事業者が取り扱う個人情報の保護

　ひとくちに「個人情報の保護」と言っても、大きく分けて、大阪市などの行政機関が個人情報を取り扱う場合と、事業者が個人情報を取り扱う場合に二分されます。事業者には一般企業だけでなく町内会などの組織も含まれます。
　このページでは、個人情報の保護について概略の全体図を示すとともに、「事業者が取り扱う個人情報の保護」を中心に説明しています。

【目次】

制度のあゆみ

　個人情報の保護に関する法律や条例のこれまでの経緯

国と大阪市の役割

　国と大阪市の役割の変化（令和5年4月～）

個人情報の保護に関しての相談・講座など

　事業者の取り扱う個人情報に関する、国や大阪市の窓口のご案内、大阪市の出前講座のご案内

市民の皆様へ

　個人情報保護法についてのQ&A
　個人情報を守るために気をつけたいこと
　事業者に求めることができるもの
　個人情報の保護と利用とのバランス
　　（1）地域における名簿等での個人情報の利用
　　（2）本人の同意なしでの個人情報の第三者提供
　　（3）マイナンバーを含む個人情報の取扱い

事業者の皆様へ

　個人情報の保護に関するルール
　個人情報保護のガイドライン

　情報化が進み、個人情報を利用したさまざまなサービスが提供され、私たちの生活はとても便利になった反面、情報通信技術の進展により多種多様で膨大なデータ（いわゆるビッグデータ）の利用が可能となり、個人に関する大量の情報が集積・利用されることによる個人情報・プライバシーの保護についての不安が生じています。また、戸籍謄本などの不正取得や個人情報の漏えい事故などが発生すると、重大な人権侵害につながるおそれがあります。

　大阪市では、平成7(1995)年3月に「大阪市個人情報保護条例」を定め、行政機関として遵守すべき内容を明らかにして市民の個人情報の保護に取り組んできました。国においては、平成17(2005)年4月に「個人情報の保護に関する法律」（個人情報保護法）が施行され、行政機関はもとより、事業者にも個人情報の適正な取扱いが義務づけられました。

　事業者はその事業の目的のため、個人情報を活用するので、時に、情報を利用される側の個人（市民）との間でトラブルが生じることがあります。また、町内会や自治会などの地域団体や市民活動団体の活動のなかで会員情報を取り扱う場面もあり、そのような場合は事業者として個人情報保護法が適用されますので、個人情報を適正に取り扱う必要があります。

　大阪市では、これまで事業者が取り扱う個人情報保護で問題が起きた場合、必要に応じ調査、あっせん、処分等を行うこと等を「大阪市個人情報保護条例」で定めていましたが、令和3 (2021)年の個人情報保護法の改正により、国の制度に一元化され、これらの規定は廃止になりました。

　一方で、大阪市ホームページへの掲載や出前講座の実施などによる事業者及び市民に対する法制度の周知・啓発、また、個人情報の取扱いについての相談対応などについては継続して実施しています。

　個人情報の保護に関する制度が国の制度に一元化されたことに伴い、「大阪市個人情報保護条例」及び関連規程は廃止となり、国の「個人情報の保護に関する法律（個人情報保護法）」が直接適用されます。同時に規制主体も国の個人情報保護委員会に一元化されました。

　大阪市では、本市が取り扱う個人情報のほか、事業者が取り扱う個人情報について、条例でその保護規定を設けていましたが、令和5（2023）年4月以降、国の規制下に置かれたため、以降は国との施策の整合性に配慮しつつ、市民及び事業者の啓発に努めています。

　下図は、その体系変更のイメージを示したものです。

　個人情報保護法についての一般的な質問や、事業者の個人情報の取扱いに関する苦情などについては、次の相談窓口があります。

〇個人情報保護委員会（国の専門機関）

　　個人情報保護法の解釈についての一般的な質問
　　事業者の個人情報の取扱に関する苦情や相談
　　※　個人情報の保護に関する制度が一元化されたことにより、苦情案件のあっせん等の権限は個人情報保護委員会となっています。
　　電話：　03-6457-9849　（個人情報保護法相談ダイヤル）
　　HP：　　https://www.ppc.go.jp/

