個人情報保護担当室
| 素案 | 中間整理 |
|---|---|
| 1 目的
高度情報通信社会の進展の下、個人情報の流通、蓄積及び利用の著しい増大にかんがみ、個人情報の適正な取扱いに関し基本となる事項を定めることにより、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とするものとすること。 |
1 目的
高度情報通信社会の進展の下、個人情報の流通、蓄積及び利用の著しい増大にかんがみ、個人情報の取扱いに関し基本となる事項を定めることにより、その適正な利用に配慮しつつ、個人の権利利益を保護することを目的とするものとすること。 |
| 2 定義
(1)「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述又は個人別に付された番号、記号その他の符号により当該個人を識別できるもの(当該情報のみでは識別できないが、他の情報と容易に照合することができ、それにより当該個人を識別できるものを含む。)をいう。 |
2 定義
(1)「個人情報」とは、個人に関する情報であって、当該個人の識別が可能な情報をいうものとすること。 |
(2)「個人情報の取扱い」とは、個人情報の取得、処理、提供、利用その他個人情報の取扱いに関する一切の行為をいう。 | (2)「個人情報の処理等」とは、個人情報を取得し、作成し、加工し、蓄積し、維持管理し、又は他人に提供すること、その他個人情報の取扱いに関する行為をいうものとすること。 |
| (3)「個人情報データベース等」とは、個人情報の集合物であって、特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したものその他これに準ずるものをいう。
※ マニュアル情報については、電子計算機を用いる場合に匹敵する検索等の処理が可能であるものに限定する。 |
|
| (4)「個人情報取扱事業者(又は特定事業者)」とは、事業を行う者であって、その事業の遂行に当たり個人情報データベース等を取り扱う者のうち一定のものをいう。ただし、国の機関、地方公共団体を除く。
※ 単にアクセスすることのみが許されており、データの変更、移転等ができない事業者及び専ら小規模の個人情報データベース等を取り扱う者を除くことについて要検討。※独立行政法人等については、別途の法的措置が講じられた段階で改めてその位置付けを見直すものとする。 |
(3)「事業者」とは、国、地方公共団体及びこれらに準ずる一定の者以外の、事業を営む者であって、当該事業の遂行について、個人情報の処理等を行う者をいうものとすること。 |
| (注)
1 対象となる「個人情報」及び「事業者」の範囲など、各定義については、引き続き検討する。 2 「個人情報」には、汎用データベース(分散処理型のものを含む。)に記録されたものを含み、また、マニュアル処理のうち検索可能な状態で保有されているものを含む。 |
|
| 3 基本原則
個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであり、何人も次に掲げる原則にのっとって個人情報の適切な取扱いに努めなければならないものとすること。 ※何人に対しても個人情報の保護のための自主的な努力を求める趣旨である。 |
3 基本原則
個人情報は、原則として、以下のように取り扱われるべきものとすること。 (注)本基本原則は、個人情報の取扱いが、その態様次第で、人格の尊重の理念に関わるような重要な国民の権利利益を侵しかねないとの認識に立つものである。 |
| (1)利用目的による制限
個人情報は、その利用目的が明確にされるとともに、当該利用目的の達成に必要な範囲内で取り扱われること。 |
(1)利用目的による制限
個人情報は、その利用目的が明確にされ、明確にされた利用目的に関連して必要な範囲で取り扱われること。 (注) 1 利用目的の明確化には、利用目的が変更された場合の明確化も含む。 2 利用目的の変更可能な範囲の限界について、引き続き検討する。 3 第三者に対する目的外の提供の制限について、引き続き検討する。 |
| (2)適正な方法による取得
個人情報は、適法かつ適正な方法によって取得されること。 |
(3)適正な方法による取得
