個人情報保護法~個人情報保護委員会による監督について
個人情報保護委員会は、個人情報の有用性に配慮しつつ、個人の権利利益を保護するため、個人情報の適正な取扱いの確保を図ることを任務とした独立性の高い機関です。個人情報保護委員会は個人情報取扱事業者等を、監督および監視する権限を有しています。
本コラムでは、個人情報保護委員会による監督について解説いたします。
報告徴収・立入検査・助言
個人情報保護委員会は、個人情報取扱事業者等に対し、必要な報告若しくは資料の提出を求めること、立入検査(個人情報保護法146条1項)、必要な指導、助言(個人情報保護法147条)をすることができます。
委員会は、第四章(第五節を除く。次条及び第百五十一条において同じ。)の規定の施行に必要な限度において、個人情報取扱事業者、仮名加工情報取扱事業者、匿名加工情報取扱事業者又は個人関連情報取扱事業者(以下この款において「個人情報取扱事業者等」という。)その他の関係者に対し、個人情報、仮名加工情報、匿名加工情報又は個人関連情報(以下この款及び第三款において「個人情報等」という。)の取扱いに関し、必要な報告若しくは資料の提出を求め、又はその職員に、当該個人情報取扱事業者等その他の関係者の事務所その他必要な場所に立ち入らせ、個人情報等の取扱いに関し質問させ、若しくは帳簿書類その他の物件を検査させることができる。
個人情報保護法146条1項
委員会は、第四章の規定の施行に必要な限度において、個人情報取扱事業者等に対し、個人情報等の取扱いに関し必要な指導及び助言をすることができる。
個人情報保護法147条
指導・助言は、必要に応じて行うことができます。指導・助言は法的拘束力を有するものではありませんが、理由なく従わない場合はより強い措置が行われる可能性があります。
個人情報保護委員会から求められた報告をしなかったり、虚偽の報告をした個人情報取扱事業者等には、50万円以下の罰金が科されます(個人情報保護法182条)。
次の各号のいずれかに該当する場合には、当該違反行為をした者は、五十万円以下の罰金に処する。
一 第百四十六条第一項の規定による報告若しくは資料の提出をせず、若しくは虚偽の報告をし、若しくは虚偽の資料を提出し、又は当該職員の質問に対して答弁をせず、若しくは虚偽の答弁をし、若しくは検査を拒み、妨げ、若しくは忌避したとき。
二 第百五十三条の規定による報告をせず、又は虚偽の報告をしたとき。
個人情報保護委員会による指導の例は、公開されている年次報告、または上半期活動実績の中に報告されています。指導・助言の対象となった個人情報取扱事業者等の名は基本的には公開されませんが、事案の内容や社会的影響を考慮して、指導対象となった個人情報取扱事業者等の名が公開されることもあります。
指導の例
A社への指導
A社が不正アクセスを受けて個人データの漏えいのおそれを生じさせた事案がありました。
A社は、決済代行業者としてクレジットカード情報を含む多数の消費者の個人データを恒常的に取り扱うことから、個人データの適正な取扱いの確保について組織として重点的に取り組む必要があるにもかかわらず、以下のA社の安全管理措置につき不十分な点があることが確認されました。
- A社の規程上行うこととされていた個人データを含む情報資産の棚卸しを適切に実施しておらず、どのシステムにおいてどのような情報資産を取り扱っているか把握していなかったこと
- 個人データの取扱状況に係る監査・点検を一部実施しておらず、その重要性に見合った取扱いを行っていなかったこと
- 内部監査規程等を定めていたものの同規程等に従った内部監査等を実行するための適切な人員配置等を行わず、情報セキュリティに対する内部監査が機能していなかったこと
- 不正侵入を検知した際のセキュリティアラートについて十分な検証を行っていないこと
そのため、委員会は、A社に対して、定期的な棚卸しや個人データの取扱状況に係る監査・点検等により個人情報の取扱状況を適切に把握するとともに、経営層の技術的安全管理措置を含む情報セキュリティに対する内部監査への能動的な関与により内部監査機能の強化を図ることその他再発防止策の確実な遂行を行うよう指導を行いました。
B社への指導および報告徴収
C市から住民の個人データの取扱いの委託を受けたB社において、B社から当該個人データの取扱いを受託した委託先従業者が、当該個人データが記録されているUSBメモリを一時紛失した事案がありました。
