＜目次＞
1. ご相談事項
2. 個人情報の取得・管理に当たっての留意点
(1) 個人情報の取得について
(2) 個人情報の管理について
3. 個人情報の漏えい等が発生した場合の対応について
4. 関連セミナー（無料）
5. 関連記事

　本ニューズレターは、掲載時点までに入手した情報に基づいて執筆したものであり、また具体的な案件についての法的助言を行うものではないことにご留意ください。また、本ニューズレター中意見にわたる部分は、執筆担当者個人の見解を示すにとどまり、当事務所の見解ではありません。

1. ご相談事項

＜ご相談事項＞
当社は、不動産特定共同事業法（不特法）第2条第4項第1号に係る事業について当局の許可を受けて、一般投資家を相手方とする不動産特定共同事業（不特事業）を行っています。不動産特定共同事業契約（不特契約）の締結に際しては、一般投資家（事業参加者）の方々から、氏名・住所を始めとする個人情報の提供を受けていますが、不動産特定共同事業者（不特事業者）である当社において、個人情報の取得・管理や万一漏えい等が生じた場合の対応について何か留意すべき点があれば教えてください。

　不特事業者には、不特法上、事業参加者名簿の作成・保存（不特法第30条第1項）や業務管理者名簿の備置（不特法第17条第2項等）等が義務づけられています。これらの名簿は、通常、個人情報保護法第16条第1項の「個人情報データベース等」に該当します。そのため、これを構成する個人情報（具体的には、事業参加者の氏名・住所等や業務管理者の氏名等の情報）については、個人情報保護法中の個人データに関する規制（個人情報保護法第22条～第30条、第32条～第39条）の適用を受けることになります。また、不特事業者は、個人情報取扱事業者として、いわゆる通則ガイドライン等の個人情報保護委員会が公表するガイドラインの適用も受けます（※1、2）。
　不特事業者は、電子取引業務（いわゆるクラウドファンディング）を行っている場合を始め、多数の投資家の個人情報を取得・管理しているところ、不特事業者の顧客である事業参加者には一定以上の金融資産を保有している投資家が含まれていることも多く、万一、不特事業者の取り扱う個人データの漏えい等が生じ、安全管理措置が不十分だった場合には、当局の行政指導のみならず（個人情報保護法第147条）、事案によっては事業者名と事案が公表されることもあり得ます（※3）。また、不特法との関係では、「業務に関し他の法令に違反」したことが指示処分や業務停止命令の対象とされていることに加え（不特法第34条第1項第3号、第35条第1項第1号）、近時の「みんなで大家さん」系に対する処分事例のように「業務に関し、その公正を害する行為をしたとき」に該当するとして行政処分を受ける可能性もあります（不特法第34条第1項第2号、第35条第1項第1号）。そのような意味で、不特事業者としては、不特法に基づく各種規制に留意することはもとより、平時から、個人情報ないし個人データの取得・管理についても、個人情報保護法の規定に従った対応を行っておくことが重要になります。
　本稿では、紙幅の関係上、個人情報保護法に基づく規制の詳細を網羅的に解説することはできませんが、不特事業者のコンプライアンスの観点から、個人情報の取得・管理や漏えい対応に当たって特に留意すべき基礎的なポイントを簡単にご紹介します。

（※1）不特事業者について、金融分野における個人情報保護に関するガイドラインの適用があるかについては必ずしも明確ではありません。この点、同ガイドライン第1条第1項において「金融庁が所管する分野」を適用対象とすることとされていることを踏まえると、少なくとも国土交通省及び金融庁の共管事項となる事業（同法第73条第1項第1号参照）を実施する場合については、当局から別段の見解が示されない限り、同ガイドラインの適用を受ける可能性があることにも十分に配慮する必要があるものと考えられます。
（※2）事業参加者が個人事業主である場合の当該個人事業主の個人情報や、法人である場合の役員・従業員の個人情報の取扱いについても個人情報保護法の適用があります。
（※3）不特法第22条においては、金融商品取引法第44条の2第1項第3号、金融商品取引業等に関する内閣府令第149条第1号等とは異なり、「信用の供与」が禁止されていないことから、クラウドファンディング（金融商品取引法の適用のない不特事業に係るもの）においてクレジットカード決済を利用することは禁止されないものと解されています（松本岳人ほか『逐条解説 不動産特定共同事業法（第2版）』211頁参照）。そのため、仮に不特事業者が事業参加者のクレジットカード情報を保有している場合には当該情報の管理について特に留意する必要があります。

