« 「調査業務適正化法」 自民党が新法提出へ | Main | 名古屋高裁 可児市電子投票 無効! »

2005.03.11

個人情報保護法 頭の体操13

 こんにちは、丸山満彦です。個人情報保護法 頭の体操です。今回は、保有個人データの削除です。

  
【Q】ある会社の懸賞付アンケートに答えました。利用目的として、「懸賞の当選時の商品の発送」、「ダイレクトメールの送付」、「商品勧誘の電話をする」ことが記載されていました。アンケートに答える時はあまり気にせずにいました。その後、様々なダイレクトメールが送付され、商品勧誘の電話も頻繁にかかってくるようになりました。あまりにも多くのダイレクトメールが送付されてくるし、電話もジャンジャンかかってくるので、私の保有個人データを消去してもらおうとお願いすることにしました。ホームページから保有個人データ消去の申請書をダウンロードして申請しました。ところが、その会社からのダイレクトメールも電話もなりやみません。たまりかねて保有個人データについての苦情窓口に電話をして、保有個人データ消去申請した旨を説明し、消去するようにお願いしたところ次の回答がありました。「あなたの個人情報を取得する際に、当社は法16条、17条に違反していなかったので消去する義務はない。もし、消去してほしければ、消去費用として25,000円を所定の口座に振り込め。そのことは、ウェブにも掲載しているはずだ。」
 確かに調べてみるとウェブページに「法16条、17条に違反していない場合で保有個人データの消去を望む場合は、消去手数料25,000円を所定の口座に振り込んでください。溶解処理をするための実費相当分をいただくことにしています。」と記載されています。
 利用停止については、手数料がとれないので無料かとばかり思っていました。法16条、法17条違反していない場合で保有個人データを消去するためには、このように手数料をとることができるのでしょうか

==========
第二十七条 個人情報取扱事業者は、本人から、当該本人が識別される保有個人データが第十六条の規定に違反して取り扱われているという理由又は第十七条の規定に違反して取得されたものであるという理由によって、当該保有個人データの利用の停止又は消去(以下この条において「利用停止等」という。)を求められた場合であって、その求めに理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行わなければならない。ただし、当該保有個人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
==========

実際に、これに近いことをしている事業者もいるようですね・・・

|

« 「調査業務適正化法」 自民党が新法提出へ | Main | 名古屋高裁 可児市電子投票 無効! »

Comments

始めまして。この前CPC(サーティファイドプライバシーコンサルタント)に合格しました。
浅い知識から考えると、この件に関しては合法ではあると思います。
ただ、お客様がその企業に対して、不信感などを持ち、それが媒体を通じて他のお客様に広がり、企業の利益、イメージを減少させると考えると、この企業は削除に応じたほうがいいのではないかと思います。
また、クレーマー対策として削除にお金をかけるというのはいいとは思います。ただ、2万5千円は高いです。とらないか、クレーマー対策として2~4千円程度とるという改善を行う必要があると思ういます。
精神に異常をきたしたなど他の法令との兼ね合いは良く分かりません。

Posted by: 角本 | 2005.03.11 at 09:06

架空の事例なので何とも言えませんが,もしこのとおりだとすれば,手数料の額を含め,この会社のWebに掲載されている条件は公序良俗に反するものとして無効ですね。

無効な条件を平気で掲載している企業は,当然,主務大臣から行政監督を受けるべきでしょう。

Posted by: 夏井高人 | 2005.03.11 at 09:13

丸山様、はじめまして。某企業で個人情報事故対応担当をしております。さて、どこに書いていいか、わからなかったので、こちらに書かせていただきます。ITメディアの特集の「事故発生時の対応のポイント」で、丸山様は「事件の公表など」の「2.事実関係の本人への通知、公表など」で、「本人へ通知できない場合」として、「会社との取引があること自体を家族や
他人に知られたくない場合もある」とされていますが、これは事前に事故の場合の連絡を拒否するという許諾が無い限り、現実的ではないと考えますが、実際、workしますでしょうか?

Posted by: 吉田洋 | 2005.03.11 at 12:03

いつも興味深く拝見させていただいております。

1.保有個人データ消去のための手数料について

個人情報保護法第30条では、

個人情報取扱事業者は、第24条第2項の規定による利用目的の通知又は第25条第1項の規定による開示を求められたときは、当該措置の実施に関し手数料を徴収することができる

となっているので、これ以外の措置に関して手数料を取ることは、"個人情報保護法上は"マズイのではないでしょうか?

