個人情報保護法制化専門委員会

個人情報保護基本法制に関する大綱

平成12年10月11日

情報通信技術(IT)戦略本部
個人情報保護法制化専門委員会

 

はじめに

 近年、情報通信技術の発展により、電子化された情報を情報通信ネットワークを介して大量かつ迅速に処理することが可能となり、個人情報の保護の必要性が一層高まってきている。
 このため、「高度情報通信社会推進に向けた基本方針」(平成10年11月9日高度情報通信社会推進本部決定)において、電子商取引等推進のための環境整備の一環として、個人情報の保護について、民間による自主的取組みを促進するとともに、法律による規制も視野に入れた検討を行っていくこととされた。平成11年4月には、この基本方針のアクション・プランが決定され、これに基づき、政府は、高度情報通信社会推進本部(現情報通信技術(IT)戦略本部)の下に個人情報保護検討部会(平成11年7月14日高度情報通信社会推進本部長決定、座長:堀部政男中央大学教授)を開催し、同部会において、「我が国における個人情報保護システムの在り方について(中間報告)」(平成11年11月19日)が取りまとめられた。この中で、我が国の個人情報保護システムの中核となる基本原則等を確立するため、全分野を包括する基本法を制定することが必要であり、法制的な観点からの専門的な検討のための体制を整備すべき旨が指摘されたところである。
 この中間報告を受けて、政府は、基本的な法制について具体的な検討を進める旨を決定し、高度情報通信社会推進本部の下に個人情報保護法制化専門委員会(以下「本委員会」という。)が開催された(平成12年1月27日高度情報通信社会推進本部長決定)。本委員会では、法制化に向けての専門的な検討を重ね、本年6月には、「個人情報保護基本法制に関する大綱案(中間整理)」を公表した。本委員会は、その後、この中間整理について、国民、関係団体、関係省庁等から意見を聴取し、更に調査審議を行った結果、第28回会議において「個人情報保護基本法制に関する大綱」を決定したところである。
 本委員会の意見は、「個人情報保護基本法制に関する大綱」のとおりであるが、特に以下の点を強調しておきたい。
 政府は、情報通信技術(IT)戦略本部を内閣に置き、政府全体での総合的な施策を一段と積極的に推進することとしている。情報通信技術の活用は、世界規模で推進されており、また、我が国経済社会の発展等のために欠かせないものである。個人情報について、このような情報通信技術を用いて処理し、利用することは、事業活動等の面でも国民生活の面でも欠かせないものであるが、個人情報が個人の人格尊重の理念の下に慎重に取り扱われるべきものであり、個人の権利利益と密接に関わるものであることから、こうした個人情報の有用性に配慮しつつも、個人情報の保護を図るための仕組みを整備することが不可欠である。
 本大綱では、個人情報の適正な取扱いの基本となる原則を確立し、個人情報を取り扱う者の自主的な努力を促すとともに、政府の総合的な施策の展開に当たっての枠組みを明確にすることとしている。加えて、主に情報通信技術を活用し個人情報を事業の用に供している一定の事業者に対する必要最小限度の規律を設け、第一義的に事業者に対して自ら個人情報の適切な保護を行うことを求めるとともに、個人情報の本人による一定の関与と主務大臣の指示等によるチェックの仕組みを設けることとしている。
 本大綱は、今後政府が個人情報保護に関する基本法制を立案するに当たって、その骨格となる事項の趣旨についてまとめたものである。このため、制度の細部等については、政府の立案段階における立法技術的な観点からの検討にゆだねている。また、個人情報の性質、利用方法等に照らし、本基本法制より厳重な保護が必要な場合等別途の措置が必要なものについては、個別の法制上の措置その他の必要な措置を講ずべきことを求めている。さらに、行政機関や独立行政法人等が保有する個人情報については、別途の法制上の措置等が講ぜられることも必要である。
 したがって、政府においては、本大綱の趣旨に沿って、個人情報保護に関する基本法制の早期成立に向けて直ちに立案作業に着手するとともに、その他の課題についても、個人情報保護をめぐる実態を勘案し、迅速かつ的確に対応するよう要請する。

個人情報保護基本法制に関する大綱

目  次

1.目的

2.基本原則
(1)利用目的による制限
(2)適正な方法による取得
(3)内容の正確性の確保
(4)安全保護措置の実施
(5)透明性の確保

3.個人情報取扱事業者(仮称)の義務等
(1)利用目的による制限及び適正な取得
(2)適正な管理
(3)第三者提供の制限
(4)公表等
(5)開示
(6)訂正等
(7)利用停止等
(8)苦情の処理
(9)苦情の処理等を行う団体の認定

4.政府の措置及び施策
(1)国の行政機関の保有する個人情報の保護
(2)独立行政法人等に対する措置
(3)法制上の措置等
(4)個人情報の保護の推進に関する基本方針の策定等
(5)主務大臣の指示等

5.地方公共団体の措置
(1)地方公共団体の保有する個人情報に関する施策
(2)区域内の事業者及び住民に対する支援等
(3)国及び地方公共団体の協力

6.罰則

7.その他
(1)適用除外について
(2)苦情・紛争処理の仕組みについて

1.目的

 高度情報通信社会の進展の下、個人情報(個人に関する情報であって、個人が識別可能なものをいう。)の流通、蓄積及び利用の著しい増大にかんがみ、個人情報の適正な取扱いに関し基本となる事項を定めることにより、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とするものとすること。


