複雑な条文を読み解き、共に考えた1時間
2020年は個人情報保護法の見直しの年にあたり、改正法は6月5日に成立、6月12日に公布されました。その施行は一部を除いて、公布後2年以内となっています。
そんな中、MarkeZineの調査プロジェクト「MarkeZine RESEARCH」がリリースした『マーケティング最新動向調査 2020』の刊行記念ウェビナーを6月15日に開催。弁護士の板倉陽一郎氏に、個人情報保護法の基本的なコンセプト、改正のポイント、企業が行うべき対応などを、複雑な条文を読み解きながらわかりやすく解説いただきました。まったく異なるコンセプトから生まれた欧州のGDPRと比較しながら行われた、貴重な講演の模様をお届けします。
「個人情報保護法」はどのような法律なのか
板倉陽一郎弁護士は、個人情報やプライバシーをめぐる各国の法規制を整理し、企業が取るべき対応について情報発信してきた。今回のウェビナーは「デジタルマーケティングは、いま何を問われているのか? GDPR・改正個人情報保護法などの法規制とビジネスの対応」をテーマとして、Zoomを使って解説が行われた。
板倉氏はまず、現行の個人情報の保護に関する法律(平成15年法律第57号、以下「個人情報保護法」)から解説を始め、その第1条で掲げられている「目的」に注目する。
この法律では、事業者が遵守すべき義務等を定めることで、個人情報の有用性に配慮しながら、個人の権利・利益を守るという形になっている。事業者が義務を遵守することで、反射的に個人の権利・利益が守られるというわけである。欧州一般データ保護規則(GDPR)のように個人の権利を「請求権」の形で定めることを中心にする法制も理論上可能であるが [※1]、日本の場合はそうなっていない。
また、「個人情報の有用性に配慮しつつ、個人の権利利益を保護する」と書かれている法律もそう多くはないという。消費者関連の法律では、最終的な目的として「消費者の利益を保護すること」と書かれていることが多いのだが[※2]、個人情報保護法はストレートな消費者保護法ではないので「個人情報の有用性に配慮する」という記述になっている。
以下の図は、個人情報保護委員会が個人情報保護法に関連する法体系をまとめたもの。「憲法・判例」の下にある「個人情報保護法」は総論としての個人情報保護法であり、左下にある「個人情報保護法」は民間事業者を対象として具体的な義務などを定めた部分を表している。その隣には「公的分野」をカバーする法律が別に用意されている。
現時点では個人情報保護法は民間事業者を対象にしており、公的機関は含まれていない[※3]。国の行政機関については「行政機関個人情報保護法」、独立行政法人等については「独立行政法人等個人情報保護法」、また地方公共団体(具体的に遵守することとなるのは都道府県庁、市町村役場、教育委員会、公立学校、公立病院など)が保有する個人情報については各地方公共団体が策定する「個人情報保護条例」が適用される。
「これらの公的部門の法律はマーケティングとは関係ない」と思うかもしれない。しかし、研究などで国立大学と連携する場合やインバウンド・マーケティングで自治体と一緒にプロジェクトを行う場合は、個人情報保護法だけでなく、これらの公的機関を対象とした法律を踏まえてスキーム等を組まないと違法となる可能性があると板倉氏は指摘する。
※1 GDPRは3章でデータ主体の権利が定められ(第12条~23条)、その後に4章、「管理者及び処理者」が来るという構成である。
※2 たとえば、不当景品類及び不当表示防止法(昭和37年法律第134号、景表法)第1条は、「この法律は、商品及び役務の取引に関連する不当な景品類及び表示による顧客の誘引を防止するため、一般消費者による自主的かつ合理的な選択を阻害するおそれのある行為の制限及び禁止について定めることにより、一般消費者の利益を保護することを目的とする。」とする。
※3 政府の行政機関及び独立行政法人等については個人情報保護法に一元化させるための検討が進んでいる。内閣官房「個人情報保護制度の見直しに関するタスクフォース」(令和元年12月25日~)の議論を参照。
