個人情報の保護に関する法律

出典: フリー百科事典『ウィキペディア(Wikipedia)』
個人情報保護法から転送)
ナビゲーションに移動 検索に移動
個人情報の保護に関する法律
日本国政府国章(準)
日本の法令
通称・略称 個人情報保護法
法令番号 平成15年5月30日法律第57号
種類 経済法
効力 現行法
主な内容 総則
国及び地方公共団体の責務等
個人情報の保護に関する施策等
個人情報取扱事業者の義務等
雑則
罰則
関連法令 行政機関個人情報保護法
独立行政法人等個人情報保護法
個人情報保護法施行令
条文リンク e-Gov法令検索
ウィキソース原文
テンプレートを表示

個人情報の保護に関する法律(こじんじょうほうのほごにかんするほうりつ)は、個人情報の取扱いに関連する日本法律。略称は個人情報保護法2003年平成15年)5月23日に成立し、一般企業に直接関わり罰則を含む第4〜6章以外の規定は即日施行された。2年後の2005年(平成17年)4月1日に全面施行した。 個人情報保護法および同施行令によって、取扱件数に関係なく[1]個人情報を個人情報データベース等として所持し事業に用いている事業者は個人情報取扱事業者とされ、個人情報取扱事業者が主務大臣への報告やそれに伴う改善措置に従わない等の適切な対処を行わなかった場合は、事業者に対して刑事罰が科される。

背景[編集]

個人情報保護法が制定された背景として以下の7つが挙げられる[2]

構成[編集]

章の内容 節の内容 条数
第一章 総則 第一条―第三条
第二章 国及び地方公共団体の責務等 第四条―第六条
第三章 個人情報の保護に関する施策等 第一節 個人情報の保護に関する基本方針 第七条
第二節 国の施策 第八条―第十条
第三節 地方公共団体の施策 第十一条―第十三条
第四節 国及び地方公共団体の協力 第十四条
第四章 個人情報取扱事業者の義務等 第一節 個人情報取扱事業者の義務 第十五条―第三十五条
第二節 匿名加工情報取扱事業者等の義務 第三十六条―第三十九条
第三節 監督 第四十条―第四十六条
第四節 民間団体による個人情報の保護の推進 第四十七条―第五十八条
第五章 個人情報保護委員会 第五十九条―第七十四条
第六章 雑則 第七十五条―第八十一条
第七章 罰則 第八十二条―第八十八条
附則


第一章 総則[編集]

基本理念[編集]

高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることにかんがみ、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにするとともに、個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする(第1条)。 個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきことに鑑み、その適正な取扱いが図られなければならない(第3条)。

  • 「プライバシーの権利」については、本法では明文で規定していない。
  • 本法は、個人情報をあまねく網羅して規制を掛けるという趣旨の法律ではない。

定義[編集]

個人情報[編集]

本法では個人情報を以下のように定義している:

「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。

個人に関する情報[編集]

上述した「個人に関する情報」の定義や具体例は本法には載っていないが、経済産業省の『個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン』には個人情報保護法における「個人に関する情報」を以下のように説明している。

氏名、性別、生年月日等個人を識別する情報に限られず、個人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表すすべての情報であり、評価情報、公刊物等によって公にされている情報や、映像、音声による情報も含まれ、暗号化等によって秘匿化されているかどうかを問わない(中略)。 — 個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン(pdf) p2

金融庁の『金融分野における個人情報保護に関するガイドライン』p1にもほぼ同様の記述があるが、最後の暗号に関する記述はない。 金融庁のこのガイドラインでは、「個人に関する情報」と個人情報の関係を以下のように説明している:

「個人に関する情報」が、氏名等と相まって「特定の個人を識別することができる」ことになれば、それが「個人情報」となる。 — 金融分野における個人情報保護に関するガイドライン

死者の情報[編集]

本法では個人情報を「生存する個人に関する情報」と限定している(第2条1項)。したがって、死者に関する情報は個人情報に含まれない。ただし前述の『個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン』には、以下の注意が述べられている:

