情報サイトに初の停止命令 破産者掲載で個人情報保護委
コメント
選択しているユーザー
注目のコメント
「情報をまとめただけなのに」というのは誤解です。自明のことですが、官報として個別に示されたものと、それをまとめてデータベースにしたものは性質が異なります。「まとめる」ということに価値があるのは、電話帳の時代からそうですが、データベースとインターネットが整ったことで状況は変わりました。
法律は、四角四面に運用するものではなく、実質で判断されるべきものです。法の意義に則って、運用されるべきと考えます。
また「個人情報」についても誤解が多いですね。これは(個人情報保護法の定義に則れば)データベースにまとめられているものです。たまに「個人情報なので、メールアドレスはお伝えできません」というやりとりがあるのですが、間違っています(さすがにその場では指摘しませんが)。
ひとりのメールアドレスは、(法的には)個人情報ではなく、プライバシーです。しかし、「プライバシー保護のため、あなたに仕事用のメールアドレスは伝えられません」というのではおかしいですよね。「業務の妨げなので、伝えられません」ならわかりますが。個人情報という言葉が程よく使われていて、困ります。
※ここでの個人情報の定義は、個人情報保護法に則っているので、その旨書き足しました。この問題は本当に難しい。
・要配慮個人情報(破産者情報はこれに当たる可能性が高い)は、取得そのものに本人の同意が必要(個人情報保護法17条2項)
→であるが、官報で公開されているものは本人の同意なく要配慮個人情報を取得できるとされている(同条2項5号、ガイドライン35頁)。
・個人データ(データベース化された個人情報)の第三者提供には本人の同意が必要(同法23条)
→破産者情報という個人データをWebサイトで公表するには本人の同意が必要となるが、今回は同意を得ていないはず。
・そもそも個人情報の取扱いに際しては利用目的を特定し(同法15条)、これを通知することが必要(同法18条)
→今回も利用目的の通知はないはず。
リクナビ事件では勧告で済み、今回の事件がWebサイトの停止命令まで至っている理由はやはり被害の大きさと目的の悪質性と思われます。
しかしふと思うと、たとえば新型コロナウイルスへの感染事例を各自治体は公表しており、地方自治体の中には特定しようと思えば特定できるケースはある。感染者情報は要配慮個人情報であるが、それをマップ化し、本人には利用目的を通知せずにデータベース化したり地図化して公表するケースをどう考えるべきか。公衆衛生の安全という目的に照らし合わせて違法性はないと考えられたとしても、個人情報保護法の観点からすれば実は難しい問題でもあり、それが冒頭の「この問題は本当に難しい」の趣旨でした。公開情報であっても、個人情報であることには変わりないので、利用目的の通知は必要です。第三者への情報提供における同意取得がなかったこともさることながら、破産歴を「社会的身分」と捉えれば、要配慮個人情報を本人の同意なく公開したことが、取得した要配慮個人情報の安全確保義務に違反したとも考えられるでしょう。