個人情報保護法

提供: Yourpedia
移動: 案内検索

本項目「個人情報保護法」は、先編集権が主張されています「同意を得ないリバート」「記事の置き換え・白紙化」等の不正改竄は荒らしとみなされブロックされますので、ご注意ください。また、このテンプレートを剥す行為も荒らしとみなされますのでご注意下さい。どうしても自分の意に沿う編集をされたい場合は「個人情報保護法 (2)」という様な感じでフォークを立てて下さい。

個人情報の保護に関する法律
通称・略称 個人情報保護法
法令番号 平成15年5月30日法律第57号
効力 現行法
種類
主な内容 総則、国及び地方公共団体の責務等、個人情報の保護に関する施策等、個人情報取扱事業者の義務等、雑則、罰則
関連法令 行政機関の保有する個人情報の保護に関する法律、独立行政法人等個人情報保護法、個人情報保護法施行令
条文リンク 総務省法令データ提供システム

個人情報の保護に関する法律(こじんじょうほうのほごにかんするほうりつ)は、個人情報の取り扱いに関連する法律。略称は個人情報保護法

2003年(平成15年)5月23日成立、2005年(平成17年)4月1日全面施行。

成立経緯

情報化社会の進展とともに、行政・民間が保有する膨大な個人情報を容易に処理することが可能となり、プライバシー侵害への危険性、不安が増大していった。1980年にはOECD理事会で『プライバシー保護と個人データの国際流通についてのガイドラインに関する勧告』が採択されるなど、国際的にも個人情報の取扱いやプライバシーの保護が次第に重要視されるようになった。日本では、1988年(和暦??年)月日、公的機関を対象とした『行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律』が公布され、1989年、民間部門に対して通産省[1]により『民間部門における電子計算機処理に係る個人情報の保護に関するガイドライン』が策定された。しかし『行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律』には罰則規定が無く、また民間部門を対象としたガイドラインには法的拘束力が無いなど、個人情報の保護という観点から十分に機能しているとは言いづらい状況であった。さらに住民基本台帳ネットワークの稼動(2002年)、中川秀直愛人スキャンダル事件(2000年)や2004年やTBC個人情報漏洩事件(2002年)など多発する個人情報漏洩事件を受けて、2002年に個人情報保護法関連五法が国会に提出された。個人情報保護法は、個人情報を取得する際には個人情報の利用方法を本人に明確に伝えなければならないと定めるために、報道の自由を侵害するなどの理由から反対運動が展開され、一度廃案となったが、再度審議され2003年5月に成立した。企業への準備期間として成立から施行までに2年間の期間が設けられた。個人情報保護法が施行される直前の2005年3月には、これまで起きていながら隠蔽していた個人情報漏洩事件を公表する企業が多くあった。

法律の概要

個人情報保護法および同施行令により、5000件を超える[2]個人情報を個人情報データベース等として所持し事業に用いている事業者は個人情報取扱事業者とされ、個人情報取扱事業者が主務大臣への報告やそれに伴う改善措置に従わない等の適切な対処を行わなかった場合は、事業者に対して刑事罰が科される。

関連する国際基準

1980年にOECD理事会で採択された『プライバシー保護と個人データの国際流通についてのガイドラインに関する勧告』には収集制限の原則、利用制限の原則などの『OECD8原則』が含まれる。1995年、EUが『個人データ処理に係る個人情報保護及び当該データの自由な移動に関する欧州議会及び理事会の指令』を採択し、EU加盟国以外への個人情報の移転は、当該国が十分なレベルの保護措置を講じている場合に限られるとした。1998年、EUの指令により顧客データの授受をはじめとする様々な経済活動に影響が出ることが懸念されたため、『プライバシーマーク制度』が設立された。また、この制度の検討期間中には、EU加盟国等によって、日本の個人情報の保護措置が『十分なレベル』に達する基準が確認されており、他に国際基準としては情報セキュリティマネジメントシステム(ISMS)もある。これらの制度については、『個人情報漏洩に対する企業の対策』、『個人情報漏洩後の企業の対策』を企業が細かくマニュアル化し、それを社員が認識し実行しているかどうかを調べて認定される。取得にはおよそ1年以上の時間を要すことになる。

