個人情報保護法
(平成15年3月7日成立・同5月30日公布一部施行・平成17年4月1日企業等の義務規定施行)
T 立法趣旨
IT化の進展に伴いコンピュータやネットワークを利用して大量に処理されている個人情報は,その性質上いったん誤った取扱いをされると,個人に取り返しのつかない被害を及ぼすおそれがある。実際,企業からの顧客情報の流出や,個人情報の売買事件が多発し,このようなIT社会の影の部分に対応する必要が生じていた。また国際的にも欧州各国を中心に個人情報保護法制が設けられ,個人情報の国際流通が拡大する中,我が国としても国際的に整合性を保った法制の整備が求められた。このような国内外の状況を踏まえ,より良いIT社会を実現し,国民が安心してIT社会の便益を受けられるようにするための制度的基盤として策定された。
U 官民を通じた基本法としての個人情報保護法(第1章〜第3章)
1 目的
IT化が進展し,個人情報の利用が拡大している中で,個人情報の適正な取扱いを通じて,プライバシーの保護を含めた個人の権利利益を保護すること(法1)。
2 基本理念
個人情報は,個人の人格と密接な関連を有するものであり,個人が個人として尊重されることを定めた憲法13条のもと,慎重に取り扱われるべき(法3)。
3 国・地方公共団体の保有する個人情報の保護
(1) 国の行政機関,地方公共団体等は第4章の義務規定の対象となる個人情報取扱事業者からは除外されるが,国等の保有する個人情報については,同時に制定された「行政機関の保有する個人情報の保護に関する法律」および「独立行政法人等の保有する個人情報の保護に関する法律」によって別途保護が図られる。
(2) 地方公共団体は,その保有する個人情報の性質・目的等を勘案し,適正な取扱いが確保されるよう必要な措置を講ずることに努め(法2),条例を未整備の団体では条例の策定を,既に条例を持っている団体でも必要な見直しを進め,その保有する個人情報の保護を図って行く。
4 個別の追加的措置
本法では,民間のあらゆる分野を対象として必要最小限の規律を整備しているが,その上で,とくにその適正な取扱いの厳格な実施を確保する必要がある個人情報(例えば医療,金融・信用,情報通信等の分野)については,必要に応じて,政府が個別の法制度や施策ごとにきめ細かく措置していく(法6-3)。
5 基本方針
個人情報の適正な取扱いを確保するための施策は,それぞれの分野における個人情報の取扱いの実情等に応じて,関係行政機関が所管行政の観点から分担して推進していくことになるが,その際,関係行政機関が分担して行う施策にバラつきが出ないよう,政府は個人情報保護に関する施策を総合的かつ一体的に推進するための基本方針を策定する(法7)。
6 国・地方公共団体の施策
(1) 国は,本法の円滑な運用のため,本法に関する諸制度の内容についての情報の提供や,各事業分野におけるガイドラインの策定等を通じて,地方公共団体や事業者等の個人情報保護の取組みを支援していくとともに(法8),事業者と本人の間の苦情の必要かつ迅速な処理のために必要な措置を講ずる(法9)。
(2) 地方公共団体は,条例の策定等によりその保有する個人情報の保護を図る(法11)とともに,区域内の事業者や住民に対する支援(12),本人と事業者の間の苦情の処理のあっせん等(法13)に努める。
V 民間事業者に対する一般法としての個人情報保護法(第4章〜第6章)
1 義務規定の対象 → 個人情報取扱事業者
個人情報を検索できるよう体系的に構成した「個人情報データベース等」を事業の用に供している者を「個人情報取扱事業者」と定義し(法2-3),個人情報の取扱いについての具体的義務を課す。
(1) 「個人情報」
「生存する個人に関する情報であって,当該情報に含まれる氏名,生年月日,その他の記述等により特定の個人を識別することができるもの」(法2-1)である。氏名,住所,生年月日等が典型例であるが,それに限らず,個人の身体,財産,社会的地位等の属性に関して,事実,判断,評価を表す情報等も含まれる。
(2) 「個人情報データベース等」
ア コンピュータを用いて構成されたデータベース(コンピュータ処理情報)は当然のこと,紙の情報であっても一定の方式によって整理・分類し,容易に検索可能な状態に置かれているもの(例えばカルテ・学校の指導要領等のマニュアル処理情報)についても政令で対象とされる(法2-2)
イ 「個人情報の量および利用方法から見て個人の権利利益を害するおそれが少ない者」については,政令で対象となる事業者から除外される(法2-3-5)。
※ 政令2条