死者に関する情報が、同時に、遺族等の生存する個人に関する情報でもある場合には、当該生存する個人に関する情報となる。 — 個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン(pdf) p2

金融分野における個人情報保護に関するガイドライン』p1にも同一の記述がある。

外国人と法人[編集]

「生存する個人」には日本国民に限られず、外国人も含まれるが、法人その他の団体は「個人」に該当しないため、法人等の団体そのものに関する情報は含まれない(ただし、役員、従業員等に関する情報は個人情報)。 — 個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン(pdf) p2

その他の用語の定義[編集]

個人情報データベース等
個人情報データベース等は、個人情報を含む、コンピュータ等で容易に検索できるデータベースや、目次や索引等によって体系的に整理された紙のデータベース等を指す(第2条2項)。コンピュータに入力して検索可能であるか、目次、索引などを有し検索が容易であることが要件であり、未整理の紙のデータ等は該当しない。
個人データ
個人情報データベース等を構成する個人情報は個人データと呼ばれる(第2条4項)。
保有個人データ(第2条5項)
個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データのことで、以下のもの以外。
  • その存否が明らかになることにより公益その他の利益が害されるもの(施行令3条)
    1. 当該個人データの存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの
    2. 当該個人データの存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれがあるもの
    3. 当該個人データの存否が明らかになることにより、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの
    4. 当該個人データの存否が明らかになることにより、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの
  • 6か月以内に消去することとなるもの(施行令4条)。

本法は主に個人データの取扱いに関して個人情報取扱事業者に義務を課している。すなわち、個人情報データベース等に含まれる個人情報だけが、個人データとして法の直接の規制対象になる。個人情報データベース等を構成するすべての情報が個人データになるわけではない。

後述の規制対象となる個人情報取扱事業者が扱う個人情報データベース等に含まれない個人情報であって、店頭での呼出しアナウンスなどの音声、メモ書き、人の記憶などのものには、この法律の規制は及ばない。


第二章 国及び地方公共団体の責務等[編集]

国は、この法律の趣旨にのっとり、個人情報の適正な取扱いを確保するために必要な施策を総合的に策定し、及びこれを実施する責務を有する。地方公共団体は、この法律の趣旨にのっとり、その地方公共団体の区域の特性に応じて、個人情報の適正な取扱いを確保するために必要な施策を策定し、及びこれを実施する責務を有する(第4条第5条)。

第三章 個人情報の保護に関する施策等[編集]

国及び地方公共団体の責務・施策[編集]

  • 政府は、個人情報の保護に関する施策の総合的かつ一体的な推進を図るため、個人情報の保護に関する基本方針を定めなければならない。内閣総理大臣は、消費者委員会の意見を聴いて、基本方針の案を作成し、閣議決定を求めなければならない。閣議決定があったときは、遅滞なく、基本方針を公表しなければならない(第7条)。
  • 国は、地方公共団体が策定し、又は実施する個人情報の保護に関する施策及び国民又は事業者等が個人情報の適正な取扱いの確保に関して行う活動を支援するため、情報の提供、事業者等が講ずべき措置の適切かつ有効な実施を図るための指針の策定その他の必要な措置を講ずるものとする(第8条)。地方公共団体は、その保有する個人情報の性質、当該個人情報を保有する目的等を勘案し、その保有する個人情報の適正な取扱いが確保されるよう必要な措置を講ずることに努めなければならない(第11条)。
  • 国や地方公共団体、独立行政法人が取扱う個人情報については、この法律の直接の規制はない。ただし、独立行政法人等の保有する個人情報の保護に関する法律行政機関の保有する個人情報の保護に関する法律等の適用を受ける。

個人情報取扱事業者の対象[編集]

個人情報等データベースを事業に用いる者であって、次の者を除く者を対象とする(第2条3項、施行令2条)。

  • 国、地方公共団体、独立行政法人等および地方独立行政法人
  • 取り扱う個人情報(市販の電話帳やカーナビの住所情報等は除く)が過去6か月以内のいずれの時点においても5,000人[4]以下の事業者

