用户:Hamham/个人信息保护法(日本)

关于个人信息保护的法律
日本国政府国章(准)
日本法律
通称、简称个人信息保护法
编号平成15年5月30日法律第57号
种类经济法
效力现行法
成立2003年,​21年前​(2003
内容总则
国及び地方公共団体の责务等
个人情报の保护に関する施策等
个人情报取扱事业者の义务等
雑则
罚则
相关不正当竞争防止法
个人信息保护法施行令等
链接个人情报の保护に関する法律.e-Gov法令検索

关于个人信息保护的法律(日语:個人情報の保護に関する法律こじんじょうほうのほごにかんするほうりつ、英语:Act on the Protection of Personal Information[1]),是日本颁布的一部以保护个人信息为目的的法律[2]。一般简称为个人信息保护法。该法于2003年平成15年)5月23日生效,其中除了第4-6章外,均立即施行。2年后的2005年(平成17年)4月1日起,该法全面施行。 根据该法及其施行令,无论处理信息的件数多少[注釈 1],将个人信息保存在个人信息数据库中并用于经营的业者即为个人信息处理者。个人信息处理者若违反个人信息保护委员会的命令,或若该处理者的管理人员或职员为了自身或第三方的不法利益将经营中所处理的个人信息数据库对外提供,则应当对该处理者处以刑罚。该法同时也规定了例外规定,在①基于法令等原因、②为了保护人的生命、健康或财产而有必要、③基于公众卫生・儿童健康成长等原因而有必要、④为了配合国家公务等情形时,即使未取得本人同意,也可以将个人信息提供给第三方[3]

概要

编辑

背景

编辑

个人情报保护法が制定された背景として以下の7つが挙げられる[4]

个人信息保护法与隐私权

编辑

在本法中,并没有出现“隐私权”这样的表述,但实际上该法就是以保护隐私权为重要立法目的的。[6]

但另一方面,至于违反本法规定的行为是否直接构成“侵犯隐私权”,学者普遍的观点是持否定说的。[7]

例如在形式上违反本法而对个人信息做了非法使用的情形下,也并不一定直接具有侵犯隐私权的违法性。[8]

反言之,(除了通过与其他信息结合分析从而可特定个人身份的情形)公开个人手机电话号码的行为在一定情形下会被认定为侵犯隐私权。[8]

构成

编辑
章内容 节内容 条数
第一章 总则 第一条-第三条
第二章 国家与地方公共团体的责任等 第四条-第六条
第三章 关于个人信息保护的政策等 第一节 关于个人信息保护的基本方针 第七条
第二节 国家政策 第八条-第十条
第三节 地方公共团体政策 第十一条-第十三条
第四节 国家与地方公共团体的合作 第十四条
第四章 个人信息处理者的义务等 第一节 个人信息处理者的义务 第十五条-第三十五条
第二节 匿名加工信息处理者等的义务 第三十六条-第三十九条
第三节 监督 第四十条-第四十六条
第四节 民间团体对个人信息保护的推进 第四十七条-第五十八条
第五章 个人信息保护委员会 第五十九条-第七十四条
第六章 杂则 第七十五条-第八十一条
第七章 罚则 第八十二条-第八十八条
附则

定期修订

编辑

个人信息保护法规定,每经过三年应当对本法律进行必要的修订:

与个人信息的保护相关的法律 附则(平成二七年九月九日法律第六五号)抄 第十二条3 除前项规定的事项外,政府在本法施行后每三年应当考察个人信息保护的国际动态、信息通信技术的发展以及随之而来的利用个人信息的新产业的发展情况等,就新的个人信息保护法的实行状况作出分析,在有必要时,根据研究结果采取必要的措施。

第一章 总则

编辑

基本理念

编辑

高度情报通信社会の进展に伴い个人情报の利用が著しく拡大していることにかんがみ、个人情报の适正な取扱いに関し、基本理念および政府による基本方针の作成その他の个人情报の保护に関する施策の基本となる事项を定め、国及び地方公共団体の责务等を明らかにするとともに、个人情报を取り扱う事业者の遵守すべき义务等を定めることにより、个人情报の有用性に配虑しつつ、个人の権利利益を保护することを目的とする(第1条)。 个人情报は、个人の人格尊重の理念の下に慎重に取り扱われるべきことに鉴み、その适正な取扱いが図られなければならない(第3条)。

