個人情報炎上事例から企業が受け取るべき二つの教訓

2005年に我が国で個人情報保護法が施行されてから、2025年はちょうど20年目にあたる。この間を振り返ると、“個人情報保護”の重要性が認識される世の中になった―ように思うが、そう思っている事業者こそ、実は危ない。杉村萬国特許法律事務所で個人情報保護法を専門分野とする寺田光邦弁護士は、以下のように警鐘を鳴らす。
「企業の個人情報保護法への向き合い方は、二極化していると感じます。日頃から消費者等の個人情報を取り扱う機会の多いB to Cの通信販売事業者など、この分野に精通する企業もある一方で、基本的な定義などにも理解が及ばず、“要は個人情報を保護すればいいんだよね。名前を消せばもう個人情報じゃないよね”といった感覚の企業の方が、企業規模にかかわらず、まだまだとても多いのが現状です」（寺田弁護士）。
実際、産業界では、日々大小さまざまな個人情報関連のトラブルが起きている。社会的影響の大きかった事件として記憶されるのが、かつて就活サイトの運営会社がサイトを利用した就活生の内定辞退率を予測して応募先企業に提供したケースだ。本件において、就活サイトの運営会社は個人情報保護委員会から法令違反があったとして勧告（「個人情報の保護に関する法律第42条第1項の規定に基づく勧告等について」（2019年8月26日）および「個人情報の保護に関する法律に基づく行政上の対応について」（2019年12月4日））を受けている。
寺田弁護士は、この事案の教訓として“個人情報保護法の基本の難しさ（個人情報該当性の見誤りやすさ）”と、“多角的な検討の必要性”の2点を指摘する。
「本件では、“就活生の氏名をハッシュ化（ランダムな文字列への不可逆的変換）すれば個人情報に該当しない”という誤った認識がありました（前出・個人情報保護委員会「個人情報の保護に関する法律に基づく行政上の対応について」）。実際には、別の保有情報と突合して個人の内定辞退率を算出しており、社内で特定の個人を識別できる個人情報であったにもかかわらずです。また、俯瞰的なレビューを経ておらずチェック体制が不十分だった旨を就活サイトの運営会社が当時の記者会見において振り返っているように、関係者による多角的な視点での検証が欠けていたといえます。法的観点はもちろん、ユーザー、営業現場、技術など、さまざまな立場から、“本人が納得できるか”“どうすれば本人に不利益を及ぼさないか”などと丁寧に検証していれば、トラブルは防げたのではないでしょうか」（寺田弁護士）。

実は判断が難しい“個人情報該当性” 多角的な視点で検討を

だが、多くの企業にとって、この2点を正しく認識し、判断することは簡単ではないだろう。個人情報保護法上の用語の定義は、一般に理解される用語の意味とは乖離があり、ここが理解の妨げになっている。たとえば、“個人情報”は「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む」（同法2条1項）と結ぶ形で定義される。したがって、同じ情報でも、各企業が保有している他の情報の所在状況によって個人情報該当性が変わりうる。寺田弁護士は「その事業者が持っているデータ全体を検討しないと、個人情報該当性は判断できません。ある情報が、A社にとっては個人情報ではあるけれども、B社にとっては異なるということもよくある話で、ここがわかりにくいところです」と述べる。
また、あらゆる局面でデータや情報が利活用される現代のビジネスシーンでは、それゆえに、多角的な検討どころか、“個人情報を扱う”という自覚が抜け落ちてしまうことも、往々にしてある。同事務所の代表弁護士である杉村光嗣弁護士は、こう語る。
「技術開発の過程で、たとえば顧客の移動情報、買い物の履歴、病歴、あるいは事業活動において取引先の名刺や従業員データなどを取り扱っていても、個人情報保護法上の問題になりうることにそもそも気づかない、もしくは気づいたとしても“これは個人情報には該当しないから問題ないだろう”と誤った判断をしてしまう企業が多い印象です」（杉村弁護士）。

