個人情報保護法制化専門委員会

個人情報保護基本法制に関する大綱案(素案修正版)

平成12年9月22日




1.目的

 高度情報通信社会の進展の下、個人情報の流通、蓄積及び利用の著しい増大にかんがみ、個人情報の適正な取扱いに関し基本となる事項を定めることにより、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とするものとすること。

 近年の我が国における、コンピュータ及びインターネット等を用いた情報通信技術の進展、普及は目覚ましいものがあるが、このような情報通信技術は大量かつ高度に処理された情報を迅速かつ広範に流通させ、その利用を可能とするものであり、社会、経済の発展に大きく貢献することが期待されている。 Z 情報通信技術の活用による大量かつ多様な個人情報の流通、蓄積、利用は、個人のニーズ等の事業等への的確な反映や迅速なサービス等を実現し、事業活動等の面でも国民生活の面でも欠かせないものとなっているが、その一方では、その取扱い如何によっては個人の権利利益を損なうおそれをも増大させている。 Z そのため、本基本法制においては、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とし、個人情報の適正な取扱いに関し、取扱いの原則、個人情報を情報通信技術を用いて取り扱う事業者のうち特定の者についての義務、政府が講ずべき措置等の基本的事項を定めることとしている。

2.定義

(1)「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述又は個人別に付された番号、記号その他の符号により特定の個人を識別できるもの(当該情報のみでは識別できないが、他の情報と容易に照合することができ、それにより特定の個人を識別できるものを含む。)をいう。

(2)「個人情報の取扱い」とは、個人情報の取得、処理、提供、利用その他個人情報の取扱いに関する一切の行為をいう。

(3)「個人情報データベース等」とは、個人情報の集合物であって、特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したものその他これに準ずるものをいう。
 ※ マニュアル情報については、電子計算機を用いる場合に匹敵する検索等の処理が可能であるものに限定する。

(4)「個人情報取扱事業者(仮称)」とは、事業を行う者であって、その事業の遂行に当たり個人情報データベース等を取り扱う者のうち一定のものをい う。ただし、国の機関、地方公共団体を除く。
 ※ 単にアクセスすることのみが許されており、データの変更、移転等ができない事業者及び専ら小規模の個人情報データベース等を取り扱う者を除くことについて要検討。  ※ 独立行政法人等については、別途の法的措置が講じられた段階で改めてその位置付けを見直すものとする。

3.基本原則

 個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであり、何人も(別案:個人情報を取り扱う者は)次に掲げる原則にのっとって個人情報の適切な取扱いに努めなければならないものとすること。

(別案)
 何人も、個人の人格尊重の理念の下に慎重に個人情報を取り扱う責務を有するものとすること。
 個人情報を取り扱う者は、次に掲げる原則にのっとって個人情報の適切な取扱いに努めなければならないものとすること。

 個人情報は、いわゆる「プライバシー」又は個人の諸自由に密接に関わる情報であり、その取扱い次第では、重大な個人の人格的、経済的な権利利益を損なうおそれのある情報でもある。この意味で、全ての個人情報は個人の人格尊重の理念の下に、慎重に取り扱われる必要のある情報である。したがって、他人の個人情報を取り扱う者は、このような個人情報の性格とその重大性を十分認識し、自ら個人情報の適切な保護に努めることが求められる。
 また、個人情報の種類、個人情報の取扱いの方法は多様であり、個人情報を取り扱う者は広範である。政府等が個人情報の保護に関する制度施策を推進するに当たっては、このような個人情報の多様性に留意しつつも共通の目標に向かって、総合的に講じられる必要がある。
 このため、本基本法制においては、個人情報を取り扱う者全てが自ら努力すべき原理として、また、個人情報保護に関する総合的な制度施策を展開するに当たっての指針として、個人情報の取扱いの基本となる原則を明確に規定することとしている。

