ある情報が個人情報にあたるか否か、判断に迷うことも少なくないでしょう。
しかし、情報を適切に管理し個人情報保護法を遵守するには、個人情報の範囲について正しく把握しておかなければなりません。
では、メールアドレスは個人情報に該当するのでしょうか?
また、メールアドレスが個人情報に該当する場合、個人情報保護法ではどのような義務の対象となるのでしょうか?
今回は、メールアドレスが個人情報となるか否か、個人情報であるメールアドレスの取り扱いルールなどについて弁護士がくわしく解説します。
<メディア関係者の方>取材等に関するお問い合わせはこちら
個人情報とは
「個人情報」とは、どのようなものを指すのでしょうか?
はじめに、個人情報について定義を解説します。
個人情報について定義されている「個人情報保護法」とは
個人情報については、「個人情報の保護に関する法律(以下、「個人情報保護法」といいます)」に定義されています。
個人情報保護法とは、個人情報の有用性に配慮しつつ、個人の権利や利益を守ることを目的とした法律です(個人情報保護法1条)。
この目的を達成するため、個人情報を取り扱う事業者などが遵守すべき義務などが定められています。
個人の権利利益を守ることだけではなく、個人情報の有用性にも配慮されていることがポイントです。
個人情報の定義
個人情報とは、生存する個人に関する情報であって、次のいずれかに該当するものです(同2条1項)。
- その情報に含まれる氏名、生年月日などの記述から特定の個人を識別することができるもの(他の情報と容易に照合でき、照合により特定の個人を識別できるものを含む)個人識別符号が含まれるもの
- 個人識別符号とはマイナンバーやパスポート番号、運転免許証番号など、その情報単体から特定の個人を識別することができる一定のものを指します。
個人識別符号については政令(個人情報保護法施行令)で定められており、ここにメールアドレスや電話番号は含まれていません。
なお、個人情報保護法では、「個人情報」と「個人データ」が分けて定義されています。
「個人データ」とは、個人情報データベース等を構成する個人情報です。
そして、「個人情報データベース等」とは、特定の個人情報を検索することができるように体系的に構成された個人情報を含む情報の集合物を指します。
たとえば、Excelや顧客管理ソフトに個人情報を入力して管理している場合はこのExcelやソフトが「個人情報データベース等」であり、これを構成する1件1件の情報が「個人データ」です。
同様に、名刺を五十音順にファイリングしている場合、このファイル自体が「個人情報データベース等」であり、これを構成する1枚1枚の名刺が「個人データ」ということです。
個人情報における義務の対象は「個人情報」である場合と「個人データ」である場合などがあるため、定義を正しく確認しておきましょう。
メールアドレスが個人情報に該当する場合
メールアドレスは、個人情報に該当する場合と個人情報に該当しない場合とがあります。
ここでは、メールアドレスが個人情報に該当するケースを解説します。
メールアドレスそのものから個人が特定できる場合
メールアドレスそのものから個人を特定できる場合は、メールアドレス単体で個人情報となります。
たとえば、「kojin_ichiro@example.com」というメールアドレスの場合、「example社のコジンイチロウ氏のメールアドレスであることがわかります。
そのため、このような個人名が入ったメールアドレスなどは、氏名などと同じくこれ単体で個人情報にあたります。
他の情報との照合で個人を特定できる場合
メールアドレス単体では個人が特定できなくても、他の情報と容易に照合できこれにより個人が特定できる場合には、個人情報となります。
実際のところ、企業がメールアドレスを単体で管理していることは稀であり、氏名や相手の社名などと併せて管理していることが多いでしょう。
この場合には、メールアドレスとその他の情報とをまとめた全体が個人情報となります。
その他の場合も「個人関連情報」に該当する可能性が高い
メールアドレスそのものから個人が特定できる場合や他の情報との照合で個人を特定できる場合以外でも、メールアドレスは「個人関連情報」に該当する可能性が高いでしょう。
たとえば、ユーザー登録にあたってメールアドレスだけを取得した場合、そのメールアドレスはアカウント利用者の情報にあたるためです。
個人関連情報とは、生存する個人に関する情報のうち、個人情報・仮名加工情報・匿名加工情報のいずれにも該当しないものです(同2条7項)。
個人関連情報も取り扱いに一定のルールが課され、自由に第三者提供するなどできるわけではありません。
個人情報であるメールアドレスを取り扱う際の基本ルール
個人情報であるメールアドレスを取り扱う際には、どのようなルールを遵守する必要があるのでしょうか?
