近年ウェブサイトの売買が盛んに行われるようになっていますが,ウェブサイトに顧客情報等が付加されているケースでは,個人情報の取り扱いに注意が必要です。
個人情報保護法は,「個人情報取扱事業者」が「個人情報」を第三者に提供することを原則として禁止しています(個人情報保護法23条違反)。
一般に個人情報を慎重に取り扱うべきことはいうまでもないことですが,法律違反になるか否かは,「個人情報」や「個人情報取扱事業者」という法律上の用語には定義に該当するかどうかによりますので,いたずらに恐れすぎる必要はありません。
1 「個人情報」の定義
個人情報保護法2条1項によれば,「個人情報」とは「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。」とされています。
たとえば,ウェブサイトの事業者が顧客のメールアドレスだけを管理している場合に,それらのメールアドレスが「個人情報」に該当するか否かが問題となりますが,この点は総務省が公表している「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」の解釈が参考になります(総務省HP:http://www.soumu.go.jp/main_sosiki/gyoukan/kanri/question03.html)。
総務省見解は一言でいえばケースバイケースということになるのですが,メールアドレスだけでは一律個人情報に該当しないと言い切ることはできないためこのような公式見解となったものであり,通常はメールアドレスだけで「特定の個人を識別することができる」ケースは少ないものと思われます。
2 「個人情報取扱事業者」
個人情報保護法2条3項によれば,「個人情報取扱事業者」とは,「個人情報データベース等を事業の用に供している者」としたうえ,「その取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定める者」を除外しています。
そして,政令をみてみると,「その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数( 略 )の合計が過去六月以内のいずれの日においても五千を超えない者」が除外される扱いとなっています(個人情報保護法施行令2条)。つまり,5000人未満の個人情報を扱っているにすぎない事業者は,個人情報保護法上の「個人情報取扱事業者」には該当しないのです。
3 事業譲渡の場合
さらに,「合併その他の事由による事業の承継に伴って個人データが提供される場合」には第三者提供の禁止の除外事由に該当します。事業譲渡の場合もまさにこれに該当します(個人情報保護法23条4項2号)。
ウェブサイトの売買の際には,個人情報が関係してくる際には,このような点に注意して進めていく必要があるといえるでしょう。
個人情報の保護に関する法律
第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
2 この法律において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるものをいう。
一 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
二 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの
3 この法律において「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。
一 国の機関
二 地方公共団体
三 独立行政法人等(独立行政法人等の保有する個人情報の保護に関する法律 (平成十五年法律第五十九号)第二条第一項に規定する独立行政法人等をいう。以下同じ。)
四 地方独立行政法人(地方独立行政法人法 (平成十五年法律第百十八号)第二条第一項 に規定する地方独立行政法人をいう。以下同じ。)
五 その取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定める者
第二十三条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
4 次に掲げる場合において、当該個人データの提供を受ける者は、前三項の規定の適用については、第三者に該当しないものとする。
一 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託する場合
二 合併その他の事由による事業の承継に伴って個人データが提供される場合
三 個人データを特定の者との間で共同して利用する場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
個人情報の保護に関する法律施行令
第二条 法第二条第三項第五号 の政令で定める者は、その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数(当該個人情報データベース等の全部又は一部が他人の作成に係る個人情報データベース等であって、次の各号のいずれかに該当するものを編集し、又は加工することなくその事業の用に供するときは、当該個人情報データベース等の全部又は一部を構成する個人情報によって識別される特定の個人の数を除く。)の合計が過去六月以内のいずれの日においても五千を超えない者とする。
一 個人情報として次に掲げるもののみが含まれるもの
イ 氏名
ロ 住所又は居所(地図上又は電子計算機の映像面上において住所又は居所の所在の場所を示す表示を含む。)
ハ 電話番号
二 不特定かつ多数の者に販売することを目的として発行され、かつ、不特定かつ多数の者により随時に購入することができるもの又はできたもの