(1) 利用目的による制限
 個人情報は、その利用目的が明確にされるとともに、当該利用目的の達成に必要な範囲内で取り扱われること。

(2) 適正な方法による取得
 個人情報は、適法かつ適正な方法によって取得されること。

(3) 内容の正確性の確保
 個人情報は、その利用目的の達成に必要な範囲内において正確かつ最新の内容に保たれること。

(4) 安全保護措置の実施
 個人情報は、適切な安全保護措置を講じた上で取り扱われること。

(5) 透明性の確保
 個人情報の取扱いに関しては、個人情報において識別される個人(以下「本人」という。)による適切な関与が認められ、必要な透明性が確保されること。

4.個人情報取扱事業者(仮称)の義務等

 現在、企業等は日常的な取引に伴い、又は調査等により、大量の個人情報を保有し、蓄積している。近年の情報通信技術の発展は、これらの個人情報を、顧客管理等への利用に止まらず、顧客サービスや経営効率の改善、新規事業の開発等への利用の観点からの大量かつ高度な処理を可能とするとともに、事業の展開に対応した広範な流通を可能としてきている。このような企業等による個人情報の利用は企業等の正当な活動に欠かせないものであり、個人の便益を増大させ社会経済の発展に資するものであるが、一方、その取扱い次第では個人の権利利益を損なうおそれをも増大させている。
 このため、本基本法制においては、特に法制度の整備の緊要度が高い、高度な情報通信技術を活用し個人情報を事業の用に供している一定の事業者(「個人情報取扱事業者」)に対する基盤的な制度を整備するものである。したがって、個人情報取扱事業者や事業者団体が本章が定める以上の充実した保護措置を講ずることを妨げるものではなく、むしろ、「3.基本原則」の趣旨からはより充実した保護措置を自ら講ずるよう努力することが求められる。

(1) 利用目的による制限及び適正な取得

ア.個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用目的を明確にするとともに、当該利用目的の達成に必要な範囲内で個人情報の取得、処理その他の個人情報の取扱いを行わなければならないものとすること。

イ.個人情報取扱事業者は、一般的に合理的と考えられる範囲を超えて利用目的を変更してはならないものとすること。
 ※ 一般的に合理的と考えられる範囲:当初の目的との関連性から社会通念上本人に不測かつ不当な権利利益の侵害が生じるおそれがない範囲。
 ※ 利用目的を変更する場合には、変更後の利用目的を改めて本人に通知し、又は公表等をすることとなる。

ウ.個人情報取扱事業者は、個人情報を取得する場合には、利用目的を本人に通知し、又は公表等をしなければならないものとすること。このうち、本人との契約の締結に伴い、又は調査等により本人から直接個人情報を取得する場合には、当該取得の際に利用目的を明示しなければならないものとすること。
(別案:あらかじめ利用目的を明示するよう努めなければならないものとすること。)
 ※ 「公表等」とは、インターネット上での公表、パンフレットの配布、書面の掲示、備え付け、本人からの問い合わせへの回答などにより、本人が適切な事項を知りうるようにすることをいうものとする。
 ※ 以下の場合について、本項ウの適用除外を検討する。
   個人情報取扱事業者の正当な利益を害するおそれがある場合又は業務の適正な実施に支障を及ぼすおそれがある場合
※ 以下の場合について本項ア、イ、ウの適用除外を検討する。
   @あらかじめ本人の同意がある場合
   A生命又は財産の保護のために緊急に必要がある場合

エ.個人情報取扱事業者は、適法かつ適正な方法によって個人情報を取得しなければならないものとすること。

(2) 適正な管理

ア.個人情報取扱事業者は、個人情報データベース等を構成する個人情報(以下「個人データ」という。)について、利用目的の達成に必要な範囲内において正確かつ最新の内容に保つよう努めなければならないものとすること。

イ.個人情報取扱事業者は、個人データの取扱いに従事する者に対して個人データの保護に必要な措置が適切に講じられるよう監督しなければならないものとすること。

ウ.個人情報取扱事業者は、個人データの取扱いの全部又は一部を第三者に委託する場合には、委託先の選定に配慮し、必要な監督等を行わなければならないものとすること。

 ※ 安全保護措置(技術的、組織的安全保護措置)については、個人情報データベース等に対してアクセスできる者の範囲を明確にすること等を含め、政府又は事業者団体によるガイドラインを通じて具体的な対応、適切なレベルを示すこととする。

