トピックス

2020.01.14
NEWS

個人情報保護法の改正の方向性(3年ごと見直しの制度改正大綱) ~第8回「公益目的による個人情報の取扱いに係る例外規定の運用の明確化」~

令和元年(2019年)12月13日、個人情報保護委員会は、「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱」(以下「制度改正大綱」という。)を公表し、パブリックコメントとして意見募集を開始した(意見締切:2020年1月14日)[1]。本稿では、制度改正大綱のうち、民間事業者に影響を与える内容を中心に分かりやすく解説する。第8回は、「公益目的による個人情報の取扱いに係る例外規定の運用の明確化」について解説する。

個人情報保護法改正の方向性(第8回:公益目的による個人情報の取扱いに係る例外規定の運用の明確化)

(制度改正大綱)
個人情報保護法 いわゆる3年ごと見直し 制度改正大綱
(全体取りまとめ版)
Q&A個人情報保護法改正の方向性(制度改正大綱を読み解く)
(ニュースレター形式)
個人情報保護法の改正の方向性(3年ごと見直しの制度改正大綱) ~第1回「端末識別子等の取扱い」~
 個人情報保護法改正の方向性(第2回:仮名化情報)
個人情報保護法改正の方向性(第3回:開示請求・利用停止請求等)
個人情報保護法の改正の方向性(3年ごと見直しの制度改正大綱) ~第4回「漏えい等報告及び本人通知の義務化」~
個人情報保護法改正の方向性(第5回:適正な利用義務の明確化)
個人情報保護法改正の方向性(第6回:オプトアウト制度の強化)
個人情報保護法改正の方向性(第7回:ペナルティの強化・課徴金制度の導入見送り)
個人情報保護法改正の方向性(第8回:公益目的による個人情報の取扱いに係る例外規定の運用の明確化)
個人情報保護法改正の方向性(第9回:域外適用と越境データ移転に関する改正の方向性)
(その他)
個人情報保護法ニュースNo.1:リクナビ事件と個人情報保護法の改正
個人情報保護法ニュースNo.2:個人情報保護法改正の方向性(第1回:端末識別子等の取扱い)
 (関連ニュースレター)
Q&A『デジタル・プラットフォーム事業者と個人情報等を提供する消費者との取引における優越的地位の濫用に関する独占禁止法上の考え方』
 
執筆者:渡邉雅之
* 本ニュースレターに関するご相談などがありましたら、下記にご連絡ください。
弁護士法人三宅法律事務所
弁護士渡邉雅之
TEL 03-5288-1021
FAX 03-5288-1025
Email m-watanabe@miyake.gr.jp
 
第1.公益目的による個人情報の取扱いに係る例外規定の運用の明確化(制度改正大綱第3章第4節2.「公益目的による個人情報の取扱いに係る例外規定の運用の明確化」)(22頁~23頁)
 
【改正の方向性】
  • 利用目的による制限の例外(個人情報保護法16条3項各号)、要配慮個人情報の取得の際の同意取得の例外(同法17条2項各号)、個人データの第三者提供の制限の例外(同法23条1項各号)においては、一定の場合に本人の同意なしに取得・利用が認められる旨規定されているが、これまで当該例外規定が厳格に運用されている傾向があることから、想定されるニーズに応じ、個人情報の公益目的の取り扱いについて、ガイドラインやQ&Aで具体的に示されることになる。
  • 具体的には、安全面や効果面で質の高い医療サービスや医薬品、医療機器等の実現に向け、医療機関や製薬会社が、医学研究の発展に資する目的で利用する場合などが、ガイドラインやQ&Aに追加される。
  • 公益目的の例外が個人情報保護法の改正により追加されるわけではない。
  • GDPRのように「契約の履行のため必要な場合」や「個人情報取扱事業者の正当な利益のために必要な場合」といった例外が認められるわけではない。
  • 個人情報保護法の改正とは別に、別途、個別法において「防災・減災の観点から個人情報を含むデータの提供が求められる場合、電力会社から迅速に情報提供が行われるような制度整備」がなされる可能性がある。
 
