スタートページWeb教材一覧法規・基準

個人情報保護法

学習のポイント

個人情報保護法(個人情報の保護に関する法律)が2003年に公布され,2005年4月から全面施行されました。その後、数回の改定が行われてきました。ここでは,個人情報保護法の概要と関連法規・基準などについて学習します。

キーワード

個人情報,個人情報保護法,個人情報取扱事業者,プライバシー,行政個人情報保護法,OECD8原則,プライバシーマーク


個人情報保護法の概要

個人情報保護法は正式には「個人情報の保護に関する法律」といいます。
法律全文」 http://law.e-gov.go.jp/htmldata/H15/H15HO057.htmlにあります。
概要や解説:首相官邸サイトhttp://www.kantei.go.jp/jp/it/privacy/houseika/hourituan/

個人情報保護法の目的

個人情報保護法の目的は第1条で示されています。

第1条の図解 (拡大図)

個人情報保護法での用語の定義

用語の定義 (拡大図)
個人情報
個人情報とは,生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
  • 日本国民だけでなく、外国に居住している外国人も対象になります。
  • 「死亡した個人」についてはこの法律では対象にしていません。
    (故人であっても、遺族などの権利や利益を侵害する場合は、個人情報保護法ではなく、刑法や民法など他の法律の対象になることがあります)
  • 「個人」ですので,会社や団体などの名称や住所などは対象になりません。
  • 氏名や生年月日でなくても、個人が特定できる情報は個人情報になります。例えば「○○村居住43歳の××村役場職員」ならば特定の個人を認識できましょう。
  • 文字データだけでなく、写真や音声なども個人情報になります。
  • 「keizai_ichiro@meti.go.jp」のように、構成する文字列やドメイン名によって特定の個人を識別できるメールアドレスは,個人情報になります。
  • 個人名ではなくコードであっても、個人マスタファイルなどを参照すれば個人を識別することができます。しかし、そのマスタファイルとの照合が容易にできないならば、個人情報とはいえません。
個人データ
個人情報が含まれているデータのことで、次のように定義しています。
  • 個人情報データベース:「個人情報を含む情報の集合物で,特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの」
  • 個人情報データベース等:「個人情報を一定の規則に従って整理することにより特定の個人情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次、索引その他検索を容易にするためのものを有するもの」
  • 個人データ:「個人情報データベース等を構成する個人情報」
ですから,カルテや指導要録等、紙面で処理した個人情報を一定の規則(例えば、五十音順、年月日順等)に従って整理・分類しものや,名刺を一定の規則で保管したものは「個人情報データベース等」になり、それを構成している1枚の紙や1枚の名刺が「個人データ」になります。
何のデータであるかは無関係です。犯罪歴や学歴などだけでなく、単に電話番号や年齢を示したものも個人データになります。
(注)匿名加工情報
近年、情報通信技術の進展により、膨大なパーソナルデータが収集・分析される、ビッグデータ時代が到来してきました。その利活用は国民生活に大きなメリットがあるといわれています。反面、そのデータには個人情報が含まれることが多くあります。
ビッグデータ特定の個人を識別することができないように個人情報を加工したものを匿名加工情報と定義し、その加 工方法を定めるとともに、事業者による公表などその取扱いについての規律を設けることが検討されています。
個人情報取扱事業者
個人情報データベース等を事業の用に供している者。
  • ただし、次のものは適用除外になります。
    国や地方公共団体等:この法律とは別に「行政等個人情報保護法」(後述)が適用されます。
    報道,学術研究,宗教,政治などの団体も,それぞれの本来の業務遂行の観点から除外しています(自主的な取組みが期待されています)。
    (注)以前は「個人情報の量が5000人分以下のものは除く」とされていましたが、平成27年の改正により撤廃され、個人情報の多寡に関わらず個人情報取扱事業者となりました。
  • ここで「事業の用」とは,業務の一環として用いることで,従業員の給与計算も事業の用ですから,従業員の個人情報も個人データになります。
    営利目的でなくても「事業」になります。趣味の同好会で会員名簿を記録しているならば、個人情報取扱事業者になります。
    反面、倉庫業、配送業、データセンター(ハウジング、ホスティング)等の事業において、当該情報が個人情報に該当するかどうかを認識することなく預かっている場合は、「事業の用」ではないとして、個人情報の数には入れません。
(補足)電話帳と個人情報
電話会社から提供される電話帳には、大量の個人データが掲載されており、五十音別などで整理されているので、形式的には「個人情報データベース等」に相当します。
しかし、電話帳を「事業の用」に用いていても個人情報取扱事業者にはなりません。本人が電話帳に掲載することに同意しており、氏名、電話番号、住所以外の付帯情報がないことから、さらに、社会的な便宜や通念から、公開された個人情報として、個人データの数(5000人)から除外してよいことになっています。また、「個人情報取扱事業者の義務」(後述)の対象外になっています、
しかし、電話帳から特定の人を抽出したり、追加情報を付けたりしたものは一般の個人情報データベース等に相当します。
市販のカーナビゲーションシステム内の個人情報についても電話帳と同じ扱いになります。
参照:経済産業省「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」( http://www.meti.go.jp/policy/it_policy/privacy/041012_hontai.pdf
保有個人データ
個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの又は一年以内の政令で定める期間以内に消去することとなるもの以外のものをいう。
保有個人データに関しては,本人から請求があったときには,訂正や削除をする責任があります。
  • データ入力やコンピュータ処理を受託したり,配送を受託したりして受けた個人データは,それらのデータは自社で勝手に開示,訂正等をする権限を持っていないのですから,保有個人データではありません。
  • 短期間に廃棄が予定されている個人データも保有個人データには入りません。
    アンケートのデータのように、集計処理が終了した時点で、個人が特定できるデータが不要になるものがあります。年齢別などに集計したデータは複数個人が1つのデータになるので、個人情報は含まれないので、元の個別データを廃棄すれば、個人情報保護法の対象になる情報はもっていないことになります。