〇大阪市総務局行政課（情報公開グループ）

　　大阪市が取り扱う市民の個人情報保護についての苦情や相談
　　大阪市北区中之島1丁目3番20号
　　電話：　06-6208-9825

〇⼤阪市市⺠局ダイバーシティ推進室⼈権企画課（事業者が取り扱う個人情報保護担当）

　　事業者の個人情報の取扱いについての相談、出前講座のご依頼など
　　大阪市北区中之島1丁目3番20号
　　電話：　06-6208-7611

〇大阪市消費者センター

　　消費者相談にともなう個人情報保護の苦情や相談
　　大阪市住之江区南港北2－1－10 アジア太平洋トレードセンターITM棟3階
　　電話：　06-6614-0999
　　HP：　　https://www.city.osaka.lg.jp/lnet/page/0000370871.html

　個人情報の保護について、地域のみなさん10人以上で構成された団体・グループを対象に、市職員がご用意いただいた場所へ講師としておうかがいします。市民のみなさんのご利用をお待ちしております。

「個人情報の保護について」　～ まもって活かす個人情報 ～

＜内容＞
　[市民向け]
　・いわゆる「過剰反応」
　・地域活動などにおける名簿作成
　・日常生活において注意すべきこと
　・最近の個人情報保護をめぐる問題　など
　・質疑応答、意見交換等

　[民間事業者向け]
　・リスク管理・企業価値の観点からの個人情報保護
　・最近の個人情報保護をめぐる問題　など
　・質疑応答、意見交換等

1　日時
     ・原則として月～金曜日（祝日・年末年始を除く）の午前9時から午後9時までとします。 
     ・原則、1回で2時間までとします。 
     ・担当の業務などの都合でご希望にそえない場合があります。
     ・開催日時の変更などを事前にご相談させていただく場合もあります。
2　対象
　  大阪市内に在住、在勤または在学する10人以上で構成された団体・グループ
     （ただし原則として、同一団体からの同一テーマへの申込みは年度につき1回限りとします。）
3　講師
     大阪市職員
4　費用
     無料
5　会場
     ・申込者でご用意ください。 
     ・会場は大阪市内に限ります。
6　申込み、問合せ
　  開催希望日の3か月前から1か月前までにお申込みください。
     ・申込みは、大阪市生涯学習提供システム（いちょうネット）　
     ・上記以外に、FAXでもお申込みができます。

　集められた個人情報は、事業者にとってはそこから利益を生み出すことにもつながりますので、情報を利用される側の個人（市民）との間でトラブルが生じる場合も少なくありません。また、市民にとっても、自治会などの仕事で会員情報を取り扱う場面もあり、そのような場合は事業者の立場にもなります。

 個人情報の保護についての基本知識を得るには、個人情報保護委員会で作成している「マンガで学ぶ個人情報絵保護法」もおすすめします。

　ここでは、市民の皆さんから寄せられた相談の中から、一部をQ&A形式でご紹介します。
　個人情報保護委員会のホームページには、非常に多くの相談内容がFAQとして掲載されています。また、索引や検索機能も準備されていますので、そちらも参照してください。

Q1．個人情報、個人データとは、どんなものを指すのですか？

Q2．個人情報とプライバシーは、ちがうのですか？

Q3．個人情報取扱事業者というのは、どういう意味ですか？

Q4．個人情報を漏えい、紛失した事業者に、罰則は課せられますか？

Q5．不採用となった会社から、多くの個人情報が含まれた履歴書を返してもらえますか？

Q6．脱会や契約期間の終了後、相手に個人情報を消去してもらえますか？

Q7．何度断ってもやまない電話勧誘やダイレクトメールを、止めることはできますか？

Q8．個人情報をどこから入手したか、事業者から教えてもらうことはできますか？

Q9．個⼈情報保護委員会とは、どんなことをするのですか？

　個人情報とは、生存する個人に関する情報であって、その情報に含まれる氏名、生年月日その他の記述等により、特定の個人を識別することができるものをいいます。なお、死者に関する情報が、同時に、遺族等の生存する個人に関する情報でもある場合には、遺族等の生存する個人に関する情報になります。また、単体では個人情報でなくても、他の情報と照合することができ、それにより特定の個人を識別することができることとなるものも個人情報となります。映像や音声であっても、それによって特定の個人が識別できる場合は、個人情報にあたります。
　個人データとは、データベース化（検索できるように体系的に整理）された個人情報のことです。コンピュータを用いなくても、名刺などを、五十音順や職場順などで容易に検索できるよう並べ替えたりして整理しても個人データとなります。