したがって、事業者には営利法人だけでなく非営利法人も該当するが、一般の個人はほとんど対象とならない(ただし、個人事業主等でこの定義に当てはまる者は当然、本法の対象となる)。


第四章 個人情報取扱事業者の義務等[編集]

OECD8原則との関係[編集]

本法の条文とOECD8原則は以下のように対応している[5]

OECD8原則 個人情報保護法(条文要約)
収集制限の原則 第十七条  偽りその他不正の手段により個人情報を取得してはならない。
データ内容の原則 第十九条  個人データを正確かつ最新の内容に保たねばならない。
目的明確化の原則

利用制限の原則

第十五条  利用目的をできる限り特定しなければならない。

第十六条  利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはならない。

第二十三条 あらかじめ本人の同意を得ないで個人データを第三者に提供してはならない。

安全保護措置の原則 第二十条 個人データの安全管理のために必要かつ適切な措置を講じなければならない。

第二十一条・第二十二条 個人データの安全管理が図られるよう従業者・委託先に対する必要かつ適切な監督を行わなければならない。

公開の原則

個人参加の原則

第十八条  個人情報を取得した場合は速やかに、その利用目的を、本人に通知し、又は公表しなければならない。

第二十七条 利用目的等を本人の知り得る状態に置かなければならない。

第二十八条 本人が識別される保有個人データの開示を請求することができる。

第二十九条 本人は保有個人データの内容の訂正、追加又は削除を請求することができる。

第三十条  本人は当該保有個人データの利用の停止又は消去を請求することができる。

責任の原則 第三十五条 個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。


個人情報取扱事業者の主な義務[編集]

個人情報保護法第4章第1節に個人情報取扱事業者の義務が記されている。

個人情報について[編集]

個人データについては、データ内容の正確性の確保(第19条)、安全管理措置や従業者・委託先の監督(第20条第22条)、第三者提供の制限(第23条)が定められている。

保有個人データについては、事項の公表等(第24条)、開示(25条)、訂正等(第26条)、利用停止等(第27条)が規定されている。

事項の公表、開示、訂正、利用停止の規定により、本人から求められた措置の全部又は一部について、その措置をとらない旨を通知する場合又はその措置と異なる措置をとる旨を通知する場合は、本人に対し、その理由を説明するよう努めなければならない(第28条)。

第三者提供の制限[編集]

個人情報取扱事業者は、以下の場合を除いては、あらかじめ本人の同意を得なければ、個人データを第三者に提供してはならない(第23条)。

  1. 法令に基づく場合。(例:国勢調査などの統計調査等)
  2. 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。(例:事故の際の安否情報など)
  3. 公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。(例:児童虐待情報など)
  4. 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要があって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。(例:犯罪捜査の協力など)

ただし、必ずしも本人の同意を得なくとも、以下の場合は第三者への提供ができるものと規定されている。

第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次の4点についてあらかじめ本人に通知し、又は本人が容易に知り得る状態に置いているときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる(第23条第2項)。
  1. 第三者への提供を利用目的とすること
  2. 第三者に提供される個人データの項目
  3. 第三者への提供の手段又は方法
  4. 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること

また、個人情報取扱事業者と実質的に同一とみなしうる事業者が共同で利用する場合、または共同利用もしくは業務委託として一定の要件を満たした場合は、第三者とみなされない規定がある。すなわち、これらの場合は、本人の同意を得る必要がない[6]

事項の公表等[編集]

個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知しなければならない(第24条2項)。この場合は、手数料を徴収できる(第30条)。

開示請求[編集]

個人情報取扱事業者は、本人から保有個人データの開示を求められたときは、以下のいずれかに該当する時を除いては、遅滞なく開示しなければならない。ただし、6か月以内で消去することが予定されている情報(第2条5項、個人情報保護法施行令第4条)や情報の存否を明らかにすることによって公益等が害される情報は除かれる(第25条)。この場合は、手数料を徴収することができる(第30条)。

