個人情報やプライバシーに関するトピックは、日々新しく複雑なものが話題になっています。しかし、これからビジネスを始めようとしている企業の皆様や、実は自社での個人情報の取り扱いが整理されていないのではないかと考えている企業の皆様にとっては、そもそも何から個人情報保護法対応を始めればよいのか分からなくなってはいないでしょうか。
今年は個人情報保護法対応を見直す絶好の機会です。個人情報保護法は、改正法が施行されてから3年ごとに見直しを行わなければならないと定められています。前回の改正法は2022年4月に施行されているため、次は2025年ごろまでに見直し、すなわち法改正が行われる可能性があります。
個人情報保護法対応は、まず自社が有する個人情報の把握を行うことが重要です。そして、把握した個人情報の取り扱い状況をもとに、プライバシーポリシーの作成、個人情報の提供の根拠の整理、安全管理措置と社内体制の整備から対応を始めるのがわかりやすいと考えられます。本稿では、それぞれの対応について解説します。

1. 自社が有する個人情報の把握

(1)データマッピングの実施

はじめに、自社が取り扱っている（これから取り扱おうとする）個人情報を把握することが重要です。これは、データマッピングと呼ばれるもので、個人情報保護委員会がデータマッピング・ツールキットを公表しています。

※データマッピング・ツールキットの別紙1として、実際のエクセルシートも公表されています。

このデータマッピングは、「2.プライバシーポリシーの作成」、「3.個人データの提供の根拠の整理」、「4.安全管理措置と社内体制の整備」の検討の基礎資料とするために作成するものです。個人情報保護委員会のデータマッピング・ツールキットをもとに作成したデータマッピングの項目例と、各事項を調査する意味は以下のとおりです（オレンジの丸数字は本記事での解説のために記載したものです。）。

①～⑧は、自社が有する個人情報を特定するために基本的な項目です。また、⑤は、後述のプライバシーポリシーの記載事項です。
⑨～⑬は、後述の安全管理措置を検討するための基礎資料になります。

⑭～⑯は安全管理措置、⑰～㉗は委託先の監督を検討するために必要な情報です。また、⑱に外国の記載があった場合、外国にある第三者への提供に関する検討を行う必要があります。

㉘～㉛は、後述の第三者提供の根拠の整理を行うために必要な情報です。また、㉚に外国の記載があった場合、外国にある第三者への提供に関する検討を行う必要があります。

(2)個人情報とは

データマッピングは、個人情報を対象に行います。個人情報保護法で定義される「個人情報」は日常用語でイメージする個人情報とは異なる可能性がありますので、注意が必要です。

個人情報保護法上の個人情報に当たる情報は、以下の３パターンです。

１は、その情報が具体的な人物の情報であることがわかるような情報のことであり、氏名や顔画像があたります。３の個人識別符号は、法令で全て定められており、パスポート番号や、運転免許証番号、マイナンバーなどが含まれます。
２については、例えば、社内に以下のような２つのデータベースを有している場合をもとに考えます。

会員情報データベースに含まれる情報は、それぞれ「佐藤太郎」、「高橋二郎」、「山田三郎」の情報であることがわかるため、個人情報に当たります。他方、購買履歴データベースに含まれる情報は、購買履歴データベースを見ただけでは、具体的に誰の情報かわかりません。しかし、顧客IDをキーとすることで、「2022年3月15日に93684円の家電を購入した人」は「佐藤太郎」であることがわかります。このとき、このような購買履歴データベースに含まれる情報もすべて個人情報となります。
購買履歴データベースのような、そのデータベースを見ただけでは誰の情報かわからない情報は、データマッピングの際に見落とされる可能性があるため、注意が必要です。
また、暗号化をしていても個人情報に該当するとされていますので、暗号化している情報もデータマッピングに含める必要があります。

※個人情報のうち、コンピュータなどで検索できるように体系的に構成されたデータベースに含まれるものを「個人データ」といいます。データベース化されたものや、アドレス帳などがあたります。

2. プライバシーポリシーの作成

データマッピングにより、自社が有する個人情報を把握した後は、プライバシーポリシーの作成を検討します。以下のプライバシーポリシーの例をもとに、各項目の考え方を整理します。

