資料4 添付資料4
目 次
個人情報保護法大綱
第1章 総 則
第2章 個人情報の収集制限
第3章 個人情報の保管制限
第4章 個人情報の外部委託
第5章 個人情報の利用等の制限
第6章 情報主体の権利
第7章 個人情報に関する届出等
第8章 個人情報保護委員会
第9章 不服申立及び訴訟手続に関する特則
第10章 賠 償
第11章 罰 則個人情報保護法大綱の解説
第1 総 論
第2 各章の解説
第1章 総 則
第2章 個人情報の収集制限
第3章 個人情報の保管制限
第4章 個人情報の外部委託
第5章 個人情報の利用等の制限
第6章 情報主体の権利
第7章 個人情報に関する届出等
第8章 個人情報保護委員会
第9章 不服申立及び訴訟手続に関する特則
第10章 賠 償
第11章 罰 則
第1章 総 則 (目的) 第1 この法律は、日本国憲法の理念に基づき行政機関及び特殊法人が取り扱う個人情報に関する個人の権利を 保障し、実施機関の責務を定め、もって個人情報の取り扱いに関して個人のプライバシーをはじめとする基本 的人権を擁護することを目的とする。 (定義) 第2 この法律において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。 (1) 個人情報 個人に関する情報であって、特定の個人が識別され又は識別され得るものをいう。 (2) 個人情報ファイル 個人情報の集合体であって、文書、図画、写真、磁気テープ、磁気ディスク、光ディ スク等の電子ファイル及びICカードその他これらに準ずる方法により一定の事項を記録しておくことがで きる物(以下、「記録媒体」という。)に記録されたものをいう。 (3) 情報主体 当該個人情報の本人をいう。 (4) 実施機関 行政機関及び特殊法人をいう。 (5) 行政機関 次に掲げる機関をいう。 ア 国家行政組織法(昭和23年法律第120号)第3条第2項に規定する国の行政機関として置かれる機 関(イの政令で定める機関が置かれる機関にあっては、当該機関を除く。)及び法律の規定に基づき内閣 の所轄の下に置かれる機関 イ 国家行政組織法第8条の2の施設等機関及び同法第8条の3の特別の機関のうち政令で定めるもの ウ 人事院及び会計検査院 (6) 特殊法人 国が出資している法人、法律により直接に設立された法人又は特別の法律により特別の設立行 為をもって設立された法人(総務庁設置法(昭和58年法律第79号)第4条第11号の規定の適用を受け ない法人を除く)をいう。 (7) 情報処理受託者 実施機関の委託に基づき、個人情報の処理をする者をいう。 (実施機関の責務) 第3 実施機関は、第1条の目的を達成するため、個人のプライバシーをはじめとする基本的人権の重要性を認 識し、あらゆる施策を通じて個人情報の保護に努め、個人情報の不当な収集、記録、保管、変更、利用及び提 供等の行為をしてはならない。 2 実施機関は、前項の趣旨に基づき、情報主体の開示、訂正及び中止請求権を最大限に尊重しなければならな い。 第2章 個人情報の収集の制限 (収集の制限) 第4 実施機関は、あらかじめ、個人情報を収集する目的を明確にし、その目的を達成するために必要かつ最小 限の範囲内で個人情報を収集しなければならない。 2 実施機関は、個人情報を収集しようとするときは、適法かつ公正な手段により収集しなければならない。 (収集の禁止) 第5 実施機関は、次の各号に掲げる個人情報を収集してはならない。ただし、法律に特別の定めがある場合は この限りでない。 (1) 思想、信条及び宗教に関する事項。 (2) 人種、門地、身体・精神障害、犯罪歴、病歴、その他社会的差別の原因となる事項。 (3) 勤労者の団結権及び団体交渉その他団体行動の行為に関する事項。 (4) 集団示威行為への参加及び請願権の行使その他の政治的権利の行使に関する事項。 (直接収集の原則) 第6 実施機関が個人情報を収集しようとするときは、あらかじめ次の各号に掲げる事項を明らかにして情報主 体から直接収集しなければならない。 (1) 個人情報の収集の根拠。 (2) 個人情報の保管の態様。 (3) 個人情報の利用の目的及び方法。 (4) 第6章に定める情報主体の権利及び第46に定める不服申立に関する事項。 (5) その他政令で定める事項。 2 前項の収集は、とくに法律の定めがある場合を除き、強制してはならない。 (間接収集) 第7 実施機関は、次の各号に該当する場合においては、個人情報を情報主体以外の者から収集することができ る。 (1) 情報主体の事前の明示の同意を得たとき。 (2) 情報主体以外の者からの収集について法律の定めがあるとき。 (3) 公益上の必要があり、かつ緊急やむを得ない場合で、個人情報保護委員会の同意を得たとき。 (個人情報収集の本人通知) 第8 実施機関は、第7の(3)により、個人情報を情報主体以外の者から収集したときは、速やかに情報主体に対 し、その旨及び第6の第1項(1)ないし(5)の事項を通知しなければならない。ただし、相当の理由があり、か つ個人情報保護委員会の同意を得ているときはこの限りでない。 (申請された個人情報) 第9 情報主体が法令に基づく申請行為を行った場合には、その本人より直接収集がなされたものとみなす。 第3章 個人情報の保管の制限等 (保管の制限) 第10 実施機関は、当該個人情報を収集する目的を達成するために必要かつ最小限の範囲内で個人情報を保管 しなければならない。 (保管の禁止) 第11 実施機関は、第5の各号に掲げる個人情報を保管してはならない。ただし、法律の規定によって特別の 定めがある場合はこの限りでない。 (保管の制限) 第12 実施機関は、個人情報の保管にあたって、情報の種類に応じて保管の期限を定めなければならない。 2 実施機関は、保管期限の終了した個人情報は、速やかに廃棄又は消去しなければならない。 3 実施機関は、保管期限を超えて個人情報を保管する必要がある場合には、個人情報保護委員会に届出なけれ ばならない。 4 実施機関は、保管期限内であっても、保管の必要がなくなったときは、その個人情報を速やかに廃棄又は消 去しなければならない。 (安全の確保) 第13 実施機関は、個人情報を保管しようとするときは、個人情報保護のための責任者を定めるとともに、次 の各号に掲げる事項について、個人情報保護委員会の承認を経て基準を作成し、これを公表しなければならな い。 (1) 個人情報を正確かつ最新のものにすること。 (2) 個人情報の改ざん、滅失又は毀損その他の事故を防止すること。 (3) 個人情報の漏洩を防止すること。 第4章 個人情報の外部委託 (外部委託に伴う措置等) 第14 実施機関は、個人情報の処理を伴う事務の全部又は一部を実施機関以外のものに委託しようとするとき は、当該委託契約において、個人情報の漏洩、毀損及び滅失の防止、再委託の禁止その他個人情報保護委員会 が規則で定める情報処理受託者が遵守すべき事項を規定しなければならない。 2 実施機関は、情報処理受託者との間の契約書その他の契約に関する記録媒体を個人情報の保管期間にわたり 保存しなければならない。 (受託業務の届出) 第15 実施機関及び情報処理受託者は、受託業務を開始する前に、個人情報保護委員会が定める書式に従って、 次の各号に定める事項を個人情報保護委員会に届け出なければならない。 (1) 実施機関の名称、責任者及び連絡先。 (2) 情報処理受託者の名称、責任者及び連絡先。 (3) 受託した個人情報の種類、数量、受託の趣旨の具体的内容。 (4) その他個人情報保護委員会が規則で定める事項。 (情報処理受託者の義務) 第16 情報処理受託者は、受託業務の範囲内で、個人情報保護に関し、実施機関の責任と同様の責務を負う。 第5章 個人情報の利用等の制限 (利用及び提供の制限) 第17 実施機関は、次の各号のいずれかに該当するときを除き、収集目的の範囲を超えて個人情報を利用(以 下、「目的外利用」という。)し、又は当該実施機関以外の者に提供(以下「外部提供」という。)してはな らないものとする。 (1) 法律の規定又は法律の規定に基づく裁判所の決定が、当該個人情報について具体的に目的外利用又は外部 提供(以下「目的外利用等」という。)することを義務づけているとき。 (2) 情報公開制度に関する規定に基づいて公開が決定されたとき。 (3) 当該目的外利用等をすることについて、情報主体の事前の明示の同意があるとき。 (4) 情報主体に提供するとき。 (5) 個人情報保護委員会が、当該個人情報の性質、当該目的外利用等の根拠、目的、必要性の程度、受領者の 守秘義務の有無等を考慮した上、目的外利用等をすることが必要やむを得ないと認めたとき。 2 前項の(3)の同意は、目的外利用等をするたびごとに得なければならない。又やむを得ない場合を除いて、 個人情報保護委員会の承認を得た形式に従った書面により、その意思が表示されていることを要する。 3 個人情報保護委員会は、第1項の(5)により目的外利用等をすることが必要やむを得ないと認める場合につ いての基準を設けることができ、実施機関はこの基準に従って目的外利用等をすることができる。 4 実施機関は、第1項の(1)ないし(5)の規定により目的外利用等をしようとするときには、同項(4)の場合を 除き、そのつど、目的外利用等をする2週間前までに、その旨を情報主体に通知しなければならない。ただし 、同項(5)にあたる場合で、2週間前までに通知をすることが困難な場合には、より近接した時期に通知をし、 又は事後に通知をすることができる。いずれの場合も通知はできるだけ速やかに行わなければならない。ただ し、業務の性質上、通知することにより、当該業務の執行に著しい支障が生ずると個人情報保護委員会が認め た場合は、通知を省略することができる。 (目的外利用等の届出) 第18 実施機関は、目的外利用等をするにあたっては、その目的を明確にしなければならない。 2 実施機関は、目的外利用等をしたときは、次の各号に掲げる事項を記載した届出書を個人情報保護委員会に 提出しなければならない。 (1) 目的外利用等にかかる個人情報の名称。 (2) 目的外利用等をした年月日、根拠及び目的。 (3) 外部提供の相手方。 (4) その他政令で定める事項。 (目的外利用等の範囲) 第19 目的外利用等を許された個人情報は、新たに定められた目的の範囲内でのみ利用することができる。 (オンライン結合の制限) 第20 実施機関は、法律の規定により具体的に認められている場合を除いて、個人情報のオンライン結合(当 該実施機関の管理する電子計算機と当該実施機関以外の者が管理する電子計算機を通信回線を用いて結合し、 当該実施機関が保有する情報を当該実施機関以外の者が随時入手しうる状態にすることをいう。)をしてはな らない。 第6章 情報主体の権利 (開示請求権) 第21 何人も、実施機関に対して、自己に関する個人情報の開示(個人情報が存在しないときにその旨を通知 することを含む)を請求することができる。 2 前項の規定にかかわらず、実施機関は、次の各号に該当するときは、当該個人情報の全部又は一部について 開示をしないことができる。 (1) 法律の規定により開示することができないとされているとき。 (2) 開示が実施機関の公正な職務執行を著しく妨げることを個人情報保護委員会が実質的な審理をした上、理 由書を付して認めたとき。 3 実施機関は、開示請求があったときは、開示請求者に対し、書面の交付により、当該開示請求にかかる個人 情報を開示しなければならない。ただし、開示請求者の同意のあるときは、書面交付以外の方法により開示を することができる。 4 実施機関は、第2項の規定に基づき個人情報の全部又は一部を開示しない旨の決定(以下、「不開示決定」 という。)をしたときは、その旨及び理由を明らかにし、書面により開示請求者に通知しなければならない。 なお、不開示決定の理由が同項(2)によるときは、その通知に個人情報保護委員会の理由書の写しを付さなけ ればならない。 5 前2項の開示又は不開示決定は、開示請求を受理した日から起算して20日以内にしなければならない。 6 実施機関は、個人情報保護委員会の事務処理上の困難により前項の期間内に開示又は不開示決定ができない ことが明らかになったときは、個人情報保護委員会の意見を聴いて、開示請求者に対して、同項の期間内に開 示又は不開示決定ができない理由及び開示請求を受理した日から60日を超えない範囲での開示ないし不開示 決定の期限を明らかにして書面により前項の期間内に通知しなければならない。 7 実施機関は、前2項の期間内に第4項の通知をしないときは、当該請求に係る個人情報を開示しなければな らない。 (訂正等請求権) 第22 何人も、実施機関に対して、自己に関する個人情報に誤りがあるときは、その誤りの訂正又は抹消を請 求することができる。 2 何人も、実施機関に対して、自己に関する個人情報が第4ないし第7の規定に違反して収集されたものであ るときは、当該個人情報の抹消を求めることができる。 3 実施機関は、前2項に基づく請求の全部ないし一部に理由があると認めるときは、当該個人情報の全部ない し一部を訂正ないし抹消したうえ、その旨を訂正等請求者に対し、書面により通知しなければならない。 4 実施機関は、第1項ないし第2項の請求の全部ないし一部に理由がないと認めるときは、その理由を明示の うえ、訂正ないし削除を拒否する旨を訂正等請求者に対し、書面により通知しなければならない。 5 前2項の通知は、当該請求を受理した日から起算して20日以内にしなければならない。 6 実施機関は、前項に規定する期間内に第4項の通知をしなかったときは、当該訂正等請求に従い訂正又は抹 消をしなければならない。 7 実施機関は、第3項の訂正ないし削除をした当該部分につき、その訂正ないし削除以前に第三者に提供して いたときは、その提供先に対して、当該訂正ないし削除をしたことを通知しなければならない。 8 前項の第三者は、前項の通知を受けたときは、その通知に従って、提供を受けた個人情報につき、訂正ない し削除をしなければならない。 (中止請求権) 第23 何人も、実施機関が第17の規定によらないで、自己に関する個人情報の目的外利用等を行い又は行う おそれがあるとき、あるいは第22の第2項に基づき抹消を求めることができる自己に関する個人情報を実施 機関が目的外利用等を行い又は行うおそれがあるときは、当該実施機関に対して、その中止を書面により請求 することができる。 2 実施機関は、前項の請求があったときは、第3項ないし第4項の通知をするまでの間、当該個人情報の目的 外利用等を一時中止しなければならない。ただし、一時中止によって実施機関の公正な職務執行に著しく支障 を及ぼすときは、この限りでない。 3 実施機関は、第1項の請求の全部ないし一部に理由があると認めるときは、その全部ないし一部の目的外利 用等の中止を決定したうえ、その旨を中止請求者に対して通知しなければならない。 