構成

  • 第1章 総則(第1条―第3条)
  • 第2章 国及び地方公共団体の責務等(第4条―第6条)
  • 第3章 個人情報の保護に関する施策等
    • 第1節 個人情報の保護に関する基本方針(第7条)
    • 第2節 国の施策(第8条―第10条)
    • 第3節 地方公共団体の施策(第11条―第13条)
    • 第4節 国及び地方公共団体の協力(第14条)
  • 第4章 個人情報取扱事業者の義務等
    • 第1節 個人情報取扱事業者の義務(第15条―第36条)
    • 第2節 民間団体による個人情報の保護の推進(第37条―第49条)
  • 第5章 雑則(第50条―第55条)
  • 第6章 罰則(第56条―第59条)

主な内容

基本理念

個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきことに鑑み、その適正な取扱いが図られなければならない。

定 義

  • 個人情報
    個人情報とは、生存する個人の情報であって、特定の個人を識別できる情報[3]を指す。これには、他の情報と容易に照合することができることによって特定の個人を識別することができる情報[4]も含まれる。
  • 個人情報データベース等
    個人情報データベース等は、個人情報を含む、コンピュータ等で容易に検索できるデータベースや、目次や索引等によって体系的に整理された紙のデータベース等を指す。未整理の紙のデータ等は該当しない。
  • 個人データ
    個人情報データベース等を構成する個人情報は個人データと呼ばれる。
  • 保有個人データ
    個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データのこと。
    その存否が明らかになることにより公益その他の利益が害されるもの
    1. 当該個人データの存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの
    2. 当該個人データの存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれがあるもの
    3. 当該個人データの存否が明らかになることにより、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの
    4. 当該個人データの存否が明らかになることにより、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの
    6ヶ月以内に消去することとなるもの以外のもの。

個人情報取扱事業者の対象

個人情報等データベースを事業の用に供する者で、国、地方公共団体、独立行政法人等、地方独立行政法人[5]や、取扱う個人情報[6]が過去6か月以内のいずれの時点においても5000人を超えない事業者を除く者を指す[7]

したがって、事業者には営利法人のみならず非営利法人も該当するが、一般の個人については原則として対象とならない[8]

個人情報取扱事業者の主な義務

個人情報保護法第4章第1節に個人情報取扱事業者の義務が記されている。

個人情報について
  • 利用目的の特定
  • 利用目的の制限
  • 適正な取得
  • 取得に際しての利用目的の通知
  • 苦情の処理
個人データについては、データ内容の正確性の確保、安全管理措置や従業者・委託先の監督、第三者提供の制限が定められている。保有個人データについては、事項の公表等、開示、訂正等、利用停止等が規定されている。事項の公表、開示、訂正、利用停止の規定により、本人から求められた措置の全部又は一部について、その措置をとらない旨を通知する場合又はその措置と異なる措置をとる旨を通知する場合は、本人に対し、その理由を説明するよう努めなければならない。

第三者提供の制限

個人情報取扱事業者は、以下の場合を除いては、あらかじめ本人の同意を得なければ、個人データを第三者に提供してはならない。

  1. 法令に基づく場合(統計調査等)
  2. 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき(事故の際の安否情報など)
  3. 公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき(児童虐待情報など)
  4. 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要があって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき(犯罪捜査の協力等)
だが、必ずしも本人の同意を得なくとも、以下の場合は第三者への提供ができるものと規定されている。

第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、①第三者への提供を利用目的とすること、②第三者に提供される個人データの項目、③第三者への提供の手段又は方法、④本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること、についてあらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。

また、個人情報取扱事業者と実質的に同一と見なし得る事業者が共同で利用する場合、共同利用または業務委託として一定の要件を満たした場合、第三者と看做されない規定がある。すなわち、これらの場合、本人の同意を得る必要がない。

事項の公表等

個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知しなければならない。この場合は、手数料を徴収できる。

開示請求

個人情報取扱事業者は、本人から保有個人データの開示を求められたときは、以下のいずれかに該当する時を除いては、遅滞なく開示しなければならない。ただし、6月以内で消去することが予定されている情報[9]や情報の存否を明らかにすることによって公益等が害される情報は除かれる。

  1. 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
  2. 当該個人情報保護取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
  3. 他の法令に違反することとなる場合

