• 用語解説
• »新着用語
• »用語解説一覧
• »さくいん

• あ	か	さ	た	な
  は	ま	や	ら	わ
  英数字			記号

個人情報保護法

2005年4月1日から個人情報保護法が全面施行されました。ヘルスケア関連団体にとりましても、5,000人を超える個人データを6ヶ月以上保有している団体に関しましては、「個人情報取扱事業者」として、この法律を遵守する義務が生じます。また、たとえ5,000人を超えない場合でも、団体の事務局が会員等の情報をこの法律に準拠して運営することは、社会的にも高い信頼を得ることにつながるかもしれません。今回から6回シリーズで、「個人情報保護法」について取り上げていきます。

背後事情

1980年にOECD（Organization for Economic Cooperation and Development：経済協力開発機構）が個人情報の保護について、図１のように8つの原則を定めました。個人情報保護法（以下、保護法）の立法化の要因のひとつにはこの原則があり、保護法では、その原則が基本的に盛り込まれています。

上にみたOECDガイドラインは次の8つの原則をうたっています。
１．収集制限の原則：個人データは、適法・公正な手段により、かつ適切な場合には　データ主体に通知・同意を得て収集されるべき→個人情報保護法17条　（適正な取得）
２．データ内容の原則：個人データは利用目的に沿ったもので、かつ、正確、完全、　最新でなければならない→個人情報保護法19条（データ内容の正確性の確保）
３．目的明確化の原則：個人データの収集目的は、収集時（または目的変更時）まで　に明確化し、その後の利用は収集目的に限定すべき→個人情報保護法15条　（利用目的の特定）、16条（利用目的による制限）、23条（第三者提供の制限）
４．利用制限の原則：データ主体の同意がある場合、法律の規定による場合以外　は明確化された目的以外に、個人データを利用してはならない→個人情報保護法　15条（利用目的の特定）、16条（利用目的による制限）、23条（第三者提供の　制限）
５．安全保護の原則：個人データは、合理的安全保護措置により、紛失、不当な　アクセス、破壊、使用、修正、開示等から保護されなければならない→個人情報　保護法20条（安全管理措置）、21条（従業者の監督）
６．公開の原則：個人データに係る開発、運用、政策は公開し、データの存在、性質、　利用目的、管理者等を明確にすべき→個人情報保護法18条（取得に際しての　利用目的の通知等）、24条（保有個人データに関する事項の公表等）、25条（開示）、　26条（訂正等）、27条（利用停止等）
７．個人参加の原則：個人は、自己に関するデータの有無、内容を確認でき、異議申　立て、データの消去、修正、完全化、補正の権利を有する→個人情報保護法　18条（取得に際しての利用目的の通知等）、24条（保有個人データに関する　事項の公表等）、25条（開示）、26条（訂正等）、27条（利用停止等）
８．責任の原則：管理者は諸原則実施の責任を有する→個人情報保護法31条　（個人情報取扱事業者による苦情の処理）

構成

図2は保護法の構成です。個人情報を取り扱う事業者には、基本的には第四章が大きく関係します。保護法とは別に行政機関が保有する個人情報の保護については、別の法律があります。したがって保護法というのは、基本的には、民間部門を対象としている法律で、国や地方公共団体、独立行政法人等は対象とはしていません。

このようにOECDガイドライン等を考慮して、プライバシーや自己情報コントロール権といった個人の権利利益の保護を目的とした個人情報の保護に関する法律（個人情報保護法）が2003年5月23日に衆議院で可決され、同年5月30日に公布されました。
この法律は、第1章から第6章までの59条からなる本文と経過措置などを定める附則からなり、この法律の基本理念や国の責務、施策などに関する事項が第1章から第3章に、個人情報を取扱う者の義務や罰則は第4章から第6章に、それぞれ規定されています。
第1章から第3章までは2003年5月30日に施行されており、第4章から第6章については2005年4月1日に施行されました。

構個人情報取扱事業者の義務（図3）

まず、本人から個人情報を入手するときは適正な方法で取得し、本人から事業者がどういうデータを持っているかを照会を受けた場合には、そのデータを開示する義務があります。今までは、保持している個人に関するデータを開示する義務はありませんでしたが、この法律によって一定の事業者は個人情報を含んだデータに関して、本人から請求があった場合には開示する義務を負います。開示等の求めというのは、開示したものに誤りがあったり、適正な方法で取得したものでなかった場合に、本人の要求により訂正および削除する義務を含みます。 さらに事業者が個人情報を入手するときには、利用目的による制限があります。何のために使うのかをなるべく具体的に特定することが求められます。 保護法の施行前の慣行との違いで大きなことは、「第三者提供の制限」があることです。従来は、クレジットカード会社、その他の金融機関等の第三者に個人データを提供するときには本人の同意を取得しなくてもすみましたが、保護法では基本的に同意の取得が必要になります。

個人情報取扱事業者の義務の柱は、利用目的を明確にして、その範囲内で個人情報を取扱うこと、利用目的からかけはなれた取扱いを行う場合はあらためて本人の同意を得ること、そして、個人情報の処理に伴う適切な安全管理を図るということにあります。より具体的には、(1)利用目的による制限、(2)適正な取得、(3)正確性の確保、(4)安全の確保、(5)透明性の確保のための義務にからなり、図示すると上のようになります。以下では、この法律の内容を理解するために必要不可欠ないくつかの定義について触れた後、これら個人情報取扱事業者の義務のそれぞれについて、順を追って、概説させていただきます。

個人情報の保護に関する法律

個人情報の保護に関する現在の日本の法律の枠組みは、保護法と民法の2本柱です。保護法の役割は、あくまでも「個人情報を一定のルールに従って取り扱いなさい」というもので、言ってみれば道路交通法のようなものです。一方民法は、損害賠償に関する部分を担っています。民法709条は、「故意または過失により他人に損害を加えた場合には、それによって本人が被った損害を賠償しなさい」という趣旨のことを記載しており、個人情報の漏洩などにより個人に損害を与えた場合には、この規定によって損賠賠償責任が発生することになります。