「その事業の用に供する個人情報データベース等を構成する個人情報によって識別される『特定の個人の数』の合計が過去6か月以内のいずれの日においても5,000人を超えない者(特定の個人の数が頭数で5,000人を超えない者)」
(ア) 「特定の個人の数」に不算入の場合
個人情報データベース等が,
@ 個人情報データベース等の全部又は一部が他人の作成によるものである
A その個人情報データベース等を構成する個人情報として氏名,住所(居所を含み,地図上又はコンピュータの映像面上において住所又は居所の所在場所を示す表示を含む)又は電話番号のみを含んでいる
B その個人情報データベース等を事業の用に供するに当たり,新たに個人情報を加え,識別される特定の個人を増やしたり,他の個人情報を付加したりして,個人情報データベース等そのものを変更するようなことをしていない
という3つの要件を全て満たす場合は,その個人情報データベース等を構成する個人情報によって識別される特定の個人の数は算入しない。
(イ) 「事業の用に供している」
「事業」とは,一定の目的を持って反復継続して遂行される同種の行為であって,かつ一般社会通念上事業と認められるものをいい,営利事業のみを対象とするものではない。従って「事業の用に供し」とは,反復継続して社会的に事業と認められるものをいい,日常生活上の利用は含まない。
2 個人情報取扱事業者の義務
(1) 利用目的による制限
ア 個人情報を取り扱うにあたっては,その利用目的をできる限り特定するとともに(法15-1),利用目的の変更も変更前の利用目的と相当の関連性を有すると合理的に認められる範囲に留めることが要求される(法15-2)。
イ 原則として,本人の同意なく特定された利用目的の達成に必要な範囲(個人情報の取扱いの手段,方法,取り扱う個人情報の内容,量等から見て,目的の達成に必要な限度)を超えて個人情報を利用することが禁止される(法16)。
(2) 適正な取得
個人情報を偽りその他不正な手段(必ずしも倫理的,道徳的な観点にとどまらず,何らかの法律に違反するようなものも含まれる)により取得することが禁止される(法17)。
(3) 利用目的の通知等
ア 個人情報を取得する際には,速やかに,その利用目的を本人に通知,または公表することが義務付けられる(法18-1)。法15条2項の範囲内で利用目的を変更した場合も同様。
イ 契約書やアンケート調査等を通じて,本人から直接書面で個人情報を取得する場合には,利用目的を本人に明示することが義務付けられる(法18-2)。
(4) データ内容の正確性の確保
利用目的の達成に必要な範囲内において,個人データ(個人情報データベース等を構成する個人情報)を正確かつ最新の内容に保つよう努めることが求められる(法19)。
(5) 安全管理措置
個人データが漏洩,滅失,き損することのないよう必要かつ適切な安全管理措置を講ずることを義務付けられる(法20)。
ア 安全管理措置としては,安全管理者の設置,監査体制の整備といった組織的保護措置や外部に接続するネットワークにおけるファイアーウォールの構築や情報の暗号化といった技術的保護措置が挙げられる。
イ 実際の個人情報の漏洩事例では,従業員が個人情報を持ち出したり,委託先から漏洩したりするケースが多く見られることから,組織的保護措置の中でもとりわけ重要な従業員の監督や委託先の監督について,必要かつ適切な監督が義務付けられる(法21,22)。
(6) 第三者提供の制限(同意原則)
個人データが無制限に第三者に提供された場合には,当該本人に関する他のデータとの結合・加工が容易であることから,本人にとって不測の権利利益侵害をもたらす可能性が増大することになるので,原則として,本人の同意なしに個人データを第三者に提供することを禁じられる(法23-1)。
ア 同意原則の例外
(ア) 法令に基づいて個人データを提供する場合(法23-1-1)
@ 刑事訴訟法第218条(令状による捜査)
A 地方税法第72条の63(事業税に係る質問検査権,各種税法に類似の規定あり)
B 所得税法第225条第1項等による税務署長に対する支払調書等の提出など
C 法42条第2項に基づき認定個人情報保護団体が対象事業者に資料提出等を求め,対象事業者がそれに応じて資料提供する場合
(イ) 人の生命,身体又は財産の保護に必要な場合(法23-1-2)
人(法人を含む)の生命又は財産といった具体的な権利利益が侵害されるおそれがあり,これを保護するために個人データの提供が必要であり,かつ,本人の同意を得ることが困難である場合(他の方法により,当該権利利益の保護が十分可能である場合を除く)は,本人の同意なく第三者への提供を行うことができる。
