【天秤印】横浜弁護士雑記

横浜で弁護士をしている元裁判官が、日々感じたことなどを書いています。

改正個人情報保護法と、自治会・町内会

 

1 自治会・町内会も改正個人情報保護法の対象に

 先日タウンニュースの取材に応じる際、いろいろと必要以上に調べてしまったこともあり、こちらのブログに書き残しておこうと思います。

 改正個人情報保護法平成28年5月30日に施行され、このときから町内会や自治会にも個人情報保護法が適用される、という話題が出てきました。

 いえ、それまでも、「町内会や自治会は適用しなくていい」ということになっていたわけではないんです。ただ、【6か月以内に5000件を超えない個人情報しか持っていない場合】には、法律が適用される「個人情報取扱事業者」にあたらないとされていたところ、「5000人も会員がいる町内会・自治会」というのはなかなかなかったので、気にしなくてもよかっただけなのですよね。

 今回の法改正で、そうした事業者も、みんな個人情報取扱事業者になることになりましたので、町内会・自治会も対応をする必要が出てきました。

 でも、慌てる必要はありません。

 改正された個人情報保護法は平成29年5月30日から適用されますが、だからといって、それまでに持っていた個人情報=町内会の名簿などを捨てなければいけなくなるとか、必ず会員の同意を取り直さなければならなわけではありません落ち着きましょう。

 また、個人情報保護法は、あくまで「行政法規」=行政が、あらかじめ困ったことが生じないように事業者などにルールを課す法律、ですので、この法律に違反したからといって、実害が生じていないと評価されれば、損害賠償等が必要になるわけではありませんもともとこの法律は、国の機関への苦情や、国の機関からの勧告等によって、少しずつ個人情報の取り扱いをよくしていくことを目指した法律だと思います。もちろん、だからといって、放置していて実害が生じれば問題になりますので、注意しましょう。

 ただ刑事罰が新設され、「個人情報取扱事業者」である自治会・町内会の会長や役員の方が名簿を売ってしまったりすると、犯罪となり得ますので、注意が必要です。

 そして、横浜市では、平成29年3月10日に、町内会や自治会の上部組織である、「横浜市町内連合会」「個人情報保護法改正に伴う名簿の取り扱いについて」「自治会町内会向け個人情報取扱い手引き」という書面を交付し、各町内会長・自治会長に1部ずつ配布するよう依頼しているはずです。しまってあったら、出してきて読み直しましょう。

 また、国の機関である「個人情報保護委員会」が、「自治会・同窓会向け」に、「会員名簿を作るときの注意事項」という資料も作成しています。こちらも参考にしてもよいかもしれませんね。

2 「個人情報取扱事業者」の【中の人】は誰?

 個人情報保護法は、まず、個人情報を「取得」して、「利用」「保管」し、最後に「廃棄」をすることについて、個人情報取扱事業者に対していろいろな義務を定めています。

 そして、この法律を理解するためにまず必須の前提として押さえておかなければならないことは、【どの範囲の人がその個人情報取扱事業者の内部の人間なのか】です。

 町内会や自治会は、数年ごとに会長や、役員が交代すると思いますが、交代したら、あらたしい会長や役員は、前の会長や役員がもっていた個人情報を引き継げないのでしょうか?。

 また、会長や役員という役割を持っているわけではない、その町内会、自治会の区域内に居住し、自治会や町内会に加入している「会員」には、個人情報を渡してもいいのでしょうか?。

 ここをきちんと理解しないと、混乱してしまいます。

(1)会長や役員は【中の人】=利用目的の範囲内なら利用可  

 結論を言えば、前者=つまり、「会長」や「役員」など、自治会や町内会からその自治会・町内会の事業を行うために役割を任されている人は、個人情報取扱事業者」の内部の構成員(会社で言うなら、社長や社員)ですので、その内で個人情報をやりとりすることについて、改めて同意をもらわないといけないということはありません。

 とはいえ、あらかじめ利用目的を定めておいて、その利用目的の範囲内で個人情報を利用することが原則です。 

第16条 個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定に より特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。

