知財弁護士の本棚

知財弁護士の本棚

企業法務を専門とする弁護士です(登録26年目)。特に、知的財産法と国際取引法(英文契約書)を得意としています。

ルネス総合法律事務所 弁護士 木村耕太郎

弁護士 木村耕太郎のブログ

知的財産法に関すること、英文契約書に関すること、その他企業法務に関することや、日々考えていることなどを書き綴ります。

こんなことを書いてほしいというリクエストがありましたらメッセージをお寄せください。



英文契約書に関する詳細トピックは 英文契約書.com   を参照ください。


お勧め記事(テーマ別)


(知的財産)

アメリカ特許法改正(8)

アメリカ特許法改正(7)

アメリカ特許法改正(6)

アメリカ特許法改正(5)

アメリカ特許法改正(4)

アメリカ特許法改正(3)

特許法の改正条文

出願後の実験結果の提出について

職務発明訴訟の最近の論点

冒認出願についての特許法改正

行政法と特許法の関係

特許権侵害訴訟における訂正の再抗弁

営業秘密か、一般的な知識・技能か

プロダクト・バイ・プロセス・クレームの解釈について

訂正の部分確定の問題について

分割出願の謎(2)

ダイリューションとは何か

ダブルトラック問題について(2)

不正競争防止法における「類似」と「混同のおそれ」

利用発明に関する日米合意

生産アプローチと消尽アプローチ

分割出願の謎

意匠法の難しさ

不正競争防止法の改正に思うこと

ダブルトラック問題について


高橋是清自伝

特許制度の起源


企業における知的財産管理  

米国ITCによる限定的排除命令の範囲


著作物の引用(2)

著作物の引用

応用美術の著作物性

著作権表示について

著作物の「使用」と「利用」

著作権法の改正課題と雑感  

建築の著作物

写真の著作物


システム開発はなぜ失敗するか

ソフトウェア開発モデル契約


ヤクルト立体商標の登録認められる

立体商標の背理(2)

立体商標の背理

商標権侵害訴訟における被告の主張(2)  

商標権侵害訴訟における被告の主張

商標の類否判断の基準(2)

商標の類否判断の基準


職務発明規程のいろいろ
共同研究開発契約書の作成ポイント


(英文契約と国際取引)

JV契約におけるtag-along rightとdrag-along right

国際裁判管轄法制の整備に関する要綱

相殺の準拠法

ウィーン売買条約の解説(7)

ウィーン売買条約の解説(6)

ウィーン売買条約の解説(5)

ウィーン売買条約の解説(4)

ウィーン売買条約の解説(3)

ウィーン売買条約の解説(2)

ウィーン売買条約の解説(1)

国際税務の学び方  

コモン・ローとエクイティ


(企業法務)

会社分割の濫用

中国企業とのライセンス契約

会社分割の法的性質

ある名誉毀損事件の判決に思う

中国法の考え方

大会社になる時期

常勤監査役とは

 

(弁護士)

専門弁護士の探し方

弁護士の生き方   

社会人のための法科大学院



 

<開示請求等への対応>

 

Q7.「私に関する情報を全部開示せよ」「私に関する情報を全部削除せよ」という請求には、応じる必要があるのですか。

 

 

 

A.「全部開示せよ」は原則として応じる必要がありますが、拒否できる場合があります。「全部削除せよ」は法律に定められた理由がない限り応じる必要はありません。

 

 

 

(解説)

 

「私に関する情報を全部開示せよ」は本人による開示請求(281項)ですので、請求を受けた事業者は原則、応じる必要があります。ただし、法282項に基づき開示請求を拒否できる場合がありますので、それを検討してください。

 

特に、「業務の適正な実施に著しい支障を及ぼすおそれがある場合」に該当するかが重要です。単に開示すべき保有個人データの量が多いという理由のみでは、一般には、これに該当しないとされます(ガイドライン通則編)。ガイドラインが該当する事例として挙げているのは、同一の本人から複雑な対応を要する同一内容について繰り返し開示の請求があり、事実上問い合わせ窓口が占有されることによって他の問い合わせ業務が立ち行かなくなる等、業務上、著しい支障をおよぼす恐れがある場合というもので、かなり限定的に解しています。

 

 

 

これに対して削除の請求は、訂正等請求(291項の「内容の訂正、追加又は削除」)と利用停止等請求(301項の「利用の停止又は消去」)とがありますが、無条件では認められません。

 

訂正等請求としてであれば「内容が事実でないとき」に限られます。

 