(3) 第三者提供の制限

 個人情報取扱事業者は、個人データを第三者に提供してはならないものとすること。ただし、あらかじめ本人の同意がある場合及び生命又は財産の保護のために緊急に必要がある場合は、この限りでない。

※ 以下の場合について、適用除外を検討する。
 @ 営業譲渡、分社等により営業資産の一部として個人データを引き継ぐ場合
 A 明確化された利用目的を達成するために当該個人情報取扱事業者と共同し、又はその委託により個人データを取り扱う場合
 B 個人データを特定の者との間で相互に利用する場合であって、その利用目的及び提供先等があらかじめ明確にされている場合
 C 個人情報取扱事業者が第三者提供を目的として個人情報を取得する場合であって、あらかじめその旨、第三者提供の方法、及び、本人からの提供の停止等の申出があった場合原則として当該個人情報の提供の停止その他適切な措置を講じること等 について本人に通知され、又は公表等されている場合

 個人情報取扱事業者が個人情報を第三者に提供することは、その後、当該個人情報がどのように使われ、どのように流通するか分からない状況に置くこととなり、個人の権利利益の侵害のおそれがより高くなる。したがって、一定の正当と認める場合を除き、これを禁止しようとするものである。一定の場合としては、本人同意のある場合、緊急性のある場合のほか、@、Aのように個人情報の本人との関係において、取扱いの主体としての地位が承継されると認められ、あるいは、共同で又は同時に有していると認められる場合が考えられる。
 また、Bのように、一定の契約関係の下に、取扱い主体が複数あっても、共有される事業者の範囲、利用目的等その責任範囲等についてあらかじめ明確になっている場合も考えられる。
 更に、Cは、あらかじめ、第三者提供自体を利用目的とすること、第三者に提供する方法等について、本人が認識することができることとされており、必要な場合は本人が提供の停止等を求めることができることとされている場合については、本人の権利利益が不当に損なわれることを防ぐことができることから、第三者提供の制限から除外している。

(4) 公表等(別案:通知・公表等)

ア.個人情報取扱事業者は、個人データについて、個人情報取扱事業者の正当な利益を害するおそれ又は業務の適正な実施に支障を及ぼすおそれがある場合、本人に通知する場合等を除き、次に掲げる事項を(別案:おそれがある場合以下を「等を除き、次に掲げる事項を本人に通知し、又は」)公表等をしなければならないものとすること。
 @ 利用目的
 A 個人情報の保有に責任を有する事業者名及び責任を有する者の氏名
 (別案:及び以下を削除)
 B 開示等に必要な手続
 C その他個人情報の保護を図るために必要な事項

イ.個人情報取扱事業者は、本人に通知し、又は公表等をした事項を変更するときは、軽微な変更である場合又は本人に通知する場合等を除き、変更する事項を(別案:変更である場合以下を「等を除き、変更する事項を本人に通知し、又は」)公表等をしなければならないものとすること。

 ※ 保有する個人情報の利用目的について、取得の際に本人への通知、公表等をしている場合に、本項に基づき、再度本人への通知、公表等をすることは必要ない。
 ※ 本人に通知し、又は公表等をしなければならない事項B開示等に必要な手続には、開示等の申出の方法、申出をする本人の確認方法、開示が直ちに実施できない場合にはその実施に必要な期間、開示に要する手数料を徴収する場合にはその額を含めることとし、これらについては、申出をする本人に過度に負担を課すものであってはならないこととする。
 ※ 本人に通知し、又は公表等をしなければならない事項Cその他個人情報の保護を図るために必要な事項としては、苦情等の受付窓口、プライバシーポリシー等を想定。

(5) 開示

ア.個人情報取扱事業者は、本人から自己の個人データに関する開示の求めがあった場合、本人若しくは第三者の生命、財産その他の正当な利益を害するおそれがある場合、又は個人情報取扱事業者の正当な利益を害するおそれ若しくは業務の適正な実施に支障を及ぼすおそれがある場合等を除き、本人に対し、当該個人データを開示しなければならないものとすること。