  • “隐私权”这一概念在本法中并未被明文提及。
  • 本法目的不在于对个人信息的使用作出全面且具体的监管措施。

定义

编辑

个人信息

编辑

本法(第二条)中对个人信息的定义如下:

本法中所谓“个人信息”,指与生存中的个人相关的信息中符合下列各项条件者。

一 该信息中包含的姓名、出生年月日及其他记载等(指通过文书、图画或电磁记录(电磁的方式(电子的方式、磁気的方式その他人の知覚によっては认识することができない方式をいう。次项第二号において同じ。)で作られる记录をいう。第十八条第二项において同じ。)に记载され、若しくは记录され、又は音声、动作その他の方法を用いて表された一切の事项(个人识别符号を除く。)をいう。以下同じ。)により特定の个人を识别することができるもの(他の信息と容易に照合することができ、それにより特定の个人を识别することができることとなるものを含む。)

二 个人识别符号が含まれるもの


— 个人信息保护法第二条第1项

上记二号の“个人识别符号”は、第二条の2で次のとおりに定义している:

2 この法律において“个人识别符号”とは、次の各号のいずれかに该当する文字、番号、记号その他の符号のうち、政令で定めるものをいう。

一 特定の个人の身体の一部の特徴を电子计算机の用に供するために変换した文字、番号、记号その他の符号であって、当该特定の个人を识别することができるもの

二 个人に提供される役务の利用若しくは个人に贩売される商品の购入に関し割り当てられ、又は个人に発行されるカードその他の书类に记载され、若しくは电磁的方式により记录された文字、番号、记号その他の符号であって、その利用者若しくは购入者又は発行を受ける者ごとに异なるものとなるように割り当てられ、又は记载され、若しくは记录されることにより、特定の利用者若しくは购入者又は発行を受ける者を识别することができるもの


— 个人信息保护法第二条第2项

与个人相关的信息

编辑

上述的“与个人相关的信息”在本法中并未做具体的定义或举例,但经济产业省公布的《关于个人信息保护相关的法律中以经济产业领域为对象的指引》中,对个人信息保护法中的“与个人相关的信息”作了说明。

不仅限于姓名、性别、出生年月日等可以识别个人身份的信息,还包括个人的身体、财产、职业、头衔等个人属性,以及与事实、判断、评价相关的所有信息。上述信息不分评价信息、公开出版物等已公开的信息或,通过图像视频或音频等信息,也不论是否已采取加密措施进行保密处理(后略)。
— 个人情报の保护に関する法律についての経済产业分野を対象とするガイドライン(pdf) p2

金融庁の‘金融分野における个人情报保护に関するガイドライン’p1にもほぼ同様の记述があるが、最后の暗号に関する记述はない。 金融厅的指引也对“与个人相关的信息”作了如下说明:

“与个人相关的信息”如果通过与姓名等结合从而导致“可以识别特定个人身份”,则属于“个人信息”。
— 金融分野における个人情报保护に関するガイドライン

逝者信息

编辑

本法では个人情报を“生存する个人に関する情报”と限定している(第2条1项)。したがって、死者に関する情报は个人情报に含まれない。ただし前述の‘个人情报の保护に関する法律についての経済产业分野を対象とするガイドライン’には、以下の注意が述べられている:

死者に関する情报が、同时に、遗族等の生存する个人に関する情报でもある场合には、当该生存する个人に関する情报となる。
— 个人情报の保护に関する法律についての経済产业分野を対象とするガイドライン(pdf) p2

金融分野における个人情报保护に関するガイドライン’p1にも同一の记述がある。

外国人と法人

编辑
“生存する个人”には日本国民に限られず、外国人も含まれるが、法人その他の団体は“个人”に该当しないため、法人等の団体そのものに関する情报は含まれない(ただし、役员、従业员等に関する情报は个人情报)。
— 个人情报の保护に関する法律についての経済产业分野を対象とするガイドライン(pdf) p2