 近年の我が国における、コンピュータやインターネット等を用いた情報通信技術の発展、普及は目覚ましいものがあるが、このような情報通信技術は大量かつ高度に処理された情報を迅速かつ広範に流通させ、その利用を可能とするものであり、経済社会の発展等に大きく貢献することが期待されている。
 情報通信技術の活用による大量かつ多様な個人情報の流通、蓄積、利用は、個人ニーズの事業等への的確な反映や迅速なサービス等の提供を実現し、事業活動等の面でも国民生活の面でも欠かせないものとなっているが、反面、その取扱いの態様によっては、個人の権利利益を損なうおそれをも増大させている。
 本基本法制においては、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とし、個人情報の適正な取扱いに関し基本となる原則、個人情報取扱事業者(仮称)の義務、政府が講ずべき措置等の基本的事項を定めることとしている。

2.基本原則

 個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであり、個人情報を取り扱う者は、次に掲げる原則にのっとり、個人情報の適正な取扱いに努めなければならないものとすること。

 個人情報は、いわゆるプライバシー又は個人の諸自由に密接に関わる情報であり、その取扱いの態様によっては、個人の人格的、財産的な権利利益を損なうおそれのあるものである。この意味で、すべての個人情報は、個人の人格尊重の理念の下に慎重に取り扱われる必要のあるものである。他方、個人情報は、個人が社会的又は経済的な活動主体として存在する以上、その有用性の観点から、他の活動主体にとっても一定の範囲で取扱いが認められるべきものである。他人の個人情報を取り扱う者(以下「取扱者」という。)は、このような個人情報の性格とその重大性を十分認識し、個人情報の適正な取扱いを自主的に進めることにより、個人情報の保護に努めることが求められる。
 また、個人情報の種類、取扱いの方法は多様であり、取扱者も広範である。政府等による個人情報の保護に関する制度施策は、このような個人情報とその置かれている環境の多様性に留意しつつも共通の目標に向かって、総合的に推進される必要がある。
 このため、本基本法制においては、諸外国、国際機関等における法制度、検討の成果等を参考にしつつ、取扱者が個人情報の保護のために自主的な取組を行うに当たっての基本となる原則として、また、政府等が講ずる個人情報の保護に関する総合的な制度施策を展開するに当たっての指針として、個人情報の取扱いについての基本原則を明確に規定することとしている。
 なお、個人情報の保護に当たって個人情報の有用性に配慮することとしている本基本法制の目的の趣旨に照らし、個々の基本原則は、公益上必要な活動や正当な事業活動等を制限するものではない。基本原則実現のための具体的な方法は、取扱者の自主的な取組によるべきものである。この趣旨は、報道分野における取材活動に伴う個人情報の取扱い等に関しても同様である。

(1)利用目的による制限
 個人情報は、その利用目的が明確にされるとともに、当該利用目的の達成に必要な範囲内で取り扱われること。

 個人情報の適正な取扱いを図る観点からは、まず、個人情報の利用目的が明確にされ、以後、その利用目的の達成に必要な範囲内で取り扱われる必要がある。また、利用目的については、取扱者の内部において明確にされるだけでなく、個人情報において識別される個人が認識できる状態に置かれるとともに、利用の実態をも的確に認識できるよう可能な限り具体的であることが望ましい。
 利用目的の具体性の程度や目的明確化の方法、利用目的の達成に必要な範囲等については、個人情報の性質、利用方法、取扱者の適正な業務の実施の必要性等が勘案された上で判断されるべきものである。

(2)適正な方法による取得
個人情報は、適法かつ適正な方法によって取得されること。

 個人情報は、個人の権利利益を損なうおそれのある情報であることから、その取得は、適法かつ適正な方法によって行われなければならない。何が適正な方法かについては、個人情報の性質、利用方法、取扱者の適正な業務の実施の必要性等が勘案された上で判断されるべきものである。

(3)内容の正確性の確保
 個人情報は、その利用目的の達成に必要な範囲内において正確かつ最新の内容に保たれること。

 本原則は、個人情報が不正確なまま利用されることにより個人に不測の権利利益侵害を生ずるおそれがあることから、取扱者に対して、利用目的の達成に必要な範囲内において正確かつ最新の内容とすることを求めるものである。
 したがって、例えば、過去の事実を記録しておくことが必要であるような場合にまで一律にその最新化を求めるものではない。

(4)安全保護措置の実施
 個人情報は、適切な安全保護措置を講じた上で取り扱われること。

 本原則は、個人情報がずさんな取扱いにより、漏えい、改ざん等の危険にさらされることのないよう、取扱権限者の明確化等の組織的な対応、セキュリティ確保のためのシステム・機器の整備等の技術的な対応を図ることを求めるものである。
 なお、安全保護措置のレベルは、個人情報の性質、利用方法等に加え、情報通信技術の発達にも対応した適切なものとすることが求められる。

(5)透明性の確保
 個人情報の取扱い(個人情報に関する様々な行為であって、その利用等を含む。)に関しては、個人情報において識別される個人(以下「本人」という。)が適切に関与し得るなどの必要な透明性が確保されること。