@ 急病などの時に,本人の血液型や家族の連絡先等を医師や看護師に提供する場合
A 私企業間で,意図的に業務妨害を行う者の情報について情報交換をする場合
(ウ) 公衆衛生・児童の健全育成に特に必要な場合(法23-1-3)
公衆衛生の向上又は心身の発展途上にある児童の健全な育成のために特に必要な場合であり,かつ,本人の同意を得ることが困難である場合(他の方法により,公衆衛生の向上又は児童の健全な育成が十分可能である場合を除く)は,本人の同意なく第三者への提供を行うことができる。
@ 健康保険組合等の保険者等が実施する健康診断やがん検診等の保健事業について精密検査の結果や受診状況等の情報を,健康増進施策の立案や事業の効果の向上を目的として疫学研究又は統計調査のために,個人名を伏せて研究者等に提供する場合
A 不登校や不良行為等児童生徒の問題行動について,児童相談所,学校,医療行為等の関係機関が連携して対応するために,当該閾係機関等の間で当該児童生徒の情報を交換する場合
(エ) 国等に協力する場合(法23条1項4号)
国の機関等が法令の定める事務を実施する上で,民間企業等の協力を得る必要がある場合であって,協力する民間企業等が当該国の機関等に個人データを提供することについて,本人の同意を得ることが当該事務の遂行に支障を及ぼすおそれがある場合は,本人の同意なく第三者への提供を行うことができる。
@ 事業者等が,税務署の職員等の任意調査に対し,個人情報を提出する場合
A 事業者等が警察の任意の求めに応じて個人情報を提出する場合
(警察の顧客情報開示の捜査協力要請への対応)
警察の照会は法的な権限に基づくものであるため,警察の照会に協力するのであれば,一応個人情報保護法上は免責される。しかし免責されるからといって、安易に捜査協力に応ずるのでは、顧客の信頼を保つことはできないし,場合によって違法性を帯びるおそれもある。警察官の個人的な問い合わせだったり,偽者であったりした場合には,企業の管理態勢が問われる可能性もある。 したがって企業は捜査協力として顧客情報の提供を求められたときでも,原則として正式な「捜査関係事項照会書」の交付を待ってこれに応ずるべきである。疑念があるときはさらに電話で当該照会書を発送したか否かを確認する。もっとも犯罪捜査は,密行性(秘密保持)・迅速性が求められることもあるので,特に迅速な回答が必要な場合においては,例外的に正式な「捜査関係事項照会書」の発行を待たずに捜査協力すべき場合も考えられるが,その場合でも警察官の身元は警察手帳を確認するなどして確かめるべきであろう。
イ 第三者提供におけるオプトアウト
本人の求めに応じて個人データの第三者提供を停止する場合には,提供される個人情報の項目や提供の手段等を本人に通知または本人が容易に知り得る状態に置くといった,第三者提供に関して本人の意志を反映し得る条件を具備させることを前提に,本人の同意がなくても第三者への提供を認める(法23-2)。
要するに,個人情報取扱事業者は,第三者提供におけるオプトアウトを行っている場合には,本人の同意なく,個人データを第三者に提供することができる。名簿や電話帳など個人情報をまとめたものを第三者に提供する場合には,このオプトアウトのやり方に従えばよく,同窓会などの名簿も作れなくなるなどということはない。
※ 「第三者提供におけるオプトアウト」の具体的内容
第三者提供に当たり,あらかじめ,以下の@〜Cの情報を,本人に通知し,又は本人が容易に知り得る状態に置いておくとともに,本人の求めに応じて第三者への提供を停止すること。
@ 第三者への提供を利用目的とすること
例・住宅地図業者(住宅地図を作成し,不特定多数へ販売する)
・ データベース事業者(DM用の名簿を作成し,販売する)
A 第三者に提供される個人データの項目
氏名,住所,電話番号 ,商品購入履歴等
B 第三者への提供の手段又は方法
例・ 書籍として出版 ・ インターネットに掲載 ・ プリントアウトして交付
C 本人の求めに応じて第三者への提供を停止する
ウ 第三者の範囲
現実の個人情報の利用の実態にかんがみ,以下の場合には,個人データの提供を受ける者は「第三者」に該当しない。
@ 個人データの取扱いを委託する場合(法23-4-1)
現在,顧客情報等大量の個人データを利用するために必要なデータの処理を他の企業に委託することが一般化しているが,こうした取扱いを第三者提供とした場合,処理される個人データの本人に対し個々に同意を取ることを求められ,事実上委託行為自体が不可能となる可能性があるので,法22条において委託元に委託先に対する監督責任を課していることを勘案し,個人情報取扱事業者が個人データの取扱いを委託する場合には,委託先は第三者に当たらないとした。