(1)利用目的

個人情報を取り扱うに当たっては、利用目的を特定し、通知又は公表しなければなりません（個人情報保護法17条、21条1項）。
ここで注意が必要なのは、一度特定し、公表した利用目的は、そこから関連性を有すると合理的に認められる範囲を超えて変更することができないことです。例えば、利用目的を「会員カード等の盗難・不正利用発覚時の連絡のため」としか公表していない場合、その個人情報を商品・サービスに関する情報のお知らせのために利用することはできません。
したがって、データマッピング⑤に記載された利用目的は、抜け漏れがないようにプライバシーポリシーに記載する必要があります。
利用目的の記載方法は、個人情報がどのように取り扱われるか一般的かつ合理的に想定できる程度に特定することが望ましいとされています。個人情報保護法通則ガイドライン3-1-1で示された例は以下のとおりです。

また、誰の個人情報をどういった目的で利用するか、という対応関係を記載することは、法律上求められているわけではありません。しかし、例えば、以下のような記載とした場合、お客様の個人情報を採用活動に利用しているという誤解を与えかねません。そこで、ある程度の大きな分類ごとに利用目的を記載することが考えられます。

1.利用目的
当社は、個人情報を以下の目的で利用します。
・商品・サービスの提供
・閲覧履歴及び購買履歴から、お客様の趣味・嗜好や購買可能性を分析し、趣味・嗜好に応じた新商品・サービスの提案を行うこと
・商品開発・研究
・採用活動
・採否の決定
・入社後の配属の決定

(2)共同利用

個人データを他の事業者に提供する場合、本人の同意を取得するか、委託や共同利用などの根拠を整理する必要があります。この考え方については、「3.個人データの提供の根拠の整理」で述べます。
プライバシーポリシーとの関係では、個人データを提供する根拠を「共同利用」とした場合、以下の項目を記載しなければなりません（個人情報保護法27条5項3号）。

・共同利用をすること
・共同して利用される個人データの項目
・共同して利用する者の範囲
・利用する者の利用目的
・当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名

「共同利用される個人データの項目」は、データマッピング④をもとに記載します。
「共同して利用する者の範囲」は、データマッピング㉘、㉙をもとに記載します。データマッピング㉘で挙げた提供先をそのまま記載することもできます。また、共同利用する者がグループ会社などの場合には、データマッピング㉙の属性を記載し、その属性に含まれる者の一覧を別に掲載することもできます（個人情報保護委員会Q&A「Q7-45」）。
「利用する者の利用目的」は、データマッピング⑤の範囲内で、共同利用における利用目的を記載します。
「個人データの管理について責任を有する者」は、管理担当者ではなく、共同利用者間で管理について責任を有する事業者を記載します。 

(3)開示等請求・苦情申出先

開示等請求や苦情の申出先に関し記載することは以下のとおりです。

・開示等請求に応じる手続き（個人情報保護法32条1項3号、同法37条1項、施行令12条）
→開示等の請求等の申出先、開示等の請求等に際して提出すべき書面の様式等、代理人の確認方法、手数料の徴収方法
・手数料額（同法32条1項3号）
・苦情の申出先（同法32条1項4号、施行令10条2号）

これは、社内で開示等請求に応じる方法や、苦情の申出先を決め、その内容を記載していくことになります。

(4)安全管理措置

事業者は、漏えい等の防止や安全管理のために必要かつ適切な措置を講じなければなりません（個人情報保護法23条）。具体的な安全管理措置の考え方については、「4.安全管理措置と社内体制の整備」で述べます。
そして、安全管理措置は、プライバシーポリシーなどに記載することで、本人の知り得る状態にする必要があります（個人情報保護法32条1項4号、施行令10条1号）。上記の例のように(1)～(7)までの事項について記載することとなります。

ア 組織的安全管理措置、人的安全管理措置、物理的安全管理措置、技術的安全管理措置

これらの安全管理措置の手法は、個人情報保護法通則ガイドライン10に例示されています。プライバシーポリシーには、ガイドラインに挙げられている例示から、実際に行っているものを記載していくことが考えられます。