　個人情報とプライバシーは、深い関係があるため混同されることも多いのですが、それらは異なるものです。プライバシーとは、私生活に関する情報で、一般には知られておらず、一般人であれば公開して欲しくないと思うであろうもの等、幅広い概念になります。
　個人情報保護法は、個人情報取扱事業者が個人情報の適正な取扱いの決まりを守ることにより、個人の権利利益の侵害を防ぐことをねらいとしています。したがって、個人情報の取扱いとは関係のないプライバシーの問題などは、この法律の対象とはなりません。プライバシー侵害などが実際に起こった後の個人の権利利益の救済については、⺠法上の不法⾏為に対する損害賠償などによって図られることになります。
　なお、個人情報保護法においては、開示、訂正、利用停止等、個人データに対する本人関与のしくみが導入されていますが、「自己情報コントロール権（※）」は規定されていません。

（※）自己情報コントロール権とは、どのような自己情報が集められているかを知り、不当に使われないよう関与する権利のことです。

　個人情報取扱事業者とは、個人情報データベース等を事業の用に供している事業者のことで、個人情報保護法の義務が課せられます。また、国、地方公共団体、独立行政法人等は、事業者とは別に個人情報保護法に義務等が規定されています。

　なお、個人情報取扱事業者とは、営利・非営利の別を問いません。したがって、非営利の活動を行っている団体であっても個人情報保護法の義務規定の対象となります。例えば、サークル、グループ、同窓会、町内の自治会やマンションの管理組合なども個人情報取扱事業者とみなされます。市民の皆さんも、これらの団体の役員となったり事務を担当する場面もあり得ますので、そのような立場になった場合には個人情報の保護に注意を払うことが必要です。

　個人情報保護法では、事業者が漏えいや紛失をしても、そのことに対して直接事業者に罰則が科せられることはありません。この法律は、事業者が行政の調査を拒んだり、個人情報保護委員会への報告や本人への通知を怠ったり、行政の命令に従わなかったときに、罰則が適用されるしくみとなっています。
　これは、事業者による個人情報の漏えいは直ちに違法であり、当事者が処罰されるものだと誤解されやすいところですが、犯罪の発生で直ちに警察が出動するような刑事上の取扱いとは根本的に異なります。
　問題が生じた際には、本人と事業者との間で問題解決することが基本になります。それが困難な場合、個人情報保護委員会や認定を受けた個人情報保護団体によるあっせん等により解決を図ることになります。
　なお、個人情報が不適切に取り扱われて被害を受け、損害賠償等を請求する場合は、裁判を含めた民事上の請求によることになります。

　個人情報保護法には、不採用者の履歴書などの書類（個人情報）を、事業者が本人に返さなければならないという規定はありません。しかし、その個人情報を利用する必要がなくなった場合にあたりますので、本人は事業者に利用停止や消去を求めることができます。また、自分の個人情報が事業者により目的外利用されている場合や不正に取得されている場合にも、同様に利用停止や消去を求めることができます。　

　本人から事業者に対して利用の停止や消去を請求することができます。脱会や契約期間の終了は、事業者が個人データを利用する必要がなくなったとき（保有する合理的な理由が存在しなくなったとき）にあたりますので、事業者は当該個人データを遅滞なく消去するよう努めなければなりません。

　個人情報保護法では、電話勧誘やダイレクトメールの送付自体を規制することはできません。 しかし、本人の権利又は正当な利益が害されるおそれがある場合は、事業者に当該保有個人データの利用の停止又は消去を請求することができます。その場合、事業者は当該保有個人データの利用の停止又は消去をする義務があります。また、事業者は個人情報の取扱いに関する苦情を適切かつすばやく処理するよう努めなければなりません。

　オプトアウト（※）により第三者から個人データの提供を受けた事業者であれば、当該個人データの提供者名等を記録する義務がありますので、自分の個人データの開示を求めることができます。なお、提供を受けた事業者だけでなく、提供元の事業者にも請求することができます。

（※）オプトアウトの本来の意味は「メンバー等から脱会する」ということです。しかし、個人情報保護法の関連では、個人情報取扱事業者が一定の事項をあらかじめ本人に通知し、本人が自分に関する個人データの第三者提供の停止を求めた場合に、個人情報取扱事業者がこれに応じること（本人の拒否権、つまりオプトアウトを保障すること）を条件として、その個人データの第三者提供を可能とする仕組み全体のことをオプトアウトと呼んでいます。