個人情報保護法の体系

個人情報保護法の構成は次の通りです。

第1章から第3章までは,行政等も含む個人情報保護を総合的に推進する基本的な枠組みを示した基本法であり,第4章~第6章は,民間事業者が個人情報取扱での義務を規定した一般法になっています。基本法の部分は公布の日(2003年5月30日)から施行,一般法の部分は2005年4月1日から施行されました。


関連事項

「個人情報」と「プライバシー」

一般に個人情報は次のように区分されます。

公知情報
氏名や住所など,日常的に公表しているもの
非公知情報
職業や学歴など,あえて秘密にはしないが,広くは知られたくないもの
機微情報
思想,宗教,病歴,犯罪歴など,秘密にしたいもの。センシティブ情報ともいいます。

個人情報保護法では,個人情報の内容が示されていません。それは,公知情報も含むすべての情報を対象にしているからです。氏名と住所だけの一覧表も個人情報の対象になります。
 個人情報に似た概念に「プライバシー」があります。プライバシーとは,そもそも「他人から個人の静穏を侵害されない自由」という概念でしたが,最近では「個人情報へのアクセスをコントロールする権利」であると認識されるようになり,個人情報保護と近くなってきました。それでも公知情報をプライバシーとするのは一般的ではないでしょう。また,プライバシー保護では,芸能スキャンダルのような個人により異なる情報を対象にしているのに対して,個人情報保護では多数の人に共通する情報を対象にしている傾向があります。しかし,プライバシーの概念が個人情報と似てきましたので,通常の場合は,あえて区別する必要はないと思います。

個人情報漏洩の経路等

個人情報の漏洩は,コンピュータやネットワーク経由だけではありません。統計によると紙による漏洩が約半分を占めるのです。また,パソコンや記憶媒体の紛失や盗難による漏洩も多いのです。

(拡大図)

個人情報取扱事業者の義務等

個人情報保護法の「第4章第1節 個人情報取扱事業者の義務(第15条~第36条)」のポイントを列挙します(「第○条」のような表記がありますが,法律の条文は正確を期すあまり,あまりにも冗長ですので,要点だけにしてあります)。

利用目的の特定,利用目的による制限(個人情報)
利用目をできる限り特定しなければならない。利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない。(第15条)
特定された利用目的の達成に必要な範囲を超えて取り扱ってはならない(第16条)

個人情報を収集するときには,それを何に使うのかを本人に伝え,それ以外の目的に使うなということです。例えば,アンケートに使うとして取得したものをダイレクトメールなどに使ってはいけません。そのような利用をする予定があるときには,アンケート用紙に明記するなど,あらかじめ本人に示しておく必要があります。
適正な取得,取得に際しての利用目的の通知等(個人情報)
偽りその他不正の手段により取得してはならない。(第17条)
名簿業者などから,個人情報保護法に違反していることを知っていて利用するような場合は、不正手段による取得になります。
取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。(第18条)