イ.個人情報取扱事業者は、本人からの求めに対し、開示をしない場合には、本人に対し、その旨を明示しなければならないものとするとともに、その理由の説明に努めなければならないものとすること。

 ※ 除外する個人情報取扱事業者の範囲等については、さらに検討する。
 ※ 開示の規定を設ける趣旨は、本基本法制に基づく個人情報取扱事業者の個人情報の適正な取扱いが当事者間で自主的かつ実効性をもって担保されることを目的として、本人が関与しうる仕組みを法的に整備することにある。なお、訂正等及び利用停止等の規定を設ける趣旨についても開示の場合と同じ。

(6) 訂正等

ア.個人情報取扱事業者は、本人から、自己の個人データの内容について、正確かつ最新の事実を反映するよう求めがあった場合、その内容が正当と認められるときは、本人若しくは第三者の生命、財産その他の正当な利益を害するおそれがある場合、又は個人情報取扱事業者の正当な利益を害するおそれ若しくは業務の適正な実施に支障を及ぼすおそれがある場合等を除き、利用目的の達成に必要な範囲内で、当該個人データの訂正、追加、削除その他の適切な措置を講じなければならないものとすること。

イ.個人情報取扱事業者は、本人からの求めに対し、訂正等をしない場合には、本人に対し、その旨を明示しなければならないものとするとともに、その理由の説明に努めなければならないものとすること。

(7) 利用停止等

ア.個人情報取扱事業者は、本人から、自己の個人データについて、以下を理由として利用停止等の求めがあった場合、その内容が正当と認められるときは、本人若しくは他人の生命、財産その他の正当な利益を害するおそれがある場合、又は個人情報取扱事業者の正当な利益を害するおそれ若しくは業務の適正な実施に支障を及ぼすおそれがある場合等を除き、当該個人データの利用停止、削除その他の適切な措置を講じなければならないものとすること。
 @ (1)ア、イに反し、利用目的の達成に必要な範囲を超えて利用が行われていること
 A (1)エに反し、違法又は不適正な方法により取得されたものであること
 B (3)に反し、第三者に提供されていること。

イ.個人情報取扱事業者は、本人からの求めに対し、利用停止等をしない場合には、本人に対し、その旨を明示しなければならないものとするとともに、その理由の説明に努めなければならないものとすること。

(8) 苦情の処理

 個人情報取扱事業者は、個人情報の取扱いに関する苦情について、必要な体制の整備等を行い、適切かつ迅速な処理に努めなければならないものとすること。

 個人情報の取扱いに関する苦情の処理は、本基本法制における重要な課題である。
 民対民の関係である個人情報取扱事業者と本人との間に発生する問題は、基本的に、当事者間で扱われるべき問題であり、また、迅速な解決を図る上でも、当事者間で解決されることが望ましい。このため、個人情報の取扱いに関する本人からの苦情に対しても、第一次的には、個人情報取扱事業者が窓口を設け、処理を行う責任があることを明確にしたのが本項の趣旨である。
 苦情が当事者間で解決しない場合、本人は、(9)の苦情の処理等を行う認定団体や主務大臣等に申し出て、苦情の処理を求めることができる。また、事案によっては、人権関係機関等、司法手続を利用できる場合もあると考えられる。