個人情報は、法令に違反しないよう、かつ、適正な方法で取得されること。 |
| (3)内容の正確性の確保
個人情報は、その利用目的の達成に必要な範囲内において正確かつ最新の内容に保たれること。 |
(2)内容の正確性の確保
個人情報は、正確な内容に保たれること。 (注)「正確な内容に保たれること」とは、個人情報が(1)の原則に基づき利用目的に関連して必要な範囲で取り扱われる上で正確な内容に保たれることである。 |
| (4)安全保護措置の実施
個人情報は、適切な安全保護措置を講じた上で取り扱われること。 |
(4)安全保護措置の実施
個人情報は、適切な安全保護措置を講じた上で取り扱われること。 |
| (5)透明性の確保
個人情報の取扱いに関しては、個人情報において識別される個人(以下「本人」という。)による適切な関与が認められ、必要な透明性が確保されること。 |
(5)透明性の確保
個人情報は、その取扱いに関し、個人が自己の情報の取扱い状況を把握しうる可能性、及び必要な関与をしうる可能性が確保されること。 |
| 4 個人情報取扱事業者の義務等
※高度情報通信社会において大量の個人情報を高度な情報処理・通信技術を用いて事業の用に供する者についての必要最小限の規律を設ける。 |
5 事業者が遵守すべき事項
事業者は、基本原則に沿って、自主的に必要な措置を講ずるものとすること。その場合においては、以下の事項が含まれるようにすること。 (注)以下の各事項に関しては、義務規定とすること等を含め、その法的強制の程度について、規律ごとに引き続き検討する。 |
| (1)利用目的による制限及び適正な取得
ア.個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用目的を明確にするとともに、当該利用目的の達成に必要な範囲内で個人情報の取得、処理その他個人情報の取扱いを行わなければならないものとすること。 ※ 個人情報を含む情報の第三者提供を業とする者の取扱いについては引き続き検討する。 イ.個人情報取扱事業者は、個人情報を取得する場合には、利用目的を本人に通知し、又は本人が容易に知ることができるよう公表等をしなければならないものとすること。このうち、本人との契約の締結に伴い、又は調査等により本人から直接個人情報を取得する場合には、当該取得の際に利用目的を明示しなければならないものとすること。
ウ.個人情報取扱事業者は、適法かつ適正な方法によって個人情報を取得しなければならないものとすること。 エ.個人情報取扱事業者は、一般的に合理的と考えられる範囲を超えて利用目的を変更してはならないものとすること。
※ 以下の場合について本項ア、イ、エの適用除外を検討する。
|
(1)利用目的による制限
事業者は、個人情報の処理等に当たっては、原則として個人情報の利用目的を具体的に明確にし、その目的に関連し必要な範囲で行うこと。また、具体的な利用目的の通知等を行うこと。 (注)「利用目的を具体的に明確にし」とは、通常、個人がその利用目的を容易に理解できる程度に明確にすることを意味している。 |
| (4)適正な方法による取得
事業者は、個人情報の取得に際しては、法令に違反してはならず、また、個人の権利利益を侵害するおそれの無いことが明らかな場合その他個人情報の性質、取得の際の状況等に照らし第三者から取得することが必要かつ合理的と認められる場合を除き、原則として本人から取得するなど、適正な方法で行うこと。 |
|
| (2)適正な管理の実現
ア.個人情報取扱事業者は、保有する個人情報データベース等の個人情報について、利用目的の達成に必要な範囲内において正確かつ最新の内容に保つよう努めなければならないものとすること。 イ.個人情報取扱事業者は、個人情報の取扱いに従事する者に対して個人情報の保護に必要な措置が適切に講じられるよう監督しなければならないものとすること。 ウ.個人情報取扱事業者は、個人情報の取扱いの全部又は一部を第三者に委託する場合には、委託先の選定に配慮し、必要な監督等を行わなければならないものとすること。 ※安全保護措置(技術的、組織的安全保護措置)については、個人情報データベース等に対してアクセスできる者の範囲を明確にすること等を含め、政府又は事業者団体によるガイドラインを通じて具体的な対応、適切なレベルを示すこととする。 |