イ 外的環境の把握

⑬、⑯、⑱、㉔、㉗に外国の記載があった場合、個人情報を外国において取り扱っていることとなる可能性があります。プライバシーポリシーには、当該外国における個人情報の保護に関する制度を把握した上で、安全管理措置を実施している、ということを記載することになると考えられます。また、外国の名称について記載する必要があります。

(5)事業者の名称、住所、代表者氏名

最後に、個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名を記載しなければなりません（個人情報保護法32条1項1号）。これは、個人情報を取り扱っている担当者のことではなく、企業についての記載となります。

ここまで見てきたように、プライバシーポリシーを作成するためには、個人情報の取扱い方や、開示等請求に応じる方法、安全管理措置などを定めて実施する必要があります。そこで、プライバシーポリシーを作成しながら必要なことを検討していくとわかりやすいでしょう。

3. 個人データの提供の根拠の整理

データマッピング⑰～㉗、㉘～㉛に記載があった場合、個人データの提供根拠について検討する必要があります（個人情報保護法27条参照）。
近年、個人情報保護委員会が行った行政指導のうち、公表されているものには、第三者提供に関するものが多く含まれています。また、個人データの提供根拠を本人の同意としか整理のしようがない場合もあり得ます。しかし、個人データを取得する際に本人から同意を取っていなかった場合、事後的に同意を取得することが実務上不可能な場合があり得ます。そうすると、個人データの提供はできないこととなり、ビジネスモデル自体を修正したり、取りやめざるを得ない可能性があります。したがって、個人データの提供の根拠の検討はよく行っておく必要があります。

(1)規律が適用される場合

個人情報保護法27条が適用されるのは、提供する情報が提供元にとって個人データであり、提供先が本人又は提供元以外の者の場合です。特に注意が必要な点は以下の２つです。

i)　提供する情報が提供元にとって個人データの場合は法27条が適用される
ii)　提供先がグループ会社であっても、別の法人格であれば法27条が適用される

iは、提供元基準と呼ばれるもので、1(2)の容易照合性の議論がかかわってきます。例えば、1(2)と同様に下記の図で考えます。

購買履歴データベースに含まれる情報は、購買履歴データベースを見ただけでは、具体的に誰の情報かわかりません。しかし、顧客IDをキーとすることで、誰の情報かわかるため、個人情報に当たります。
そして、法27条が適用されるかどうかは、提供する情報が提供元にとって個人データかどうかで判断されます。したがって、購買履歴データベースに含まれる情報のみを提供する場合であっても、提供元にとってはその情報は個人データですので、法27条が適用されます。

iiは、提供先がグループ会社であっても、資本関係があっても、提供元と提供先が別の法人格である限り、法27条が適用されることになります。反対に、別の部署や別の事業所に提供する場合であっても、同一の法人格であれば、第三者提供には当たらないことになります。

以下では、代表的な個人データの提供の根拠について述べます。

(2) 同意

まず、本人の同意を取得することで、個人データを第三者に提供することができます。この場合、個人データの提供を受けたB社はA社の利用目的に縛られず、B社が公表している利用目的の範囲内で利用することができます。また、A社は、個人データを提供した後は、B社について監督などを行う必要はありません。

本人から直接個人情報を取得するような場合は、取得する際に本人から第三者提供についての同意も取得することで対応が可能です。他方、問題となるのは、取得の際に本人と接点がない場合（他の事業者から取得する場合、カメラで不特定多数の人を撮影する場合など）や、既に取得済みの個人データを提供したい場合など、同意を取得することが困難な場合です。
翻って、新たに個人情報を取得する際、今後第三者提供を行うかもしれない予定がある場合は、第三者提供の同意を取得しておくかどうかを、個人情報の取得前に検討しておくことが重要です。

(3) 委託

個人データの取扱いを他の事業者に委託することが考えられます。この場合、本人の同意は不要で、プライバシーポリシーなどで公表する必要もありません。
ただし、委託先は、委託元が公表した利用目的の範囲内であり、かつ、委託された業務の範囲内でしか個人データを取り扱うことができません。したがって、委託先が委託で取得した個人データを自社のために利用したり、委託先が委託で取得した個人データと、委託とは別に独自に取得した個人情報を突合することもできません（「Q7-41」）。
例えば、複数の委託元が、それぞれ委託に基づき委託先に個人データを提供します。委託先が、それらの個人データを突合して分析することはできないことになります。
また、委託元は委託先を監督する義務があります（個人情報保護法23条）。
以上を踏まえると、委託元が、自分で収集できる個人データを利用して、委託元の利用目的の範囲内でできることを、第三者が行う場合には、委託を根拠とすることが適しているでしょう。