4 実施機関は、第1項の請求の全部ないし一部に理由がないと認めるときは、その理由を明らかにして当該個 人情報の目的外利用等の中止を拒否する旨を中止請求者に対し、書面により通知しなければならない。 5 前2項の通知は、当該請求を受理した日から起算して20日以内にしなければならない。 6 実施機関は、前項に規定する期間内に第4項の通知をしなかったときは、当該目的外利用等を中止しなけれ ばならない。 第7章 個人情報に関する届出等 (実施機関の届出) 第24 実施機関は、個人情報を収集しようとするときは、個人情報保護委員会が定める書式に従って、次の各 号に掲げる事項を個人情報保護委員会に届けなければならない。 (1) 当該実施機関の名称及び連絡先。 (2) 収集しようとする個人情報の情報主体の範囲 (3) 収集しようとする個人情報の種類。 (4) 個人情報を収集する目的。 (5) 個人情報を収集する方法。 (6) 収集した個人情報を提供することを予定している場合は、提供を受ける者又は機関の名称及び連絡先。 (7) 収集した個人情報の処理を情報処理受託者に委託することを予定している場合は、情報処理受託者の名称 及び連絡先、並びに委託する業務の範囲。 (8) 情報主体から開示請求及び訂正、抹消請求を受け付ける窓口の名称及び連絡先。 (9) 担当の個人情報取扱い責任者の氏名。 (10)その他個人情報保護委員会が規則で定める事項。 (変更届出) 第25 実施機関は、第24の各号に掲げる事項に変更が生じたときは、個人情報保護委員会の定める書式に従 って、個人情報保護委員会に対し届出事項の変更届出をしなければならない。 (届出書控えの閲覧) 第26 実施機関は、第15及び第24の届出書並びに前条の変更届出書の控えを備え置き、これを一般閲覧に 供しなければならない。 第8章 個人情報保護委員会 (設置) 第27 この法律の目的を達成するため、個人情報保護委員会を置く。 2 個人情報保護委員会は、内閣総理大臣の所管に属する。 (所掌事務) 第28 個人情報保護委員会の所掌事務は、この法律の規定に基づく事務の外、次のとおりとする。 (1) 個人情報及びこれに関する基本的人権の擁護に必要な調査、研究を行うこと。 (2) 個人情報保護及びこれに関する基本的人権の擁護のため実施機関を監督、指導すること。 (3) 個人情報保護及びこれに関する基本的人権の擁護のため関係法令等の調整を行うこと。 (4) 前各号に掲げるもののほか、法律(法律に基づく命令も含む)に基づき個人情報保護委員会に属させられ た事務。 (組織等) 第29 個人情報保護委員会は、委員長及び委員4名をもって、これを組織する。 2 委員長及び委員は、個人情報に関する見識を有する者のうちから内閣総理大臣が両議院の同意を得て、これ を任命する。 3 任期は5年とする。ただし、補欠委員長及び委員の任期は、前任者の残任期間とする。 4 委員長又は委員の任期が満了し、又は欠員が生じた場合において、国会の閉会又は衆議院の解散のため両議 院の同意が得ることができないときは、前項に規定する資格を有する者のうちから、委員長又は委員を任命す ることができる。 5 前項の場合においては、任命後最初の国会で両議院の事後の承認を得なければならない。この場合において 、国会の事後の承認を得られないときは、内閣総理大臣は、その委員を罷免しなければならない。 6 委員長及び委員は公務員とする。 (個人情報保護委員の責務) 第30 個人情報保護委員会の委員長及び委員は、個人情報の取扱いに関して、個人のプライバシーをはじめと する基本的人権を擁護することを旨としてその職務を行わなければならない。 (職権行使の独立性) 第31 個人情報保護委員会の委員長及び委員は、独立してその職務を行う。 (委員の身分保障) 第32 個人情報保護委員会の委員長及び委員は次の各号のいずれかに該当する場合を除いて、在任中、その意 に反して罷免されることがない。 (1) 禁治産、準禁治産または破産の宣告を受けたとき。 (2) この法律の規定に反して刑に処せられたとき。 (3) 禁錮以上の刑に処せられたとき。 (4) 個人情報保護委員会により、心身の故障のため職務を執ることができないと認められたとき、又は職務上 の義務違反その他委員たるに適しない行為があると認められたとき。 (罷免) 第33 内国総理大臣は、委員長及び委員が第32の各号のいずれかに該当するときは、その委員を罷免しなけ ればならない。 (委員の報酬) 第34 委員長及び委員の報酬は別に定める。 2 委員長及び委員の報酬は、在任中、その意に反してこれを減額することができない。 (事務局・職員) 第35 個人情報保護委員会の事務を処理させるため、個人情報保護委員会に事務局を置く。 2 個人情報保護委員会が相当と認めるときは、命令をもって定めるところにより、前項に定める事務局の職員 のうちから調査官を定め、第41の第2項の処分をさせることができる。 3 前項の規定により調査官に立入検査をさせる場合は、これに身分を示す証明書を携帯させ、関係者に提示さ せなければならない。 4 事務局の職員中には、任命の際に現に弁護士たる者を非常勤の職員として加えなければならない。 (地方事務所) 第36 個人情報保護委員会の事務局の地方機関として、都道府県に地方事務所を置く。 2 前項の地方事務所の名称、所在及び管轄は政令で定める。 (委員及び職員等の秘密保持義務) 第37 個人情報保護委員会の委員長、委員及び職員並びにそれらの地位にあった者は、この法律に定める責務 及び権限を行使する場合を除き、その職務上知りえた個人情報を漏洩してはならない。その職を退いた後も、 同様とする。 (個人情報保護委員会の運営) 第38 この法律に定めるもののほか、個人情報保護委員会の運営に関し必要な事項は、個人情報保護委員会が 規則で定める。 (国会等に対する報告等、意見の提出) 第39 個人情報保護委員会は、毎年1回以上、各実施機関の個人情報の取扱いに関する事項及び個人情報保護 委員会の活動その他この法律の施行の状況を国会及び内閣に報告するとともに、その報告内容を公示するもの とする。 2 この法律の目的達成に関係する法令の制定または改廃及びこの法律の目的を達成するために必要な事項に関 し、国会及び内閣に意見を提出することができる。 (個人情報の届出事項登録簿の備え置き等) 第40 個人情報保護委員会は、実施機関から第15及び第24に定める届出又は第25に定める変更届出(以 下、「届出等」という。)がなされたときは、次の各号に掲げる場合を除き、届出等を受理しなければならな い。 (1) 届出書又は変更届出書に届出事項の全部若しくは一部の記載がない場合。 (2) この法律の規定に違反し、又は違反するおそれがある場合。 2 個人情報保護委員会は届出事項登録簿を備え置き、これを一般の閲覧に供しなければならない。 3 個人情報保護委員会は、第1項の届出を受理したときは、速やかに届出等のあった事項を届出事項等登録簿 に記載しなければならない。 4 個人情報保護委員会は、年に1回以上、届出事項登録簿の内容を公示しなければならない。 (調査及び調査のための強制処分) 第41 個人情報保護委員会は、この法律の規定に違反する事由があると疑うときは、必要な調査を行う。 2 個人情報保護委員会は、前項の調査を行うため次の各号に掲げる処分をすることができる。 (1) 事件関係人又は参考人に出頭を命じて審訊し又はこれらの者から意見若しくは報告を徴すること。 (2) 個人情報ファイル、帳簿書類その他の件の所持者に対し、当該物件の提出を命ずること。 (3) 実施機関を含む事件関係人の事務所その他必要な場所に立入り、帳簿書類等の検査をすること。 3 第1項の規定による処分の権限は、犯罪捜査のために認められたものと解釈してはならない。 (勧告) 第42 個人情報保護委員会は、次の各号に定める行為があると認めるときは、当該行為をしている実施機関又 は情報処理受託者及びこれらの職員(以下、「実施機関等」という。)に対し、当該行為の中止、個人情報の 開示、廃棄、訂正、抹消若しくは現状回復等の適正な措置をとるべきことを、当該措置を執るべき機関を定め て勧告しなければならない。 (1) 第5、第6及び第7違反の情報収集。 (2) 第11及び第12違反の情報の保管。 (3) 第14に定める外部委託の制限違反。 (4) 第17違反の目的外利用又は外部提供。 (5) 第20に定める結合の制限違反。 (6) 正確性又は最新性を欠く情報の収集または保管。 (7) 開示請求に対する違法な拒否 2 前項の規定による勧告を受けた実施機関等は、個人情報保護委員会に対し、当該勧告を応諾するかしないか を遅滞なく返答しなければならない。 (是正命令) 第43 個人情報保護委員会は、実施機関等が第42の第1項の勧告に従わないときは、当該実施機関に対して 、速やかに、当該行為の中止、個人情報の開示、訂正、抹消、廃棄及び現状回復等第42の第1項各号の行為 を是正するために必要な処分をすべきことを命じなければならない。 2 個人情報保護委員会は、実施機関等が第42の第1項の勧告に応諾したときは、当該勧告と同趣旨の是正を 命ずることができる。 3 実施機関等は、第1項の命令に対し、当該命令によって行政目的に重大な損害が生ずることが明らかなとき は異議申立てをすることができる。 4 前項の異議申立期間は命令の送達を受けてから1週間とする。 (是正命令の確定と拘束力) 第44 第43の第1項の命令は異議申立てがなく又は異議申立てが却下されたとき、第43の第2項の命令は 送達と同時に、それぞれ確定する。 2 第43の命令が確定したときは、実施機関等は当該命令に拘束される。 (委員会への申告) 第45 何人も、この法律の規定に違反する事実があると認めたときは、個人情報保護委員会に対し、その旨申 告し、適正な措置をとることを求めることができる。 2 個人情報保護委員会は、前項の申告があったときは、必要な調査をしなければならない。 3 個人情報保護委員会は、前項の調査の結果、この法律の規定に違反すると疑うに足る事由があるときは、第 41に定める調査をしなければならない。 4 個人情報保護委員会は、個人情報保護委員会規則に定める様式に従い具体的事実を摘示して行った申告者に 対し、当該報告に対してとった措置又は措置をとらなかったときはその旨を速やかに通知しなければならない。 第9章 不服申立及び訴訟手続に関する特則 第1節 総則 (不服申立て) 第46 第21の第4項に規定する情報の開示請求に対する不開示決定に不服がある者は、個人情報保護審査会 に対し、審査請求をすることができる。 2 第22の第4項に規定する個人情報の訂正又は削除を拒否する決定に不服があるものは、個人情情報保護審 査会に対し、審査請求をすることができる。 3 第23の第4項に規定する目的外利用等の中止を拒否する決定に不服があるものは個人情報保護審査会に対 し、審査請求をすることができる。 第2節 個人情報保護審査会 (設置) 第47 第46の審査請求の事件を取り扱わせるため、独立の個人情報保護審査会を置く。 2 個人情報保護審査会は、内閣総理大臣の所轄に属する。 3 個人情報保護審査会は、審査請求の事件の審査手続については、行政不服審査法に基づくほか、規則を定め ることができる。 (組織) 第48 は、委員15人をもって組織する。 2 委員のうち8人は、非常勤とすることができる。 (任期) 第49 個人情報保護審査会の委員の任期は3年とする。ただし、補欠の委員の任期は、前任者の残任期間とす る。 (会長) 第50 個人情報保護審査会に会長を置き、委員の互選によって常勤の委員のうちからこれを定める。 2 会長は、会務を総理し、審査会を代表する。 3 会長に事故があるときは、あらかじめその指名する常勤の委員が、その職務を代理する。 (委員会議) 第51 個人情報保護審査会の会務の処理(審査請求の事件の取扱いを除く。)は、委員の全員の会議(以下こ の項目において「委員会議」という。)の議決によるものとする。 2 委員会議は、会長が招集する。 3 委員会議は、会長及び7人以上の委員の出席がなければ、これを開き、議決をすることがでない。 4 委員会議の議事は、出席した委員の過半数をもって決し、可否同数のときは、会長の決するところによる。 5 個人情報保護審査会が第32の(4)の準用規定による認定をするには、前項の規定にかかわらず、出席した 委員のうちの本人を除く全員の一致がなければならない。 6 会長に事故がある場合の第3項の規定の適用については、第50の第3項の規定により会長の職務を代理す る常勤の委員は、会長とみなす。 (審査請求事件の取扱い) 第52 個人情報保護審査会は、委員のうちから審査会が指名する者3人をもって構成する合議体で、審査請求 の事件を取り扱う。 2 前項の規定にかかわらず、次の各号のいずれかに該当する場合においては、委員の全員をもって構成する合 議体で、審査請求の事件を取り扱う。 (1) 前項の合議体が、法令の解釈適用について、その意見が前に審査会のした裁決に反すると認めたとき。 (2) 前項の合議体を構成する者の意見が分かれたため、その合議体としての意見が定まらないとき。 (3) 個人情報保護審査会が、委員の全員をもって構成する合議体において審査請求事件を取り扱う旨の議決を したとき。 (審査長及び審査員) 第53 第52の第1項又は第2項の各合議体を構成する者を審査員とし、うち1人を審査長とする。 2 第52の第1項の合議体のうち、会長がその構成に加わるものにあっては、会長がその審査長となり、その 他のものにあっては、個人情報保護審査会の指名する委員が審査長となる。 3 第52の第2項の合議体にあっては、会長が審査長となり、会長に事故があるときは、第50の3項の規定 により会長の職務を代理する常勤の委員が審査長となる。 (合議体の定足数及び議決方法) 第54 第52の第1項の合議体はこれを構成するすべての審査員の、第52の第2項の合議体は8人以上の審 査員の出席がなければ、会議を開き、議決をすることができない。 2 合議体の議事は、その合議体を構成する審査員の過半数をもって決する。 (服務) 第55 委員は、職務上知ることのできた秘密を漏らしてはならない。その職を退いた後も、同様とする。 2 委員は、在任中、政党その他の政治団体の役員となり、又は積極的に政治運動をしてはならない。 3 常勤の委員は、在任中、内閣総理大臣の許可のある場合を除くほか、報酬を得て他の職務に従事し、又は営 利事業を営み、その他金銭上の利益を目的とする業務を行ってはならない。 (規則の制定) 第56 個人情報保護審査会は、その内部規律、事件の審理手続その他の事項に関する必要な手続について規則 を定めることができる。 (事務局) 第57 個人情報保護審査会に事務局を置く。 2 事務局の職員の定員その他事務局に関する事項は、政令で定める。 (準用規定) 第58 第29の第2項、第4項ないし第6項及び第31ないし第34の規定は、個人情報保護審査会に準用す る。