(9) 苦情の処理等を行う団体の認定

 個人情報取扱事業者は、苦情の処理等を行うために、個人情報取扱事業者を構成員とする団体を設け、申請により主務大臣の認定を受けることができるものとすること。

 従来、我が国における民間部門の個人情報の保護は、事業者団体等がガイドラインを策定し、関係事業者がガイドラインを遵守することを中心に行われてきた。本基本法制においても、こうした事業者の自主的な取組を尊重し、その取組を政府等が支援していくということを基本とした上で、特に必要な部分に関して最小限の規制を行うことを全体的な考え方としている。
 本項の趣旨は、こうした考え方に沿って、苦情の処理等を行う団体に関して法律に基づく認定の制度を設けることにより、事業者団体の自主的な取組を尊重した上で、個人情報保護の一定水準の確保を図っていくことにあり、分野別の自主規制を中心とする「米国型」とオムニバス的な法律による「欧州型」の双方の利点を取り入れた制度を構築しようとするものである。
 団体の認定の条件としては、苦情の適切な処理に必要な条件を備えているかどうかとの観点から、構成員を公示していること、本基本法制に沿った適切なガイドラインを策定し構成員に遵守させていること、苦情処理体制を整備していること等を検討し、必要な規定を盛り込むことが考えられる。また、認定や取消等の手続に関する具体的な規定を設けることも必要と考えられる。
 団体は、ガイドラインの策定や苦情処理等のほか、広報・啓発活動等を行うことも考えられる。また、認定の申請は団体の自主的な判断により行われるものである。

5.政府の措置及び施策

(1) 国の行政機関の保有する個人情報の保護【*検討中】

 行政機関の保有する個人情報の保護については、別に法律で定めることとし、行政機関の性格に応じ適切な制度を整備することとし、その主たる内容は次のとおりとすること。
  • 法律上の所掌事務の遂行のため必要な場合に限り個人情報データベース等を保有することができるものとし、その保有に当たっては、原則としてあらかじめ所定の機関に通知し、保有目的等の基本的事項を公にするものとすること。

  • 個人情報の正確性確保及び安全保護のため必要な措置を講じるよう努めるものとすること。

  • 法律に別の定めがある等一定の場合を除き、個人情報を保有目的以外の目的に利用し、又は外部に提供してはならないものとすること。

  • 開示請求及び訂正等の申出について、適切な措置が講ぜられるようにするとともに、その他基本原則の趣旨に沿って見直しを行い、必要な措置を講ずるものとすること。

(2) 独立行政法人等に対する措置

 政府は、独立行政法人、特殊法人等について、その性格、業務の内容に応じ、本基本法制の趣旨に沿って、個人情報の保護が推進されるよう、法制上の措置その他の必要な措置を講ずるものとすること。

 本基本法制では、個人情報の取扱いに伴う個人の権利利益の保護の必要性は公的部門と民間部門とで異なるものではないが、公的部門と民間部門とでは個人情報を取り扱う主体と個人との関係が異なることから、その取扱いについての具体的な規律内容は、それぞれにふさわしいものを整備することとしている。
 国の行政機関の保有する個人情報の保護については、(1)のとおり、別に法律で定めることとし、現行の行政機関個人情報保護法の見直しを求めているが、行政機関と民間事業者との間には、独立行政法人、特殊法人等の様々な法人が存在し、事業運営に当たって個人情報を取り扱っているところである。
 これらの法人の中には、公的部門に属するものがあると考えられる一方、民間事業者と同様の事業を行っていたり、競争関係にあるものも含まれるなど、その法的性格や業務の内容が極めて多様なことから、そのような実態に即した規律を設ける観点から、別途、法制上の措置その他の必要な措置を講ずるものとしている。

(3) 法制上の措置等

 政府は、個人情報であって、その性格又はその利用方法に照らし、特に厳重な保護を要する等、別途の措置が必要なものについては、法制上の措置その他の施策等の措置を講ずるものとすること。

 本基本法制は、多種多様な個人情報の性格や利用方法を広く一律に捉えた上で、個人情報を取扱いの基本となる原則を明らかにするとともに、高度情報通信社会において個人情報取扱事業者が個人情報を取り扱う際の必要最低限度の規律と自主的な取組を促すための基盤的制度を整備することにより、個人の権利利益の侵害を事前に防止する予防型の保護制度を設けることとしている。
 しかしながら、個人情報の中には、その不適切な取扱いが直ちに個人の権利利益を損なうおそれの強いものや、個人情報の保護とは別途の観点から本基本法制における各規律とは異なる個人情報の取扱いをすることが要請されるものなどもあるところである。
 したがって、政府においては、このような個人情報について、本基本法制を上回る保護の水準を確保する必要がある場合や本基本法制における各規律によることが適当でない場合には、個別に、当該個人情報の性格、利用方法、取扱いの実態等に即して罰則の創設等を含む法制上の措置又は各種の制度施策を必要に応じて講ずることとする。

