User:Hamham/个人信息保护法(日本)

关于个人信息保护的法律
日本國政府國章(準)
日本法律
通稱、簡稱个人信息保护法
編號平成15年5月30日法律第57号
種類经济法
效力现行法
成立2003年,​21年前​(2003
內容总则
国及び地方公共団体の責務等
個人情報の保護に関する施策等
個人情報取扱事業者の義務等
雑則
罰則
相關不正当竞争防止法
个人信息保护法施行令等
鏈接個人情報の保護に関する法律.e-Gov法令検索

关于个人信息保护的法律(日语:個人情報の保護に関する法律こじんじょうほうのほごにかんするほうりつ、英語:Act on the Protection of Personal Information[1]),是日本颁布的一部以保护个人信息为目的的法律[2]。一般简称为个人信息保护法。该法于2003年平成15年)5月23日生效,其中除了第4-6章外,均立即施行。2年后的2005年(平成17年)4月1日起,该法全面施行。 根据该法及其施行令,无论处理信息的件数多少[注釈 1],将个人信息保存在个人信息数据库中并用于经营的业者即为个人信息处理者。个人信息处理者若违反个人信息保护委员会的命令,或若该处理者的管理人员或职员为了自身或第三方的不法利益将经营中所处理的个人信息数据库对外提供,则应当对该处理者处以刑罚。该法同时也规定了例外规定,在①基于法令等原因、②为了保护人的生命、健康或财产而有必要、③基于公众卫生・儿童健康成长等原因而有必要、④为了配合国家公务等情形时,即使未取得本人同意,也可以将个人信息提供给第三方[3]

概要

编辑

背景

编辑

個人情報保護法が制定された背景として以下の7つが挙げられる[4]

个人信息保护法与隐私权

编辑

在本法中,并没有出现“隐私权”这样的表述,但实际上该法就是以保护隐私权为重要立法目的的。[6]

但另一方面,至于违反本法规定的行为是否直接构成“侵犯隐私权”,学者普遍的观点是持否定说的。[7]

例如在形式上违反本法而对个人信息做了非法使用的情形下,也并不一定直接具有侵犯隐私权的违法性。[8]

反言之,(除了通过与其他信息结合分析从而可特定个人身份的情形)公开个人手机电话号码的行为在一定情形下会被认定为侵犯隐私权。[8]

構成

编辑
章内容 节内容 条数
第一章 总则 第一条-第三条
第二章 国家与地方公共团体的责任等 第四条-第六条
第三章 关于个人信息保护的政策等 第一节 关于个人信息保护的基本方针 第七条
第二节 国家政策 第八条-第十条
第三节 地方公共团体政策 第十一条-第十三条
第四节 国家与地方公共团体的合作 第十四条
第四章 个人信息处理者的义务等 第一节 个人信息处理者的义务 第十五条-第三十五条
第二节 匿名加工信息处理者等的义务 第三十六条-第三十九条
第三节 监督 第四十条-第四十六条
第四节 民间团体对个人信息保护的推进 第四十七条-第五十八条
第五章 个人信息保护委员会 第五十九条-第七十四条
第六章 杂则 第七十五条-第八十一条
第七章 罚则 第八十二条-第八十八条
附则

定期修订

编辑

个人信息保护法规定,每经过三年应当对本法律进行必要的修订:

与个人信息的保护相关的法律 附则(平成二七年九月九日法律第六五号)抄 第十二条3 除前项规定的事项外,政府在本法施行后每三年应当考察个人信息保护的国际动态、信息通信技术的发展以及随之而来的利用个人信息的新产业的发展情况等,就新的个人信息保护法的实行状况作出分析,在有必要时,根据研究结果采取必要的措施。

第一章 总则

编辑

基本理念

编辑

高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることにかんがみ、個人情報の適正な取扱いに関し、基本理念および政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにするとともに、個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする(第1条)。 個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきことに鑑み、その適正な取扱いが図られなければならない(第3条)。