【解説】
1.現行法の利用目的による制限等の規定の趣旨[2]
 個人情報保護法では、個人情報の適正な取扱いを図ることにより、個人の権利利益の侵害を防止している。
利用目的による制限(法16条)の規定がおかれている趣旨は、個人情報取扱事業者に対して特定された利用目的の達成に必要な範囲内での個人情報の取扱いを義務付け、無限定な個人情報の取扱いを排除することを通じて、本人の権利利益侵害を防止しようとするものである。同様に、要配慮個人情報の取得(法17条2項)、個人情報の第三者提供(法23条1項)に当たっては、原則として本人の同意を得ることを必要とすることで、個人の権利利益の保護を図ることとしている
ただし、特定された目的以外の目的で個人情報を取り扱うことや、本人の同意を得ずに要配慮個人情報の取得、個人情報の第三者提供を行うことが必ずしも本人の権利利益を直ちに侵害するとは限らないことから、これらの規定はあくまで間接的な予防措置との性格を有する。
したがって、他の権利利益の保護を優先すべき場合にまで一律に規定の適用を行うことは適当ではないため、一定の例外規定を設けている。すなわち、例外的な取扱いを認めることの利益が本人への不利益を上回ると考えられる場合においては、例外を認めることとしている。
 
【利用目的による制限(法第16条)・個人情報の第三者提供(法第23条第1項)の例外】
① 法令に基づく場合
② 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
③ 公衆衛生の向上又は、児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
④ 国の機関等が実施する事務を遂行することに対して協力する場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
【要配慮個人情報の取得(法第17条第2項)の例外】
上記の4件に加えて、下記の2件が規定されている。
⑤ 当該要配慮個人情報が、本人、国の機関、地方公共団体、第七十六条第一項各号に掲げる者その他個人情報保護委員会規則で定める者により公開されている場合
⑥ その他前各号に掲げる場合に準ずるものとして政令で定める場合
 
2.本論点についての意見[3]
(1)中間整理の意見募集に寄せられた意見
 「個人情報保護法いわゆる3年ごと見直しに係る検討の中間整理」自体には、本論点は取り上げられていないが、以下のような意見があった(6団体・事業者または個人から10の意見)。
【主な意見】
  • 匿名加工情報、非識別加工情報や匿名加工医療情報等、本人同意の取得をせずとも利活用可能な情報に関し、災害時の利用や学術研究目的等、公益性の高い利用が推進されるような法整備を進めるべきである。また、公益的目的でのデータ利活用の推進や仮名化データの活用と合わせて、匿名加工情報等のさらなる活用に関しても検討すべきである。(世界経済フォーラム第四次産業革命日本センター)
  • 「 利用目的に応じた検討(統計処理、科学的利用など)」の項目を追加していただきたい。具体的には、当該項目で「第三者提供先の利用目的が本人の特定・到達を含まない場合(例えば、統計処理、科学的利用等)には、要配慮個人情報を含む場合であっても、オプトアウトによる第三者提供を可能にする」などの規制緩和を要望する。(日本製薬工業協会)
  • 公共性の高いものについては、利用停止権の例外とすることを検討すべき。(匿名)
(2)個人情報保護委員会の有識者・事業者ヒアリングにおける関連意見
  • 公益性とはいったいどういうものなのか分析し、公益的活動を行う場合に、柔軟に個人情報の利用を認める余地はないか、検討をしてみる価値はある。
  • GDPRの中では、様々な文脈で公共の利益という言葉が使われているが、日本でもその点を検討すると、利活用を拡大させられる可能性をもたらすのではないか。 (中央大学国際情報学部教授石井夏生利氏)
  • 企業の側から、個人情報の定義、匿名加工情報の議論や要望がなぜ多く出てきたかというと、通常の取扱いに比べて第三者提供や利用目的変更の場合のハードルが高過ぎるということから出てきている。その背景には、そもそも何でも自由に使えるものだったのに、何でその場面だけ、そんなに厳しいのかというのが、正直な感想としてあるのだと思う。本当は元々の取扱いの条件が緩すぎるのだが、そういう意見が出てくるのは、やむを得ないことだと思う。
  • 第三者提供や利用目的変更が認められる場合として、適正な利益の目的のような一般規定を入れることも検討すべきではないか。一方で、個人情報の取扱い全般に本人の意思反映や正当化事由を求めるとともに、それ以外の第三者提供や利用目的変更についても、実質的な判断ができるような根拠を置くべきではないかと考える。(日本大学危機管理学部教授小向太郎氏)
 
