何謂「日本個人資訊保護法」與「個人資訊」?律師解釋詳述
2015年(平成27年)修訂(並於2017年(平成29年)開始實施)的「個人資訊保護法」(正確名稱為「關於保護個人資訊的法律」)是在考慮企業活動中的個人資訊問題時的重要法規,明確規定了處理個人資訊的業者所需承擔的法律義務。至於處理個人資訊的業者,直到平成27年(2015年)為止,只限於擁有超過5000人的個人資訊的業者,因此,像小型企業這樣的業者並不多。然而,2015年的修訂取消了這項條件,因此幾乎所有的企業都成為了處理個人資訊的業者,對於小型企業主來說,這是一項無法避免的法律。由於需要處理客戶的姓名、電子郵件地址等個人資訊以進行郵購、電子報、直接郵寄行銷以及實體店面的點數卡等業務,因此必須掌握個人資訊保護法的基本要點。
個人資訊保護法的目的與定義
個人資訊保護法具體是什麼樣的法律呢?讓本所來看看其概要。首先,在第1條中,明確了本法的目的。
日本個人資訊保護法第1條
本法是鑑於高度資訊通訊社會的進展,個人資訊的使用已經顯著擴大,為了確定關於個人資訊的適當處理的基本理念和政府的基本政策以及其他與個人資訊保護相關的措施的基礎,明確國家和地方公共團體的責任,並規定處理個人資訊的業者應遵守的義務,以期通過個人資訊的適當和有效的使用,促進新產業的創建和活力充沛的經濟社會以及豐富的國民生活,同時考慮到個人資訊的有用性,保護個人的權利和利益。
如此寫道。
在第2條中,定義了個人資訊、個人數據和持有個人數據(第2條第1項、第4項、第5項)。在日本個人資訊保護法中,所謂的「個人資訊」是指「關於生存的個人的資訊」,透過「該資訊中包含的姓名、出生日期和其他描述等」可以「識別特定的個人(包括可以輕易與其他資訊對照,從而可以識別特定的個人的資訊。)」。「個人數據」是指將上述個人資訊通過電腦數據庫化的資訊,其中業者持有超過6個月的資訊被稱為「持有個人數據」。
個人資訊是否數據庫化,其保護的必要性會有很大的不同。個人數據是系統化的、可以輕易進行搜索等操作的個人資訊,因此其權利侵犯的可能性較高,因此比一般的個人資訊獲得了更強的保護。
獲得更強保護的是持有個人數據,這是指個人資訊處理業者有權進行開放、內容的修正、添加或刪除、使用的停止、刪除以及停止向第三方提供的個人數據(第2條第7項),對於持有個人數據,允許本人根據對自己的資訊適當參與的要求,進行開放、修正、使用停止等請求(後述)。
關於個人資訊處理的規範
為了防止個人資訊被隨意利用,必須明確指定使用個人資訊的目的,並將其處理限制在達成該目的所需的範圍內。
因此,處理個人資訊的業者必須:
- 在處理個人資訊時,必須盡可能明確指定使用目的(第15條第1項)
- 不得超出達成使用目的所需的範圍處理個人資訊(第16條第1項)
- 不得通過欺騙或其他不正當手段獲取個人資訊(第17條第1項)
- 如果獲取了個人資訊,必須通知或公開使用目的給本人(第18條)
這些都是《日本個人資訊保護法》的規定。該法要求業主對其持有的個人資訊,按照事先特定並公開的目的進行使用。換句話說,”可以任意使用個人資訊,但必須特定並公開其目的”。例如,”為了顯示符合用戶屬性的廣告而使用個人資訊”並不是非法的,但必須事先公開其使用目的。公開方法沒有特定規定,但通常以”隱私政策”或”個人資訊保護政策”的形式進行。
另一方面,對於所謂的敏感資訊,即需要特別考慮的個人資訊,原則上禁止未經本人同意的獲取,其規定比一般個人資訊更為嚴格(第17條第2項)。
需要特別考慮的個人資訊是指:
第2條第3項
在本法中,”需要特別考慮的個人資訊”是指包含本人種族、信仰、社會地位、病歷、犯罪歷史、受犯罪侵害的事實等,可能導致對本人不公平的歧視、偏見或其他不利影響,需要特別考慮其處理方式的個人資訊,由政令確定。
此外,還包括殘疾、健康檢查結果、醫生等的指導、診療、配藥等、進行刑事程序、進行少年保護事件相關程序等。
