スタートページWeb教材一覧法規・基準

個人情報保護法

学習のポイント

個人情報保護法(個人情報の保護に関する法律)が2003年に公布され,2005年4月から全面施行されました。ここでは,個人情報保護法の概要と関連法規・基準などについて学習します。

キーワード

個人情報,個人情報保護法,個人情報取扱事業者,プライバシー,行政個人情報保護法,OECD8原則,プライバシーマーク

個人情報保護法の概要

個人情報保護法は正式には「個人情報の保護に関する法律」(平成十五年法律第五十七号)といいます。その法律全文,概要, 解説は,首相官邸サイト( http://www.kantei.go.jp/jp/it/privacy/houseika/hourituan/)にあります。
 また,法律では「政令で定める」との記述がありますが,それは個人情報の保護に関する法律施行令(平成15年政令第507号,以下「政令という」)があります。

個人情報保護法の体系

個人情報保護法の構成は次の通りです。

   第1章 総則 
    目的(第1条)
    定義(第2条)
    基本理念(第3条)
   第2章 国及び地方公共団体の責務等(第4条~第6条)
   第3章 個人情報の保護に関する施策等(第7条~第14条)
   第4章 個人情報取扱事業者の義務等
    第1節 個人情報取扱事業者の義務(第15条~第36条)
    第2節 民間団体による個人情報の保護の推進 (第37条~第49条)
   第5章 雑則(第50条~第55条)
   第6章 罰則(第56条~第59条)
   附則

第1章から第3章までは,行政等も含む個人情報保護を総合的に推進する基本的な枠組みを示した基本法であり,第4章~第6章は,民間事業者が個人情報取扱での義務を規定した一般法になっています。基本法の部分は公布の日(2003年5月30日)から施行,一般法の部分は2005年4月1日から施行されました。

個人情報保護法の目的

個人情報保護法の目的は第1条で示されています。
この法律は,高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることにかんがみ,個人情報の適正な取扱いに関し,基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め,国及び地方公共団体の責務等を明らかにするとともに,個人情報を取り扱う事業者の遵守すべき義務等を定めることにより,個人情報の有用性に配慮しつつ,個人の権利利益を保護することを目的とする。

第1条の図解 (拡大図)

個人情報保護法での用語の定義

用語の定義 (拡大図)
個人情報
個人情報とは,生存する個人に関する情報であって,当該情報に含まれる氏名,生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ,それにより特定の個人を識別することができることとなるものを含む。)をいう」とされています。
 ここで「生存する個人」としているのは,「死亡した個人」についてはこの法律では対象にしていないということであり,死亡した人であっても個人情報を不注意に取扱うと,遺族などの権利や利益を侵害することがあります。「個人」ですので,会社や団体などの名称や住所などは対象になりません。「個人名ではなくコードにしておけば個人情報にならない」と思うかもしてませんが,個人マスタファイルなどを参照すれば個人を識別することができます。
個人データ
個人情報データベース等を構成する個人情報のことです。そして,「個人情報を含む情報の集合物で,特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの」を個人情報データベースといい,それに,「個人情報を一定の規則に従って整理することにより特定の個人情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次、索引その他検索を容易にするためのものを有するもの」を加えて個人情報データベース等といいます。ですから,カルテや指導要録等、紙面で処理した個人情報を一定の規則(例えば、五十音順、年月日順等)に従って整理・分類しものや,名刺を一定の規則で保管していれば,それも個人情報データベース等になります。
個人情報取扱事業者
個人情報データベース等を事業の用に供している者で,国や地方公共団体等および個人情報の量が過去6ヶ月以内で5000人分以下のものは除くとしています。
 ここで「事業の用」とは,業務の一環として用いることで,従業員の給与計算も事業の用ですから,従業員の個人情報も個人データになります。
 ここで5000人分とは,同じ個人のデータが複数の個人情報データベース等に重複しており,その合計が5000件を超えたとしても,個人情報取扱事業者にはなりません。5000人分以下を除外したのは,小規模な企業や個人までも対象にしても,現実には個人情報取扱事業者として義務の適用が困難だとの理由にすぎません。この法律の適用は受けませんが,決して5000人分以下ならば個人情報保護の責任はないというのではありません。たった1人の個人情報でも,不正利用や漏洩があってはならないのです。この法律の適用外であっても民法などの法律により,訴えられることがあります。
 なお,国や地方公共団体等を除いているのは,この法律とは別に「行政等個人情報保護法」があるからです。これ以外にも,報道,学術研究,宗教,政治などの団体も,それぞれの本来の業務遂行の観点から除外しています(自主的な取組みが期待されています)。
保有個人データ
個人情報取扱事業者が開示,訂正等の権限を有する個人データです。すなわち,保有個人データに関しては,本人から請求があったときには,訂正や削除をする責任を持つことになります。
 データ入力やコンピュータ処理を受託したり,配送を受託したりして受けた個人データは,それらのデータは自社で勝手に開示,訂正等をする権限を持っていないのですから,保有個人データではありません。また,6ヶ月以内に廃棄が予定されている個人データも保有個人データには入りません。