個人情報の保護に関する法律

(2)会員や上部組織は【第三者】=提供には「同意」がいるのが原則

  これに対して、後者=つまり、自治会や町内会の会員は、そうした立場ではないので(「第三者」と言われます。)、自治会や町内会が、会員に個人情報(他の会員の個人情報もですが)を渡すときには、原則として「同意」が必要となります。

第23条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同 意を得ないで、個人データを第三者に提供してはならない。

 個人情報の保護に関する法律

3 会員名簿の場合

 上の法律等がどうで起用されるか、会員名簿を例にして、具体的に見てみます。

  なお、ここに書く内容は横浜市「自治会町内会向け個人情報取扱い手引き」を基に、「なんでそういう記載がいるのか」を私なりに説明する程度のものです。混乱しないためには、手引きだけを読んで、以下の記載は読まない方が良いかもしれません。不安になったとき、「知りたい」というときには、読んでみてもよいでしょう。

(1)取得の場合(同意と利用目的の考え方)

 自治会や、町内会は、加入を強制されている団体ではなく、脱退もできる任意団体です(最高裁判所平成17426日判決)。 

 ですので、区域内に転居して、加入する方には、「加入申込書」を書いてもらうことになり,このとき個人情報を取得することになります。

 個人情報を書面で取得することになりますので,「あらかじめ利用目的を明示」して取得する必要があります。

18条2 個人情報取扱事業者は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電磁的記録を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。

個人情報の保護に関する法律

 同時に,書いてもらった個人情報を,【第三者】に提供するのであれば,それについての同意も頂いておく必要があります。

 同意のもらい方については,個人情報保護委員会」の「会員名簿を作るときの注意事項」の3頁目,「個人情報を第三者に提供するときのルール」において,「名簿に掲載される会員に対して配布するため」と伝えた上で任意に書面を提出してもらえば,同意を得たことになるとされているので,この方法で良いと思います(同じ個人情報保護委員会の,「個人情報の保護に関する法律についてのガイドライン(通則編)」24頁などを見ると,本来はもっと明示の同意を得なければならないようですが,おそらくは非営利の事業者であることや、その用途等から,こうした形の同意でよいとされているのだと思います。)

 ただ,自治会・町内会では,会員に配布するだけではなく,上部団体である連合会や,近隣の自治会に名簿を提供することもあるかと思われますので,その場合には,それらについても記載する必要があります。

 具体的には,横浜市「自治会町内会向け個人情報取扱い手引き」にもある「自治会(町内会)加入申込書記載例」を参考にされればよいと思います。もちろん,自治体によって,ここに書かれている以外の【第三者】にも名簿を提供する場合には,それも記載しておくこととなります。

 提供先については,必ずしも名称を明示する必要はありませんが,提供する範囲や属性は示す必要があるとされています(上の「名簿に掲載される会員に対して」というのは,「名称」を明示しているわけではありませんが,範囲がわかるのでOKです。)。

Q5-9 第三者提供の同意を得るに当たり、提供先の氏名又は名称を本人に明示する必要はありますか。
A5-9 提供先を個別に明示することまでが求められるわけではありません。もっとも、想定される提供先の範囲や属性を示すことは望ましいと考えられます。

「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A 

 そのほかの利用目的についても,おおむね横浜市「自治会町内会向け個人情報取扱い手引き」にもある「自治会(町内会)加入申込書記載例」を参考にし,もし自治体や町内会独自の取り組みで他にも個人情報を利用しているものがあれば,それを記載しておくことになるでしょう。具体的な記載である必要があるため,「町内会の事務に利用します」では望ましくないのではないかとも思われます。

 なお,横浜市では,自治会・町内会に現況届を提出してもらう際に,「役員名簿」も提出してもらっているようですが,これは提出時に改めて「役員」の同意をとればよいので,その同意まで「全会員の」加入申込書でもらう必要はありません。