其他专业用语的定义

编辑
个人信息数据库等
个人信息数据库等は、个人情报を含む、コンピュータ等で容易に検索できるデータベースや、目次や索引等によって体系的に整理された纸のデータベース等を指す(第2条2项)。コンピュータに入力して検索可能であるか、目次、索引などを有し検索が容易であることが要件であり、未整理の纸の情报等は该当しない。
个人データ
个人信息数据库等を构成する个人情报は个人データと呼ばれる(第2条4项)。
保有个人データ(第2条5项)
个人情报取扱事业者が、开示、内容の订正、追加または削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する个人データのことで、以下のもの以外。
  • その存否が明らかになることにより公益その他の利益が害されるもの(施行令3条)
    1. 当该个人データの存否が明らかになることにより、本人または第三者の生命、身体または财产に危害が及ぶおそれがあるもの
    2. 当该个人データの存否が明らかになることにより、违法又は不当な行为を助长し、または诱発するおそれがあるもの
    3. 当该个人データの存否が明らかになることにより、国の安全が害されるおそれ、他国もしくは国际机関との信赖関系が损なわれるおそれまたは他国もしくは国际机関との交渉上不利益を被るおそれがあるもの
    4. 当该个人データの存否が明らかになることにより、犯罪の予防、镇圧または捜查その他の公共の安全と秩序の维持に支障が及ぶおそれがあるもの
  • 6か月以内に消去することとなるもの(施行令4条)。

本法は主に个人データの取扱いに関して个人情报取扱事业者に义务を课している。すなわち、个人信息数据库等に含まれる个人情报だけが、个人データとして法の直接の规制対象になる。个人信息数据库等を构成するすべての情报が个人データになるわけではない。

后述の规制対象となる个人情报取扱事业者が扱う个人信息数据库等に含まれない个人情报であって、店头での呼出しアナウンスなどの音声、メモ书き、人の记忆などのものには、この法律の规制は及ばない。

第二章 国家及地方公共团体的责任等

编辑

国は、この法律の趣旨にのっとり、个人情报の适正な取扱いを确保するために必要な施策を総合的に策定し、及びこれを実施する责务を有する。地方公共団体は、この法律の趣旨にのっとり、その地方公共団体の区域の特性に応じて、个人情报の适正な取扱いを确保するために必要な施策を策定し、及びこれを実施する责务を有する(第4条第5条)。

第三章 与个人信息保护相关的政策等

编辑

国及び地方公共団体の责务・施策

编辑
  • 政府は、个人情报の保护に関する施策の総合的かつ一体的な推进を図るため、个人情报の保护に関する基本方针を定めなければならない。内阁総理大臣は、消费者委员会の意见を聴いて、基本方针の案を作成し、阁议决定を求めなければならない。阁议决定があったときは、遅滞なく、基本方针を公表しなければならない(第7条)。
  • 国は、地方公共団体が策定し、又は実施する个人情报の保护に関する施策及び国民又は事业者等が个人情报の适正な取扱いの确保に関して行う活动を支援するため、情报の提供、事业者等が讲ずべき措置の适切かつ有效な実施を図るための指针の策定その他の必要な措置を讲ずるものとする(第8条)。地方公共団体は、その保有する个人情报の性质、当该个人情报を保有する目的等を勘案し、その保有する个人情报の适正な取扱いが确保されるよう必要な措置を讲ずることに努めなければならない(第11条)。

个人情报取扱事业者の対象

编辑

个人情报等データベースを事业に用いる者であって、次の者を除く者を対象とする(第二条五项)[9]

  • 国、地方公共団体、独立行政法人等および地方独立行政法人

したがって、事业者には営利法人だけでなく非営利法人も该当するが、Template:要出典范囲(ただし、个人事业主等でこの定义に当てはまる者は当然、本法の対象となる)。

第四章 个人情报取扱事业者の义务等

编辑

与OECD八项原则的对应关系

编辑

本法条文与OECD八项原则之间的对应关系如下:[10]

OECD八项原则 个人信息保护法(条文概括)
限制收集原则 第十七条  不得通过虚假或其他不正当手段获取个人信息。
数据质量原则 第十九条  应当确保个人信息内容准确且保持最新。
目的明确化原则

限制利用原则

第十五条  应当尽可能限定利用的目的。

第十六条  处理个人信息时,不得超出为达到利用目的而必要的范围。

第二十三条 未事先取得本人同意,不得将个人信息披露给第三方。

安全保护原则 第二十条 为了安全管理个人信息,应当采取必要且妥当的措施。

第二十一条・第二十二条 应当对职员和外包单位采取必要且妥当的监管,以确保个人信息的安全管理得以实现。

开放原则

个人参加原则

第十八条  获取个人信息时,应当立即将利用目的通知本人或进行公示。

第二十七条 应当保证本人随时可以获知个人信息的利用目的等。

第二十八条 本人有权要求披露被识别身份的个人数据。

第二十九条 本人有权要求对持有的个人数据进行内容修正、追加或删除。

第三十条  本人有权要求对持有的个人数据停止利用或删除清空。

问责原则 第三十五条 应当尽可能妥善并快速处理对个人信息的处理所提出的投诉或纠纷。

个人情报取扱事业者の主な义务

编辑

个人情报保护法第4章第1节に个人情报取扱事业者の义务が记されている。

关于个人信息

编辑
  • 利用目的的特定化(第15条)
  • 利用目的的限制(第16条)
  • 合法获取(第17条)
  • 获取时对利用目的的告知(第18条)
  • 投诉处理(第31条)