2. 個人情報の取得・管理に当たっての留意点

(1) 個人情報の取得について

　個人情報取扱事業者は、本人との間で契約を締結することに伴って契約書その他の書面に記載された当該本人の個人情報を取得する場合には、あらかじめその利用目的を公表している場合を除き、本人に対し、その利用目的を明示する義務があり、個人情報取扱事業者である不特事業者としてもこれに従う必要があります（個人情報保護法第21条第2項）（※4）。
　また、第1号事業（任意組合型）のモデル約款第18条第2項においては、業務執行組合員が契約の成立後遅滞なく事業参加者名簿の写しを組合員に対し交付又は提供することが定められています。個人情報保護法上、個人情報取扱事業者が個人データを第三者に提供する場合には、あらかじめ本人の同意を得る必要があるものとされていますので（同法第27条第1項）、不特契約の締結に際しては、約款の記載に加えて、個人情報の取扱いに関する同意書類でも出資を希望する方から第三者提供に関する同意を取得しておくことが望ましいものと考えられます（※5、6）。
　このようなことから、実務的には、あらかじめ不特事業者において個人情報の取得や取扱いに関する定型的な同意書類を準備しておき、出資を希望する方から同意を取得するという対応を行うことが考えられます。同意書類の作成に当たっては、意図せず同意の対象を限定してしまい将来的に再度同意書類の取得が必要となることのないよう同意書類の記載に汎用性を持たせておくなどしておくことが重要になります（※7）。
　以上の他にも、例えば、不特事業者が取得する個人データについて、不特事業者のグループ会社等で共同して利用を行うことを想定している場合などには、一定の事項について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いておくことで、本人の同意なく個人データを提供することができます（個人情報保護法第27条第5項第3号）。また、個人情報取扱事業者である不特事業者としては、保有個人データに関し、事業者の名称・住所や代表者の氏名、開示等請求の手続方法などの一定の事項についても本人の知り得る状態に置く必要があります（個人情報保護法第32条第1項）。
　これらについては、上記の同意書類のなかに併せて記載しておくことも考えられますが、「知り得る状態に置く」ことで足りることから、不特事業者のウェブサイトにおいてプライバシーポリシーを公表するなどの形で対応を行うことも考えられます。（※8）

（※4）特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱う場合は、原則として本人の同意を得る必要があります（個人情報保護法第18条第1項）。そこで、利用目的は、現に具体的に行っている業務に限定するのではなく、例えば、「新商品・サービスに関する情報をお知らせするため」や「商品・サービスの分析・開発を行うため」など将来的に行うことが予定されている目的や通常想定される目的を踏まえた記載としておくこともポイントになります。
（※5）金融分野における個人情報保護に関するガイドライン第3条においては、同項に定める本人の同意を得る場合について、原則として、書面によることとされています。また、同ガイドラインにおいて、「事業者があらかじめ作成された同意書面を用いる場合には、文字の大きさ及び文章の表現を変えること等により、個人情報の取扱いに関する条項が他と明確に区別され、本人に理解されることが望ましい。または、あらかじめ作成された同意書面に確認欄を設け本人がチェックを行うこと等、本人の意思が明確に反映できる方法により確認を行うことが望ましい。」とされていることにも留意する必要があります。
（※6）金融分野における個人情報保護に関するガイドライン第12条第1項おいては、提供先の第三者、提供先の第三者における利用目的、第三者に提供される個人データの項目を本人に認識させた上で、原則として書面により同意を取得することとされています。
（※7）例えば、個人データの第三者提供について、「当社の関連会社であるA社及びB社に提供します」と定めた同意書類を取得した場合、A社及びB社に提供することにのみ同意を取得したと評価され、将来的に不特事業者の関連会社にC社が加わり、C社に提供しようとする場合には、本人から再同意を取得しなければならなくなる可能性があります。そのため、「当社の関連会社に提供します」などとの記載とすることで汎用性のある同意書類とすることが考えらえます。
（※8）プライバシーマークを取得している事業者や付与申請を行う予定のある事業者については、プライバシーマーク付与機関である一般財団法人日本情報経済社会推進協会（JIPDEC）が公表している「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」にも準拠する必要があります。同指針は、2023年12月25日、JIS Q 15001 の改訂に伴う改定が行われており、2024年10月1日以降は改定後の指針が適用されることになります。改正内容の概要についてはこちらのリンクもご参照ください。

(2) 個人情報の管理について

　事業参加者名簿等に含まれる個人情報（事業参加者の氏名・住所等の情報）については、個人情報保護法上の個人データの安全管理措置（同法第23条）に関する規定の適用を受けることになります。講じるべき安全管理措置の内容については、通則ガイドライン10において具体的な手法等が例示されていますので（※9）、これを参照しつつ適切な対応を行っておく必要があります。
　不特事業者において具体的に社内的な整備・策定が期待される典型的な書類としては、(a)プライバシーポリシー、(b)個人データの取扱いに関する社内規程、(c)個人データの取扱いに関する台帳の3つが考えられます。以下、この3つの書類等について簡単に概要を説明します。