杉村 光嗣 弁護士

個人情報保護法の感度を高めるために“仲良く”すべき相手とは

問題の所在に気付けないと、弁護士に相談するのも“いざトラブルが起きてから”ということになりがちだ。杉村弁護士は、後手に回るのを防ぐためには、普段から個人情報保護法に詳しい弁護士のセミナーを聞きに行ったり、そうした弁護士と“仲良く”接する機会を増やしたりすることで、この問題に対してアンテナを張ってほしいと強調する。
「よくあるNDAや製造委託契約、ライセンス契約にも、個人情報の取り扱いに関する条項が入っています。個人情報に専門性を有する弁護士は、一般条項であっても見逃さず、“こういう場合には注意が必要です”と丁寧に説明できます。それを繰り返していくうちに、企業の担当者も感度や理解が深まって、個人情報に意識が向くようになっていくのではないでしょうか」（杉村弁護士）。
個人情報事案を“取り扱える”弁護士は多いが、同事案に“高度な専門性を有する”弁護士は、実はさほど多くはないという。その点、寺田弁護士は、個人情報保護委員会に2度の出向経験があり、数多くの関連セミナーにも登壇。何より「個人情報保護法が大好き」と自負するほどにこの分野に精通している。杉村弁護士も「好きというのは本当に強みになる。彼は個人情報保護法オタクです（笑）」と太鼓判を押す。寺田弁護士が“仲良く”すべきパートナーの一人であることは間違いないだろう。

クラウドサービスの利用は“第三者提供”にあたるのか

両弁護士の話を伺うと、今や事業活動に欠かせない身近なツールにも、個人情報保護法上の悩ましい論点が潜んでいることに気づかされる。その一つがクラウドサービスの利用だ。
ビジネス資料等をクラウド事業者のサーバに保存している事業者は多いだろう。もしそこに個人データが含まれていた場合、個人情報保護法に照らしてどのように評価されるのだろうか。
「昔からの難題ですが、“クラウドに個人データをアップロードする行為は、第三者提供にあたるのか”というテーマがあります。もし、第三者提供に該当するのであれば、原則として本人の同意が必要です」（寺田弁護士）。
だが、現実にそこまでの同意を得られている事業者は多くはないだろう。この問題に折り合いをつけるためのアプローチには、主に二つの考え方があるという。
「一つは“クラウド事業者への委託”として構成する方法です。委託であれば、本人同意は不要です。ただし、委託とする場合、委託者には受託者を監督する義務が生じます」（寺田弁護士）。
しかし、クラウドサービスといえば、世界的なビッグテックが運営するものが多い。クラウドを利用する一般企業が彼らを監督するというのは非現実的だ。
「もう一つは、個人情報保護委員会が公表するQ&A（「「個人情報の保護に関する法律についてのガイドライン」に関するQ&A」（最近更新：2025年7月1日））の内容から、“クラウド例外”と呼ばれる考え方（同Q&AQ7-53）を適用することです。そこでは、クラウド事業者が“個人データを取り扱わないこととなっている場合”には、事業者は個人データを提供したことにはならない旨の解説がなされています。そして“取り扱わない”とは、たとえば、“契約条項によってクラウド事業者がサーバに保存された個人データを取り扱わない旨が定められている場合”とされています」（寺田弁護士）。
実際、この考え方を受けて、あらかじめ利用規約等で“個人データは取り扱わない”と表明するクラウド事業者もいるという。一方で、そのような条項を設けていない大手のクラウド事業者に対して、一般企業が契約の修正交渉をするのはやはり現実的ではない。また、“取り扱わない”という概念にはわかりにくさがあり、クラウド事業者が契約者の預けた個人データに関知しないにせよ、永続的に保管すること自体が、もはや“取り扱い”の範疇なのではとする見解もある。こうしたことから、多くの企業がグレーゾーンでの運用を余儀なくされているのが現状なのだ。
法のグレーゾーンとの向き合い方は、個人情報保護法の領域に限らず、ビジネスパーソンにとって悩ましい問題だ。その点について、杉村弁護士は、まずは“潜在的に個人情報保護法上の問題をはらんでいることを認識すること”の大切さを強調する。
「外形的には個人データが別の主体に移動している以上、個人情報保護法上の検討はあって然るべきです。さらに、クラウドは海外にサーバが置かれていることも多いので、適用される法律が日本法ではない可能性もあります。そうした認識を持ったうえで、適法とするための考え方やリスクヘッジ策を分析することが重要です」（杉村弁護士）。
事業者が肝に銘じるべき指摘だろう。同じ行為でも、法的リスクが潜んでいるとは露とも思わず漫然と実施するのと、リスクを理解したうえで委託やクラウド例外等のロジックを用意し、あるいは実質的にトラブルとなりにくいように対策を施したうえで実施するのとでは、まったく性質が異なる。問題が顕在化するリスクも、万が一問題が起こったときのリカバリーの容易さも段違いであろう。

