« リコー国内グループ企業91社でISMS 1,284拠点、52,000名 | Main | 脆弱性の発見とマイクロソフトの対応 »

2004.12.22

個人情報保護法 頭の体操4

 こんにちは、丸山です。個人情報保護法 頭の体操です。企業で個人情報保護法の対応の話をしていると、これは、個人情報?、個人情報データベース等、保有個人データに該当するの?といった話がでてきます。

 【事例1】 当社は、訴訟に備えて弁護士の名簿を書店で購入しています。 弁護士の方から開示請求された時にこれも開示しないといけないのでしょうか?紙情報であり、内容の訂正、追加又は削除等はできないので保有個人データに該当しないと考え、現在保有個人データに該当しないことにしています。


【事例2】 契約書も個人情報に該当するのでしょうか?代表者名が入っているので、契約書一式が個人情報になり、また、契約書は番号をつけ番号順にファイルにつづって保管しているので、個人情報データベース等に該当するのでしょうか?コンサルタントの人には、「カルテも個人データに該当する。個人情報の記載がある契約書も同様に番号をつけて整理して保管しているので個人情報データベース等に該当する。」と、説明をうけました。


【事例3】 当社は銀行で、融資のために家族情報などを取得しています。たとえば、A野B太郎さんが融資をする場合には、(妻)A野C子、(娘)A野D美、(息子)A野E雄の年齢、職業等の情報を取得します。この情報は、借入期間にわたって保管しており、保有個人データになります。ところで、この情報について、A野C子さんから開示を求められた場合、この情報も開示する必要があるのでしょうか?A野B太郎さんの保有個人データになると思うのですが、A野C子さんとしてみると保有個人データにならないように思えますが、このような整理でよろしいでしょうか?

【事例4】&【事例5】 from DFC控え室から
・金融機関向け
・運送業向け

=============
このブログの中の意見は私見であり、所属する組織の意見ではないことをご了承ください。
=============

|

« リコー国内グループ企業91社でISMS 1,284拠点、52,000名 | Main | 脆弱性の発見とマイクロソフトの対応 »

Comments

丸山 様

夏井です。

いつも楽しく「頭の体操」を拝見しております。

今回の頭の体操のテーマは,個人情報保護法案作成担当者が予想していなかったものを多く含みますね。

ところで,「頭の体操」の一連のやりとりを観るにつけ,個人情報の「取得」が何を意味するのか,ということが本当に理解されていないんだなあということがよく分かりました。

たとえば,契約当事者が誰なのかということと個人情報の取得をするのは誰なのかということとは無関係なので,契約の名宛人でなくても取得者になる場合にがあることとか,通常の指名債権の譲渡や債権の流動化のような場合には,債権譲渡の民法上の有効性とは無関係に個人情報の第三者移転になってしまうことがあるとか,個人情報の共同利用の場合の共同利用者は理論的には全員取得者になることとか,個人情報に関する業務の受託者も受託者として取得することになることとか,そういった法解釈上最も初歩的かつ基本的なことが理解されていないことがあるようです。
個人情報の流通過程にある者の多くは,自分が最終取得者ではないという理由で個人情報を取得していないと考えることが多いようですが,実情を見ると中間者として取得した個人情報を自己のビジネスのためにも利用していることがほとんどですので,独立して個人情報を取得していると見るべき場合が圧倒的に多いでしょう。
また,利用停止が可能かどうかの議論についても,いろいろと指摘しなければならないことがありますね。たとえば,印刷物として出版された個人データベースでも,その全部を回収したり,特定箇所に墨を塗って削除したり,訂正用のシールを貼付したりすることが可能である限り,理論的には利用停止可能なものであるので保有個人データになり得ると思います。もともと「**紳士録」みたいな出版物の販売行為それ自体がもしかすると民法上は違法になることがあるかもしれないので,そうしたビジネスそれ自体を全面的にやめてしまったほうがいいかもしれません(スパム用のリスト売買は現時点でも違法行為になることが多いだろうと考えています。)。このような名簿業者が販売する名簿販売行為は,弁護士会などの団体が自らの組織の運営のために会員名簿を内部的に作成するのとは若干性質を異にするものだろうと思います。
更に,開示にしても,事業者の「所見欄」についてはそれを開示すると「著しい支障」があるという理由で開示しなくてもよいと書いてある解説書等が多いですが,学校の内申書や診断書や核廃棄物施設適地に関する報告書などに関連する裁判例を見てもわかるとおり,個人情報取扱事業者の主観的な理由で「支障」が認められることはありえない時代になってきていることを明確に認識すべきだろうと思います。むしろ,「所見」であっても間違いがあればそれを訂正する機会を与えることのほうが重要ですね。したがって,このような例で「支障」を理由に開示の求めに応じなくてもよいということは,通常はあり得ないと理解したほうがよいのではないかと思います。

などなどあれこれつらつら考えていると,個人情報保護法を来年4月から完全施行するのは完全に時期尚早ではないかという思いが日々強まっています。
政府は,勇気をもって完全施行の延期と法改正を検討すべきだろうと思います。

※ 施行を「せこう」と読む人がいますが「しこう」が正しい。ちなみに,施工を「しこう」と読む人がいますが「せこう」が正しい。

Posted by: 夏井高人 | 2004.12.24 at 08:13

 夏井先生、コメントありがとうございます。個人情報保護法を厳密に守ろうとすると、難しい面があります。法律に違反しても個人の権利利益を実質的にほとんど害さないにもかかわらず、法律を守ることにより社会的な便益が損なわれることもあると思います。
 それでも、法律違反となるので法律の対応をしなければなりませんね。このような場合、主務大臣も「個人の権利利益を保護するため必要があると認めるとき(第34条)」に該当しないので勧告をすることができないと思います。
 「個人の権利利益を保護する必要がないために勧告がないから法律違反をしてもよいのか?」という問題になるのですが、法律の専門家である弁護士が、「勧告がこないので法律違反をしなさい。」とは、職業倫理上いえないのではと思います。悩ましい問題です。
 法律の施行を遅らせる場合は、
=====
附則
(施行期日)
第一条 この法律は、公布の日から施行する。ただし、第四章から第六章まで及び附則第二条から第六条までの規定は、公布の日から起算して二年を超えない範囲内において政令で定める日から施行する。
=====
があるために、法律の改正が必要となりますね。
各論に入るとなんとも難しい問題があります。まだまだ頭の体操ネタが出てくると思います。
ふ~っ・・・

Posted by: 丸山満彦 | 2004.12.24 at 09:25

Post a comment



(Not displayed with comment.)




TrackBack

TrackBack URL for this entry:
http://app.cocolog-nifty.com/t/trackback/64462/2342043

Listed below are links to weblogs that reference 個人情報保護法 頭の体操4:

» 頭の体操にちょっとだけ挑戦 [東京ライフ]
自分のトレーニングも兼ねて、丸山さん@トーマツのBlogにある「頭の体操その4」にちょっとだけ挑戦してみます。 <事例1> これは開示請求されたらおそら... [Read More]

Tracked on 2004.12.24 at 11:12

« リコー国内グループ企業91社でISMS 1,284拠点、52,000名 | Main | 脆弱性の発見とマイクロソフトの対応 »