個人情報の悪用にようやく歯止め
個人情報保護法の制定
国内初!〜民間事業者をも対象とした法律に〜
平成15年5月30日一部施行――→平成17年春本格スタート


 知らない業者から、ダイレクトメールが届いたり、セールスの電話がかかってくることはありませんか。しかも、その内容は私たちの年齢・好み・家族構成などを知っているかのようなものも少なくありません。ITの発達により、個人情報が大量・広汎に流通する現代、こうした個人情報の保護は急務となっていました。

民間事業者も対象としたはじめての保護立法

 個人情報は、法的規制のないまま、民間においては1人につきいくらと、広く売買の対象となっています。私たちが何気なく書き込んだアンケートの結果が無断で多くの業者に出回ったり、悪質な名簿業者が多重債務者の詳細なリストを作ってこれがいわゆる「ヤミ金」のカモとして利用されるなど、個人情報の法的な無秩序状態は大きな社会問題ともなってきました。
 現代では、これら個人情報は、コンピュータによって容易に整理したりコピーしたりすることが可能です。まして、インターネットを通じて電子商取引が日常的に行なわれるようになると、膨大な個人情報が瞬時に行き交うようになります。こうした便利な時代は、同時に、私達のプライバシーが危機に瀕している時代でもあるのです。
 すでに世界では、1980年代に入って、次々に個人情報保護のための法制化が進められてきました。日本においても、このたびようやく、「個人情報の保護に関する法律」(個人情報保護法)という基本法が制定されました。しかもこの新法は、民間事業者が所持する個人情報を対象にした初めての法律です。

基本理念に個人の尊重と慎重な取扱いを明記

 まず、個人情報は、「個人の人格尊重の理念の下に慎重に取り扱われるべきものであること」が、大前提の基本理念として明記されました(3条)。
 その適正な取扱いのためには、国・地方公共団体・政府が、必要な施策を実施する責務があることも明文化され(4〜6条)、そのために政府は、個人情報の保護についての基本方針を作成することになります(7条)。
 これらの基本法の内容は、公布の日である平成15年5月30日から施行されています。
 ちなみに、新法でいう個人情報とは、生存する個人に関する情報で、氏名・生年月日等で特定の個人を識別できる情報をいいます(2条1項)。

平成17年春からの本格スタートをめざして

 そして、新法で初めて規制されることになった民間事業者についての規定は、公布の日から2年以内の施行が予定され、平成17年春の実施が目指されているところです。
 規制の対象となる民間事業者は、コンピュータで検索できるような個人情報の体系的なデータベースを、事業のために利用する者です(個人情報取扱事業者、2条2・3項)。しかし、取り扱う個人情報が少ない場合(政令で5000人未満とする方向)など、個人の権利・利益への侵害が少ないと思われる者については対象外とされる予定です。
 これらの業者には、以下のとおりの義務が課せられることになります。ただし、民間事業者が個人情報を有用に利用することを阻害することがないよう、この義務は、個人の権利・利益を保護するための必要最低限の規制に止められることとなりました。

利用目的を特定しその範囲で安全に利用

(1) 利用目的の特定(15条)
 個人情報を取り扱う際には、その利用目的をできる限り特定しなければならない。たとえその目的を変更するときにも、当初の目的と関連性が認められる範囲内でしか変更できない。
(2) 目的外の取扱いの禁止(16条)
 利用目的の範囲を超えて個人情報を取り扱ってはならない。目的外の収集・利用・提供等には、事前の、本人の同意が必要。
(3) 取得の際は利用目的を通知(18条)
 個人情報を取得した際にはあらかじめ利用目的を公表しておくか、本人に利用目的を通知・公表しなければならない。目的を変更する場合も同様。とくに、本人との間で交わした契約書や本人が直接記載した書面(アンケート等)の内容を取得するには、その利用目的を明示しておく必要がある。
(4) 適正な取得の義務づけ(17条)
 個人情報の取得には、偽りその他不正な手段を用いてはならない。
(5) 内容の正確性の確保(19条)
 個人データは、利用目的の範囲内で、正確でしかも最新の内容としなければならない。
(6)  安全管理義務(20〜22条)
 個人データは漏洩・滅失・棄損等がないよう、安全管理のための必要適切な措置をとらねばならない。従業員やデータ作業の委託先に対しても、そのための適切な監督をすること。
(7) 第三者への提供の制限(23条)
 原則として、事前の本人の同意なく、個人データを第三者に提供してはならない。ただし、第三者への提供を利用目的としており、本人の請求があれば第三者への提供を停止する措置がとられるなら、あらかじめその旨及び提供される個人データの項目・手段・方法を通知等していれば、とくに同意を要しない。

本人への開示等本人の意向を尊重

(8) データの本人への開示・訂正(24〜26条)
 業者の氏名・利用目的などは本人が知ることのできる状態にしておき、本人が開示を求めた際には、遅滞なく個人データを開示しなければならない。さらに本人からデータ内容を訂正するよう求められたら、必要な調査を行ないすぐに訂正しなければならない。これらを拒否する際にはその理由を開示する必要がある。
(9) 利用停止等の請求権(27条)
 利用目的を超えて、あるいは不正な手段で取得された個人情報については、本人からの請求で利用停止や消去を求めることができる。また、本人の同意なしに第三者に提供された場合も、本人からの請求で提供停止できる。ただしこれらの措置が困難で、これに代わる必要な措置をとるときは除外する。
(10) 苦情の処理(31条)
 個人情報の取扱いに関する苦情を適切・迅速に処理するように努める。