読者からの質問（クラウドサービス利用時に、個人情報保護法上気をつけるべき点）

個人情報保護法の改正動向 “個人の権利利益への影響度”の考慮

個人情報を取り巻く国際的動向、技術、事業環境はめまぐるしく変化しており、これを踏まえて、個人情報保護法は施行後3年ごとに見直しがなされることになっている。現在も、個人情報保護委員会を中心に見直しの検討がなされているが、どのような検討がなされ、どのように改正される見通しなのだろうか。
2024年秋、個人情報保護委員会は「個人情報保護法のいわゆる3年ごと見直しの検討の充実に向けた視点」という文書で、個人情報保護法の基本理念や保護法益など、制度の基本的なあり方を再確認するアプローチの必要性を公表し、これを踏まえて改正の方向性が検討されている。寺田弁護士は、これまでの法改正が、個別課題への対症療法的に例外規定を増やした結果、複雑化していった経緯を踏まえ、「一度基本に立ち返り、“この法律は何を保護すべき法律なのか”を見つめ直したうえで法改正の方向性を検討するプロセスはとてもよいことだと思います。時間はかかるかもしれませんが、成果には期待が持てると感じています」と評価する。
検討されている論点の一つが、“個人の権利利益への影響度”という、実質的な観点を考慮した同意規制のあり方だ。たとえば、一定の統計作成や、取得の状況から見て本人の意思に反せず、本人の権利利益を害しないことが明らかな場合は、第三者提供等において本人同意を不要とすることなどについて議論がなされている。
「個人情報保護法は、個人データを第三者に提供する場合は本人の同意を得なければならない、などの“形式”が先行した立てつけです。これは非常にわかりやすいのですが、欧州のGDPRは少し違った考え方をしています。個人データ利用の正当化根拠として“legitimate interests（正当な利益）”という概念があり、事業者の果たそうとしている利益と、本人の利益を較量して、本人の不利益にならないのであれば、それは個人データ利用の正当化根拠になる、という実質的な検討を重視する側面があるのです。そういった考え方を、一部、日本でも取り入れるのは、私は有効だと思います」（寺田弁護士）。

寺田 光邦 弁護士

専門家と手を組み、基本を知り、多角的な検討で変化の時代に適応する

クラウドやAI然り、個人情報に関わるさまざまな技術が進化し、ビジネスモデルが多様化を続ける以上、個人情報保護法は、今後も継続的に変化を続け、重要性は増していくばかりだろう。この情勢を踏まえ、寺田弁護士は「個人情報保護法に関しては、基本を押さえるのは当然として、そのうえで多角的な検討が必要な時代になっています」と述べる。この分野の基本すら理解していない状態はリスクでしかないが、かといって、個人情報保護法の基本を知っているだけで、現実に直面する問題を解決できるようなシンプルな社会でもないということだ。
杉村萬国特許法律事務所が頼れる所以は、基本的な注意喚起から、高度な専門的知見に基づく多角的、実践的なアドバイスまでを一気通貫に提供できる点にある。自社事業の個人情報保護体制のリスクを評価してほしい企業にとっても、リスクを乗り越えたい企業にとっても、心強いパートナーといえよう。

→『LAWYERS GUIDE 企業がえらぶ、法務重要課題2025』を 「まとめて読む」
→ 他の事務所を読む