全体の目次
個人情報の取得
個人情報の保護に関する法律についてのガイドライン(通則編)- 3-3 個人情報の取得(法第20条・第21条関係)
適正な取得
個人情報の保護に関する法律についてのガイドライン(通則編)- 3-3-1 適正取得(法第20条第1項関係)
偽りその他不正の手段により個人情報を取得してはならない
「偽りその他不正の手段」とは、違法の場合のみでなく、一般的な社会通念から見て適切でないと判断される場合も含む
偽りその他不正の手段の例
● 個人データの入ったUSBを盗む● その個人情報が不正の手段で取得されたのを知りながら取得
● 個人データの入ったUSBを盗む
● その個人情報が不正の手段で取得されたのを知りながら取得
● 個人情報収集の事実、事業者名、利用目的等を偽って取得
● 相手が利用目的を誤解していることを知りながら取得
● 相手を強要して取得
● 他人の書類を盗み見たり、隠し撮り等で取得
● 電話の会話を無断で録音して取得
● インターネットからの不正アクセスで取得
● 十分な判断能力のない子供や障害者から取得
要配慮個人情報の取得
個人情報の保護に関する法律についてのガイドライン(通則編)- 3-3-2 要配慮個人情報の取得(法第20条第2項関係)
下記の場合を除き、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない
1. 法令に基づく場合
具体例
- 例) 労働安全衛生法に基づき実施した健康診断の結果を会社が取得する
2. 人の生命、身体、財産の保護のために必要で、同意を得ることが困難なとき
具体例
- 例)急病その他の事態が生じたときに、本人の病歴等を医師や看護師が家族から聴取する
- 例)不正対策等のために、事業者間で、暴力団等の反社会的勢力情報などを共有する際に、過去の犯罪の経歴が含まれる
- 例)不正送金等の金融犯罪被害に関する情報を、関連する犯罪被害の防止のために、他の事業者から取得する
3.公衆衛生の向上、児童の健全な育成の推進のために必要で同意を得ることが困難なとき
具体例
- 例)健康保険組合等の保険者等が実施する健康診断等の結果判明した病名等について、健康増進施策の立案や保健事業の効果の向上を目的として疫学調査等のために提供を受けて取得する場合
- 例)児童生徒の不登校や不良行為等について、児童相談所、学校、医療機関等の関係機関が連携して対応するために、ある関係機関において、他の関係機関から当該児童生徒の保護事件に関する手続が行われた情報を取得する場合
- 例)児童虐待のおそれのある家庭情報のうち被害を被った事実に係る情報を、児童相談所、警察、学校、病院等の関係機関が、他の関係機関から取得する場合
4.国の機関、地方公共団体、その委託を受けた者が法令の定める事務を遂行するために協力する必要がある場合で、同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
具体例
- 例)警察の任意の求めに応じて、企業が要配慮個人情報に該当する情報を提出する
5.学術研究機関等が、学術研究目的で取り扱う必要があるとき(取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く)
6.学術研究機関等から取得する場合で、学術研究目的で取得する必要があるとき(取得する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く)(個人情報取扱事業者と学術研究機関等が共同して学術研究を行う場合に限る)
7.本人、国の機関、地方公共団体、学術研究機関等、下記の者により公開されている場合
- 本人
- 国の機関
- 地方公共団体
- 学術研究機関等
- 放送機関・新聞社・通信社その他の報道機関(報道を業として行う個人を含む。)
- 著述を業として行う者
- 宗教団体
- 政治団体
- 外国政府、外国の政府機関、外国の地方公共団体又は国際機関
- 外国において法第16条第8項に規定する学術研究機関等に相当する者
- 外国において法第57条第1項各号に掲げる者に相当する者
具体例
- 例)本人がブログ等で公開している自分の病歴を取得する
- 例)公に報道された情報に含まれる特定の個人の犯罪の経歴の情報を取得する
法第57条
個人情報の保護に関する法律についてのガイドライン(通則編)- 5 適用除外(法第57条関係)
個人情報取扱事業者等及び個人関連情報取扱事業者のうち次の各号に掲げる者については、その個人情報等及び個人関連情報を取り扱う目的の全部又は一部がそれぞれ当該各号に規定する目的であるときは、この章の規定は、適用しない。
■ 放送機関、新聞社、通信社その他の報道機関(報道を業として行う個人を含む)報道の用に供する目的
■ 著述を業として行う者 著述の用に供する目的
■ 宗教団体 宗教活動(これに付随する活動を含む)の用に供する目的
■ 政治団体 政治活動(これに付随する活動を含む)の用に供する目的
【違反している事例】
本人の同意を得ることなく、法第20条第2項第7号及び規則第6条で定める者以外がインターネット上で公開している情報から本人の信条や犯罪歴等に関する情報を取得し、既に保有している当該本人に関する情報の一部として自己のデータベース等に登録する
8.上記に準ずるものとして下記の場合
8-1.本人を目視し、又は撮影することにより、その外形上明らかな要配慮個人情報を取得する場合
具体例
- 例)身体の不自由な方が来店し、店員がその旨を対応録等に記録した場合(目視による取得)
- 例)身体の不自由な方の様子が店舗に設置された防犯カメラに映りこんだ場合(撮影による取得)
8-2. 法第27条第5項各号(法第41条第6項の規定により読み替えて適用する場合及び法第42条第2項において読み替えて準用する場合を含む。)に掲げる場合において、個人データである要配慮個人情報の提供を受けるとき。(委託、事業継承、共同利用において、個人データである要配慮個人情報の提供をうける場合)
具体例
- 例)健康診断の業務の一部を専門の検査会社に委託する
- 例)企業の所有する病院が他の企業に売却されたことにより、カルテが引き継がれる
法第27条(第5項)
個人情報の保護に関する法律についてのガイドライン(通則編)- 3-6-3 第三者に該当しない場合(法第27条第5項・第6項関係)
次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合 合併その他の事由による事業の承継に伴って個人データが提供される場合 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
法第41条(第6項)
個人情報の保護に関する法律についてのガイドライン(通則編)- 3-10 仮名加工情報取扱事業者等の義務(法第41条・第42条関係)
仮名加工情報取扱事業者は、第27条第1項及び第2項並びに第28条第1項の規定にかかわらず、法令に基づく場合を除くほか、仮名加工情報である個人データを第三者に提供してはならない。この場合において、第27条第5項中「前各項」とあるのは「第41条第6項」と、同項第3号中「、本人に通知し、又は本人が容易に知り得る状態に置いて」とあるのは「公表して」と、同条第6項中「、本人に通知し、又は本人が容易に知り得る状態に置かなければ」とあるのは「公表しなければ」と、第29条第1項ただし書中「第27条第1項各号又は第5項各号のいずれか(前条第1項の規定による個人データの提供にあっては、第27条第1項各号のいずれか)」とあり、及び第30条第1項ただし書中「第27条第1項各号又は第5項各号のいずれか」とあるのは「法令に基づく場合又は第27条第5項各号のいずれか」とする。