 個人情報の取扱いに関して、本人の権利利益の保護を図るためには、その取扱いに関する責任の所在その他の情報が明らかにされ、本人に開示、訂正等の一定の関与を認める手続が整備される必要があり、そのような観点からの透明性の確保に取扱者自ら努める必要がある。このような考え方は、OECD理事会勧告のガイドラインを始め、諸外国の個人情報保護法制においても広く採り入れられているところである。
 具体的にどの程度の透明性が必要かについては、その対象となる個人情報の性質、利用方法、取扱者の適正な業務の実施の必要性等が勘案された上で判断されるべきものである。

3.個人情報取扱事業者(仮称)の義務等


 現在、民間事業者等は日常的な取引に伴い、又は調査等により、大量の個人情報を取得し、蓄積している。近年の情報通信技術の発展は、これらの個人情報について、顧客管理等への利用にとどまらず、顧客サービスや経営効率の改善、新規事業の開発等への利用の観点から大量かつ高度な処理を可能にするとともに、事業の展開に対応した広範な流通をも可能にしてきている。民間事業者等によるこのような個人情報の利用は、今や事業活動に欠かせないものであり、高度情報通信社会においては、個人の便益を飛躍的に増大させ経済社会の発展に資するものであるが、一方、その取扱いの態様によっては、個人の権利利益を損なうおそれをも増大させている。
 このため、本基本法制においては、民間事業者等のうち、電子計算機等を用いて検索することができるよう体系化された個人情報の集合物(以下「個人情報データベース等」という。)を事業の用に供している一定の事業者(以下「個人情報取扱事業者」(仮称)という。)を特に法制度の整備の緊要度が高い者として位置付け、それらに対する必要な制度を整備するものである。基本法制としての性格上、個人情報取扱事業者の義務は必要最小限度となっており、個人情報取扱事業者やその事業者団体においては、3.の規定が定める以上の充実した保護措置を自主的に講ずるよう努力することが求められる。
 なお、個人情報データベース等には、電子計算機を用いる場合に匹敵する検索等の処理が可能であるマニュアル処理情報を含むものとする。
 また、3.の規定の対象を一定の事業者とするのは、単にアクセスすることのみが許されており、データの変更、移転等ができない事業者や専ら小規模の個人情報データベース等のみを取り扱う事業者等を除く趣旨である。

(1)利用目的による制限及び適正な取得

ア.個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用目的を明確にするとともに、当該利用目的の達成に必要な範囲内で個人情報の取得、処理その他の個人情報の取扱いを行わなければならないものとすること。イ.個人情報取扱事業者は、一般的に合理的と考えられる範囲を超えて利用目的を変更してはならないものとすること。

ウ.個人情報取扱事業者は、個人情報を取得する場合には、利用目的を本人に通知し、又は公表その他本人が容易に知り得る状態にすること(以下「公表等」という。)を行わなければならないものとすること。このうち、本人との契約の締結に伴い、又は調査等により本人から直接個人情報を取得する場合には、原則として、あらかじめ利用目的を明示しなければならないものとすること。ただし、個人情報取扱事業者の正当な利益を害するおそれ又は業務の適正な実施に支障を及ぼすおそれがある場合等は、この限りでないものとすること。
 エ.以下の場合について、本項ア、イ、ウを適用しないものとすること。
 @あらかじめ本人の同意がある場合
 A生命、身体又は財産の保護のために緊急に必要がある場合

オ.個人情報取扱事業者は、適法かつ適正な方法によって個人情報を取得しなければならないものとすること。


 基本原則における「利用目的による制限」及び「適正な方法による取得」に沿って、個人情報取扱事業者の具体的な義務を明確化したものである。
 ただし、第三者に提供すること自体を目的とする個人情報の取扱いについては、上記アに加え、後述の(3)による必要がある。
 個人情報の利用目的の変更を無制限に認めた場合、目的による拘束性を制度化する実質的意味は減殺される。このため、目的変更は、当初の利用目的との関連性があり、かつ、本人に不測かつ不当な権利利益の侵害を生じさせるおそれがない範囲内にとどめるべきであることから、社会通念上、一般的に合理的と考えられる範囲を超えて利用目的を変更してはならないこととしている。
 明確化された利用目的は、個人情報取扱事業者の正当な利益を害するおそれ又は業務の適正な実施に支障を及ぼすおそれがある場合等を除き、通知、公表等により少なくとも本人が容易に知り得る状態に置かれる必要がある。特に相対による契約締結やアンケート調査等の場合のように個人情報取扱事業者が本人から個人情報を取得する場合においては、容易に利用目的を明らかにできることから、原則としてその際に明示することを義務付けることとしている。
 「おそれ」の有無の判断は、一次的には、個人情報取扱事業者が行うものであるが、個人情報取扱事業者の恣意的判断を容認するものではなく、一般的な蓋然性が必要であるとともに、客観的な利益衡量が必要である。多様な分野における「正当な利益を害するおそれ」や「業務の適正な実施に支障を及ぼすおそれ」の具体的内容については、実際の運用に当たってガイドラインを活用するなどにより、可能な限り明確化していくことが望ましいものと考えられる。なお、以下の項における「おそれ」の有無の判断に関する趣旨についても同じである。
 また、「公表等」には、インターネット上での公表、パンフレットの配布、書面の掲示・備付け、本人からの問い合わせへの回答などが含まれるものであり、以下の項においても同じである。