データ内容の正確性の確保(個人データ)
個人データを正確かつ最新の内容に保つよう努めなければならない。(第19条)
このように「努めなければならない」という表現を努力規定といいます。厳格に「正確かつ最新の内容に保つ」のは現実には多くの困難がありますので,そのような努力をしていれば,実際に「正確かつ最新の内容に保」たれていないデータがあっても違反とはしないという意味です。
安全管理措置,従業者・委託先の監督(個人データ)
取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。(第20条)
従業員・委託先に対して必要な監督を行わなければならない(第21、22条)

これらの規定は,実務では大きな影響を持っています。
第20条での適切な措置とは,社内体制を整備し,マニュアルを整備して遵守させ,情報システムの情報セキュリティ対策を向上させるなど,かなり大掛かりな対策を講じる必要があります。
第22条の「委託先監督義務」では,個人情報取扱事業者である大企業が,5000人以下の個人データに関する業務を中小企業に委託したとき,大企業は中小企業が個人データの保護に関する体制を整備することを要求します。中小企業がその体制が整備できていなければ,受注することができなくなることもあります。逆に,それが整備できている中小企業は受託の機会が増大します。法律的には対象にならなくても,現実には個人情報取扱事業者に準じる体制整備が求められているのです。
第三者提供の制限(個人データ)
本人の同意を得ないで、個人データを第三者に提供してはならない。(第23条)
次の場合は、本人の同意なしに提供できます。
  • 1 法令に基づく場合
  • 2 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
    例:暴力団などの反社会的勢力情報や業務妨害行為を行う悪質者の情報を企業間で共有した。
  • 3 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
    例:児童虐待のおそれのある家庭の情報を,児童相談所,警察,学校などで共有した。
  • 4 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
    例:警察から捜査令状に基づく情報提供を求められたので,従業員の個人情報を渡した。
公表等,開示,訂正等,利用停止等(保有個人データ)
利用目的等を本人の知りうる状態に置かなければならない(第24条)
本人の求めに応じて保有個人データを開示・訂正・利用停止等を行わなければならない(第25,26,27条)

これらは無条件で本人の要求に従えというのではなく,誤りがあることが確かであるとか,利用停止要求はそのデータが違法に入手・利用されているなどの場合に限定されます。しかし,次の「苦情の処理」と合わせて,迅速に対処することが必要になります。
苦情の処理(個人情報全般)
苦情の適切かつ迅速な処理に努めなければならない(第31条)

行政との関係

個人情報取扱事業者が義務規定に違反し,個人の権利利益保護のため必要がある場合には,主務大臣は,報告の徴収や必要な助言を行い,勧告に従わないときは,適切な命令をすることができます(第32~34条)。そして,報告をせず、又は虚偽の報告をした者は、30万円以下の罰金(第57条),行政命令に違反した者は、6月以下の懲役又は30万円以下の罰金(第57条)が科されます。
 個人情報保護法では,漏洩が明らかになったからといって,直ちに事業者が罰せられるのではありません。行政命令に従わないときに罰せられるのです(間接罰)。罰せられるのは漏洩をした当事者と事業者の両方です(両罰制)。

このように,個人情報保護法は個人情報取扱事業者の義務等を明確にすることにより個人情報の保護を図ろうとするものであり,個人情報の不正な取扱により生じた事業者と被害者の間のトラブルに関して取り決めたものではありません。その点では交通法規と同じような性格です。
 個人情報保護法では,事業者と被害者の間のトラブルは,原則として当事者間の話し合いや裁判で解決することとし,それで解決できないときは,行政が苦情の申し立てを受ける仕組みになっています。

苦情処理の仕組みの図解

行政個人情報保護法

個人情報保護法では民間だけを対象にしていました。それは,国や地方公共団体には「行政機関等の個人情報保護に関する法律」があるからです。これには,
 行政機関の保有する個人情報の保護に関する法律
 独立行政法人等の保有する個人情報の保護に関する法律
 情報公開・個人情報保護審査会設置法
 行政機関の保有する個人情報の保護に関する法律等の施行に伴う関係法律の整備等に関する法律
があります。2003年5月30日に個人情報保護法と同時に公布されました( http://www.soumu.go.jp/gyoukan/kanri/kenkyu.htm)。