(3)内容の正確性の確保
事業者は、利用目的の範囲内で、個人情報の内容に正確な事実が反映されるよう必要な措置を講ずること。 |
| (5)安全保護措置の実施
事業者は、その保有する個人情報の漏洩、毀損等を防止するため、適切な技術的措置を講じ、「個人情報の保護に関する規程」を定め個人情報の処理等に従事する者に対し同規程を周知させ、「個人情報安全管理者」を配置する等、適切な安全保護措置を講ずること。 (注)「個人情報の保護に関する規程」の内容としては、以下の事項が考えられる。 @「個人情報安全管理者」の責務(データ内容の必要な正確性の確保を含む。) A個人情報の処理等に従事する者が個人情報の保護のため遵守すべき事項(個人情報の漏洩禁止を含む。) また、規程の法的効果については、引き続き検討する。 |
|
| (6)第三者への委託
事業者は、個人情報の処理等を第三者に委託する場合は、委託先の選定に配慮し、必要な監督等を行うことにより、十分な保護措置を図ること。 (注)監督義務を尽くしているときは免責して良いか、引き続き検討する。 |
|
| (3)第三者提供の制限
個人情報取扱事業者は、個人情報データベース等の全部又は一部を第三者に提供してはならないものとすること。ただし、あらかじめ本人の同意がある場合及び生命又は財産の保護のために緊急に必要がある場合は、この限りでない。 ※ 以下の場合について、第三者から除外することを検討する。 @営譲渡、分社等により営業資産の一部としてその保有する個人情報データベース等の全部又は一部を引き継ぐ場合 A明確化された利用目的を達成するために当該個人情報取扱事業者と共同し、又はその委託により個人情報を取り扱う場合 ※ 個人情報を含む情報の第三者提供を業とする者の取扱いについては引き続き検討する(再掲)。 |
(2)第三者への提供
事業者は、個人情報の第三者への提供が利用目的を超えることとなる場合は、個人の権利利益を侵害するおそれの無いことが明らかな場合等を除き、本人の同意を得て行うこと。 |
| (4)公表等
ア.個人情報取扱事業者は、保有する個人情報データベース等の個人情報について、次に掲げる事項を、本人に通知する場合を除き、公表等をしなければならないものとすること。 @利用目的 A個人情報の保有に責任を有する事業者名及び責任を有する者の氏名 B開示等に必要な手続 Cその他個人情報の保護を図るために必要な事項 イ.個人情報取扱事業者は、本人に通知し、又は公表等をした事項を変更するときは、変更する事項を、本人に通知する場合を除き、公表等をしなければならないものとすること。 ※ 以下の場合について本項ア、イの適用除外を検討する。
※ 「公表等」とは、インターネット上での公表、パンフレットの配布、書面の掲示、備え付け、本人からの問い合わせへの回答などにより、本人が適切な事項を知りうるようにすることをいうものとする。
|
(7)個人情報の処理等に関する事項の公表
事業者は、その保有する個人情報に関し、個人情報の処理等に関する事項について、容易に閲覧可能な方法により公表し、適切に更新すること。 (注)
2 対象となる事業者、個人情報の範囲については、引き続き検討する。 3 事業者が公表を行った場合の法的効果については、引き続き検討する。 |
| (5)開示
ア.個人情報取扱事業者は、保有する個人情報データベース等の個人情報に関し、本人から自己の個人情報に関する開示の申出があったときは、申出をした本人に対し、当該個人情報を開示しなければならないものとすること。 ※以下の場合について本項の適用除外を検討する。 @本人又は他人の生命、財産その他の利益を害するおそれがある場合 A個人情報取扱事業者の正当な利益を害するおそれがある場合又は業務の適正な実施に支障を及ぼすおそれがある場合 イ.個人情報取扱事業者は、本人からの申出に対し、開示を行わない場合には、申出をした本人に対し、その理由の説明に努めなければならないものとすること。
|
(8)開示、訂正等