个人データについては、データ内容の正确性の确保(第19条)、安全管理措置や従业者・委托先の监督(第20条第22条)、第三者提供の制限(第23条)が定められている。

保有个人データについては、事项の公表等(第24条)、开示(25条)、订正等(第26条)、利用停止等(第27条)が规定されている。

事项の公表、开示、订正、利用停止の规定により、本人から求められた措置の全部又は一部について、その措置をとらない旨を通知する场合又はその措置と异なる措置をとる旨を通知する场合は、本人に対し、その理由を说明するよう努めなければならない(第28条)。

第三者提供の制限

编辑

个人情报取扱事业者は、以下の场合を除いては、あらかじめ本人の同意を得なければ、个人データを第三者に提供してはならない(第23条)。

  1. 法令に基づく场合。(例:国势调查などの统计调查等)
  2. 人の生命、身体又は财产の保护のために必要がある场合であって、本人の同意を得ることが困难であるとき。(例:事故の际の安否情报など)
  3. 公众卫生の向上または児童の健全な育成の推进のために特に必要がある场合であって、本人の同意を得ることが困难であるとき。(例:児童虐待情报など)
  4. 国の机関若しくは地方公共団体又はその委托を受けた者が法令の定める事务を遂行することに対して协力する必要があって、本人の同意を得ることにより当该事务の遂行に支障を及ぼすおそれがあるとき。(例:犯罪捜查の协力など)

ただし、必ずしも本人の同意を得なくとも、以下の场合は第三者への提供ができるものと规定されている。

第三者に提供される个人データについて、本人の求めに応じて当该本人が识别される个人データの第三者への提供を停止することとしている场合であって、次の4点についてあらかじめ本人に通知し、又は本人が容易に知り得る状态に置いているときは、前项の规定にかかわらず、当该个人データを第三者に提供することができる(第23条第2项)。
  1. 第三者への提供を利用目的とすること
  2. 第三者に提供される个人データの项目
  3. 第三者への提供の手段又は方法
  4. 本人の求めに応じて当该本人が识别される个人データの第三者への提供を停止すること

また、个人情报取扱事业者と実质的に同一とみなしうる事业者が共同で利用する场合、または共同利用もしくは业务委托として一定の要件を満たした场合は、第三者とみなされない规定がある。すなわち、これらの场合は、本人の同意を得る必要がない[注釈 2]

事项の公表等

编辑

个人情报取扱事业者は、本人から、当该本人が识别される保有个人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知しなければならない(第24条2项)。この场合は、手数料を徴収できる(第30条)。

开示请求

编辑

个人情报取扱事业者は、本人から保有个人データの开示を求められたときは、以下のいずれかに该当する时を除いては、遅滞なく开示しなければならない。ただし、6か月以内で消去することが予定されている情报(第2条5项、个人情报保护法施行令第4条)や情报の存否を明らかにすることによって公益等が害される情报は除かれる(第25条)。この场合は、手数料を徴収することができる(第30条)。

  1. 本人又は第三者の生命、身体、财产その他の権利利益を害するおそれがある场合
  2. 当该个人情报保护取扱事业者の业务の适正な実施に著しい支障を及ぼすおそれがある场合
  3. 他の法令に违反することとなる场合

医疗机関等に诉讼外で、医疗の诊疗录等を开示や、信用情报の个人情报开示请求する例が考えられる。

修改请求权

编辑

个人情报取扱事业者は、本人から、保有个人データの内容が事実でないという理由によって当该个人データの内容の订正、追加又は削除を求められた场合は、利用目的の达成に必要な范囲内において、遅滞なく必要な调查を行い、その结果に基づき、保有个人データ等の订正を行わなければならない(第26条)。

停止使用请求权

编辑

个人情报取扱事业者は、本人から、个人情报の目的外の利用を行っていること、个人情报を不正に取得したことを理由として、保有个人情报データの利用停止または消去を求められた场合であって、その求めに理由があると认められるときは、违反を是正する限度で、利用停止等を行わなければならない。ただし、利用停止等に多额の费用を要する场合その他の利用停止等を行うことが困难な场合であって、本人の権利利益を保护するため必要なこれに代わるべき措置をとるときは、この限りでない(第27条1项)。