ただし、「個人情報保護委員会」とあるのは、「個人情報保護審査会」と読み替えるものとする。 第3節 審査請求の手続 (審査請求書の副本の送付) 第59 個人情報保護審査会は、不開示決定に対する審査請求を受理したときは、審査請求書の副本を実施機関 の長に送付しなければならない。 2 個人情報保護審査会は、必要があると認めるときは、利害関係人に審査請求書の副本を送付することができ る。 (審理の期日及び場所) 第60 個人情報保護審査会は、審理の期日及び場所を定め、原処分をした実施機関の長及び審査請求者(以下 この節において「当事者等」という。)に通知しなければならない。 2 個人情報保護審査会は、必要があると認めるときは、利害関係人に審理の期日及び場所を通知することがで きる。 3 第一項の審理の場所は、審査請求者の利便を考慮して定めなければならない。 (審理の非公開) 第61 審理は非公開とし、口頭審査にて行う。 (審理の指揮) 第62 審理の指揮は、審査長が行う。 (意見の陳述等) 第63 当事者等及びその代理人は、審理の期日に出頭して意見を述べることができる。この場合において、当 事者等又はその代理人は、個人情報保護審査会の許可を得て、補佐人と共に出頭することができる。 (第三者保護のための手続) 第64 審査請求に係る情報が第三者の利害に係る場合、個人情報保護審査会は、審査請求に対する決定をする に先立ち、当該第三者に意見を述べる機会を与えることができる。 (調査権限等) 第65 個人情報保護審査会は、実施機関の長に対し、非開示の決定があった情報と公開除外理由とを、個人情 報保護審査会の指定する方式により分類・整理することその他の方法により、文書で説明を求めることができ 、かつ、当該文書の副本を審査請求者に交付しなければならない。 2 個人情報保護審査会は、実施機関の長に対し、原処分に係る情報及び資料(電磁的記録にあっては、これに 記録されている文書図画の内容を文書図画として再生したものを含む。次項において同じ。)の提出を求め、 留めておくことができる。この場合において、実施機関の長は、その提出を拒むことができない。 3 前項の規定により提出された情報及び資料の調査を行うための審理は、審査請求者、これらの者の代理人及 び補佐人を退席させて行うものとする。 (調書) 第66 個人情報保護審査会は、審理の期日における経過について、調書を作成しなければならない。 2 何人も、個人情報保護審査会の許可を得て、前項の調書を閲覧し、又は複写することができる。ただし、当 事者等及び利害関係人以外の者については、審査請求の事件の終結後に限る。 3 前項の規定により調書を閲覧し、又は複写する者(当事者等及び利害関係人を除く)は、政令で定めるとこ ろにより、手数料を納付しなればならない。 (審査請求の処理) 第67 第46の審査請求に係る裁決は、審査請求を受理した日から起算して60日以内にするように努めなけ ればならない。 (不服申立ての制限) 第68 この節の規定により個人情報保護審査会がした処分については、行政不服審査法による不服申立てをす ることができない。 第4節 訴訟 (土地管轄) 第69 この法律に係る訴えは、原告の住所地の裁判所に提起することができる。 (審理) 第70 裁判所は、実施機関の長に対し、不開示とした情報の内容について、当該個人情報の表題、記載された 事項の項目及び不開示理由について、裁判所の指定する方式により分類及び整理することその他の方法により 、文書による説明を求めることができる。 2 前項の場合において、実施機関の長の説明によっては当該個人情報が不開示情報に該当するか否かの判断が できないときは、裁判所は、原告の申立てにより又は職権で、実施機関の長に対し、記載事項の項目及び内容 について説明の補充を求めることができる。 3 裁判所は、前項の補充説明にもかかわらず、なお当該個人情報が不開示情報に該当するか否かの判断ができ ないときは、原告の申立てにより実施機関の長に対し当該個人情報の提出を求め、公開の法廷において、当事 者の立会いなしで当該個人情報を閲覧することができる。 4 裁判所は、前項の閲覧を行ったときは、実施機関の長の説明文書の記載項目及び内容を検証した結果を調書 に記載するものとし、当事者は調書を閲覧し、及び複写することができるものとする。 (訴訟の処理) 第71 第69の訴えに係る判決は、事件を受理した日から起算して90日以内にするように努めなければなら ない。 第10章 賠 償 (実施機関の損害賠償義務) 第72 実施機関またはその職員がこの法律の規定に違反し、情報主体の権利又は利益を侵害したときは、国又 は特殊法人は損害賠償の責任を負う。ただし、実施機関が権利及び利益侵害の発生を防止するのに必要な注意 義務を尽したときは、この限りでない。 2 第42の第1項の(1)(2)(4)(5)及び(7)に該当する行為は、情報主体の権利を侵害したものとみなす。 (情報処理受託者の損害賠償義務) 第73 情報処理受託者またはその従業員がこの法律に違反し、情報主体の権利又は利益を侵害したときについ ては、第72の規定を準用する。 第11章 罰 則 (不正入手) 第74 偽りその他不正な手段により、他人の個人情報に関して、開示を受けた者、又は提供を受けた者は、1 年以下の懲役又は10万円以下の罰金に処する。 2 法人の代表者又は法人若しくは人の代理人、使用人その他の従業者が、その法人又は人の業務又は財産に関 して、前項の行為をなしたときは、行為者を罰するほか、その法人又は人に対しても、前項の罰金を科する。 3 法人でない団体の代表者、代理人、使用人その他の従業者が、その団体の業務又は財産に関して、第1項の 行為をなしたときは、行為者を罰するほか、その団体に関しても、第1項の罰金を科する。 (実施機関の職員等の不正提供) 第75 実施機関の職員又はその職にあった者が、自己若しくは第三者の利益を図り又は第三者に損害を加える 目的で、職務上知り得た個人情報を、利用又は他人に提供したときは、1年以下の懲役又は10万円以下の罰 金に処する。 2 個人情報保護委員会又は個人情報保護審査会の委員若しくはその職にあった者が、前項の行為を行ったとき は、1年以下の懲役又は10万円以下の罰金に処する。 3 個人情報保護委員会又は個人情報保護審査会の職員若しくはその職にあった者が、前項の行為を行ったとき は、1年以下の懲役又は10万円以下の罰金に処する。 (情報処理受託者等の不正提供等) 第76 情報処理受託者(法人でないとき)又はその代表者若しくは代理人、使用人その他の従業者が、自己若 しくは第三者の利益を図り又は第三者に損害を与える目的で、受託業務の処理に際して職務上知り得た個人情 報を利用又は他人に提供したしたときは、1年以下の懲役又は10万円以下の罰金に処する。
2.大綱の特徴の第1は、1980年9月に採択された「プライバシー保護と個人データの国際流通についてのガイドラインに関するOECD理事会勧告」の個人情報保護8原則を個人情報保護に関する最小限のルールと位置づけ、同8原則を各規定のうえで最大限尊重するとともに、諸外国の法律、国際条約並びにわが国の地方公共団体の条例などを検討し、現状において実施可能と考えられる制度を導入した。この結果、大綱では、法律の目的が個人のプライバシーをはじめとする基本的人権の擁護にあることが明確にされるとともに、対象を電算処理情報に限定せず、マニュアル(手処理)情報にまで拡げ、収集制限、センシティブ情報の特別な保護、オンライン結合の制限、訂正等請求権・中止請求権の創設、個人情報の届出制、賠償に関する特別規定等現行法にはみられない規定が置かれている。
