個人情報保護委、「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&Aを更新
――PTAによる取扱い、災害時の第三者提供、匿名加工情報の作成等に関するQ&Aを追加――
個人情報保護委員会は7月20日、「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&Aを更新した。
今般の更新は、
- ・ PTA等による個人情報の取扱い
- ・ 飲食店が予約時に取得した個人情報の取扱い
- ・ 災害時における個人情報の第三者提供
- ・ マンション管理組合とマンション管理会社等との間の個人情報の取扱い
- ・ 匿名加工情報
等に関するQ&Aを追加したものである。
以下、更新された主なQ&Aを紹介する。
- (個人情報取扱事業者)
- Q1-50 NPO法人や自治会・町内会、同窓会、PTAのような非営利の活動を行っている団体も、個人情報取扱事業者として、個人情報保護法の規制を受けるのですか。
- A1-50 個人情報保護法における「事業」とは、一定の目的をもって反復継続して遂行される同種の行為であって、かつ社会通念上事業と認められるものをいい、鋭利・非営利の別は問いません。したがって、非営利の活動を行っている団体であっても、個人情報データベース等を事業の用に供している場合は、個人情報取扱事業者に該当します。NPO法人や自治会・町内会、同窓会、PTAのほか、サークルやマンション管理組合なども個人情報取扱事業者に該当し得ます。
- (利用目的の通知又は公表)
- Q3-10-2 飲食店を営んでいます。顧客から予約を受けるときに取得した個人情報を取り扱う際に、どんなことに注意すればよいですか。
-
A3-10-2 事業者の規模にかかわらず、事業者が事業の用に供するために個人情報データベース等を取り扱っている場合、個人情報取扱事業者に相当するため、利用目的の通知又は公表が必要になります(法第18条第1項)。
また、個人情報取扱事業者が保有する個人データを第三者に提供するには、原則として本人の同意が必要になります(法第23条第1項)。
なお、電話番号等の連絡先等も、氏名等の特定の個人を識別できる情報と結びついて保存されている場合、個人情報に該当することになります。 - (直接書面等による取得)
- Q3-14 私立学校、自治会・町内会、同窓会、PTA等が本人から書面で提出を受けた個人情報を利用して名簿を作成し、配布する場合はどのようにすればよいですか。
-
A3-14 私立学校、自治会・町内会、同窓会、PTA等は本人に対し利用目的を明示した上で、個人情報を取得し、名簿を作成することが可能です。名簿を配布するなど、本人以外の者に個人データを提供する場合には、原則として、本人の同意を得る必要があります。
例えば、掲載されている全員に配布する名簿を作成し、クラス内で配布するなど利用目的及び提供先を明示し、同意の上で所定の用紙に個人情報を記入・提出してもらう方法などが考えられます。 - (第三者提供の制限の原則)
- Q5-20-2 大規模災害等の緊急時に、被災者情報・負傷者情報等の個人情報を関係者で共有する場合、本人の同意なく共有することができますか。
- A5-20-2 個人データを第三者に提供する際には原則本人の同意が必要ですが、「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」は本人の同意は不要となっています(法第23条第1項第2号)。したがって、大規模災害等の緊急時に、人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるときには自治会等の個人情報取扱事業者が保有する個人データを本人の同意なく関係者等に提供することは可能と解されます。
- (第三者提供の制限の原則)
- Q5-20-3 地震等の災害時に支援が必要な高齢者、障害者等のリストを災害時に備えて関係者間で共有することは可能ですか。
-
A5-20-3 災害対策基本法では、市町村長は、避難行動要支援者について、避難支援等を実施するための基礎となる名簿(避難行動要支援者名簿)を作成することが義務付けられています。
この名簿は、災害の発生に備え、避難支援等の実施に必要な限度で、原則本人の同意を取得した上で関係者に提供するものとされています(ただし、各市町村の条例に特別の定めがある場合は、本人の同意を得ずに関係者で共有することができます。)。
また、災害発生時又は災害発生のおそれがある場合で特に必要があると認めるときは、避難支援等の実施に必要な範囲で、本人の同意を得ずに関係者で共有することができます。
なお、災害対策基本法には、名簿を提供する際に避難行動要支援者や第三者の権利利益を保護するために必要な措置を講じるよう努めることや、提供を受けた場合の秘密保持義務なども規定されています。 - (第三者に該当しない場合)
- Q5-36 マンション管理組合でマンションの修繕を予定しており、工事会社に居住者の個人情報を提供する必要がありますが、あらかじめ本人の同意を得なければいけませんか。
- A5-36 個人データを第三者に提供する際には、原則としてあらかじめ本人の同意を得る必要があります。利用目的の達成に必要な範囲内において、個人データの取扱いに関し委託(法第23条第5項第1号)をする場合には、本人の同意は不要です。したがって、マンション管理組合が工事会社に修繕を発注する際に、当該工事会社が修繕を行うために個人データの取扱いを委託する必要がある場合には、居住者の氏名等を提供するための本人の同意は不要ですが、委託者は個人データの取扱いについて、委託先を監督する義務があります(法第22条)。
- (第三者に該当しない場合)
- Q5-37 マンション管理組合とマンション管理会社の間で居住者の氏名等の情報を共有することは可能ですか。
- A5-37 個人データを第三者に提供する際には、原則としてあらかじめ本人の同意が必要となりますので、本人の同意を取得している場合はマンション管理組合とマンション管理会社の間で居住者の氏名等の個人データを共有することは可能です。なお、管理組合が管理会社に対して、利用目的の達成に必要な範囲内において個人データの取扱いに関し委託(法第23条第5項第1号)をする場合には、第三者提供に該当しないため、本人の同意がなくとも、個人データの提供を受けることが可能です。ただし、委託者は個人データの取扱いについて、委託先を監督する義務があります(法第22条)。
- Q11-4-2 個人情報を、安全管理措置の一環等のためにマスキング等によって匿名化した場合、匿名加工情報に相当するのですか。
-
A11-4-2 匿名加工情報を作成するためには、匿名加工情報作成の意図を持って、法第36条第1項に基づき、施行規則第19条各号で定める基準に従い加工する必要があります。
したがって、匿名加工情報作成基準に基づかずに、個人情報を安全管理措置の一環等のためにマスキング等によって匿名化した場合には、匿名加工情報としては扱われません。 - Q11-4-3 個人情報を加工して匿名加工情報を作成する場合についても、利用目的として特定する必要はありますか。
- A11-4-3 利用目的の特定は個人情報が対象であるため、個人情報に該当しない匿名加工情報は対象となりません。また、匿名加工情報への加工を行うこと自体を利用目的とする必要はありません。
-
個人情報保護委、「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&Aを更新しました(7月20日)
https://www.ppc.go.jp/files/pdf/180720_APPI_QA_tsuikakoushin.pdf -
○ 新旧対照表
https://www.ppc.go.jp/files/pdf/180720_APPI_QA_tsuikakoushin_shinkyu.pdf -
○「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A(更新後の全文)
https://www.ppc.go.jp/files/pdf/180720_APPI_QA.pdf