資料１

個人情報保護基本法制に関する大綱案
（中間整理案）

１　目的

　高度情報通信社会の進展の下、個人情報の流通、蓄積及び利用の著しい増大にかんがみ、個人情報の取扱いに関し基本となる事項を定めることにより、その適正な利用に配慮しつつ、個人の権利利益を保護することを目的とするものとすること。

１　定義

(1)　「個人情報」とは、個人に関する情報であって、当該個人が識別可能な情報をいうものとすること。

(2)　「個人情報の処理等」とは、個人情報を取得し、作成し、加工し、蓄積し、維持管理し、若しくは他人に提供すること又は個人情報の取扱いに関する一連の行為をいうものとすること。

(3)　「事業者」とは、国、地方公共団体及びこれらに準ずる一定の者以外の、事業を営む者であって、当該事業の遂行に際し、個人情報の処理等を行う者をいうものとすること。

(注)
1　対象となる「個人情報」及び「事業者」の範囲など、各定義については、引き続き検討する。
2　「個人情報」には、汎用データベース（分散処理型のものを含む。）に記録されたものを含み、また、マニュアル処理のうち検索可能な状態で保有されているものを含む。

３　基本原則

　個人情報は、原則として、以下のように取り扱われるべきものとすること。

(1)　利用目的による制限

　個人情報は、その利用目的が明確にされ、明確にされた利用目的に関連して必要な範囲で取り扱われること。

（注）
1　利用目的の明確化には、利用目的が変更された場合の明確化も含む。
2　利用目的の変更可能な範囲の限界について、引き続き検討する。
3　第三者に対する目的外の提供の制限について、引き続き検討する。

(2)　適正な内容の確保

　個人情報は、正確な内容に保たれること。

(3)　適正な方法による取得

　個人情報は、法令に違反しないよう、かつ、適正な方法で取得されること。

(4)　安全保護措置の実施

　個人情報は、適切な安全保護措置を講じた上で取り扱われること。

(5)透明性の確保

　個人情報は、その取扱いに関し、個人が自己の情報の取扱い状況を把握しうる可能性、及び必要な関与をしうる可能性が確保されること。

４　政府の措置及び施策

(1)　既存法令の見直し等

　政府は、その保有する個人情報に関しては、別に法律で定めるところによることとすること。

　政府は、本法の基本原則に沿って、具体的かつ適正な個人情報保護措置が講じられるよう、個人情報に関する既存の法令を見直す等、必要な措置を講ずるものとすること。

　特定の個人情報又は特定の利用方法であるため、特に厳重な保護を要する等、別途の措置が必要なものについては、特別な法制上の措置その他の施策等の措置を講ずるものとすること。

(2)　独立行政法人等に対する措置

　政府は、独立行政法人、特殊法人等について、その性格、業務の内容に応じ、本法の趣旨に沿って、個人情報の保護を充実強化するための制度、施策を検討し、必要な措置を講ずるものとすること。

(3)　個人情報の保護の推進に関する方針の策定

　政府は、事業者等による個人情報の保護に関する取組が適切かつ円滑に行われることを図るとともに、各省庁による施策が総合的かつ一体的に講ぜられることを図るため、「個人情報の保護の推進に関する方針」を策定するものとすること。

(4)　支援、周知等の施策の実施

　政府は、上記(3)の方針に基づき、事業者等による個人情報の処理等について本法に沿った取組が行われるよう必要な支援、周知等に関する施策を実施するものとすること。あわせて、国民に対する啓発活動の推進等に努めるものとすること。

(5)　苦情等の処理

　政府は、事業者による個人情報の処理等に関する個人からの苦情等を受け付け、適切に処理するものとすること。政府は、受け付けた苦情等の処理に当たって、必要な調査を行うことができるものとすること。

（注）
1　上記(3)の「方針」の内容としては、以下の事項が考えられる。
　　�@政府による支援措置等
　　　個人情報の保護に関する施策等が整合的に講ぜられるようにする。
　　�A政府による個人情報の保護に関する指針の策定
　　　　事業者等が本法に基づく取組を行うに際して留意すべき事項をできるだけ具体的に例示する。(指針の策定に当たっては、OECD等の国際機関、欧米諸国の制度、運営の状況をも参考にする。)
2　政府は苦情等の処理に当たって、事業者に対し、個人情報の適切な取扱いに関する勧告を行うという仕組みも考えられる。

５　事業者が遵守すべき事項

　事業者は、基本原則に沿って、自主的に必要な措置を講ずるものとすること。その場合においては、以下の事項が含まれるようにすること。

(1)　利用目的による制限

　事業者は、個人情報の処理等に当たっては、原則として個人情報の利用目的を具体的に明確にし、その目的に関連し必要な範囲で行うこと。また、具体的な利用目的の通知等を行うこと。

