資料1−7
1.法律:連邦データ保護法(1990年)(現在改正作業中)
2.目的: 個人情報の扱いを通じてその人格権を侵害することから個人を保護すること。(第1条)
3.適用範囲(第2条)
(1)公的機関(連邦政府機関及び連邦法を執行する州政府機関):データファイル形式及び書類形式(図画、映像媒体、録音媒体を含むがメモ・草稿は含まない)によるデータの扱い。
(2)非公的機関: データファイル形式であって、営業としての又は職業上若しくは事業目的のためのデータの扱いであるもの。
4.データ保護原則
(1)明示の法規定あるいは当事者の同意がない限り、データの処理及び利用は禁止。(第4条第1項)
(2)同意は書面主義を原則(学術目的の場合の例外)とし、データ蓄積目的、データ提供目的、不同意の効果についての事前説明義務がある。(第4条第2項)
(3)目的変更の場合、許可と同意が必要。(第14条、28条)
(4)データ収集原則
(5)アクセス権
(6)訂正・封鎖・消去(第20条、35条)
(7)連邦データ保護監察官等に対する苦情申し立て(第21条、38条)
(8)損害賠償請求
5.登録制度
(1)公的機関(第18条、26条)
(2)非公的機関(第32条、38条)
6.監督制度
(1)連邦データ保護監察官
(2)州監督官庁
(3)自己統制
7.主な適用除外
1.法律:データ保護法(1984年制定、1998年改正)
2.目的:明文の規定なし。
3.適用範囲:公的機関、非公的機関が有する自動処理データ、自動処理を目的として記録されたデータ、及びファイリングシステムの一部として又は一部とすることを目的として記録されたデータ(第1条)
4.データ保護原則
5.登録制度(第17条、18条)
データ管理者は個人情報を処理する場合、データ管理者名、個人データ内容及びデータ主体、処理目的等を、データ保護コミッショナーに届け出なければならない。
登録企業数:約21万(1998年)
6.監督制度
(1)データ保護コミッショナー
7.主な適用除外
○ 個人データが、犯罪防止若しくは捜査、犯罪者の逮捕若しくは追訴、公訴公課若しくは徴収、又は類似する内容の賦課に必要である場合、データ保護原則(第4条)、第7条(個人データへのアクセス権)は適用されない。(第29条)
○ 国務大臣は命令により、データ主体の心身の健康に関する情報からなる個人データに関する規定の適用を除外又は緩和することができる。(第30条)
また、データ管理者が学校の所有者等である場合、当該学校の生徒又は生徒であった者に関する情報から構成される個人データに関する規定の適用の除外又は緩和を図ることができる。(第30条)
○ ジャーナリズム目的、芸術・文学のために処理される個人データ、表現の自由における公益を重視した結果公益に資するものと考える刊行物については、データ保護原則(第4条)、第7条(個人データへのアクセス権)、第10条(データ主体による、損害等の可能性がある処理の取りやめ請求)、第14条(データの訂正・消去請求)等から除外される。(第32条)
○ 統計上もしくは歴史上の目的から、特定の個人に関する判断等を目的としない個人データに関する情報の処理については、第5データ保護原則(必要な期間を超える保存の禁止)にかかわらず、無期限に保存される。(第33条)
○ データ主体の教育・研修・雇用、ある任務への任命等を目的として提供される場合、第7条(個人データへのアクセス権)は適用されない。(附則第7項)
1.法律:情報処理・データと自由に関する法律(1978年制定)
2.目的:明文の規定なし
3.適用範囲:公的機関、非公的機関の保有する個人情報
4.データ保護原則
(1)不正・違法な個人情報の収集の禁止(第25条)
(2)個人情報の収集の際に、@情報提供が義務的なものか否か、A提供しなかった場合の効果、B情報収集対象、Cアクセス権及び訂正権について通知しなければならない。(犯罪捜査の場合適用除外)(第27条)