A 事業承継により個人データが提供される場合(法23-4-2)
合併や事業譲渡などにより事業の承継があった場合,必然的に,その承継資産に含まれる個人データが移転することとなるが,これを第三者提供とした場合,移転される個人データの本人から同意を取る必要が生じ,事実上事業承継が困難になるおそれがあるため,事業を承継する者を第三者と該当しないとした。
B 個人データを共同利用する場合(法23-4-3)
現在,特定の会社が取得した個人情報を,一定の契約関係のもとに特定の他社との間で相互に利用することが一般的に行われているが,こうした活動を第三者提供とした場合,きわめて煩雑な手続により同意を得ることが求められる。このため,あらかじめ共同利用される個人情報の種類や利用目的,共同する者の範囲について,本人に通知しまたは本人が容易に知り得る状態に置くことを条件に,個人情報を共同で利用する者の全体を当事者とみなすものとした。
(7) 本人の関与
ア その適正な取扱の実効性担保のために,個人情報取扱事業者に,本人から求められた場合には,原則として,保有個人データ(個人情報取扱事業者が開示,内容の訂正,追加または削除,利用の停止,消去および第三者への提供の停止を行うことのできる権限を有する個人のデータ)を本人に開示することを義務付けている(法25)。
イ 個人情報取扱事業者は,保有個人データの内容が事実でない場合には,本人からの求めに応じて訂正すること(法26),利用目的の制限に違反して個人情報を取り扱っている場合や,個人情報を適正に取得していない場合など違法な個人情報の取扱いをしている場合には,本人からの求めに応じ利用停止または消去を行うこと(法27)が義務付けられている。
ウ 本人が開示等の求めを行う上でその実効性を確保するための前提として,個人情報取扱事業者に対し,保有個人データの利用目的等を本人に知り得る状態に置くことを求めるとともに,本人からの求めに応じ保有個人データの利用目的を通知することを義務付けている(法24)。
(8) 苦情の処理
個人情報取扱事業者は,個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならないとともに,苦情処理窓口の設置や苦情処理の手順の設定など必要な体制の整備に努めなければならない(法31)。
3 認定個人情報保護団体
本人と事業者の間の個人情報の取扱いをめぐる民々間の争いはできる限り民々問で解決することを基本とし,苦情の処理を始め個人情報の適正な取扱いの確保を目的として業務を行う民間の団体に対し,その申請に基づき主務大臣が認定する制度が設けられている(法37)。
この認定保護団体は,その構成員または対象となることについて同意を得た事業者を対象として,@対象事業者の個人情報の取扱いについての本人等から苦情解決の申出があった場合に,その相談に応じ,必要な助言をするなどして迅速な解決を図る,A本法の規定に沿った個人情報保護指針を作成して対象事業者に遵守させるなど個人情報の適正な取扱いの確保に寄与する事項について対象事業者に情報提供する,業務を行う。
4 主務大臣の関与
個人情報取扱事業者の義務の不履行について,事業者自身や認定団体における苦情処理で解決されない場合,個人情報の本人には,訴訟による解決や,主務大臣に苦情を持ち込むことにより問題の解決を図る方途がある。
具体的な苦情が主務大臣に持ち込まれた場合,主務大臣は事業者に報告を求めること(法32)により事実関係の確認を行い,必要がある場合には,事業者に対し,助言(法33),勧告(法34),命令(法35)を行うことができる。さらに,主務大臣からの命令にも違反するような悪質事業者に対して,6月以下の懲役もしくは30万円以下の罰則が設けられている(法56)。
なお,ここでいう主務大臣は,原則として,各事業を所管する大臣がこれに当たる(但し,雇用管理に関するものについては,厚生労働大臣と事業所管大臣の共管になる)。これは,顧客情報などの個人情報の取扱いは,事業者のサービス・事業活動と不可分のものであることから,その事業を熟知している事業所管大臣に個人情報の取扱いに関しても責任と権限を与えているものである。
5 適用除外
本法においては,報道機関,著述を業として行う者,学術研究機関,宗教団体,政治団体の行う,それぞれ報道活動,著述活動,学術研究活動,宗教活動,政治活動については,憲法上保障された自由であることに鑑み,第4章の義務規定の適用を除外している(法50)。