2.契約(合意)の有効性について

上記1.で法律上(個人情報保護法上)、「保有個人データの消去」に関する規定がないという点を前提にすれば、あとは『私人間の契約(合意)』の有効性を争うことになるのではないかと思います。

個人情報の利用目的に関してはWebに載せておきさえすれば良い(個人情報保護法違反にならない)と思いますが、個人情報保護法に規定されていないことについては、私人間のオプショナルな契約(合意)行為であり、それが有効かどうかは、正当な契約的な合意があったかどうかが判断ポイントになるのではないでしょうか?

「保有個人データの消去」に費用を要するという点で十分な説明を受けていないし、その点については合意をしていないので、この「個人情報利用契約」の無効を主張するのでしょう。

ただし、この申し込み時(アンケート回答時)にきちんとこういった説明(消去については、お金が必要ということ)が表示されており、それを読まないと合意ボタンが押せないようになっていたり、クッキーなどで読んだ(そのページを見た)という証拠が取られていたりすると、いくら無効を主張したとしてもダメかもしれないですね・・・。

夏井先生のおっしゃっているように、こういった場合に、公序良俗に反するということで無効と判断してもらうと、一市民としては非常にありがたいです。しかし、実際問題として「保有個人データの消去費用」(消去のためにお金を取ること、および金額の妥当性)について、「公序良俗違反」を主張するのは厳しいのではないかと思っているのですが(勝手な思い込みかもしれないのですが)、実際のところどうなんでしょうか?

特に、主務大臣はあくまで「行政権の行使」を行うだけなので、個人情報保護法上に権限が規定されていない領域(公序良俗)まで踏み込んで対応してくれるとは思えないのですが・・・。

まあ、公序良俗、契約の無効、どちらで争うにしても一市民としては大変なので、こういった問題解決にこそ主務大臣が主体的に/迅速に動いてくれることを期待たいのですが。


Posted by: uzen | 2005.03.11 at 12:59

uzen 様

夏井です。

コメントありがとうございます。

私から解説したほうがよさそうなのでちょっとだけ解説します。実例は,いずれ丸ちゃんから紹介があるのではないでしょうか?

まず,個人情報保護法に基づいて個人情報取扱事業者が「手数料」を徴収することができるのは当然のことなんですが,では「手数料とは何ぞや?」ということが法解釈上の大きな問題となります。この解釈をどうするかによって金額も自動的に定まるという論理構造になっている問題です。

本問は,まさにそれをきちんと理解しているかどうかを問う基本的な問題だと理解しています。

一般的には,郵送料やコピー代などの実費が「手数料」であると解釈されております。
もちろん,人件費を「手数料」に転嫁したり,利潤を「手数料」に上乗せして請求したりすることは違法です。
個人情報保護法上の義務の履行によって個人情報取扱事業者が利得してしまうことは許されません。
人件費についても,個人情報保護法の遵守は事業者としての当然の法的義務なので,義務履行のための費用として予算化しておくべきものということになりますから,手数料に転嫁することが許されません(転嫁すれば違法です。)。

なお,手数料も当然予算化しておくべきだという意見もありそうですが,立法者は,郵送実費くらいは請求者負担にすべきだと判断して立法したことになりますね。

私のコメントは,そのような手数料として相当な額を超える金額がWebサイトなどで示された場合の法的効果について述べたものです(一般的には,1000円を超えることは異常な事態)。この法的効果の問題は,民法の解釈の問題であり個人情報保護法の解釈の問題ではありません。

そして,手数料の徴収それ自体については法的義務の履行に付随してなされるもので個人情報保護法でも認められていることですので,契約がなくても徴収することが可能なことは明らかです。
問題は金額なのですが,多くの事例には合意の存在が推定されることになるとはいえ,約款などによる大量処理であっても有効と判断されることが多いと思われます。立法に関与した学者の多くが民法学者ではなかったため,手数料の法的性質については,本当は,専門家の間でもきちんと議論されていません。
以上を前提にして,契約なり約款なりで定められている金額のうち合理的な金額を超える部分の法的性質を論じなければならず,それは,民法上,公序良俗に反するものとして無効になります。この点についての有効な反対説は存在しないだろうと思います。

もちろん,形式的に合理的な額を超えて提示されている手数料額であっても全部無効となるわけではなく,社会通念上合理的と判断可能な金額の範囲内では有効なので,厳密には一部無効ということになるかもしれません。
なお,無知のために間違って多額の「手数料」を支払ってしまった場合には,本人は,合理的な額を超える手数料名目の金額部分を不当利得として返還請求をすることができます。これも民法の解釈上当然のことです。