委員会は、B社が多くの行政機関・地方公共団体・民間企業からシステム開発・保守業務の委託を受けるITサービス業者であることや、B社がC市から取扱いの委託を受けた個人データにはC市全住民という多量の個人データが含まれ、しかも一部の住民に関しては要配慮個人情報や口座番号等の機微性の高い情報も含まれていたことを踏まえ、B社に対し、個人情報保護法第143条第1項に基づく立入検査等を行い、B社の安全管理措置の状況について調査を行いました。
その結果、B社においては、以下のことが認められました。
①個人データの取扱いに係る規律に従った運用を確保するための組織的安全管理措置が適切に講じられておらず、同規律に反した態様でのUSBメモリへの個人データの記録、当該USBメモリの搬送及び保管等が行われていたこと
②上記①を招いた原因としてC市からの受託業務の作業工程におけるリスクの影響範囲、同リスクの対処可否及び残存リスクの許容可否といった事項を組織的に分析し承認するための体制が整備されておらず、これらの事項を現場担当者のみで判断することが実態となっており、適切な組織的安全管理措置が講じられていなかったこと
③個人データを取り扱う区域の入退室管理、個人データを保存する電子媒体の盗難等を防止するための施錠できるキャビネット等への保管等及び個人データへの不要なアクセスを防ぐための制御等の物理的・技術的安全管理措置が適切に講じられていなかったこと
④B社の従業者であるプロジェクト責任者は、実作業を行っていたB社の委託先従業者に対し、具体的な手順や講ずべき安全管理措置に関する指示を何ら行わず、これに関する当該委託先従業者の検討結果の確認すらせず、当該委託先従業者に個人データの取扱状況に係る報告を求めるなどもしないなど、委託先の監督を適切に行っていないこと
そのため、委員会は、上記①、②を踏まえ、B社が個人データの取扱いの委託を受けている全ての事業において、網羅的にリスクに応じた適切な措置を検討するなどの組織体制を整備するとともに、B社の管理規程及び委託元と取り決めた管理規程等の個人データの取扱いに係る規律の遵守状況を確認し、必要に応じてそれらの規律又は管理体制を見直すこと、上記③を踏まえ、B社が自律的に策定した再発防止策を確実に実施すること、上記④を踏まえ、B社が個人データの取扱いを委託する場合には、安全管理措置及び個人データの取扱いに係る規律について知見を持った責任者が委託先における個人データの取扱状況を適切に把握するなど、モニタリング機能の強化を図ることを指導し、指導に対応した改善策の実施状況について報告徴収を行いました。
その後、当該報告徴収に対応したB社からの報告を受け、委員会はB社が上記指導に適切に対応しているかを精査し、B社において指導に応じた一定の改善がなされたことを確認しました。
勧告・命令
個人情報保護委員会は個人情報取扱事業者等が一定の義務規定に違反した場合、個人の権利利益を保護するために必要があると認めるときは、当該違反行為の中止、その他違反の是正に必要な措置をとるべき旨を勧告することができます(個人情報保護法148条1項)。
また、正当な理由がなくその勧告にかかる措置がとられず、かつ、個人の重大な権利利益の侵害が切迫していると認める場合、その勧告に係る措置をとるべきことを命じることができます(個人情報保護法148条2項)。
例外的に、プライバシーの重大な侵害があり、これを緊急に是正しなければならない場合等、緊急の必要があれば、勧告を経ずとも、必要な措置をとるべきことを命ずることができます(個人情報保護法148条3項)。
委員会は、個人情報取扱事業者が第十八条から第二十条まで、第二十一条(第一項、第三項及び第四項の規定を第四十一条第四項の規定により読み替えて適用する場合を含む。)、第二十三条から第二十六条まで、第二十七条(第四項を除き、第五項及び第六項の規定を第四十一条第六項の規定により読み替えて適用する場合を含む。)、第二十八条、第二十九条(第一項ただし書の規定を第四十一条第六項の規定により読み替えて適用する場合を含む。)、第三十条(第二項を除き、第一項ただし書の規定を第四十一条第六項の規定により読み替えて適用する場合を含む。)、第三十二条、第三十三条(第一項(第五項において準用する場合を含む。)を除く。)、第三十四条第二項若しくは第三項、第三十五条(第一項、第三項及び第五項を除く。)、第三十八条第二項、第四十一条(第四項及び第五項を除く。)若しくは第四十三条(第六項を除く。)