(2)適正な管理

ア.個人情報取扱事業者は、個人情報データベース等を構成する個人情報(以下「個人データ」という。)について、利用目的の達成に必要な範囲内において正確かつ最新の内容に保つよう努めなければならないものとすること。

イ.個人情報取扱事業者は、個人データの保護のために必要な措置を講ずるよう努めるとともに、個人データの取扱いに従事する者に対して個人データの保護に必要な措置が適切に講ぜられるよう監督しなければならないものとすること。

ウ.個人情報取扱事業者は、個人データの取扱いの全部又は一部を第三者に委託する場合には、委託先の選定に配慮し、必要な監督等を行わなければならないものとすること。


 基本原則における「内容の正確性の確保」及び「安全保護措置の実施」に沿って、個人情報取扱事業者の具体的な義務等を明確化したものである。
 基本原則(4)において触れたとおり、取扱者はすべて適切な安全保護措置を自主的に講ずべき努力義務が課されるが、特に個人情報取扱事業者においては、政府や事業者団体のガイドライン等に沿って、適切な措置を講ずるよう努めなければならないこととなる。
 また、イの後段及びウは、個人情報取扱事業者にはその従業員及び委託先に対して個人データの取扱いに関する監督責任があることを明確にしている。

(3)第三者提供の制限

ア.個人情報取扱事業者は、個人データを第三者に提供してはならないものとすること。ただし、あらかじめ本人の同意がある場合、生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでないものとすること。

イ.以下の場合について、本項アを適用しないものとすること。
 @営業譲渡、分社等により営業資産の一部として個人データを引き継ぐ場合
 A明確化された利用目的を達成するために当該個人情報取扱事業者と共同し、又はその委託により個人データを取り扱う場合
 B個人データを特定の者との間で相互に利用する場合であって、あらかじめその利用目的及び提供先等について本人に通知され、又は公表等が行われている場合
 C個人情報取扱事業者が第三者提供を目的として個人情報を取得する場合のうち、本人からの提供停止等の求めに応じて原則として当該個人情報の提供停止その他の適切な措置を講ずることとされている場合であって、あらかじめその旨、第三者提供の方法等について本人に通知され、又は公表等が行われている場合


 個人情報取扱事業者が個人情報を第三者に提供することは、その後、当該個人情報がどのように使われ、どのように流通するか分からない状況に置くこととなり、個人の権利利益の侵害のおそれがより高くなる。したがって、正当と認められる一定の場合を除き、これを禁止しようとするものである。
 一定の場合としては、本人の同意がある場合、緊急性のある場合のほか、@、Aのように本人との関係において、取扱主体としての地位が承継されると認められる場合、あるいは、取扱主体と協力して利用目的を達成するなどその地位を同時に有していると認められる場合が該当する。
 また、Bのように、一定の契約関係等の下に、取扱主体が複数あっても、個人データが共有される事業者の範囲、利用目的等その責任範囲等についてあらかじめ通知、公表等により明確になっている場合も適用を除外することが適当である。
 さらに、Cのように、第三者提供自体を利用目的として取得された個人情報について原則的に本人の求めに応じて提供停止等が行われる場合で、あらかじめ、そうした取扱いが行われることや第三者に提供する方法等について本人が認識することができる場合には、本人の権利利益が不当に損なわれることを防止できることから、第三者提供の制限から除外することが適当である。

(4)公表等

ア.個人情報取扱事業者は、個人データに関して、個人情報取扱事業者の正当な利益を害するおそれ又は業務の適正な実施に支障を及ぼすおそれがある場合、本人に通知する場合等を除き、次に掲げる事項について公表等を行わなければならないものとすること。
 @利用目的
 A個人情報の保有に責任を有する事業者名
 B開示等に必要な手続
 Cその他個人情報の保護を図るために必要な事項

イ.個人情報取扱事業者は、本人に通知し、又は公表等を行った事項を変更する場合には、軽微な変更であるとき又は本人に通知するとき等を除き、変更する事項について公表等を行わなければならないものとすること。


 基本原則における「透明性の確保」の観点から、個人情報取扱事業者の具体的な義務として、保有する個人データに関して対外的に明らかにすべき事項を定めるものである。
 「透明性の確保」は、通知、公表等や本人からの求めによる開示、訂正等を含むが、前者は後者の基礎となる仕組みであるとともに、個人情報取扱事業者自らがその個人情報の取扱いに関する事項を対外的に明らかにすることにより、取扱いの公正性の確保を図るものである。特に、A「個人情報の保有に責任を有する事業者名」は、対外的な責任の主体を明確にするための事項である。B「開示等に必要な手続」の内容は、開示、訂正等及び利用停止等における本人関与の実施に当たって必要となる事項であり、本人が行う求めの方法、本人の確認方法、実施に必要な期間、手数料を徴収する場合の額等が考えられる。また、C「その他個人情報の保護を図るために必要な事項」の内容は、苦情等の受付窓口の所在や個人情報の取扱方針等が想定されるが、社会的な要請度や個人情報取扱事業者の取組の実態も考慮して、具体化していく必要があると考えられる。
 通知、公表等は、原則として、個人データが利用されるまでには行われる必要があると考えられる。なお、本項は、@〜Cの各事項について、取得の際等に、既に通知、公表等を行っている場合、改めて公表等を求めるものではない。
 また、公表等に当たっては、個人情報取扱事業者の有する営業秘密等の正当な利益や適正な業務の実施等、法的に保護されるべき利益との調整が必要になる場合があることから、「個人情報取扱事業者の正当な利益を害するおそれ又は業務の適正な実施に支障を及ぼすおそれがある場合」等を除いている。