事業者は、その保有する個人情報に関し、本人から開示を求められたときは、一定の場合に、その個人情報を開示すること。訂正等を求められたときは、原則として、必要な訂正等を行うこと。 (注) 1 事業者が開示、訂正等を行うべき場合に関して、 @個人の権利利益確保の観点からの開示、訂正等の求めの必要性 A事業者の適正かつ円滑な業務の確保に対する支障の程度 B対象となる事業者、個人情報の範囲等について、引き続き検討する。 2 不開示の場合等における理由の提示の必要性について、引き続き検討する。 3 その他、事業者が行う開示、訂正等に係る書面性の要否、手数料、期間等の手続の在り方についても、引き続き検討する。 |
| (6)訂正等
個人情報取扱事業者は、保有する個人情報データベース等の個人情報に関し、本人から、自己の個人情報の内容について、正確かつ最新の事実を反映するよう申出があった場合には、申出の内容を確認し、申出の内容が正当と認めるときは、利用目的の達成に必要な範囲内で、当該個人情報の訂正、追加、削除その他の適切な措置を講じなければならないものとすること。 ※ 以下の場合について本項の適用除外を検討する。 @本人又は他人の生命、財産その他の利益を害するおそれがある場合 A個人情報取扱事業者の正当な利益を害するおそれがある場合又は業務の適正な実施に支障を及ぼすおそれがある場合 |
|
| (7)利用停止等
個人情報取扱事業者は、保有する個人情報データベース等の個人情報に関し、本人から、自己の個人情報について、以下を理由として利用停止等の申出があった場合には、申出の内容が正当と認めるときは、当該個人情報の利用停止、削除その他の適切な措置を講じなければならないものとすること。 ※ 以下の理由を対象とすることについて検討する。 @違法又は不適正な方法により取得されたものであること A利用目的の達成に必要な範囲を超えて利用が行われていること ※ 以下の場合について本項の適用除外を検討する。
|
|
| (8)苦情の処理
個人情報取扱事業者は、個人情報の取扱いに関する苦情について、必要な体制の整備等を行い、適切かつ迅速な処理に努めなければならないものとすること。 |
(9)苦情等の処理
事業者は、個人情報の処理等に関する本人からの苦情等を受け付けるための窓口を明確にすること。また、苦情等の申出を受けたときは、その適切かつ迅速な処理を行うこと。 |
| (9)苦情の処理等を行う団体の認定
個人情報取扱事業者は、苦情の処理等を行うために、個人情報取扱事業者を構成員とする団体を設け、申請により主務大臣の認定を受けることができるものとすること。 ※ 認定の条件について、以下の条件を設けることを検討する。
※ 団体の業務として個人情報の取扱いに関する広報・啓発活動等を行うことについても検討する。 ※ このほか、認定の手続、取消等に必要な規定を設けることを検討する。 |
(10)他の事業者との協力事業者は、個人情報の保護の推進を図るため、必要な場合は他の事業者と協力して、事業者が遵守すべきガイドラインの策定や、苦情・紛争等の処理などを行うこと。 |
| (11)国及び地方公共団体の施策への協力
事業者は、本基本法制の趣旨に沿って、国及び地方公共団体が実施する個人情報の保護に関する諸施策に協力すること。 |
|
| 5 政府の措置及び施策
(1)行政機関の保有する個人情報の保護
|
4 政府の措置及び施策
(1)既存法令の見直し等政府の保有する個人情報に関しては、別に法律で定めるところによることとすること。 |
| (2)独立行政法人等に対する措置
政府は、独立行政法人、特殊法人等について、その性格、業務の内容に応じ、本基本法制の趣旨に沿って、個人情報の保護が推進されるよう、法制上の措置その他の必要な措置を講ずるものとすること。 |
(2)独立行政法人等に対する措置
政府は、独立行政法人、特殊法人等について、その性格、業務の内容に応じ、本基本法制の趣旨に沿って、個人情報の保護を充実強化するための制度、施策を検討し、必要な措置を講ずるものとすること。 |
| (3)法制上の措置等
政府は、個人情報であって、その性格又はその利用方法に照らし、特に厳重な保護を要する等、別途の措置が必要なものについては、法制上の措置その他の施策等の措置を講ずるものとすること。 |
((1)既存法令の見直し等)
政府は、基本原則に沿って、具体的かつ適正な個人情報保護措置が講じられるよう、個人情報に関する既存の法令を見直す等、必要な措置を講ずるものとすること。 特定の個人情報又は特定の利用方法であるため、特に厳重な保護を要する等、別途の措置が必要なものについては、特別な法制上の措置その他の施策等の措置を講ずるものとすること。 |
