|
サイト内検索 |
|
|
|
個人情報の保護に関する法律
「個人情報の保護に関する法律」は、2003年5月23日成立。2005年4月1日全面施行された。
略称は「個人情報保護法」。
|
|
|
個人情報保護法成立の経緯
国際社会の急速な情報化、IT化によるプライバシー侵害、情報の漏洩への不安が増大していた近年の社会事情を鑑み、OEDC8原則を踏まえた上で制定された。
母体となったのは、1989年に交付された「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」で、この法律は、公的機関の管理する個人情報の為及び、電子計算機処理にかかわるものに限定して策定されたものである。1989年には、当時の通産省によって策定された「民間部門における電子計算機処理に係る個人情報の保護に関するガイドライン」である。ただしガイドラインであるがゆえに、罰則規定や法的拘束力が無く、個人情報保護に関しての影響力は弱かった。
その後2002年の住民基本台帳ネットワークの始動や、個人情報漏洩事件を受けて、2002年に個人情報保護法関連五法が国会に提出された。報道の自由の問題などをめぐって一度廃案。再度審議にかけられ、2003年5月に成立した。企業への準備期間として、施行まで2年間の猶予が設けられた。
個人情報保護法の概要
5000件以上の個人情報を個人情報データベース等として所持、事業に用いている事業者を「個人情報取扱事業者」といい、(事業分野別ガイドラインで5000件以下でも認定される場合もある。)これらの業者は、同事業者が個人情報を漏洩した場合や、主務大臣への報告義務等の適切な対処を行わなかった場合に、個人情報保護法が適用され、刑事罰が科されることとなった。
個人情報保護法の主な内容
・基本理念
第3条において、「個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきことに鑑み、その適正な取扱いが図られなければならない」とされている。
・各章の構成
第1章 総則
第2章 国及び地方公共団体の責務等
第3章 個人情報の保護に関する施策等
第1節 個人情報の保護に関する基本方針
第2節 国の施策
第3節 地方公共団体の施策
第4節 国及び地方公共団体の協力
第4章 個人情報取扱事業者の義務等
第1節 個人情報取扱事業者の義務
第2節 民間団体による個人情報の保護の推進
第5章 雑則
第6章 罰則
・各用語の定義
・個人情報……生存する特定の個人を識別できる情報全て。(氏名、生年月日等)。
他の情報と容易に照合することができ、それによって特定の個人を識別
することができる情報(例えば、お店で物を購入した時に書いた顧客情報や、メンバー登録している情報等で識別可能。)
・個人情報データベース等
……個人情報データベース等は、個人情報が含まれ、コンピュータ等で容易
に検索できる様に体系的に整理されていたり、目次や索引、その他規則性を持って整理された紙のデータベース等を指す。未整理の紙のデータ等はこれに当てはまらない。
・個人データ
……個人情報データベース等を構成する個人情報。
・保有個人データ
……個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データ。
その存否が明らかになることにより公益その他の利益が害されるデータ若しくは、一年以内の政令で定める期間以内に消去することとなるものを除外する(施行令3条)
関連する国際基準
1980年にOECD(経済協力開発機構)理事会で採択された「プライバシー保護と個人データの国際流通についてのガイドラインに関する勧告」には「OECD8原則」という個人情報に対して8つ原則が明記されている。
・収集制限の原則・データ内容の原則・目的明確化の原則・利用制限の原則
・安全保護の原則・公開の原則・個人参加の原則・責任の原則
1995年、EUが「個人データ処理に係る個人情報保護及び当該データの自由な移動に関する欧州議会及び理事会の指令」を採択し、EU加盟国以外の第三国への個人情報の移転は、当該国が十分なレベルの保護措置を講じている場合に限定された。1998年、EUの指令により顧客データの授受をはじめ、様々な経済活動に影響すると考えられ、通商産業省(現在の経済産業省)の指導で、「プライバシーマーク制度」が創設された。また、この制度の検討段階において、日本がEU加盟国の求める「十分なレベルの保護措置」に達することを確認された。
その他のISO27001/ISMS(情報セキュリティーマネージメントシステム)も国際基準として存在する。これは、個人情報を含む社内での情報保護の仕組みをルール、マニュアル化、社内への周知浸透、実行まで確認されるので取得まで時間がかかるものである。
主な内容
・個人情報取扱事業者の対象
事業で個人情報等データベースを用いるもので、国、地方公共団体、独立行政法人等、地方独立行政法人(行政機関個人情報保護法等の適用を受ける)、取扱う個人情報数が過去6か月以内のいずれの時点においても5000人を超えない事業者を除く者を指す(2条3項、施行令2条)。
よって、事業者には営利法人のみならず非営利法人も該当し、一般の個人は原則として対象とならない(個人事業主等でこの定義にあてはまる場合は、本法の対象となる)。
・個人情報取扱事業者の主な義務
個人情報保護法第4章第1節に個人情報取扱事業者の義務が記載。
個人情報について
利用目的の特定((15条)
利用目的の制限(16条)
適正な取得(17条)
取得に際しての利用目的の通知(18条)
苦情の処理(31条)
個人データについてデータの正確性確保(19条)、安全管理措置や従業者・委託先の監督(20条 - 22条)、第三者への提供の制限(23条)が規定。
保有個人データについて、事項の公表等(24条)、開示(25条)、訂正(26条)、利用停止(27条)が定められている。
事項の公表、開示、訂正、利用停止規定において、本人より要求された措置の全部又は一部、その措置をとらない旨を通知する時又はその措置とは異なる措置をとる旨を通達する場合、本人にその理由を説明するように努めなければならない(28条)。
