5-16.個人情報保護法に違反すると・・・ |
|
|
前節までで、個人情報保護法が個人情報取扱事業者に対して課しているさまざまな義務についての説明が終わりました。では、個人情報取扱事業者が、これらのルールに違反した場合には、どうなるのでしょうか?
今回は、個人情報保護法に違反した場合のペナルティについて説明します。
《1:主務大臣の『勧告』》
個人情報保護法では、次のABの2つの条件にあてはまる場合、『主務大臣』は、その個人情報取扱事業者に対して、その違反行為の中止や、その他違反を是正するために必要な措置をとるべき旨を『勧告』することができるとされています。
A:個人情報取扱事業者が以下の規定に違反した場合
- 個人情報の利用目的による制限(16条)※
- 不正な手段による個人情報の取得の禁止(17条)※
- 個人情報の取得に際しての利用目的の通知(18条)
- 個人データの安全管理措置(20条)※
- 個人データの取扱についての従業者の監督(21条)※
- 個人データの取扱についての委託先の監督(22条)※
- 個人データの第三者への提供の制限(23条)※
- 保有個人データに関する事項の公表等(24条)
- 本人からの保有個人データの開示請求への対応(25条)
- 本人からの保有個人データの訂正等の請求への対応(26条)
- 本人からの保有個人データの利用停止請求等への対応(27条)
- 開示等の求めに応じる手続を定めた場合、不当な手数料徴収の禁止(第30条第2項)
B:個人の権利利益を保護するため必要があると認めるとき
『勧告』というのは、いわば「アドバイス」あるいは「忠告」のようなものですから、この段階では、勧告を受け入れて改善をするか、無視するかは一応事業者の選択しだいということになります。ただし、状況によっては、主務大臣から次の『命令』を受けることになります。
《2:主務大臣の『命令』》
次のCDの2つの条件にあてはまる場合には、『主務大臣』は、その個人情報取扱事業者に対して、勧告に従った措置をとるべきことを『命ずる』ことができるとされています。
C:上記の勧告を受けた個人情報取扱事業者が、正当な理由が
ないのに、その勧告に従わなかった場合
D:個人の重大な権利利益の侵害が切迫していると認めるとき
基本的には、個人情報取扱事業者が個人情報保護法のうち上記Aのルールに違反した場合で、かつ、そのルール違反の結果、個人のプライバシーなどの権利利益が害されるか、害されそうになっているような場合には、まず主務大臣から『改善勧告』をうけることになります。
そして、その『改善勧告』を受けた個人情報取扱事業者が、正当な理由がないにもかかわらず、その勧告に従わなかった場合で、かつ、それを放置しておくと、個人のプライバシーなどに重大な悪影響が出るような切迫した事態のときには、主務大臣から『改善命令』を受けることになります。
つまり、原則的には、まず最初に『改善勧告』が出され、それに従わなかったときにはじめて『改善命令』が出されることになります。
ただし、次のEFの2つの条件にあてはまる場合には、『主務大臣』は、その個人情報取扱事業者に対して、その違反行為の中止や、違反を是正するために必要な措置をとるべきことを命ずることができるとされています。
E:個人情報取扱事業者が、上記Aのうち※マークのついたルールに
違反した場合
F:個人の重大な権利利益を害する「事実がある」ため、緊急に措置を
とる必要があると認めるとき
つまり、ルール違反の内容によっては、『勧告』抜きでいきなり『改善命令』が出される場合もあるということです。
「事実がある」とは、例えば、単に個人情報が「いつ流出してもおかしくない危険な状態」ということではなく、実際に個人情報が流出してしまった場合などを意味します。こうした場合には、『勧告』→『命令』などという悠長な手順を踏んでいられないので、即『改善命令』が出るということですね。
《3:罰則》
そして、『改善命令』にも従わなかった場合には、罰則が科されることになります。罰則の内容は、「6月以下の懲役又は30万円以下の罰金」となっています。
また、これとは別に、主務大臣は、個人情報取扱事業者が、個人情報を適正に取り扱っているかどうかについて、個人情報取扱事業者に報告を求めることができるとされていますが、この報告をしなかったり、虚偽の報告をした場合には、「30万円以下の罰金」が科せられます。
ただし、以上をみてお分かりのように、何の前触れもなく、いきまり罰則が科せられるということは、個人情報保護法ではありません。(もっとも、他の法律にも触れる場合には、この限りではありませんが。)まず、主務大臣から『改善勧告』→『改善命令』や『報告の求め』があって、それを無視したり、うその報告をしたりして、はじめて『罰則』となるわけですね。
《4:法人の代表者等の責任》
なお、法人(法人でない団体で代表者又は管理人の定めのあるものを含む)の代表者又は法人若しくは個人事業主の代理人、使用人その他の従業者が、その法人又は個人事業主の業務に関して、上記の違反行為をしたときには、その行為者を罰するほか、その法人又は個人事業主に対しても、「30万円以下の罰金」を科すとしています。
つまり、例えば会社の従業員や個人事業主の使用人が、個人情報保護法違反の罪を科されるような場合には、その会社自身や個人事業主についても、罰金刑が科されるということですね。
《5:主務大臣とは?》
ところで、『主務大臣』というのは誰かということですが、これは個人情報保護法では、原則として次のように定められています。
- 個人情報取扱事業者が行う個人情報の取扱いのうち、雇用管理に関するものについては、厚生労働大臣
(船員の雇用管理に関するものについては、国土交通大臣)及びその個人情報取扱事業者が行う事業を所管する大臣等
- 個人情報取扱事業者が行う個人情報の取扱いのうち、上記以外のものについては、その個人情報取扱事業者が行う事業を所管する大臣等
つまり、従業員などの個人情報については、「厚生労働大臣」と「その個人情報取扱事業者が行う事業を所管する大臣」の両方、お客様などの個人情報については、その個人情報取扱事業者が行う事業を所管する大臣」となります。したがって、理美容室の場合には、結局どちらも「厚生労働大臣」が『主務大臣』となります。
|
|
|
|
