第173回 個人情報保護法

  個人情報保護法は、個人情報を取扱う際のルールを定めて、個人情報の取扱いで個人の権利が侵害されるおそれのある事故の発生を未然に防ぐための法律です。また、国や地方公共団体などの取扱う個人情報については、行政機関個人情報保護法、独立行政法人個人情報保護法、個人情報保護条例――などが制定されています。

  行政書士試験での出題の頻度も高く、得点につながるテーマともいえるので、じっくりと法律を読んでいきましょう。

  今回は、①個人情報保護法制定の背景、②個人情報保護法――を勉強します。

行政書士講座

Ⅰ.個人情報保護法制定の背景

  個人情報保護法は、1970年代に西ヨーロッパ諸国で制定されたのが始まりです。しかし、具体的な規制内容は国ごとに異なっていいたため、OECD(経済協力開発機構)で協議され、1980年にOECD理事会勧告が採択されました。この勧告の付属文書であるOECD8原則は、加盟国に対する強制力はありませんが、国内適用の基本原則を定め、先進国の個人情報保護法則のスタンダードとなっています。

  OECD8原則の具体的内容は次のとおりです。

①目的明確化の原則:収集目的を明確にして、データ利用は収集目的に合致する

②利用制限の原則:データ主体の同意がある場合、法律の規定による場合以外は目的以外に利用・使用してはいけない

③収集制限の原則:適法・公正な手段により、かつ情報主体に通知または同意を得て収集する

④データ内容の原則:利用目的に沿ったもので、かつ、正確、完全、最新とする

⑤安全保護の原則:合理的安全保護措置により、紛失・破壊・使用・修正・開示などから保護する

⑥公開の原則:データ収集の実施方針等を開示し、データの存在、利用目的、管理者などを明示する

⑦個人参加の原則:自己に関するデータの所在および内容を確認させ、または異議申立てを保証する

⑧責任の原則:管理者は諸原則実施の責任を有する

  上記を踏まえた世界各国の個人情報保護法の制定の態様は、アメリカでは特定の分野に対象を限定した個別法が数多いセントラル方式、欧州主要国では官民双方を包括的に適用の対象とするオムニバス方式がとられています。また、我が国は官民別個の法律を制定するセグメント方式を採用しています。

  日本について詳しくお話しすると、国や地方公共団体など行政対応では、OECD理事会勧告を受け、日本でも個人情報保護法の制定に向けた機運が高まり、1988年に行政機関の電子計算機における個人情報保護のための法律が制定されました。ただし、地方レベルでは、OECD理事会勧告以前に条例が制定されている例があります。1973年の徳島市、1975年の国立市です。

  一方、民間レベルへの対応でも、住民基本台帳ネットネットワークシステムの稼働の際、民間に個人情報が流出した場合に備えるために、2003年に個人情報の保護に関する法律(個人情報保護法)が制定されました。この背景には、個人情報の大量漏えい事件が頻繁に発生して社会問題となったことがあります。

一般知識173-1

 

Ⅱ.個人情報保護法

  このテーマでの中心となる個人情報保護法の解説です。①総説、②目的と行政の責務、③定義、⑤個人情報取扱事業者の義務、⑥民間による個人情報保護――とお話しします。

1.総説

  近年の急速な情報化の進展に伴い、個人情報を利用した各種サービスが提供され生活の利便性は向上されましたが、個人にとっては取扱いによっては取返しのつかない被害を及ぼすことにつながります。そこで、国際的な流れとも相まって我が国でも個人情報保護法が成立しました。個人情報保護法は、個人情報漏えい事故などで個人の権利利益を侵害した場合には、加害者に対して民法に基づく侵害賠償責任を科すなどのルールを定め、個人の権利利益を侵害するおそれがある事故の発生を予防しようとするものです。

2.目的と行政の責務

  個人情報保護法の目的は、個人情報の有用性と個人の権利利益の保護との調和を図り、個人の権利利益が侵害される事件や事故の防止です。個人情報の有用性とは、社会一般から是認される個人情報の利用がもたらす利益のことで、個人の権利利益の保護の必要を上回る場合、その情報は公開すべきものと判断されます。