(a) プライバシーポリシー

　通則ガイドライン10-1では、個人情報取扱事業者が個人データの適正な取扱いの確保について組織として取り組むために、基本方針を策定することが重要であるとされており、具体的には、「事業者の名称」、「関係法令・ガイドライン等の遵守」、「安全管理措置に関する事項」、「質問及び苦情処理の窓口」等の項目について定めることが例示されています。これに加えて、利用目的や、保有個人データに関する公表事項（事業者の住所、代表者の氏名、開示等請求の手続方法など）を記載することも考えられます（個人情報保護法第21条第1項、第32条第1項）。（※10）
　不特事業者としては、かかる規定を踏まえ、各社においてプライバシーポリシーを策定し、ウェブサイト等で公表することが一般的です。

(b) 個人情報の取扱いに関する社内規程

　通則ガイドライン10-2においては、取り扱う個人データの漏えい等の防止その他の安全管理のために、個人データの具体的な取扱いに係る規律を整備するものとされています。
　不特事業者としては、かかる規定を踏まえ、各社において個人データの取扱いに関する社内規程を定める必要があります。社内規程としては、組織的安全管理措置、人的安全管理措置、物理的安全管理措置、技術的安全管理措置という通則ガイドラインにおいて指摘のある事項に関する具体的な規律を設けることが一般的です。
　社内規程の作成にあたっては、「金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針」の記載項目等を参考にすることも考えられます。

(c) 個人データの取扱いに関する台帳

　上記(a)(b)の他、通則ガイドライン10-3では、組織的安全管理措置として講じるべき事項が例示されており、中小規模事業者（※11）以外の事業者の場合について、同項(3)において「個人データの取扱状況を確認するための手段を整備しなければならない」として、「個人情報データベース等の種類、名称」「個人データの項目」「責任者・取扱部署」「利用目的」「アクセス権を有する者」等の項目をあらかじめ明確化しておくことにより、個人データの取扱状況を把握可能とすることが例示されています。
　これは、従来より、「個人データ管理台帳」などと呼ばれていた資料のことを指しており、社内のどこの部署に、どのような個人データが存在しているのかを「台帳」などという形で一覧にしておくことが想定されています（※12）。不特事業者としては対象不動産が同一である不特契約ごとに事業参加者名簿を作成することになりますが（不特法施行規則第52条第3項）、個人情報保護法により要請される台帳を整備するという観点からは、必ずしも対象不動産が同一である不特契約ごとに整備する必要はなく、全体として1つの台帳として管理することも差し支えないものと考えられます（※13）。

（※9）①基本方針の策定（10-1）、②個人データの取扱いに係る規律の整備（10-2）、③組織的安全管理措置（10-3）、④人的安全管理措置（10-4）、物理的安全管理措置（10-5）、技術的安全管理措置（10-6）、外的環境の把握（10-7）について、それぞれ具体的に例示されています。
（※10）「金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針」1-1では、①個人情報取扱事業者の名称、②安全管理措置に関する質問及び苦情処理の窓口、③個人データの安全管理に関する宣言、④基本方針の継続的改善の宣言、⑤関係法令等遵守の宣言に係る事項を定めた個人データの安全管理に係る基本方針を策定し、当該基本方針を公表するとともに、必要に応じて基本方針の見直しを行わなければならないとされています。
（※11）「中小規模事業者」とは、一定の例外を除き、従業員の数が100人以下の個人情報取扱事業者をいいます。ただし、保有する個人データにかかる本人の数の合計が過去6月以内のいずれかの日において5000人を超える場合、又は委託を受けて個人データを取り扱う場合は、通常の個人情報取扱事業者として安全管理措置を行うことが求められます。
（※12）台帳については、「金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針」2-4において、「個人データの取扱状況を確認できる手段の整備」として、①取得項目、②利用目的、③保管場所・保管方法・保管期限、④管理部署、⑤アクセス制御の状況を含む台帳等を整備しなければならないとされていることが参考になります。
（※13）この点については、「金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針（案）」パブリックコメント結果（平成17年1月28日）の25番に対する回答において「同種の書類・帳票で取得する項目が複数の形式となり得るものについては、一つの書類・帳票と整理し、『取得項目』の欄には盛り込まれ得る全ての項目を記載することで、本規定の要件を満たすものと考えられます。」との回答がなされていることが参考になるものと考えられます。

