• １．個人データ取得時の義務（おさらい）
• ２．義務を負わない場合の解釈の謎
  • （１）ガイドライン表記の疑問
  • （２）実際の不都合の例
•  ３．余談

 

１．個人データ取得時の義務（おさらい）

個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、取得の経緯等を確認して、記録を作成・保存する義務があります（個人情報保護法２６条）。

これは、実際に発生した事案を踏まえて、トレーサビリティーを確保するために平成２７年改正で導入された義務ですが、しかし、これは過度な負担を事業者に負わせるという批判もあり、確認・記録義務を負わない場合を、ガイドラインで設定しています。

 

確認・記録義務を負わない場合は、次の通りです。

同ガイドライン

https://www.ppc.go.jp/files/pdf/guidelines03.pdf

 

上の図は、私の以下の資料45ページの抜粋です。

http://www.miyauchi-law.com/f/170313piikaiseigaiyou.pdf

 

２．義務を負わない場合の解釈の謎

（１）ガイドライン表記の疑問

しかし、確認・記録義務を負わない場合に関するガイドライン表記について、謎が生じました。

上の図でいうと右側の解釈類型は、オプトアウトで個人データをもらった場合は、適用できないとなっているのですね（ガイドライン６ページ）。

なお、次のいずれの類型においても、実質的に本人同意があることが前提であり、オプトアウトによる第三者提供（法第 23 条第 2 項）には、基本的には、次の考え方は当てはまらない。

 

しかしですね、上の図の右側の「提供・受領時とも」の「提供」解釈類型のところの、「不特定多数の者が取得できる公開情報 （例：報道）」っていうのは、これ、オプトアウトで個人データをもらったとしても、確認したり記録しないでいいんじゃないでしょうか。

 

脱法を防ぐために、オプトアウトで公開情報をもらっても、それは確認・記録義務あるっていうことなんですかね。なんかちょっとTOOMUCH感があります。「基本的には、当てはまらない」ってガイドラインに書いてあるから、公開情報の場合は、「基本的」ではないので、当てはまるっていう結論にするんですかね。公開情報をもらったとしても、確認・記録義務があるっていうのは、なんとなく変だと思います。

 

（２）実際の不都合の例

例えば、SNS投稿の一括取得なんかの場合も、これだと基本的に、確認・記録義務かかっちゃいますよね。

個人情報保護委員会も、SNS投稿のモニタリング作業を、外部委託していると思うんですけど、民間企業なんかでも、そういうのを頼んでいるところありますよね。

https://www.ppc.go.jp/files/pdf/020217setsumei.pdf

 

個人データの流れとしては、以下のような感じですかね。

委員会・民間企業B　←　民間企業A　←　SNS

 

この場合、民間企業AがSNSから個人データを取得してくるところは、「第三者」ではないとするのか？？

事業者が運営する SNS 等に本人が入力した内容が、自動的に個人データとして不特定多数の第三者が取得できる状態に置かれている場合は、実質的に「本人による提供」をしているものである。（ガイドライン７ページ）

本人がSNSで投稿しているものならいいけど、他人が他人の個人データを書きこんでいる場合もありますよね。さらにいえば、「個人データ」に該当するだけじゃなくて、他人の「要配慮個人情報」を書き込んでいる場合も。「要配慮」になってきちゃうと、これ、取得自体、違法になっちゃいかねません。本人や国、外国政府、マスコミとかが公開している要配慮個人情報なら取得できますけど（個人情報保護法１７条２項５号）、他人がSNSで書き込んでいる他人の要配慮なら、１７条２項５号・規則６条の適用がありません。また施行令７条も、「本人を目視し、又は撮影することにより、その外形上明らかな要配慮個人情報を取得する場合」ってなっているので、これも当てはまりません。

 

まあそこはいったん、置いておくとしても、委員会や民間企業Bが民間企業Aが一括取得したSNS情報を利用可能になっているところ、これは「第三者」からの個人データの提供に当たるのでは？

 

＊個人データに当たる場合は少ないかも

もっとも、「個人情報」には義務がかからず、「個人データ」にしか義務がかからないので、通常、SNSで他人が他人の「個人データ」を公開している場合って少ない気はします。でも、SNSで人が書き込んでいて公開している投稿の中に、個人データが入っている可能性ってありますよね。場合によっては、今は、スクショの貼りつけなんかもあるし、リンクもあるから、あとTwitterじゃなくて、FacebookとかBlogとかだったら、文字数結構かけるから、本文にべたで書き込むこともできなくはない。例えば表形式で個人情報があいうえお順などで整理されていたら、個人データですよね。それを一括取得している人から、もらう場合なんかは、第三者からの個人データの取得に当たって、確認・記録義務の適用になる？？？

 

＊委託構成で抜けられるかも

もっとも、第三者からの取得でも、委託でもらう分には、確認・記録義務の適用除外ですよね（個人情報保護法２６条１項但書）。

「委託」構成なら、確認・記録義務の適用外ですが、SNS一括取得している会社から、自社関連分だけもらってくるとした場合、これ「委託」なのか「第三者提供」なのかっていう話が出てきかねないですよね。まあ、委託構成で行けますかね。ある意味、リスト販売と同じようなものだとも思えますよね。名簿販売みたいな感じで、SNS情報の販売じゃないですけど。SNS情報の一括取得・モニタリングをやっている会社から、自社に必要な分だけ購入してくるっていうのは、リストを一括取得している名簿会社から、自社に必要な分だけ購入してくるっていうのと、近しいものがあるかと*1。

そうすると、「委託」構成がもしとれなかったら、やっぱり確認・記録義務の適用になりますかね…。

でも、現実問題、そういう形態でSNS情報を見ている人が、確認・記録義務果たしているかっていうと、たぶんやってない人の方が多そうです。ちなみに、個人情報保護委員会の場合は、行政機関ですから、個人情報保護法の第４章は適用にならないので、確認・記録義務の適用外ですが。

 

 ３．余談

以上のように、「一括取得」とかって、弁護士的には結構やっかいです。原則パターンは本人が本人の個人情報を書き込んでいるだけですが、他人が他人の個人情報を書き込んでいるケースもあります。他人の住所、風評、顔写真とか投稿されていることって現実にもありそうですよね。で、要配慮を他人が書き込んでいる場合もあるだろうし、他人の個人データを書き込んでいる場合もありますよね。一括取得って、事実のパターンが無限にあるので、法律解釈としては、まず事実が複数パターンあって、そうすると違法になるケースっていうのも、数は少ないでしょうが、ありえるので、回答としては「難しいですね」ってなっちゃったりしますよね。