今、なぜ“個人情報保護法”か

IT化が進展し、情報のデジタル化・ネットワーク化が進むと、大量・瞬時の個人情報の利用が可能になり、便利さと個人の権利利益の侵害の危険とが背中合わせの社会が出現しました。個人情報保護法は、このようなIT社会への対応の必要性から生まれたといってよいと思います。

“個人情報保護法”のポイント

この法律を考えるポイントの一つは、「個人情報の有用性に配慮しつつ、個人の権利利益を保護する」（1条）という目的規定にあります。バランスの問題であるという点が肝要でしょう。

１．基礎概念

1）個人情報

「『個人情報』とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの……をいう」（2条1項）。企業の雇用管理情報も個人情報であるし、職員録などで公にされている情報も個人情報です。

2）個人情報データベース等・個人データ

個人情報をコンピュータに入力すれば「個人データ」となり、紙ベースのものであっても、目次、索引をつけ検索を容易にする体系的なものとなれば「個人データ」になります。「個人データ」の集積を個人情報データベース等と呼びます（2条2項）。

3）個人情報取扱事業者

「個人情報データベース等」を事業の用に供している者が、個人情報取扱事業者です。「個人情報取扱事業者」（2条3項）になると、法第4章以下の規制に服することになります。ただし、一定以上の量の個人データを取り扱わない者（過去6ヶ月内で5000件を超えたことがない）や一定の利用方法（家庭での私的利用等）は適用除外となります。なお、事業は営利･非営利は問いません。

4）保有個人データ

「保有個人データ」は、開示等、本人（情報主体）の関与の対象となる「個人データ」を限定する概念です（2条5項）。

2．個人情報取扱事業者の義務

個人情報取扱事業者となると、個人情報を取り扱う上での具体的な義務が課されます。義務の内容は大きく2つに分けることができます。1つは、個人情報を最初に取得・収集したときの目的が、個人情報のライフサイクル（収集・取得⇒利用⇒保管・廃棄）において付いてまわるという目的拘束の原理から生じる制限であり、他の1つは安全管理（セキュリティ）に係るものです。

1）目的による制限

目的拘束は、（i）利用目的の特定（15条）、（i i）利用目的による制限（16条）、（i i i）個人情報を取得した場合の利用目的の通知又は公表義務（18 条）、（i v）同意なき第三者提供の禁止（23条）となって現れています。（i v）の第三者提供の制限と同意の関係について、（ア）同意がなくとも正当と認められる場合（23条1項、法令に基づく届出など）、（イ）個人情報の第三者提供自体を目的としている事業者の場合（同条2項、住宅地図業者など）、（ウ）そもそも提供の相手方を「第三者」とみない場合（同条4項、他の企業への委託など）という形で例外が定められています。

2）安全管理措置

昨今メディアで報じられている個人情報保護の問題の多くはセキュリティに係るものですが、個人情報取扱事業者には、安全管理措置を講ずる義務（20条）が課せられると同時に、その従業員及び委託先に対する監督を行うことも義務付けられています（21条、22条）。従業者の監督に関して、この場合の従業者は、正規の職員のみならず、派遣、パート等、雇用形態の如何を問いません。委託先の監督について、法が「必要かつ適切な監督」を求めている（22条）のは、委託先が、第三者に該当しないとの扱いを受けるからです。具体的には、委託先との間で、委託元である個人情報取扱事業者が求める安全管理措置（20条の内容）を、契約内容に盛り込むとともに、その内容が遵守されているか確認する必要があるわけです。この場合、委託先がこの法律に違反したために本人に損害が生じた場合には、事業者自身の責任が問われ得るということに留意する必要があります。

3．本人の関与

現代的なプライバシーの権利は自己情報コントロール権と呼ばれますが、この法律も、本人の求めに応じて、1）開示（25条）、2）訂正等（26条）、3）利用停止等を行うことを義務付けることによって、実質的に自己情報コントロール権を認めたのとほぼ同様の結果になっています（義務の対象となる個人情報は「保有個人データ」のみ）。なお、権利行使の前提として、法は「保有個人データ」について、利用目的等を本人の知り得る状態に置くことを義務付けています（24条）。

４．実効性の確保

この法律は、紛争解決を含めて民間部門の自主性を尊重するものですが（9条）、訴訟だけではなく、個人情報取扱事業者自身による苦情処理（31条）や認定個人情報保護団体制度を重視しています。後者については、関係団体の努力やプライバシーマーク制度（Pマーク。個人情報保護の分野におけるマル適マークと理解できる）の活用などが望まれるところでしょう。なお、個人情報保護法も、行政が関与する必要があれば主務大臣が関与します（勧告、命令等）が、罰則については、原則として、行政の処分に違反した場合にはじめて刑罰が課せられるという仕組みになっています（56条）。間接罰であって、個人情報保護法上の義務違反に対して直ちに罰則が課せられる直接罰ではないという点に特色があると言えるでしょう。

“個人情報保護法”にどう対応すればいいか

1）プライバシーポリシーの策定は当然ですが、今後は、利用目的（個人情報保護法は、利用目的を世の中に明らかにするようにと言っているが、どのようなものとするかは事業者に委ねている）の中味も問われる時代がくると思われます。

2）セキュリティについても、リスクマネジメントの観点から、個人情報の種類（リスク）、ライフサイクルに従って、人、物（設備）、組織、技術の各面からの点検をしておく必要があります。Ｐマーク取得はその一助となると思われます。

個人情報保護の浸透に向けて

人情報保護の問題は、法が定着してくれば、環境保護の問題と同じように、企業の差別化戦略になり得るという点にも留意すべきでしょう。「環境にやさしい」企業と同様に、「個人情報を大切にする」企業を消費者が選ぶ時代が目前に迫っているのではないでしょうか。

「個人情報の保護に関する法律の概要」について

個人情報の保護に関する法律の条文は、「首相官邸」サイト上から、PDFで全文をダウンロードすることができます。下記のURLにアクセスしてご覧下さい。
参考サイト
http://www5.cao.go.jp/seikatsu/kojin/gaiyou/index.html