この場合は、手数料を徴収することができる。医療機関等に訴訟外で医療のカルテ等を開示請求する等の活用例が考えられる。

訂正請求

個人情報取扱事業者は、本人から、保有個人データの内容が事実でないという理由によって当該個人データの内容の訂正、追加又は削除を求められた場合は、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、保有個人データ等の訂正を行わなければならない。

利用停止請求

個人情報取扱事業者は、本人から、保有個人情報データの利用停止または消去を求められた場合であって、その求めに理由があると認められるときは、違反を是正する限度で、利用停止等を行わなければならないが、利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

主務大臣による報告徴収等

主務大臣は、個人情報取扱事業者の義務の規定の施行に必要な限度において、個人情報取扱事業者に関し、個人情報の取扱について報告を求め、助言することができる。

主務大臣は、個人情報取扱事業者が本法の規定に違反[10]していて個人の重大な権利利益を害する事実があるため緊急に措置をとる必要があると認めるときは、直ちに緊急命令を出すことができる。

主務大臣は、個人情報取扱事業者が本法に違反している場合において個人の権利保護を保護するため必要があると認めるときは、勧告をすることができ、正当な理由がなく勧告に従わず個人の重大な権利利益の侵害が切迫していると認めるときに命令を出すことができる。命令に違反すると6月以下の懲役または30万円以下の罰金に処せられることがある。

適用除外

個人情報取扱事業者が、マスコミ・著述業関係、大学等、宗教団体や政治団体であり、それぞれ、報道・著述、学術研究、宗教活動、政治活動の目的で個人情報を利用する場合は、個人情報取扱事業者の義務の適用を受けない。これは、主務大臣の報告徴収等を通じて表現の自由等を制約するおそれがあるという強い反対論に基づいて設けられた規定である。さらに主務大臣は、一般の個人情報取扱事業者がマスコミ・著述業関係、大学等、宗教団体や政治団体に対して、上述の目的に利用するために個人情報を提供する場合には、報告徴収や命令等の権限を行使しないものとしている[11]。なお、これらの職にある者が、正当な理由がない場合に、業務上取扱い知り得た秘密を漏らしたときは、刑法134条2項の秘密漏示罪が成立するケースがある。個人情報取扱事業者の義務の除外と刑法上の責任の免除とは別である点に留意する必要がある。

認定個人情報保護団体

個人情報に関する苦情処理や事業者への情報提供等の業務を行おうとする法人[12]は、主務大臣の認定を受けて認定個人情報保護団体となることができる。認定個人情報保護団体でない者は、認定個人情報保護団体という名称又はこれに紛らわしい名称を用いてはならない。違反した者は、10万円以下の過料に処せられる。認定個人情報保護団体は、その認定業務を廃止しようとするときは、あらかじめ、その旨を主務大臣に届け出なければならない。 届出をせず、又は虚偽の届出をした者は、十万円以下の過料に処せられる。主務大臣は、規定の施行に必要な限度において、認定個人情報保護団体に対し、認定業務に関し報告をさせることができる。 報告をせず、又は虚偽の報告をした者は、30万円以下の罰金に処せられる。

