ソーシャルネットワーキングサービス(SNS) と 個人

個人情報保護について
弁護士法人龍馬
弁護士 舟木 諒,板橋俊幸
1
□
個人情報保護法の概要
2003年(平成15年)5月23日成立,
2005年(平成17年)4月1日全面施行。
◆成立の背景
プライバシー侵害
住民基本台帳問題
情報化社会
個人情報漏洩問題
国際上の問題
□
個人情報とは何か?
個人情報のライフサイクル
「個人情報」の管理(利用目的・提供・安全・開示等)
「利用目的」
の特定
個人
情報
取得
「利用目的」による制限内の取扱い
個人
データ
通知等
本人
利用
提供
第三者
委託先
保有個人
データ
開示・訂正等・利用停止等
本人
消去
個人情報とは?
「個人に関する情報で特定の個人を識別できるもの」
氏名,性別,生年月日等のほか,個人の身体,財産,
職種,肩書き等の属性に関して事実,判断,評価を表
す全ての情報。
書面だけでなく,口頭で取得した情報も含む。
・ 施設の行事における写真→識別できれば個人情報
・ メールアドレスは?:それ自体で氏名等が分かる場
合は個人情報になる。
① 利用目的の特定・制限
② 適正な個人情報の取得
③ 利用目的の通知・公表
取得場面
5
個人データとは?
個人情報のうち,個人情報データベース等を構成する
情報。
検索できるように体系的に
整理されたもの
受付簿・・・個人情報ではあるが,体系的に整理さ
れていないので,個人データではない。
①
②
③
④
安全管理措置
従業員の監督
委託先の監督
第三者提供の制限
管理
6
保有個人データとは?
個人データのうち,個人情報取扱事業者が,開示,内
容の訂正,追加又は削除,利用の停止,消去及び第
三者への提供の停止を行うことのできる権限を有する
もの。
① 利用目的・開示手続の公表
② 開示
自己情報コ
③ 訂正
ントロール
④ 利用停止
⑤ ②から④の手続きに応じない場合
の理由の説明
提供した具体的なサービスの内容等を記録するとともに、利用者からの
申出があった場合には、文書の交付その他適切な方法により、その情報
を利用者に対して提供しなければならない。 (指定基準19条2項ほか)。
7
「取得」~「個人情報」
・ 「個人情報を取り扱うに当たっては,その利用の目的をできる限り特定しなければ
ならない」(15条)
・ 「利用目的の達成に必要な範囲を超えて個人情報を利用してはならない」(16条)
ガイドラインに参考例が記載
(介護関係事業者の内部での利用に係る事例)
・介護サービスの利用者等に提供する介護サービス
・介護保険事務
・管理運営事務のうち,入退所等の管理,会計・経理,事故等
の報告,サービスの向上
(他の事業者等への情報提供を伴う事例)
・サービス担当者会議等,照会への回答
・家族等への心身の状況説明
etc.
サービス担当者会議等において、利用者の個人情報を用いる場合は利用
者の同意を、利用者の家族の個人情報を用いる場合は当該家族の同意を
、あらかじめ文書により得ておかなければならない(指定基準33条ほか)。 8
「個人情報」目的外利用の例外
若干の幅
目的外利用)目的達成に「必要な範囲を超えて」
例外
① 本人の同意
② 法令に基づく場合
③ 生命,身体又は財産の保護のために必要で,本
人の同意を得ることが困難なとき
④ 国の機関若しくは地方公共団体等に協力する場
合であって,本人の同意を得ることにより当該事務の
遂行に支障が生じるおそれがあるとき
例)家族が虐待をしているときに関係機関に家
族の情報を提供する場合(②~④)→ 合法。
9
「個人データ」第三者提供の例外
例外
① 本人の同意
② 法令に基づく場合
③ 生命,身体又は財産の保護のために必要で,本
人の同意を得ることが困難なとき
④ 国の機関若しくは地方公共団体等に協力する場
合であって,本人の同意を得ることにより当該事務の
遂行に支障が生じるおそれがあるとき
⑤ オプトアウト型
10
例外ー法令に基づく



不正受給者に係る市町村への通知
虐待にかかる通報
弁護士法23条の2に基づく照会
例外ー生命,身体,財産の保護
・ 意識不明で身元不明の患者について
関係機関へ照会する場合
・ 重度の認知症の高齢者の状況を
家族等に説明する場合
11
「個人データ」:管理上の義務
個人データの安全管理のための措置
• 組織的措置:体制の整備(責任者),社内規定の整備等
• 人的安全措置:研修・教育,誓約書
• 物理的安全措置:施錠,廃棄
• 技術的安全措置:アクセス制御,不正ソフトウェア対策
従業員の監督 ※ボランティアも含む
• 安全管理措置の規定の遵守,指導教育
委託先の監督
12
「保有個人データ」開示の例外
例外
① 本人又は第三者の生命,身体,財産の侵害する
おそれがある場合
② 業務の適正な実施に著しい支障を及ぼす場合
③ 他の法令に違反することとなる場合
13
個人情報取扱事業者の義務
1.個人情報の利用目的の特定・公表
→ 明確かつ具体的な目的が必要
2.個人の情報の開示
→ 本人の要求であれば原則として開示
3.個人情報の漏洩対策
→ 適正な措置、監督を行わなければならない
4.個人情報取扱の苦情対策
→ 迅速に処理
※ 対応しなければ、主務大臣より勧告や命令が下る
命令違反
6ヶ月以下の懲役または30万円以下の罰金
14