3.第2の特徴は、独立行政委員会である個人情報保護委員会を設けたことである。前記OECD理事会勧告等で明らかになった個人情報に関する情報主体の権利は、これを一口で述べるならば自己情報コントロール権ということができる。
これを行政機関と国民との関係でとらえるならば、一義的には情報を収集、保管、利用する行政機関に対する国民の権利ととらえることができるが、そればかりかこの権利が確実に実行されれば行政の民主化に大きく寄与するという側面をもつ。その意味で、情報処理のいかなる場面においても情報主体たる国民が例外なく行政の情報処理をコントロールすることが望ましい。
しかし、今日の多種多様な行政の運営のすべてにわたって個々の情報主体たる国民が自己情報コントロール権を行使することを期待することは事実上困難であり、また、行政の運営上個々の情報主体たる国民に完全なる自己情報コントロール権を与えることが必ずしも妥当でない場合も例外的に存することを認めざるをえない。だからと言ってこれを放置すれば、行政の民主化を実現することができない。
そこで、大綱では情報主体たる国民の立場に立つ個人情報保護委員会を設けて各行政機関の行う個人情報処理を監督し、行政の民主化の推進をはかった。
4.第3の特徴は現行法と同じく国の行政機関が行う個人情報処理を規制対象としたことである。
大綱策定の段階では民間や地方公共団体も規制対象とした総合的な個人情報保護法試案にすべきであるとの意見も有力に唱えられた。
もちろん、日弁連は各地方公共団体においても住民の自己情報コントロール権が実現されるような条例が制定されることを強く要望するとともに、民間部門を規制対象とした個人情報保護法の早期制定を提言するものである。
しかし、この大綱は冒頭にも述べたとおり現行法の早期改正を目的として公表するものであること、諸外国の立法例でも公的部門と民間部門を別々の法律で規制しているもの(例えば、デンマーク、アメリカ)があること、民間部門については公的部門と異なる観点も必要であることなどから、国の行政機関のみを規制対象とした。
2.本来、個人情報の保護は、単に個人のプライバシーの保護のみに止まらず、広く基本的人権の擁護に大きくかかわっている。個人に関する情報は、個人のプライバシーに直接触れるばかりでなく、個人の人格の一部を形成し、それは個人の尊厳にかかわるものであって、日本国憲法の人権保障規定のほとんどすべての条項に結びついてくるからである。つまり、個人情報を保護することは、日本国憲法に定められた基本的人権保障の体系が成立するための不可欠の基盤というべきである。
大綱の第1は、その趣旨を明記した。
現行法の第1条は、「個人の権利利益を保護することを目的とする」と定めているものの、基本的人権、プライバシーといった表現は見あたらず、何が保護されるべき「権利利益」なのか不明である。また、現行法では、「行政の適正かつ円滑な運営を図りつつ」という、行政の無限定な裁量と恣意を実質的に許すことになる規定が置かれている。本大綱は、このような行政の運営上の便宜を全く無視するわけではないが、法の本来的な目的が個人の基本的人権の擁護にある以上、これを強調し、ともすればこれを制限する方向に利用されやすい行政上の便宜についての言葉は、あえて目的から削除した。
3.現行法は、個人情報保護の対象を、単なる行政機関の情報、それも「電子計算機処理に係る個人情報」に限定する態度をとっているが、大綱の第1は、対象となる個人情報を「行政機関及び特殊法人が取り扱う個人情報」とし、マニュアル処理を含めたすべての情報を対象としている。プライバシー保護のためには、マニュアル情報の規制も必要であり、現行法のような限定を行なう合理的理由がないからである。
また、実施機関は、現行法で対象となっている行政機関だけでなく、特殊法人も含むものとし、国が出資している法人はすべて特殊法人に含むものとした。情報公開法(試案)も国が出資している法人を実施機関としている。
4.さらに、大綱の第3は、個人の権利を保障することと表裏一体の問題として、個人情報の保管等を行なう実施機関の責務を総則で明記した。実施機関が個人情報の保護に努めなければ、法の趣旨は骨抜きになる。そこで、実施機関に対し、行政の運営上の便宜等を理由に、個人情報の保護をおろそかにすることのないよう「あらゆる施策を通じて」保護に努めるべき責務を定めている。そして、実施機関が行なってはならない行為として、個人情報の不当な収集等(その具体的な内容は第2章ないし第5章を参照)を列挙して、その徹底化を図っている。また、開示請求権の他、現行法では権利として認められていない情報主体の訂正等・中止請求権も権利として認め、かつ、実施機関にこれを尊重すべきことを義務づけた(詳しくは第6章を参照)。
2.センシティブ情報の無限定な収集を許すことは、そのこと自体が、憲法に定める法の下の平等、思想・信条の自由、信教の自由等の基本的人権を侵すことになるのであり、民主主義の基盤そのものを崩すことになるのである。
ところが、現行法は、センシティブ情報をめぐる問題の重大性を全く無視し、収集制限に関する原則の具体化を完全に欠落させており、すみやかに改正されなければならない。
3.センシティブ情報の収集禁止を原則とした場合でも、合理的な理由と必要がある場合には、実施機関に対し、センシティブ情報の一部の収集を認めてもよい場合があるのではないかが論点となる。つまり、それは、絶対に収集を禁止するセンシティブ情報と例外的に収集を認めることがあるセンシティブ情報の区分けの問題であり、かつ例外的に収集を認める要件をどう定めるかの問題である。
大綱の策定過程では、思想、信条及び宗教に関する事項は絶対的収集禁止情報とし、人種、門地、精神障害、犯罪歴などは、法律によって特別の定めがある場合に限り、例外的に収集を認める情報とする案もあった。
しかし、選挙の立候補の届け出をする時や、宗教法人設立認可の申請をする時などは、当然に思想・信条や信仰に関する情報の行政機関への提供を伴うので、これらの情報を他のセンシティブ情報と区別して絶対的に収集禁止とすることは困難と判断された。
また、例外的に収集を認める要件として、「本人の同意がある場合」を加えるかが論議されたが、大綱は行政機関と市民との力関係からみて「本人の同意」という要件が実施機関の収集活動に対する現実的な歯止めになるのか疑問であるため、例外の要件に加えないこととした。
4.本人からの直接収集を原則とした場合でも、本人から事実上収集できず、しかも実施機関としては情報を収集せざるを得ない合理的な理由と必要が存在するという場合がある。
大綱では、A本人の同意あるとき、B法律の定めがあるとき、C公益上の必要がありかつ緊急やむを得ない場合で個人情報保護委員会の同意を得たとき、のみを例外として実施機関が第三者から情報を収集することを認め(第7)、実施機関が第三者から情報を収集した場合には、すみやかに本人に通知しなければならないとした(第8)。
2.保管の期間、廃棄等につき、現行法には何らの規定がないが、大綱(第12)では、前記OECD勧告、「プライバシー保護研究会」の提言を踏まえ、個人情報の盗用・流用を防止するため、保管の期間を定め、保管期間切れの場合及び保管目的を達成した個人情報の廃棄又は消去すべきことを定める。