(3)個人情報は、収集の際示された期限を超えて保存されない。(法令で規定のある場合、又は情報処理及び自由に関する国会委員会(CNIL、Commission nationale de linformatique et des liberte)の承認がある場合は適用除外)(第28条)
(4)情報管理者は、個人情報を保護し、歪曲、損傷、又は第三者への漏洩を防止するために必要な措置を取らなければならない。(第29条)
(5)データ主体の明確な同意なしに、人種、政治的・思想的・宗教的信条、労働組合、倫理に関する情報を収集することの禁止。非公的機関による犯罪、有罪判決、セキュリティに関する情報収集の禁止。(第30条、31条)
(6)アクセス権
・データ主体は、自らの個人情報を有するか否かを問い合わせる権利、及び個人情報を有している場合にはその情報に対するアクセス権を有する。(第34条、35条)
・アクセス権を有する者は、自らの情報の訂正、追加、明確化、更新又は抹消を要求することができる。修正・削除した場合はその旨を既に情報を提供した第三者に通知されなければならない。(第36条、37条)
5.登録制度
登録件数:約58万件(約40万企業)(1998年現在)
正規届出件数:総数12万4,547件(1996年末現在)
9,727件(1996年度)
(1)意見申請(第15条)
公的機関が個人情報を処理する場合、あらかじめ、CNILへの諮問を経て、政令・省令などの規則的行為により定めなければならない。また、国民識別番号を使用するシステムについては、公的機関・非公的機関を問わず意見申請となる。
答申は@明示的承認、A設置不許可、B黙示的承認、C他の申請(簡略届出)への振り替え。
(2)正規届出(第16条)
非公的機関の個人情報の処理にあたっては、 CNILに届出をするだけでよい。届出が受理されれば直ちにシステムを立ち上げることができる。 CNILは届出によりその所在を明確にしておくにとどめ、問題のある事例につき事後的に統制を加えることとしている。
届出項目:届出機関名、システム利用担当部局、処理対象個人数、システムの主要目的、利用開始年度、アクセス権行使可能場所、外国との国際的交流の存否、システムの用途、安全と秘密防護措置、処理情報の類型、類型別利用先、国民識別番号・犯罪保安関係情報、オンライン照会のあり方
(3)簡略届出(第17条)
公的機関・非公的機関を問わず、定型的でプライバシー侵害のおそれが少ない個人情報の処理について、業務類型毎にCNILが定めた「簡略規範」に従うことを申告すればよい。(簡略規範項目別紙参照)
簡略規範はシステムの目的・情報の種類・保存期間・アクセス権の行使が可能な場所等について、概略的な規定を置くのみのモデル規定であり、システム設置時点でその規範を個別のシステムが遵守しているか否かについてCNILはチェックせず、事後的に運用の段階でチェックし、運用上問題があった段階で簡略規範の見直し、当該システム管理者に対し必要な措置をとることとしている。
6.監督制度
情報処理及び自由に関する国家委員会(CNIL)
7.主な適用除外
(1)表現の自由(第33条)
(2)健康分野における研究目的のための姓名に結びつくデータのコンピュータ処理
(参考)簡略規範
1号:国家公務員・職員の俸給支払いシステム
2号:国家公務員・職員管理システム
3号:公施設法人職員、公役務を担う私法人の職員俸給支払いシステム
4号:公施設法人職員、公役務を担う私法人の管理システム
5号:地方公共団体職員及びその外郭団体たる公施設法人の職員の俸給支払いシステム
6号:地方公共団体職員及びその外郭団体たる公施設法人の職員の管理システム
8号:電気・ガス等公益事業による利用料金徴収システム
9号:図書・視聴覚作品・美術品貸与システム
10号:公共団体による各種使用料徴収システム
11号:一般顧客名簿システム(※全体の17%)
12号:銀行等の顧客名簿システム
13号:信用機関による信用供与・貸付に関するシステム
14号:納入業者管理システム(※全体の12%)
15号:情報提供用住所管理システム