個人情報保護関連の内外の動きと基準等

歴史的推移と相互関係

OECD8原則

1980年にOECD(経済協力開発機構)理事会は,「プライバシー保護と個人データの国際流通についての勧告」を採択しました。

目的明確化の原則
収集目的を明確にし,データ利用は収集目的に合致するべき
利用制限の原則
データ主体の同意がある場合,法律の規定による場合以外は目的以外に利用使用してはならない
収集制限の原則
適法・公正な手段により,かつ情報主体に通知又は同意を得て収集されるべき
データ内容の原則
利用目的に沿ったもので,かつ,正確、完全、最新であるべき
安全保護の原則
合理的安全保護措置により,紛失・破壊・使用・修正・開示等から保護するべき
公開の原則
データ収集の実施方針等を公開し,データの存在,利用目的,管理者等を明示するべき
個人参加の原則
自己に関するデータの所在及び内容を確認させ,又は意義申立を保証するべき
責任の原則
管理者は諸原則実施の責任を有する

この8原則は,個人情報保護法の基礎になっています。両者には次の対応があります。

  目的明確化の原則,利用制限の原則   第15条,第16条,第23条
  収集制限の原則            第17条
  データ内容の原則           第19条
  安全保護の原則            第20条~第22条
  公開の原則,個人参加の原則      第18条,第24条~第27条
  責任の原則              第31条

各省庁の「個人情報保護法ガイドライン」

個人情報取扱事業者には,婦人用アクセサリーの通信販売会社,病院,金融機関など多様な業種・業態があり,それぞれの業種・業態により,取扱う個人情報も異なるし,重視するべき観点,具体的な手段も異なります。それで,個人情報保護法では,あいまいな表現が多く,具体的に遵守手段を講じるのには不十分です。
 それで,各省庁が所轄の分野でのガイドラインを策定しています。

例えば経済産業省のガイドラインは,「経済産業分野」における事業者等が行う個人情報の適正な取扱いの確保に関する活動を支援する具体的な指針として定めるもので,個人情報保護法や関連政令を逐条的に解説するとともに,理解を助けるための具体的な例を示しています。また,本ガイドラインのなかで,「しなければならない」と記載されている規定は,それに従うことが強制される義務規定であり,「望ましい」と記載されている規定については、できるだけ取り組むべき努力規定であるとされています。

また,業界での自主的なガイドラインもあります。実際には,これらのガイドラインに従って,具体的な対策を行うことが求められます。

JIS Q 15001

「JIS Q 15001:2006 個人情報保護マネジメントシステム-要求事項」( http://www.meti.go.jp/policy/it_policy/privacy/jis_shian.pdf)は、個人情報保護法との整合性をとったJIS規格です。

個人情報保護をマネジメントシステムとして確立し、改善を進めるために、実践すべきことが体系的に示されています。
 その構成は次の通りです。
  3 要求事項
  3.1  一般要求事項
  3.2  個人情報保護方針
  3.3  計画
      「個人情報の特定」「法令、国が定める指針その他の規範」
      「リスクなどの認識、分析及び対策」「緊急事態への準備」など
  3.4  実施及び運用
      「運用準備」「取得,利用及び提供に関する原則」「適正管理」
      「個人情報に関する本人の権利」「教育」
  3.5  個人情報保護マネジメントシステム文書
  3.6  苦情及び相談への対応
  3.7  点検
  3.8  是正処置及び予防処置
  3.9  事業者の代表者による見直し

プライバシーマーク

プライバシーマーク

個人情報保護法と整合性を持つJIS規格JIS Q 15001(個人情報保護マネジメントシステム-要求事項)について、組織がこの規格にそった体制を整備し実践しているかを第三者認証するのが、プライバシーマーク制度です。
日本情報経済社会推進協会(JIPDEC)「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン【第2版】」
http://privacymark.jp/reference/pdf/guideline_V2.0_140114.pdf

審査に合格すると、右図のプライバシーマークを会社内に掲示したり、Webページに表示したりできます。それにより、法律への適合性はもちろんのこと、自主的により高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることをアピールできます。特に、BtoCサイトのように、個人情報を入力させるページでは、このマークがあることにより、利用者の信頼を得ることができます。

個人情報保護法は法律遵守という最低限のレベルを規定したものであり,それ以上に実務で実践しており,さらに向上に努めていることを示すのがプライバシーマーク制度だと理解するのが適切です。


過剰反応の弊害

個人情報の保護は大切なことは重要ですが,それはあくまでも対象になる個人の権利を保護することが目的です。また,常識的な範囲で運用されるべきです。
 ところが,個人情報に過剰な反応をする傾向が強くなり,その弊害も現れるようになりました。