3.GDPR
(1)適法な取扱いの根拠
 GDPR(EU一般データ保護規則)では、適法性の基準として「同意」のほか以下が認められる。(6条1項)
①契約の履行のため必要な場合
②法的義務を遵守のため必要な場合
③データ主体等の重大な利益を保護する場合
④公共の利益において、又は、管理者に与えられた公的な権限の行使において行われる職務の遂行のために取扱いが必要となる場合
⑤管理者の「正当な利益のため」取扱いが必要な場合
特に、「①契約の履行のために必要な場合」や「⑤管理者の正当な利益のため取扱いが必要な場合」(例えば、ダイレクトメールの送付などがこれに該当するとされている。)は、個人情報保護法にはない例外であり、個人(データ主体)の同意がない場合であっても、適法な取扱いと認められる。
このような例外は、個人情報保護法には規定がないところであり、この点は、個人情報保護法がGDPRよりも個人情報の取扱いにおいて厳しいところである。GDPRでは認められない「包括的同意」が個人情報保護法において認められるのは、このように取扱いの例外が制限的であるところも理由としてある。
(2)公共の利益
EUのGDPR(一般データ保護規則)では、個人データについて取扱いの適法性(第6条第1項)を要求しているところ、適法性の基準の一つとして、「公共の利益において、又は、管理者に与えられた公的な権限の行使において行われる職務の遂行のために取扱いが必要となる場合」が掲げられている。
この基準を遵守するためには、個人データの取扱いの根拠をEU法または管理者が服する加盟国の国内法による必要がある(第6条第3項)。また、この場合において、EU法または加盟国法は、GDPRの適用を調整するための特別の条項、特に、管理者による取扱いの適法性を規律する一般的な条件、取扱いの対象となるデータの種類、関係するデータ主体、個人データが開示されうる組織及び開示の目的、目的の限定、記録保存期間、第9章中に定めるその他の特別の取扱いの状況のための措置のような適法かつ公正な取扱いを確保するための措置を含めた取扱業務及び取扱手続等を含めることができるが、係る法は公共の利益の目的に適合するものであり、かつ、その求める正当な目的と比例的なものでなければならないとされる(同項)。
なお、具体的な取り扱いを規定している条項のうち、以下のものについては、それぞれ、公共の利益を目的とする例外規定がある。
・第9条(特別な種類の個人データの取扱い)、
・第17条(消去の権利(「忘れられる権利」)
・第20条(データポータビリティの権利)
・第21条(異議を述べる権利)
・第49条(特定の状況における例外※十分性認定(45条)、適切な保護措置(46条)がない場合の越境移転に関して)
 
4.制度改正大綱
 制度改正大綱では、以下のとおり、現行の個人情報保護法の「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」(同法16条3項2号、23条1項2号)や「公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき」(同法16条3項2号、23条1項2号)などの利用目的や第三者提供の制限の例外規定がある。
制度改正大綱では、個人情報の公益目的利用についても、一定の場合では許容されると考られるところ、これまで当該例外規定が厳格に運用されている傾向があることから、想定されるニーズに応じ、ガイドラインやQ&Aで具体的に示していくとされている。
具体的には、安全面や効果面で質の高い医療サービスや医薬品、医療機器等の実現に向け、医療機関や製薬会社が、医学研究の発展に資する目的で利用する場合などが、ガイドラインやQ&Aに追加されることになる。
 