除非有特定的例外情況,否則對於需要特別考慮的個人資訊,即使在不太可能需要獲取的情況下,也不得未經本人同意就”獲取”,這是一項嚴格的規定。這是因為,如果獲取並處理需要特別考慮的個人資訊,可能會產生歧視和偏見。
關於管理與監督的規範
許多人都擔心並感到不安,擔心個人信息會被洩露或被篡改。對於已經數據化的個人數據,由於客戶信息的大量洩露等問題已經引發了許多社會問題,因此這種擔憂更加嚴重。因此,個人信息處理業者有義務採取必要且適當的措施(安全管理措施)來確保個人數據的安全管理(第20條)。
違反安全管理義務
實際上,在個人信息在網路上等地洩露或流出的案件中,大多數情況下都被認定為違反了安全管理義務,並且,考慮到中小規模業者的特性,其安全管理措施的內容已在「日本個人信息保護法指南(通則編)」(日本個人信息保護委員會)中明確規定,因此,遵循這些指南進行應對不僅符合日本個人信息保護法第20條的規定,而且在避免因網路等地洩露事件導致侵犯隱私權的侵權行為責任問題上也非常重要。
然而,無論如何建立制度或系統,其正確的運作最終都必須由人來負責,因此,「個人信息處理業者在讓其員工處理個人數據時,必須對該員工進行必要且適當的監督,以確保該個人數據的安全管理」(第21條)。
另外,員工銷售或攜帶客戶數據等行為,不僅該員工本身需要承擔侵權行為責任(民法第709條),個人信息處理業者本身也可能需要承擔使用者責任(民法第715條),因此需要特別注意。
「提供給第三方」與「委託」
在日本個人信息保護法中,即使是為了事先公開的目的,也原則上禁止將客戶的個人信息「提供給第三方」,除非得到同意。但是,如果按照這個規則,「將與客戶相關的數據庫放在租賃服務器等地方也是違法的」。因為租賃服務器對於業者來說是「第三方」。
然而,在「提供給第三方」中,「委託」被視為例外,並被允許,只要是委託給不使用該信息的人就可以。例如,租賃服務器只是存儲信息,並不使用。這種將個人信息的處理委託給第三方的情況經常發生,但為了防止委託方不適當地處理信息,或者通過重複層次委託使責任所在變得不清晰等情況,「個人信息處理業者在委託全部或部分個人數據的處理時,必須對接受委託的人進行必要且適當的監督,以確保被委託處理的個人數據的安全管理」(第22條)。
本人參與的個人資訊處理正當化
日本的個人資訊保護法為了實現本人參與的個人資訊處理正當化,允許在一定條件下,本人向個人資訊處理業者提出關於自己的個人資訊的開放(第28條)、修正・增補・刪除(第29條)、停止使用等(第30條)的要求。這些本人參與的權利在私法上已明確規定,即使提出要求後,個人資訊處理業者不予回應,也可以通過訴訟實現這些權利。
個人資訊處理業者如果收到資訊本人的要求,必須開放其持有的個人資訊,如果內容有誤,必須進行修正等,如果違反法律義務,如用於非法目的、不當的獲取方式、未經本人同意就向第三方提供,則必須停止使用該資訊。如此可見,個人資訊保護法通過對處理個人資訊的業者施加各種義務,是一種旨在保護國民權利的法律。
個人資訊洩露的刑罰
在日本的《個人資訊保護法》中,規定了企業洩露個人資訊的刑罰。
如果企業違反了《個人資訊保護法》,導致資訊洩露,首先,日本政府會「建議停止違法行為並採取必要的措施以糾正違法行為」(第42條)。如果仍然違反,對於違法的員工,將會「處以不超過6個月的有期徒刑或不超過30萬日元的罰金」(第84條),對於雇用該員工的公司,也可能「處以不超過30萬日元的罰金」(第85條)。此外,如果為了不正當利益而提供或盗用資訊,則無需先行建議,將「處以不超過1年的有期徒刑或不超過50萬日元的罰金」(第83條)。
總結
個人資訊保護法是一項要求處理個人資訊的經營者適當地處理個人資訊,並採取必要且適當的措施進行安全管理的法律,對於幾乎所有的企業來說,這是一項無法避免且重要的法律。