  • “隐私权”这一概念在本法中并未被明文提及。
  • 本法目的不在于对个人信息的使用作出全面且具体的监管措施。

定义

编辑

个人信息

编辑

本法(第二条)中对个人信息的定义如下:

本法中所谓“个人信息”,指与生存中的个人相关的信息中符合下列各项条件者。

一 该信息中包含的姓名、出生年月日及其他记载等(指通过文书、图画或电磁记录(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。第十八条第二項において同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の信息と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)

二 個人識別符号が含まれるもの


— 个人信息保护法第二条第1项

上記二号の「個人識別符号」は、第二条の2で次のとおりに定義している:

2 この法律において「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、政令で定めるものをいう。

一 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの

二 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの


— 个人信息保护法第二条第2项

与个人相关的信息

编辑

上述的“与个人相关的信息”在本法中并未做具体的定义或举例,但经济产业省公布的《关于个人信息保护相关的法律中以经济产业领域为对象的指引》中,对个人信息保护法中的“与个人相关的信息”作了说明。

不仅限于姓名、性别、出生年月日等可以识别个人身份的信息,还包括个人的身体、财产、职业、头衔等个人属性,以及与事实、判断、评价相关的所有信息。上述信息不分评价信息、公开出版物等已公开的信息或,通过图像视频或音频等信息,也不论是否已采取加密措施进行保密处理(后略)。
— 個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン(pdf) p2

金融庁の『金融分野における個人情報保護に関するガイドライン』p1にもほぼ同様の記述があるが、最後の暗号に関する記述はない。 金融厅的指引也对“与个人相关的信息”作了如下说明:

“与个人相关的信息”如果通过与姓名等结合从而导致“可以识别特定个人身份”,则属于“个人信息”。
— 金融分野における個人情報保護に関するガイドライン

逝者信息

编辑

本法では個人情報を「生存する個人に関する情報」と限定している(第2条1項)。したがって、死者に関する情報は個人情報に含まれない。ただし前述の『個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン』には、以下の注意が述べられている:

死者に関する情報が、同時に、遺族等の生存する個人に関する情報でもある場合には、当該生存する個人に関する情報となる。
— 個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン(pdf) p2

金融分野における個人情報保護に関するガイドライン』p1にも同一の記述がある。

外国人と法人

编辑
「生存する個人」には日本国民に限られず、外国人も含まれるが、法人その他の団体は「個人」に該当しないため、法人等の団体そのものに関する情報は含まれない(ただし、役員、従業員等に関する情報は個人情報)。
— 個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン(pdf) p2

其他专业用语的定义

编辑
个人信息数据库等
个人信息数据库等は、個人情報を含む、コンピュータ等で容易に検索できるデータベースや、目次や索引等によって体系的に整理された紙のデータベース等を指す(第2条2項)。コンピュータに入力して検索可能であるか、目次、索引などを有し検索が容易であることが要件であり、未整理の紙の情報等は該当しない。
個人データ
个人信息数据库等を構成する個人情報は個人データと呼ばれる(第2条4項)。
保有個人データ(第2条5項)
個人情報取扱事業者が、開示、内容の訂正、追加または削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データのことで、以下のもの以外。
  • その存否が明らかになることにより公益その他の利益が害されるもの(施行令3条)
    1. 当該個人データの存否が明らかになることにより、本人または第三者の生命、身体または財産に危害が及ぶおそれがあるもの
    2. 当該個人データの存否が明らかになることにより、違法又は不当な行為を助長し、または誘発するおそれがあるもの
    3. 当該個人データの存否が明らかになることにより、国の安全が害されるおそれ、他国もしくは国際機関との信頼関係が損なわれるおそれまたは他国もしくは国際機関との交渉上不利益を被るおそれがあるもの
    4. 当該個人データの存否が明らかになることにより、犯罪の予防、鎮圧または捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの
  • 6か月以内に消去することとなるもの(施行令4条)。

本法は主に個人データの取扱いに関して個人情報取扱事業者に義務を課している。すなわち、个人信息数据库等に含まれる個人情報だけが、個人データとして法の直接の規制対象になる。个人信息数据库等を構成するすべての情報が個人データになるわけではない。