ここでは、メールアドレスが個人情報にあたる場合に遵守すべきルールを場面ごとに解説します。
メールアドレスなど個人情報の取り扱いでお困りの際は、弁護士へご相談ください。
取得時のルール
個人情報であるメールアドレスを取得する際は、その利用目的をできる限り特定しなければなりません(同17条1項)。
あらかじめ利用目的を公表している場合を除き、取得後速やかにその利用目的を本人に通知するか、公表することが必要です(同21条1項)。
一般的には、プライバシーポリシーを策定して公表し、その中で利用目的を記載することが多いでしょう。
利用目的は変更できるものの、変更前の利用目的と関連性を有すると合理的に認められる範囲内での変更に限定されます(同17条2項)。
また、偽りその他不正の手段により個人情報を取得してはなりません(同20条1項)。
利用時のルール
個人情報であるメールアドレスは、あらかじめ特定した利用目的の範囲内で利用しなければなりません(同18条1項)。
また、違法または不当な行為を助長し、または誘発するおそれがある方法により個人情報を利用することは禁じられます(同19条)。
保管・管理時のルール
個人情報であるメールアドレスは、データの漏えい等が生じないよう、安全に管理するために必要な措置を講じなければなりません(同23条)。
講じるべき安全管理措置について法令で具体的に定められているわけではなく、取り扱う個人情報の内容や取り扱い方法などに応じて個々に検討することとなります。
具体的に講じるべき安全管理措置が不明な場合には、弁護士など個人情報保護法にくわしい者にご相談ください。
また、利用目的の達成に必要な範囲内において個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、その個人データを遅滞なく消去するよう努めなければならないとされています(同22条)。
なお、個人情報であるメールアドレスの管理などを第三者に委託する際は、委託先での安全管理が図られるよう、委託先を適切に監督しなければなりません(同25条)。
第三者提供時のルール
個人情報であるメールアドレスを第三者に提供する際は、法令に基づく場合など一定の場合を除き、原則としてあらかじめ本人の同意を得なければなりません(同27条1項)。
ただし、いわゆる「オプトアウト方式」を採用した場合には、事前の同意を得ることなく第三者提供することが可能です。
オプトアウト方式とは、次の措置をすべて講じる方式を指します。
- 本人から申し出があった際に第三者提供を停止すること
- 第三者に提供される個人データの項目など一定事項をあらかじめ本人に通知するか、本人が容易に知り得る状態に置くこと
- 第三者に提供される個人データの項目など、一定事項を個人情報保護委員会に届け出ること
なお、どのような場合であってもオプトアウト方式が採用できるわけではなく、人種や病歴など特に配慮が必要な情報である「要配慮個人情報」が含まれる場合や他の事業者からオプトアウト方式で取得した個人データなどは、オプトアウト方式による第三者提供はできません。
お困りの際は、あらかじめ弁護士へご相談ください。
漏えい等が発生した時のルール
個人情報であるメールアドレスについて、データの漏えいや滅失、毀損、その他個人データの安全の確保に係る事態(以下、「漏えい等」といいます)が生じることがあります。
この場合において、次のいずれかに該当する場合には、個人情報保護委員会に報告をするとともに本人へ通知しなければなりません(同26条)。
- 要配慮個人情報の漏えい等
- 財産的被害のおそれがある漏えい等
- 不正の目的によるおそれがある漏えい等
- 1,000人を超える個人データの漏えい等
個人情報であるメールアドレスが漏洩した場合に生じるリスク
個人情報であるメールアドレスが漏えい等した場合、どのような事態が生じる可能性があるのでしょうか?
