《日本个人信息保护法》和个人信息是什么?律师解释
2015年(平成27年)修订并于2017年开始实施的《日本个人信息保护法》(准确来说是“关于保护个人信息的法律”)是考虑企业活动中的个人信息问题时的重要法规,明确了处理个人信息的业务者所承担的法律义务。在平成27年之前,只有拥有超过5000人的个人信息的业务者才被视为处理个人信息的业务者,因此,像小型企业这样的非处理个人信息的业务者也很多。然而,2015年的修订取消了这个条件,几乎所有的企业都成为了处理个人信息的业务者,对于小型企业主来说,这是一项无法回避的法律。由于需要处理客户的姓名、电子邮件地址等个人信息以进行邮购、电子邮件营销、直邮营销和实体店铺的积分卡等活动,因此,必须掌握个人信息保护法的基本知识。
个人信息保护法的目的和定义
个人信息保护法具体是什么样的法律呢?让我们来看看它的概述。首先,第一条明确了这个法律的目的。
日本个人信息保护法第1条
鉴于高度信息通信社会的进展,个人信息的使用正在显著扩大,本法旨在规定个人信息的适当处理的基本理念和政府的基本政策制定等个人信息保护措施的基础事项,明确国家和地方公共团体的责任,同时规定处理个人信息的业务者应遵守的义务,以便在考虑到个人信息的有用性的同时,保护个人的权利和利益,适当和有效地利用个人信息有助于创造新的产业,实现充满活力的经济社会和丰富的国民生活。
这就是法律的目的。
第二条定义了个人信息、个人数据和持有个人数据(第2条第1款、第4款、第5款)。
在日本个人信息保护法中,“个人信息”是指“关于生存的个人的信息”,通过“包含在该信息中的姓名、出生日期和其他描述等”,可以“识别特定的个人(包括可以容易地与其他信息对比,从而可以识别特定的个人的信息。)”。”个人数据”是指将上述个人信息通过计算机数据库化的信息,其中业务者持有超过6个月的信息被称为”持有个人数据”。
根据个人信息是否被数据库化,其保护的必要性大不相同。个人数据是被数据库化的,可以容易地进行搜索等操作的个人信息,因此其权利侵犯的可能性较高,因此比一般的个人信息得到了更强的保护。
得到更强保护的是持有个人数据,这是个人信息处理业务者有权进行披露、内容的更正、添加或删除、使用的停止、删除和停止向第三方提供的个人数据(第2条第7款),对于持有个人数据,允许本人根据对自己的信息适当参与的要求进行披露、更正、使用停止等请求(将在后面提到)。
关于个人信息处理的规定
为了防止个人信息被滥用,我们必须明确指定使用个人信息的目的,并将其处理限制在实现该目的所需的范围内,作为适当处理的规则。
因此,处理个人信息的业务者必须:
- 在处理个人信息时,必须尽可能明确使用目的(第15条第1款)
- 不得超出实现使用目的所需的范围处理个人信息(第16条第1款)
- 不得通过欺诈或其他不正当手段获取个人信息(第17条第1款)
- 如果获取了个人信息,必须通知或公开使用目的给本人(第18条)
日本《个人信息保护法》要求企业主对其持有的个人信息,按照预先确定并公开的目的进行使用。换句话说,”可以任意使用个人信息,但必须明确并公开其目的”。例如,”使用个人信息以显示符合用户属性的广告”本身并不违法,但必须预先公开其使用目的。公开的方式没有特别规定,但通常以”隐私政策”或”个人信息保护政策”的形式进行。
另一方面,对于所谓的敏感信息,即需要特别考虑的个人信息,原则上禁止在未经本人同意的情况下获取,这比普通的个人信息更为严格(第17条第2款)。
需要特别考虑的个人信息是指:
第2条第3款
在本法中,“需要特别考虑的个人信息”是指,包含政令规定的描述等,以防止对本人的种族、信仰、社会地位、病史、犯罪记录、因犯罪受到伤害的事实等产生不公平的歧视、偏见或其他不利影响,需要特别考虑其处理的个人信息。
此外,还包括残疾、健康检查结果、医生等的指导、诊疗、配药等、进行刑事程序、进行少年保护事件的程序等。