後述の規制対象となる個人情報取扱事業者が扱う个人信息数据库等に含まれない個人情報であって、店頭での呼出しアナウンスなどの音声、メモ書き、人の記憶などのものには、この法律の規制は及ばない。

第二章 国家及地方公共团体的责任等

编辑

国は、この法律の趣旨にのっとり、個人情報の適正な取扱いを確保するために必要な施策を総合的に策定し、及びこれを実施する責務を有する。地方公共団体は、この法律の趣旨にのっとり、その地方公共団体の区域の特性に応じて、個人情報の適正な取扱いを確保するために必要な施策を策定し、及びこれを実施する責務を有する(第4条第5条)。

第三章 与个人信息保护相关的政策等

编辑

国及び地方公共団体の責務・施策

编辑
  • 政府は、個人情報の保護に関する施策の総合的かつ一体的な推進を図るため、個人情報の保護に関する基本方針を定めなければならない。内閣総理大臣は、消費者委員会の意見を聴いて、基本方針の案を作成し、閣議決定を求めなければならない。閣議決定があったときは、遅滞なく、基本方針を公表しなければならない(第7条)。
  • 国は、地方公共団体が策定し、又は実施する個人情報の保護に関する施策及び国民又は事業者等が個人情報の適正な取扱いの確保に関して行う活動を支援するため、情報の提供、事業者等が講ずべき措置の適切かつ有効な実施を図るための指針の策定その他の必要な措置を講ずるものとする(第8条)。地方公共団体は、その保有する個人情報の性質、当該個人情報を保有する目的等を勘案し、その保有する個人情報の適正な取扱いが確保されるよう必要な措置を講ずることに努めなければならない(第11条)。

個人情報取扱事業者の対象

编辑

個人情報等データベースを事業に用いる者であって、次の者を除く者を対象とする(第二条五項)[9]

  • 国、地方公共団体、独立行政法人等および地方独立行政法人

したがって、事業者には営利法人だけでなく非営利法人も該当するが、Template:要出典範囲(ただし、個人事業主等でこの定義に当てはまる者は当然、本法の対象となる)。

第四章 個人情報取扱事業者の義務等

编辑

与OECD八项原则的对应关系

编辑

本法条文与OECD八项原则之间的对应关系如下:[10]

OECD八项原则 个人信息保护法(条文概括)
限制收集原则 第十七条  不得通过虚假或其他不正当手段获取个人信息。
数据质量原则 第十九条  应当确保个人信息内容准确且保持最新。
目的明确化原则

限制利用原则

第十五条  应当尽可能限定利用的目的。

第十六条  处理个人信息时,不得超出为达到利用目的而必要的范围。

第二十三条 未事先取得本人同意,不得将个人信息披露给第三方。

安全保护原则 第二十条 为了安全管理个人信息,应当采取必要且妥当的措施。

第二十一条・第二十二条 应当对职员和外包单位采取必要且妥当的监管,以确保个人信息的安全管理得以实现。

开放原则

个人参加原则

第十八条  获取个人信息时,应当立即将利用目的通知本人或进行公示。

第二十七条 应当保证本人随时可以获知个人信息的利用目的等。

第二十八条 本人有权要求披露被识别身份的个人数据。

第二十九条 本人有权要求对持有的个人数据进行内容修正、追加或删除。

第三十条  本人有权要求对持有的个人数据停止利用或删除清空。

问责原则 第三十五条 应当尽可能妥善并快速处理对个人信息的处理所提出的投诉或纠纷。

個人情報取扱事業者の主な義務

编辑

個人情報保護法第4章第1節に個人情報取扱事業者の義務が記されている。

关于个人信息

编辑
  • 利用目的的特定化(第15条)
  • 利用目的的限制(第16条)
  • 合法获取(第17条)
  • 获取时对利用目的的告知(第18条)
  • 投诉处理(第31条)

個人データについては、データ内容の正確性の確保(第19条)、安全管理措置や従業者・委託先の監督(第20条第22条)、第三者提供の制限(第23条)が定められている。

