出典(authority):フリー百科事典『ウィキペディア(Wikipedia)』「2016/08/12 00:46:52」(JST)
この記事は特に記述がない限り、日本国内の法令について解説しています。また最新の法令改正を反映していない場合があります。ご自身が現実に遭遇した事件については法律関連の専門家にご相談ください。免責事項もお読みください。 |
個人情報の保護に関する法律 | |
---|---|
日本の法令 |
|
通称・略称 | 個人情報保護法 |
法令番号 | 平成15年5月30日法律第57号 |
効力 | 現行法 |
主な内容 | 総則 国及び地方公共団体の責務等 |
関連法令 | 行政機関個人情報保護法 独立行政法人等個人情報保護法 |
条文リンク | 総務省法令データ提供システム |
テンプレートを表示 |
個人情報の保護に関する法律(こじんじょうほうのほごにかんするほうりつ)は、個人情報の取扱いに関連する日本の法律。略称は個人情報保護法。
2003年(平成15年)5月23日に成立し、一般企業に直接関わり罰則を含む第4〜6章以外の規定は即日施行された。2年後の2005年(平成17年)4月1日に全面施行した。
個人情報保護法および同施行令によって、5,000件以上の個人情報を個人情報データベース等として所持し事業に用いている事業者は個人情報取扱事業者とされ、個人情報取扱事業者が主務大臣への報告やそれに伴う改善措置に従わない等の適切な対処を行わなかった場合は、事業者に対して刑事罰が科される。
高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることにかんがみ、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにするとともに、個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする(第1条)。 個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきことに鑑み、その適正な取扱いが図られなければならない(第3条)。
本法は主に個人データの取扱いに関して個人情報取扱事業者に義務を課している。すなわち、個人情報データベース等に含まれる個人情報だけが、個人データとして法の直接の規制対象になる。個人情報データベース等を構成するすべての情報が個人データになるわけではない。
後述の規制対象となる個人情報取扱事業者が扱う個人情報データベース等に含まれない個人情報であって、店頭での呼出しアナウンスなどの音声、メモ書き、人の記憶などのものには、この法律の規制は及ばない。
個人情報等データベースを事業に用いる者であって、次の者を除く者を対象とする(第2条3項、施行令2条)。
したがって、事業者には営利法人だけでなく非営利法人も該当するが、一般の個人はほとんど対象とならない(ただし、個人事業主等でこの定義に当てはまる者は当然、本法の対象となる)。
個人情報保護法第4章第1節に個人情報取扱事業者の義務が記されている。
個人データについては、データ内容の正確性の確保(第19条)、安全管理措置や従業者・委託先の監督(第20条〜第22条)、第三者提供の制限(第23条)が定められている。
保有個人データについては、事項の公表等(第24条)、開示(25条)、訂正等(第26条)、利用停止等(第27条)が規定されている。
事項の公表、開示、訂正、利用停止の規定により、本人から求められた措置の全部又は一部について、その措置をとらない旨を通知する場合又はその措置と異なる措置をとる旨を通知する場合は、本人に対し、その理由を説明するよう努めなければならない(第28条)。
個人情報取扱事業者は、以下の場合を除いては、あらかじめ本人の同意を得なければ、個人データを第三者に提供してはならない(第23条)。
ただし、必ずしも本人の同意を得なくとも、以下の場合は第三者への提供ができるものと規定されている。
また、個人情報取扱事業者と実質的に同一とみなしうる事業者が共同で利用する場合、または共同利用もしくは業務委託として一定の要件を満たした場合は、第三者とみなされない規定がある。すなわち、これらの場合は、本人の同意を得る必要がない[2]。
個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知しなければならない(第24条2項)。この場合は、手数料を徴収できる(第30条)。
個人情報取扱事業者は、本人から保有個人データの開示を求められたときは、以下のいずれかに該当する時を除いては、遅滞なく開示しなければならない。ただし、6か月以内で消去することが予定されている情報(第2条5項、個人情報保護法施行令第4条)や情報の存否を明らかにすることによって公益等が害される情報は除かれる(第25条)。この場合は、手数料を徴収することができる(第30条)。
医療機関等に訴訟外で医療のカルテ等を開示請求する等の活用例が考えられる。
個人情報取扱事業者は、本人から、保有個人データの内容が事実でないという理由によって当該個人データの内容の訂正、追加又は削除を求められた場合は、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、保有個人データ等の訂正を行わなければならない(第26条)。
個人情報取扱事業者は、本人から、個人情報の目的外の利用を行っていること、個人情報を不正に取得したことを理由として、保有個人情報データの利用停止または消去を求められた場合であって、その求めに理由があると認められるときは、違反を是正する限度で、利用停止等を行わなければならない。ただし、利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない(第27条1項)。
