第三者が登録した個人情報と、個人情報保護法

個人情報保護法において、「個人情報データベース等に含まれる個人の数が5000以上の事業者」は個人情報取扱事業者であり、その事業者には以下の義務がある、とされています。

1. 利用目的をできる限り限定しなければならない
2. あらかじめ本人の同意を得ないで、利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはならない
3. 偽りその他不正の手段により個人情報を取得してはならない
4. 個人情報を取得した場合は、速やかに、その利用目的を本人に通知又は公表しなければならない
5. 正確かつ最新の内容に保つよう努めなければならない
6. 以下略

そこで、Yahoo!JAPANのサービスである「Yahoo!アドレスブック」を例にとります。（URL： http://address.yahoo.co.jp/ ）
（Yahoo!によるサービス説明：インターネットならではの便利な機能を備えた住所録。インターネットを経由すれば、外出先、自宅、会社などどこからでもアクセスできます。紙のアドレス帳や電子手帳のように、持ち歩いて紛失することや忘れることもありません。）

このサービスは、個人情報取り扱い事業者であるYahoo!JAPAN（A）に対して、第三者である利用者（B）が、その友人・知人など（C,D,E…）の個人情報を登録するという使い方がされていると思われます。

この法律では、個人情報取り扱い事業者（A）が、その個人情報が指し示す本人（C,D,E…）に対して果たすべき義務が規定されている、と私は解釈しているんですが、問題はないのでしょうか？

個人情報は、Bが勝手に、C,D,E…の知らない所で登録したものです。従って、以下のような問題点があるように感じます。

第2項、あらかじめ本人（C,D,E…）の同意を得ていない。
第4項、利用目的が本人（C,D,E…）に対して通知されていない。等。

実際のところ、どういう解釈をすれば良いのでしょうか？

No.1 ベストアンサー 回答者： shoshimin 回答日時： 2006/09/12 02:25

まず、おもしろい観点だと思いました。

それでわたしの解釈を述べておきます。

個人情報の保護に関する法律　第二条　第ニ項
　この法律において「個人情報データベース等」とは、個人情報を含む情報の集合物で
　あって、次に掲げるものをいう。
　一　特定の個人情報を電子計算機を用いて検索することができるように体系的に構成
　　　したもの
　二　前号に掲げるもののほか、特定の個人情報を容易に検索することができるように
　　　体系的に構成したものとして政令で定めるもの

同法　第二条　第三項
　この法律において「個人情報取扱事業者」とは、個人情報データベース等を事業の用に
　供している者をいう。ただし、次に掲げる者を除く。（以下略）

同法　第二条　第四項
　この法律において「個人データ」とは、個人情報データベース等を構成する個人情報
　をいう。

個人情報の保護に関する法律施行令　第二条
　法律対象外（個人情報取扱い事業者外）は、「特定の個人の数」の合計が過去６月以内
　のいずれの日においても5000を超えない小規模事業者

となっています。

そういう意味でＹａｈｏｏ全体が個人情報取扱業者であることは確かだと思います。
そして、Ｙａｈｏｏの会員？になることは利用規約とプライバシーガイドラインに同意し
ているため

個人情報の保護に関する法律　第十八条　第一項
　個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表し
　ている場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければな
　らない。

には反してないので、質問文中のＢ)さんは、まず問題にはなりませんよね。

そして問題はＣ)さん、Ｄ)さん、Ｅ)さんですが、

１）個人データの正規性
「Yahoo!アドレスブック」の機構の詳細は不明ですが、Ｃ)さん～Ｅ)さんの個人データは、
Ｂ)さんの個人データにぶら下がる形になっていて、
個人情報の保護に関する法律　第二条　第ニ項にいう、
「特定の個人情報を電子計算機を用いて検索することができるように体系的に構成した
　したもの」になっていないんじゃないかと思われます。

例えば、Ａ')さんのアドレスブックにもＣ)さんの個人データが重複して載っていたり、
その間の統一性も確保されている保障がなく、正しい検索ができない構成ではないので
しょうか。
データベース技術用語を用いれば「正規化されていない」ということです。

つまりこの３人の情報は、「個人情報データベース等」に載った「個人データ」とは言え
ず、「個人情報取扱業者」として管理外のデータと思われます。

その点で保護の対象とならないという考えです。

２）管理主体はＹａｈｏｏ！でなくＢ)さんでは
「Yahoo!アドレスブック」の機構（の想像するところから）、１）で述べたように、
Ｃ)さん～Ｅ)さんの個人データは、Ｂ)さんの個人データにぶら下がる形になっていると
思われます。
つまり、Ｂ)さんが個人情報の管理主体な訳です。この時、「Yahoo!アドレスブック」が
「個人情報データベース等」として検索が可能だとしても、「特定の個人の数」の合計が
過去６月以内のいずれの日においても5000を超えない限り、「個人情報取扱業者」には
なりません。

よって「個人情報の保護に関する法律」の適用を受けないという考え方です。

いずれも私見なので、解釈の可能性を示したに過ぎません。

もしかすると、「Yahoo!アドレスブック」を使用した個人情報の管理は「個人情報の保護
に関する法律」違反なのかも知れませんが、個人情報取扱事業者の義務に関する、
第十五条～第三十一条については罰則規定がないため、実効性のある刑事告訴とかが、で
きません。民事訴訟は金がかかるし・・・

質問者の方も、ここで質問する前にＹａｈｏｏ！サポートにご自分の疑問をぶつけて、
法律的説明を求めたらいかがでしょうか？

この回答への補足

ご意見、ありがとうございました。確かに、正規性と管理主体の考え方によっては、この法律の適用範囲外になりますね。

また、早速Yahoo!にも同様の質問をしてみた所、以下のような回答を頂きました。

>>>
Yahoo!アドレスブックでは、お客様に情報を保存するスペース
をお貸ししています。Yahoo!アドレスブックに保存されている
情報は、当社の事業に利用するため取得しているものではなく、
個人情報保護法の適用を受けるものではありません。
<<<

つまるところ、同法第二条第三項における「事業の用に供している」訳では無いので、この個人情報データベースは同法による規制を受けない、という解釈ですね。ここで「事業の用に共する」の解釈ですが、以下のような文献を見つけました。
http://www.nec-nexs.com/privacy/column/faq/1-35. …
この解釈では「ただ個人情報を預かっているだけでも、保管業という事業の用に供していることになる」らしいです。

というわけで、現在この文献を示して、再度Yahoo!に回答を求めています。

引き続き、他の皆様の解釈もお聞かせ願えれば幸いです。

補足日時：2006/09/13 13:36

この回答へのお礼

Yahoo!から2度目の回答を頂きましたのでご報告いたします。

>>>
Yahoo! JAPANでは法令に則り各サービスを運営しております。

お客様からお知らせいただきました件は、より便利で快適なサービス
を提供できるよう、Yahoo!アドレスブック運営の参考とさせていただき、
今後の検討項目とさせていただきます。
<<<

ということで、まぁまだ出来たばかりの法律。グレーゾーンということですかね…。

どうもありがとうございました^^

お礼日時：2006/09/14 19:03