利用停止等請求としてであれば、16条に違反した取り扱い(本人同意のない目的外利用)または17条に違反した取得(偽りその他不正の手段による取得、もしくは本人同意のない要配慮個人情報の取得)が要件となります。

 

つまり、理由も示さずに「私に関する情報を全部削除せよ」という請求には、応じる必要がありません。

 

 

 

事業者は、請求を受け付ける方法を予め定めておけば、方式に従わない請求を拒絶できます(法321項)。実務的には、書面(所定の書式)によること、および本人確認書類の提示を求めることが行われています。これは、請求する側からするとハードルが高く、気軽に請求できなくなりますので、不当な請求を退けるうえで非常に有効です。なお手数料を徴収することもできます(法33条)。

 

 

 

具体的には、ホームページにおいて、「開示等のご請求は、当社所定の請求書に、下記に定める必要書類および手数料を同封の上、次の宛先に郵送によりご請求ください。なお、直接ご来社いただいてのご請求等、郵送以外の方法によるご請求はお受けいたしかねますので、ご了承ください。」のように記載します。

 
 

<第三者への提供に関するルール>

 

Q6.同業者間で個人情報を交換して共有したいと思いますが、何か問題がありますか。

 

 

 

A.同業者間で特定の個人データを交換することは、個人データの第三者提供にあたる(ガイドライン通則編)ため、原則として本人の同意が必要です。

 

 

 

(解説)

 

個人情報(正確には個人データ)を第三者に提供するにはあらかじめ本人の同意を得ることが必要であるのが原則です(法231項)。

 

本人の同意を得ずに第三者に提供できる場合として、 ①個人情報ではあるが「個人データ」でない場合(いわゆる「散在情報」)、②法令に基づく場合等、法231項各号に該当する場合、③オプトアウト(法232項)を利用する場合があります。

 

本問の場合、おそらく①、②にはあたらず、また③も想定していないはずです。

 

 

 

また、④委託、事業の承継、共同利用の例外のいずれかに該当する場合(法235項)は、そもそも第三者提供とみなされませんから、本人同意は不要です。

 

 本問の場合、一見すると共同利用の例外(法2353号)にあたりそうですが、共同利用の例外は、共同利用する旨、共同利用する個人データの項目、共同利用の相手方、利用目的等をあらかじめ本人に通知または本人が容易に知り得る状態に置く(公表する)という要件があります。

 

 質問者は、共同利用の例外の要件としての通知・公表までは想定していないと思われます。

 

 

 

オプトアウトは文字どおりには「外れることを選択する」という意味で、本人の求めに応じて第三者提供を停止するなどの条件のもと、本人同意なしに第三者提供を認める制度です(法232項)。名簿業者に対する救済措置であり、日本法の規制が緩いとされる所以でもあります。平成27年改正で個人情報保護委員会への届出が必要になり、令和2年改正では、オプトアウトで取得した個人データをさらにオプトアウトで第三者提供をすること等が禁止になります。

 

 

 

要配慮個人情報の場合は③オプトアウトの適用はありません(本人同意が必要)。

 

また外国にある第三者への提供には特別なルールがあり(法24条)、原則として、③オプトアウトの適用はなく、④委託、事業の承継、共同利用の例外も適用がありません(本人同意が必要)。

 

外国にある第三者への提供に関するルールは複雑ですので、ガイドラインの「外国にある第三者への提供編」を確認する必要があります。

 

 

 

さらに、個人データを第三者に提供した場合は、第三者提供に係る記録の作成・保管義務があります(25条)。これは、本人同意に基づく提供の場合と、オプトアウトに基づく提供の場合に適用されます(両者で若干、義務内容が異なります)。

 

 

 

以下は細かいことなので参考です。法231項各号に該当する場合、および法235項各号に該当する場合(委託、事業の承継、共同利用)は、記録の作成・保管義務はありません。

 

ただし、外国にある第三者に提供する場合は、法231項各号に該当する場合は記録の作成・保管義務はありませんが、法235項各号に該当する場合(委託、事業の承継、共同利用)は義務を免れません。

 

 

 

第三者提供を受ける場合には、確認、記録の作成・保管義務があります(法26条)。確認義務の内容として、特に、提供者が当該個人データを取得した経緯の確認が重要です。

 

個人データが甲→乙→丙と提供された場合、丙は、「乙が甲から取得した」という経緯を確認すれば足り、甲より前に遡って経緯を確認する必要はありません(ガイドライン確認記録義務編)。

 

 

<取得・利用に関するルール>

 

Q4.取引相手となる会社の代表者に関する情報をネット上から集めようと思いますが、個人情報保護法に照らして何か問題はありますか。

 

 

 