保有個人データについては、事項の公表等(第24条)、開示(25条)、訂正等(第26条)、利用停止等(第27条)が規定されている。

事項の公表、開示、訂正、利用停止の規定により、本人から求められた措置の全部又は一部について、その措置をとらない旨を通知する場合又はその措置と異なる措置をとる旨を通知する場合は、本人に対し、その理由を説明するよう努めなければならない(第28条)。

第三者提供の制限

编辑

個人情報取扱事業者は、以下の場合を除いては、あらかじめ本人の同意を得なければ、個人データを第三者に提供してはならない(第23条)。

  1. 法令に基づく場合。(例:国勢調査などの統計調査等)
  2. 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。(例:事故の際の安否情報など)
  3. 公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。(例:児童虐待情報など)
  4. 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要があって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。(例:犯罪捜査の協力など)

ただし、必ずしも本人の同意を得なくとも、以下の場合は第三者への提供ができるものと規定されている。

第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次の4点についてあらかじめ本人に通知し、又は本人が容易に知り得る状態に置いているときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる(第23条第2項)。
  1. 第三者への提供を利用目的とすること
  2. 第三者に提供される個人データの項目
  3. 第三者への提供の手段又は方法
  4. 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること

また、個人情報取扱事業者と実質的に同一とみなしうる事業者が共同で利用する場合、または共同利用もしくは業務委託として一定の要件を満たした場合は、第三者とみなされない規定がある。すなわち、これらの場合は、本人の同意を得る必要がない[注釈 2]

事項の公表等

编辑

個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知しなければならない(第24条2項)。この場合は、手数料を徴収できる(第30条)。

開示請求

编辑

個人情報取扱事業者は、本人から保有個人データの開示を求められたときは、以下のいずれかに該当する時を除いては、遅滞なく開示しなければならない。ただし、6か月以内で消去することが予定されている情報(第2条5項、個人情報保護法施行令第4条)や情報の存否を明らかにすることによって公益等が害される情報は除かれる(第25条)。この場合は、手数料を徴収することができる(第30条)。

  1. 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
  2. 当該個人情報保護取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
  3. 他の法令に違反することとなる場合

医療機関等に訴訟外で、医療の診療録等を開示や、信用情報の個人情報開示請求する例が考えられる。

修改请求权

编辑

個人情報取扱事業者は、本人から、保有個人データの内容が事実でないという理由によって当該個人データの内容の訂正、追加又は削除を求められた場合は、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、保有個人データ等の訂正を行わなければならない(第26条)。

停止使用请求权

编辑

個人情報取扱事業者は、本人から、個人情報の目的外の利用を行っていること、個人情報を不正に取得したことを理由として、保有個人情報データの利用停止または消去を求められた場合であって、その求めに理由があると認められるときは、違反を是正する限度で、利用停止等を行わなければならない。ただし、利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない(第27条1項)。

主務大臣による報告徴収等

编辑

主務大臣は、個人情報取扱事業者の義務の規定の施行に必要な限度において、個人情報取扱事業者に関し、個人情報の取扱いについて報告を求め(第32条)、助言することができる(第33条)。

主務大臣は、個人情報取扱事業者が本法の規定(ただし開示請求等は除く)に違反していて個人の権利利益を保護するために措置をとる必要があると認めるときは、勧告することができる(第34条)。

主務大臣は、個人情報取扱事業者が正当な理由なく勧告に従わないときにはその勧告に係る措置をとるべきことを命ずることができ(第34条2項)、それに従わないときは、当該違反行為の中止その他違反を是正するために必要な措置をとるべきことを命ずることができる(第34条3項)。

命令に違反すると6か月以下の懲役または30万円以下の罰金に処せられることがある(56条)。

適用除外

编辑

個人情報取扱事業者が、マスコミ・著述業関係、大学等、宗教団体や政治団体であり、それぞれ、報道・著述、学術研究、宗教活動、政治活動の目的で個人情報を利用する場合は、個人情報取扱事業者の義務の適用を受けない(第76条1項)。これは、主務大臣の報告徴収等を通じて表現の自由等を制約するおそれがあるという強い反対論に基づいて設けられた規定である。これらの者については、個人情報保護のために必要な措置を自ら講じ、内容を公表する努力義務が課せられる(第76条3項)。