  1. 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
  2. 当該個人情報保護取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
  3. 他の法令に違反することとなる場合

医療機関等に訴訟外で、医療の診療録等を開示や、信用情報の個人情報開示請求する例が考えられる。

訂正請求[編集]

個人情報取扱事業者は、本人から、保有個人データの内容が事実でないという理由によって当該個人データの内容の訂正、追加又は削除を求められた場合は、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、保有個人データ等の訂正を行わなければならない(第26条)。

利用停止請求[編集]

個人情報取扱事業者は、本人から、個人情報の目的外の利用を行っていること、個人情報を不正に取得したことを理由として、保有個人情報データの利用停止または消去を求められた場合であって、その求めに理由があると認められるときは、違反を是正する限度で、利用停止等を行わなければならない。ただし、利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない(第27条1項)。

主務大臣による報告徴収等[編集]

主務大臣は、個人情報取扱事業者の義務の規定の施行に必要な限度において、個人情報取扱事業者に関し、個人情報の取扱いについて報告を求め(第32条)、助言することができる(第33条)。

主務大臣は、個人情報取扱事業者が本法の規定(ただし開示請求等は除く)に違反していて個人の権利利益を保護するために措置をとる必要があると認めるときは、勧告することができる(第34条)。

主務大臣は、個人情報取扱事業者が正当な理由なく勧告に従わないときにはその勧告に係る措置をとるべきことを命ずることができ(第34条2項)、それに従わないときは、当該違反行為の中止その他違反を是正するために必要な措置をとるべきことを命ずることができる(第34条3項)。

命令に違反すると6か月以下の懲役または30万円以下の罰金に処せられることがある(56条)。

適用除外[編集]

個人情報取扱事業者が、マスコミ・著述業関係、大学等、宗教団体や政治団体であり、それぞれ、報道・著述、学術研究、宗教活動、政治活動の目的で個人情報を利用する場合は、個人情報取扱事業者の義務の適用を受けない(第50条1項)。これは、主務大臣の報告徴収等を通じて表現の自由等を制約するおそれがあるという強い反対論に基づいて設けられた規定である。これらの者については、個人情報保護のために必要な措置を自ら講じ、内容を公表する努力義務が課せられる(第50条3項)。

さらに主務大臣は、一般の個人情報取扱事業者がマスコミ・著述業関係、大学等、宗教団体や政治団体に対して、上述の目的に利用するために個人情報を提供する場合には、報告徴収や命令等の権限を行使しないものとしている(個人情報保護法そのものの適用除外を意味するものではない)。

なお、これらの職にある者が、正当な理由がない場合に、業務上の取扱いによって知り得た秘密を漏らしたときは、刑法134条2項の秘密漏示罪が成立することがある。個人情報取扱事業者の義務の除外と刑法上の責任の免除とは別である点に留意する必要がある。

認定個人情報保護団体[編集]

個人情報に関する苦情処理や事業者への情報提供等の業務を行おうとする法人(権利能力なき社団も含む)は、主務大臣の認定を受けて認定個人情報保護団体となることができる(第37条)。

認定個人情報保護団体でない者は、認定個人情報保護団体という名称又はこれに紛らわしい名称を用いてはならない(第45条)。違反した者は、10万円以下の過料に処せられる(第59条)。

認定個人情報保護団体は、その認定業務を廃止しようとするときは、あらかじめ、その旨を主務大臣に届け出なければならない(40条)。 届出をせず、又は虚偽の届出をした者は、10万円以下の過料に処せられる(第59条)。

主務大臣は、規定の施行に必要な限度において、認定個人情報保護団体に対し、認定業務に関し報告をさせることができる(第46条)。 報告をせず、又は虚偽の報告をした者は、30万円以下の罰金に処せられる(第57条)。

第五章 個人情報保護委員会[編集]

近年の法改正[編集]

平成27年度改正[編集]