(2)第三者に提供する場合の「記録」

 取得の際に,上記のように第三者提供の同意を頂いたとして,その後,実際に第三者提供した場合(会員への名簿の配布,上部団体への提出等)は,何かしておくことがあるでしょうか?。
 今回の改正法では,ベネッセで起きた情報漏えい事件を受けて,「名簿」のようなものが本人の知らないところで流通したりしないように個人情報取扱事業者に対して,名簿等を提供した場合,名簿等を提供してもらった場合には,【記録に残すこと】を義務づけています。
第25条 個人情報取扱事業者は、個人データを第三者(第2条第5項各号に掲げる者を除く。以下この条及び次条において同じ。)に提供したときは、個人情報保護委員会規則で定めるところにより、当該個人データを提供した年月日、当該第三者の氏名又は名称その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。ただし、当該個人データの提供が第23条第1項各号又は第5項各号のいずれか(前条の規定による個人データの提供にあっては、第23条第1項各号のいずれか)に該当する場合は、この限りでない。

 「提供した時」に記録に残しておく事項としては、①本人の同意を得ていること、②提供(代表者)の氏名・名称、③「誰の個人情報が書かれていたか」その本人の氏名等、④名簿に書かれている内容の項目などです(個人情報の保護に関する法律施行規則13条1項2号)。  

 各会員に配布したことについては、その「会員名簿」に、③、④が書かれ、「加入申込書」に①、②がかかれていますので、これを「配布時から3年間」(個人情報の保護に関する法律施行規則14条)捨てずに保管しておけば大丈夫です。だから「個人情報保護委員会」の「会員名簿を作るときの注意事項」3頁で、「名簿そのものを一定期間保管する必要があります。」とだけ書いてある(別の記録の作成までは不要)のですよね。

 ただ、隣接自治体・町内会や上部組織については、実際に提供したかどうか「加入申込書」の記載だけでは明確ではないかもしれませんので、保管している名簿に、「○○自治会(代表者✖✖)に提供」「○○連合会(代表者△△)に提供」等とメモをしておいてもよいかもしれませんね。もっとも、上部団体が隣接団体の役員名簿ももらうことはあると思うので、そこに書いてあればそれを保存しておけばよいのでしょうが。

(3)第三者に提供してもらった場合の記録 

 上記の通り、今回の法改正では、「名簿をもらったとき」も「個人情報取扱事業者」は、記録を残さないといけなくなりました。

 第26条 個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、個人情報保護委員会規則で定めるところにより、次に掲げる事項の確認を行わなければならない。ただし、当該個人データの提供が第23条第1項各号又は第5項各号のいずれかに該当する場合は、この限りでない。

 個人情報の保護に関する法律

 「提供を受けたとき」に記録に残しておく事項としては、①本人の同意を得ていること、②提供(代表者)の氏名・名称、③提供がその個人データを入手した経緯、④「誰の個人情報が書かれていたか」その本人の氏名等、⑤名簿に書かれている内容の項目などです(個人情報の保護に関する法律施行規則171項2号)。  

 いただいた名簿で、④⑤は書いてあります。③も、「会員名簿」である以上、町内会・自治会に「加入」したことでその会員の個人情報を入手したことがわかりますので、特に確認せずとも明らかと言ってよいと思います。②提供元の代表者については(2)と同じです。①は少し問題でしょうか。加入申込書の書式を見せてもらい、そこに、「こちらの自治会・町内会に提供することもあります」ということを確認できれば、その写しをもらっておいて、もらった名簿と一緒に3年間保存すると確実でしょうか。

 (2)のとおり、これらの項目は、提供元の自治会・町内会も残していますので、提供をうけた自治会・町内会は、提供元の自治会・町内会に記録義務の作成の代行をお願いする形を、相互にとる(自治体・町内会相互間では、常に提供元が提供先の分も代行して記録義務を履行する)といいような気もしますね。

 上部組織等で、そうした話し合いや取り決めまでできるものなのかどうか、そこはわからないのですが…。

4-1-3 代行により記録を作成する方法  
提供者・受領者のいずれも記録の作成方法・保存期間は同一であることに鑑みて、提供者(又は受領者)は受領者(又は提供者)の記録義務の全部又は一部を代替して行うことができる(提供者と受領者の記録事項の相違については留意する必要がある。)。なお、この場合であっても、提供者及び受領者は自己の義務が免責されるわけではないことから、実質的に自らが記録作成義務を果たしているものと同等の体制を構築しなければならない。 