(4) 個人情報の保護の推進に関する基本方針の策定等

ア.政府は、個人情報の保護に関する施策の総合的かつ一体的な推進を図るため、個人情報の保護の推進に関する基本方針(以下「基本方針」という。)を定めなければならないものとすること。

 基本方針は、次に掲げる事項について定めるものとすること。
 @ 個人情報の保護の推進について講じようとする施策の基本となるべき事項
 A 個人情報の保護の推進に関する施策の実施に当たっての各行政機関の役割
 B その他個人情報の保護を推進するために必要な事項
  ※ Bその他個人情報の保護を推進するために必要な事項としては、事業者及び地方公共団体が基本原則に沿った取組を行う上で、留意すべき事項を指針として作成すること等が考えられる。

イ.政府は、基本方針に基づき、次に掲げる措置を講ずるものとすること。
 @ 個人情報の保護のための取組を支援するために必要な措置
  ※ 「必要な措置」とは、情報の提供、相談、研修の実施等を想定する。
 A 個人情報の取扱いに関する国民の理解を深めるために必要な措置
  ※ 「必要な措置」とは、広報活動を通じた啓発活動等を想定する。
 B 個人情報の取扱いに関する苦情が適切かつ迅速に処理されるようにするために必要な措置
  ※ 「必要な措置」とは、政府自らが苦情処理の窓口を設置すること、業界団体等における苦情処理窓口の設置を進めること等を想定する。政府内部での分担は、各省庁がその所管行政の範囲内で実施に当たることとし、具体的には「基本方針」で明確に定めることとする。

(5) 主務大臣の指示等

ア.主務大臣は、この法律の4.個人情報取扱事業者の義務等の規定の施行に関し、必要があると認めるときは、個人情報取扱事業者又は4.(9)の認定を受けた団体に対して、報告を求め、又は助言若しくは改善の指示を行うことができるものとすること。

イ.個人情報取扱事業者が主務大臣の改善の指示に従わないときは、一定の場合に、主務大臣は個人情報取扱事業者に対して、改善又は中止の命令を行うことができるものとすること。

 民間部門における個人情報をめぐる諸問題は、本来は私人間の問題であるが、情報通信技術の進展に伴い、個人情報の取扱いによる個人の権利利益の侵害等の予防や、その取扱いが重大な社会問題化した場合に関しては、行政的な的確な対応が求められる。このような観点から、主務大臣の関与は、事後的な改善指示等を基本としたものとしている。ただし、第三者提供の制限違反等の「一定の」個人の権利利益の侵害のおそれがより高い行為については、主務大臣の改善・中止命令を行うことができることとしている。(第三者提供の制限違反のほか、主務大臣の改善・中止命令の対象となる行為を設けるかどうかについては、政府において、その必要性をさらに検討する必要がある。)
 なお、主務大臣には、各業の所管の大臣等が、それぞれの所管に応じてなるものと考えられる。

6.地方公共団体の措置

(1) 保有する個人情報に関する制度、施策の整備充実

 地方公共団体は、この法律の趣旨にのっとり、その保有する個人情報に関し、個人情報の適切な取扱いを確保するため必要な施策を策定し、これを実施するよう努めなければならないものとすること。

(2) 区域内の事業者、住民に対する支援等

ア.地方公共団体は、個人情報の保護に関し、その区域内に所在する事業者及び住民に対する支援等の施策の実施に努めなければならないものとするこ と。

イ.地方公共団体は、個人情報の取扱いに関して生じた苦情が適切かつ迅速に処理されるようにするために必要な施策を講ずるとともに、必要なあっせん等に努めなければならないものとすること。
 ※ 都道府県・市町村間の役割分担については、消費者行政における苦情処理体制などを参考としつつ決めることとする。

(3) 国及び地方公共団体の協力
 国及び地方公共団体は、個人情報の保護に関する施策を講ずるにつき、相協力するものとすること。

7.その他
(1) 罰則
(検討中)