2015年(平成27年)に開催された通常国会(第189回国会)において、同年9月3日に衆院本会議で「改正個人情報保護法」が与党や民主党などの賛成多数で可決、成立[7][8]。蓄積された膨大な個人情報を「ビッグデータ」として企業が利用しやすくする一方、情報漏洩に対する罰則を新設した[7][8]

  • 取り扱う個人情報の数が5000件以下の「小規模取扱事業者」も法律適用の対象となり、「件数要件」が撤廃となった[9]
  • 「利用目的の明示」、「第三者提供の際の本人同意」といった個人情報を活用するにあたっての義務が細かく定められた[9]
  • 個人情報を復元できないよう「匿名加工情報」にするなど、一定の条件を満たすことで第三者に提供することも可能になるとされた[9]

問題点[編集]

この法律については、誤解や過剰反応に基づいた問題が発生している。 国家による警察的な取締りをおそれ、法律の基本理念を逸脱した拡大解釈がなされ、国民生活に支障をきたしている[10]

実際には、法律上、主務官庁の、個人情報取扱事業者に対する監督がなされるだけで、一般国民に対する直接の規制はない。事業者による個人情報漏洩[11]それ自体に対する直接の罰則はない。個人情報取扱事業者の主務官庁による中止・是正措置の勧告がなされ、従わない場合または要求された報告をしない場合には罰則が課される。個人情報漏洩を原因とした損害[12]が発生した場合は民事上の責任を問われる場合がある。

災害や大規模な事故などが発生した際の安否情報も、第23条第1項第2号の「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」に該当するので、この法律の規制は及ばないと解釈される。しかし、次のようなことがあった。

  • JR宝塚線(福知山線)の脱線事故では、家族からの安否確認に回答するかどうかで医療現場で混乱が生じ話題となった[10]
  • 新潟県中越沖地震では、同県柏崎市が個人情報保護法の施行を理由に、「要援護者」の名簿を地元自治会や消防にあらかじめ提供していなかったことが分かった。4人の死亡者が名簿に掲載されており、「あらかじめ知らされていれば対応ができたのでは」との疑問の声が出た。自治体が保有する要援護者名簿が町内会に共有されていれば、地震の死者を減らせた可能性がある[13][14]
  • 他にも個人情報取扱業者には該当しないにもかかわらず、「学級連絡網・卒業アルバムが作れない」、「医療機関への個人情報の提供を拒む」、「企業の社員住所録が作成されなくなる」などの事態も起きている[10][15]

内閣府ではこういった過剰反応や誤解に対し、個人情報保護法に抵触しない例を出すこととなった[16]

利用停止請求については、本人が利用停止または消去を求めた場合でも、利用停止等に多額の費用がかかる場合など、適用の除外が認められているので、実質的に機能していない面がある。たとえば、Amazon.co.jpでは、退会[17]後に利用停止請求を行っても、個人情報は削除されず、個人情報が削除されないことが本人に通知されないという問題がある。[要出典]

いわゆる「オプトアウト」を定める第23条2項の趣旨は「利用停止を求めれば、第三者提供は停止される」というものであり、「本人に通知する」ことの代替として「本人が容易に知り得る状態に置く」ことを容認している。

裁判[編集]

本法の施行後、個人情報漏洩の被害を受けた本人が、精神的苦痛を与えられたとして、慰謝料を請求する訴訟も起こされている。実際に被害者側が勝訴している判例もある。例えば、京都府宇治市住民基本台帳データが不正流出した件では、大阪高等裁判所が、宇治市に対し、住民に一人当たり15,000円(慰謝料10,000円、弁護士手数料5,000円)の損害賠償をするように命じる判決を出した。最高裁判所は、本件に対する宇治市の上告を棄却し、2002年(平成14年)7月11日に控訴審判決が確定判決となった。

成立の経緯[編集]