5.防災・減災のための個人情報の緊急提供
日本経済新聞電子版2020年1月10日の記事(「個人情報の緊急提供 停電で浮かんだ官民のズレ」)[4]によれば、大規模な災害で人命が危機にさらされているときに、電力会社が持つ住所や人名のデータを使って救助活動をするところ、電力会社が本人の同意がないままで個人情報を第三者に提供すると、個人情報保護法に違反する恐れがあるとして伸長な態度を取った事案が紹介されている。
同事案では、経済産業省が個人情報保護委員会に、個人データの第三者提供の例外である「人の生命、身体、財産保護のために必要がある場合で、本人の同意を得ることが困難なとき」(個人情報保護法23条1項2号)に該当するか直接確認して「今回の事例なら問題ない」という言質を取った上で、電力会社は自治体に個人データを開示し、災害からの復旧にあたったとのことである。
2019年11月8日に開催された「総合資源エネルギー調査会 基本政策分科会 持続可能な電力システム構築小委員会」では、「電力会社による個別情報の自治体等への提供」に関して、以下のとおり、防災・減災の観点から、訓練等の事前の備えの実効性を高めるために、個人情報を含むデータの提供が求められる場合、必要な範囲内において、適切なフォーマットで、電力会社から迅速に情報提供が行われるような制度整備をすることが議論され、了解された。[5]
 
  • 電力会社が自治体や自衛隊といった関係者と連携するにあたり、スマートメーターを通じた各戸の電力使用情報や、需要家の被害情報の入った配電線地図(基線図)など、個別の情報を共有することが不可欠。
  • 今後、災害時における電力会社と他組織との連携を円滑化するとともに、防災・減災の観点から、訓練等の事前の備えの実効性を高めるために、個人情報を含むデータの提供が求められる場合、必要な範囲内において、適切なフォーマットで、電力会社から迅速に情報提供が行われるような制度整備が必要。
  • 併せて、こうした電力会社が保有するデータを用いることにより、より高度な防災計画の立案や避難所の物資配置など、様々な社会的課題の解決に資すると考えられるため、こうしたデータの適切な活用を促すための制度整備が必要。
 
 個人情報保護法の改正とは別に、別途、個別法において「防災・減災の観点から個人情報を含むデータの提供が求められる場合、電力会社から迅速に情報提供が行われるような制度整備」がなされる可能性がある。
 
【制度改正大綱の内容】
3.公益目的による個人情報の取扱いに係る例外規定の運用の明確化
〇 情報通信技術の飛躍的な進展により、顧客情報をはじめとしたビッグデータの収集、分析が可能となる中、例えば、地域活性化や医療・介護といった分野において、こうした分析結果等を用いて、社会的な課題を解決する動きが見受けられる。
〇 こうした中、我が国では、ビッグデータ分析等の先端技術をあらゆる産業や社会生活に取り入れ、経済発展と社会的課題の解決を両立していく新たな社会であるSociety 5.0の実現を目指すなど、データの更なる利活用等が求められている。社会的課題が多様化する中、効率的・効果的にこうした課題を解決していくためにも、事業者がデータを利活用できる環境を後押ししていくことが望ましいと考えられる。
〇 この点について、現行の個人情報保護法において、「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」や「公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき」などの利用目的や第三者提供の制限の例外規定があり、個人情報の公益目的利用についても、一定の場合では許容されると考られるところ、これまで当該例外規定が厳格に運用されている傾向があることから、想定されるニーズに応じ、ガイドラインやQ&Aで具体的に示していくことで、社会的課題の解決といった国民全体に利益をもたらす個人情報の利活用を促進することとする。
〇 具体的に示していく事例としては、例えば、安全面や効果面で質の高い医療サービスや医薬品、医療機器等の実現に向け、医療機関や製薬会社が、医学研究の発展に資する目的で利用する場合などが考えられる。
 
【個人情報保護法条文】
(利用目的による制限)
第16条 個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
2 (略)
3 前二項の規定は、次に掲げる場合については、適用しない。
一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
 