主务大臣による报告徴収等

编辑

主务大臣は、个人情报取扱事业者の义务の规定の施行に必要な限度において、个人情报取扱事业者に関し、个人情报の取扱いについて报告を求め(第32条)、助言することができる(第33条)。

主务大臣は、个人情报取扱事业者が本法の规定(ただし开示请求等は除く)に违反していて个人の権利利益を保护するために措置をとる必要があると认めるときは、勧告することができる(第34条)。

主务大臣は、个人情报取扱事业者が正当な理由なく勧告に従わないときにはその勧告に系る措置をとるべきことを命ずることができ(第34条2项)、それに従わないときは、当该违反行为の中止その他违反を是正するために必要な措置をとるべきことを命ずることができる(第34条3项)。

命令に违反すると6か月以下の惩役または30万円以下の罚金に処せられることがある(56条)。

适用除外

编辑

个人情报取扱事业者が、マスコミ・著述业関系、大学等、宗教団体や政治団体であり、それぞれ、报道・著述、学术研究、宗教活动、政治活动の目的で个人情报を利用する场合は、个人情报取扱事业者の义务の适用を受けない(第76条1项)。これは、主务大臣の报告徴収等を通じて表现の自由等を制约するおそれがあるという强い反対论に基づいて设けられた规定である。これらの者については、个人情报保护のために必要な措置を自ら讲じ、内容を公表する努力义务が课せられる(第76条3项)。

さらに主务大臣は、一般の个人情报取扱事业者がマスコミ・著述业関系、大学等、宗教団体や政治団体に対して、上述の目的に利用するために个人情报を提供する场合には、报告徴収や命令等の権限を行使しないものとしている(个人情报保护法そのものの适用除外を意味するものではない)。

なお、これらの职にある者が、正当な理由がない场合に、业务上の取扱いによって知り得た秘密を漏らしたときは、刑法134条2项の秘密漏示罪が成立することがある。个人情报取扱事业者の义务の除外と刑法上の责任の免除とは别である点に留意する必要がある。

认定个人情报保护団体

编辑

个人情报に関する苦情処理や事业者への情报提供等の业务を行おうとする法人(権利能力なき社団も含む)は、主务大臣の认定を受けて认定个人情报保护団体となることができる(第37条)。

认定个人情报保护団体でない者は、认定个人情报保护団体という名称又はこれに纷らわしい名称を用いてはならない(第45条)。违反した者は、10万円以下の过料に処せられる(第59条)。

认定个人情报保护団体は、その认定业务を廃止しようとするときは、あらかじめ、その旨を主务大臣に届け出なければならない(40条)。 届出をせず、又は虚伪の届出をした者は、10万円以下の过料に処せられる(第59条)。

主务大臣は、规定の施行に必要な限度において、认定个人情报保护団体に対し、认定业务に関し报告をさせることができる(第46条)。 报告をせず、又は虚伪の报告をした者は、30万円以下の罚金に処せられる(第57条)。

第五章 个人情报保护委员会

编辑

Template:节スタブ

2015年改正によるビッグデータ解禁

编辑

平成27年度改正

编辑

2015年(平成27年)に开催された通常国会(第189回国会)において、同年9月3日に众院本会议で“改正个人情报保护法”が与党や民主党などの赞成多数で可决、成立[11][12]。蓄积された膨大な个人情报を“ビッグデータ”として企业が利用しやすくする一方、情报漏泄に対する罚则を新设した[11][12]

  • 取り扱う个人情报の数が5000件以下の“小规模取扱事业者”も法律适用の対象となり、“件数要件”が撤廃となった[13]
  • “利用目的の明示”、“第三者提供の际の本人同意”といった个人情报を活用するにあたっての义务が细かく定められた[13]
  • 个人情报を复元できないよう“匿名加工情报”にするなど、一定の条件を満たすことで第三者に提供することも可能になるとされた[13]

法律への误解・拡大解釈

编辑

Template:复数の问题 第三者提供の际には本人同意が必要とされているが、例外规定が存在し、①法令に基づく场合、②人の生命、身 体又は财产の保护に必要な场合、③公众卫生・児童の健全育成に特に必要芯场合、④国等に协力する场合には、本人の同意がなくとも个人情报の第三者提供が许可されている[3]