(4)個人情報の保護の推進に関する基本方針の策定等
ア.政府は、個人情報の保護に関する施策の総合的かつ一体的な推進を図るため、個人情報の保護の推進に関する基本方針(以下「基本方針」という。)を定めなければならないものとすること。 イ.基本方針は、次に掲げる事項について定めるものとすること。
ウ.政府は、基本方針に基づき、次に掲げる措置を講ずるものとすること。
(5)主務大臣の指示等
※ 主務大臣が改善の指示を行った場合の公表に関する規定の要否について検討する。 ※ 改善・中止命令まで付与するかどうかについて検討する。 |
(3)個人情報の保護の推進に関する方針の策定
政府は、事業者及び地方公共団体等による個人情報の保護に関する取組が適切かつ円滑に行われることを図るとともに、各省庁による施策が総合的かつ一体的に講ぜられることを図るため、「個人情報の保護の推進に関する方針」を策定するものとすること。 (注)
|
| (4)支援、周知等の施策の実施
政府は、上記(3)の方針に基づき、事業者及び地方公共団体等による個人情報の処理等について本基本法制に沿った取組が行われるよう必要な支援、周知等に関する施策を実施するものとすること。あわせて、国民に対する啓発活動の推進等に努めるものとすること。 |
|
| (5)苦情等の処理
政府は、事業者による個人情報の処理等に関する個人からの苦情等を受け付け、適切に処理するものとすること。政府は、受け付けた苦情等の処理に当たって、必要な調査を行うことができるものとすること。 (注)
|
|
| 6 地方公共団体の措置
(1)保有する個人情報に関する制度、施策の整備充実
|
6 地方公共団体の措置
(1)保有する個人情報に関する制度、施策の整備充実
|
| (2)区域内の事業者、住民に対する支援等
ア.地方公共団体は、個人情報の保護に関し、その区域内に所在する事業者及び住民に対する支援等の施策の実施に努めなければならないものとすること。 イ.地方公共団体は、個人情報の取扱いに関して生じた苦情が適切かつ迅速に処理されるようにするために必要な施策を講ずるとともに、必要なあっせん等に努めなければならないものとすること。 ※ 都道府県・市町村間の役割分担については、消費者行政における苦情処理体制などを参考としつつ決めることとする。 |
(2)区域内の事業者、住民に対する支援等
地方公共団体は、その区域内に所在する事業者及び住民に対する支援、苦情等の処理などの施策の実施に努めるものとすること。 (注)支援等に関し、国と地方公共団体の役割分担等について、引き続き検討する。 |
| (3)国及び地方公共団体の協力
国及び地方公共団体は、個人情報の保護に関する施策を講ずるにつき、相協力するものとすること。 |
|
| 7 罰則
罰則については、以下の観点から具体的に検討する。 ア.例えば個人情報の第三者提供については、どのような法益を罰則によって保護しなければならないのか。 イ.国民コンセンサスの動向を念頭におきながら、罰則の対象とすべき行為と対象とすべきでない行為とを明確に区別することが可能か。 ウ.行政上の観点からする規制の実効性を担保するために、罰則を設けることの適否。 |
8(3)個人情報の漏洩等に関する罰則の可否について、刑事法制の在り方等を考慮しつつ検討する。 |
| 7 国民の役割
国民は、他人の個人情報の保護及び自己に関する個人情報の適切な管理に努めるものとすること。 |
|
| (別紙) | 8 その他
以下の事項については、今後、引き続き検討することとする。 (1)適用対象範囲について、規律ごとに情報の性格等に即して検討する。この場合、表現の自由、学問の自由等に十分留意する。 |
| 5(5)〜(7)参照 | (2)事業者による開示、訂正等の法律上の位置づけについて、実効的救済措置の在り方を含め検討する。 |
| 5(9)参照 | (4)第三者的な苦情・紛争処理機関の設置について、公的機関又は民間の自律的な機関とすることを含め、実効的な解決を進める観点から検討する。 |
| (5)条例に関する規定について、地方公共団体の自律性を尊重しつつ、本基本法制との整合を図る観点から検討する。 |