Skip to main content.
*

2011/02/15

義務を負うものは誰か

 この法律による義務は、民間事業者全般が負います。ただし、小規模事業者は除かれているため、個人データを過去6カ月以内に1度でも5千人分を超えて事業に用いたことがある民間事業者となります。また、民間事業者の中でも「個人情報データベース等を事業(非営利事業も含む)の用に供している者」です。

 「個人情報データベース等」とは、個人情報を含む情報の集合物のうち、電子データベースのように、特定の個人情報をコンピューターで検索できるように体系的に構成したもの、もしくは、それ以外のものであって、紙媒体の五十音順名簿や紳士録書籍のように、特定の個人情報を容易に検索可能なように体系的に構成したもの(目次、索引その他検索を容易にするためのものを有するものに限られています)をいいます。

 1枚だけの名刺は、個人情報を含んでいても、「情報の集合物」とは言えません。未整理の名刺の束は、個人情報を含む情報集合物であっても、「体系的に構成したもの」とは言えません。したがって、これらは個人情報データベース等には該当しません。これに対し、名刺の束を50音順ホルダーに収納している場合や、それを住所管理ソフトに入れてデータベース化して整理しているような場合には、個人情報データベース等となります。

義務の内容は3層構造

 この法律では、取り扱う情報の種類を「個人情報」「個人データ」「保有個人データ」の3種類に分けています。

 「個人情報」とは、生存する個人に関する情報であって、特定の個人を識別することができるものをいいます。名前が記載された文書のような場合だけでなく、特定の人の顔が判別できる映像や声の録音も含まれます。また、他の情報と簡単に照合ができ、それにより個人が特定できるものも含まれます。すでに公表されて世間一般に知られている情報(公知情報)も含みます。NTTが配布している50音別電話帳も個人情報です。企業の顧客情報や従業員の雇用管理情報、給与明細書や源泉徴収票だけでなく、試験の合否、従業員に対する人事考課、医師の診断など、判断や評価を示す情報も含まれます。外国人や国外居住者の情報も個人情報に該当し、日本国内における取扱いである限り、この法律上の義務が適用されます。メルアド(電子メールアドレス)は、個人の氏名付きのリストにメルアドの項目が含まれていて個人が識別できるときは個人情報となりますが、一般の人が見て誰のものか判別できないメルアドのみは、原則として個人情報とは言えません。

 「個人情報」について、個人情報取扱事業者は4つの義務を負います。第1に、個人情報を取り扱うに当たり利用目的をできる限り特定しなければならず、第2に、こうして特定した利用目的の達成に必要な範囲でのみ取り扱えます。第3に、個人情報を不正の手段により取得してはならず、第4に、利用目的を取得前に公表しておくか取得後すみやかに本人に通知または公表する必要があります。

 「個人データ」とは「個人情報データベース等を構成する個人情報」を言い、「保有個人データ」とは、個人情報取扱事業者が開示内容の訂正、追加または削除、利用の停止、消去及び第3者への提供の停止を行うことのできる権限を有する個人データを言います。「個人データ」について取扱事業者に課される義務は、「個人情報」について課される義務以外の義務(「データ内容の正確性の確保」等)も課され、「保有個人データ」について課される義務は、さらにその上に新たな義務(「定められた事項を本人の知り得る状態に置く」等)が課されるという、3層にわたる積み上げ構造になっています。

2011/01/15

 今日では、例えばクレジットカードを使えば、多額の現金を持ち歩くことなく、見知らぬ店舗でショッピングをしたり、初めて入るレストランで食事をすることができます。このようなサービスは個人情報の利用によって可能となっています。その反面、個人情報には危険性もあります。名簿を入手した悪徳企業が架空請求をしたり、本人も知らないうちに膨大な個人情報が収集・蓄積され予想外の目的に使用される事件が起きています。

 個人情報保護法は、高度情報通信社会における個人情報の利用がもたらす「有用性」の面に配慮しつつ、それに伴って起こる個人情報の不適正な取り扱いによって「個人の権利利益」が侵害されることを未然に防止するために、個人情報を取り扱う際に守るべき適正なルールを定めようとする法律です。

個人情報保護法の制定

 1980年に「プライバシー保護と個人データの国際流通についてのガイドラインに関するOECD(経済協力開発機構)理事会勧告」が採択され、ガイドラインにおける国内適用の基本原則である「OECD八原則」がうたわれました。

 日本における個人情報保護法制定の遠因としては、このOECDガイドラインの採択に見られる世界的な動きがありました。一方、直接の契機となったのは、政府が当時計画していた住民基本台帳ネットワークシステム(住基ネット)の導入でした。住基ネットは、地方自治体が管理する住民基本台帳を電子データ化してネットで結ぶものです。ところが、1999年5月に京都府宇治市が管理する住民基本台帳のデータ約20万人分が不正漏えいして、名簿業者が販売していることが判明しました。その結果、民間部門を規制すべき個人情報保護法が未制定のままでは民間部門への電子データの流出に対応できないという点が懸念され、事件翌月の6月に当時の小渕恵三内閣が個人情報保護法の制定を打ち出しました。

 同年8月に住基ネット導入のための住民基本台帳法の改正法案が国会で成立し、その後住基ネットがスタートしました。個人情報保護法の一部(第1章から3章まで)は2003年12月10日の公布日に即日施行され、残りの部分は準備期間を置いて2005年4月1日に施行されました。

過剰反応と過剰保護

 個人情報保護法の施行後、個人情報の大量漏洩事件が頻発して、守られるべき個人情報が守られない半面、提供・公表されるべき個人情報が隠されるという、ちぐはぐな状況が発生しています。例えば、個人情報保護法全面施行直後に発生したJR福知山線脱線事故では、被害者の家族からの安否確認を搬送先の一部病院が拒否したため、大きな混乱が生じました。また、自社が製造する石油暖房機に一酸化炭素中毒事故を引き起こす不具合があることを発見したメーカーが、販売店に対し製品回収のために利用者情報の提供を呼びかけましたが、同法に抵触することを恐れて、情報提供を差し控えた販売店が多数ありました。このような過剰反応のほかに、一部の公的部門では行政機関個人情報保護法などに名を借りて、必要な情報公開を差し控えて情報隠しをする過剰保護と呼ばれる事態が発生しました。

 法秩序全体を見渡せば、個人情報保護法が保護しようとする権利利益以外にも多様な権利利益が存在しており、同法はその一つに過ぎません。個人情報保護だけが極度に優越した扱いを受けることにより、保護されるべき諸般の権利利益が損なわれないように、何らかの対応が求められます。