(第三者提供の制限)
第23条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
〇個人情報の保護に関する法律についてのガイドライン(通則編)
3-1-5 利用目的による制限の例外
(1)法令に基づく場合(法16 条第3 項第1 号関係)
 法令に基づく場合は、法第16 条第1 項又は第2 項の適用を受けず、あらかじめ本人の同意を得ることなく、特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱うことができる。
事例1)警察の捜査関係事項照会に対応する場合(刑事訴訟法(昭和23 年法律第131 号)第197 条第2 項)
事例2)裁判官の発する令状に基づく捜査に対応する場合(刑事訴訟法第218 条)
事例3)税務署の所得税等に関する調査に対応する場合(国税通則法(昭和37 年法律第66 号)第74 条の2 他)
事例4)製造・輸入事業者が消費生活用製品安全法(昭和48 年法律第31 号)第39 条第1 項の規定による命令(危害防止命令)を受けて製品の回収等の措置をとる際に、販売事業者が、同法第38 条第3 項の規定に基づき製品の購入者等の情報を当該製造・輸入事業者に提供する場合
事例5)弁護士会からの照会に対応する場合(弁護士法(昭和24 年法律第205 号)第23条の2)
(2)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき(法第16 条第3 項第2 号関係)
人(法人を含む。)の生命、身体又は財産といった具体的な権利利益の保護が必要であり、かつ、本人の同意を得ることが困難である場合は、法第16 条第1 項又は第2 項の適用を受けず、あらかじめ本人の同意を得ることなく、特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱うことができる。
事例1)急病その他の事態が生じたときに、本人について、その血液型や家族の連絡先等を医師や看護師に提供する場合
事例2)大規模災害や事故等の緊急時に、被災者情報・負傷者情報等を家族、行政機関、地方自治体等に提供する場合
事例3)事業者間において、暴力団等の反社会的勢力情報、振り込め詐欺に利用された口座に関する情報、意図的に業務妨害を行う者の情報について共有する場合
事例4)製造した商品に関連して事故が生じたため、又は、事故は生じていないが、人の生命若しくは身体に危害を及ぼす急迫した危険が存在するため、当該商品の製造事業者等が当該商品をリコールする場合で、販売事業者、修理事業者又は設置工事事業者等が当該製造事業者等に対して、当該商品の購入者等の情報を提供する場合
事例5)上記事例4 のほか、商品に重大な欠陥があり人の生命、身体又は財産の保護が必要となるような緊急時に、製造事業者から顧客情報の提供を求められ、これに応じる必要がある場合
事例6)不正送金等の金融犯罪被害の事実に関する情報を、関連する犯罪被害の防止のために、他の事業者に提供する場合
(3)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき(法第16 条第3 項第3 号関係)
公衆衛生の向上又は心身の発達途上にある児童の健全な育成のために特に必要があり、かつ、本人の同意を得ることが困難である場合は、法第16 条第1 項又は第2 項の適用を受けず、あらかじめ本人の同意を得ることなく、特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱うことができる。
事例1)健康保険組合等の保険者等が実施する健康診断の結果等に係る情報を、健康増進施策の立案、保健事業の効果の向上、疫学調査等に利用する場合(なお、法第76 条第1 項第3 号に該当する場合は、第4 章の各規定は適用されない。)
事例2)児童生徒の不登校や不良行為等について、児童相談所、学校、医療機関等の関係機関が連携して対応するために、当該関係機関等の間で当該児童生徒の情報を交換する場合
事例3)児童虐待のおそれのある家庭情報を、児童相談所、警察、学校、病院等が共有する必要がある場合
(4)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して、事業者が協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき(法第16 条第3 項第4 号関係)
国の機関等(地方公共団体又はその委託を受けた者を含む。)が法令の定める事務を実施する上で、民間企業等の協力を得る必要があり、かつ、本人の同意を得ることが当該事務の遂行に支障を及ぼすおそれがあると認められる場合は、当該民間企業等は、法第16 条第1項又は第2 項の適用を受けず、あらかじめ本人の同意を得ることなく、特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱うことができる。
事例1)事業者が税務署又は税関の職員等の任意の求めに応じて個人情報を提出する場合
事例2)事業者が警察の任意の求めに応じて個人情報を提出する場合
事例3)一般統計調査や地方公共団体が行う統計調査に回答する場合
 