ちなみに,手数料を徴収すること及びその額については,契約当事者の一方が消費者である場合には,消費者契約法に定める重要な事項となると思われるので,契約に際して予め明示しておかなければ違法行為となると解されます。ですから,厳密にはWebで掲示しただけでは,個人情報保護法違反にはならないかもしれないけれど,消費者契約法との関係では違法であることになるかもしれません。

これ以上詳細に書くと模範解答を書いてしまうことになり,丸ちゃんから怒られそうなのでやめときます。(笑)

参考文献としては,岡村久道先生の書かれている『個人情報保護法』などが参考になりますので,お読みください。

Posted by: 夏井高人 | 2005.03.11 at 13:29

夏井 様

さっそくのコメントありがとうございます。

> まず,個人情報保護法に基づいて個人情報取扱事業者が「手数料」
> を徴収することができるのは当然のことなんですが,

> そして,手数料の徴収それ自体については法的義務の履行に付随して
> なされるもので個人情報保護法でも認められていることですので,
> 契約がなくても徴収することが可能なことは明らかです。

この点についてこだわるようで申し訳ないのですが、私が誤解をしているようなので、確認をさせてください。

個人情報保護法第30条に基づき、利用目的の【通知】や【開示】手続きに関して手数料を徴収することはできるはずですが、

(1)保有個人データの【消去】についても、個人情報保護法第30条に基づき「手数料を徴収することができる」ということなのでしょうか?

それとも、

(2)保有個人データの【消去】については、私人間の契約(民法上の問題)として、手数料を取っても良いということでしょうか?


> 私のコメントは,そのような手数料として相当な額を超える金額が
> Webサイトなどで示された場合の法的効果について述べたものです
> (一般的には,1000円を超えることは異常な事態)。この法的効果
> の問題は,民法の解釈の問題であり個人情報保護法の解釈の問題
> ではありません。

この点が「民法上の解釈の問題」になるのであれば、上記(1)に基づき、個人情報保護法第30条の手数料の金額の妥当性(=「実費を勘案して合理的であると認められる範囲内において」という文言の解釈)の判断をされているのではなく、一般的な契約、つまり上記(2)の手数料の妥当性を論じられているように読めて、ちょっと私の頭がこんがらがっています・・・。

Posted by: uzen | 2005.03.11 at 14:37

uzen 様

夏井です。

解答を書いてはいけないと思い,わざわざ条文番号を示さずに説明をいたしました。
誤解を招いてしまったようですので,お詫びして補足します。
丸ちゃんごめんなさい。

まず,そもそも「利用停止の求め」ができるのかという問題がありますが,おそらく,DMの送付等の行為を「目的外利用」として解釈することが可能と思われる事案なので,個人情報保護法16条違反を理由に利用停止の求めをすることができる事案ではないかと思われます。
仮に16条違反等の事実が認定できない場合でも,違法なDMなどの送付の根源に当該システムがあるということが証明できれば,少なくとも過失責任として損害賠償請求をすることができそうです。しかし,利用停止請求については,ちょっと面倒な法的ノウハウを駆使しないと駄目です。いろいろと事情もあるので,ここでは詳論を避けますが,民法上,全く不可能ではありません。

次に,個人情報保護法30条は25条の開示の場合の手数料を定めた条項ですので,反対解釈としてそれ以外の場合には,個人情報保護法を根拠として手数料の徴収ができないと解することが可能と思われます。
しかし,個人情報保護法以外の法的原因に基づく実費等の徴収を禁止する法律ではないと解しています(もちろん,すべて無償とするのが理想でしょうが,現実には無理でしょう。)。
そして,個人情報保護法以外の法的根拠に基づいて手数料を徴収する場合でも,その金額の合理性については個人情報保護法の解釈を前提に同一基準に従うべきものと解されます。

そして,手数料を徴収することができる場合を前提に,個人情報保護法で認められている「手数料」とは,どの場面でも郵送等の実費に限定されるということをこれまでのコメントでヒントとして説明しました。

しかし,仮にデータの消去の場合に何らかの根拠に基づいて手数料を徴収できるとしても,システム内に記録されたデータの「消去」それ自体に「実費」が発生するでしょうか?