过剰反応や拡大解釈

この法律については、误解や过剰反応に基づいた问题が発生している。“个人の権益を守りながらも、必要に応じて个人情报を有效活用する”という法律の基本理念を逸脱した拡大解釈が见られる。例として、回答拒否者には罚则规定もある国势调查のような基干统计调查の拒否の理由にも使えると误解した人々が増加して回答率が下がる、学校の紧急连络网が作れない、灾害时要援护者リストの作成遅延など国民生活に支障をきたしている[14]

実际には、法律上、主务官庁の、个人情报取扱事业者に対する监督がなされるだけで、一般国民に対する直接の规制はない。事业者による个人情报漏泄[注釈 3]それ自体に対する直接の罚则はない。个人情报取扱事业者の主务官庁による中止・是正措置の勧告がなされ、従わない场合または要求された报告をしない场合には罚则が课される。个人情报漏泄を原因とした损害[注釈 4]が発生した场合は、民事上の责任を问われる。

人の生命、身体又は财产の保护のために必要がある场合

灾害や大规模な事故などが発生した际の安否情报も、第23条第1项第2号の“人の生命、身体又は财产の保护のために必要がある场合であって、本人の同意を得ることが困难であるとき”に该当するので、この法律の规制は及ばないと解釈される。しかし、次のようなことがあった。

  • JR宝冢线(福知山线)の脱线事故では、家族からの安否确认に回答するかどうかで医疗现场で混乱が生じ话题となった。
  • 新潟県中越冲地震では、同県柏崎市が个人情报保护法の施行を理由に、“要援护者”の名簿を地元自治会や消防にあらかじめ提供していなかったことが分かった。4人の死亡者が名簿に掲载されており、“あらかじめ知らされていれば対応ができたのでは”との疑问の声が出た。自治体が保有する要援护者名簿が町内会に共有されていれば、地震の死者を减らせた可能性がある[15][16]
  • “学级连络网・卒业アルバムが作れない”、“医疗机関への个人情报の提供を拒む”、“企业の社员住所录が作成されなくなる”などの事态も起きている[注釈 5]

内阁府ではこういった过剰反応や误解に対し、个人情报保护法に抵触しない例を出すこととなった[17]

オプトアウト関连

オプトアウト”を定める第23条2项の趣旨は“利用停止を求めれば、第三者提供は停止される”というものであり、“本人に通知する”ことの代替として“本人が容易に知り得る状态に置く”ことを容认している。

成立の経纬

编辑

汎用コンピュータの処理能力が向上したことにより、行政・民间が保有する膨大な个人情报を容易に処理することが可能となった结果、そういった个人情报データベース等からの个人情报漏泄によるプライバシー侵害への危険性、不安が増大していった。また、行政部外者による、行政机関に所属する公务员の个人情报取得およびその不适切な使用によって政策决定等への障碍可能性が公平性の観点から危惧されるようになった。1980年昭和55年)にはOECD理事会で“プライバシー保护と个人データの国际流通についてのガイドラインに関する勧告[18]が采択されるなど、国际的にも个人情报の取扱いや积极的プライバシー権の保护が次第に重要视されるようになった。

日本では、 1988年(昭和63年)に、公的机関を対象とした“行政机関の保有する电子计算机処理に系る个人情报の保护に関する法律”が公布された。 1989年(平成元年)には、民间部门に対して通商产业省(现:経済产业省)が“民间部门における电子计算机処理に系る个人情报の保护に関するガイドライン”を策定した。

しかし“行政机関の保有する电子计算机処理に系る个人情报の保护に関する法律”には罚则规定がなく、また民间部门を対象としたガイドラインには法的拘束力がないなど、个人情报の保护という観点から十分に机能しているとは言いがたい状况であった。

さらに住民基本台帐ネットワークの稼动(2002年(平成14年))、中川秀直爱人スキャンダル事件(2000年(平成12年))、Yahoo! BB顾客情报漏泄事件2004年(平成16年))、TBC个人情报漏泄事件(2002年(平成14年))など多発する个人情报漏泄事件を受けて、2002年(平成14年)に个人情报保护法関连五法が国会に提出された。个人情报保护法は、个人情报を取得する际には个人情报の利用方法を本人に明确に伝えなければならないと定めているために、报道の自由を侵害するなどの理由から反対运动が展开され、一度廃案となったが、再度审议され2003年(平成15年)5月に成立した。

