個人情報保護法制化専門委員会

「個人情報保護基本法制に関する大綱案(中間整理)」説明要旨


日時:平成12年6月9日(金)14時〜(於:個人情報保護検討部会)
説明者:法制化専門委員会小早川委員長代理


「個人情報保護基本法制に関する大綱案(中間整理)」の内容につきまして、説明させていただきます。
 この中間整理は、個人情報保護基本法制に関して、現時点において、法制化専門委員会として、具体的に盛り込むべきではなかろうかと考える事項を整理したものです。
 中間整理では、大きな項目として「目的」、「定義」、「基本原則」、「政府の措置及び施策」、「事業者が遵守すべき事項」、「地方公共団体の措置」、「国民の役割」、「その他」の各項目を置いております。
 このうち、「基本原則」は、個人情報保護のため、個人情報の取扱いに当たって、官民を通じて実行されるべき目標ないし行動原理を示したものです。そして、この「基本原則」を実行するために、政府、事業者、地方公共団体がそれぞれ取り組むべき事項を定めており、このような形で個人情報保護に関する基本法制として、全体が構成されております。
 また、最後の「その他」では、今後、なお、検討する事項として、適用対象範囲その他の論点を掲げております。
 それでは、以下、各項目ごとに、要点を説明させていただきたいと思います。

(1目的)

 「1目的」は、基本法制を定める目的を掲げているもので、「高度情報通信社会の進展の下、個人情報の流通、蓄積及び利用の著しい増大にかんがみ、個人情報の取扱いに関し基本となる事項を定めることにより、その適正な利用に配慮しつつ、個人の権利利益を保護することを目的とするものとすること」としております。
 ここでは、情報通信技術の発展による大量の個人情報の流通、蓄積及び利用という実態を立法化の前提としております。そして、個人情報の利用に配慮しつつ、主たる目的を「個人の権利利益を保護すること」とした点に特色があると考えております。

(2定義)

 「2定義」につきましては、現段階で、「個人情報」、「個人情報の処理等」、「事業者」の三つの項目を置いています。注でも触れていますように、各定義の内容については、引き続き検討することとしており、また、今後の法制化作業の中で、さらに必要な項目を追加することもあり得るかと思います。
 また、注で触れていますように、個人情報は電子情報ファイルに記録されているもののみならず、マニュアル処理のうち検索可能な状態で保有されているものを含めることとし、また、電子計算機処理のものに関しても、近年の分散処理方法の進展等の状況に十分対応しうるような規定とする方向で議論を行っているところです。

(3基本原則)

 「3基本原則」につきましては、「個人情報は、原則として、以下のように取り扱われるべきものとすること」として、「利用目的による制限」、「内容の正確性の確保」、「適正な方法による取得」、「安全保護措置の実施」、「透明性の確保」という五つの原則を掲げております。
 注でも触れていますように、本基本原則は、個人情報の取扱いが、その態様次第で、人格の尊重の理念に関わるような重要な国民の権利利益を侵すことになりかねないとの認識に立った上で、個人情報保護のための官民を通じた原則として定めているものであり、これは、OECD原則等も踏まえたものです。以下、各原則につきまして簡単に説明させていただきます。
 「(1)利用目的による制限」については、「個人情報は、その利用目的が明確にされ、明確にされた利用目的に関連して必要な範囲で取り扱われること」という原則にしております。この原則は、OECD原則の「データ内容の原則」、「目的明確化の原則」、「利用制限の原則」等の関係を整理したもので、「利用目的による制限」ないし「利用目的への拘束」という考え方を打ち出したものです。中間整理では、この利用目的による制限、利用目的への拘束という考え方が、個人情報の保護を図る上で最も中心的な基本原則であると考えています。なお、注で触れていますように、利用目的が変更された場合も含めて、利用目的を明確化することを求めているものですが、利用目的の変更可能な範囲の限界や、第三者に対する目的外の提供の制限に関しては、引き続き検討することとしています。
 「(2)内容の正確性の確保」については、「個人情報は、正確な内容に保たれること」を原則としています。この原則はOECD原則の「データ内容の原則」に対応しているものです。「正確な内容に保たれること」の意味は、注で触れていますように、個人情報が利用目的に関連して必要な範囲で取り扱われる上で正確な内容に保たれることを想定しているものです。
 「(3)適正な方法による取得」については、「個人情報は、法令に違反しないよう、かつ、適正な方法で取得されること」を原則としています。この原則はOECD原則の「収集の原則」に対応しているものです。
 「(4)安全保護措置の実施」については、「個人情報は、適切な安全保護措置を講じた上で取り扱われること」を原則としています。この原則はOECD原則の「安全保護の原則」に対応しているものです。特に、個人情報の漏えいが大きな問題になっている現状においては、重要な原則ではないかと考えられます。
 「(5)透明性の確保」については、「個人情報は、その取扱いに関し、個人が自己の情報の取扱い状況を把握しうる可能性、及び必要な関与をしうる可能性が確保されること」を原則としています。この原則はOECD原則のうち「公開の原則」及び「個人参加の原則」に対応したものであり、特に手続的に個人情報の保護を実効有らしめる上で、重要な原則であろうと考えています。
 以上の基本原則は、実際には、この基本原則に沿って「政府」、「事業者」、「地方公共団体」が具体的に講じる措置等の中で実現、達成されていくものであります。この「基本原則」は、基本法制の中で、個人情報保護の基本的な方向性を示すものとして重要な役割を持つ規定となるであろうと考えております。