(5)開示

ア.個人情報取扱事業者は、本人から自己の個人データについて開示の求めがあった場合において、本人又は第三者の生命、身体、財産その他の利益を害するおそれがあるとき、個人情報取扱事業者の正当な利益を害するおそれ又は業務の適正な実施に支障を及ぼすおそれがあるとき等を除き、本人に対し、当該個人データを開示しなければならないものとすること。

イ.個人情報取扱事業者は、本人からの求めの全部又は一部に応じない場合には、本人に対し、その旨を明示しなければならないものとするとともに、その理由の説明に努めなければならないものとすること。


 「透明性の確保」の観点から、個人情報取扱事業者が保有する個人データについて本人が開示を求められる仕組みを整備するものである。訂正等及び利用停止等とも合わせ、これらの仕組みにより、個人情報の適正な取扱いが当事者間で実効性をもって担保されることが期待される。
 開示の対象を保有する「個人データ」、すなわち、個人情報データベース等を構成する個人情報としているのは、個人情報取扱事業者にとって検索可能で、かつ、自らが開示できる権限を有するものでなければ開示することが困難なためである。
 開示内容及びその範囲については、本人や第三者の生命、身体、財産その他の利益、個人情報取扱事業者の有する営業秘密等の正当な利益や適正な業務の実施等、法的に保護されるべき利益との調整を行う必要がある。また、短期間のみ保有する個人データやバックアップ用の個人データ、既に別の方法で開示が行われているもの等については、その実態や開示の必要性等を勘案し、対象から除外することについて政府において検討が必要である。

(6)訂正等

ア.個人情報取扱事業者は、本人から自己の個人データの内容について正確かつ最新の事実を反映するよう求めがあった場合において、その内容が正当と認められるときは、本人又は第三者の生命、身体、財産その他の利益を害するおそれがあるとき、個人情報取扱事業者の正当な利益を害するおそれ又は業務の適正な実施に支障を及ぼすおそれがあるとき等を除き、利用目的の達成に必要な範囲内で、当該個人データの訂正、追加、削除その他の適切な措置を講じなければならないものとすること。

イ.個人情報取扱事業者は、本人からの求めの全部又は一部に応じない場合には、本人に対し、その旨を明示しなければならないものとするとともに、その理由の説明に努めなければならないものとすること。


 「透明性の確保」の観点から、個人情報取扱事業者が保有する個人データについて、(2)アの内容の正確性の確保に関する義務が当事者間で実効性をもって担保されるよう、本人が関与し得る仕組みを整備するものである。
 本人からの求めに対して「正当と認められるとき」に適切な措置を講ずることとしているのは、本人からの求めの内容が誤りであった場合等にまで義務が生ずるものではないことを明確にするためである。
 なお、訂正等の対象を「個人データ」としている趣旨及び一定の除外を設ける趣旨については、開示の場合と同旨である。

(7)利用停止等

ア.個人情報取扱事業者は、本人から自己の個人データについて以下を理由として利用停止等の求めがあった場合において、その内容が正当と認められるときは、本人又は第三者の生命、身体、財産その他の利益を害するおそれがあるとき、個人情報取扱事業者の正当な利益を害するおそれ又は業務の適正な実施に支障を及ぼすおそれがあるとき等を除き、当該個人データの利用停止、削除その他の適切な措置を講じなければならないものとすること。
 @(1)ア、イに反し、利用目的の達成に必要な範囲を超えて利用が行われていること。
 A(1)オに反し、違法又は不適正な方法により取得されたものであること。
 B(3)に反し、第三者に提供されていること。

イ.個人情報取扱事業者は、本人からの求めの全部又は一部に応じない場合には、本人に対し、その旨を明示しなければならないものとするとともに、その理由の説明に努めなければならないものとすること。


 「透明性の確保」の観点から、個人情報取扱事業者が保有する個人データについて、(1)利用目的による制限及び適正な取得のア、イ及びオの義務、並びに(3)第三者提供の制限に関する義務が当事者間で実効性をもって担保されるよう、本人が関与し得る仕組みを整備するものである。
 本人からの求めに対して「正当と認められるとき」に適切な措置を講ずることとしているのは、訂正等の場合と同旨であり、また、利用停止等の対象を「個人データ」としている趣旨及び一定の除外を設ける趣旨については、開示及び訂正等の場合と同旨である。

(8)苦情の処理
 個人情報取扱事業者は、個人情報の取扱いに関する苦情について、必要な体制の整備等を行い、適切かつ迅速な処理に努めなければならないものとすること。

 私人間の関係である個人情報取扱事業者と本人との間に発生する問題は、基本的に当事者間で扱われるべきものであり、また、迅速な解決を図る上でも、その方が望ましい。このため、個人情報の取扱いに関する本人からの苦情に対しても、一次的には個人情報取扱事業者が窓口を設け、処理を行う責任があることを明確にするものである。
 苦情が当事者間で解決しない場合、本人は、(9)の苦情の処理等を行う認定団体や主務大臣等に苦情の処理を申し出ることができる。また、事案によっては、人権関係機関等や司法手続を利用できる場合もあると考えられる。

