Embedded Files
#法律の話
なんちゃってハッシュタグをつけていて気づきましたが、ほとんど法律の話をしていませんでした。いかに私が法律に興味がないかがバレてしまいましたが、一応、生きるために法律を売り物にしているのです。本当なのです。なんか私が働いていないみたいですから、身の潔白を証明するために、たまには法律を扱おうと思います。
私は、少し前まで、法務部員は民法だけできれば良いんだよ、と言っていたのですが、すまない、嘘だった。個人情報保護法も必要です。
少し前まで民法プラスなんらかの法律、というコンビネーションで仕事をすることばかりでしたが、最近は個人情報保護法ばかり扱っています。退職者の親族から問い合わせが来た、顧客から個人情報削除要求が来た、インターネットサービスでどこまで個人情報を取得するか、など、そんなのばかりです。しかも、現代社会はグローバル化が進んでいるので、海外の個人情報保護法制まで調べなければなりません。海外の個人情報保護法制はまたの機会に扱うとして、初学者向けに、国内法のよくある誤解について説明したいと思います。
自分の個人情報の削除を求めることはできない。
これ。本当に誤解している人が多くて困るのですが、日本法では、企業(個人情報取扱事業者)が適法に取得して適法に運用している個人情報の削除(法律上の文言は消去)を求めることはできないのです。
個人情報保護法
(利用停止等)
第三十五条 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが第十八条若しくは第十九条の規定に違反して取り扱われているとき、又は第二十条の規定に違反して取得されたものであるときは、当該保有個人データの利用の停止又は消去(以下この条において「利用停止等」という。)を請求することができる。
(利用目的による制限)
第十八条 個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
(不適正な利用の禁止)
第十九条 個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。
(適正な取得)
第二十条 個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。
ある程度大きな企業になると個人情報の専任担当者が置かれるのですが、そんな方々に対する研修も行っています。本当なんです。私も法律でご飯を食べているんです。証拠に、私の研修での鉄板ネタも披露したいと思います。
自宅に顔識別機能付防犯カメラを設置する場合、防犯カメラ作動中シールを貼らなければならない。
これは個人情報保護法上の概念を一挙に学べるので、覚えておいて損はない話です。
(定義)
第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
防犯カメラの映像に顔が映れば特定の個人を識別できますから、その映像は個人情報ということですね。個人情報は文字情報に限られないことを学ぶきっかけになります。
(利用目的の特定)
第十七条 個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。
(取得に際しての利用目的の通知等)
第二十一条 個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
個人情報取扱事業者は、防犯カメラの映像を取得する場合には、あらかじめその利用目的を公表していないと面倒だということです。ところが、多くの一般家庭では、防犯カメラを隠すように設置して、その映像の利用目的を公表しなければ事後の通知もしていません。それは、個人情報取扱事業者ではないからです。個人情報取扱事業者の定義を確認しましょう。
(定義)
第十六条 この章及び第八章において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。)をいう。
一 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
2 この章及び第六章から第八章までにおいて「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。(略)
個人情報取扱事業者とは、個人情報データベース等を事業の用に供している者のことです。検索性をもって取扱としている点が興味深いです。事業の用に供しているとは、営利目的に限定されません。同窓会が卒業生の名簿を管理していれば個人情報取扱事業者です。車の運転が業務であることと同じイメージです。
では個人情報データベース等とはなんぞや、というと、特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したものです。顔識別機能はまさにこれですね。この顔と同じ顔ここにも映っとるで、ご近所でもないのに頻繁に同じ顔が映っとって怪しいで、というように検索できるからです。
一般家庭であっても顔識別機能付防犯カメラを設置する場合には、個人情報の利用目的を公表しなければ面倒で、そのための手段として防犯カメラ作動中、すなわち、防犯目的で録画するぞ、というシールを貼っておく必要がある、ということになります。
現実的には、私人が防犯目的で設置した顔識別機能付防犯カメラに録画された顔の映像という個人情報について利用目的を公表していなくとも、可罰的違法性がないため、個人情報保護法違反を問われる可能性は低いと思われますが、頭の体操にはなります。
今回は初学者向けなので、こんな感じ。実際の仕事では研修だけでなく個人情報保護方針を改定したりしています。そのうちGDPRとかCCPAの話もするかも知れませんが、面倒くさいのでしないかも知れません。
いちおう法律事務所のサイトなので、法律の話も扱わないと格好がつかないなと思いました。
Page updated
Report abuse