【個人情報保護委員会】「名簿屋」3社に個人情報保護法に基づく指導を実施 | オプティマ・ソリューションズ株式会社 オプティマ・ソリューションズ株式会社
助太刀記事の背景画像 雲の装飾
の画像

助太刀記事

【個人情報保護委員会】「名簿屋」3社に個人情報保護法に基づく指導を実施

オプトアウト届出事業者に対する個人情報の保護に関する法律 に基づく行政上の対応について
プライバシーザムライのアバター
プライバシーザムライ

プライバシーザムライ 中 康二です(オプティマ・ソリューションズ株式会社 代表取締役)。ソニー出身。プライバシーマークとISMSの専門家。個人情報保護/情報セキュリティに関して、最新の情報を皆様にわかりやすく発信しています。

※トップ画像は個人情報保護委員会のリリース表紙です。

皆さんこんにちは。
プライバシーザムライ中康二です。

NTT西日本のグループ会社で昨年発覚した大規模な個人情報漏えい事件。今回も持ち出された個人情報が、いわゆる「名簿屋」によって購入されていたということでした。

あれ?そういうことはできないように個人情報保護法が改正されたのではなかったのか?というような疑問がわいてきます。

また、特殊詐欺のターゲットリストである「闇名簿」というものが一部に存在していて、それを販売・転売する悪質な「名簿屋」も存在しているとか。

このような状況を背景とし、個人情報保護委員会(PPC)は、全国の名簿屋3社に対して個人情報保護法147条に基づく指導を行ったと1月17日付で発表しました。

PPCの発表によりますと、昨年2月から3月にかけてオプトアウト届出事業者(いわゆる「名簿屋」、またはそれに類する個人情報を購入・販売する事業者)162事業者に対する実態調査を行い、その中から回答がなかったり、内容が不十分であると判断された24事業者に対して、個人情報保護法146条1項に基づく「報告の徴収」を行い、ヒアリングを実施したとのことです。

※注意)オプトアウト届出事業者とは、個人情報保護法27条2項に基づいて、個人情報の提供をビジネスにしている事業者のことです。全てがいわゆる「名簿屋」でもありませんし、違法な事業を行っているということでもありません。

今回の3社は、それらの結果、問題があると判断されたため、個人情報保護法147条に基づく「指導」が行われたということです。個人情報保護委員会の「指導」(147条)は、それに従わない場合には「勧告」(148条1項)「命令」(148条3項)と段階が引き上げられ、命令に従わない場合には「一年以下の懲役又は百万円以下の罰金」に処され、また法人には最大で「一億円以下の罰金」が科されることになります。

今回、指導が行われたのは下記の3点でした。

(1)個人情報の不適正な利用(法19条)

個人情報保護法19条は、下記のように個人情報の不適正な利用を禁止しています。

(不適正な利用の禁止)
第十九条 個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。

https://elaws.e-gov.go.jp/document?lawid=415AC0000000057

今回指導を受けた中の1社は、販売先が、法に違反するような行為を行う者にも名簿を転売する転売屋(ブローカー)だと認識していたにもかかわらず、意図的に販売先での名簿の用途を詳しく確認せず、転売屋に名簿を販売したとのことで、それが社会通念上適正とは認められない名簿の転売行為、すわなち「不当な行為」を助長又は誘発するおそれがある方法による個人情報の利用とされました。

(2)第三者提供を受ける際の確認義務違反/記録作成義務違反(法30条)

個人情報保護法30条は、下記のように個人データの提供を受ける際に、提供元の情報と取得の経緯を確認し、それを記録に残すこととしています。

(第三者提供を受ける際の確認等)
第三十条 個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、個人情報保護委員会規則で定めるところにより、次に掲げる事項の確認を行わなければならない。ただし、当該個人データの提供が第二十七条第一項各号又は第五項各号のいずれかに該当する場合は、この限りでない。
一 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
二 当該第三者による当該個人データの取得の経緯

2 前項の第三者は、個人情報取扱事業者が同項の規定による確認を行う場合において、当該個人情報取扱事業者に対して、当該確認に係る事項を偽ってはならない。
3 個人情報取扱事業者は、第一項の規定による確認を行ったときは、個人情報保護委員会規則で定めるところにより、当該個人データの提供を受けた年月日、当該確認に係る事項その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。
4 個人情報取扱事業者は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。

https://elaws.e-gov.go.jp/document?lawid=415AC0000000057

今回指導を受けた中の1社は、第三者から個人データの提供を受ける際に、提供元の住所を確認せず、また記録を残していない場合があったと指導を受けました。

(3)第三者提供に係る記録の作成義務違反(法29条)

個人情報保護法29条は、下記のように個人データの提供を受ける際に、提供元の情報と取得の経緯を確認し、それを記録に残すこととしています。

(第三者提供に係る記録の作成等)
第二十九条 個人情報取扱事業者は、個人データを第三者(第十六条第二項各号に掲げる者を除く。以下この条及び次条(第三十一条第三項において読み替えて準用する場合を含む。)において同じ。)に提供したときは、個人情報保護委員会規則で定めるところにより、当該個人データを提供した年月日、当該第三者の氏名又は名称その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。ただし、当該個人データの提供が第二十七条第一項各号又は第五項各号のいずれか(前条第一項の規定による個人データの提供にあっては、第二十七条第一項各号のいずれか)に該当する場合は、この限りでない。
2 個人情報取扱事業者は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。

https://elaws.e-gov.go.jp/document?lawid=415AC0000000057

今回指導を受けた中の2社は、第三者に個人データを提供する際に、提供先の情報を記録に残していない場合があったと指導を受けました。

PPCとしては、今回の3事業者に対して、2月29日までに改善措置の実施状況について報告するように求めているとのことです。

オプトアウト届出事業者に対する個人情報の保護に関する法律に基づく行政上の対応について(個人情報保護委員会)
https://www.ppc.go.jp/news/press/2023/240117_houdou/

2005年に個人情報保護法が施行された頃から、「名簿屋」というビジネスに対してどのように対処するべきかが議論の焦点となってきました。法律の改正を経るにつれて、第三者提供に関する規制が厳しくなり、PPCというしっかりした規制当局が登場し、オプトアウト届出の制度ができて、今回ついに指導が入ることになりました。

今回もまた、PPCは冷静に状況を分析し、法律に基づいて好ましくない内容を明確にし、それを是正するための指導を行っています。やはり意義深いことだと思います。

今回指導を受けた名簿屋さんたちが、指導にきちんと従い、コンプライアンス体制をきっちりと整えてくれることを期待したいですね。

この内容が皆さんにとって何かの参考になればと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。

プライバシーザムライ
中 康二

週に一回程度、更新情報をお届けします。

こちらからメールアドレスをご登録ください。