(4政府の措置及び施策)

 引き続きまして「4政府の措置及び施策」について説明いたします。政府の措置及び施策は、大きく分けて、政府の保有する個人情報に関する保護等のための既存法令の見直し等の措置と、事業者等による個人情報の保護に関する取組への支援を基本とする施策に分けられます。
 まず、政府の保有する個人情報の保護に関しては、「(1)既存法令の見直し等」で触れられていますとおり、「別に法律で定めるところによること」とし、「基本原則に沿って、具体的かつ適正な個人情報保護措置が講じられるよう、個人情報に関する既存の法令を見直す等、必要な措置を講ずるものとすること」としています。これは、行政機関については、既に個人情報保護法が存在していることから、この法律の存在を前提として、基本法制の基本原則に沿った形になるように必要な改正を行うということを意図しているものです。
 また、現行の行政機関の個人情報保護法で、独立行政法人、特殊法人については、必要な措置を講ずることが努力義務とされていますが、「(2)独立行政法人等に対する措置」の中にありますように、「その性格、業務の内容に応じ、本基本法制の趣旨に沿って、個人情報の保護を充実強化するための制度、施策を検討し、必要な措置を講ずるものとすること」としています。
 このほか、既存法令の見直しに関しては、行政機関の保有する個人情報の保護に関する法律以外の個人情報に関する既存の法令についても見直しを求めています。また、いわゆる「センシティブ情報」の問題や分野別の個別法の整備の問題を念頭に、「特定の個人情報又は特定の利用方法であるため、特に厳重な保護を要する等、別途の措置が必要なものについては、特別な法制上の措置その他の施策等の措置を講ずるものとすること」としています。
 一方、事業者等による個人情報の保護に関する政府の関わり方に関しては、「(3)個人情報の保護の推進に関する方針の策定」、「(4)支援、周知等の施策の実施」、「(5)苦情等の処理」を定めています。
 具体的には、政府は「各省庁による施策が総合的かつ一体的に講ぜられることを図るため、『個人情報の保護の推進に関する方針』を策定するものとすること」とした上で、この方針に基づき、「事業者及び地方公共団体等による個人情報の処理等について本基本法制に沿った取組が行われるよう必要な支援、周知等に関する施策を実施するものとすること」、また、「国民に対する啓発活動の推進等に努めるものとすること」、「事業者による個人情報の処理等に関する個人からの苦情等を受け付け、適切に処理するものとすること」を定めています。
 この「方針」をどのような形式で策定することとするかは今後の議論の問題ですが、その内容としては、例えば、各省庁による分野ごとのガイドラインの策定に関することなどが考えられ、注に「指針」とあるのはガイドラインを指しています。このようなスキームを形づくることで、各省庁のガイドライン等に基本法制による間接的な根拠を与えることにもなり、政府全体として、個人情報保護の実を上げていくことができるのではないかと考えているものです。
 なお、苦情等の処理に当たっては、一定の実効性を確保するために、政府は「必要な調査を行うことができるものとすること」としており、さらに、不適切な取扱いを行っている事業者に対し、勧告を行うという仕組みが必要かどうかなどについて引き続き検討することとしています。また、苦情等の処理を行う場合、政府内部でどのような役割分担とするかも、今後つめて考える問題であります。

(5事業者が遵守すべき事項)