　個人情報の適正な取扱いを確保するために設置された国の機関です。事業者の監督（指導、助言、勧告、命令等）や、相談、苦情の申し出についてのあっせん等を行います。また、マイナンバーに関する業務も行います。
　従来は都道府県や市町村がそれぞれに条例等で定めていた個人情保護に関する規定は、個人情報保護法に一本化され、監督権限は個人情報保護委員会に一元化されています。

・個人情報保護委員会（個人情報保護委員会のホームページ）
　https://www.ppc.go.jp/

　個人情報は、事業者が適切に取り扱わなければならないのは当然ですが、一方で、国内外を問わず思わぬところで悪用されることもあり、「自分の情報は自分で守る」という意識が必要です。不必要な個人情報はみだりに提供しないことや、個人データを含む書類や記憶媒体などは適切に管理することが大切です。

　個人情報は、誤った取扱いをされると、個人に取返しのつかない被害を及ぼすおそれがあります。現在では、地球規模で情報通信ネットワークが発達し、大量のデータが瞬時に処理され、長期的に保存されるようになっています。自分の個人情報を守るためには、日ごろから必要のない個人情報を提供しないことや、漏えいにつながるようなことに注意するなど、「自分の情報は自分で守る」意識を持つことがますます大切になっています。
　特に、戸籍謄抄本や在留カード、特別永住者証明書、運転免許証、マイナンバーカードなど、大切な個人情報が記載されている書類等の提出や提示を行う場合は、その書類等でなければならないのか、不必要な個人情報まで収集されていないかなどの確認をするようにしましょう。

　個人情報保護法には、事業者が保有する個人データに関して本人が関与できる仕組みが盛り込まれています。
　本人は、個人情報取扱事業者に対して、個人データの開示、訂正、利用停止、消去等を求めることができます。

　問題が生じた際には、本人と事業者との間で問題解決することが基本になります。それが困難な場合、国の機関である個人情報保護委員会や認定を受けた個人情報保護団体によるあっせん等により解決を図ることとになります。なお、大阪市でも市民局ダイバーシティ推進室人権企画課（事業者が取り扱う個人情報保護担当）に窓口を設けて相談に応じています。

　個人情報保護法が施行され、個人情報保護に関する市民の意識が高まり、事業者の取組みも進みました。しかし、一方で過剰反応に近い個人情報保護法に対する誤解等も一部で見られます。
　有用な個人情報の提供や利用を止めてしまうことは、法の趣旨に沿ったものではありません。個人情報保護法を正しく理解して、個人情報の利用と保護のバランスをとることが大切です。
　ここでは、（1）地域における名簿等での個人情報の利用、（2）本人の同意なしでの個人情報の第三者提供、（3）マイナンバーを含む個人情報の取扱い、についてご説明します。

　これまで、地域社会において個人情報を共有することにより、助け合いが行なわれるなどの役に立ってきました。高齢者に対する見守り活動、災害時要援護者の安否確認、高齢者への悪質商法被害の防止を図るための活動、児童虐待への目配り等、様々な活動が行われています。それらの地域活動においては、要援護者の発見、ニーズの把握、必要に応じての関係機関への連絡等、個人情報の共有をしなければ活動が成り立ちません。
　一方で、地域には、病気、介護や子育て等、様々な事情を抱えた方がお住まいです。病気、障がいなどのプライバシーに関して、過剰なせん索をしたり、本人の許しなく第三者に伝えることは、人権の侵害につながります。

　個人情報保護法の下でも、目的が明確にされ、本人の同意を得るなど、必要な手続きをとれば名簿の作成はできます。地域の公益活動などにおいて名簿を作成するにあたっては、その趣旨と背景となっている地域活動の意義を十分説明し、個人情報保護法の決まりに従って、活動に必要な個人情報の共有を図ることが必要です。

• 本人の同意を事前にとる（他で作られた名簿を流用しない。流用する場合は、本人がそのことについて同意しているかを確認する）。
  　※本人の同意を事前にとる以外にも、あらかじめ、本人からの求めがあった場合には個人情報を削除（オプトアウト）することを明らかにした上で、作成・配布するという方法もあります。
• 個人情報の取得にあたっては、必要な項目だけを集める。名簿に載せることを希望しない項目については載せない。
• 目的外利用をしないよう、名簿の利用目的をはっきり示し、その利用目的に沿って利用する。
• 名簿の流出がないよう、配布先の範囲を明らかにし、それについて同意をとるとともに、名簿を配った各人に、他人に渡したり、なくしたりしないよう、取扱いについてきちんと知らせる。

