Web教材一覧法規・基準

個人情報保護法の概要

キーワード

個人情報保護法、個人データ、個人情報データベース等、個人情報取扱事業者


「個人情報の保護に関する法律」(平成15年)http://www.kantei.go.jp/jp/it/privacy/houseika/hourituan/の目的は、次の通りです。

この法律は、
 高度情報通信社会の進展に伴い
 個人情報の利用が著しく拡大していることにかんがみ、
 個人情報の適正な取扱いに関し、
  基本理念及び政府による基本方針の作成
  その他の個人情報の保護に関する施策の基本となる事項を定め、
 国及び地方公共団体の責務等を明らかにするとともに、
 個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、
 個人情報の有用性に配慮しつつ、
 個人の権利利益を保護する
ことを目的とする。

ここでは、「個人情報の定義」と「個人情報取扱事業者の責務」に関する事項について説明します。

個人情報保護法での用語の定義

用語の定義 (拡大図)
個人情報
「個人情報とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの」とされています。
  • 電話番号:個人が識別できるので個人情報になります。
  • 住所:市区町村レベルでは識別できないが、番地まであれば識別できます。
  • メールアドレス:「abc123@nifty.co.jp」のようなものは、これだけで個人を特定するのは困難ですが、「kogure_hitoshi@keizai.hongou.tokyo-univ.ac.jp」のようなものは個人情報になります。
  • 写真:不特定多数が写っているものは該当しないが、一人で写っているものや防犯カメラなどに写っているものは個人情報になります。
個人データ
個人情報データベース等を構成する個人情報のことです。
個人情報データベース
「個人情報を含む情報の集合物で、特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの」を個人情報データベースといいます。
個人情報データベースに「個人情報を一定の規則に従って整理することにより特定の個人情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次、索引その他検索を容易にするためのものを有するもの」を加えて個人情報データベース等といいます。
 すなわち、個人情報データベースはコンピュータ内のことですが、それに「等」がつくと、紙の情報も含まれます。ですから、カルテや指導要録等、紙面で処理した個人情報を一定の規則(例えば、五十音順、年月日順等)に従って整理・分類しものや、名刺を一定の規則で保管していれば、それも個人情報データベース等になります。
個人情報取扱事業者
個人情報データベース等を事業の用に供している者で、国や地方公共団体等および個人情報の量が過去6ヶ月以内で5000人分以下のものは除くとしています。
 ここで「事業の用」とは、業務の一環として用いることで、従業員の給与計算も事業の用ですから、従業員の個人情報も個人データになります。
保有個人データ
個人情報取扱事業者が開示、訂正等の権限を有する個人データです。すなわち、保有個人データに関しては、本人から請求があったときには、訂正や削除をする責任を持つことになります。
 データ入力やコンピュータ処理を受託したり、配送を受託したりして受けた個人データは、それらのデータは自社で勝手に開示、訂正等をする権限を持っていないのですから、保有個人データではありません。また、6ヶ月以内に廃棄が予定されている個人データも保有個人データには入りません。

個人情報取扱事業者の義務等

利用目的の特定、利用目的による制限(個人情報)
利用目的をできる限り特定しなければならない(第15条)
特定された利用目的の達成に必要な範囲を超えて取り扱ってはならない(第16条)
適正な取得、取得に際しての利用目的の通知等(個人情報)
偽りその他不正の手段により取得してはならない。(第17条)
取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。(第18条)
データ内容の正確性の確保(個人データ)
個人データを正確かつ最新の内容に保つよう努めなければならない。(第19条)
安全管理措置、従業者・委託先の監督(個人データ)
取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。(第20条)
従業員・委託先に対して必要な監督を行わなければならない(第21、22条)
第三者提供の制限(個人データ)
本人の同意を得ないで、個人データを第三者に提供してはならない。(第23条)
公表等、開示、訂正等、利用停止等(保有個人データ)
利用目的等を本人の知りうる状態に置かなければならない(第24条)
本人の求めに応じて保有個人データを開示・訂正・利用停止等を行わなければならない(第25、26、27条)
苦情の処理(個人情報全般)
苦情の適切かつ迅速な処理に努めなければならない(第31条)

行政・訴訟との関係

個人情報保護法では、漏洩が明らかになったからといって、直ちに事業者が罰せられるのではありません。
 個人情報取扱事業者が義務規定に違反し、個人の権利利益保護のため必要がある場合には、主務大臣は、報告の徴収や必要な助言を行い、勧告に従わないときは、適切な命令をすることができます(第32~34条)。そして、報告をせず、又は虚偽の報告をしたとき、行政命令に違反したときに罰せられるのです(第57条、第57条)。
 罰せられるのは漏洩をした当事者と事業者の両方です(両罰制)。

このように、個人情報保護法は個人情報取扱事業者の義務等を明確にすることにより個人情報の保護を図ろうとするものであり、個人情報の不正な取扱により生じた事業者と被害者の間のトラブルに関して取り決めたものではありません。
 個人情報が漏洩したときには。被害者は個人情報保護法ではなく、民法により損害賠償を請求することになります。


本シリーズの目次へ