配付資料

個人情報保護基本法制に関する大綱案(素案)

平成12年9月8日



1.目的

 高度情報通信社会の進展の下、個人情報の流通、蓄積及び利用の著しい増大にかんがみ、個人情報の適正な取扱いに関し基本となる事項を定めることにより、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とするものとすること。

2.定義

 (1)「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述又は個人別に付された番号、記号その他の符号により当該個人を識別できるもの(当該情報のみでは識別できないが、他の情報と容易に照合することができ、それにより当該個人を識別できるものを含む。)をいう。

 (2)「個人情報の取扱い」とは、個人情報の取得、処理、提供、利用その他個人情報の取扱いに関する一切の行為をいう。

 (3)「個人情報データベース等」とは、個人情報の集合物であって、特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したものその他これに準ずるものをいう。
 ※ マニュアル情報については、電子計算機を用いる場合に匹敵する検索等の処理が可能であるものに限定する。

 (4)「個人情報取扱事業者(又は特定事業者)」とは、事業を行う者であって、その事業の遂行に当たり個人情報データベース等を取り扱う者のうち一定のものをいう。ただし、国の機関、地方公共団体を除く。
 ※ 単にアクセスすることのみが許されており、データの変更、移転等ができない事業者及び専ら小規模の個人情報データベース等を取り扱う者を除くことについて要検討。
 ※ 独立行政法人等については、別途の法的措置が講じられた段階で改めてその位置付けを見直すものとする。

3.基本原則

 個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであり、何人も次に掲げる原則にのっとって個人情報の適切な取扱いに努めなければならないものとすること。
 ※ 何人に対しても個人情報の保護のための自主的な努力を求める趣旨である。

 (1) 利用目的による制限

 個人情報は、その利用目的が明確にされるとともに、当該利用目的の達成に必要な範囲内で取り扱われること。

 (2) 適正な方法による取得

 個人情報は、適法かつ適正な方法によって取得されること。

 (3) 内容の正確性の確保

 個人情報は、その利用目的の達成に必要な範囲内において正確かつ最新の内容に保たれること。

 (4) 安全保護措置の実施

 個人情報は、適切な安全保護措置を講じた上で取り扱われること。

 (5) 透明性の確保

 個人情報の取扱いに関しては、個人情報において識別される個人(以下「本人」という。)による適切な関与が認められ、必要な透明性が確保されること。

4.個人情報取扱事業者の義務等

 ※ 高度情報通信社会において大量の個人情報を高度な情報処理・通信技術を用いて事業の用に供する者についての必要最小限の規律を設ける。

 (1) 利用目的による制限及び適正な取得

ア.個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用目的を明確にするとともに、当該利用目的の達成に必要な範囲内で個人情報の取得、処理その他個人情報の取扱いを行わなければならないものとすること。
 ※ 個人情報を含む情報の第三者提供を業とする者の取扱いについては引き続き検討する。

イ.個人情報取扱事業者は、個人情報を取得する場合には、利用目的を本人に通知し、又は本人が容易に知ることができるよう公表等をしなければならないものとすること。このうち、本人との契約の締結に伴い、又は調査等により本人から直接個人情報を取得する場合には、当該取得の際に利用目的を明示しなければならないものとすること。
 ※ 以下の場合について、本項イの適用除外を検討する。
 個人情報取扱事業者の正当な利益を害するおそれがある場合又は業務の適正な実施に支障を及ぼすおそれがある場合

ウ.個人情報取扱事業者は、適法かつ適正な方法によって個人情報を取得しなければならないものとすること。

エ.個人情報取扱事業者は、一般的に合理的と考えられる範囲を超えて利用目的を変更してはならないものとすること。
 ※ 一般的に合理的と考えられる範囲:当初の目的との関連性から社会通念上本人に不測かつ不当な権利利益の侵害が生じるおそれがない範囲。
 ※ 利用目的を変更する場合には、変更後の利用目的を改めて本人に通知し、又は本人が容易に知ることができるよう公表等をすることとなる。
 ※ 以下の場合について本項ア、イ、エの適用除外を検討する。

@あらかじめ本人の同意がある場合
A生命又は財産の保護のために緊急に必要がある場合

 (2) 適正な管理の実現

ア.個人情報取扱事業者は、保有する個人情報データベース等の個人情報について、利用目的の達成に必要な範囲内において正確かつ最新の内容に保つよう努めなければならないものとすること。

イ.個人情報取扱事業者は、個人情報の取扱いに従事する者に対して個人情報の保護に必要な措置が適切に講じられるよう監督しなければならないものとすること。

ウ.個人情報取扱事業者は、個人情報の取扱いの全部又は一部を第三者に委託する場合には、委託先の選定に配慮し、必要な監督等を行わなければならないものとすること。
 ※ 安全保護措置(技術的、組織的安全保護措置)については、個人情報データベース等に対してアクセスできる者の範囲を明確にすること等を含め、政府又は事業者団体によるガイドラインを通じて具体的な対応、適切なレベルを示すこととする。