主務大臣が事業者に勧告・命令

 こうした義務を積極的に果たすために、民間に自主的な支援組織をつくり、主務大臣の認定を受けることができます(認定個人情報保護団体、37条)。この団体が中心になり、苦情の処理や個人情報保護のための指針を作成することが期待されています。
 さらに、主務大臣(雇用管理に関しては厚生労働大臣など、各事業を所管する大臣)は、必要な限度で、業者から報告させたり助言することができると定めました(32・33条)。右の各義務が守られず、個人の権利・利益を保護するために必要なときには主務大臣は「勧告」を出します。それでも是正されず、権利・利益の侵害が切迫しているときにはさらに「命令」を出すこととなります。とくに、利用目的の範囲を超えた行為や不正な情報入手、または安全管理上の違反があって、重大な影響が出るときには緊急に、当該違反行為の中止や必要な措置を命令することもできます(34条)。これらの命令に応じないときには、6ヶ月以下の懲役または30万円以下の罰金に処せられます(56条)。

報道機関・政治団体等は適用除外

 しかし、国が、不必要に個人情報に介入し、「管理」するようなことになっては大変です。表現の自由・学問の自由・信教の自由等は、民主主義の根幹ともいえるもので、これらの人権を侵害されることがないよう十分配慮することが必要です。
 そこで、主務大臣はこれらの自由を妨げないことが明記される(35条1項)とともに、次の分野については、前述の1)〜10)の義務や主務大臣の関与の規定は適用しないことを定めました(50条)。
 さらに、上の(a)〜(e)に対して個人情報を提供する場合にも、主務大臣の権限は及びません(35条2項)。
 これらの分野では、自主的に、安全管理や苦情処理等を確保するための措置をとり、かつ公表することが要請されています。
 一方、逆に、とくに慎重な取扱いを要するような特別な情報については(たとえば医療情報・信用情報等)、今後、個別の法律を制定するなどさらに必要な措置がとられることとなります。


 すべての行政文書を網羅
学校の成績・入試結果・診療記録も開示の解消に
行政機関個人情報保護法
……個人情報保護法とともに平成17年春スタート

民間より厳格に――国民の信頼を得るために


  行政機関は、民間以上にさらに膨大な個人情報を有しています。プライバシーの保護を明確にしなければ、個人の自由・権利は国家により簡単に脅かされることとなります。
 そこで、行政機関には、民間より一層厳格な個人情報保護のルールを定めることとし、「行政機関の保有する個人情報の保護に関する法律」が制定されました。これは、1988年に制定された「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」を全面的に改正したものとなっています。以下、従来の旧法に対する主な改正点についてとりあげましょう。
 なお、この改正法についても、前述の個人情報保護法と同じく、公布の日から2年以内に施行される予定です。

すべての行政文書が保護の対象に

 まず、改正法は、保護する個人情報の対象を、行政機関が組織として用いるすべての行政文書に拡大しました(2条3項)。旧法では電子計算機で処理した情報だけに限定していますが、情報の形態は問わず(文書・図画・写真・フィルム・フロッピー・CD等々)、また決裁前の文書も含むこととしました(ただし個人的なメモなどはのぞく)。
 さらに、旧法でも本人に対してはその個人情報が開示されていましたが、その内容から、教育・医療情報の一部は除外されていました。今改正により、これら学校教育に係る成績評価と入試の記録、病院・診療所・助産所の診療記録の情報も開示の対象となりました(ちなみに、行政のもつ情報は「情報公開法」−「そよ風」112号参照−によって公開されるが、個人情報は原則として非公開となっている)。
 また、開示に止まらず、本人からの情報の訂正権を新たに設けたほか、違法な手段で情報を取得したときや利用目的の範囲を超えて利用されているときには、その利用の停止等を請求する権利も盛り込まれました(27・36条)。
 これらの権利が認められない場合には、不服申立てをすることができます。旧法では、第三者による判断を仰ぐことはできませんでしたが、今改正により、第三者機関である「情報公開・個人情報保護審査会」に必ず諮問することとなりました(42条)。これは、情報公開法に基づく従来の情報公開審査会が、本法の施行をまって新たに改組されるものです(「情報公開・個人情報保護審査会設置法」)。この改正により、不服申立ての救済の実行性が高められることが期待されます。

ファイルの作成には事前のチェックも

 個人情報の取扱いについては、利用目的の特定やその目的の範囲内での取扱いなど、基本的に、民間の場合と同じ義務が課せられています。ただ、民間には最低限の法的な規制に止めたのに対し、行政機関にはより厳格・具体的な規定がなされています。
 たとえば、個人情報ファイルの作成には、ファイルの名称・利用する組織の名称・利用目的・記録項目・収集方法・提供先などを事前に総務大臣に通知し、チェックを受ける仕組みになっています。そして、そのファイルは公表しなければなりません(第3章)。
 また、個人情報の開示・不開示の基準及び開示・訂正・利用停止を請求する際の手続きの方法なども、法律の中で詳細に規定されています。
 このほか、行政機関は、違反があれば直ちに罰則が適用されます(第6章)。民間では、勧告→命令→罰則という手順がとられるのと比べ、厳しい規定といえるでしょう。たとえば、職員・元職員や委託先の従業員・元従業員が個人情報を漏らした場合には、2年以下の懲役または100万円以下の罰金に処せられます(53条)。
*       *       *

 平成17年春のスタートをめざして、今後、さらに政令等が具体的に整備されていきます。




ホームページへカエル
「最近の法令改正」目次にもどる
次のページ(健康増進法の制定)に進む