  なお、個人情報保護法は、行政や民間で取扱われる個人情報の保護に関する基本法としての性質と民間部門に関する一般法としての性質を有しています。

  個人情報保護に関する国や地方公共団体などの行政の責務は、個人情報保護法の趣旨に則り、個人情報の適正な取扱い確保のための必要な施策を、国は総合的に、地方公共団体は区域の特性に応じて策定し実施することです。政府には、特に適正な取扱いの厳格な実施を確保する必要がある個人情報について、保護のための格別の措置がとられるように、法制上の措置などを講じるものとされています。そこで、政府は2004年に個人情報の保護に対する基本方針を策定し、個人情報保護に関する諸施策を総合的かつ一体的に推進するために、その枠組みと方向性を明らかにしました。

  また、個人情報保護に関する施策を講ずる場合、国と地方公共団体はお互いに協力するとも定められ、具体的な国・地方公共団体の個人情報保護に関する支援は下表のとおりです。

一般知識173-2

3.定義

  個人情報保護法では、個人情報について、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述などにより特定の個人を識別することができるものと定義しています。つまり、死者に関する情報は原則として個人情報には該当しません。ただし、遺族などの情報は生存する個人に関する情報として、個人情報保護法の対象となります。また、氏名や住所などその者を特定できる情報は個人情報に該当しますが、単なる記号や数字で構成されている文字列のメールアドレスや社員番号・会員番号などは個人情報に該当しません。

  個人情報に該当するか否かの例を下記にまとめますので、参考にしてください。

【個人情報に該当する情報】

 ・外国人に関する情報

 ・電話の通知内容や音声で特定の個人を識別できる場合の通話記録

 ・防犯カメラに記録された情報など本人が判別できる映像情報

 ・従業員の評価等の雇用管理情報

 ・個人を特定できるメールアドレス(別のリストやデータベースと関連付けて個人を特定できれば個人情報となります)

【個人情報に該当しない情報】

 ・企業の財務情報など法人等の団体自体に関する情報(役員に関する情報は除く)

 ・個人を特定できないメールアドレス

  また、個人情報とは、私生活上の非公知の情報、プライバシー情報とは限りません。また、公開によって受ける精神的な苦痛の有無は、個人情報性とは関係ないので、「プライバシー情報=個人情報保護法上の個人情報」ではない点に注意してください。

一般知識173-3

  個人情報では個人データを、個人情報データベース等を構成する個人情報のことと定義します。つまり、個人情報よりも限定された概念で、個人情報データベースに組込まれた個人に関する情報のことです。他の媒体に格納したバックアップ用の個人情報は個人データに該当しますが、個人情報データベース構成前の入力帳票に記載されている個人情報は個人データではありません。

  また、個人情報データベースとは、個人情報を含む情報の集合体で、①特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの、②特定の個人情報を容易に検索することができるように体系的に構成したもの――として政令で定めるもののことです。例えば、インターネット上の検索エンジンは、地名等個人情報でない情報も検索されるので個人情報を検索できるように体系的に構成されているとは言えず、原則として個人情報データベースに含まれません。

  個人データをもっと限定したものが、保有個人データです。保有個人データとは、個人情報取扱業者が開示、内容の訂正・追加・削除、利用の停止、消去、第三者への提供の停止を行うことのできる権限を有する個人データのことです。保有個人データは、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるものや、1年以内の政令で定める期間以内に消去することとなるもの以外を指します。

一般知識173-4

  個人情報データベース等を事業の用に供している者のことを個人情報取扱事業者と言います。事業とは、一定の目的をもって反復継続して遂行される同種の行為のことで、営利事業に限らず法人格のない団体や個人も個人情報取扱事業者に該当します。

  個人情報取扱事業とならない者は次のような者のことです。

①国の機関(国会、裁判所含む)

②地方公共団体

③独立行政法人等個人情報保護法に規定する独立行政法人

④地方独立行政法人法に規定する地方独立行政法人

⑤取扱う個人情報の量・利用方法から見て個人の権利利益を害するおそれの少ないものと政令で定める者(具体的には、特定できる個人の数が直近6カ月間1度も5000を超えていない者)

5.個人情報取扱事業者の義務 

  個人情報取扱事業者には、個人データの安全管理のために必要かつ適切な措置や、個人情報の取扱いに関する苦情の処理その他の個人情報の適正な取扱いを確保するために必要な措置を自らとり、内容の公表に努める義務があります。