16号:保険機関等による契約履行に関するシステム
17号:通信販売業者の顧客名簿システム
18号・19号:統計情報管理システム
20号:社会福祉施設・財産の管理システム
21号:不動産管理システム
22号:退職年金制度適用者管理システム
23号:非営利社団の職員管理システム
24号:市町村選挙管理システム
25号:定期刊行物の顧客名簿システム
26号:統計情報を利用する事業者の情報処理システム
27号:公共団体による各種料金徴収システム
28号:公役務を担当していない個人・法人の俸給支払いシステム(※全体の40%)
29号:公立・私立中等教育校における会計・行政・教育管理システム
30号:労働委員会委員選挙名簿システム
31号:人口1万人以下の市町村のシステム
32号:人口2,000人以下の市町村のシステム
33号:幼稚園、小学校の学籍簿管理システム
34号:政党による候補者・議員管理システム
35号:市町村労働委員会委員選挙名簿管理システム
39号:ホテル等公共的施設における電話利用先・利用時間管理システム
40号:内線電話網を私用した場合の支払い請求のための受発信電話管理システム
(※)の割合は1994年段階のもの
1.法律:プライバシー法(1974年改正)
2.目的:連邦行政機関に対して、データ保護原則等を義務づけることにより、個人のプライバシーの侵害に対する保護措置を講じること。(第2条)
3.適用範囲:連邦政府機関の保有する個人情報
4.データ保護原則
(1)行政機関は、データ主体の書面による請求があった場合、又は事前の承認を得た場合を除き、第三者に対し記録を提供してはならない。(第3条)
第三者提供禁止規定の適用除外
(2)データ主体からの請求があった場合、自己に関する記録の検査を許可するとともに、その全部又は一部の写しを作成しなければならない。
(3)データ主体が記録の訂正を請求することを認めなければならない。
(4)行政機関は、当該機関の目的の達成に関連があり、かつ必要な個人情報のみを記録として保有しなければならない。
(5)当該情報を原因として、連邦施策の下における個人の権利、利益、特権に関して不利益な決定がなされる可能性がある場合は、実際的に可能な限りこれを本人から直接収集しなければならない。
(6)個人に対し情報の提出を要求する場合は、@情報提供要求の根拠及び提出が義務か任意かの別、 A利用目的、B情報不提供の場合個人の利害に何らかの影響がある場合その内容を告知しなければならない。
(7)個人に関する何らかの決定に用いられる記録については、その決定の公正を保証するため、合理的範囲で必要とされる正確性、合目的性、現在性及び完全性をもって保有しなければならない。
(8)憲法修正第1条(宗教・言論・出版・集会・請願の自由)により保障された個人の権利の行使の様態に関する記録を保有してはならない。
(9)記録が第三者に提供される場合、データ主体に対してこれを通知するための適切な努力を払わなければならない。
(10)記録の安全と機密を保持・保護するため、適切な管理的、技術的及び設備的防御措置を確立しなければならない。
5.登録制度
6.監督制度
7.主な適用除外
8.自主規制
(1)オンラインプライバシー同盟(OPA)
(2)ダイレクト・マーケティング協会
(3)BBB(Better Business Bureau)
9.子どもオンラインプライバシー法
1998年成立。13歳未満の子どもからインターネット上で個人情報を収集する場合、事前に親の許諾を取ることを事業者に義務づけるとともに、親に子どもが提供した個人情報の開示・提供を請求する権利を認めるもの。
またウェッブサイトに事業者のプライバシー保護ポリシーの掲載が義務づけられ、自らのポリシーに違反した場合、不公正ないし欺瞞的取引慣行として連邦取引委員会(FTC)の摘発対象となる。
(注)アメリカでは、セクトラル方式を取っており、このほかにも「コンピュータ・マッチング・プライバシー保護法」等個別法が多数存在する。