 (3) 第三者提供の制限

 個人情報取扱事業者は、個人情報データベース等の全部又は一部を第三者に提供してはならないものとすること。ただし、あらかじめ本人の同意がある場合及び生命又は財産の保護のために緊急に必要がある場合は、この限りでない。
 ※ 以下の場合について、第三者から除外することを検討する。 @ 営業譲渡、分社等により営業資産の一部としてその保有する個人情報データベース等の全部又は一部を引き継ぐ場合
A 明確化された利用目的を達成するために当該個人情報取扱事業者と共同し、又はその委託により個人情報を取り扱う場合

 ※ 個人情報を含む情報の第三者提供を業とする者の取扱いについては引き続き検討する(再掲)。

 (4) 公表等

ア.個人情報取扱事業者は、保有する個人情報データベース等の個人情報について、次に掲げる事項を、本人に通知する場合を除き、公表等をしなければならないものとすること。 @ 利用目的
A 個人情報の保有に責任を有する事業者名及び責任を有する者の氏名
B 開示等に必要な手続
C その他個人情報の保護を図るために必要な事項

イ.個人情報取扱事業者は、本人に通知し、又は公表等をした事項を変更するときは、変更する事項を、本人に通知する場合を除き、公表等をしなければならないものとすること。
 ※ 以下の場合について本項ア、イの適用除外を検討する。

@ 個人情報取扱事業者の正当な利益を害するおそれがある場合又は業務の適正な実施に支障を及ぼすおそれがある場合
A 開示等に必要な手続については、開示等の対象となる個人情報を保有していない場合
B 軽微な変更である場合

 ※ 「公表等」とは、インターネット上での公表、パンフレットの配布、書面の掲示、備え付け、本人からの問い合わせへの回答などにより、本人が適切な事項を知りうるようにすることをいうものとする。
 ※ 保有する個人情報の利用目的について、取得の際に本人への通知、公表等をしている場合に、本項に基づき、再度本人への通知、公表等をすることは必要ない。
 ※ 本人に通知し、又は公表等をしなければならない事項B開示等に必要な手続には、開示等の申出の方法、申出をする本人の確認方法、開示が直ちに実施できない場合にはその実施に必要な期間、開示に要する手数料を徴収する場合にはその額を含めることとし、これらについては、申出をする本人に過度に負担を課すものであってはならないこととする。
 ※ 本人に通知し、又は公表等をしなければならない事項Cその他個人情報の保護を図るために必要な事項としては、苦情等の受付窓口、プライバシーポリシー等を想定。

 (5) 開示

ア.個人情報取扱事業者は、保有する個人情報データベース等の個人情報に関し、本人から自己の個人情報に関する開示の申出があったときは、申出をした本人に対し、当該個人情報を開示しなければならないものとすること。
 ※ 以下の場合について本項の適用除外を検討する。 @ 本人又は他人の生命、財産その他の利益を害するおそれがある場合
A 個人情報取扱事業者の正当な利益を害するおそれがある場合又は業務の適正な実施に支障を及ぼすおそれがある場合

イ.個人情報取扱事業者は、本人からの申出に対し、開示を行わない場合には、申出をした本人に対し、その理由の説明に努めなければならないものとすること。
 ※ 除外する個人情報取扱事業者の範囲等については、さらに検討する。
 ※ 開示の規定を設ける趣旨は、本基本法制に基づく個人情報取扱事業者の個人情報の適正な取扱いが当事者間で自主的かつ実効性をもって担保されることを目的として、本人が関与しうる仕組みを法的に整備することにある。なお、訂正等及び利用停止等の規定を設ける趣旨についても開示の場合と同じ。

 (6) 訂正等

 個人情報取扱事業者は、保有する個人情報データベース等の個人情報に関し、本人から、自己の個人情報の内容について、正確かつ最新の事実を反映するよう申出があった場合には、申出の内容を確認し、申出の内容が正当と認めるときは、利用目的の達成に必要な範囲内で、当該個人情報の訂正、追加、削除その他の適切な措置を講じなければならないものとすること。
 ※ 以下の場合について本項の適用除外を検討する。 @ 本人又は他人の生命、財産その他の利益を害するおそれがある場合
A 個人情報取扱事業者の正当な利益を害するおそれがある場合又は業務の適正な実施に支障を及ぼすおそれがある場合

 (7) 利用停止等

 個人情報取扱事業者は、保有する個人情報データベース等の個人情報に関し、本人から、自己の個人情報について、以下を理由として利用停止等の申出があった場合には、申出の内容が正当と認めるときは、当該個人情報の利用停止、削除その他の適切な措置を講じなければならないものとすること。
 ※ 以下の理由を対象とすることについて検討する。 @ 違法又は不適正な方法により取得されたものであること
A 利用目的の達成に必要な範囲を超えて利用が行われていること

 ※ 以下の場合について本項の適用除外を検討する。

@ 本人又は他人の生命、財産その他の利益を害するおそれがある場合
A 個人情報取扱事業者の正当な利益を害するおそれがある場合又は業務の適正な実施に支障を及ぼすおそれがある場合