A. 単に情報を閲覧する場合を除き、集める個人情報の利用目的を特定すること、かつ利用目的を本人に通知または公表することが必要です。

 

 

 

(解説)

 

 前提として、公開情報であっても「個人情報」にあたります。

 

 日本の個人情報保護法は外国の立法例に比べると緩い面があり、個人情報の「取得」に原則として本人の同意は不要です(例外は「要配慮個人情報」を取得するときです)。

 

 

 

予め利用目的を公表している場合を除き、個人情報を取得したときは、速やかにその利用目的を本人に通知または公表することが必要です(181項)。

 

このことは、インターネット上で本人が自発的に公にしている個人情報の取得であっても同様です。ただし、閲覧するだけならば「取得」にあたりません(ガイドライン通則編)。したがって、本問の事例では、取引先の代表者に関する情報をプリントアウトしたり保存するならば「取得」にあたりますので、集める個人情報の利用目的を特定し、かつ利用目的を本人に通知または公表することが必要になります。

 

ただし、利用目的の通知・公表が不要になる場合(184)があるので、それに該当するかを検討してください。特に「取得の状況からみて利用目的が明らかであると認められる場合」が可能性が高く、実務上重要ですが、ガイドラインの例では「一般の慣行として名刺を交換する場合」などが挙げられています。

 

 

 

また実務上は、事業者のホームページにおいて、個人情報の利用目的を予め公表することが広く行われています。

 

もっとも、利用目的を単に列挙している例が多いのですが、顧客から取得する場合、取引先から取得する場合、採用面接を受けた者から取得する場合など、場面によって当然、利用目的は異なります。

 

利用目的の特定の仕方の好ましい例として、花王株式会社のホームページでは、「取引先の従業員・役員に関する個人情報」について、「取引に関する義務の履行及び権利の行使」「業務上必要な情報の収集及び連絡等」などの利用目的を特定しています。

 

https://www.kao.com/jp/corporate/privacy/privacy


<保管に関するルール>

 

Q5.「個人情報保護指針」や「個人情報保護マニュアル」を策定することは法律上の義務ですか。

 

 

 

A.個人情報保護指針(個人情報ポリシー)を策定することは、個人データの安全管理措置(20条)の内容として望ましいと言えますが、義務とまでは言えません。これに対して、個人情報保護マニュアルを策定することは、法律上の義務であると解されます。

 

 

 

(解説)

 

個人情報取扱事業者は、個人情報の保管に関して、3つの義務を負います。

 

1つめは安全管理措置です。これは、個人情報(正確には個人データ)の安全管理のための必要かつ適切な措置を講じることです(20条)。

 

2つめは、従業者に対する必要かつ適切な適切な監督を行うことです(21条)。

 

3つめは、委託先に対する適切な監督を行うことです(22条)。

 

 

 

安全管理措置 (20条)の具体的な内容は何でしょうか。

 

ガイドライン通則編の「(別添)講ずべき安全管理措置 の内容」の「中小規模事業者における手法の例示」などが参考になりますが、もう少しシンプルなモデルを提示します。安全管理措置の内容は3つに分けることができます。①人的・組織的措置、②物理的措置、③技術的措置です。

 

 

 

人的・組織的措置とは、規程・マニュアルの整備、責任者(その権限・役割)の決定、従業員教育などです。

 

物理的措置とは、施錠・出入管理(特定の区域・部屋・キャビネへのアクセス制限)、記録媒体の持出の防止措置・私物の持込禁止などです。

 

技術的措置とは、アクセス制御・コピー制御(特定の端末・フォルダ・データ)、不正アクセス等への対抗措置、データ漏洩の防止措置などです。

 

 

 

「個人情報保護指針」「個人情報ポリシー」などの名称で基本方針を定めて対外的に公表することが行われていますが、これは企業の姿勢を対外的に示すためのもので、安全管理措置の内容そのものとは少し異なります。もっとも、基本方針の内容が実務的にも行動の判断基準になるような細かく定められたものであれば、安全管理措置を講じているとの評価につながります。

 

 

 

これに対して「個人情報保護マニュアル」を策定することは、安全管理措置の内容に含まれ(ガイドラインでいう「個人データの取扱いに関する規律の整備」)、また従業者に対する監督義務(21)の一環であるとも言えますので、法律上の義務になります。

 

どのような個人情報を取得し、どのように利用するか、今までどのように管理しているかは会社ごとに異なりますので、マニュアルの作成にあたっては、まずは現状を把握し、問題点を洗い出すところから始める必要があります。できれば弁護士などの専門家のサポートを受けていただきたいと思います。