1. ホーム /
  2. 賃貸管理士分野別解説 /
  3. コンプライアンス /
  4. 個人情報保護法
     

個人情報保護法

個人情報とは

個人情報とは、生存する個人に関する情報であって、「①情報に含まれる氏名、生年月日その他の記述等(文書、図画もしくは電磁的記録で作られる記録)に記載・記録され、または音声、動作その他の方法を用いて表された一切の事項により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)」、または、「②個人識別符号が含まれるもの」のいずれかに該当するものをいいます(個人情報保護法2条1項、同項1号、第2号)。

身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表す全ての情報が個人情報になります。特定の個人を識別できるというのは、社会通念上、一般人の判断力や理解力をもって、生存する具体的な人物と情報との間に同一性を認めることができることを意味します。

個人識別符号については、「旅券の番号(旅券法6条1項1号)」、「基礎年金番号(国民年金法14条)」、「運転免許証の番号(道路交通法93条1項22号)」、「住民票コード(住民基本台帳法7条13号)」、「個人番号(マイナンバー法2条5項)」などがこれに該当する旨が定められています。個人識別符号が含まれるものはそれだけで個人情報となります。

注意点

すでに死亡している個人の情報や、会社などの情報は、個人情報にはあたりません。

個人情報については、個人情報取扱事業者に対して、利用目的の特定(第17条)、利用目的の制限(第18条)、不適正な利用の禁止(第19条)、適正な取得(第20条)、取得に際しての利用目的の通知等(第21条)、苦情の処理(第40条)の規律が適用されます。

なお、個人情報は、特定の個人を識別することができることをその特性として有する個人の情報であって、プライバシーとは必ずしも一致しません。

要配慮個人情報

要配慮個人情報とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないように、その取扱いにとくに配慮を要するものとして政令で定める記述等が含まれる個人情報をいいます(個人情報保護法2条3項)。

具体的には下記内容が「要配慮個人情報」に当たります。

  • 心身の機能の障害があること
  • 健康診断等の結果に基づき、または疾病、負傷その他の心身の変化を理由として医師等により指導・診療・調剤が行われたこと
  • 被疑者または被告人として、逮捕、搜索、差押え、拘留、公訴の提起その他の刑事事件に関する手続きが行われたこと
  • 少年法に規定する少年またはその疑いのある者として、調査、観の措置、審判、保護処分その他の少年の保護事件に関する手続きが行われたこと
  • 逮捕、搜索、差押え、勾留、公訴の提起を受けたこと
  • 不起訴、不送致、微罪処分等の情報
  •  

注意点

人種は要配慮情報であるが、国籍は要配慮情報には含まれないものとされている。

要配慮個人情報については、その取得には、原則として、本人の同意を必要とし(同法20条1項)、また、オプトアウトによる第三者提供(本人の事前の同意がなくても、本人が異議を留めるまで個人データを第三者に提供できる制度)は認められません(同法27条2項)。

個人情報データベース等

個人情報データベース等とは、個人情報を含む情報の集合物であって、1または2にあてはまるものをいいます(個人情報保護法16条1項)。

  1. 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
  2. 特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの

2については、個人情報を一定の規則に従って整理することにより特定の個人情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次、索引その他検索を容易にするためのものを有するものをいうとされています(政令第4条2項)。
【具体例】 例えば、コンピューターを使わず、顧客カードや名刺を50音順に並べるなどして紙の上に表された情報を体系的に構成したものが「個人情報データベース等」にあたります。

個人情報取扱事業者

個人情報取扱事業者とは、個人情報データベース等を事業の用に供している者をいいます(個人情報保護法16条2項本文)。ただし、国の機関、地方公共団体、独立行政法人等、地方独立行政法人は、個人情報取扱事業者ではありません(同法16条2項ただし書き)。

個人情報保護法は、個人情報取扱事業者の個人情報の取扱いについて定めており、個人情報取扱事業者に該当しない者は、個人情報保護法のルールは適用されません

個人情報データベース等を事業の用に供している者の全てに適用されるので、レインズを使う業者は、個人情報取扱事業者に該当します。

※レインズとは、宅建業者が売主や借主から媒介や代理の依頼を受けた場合に、不動産情報を登録して、宅建業者間で、物件情報を共有できるサイトです。

個人データ

個人データとは、個人情報データベース等を構成する個人情報をいいます(個人情報保護法16条3項)。

【具体例】 例えば、入力用の帳票等に記載されている個人情報は、個人情報データベース等を構成する前の個人情報なので個人データではありません。一方、入力によって整理されると、はじめて個人データになります。