 次に「5事業者が遵守すべき事項」について説明いたします。
 現在、我が国において、ごく一部の分野を除いて、民間部門の個人情報保護のための法制が存在しないことから、この「事業者が遵守すべき事項」に関する規定は、基本法制において、民間部門に対する一般法的な役割を持ち、大きな意味を持つことが期待されている部分と言えます。
 大綱案では、民間部門の個人情報保護については、自己規律と当事者間による実効的な解決を重視した上で、その基盤となる個人情報の取扱いにおける透明性の確保やその他最低限の規制等を盛り込むことを基本的な考え方としています。
 言い換えますと、個人情報の取扱いについて、その段階ごとに詳細な規制を置いていく手法よりも、むしろ、利用目的による制限ないし利用目的への拘束という考え方の下での自己規律による対応に主眼を置き、個人情報の取扱いに関する透明性の確保を重視して、全体として保護の実効性を上げていこうと考えているところです。
 こうした考え方を踏まえ、「事業者が遵守すべき事項」では、まず、「事業者は基本原則に沿って、自主的に必要な措置を講ずるものとすること」とした上で、自主的に必要な措置を講じる場合において、「以下の事項が含まれるようにすること」として、「利用目的による制限」、「第三者への提供」、「内容の正確性の確保」、「適正な方法による取得」、「安全保護措置の実施」、「第三者への委託」、「個人情報の処理等に関する事項の公表」、「開示、訂正等」、「苦情等の処理」、「他の事業者との協力」、「国及び地方公共団体の施策への協力」の計11の項目を挙げております。
 本日は、時間の関係もありますので、各事項ごとの詳しい説明は省略させていただきますが、いくつか特徴を挙げますと、現実実態にも配慮し、目的拘束の考え方の下で、比較的柔らかな規定としていること、ただし、利用目的を超える第三者への提供についてはやや厳しい考え方を示していること、安全保護措置の実施に関して、「個人情報の保護に関する規程」の事業者による整備や、「個人情報安全管理者」の配置を適切な安全保護措置の例として掲げていること、透明性の確保に関して、個人情報の処理等に関する事項の公表に関する規定を置いていること、また、一定の場合に開示、訂正等を行うこととしていること、などが挙げられようかと思います。
 なお、開示、訂正等に関しては、法律上の位置付けに関する議論が残っているほか、開示、訂正等をいかなる場合に行うべきか、各種の手続の在り方など多くの論点があり、これらについて、引き続き検討することとしています。
 また、「(10)他の事業者との協力」は、事業者団体によるガイドラインの策定や、苦情・紛争等の処理などの取組を念頭に置いたものです。
 この「事業者が遵守すべき事項」につきまして、重要な点は、注で触れていますように、「各事項に関しては、義務規定とすること等を含め、その法的強制の程度について、規律ごとに引き続き検討する」としていることです。この点は実効性の確保とも大きく関わる問題であり、中間整理に対する各界各層からの意見を踏まえた上で、各規律ごとに検討を行い、最終的に規制の濃淡を決めていきたいと考えています。

(6地方公共団体の措置)

 引き続きまして「6地方公共団体の措置」について説明いたします。地方公共団体の措置としては、(1)として「保有する個人情報に関する制度、施策の整備充実」、(2)として「区域内の事業者、住民に対する支援等」を掲げています。
 地方公共団体が保有する個人情報については、本基本法制の趣旨に沿って、自ら必要な条例を制定していくことを基本的な考え方としています。また、区域内の事業者、住民に対しては、必要な支援、苦情等の処理を行うことを地方公共団体の努力義務としています。
 なお、事業者に対する支援等に関しては、国と地方公共団体の両者がそれぞれ行うこととなりますので、その役割分担等について、引き続き検討することとしています。

(7国民の役割)

 「7国民の役割」については、「国民は、他人の個人情報の保護及び自己に関する個人情報の適切な管理に努めるものとすること」としております。これは、検討部会中間報告の中の「国民の果たすべき役割と責務」において、「国民においても、他人の個人情報の保護に努力すべき旨を明らかにするとともに、自らも自己情報の適切な管理について責任を有することを明らかにしておく必要があると考えられる」とされていた点を踏まえたものです。

(8その他)

 最後に、「8その他」ですが、これは、中間整理の段階では、結論は未だ出なかったものの、事柄の重要性等から、今後も引き続き検討することが必要な論点を掲げたものです。
 (1)は、「適用対象範囲」についてであり、この点については、「規律ごとに情報の性格等に即して検討する。この場合、表現の自由、学問の自由等に十分留意する。」としています。
 (2)は、「事業者による開示、訂正等の法律上の位置づけ」についてであり、具体的には、民間の事業者による開示、訂正等について、民事上の請求権が認められるかどうかということが論点です。この点については、「実効的救済措置の在り方を含め検討する」としています。
 (3)は、「個人情報の漏洩等に関する罰則の可否」についてで、この点については、「刑事法制の在り方等を考慮しつつ検討する」としています。
 (4)は、「第三者的な苦情・紛争処理機関の設置」についてです。この点は検討部会中間報告で「複層的な救済システムの在り方の検討」が課題とされたこととも関係し、基本法制における苦情・紛争処理システムの全体的な構造とも関係してくるものと思われますが、ここでは、「公的機関又は民間の自律的な機関とすることを含め、実効的な解決を進める観点から検討する」としています。
 (5)は、「条例に関する規定」についてであり、「地方公共団体の自律性を尊重しつつ、本基本法制との整合を図る観点から検討する」としています。

以上、中間整理の要旨につきまして、説明させていただきました。