個人情報保護法
出典: フリー百科事典『ウィキペディア(Wikipedia)』
 |
法令情報に関する注意:この項目は特に記述がない限り、日本の法令について解説しています。また最新の法令改正を反映していない場合があります。ご自身が現実に遭遇した事件については法律の専門家にご相談下さい。免責事項もお読み下さい。 |
個人情報保護法(こじんじょうほうほごほう)は、個人情報の取り扱いに関連する法律。正式名称は、個人情報の保護に関する法律という。
2003年5月23日成立、2005年4月1日全面施行。 企業側に対策として2年間の準備期間を設けた。
- 「個人情報の保護に関する法律」:基本法則と民間の個人情報保護を定めた
- 「行政機関の保有する個人情報の保護に関する法律」
- 「独立行政法人の保有する個人情報の保護に関する法律」
- 「情報公開・個人情報保護審査会設置法」
- 「行政機関の保有する個人情報保護法等の施行に伴う関係法律の整備等に関する法律」
目次 |
[編集] 成立経緯
個人情報の取扱いやプライバシーの保護については、1980(昭和55)年に「プライバシー保護と個人データの国際流通についてのガイドラインに関するOECD理事会勧告」が採択されるなど、国際的にも次第に重要視されるようになっていた。日本でも、1988年(昭和63年)に公的機関を対象とした「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」を公布し、更に民間部門に対しては1989(平成元)年に通産省(現:経済産業省)により「民間部門における電子計算機処理に係る個人情報の保護に関するガイドライン」が策定され、個人情報の保護にあたっていた。
また1995(平成7)年、EUが「個人データ処理に係る個人情報保護及び当該データの自由な移動に関する欧州議会及び理事会の指令」を採択し、EU加盟国以外への個人情報の移転は、当該国が十分なレベルの保護措置を講じている場合に限られるとした。この指令により顧客データの授受を始めとする様々な経済活動に影響が出ることが懸念されたため、1998(平成10)年「プライバシーマーク制度」を設立、制度の検討期間中にEU加盟国等に「十分なレベル」に達することを確認した。但し、2005年12月にプライバシーマーク使用許諾事業者が個人情報をWinnyに流出させたが2006年4月この事業者に対し現在罰則など行われていない。他に国際基準として「情報セキュリティマネジメントシステム」もある。これらの両制度については、「個人情報漏洩に対する企業の対策」「個人情報漏洩後の企業の対策」を企業が細かくマニュアル化し、それを社員が認識し実行しているかどうかを調べて認定される。取得には大体1年以上の時間を要すことになる。
しかし前述した「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」には罰則規定が無く、また民間部門を対象としたガイドラインには法的拘束力が無いなど、個人情報の保護という観点から十分に機能しているとは言いがたい状況であった。更に住民基本台帳ネットワークの稼動、中川秀直愛人スキャンダル事件やYahoo! BB個人情報漏洩事件など多発する個人情報漏洩事件を受け、前述の個人情報保護法関連五法が国会に提出されるに至った。
この法律及び同施行令により、個人情報を大体5,000件以上個人情報データベース等として所持し事業に用いている事業者は「個人情報取扱事業者」とされ、「個人情報取扱事業者」が個人情報を漏らした場合等、主務大臣への報告義務など適切な対処を行わなかった場合は事業者の刑事的罰則が取られる事になった。
個人情報を取得する際には個人情報の利用方法を本人に明確に伝えなければならないために、報道の自由を侵害するなどの理由で一度廃案となったが、再度審議され成立した。企業への準備期間として成立してから施行するまで2年間の期間を設け、個人情報保護法施行前月の2005年3月にはこれまで起きていたが隠蔽していた個人情報漏洩事件を公表する企業が多くあった。
[編集] 基本理念(3条)
個人情報は,個人の人格尊重の理念の下に慎重に取り扱われるべきことにかんがみ,その適正な取扱いが図られなければならない。
[編集] 個人情報データベースとは(2条2項)
コンピュータ等で容易に検索できるデータベースや目次や索引等によって体系的に整理された紙のデータベース等のことをさします。未整理の紙のデータ等は該当しません。
[編集] 個人情報とは(2条1項)
生存する個人の情報であって,特定の個人を識別できる情報(他の情報と容易に照合することができることにより,特定の個人を識別することができる情報も含む)
[編集] 個人情報取扱事業者の対象(2条3項)
個人情報等データベースを事業のように供する者をいい,国,地方公共団体,独立行政法人等,地方独立行政法人(行政機関個人情報保護法等の適用を受ける)や取扱個人情報(市販の電話帳やカーナビの住所情報等は除く)が過去6月以内でいずれの時点においても5000人を超えない事業者を除くものとしている。
したがって,事業者には営利法人のみならず非営利法人も適用となるが,一般の個人については対象とならない。
[編集] 個人情報取扱事業者の主な義務
利用目的の特定・制限(15条,16条)
適正な取得(17条)
取得に際しての利用目的の通知(18条)
保有個人データに関する事項の公表(24条)
[編集] 第三者提供の制限(23条)
個人情報取扱事業者は,次に掲げる場合を除くほか,あらかじめ本人の同意を得ないで,個人データを第三者に提供してはならない。
1 法令に基づく場合(統計調査等)
2 人の生命,身体又は財産の保護のために必要がある場合であって,本人の同意を得ることが困難であるとき(事故の際の安否情報など)
3 公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって,本人の同意を得ることが困難であるとき(児童虐待情報など)
4 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要があって,本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき(犯罪捜査の協力等)