さらに主務大臣は、一般の個人情報取扱事業者がマスコミ・著述業関係、大学等、宗教団体や政治団体に対して、上述の目的に利用するために個人情報を提供する場合には、報告徴収や命令等の権限を行使しないものとしている(個人情報保護法そのものの適用除外を意味するものではない)。

なお、これらの職にある者が、正当な理由がない場合に、業務上の取扱いによって知り得た秘密を漏らしたときは、刑法134条2項の秘密漏示罪が成立することがある。個人情報取扱事業者の義務の除外と刑法上の責任の免除とは別である点に留意する必要がある。

認定個人情報保護団体

编辑

個人情報に関する苦情処理や事業者への情報提供等の業務を行おうとする法人(権利能力なき社団も含む)は、主務大臣の認定を受けて認定個人情報保護団体となることができる(第37条)。

認定個人情報保護団体でない者は、認定個人情報保護団体という名称又はこれに紛らわしい名称を用いてはならない(第45条)。違反した者は、10万円以下の過料に処せられる(第59条)。

認定個人情報保護団体は、その認定業務を廃止しようとするときは、あらかじめ、その旨を主務大臣に届け出なければならない(40条)。 届出をせず、又は虚偽の届出をした者は、10万円以下の過料に処せられる(第59条)。

主務大臣は、規定の施行に必要な限度において、認定個人情報保護団体に対し、認定業務に関し報告をさせることができる(第46条)。 報告をせず、又は虚偽の報告をした者は、30万円以下の罰金に処せられる(第57条)。

第五章 個人情報保護委員会

编辑

Template:節スタブ

2015年改正によるビッグデータ解禁

编辑

平成27年度改正

编辑

2015年(平成27年)に開催された通常国会(第189回国会)において、同年9月3日に衆院本会議で「改正個人情報保護法」が与党や民主党などの賛成多数で可決、成立[11][12]。蓄積された膨大な個人情報を「ビッグデータ」として企業が利用しやすくする一方、情報漏洩に対する罰則を新設した[11][12]

  • 取り扱う個人情報の数が5000件以下の「小規模取扱事業者」も法律適用の対象となり、「件数要件」が撤廃となった[13]
  • 「利用目的の明示」、「第三者提供の際の本人同意」といった個人情報を活用するにあたっての義務が細かく定められた[13]
  • 個人情報を復元できないよう「匿名加工情報」にするなど、一定の条件を満たすことで第三者に提供することも可能になるとされた[13]

法律への誤解・拡大解釈

编辑

Template:複数の問題 第三者提供の際には本人同意が必要とされているが、例外規定が存在し、①法令に基づく場合、②人の生命、身 体又は財産の保護に必要な場合、③公衆衛生・児童の健全育成に特に必要芯場合、④国等に協力する場合には、本人の同意がなくとも個人情報の第三者提供が許可されている[3]

過剰反応や拡大解釈

この法律については、誤解や過剰反応に基づいた問題が発生している。「個人の権益を守りながらも、必要に応じて個人情報を有効活用する」という法律の基本理念を逸脱した拡大解釈が見られる。例として、回答拒否者には罰則規定もある国勢調査のような基幹統計調査の拒否の理由にも使えると誤解した人々が増加して回答率が下がる、学校の緊急連絡網が作れない、災害時要援護者リストの作成遅延など国民生活に支障をきたしている[14]

実際には、法律上、主務官庁の、個人情報取扱事業者に対する監督がなされるだけで、一般国民に対する直接の規制はない。事業者による個人情報漏洩[注釈 3]それ自体に対する直接の罰則はない。個人情報取扱事業者の主務官庁による中止・是正措置の勧告がなされ、従わない場合または要求された報告をしない場合には罰則が課される。個人情報漏洩を原因とした損害[注釈 4]が発生した場合は、民事上の責任を問われる。