3 個人情報の漏えい等が発生した場合の対応について

　個人情報取扱事業者は、①要配慮個人情報が含まれる個人データの漏えい等が発生し、又は発生したおそれがある事態（個人情報保護法施行規則第7条第1号）、②不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態（同規則第7条第2号）、③不正の目的をもって行われたおそれがある当該個人情報取扱事業者に対する行為による個人データ（※14）の漏えい等が発生し、又は発生したおそれがある事態（同規則第7条第3号）、④個人データに係る本人の数が1000人を超える漏えい等が発生し、又は発生したおそれがある事態（同規則第7条第4号）、のいずれかを知ったときは、監督当局に対する報告義務があります（個人情報保護法第26条第1項）。①～③については漏えい等に係る個人データの数に関する定めがないことから、例えば、サイバー攻撃などで情報漏えい等が生じたという場合については、たとえ1件であっても個人データの漏えい等が生じれば、監督当局への報告を行う義務が生じることになります（※15）。
　監督当局への報告については、当該事態を知った後「速やかに」当該時点において把握している一定の事項についての報告（速報）を行う必要があることに加え、30日以内（一定の場合には60日以内）に確報を行う必要があります（個人情報保護法施行規則第8条第1項、第2項）。「速やかに」の意義については、通則ガイドライン3-5-3-3において「当該事態を知った時点から概ね3～5日以内」をいうとの解釈が示されているところ、近時の個人情報の漏えい等により行政指導が行われた事案においては、報告の遅れや報告が遅れてしまう組織体制を問題視するものが見受けられることから（※16）、特に速報の期限（3～5日以内）については十分に留意しておく必要があります。
　漏えい等の事案発生時の報告先については詳細な定めが置かれていますが、不特事業者の場合については、単一の都道府県内でのみ営業している不特事業者（第3号・第4号事業者以外の事業者）及び小規模不特事業者（小規模第2号事業者以外の事業者）については都道府県、これ以外の場合については国土交通省と定められています（※17）。

（※14）個人情報保護法施行規則第7条第3号の「個人データ」には、当該個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているものを含みます。
（※15）また、金融分野における個人情報保護に関するガイドライン第11条第1項においては、「その取り扱う個人である顧客等に関する個人データの漏えい等が発生し、又は発生したおそれがある事態を知ったとき」について、関係法令に従って、監督当局に報告しなければならないものとされています。そのため、上記④の場合に限らず、担当者による電子メールの誤送信などの場合を含め、たとえ1件であっても個人データの漏えい等が発生した場合には、監督当局への報告を行う義務が生じることについても留意する必要があります。
（※16）不特事業者に関するものではありませんが、例えば、速報提出が事案発覚後28日目だった事案（リンク）や、58日目だった事案（リンク）において組織体制の整備及び漏えい等事案に対応する体制整備に不備があったことが指摘されていることが参考になります。その他にも個人情報取扱事業者の業務フローや台帳の整備に関する問題があるとの指摘がなされている事案（リンク）も参考になります。
（※17）個人情報保護法第150条第1項、同法施行令第34条第1項、同条第3項に基づく公示「個人情報保護法に基づく権限の委任について」、「漏えい等事案発生時の報告先【詳細版】」参照。

4. 関連セミナー（無料）

　不特事業者のコンプライアンス対応については、以下のとおり不特事業者の説明義務・不祥事対応のポイントに関する無料セミナーを公開しています。上記1で指摘した指示処分や業務停止命令のポイントについても解説していますので、お気軽にお申込みください。

• U&Pリーガルセミナー「不動産特定共同事業者の説明義務と不祥事対応－「みんなで大家さん」系に対する直近の行政処分等を踏まえたコンプライアンス対応－」（2024年7月5日収録）

5. 関連記事

　不動産特定共同事業に関する最新の法改正や実務相談、コンプライアンス対応等については、以下のような関連記事を執筆し、随時配信しています。ご興味のある方はU&Pニューズレターの配信登録（こちら）をいただければ幸いです。

• 2023/12/14ニューズレター
  「2023年金融商品取引法等の一部を改正する法律案における不特法セキュリティトークン規制の概要と実務対応」
• 2024/02/21 ニューズレター
  「不動産特定共同事業（不特事業）に関する法律相談（第1回）－約款変更の可否・変更認可の要否について－」
• 2024/04/11 ニューズレター
  「不動産特定共同事業（不特事業）に関する法律相談（第2回）－令和6年4月の『不動産特定共同事業の監督に当たっての留意事項について』の一部改正について－」
• 2024/05/16 ニューズレター
  「不動産特定共同事業（不特事業）に関する法律相談（第3回）－外国人が事業参加者となる場合の法的留意点－」
• 2024/06/12 ニューズレター
  「不動産特定共同事業（不特事業）に関する法律相談（第4回）－不特事業者の不祥事対応について－」
• 2024/07/09 ニューズレター
  「不動産特定共同事業（不特事業）に関する法律相談（第5回）－「みんなで大家さん」系に対する直近の行政処分について－」

以 上

ニューズレターのメール配信はこちら