企业への准备期间として、法律成立から施行までに2年间の准备期间が设けられた。个人情报保护法が施行される直前の2005年(平成17年)3月には、これまで起きていながら隠蔽していた个人情报漏泄事件を公表する企业が多くあった。探侦を安易に多用し、采用时以外においても、必要以上の个人情报を积极的に取得する等、个人情报保护に関する感覚が希薄だった、従来の日本の企业习惯に対する法规制となった。

相关的国际标准

编辑

1980年にOECD理事会で采択された“プライバシー保护と个人データの国际流通についてのガイドラインに関する勧告”には収集制限の原则、利用制限の原则などの“OECD8原则”が含まれる。

1995年、EUが“个人データ処理に系る个人情报保护及び当该データの自由な移动に関する欧州议会及び理事会の指令”(通称:EU指令)を采択し、EU加盟国以外への个人情报の移転は、当该国が十分なレベルの保护措置を讲じている场合に限られるとした。EU指令によって顾客データの授受をはじめとする様々な経済活动に影响が出ることが悬念されたので、1998年(平成10年)に“プライバシーマーク制度”が设立された。Template:要出典范囲

他に国际标准としては、个人情报を取り扱う主体を分类し、その间の関系性を整理するとともに、それぞれがどのようにして个人情报を取り扱うべきであるかという11のプライバシー原则を示したISO/IEC 29100 Privacy Framework および、実装时のアーキテクチャの枠组みを示した ISO/IEC 29101 Privacy Architecture Framework が存在する。さらに、プライバシー影响评価(PIA)の方法论をまとめた ISO/IEC 29134 Privacy Impact Assessment Methodology も现在作成中である。

また、个人情报の安全管理処置としては、情报セキュリティマネジメントシステム(ISMS)が満たすべき要件を定めた国际规格ISO/IEC 27001もある。この国际规格の认证は、“个人情报漏泄に対する企业の対策”や“个人情报漏泄后の企业の対策”の资料や手顺书を企业が作成および周知し、社员が认识し実行しているかどうかを调べて认定される。取得にはおよそ1年以上の时间を要する。

法律に関わる事务

编辑

法律に関わる事务全般は、个人情报保护委员会によって行われている。これは、平成28年1月1日に效力を発した“个人情报の保护に関する法律及び行政手続における特定の个人を识别するための番号の利用等に関する法律の一部を改正する法律”(平成27年法律第65号)の一部施行による影响である。

2000个问题

编辑

个人情报保护法には个人情报保护の基本理念、国及び地方公共団体の责务等が规定されているものの、具体的な义务が书かれているのは事业者のみで、国の行政机関、独立行政法人、地方公共団体等の义务については记载がなく[19]、それぞれ“行政机関个人情报保护法”、“独立行政法人个人情报保护法”、“个人情报保护条例”が规律している[20]。また事业者に対しても义务を守るための指针は个人情报保护法には规定されておらず、“个人情报委员会ガイドライン”、“事业分野ガイドライン”、“个人情报保护指针”で规定している[19]

こうした事情から

“民间事业者”+“国の行政机関”+“独法”+“自治体(都道府県47、市区町村1750、広域连合等115)”[19]

で日本国内におよそ2000个の条例等があるかなり烦雑な状态になっており、これを2000个问题という[19]。2000个问题により、下记のような弊害が生じる:

  • そもそも条例未制定の地方公共団体の存在[19]
  • 个人情报の利活用の格差[20]や自治体ごとの个人情报に対する知识の格差[20]
  • 条例ごとの解釈や手続の差异による自治体间连携の妨げ[19][20]
  • 官民で异なる规律なので监督官庁がはっきりしないものが存在[20]

医疗情报のような机微な情报でもこのような弊害が指摘されており[19][20]、実际东日本大震灾の际、“民间支援団体に提供して支援や安否确认を実施した自治体は、2自治体しかない”[20]といった弊害が起こった。その后灾害対策基本法の改正により““避难行动要支援者名簿”の作成义务と、自治体と支援団体间での事前情报共有を促す条项が设けられた”ものの、平常时から个人情报を官民で共有するにはハードルが高いという现状が2016年现在ある[20]