もっとも、下記の者が下記の目的のために個人情報を使用する場合は適用除外となります。

①放送機関、新聞社、通信社その他の報道機関が報道のために供する場合

②著述を生業としている者が著述のために供する場合

③大学その他の学術研究を目的とする機関またはそれらに属する者が学術研究のために供する場合

④宗教団体が宗教活動のために供する場合

⑤政治団体が政治活動のために供する場合

  また、個人情報取扱事業者は、個人情報を取扱うに当たり、利用目的をできる限り特定しなければなりません。したがって、個別の利用を類型化してまとめるなど、具体的な利用目的が、その利用目的の範囲内であるかどうかを判断できるように、可能な限り明確にする必要があります。

  さらに、個人情報取扱事業者は、原則として、あらかじめ本人の同意を得ないで特定された利用目的の達成に必要な範囲を超えて、個人情報を取扱ってもいけません。例えば、商品を購入した人への配送のために取得した個人情報を利用して、別の商品の販売目的でダイレクトメールを送付することは、特定された利用目的の達成に必要な範囲を超えた個人情報の取扱いになります。

  なお、本人とは、個人情報によって識別される特定の個人を指します。

また、利用目的による制限の適用除外は、次の4つです。

①法令、条例に基づく場合

②人の生命、身体または財産の保護のために必要があり、本人の同意を得ることが困難な場合

③公衆衛生の向上または児童の健全な育成の推進のために特に必要があり、本人の同意を得ることが困難な場合

④国の機関・地方公共団体・その委託を受けた者が、法令の定める事務を遂行することに対して協力する必要があり、本人の同意を得ることによりその事務の遂行に支障を及ぼすおそれがある場合

  個人情報取扱事業者は、偽りやその他の不正な手段による個人情報の取扱いを行ってもいけません。不正な手段とは、不適法な方法あるいは適性性を欠く方法のことです。具体的には、判断能力の乏しい子供を通じて親の同意なしに親に関する個人情報を所得すること――などです。

  さらに、個人情報取扱事業者が、個人情報を取得する際には、原則として、利用目的の本人への通知または公表が義務付けられます。また、個人情報取扱事業者は、利用目的を変更した場合、変更された利用目的を本人に通知するか公表しなければなりません。以上の取得に関する事項の適用除外は次の4つです。

①本人、第三者の生命、身体、財産その他の権利利益を害するおそれがある場合

②個人情報取扱事業者の権利または正当な利益を害するおそれがある場合

③国の機関等が法令の定める事務を遂行することに対して協力する必要がある場合で、利用目的を本人に通知・公表することで事務の遂行に支障を及ぼすおそれのある場合

④取得の状況から見て利用目的が明らかであると認められる場合

  これら個人情報取扱事業者の苦情に対する処理には、適正かつ迅速に処理するという努力義務があります。

  次に、個人情報取扱事業者の個人データに関する義務には、まず、利用目的の達成に必要な範囲内において、正確かつ最新の内容に保つよう努める義務があります。合わせて安全管理のために必要な適切な措置を講じる必要もあります。具体的には、従業員に対する教育・訓練、個人データの取扱い状況の点検・管理体制の整備――などです。

  また、個人情報取扱事業者は、法令に基づく場合になどの一定の場合を除いて、あらかじめ本人の同意を得ないで個人データを第三者に提供してはいけません。第三者に提供される個人データの例としては、住宅地図業者が個人データを最初から第三者に提供する目的で取得した場合などです。

  ただし、次の場合、あらかじめ本人に通知し、または本人が容易に知り得る状態にあるときは、以下の個人データを第三者に提供することができます。

①第三者への提供を利用目的とすること

②第三者に提供される個人データの項目

③第三者への提供の手段または方法

④本人の求めに応じてその本人が識別される個人データの第三者への提供を停止すること

  次は保有個人データに関してです。個人情報取扱事業者は、保有個人データに関し、当該個人情報取扱事業者の氏名または名称などの一定事項について、ウェブ画面への掲載、パンフレットの配布など、その時点での正確な内容を、本人の知り得る状態にしておかなければなりません。そして、本人からその本人が識別される保有個人データの利用目的の通知を求められたときには、原則として遅滞なく通知しなければなりません。

  また、個人情報取扱業者は、本人から保有個人データの開示を求められたときは、原則として遅滞なく開示しなければなりません。その本人が特定できる保有個人データが存在しないときはその旨を伝えなければなりません。もし、開示できない事由が存在する場合には、開示をしない旨を伝えなければなりません。開示をしないことができる場合は、次の3つです。