個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)19頁

4 災害時要援護者名簿の場合 

 1でリンクを張った、横浜市の「個人情報保護法改正に伴う名簿の取扱いについて」には、会員名簿以外に「災害時要援護者名簿」というものについて記載があります。

 この「災害時要援護者名簿」というものは、災害対策基本法に基づく「避難行動要支援者名簿」のことを差します。 

第四十九条の十 市町村長は、当該市町村に居住する要配慮者のうち、災害が発生し、又は災害が発生するおそれがある場合に自ら避難することが困難な者であつて、その円滑かつ迅速な避難の確保を図るため特に支援を要するもの(以下「避難行動要支援者」という。)の把握に努めるとともに、地域防災計画の定めるところにより、避難行動要支援者について避難の支援、安否の確認その他の避難行動要支援者の生命又は身体を災害から保護するために必要な措置(以下「避難支援等」という。)を実施するための基礎とする名簿(以下この条及び次条第一項において「避難行動要支援者名簿」という。)を作成しておかなければならない。  

 平成25年以前、災害対策基本法にはこうした名簿についての規定はなかったものの、平成18年3月に国が「災害時要援護者の避難支援ガイドライン」を作成し地方自治体が「災害時要援護者名簿」を作成し、本人の同意のもと、民生委員や自治会に提供することを提案しました。

 これに基づき、横浜市は「要援護者の避難支援に関する作業部会」での検討を経て、平成19年2月に「災害時要援護者の避難支援システム策定の手引き」を作成して、この取り組みを進めてきたようです。

 そうしたところ、平成23年3月11日に東日本大震災が起き、その中で、本人の同意を得ないままに、地方自治体が持っている情報を被災者支援に使用してよいのかが悩ましい問題として出てきました(こうした経緯については、岡本正弁護士の、「災害対策と個人情報利活用の課題‐災害対策基本法と消費者安全法が示唆する政策展開‐」(社会情報学第3巻3号)に記載されています。)。

 その教訓から、平成25年に災害対策基本法が改正され、「避難行動要支援者名簿」についての規定ができましたが、これについては、それまでに災害時要援護者名簿を作成しており、それが法律の要件を満たしていれば、「避難行動要支援者名簿として活用することができる」とされています。

 避難行動要支援者名簿(災対法第49条の10~第49条の13)関係の質疑応答の16

  そのため、横浜市の「災害時要援護者名簿」は、法に基づいて、地方自治体が作成した名簿であり、法律上同意に基づいて関係機関に自治体が提供できることになっています。 

49条の11第2項  市町村長は、災害の発生に備え、避難支援等の実施に必要な限度で、地域防災計画の定めるところにより、消防機関、都道府県警察、民生委員法 (昭和二十三年法律第百九十八号)に定める民生委員、社会福祉法 (昭和二十六年法律第四十五号)第百九条第一項 に規定する市町村社会福祉協議会自主防災組織その他の避難支援等の実施に携わる関係者(次項において「避難支援等関係者」という。)に対し、名簿情報を提供するものとする。ただし、当該市町村の条例に特別の定めがある場合を除き、名簿情報を提供することについて本人(当該名簿情報によつて識別される特定の個人をいう。次項において同じ。)の同意が得られない場合は、この限りでない。 

災害対策基本法

 ですので、横浜市と協定を結んで、この「災害時要援護者名簿」の提供を受けている自治会・町内会では、自治会や町内会で公表している利用目的に関わらず、法律に書かれている目的の範囲内で使用する限り、「法令に基づく」ものとしてこれを利用することができます。 

第16条 個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。(中略)

3 前二項の規定は、次に掲げる場合については、適用しない。

一 法令に基づく場合 (以下略)

第23条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。

一 法令に基づく場合(以下略) 

 地方公共団体から提供を受けたものですので、記録化も必要ありません。 

第25条 個人情報取扱事業者は、個人データを第三者(第2条第5項各号にげる 者を除く。以下この条及び次条において同じ。)に提供したときは、人情報保護委員会規則で定めるところにより、当該個人データを提供した年月日、当該第三者の氏名又は名称その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。(以下略)