事業者が守るべきルール
では、事業者は個人情報を取り扱う際、どんなルールを守るべきなのか。個人情報保護委員会がまとめた5つのルールを見ていこう。
まず、個人情報保護法では、(他国のデータ保護法と異なり)個人情報を取得する段階での同意を求めていない。取得段階では、利用目的を定めて、それを本人に通知等することが必要となっている。利用目的に関してはできる限り特定して通知すべきとされており、企業としてはなるべく広く情報を利用できるように記述したいところだが、あまり記述をゆるくすると「利用目的を特定できていない」ということで違法になる。
マーケティングにおいては、3つめの「個人情報を他人に渡す時のルール」が重要だ。個人情報を本人以外の第三者に提供する時は原則として本人の同意を得なければならない。第三者提供先が海外の場合は、さらに上乗せの義務がある。
そして最後に、個人情報の開示、訂正、利用停止の段階で「本人」が出てくる。個人情報保護法における「本人」とは、個人情報によって識別される特定の個人を指し、消費者だけでなく従業員なども含まれる。個人情報に関わる本人からの請求があれば事業者は対応することになる。
以上は簡略化して「個人情報」とのみ述べたが、法律上、「個人情報」「個人データ」「保有個人データ」は、取得から保管そして利用等に至る段階に応じて、それぞれ指し示す情報が違っている。
・個人情報:個人情報データベースに保管される前の、氏名や生年月日その他の記述等によって特定の個人を識別できるもの、および個人識別符号が含まれるものを指す。時々、誤解している人がいるが、「氏名や生年月日」が個人情報なのではない。それらの情報によって特定の個人が特定できる場合には、その生存する個人に関する情報すべてが個人情報となるのであって、氏名や生年月日はその例のひとつにすぎない。この段階では「取得・利用に関するルール」が適用される。
・個人データ:個人情報データベース等を構成する個人情報のことで、通常、第三者提供などで問題となるのはこの段階である。「データベース」は電子的なものをイメージしやすいが、紙のデータベースも含まれる。この段階では「保管に関するルール」と「提供に関するルール」が適用される。
・保有個人データ:保有個人データは、個人データのうち(本人が)開示・訂正・削除などの権限を有するものを指し、この段階では「開示等の求めに関するルール」が適用される。保有個人データについては6か月を超えて保有した場合、本人からの開示請求等に対応する必要があるとされていたが、今年の改正によってこの「6か月」の規定はなくなった。
以上が、個人情報保護法で押さえておきたい基本的な部分である。
データを提供する側/される側、どちらが規律に服するのか
ここで板倉氏はひとつ、複雑だがおぼえておいたほうがいいルールを挙げた。
個人データの一部を第三者に提供する際、個人情報のうち、特定の個人を識別できる情報だけをマスキングすれば個人情報ではなくなるから、本人の同意を得なくても第三者に提供してもいいのではと思う人もいるかもしれない。ここで問題になるのは、個人データを提供する側と提供される側、どちらを基準に容易照合性を判断するのかという点だ。
というのも、現在では民間事業者のIT化によって、通常の業務従事者の能力で照合できる範囲が拡大している。「このデータを切り離せば個人を特定できないだろう」と思って提供した先で、別のデータと照合することによって個人が特定できる可能性が高まっているのだ。
この状況を踏まえて、個人情報保護法では、個人情報を取得した事業者に、一義的に、本人の権利利益を保護する義務を課している(提供元基準)。したがって、個人情報データベース等の一部を提供するのであれば、それはすべて個人データの第三者提供にあたる。提供する部分に特定の個人を識別可能な情報が含まれていなくても(たとえば履歴情報のみであっても)、個人データの第三者提供の規律に服すことになり、提供元が本人の同意を取得する必要がある。たとえ提供先で個人を識別できなくても、個人の権利を保護する義務は提供元にあることに注意してほしい。