2023/12/10 医療法務
クリニックの法務と個人情報保護法その22:個人データに関する義務⑥
みなさんこんにちは。
前回は、個人データの安全管理措置に関する義務のうち、漏えい等が生じた場合の義務について述べました(詳しくはこちら)。
報告対象事態が生じた場合、個人情報保護委員会に報告し、本人に通知をしなければならないのでしたね。
いつまでに、何を、どのように報告するのかについての詳細は、委員会規則に定められていましたね。
今回は、個人データの安全管理措置全般について、改めて俯瞰した後、安全管理措置に関する義務に違反した場合について説明をしたいと思います。
3.安全管理措置に関する義務
(4)違反した場合
ア 復習
・個人データの安全管理措置に関する義務は、4つありましたね。
ー1つ目は、総論的な規定である安全管理措置。個人データの安全管理のために必要かつ適切な措置を講ずべき義務でした(法23条)。講ずべき義務の内容は、「人」「物」「組織」「技術」といったカテゴリーごとに、個人情報の保護に関する法律のについてのガイドライン(通則編)等で例示がされていましたね(詳しくはこちら)。
ー2つ目は、「人」に着目した規定である、従業者の監督でした(法24条)。従業者には派遣社員も含まれ、定期研修や就業規則等に個人データの秘密保持に関する事項を盛り込むことが重要でした(詳しくはこちら)。
ー3つ目も、「人」に着目した規定である、委託先の監督でした(法25条)。適切な委託先の選定をし、委託契約書で個人データの取扱いに関する事項を定め、契約締結後は委託先の取り扱上京を把握するよう監査等を行うことが重要でした(詳しくはこちら)。
ー4つ目は、実際に漏えい等が発生した場合の報告・通知義務でした(法26条)。1つ目から3つ目までは漏えい等を予防するための事前規制でしたが、報告・通知義務は、漏えい等が生じた場合の事後的規制でした(詳しくはこちら)。
では、法23~26条に違反した場合、当該個人情報取扱事業者はどうなるのでしょうか?
イ 安全管理措置に関する義務に違反した場合
・クリニックの法務と個人情報保護法その4:違反しただろうなる?でも述べた通り、義務違反に対しては、以下のようなことをされるおそれがあります。
(ア)民事責任(損害賠償請求)
・具体例として以下が考えられます。
ー従業員が故意又は過失により個人データを第三者に漏えい等し、本人のプライバシー権が侵害され損害が発生した場合には、当該従業員は不法行為に基づく損害賠償請求をされるおそれがありますし(民法709条)、従業員の使用者である事業者は使用者責任に基づく損害賠償請求をされるおそれがあります(民法715条1項)。
ー委託先が故意または過失により個人データを第三者に漏えい等し、本人のプライバシー権が侵害され損害が発生した場合には、委託先の従業員及び委託先については上記損害賠償請求をされるおそれがありますし、さらに、委託元が委託先を指揮監督していたような場合には、委託元も委託先の使用者責任に問われるおそれがあります。
(イ)個人情報保護委員会による監督と罰則
・個人情報取扱事業者による苦情処理と体制の整備(法40条)
・個人情報保護委員会による報告・立入検査(法146条)
ー虚偽の「報告」をしたり、「立入検査」を妨害した場合には、50万円以下の罰金に処せられます(法182条1項)。
・個人情報保護委員会による指導・助言(法147条)
・個人情報保護委員会による勧告(法148条1項)
・個人情報保護委員会による命令(法148条2項)・緊急命令(法148条3項)
ー「指導・助言」に従わないと「勧告」をされることになり、「勧告」にも従わないと「命令」がされます。「勧告」を経ずに「緊急命令」がされることもあります。
ー命令・緊急命令に従わないと、その旨を「公表」される可能性がありますし(法148条4項)、1年以下の懲役または100万円以下の罰金に処せられます(法178条)。
いかがでしたでしょうか。安全管理措置に関する義務違反について、個人情報取扱事業者は、①民事責任、②行政罰(行政刑罰:懲役又は罰金)に問われる可能性があることをご理解ください。
今回で、個人データの安全管理措置に関する義務はおしまいです。
次回からは、個人データの3つ目の義務である、第三者提供に関する義務について説明をしたいと思います。
お楽しみに!