この記事の目次
1.「破産者マップ」と後続サイトによる公開された破産者情報の公開問題
2020年7月30日に次のような報道がありました。破産者の個人情報を違法掲載のウェブサイトに初の停止命令 応じなければ刑事告発も(東京新聞)
「政府の個人情報保護委員会は29日、多数の破産者の氏名や住所などの個人情報をウェブサイトに違法に掲載している2つの事業者に対し、個人情報保護法に基づいてサイトを停止するよう命令を出したと発表した。同委員会による停止命令は初めて。…」(東京新聞より引用)
ここで問題となったのは、2019年3月ころに物議をかもした「破産者マップ」の後続サイトです。
「破産者マップ」に関する詳しい経緯については、「破産情報のオンライン拡散問題への対策」(衆議院議員松平浩一氏)でまとめられていますので、こちらをご参照ください。
これらのサイトは、官報によって公開された破産者に関する情報をデータベース化して、自由に検索できるようにしたものです。「破産者マップ」では、GoogleMAPに連携させることで、破産した人の住所地をマップ上にピンを置いて可視化されていました。
そもそも、借金が膨れ上がり、分割返済も困難となった時に、法的に救済する法律上の制度として認められているのが破産制度です。
具体的には、裁判所に破産を申立て、裁判所に免責が認められれば、債務を返済しなくてよくなります。ただ、破産申立てをした際には、その旨と氏名や住所などが官報に掲載され、公開されることが法律上決まっています。
「破産者マップ」やその後続サイトは、この官報によって公開された情報をそのままデータベース化し、利用したものなのです。
では、これにどのような問題があるのでしょうか。 もしかしたら、「公開されているんだから、別にどう使おうがいいんじゃないの?!」と思われた方もいるかもしれません。
しかし、これはやはり個人情報保護法との関係で大きな問題があります。
すべて事業者が対応を求められている個人情報保護法の制度について、基本を確認していきましょう。
2.個人情報保護法ってどんなルール?
「個人情報保護法」という法律は、個人の利用者や消費者の個人情報の取り扱いについて、企業や事業者に取り扱い上のルールを課すとともに、有効に活用できるルールをも取り決めたものです。この個人情報保護法には、少し前に大きな改正がありました。すなわち、平成29年5月30日から施行された改正個人情報保護法では、それまでは一定規模の事業者のみに課せられていたルールが変わり、すべての事業者に適用されることとなりました。
そのため、今では、事業として行ったその日から、すべての事業者がこのルールを守らなければいけません。
実はこのことを知らずに事業をされている方が結構おられますので、要注意です。
ここでは個人情報保護法のポイントを確認しておきましょう。
「個人情報保護法ハンドブック」(個人情報保護委員会)、 「子どものための個人情報保護法ハンドブック」(個人情報保護委員会)をご参照下さい。
①対象となるのは「個人情報」と「個人識別符号」!
「個人情報」は、氏名や生年月日などの特定の個人を識別できる情報です。情報の組み合わせによって識別できるのであれば、それは個人情報になります。
「個人識別符号」は、その情報だけで個人を識別できる文字、番号、記号などです。指紋や免許証番号などがこれに当たります。
そして、これらの情報をデータベース化したり、検索可能な状態にしたものを「個人情報データベース等」といいます。
②個人情報の利用は、利用目的を特定してあらかじめ公表するか、通知する!
個人情報を取得する場合には、利用目的をできるだけ特定しなければいけません。その上で、その利用目的をあらかじめ公表しておくか(プライバシーポリシーの公表など)、本人に通知する必要があります。
ただし、人種・信条・病歴・前科などの「要配慮個人情報」については、利用目的の特定、公表や通知に加え、あらかじめ本人の同意が必要となります。
③取得した個人情報は利用目的の範囲内でのみ利用できる!
そして、取得した個人情報はあくまでも利用目的の範囲内で利用しなければいけません。もし、それ以外のことに利用する場合は、あらかじめ本人の同意を得なければいけません。
なお、この同意を得ずに、利用目的外で利用していたことが問題になったケースとして、リクナビの内定辞退率流出の問題があります。この件でも、あらかじめ定めて公表していた利用目的の範囲を超えて個人情報を利用していたことが問題となり、個人情報保護委員会から行政指導を受け、大きなニュースとなりました。
④個人データの安全管理のために必要な措置をとる!
個人情報の漏洩が生じないように、企業や事業者の内部で安全に管理しなければならないのはもちろん、業者や委託先にも安全管理を徹底する必要があります。
各種安全措置の内容は「個人情報保護法ハンドブック」(個人情報保護委員会)でご確認ください。
⑤個人データを第三者に提供するならあらかじめ本人の同意が必要!
個人データを第三者に提供する場合、原則としてあらかじめ本人の同意を得なければなりません。
また第三者に個人データを提供した場合には記録を残す必要があります。
⑥本人から開示請求があれば、開示しなければいけない!
保有個人データの開示請求を受けたときは、本人に原則として当該データを開示しなければなりません。
なお、個人情報保護委員会のHPには様々な情報が掲載されており、中小企業向け「自己点検チェックリスト」などもあります。
個人情報保護法によって事業者に課せられるルールの中心となる部分がこれら①〜⑥です。
そこで、実務上は、オンライン上で取引が完結する場合はもちろんそうでない場合も、あらかじめ利用目的や第三者に提供する場合のことを規定した独自の個人情報保護方針=プライバシーポリシーというものをホームページ上で公開しておくことが一般的です。
そうして一般に周知しつつ、ECサイトではオンライン上で全てを完結するため、利用規約の中にプライバシーポリシーに従う旨を明記しつつ、プライバシーポリシーに明記された第三者に提供する場合があることについて、同意をえておくことになります。
プライバシーポリシーを定めていない事業者は、是非この機会に策定しましょう。是非専門家である弁護士に御依頼ください。
3.個人情報保護に反する破産情報のデータベース化
このように見てきた個人情報保護法の内容を簡単にまとめますと、「すべての事業者は利用目的を特定して個人情報を取得しなければならず、その目的を超えて利用したり、第三者に提供することはできない!」ということになります。裁判所に破産手続きを申し立てると、法律上、破産情報は官報に掲載され、公開されることとなります。ただし、これはあくまでその個人が破産申立をするために、その必要な範囲で同意しており、かつ、法的にも許容せざるをえないものです。
当然ながら、この情報が第三者に提供されることは予定されておらず、本人たちもそれを同意していません。 そのため、このような情報が公開されていたかどうかについては、データベース化において正当化する理由にはなりません。
公開されていたとしても、このような破産したというセンシティブな個人情報を本人の同意なく、データベース化することは明白に個人情報保護法に違反することになります。
「公開されているものは自由に使っていい!」というのは大きな勘違いです。これは著作権などとも共通するものです。
結局、個人情報の管理については、基本的に本人の意思に反して利用することは許されないことになります。 特に事業をされている方はこの点に十分気を付けましょう。
この記事が「勉強になった!」と思ったらクリックをお願いします