3-2-2 要配慮個人情報の取得(法第17条第2項関係)
(1)法令に基づく場合(法第17 条第2 項第1 号関係)
法令に基づく場合は、あらかじめ本人の同意を得ることなく、要配慮個人情報を取得することができる。なお、具体的な事例は、3-1-5(利用目的による制限の例外)に示すもののほか、次の事例も該当する。
事例) 個人情報取扱事業者が、労働安全衛生法に基づき健康診断を実施し、これにより従業員の身体状況、病状、治療等の情報を健康診断実施機関から取得する場合
(2)人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき(法第17 条第2 項第2 号関係)
人(法人を含む。)の生命、身体又は財産といった具体的な権利利益の保護が必要であり、かつ、本人の同意を得ることが困難である場合は、あらかじめ本人の同意を得ることなく、要配慮個人情報を取得することができる。
事例1)急病その他の事態が生じたときに、本人の病歴等を医師や看護師が家族から聴取する場合
事例2)事業者間において、不正対策等のために、暴力団等の反社会的勢力情報、意図的に業務妨害を行う者の情報のうち、過去に業務妨害罪で逮捕された事実等の情報について共有する場合
事例3)不正送金等の金融犯罪被害の事実に関する情報を、関連する犯罪被害の防止のために、他の事業者から取得する場合
(3)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき(法第17 条第2 項第3 号関係)
 公衆衛生の向上又は心身の発達途上にある児童の健全な育成のために特に必要があり、かつ、本人の同意を得ることが困難である場合は、あらかじめ本人の同意を得ることなく、要配慮個人情報を取得することができる。
事例1)健康保険組合等の保険者等が実施する健康診断等の結果判明した病名等について、健康増進施策の立案や保健事業の効果の向上を目的として疫学調査等のために提供を受けて取得する場合(なお、法第76 条第1 項第3 号に該当する場合は、第4 章の各規定は適用されない。)
事例2)児童生徒の不登校や不良行為等について、児童相談所、学校、医療機関等の関係機関が連携して対応するために、ある関係機関において、他の関係機関から当該児童生徒の保護事件に関する手続が行われた情報を取得する場合
事例3)児童虐待のおそれのある家庭情報のうち被害を被った事実に係る情報を、児童相談所、警察、学校、病院等の関係機関が、他の関係機関から取得する場合
(4)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して、事業者が協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき(法第17 条第2 項第4 号関係)国の機関等(地方公共団体又はその委託を受けた者を含む。)が法令の定める事務を実施する上で、民間企業等の協力を得る必要があり、かつ、本人の同意を得ることが当該事務の遂行に支障を及ぼすおそれがあると認められる場合は、当該民間企業等は、あらかじめ本人の同意を得ることなく、要配慮個人情報を取得することができる。
事例) 事業者が警察の任意の求めに応じて要配慮個人情報に該当する個人情報を提出するために、当該個人情報を取得する場合
(5)当該要配慮個人情報が、本人、国の機関、地方公共団体、法第76 条第1 項各号に掲げる者その他個人情報保護委員会規則で定める者により公開されている場合(法第17 条第2 項第5 号、規則第6 条関係)
要配慮個人情報が、次に掲げる者により公開されている場合は、あらかじめ本人の同意を得ることなく、当該公開されている要配慮個人情報を取得することができる。
①本人
②国の機関
③地方公共団体
④放送機関・新聞社・通信社その他の報道機関(報道を業として行う個人を含む。)
⑤著述を業として行う者
⑥大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者
⑦宗教団体
⑧政治団体
⑨外国政府、外国の政府機関、外国の地方公共団体又は国際機関
⑩外国において法第76 条第1 項各号に掲げる者に相当する者
(6)本人を目視し、又は撮影することにより、その外形上明らかな要配慮個人情報を取得する場合(法第17 条第2 項第6 号、政令第7 条第1 号関係)
本人の意思にかかわらず、本人の外形上の特徴により、要配慮個人情報に含まれる事項(例:身体障害等)が明らかであるときは、あらかじめ本人の同意を得ることなく、当該要配慮個人情報を取得することができる。
事例) 身体の不自由な方が店舗に来店し、対応した店員がその旨をお客様対応録等に記録した場合(目視による取得)や、身体の不自由な方の様子が店舗に設置された防犯カメラに映りこんだ場合(撮影による取得)
(7)法第23 条第5 項各号に掲げる場合において、個人データである要配慮個人情報の提供を受けるとき(法第17 条第2 項第6 号、政令第7 条第2 号関係)
要配慮個人情報を、法第23 条第5 項各号に定める委託、事業承継又は共同利用により取得する場合は、あらかじめ本人の同意を得る必要はない。
 