主務大臣は、個人情報取扱事業者の義務の規定の施行に必要な限度において、個人情報取扱事業者に関し、個人情報の取扱いについて報告を求め(第32条)、助言することができる(第33条)。
主務大臣は、個人情報取扱事業者が本法の規定(ただし開示請求等は除く)に違反していて個人の権利利益を保護するために措置をとる必要があると認めるときは、勧告することができる(第34条)。
主務大臣は、個人情報取扱事業者が正当な理由なく勧告に従わないときにはその勧告に係る措置をとるべきことを命ずることができ(第34条2項)、それに従わないときは、当該違反行為の中止その他違反を是正するために必要な措置をとるべきことを命ずることができる(第34条3項)。
命令に違反すると6か月以下の懲役または30万円以下の罰金に処せられることがある(56条)。
個人情報取扱事業者が、マスコミ・著述業関係、大学等、宗教団体や政治団体であり、それぞれ、報道・著述、学術研究、宗教活動、政治活動の目的で個人情報を利用する場合は、個人情報取扱事業者の義務の適用を受けない(第50条1項)。これは、主務大臣の報告徴収等を通じて表現の自由等を制約するおそれがあるという強い反対論に基づいて設けられた規定である。これらの者については、個人情報保護のために必要な措置を自ら講じ、内容を公表する努力義務が課せられる(第50条3項)。
さらに主務大臣は、一般の個人情報取扱事業者がマスコミ・著述業関係、大学等、宗教団体や政治団体に対して、上述の目的に利用するために個人情報を提供する場合には、報告徴収や命令等の権限を行使しないものとしている(個人情報保護法そのものの適用除外を意味するものではない)。
なお、これらの職にある者が、正当な理由がない場合に、業務上の取扱いによって知り得た秘密を漏らしたときは、刑法134条2項の秘密漏示罪が成立することがある。個人情報取扱事業者の義務の除外と刑法上の責任の免除とは別である点に留意する必要がある。
個人情報に関する苦情処理や事業者への情報提供等の業務を行おうとする法人(権利能力なき社団も含む)は、主務大臣の認定を受けて認定個人情報保護団体となることができる(第37条)。
認定個人情報保護団体でない者は、認定個人情報保護団体という名称又はこれに紛らわしい名称を用いてはならない(第45条)。違反した者は、10万円以下の過料に処せられる(第59条)。
認定個人情報保護団体は、その認定業務を廃止しようとするときは、あらかじめ、その旨を主務大臣に届け出なければならない(40条)。 届出をせず、又は虚偽の届出をした者は、10万円以下の過料に処せられる(第59条)。
主務大臣は、規定の施行に必要な限度において、認定個人情報保護団体に対し、認定業務に関し報告をさせることができる(第46条)。 報告をせず、又は虚偽の報告をした者は、30万円以下の罰金に処せられる(第57条)。
2015年9月3日、「改正個人情報保護法」が衆院本会議で、与党や民主党などの賛成多数で可決、成立[3][4]。蓄積された膨大な個人情報をビッグデータとして企業が利用しやすくする一方、情報漏えいに対する罰則を新設[3][4]。
この節には独自研究が含まれているおそれがあります。問題箇所を検証し出典を追加して、記事の改善にご協力ください。議論はノートを参照してください。(2010年6月) |
この法律については、誤解や過剰反応に基づいた問題が発生している。 国家による警察的な取締りをおそれ、法律の基本理念を逸脱した拡大解釈がなされ、国民生活に支障をきたしている[5]。
実際には、法律上、主務官庁の、個人情報取扱事業者に対する監督がなされるだけで、一般国民に対する直接の規制はない。事業者による個人情報漏洩[6]それ自体に対する直接の罰則はない。個人情報取扱事業者の主務官庁による中止・是正措置の勧告がなされ、従わない場合または要求された報告をしない場合には罰則が課される。個人情報漏洩を原因とした損害[7]が発生した場合は民事上の責任を問われる場合がある。
災害や大規模な事故などが発生した際の安否情報も、第23条第1項第2号の「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」に該当するので、この法律の規制は及ばないと解釈される。しかし、次のようなことがあった。
内閣府ではこういった過剰反応や誤解に対し、個人情報保護法に抵触しない例を出すこととなった[11]。
利用停止請求については、本人が利用停止または消去を求めた場合でも、利用停止等に多額の費用がかかる場合など、適用の除外が認められているので、実質的に機能していない面がある。たとえば、Amazon.co.jpでは、退会後に利用停止請求を行っても、個人情報は削除されず、個人情報が削除されないことが本人に通知されないという問題がある。[要出典]
いわゆる「オプトアウト」を定める第23条2項の趣旨は「利用停止を求めれば、第三者提供は停止される」というものであり、「本人に通知する」ことの代替として「本人が容易に知り得る状態に置く」ことを容認している。[要出典]
本法の施行後、個人情報を漏洩された本人が、精神的苦痛を与えられたとして、慰謝料を請求する訴訟も起こされている。実際に被害者側が勝訴している判例もある。例えば、京都府宇治市の住民基本台帳データが不正流出した件では、大阪高等裁判所が、宇治市に対し、住民に一人あたり15,000円(慰謝料10,000円、弁護士手数料5,000円)の損害賠償をするように命じる判決を出した。最高裁判所は本件に対する宇治市の上告を棄却し、2002年(平成14年)7月11日に控訴審判決が確定した。