関連事項

「個人情報」と「プライバシー」

一般に個人情報は次のように区分されます。

公知情報
氏名や住所など,日常的に公表しているもの
非公知情報
職業や学歴など,あえて秘密にはしないが,広くは知られたくないもの
機微情報
思想,宗教,病歴,犯罪歴など,秘密にしたいもの。センシティブ情報ともいいます。

個人情報保護法では,個人情報の内容が示されていません。それは,公知情報も含むすべての情報を対象にしているからです。氏名と住所だけの一覧表も個人情報の対象になります。
 個人情報に似た概念に「プライバシー」があります。プライバシーとは,そもそも「他人から個人の静穏を侵害されない自由」という概念でしたが,最近では「個人情報へのアクセスをコントロールする権利」であると認識されるようになり,個人情報保護と近くなってきました。それでも公知情報をプライバシーとするのは一般的ではないでしょう。また,プライバシー保護では,芸能スキャンダルのような個人により異なる情報を対象にしているのに対して,個人情報保護では多数の人に共通する情報を対象にしている傾向があります。しかし,プライバシーの概念が個人情報と似てきましたので,通常の場合は,あえて区別する必要はないと思います。

個人情報漏洩の経路等

個人情報の漏洩は,コンピュータやネットワーク経由だけではありません。統計によると紙による漏洩が約半分を占めるのです。また,パソコンや記憶媒体の紛失や盗難による漏洩も多いのです。

(拡大図)

個人情報取扱事業者の義務等

個人情報保護法の「第4章第1節 個人情報取扱事業者の義務(第15条~第36条)」のポイントを列挙します(「第○条」のような表記がありますが,法律の条文は正確を期すあまり,あまりにも冗長ですので,要点だけにしてあります)。

