メキシコでは、個人情報保護に関連する法令はいくつかありますが、民間企業等に適用されうる根幹となる法令として、私的所有における個人情報の保護に関する連邦法(Ley Federal de Protección de Datos Personales en Posesión de los Particulares)が挙げられます。これらをもとに、メキシコにおける個人情報保護規定の概要を紹介します。
(1) 個人情報本法では、個人情報は、「自然人を特定もしくは特定しうる情報」と定義され、そのうち、人種や民族、健康状態、遺伝情報、宗教的、哲学的もしくは道徳的信条、労働組合の所属、政治的見解、性的嗜好などが明らかになるような情報であって、本人の最も内密な領域に影響を与える情報、または不適切な使用によって、差別が生じ、もしくは深刻なリスクを伴う可能性がある情報は「要配慮個人情報」と定義されています。また、財産に関する情報もその性質から別の扱いとされています。
(2) 個人情報の取扱個人情報の取扱いについては、非常に広範な定義となっており、「あらゆる手段による個人情報の取得、使用、開示、保存。『使用』は個人情報へのアクセスや個人情報の管理、利用、伝達、処分といったあらゆる行動を含む」とされています。個人情報の取扱いをする者には、その保護の観点から、以下の8つの原則に従う必要があります。
① 合法性 個人情報の取扱いについては、適用される法令等に基づき厳重に行う必要があります。
② 同意 個人情報の取扱いについては、取得前に個人情報保有者に事前に同意を得る必要があります。 なお、同意は原則黙示的でたるとされています。つまり、個人情報保護方針を提示後、個人情報保有者が拒絶の意思を表示しなかった場合に、同意が得られたと解されます。ただし、要配慮個人情報や財産に関する情報は、その取得に際し明示的同意が必要とされています。
③ 情報提供 個人情報取扱者は、個人情報保護方針を通じて、個人情報の取得や取扱いに関する基準を提示する必要があります。
④ 品質 個人情報取得の目的に合致した適切で、正確な取り扱いが求められます。
⑤ 目的 個人情報は個人情報保護方針に確立された目的にのみ取り扱うことが可能です。従って、個人情報の取扱者はその目的を個人情報保護方針において明確に規定し、把握しておかなければなりません。
⑥ 忠誠 個人情報の取扱は個人情報保有者の利益の保護を優先し、詐称等の行為があってはなりません。
⑦ 適量 個人情報の取扱は目的に合致した必要かつ関連性のある必要最低限の範囲にとどめなければなりません。
⑧ 責任 個人情報取扱者は、法令等によって確立された個人情報保護の原則を順守し、必要な措置を講じ、その保護を保証しなければなりません。個人情報の取扱者は、以上のような原則を踏まえて、個人情報保護方針を策定し、適切な取り扱いが為されうる体制を確立する必要があります。
(3) 個人情報保護方針(Aviso de Privacidad)個人情報保護方針は、少なくとも次の項目を含める必要があり、個人情報保有者が利用できるようにしておかなければなりません。
① 個人情報取扱者の名称及び住所
② 取扱の対象となる個人情報 (要配慮個人情報を取り扱う場合は、その明示を含む)
③ 個人情報取扱の目的
④ 個人情報保有者による個人情報取扱の拒否の意思表示方法
⑤ 個人情報を第三者に開示する場合のその開示先や開示の目的
⑥ 必要に応じて個人情報保有者による第三者開示の承諾に関する条項
⑦ 個人情報保有者が有するアクセス、修正、キャンセルもしくは反対の権利を行使する手段
⑧ 個人情報保有者が個人情報取扱への同意を取消す場合の、その方法
⑨ 個人情報取扱者が個人情報保有者に対し使用や開示の制限を申出る方法
⑩ 個人情報を自動的もしくは同時的に取得することを可能とする電子的、光学的もしくは他の通信技術の遠隔的もしくはローカルの手段に関する情報(該当する場合)
⑪ 個人情報保護方針を変更する場合に、個人情報保有者に対してそれを通知する手順と手段
(4) 罰則等次のような場合には、①~③の行政罰が用意されています。
① 警告法に基づいた正当な理由なく、個人情報保有者のアクセス、修正、キャンセルもしくは反対の要請に従わなかった場合
② UMA(2020年度の場合は、日額86.88ペソ、以下同じ)の100倍~160,000倍の罰金・ 個人情報の取扱やアクセス、修正、キャンセルもしくは反対の要請への対応において、過失や悪意がある場合・ 事実に反し、データベースに個人情報の不存在を故意に宣言すること・ 法に確立された個人情報取扱の原則に反して、個人情報を取り扱うこと・ 個人情報保護方針に規定すべき項目を定めていない場合・ 個人情報保有者によってなされた個人情報の修正や取消に従わず、不正確な個人情報を保持した場合・ 前①の警告に従わなかった場合
③ UMAの200倍~320,000倍の罰金・ 個人情報保有者の同意を得ずに、個人情報の取得や第三者提供を行った場合・ 当局による確認行為を妨害した場合・ 欺瞞的、詐欺的行為によって個人情報を取得した場合・ 個人情報の使用を個人情報保有者もしくは当局より要請を受けた場合に、これに従わず、使用を継続する場合・ 個人情報保有者が有するアクセス、修正、キャンセルもしくは反対の権利を妨害するような取り扱いを行った場合・ 要配慮個人情報のデータベースを正当かつ具体的目的なく、作成した場合さらに、これらの違反が繰り返される場合は、UMAの100倍~320,000倍の罰金が追加で科される恐れがあり、また、要配慮個人情報の取得において違反がみられる場合は、最大で2倍の罰金が科される恐れがあります。なお、これらの行政罰が課された場合でも、民事的もしくは刑事的責任は免れるものではありません。
本記事の詳細は当事務所へお問い合わせ下さい。