情報化社会の進展とともに、行政・民間が保有する膨大な個人情報を容易に処理することが可能となり、そういった個人情報データベース等からの個人情報漏洩によるプライバシー侵害への危険性、不安が増大していった。また、行政部外者による、行政機関に所属する公務員の個人情報取得およびその不適切な使用によって政策決定等への障碍可能性が公平性の観点から危惧されるようになった。1980年(昭和55年)にはOECD理事会で「プライバシー保護と個人データの国際流通についてのガイドラインに関する勧告」[12]が採択されるなど、国際的にも個人情報の取扱いや積極的プライバシー権の保護が次第に重要視されるようになった。
日本では、 1988年(昭和63年)に、公的機関を対象とした「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」が公布された。 1989年(平成元年)には、民間部門に対して通産省(現:経済産業省)が「民間部門における電子計算機処理に係る個人情報の保護に関するガイドライン」を策定した。
しかし「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」には罰則規定がなく、また民間部門を対象としたガイドラインには法的拘束力がないなど、個人情報の保護という観点から十分に機能しているとは言いがたい状況であった。
さらに住民基本台帳ネットワークの稼動(2002年(平成14年))、中川秀直愛人スキャンダル事件(2000年(平成12年))、Yahoo! BB個人情報漏洩事件(2004年(平成16年))、TBC個人情報漏洩事件(2002年(平成14年))など多発する個人情報漏洩事件を受けて、2002年(平成14年)に個人情報保護法関連五法が国会に提出された。個人情報保護法は、個人情報を取得する際には個人情報の利用方法を本人に明確に伝えなければならないと定めているために、報道の自由を侵害するなどの理由から反対運動が展開され、一度廃案となったが、再度審議され2003年(平成15年)5月に成立した。
企業への準備期間として成立から施行までに2年間の期間が設けられた。個人情報保護法が施行される直前の2005年(平成17年)3月には、これまで起きていながら隠蔽していた個人情報漏洩事件を公表する企業が多くあった。興信所を安易に多用し、採用時以外においても必要以上の個人情報を積極的に取得する等、個人情報保護に関する感覚が希薄な従来の企業習慣に対する規制となった。
この節は検証可能な参考文献や出典が全く示されていないか、不十分です。出典を追加して記事の信頼性向上にご協力ください。(2015年3月) |
1980年(昭和55年)にOECD理事会で採択された「プライバシー保護と個人データの国際流通についてのガイドラインに関する勧告」には収集制限の原則、利用制限の原則などの「OECD8原則」が含まれる。
1995年(平成7年)、EUが「個人データ処理に係る個人情報保護及び当該データの自由な移動に関する欧州議会及び理事会の指令」(通称:EU指令)を採択し、EU加盟国以外への個人情報の移転は、当該国が十分なレベルの保護措置を講じている場合に限られるとした。EU指令によって顧客データの授受をはじめとする様々な経済活動に影響が出ることが懸念されたので、1998年(平成10年)に「プライバシーマーク制度」が設立された。2011年(平成23年)2月現在、日本の個人情報の保護措置が「十分なレベル」に達することは確認されておらず、EU指令の求める要求事項、保護レベルを満たしていない。[要出典]
他に国際標準としては、個人情報を取り扱う主体を分類し、その間の関係性を整理するとともに、それぞれがどのようにして個人情報を取り扱うべきであるかという11のプライバシー原則を示したISO/IEC 29100 Privacy Framework および、実装時のアーキテクチャの枠組みを示した ISO/IEC 29101 Privacy Architecture Framework が存在する。さらに、プライバシー影響評価(PIA)の方法論をまとめた ISO/IEC 29134 Privacy Impact Assessment Methodology も現在作成中である。
また、個人情報の安全管理処置としては、情報セキュリティマネジメントシステム(ISMS)が満たすべき要件を定めた国際規格ISO/IEC 27001もある。この国際規格の認証は、「個人情報漏洩に対する企業の対策」や「個人情報漏洩後の企業の対策」を企業が細かくマニュアル化し、それを社員が認識し実行しているかどうかを調べて認定される。取得にはおよそ1年以上の時間を要す。
また、EUでは2012年(平成24年)に新たな概念である「忘れられる権利」が規則案に導入されたが、これは2013年に「削除される権利」に変更された。なお、これは依然として審議中である。[要出典]
法律に関わる事務全般は、個人情報保護委員会によって行われている。これは、平成28年1月1日に効力を発した「個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律」(平成27年法律第65号)の一部施行による影響である。
ウィキソースに個人情報の保護に関する法律の原文があります。 |
ウィキブックスにコンメンタール個人情報の保護に関する法律関連の解説書・教科書があります。 |
全文を閲覧するには購読必要です。 To read the full text you will need to subscribe.
国試過去問 | 「111E027」 |
リンク元 | 「個人情報保護法」 |
関連記事 | 「個人情報」「個人」「保護」「情報」「法律」 |
C
※国試ナビ4※ [111E026]←[国試_111]→[111E028]
(利用目的の特定)
(データ内容の正確性の確保)
(安全管理措置)
(第三者提供の制限)
(略)
(個人情報取扱事業者による苦情の処理)
.