「個人情報保護基本法制に関する大綱」について

政府側説明
(江崎 内閣内政審議室個人情報保護担当室室長補佐)

個人情報保護基本法制作成の経緯

1. プライバシーとは、従来「一人にしておかれる権利」や「私生活をみだりに公開されない法的保障ないし権利」との認識が一般的であった。しかし、近年、欧州を中心としてプライバシーを「自己に関する情報の流れをコントロールする個人の権利」と捕らえる考え方が広がっている。
2. プライバシー保護のための各国独自の取り組みを調和させるため、1980年にOECDにおいて個人情報保護の８原則¹が取りまとめられた。90年代に入ると、EU統合の流れの中で、個人情報保護についてもルール統合すべきとの考えが高まり、1995年に「個人データ処理に係る個人の保護及び当該データの自由な移動に関するEU指令²」が出された。このEU指令には、第三国条項が盛り込まれており、EUと同等の水準以上の個人情報保護が確保されていない域外国には、EU域内から個人情報を出してはならないことが示された。
3. この第三国条項を巡って包括的な個人情報保護法を持たない米国とEU間で対立が生じ、最終的に米国企業の自主的な取り組みを主体とするセーフハーバープリンシプルをベースとする合意が見られた。わが国においてはEU指令の第3国条項への対応が、包括的な個人情報保護法制定への背景となっている。
4. 個人情報保護法制定への直接的な契機は、1999年5月の国会で、住民基本台帳法の改正が議論された際に、民間分野に適用される個人情報保護法が存在しないことから、住民票にまつわる個人情報が、経済活動に不当に使われる恐れがあるとの議論が盛り上がったことにある。この結果、民間分野をも対象にした包括的な個人情報保護法を作れという趣旨の付帯決議が採択された。
5. こうした動きを受けて、1999年7月、政府の高度情報通信社会推進本部³に、民間有識者の参加を得て、個人情報保護検討部会⁴が設置された。同検討部会は、1999年11月に中間報告を取りまとめ、個人情報保護法を制定すべきことを提言した。本提言を受け、本年1月に個人情報法保護法制化専門委員会が設置され、10月に「個人情報保護基本法制に関する大綱」がとりまとめられた。

   ---

   1. OECD個人情報保護8原則(1980年9月OECD理事会勧告)は、以下に言及。
      (1)収集の原則、(2)データ内容の原則、(3)目的明確化の原則、(4)利用制限の原則、(5)安全保護の原則、(6)公開の原則、(7)個人参加の原則、(8)責任の原則
   2. EU指令(1995年10月採択、98年10月発効)は、(1)個人情報に関する情報主体の権利の保障、(2)事業者による情報収集実施前の個人情報監督機関への通知届出義務、(3)個人情報監督機関による行政的救済権限、(4)立入検査等の行政調査権限、(5)業務改善命令等の行政処分権限、(6)司法当局への告発権限、(7)違反に対する制裁権等の導入を加盟国に義務付け(EU加盟国は、EU指令に沿って国内法を改正する義務を負う)。
   3. 2000年7月7日に情報技術(IT)戦略本部に改組。
   4. 検討部会座長は、堀部中央大学法学部教授。経団連からは礒山情報通信委員会情報化部会長(当時)が参加。