2条5 この法律において「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。

一 国の機関

地方公共団体

(以下略) 

 個人情報の保護に関する法律

 ただ、こうした名簿を基に、各自治会等で情報を書き加えるなどして作成した名簿や、個別支援計画等については、災害対策基本法に明示的な定めがないように見え、「本人の同意」に根拠を持っていると思いますので、その情報を提供・共有する範囲も含めて、きちんと同意をとって取得し、同意を得た範囲の中で運用する必要があるでしょう(災害時要支援者名簿・避難行動要支援者名簿に記載されている情報は、個人情報保護法上の「要配慮個人情報」に該当するものも多いと思われますので、本人の同意をきちんととることは必要です。)。 

 NPOなどに渡すことも、本人の同意がない限りは、基本は避けた方がよいでしょう。

 ただし、本当に災害が起きてしまった場合、本人の生命が危ない場合には、個人情報保護法の以下の規定に従って、第三者提供等も行うことができるでしょう。悩ましい場合には、市役所・区役所の健康福祉局福祉保健課等に伺ってみてもよいでしょう。 

第23条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本の同意を得ないで、個人データを第三者に提供してはならない。

一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。(以下略) 

 個人情報の保護に関する法律

5 それ以外の個人情報?

 それ以外に、各自治会や町内会が、どんな個人情報等を持っているかについては、残念ながら、それぞれ違うと思いますので、何とも言えません。

 総務省「コミュニティ団体運営の手引き」などを見る限りでは、101頁の「会費集金補助簿」のようなものは、個人情報の名簿(個人情報データベース)にあたるでしょうから、利用目的以外に使ったり、同意のないままこれを第三者に提供してはいけないでしょう。

 横浜市では、「地域の見守りネットワーク構築支援事業」なども行われていたようですので、そういったところでやりとりされた、保管された個人情報もあるかと思われます。ただ、これも多くは「本人の同意」があるはずですし、「利用目的」の範囲内で運用するのであれば、問題ないことが多いのではないかと思われます。

6 刑事罰

  タウンニュースの取材のときにも聞かれたのが、この刑事罰の話です。

 改正された個人情報保護法には、以下の規定があります。 

第83条 個人情報取扱事業者(その者が法人(法人でない団体で代表者又は管理人 の定めのあるものを含む。第87条第1項において同じ。)である場合にあっては、 その役員、代表者又は管理人)若しくはその従業者又はこれらであった者が、その業務に関して取り扱った個人情報データベース等(その全部又は一部を複製し、又は加工したものを含む。)を自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、1年以下の懲役又は50万円以下の罰金に処する。 

 個人情報の保護に関する法律

 ですので、こういうことをやってはいけません。今後は、警察が特殊詐欺の拠点などを検挙した後、使われていた名簿がどこから流れてきたのかを調べて、場合によっては立件できるかどうかを検討することも、絶対にないとは言えません。

 これは、あくまで「提供した人」が犯罪に問われますが、そうした人を雇っていたり、そうした人が役員を務めていた個人情報取扱事業者についても、「両罰規定」というものが設けられています。 

第87条 法人の代表者又は法人若しくは人の代理人、使用人その他の従業者が、そ の法人又は人の業務に関して、第83条から第85条までの違反行為をしたときは、 行為者を罰するほか、その法人又は人に対しても、各本条の罰金刑を科する。  ­
法人でない団体について前項の規定の適用がある場合には、その代表者又は管理人が、その訴訟行為につき法人でない団体を代表するほか、法人を被告人又は 被疑者とする場合の刑事訴訟に関する法律の規定を準用する。  

 個人情報の保護に関する法律

 ただ、この両罰規定というものは、その個人情報取扱事業者がきちんと安全管理措置を行っていた場合にまで処罰するというものではありません。

参議院法制局

 その点からも、日ごろの安全管理措置をきちんと心がけることは、大切だろうと思います。 

※ 6/13 誤字や、誤解を招くおそれもあるいくつかの個所を微修正しました。