※個人情報保護法の「委託」とは、“個人データの取扱いの”全部又は一部の委託のことです。したがって、ビジネスとしてはＢ社が主導していても、個人情報保護法上はＡ社が委託元になることもあり得ます。

(4) 共同利用

個人データを共同利用として提供する場合、一定の事項を本人が容易に知り得る状態に置く必要がありますが、同意を取得する必要はありません（プライバシーポリシーの記載事項は前述のとおり。）。
共同利用の利用目的は、個人データの提供元となる事業者が公表している利用目的の範囲内で定める必要があります。反対に、これから取得する個人情報を共同利用する場合には、共同利用の利用目的が、提供元の事業者が公表する利用目的に含まれるようにしておく必要があります。
また、提供元は提供先を監督する義務はありません。

以上の特徴をまとめると以下のようになります。ビジネスの実情に応じて、最も負担なく対応できる根拠を選択するのがよいでしょう。

4. 安全管理措置と社内体制の整備

(1)安全管理措置

個人データの漏えい等（※1）の防止や安全管理のため措置を講じなければなりません。 以下の7つの観点から措置を講ずることとされており、具体的な手法は、個人情報保護法通則ガイドライン10に例示されています。

i)基本方針の策定
ii)個人データの取扱いに係る規律の整備
iii)組織的安全管理措置
iv)人的安全管理措置
v)物理的安全管理措置
vi)技術的安全管理措置
vii)外的環境の把握

i基本方針の策定は、2のプライバシーポリシーを作成することで対応できます。ii個人データの取扱いに係る規律の整備は、iii組織的安全管理措置、iv人的安全管理措置、v物理的安全管理措置、vi技術的安全管理措置として対応を定めた内容を、社内規律として作成することが考えられます。

また、データマッピングを行うことは、iii組織的安全管理措置の個人データの取扱状況を確認する手段となります。

さらに、vii外的環境の把握に関しては、データマッピング⑬、⑯、⑱、㉔、㉗に外国の記載があった場合、外国において個人データを取り扱っているとされる可能性があります。この時、当該外国の個人情報の保護に関する制度等を把握した上で、個人データの安全管理のために必要かつ適切な措置を講じなければならないとされています。個人情報保護委員会が、諸外国・地域の法制度について、情報を掲載していますので、まずはこれをもとに制度等を把握していくことが考えられます。

(2)漏えい等報告

漏えい等が発生した場合、直ちに被害拡大防止や原因の調査を行う必要がありますが、これに加え個人情報保護法では、個人情報保護委員会に、事業者が漏えい等を知った時点から3～5日以内に速報を行うことと、30日以内（※2）に確報を行うことを義務付けています。
漏えい等が発生した際に適時に適切な対応を行うためには、あらかじめ①従業者が漏えい等の発生又はおそれを認識した際の責任者へのエスカレーションと、②報告を受けた後の対応フローを社内で整備しておくことが重要です（※3）。

※1　漏えい等とは、漏えい（個人データが外部に流出すること）、滅失（個人データの内容が失われること）、棄損（個人データの内容が意図しない形で変更されることや、内容を保ちつつも利用不能な状態となること。個人データの内容が改ざんされた場合や、ランサムウェアにより個人データが暗号化され復元できなくなった場合など。）のことを指します。
※2　不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態の場合は60日以内
※3　漏えい等事案に対する体制の整備は、iii組織的安全管理措置として行わなければならない措置の一つです。

6. おわりに

本稿があげた4つのポイントを参考に、個人情報保護法対応を始めていきましょう。
また、個人情報保護法には、上記に挙げた他にも、個人データの外国にある第三者への提供時の対応や、第三者提供時の確認記録義務など様々な規律があります。これらにも適切に取り組んでいくことが必要となります。
なお、本稿は具体的な事案について法的助言を与えるものではありません。実際の対応に際しては、弁護士にご相談いただければと存じます。