第7回　NPO法人における個人情報の取り扱い。注意点を弁護士が解説

執筆：阿部由羅

NPO法人が個人情報を取り扱う場合は、個人情報保護法のルールを遵守する必要があります。個人情報保護法のルールは多岐にわたりますが、そのポイントを正しく理解しておきましょう。

本記事では、NPO法人の運営者が理解しておきたい個人情報保護法のポイントを解説します。

NPO法人にも適用される！個人情報保護法の主なルール

NPO法人においても、顧客や取引先の個人情報を取得するケースがあるでしょう。

個人情報をデータベースなどで検索可能な状態にして、事業の用に供している者を「個人情報取扱事業者」といいます。

NPO法人も一般企業と同様に、個人情報取扱事業者に当たる場合は、個人情報保護法に定められた義務を遵守しなければなりません。

NPO法人の運営者が留意すべき、個人情報保護法の主なルールは次のとおりです。

1. 個人情報の利用目的の特定・通知・公表
2. 個人情報の利用・取得に関する規制
3. 個人データの安全管理措置
4. 従業者や委託先の監督
5. 漏えい等が発生した場合の報告・通知
6. 個人データの第三者提供に関する規制
7. 要配慮個人情報に関する規制
8. 本人の開示請求等への対応

個人情報の利用目的の特定・通知・公表

個人情報取扱事業者は、取り扱う個人情報の利用目的を特定する必要があります（個人情報保護法17条1項）。

個人情報を取得したときは、あらかじめ利用目的を公表している場合を除き、速やかに利用目的を本人へ通知するか、または公表しなければなりません（同法21条1項）。

個人情報の利用目的は変更できますが、変更前の利用目的と合理的関連性を有する範囲内に限られます（同法17条2項）。

利用目的を変更した場合は、本人に対する通知または公表が必要です（同法21条3項）。

利用目的の達成に必要な範囲内を超えて個人情報を取り扱う場合は、本人の事前同意を得なければなりません（同法18条1項）。

NPO法人のチェックポイント！

個人情報の利用目的は、あらかじめホームページで公表しておくとよいでしょう。利用目的を変更した際にも、その旨と変更内容をホームページ上で速やかに公表しましょう。

個人情報の利用・取得に関する規制

個人情報取扱事業者は、違法・不当な行為を助長・誘発するおそれのある方法で個人情報を利用してはいけません（個人情報保護法19条）。

また、偽りその他不正の手段によって個人情報を取得することも禁止されています（同法20条1項）。

NPO法人のチェックポイント！

あらかじめ公表している利用目的の範囲を超えて、取得した個人情報を私的に流用することなどは厳禁です。

個人データの安全管理措置

個人情報を検索できるようにしたデータベースなどを「個人情報データベース等」といいます（個人情報保護法16条1項）。

個人情報データベース等を構成する個人情報は「個人データ」と呼ばれています（同条3項）。

個人情報取扱事業者は、個人データの漏えい・滅失・毀損（＝漏えい等）を防止するため、およびその他の安全管理のために必要な措置を講じなければなりません（同法23条）。

NPO法人のチェックポイント！

安全管理措置の具体例は、「個人情報保護ガイドライン（通則編）」*1に挙げられていますので、参考にしてください。

従業者や委託先の監督

個人情報取扱事業者が、従業者や委託先に個人データを取り扱わせる場合は、当該個人データの安全管理が図られるように、必要かつ適切な監督を行わなければなりません（個人情報保護法24条、25条）。

NPO法人のチェックポイント！

従業員に対しては、定期的に個人情報保護法に関する研修を行うことが望ましいです。

個人データの処理などを外部委託する場合は、委託先における安全管理措置の確認や、取扱状況の把握を怠らないようにしましょう。

漏えい等が発生した場合の報告・通知

個人情報取扱事業者は、次のいずれかに該当する個人データの漏えい等が発生した場合、または発生するおそれがある場合には、個人情報保護委員会にその旨を報告しなければなりません（個人情報保護法26条1項、同法施行規則7条）。