汎用コンピュータの処理能力が向上したことにより、行政・民間が保有する膨大な個人情報を容易に処理することが可能となった結果、そういった個人情報データベース等からの個人情報漏洩によるプライバシー侵害への危険性、不安が増大していった。また、行政部外者による、行政機関に所属する公務員の個人情報取得およびその不適切な使用によって政策決定等への障碍可能性が公平性の観点から危惧されるようになった。1980年昭和55年)にはOECD理事会で「プライバシー保護と個人データの国際流通についてのガイドラインに関する勧告[18]が採択されるなど、国際的にも個人情報の取扱いや積極的プライバシー権の保護が次第に重要視されるようになった。

日本では、 1988年(昭和63年)に、公的機関を対象とした「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」が公布された。 1989年(平成元年)には、民間部門に対して通産省(現:経済産業省)が「民間部門における電子計算機処理に係る個人情報の保護に関するガイドライン」を策定した。

しかし「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」には罰則規定がなく、また民間部門を対象としたガイドラインには法的拘束力がないなど、個人情報の保護という観点から十分に機能しているとは言いがたい状況であった。

さらに住民基本台帳ネットワークの稼動(2002年(平成14年))、中川秀直愛人スキャンダル事件(2000年(平成12年))、Yahoo! BB顧客情報漏洩事件2004年(平成16年))、TBC個人情報漏洩事件(2002年(平成14年))など多発する個人情報漏洩事件を受けて、2002年(平成14年)に個人情報保護法関連五法が国会に提出された。個人情報保護法は、個人情報を取得する際には個人情報の利用方法を本人に明確に伝えなければならないと定めているために、報道の自由を侵害するなどの理由から反対運動が展開され、一度廃案となったが、再度審議され2003年(平成15年)5月に成立した。

企業への準備期間として、法律成立から施行までに2年間の準備期間が設けられた。個人情報保護法が施行される直前の2005年(平成17年)3月には、これまで起きていながら隠蔽していた個人情報漏洩事件を公表する企業が多くあった。探偵を安易に多用し、採用時以外においても、必要以上の個人情報を積極的に取得する等、個人情報保護に関する感覚が希薄だった、従来の日本の企業習慣に対する法規制となった。

関連する国際標準[編集]

1980年(昭和55年)にOECD理事会で採択された「プライバシー保護と個人データの国際流通についてのガイドラインに関する勧告」には収集制限の原則、利用制限の原則などの「OECD8原則」が含まれる。

1995年(平成7年)、EUが「個人データ処理に係る個人情報保護及び当該データの自由な移動に関する欧州議会及び理事会の指令」(通称:EU指令)を採択し、EU加盟国以外への個人情報の移転は、当該国が十分なレベルの保護措置を講じている場合に限られるとした。EU指令によって顧客データの授受をはじめとする様々な経済活動に影響が出ることが懸念されたので、1998年(平成10年)に「プライバシーマーク制度」が設立された。2011年(平成23年)2月現在、日本の個人情報の保護措置が「十分なレベル」に達することは確認されておらず、EU指令の求める要求事項、保護レベルを満たしていない。[要出典]

他に国際標準としては、個人情報を取り扱う主体を分類し、その間の関係性を整理するとともに、それぞれがどのようにして個人情報を取り扱うべきであるかという11のプライバシー原則を示したISO/IEC 29100 Privacy Framework および、実装時のアーキテクチャの枠組みを示した ISO/IEC 29101 Privacy Architecture Framework が存在する。さらに、プライバシー影響評価(PIA)の方法論をまとめた ISO/IEC 29134 Privacy Impact Assessment Methodology も現在作成中である。

また、個人情報の安全管理処置としては、情報セキュリティマネジメントシステム(ISMS)が満たすべき要件を定めた国際規格ISO/IEC 27001もある。この国際規格の認証は、「個人情報漏洩に対する企業の対策」や「個人情報漏洩後の企業の対策」の資料や手順書を企業が作成および周知し、社員が認識し実行しているかどうかを調べて認定される。取得にはおよそ1年以上の時間を要する。

また、EUでは2012年(平成24年)に新たな概念である「忘れられる権利」が規則案に導入されたが、これは2013年に「消去権」に変更された。なお、これは依然として審議中である。[要出典]

法律に関わる事務[編集]