(2)　第三者への提供

　事業者は、個人情報の第三者への提供が利用目的を超えることとなる場合は、個人の権利利益を侵害し又は侵害するおそれの無い場合等を除き、個人の同意を得て行うこと。

(3)　適正な内容の確保

　事業者は、利用目的の範囲内で、個人情報の内容に正確な事実が反映されるよう必要な措置を講ずること。

(4)　適正な方法による取得

　事業者は、個人情報の取得に際しては、法令に違反してはならず、また、個人情報の性質、取得の際の状況等に照らし、第三者から取得することが合理的と認められる場合、本人の権利利益を侵害し又は侵害するおそれの無い場合等を除き、原則として本人から取得するなど、適正な方法で行うこと。

(5)　安全保護措置の実施

　事業者は、その保有する個人情報の漏洩、毀損等を防止するため、適切な技術的な措置を講じ、「個人情報の保護に関する規程」を定め個人情報の処理等に従事する者に対し同規程を周知させ、「個人情報安全管理者」を配置する等、適切な安全保護措置を講ずること。

(注)
「個人情報の保護に関する規程」の内容としては、以下の事項が考えられる。
　　�@「個人情報安全管理者」の責務(データ内容の必要な真実性の確保を含む。)
　　�A個人情報の処理等に従事する者が個人情報の保護のため遵守すべき事項(個人情報の漏洩禁止を含む。)
　また、規程の法的効果については、引き続き検討することとする。

(6)　第三者への委託

　事業者は、個人情報の処理等を第三者に委託する場合は、委託先の選定に配慮し、必要な監督等を行うことにより、十分な保護措置を図ること。

(注)
監督義務を尽くしているときは免責して良いか、引き続き検討することとする。

(7)　個人情報の処理等に関する事項の公表

　事業者は、その保有する個人情報に関し、個人情報の処理等に関する事項について、容易に閲覧可能な方法により公表し、適切に更新すること。

(注)
1　事業者が公表する「個人情報の処理等に関する事項」の内容としては、以下の事項が考えられる。
　　�@個人情報の利用目的及び方法
　　�A保有する個人情報の概要
　　�B開示、訂正等の請求及び苦情申し出の窓口(「個人情報安全管理者」が置かれている場合は本窓口となる）、費用等
　その他の事項としては、
　　i　「個人情報安全管理者」を置く場合には、その氏名及び連絡先
　　ii　個人情報の処理等を第三者に委託している場合は、その理由及び第三者の氏名又は名称
　　iii　保有する個人情報を第三者に提供して使用させている場合は、その理由及び当該第三者の氏名又は名称、住所等
　が考えられる。
2　対象となる事業者、個人情報の範囲については、引き続き検討することとする。
3　事業者が公表を行った場合の法的効果については、引き続き検討することとする。

(8)　開示、訂正等

　事業者は、その保有する個人情報に関し、本人から開示を求められたときは、一定の場合に、その個人情報を開示すること。訂正等を求められたときは、原則として、必要な訂正等を行うこと。

(注)
1　事業者が開示、訂正等を行うべき場合に関して、
　　�@個人の権利利益確保の観点からの開示、訂正等の求めの必要性
　　�A事業者の適正かつ円滑な業務の確保に対する支障の程度
　　�B対象となる事業者、個人情報の範囲
　等について、引き続き検討するものとする。
2　不開示の場合等における理由の提示の必要性について、引き続き検討することとする。
3　その他、事業者が行う開示、訂正等に係る書面性の要否、手数料、期間等の手続の在り方についても、引き続き検討することとする。

(9)　苦情等の処理

　事業者は、個人情報の処理等に関する本人からの苦情等を受け付けるための窓口を明確にすること。また、苦情等の申出を受けたときは、その適切かつ迅速な処理を行うこと。

(10)　他の事業者との協力

　事業者は、個人情報の保護の推進を図るため、必要な場合は他の事業者と協力して、事業者が遵守すべきガイドラインの策定や、苦情・紛争等の処理などを行うこと。

(11)　国及び地方公共団体の施策への協力

　事業者は、本法の趣旨に沿って、国及び地方公共団体が実施する個人情報の保護に関する諸施策に協力すること。

６　地方公共団体の措置

(1)　保有する個人情報に関する制度、施策の整備充実

　地方公共団体は、本法の趣旨に沿って、その保有する個人情報に関し、個人情報の処理等に関する必要な条例及び施策の整備、充実等のための措置を講ずるよう努めるものとすること。

(2)　区域内の事業者、住民に対する支援等

　地方公共団体は、その区域内に所在する事業者及び住民に対する支援、苦情等の処理などの施策の実施に努めるものとすること。

７　国民の役割

　国民は、他人の個人情報の保護及び自己に関する個人情報の適切な管理に努めるものとすること。

８　その他

　以下の事項については、今後、引き続き検討することとする。

(1)　適用対象範囲について、規律ごとに情報の性格等に即して検討する。

(2)　事業者の開示、訂正等の法律上の位置づけについて、実効的救済措置の在り方を含め検討する。

(3)　個人情報の漏洩等に関する罰則の可否について、刑事法制の在り方等を考慮しつつ検討する。

(4)　第三者的な苦情・紛争処理機関の設置について、公的機関又は民間の自律的な機関とすることを含め、実効的な解決を進める観点から検討する。

(5)　条例に関する規定について、地方公共団体の自律性を尊重しつつ、基本法との整合を図る観点から検討する。