JP

渥美坂井法律事務所・外国法共同事業
印刷する

[コラム] A&Sスタートアップ法務の羅針盤 #02 個人情報の取り扱いに関して留意すべきポイント

header-startupipocolumn.png

個人情報の取り扱いに関して留意すべきポイント

A&Sスタートアップ法務の羅針盤 #02
2024.1.29
執筆者: 権藤孝典弁護士 (アソシエイト)
 
個人情報の適切な取り扱いは、顧客の信頼を確保する観点から重要であることは言うまでもありませんが、現代社会においてはもはや企業のスタンダートとして認識されており、個人情報漏洩等が起こった時のマイナスの影響は計り知れません。一方で、個人情報は事業者がこれを活用して自社サービスを拡充するという観点から重要なものといえ、個人情報保護法も個人情報の有用性に配慮しつつ個人の権利利益の保護を図るものとなっています。
 
個人情報の取り扱いは、スタートアップでも必ず問題になるところで、基本的な点を抑えておくと、さまざまな場面で対応がしやすくなります。そこで、今回は、個人情報の取り扱いに関して留意すべきポイントをいくつかピックアップして簡単にお話します。
 

1. 「個人情報」・「個人データ」

個人情報保護法では、「個人情報」と「個人データ」に関するルールが定められており、ある情報がどちらに該当するかによって、事業者のとるべき措置が変わってきます。そのため、それぞれ似た概念ではありますが、違いを明確に理解して、個人情報保護法上の対応を検討することが必要です。
 
(1)「個人情報」とは
 
「個人情報」の定義は個人情報保護法第2条第1項で定められており、簡単に整理すると次の①②に分類できます。
 
① 特定の個人を識別することができる情報(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)
② 個人識別符号が含まれる情報
 
生存する個人に関する情報で、①②のいずれかに該当すれば、個人情報保護法上の「個人情報」となります。
 
①は、氏名、生年月日、メールアドレス、防犯カメラの映像等さまざまなものが挙げられます。生年月日等はそれだけでは個人を特定できませんが、氏名と組み合わせた情報となっている場合、特定の個人を識別できる情報となり、一体として個人情報となります。メールアドレスはケースバイケースですが、会社のメールアドレスだと、「名前 会社の略称 .com」のようになっていることも多く、特定の個人を識別できるようであれば個人情報となり得ます。
 
②の個人識別符号とは、その情報だけでも特定の個人を識別できる番号、記号、符号等を意味し、顔認識データ、指紋認識データといった生体情報に関するデータや、パスポート番号、マイナンバー等の公的な番号等が例として挙げられます。
 
(2)「個人データ」
 
個人情報保護法では、個人情報のうち、パソコンの管理ソフトや台帳など(検索可能となっているもの)でデータベース化された情報に含まれるものを特に「個人データ」として厳しく取り締まっています。個人情報との違いを分かりやすく説明すると、個々の名刺に書かれた氏名等は個人情報ですが、それを業務用パソコンの表計算ソフト等に入力して他の名刺情報とともに体系的に整理している場合には、当該名刺の情報が個人データとなります。
 

2. プライバシーポリシー

(1) プライバシーポリシーの役割
 
個人情報の取り扱いというとプライバシーポリシーを思い浮かべる人が多いと思います。プライバシーポリシーは、個人情報をはじめとするパーソナルデータ全般の取扱方針を定めたもので、パーソナルデータを適切に管理していることを対外的に示すとともに、個人情報保護法で公表が求められる事項を公表する手段としても用いられています。
 
(2)  プライバシーポリシーの記載事項
 
プライバシーポリシーの作成や記載事項は法律で定められているものではありませんが、上記プライバシーポリシーの役割を踏まえ、法律上公表が求められる事項については、必要な範囲で通常記載がなされます。具体的には、事業者の名称・住所・代表者名、利用目的、情報の開示・訂正等の手続・手数料、第三者提供に関する事項、共同利用に関する事項等が法律上必要な範囲で記載されます。
 

3. 個人情報の取得

スタートアップにおいて、ユーザーへのサービス提供や、採用活動等に際して、氏名、連絡先等の個人情報を取得することは頻繁にあると思いますが、こういった個人情報の取得をする場合には、利用目的をあらかじめ公表しておくか、直接本人に通知・公表しなければなりません。ここでの利用目的は、抽象的な記載では足りず、個人情報が実際にどのような目的でどのように利用されるのか分かるように具体的に特定することが求められます。例えば、「マーケティング活動に利用します」といった記載では具体的な特定がなされているとはいえず、「商品の発送、●事業に関連するアフターサービス、新商品・サービスに関する情報のお知らせのために利用します。」といった形で利用目的を特定する必要があります。
 
また、契約締結などに際して直接本人から書面や電磁的方法で個人情報を取得する場合には、あらかじめ利用目的を本人に「明示」しなければならないとされています。そのため、例えば、プライバシーポリシーで利用目的を公表している事業者の場合、インターネットのサイト上でユーザー登録を受けるのであれば、その登録過程でプライバシーポリシーの利用目的をユーザー本人がきちんと確認できるような仕組みとしておく必要があります。

 

4. 業務委託する場合

個人データについては、これを第三者に提供しようとする場合、法律上、原則として本人の同意が必要となり、提供に係る記録の作成等が求められます。しかし、個人データの取り扱いの委託に伴って提供がなされる場合には、例外的に当該委託先は「第三者」ではないこととされ、本人の同意や記録の作成等が不要となります。(ここでいう「委託」とは、具体的には、個人データの入力、編集、分析、出力等の処理を行うことと理解されています。)
 
そのため、業務委託に伴って委託者の有する個人データを委託先に提供する必要がある場合、特に本人の同意等は必要となりません。
 
ただし、この場合、委託者は、個人データについて安全管理措置が適切に講じられるよう、委託先に対し必要かつ適切な監督をしなければなりません。具体的には、個人データの安全管理措置が適切に図られるような内容の委託契約を締結したり、委託先による個人データの取り扱い状況を把握できるような体制を構築しておくことが望ましいとされています。

 

5. その他

個人情報保護法上のパーソナルデータの概念は、「個人情報」や「個人データ」以外にも細かく分類されており、その取扱いはそれぞれ異なります。また、上記で説明したポイント以外にも気を付けるべき点はたくさんあるため、事業者としては対応が難しいケースもあるかもしれません。そのような場合には、個人情報保護委員会が出しているガイドラインやQ&A(https://www.ppc.go.jp/personalinfo/legal/)を確認してみたり、弁護士に相談してみると良いかもしれません。
 
以上
 

著者等

権藤 孝典
アソシエイト

権藤 孝典 Takanori Gondo

お問い合わせ

関連リンク