人の生命、身体又は財産の保護のために必要がある場合

災害や大規模な事故などが発生した際の安否情報も、第23条第1項第2号の「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」に該当するので、この法律の規制は及ばないと解釈される。しかし、次のようなことがあった。

  • JR宝塚線(福知山線)の脱線事故では、家族からの安否確認に回答するかどうかで医療現場で混乱が生じ話題となった。
  • 新潟県中越沖地震では、同県柏崎市が個人情報保護法の施行を理由に、「要援護者」の名簿を地元自治会や消防にあらかじめ提供していなかったことが分かった。4人の死亡者が名簿に掲載されており、「あらかじめ知らされていれば対応ができたのでは」との疑問の声が出た。自治体が保有する要援護者名簿が町内会に共有されていれば、地震の死者を減らせた可能性がある[15][16]
  • 「学級連絡網・卒業アルバムが作れない」、「医療機関への個人情報の提供を拒む」、「企業の社員住所録が作成されなくなる」などの事態も起きている[注釈 5]

内閣府ではこういった過剰反応や誤解に対し、個人情報保護法に抵触しない例を出すこととなった[17]

オプトアウト関連

オプトアウト」を定める第23条2項の趣旨は「利用停止を求めれば、第三者提供は停止される」というものであり、「本人に通知する」ことの代替として「本人が容易に知り得る状態に置く」ことを容認している。

成立の経緯

编辑

汎用コンピュータの処理能力が向上したことにより、行政・民間が保有する膨大な個人情報を容易に処理することが可能となった結果、そういった個人情報データベース等からの個人情報漏洩によるプライバシー侵害への危険性、不安が増大していった。また、行政部外者による、行政機関に所属する公務員の個人情報取得およびその不適切な使用によって政策決定等への障碍可能性が公平性の観点から危惧されるようになった。1980年昭和55年)にはOECD理事会で「プライバシー保護と個人データの国際流通についてのガイドラインに関する勧告[18]が採択されるなど、国際的にも個人情報の取扱いや積極的プライバシー権の保護が次第に重要視されるようになった。

日本では、 1988年(昭和63年)に、公的機関を対象とした「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」が公布された。 1989年(平成元年)には、民間部門に対して通商産業省(現:経済産業省)が「民間部門における電子計算機処理に係る個人情報の保護に関するガイドライン」を策定した。

しかし「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」には罰則規定がなく、また民間部門を対象としたガイドラインには法的拘束力がないなど、個人情報の保護という観点から十分に機能しているとは言いがたい状況であった。

さらに住民基本台帳ネットワークの稼動(2002年(平成14年))、中川秀直愛人スキャンダル事件(2000年(平成12年))、Yahoo! BB顧客情報漏洩事件2004年(平成16年))、TBC個人情報漏洩事件(2002年(平成14年))など多発する個人情報漏洩事件を受けて、2002年(平成14年)に個人情報保護法関連五法が国会に提出された。個人情報保護法は、個人情報を取得する際には個人情報の利用方法を本人に明確に伝えなければならないと定めているために、報道の自由を侵害するなどの理由から反対運動が展開され、一度廃案となったが、再度審議され2003年(平成15年)5月に成立した。

企業への準備期間として、法律成立から施行までに2年間の準備期間が設けられた。個人情報保護法が施行される直前の2005年(平成17年)3月には、これまで起きていながら隠蔽していた個人情報漏洩事件を公表する企業が多くあった。探偵を安易に多用し、採用時以外においても、必要以上の個人情報を積極的に取得する等、個人情報保護に関する感覚が希薄だった、従来の日本の企業習慣に対する法規制となった。

相关的国际标准

编辑

1980年にOECD理事会で採択された「プライバシー保護と個人データの国際流通についてのガイドラインに関する勧告」には収集制限の原則、利用制限の原則などの「OECD8原則」が含まれる。