3.現行法は、個人情報の安全の確保につき、A当該行政機関の長が、個人情報の漏洩、滅失、毀損の防止その他の個人情報の適切な管理のため必要な措置を講ずるように努めなければならないこと、及び、Bファイル保有目的に必要な範囲で、処理情報が過去又は現在の事実と合致するよう努めなければならない、と規定する(第5条)。しかし、上記規定では、個人情報の維持管理の不適切さにより、個人の尊厳やプライバシーの権利が侵害されるのを未然に防止する見地からみると極めて不十分であり、かつ、前記OECD勧告、プライバシー保護研究会提言にある安全保護ないし適正管理の原則や責任明確化の原則からも大きく後退している。
大綱では、個人情報の保管責任者を明らかにし、かつ実施機関が個人情報保護委員会の承認を得て個人情報の正確性及び安全性を確保する基準を定め、公表すべきこととした。
(2) しかし、当初想定していた外部委託は、A例えば電算機への入力業務を委託するときのように、外部機関等に実施機関が保有する個人情報を引き渡して処理させる場合であった。だが、本来、規制されるべき外部委託の範囲は、実施機関がその機関の権限に属する事務又は事業に関して得る個人情報を保護する観点から検討されなければならず、実施機関がその機関の権限に属する事務又は事業に関連して保有する個人情報の処理を実施機関以外の者に依頼する場合に限定されない。すなわち、規制すべき委託の範囲は、個人情報の処理を伴う事務又は事業の全部又は一部そのものとすべきである。また、「委託契約」と題されるものに限らず、印刷の注文、翻訳や通訳の依頼なども含まれる。
したがって、ここにいう委託には、B実施機関が調査を委嘱するときあるいは医師会などに検診を委嘱するときのように、個人情報は引き渡さないが、受託者において個人情報を取り扱うことが予定されている場合、C実施機関が外部から人材を派遣してもらい業務を行わせるときのように、本来的には個人情報を取り扱うことは予定されていないが、執行にあたって個人情報を取り扱うことがあり得る場合、D例えば病院施設など実施機関が有する施設の管理運営を委託することに伴って個人情報の取扱いが生じる場合などが考えられる。
(3) 行政各部署で行う個人情報を伴う事務又は事業の量は膨大なものであり、その性質や内容も多種多様である。また、委託契約の内容も、委託する事務等の性質、内容によっても異なるものである。さらに、委託契約により受託者が取り扱うことになる個人情報は、元々実施機関が保有していたものか、契約後に受託者によって保有することになるものかによって規制の内容も異なるであろう。
したがって、このような外部委託の全部を、当初検討されたように個人情報保護委員会においてすべて事前に審査したうえ許可するという方法は、同委員会の事務量を膨大なものとし、行政効率上も得策とは言えず、実効性にも欠ける。むしろ、同委員会においては、委託契約を分類し、その類型ごとに委託契約上個人情報を保護すべき措置の項目を定めて契約書式を作り、この書式に従って契約することを実施機関に義務付ける方法によるべきではないかとの結論に達した(第14、検討過程で収集した個人情報保護条例中にも外部委託の許可制をとっているものはなかった。)。
(4) 個人情報保護委員会は、この契約書式を作るにあたっては、受託者が遵守すべき個人情報保護のための措置内容として少なくとも次の事項は規定すべきであろう。
A 委託契約の内容と個人情報使用の目的を明確に定めること
B 個人情報の漏洩、毀損及び滅失の防止
C 再委託の禁止
D 目的外使用の禁止
E 複写、複製の禁止
F 委託業務完了後の個人情報原票の返還又は廃棄等の手続と返還又は廃棄等にあたっての責任
G 事故報告書
H 受託者が契約に定められた措置の内容に違反した場合の違約金その他の制裁条項、解除条項
(5) なお、受託者が遵守すべき個人情報保護のための措置内容が委託契約に定められているか否かチェックする必要があるので、実施機関へ契約書その他の契約に関する記録媒体を保存する義務を課すこととした。
(6) ちなみに、平成9年3月4日施行の通産省「民間部門における電子計算機処理に係る個人情報の保護に関するガイドライン」の第19条は、民間情報の外部委託について、「企業等が、情報処理を委託する等のため個人情報を外部に預託する場合においては、十分な個人情報の保護水準を提供する者を選定し、契約等の法律行為により、管理者の指示の遵守、個人情報に関する秘密の保持、再提供の禁止及び事故時の責任分担等を担保するとともに、当該契約書等の書面又は電磁的記録を個人情報の保管期間にわたり保存するものとする。」としている。
2.情報処理受託者をして受託業務の届出をさせることにした(第15)。
これは、プライバシーの権利の積極的側面である自己情報をコントロールする権利を実効あらしめるため、個人情報の流れを情報主体が把握、追跡できるようにするためである。
また、規則には、委託契約で第14所定の遵守事項が規定されているか否かチェックするために情報処理受託者側から委託契約書等の写しを提出させることを規定することも考えられる。
3.情報処理受託者は委託契約における遵守事項を遵守すべき義務を委託者である実施機関に対して負うばかりか、情報主体に対して、直接責任を負うことを明らかにした(第16)。
また、委託者である実施機関には受託者の監督責任があり、受託者が委託契約の内容に違反した場合には、実施機関にも対外的な責任が発生することがある。
さらに、受託者側の民事、刑事上の責任に関しては、第10章及び第11章にも規定されている。
(2) 弁護士会照会に対する回答は外部提供にあたるが、これについて当然に例外として認めるようにする(つまり(1)による例外とする)べきではないかとの意見も有力であったが、弁護士会照会を当然に例外と認めるようでは、余りに例外の範囲が広くなるおそれがある。そこで、(5)により判断されるものとするが、一定の類型の照会については、当然に外部提供の例外となるとの基準を作ることで、円滑に運用できるようにした。
(3) 第2項では、情報主体の同意により目的外利用等が許される場合については、形式的な同意を取付けることによって禁止を潜脱するおそれがあることから、その内容について十分に説明をし理解を得たうえのものでなくてはならず、また、同意は目的外利用等をするたびごとに、原則として委員会の承認を得た形式の書面によりとらなくてはならないことを明らかにしている。これらの手続きを順守せずに同意をとっても同意は無効である。
(4) また、自己の情報に対するコントロール権の内容として、目的外利用等をすることを情報主体に知らせることが必要である。また、中止請求権(第23)を実効あらしめるためには、中止請求ができるだけの時間的余裕を持って知らせるべきである。そこで、実施機関が目的外利用等をしようとするときには、原則として、そのつど、目的外利用又は外部提供をする2週間前までに、その旨を本人に通知しなければならないこととした(第4項)。
(5) この通知が例外として免除される場合の範囲も問題である。事前通知が業務の性質上、業務遂行の決定的な支障となる場合には、通知の省略を認めざるをえない。また、これを事前に具体的に列挙するのは現実的ではないので、委員会が認めることを要件として例外を認めた。ただ、可能な範囲で速やかに通知すべきことは当然であるから、抽象的ではあるが、できるだけ速やかに通知すべきことも規定した。