除非有特定的例外情况,否则原则上不得在未经本人同意的情况下“获取”需要特别考虑的个人信息。这种严格的规定是因为,即使在不太可能需要获取需要特别考虑的个人信息的情况下,也可能因为获取和处理这些信息,产生歧视和偏见的风险。
关于管理和监督的规定
许多人都担心并对个人信息泄露或被篡改的情况感到不安。对于数据库化的个人数据,由于出现了大量客户信息泄露等社会问题,这种担忧更加严重。因此,个人信息处理业者有义务采取必要且适当的措施(安全管理措施)来保障个人数据的安全管理(第20条)。
违反安全管理义务
实际上,在个人信息在网络上等地泄露或流出的案件中,往往会认定存在违反安全管理义务的情况,即使是中小规模的业者也需要考虑其特性来采取安全管理措施。这些措施在《关于个人信息保护法的指南(通则篇)》(个人信息保护委员会)中有明确的规定,因此,遵循这个指南来应对不仅可以遵守个人信息保护法第20条,而且在意义上也是重要的,以避免因网络等地的泄露事件导致侵犯隐私权的非法行为责任被追究的情况。
然而,无论如何建立制度或系统,其适当的运作最终还是必须由人来负责,因此规定了“个人信息处理业者在让其员工处理个人数据时,必须对该员工进行必要且适当的监督,以确保个人数据的安全管理”(第21条)。
另外,员工出售或携带客户数据等行为,不仅该员工本人需要承担非法行为责任(民法第709条),个人信息处理业者本身也可能需要承担使用者责任(民法第715条),因此需要注意。
“提供给第三方”和“委托”
在个人信息保护法中,即使是为了事先公布的目的,也原则上禁止将客户的个人信息“提供给第三方”,除非得到同意。但是,如果按照这个规则来操作,那么“将关于客户的数据库放在租赁服务器等地也是违法的”。因为租赁服务器对于业者来说是“第三方”。
然而,“提供给第三方”中,“委托”是被例外允许的,如果是委托给不使用该信息的人,那么是被允许的。例如,租赁服务器只是存储信息,并不使用。这种将个人信息的处理委托给第三方的情况经常发生,但为了防止委托方不适当地处理信息,或者通过层层委托使责任所在变得不明确等情况,规定了“个人信息处理业者在委托全部或部分个人数据的处理时,必须对接受委托的人进行必要且适当的监督,以确保个人数据的安全管理”(第22条)。
通过本人参与合理化个人信息处理
个人信息保护法(日本个人信息保护法)为了通过本人的参与合理化个人信息的处理,允许在一定条件下,本人向个人信息处理业者提出关于自己的个人数据的披露(第28条)、修正・添加・删除(第29条)、停止使用等(第30条)的请求。这些本人的参与已明确为私法上的请求权,即使提出请求,如果个人信息处理业者不应对,也可以通过法庭实现权利。
如果信息主体提出请求,个人信息处理业者必须披露其持有的个人数据,如果内容有误,必须进行修正等,如果处理违反了法律义务,如超出目的的使用、不适当的获取方式、未经信息主体同意向第三方提供,必须停止使用信息。如上所述,个人信息保护法通过对处理个人信息的业者施加各种义务,是一种保护公民权利的法律。
个人信息泄露的处罚
在日本的《个人信息保护法》中,规定了企业泄露个人信息的处罚。
如果企业违反了《个人信息保护法》,导致信息泄露,首先,将会收到来自国家的“建议采取必要措施以停止违法行为并纠正违法行为”的通知(第42条)。如果继续违反,对违法的员工,“将被判处6个月以下的有期徒刑或30万日元以下的罚金”(第84条),同时,雇佣该员工的公司也可能“被判处30万日元以下的罚金”(第85条)。此外,如果为了追求不正当利益而提供或盗用信息,无需先行建议,就可以“被判处1年以下的有期徒刑或50万日元以下的罚金”(第83条)。
总结
《日本个人信息保护法》是一部要求处理个人信息的经营者适当处理个人信息,并采取必要且适当的措施进行安全管理的法律。对于几乎所有的企业来说,这是一部不可避免的重要法律。