もちろん,電子メールの送受信や電話などに要する普通の通信費などが発生することもあり得ますが,それは通常業務の範囲内であれば本人に転嫁することの許されないものだと思います。

すると,データの単なる消去の場合には,合理的な金額の範囲内にある実費額としては,一般に0円の請求権しかないことになります(ただし,事案により,削除したことの通知のための実費として数十円程度までは合理的と認められる場合も全くないとは断定できません。そのような特別の事例では,その数十円の金額の範囲内であれば民法上も有効なので合意または約款によって課金可能と思います。)。

そして,0円が合理的な金額である場合には,1円以上の金額全部について,公序良俗違反として無効だと解釈すべきだと思います。

ここまでが民法上の契約または約款等に基づく場合の説明です。

なお,個人情報保護法では,利用停止に伴い多額の費用を要するときは利用停止をしなくてよいことになっていますので,この場合に利用停止に伴う多額の費用を本人に転嫁することも違法です。
それどころか,多額の費用をかけないと利用停止できないような不合理なシステムを運用していることそれ自体が個人情報保護法上の基本原則及び安全管理措置義務違反(民法では善良なる管理者の注意義務違反)ともなるし全体として違法なシステムであると判断されるので,そのようなシステムにデータを記録したことそれ自体を請求の原因として,本人から個人情報取扱事業者に対して不法行為に基づく損害賠償請求及びシステムの利用差止請求をすることができるのではないかと考えられます。

つまり,どうやってみても本設問の事業者は本人に課金することができないどころか,逆に本人に対して賠償義務を負いそうだということになります。

現実に,巷では,そのようなアクドイやり方で金儲けをしようとしている業者もいるらしいと仄聞しております。
そのような個人情報保護法の遵守に見せかけた悪徳商法をはびこらせないために,裁判所は,毅然として態度で「違法」の認定をすべきでしょう。

Posted by: 夏井高人 | 2005.03.11 at 15:33

皆様、こんにちは、丸山満彦です。ちょっと、仕事をしているスキに・・・(笑)。

 個人情報保護法の基本理念で「第三条 個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであることにかんがみ、その適正な取扱いが図られなければならない」となっていますね。この理念が、どれほど民事裁判上の違法性の判断要素となるかは分かりません。しかし、少なくとも、個人情報を適正に取り扱うこと、本人の権利利益の保護を目指している個人情報保護法の精神から外れた行為とはいえそうですね。公序良俗に違反しているので高額な手数料は無効であるとして無料で利用停止をさせるとか、具体的な精神的な苦痛を味わうことになった(仕事中や夜中にも電話がかかってくるとか・・・)などを主張し利用停止させることができるのではないでしょうか? 
 とはいえ、一市民が法人を相手に戦うことは容易ではありません。苦情が多い企業の一覧を公開するなど様々な手法を用いて、悪徳な事業者の餌食にならないように注意喚起してほしいところです。

 悪貨が良貨を駆逐しない社会、誠実な企業が生き残れる社会、誠実な人が正しく評価される社会になるように、立法、司法、行政、国民が英知を結集しないとだめですよね・・・。

 回答になっていない?って・・・。夏井先生が私が思いもつかなかった点まで踏み込んで回答しているし・・・。
 みなさま、これからもよろしくお願いします。

Posted by: 丸山満彦 | 2005.03.11 at 16:19

夏井 様

(a)
> 次に,個人情報保護法30条は25条の開示の場合の手数料を定めた条項ですので,
> 反対解釈としてそれ以外の場合には,個人情報保護法を根拠として手数料の
> 徴収ができないと解することが可能と思われます。

(b)
> しかし,個人情報保護法以外の法的原因に基づく実費等の徴収を禁止する法律
> ではないと解しています

(c)
> そして,個人情報保護法以外の法的根拠に基づいて手数料を徴収する場合でも,
> その金額の合理性については個人情報保護法の解釈を前提に同一基準に
> 従うべきものと解されます。

(d)
> そして,手数料を徴収することができる場合を前提に,個人情報保護法で認めら
> れている「手数料」とは,どの場面でも郵送等の実費に限定されるということを
> これまでのコメントでヒントとして説明しました。

(e)
> しかし,仮にデータの消去の場合に何らかの根拠に基づいて手数料を徴収できる
> としても,システム内に記録されたデータの「消去」それ自体に「実費」が発生
> するでしょうか?