 (8) 苦情の処理

 個人情報取扱事業者は、個人情報の取扱いに関する苦情について、必要な体制の整備等を行い、適切かつ迅速な処理に努めなければならないものとすること。

 (9) 苦情の処理等を行う団体の認定

 個人情報取扱事業者は、苦情の処理等を行うために、個人情報取扱事業者を構成員とする団体を設け、申請により主務大臣の認定を受けることができるものとすること。
 ※ 認定の条件について、以下の条件を設けることを検討する。 @ 構成員を公示していること。
A 基本原則及び事業者が遵守すべき事項に沿った指針を策定し、構成員に遵守させていること。
B 構成員の個人情報の取扱いに関する苦情の処理のために必要な体制を整備していること。

 ※ 団体の業務として個人情報の取扱いに関する広報・啓発活動等を行うことについても検討する。
 ※ このほか、認定の手続、取消等に必要な規定を設けることを検討する。

5 政府の措置及び施策

 (1) 行政機関の保有する個人情報の保護

 行政機関の保有する個人情報の保護については、別に法律で定めることとし、行政機関の性格に応じ適切な制度を整備することとし、その主たる内容は次のとおりとすること。

 (2) 独立行政法人等に対する措置

 政府は、独立行政法人、特殊法人等について、その性格、業務の内容に応じ、本基本法制の趣旨に沿って、個人情報の保護が推進されるよう、法制上の措置その他の必要な措置を講ずるものとすること。

 (3) 法制上の措置等

 政府は、個人情報であって、その性格又はその利用方法に照らし、特に厳重な保護を要する等、別途の措置が必要なものについては、法制上の措置その他の施策等の措置を講ずるものとすること。

 (4) 個人情報の保護の推進に関する基本方針の策定等

ア.政府は、個人情報の保護に関する施策の総合的かつ一体的な推進を図るため、個人情報の保護の推進に関する基本方針(以下「基本方針」という。)を定めなければならないものとすること。

イ.基本方針は、次に掲げる事項について定めるものとすること。

@ 個人情報の保護の推進について講じようとする施策の基本となるべき事項
A 個人情報の保護の推進に関する施策の実施に当たっての各行政機関の役割
B その他個人情報の保護を推進するために必要な事項

 ※ Bその他個人情報の保護を推進するために必要な事項としては、事業者及び地方公共団体が基本原則に沿った取組を行う上で、留意すべき事項を指針として作成すること等が考えられる。

ウ.政府は、基本方針に基づき、次に掲げる措置を講ずるものとすること。

@ 個人情報の保護のための取組を支援するために必要な措置
 ※ 「必要な措置」とは、情報の提供、相談、研修の実施等を想定する。
A 個人情報の取扱いに関する国民の理解を深めるために必要な措置
 ※ 「必要な措置」とは、広報活動を通じた啓発活動等を想定する。
B 個人情報の取扱いに関する苦情が適切かつ迅速に処理されるようにするために必要な措置
 ※ 「必要な措置」とは、政府自らが苦情処理の窓口を設置すること、業界団体等における苦情処理窓口の設置を進めること等を想定する。政府内部での分担は、各省庁がその所管行政の範囲内で実施に当たることとし、具体的には「基本方針」で明確に定めることとする。

 (5) 主務大臣の指示等

 主務大臣は、この法律の施行に関し、必要があると認めるときは、個人情報取扱事業者に対して、報告を求め、又は助言若しくは改善の指示をすることができるものとすること。
 ※ 主務大臣が改善の指示を行った場合の公表に関する規定の要否について検討する。
 ※ 改善・中止命令まで付与するかどうかについて検討する。

6 地方公共団体の措置

 (1) 保有する個人情報に関する制度、施策の整備充実

 地方公共団体は、この法律の趣旨にのっとり、その保有する個人情報に関し、個人情報の適切な取扱いを確保するため必要な施策を策定し、これを実施するよう努めなければならないものとすること。

 (2) 区域内の事業者、住民に対する支援等

ア.地方公共団体は、個人情報の保護に関し、その区域内に所在する事業者及び住民に対する支援等の施策の実施に努めなければならないものとすること。

イ.地方公共団体は、個人情報の取扱いに関して生じた苦情が適切かつ迅速に処理されるようにするために必要な施策を講ずるとともに、必要なあっせん等に努めなければならないものとすること。
 ※ 都道府県・市町村間の役割分担については、消費者行政における苦情処理体制などを参考としつつ決めることとする。

 (3) 国及び地方公共団体の協力

 国及び地方公共団体は、個人情報の保護に関する施策を講ずるにつき、相協力するものとすること。

7 罰則

 罰則については、以下の観点から具体的に検討する。

ア.例えば個人情報の第三者提供については、どのような法益を罰則によって保護しなければならないのか。

イ.国民コンセンサスの動向を念頭におきながら、罰則の対象とすべき行為と対象とすべきでない行為とを明確に区別することが可能か。

ウ.行政上の観点からする規制の実効性を担保するために、罰則を設けることの適否。