   ---

基本法制の論点と特徴

1. IT時代においては、名刺一枚で、個人の住所、年齢、家族構成、預金残高まで容易に知られてしまうと言われている。また、およそ自分の家族のことを知らないはずの会社から、電話やダイレクトメール等を通じて様々な勧誘が頻繁に行われる。多くの国民が感じるのは、自分の個人情報を誰がどのように使っているかが全く分からないことに対する不安である。しかし、その一方で、情報は流通し利用されなければ価値が無く、IT社会の利便性を享受するためには、情報の流通を促進することが必要である。
2. このような観点から、「大綱」は、一般国民・消費者の不安を解消しつつ、個人情報の保護と利用のバランスを図ることを重要な論点として提示し、IT情報社会のメインプレーヤーたる事業者に対して守るべき基本ルールの整備を提案している。また、同時に「大綱」は、高度情報通信社会において個人情報を取り扱う者が等しく守るべき一種の「モラル」を形成することをも目指している。
3. 「大綱」が提案する基本法制の特徴は5つ。第一は、高度情報通信社会特有の問題に対応するための制度であるということ。従って、10年前、20年前に可能であったことが突然禁止されるというものではない。
4. 第二は、個人情報の種類・性質には着目せず、全ての個人情報が対象となるということ。これは、情報は結合されることによって、いくらでもセンシティブになり得るというIT社会が可能にした問題が背景になっている。
5. 第三は、個人情報の取扱いについて、「入り口は緩く、出口は厳しく」していること。即ち、目的さえ明示すれば原則として利用は自由、ただし、個人情報を「無秩序の海」に投げ込むことになる「第三者への提供」は、一定の適用除外を設けた上で、禁止となる。従って、個人情報を取り扱う企業には個人情報の適切な管理を行う責任が生ずる。
6. 第四は、基本法制は個人情報を取り扱う者全てを対象にするということ。従って、政府機関、民間企業に加えて、個人に対しても個人情報の適切な取扱いのためのルールの遵守が求められる。ただし、このルールに違反した場合に直ちに罰則の対象となるわけではなく、より厳しいルールを遵守すべき者をどの範囲にするか等も含め、今後、企業等における個人情報の取扱いの実態を踏まえて検討していく。
7. 第五は、基本法制は「自己情報コントロール権」の考え方に立っていないということ。ただし、個人は、自己の個人情報が正確なものであること等を確保するため、開示や訂正等を行うことができる。また、企業と個人との間で紛争が生じ、当事者間で解決されない場合には、国が関与するセーフティネットの方式が用意されている。
8. なお、「大綱」が提案する基本法制は、EU、米国とそれぞれ類似した点がある。EUと類似しているのは、対象分野の包括性である。また、米国と類似しているのは、「大綱」によって、個人情報の適正な取扱いの基本となる原則を確立し、民間事業者の自主的な取り組みを促している点である。

各項目の解説<1>(「1.目的」ならびに「2.基本原則」)

1. 「1.目的」では、「高度情報通信社会の進展の下、個人情報の流通、蓄積及び利用の著しい増大にかんがみ、個人情報の適切な取扱いに関し基本となる事項を定めることにより、個人情報の有用性に配慮しつつ、個人の権利利益を保護する」と示されている。このポイントは、この基本法制が個人情報の取扱に関する基本ルールを定めるのだという点。
2. 「2.基本原則」では、5つの原則を示している。第1は、「利用目的による制限」。これは、何のために個人情報を利用するのかを明確に示した上で、この範囲内で情報を利用しなければならないということ。
3. 第2は、「適正な方法による取得」。これは、違法な方法による個人情報の取得は勿論、不適正な方法での取得も行ってはならないというもの。不適正な方法としては、OECD等で挙げられているものは、「隠し取り」など。
4. 第3は、「内容の正確性の確保」。これは、保有する個人情報は、個人情報の利用目的の達成に必要な範囲内において正確・最新の内容に保ちなさいというもの。したがって、誤った情報と知りながら利用して、個人情報の本人に損害が発生した場合の企業等の責任がより明確なものになる。
5. 第4は、「安全保護措置の実施」。これは、ファイヤーウォールの設置等、セキュリティを確保すべきことを意味している。また、企業にあっては、個人情報データベースを扱う担当者を限定するなどの組織的な対応を求めるものでもある。
6. 第5は、「透明性の確保」。これは、主に企業についての原則であるが、個人が自己情報の取扱いに関して、開示や訂正等の一定の関与を認めることを求めている。ただし、個人的な手紙の内容を見せなくてはならないとの義務を課すものではない。
7. 「基本原則」は、これに従わなかったからといって直ちに罰せられるという性質のものではない。ただし、不法行為や名誉毀損等の紛争において、「基本原則」に明確に違反していることは、裁判上の考慮材料になる可能性があると考えられる。

各項目の解説<2>(「3.個人情報取扱事業者の義務等」)

