第2回 個人情報保護法とはどんな法律か？：個人情報保護法を読み解くキーポイント（2/3 ページ）

[牧野二郎（牧野総合法律事務所），ITmedia]

　これまでの個人情報漏えい事故のうち、訴訟になっているものはみな、プライバシー侵害を理由とする不法行為を問題としている。そのため、基本的には被害者が被害内容と違法な行為があった事実を立証しなければならない。

　これに対して、契約責任の世界になると、顧客が単に事故発生の事実と被害内容を主張するだけで、企業側は自らの契約上の義務違反や注意義務違反がないことを主張、立証しなければならなくなる。その意味では企業サイドに厳しい内容となるわけだ。　

　すでに指摘したように、企業は利用目的の表示のほか、安全管理を実施して、顧客情報を守ることを宣言しているのだから、多くの場合契約責任が問題視されてくる。企業としては、これまで以上に顧客情報の取り扱いに慎重を期するとともに、注意義務を確実に履行し、落ち度のない対応をしなければならない。

図1■個人情報取扱事業者と非事業者への対処と請求。行政庁は事業者のうち、個人情報取扱事業者に対して、各種規制を加え、開示請求などの実施を求めるが、個人情報取扱事業者でないものに対しては現在特段の対処をしない。本人は情報漏えい事件などに対して、不法行為、契約責任などの賠償請求をすることができる

適用対象者は誰か

　この法律は、すべての事業者に適用されるわけではない。行政庁が管理監督すべき規模の事業者であること、あるいは小規模であっても重要な情報を取り扱う事業者を対象とすることになる。

　現在、特別法などが検討されている時期で、小規模事業者に対する規制はまだ始まっていない。しかし今後、医療、金融、通信、労働といった分野で、小規模の者に対する立法がなされるはずだ。また現在の法律では、対象となる事業者とは、過去6カ月の間に5000件以上の個人情報を取り扱ったことのある事業者であって、個人情報を自己の業務に使用しているものを指す。

　しかし、ここで言う5000件には、インハウス情報などと呼ばれる従業者情報、その家族の情報、関連事業者情報も入る上、データベース化して利用している名刺情報などが含まれる。したがって、企業活動をしているほとんどの事業者が簡単に5000件を超えることになるはずだ。また、個人情報保護法の第2条にある「事業用に供する」とは事業用の利用という趣旨で、おおむね事業者は事業のために利用していることになるだろう。したがって、同窓会などの親睦団体で、事業活動を行わない場合には適用されないこともある。

　

関連事業者、委託先監督ということ