利用目的の特定,利用目的による制限(個人情報)
利用目的をできる限り特定しなければならない(第15条)
特定された利用目的の達成に必要な範囲を超えて取り扱ってはならない(第16条)
個人情報を収集するときには,それを何に使うのかを本人に伝え,それ以外の目的に使うなということです。例えば,アンケートに使うとして取得したものをダイレクトメールなどに使ってはいけません。そのような利用をする予定があるときには,アンケート用紙に明記するなど,あらかじめ本人に示しておく必要があります。
適正な取得,取得に際しての利用目的の通知等(個人情報)
偽りその他不正の手段により取得してはならない。(第17条)
取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。(第18条)
第17条に違反するのは,2つのケースがあります。
1 ダイレクトメールに使いたいのに,それを隠してアンケート目的だといって取得するような場合。
2 名簿業者などから,個人情報保護法に違反していることを知っていて,それを利用するような場合。
データ内容の正確性の確保(個人データ)
個人データを正確かつ最新の内容に保つよう努めなければならない。(第19条)
このように「努めなければならない」という表現を努力規定といいます。厳格に「正確かつ最新の内容に保つ」のは現実には多くの困難がありますので,そのような努力をしていれば,実際に「正確かつ最新の内容に保」たれていないデータがあっても違反とはしないという意味です。
安全管理措置,従業者・委託先の監督(個人データ)
取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。(第20条)
従業員・委託先に対して必要な監督を行わなければならない(第21、22条)
これらの規定は,実務では大きな影響を持っています。
第20条での適切な措置とは,社内体制を整備し,マニュアルを整備して遵守させ,情報システムの情報セキュリティ対策を向上させるなど,かなり大掛かりな対策を講じる必要があります。
第22条の「委託先監督義務」では,個人情報取扱事業者である大企業が,5000人以下の個人データに関する業務を中小企業に委託したとき,大企業は中小企業が個人データの保護に関する体制を整備することを要求します。中小企業がその体制が整備できていなければ,受注することができなくなることもあります。逆に,それが整備できている中小企業は受託の機会が増大します。法律的には対象にならなくても,現実には個人情報取扱事業者に準じる体制整備が求められているのです。
第三者提供の制限(個人データ)
本人の同意を得ないで、個人データを第三者に提供してはならない。(第23条)
単純には個人データの横流しをするなということですが,現在では企業間での情報共有による連携が進んでいます。このとき,個人データの取扱をどうするかが大きな課題になっています。
公表等,開示,訂正等,利用停止等(保有個人データ)
利用目的等を本人の知りうる状態に置かなければならない(第24条)
本人の求めに応じて保有個人データを開示・訂正・利用停止等を行わなければならない(第25,26,27条)
これらは無条件で本人の要求に従えというのではなく,誤りがあることが確かであるとか,利用停止要求はそのデータが違法に入手・利用されているなどの場合に限定されます。しかし,次の「苦情の処理」と合わせて,迅速に対処することが必要になります。
苦情の処理(個人情報全般)
苦情の適切かつ迅速な処理に努めなければならない(第31条)

行政との関係

個人情報取扱事業者が義務規定に違反し,個人の権利利益保護のため必要がある場合には,主務大臣は,報告の徴収や必要な助言を行い,勧告に従わないときは,適切な命令をすることができます(第32~34条)。そして,報告をせず、又は虚偽の報告をした者は、30万円以下の罰金(第57条),行政命令に違反した者は、6月以下の懲役又は30万円以下の罰金(第57条)が科されます。
 個人情報保護法では,漏洩が明らかになったからといって,直ちに事業者が罰せられるのではありません。行政命令に従わないときに罰せられるのです(間接罰)。罰せられるのは漏洩をした当事者と事業者の両方です(両罰制)。

このように,個人情報保護法は個人情報取扱事業者の義務等を明確にすることにより個人情報の保護を図ろうとするものであり,個人情報の不正な取扱により生じた事業者と被害者の間のトラブルに関して取り決めたものではありません。その点では交通法規と同じような性格です。
 個人情報保護法では,事業者と被害者の間のトラブルは,原則として当事者間の話し合いや裁判で解決することとし,それで解決できないときは,行政が苦情の申し立てを受ける仕組みになっています。

苦情処理の仕組みの図解

個人情報保護法に関連した法規・基準

行政個人情報保護法

個人情報保護法では民間だけを対象にしていました。それは,国や地方公共団体には「行政機関等の個人情報保護に関する法律」があるからです。これには,
 行政機関の保有する個人情報の保護に関する法律
 独立行政法人等の保有する個人情報の保護に関する法律
 情報公開・個人情報保護審査会設置法
 行政機関の保有する個人情報の保護に関する法律等の施行に伴う関係法律の整備等に関する法律
があります。2003年5月30日に個人情報保護法と同時に公布されました。

OECD8原則

1980年にOECD(経済協力開発機構)理事会は,「プライバシー保護と個人データの国際流通についての勧告」を採択しました。

目的明確化の原則
収集目的を明確にし,データ利用は収集目的に合致するべき
利用制限の原則
データ主体の同意がある場合,法律の規定による場合以外は目的以外に利用使用してはならない
収集制限の原則
適法・公正な手段により,かつ情報主体に通知又は同意を得て収集されるべき
データ内容の原則
利用目的に沿ったもので,かつ,正確、完全、最新であるべき
安全保護の原則
合理的安全保護措置により,紛失・破壊・使用・修正・開示等から保護するべき
公開の原則
データ収集の実施方針等を公開し,データの存在,利用目的,管理者等を明示するべき
個人参加の原則
自己に関するデータの所在及び内容を確認させ,又は意義申立を保証するべき
責任の原則
管理者は諸原則実施の責任を有する