(a)より
個人情報保護法上は、「保有個人データの【消去】」について手数料を徴収することはできない。

でも、

(b)より
「保有個人データの【消去】」について、仮に手数料を取るようになっていたとしても私人間の契約(民法上の問題)に帰結するので、即法令違反にはならない。
(どんな場合でも1円たりとも手数料を徴収してはいけないなどとは法律上明文化されていない)

しかしながら、

(c)より
問題は金額であり、その手数料の金額の妥当性の判断は、個人情報保護法の解釈との整合性を担保するように行われるはずなので、個人情報保護法第30条の判断ロジックが援用されることになるだろう。

となると、

(d)より
個人情報保護法の手数料の金額の妥当性判断ロジックとしては、「郵送等の実費に限定」(実費を勘案して合理的であると認められる範囲)となっている。

その結果、

(e)より
システム内に記録されたデータの単なる「消去」については、実費が発生するとは思えない。
0円ではないことを合理的に説明できれば別だが、普通に考えれば0円が妥当(合理的)だろう。


・・・と考えてくれば、「保有個人データの【消去】」について、2万5千円もの料金を取る行為は、「暴利行為」に当たるとして、民法第90条の公序良俗違反と解釈することになるだろう。

ということですね。この辺り、特に気になっていたので、大変勉強になりました。
ありがとうございました。


Posted by: uzen | 2005.03.11 at 16:45

皆様方

始めにコメントを書いた角本です。
皆様のコメントを読むと開示と削除が頭の中で一緒になっていたと気づきました。
手数料ひとつとってもさまざまな観点から考えないといけないと視野がひろくなった感じました。

基本的な質問があるのですが
①利用停止の条件として「データが事実ではない」「適正な取得に違反している場合」「利用目的による制限に違反している場合」とあるのですが、利用目的にDMを送ると書いていて、それに同意して登録をしているので、会社としては違法ではないのでは?また削除依頼にも応じる必要がないのでは?
②開示の場合となりますが、手数料の概念ですが、私が持っている2冊の本には本人確認に実施する手間などの人件費を考慮して2000円前後になるのではと書かれています。このような人件費は考慮しないほうが他の法律を含めると良いのでしょうか。
③この件とはかけ離れていますが、たとえば、本に記載することが目的の場合の収集で、本が出回っている場合と考えると、消去に莫大な費用がかかり、削除要求に応じないでよいとなり、その場合、収集時の目的がそのような場合、25000円で訂正するという文章は、消費者のためにどのような場合でも消去に応じますという良い宣言だと感じますが、その場合でも課金が違法だという可能性はあるのですか。

覚えはじめたばかりですので、変な、的を得ていない質問かもしれませんがよろしくお願いします。


Posted by: 角本 崇 | 2005.03.11 at 16:51

丸山 様

夏井です。

某氏から私信の電子メールで質問を受けたので,ここで応えさせてください。

質問の趣旨は,要するに,「多額の費用をかけないと利用停止できないような不合理なシステムを運用していることそれ自体が個人情報保護法上の基本原則及び安全管理措置義務違反(民法では善良なる管理者の注意義務違反)ともなるし全体として違法なシステムであると判断される」という理由が分からないということでした。

その答えは簡単です。

たった本人1人分の個人データの利用停止に高額の費用が必要な場合にはいろいろな場合が考えられますが,そのいずれもが個人情報保護法との関係では合理的ではないと解釈されるからです。
典型的な例を示すと,次のようになります。

1)事業者の組織やシステムが複雑すぎて,組織全体として当該本人の個人データがどのように利用されているのかを調査するのに膨大な経費を要する場合

 この場合には,「個人データを適正に管理していない」ということと全く同意義になりますから,直ちに違法です。

2)個人データの利用を停止するとコミッションの払い戻しなどの多額の経費が発生する場合

 第三者からのコミッションの受け取りそれ自体が違法である疑いが強く(特に同意を得ないで第三者提供をしている場合),もしそうであれば事業者の業務それ自体が違法業務である可能性がある。仮にそうでないとしても,そのような経済的損失は個人情報保護法の承認する多額の経費に含まれるとは解されない(適法か違法かは別として,単なる投資の失敗に過ぎない。)。いずれにしても違法です。

3)個々の個人データを利用停止にするとシステムが動かなくなるため,多額の費用を要するシステム全体のリプレースが必要となる

 個人データの管理のためにこんなシステムを運用することそれ自体が直ちに安全管理措置義務違反になり,明らかに違法です。

以上のような感じになります。

もしかすると,法律の条文それ自体が間違い(つまり立法の失敗)を含んでいるのかもしれませんが・・・

Posted by: 夏井高人 | 2005.03.11 at 20:09

Post a comment



(Not displayed with comment.)




TrackBack

TrackBack URL for this entry:
http://app.cocolog-nifty.com/t/trackback/64462/3252039

Listed below are links to weblogs that reference 個人情報保護法 頭の体操13:

« 「調査業務適正化法」 自民党が新法提出へ | Main | 名古屋高裁 可児市電子投票 無効! »