3-4-1 第三者提供の制限の原則(法第23 条第1 項関係)
ただし、次の(1)から(4)までに掲げる場合については、第三者への個人データの提供に当たって、本人の同意は不要である。なお、具体的な事例は、3-1-5(利用目的による制限の例外)を参照のこと。
〇「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A
 
(利用目的による制限の例外)
Q2-11 法第16 条第3項第2号及び第3号に「本人の同意を得ることが困難であるとき」とありますが、例えばどのような場合がこれに該当しますか。
A2-11 例えば、本人の連絡先が不明等により、本人に同意を求めるまでもなく本人の同意を得ることが物理的にできない場合や、本人の連絡先の特定のための費用が極めて膨大で時間的余裕がない等の場合が考えられます。
 
(第三者提供の制限の原則)
Q5-15 株主より株主名簿の閲覧を求められた場合、株主名簿を開示することは第三
者提供に該当するため、全株主の同意がない限り、当該閲覧請求を拒否できますか。
A5-15 会社法において、株主には株主名簿の閲覧請求権が認められているため(会社法第125 条第2項)、会社法に基づく適法な閲覧請求に応じることは、法第23 条第1項第1号に規定する「法令に基づく場合」に該当します。したがって、全株主の同意がないことは、個人情報保護法上、閲覧請求を拒否する理由にはならないものと解されます。
(第三者提供の制限の原則)
Q5-16 弁護士法第23 条の2に基づき、当社の従業者の情報について弁護士会から
照会があった場合、当該従業者の同意を得ずに弁護士会に当該従業者情報を提供して
もよいですか。
A5-16 弁護士法第23 条の2に基づく弁護士会からの照会に対する回答は、「法令に基づく場合」(法第23 条第1項第1号)に該当するため、照会に応じて提供する際に本人の同意を得る必要はありません。
(第三者提供の制限の原則)
Q5-17 刑事訴訟法第197 条第2項に基づき、警察から顧客に関する情報について照会があった場合、顧客本人の同意を得ずに回答してもよいですか。同法第507 条に基づき、検察官から裁判の執行に関する照会があった場合はどうですか。
A5-17 警察や検察等の捜査機関からの照会(刑事訴訟法第197 条第2項)や、検察官及び裁判官等からの裁判の執行に関する照会(同法第507 条)に対する回答は、「法令に基づく場合」(法第23 条第1項第1号)に該当するため、これらの照会に応じて個人情報を提供する際に本人の同意を得る必要はありません。要配慮個人情報を提供する際も同様です。
なお、これらの照会は、いずれも、捜査や裁判の執行に必要な場合に行われるもので、相手方に回答すべき義務を課すものと解されており、また、上記照会により求められた顧客情報を本人の同意なく回答することが民法上の不法行為を構成することは、通常考えにくいため、これらの照会には、一般に回答をすべきであると考えられます。ただし、本人との間の争いを防止するために、照会に応じ警察等に対し顧客情報を提供する場合には、当該情報提供を求めた捜査官等の役職、氏名を確認するとともに、その求めに応じ提供したことを後日説明できるようにしておくことが必要と考えられます。
(第三者提供の制限の原則)
Q5-19 過去に販売した製品に不具合が発生したため、製造会社で当該製品を回収することになりました。販売会社を通じて購入者情報を提供してもらい、製造会社から購入者に連絡を取りたいのですが、購入者数が膨大なため、販売会社が購入者全員から第三者提供についての同意を得るのは困難です。さらに、製品の不具合による人命に関わる事故が発生するおそれもあるため、製品を至急回収したいのですが、このような場合でも購入者全員の同意を得なければならないですか。
A5-19 製品の不具合が重大な事故を引き起こす危険性がある場合で、購入者に緊急に連絡を取る必要があるが、購入者が膨大で、購入者全員から同意を得るための時間的余裕もないときは、販売会社から購入者の情報を提供することは、法第23 条第1項第2号で規定する「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」に該当すると考えられるため、購入者本人の同意を得る必要はないと解されます。
(第三者提供の制限の原則)