の規定に違反した場合、個人関連情報取扱事業者が第三十一条第一項、同条第二項において読み替えて準用する第二十八条第三項若しくは第三十一条第三項において読み替えて準用する第三十条第三項若しくは第四項の規定に違反した場合、仮名加工情報取扱事業者が第四十二条第一項、同条第二項において読み替えて準用する第二十七条第五項若しくは第六項若しくは第四十二条第三項において読み替えて準用する第二十三条から第二十五条まで若しくは第四十一条第七項若しくは第八項の規定に違反した場合又は匿名加工情報取扱事業者が第四十四条若しくは第四十五条の規定に違反した場合において個人の権利利益を保護するため必要があると認めるときは、当該個人情報取扱事業者等に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべき旨を勧告することができる。
2 委員会は、前項の規定による勧告を受けた個人情報取扱事業者等が正当な理由がなくてその勧告に係る措置をとらなかった場合において個人の重大な権利利益の侵害が切迫していると認めるときは、当該個人情報取扱事業者等に対し、その勧告に係る措置をとるべきことを命ずることができる。
3 委員会は、前二項の規定にかかわらず、個人情報取扱事業者が第十八条から第二十条まで、第二十三条から第二十六条まで、第二十七条第一項、第二十八条第一項若しくは第三項、第四十一条第一項から第三項まで若しくは第六項から第八項まで若しくは第四十三条第一項、第二項若しくは第五項の規定に違反した場合、個人関連情報取扱事業者が第三十一条第一項若しくは同条第二項において読み替えて準用する第二十八条第三項の規定に違反した場合、仮名加工情報取扱事業者が第四十二条第一項若しくは同条第三項において読み替えて準用する第二十三条から第二十五条まで若しくは第四十一条第七項若しくは第八項の規定に違反した場合又は匿名加工情報取扱事業者が第四十五条の規定に違反した場合において個人の重大な権利利益を害する事実があるため緊急に措置をとる必要があると認めるときは、当該個人情報取扱事業者等に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべきことを命ずることができる。
個人情報保護法148条1〜3項
命令に違反した者には、1年以下の拘禁刑または100万円以下の罰金が科されます(個人情報保護法178条)。この罰則には両罰規定が設けられています(個人情報保護法184条)。
第百四十八条第二項又は第三項の規定による命令に違反した場合には、当該違反行為をした者は、一年以下の拘禁刑又は百万円以下の罰金に処する。
個人情報保護法178条
個人情報保護委員会による勧告・命令の例は、指導の例と同様、公開されている年次報告、または上半期活動実績の中に報告されています。なお、勧告・命令を行ったことが必ず公表されるわけではありません。
勧告・命令の例
D社の例
多数の破産者等の個人情報を個人情報保護法に反する態様で継続的にウェブサイトに掲載していた個人情報取扱事業者に対し、①不特定多数の者による当該破産者等に対する人格的、財産的差別が誘発されるおそれがあることが十分に予見できるにもかかわらず、インターネット上に公開されている地図データと紐づける形で個人情報を掲載していることから同法第19条に違反し、②個人情報の取得に際して速やかにその利用目的を本人に通知し、又は公表していないことから同法第21条第1項に違反し、③インターネット上において個人データが不特定多数の者から閲覧可能な状態におかれているにもかかわらず係る第三者提供に際してあらかじめ本人の同意を得ていないことから同法第27条第1項に違反することを理由に、当該ウェブサイトを通じた個人データの提供を直ちに停止するよう勧告を行いました。
しかし、正当な理由なく当該勧告に係る措置が講じられなかったため、当該個人情報取扱事業者に対し、令和4年11月2日付けで、当該ウェブサイトを通じた個人データの提供を直ちに停止するよう命令を行いました。
E社の例
令和7年5月16日、個人情報保護委員会は、E社が名簿販売を通じて特殊詐欺グループに個人情報を提供していた事案について、個人情報保護法第148条第3項に基づく緊急命令を発出し、当該提供の即時中止等を命じました。あわせて、第三者提供記録の適正管理等に関する勧告を行い、体制整備計画の提出および1年間の月次報告を求めました。これは、個人情報保護委員会による初の緊急命令事例となります。
※本コラムは掲載日時点の法令等に基づいて執筆しております。
小西法律事務所
前の記事へ