脚注

编辑

Template:脚注ヘルプ

注釈

编辑
  1. ^ 在平成29年5月30日以前,处理不足5,000条个人信息的单位或个人不受本法规制
  2. ^ この规定はメガバンクが相当な広范囲で个人情报を利用するという问题をはらんでいる。
    大蔵省に対する回答“一般に、银行等と顾客との契约の约款において、个人情报を系列企业の商品贩売に利用しないとは书いていないが、顾客から止めてほしい旨言われれば止めるようにしている”
    第4回个人情报保护検讨部会议事要旨 1999年9月7日
  3. ^ ここでは、个人情报取扱事业者が、个人データの漏泄防止等のための安全管理措置义务(第20条)を怠って个人データを漏泄した场合をいう。
  4. ^ 通常は、个人情报取扱事业者が安全管理措置义务(第20条)を怠って个人データを漏泄し、もって当该データの个人情报が第三者に知られる可能性が生じた时点で、本人の精神的损害(慰谢料)は少なくとも认められうる。
  5. ^ この法律の规制が及ばないというわけではない。场合によっては、组织外への第三者への无断提供や、漏泄防止等のための安全管理措置义务は、规制の対象になりうる。本人の同意が必要になる场合があり、全员が同意しなかった场合に、“本人が同意しなかったという个人情报”自体が组织内で共有されてしまうとして、最初から作成しないということも起こり得る。

出典

编辑
  1. ^ 個人情報の保護に関する法律 [Act on the Protection of Personal Information]. 日本法令外国语訳データベースシステム. 法务省. [2023-01-19]. 
  2. ^ 统计调查と个人情报保护 総务省
  3. ^ 3.0 3.1 https://www.ppc.go.jp/files/pdf/personal_pamph27_caa.pdf
  4. ^ 基本的人権の保障に関する调查小委员会. 衆憲資第28号 知る権利・アクセス権とプライバシー権に関する基礎的資料―情報公開法制・個人情報保護法制を含む―(平成15年5月15日の参考資料) (PDF). 众议院: 77–78. 2003 [2016年8月31日]. 
  5. ^ 欧州议会. 個人データ処理に係る個人の保護及び当該データの自由な移動に関する指令 (PDF). 1995 [2016-09-26]. 
  6. ^ 石井, 曽我部 & 森 2021,第6页.
  7. ^ 松尾 2017,第244页.
  8. ^ 8.0 8.1 松尾 2017,第245页.
  9. ^ 個人情報の保護に関する法律(平成十五年法律第五十七号)第二条五項. e-Gov法令検索. 総务省行政管理局. 2018-7-27 [2020-1-14]. 2020年1月7日施行分 
  10. ^ 中间整理 p.6.
  11. ^ 11.0 11.1 改正マイナンバー法成立=18年から預金口座に適用-年金との連結は延期. 时事通信社. 2015-09-03 [2015-09-04]. 
  12. ^ 12.0 12.1 改正マイナンバー法成立=2018年から預金口座に適用-年金との連結は延期. 产経新闻. 2015-09-03 [2015-09-04]. 
  13. ^ 13.0 13.1 13.2 河钟基. ビッグデータの利活用、日本企業は「匿名化」問題を超えられるか. Forbes Japan. 2017-10-19 [2017-10-30]. 
  14. ^ 統計調査と個人情報保護. 総务省统计局. [2022/7/23]. 
  15. ^ 新潟県中越冲地震 “要援护者情报”伝わらず(产経新闻 7月19日13时30分配信)
  16. ^ 中越冲地震が教える过剰反応対策の必要性
  17. ^ 内阁府国民生活局个人情报保护推进室“个人情报保护法に関するよくある疑问と回答[失效链接]
  18. ^ OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data
  19. ^ 19.0 19.1 19.2 19.3 19.4 19.5 19.6 個人情報保護法制2000個問題について (pdf). 内阁府: 2–3. 2016年11月 [2020/06/23]. 
  20. ^ 20.0 20.1 20.2 20.3 20.4 20.5 20.6 20.7 冈本正(银座パートナーズ法律事务所 弁护士・法学博士). 個人情報保護法制「2000個問題」って何?「自治体個人情報保護法」による解決を目指す. Yahoo Japan. 2015/5/13 [2020/06/23]. 

参考文献

编辑
  • 石井夏生利; 曽我部真裕; 森亮二, 個人情報保護法コンメンタール, 劲草书房, 2021年3月 
  • 松尾 刚行, 最新判例にみるインターネット上のプライバシー・個人情報保護の理論と実務, 劲草书房, 2017年7月 
  • 冈村久道. 個人情報保護法の知識. 日経文库. 2010. ISBN 4532112095. 

个人情报保护法の“いわゆる3年毎の见直し”関连の资料

编辑

関连项目

编辑

外部链接

编辑