Q5-20 民生委員・児童委員をしていますが、市町村や民間の事業者から、活動に必要な個人情報の提供を受けられず苦慮しています。提供を受けることは可能ですか。
A5-20 民生委員・児童委員は、福祉事務所などの協力機関として職務を行うものとされており、活動の円滑な実施のためには、個人情報の適切な提供を受ける必要があります。民生委員・児童委員には、民生委員法等において守秘義務が課せられていることも踏まえ、各主体から、その活動に必要な個人情報が適切に提供されることが望ましいと考えられます。
民生委員・児童委員は特別職の地方公務員と整理されているため、当該民生委員等への個人データの提供が法令に基づく場合や、当該民生委員等が法令の定める事務を遂行することに対して協力する必要があり、本人の同意を得ることで当該事務の遂行に支障を及ぼすおそれがある場合は、本人の同意を得ることなく当該個人データを提供することができると解されます(法第23 条第1項第1号及び第4号)。したがって、これらの場合、民生委員等は本人の同意を得ることなく、個人データの提供を受けることは可能と考えられます。
また、地方公共団体の保有する個人情報については、それぞれの条例に基づいて提供が行われることとなります。(平成30 年7月更新)
(第三者提供の制限の原則)
Q5-20-2 大規模災害等の緊急時に、被災者情報・負傷者情報等の個人情報を関係者で共有する場合、本人の同意なく共有することができますか。
A5-20-2 個人データを第三者に提供する際には原則本人の同意が必要ですが、「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」は本人の同意は不要となっています(法第23 条第1項第2号)。したがって、大規模災害等の緊急時に、人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるときには自治会等の個人情報取扱事業者が保有する個人データを本人の同意なく関係者等に提供することは可能と解されます。
(平成30 年7月追加)
(第三者提供の制限の原則)
Q5-20-3 地震等の災害時に支援が必要な高齢者、障害者等のリストを災害時に備えて関係者間で共有することは可能ですか。
A5-20-3 災害対策基本法では、市町村長は、避難行動要支援者(※)について、避難支援等を実施するための基礎となる名簿(避難行動要支援者名簿)を作成することが義務付けられています。
この名簿は、災害の発生に備え、避難支援等の実施に必要な限度で、原則本人の同意を取得した上で関係者に提供するものとされています(ただし、各市町村の条例に特別の定めがある場合は、本人の同意を得ずに関係者で共有することができます。)。
また、災害発生時又は災害発生のおそれがある場合で特に必要があると認めるときは、
避難支援等の実施に必要な限度で、本人の同意を得ずに関係者で共有することができます。
なお、災害対策基本法には、名簿を提供する際に避難行動要支援者や第三者の権利利益を保護するために必要な措置を講じるよう努めることや、提供を受けた場合の秘密保持義務なども規定されています。
※ 「避難行動要支援者」とは、当該市町村に居住する、高齢者、障害者、乳幼児その他の特に配慮を要する者のうち、災害が発生し、又は災害が発生するおそれがある場合に自ら避難することが困難な者であって、その円滑かつ迅速な避難の確保を図るため特に支援を要するものとされています。
(平成30 年7月追加)
 

[1]https://search.e-gov.go.jp/servlet/Public?CLASSNAME=PCMMSTDETAIL&id=240000058&Mode=0
[2]第127回個人情報保護委員会(令和元年11月25日)「個人情報保護を巡る国内外の動向」(https://www.ppc.go.jp/files/pdf/191125_shiryou1.pdf)
[3]脚注2と同じ資料参照
[4]https://www.nikkei.com/article/DGXMZO54224110Z00C20A1EE8000/
[5]「電力システムのレジリエンス強化に向けた背景」(令和元年11月8日・資源エネルギー庁)(https://www.enecho.meti.go.jp/committee/council/basic_policy_subcommittee/system_kouchiku/001/pdf/001_007.pdf)