報を業務に使う人というイメージですが、この個人情報取扱事業者」にあたらなければ、個人情報保護法の義務を負わないんですよ。

え、じゃあその「個人情報取扱事業者」でなければ、個人情報を適当に取り扱ってもいいんですか?

もちろんそれはダメですよ。「個人情報取扱事業者」でなくても、個人情報を漏えいしちゃったりしたら、プライバシー侵害などで損害賠償請求を受ける可能性があります。この損害賠償は民法によるものですね。

民法個人情報保護法じゃなくて??何か違うんですか?

はい。どちらも個人情報を漏えいさせたりする行為を違法」と考えるのは同じです。でも、その2つは誰に対して義務を負うかというところに大きな違いがあります。乱暴ないい方をすれば、「違反したら誰に怒られるか」が違うっていうことですね。

誰に怒られるか?

個人情報保護法に書いてある義務は、国(行政)に対して負っているものです。だから、違反したら国(行政)に怒られるんですよ。一方、民法に書いてある義務は一般の人(私人)に対して負っているものですから、違反したら被害者から怒られます。

ええと? すいません、まだちょっとイメージが湧かないんですが・・。

交通事故で考えてみると分かりやすいかも知れません。交通事故を起こしたとき、免許停止とかをされますよね。これは国(行政)に対する義務の違反として国(行政)から怒られたことになります。

はいはい。

同じ事故で、人にケガをさせてしまったら、その人から損害賠償請求を受けます。これは、一般の人(私人)に対する義務違反ですから、一般の人(私人)に怒られたことになります。

なんとなくイメージはつかめましたけど、ややこしいですね。同じ「法律違反」じゃないですか。

確かにこのあたりはちょっと理解しづらいものだと思います。でも最低限、個人情報保護法国(行政)に対する義務を定めたもので、一般の人(私人)同士のルールを直接定めたものではないということは頭の片隅にでも置いておいてください。

分かりました。

でもじゃあ結局、どの法律を見て対策をとっていけばいいんでしょう?

いろいろややこしいことはいいましたけど、法律はお互いに整合性をとって作られていることも事実です。なので個人情報を仕事に使うような人は、やっぱり個人情報保護法」のルールを基本に考えて、対策をとっていくことになるでしょうね。

【解説】

(1) 「個人情報」に関係するたくさんの法律

個人情報」に関係する法律は、実は個人情報保護法だけではありません。

個人情報の漏えいによって起こる損害賠償請求は、民法に基づくものです。また、前にも触れたとおり、「個人情報」が「営業秘密」にあたる場合は、不正競争防止法のルールも適用されます。

更に、「個人情報」がメールアドレスを含む場合、いわゆる迷惑メール防止法(「特定電子メールの送信の適正化等に関する法律」)や特商法(「特定商取引に関する法律」)も関係してきます。

その他、国や地方公共団体の保有する「個人情報」に関しても、それぞれ特別な法律や条例が存在します。

 

(2) それぞれの法律の関係は?

ウェブサイトを運営する場合は、特に民法個人情報保護法に注意すべきでしょう。

個人情報保護法は、「個人情報取扱事業者」にあたる者の義務を定めているものですが、この「個人情報取扱事業者」にあたらなくても、個人情報の漏えい等があると民法により損害賠償を請求されることがあります。

今回の話で触れたとおり、個人情報保護法国(行政)に対する義務を定めたもので、一般の人(私人)同士のルールを直接定めたものではありません

この違いは、法律違反があったときの効果に影響を与えます。

どういうことかというと、個人情報保護法違反があったとき、違反した者に対して個人情報保護法に定められている不利益(行政指導や罰則など)を与えることができるのは国(行政)だけなのです。
言い換えれば、個人情報保護法違反があったとしても、被害者である一般人(私人)は個人情報保護法直接の根拠として法律上の請求をすることはできないのです。このとき一般人(私人)が使える法律は、民法になります。

この辺りの理解はやや面倒かと思いますが、個人情報保護を考えるにあたっては意識しておくべきでしょう。

 

(3) どの法律をみればいいの?

ウェブサイト管理者であれば、やはり個人情報保護法のルールを基本において対策をとっていくべきでしょう。

個人情報保護法は民法等の法律と違うものですが、法律は整合性も考えて作られていますし、実際、個人情報保護法を守ることで、民法や他の法律も広い範囲でカバーできるのです。

なお、前述したとおり、個人情報保護法は、「個人情報取扱事業者」を規制の対象にしています。

個人情報取扱事業者」の定義は下にあげておきますが、イメージとしては「個人情報」を業務に使う者がこれに該当します。

現在では5000件を超える「個人情報」を保有している者に限って「個人情報取扱事業者」にあたる旨を規定していますが、この5000件の要件は今後の改正での撤廃も議論されていることもありますので、やはり5000件の「個人情報」を保有していない者であっても、個人情報保護法を基本においた対策を考えるべきでしょう。

(個人情報保護法第2条3項)
この法律において「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。
1~4  (略)
5  その取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定める者

(個人情報の保護に関する法律施行令第2条)
法第2条第3項第5号の政令で定める者は、その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数(略)の合計が過去6月以内のいずれの日においても5000を超えない者とする。

 

弁護士への法律相談(初回30分無料)はこちらから。