批判

この法律については、一部で誤解や過剰反応に基づいた問題が発生している。なお、本項は行政機関の保有する個人情報の保護に関する法律に対する問題点についても疑う。

国家による警察的な取締をおそれ、法律の基本理念を逸脱した拡大解釈がなされ、国民生活に支障をきたしている。
実際には、法律上、主務官庁の個人情報取扱事業者に対する監督がなされるのみで、一般国民に対する直接の規制ではない。事業者に対して個人情報漏洩それ自身に対する直接の刑罰はない。個人情報取扱事業者の主務官庁による中止・是正措置の勧告がなされ、従わない場合または要求された報告をしない場合には刑罰が課される。
また、情報漏えい自身に、民事上の損害賠償責任もない。情報漏えいを原因とした損害が発生した場合は民事上の責任を問われる場合がある。
この法律が誤解を生む原因は、『情報』と『データ』の違いの混同にある。法律は情報とデータを区別し、個人データについてのみ安全管理措置の義務を課し、個人情報についてはモラルに委ねている。法に言う『個人データ』とは『個人情報データベース等を構成する個人情報』であり、『個人情報データベース等』とは個人情報を含む情報の集合物である[13]
すなわち、個人情報の単体それだけについて直接的に保護を科するものではない。
情報とデータの区別は一般に難しく、多くの人が混同している。たとえば、『山田太郎』、『ヤマダタロウ』(全角または半角)『YAMADA TARO』(英大文字または英小文字)、『yamada taro』(小文字)はすべて同じ情報ではあるが、異なるデータである。個人データはデータベースを構成するもののうち個人情報、すなわち個人が特定できる情報に限定されると解するべきであり、データベースを構成するすべての情報が個人データになるわけではない。また、データベースを出所とする個人情報であっても、店頭での呼び出しアナウンスなどの音声、瑣末なメモ書き、人の記憶など、個人情報取扱事業者が管理できない類の情報はもやは個人データではない。情報(information)はデータを含む幅広い概念的なものである一方、データ(data(複数形);Datum(単数形)は「与件」といい、すわわち『科学や研究の出発点として議論の余地のないものと考えられる事実』、『思惟により加工されない直接的な意識内容』、『既知数』をいう。中国語ではデータは『数据』。データはギリシャ語に由来し、哲学用語であった。哲学が難解であるように、その理解も難しい。国の運営活動に必要かつ正当な利用に関しては本人の同意なくして第三者に提供することが可能となっているが、選挙運動や国勢調査などの円滑な実施の障害となっているとの声もある。特に後者は日本に居住するすべての者に申告の義務があるため、個人情報保護を理由とした協力拒否は違法となる。災害や大規模な事故などが発生した際の安否情報も、『人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき』に該当するため公表しても差し支えないと解釈される。JR福知山線脱線事故のように、周知が行き届かなかったために、情報の取扱いに混乱をもたらした事例もあった[14]
新潟県中越沖地震では、要援護者名簿の取り扱いに問題点が表面化した。自治体が保有する要援護者名簿が町内会に共有されていれば、地震の死者を減らせた可能性がある。小中学校の学級緊急連絡網リストや企業の社員住所録が拡大解釈で作成出来なくなる事態も起きている。同じ構成員の中で情報を共有するのは法律も認めるところである。内閣府ではこういった過剰反応や誤解に対し批判し、個人情報保護法に抵触しない例を出す羽目となった。個人情報取扱事業者では、些細な漏洩[15]令違反・事故として監督官庁に対する報告が義務付けられるが、事業者に対する過大な負担であり、法律の規定[16]違反ともいえる。この法律施行以後も、一向にダイレクトメールや振り込め詐欺、悪徳リフォームが減らないというのも、この法律に実効性がないという問題点である。
またこの法律が成立した背景には、自分の身の危険はお上に守ってもらうものだ、とという他人任せ志向や、詐欺や悪質なセールスと知らずによく考えないまま受け入れたり、そうだとわかっていても断りきれない人の良さといった日本人の民族性がいまだ根強く残っている人が少なくないところにもあるといえる。見知らぬところから突然ダイレクトメールが届くようなケースは、過去に自分がそれとは知らないうちに提供した情報が名簿屋などを通じて流出している為ではあるが、業者の根絶を期待することは他人の関わることであり事実上不可能であるため、それだけでは問題解決には繋がらない。またそれを恐れて住所氏名の記載を拒むのは日常生活においては不可能であるだけでなく、かえって不都合を生じさせる恐れもあるゆえに、法の整備だけでは限界がある。
この法律の無効性を揶揄った『巨人情報保護法』たるものがフジTV警察24時にて取り上げられている。

脚注

  1. 現:経済産業省
  2. 5001件以上の
  3. 氏名、生年月日等
  4. 学生名簿等と照合することで個人を特定できるような学籍番号等
  5. 行政機関個人情報保護法等の適用を受ける
  6. 市販の電話帳やカーナビの住所情報等は除く
  7. 施行令2条
  8. ただし、個人事業主等でこの定義に当てはまる者は当然、本法の対象となる
  9. 個人情報保護法施行令第4条
  10. ただし開示請求等は除く
  11. 個人情報保護法そのものの適用除外を意味するものではない
  12. 権利能力なき社団も含む
  13. 検索が容易である事などが要件
  14. 詳しくは同記事参照のこと
  15. 送信、eメールのあて先相違など
  16. 必要な範囲で報告させる場合が少なくない

関連項目

外部リンク