1995年、EUが「個人データ処理に係る個人情報保護及び当該データの自由な移動に関する欧州議会及び理事会の指令」(通称:EU指令)を採択し、EU加盟国以外への個人情報の移転は、当該国が十分なレベルの保護措置を講じている場合に限られるとした。EU指令によって顧客データの授受をはじめとする様々な経済活動に影響が出ることが懸念されたので、1998年(平成10年)に「プライバシーマーク制度」が設立された。Template:要出典範囲

他に国際標準としては、個人情報を取り扱う主体を分類し、その間の関係性を整理するとともに、それぞれがどのようにして個人情報を取り扱うべきであるかという11のプライバシー原則を示したISO/IEC 29100 Privacy Framework および、実装時のアーキテクチャの枠組みを示した ISO/IEC 29101 Privacy Architecture Framework が存在する。さらに、プライバシー影響評価(PIA)の方法論をまとめた ISO/IEC 29134 Privacy Impact Assessment Methodology も現在作成中である。

また、個人情報の安全管理処置としては、情報セキュリティマネジメントシステム(ISMS)が満たすべき要件を定めた国際規格ISO/IEC 27001もある。この国際規格の認証は、「個人情報漏洩に対する企業の対策」や「個人情報漏洩後の企業の対策」の資料や手順書を企業が作成および周知し、社員が認識し実行しているかどうかを調べて認定される。取得にはおよそ1年以上の時間を要する。

法律に関わる事務

编辑

法律に関わる事務全般は、個人情報保護委員会によって行われている。これは、平成28年1月1日に効力を発した「個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律」(平成27年法律第65号)の一部施行による影響である。

2000個問題

编辑

個人情報保護法には個人情報保護の基本理念、国及び地方公共団体の責務等が規定されているものの、具体的な義務が書かれているのは事業者のみで、国の行政機関、独立行政法人、地方公共団体等の義務については記載がなく[19]、それぞれ「行政機関個人情報保護法」、「独立行政法人個人情報保護法」、「個人情報保護条例」が規律している[20]。また事業者に対しても義務を守るための指針は個人情報保護法には規定されておらず、「個人情報委員会ガイドライン」、「事業分野ガイドライン」、「個人情報保護指針」で規定している[19]

こうした事情から

「民間事業者」+「国の行政機関」+「独法」+「自治体(都道府県47、市区町村1750、広域連合等115)」[19]

で日本国内におよそ2000個の条例等があるかなり煩雑な状態になっており、これを2000個問題という[19]。2000個問題により、下記のような弊害が生じる:

  • そもそも条例未制定の地方公共団体の存在[19]
  • 個人情報の利活用の格差[20]や自治体ごとの個人情報に対する知識の格差[20]
  • 条例ごとの解釈や手続の差異による自治体間連携の妨げ[19][20]
  • 官民で異なる規律なので監督官庁がはっきりしないものが存在[20]

医療情報のような機微な情報でもこのような弊害が指摘されており[19][20]、実際東日本大震災の際、「民間支援団体に提供して支援や安否確認を実施した自治体は、2自治体しかない」[20]といった弊害が起こった。その後災害対策基本法の改正により「「避難行動要支援者名簿」の作成義務と、自治体と支援団体間での事前情報共有を促す条項が設けられた」ものの、平常時から個人情報を官民で共有するにはハードルが高いという現状が2016年現在ある[20]

脚注

编辑

Template:脚注ヘルプ

注釈

编辑
  1. ^ 在平成29年5月30日以前,处理不足5,000条个人信息的单位或个人不受本法规制
  2. ^ この規定はメガバンクが相当な広範囲で個人情報を利用するという問題をはらんでいる。
    大蔵省に対する回答「一般に、銀行等と顧客との契約の約款において、個人情報を系列企業の商品販売に利用しないとは書いていないが、顧客から止めてほしい旨言われれば止めるようにしている」
    第4回個人情報保護検討部会議事要旨 1999年9月7日
  3. ^ ここでは、個人情報取扱事業者が、個人データの漏洩防止等のための安全管理措置義務(第20条)を怠って個人データを漏洩した場合をいう。
  4. ^ 通常は、個人情報取扱事業者が安全管理措置義務(第20条)を怠って個人データを漏洩し、もって当該データの個人情報が第三者に知られる可能性が生じた時点で、本人の精神的損害(慰謝料)は少なくとも認められうる。
  5. ^ この法律の規制が及ばないというわけではない。場合によっては、組織外への第三者への無断提供や、漏洩防止等のための安全管理措置義務は、規制の対象になりうる。本人の同意が必要になる場合があり、全員が同意しなかった場合に、「本人が同意しなかったという個人情報」自体が組織内で共有されてしまうとして、最初から作成しないということも起こり得る。