この8原則は,個人情報保護法の基礎になっています。両者には次の対応があります。 

  目的明確化の原則,利用制限の原則   第15条,第16条,第23条
  収集制限の原則            第17条
  データ内容の原則           第19条
  安全保護の原則            第20条~第22条
  公開の原則,個人参加の原則      第18条,第24条~第27条
  責任の原則              第31条

各省庁の「個人情報保護法ガイドライン」

個人情報取扱事業者には,婦人用アクセサリーの通信販売会社,病院,金融機関など多様な業種・業態があり,それぞれの業種・業態により,取扱う個人情報も異なるし,重視するべき観点,具体的な手段も異なります。それで,個人情報保護法では,あいまいな表現が多く,具体的に遵守手段を講じるのには不十分です。
 それで,各省庁が所轄の分野でのガイドラインを策定しています。
・政府「個人情報の保護に関する基本方針
・経済産業省「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン(2007年改正)
・厚生労働省「医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン
・金融庁「金融分野における個人情報保護に関するガイドライン
また,業界での自主的なガイドラインもあります。実際には,これらのガイドラインに従って,具体的な対策を行うことが求められます。

例えば経済産業省のガイドラインは,「経済産業分野」における事業者等が行う個人情報の適正な取扱いの確保に関する活動を支援する具体的な指針として定めるもので,個人情報保護法や関連政令を逐条的に解説するとともに,理解を助けるための具体的な例を示しています。また,本ガイドラインのなかで,「しなければならない」と記載されている規定は,それに従うことが強制される義務規定であり,「望ましい」と記載されている規定については、できるだけ取り組むべき努力規定であるとされています。

プライバシーマーク

プライバシーマーク

個人情報の取扱いについて第三者が審査を行い,適切な保護措置を講ずる体制を整備している民間事業者等に対して,プライバシーマークを付与する制度があります。付与機関(プライバシーマーク付与機関)は(財)日本情報処理開発協会(JIPDEC)で,そこから指定を受けた指定機関が審査します。
 なお,この審査は企業全体を対象にしており,事業部だけの申請は受け付けていません。また,2年ごとに更新の審査をしています。

プライバシーマークの付与条件は,「個人情報保護に関するコンプライアンス・プログラムの要求事項(JIS Q 15001)」への適合度を認証するものです。そのJIS Q 15001 は,全般的には個人情報保護法の主旨と合致していますが,細かい事項では相互に対象の違いや観点の違いもあります。それで,プライバシーマークを得ていれば,個人情報保護法の義務を完全に実現しているということにはなりませんし,個人情報保護法の義務規定を実現していれば,プライバシーマークが付与されるものでもありません。
 しかし,プライバシーマークという第三者認証を得ることは,世間に対する信用が高まります。しかも全般的には,プライバシーマークのほうが,高いレベルを要求しています。

それで,個人情報保護法は法律遵守という最低限のレベルを規定したものであり,それ以上に実務での実現をしており,さらに向上に努めていることを示すのがプライバシーマーク制度だと理解するのが適切です。

過剰反応の弊害

個人情報の保護は大切なことは重要ですが,それはあくまでも対象になる個人の権利を保護することが目的です。また,常識的な範囲で運用されるべきです。
 ところが,個人情報に過剰な反応をする傾向が強くなり,その弊害も現れるようになりました。

個人の過剰反応
 ・国勢調査を拒否する
 ・学校の連絡網が作れない
 ・地域の回覧板のルートが表示できない
 漏洩して困る情報の常識的な判断が求められます。

組織の過剰反応
 ・行政が民生委員に老人世帯の情報を提供しない
 ・災害時に病院が収容者の情報を提供しない
 ・家族失踪にホテルやレンタカーの記録を教えない
 ・製品リコールで,購入者の記録が廃棄されている
 個人情報を保護することが目的ではなく,組織あるいは担当者の責任逃れの手段とされていることがあります。