さらに、原則として本人にも通知する必要があります（同法26条2項）。

• 要配慮個人情報（後述）が含まれる場合
• 不正利用によって財産的被害が生じるおそれがある場合
• 不正の目的をもって行われたおそれがある、当該個人情報取扱事業者に対する行為によって漏えい等が発生した場合（不正ハッキングなど）
• 個人データに係る本人の数が1,000人を超える場合

NPO法人のチェックポイント！

個人データの漏えい等を発生させないことが第一です。特に要配慮個人情報などのセンシティブな個人情報については、厳重に管理しましょう。

万が一個人データの漏えい等が発生してしまったら、隠すことなく個人情報保護委員会へ報告と本人への通知を行いましょう。

個人データの第三者提供に関する規制

個人情報取扱事業者が個人データを第三者に提供する場合は、原則として本人の事前同意を得る必要があります（個人情報保護法27条1項）。

ただし、要配慮個人情報を含まない個人データは、一定の事項につき本人への通知等を行うことを条件として、本人による提供停止の求めがあるまで第三者提供を行うことが認められます（同条2項）。これは「オプトアウト方式」と呼ばれるものです。

ただし不正取得された個人データや、他の個人情報取扱事業者からオプトアウト方式で提供された個人データは、オプトアウト方式による第三者提供が認められません。

NPO法人のチェックポイント！

個人データを第三者に提供する際には、提供の年月日や相手方に関する事項を記録した上で、原則として3年間保存しなければなりません（同法29条）。

要配慮個人情報に関する規制

「要配慮個人情報」とは、次のいずれかの記述等が含まれる個人情報です（個人情報保護法2条3項、個人情報保護法施行令2条各号）。

• 人種
• 信条
• 社会的身分
• 病歴
• 犯罪の経歴
• 犯罪により害を被った事実
• 身体障害、知的障害、精神障害等があること
• 健康診断等の結果
• 診療、調剤に関する情報
• 刑事事件に関する手続が行われたこと（犯罪の経歴を除く）
• 少年の保護事件に関する手続が行われたこと

人権保護の観点から、要配慮個人情報は慎重に取り扱う必要があるため、個人情報保護法によって次の特別の規制が設けられています。

• 要配慮個人情報を取得する際には、本人の事前同意が必要です（同法20条1項）
• 要配慮個人情報を含む個人データの漏えい等については、一律で個人情報保護委員会への報告と本人への通知が義務付けられます（同法26条1項、2項）
• 要配慮個人情報を含む個人データの第三者提供に当たっては、必ず本人の事前同意を得る必要があり、オプトアウト方式が認められません（同法27条2項但し書き）

NPO法人のチェックポイント！

要配慮個人情報はセンシティブなので、極力取得しないようにしつつ、やむを得ず取得する場合は厳重に管理しましょう。

本人の開示請求等への対応

個人情報取扱事業者は、保有する個人データの本人から以下の請求を受けた場合は、個人情報保護法の規定に従って対応しなければなりません（同法33条～35条）。

• 開示請求
• 訂正、追加、削除請求
• 利用の停止、消去請求

NPO法人のチェックポイント！

開示請求等の手続きについては、本人の知り得る状態に置かなければなりません（同法32条1項）。ホームページにおいて、開示請求等の窓口や手順などを公表しておきましょう。

まとめ

NPO法人においても、一般企業と同様に、個人情報を適切に取り扱うことは極めて重要です。

個人情報の漏えい等が発生して社会の信頼を損なう事態を避けるためにも、個人情報保護法の遵守に努めましょう。

［参考文献］

* 1.参考：個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン（通則編）」3-4-2安全管理措置、10（別添）講ずべき安全管理措置の内容（外部リンク）

〈プロフィール〉