ここでは、漏えい等が生じた際の主なリスクについて解説します。
個人情報保護委員会への報告や本人通知が必要となることがある
1つ目は、個人情報保護委員会への報告義務や本人への通知義務の発生です。
先ほど解説したように、一定の漏えい等が生じた際は、個人情報保護委員会への報告と本人への通知をしなければなりません。
なお、個人情報保護委員会への漏えい等報告は、漏えい等発覚後速やかに行う速報と、漏えい等発覚後原則として30日以内に行う確報の2回が必要です。
罰則が適用される可能性がある
2つ目は、罰則が適用される可能性があることです。
個人情報を取り扱う事業者やその役員、従業員、元役員、元従業員などが自己や第三者の不正な利益を図る目的で個人情報データベース等提供したり盗用したりしたときは、1年以下の懲役または50万円以下の罰金の対象となります(同179条)。
また、行為者のほか、法人も1億円以下の罰金刑に処される可能性があります(同184条)。
一方、不正な目的での漏えいでない場合は、漏えい等が生じたからといって直ちに罰則が適用されるわけではありません。
この場合は、必要に応じて個人情報保護委員会から調査がなされ、勧告や命令が出されます。
そして、調査を拒んだり虚偽の資料を提出したりした場合には50万円以下の罰金刑の対象となるほか、法人にも50万円以下の罰金刑が科される可能性があります(同182条、同184条)。
個人情報保護委員会による命令に違反した場合は、1年以下の懲役または100万円以下の罰金刑に処される可能性があるほか、法人も1億円以下の罰金刑の対象となります(同178条、同184条)。
企業の信頼が失墜する
3つ目は、企業の信頼の失墜です。
メールアドレスなどの個人情報が漏洩した場合には、企業の信頼が失墜するおそれがあります。
その結果、顧客が減少するなど、業績に長期的な影響が及ぶかもしれません。
損害賠償請求の対象となる
4つ目は、損害賠償請求の対象となることです。
メールアドレスなどの個人情報が漏えいして本人に不利益や精神的な不安が生じた場合、損害賠償請求の対象となります。
損害賠償の額は、一人あたり数百円から数千円程度であることが多いものの、漏えいした件数が多ければ損害賠償の総額は非常に大きなものとなります。
参考までに、2014年に発覚したベネッセコーポレーションの顧客情報流出事件では、一人あたりの賠償額は3,300円であったものの、被害に遭った顧客数が多数であったことで、損害賠償の総額は約1,300万円となりました。※1
まとめ
メールアドレスは個人情報に該当するか否かを解説するとともに、個人情報に該当する場合に遵守すべき主な規定などを紹介しました。
メールアドレスはそれ単体で個人情報となる場合があるほか、他の情報と容易に照合できこれにより個人が特定できる場合は、その他の情報と合わせて個人情報となり得ます。
企業がメールアドレスだけを単体で管理していることは稀であり、企業が管理するメールアドレスのほとんどは、個人情報にあたると考えるべきでしょう。
そのため、取得や利用などにあたっては、個人情報保護法に定めるさまざまな規定を遵守しなければなりません。
個人情報であるメールアドレスを適切に取り扱うため、弁護士に相談したうえで、プライバシーポリシーや社内の取り扱い規定などを定めることをおすすめします。
Authense法律事務所では企業法務に特化したチームを設けており、個人情報保護遵守のための体制整備についても多くのサポート実績があります。
個人情報保護法を遵守すべく体制を整備したい場合や、メールアドレスなど個人情報を漏洩させてしまいお困りの際などには、Authense法律事務所までお気軽にご相談ください。