個人の過剰反応
 ・国勢調査を拒否する
 ・学校の連絡網が作れない
 ・地域の回覧板のルートが表示できない
 漏洩して困る情報の常識的な判断が求められます。

組織の過剰反応
 ・行政が民生委員に老人世帯の情報を提供しない
 ・災害時に病院が収容者の情報を提供しない
 ・家族失踪にホテルやレンタカーの記録を教えない
 ・製品リコールで,購入者の記録が廃棄されている
 個人情報を保護することが目的ではなく,組織あるいは担当者の責任逃れの手段とされていることがあります。

公務の過剰反応
 ・公務員の犯罪で氏名を公表しない
 ・要職幹部の学歴・職歴を公表しない
 ・国会議員の財政状況を公表しない
 これらは,国民の知る権利,公務へのチェック機能を阻害することになります。

このような弊害を回避するために,「なぜ個人情報を保護するのか」という法の精神を理解することが大切です。


理解度チェック

第1問

  1. 名刺を企業別や氏名順などで整理すると個人情報データベース等に該当するので,名刺を交換するときには,そのように整理すること,その利用目的を伝えることが必要である。現実にはこのようなことをする人は少ないが,法律的にはそれが要求されていると考えるべきである。
    ○ 暗黙の了解がなされていると考えられる
  2. 市の主催で子供向けのパソコン教室を開催した。それを支援したパソコンメーカーがアンケートをしたのだが,そこには保護者の氏名,住所,パソコンの有無などの項目があり,後日保護者あてにメーカーからダイレクトメールが送られた。アンケートにはそれに関する記述があったので,メーカーの行動は個人情報保護法に抵触したとはいえない。
    ○ アンケート用紙に記入したことで用途通知がなられたといえる
  3. 個人のインターネット活用に関するアンケートを行った。アンケートの謝礼を送るために回答者の住所氏名も回答させたが,アンケートデータをコンピュータに入力する段階でそれらは入力せず,入力後は回答用紙は適切な処分をした。それでもコンピュータにあるアンケートデータがあるのだから,これは個人情報である。
    × コンピュータデータには個人情報は記録されていない
  4. A社(製造業)では,顧客情報を4500,社員情報を300,その他の個人情報を400持っている。このうち社員情報は個人情報とはいえないので,A社は個人情報取扱事業者ではない。
    × 社員情報も個人情報としてカウントされる
  5. 個人情報が5000人以下の企業では,個人情報が漏洩しても訴えられることはない。
    × 個人情報の訴えは民法でも行える。
  6. A社では,5000人を超える顧客があるが,コンピュータ処理はすべてアウトソーシングしているので,自社内にある個人情報は非常に少ない。このような場合では,A社は個人情報取扱事業者ではない。
    × 委託していてもA社の管理下にある
  7. 大学は学術研究をしているので,在学生や卒業生の個人情報が5000を超えていても,個人情報取扱事業者ではない。
    × 例外規定は学術研究の対象データだけに適用
  8. A団体は,老人福祉を目的とした非営利団体である。それで5000人を超える老人の情報とボランティアの情報を持っているが,利益を目的としているのではないから,個人情報取扱事業者ではない。
    × 営利目的か否かには無関係
  9. A社では,NTTの電話帳をそのまま用いてダイレクトメールを発送している。このたび,発送先から,電話帳の自分が記載している部分を塗りつぶすよう要求された。この要求には従う義務がある。
    △ 電話帳そのものは対象外。でもそれに区分等をつけて整理したとなるとグレーゾーン
  10. A社では個人情報が漏洩したことが警察の内偵で発覚し,経営者と漏洩に関与した者が検挙された。
    × 漏洩被害者だけが訴えることができる

第2問

  1. インターネットの検索エンジンなどにより,個人情報漏洩の事例をいくつか探し,それが本文の「個人情報取扱事業者の義務等」でのどれが不十分だったことにより発生したのかを示しなさい。
  2. 本文にあった経済産業省「個人情報の保護に関する法律についての経済産業分野を対象としたガイドラインの策定」平成16年6月(http://www.meti.go.jp/feedback/downloadfiles/i40615hj.pdf)では,いろいろと事例が掲載されています。2ページ~6ページを読んで,興味を持った事例をいくつかあげて,どうしてそれが個人情報あるいは個人情報データベース等であるのか,そうでないのかの理由を述べなさい。

過去問題:「個人情報保護法」