出典

编辑
  1. ^ 個人情報の保護に関する法律 [Act on the Protection of Personal Information]. 日本法令外国語訳データベースシステム. 法務省. [2023-01-19]. 
  2. ^ 統計調査と個人情報保護 総務省
  3. ^ 3.0 3.1 https://www.ppc.go.jp/files/pdf/personal_pamph27_caa.pdf
  4. ^ 基本的人権の保障に関する調査小委員会. 衆憲資第28号 知る権利・アクセス権とプライバシー権に関する基礎的資料―情報公開法制・個人情報保護法制を含む―(平成15年5月15日の参考資料) (PDF). 衆議院: 77–78. 2003 [2016年8月31日]. 
  5. ^ 欧州議会. 個人データ処理に係る個人の保護及び当該データの自由な移動に関する指令 (PDF). 1995 [2016-09-26]. 
  6. ^ 石井, 曽我部 & 森 2021,第6頁.
  7. ^ 松尾 2017,第244頁.
  8. ^ 8.0 8.1 松尾 2017,第245頁.
  9. ^ 個人情報の保護に関する法律(平成十五年法律第五十七号)第二条五項. e-Gov法令検索. 総務省行政管理局. 2018-7-27 [2020-1-14]. 2020年1月7日施行分 
  10. ^ 中間整理 p.6.
  11. ^ 11.0 11.1 改正マイナンバー法成立=18年から預金口座に適用-年金との連結は延期. 時事通信社. 2015-09-03 [2015-09-04]. 
  12. ^ 12.0 12.1 改正マイナンバー法成立=2018年から預金口座に適用-年金との連結は延期. 産経新聞. 2015-09-03 [2015-09-04]. 
  13. ^ 13.0 13.1 13.2 河鐘基. ビッグデータの利活用、日本企業は「匿名化」問題を超えられるか. Forbes Japan. 2017-10-19 [2017-10-30]. 
  14. ^ 統計調査と個人情報保護. 総務省統計局. [2022/7/23]. 
  15. ^ 新潟県中越沖地震 「要援護者情報」伝わらず(産経新聞 7月19日13時30分配信)
  16. ^ 中越沖地震が教える過剰反応対策の必要性
  17. ^ 内閣府国民生活局個人情報保護推進室「個人情報保護法に関するよくある疑問と回答[失效連結]
  18. ^ OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data
  19. ^ 19.0 19.1 19.2 19.3 19.4 19.5 19.6 個人情報保護法制2000個問題について (pdf). 内閣府: 2–3. 2016年11月 [2020/06/23]. 
  20. ^ 20.0 20.1 20.2 20.3 20.4 20.5 20.6 20.7 岡本正(銀座パートナーズ法律事務所 弁護士・法学博士). 個人情報保護法制「2000個問題」って何?「自治体個人情報保護法」による解決を目指す. Yahoo Japan. 2015/5/13 [2020/06/23]. 

参考文献

编辑
  • 石井夏生利; 曽我部真裕; 森亮二, 個人情報保護法コンメンタール, 勁草書房, 2021年3月 
  • 松尾 剛行, 最新判例にみるインターネット上のプライバシー・個人情報保護の理論と実務, 勁草書房, 2017年7月 
  • 岡村久道. 個人情報保護法の知識. 日経文庫. 2010. ISBN 4532112095. 

個人情報保護法の「いわゆる3年毎の見直し」関連の資料

编辑

関連項目

编辑

外部链接

编辑