(9)苦情の処理等を行う団体の認定
 個人情報取扱事業者は、苦情の処理等を行うために、個人情報取扱事業者を構成員とする団体を設け、申請により主務大臣の認定を受けることができるものとすること。

 これまで我が国における民間部門の個人情報の保護は、事業者団体等がガイドラインを策定し、関係事業者がガイドラインを遵守することを中心に行われてきた。本基本法制においても、こうした事業者の自主的な取組を尊重し、その取組を政府等が支援していくことを基本とした上で、特に必要な部分に関して最小限度の規律を整備することを全体的な考え方としている。
 本項は、こうした考え方に沿って、苦情の処理等を行う団体に関して法律に基づく認定の制度を設けることにより、事業者団体の自主的な取組を尊重した上で、個人情報保護の水準の確保・向上を図ろうとするものである。
 団体の認定に当たっては、国際的な動向も念頭に置きつつ、個人の信頼が保たれるよう、対象となる構成員が明確になっていること、本基本法制に沿った適切なガイドラインを策定し構成員に遵守させていること等により、中立性、客観性が保たれる苦情処理の仕組みが整備されていること等を考慮すべきである。
 団体は、ガイドラインの策定や苦情処理等のほか、広報・啓発活動等を行うことも考えられる。また、認定の申請は、団体の自主的な判断により行われるものである。

4.政府の措置及び施策

(1)国の行政機関の保有する個人情報の保護
 国の行政機関の保有する個人情報に関しては、その情報の性質、保有目的等を勘案し、適正かつ的確な保護が図られるよう、本基本法制の趣旨にのっとり、別に法制上の措置を講ずるものとすること。

 個人情報の取扱いに伴う個人の権利利益の保護の必要性は、公的部門と民間部門とで異なるものではないが、その取扱いについて、政府と国民との間においては、行政に対する国民の信頼を一層確保することが求められており、また、法律による行政の下に国民一般の利益との調整が重要であるのに対し、私人間においては、企業活動における営業の自由等との調整が問題となるものであることなどから、その取扱いについての具体的な規律内容は異ならざるを得ない。特に、行政機関における個人情報の取扱いに当たっては、法令に基づく厳格な保護管理の下に置かれるよう、特別の配慮が必要である。
 したがって、別に定める法律については、本基本法制の趣旨にのっとり、その主たる内容は、次のとおりとすることが適当と考える。
 また、政府においては、現行の「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」(以下「行政機関個人情報保護法」という。)について、本基本法制の目的、基本原則等に沿って、いわゆるマニュアル処理情報の取扱い、適用除外ファイル、開示・訂正手続等について、適切な見直しを行い、必要な措置を講ずるものとし、行政機関の保有する個人情報の保護について、速やかに一層充実した法整備を図る必要がある。

(2)独立行政法人等に対する措置
 政府は、独立行政法人、特殊法人等について、その性格、業務の内容に応じ、本基本法制の趣旨にのっとり、個人情報の保護が推進されるよう、法制上の措置その他の必要な措置を講ずるものとすること。

 国の行政機関の保有する個人情報の保護については、(1)のとおり、別に法制上の措置を講ずることとし、現行の行政機関個人情報保護法の見直しを求めているが、行政機関と民間事業者との間には、独立行政法人、特殊法人等の様々な法人が存在し、事業運営に当たって個人情報を取り扱っているところである。
 これらの法人の中には、公的部門に属するものがあると考えられる一方、民間事業者と同様の事業を行っていたり、競争関係にあるものも含まれるなど、その法人の性格や業務の内容が極めて多様なことから、そのような実態に即した規律を設ける観点から、別途、法制上の措置その他の必要な措置を講ずるものとしている。

(3)法制上の措置等
 政府は、個人情報であって、その性質、利用方法等に照らし、特に厳重な保護を要する等、別途の措置が必要なものについては、法制上の措置その他の必要な措置を講ずるものとすること。

 本基本法制は、多種多様な個人情報の性質や利用方法等を広く一律に捉えた上で、個人情報の取扱いの基本となる原則を明らかにするとともに、高度情報通信社会において個人情報取扱事業者が個人情報を取り扱う際の必要最小限度の規律と自主的な取組を支援するための基盤的制度を整備することにより、個人の権利利益の侵害を事前に防止する仕組みを設けることとしている。
 しかしながら、個人情報の中には、その不適正な取扱いが直ちに個人の権利利益を損なうおそれの強いものや、個人情報の保護とは別途の観点から本基本法制における各規律とは異なる取扱いをすることが要請されるものなどもあるところである。
 したがって、政府においては、このような個人情報について、本基本法制を上回る保護の水準を確保する必要がある場合や本基本法制における各規律によることが適当でない場合には、個別に、当該個人情報の性質、利用方法、取扱いの実態等に即して、罰則規定の整備を含め、法制上の措置又は各種の制度施策を必要に応じて講ずべきこととしている(後記6.参照)。

(4)個人情報の保護の推進に関する基本方針の策定等

ア.政府は、個人情報の保護に関する施策の総合的かつ一体的な推進を図るため、個人情報の保護の推進に関する基本方針(以下「基本方針」という。)を定めなければならないものとすること。
 基本方針は、次に掲げる事項について定めるものとすること。
 @個人情報の保護の推進について講じようとする施策の基本となるべき事項
 A個人情報の保護の推進に関する施策を実施するに当たっての各行政機関の役割
 Bその他個人情報の保護を推進するために必要な事項