　大阪市では、町内会・自治会などの地域団体や市民活動団体の活動に関わりがあると思われる項目を中心に、個人情報保護法のルールを解説した「個人情報保護の手引き」を作成しています。名簿を作成する際などの参考にご活用ください

　個人情報の第三者提供にかかわる過剰反応も見られます。たとえば、事故被害者の家族からの安否確認などで、個人情報保護法に対する誤解により、必要な個人情報の提供までもが行われなかったことも過去に起きています。
　個人情報保護法の下でも、次の場合においては、社会公共の利益や他の権利利益の保護を優先すべきとして、本人の同意を得なくても個人情報を提供することができます。

1. 法令に基づく場合
　例：弁護士会から振り込め詐欺に関連し、銀行に対して、弁護士法に基づく所要の弁護士会照会があった場合
2. 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
　例：大規模災害や事故等の緊急時に、患者の家族等から医療機関に対して、患者に関する情報提供依頼があった場合や、製品に重大な欠陥があるような緊急時に、メーカーから家電販売店に対して、顧客情報の提供依頼があった場合
3. 公衆衛生の向上又は児童の健全な育成のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
　例：地域がん登録事業において、地方公共団体から医療機関に対して、がんの診療情報の提供依頼があった場合
4. 国等に対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
　例：税務署等から事業者に対して、任意の顧客情報の提供依頼があった場合
5.　学術研究目的のために提供を行う場合で、個人の権利利益を不当に侵害するおそれがないとき
　例：提供する側が学術研究機関であって、個人データの提供が学術研究の成果の公表又は教授のためにやむをえない場合
　例：提供する側、あるいは提供される側が学術研究機関であって学術研究目的で個人データを取り扱う場合

　行政手続における特定の個人を識別するための番号の利用等に関する法律（平成25年法律第27号。以下「番号法」といいます。）が制定され、社会保障・税番号制度（いわゆるマイナンバー制度）が導入されています。個人番号（マイナンバー）をその内容に含む個人情報（特定個人情報）については、番号法により認められる場合を除き利用や提供できない等、取扱いの特例が番号法で定められています。

　　・マイナンバー（個人番号）制度について （デジタル庁のホームページ）
　　　　　https://www.digital.go.jp/policies/mynumber/

　　・マイナンバーカード総合サイト
   　  　　https://www.kojinbango-card.go.jp/

　　・マイナンバーの取扱いに関する苦情あっせん相談
　　　　　マイナンバー苦情あっせん相談窓口（個人情報保護委員会のホームページ）
　　　　　https://www.ppc.go.jp/legal/complaints/

　個人情報取扱事業者は、個人情報を利用するにあたって、個人情報保護法で定められた義務規定を守らなければなりません。事業で取り扱う個人データの個人の数にかかわらず、個人情報は個人の人格を尊重するという理念の下に慎重に取り扱われるべきものです。これまでの法改正により、個人情報の活用の促進と同時に個人の権利も拡大されています。 主なことがらは次のとおりです。

 なお、個人情報保護委員会のホームページには「個人情報取扱事業者等に係るガイドライン・Q&A等」として詳細な解説があります。

 　個人情報取扱事業者は、個人情報を利用するにあたっては、個人情報保護法で定められた義務規定を守らなければなりません。事業で取り扱う個人データの個人の数にかかわらず、個人情報は個人の人格を尊重するという理念の下に慎重に取り扱われるべきものです。

　個人番号（マイナンバー）をその内容に含む個人情報（特定個人情報）については、番号法により認められる場合を除き利用や提供できない等、上記の取り扱いの特例が番号法で定められています。
　個人情報保護委員会において、番号法及び個人情報保護法に基づき、事業者が特定個人情報の適正な取扱いを確保するための具体的なガイドライン（特定個人情報の適正な取扱いに関するガイドライン（事業者編）を定めており、事業者は、特定個人情報についてはこのガイドラインを遵守し適正に取り扱う必要があります。

　　・特定個人情報の適正な取扱いに関するガイドラインについて

　　　（個人情報保護委員会のホームページ）
　　　https://www.ppc.go.jp/legal/policy/