[編集] 開示請求(25条)
個人情報取扱事業者は,本人から保有個人データの開示を求められたときは,次の各号のいずれかに該当する時を除き遅滞なく開示しなければならない。ただし,6月以内で消去することが予定されている情報や情報の存否を明らかにすることが公益等が害される情報はこの限りではありません。
1 本人又は第三者の生命,身体,財産その他の権利利益を害するおそれがある場合
2 当該個人情報保護取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
3 他の法令に違反することとなる場合
医療機関等に訴訟外で医療のカルテ等を開示請求する等の活用例が考えられる。
[編集] 訂正請求(26条)
個人情報取扱事業者は,本人から,保有個人データの内容が事実でないという理由によって当該個人データの内容の訂正,追加又は削除を求められた場合は,利用目的の達成に必要な範囲内において,遅滞なく必要な調査を行い,その結果に基づき,保有個人データ等の訂正を行わなければならない。
[編集] 利用停止請求(27条)
個人情報取扱事業者は,本人から,保有個人データが目的外利用されている場合や不適正な取得がなされているという理由によって,保有個人情報データの利用停止または消去を求められた場合であって,その求めに理由があると認められるときは,違反を是正する限度で,利用停止等を行わなければならない。
[編集] 主務大臣による報告徴収等
主務大臣は,第1節の施行に必要な限度において,個人情報取扱事業者に関し,個人情報の取扱について報告を求め,助言することができる。(間接強制)(32条,33条)
主務大臣は,個人情報取扱事業者が本法に違反している場合において個人の権利保護を保護するため必要があると認めるときは,勧告をすることができ,正当な理由がなく勧告に従わず個人の重大な権利利益の侵害が切迫していると認めるときに命令を出すことができる。(34条1項,2項)
主務大臣は,個人情報取扱事業者が本法の規定に違反(ただし開示請求等は除く)していて個人の重大な権利利益を害する事実があるため緊急に措置をとる必要があると認めるときは,直ちに緊急命令を出すことができる(34条3項)
命令に違反すると6月以下の懲役または30万円以下の罰金に処せられることがある。
[編集] 適用除外
個人情報取扱事業者がマスコミ関係(報道・著述目的に限る)・大学等(学術研究目的に限る)・宗教(宗教活動に利用するために限る)や政治団体(政治活動に利用するために限る)の場合は総則規定以外の適用を受けない。これは,主務大臣の報告徴収等を通じて表現の自由等を制約するおそれがあるという強い反対論に基づいて設けられた規定である。
さらに,主務大臣は,一般の個人情報取扱事業者がマスコミ関係(報道・著述目的に限る)・大学等(学術研究目的に限る)・宗教(宗教活動に利用するために限る)や政治団体(政治活動に利用するために限る)に対し個人情報を提供する場合には報告徴収や命令等の権限を行使しないものとしている。(個人情報保護法そのものの適用除外を意味するものではない)
[編集] 認定個人情報保護団体
個人情報に関する苦情処理や事業者への情報提供等の業務を行おうとする法人(権利能力なき社団も含む)は主務大臣の認定を受けて認定個人情報保護団体となることができる。
[編集] 問題点
議決・公布された現在でも、主務大臣の報告徴収等を通じて言論の自由を制限することになるなどの意見がある。
このような懸念に応じて,法はマスコミ関係(報道・著述目的に限る)・大学等(学術研究目的に限る)・宗教(宗教活動に利用するために限る)や政治団体(政治活動に利用するために限る)ではこの法律適用外(ただし一般原則は適用)と規定している。
なお,この法律について,一部で誤解や過剰反応に基づいた問題が発生している。
例えば、国の運営活動に必要かつ正当な利用に関しては本人の同意なくして第三者に提供することが可能となっているが、選挙運動や国勢調査などの円滑な実施(特に後者は日本に居住するすべての者に申告の義務があるため、個人情報保護法を理由に協力を拒否すれば違法となる)の障害となっているとの声もある。
また災害や大規模な事故などが発生した際の安否情報も、第23条第1項の「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」に該当するため公表しても差し支えないと解釈されるが、JR福知山線脱線事故のように、周知が行き届かなかったために、情報の取扱いに混乱をもたらした事例もあった(詳しくは同記事参照のこと)。
その為、内閣府ではこういった過剰反応や誤解に対し批判し、個人情報保護法に抵触しない例を出すこととなった。
またマスコミのみ特別扱いうけていることに、一般市民から批判がある(法の下の平等に叛くゆえ)。
なお、個人情報を漏洩された本人に関しても、精神的苦痛を与えられたとして、訴訟が起こされ、実際に漏洩された側の被害者は勝訴している判例がある。
[編集] 構成
- 第1章 総則
- 第1条(目的)
- 第2条(定義)
- 第3条(基本理念)
- 第2章 国及び地方公共団体の責務等
- 第4条(国の責務)
- 第5条(地方公共団体の責務)
- 第3章 個人情報の保護に関する施策等
- 第1節 個人情報の保護に関する基本方針
- 第2節 国の施策
- 第3節 地方公共団体の施策
- 第4節 国及び地方公共団体の協力
- 第4章 個人情報取扱事業者の義務等
- 第1節 個人情報取扱事業者の義務
- 第25条(開示)
- 第2節 民間団体による個人情報の保護の推進
- 第1節 個人情報取扱事業者の義務
- 第5章 雑則
- 第6章 罰則
[編集] 関連項目
[編集] 外部リンク
- 個人情報の保護に関する法律 (法令データ提供システム)
- 首相官邸・個人情報の保護に関する法律
- プライバシーマーク制度
- 情報セキュリティマネジメントシステム(ISMS)適合性評価制度
- 個人情報の保護に関するガイドラインについて (内閣府)