イ.政府は、基本方針に基づき、次に掲げる措置を講ずるものとすること。
 @個人情報の保護のための取組を支援するために必要な措置
 A個人情報の取扱いに関する国民の理解を深めるために必要な措置
 B個人情報の取扱いに関する苦情が適切かつ迅速に処理されるようにするために必要な措置


 高度情報通信社会の進展の下、今日、個人情報は、国、地方公共団体のみならず、様々な分野において民間事業者によって広く取り扱われていることから、その適正な取扱いを確保するための施策は、それぞれの分野における個人情報の取扱いの実情等に応じて、関係行政機関が所管行政の観点から分担して推進していくものとする。
 このため、政府においては、本基本法制の下に、関連する個別の法令や制度施策が全体として総合的かつ一体的に運用されるよう、個人情報の保護の推進に関する基本方針を閣議決定等により策定し、情報通信技術の発展や国際的な取組の動向等に応じて随時見直していく必要がある。
 この基本方針においては、本基本法制の各規律を基礎として、政策目標の明確化、重点的な取組分野の設定など施策の基本となるべき事項を定めるとともに、各業界等に対する支援や苦情処理等における各行政機関の役割分担、事業者及び地方公共団体が取組を行う際の留意事項などその他必要な事項についても明らかにする必要がある。
 各行政機関は、この基本方針に基づいて、地方公共団体や事業者における個人情報保護の取組への支援、広報・啓発活動等を通じた国民等への周知、苦情処理に関する施策(事業者団体等における苦情処理窓口の設置促進、適切な苦情処理窓口に関する情報提供等を含む。)等の推進に当たることとする。
 本基本法制では、事業者の自主的な取組を尊重し、必要最小限度の規律を整備することを基本としている。したがって、各行政機関は、本基本法制に定める各規律や政府が定める基本方針との整合を保ちつつ、所管行政の観点からのガイドラインを策定するなどにより、事業者等による自主的な取組を支援していくことが必要である。

(5)主務大臣の指示等

ア.主務大臣は、「3.個人情報取扱事業者の義務等」の規定の施行に関し、必要があると認めるときは、個人情報取扱事業者又は3.(9)の認定を受けた団体に対して、報告を求め、又は助言若しくは改善の指示を行うことができるものとすること。

イ.個人情報取扱事業者が主務大臣の改善の指示に従わないときは、一定の場合に、主務大臣は個人情報取扱事業者に対して、改善又は中止の命令を行うことができるものとすること。


 民間部門における個人情報をめぐる諸問題は、前述のとおり、基本的には当事者間で扱われるべきものであるが、当事者間の問題を超えて社会的に解決が要請される場合等には、行政による適切な対応が求められるものであることから、「3.個人情報取扱事業者の義務等」の担保措置として、主務大臣による関与の仕組みを整備するものである。
 必要最小限度の規律を整備するという本基本法制の性格上、主務大臣の関与は、事後的な改善指示等を基本としたものとしているが、第三者提供の制限違反等義務を担保する必要性がより高い「一定の」行為については、主務大臣が改善・中止命令を行うことができることとしている。
 主務大臣については、各業の所管の大臣等がそれぞれの所管に応じて分担することが基本になると考えられる。

5.地方公共団体の措置

(1)地方公共団体の保有する個人情報に関する施策
 地方公共団体は、本基本法制の趣旨にのっとり、その保有する個人情報に関し、個人情報の適正な取扱いを確保するため必要な施策を策定し、これを実施するよう努めなければならないものとすること。

 地方公共団体が保有する個人情報については、その自主性・自律性を尊重して、本基本法制の趣旨にのっとった自主的な取組が促進される必要がある。
 本基本法制の趣旨にのっとり、条例が整備されていない地方公共団体においては速やかにその制定に努めるとともに、既に制定済みの地方公共団体においても、一層の充実を図る観点から現行条例の必要な見直しに努める必要がある。

(2)区域内の事業者及び住民に対する支援等

ア.地方公共団体は、個人情報の保護に関し、その区域内に所在する事業者及び住民に対する支援等の施策の実施に努めなければならないものとすること。

イ.地方公共団体は、個人情報の取扱いに関して生じた苦情が適切かつ迅速に処理されるようにするため、苦情の処理のあっせん等必要な施策を講ずるよう努めなければならないものとすること。


 地方公共団体は住民に身近な行政主体として、その区域内に所在する事業者及び住民の実情に応じた支援等の施策の実施に努めることが望まれる。
 地方公共団体は多種多様な事業者に係る案件に対応でき、また、地域住民にとっても、直接接する機会の多い地方公共団体に苦情を相談することが簡便と考えられることから、地方公共団体は、事業者と住民との間の個人情報の取扱いに関して生じた苦情に関し、的確な情報の提供や助言、処理のあっせん等に努めることとする。
 また、苦情処理に係る国、都道府県及び市町村の役割分担については、既存のネットワーク等を活用することも念頭に、地方公共団体の実情等も考慮して今後政府において検討する必要がある。