個人データは、個人情報なので、個人情報取扱事業者は、データを取り扱うにあたって、個人情報を取り扱う際のルールに従わなければなりません。そのうえで、個人データに関しては、データ内容の正確性の確保(第22条)、安全管理の措置(第23条)、従業員の監督(第24条)、委託先の監督(第25条)、漏えい等の報告(第26条)、第三者提供の制限(第27条~第31条)等のルールがあります。

保有個人データ

保有個人データとは、個人情報取扱事業者が、開示、内容の訂正、追加または削除、利用の停止、消去および第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるもの「以外」のものをいいます(個人情報保護法16条4項、政令第5条)。

注意点

保有期間の長短を問わず、上記に該当すれば保有個人データにあたる。

「個人データであって、その存否が明らかになることにより公益その他の利益が害されるもの」としては、下記があります(政令第5条)。下記は、「保有個人データ」には該当しません。

  1. 個人データの存否が明らかになることにより、本人または第三者の生命、身体、財産に危害が及ぶおそれがあるもの
  2. 個人データの存否が明らかになることにより、違法または不当な行為を助長し、誘発するおそれがあるもの
  3. 個人データの存否が明らかになることにより、国の安全が害されるおそれなどがあるもの
  4. 個人データの存否が明らかになることにより、犯罪の予防、鎮圧、捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの
  5.  
  6.  

【具体例】 例えば、悪質なクレーマーによる不当要求の被害等を防止するために事業者が保有している場合、このクレーマーを本人とする個人データは、「2」にあたるものとして、保有個人データからは除外されます。

保有個人データは、個人データであるから、個人情報取扱事業者は、保有個人データを取り扱うにあたって、個人データを取り扱う際のルールに従わなければならず、保有個人データに関しては、「公表等(第32条)、開示(第33条)、訂正等(第34条)、利用停止等(第35条)、理由の説明・開示等の請求等に応じる手・手数料・事前の請求(第36条~第39条)」等のルールがあります。

個人情報の取得・利用

利用目的の特定

個人情報取扱事業者は、個人情報を取り扱うにあたっては、その利用の目的をできる限り特定しなければなりません(個人情報保護法17条1項)。

【具体例】 例えば、「契約後の管理等に必要な、入居者台帳に使用するほか、管理組合理事会、自動引き落としの金融機関、滞納管理費等の取り立て委託先、管理下請会社及びリフォーム会社等に提供します」などの表示が必要であります。

注意点

「当社の提供するサービスの向上のため」では利用目的が特定されているとはいえません。

利用目的を変更することも可能ですが、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはなりません(同法17条2項)。

利用目的による制限

個人情報取扱事業者は、あらかじめ本人の同意を得ないで、特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはなりません(個人情報保護法18条1項)。

また、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における個人情報の利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはなりません(同法18条2項)。

ただし、利用目的の制限は、下記等の場合には適用されません(同法18条3項)。

  1. 法令に基づく場合
  2. 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
  3. 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
  4. 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより事務の遂行に支障を及ぼすおそれがあるとき

不適正な利用の禁止

個人情報取扱事業者は、違法または不当な行為を助長し、または誘発するおそれがある方法により個人情報を利用してはなりません(個人情報保護法19条)。

適正な取得

個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはなりません(個人情報保護法20条1項)。

【具体例】 例えば、賃貸マンションに侵入し、メールボックスから郵便物を抜き取るような行為は、刑法上犯罪行為となるのみならず、個人情報保護法上も許されません。

要配慮個人情報については、原則、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはなりません(同法20条2項)。「入居者の人種に関する情報」や「受刑に関する情報」は要配慮情報なので、これらを取得しようとする場合には、事前に本人の同意が必要です。

注意点

国籍は要配慮情報ではないので、事前の本人の同意は不要

例外的に要配慮個人情報を取得できる場合

  1. 本人の同意があるとき
  2. 要配慮個人情報が、本人、国の機関、地方公共団体等により公開されているとき
  3. 法令に基づく場合
  4. 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
  5. 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
  6. 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより事務の遂行に支障を及ぼすおそれがあるとき

取得に際しての利用目的の通知等

個人情報取扱事業者は、個人情報を取得した場合は、原則、速やかに、その利用目的を本人に通知し、または公表しなければなりません(個人情報保護法21条1項)。

本人との間で契約を締結することに伴って契約書その他の書面(電磁的記録を含む)に記載された本人の個人情報を取得する場合、その他本人から直接書面に記載された本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければなりません(同法21条2項本文)。ただし、人の生命、身体または財産の保護のために緊急に必要がある場合は明示をしなくてもよいです(同法21条2項ただし書き)。