1. 「基本原則」の対象は、「個人情報を扱う者」全てであるが、そのうち個人情報データベース（コンピュータ等を用いて検索することができるよう体系化された個人情報の集合物）を事業に用いている「一定の事業者(個人情報取扱事業者)」については、本原則をより具体化した義務規定が適用される。本義務規定に違反した場合には、行政庁からの是正命令の対象になり、更にこの命令に従わない場合には、罰則が適用される。「一定の事業者」の定義は、「大綱」段階では大まかにしか示されていないが、専ら小規模の個人情報データベース等のみを取り扱う事業者等を除いたその他の事業者というイメージである。
2. 個人情報取扱事業者の義務としては、まず、「利用目的による制限及び適正な取得」である。これは、個人情報を取得する際には、利用目的を明確にした上で、その範囲内での取扱いを義務付けるものである。利用目的の変更については、それが社会通念上、合理的な範囲内に止まっている場合にのみ可能となる。したがって、当初の目的から全く外れるような利用をする場合には、その利用の停止を求められる可能性がある。また、利用目的は、通知や公表等によって本人が容易に知り得る状態にしておくことが必要であるが、本人からの直接取得の場合には本人にこれを明示しなければならない。具体的には、相対による契約締結やアンケート調査等、企業が本人から直接個人情報を取得する場合には、利用目的を明示しなければならないことになる。換言すれば、本人に直接利用目的を知らせることができる状況にあるにもかかわらず、後日これを通知するというのは認められない。
3. ただし、この利用目的の通知・公表の義務は、企業の「正当な利益を害するおそれ又は業務の適正な実施に支障を及ぼすおそれ」がある場合などには、適用除外となる(目的の通知等を行う必要はない)。「おそれ」の有無の判断には、一般的な蓋然性と利益衡量が必要である。具体的には、利用目的を明示するとその事業自体が成り立たなくなるような疫学関連のケースが考えられるが、細部についてはガイドライン等を通じて明らかにしていくことになる。
4. なお、公表等の方法としては、インターネットのホームページでの掲載、パンフレットの配布、店舗にポスターの設置等を予定している。本人からの問い合わせへの回答で足りるかという議論は引き続き検討する。(ただし、インターネットで利用目的を公表すれば、問い合わせに答えなくていいというものではない)。
5. 第2の義務は、「適正な管理」である。これは、事業者に個人データの内容の正確性と最新性の確保、安全保護措置の実施、従業者及び委託先に対する監督等を求めるものである。この結果、委託先で個人情報の漏えい問題が発生した場合、委託契約書の中に守秘義務規定があることのみを以って免責されることはならない可能性が生じる。具体的には、委託先が契約に則り、個人情報保護のための必要な措置を取っているかを確認するなどの作業が必要になる。具体的にどのようなことをすれば監督責任を果たしていたこととなるのかは、今後の議論の課題である。
6. 第3の義務は「第三者提供の制限」である。これは、原則として、個人データを第三者に提供してはならないということだが、以下の場合が例外となる予定である。
   1. 分社化や合併などの場合(利用目的に変更が加えられないで引き継がれる場合。)
   2. 個人データの処理を委託する場合(同一目的のために共同処理を行う場合を含む)。
   3. 個人データを特定の者との間で相互利用する場合であって、予め利用目的及び提供先等が本人に通知・公表されている場合(信用情報の交換など、あらかじめ特定された企業間での情報交換をイメージしたもの。)
   4. そもそも第三者提供自体を目的とする場合で、本人からの求めがあれば第三者への提供の停止等を行うことが確保されており、その旨が明らかになっている場合
7. なお、個人情報の利用目的を合理的な範囲を超えて変更する場合や、目的変更により、新たに第三者提供を行おうとする場合には、本人の同意を取り付ける必要がある。
8. 第4の義務は、「公表等」である。これは、利用目的、個人情報の保有に責任を有する事業者名、開示等に必要な手続等をホームページなどで公表することを求めている。同一法人において利用目的が部門や支店毎に異なっている場合には、個別にこれを公表することも含め検討中。
9. 第5の義務は「開示」である。これは、本人から自己の個人データについて開示の求めがあった場合には、企業の「正当な利益を害するおそれ又は業務の適正な実施に支障を及ぼすおそれがあるとき等を除き」、当該情報を開示することを求めている。即ち、企業の営業秘密に関するものまで開示を義務付けるものではないが、適用除外の明確化は今後の議論の課題である。なお、開示を行わない場合には、その旨本人に伝える義務があるが、その理由の説明については努力義務となっている。
10. 第6の義務は「訂正等」である。これは、本人から自己の個人データの内容について正確かつ最新の事実を反映するよう求めがあった場合には、訂正等を行うことを求めている。したがって本人からの求めの内容に疑義がある場合にまで訂正を行う必要はない。また、個人情報取扱事業者の義務として、個人情報は原則、正確・最新の状態に保つことが求められることから、企業側の自主的な努力も求められる。なお、訂正を行わない場合には、行わない旨の通知の義務付けがある一方で、その理由の説明については努力義務となっている。
11. 第7の義務は「利用停止等」である。本人から自己の個人データについて、目的外利用、違法な手段による個人情報の取得、必要な手続きを行わないで第三者提供を行っていること等を理由として、利用停止等の求めがあった場合には、当該情報の利用を停止することが必要となる。したがって、これらに該当しない場合には、たとえ本人からの申し出があったとしても、利用を停止する法律上の義務はない。勿論、顧客の求めを無視して個人情報を利用し続けるか否かは経営判断の問題。
12. 第8の義務は「苦情の処理」である。これは、必要な体制整備等を行い、適切かつ迅速に苦情の処理に努めることを求めている。
13. なお、事業者団体等は「苦情の処理等を行う団体の認定」を主務大臣に申請し、認定を受けることができるという制度を設ける予定である。これは、これまでわが国においては、事業者団体等がガイドラインを策定し、関係企業がこれを遵守する形で個人情報の保護が行われてきたという実態にかんがみ、こうした事業者団体の自主的な取り組みを尊重した上で、個人情報保護の水準を高めることを目指すものである。
14. これら「個人情報取扱事業者の義務等」の規定の施行に関し、必要があると認めるときは、主務大臣は個人情報取扱事業者等に対して報告を求め、又は助言若しくは改善の指示を行うことができることとなっている(「4.政府の措置及び施策(5)主務大臣の指示等」)。また、個人情報取扱事業者が主務大臣の改善の指示に従わないときは、一定の場合に、主務大臣は個人情報取扱事業者に対して、改善又は中止の命令を行うことができ、主務大臣の改善・中止命令への違反は、罰則の対象となる。罰則の内容は今後検討する。
15. 個人情報保護に関する基本法が成立したとしても、その適用について曖昧な部分が残ることは否定できず、業種毎の業務の実態等を踏まえた適用のためのガイドラインを設ける必要がある。なお、報道分野等については、「3.個人情報取扱事業者の義務等」の諸規定の適用に代えて、「1.目的」、「2.基本原則」に基づいた自主的な取り組みを求めることとなる。