法律に関わる事務全般は、個人情報保護委員会によって行われている。これは、平成28年1月1日に効力を発した「個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律」(平成27年法律第65号)の一部施行による影響である。

脚注[編集]

  1. ^ 平成29年5月30日以前は、5,000件以下の個人情報を扱う企業や者は対象外であった。
  2. ^ 基本的人権の保障に関する調査小委員会 (2003年). “衆憲資第28号 知る権利・アクセス権とプライバシー権に関する基礎的資料―情報公開法制・個人情報保護法制を含む―(平成15年5月15日の参考資料) (PDF)”. 衆議院. pp. 77-78. 2016年8月31日閲覧。
  3. ^ 欧州議会 (1995年). “個人データ処理に係る個人の保護及び当該データの自由な移動に関する指令 (PDF)”. 2016年9月26日閲覧。
  4. ^ この5,000人のうち、当該事業者以外の者が作成した個人情報データベース等であって、氏名、住所情報、電話番号以外の個人情報がないものについて、当該個人情報データベース等を編集、加工せずにそのまま使用する場合には、当該個人情報データベース等での取扱個人の件数は含まれない。
  5. ^ 中間整理 p.6.
  6. ^ この規定はメガバンクが相当な広範囲で個人情報を利用するという問題をはらんでいる。
    大蔵省に対する回答「一般に、銀行等と顧客との契約の約款において、個人情報を系列企業の商品販売に利用しないとは書いていないが、顧客から止めてほしい旨言われれば止めるようにしている」
    第4回個人情報保護検討部会議事要旨 1999年9月7日
  7. ^ a b “改正マイナンバー法成立=18年から預金口座に適用-年金との連結は延期”. 時事通信社. (2015年9月3日). http://www.jiji.com/jc/zc?k=201509/2015090300035&g=pol 2015年9月4日閲覧。 
  8. ^ a b “改正マイナンバー法成立=2018年から預金口座に適用-年金との連結は延期”. 産経新聞. (2015年9月3日). http://www.sankei.com/politics/news/150903/plt1509030019-n1.html 2015年9月4日閲覧。 
  9. ^ a b c 河鐘基 (2017年10月19日). “ビッグデータの利活用、日本企業は「匿名化」問題を超えられるか”. Forbes Japan. 2017年10月30日閲覧。
  10. ^ a b c 国民生活センター「「最近の個人情報相談事例に見る動向と問題点(平成17年11月17日)
  11. ^ ここでは、個人情報取扱事業者が、個人データの漏洩防止等のための安全管理措置義務(第20条)を怠って個人データを漏洩した場合をいう。
  12. ^ 通常は、個人情報取扱事業者が安全管理措置義務(第20条)を怠って個人データを漏洩し、もって当該データの個人情報が第三者に知られる可能性が生じた時点で、本人の精神的損害(慰謝料)は少なくとも認められうる。
  13. ^ 新潟県中越沖地震 「要援護者情報」伝わらず(産経新聞 7月19日13時30分配信)
  14. ^ 中越沖地震が教える過剰反応対策の必要性
  15. ^ この法律の規制が及ばないというわけではない。場合によっては、組織外への第三者への無断提供や、漏洩防止等のための安全管理措置義務は、規制の対象になりうる。本人の同意が必要になる場合があり、全員が同意しなかった場合に、「本人が同意しなかったという個人情報」自体が組織内で共有されてしまうとして、最初から作成しないということも起こり得る。
  16. ^ 内閣府国民生活局個人情報保護推進室「個人情報保護法に関するよくある疑問と回答[リンク切れ]
  17. ^ Amazon.co.jp内では「アカウントを閉じる」が相当する。
  18. ^ OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data

参考文献[編集]

  • 岡村久道『個人情報保護法の知識』日経文庫、2010年。ISBN 4532112095
  • 個人情報保護法いわゆる3年ごと見直しに係る検討の中間整理 (pdf)”. 個人情報保護委員会 (平成31年4月25日). 2019年9月6日閲覧。

関連項目[編集]

外部リンク[編集]