また、個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、または公表しなければなりません(同法21条3項)。

例外として、本人の通知または公表が不要な場合

  1. あらかじめ、その利用目的を公表している場合
  2. 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
  3. 利用目的を本人に通知し、又は公表することにより個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合
  4. 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより事務の遂行に支障を及ぼすおそれがあるとき
  5. 取得の状況からみて利用目的が明らかであると認められる場合

個人データの保管

データ内容の正確性の確保等

個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、個人データを遅滞なく消去するよう努めなければなりません(個人情報保護法22条)。

安全管理措置

個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失または毀損(き損)の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければなりません(個人情報保護法23条)。

監督等

個人情報取扱事業者は、その従業者に個人データを取り扱わせるにあたっては、個人データの安全管理が図られるよう、従業者に対する必要かつ適切な監督を行わなければなりません(個人情報保護法24条)。

個人情報取扱事業者は、個人データの取扱いの全部または一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければなりません(同法25条)。

漏えい等の報告

個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態のうち所定の対象(「漏えい等」という)が生じたときは、その事態が生じた旨を個人情報保護委員会に報告しなければなりません(個人情報保護法26条1項本文)。

報告の対象は、下記の通りです(個人情報保護法施行規則第7条)。

  1. 要配慮個人情報
  2. 財產的被害が発生するおそれがある場合
  3. 不正アクセス等故意によるもの
  4. 1,000人を超える漏えい等

また、報告事項は、漏えい等が発生し、または発生したおそれがある個人データの項目、それに係る本人の数、原因など、報告の方法は「速報」と「確報」の二段階となっており、「事態の発生を認識した後、速やかに速報を求める」とともに、「30日(上記4の場合は60日)以内に確報を求める」ものとされています(同法施行規則第8条、第7条)。

さらに、個人情報取扱事業者は、漏えい等については本人に対し、個人情報保護委員会規則で定めるところにより、その事態が生じた旨を通知しなければなりません(個人情報保護法26条2項本文)。

本人に対する報告事項は、「漏えい等が発生し、または発生したおそれがある個人データの項目」、「原因」、「二次被害」または「二次被害のおそれの有無」および「二次被害の内容等の一部」です(同法施行規則第10条)。

個人データの第三者提供

第三者提供の制限

個人情報取扱事業者は、原則、個人データを第三者に提供してはなりません(個人情報保護法27条1項)。

個人データの第三者提供に関しては、次の1~3の場合に個人データの提供を受ける者は、第三者に該当しないものとされています(同法27条5項)。

  1. 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を「委託」することに伴って、個人データが提供される場合
  2. 合併その他の事由による事業の承継に伴って個人データが提供される場合
  3. 特定の者との間で共同して利用される個人データが、特定の者に提供される場合であって、「その旨」並びに「共同して利用される個人データの項目」、「共同して利用する者の範囲」、「利用する者の利用目的」及び「個人データの管理」について責任を有する者の氏名又は名称等について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき

例外として、個人データを第三者に提供できる場合

  1. 本人の同意があるとき
  2. 法令に基づく場合
  3. 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
  4. 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
  5. 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより事務の遂行に支障を及ぼすおそれがあるとき

第三者提供における確認・記録義務

個人情報取扱事業者は、個人データを第三者に提供したときは、個人データを提供した年月日、第三者の氏名または名称その他の事項に関し、記録を作成しなければなりません(記録義務:個人情報保護法29条1項)。

また、第三者から個人データの提供を受けるに際しては、所定の事項を確認しなければなりません(確認義務:同法30条1項)。

「記録義務」および「確認義務」(確認、記録義務)は、平成27年改正で新設された制度であり、個人データが名簿として売買されるなどが多発していることから、個人データの不正な使用を防ぎ、また、不正な使用が行われるようなことがあった場合に後日事実関係を確かめること(トレーサビリティの確保)を目的として、設けられた制度です。

下記等の場合には、確認・記録義務が免除となります。

  1. 法令に基づく場合
  2. 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
  3. 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
  4. 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより事務の遂行に支障を及ぼすおそれがあるとき
  5. 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を「委託」することに伴って、個人データが提供される場合
  6. 合併その他の事由による事業の承継に伴って個人データが提供される場合
  7. 特定の者との間で共同して利用される個人データが、特定の者に提供される場合であって、「その旨」並びに「共同して利用される個人データの項目」、「共同して利用する者の範囲」、「利用する者の利用目的」及び「個人データの管理」について責任を有する者の氏名又は名称等について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき

保有個人データの開示等

保有個人データに関する事項の公表等

個人情報取扱事業者は、保有個人データに関し、「①個人情報取扱事業者の氏名または名称」、「②全ての保有個人データの利用目的」、「③開示請求等に応じる手続」等について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む)に置かなければなりません(個人情報保護法32条1項)。

本人から、本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知しなければなりません(同法32条2項本文)。

ただし、下記該当する場合には、例外的に通知をしなくてもよいです(同法32条2項ただし書き)。

  1. 本人が識別される保有個人データの利用目的が明らかな場合
  2. 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
  3. 利用目的を本人に通知し、又は公表することにより個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合
  4. 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより事務の遂行に支障を及ぼすおそれがあるとき
  5. 取得の状況からみて利用目的が明らかであると認められる場合

開示の請求

本人は、個人情報取扱事業者に対し、本人が識別される保有個人データの電磁的記録の提供による方法その他の規則で定める方法による開示を請求することができます(個人情報保護法33条1項)。

個人情報取扱事業者は、この開示の請求を受けたときは、本人に対し、本人が請求した方法(多額の費用を要するなどの場合は書面の交付による方法)により、遅滞なく、保有個人データを開示しなければなりません(同法33条2項本文)。

ただし、開示することにより、「①本人または第三者の生命、身体、財産その他の権利利益を害するおそれがある場合」、「②個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合」、「③他の法令に違反することとなる場合」のいずれかに該当する場合は、その全部または一部を開示しないことができます(同法33条2項ただし書き)。

個人データの第三者提供が行われている場合には、第三者提供記録について、その記録自体の開示を請求することが認められます(同法33条5項)。

訂正等の請求

本人は、個人情報取扱事業者に対し、本人が識別される保有個人データの内容が事実でないときは、保有個人データの内容の訂正、追加または削除を請求することができます(個人情報保護法34条1項)。

利用停止等の請求

本人は、個人情報取扱事業者に対し、「本人が識別される保有個人データが利用目的の制限に違反して取り扱われているとき(個人情報保護法18条、第19条)」、または、「不正な手段によって取得されたものであるとき」は(同法20条)、保有個人データの利用の停止または消去(利用停止等)を請求することができます(同法35条1項)。

個人情報取扱事業者は、利用停止等の請求を受けた場合であって、その請求に理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、保有個人データの利用停止等を行わなければなりません(同法35条2項)。

理由の説明

個人情報取扱事業者は、利用目的の通知の請求(個人情報保護法32条)、開示の請求(同法33条)、訂正等の請求(同法34条)、利用停止等の請求(同法35条)に関して、本人から求められ、または請求された措置の全部または一部について、「その措置をとらない旨を通知する場合」または「その措置と異なる措置をとる旨を通知する場合」は、本人に対し、その理由を説明するよう努めなければなりません(同法36条)。

開示等の請求等に応じる手続き

個人情報取扱事業者は、利用目的の通知の請求(個人情報保護法32条)、開示の請求(同法33条)、訂正等の請求(同法34条)、利用停止等の請求(同法35条)に関して、その求めまたは請求を受け付ける方法を定めることができる。この場合には、本人は、その定められた方法に従って、開示等の請求等を行わなければなりません(同法37条1項)。

手数料

個人情報取扱事業者は、利用目的の通知の請求(個人情報保護法32条)、開示の請求(同法33条)に関し、必要な措置の実施に関し、手数料を徴収することができる(同法38条1項)。手数料を徴収する場合は、実費を勘案して合理的であると認められる範囲内において、その手数料の額を定めなければなりません(同法38条2項)。

個人情報取扱事業者による苦情の処理

個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければなりません(個人情報保護法40条1項)。

また、苦情の適切かつ迅速な処理のために必要な体制の整備に努めることが必要です(同法40条2項)。

違反に対する措置等

報告、勧告命令

個人情報取扱事業者が、適切に個人情報を取り扱っていない場合には、個人情報保護委員会は、必要に応じ報告の徴収・勧告命令の措置をとることができます(個人情報保護法143条~第145条)。

個人情報データベース等不正提供罪等

「個人情報取扱事業者」もしくは「その従業者」または「これらであった者」については、次の罰則が科されます(個人情報保護法173条、第174条、第177条、第179条)。

違反行為 罰則
個人情報保護委員会からの命令に違反 1年以下の懲役または100万円以下の罰金
個人情報データベースなどの不正提供等 1年以下の懲役または50万円以下の罰金
個人情報保護委員会への虚偽報告 50万円以下の罰金

SNSでもご購読できます。

コメントを残す

*