①人、第三者の生命、身体、財産その他の権利利益を害するおそれがある場合

②個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合

③他の法令に違反することとなる場合

  さらに、個人情報取扱事業者には、本人から内容が事実でないという理由により保有個人データの内容の訂正などを求められた場合は、一定の場合を除いて必要な範囲内において遅滞なく必要な調査を行って、その結果に基づき内容の訂正を行い、本人にその結果の通知をする義務があります。

  そして、本人から利用目的による制限や適正でない取得という理由で、保有個人データの利用停止や消去を求められたときに、その理由が正しいことが判明した場合は、原則として、必要な限度で遅滞なく利用停止などを行う義務を負います。また、第三者への提供を停止することを求められた場合も同様です。

  さて、本人からの開示などに関する求めの受付の方法は、個人情報取扱事業者が定めることができます。また、開示の際には、本人か否かを特定するに足りる事項の提示を求めることができますが、本人が容易かつ的確に開示等の求めができるよう適切な措置を取らなければなりません。ただし、利用目的の通知や開示に対する措置に実費と勘案して合理的であると認められる範囲内で手数料を徴収することが可能です。

  一方、主務大臣は、個人情報取扱事業者に対して報告をさせ、必要な助言を与え、事業に違反行為があったときには、勧告・命令することが可能です。主務大臣とは、①個人情報取扱事業者の取扱う事業を管理する権限を有している大臣または国家公安委員会、②雇用管理に関する事業に限っては厚生労働大臣と個人情報取扱事業者が行う事業を管理する権限を有する大臣等――と規定されています。

  しかし、上記の行為を行う際に、表現の自由、学問の自由、信教の自由、政治活動の自由――を妨げてはなりません。そして、主務大臣の命令に違反した者には、6カ月以下の懲役または30万円以下の罰金が科され、主務大臣に報告しなかったり虚偽の報告を行った者には30万円以下の罰金が科せられます。

6.民間による個人情報保護

  個人情報保護法の義務規定の適用を受けて、個人情報取扱事業者の自発的な適正な取扱いに対する取組みを支援するために認定個人情報保護団体制度が設けられています。認定個人情報保護団体とは、①対象事業者の個人情報の取扱いに関する苦情の処理、②対象事業者に対する情報提供、③その他、対象事業者の個人情報の適正な取扱いの確保に関し必要な業務――について、主務大臣の認定を受けた者のことです。そして、主務大臣は、必要な限度において、認定個人情報保護団体に対して報告させることや、認定業務の実施方法の改善など必要な措置を取るべき旨を命ずること――ができます。なお、対象事業所とは、当該認定個人情報保護団体の認定業務の対象となることを同意した個人情報取扱事業者です。

  認定個人情報保護団体には、対象事業者の個人情報の適正な取扱いのための、①利用目的の特定、②安全管理措置、③本人の求めに応じる手続き、④その他の事項――に関して、個人情報保護指針を作成して公表する努力義務や、対象事業者の氏名や名称を公表する義務があります。

  認定個人情報保護制度の概要は、保有個人データの取扱いに対する本人の苦情などが解決できない場合は、認定個人情報保護団体が代わって解決をしてくれるものです。

  この制度のメリットは、①認定個人情報保護団体から適切な情報が提供されることで、適切な個人情報保護の取組みの維持が可能である、②民的個人情報保護団体が第三者機関として関与することで、迅速かつ円滑な苦情の解決、安心して個人情報の開示ができる環境が期待できる――ことです。対象となった個人情報取扱事業者は、認定個人情報保護団体から苦情の解決についての、文書や口頭による説明、資料の提出を求められたときは、正当な理由がある場合を除いて、対応しなければなりません。

  本人等から対象事業者の個人情報の取扱いに関する苦情の解決の申出があった場合は、相談に応じ、必要な助言をし、苦情に係る事情を調査するとともに、当該対象事業者に対して、苦情の内容を通知して迅速な解決を求めます。そして、必要があるときは、対象事業者に対して文書または口頭による説明、資料の提出などを求めることが可能です。対象事業者はこれを拒んではいけません。

  ただし、認定個人情報保護団体といえども、認定業務の実施で知った情報をその目的外で利用してはいけません。また、認定個人情報保護団体でない者は、紛らわしい名称を名のることができません。この名称の使用制限の規定に違反した者や、廃止の届出をしなかったり虚偽の届出をした者は、10万円以下の過料に処されます。

↓↓↓
詳細は下記へ

行政書士講座

ページ上部へ戻る