公務の過剰反応
 ・公務員の犯罪で氏名を公表しない
 ・要職幹部の学歴・職歴を公表しない
 ・国会議員の財政状況を公表しない
 これらは,国民の知る権利,公務へのチェック機能を阻害することになります。

このような弊害を回避するために,「なぜ個人情報を保護するのか」という法の精神を理解することが大切です。

理解度チェック

第1問

  1. 名刺を企業別や氏名順などで整理すると個人情報データベース等に該当するので,名刺を交換するときには,そのように整理すること,その利用目的を伝えることが必要である。現実にはこのようなことをする人は少ないが,法律的にはそれが要求されていると考えるべきである。
    ○ 暗黙の了解がなされていると考えられる
  2. 市の主催で子供向けのパソコン教室を開催した。それを支援したパソコンメーカーがアンケートをしたのだが,そこには保護者の氏名,住所,パソコンの有無などの項目があり,後日保護者あてにメーカーからダイレクトメールが送られた。アンケートにはそれに関する記述があったので,メーカーの行動は個人情報保護法に抵触したとはいえない。
    ○ アンケート用紙に記入したことで用途通知がなられたといえる
  3. 個人のインターネット活用に関するアンケートを行った。アンケートの謝礼を送るために回答者の住所氏名も回答させたが,アンケートデータをコンピュータに入力する段階でそれらは入力せず,入力後は回答用紙は適切な処分をした。それでもコンピュータにあるアンケートデータがあるのだから,これは個人情報である。
    × コンピュータデータには個人情報は記録されていない
  4. A社(製造業)では,顧客情報を4500,社員情報を300,その他の個人情報を400持っている。このうち社員情報は個人情報とはいえないので,A社は個人情報取扱事業者ではない。
    × 社員情報も個人情報としてカウントされる
  5. 個人情報が5000人以下の企業では,個人情報が漏洩しても訴えられることはない。
    × 個人情報の訴えは民法でも行える。
  6. A社では,5000人を超える顧客があるが,コンピュータ処理はすべてアウトソーシングしているので,自社内にある個人情報は非常に少ない。このような場合では,A社は個人情報取扱事業者ではない。
    × 委託していてもA社の管理下にある
  7. 大学は学術研究をしているので,在学生や卒業生の個人情報が5000を超えていても,個人情報取扱事業者ではない。
    × 例外規定は学術研究の対象データだけに適用
  8. A団体は,老人福祉を目的とした非営利団体である。それで5000人を超える老人の情報とボランティアの情報を持っているが,利益を目的としているのではないから,個人情報取扱事業者ではない。
    × 営利目的か否かには無関係
  9. A社では,NTTの電話帳をそのまま用いてダイレクトメールを発送している。このたび,発送先から,電話帳の自分が記載している部分を塗りつぶすよう要求された。この要求には従う義務がある。
    △ 電話帳そのものは対象外。でもそれに区分等をつけて整理したとなるとグレーゾーン
  10. A社では個人情報が漏洩したことが警察の内偵で発覚し,経営者と漏洩に関与した者が検挙された。
    × 漏洩被害者だけが訴えることができる

第2問

  1. インターネットの検索エンジンなどにより,個人情報漏洩の事例をいくつか探し,それが本文の「個人情報取扱事業者の義務等」でのどれが不十分だったことにより発生したのかを示しなさい。
  2. 本文にあった経済産業省「個人情報の保護に関する法律についての経済産業分野を対象としたガイドラインの策定」平成16年6月(http://www.meti.go.jp/feedback/downloadfiles/i40615hj.pdf)では,いろいろと事例が掲載されています。2ページ~6ページを読んで,興味を持った事例をいくつかあげて,どうしてそれが個人情報あるいは個人情報データベース等であるのか,そうでないのかの理由を述べなさい。

過去問題:「個人情報保護法」(kojin-jouhou