(3)国及び地方公共団体の協力
 国及び地方公共団体は、個人情報の保護に関する施策を講ずるにつき、相協力するものとすること。

 個人情報をめぐる問題は、国民全体の問題であるとともに、地域住民の問題でもある。したがって、本基本法制を中心とする個人情報の保護に関する制度施策の展開に当たっては、国と地方公共団体の密接な連携と協力が不可欠である。
 国及び地方公共団体は、個人情報の保護に関し、意見や情報の交換を行う等により、本基本法制に基づく制度施策が、地域の実情に即しつつ、総合的に講ぜられる必要がある。

6.罰則

4.(5)イによる主務大臣の改善・中止命令に対する違反につき、罰則を設けるものとすること。

 「個人情報」、「個人情報の取扱い」には様々なものがあるが、本基本法制においては、4.(3)のとおり、これらを広く捉えるとともに、個人の権利利益の侵害を事前に防止する仕組みとしていることとの関係で、これと並べて個人情報の「質」と「侵害の態様」を重視する刑事罰の規定を設けることになじまない面がある。
 他方、既存の秘密保護に関する多数の法律については、例えば、個人の病歴、資産状況等の同種の個人の権利利益に密接に関係するものでありながら、必ずしも同種の刑罰規定が網羅されているとは見られないとの指摘もある。
 また、本基本法制において、個人情報の第三者提供等を行政上の観点から規律するということになれば、その行政上の規律を確実に守らせるための仕組みが必要との考え方もあるところである。
 そこで、本基本法制においては、個人情報の第三者提供等について、一定の要件の下に主務大臣が改善・中止命令を発し、それが守られない場合に罰則が適用される仕組みを設けることが適当である。
 一方、政府は、4.(3)により法制上の措置を講ずるに当たり、個人情報の取扱いに関連する既存の各法律の守秘義務規定を中心に、個人情報の「質」と「侵害の態様」に応じた個人情報保護の観点から、早期に見直して罰則規定の整備を図るとともに、今後、本基本法制の趣旨に沿って各関係の法律を整備するに当たっても、同様の観点から罰則規定の整備を検討することが求められる。

7.その他

(1)適用除外について

ア.報道分野等との調整について
 個人情報は、前記「2.基本原則」のとおり、個人の人格尊重の理念の下に慎重に取り扱われるべきものである一方、報道分野における個人情報の取扱いは、報道の自由に密接に関わるものである。
 このため、報道分野における取材活動等に伴う個人情報の取扱いについては、次のように措置する必要がある。
 @「3.個人情報取扱事業者の義務等」の諸規定は適用しないこと。
 A報道分野においても、「1.目的」、「2.基本原則」の諸規定に基づき、個人情報が適正に取り扱われるための自主的な取組を行うよう努力すべきこと。
 また、報道分野以外の宗教、学術、政治の分野における個人情報の取扱いの中には、信仰、学問、政党活動の自由と密接に関係するものがあり得ると考えられ、これらについては、政府の立案過程において、報道分野に準じて適切に調整する必要がある。
 なお、適用除外に関する具体的な規定方法については、政府の立案過程において、可能な限り範囲を明確に画定する観点からの立法技術上の検討を行う必要がある。

イ.その他の適用関係の調整について
 個人情報の取扱いに関し、他の法律により当該法律の観点から特別の取扱いを規定している場合や、公共の安全・秩序の維持又は公衆衛生等の公益上の必要性から特別の配慮が求められる場合等が少なくなく、本基本法制の各規定の趣旨を勘案し、本基本法制の適用により上記のそれぞれの場合においてどのような支障が生ずるかについて各規定ごとに具体的に検討した上で調整する必要がある。このため、政府においてはこれらの関係について法案の立案過程で立法技術上の観点から調整措置を検討する必要がある。

(2)苦情・紛争処理の仕組みについて
 個人情報の取扱いに関連して生ずる事業者と本人との間の争いは、基本的には私人間の問題であって、また、当事者間での事実上の対応等により解決し得る場合も多いと考えられることから、その解決は行政が介入するのではなく当事者による自主的な取組を通じて行われることが望ましい。
 近年、民間に対する行政規制は、「自律・自助」を基本的な考え方として見直しが進められており、また、裁判制度の在り方についても、その改革・改善が図られつつあるところである。
 このような観点から見ると、個人情報保護をめぐる苦情の処理体制としては、当事者間の解決を基本とし、3.(8)及び(9)による事業者側の体制整備を図り、その上で、5.(2)による国・地方を通じた既存のネットワーク等も活用しつつ、各業の所管の大臣等がそれぞれの所管に応じて必要最小限度の監督を行うシステムを整備することが、まず必要である。また、本基本法制に基づくこうした仕組み以外にも、民間の自主的な取組として、当事者の立場を離れて苦情や紛争の処理に当たっている場合もあり、こうした活動と有機的に連携することで、一層効果的、効率的な解決が期待できる。
 本大綱では、以上のような考え方から、本基本法制において、行政機関としての独立的な苦情・紛争処理機関を設けることとしていないが、行政機関と司法機関の役割分担の在り方、本基本法制制定後の運用状況等を勘案して、将来的に検討すべき課題であると考える。
 また、政府は、本基本法制の制度運営が個人情報の取扱いの実態及び今後の動向に適時・的確に対応したものとなるよう、有識者等の意見を反映させるための仕組みを整備すること等を検討する必要がある。