・第三者提供の制限
あらかじめ本人の同意を得なければ、個人データを第三者に提供してはならない(23条)。
法令に基づく場合
人の生命、身体又は財産の保護の為必要が生じた時、又本人の同意を得ることが困難である場合。
公衆衛生の向上また児童の健全な育成の推進に特に必要がある場合で、さらに本人の同意を得ることが難しい場合。
国の機関または地方公共団体及びその委託を受けた者が法令の定める事務を遂行することに対して協力する必要があり、本人の同意を得ることで当該事務の遂行に支障を及ぼす可能性がある場合。
・事項の公表等
個人情報取扱事業者は、本人により、当該本人が識別される保有個人データの利用目的の通知を要求された場合、本人に対し、遅滞なくこれを通知しなくてはならない(24条2項)。
この場合は、手数料を徴収可能。(30条)。
・開示請求
個人情報取扱事業者は、本人により保有個人データの開示を求められた場合、以下のいずれかに該当する時を除き、遅滞なく開示しなくてはならない。但し、6月以内で消去予定になっている情報(第2条5項)や情報の存否を明らかにすることで公益等が害される情報は除く(25条)。
本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある時
当該個人情報保護取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある時
他の法令に違反となる時
この場合は、手数料を徴収可能である(30条)。
医療機関等に訴訟外で医療のカルテ等を開示請求するなど、活用例が考えられる。
・訂正請求
個人情報取扱事業者は、本人から、保有個人データの内容が事実でないという理由で当該個人データの内容の訂正、追加又は削除を要求された場合、利用目的の達成に必要な範囲内で、遅滞なく必要な調査し、その結果に基づいて、保有個人データ等の訂正を行わなくてはならない(26条)。
・利用停止請求
個人情報取扱事業者は、本人から、保有個人情報データの利用停止や消去を求められた場合でなおかつ、その求めに理由があると認められる場合、違反を是正する限度で、利用停止等を行わなければいけないが、利用停止等に多額の費用を要する時その他の利用停止等を行うことが困難であり、又、本人の権利利益を保護するため必要なこれに代わるべき措置をとる場合は、この限りでない(27条
1項)。
・主務大臣による報告徴収等
主務大臣は、個人情報取扱事業者の義務の規定の施行に必要限度において、個人情報取扱事業者に関し、個人情報の取扱について報告を要求し、助言することができる(32条
- 34条)。(間接強制)
主務大臣は、個人情報取扱事業者が本法に違反している場合、個人の権利保護を保護する必要があると認める場合、勧告ができる。正当な理由がなく勧告に従わず個人の重大な権利利益の侵害が切迫していると認める場合に命令を出すことができる。
主務大臣は、個人情報取扱事業者が本法の規定に違反(ただし開示請求等は除外)していて個人の重大な権利利益を害する事実があり、緊急に措置をとる必要がある場合は、直ちに緊急命令を出すことができる。
命令に違反した場合6月以下の懲役または30万円以下の罰金に処せられる場合がある。(56条)。
・適用除外
マスコミ・著述業関係、大学等、宗教団体や政治団体で、報道・著述、学術研究、宗教活動、政治活動の目的で個人情報を利用する場合、総則規定以外の適用を受けない(50条)。これは、主務大臣の報告徴収等により表現の自由等を制約するおそれがある為設けられた規定。
また主務大臣は、マスコミ・著述業関係、大学等、宗教団体や政治団体に対して一般の個人情報取扱事業者が、上述の目的に利用するために個人情報を提供する場合、報告徴収や命令等の権限を行使しないとしている。
これらの職にある者が、正当な理由がない場合に、業務上取扱い知り得た秘密を漏らしたときは、刑法134条2項の秘密漏示罪が成立する場合がある。個人情報取扱事業者の義務の除外と刑法上の責任の免除とは一致しないと理解すべき必要がある。
・認定個人情報保護団体
個人情報に関する苦情処理や事業者への情報提供等の業務を行おうとする法人は、(権利能力のない社団を含め)主務大臣の認定を受けて認定個人情報保護団体となりえる(37条)。
問題点
この法律施行にあたり、誤解や過剰反応が元となる問題が発生。
大規模な事故や災害発生時の安否情報は、第23条第1項第2号の「人の生命、身体又は財産の保護のために必要がある場合で、本人の同意を得ることが困難な場合」に該当するため公表しても差し支えないと考えられるのが相当であるが、過去の事例(例えばJR福知山線脱線事故)によってはこの法律の理解、解釈が行き届かなかった為、情報取り扱いに対し混乱が生じた。また拡大解釈により、小中学校の学級連絡網や企業の社員住所録に至るまで作成できない事態も発生している。
国の運営に必要でなおかつ、正当な利用に関しては本人の同意なく第三者に提供可能となっているが、選挙運動や国勢調査などの滞りなく実施(国勢調査は日本に居住する者全てに申告の義務があるので、協力拒否は違法)の障害となっている事例も挙がっている。
この様な過剰反応や誤解を内閣府では指摘また批判し、この法律に抵触しない事例を挙げている。
また過剰反応や誤解とは別に、適用除外(マスコミなど。)について、法の下の平等を理由とした批判的指摘もある。
裁判
この法律施行後、個人情報の漏洩で精神的苦痛を与えられたとして、漏洩されたとする本人が慰謝料を請求する訴訟も起こっており、また被害者側勝訴の判例も存在している。大きい事例として挙げるなら、京都府宇治市の住民基本台帳データが不正流出した問題で、大阪高等裁判所が、住民基本台帳データを管理していた宇治市に対し、住民に一人あたり15000円(慰謝料10000円、弁護士手数料5000円)の損害賠償をに命じ、最高裁判所でもこの件に関する宇治市の上告を棄却、平成14年7月11日に控訴審判決が確定している。
関連ワード
守秘義務
|
|
|
|