質疑応答

Ｑ１.

従業員が集めた名刺情報には、個人情報取扱事業者の義務が課せられるか？

Ａ１.

個人情報取扱事業者の義務等に関する規定の対象となるのは、主に「電子計算機等を用いて検索することができるよう体系化された個人情報の集合物(個人情報データベース)」および「電子計算機を用いる場合に匹敵する検索等の処理が可能であるマニュアル処理情報」である。このため、個々の名刺自体については個人情報データベース等にはならず、適正管理、第三者提供制限等の対象にはならないと考えられる。ただし、職員の名刺を集めデータベース化した場合には規定の適用対象となる可能性がある。



Ｑ２.

警察から、顧客情報について任意調査への協力を求められることがある。この場合、警察への情報提供は、第三者提供の制限とどのようなかかわりがあるのか。また、民事事件に関して弁護士会を通じて顧客情報の照会という例がある。こういうケースはどのように対応すればよいか？

Ａ２.

警察の捜査への協力は、法案化の段階で何某かの適用除外規定を設ける必要があると考えられる。「大綱」では、「個人情報の取扱いに関し、他の法律により特別の取扱いを規定している場合や、公共の安全・秩序の維持又は公衆衛生等の公益上の必要性から特別の配慮が求められる場合等が少なくなく、本基本法制の各規定の趣旨を勘案し、本基本法制の適用により上記のそれぞれの場合においてどのような支障が生ずるかについて各規定ごとに具体的に検討した上で調整する必要がある。このため、政府においてはこれらの関係について法案の立案過程で立法技術上の観点から調整措置を検討する必要がある」とされている。警察の調査への協力は、「公共の安全・秩序の維持」に関連するものと考えられるが、「任意調査」の取扱いについては法制化段階で十分な検討を行う。弁護士法の規定に基づく場合についても同様。



Ｑ３.

営業譲渡などが認められる場合、個人情報を収集した企業と利用する企業が異なることについては、どう考えるか？

Ａ３.

本基本法制においては、個人情報の利用目的が引き継がれるか否かが重要なポイントとなっており、営業譲渡などの場合であっても譲渡を受けた会社は引き継いだ個人情報の利用について当初の目的に拘束される予定である。したがって、保護と利用のバランスを確保する観点から、利用目的の連続性さへ維持されれば、主体の変更については一定の受忍限度として認められることを求めている。



Ｑ４.

「名簿屋」に対しては、どのような規制が行われるのか？

Ａ４.

本基本法制の性質上、「名簿屋」だから直ちに規制されるというものではない。ただし、名簿屋が個人情報取扱事業者に該当する場合には、第三者提供を行う際には、本人からの求めに応じて、第三者への提供の停止等を行わねばならないことになる。