ここで、「業務の性質上」という要件を設けたのは、単に「業務の執行に著しい支障が生ずる」としたのでは広きに失することから、業務の性質そのものが本人への通知と矛盾するような場合に限る趣旨である。通知による財政負担が過大となることを理由とする通知免除を認めるか、の問題があるが、これは認めない趣旨である。
2.第18(目的外利用の届出)は、実施機関が、目的外利用等をするにあたってはその目的を明確にし、目的外利用等をしたときは、一定の事項を記載した届出書を委員会に提出しなくてはならない、とする規定である。個人情報の流れを明らかにし、追跡可能な状態に置くために目的外利用等の記録を残す必要がある。また、これによって、目的外利用等の行為が特定され、中止請求の対象が特定されることになる。
現行法では、外部提供の場合について、必要があると認めるときは受領者に使用目的等の制限を求めうるとしており(第10条)、受領者は自由に使用できることが原則となっている。しかし、これでは一旦目的外利用等を許された個人情報は自由に流通することになりかねないので、目的外利用等を許された目的(第18の第1項)の範囲以外には利用できないことを明らかにした(第19)。それ以外の利用をする場合には、新たな目的外利用又は外部提供として、第17の要件を満たしている場合に限り、同規定の手続きに従って行う必要がある。
3.第20(結合の制限)は、「オンライン結合」即ち、「当該実施機関の管理する電子計算機と当該実施機関以外のものが管理する電子計算機を通信回線を用いて結合し、当該実施機関が保有する情報を当該実施機関以外のものが随時入手しうる状態にすること」を原則として禁止するものである。結合は、目的外利用あるいは外部提供の一種であるが、これによって、大量の情報が流出しうることになり、例えば、ある個人に関する多面的な情報を集約することも可能になる。現行法には、これについての規制はないが、オンライン結合を制限する必要性は一般に認められており、多くの条例でも規制されていることから、法律の具体的な根拠なしにはこれを認めないものとした。
2(1) 開示請求権については、その例外規定が議論の中心となった。現行法では、いわゆる医療情報(病院、診療所又は助産所における診療に関する事項)、教育情報(学校教育法に規定する学校における成績の評価又は入学者の選抜に関する事項)などを開示請求権の対象から除外した上、広範な不開示条項を置いている(第13条、第14条)。それは、いずれの情報についても、「当面、権利義務関係としてとらえるのではなく、従来どおり、相互の信頼関係に基づいた教育上又は医療上の判断に委ねることが相当である」との理由で例外としているようである。具体的には医療情報について、ガン告知など医療情報がすべて本人に知られると医療行為に阻害が生じることがある等の指摘がなされている。
しかし、大綱では、基本的にいずれも開示請求の例外としなかった。そもそも、医療情報といっても多種多様である。しかも、多くの場合、医者だけでなく、患者本人が、それぞれの内容を知り治療等に努めている現実がある。医療情報の内容からに考えてみても、たとえば、ガンに関する医療情報の場合でも、患者本人が開示請求し情報を得たため、その本人に多大な精神的負担がかかることになったとしても、それは自己の選択の問題であると考えられ、その是非をめぐっては意見の分かれるとことである。他方、たとえば、精神医療に関する医療情報については、医者の診断内容が人の自由の拘束につながることもあることから本人への開示の必要性が極めて大きい。ガン告知の場合を根拠にして、診療に関する医療情報を開示の除外とすることは是認できない。
また、教育情報についても、一律に不開示とすることは是認できない。たとえば、内申書(調査書)については、本人への不開示による弊害が著しい。日弁連は、昭和60年10月19日の人権擁護大会(秋田市)の「学校生活と子どもの人権に関する宣言」の中で、「内申書などの自己情報を知り、質す機会の保障など子どもの人権の確立を期する」ことを高らかにうたい、これらの教育情報の本人への開示を強く求めてきたのである。
大阪府高槻市の「高槻内申書開示訴訟」の提訴後全面開示に向けた動きが全国的に広がり、1996年10月大阪府と大阪市の教育委員会は内申書を全面開示する方針を決定した。この全面開示は都道府県では初めて、政令指定都市では川崎市に次いで二番目となったが、内申書の全面開示の動きはもはやとどまることはないであろう。
(2) 大綱では、開示請求権の例外として、第21の第2項(1)での法律の規定(法令ではない)による場合と同項(2)で「開示が実施機関の公正な職務執行を著しく妨げることを個人情報保護委員会が実質的な審理のうえ理由書を付して認めたとき」を規定している。
後者については、開示請求権の例外を法律以外で認められる場合を規定したものであり、その例外を必要最小限に絞り込むため、「実質的な審理をしたうえ理由書を付す」ことを要求している。これは、同条4項での不開示決定の際に開示請求者にその不開示理由を明らかにすることにもつながっている。ただし、このような開示請求権の例外事由という実体的な条項に「実質的な審理をしたうえで理由書を付す」といった手続条項を盛り込むことについては、一部異論もあった。
(3) 現行法は、期間内に不開示通知がない場合には不開示決定があったものともなすことができるとしている(第5条第3項)が、第21条第7項は「開示しなければならない」とした。これは、開示請求に対して大綱では開示決定を経ずに開示すべきとされている(第21の第3項)ことに対応するものである。したがって、開示されずに期間を経たときは、不開示処分の不服申立や取消訴訟ではなく、不作為の違法を争う不服申立か、不作為違法確認訴訟を提起することになる。訂正等請求権、中止請求権も同様の措置である。
3.現行法は、訂正について職権発動の端緒としての訂正の申出制度を採用しているが、大綱では、個人参加の原則に基づき法律上の訂正等請求権として認めたものである。
7項、8項については、実施機関が第三者に情報を提供していた場合、訂正等につき実効あらしめるためには、その提供を受けた第三者の保有する情報についても訂正等ができなければならないとの視点に立っている。
4.制度の趣旨からみて、目的外利用・外部提供制限の原則を実効あるものにするためには、目的外利用等が行われようとしているときに、本人が中止を求めることができる権利を保障すべきであるのに、現行法では、これに関する規定が欠如している。そこで、中止請求権を規定したものである。
なお、中止請求権の実効を確保するためには、「本人への事前通知」が前提となる。即ち、第17の第4項と関連する。
2.現行法は、「行政機関が個人情報ファイルを保有するとき及び変更しようとするときは、当該行政機関の長はあらかじめ総務庁長官に対し、通知しなければならない」(第6条第1項)と規定している。この事前通知の趣旨は、法運用の統一性、法適合性を確保するための調整を行う観点からとされている。機関(実施機関)の個人情報の取扱いが適正になされるかどうかを監督する必要性から、実施機関に届出義務を付した点が現行法と根本的に異なる。
さらに現行法は、「事前通知」につき、極めて広範囲にわたる例外規定を置いている(第6条第2項)。これによれば、国の安全、外交上の秘密その他の国の重大な利益に関する事項を記録する個人情報ファイル(1号)など多岐にわたり、それに加えて更に政令によって例外を設けることができるとされている(11号)。個人情報ファイル通知義務が適用されないということは、国民の眼が届かないというだけでなく、国家機関の中でさえ統一的は把握が不可能になるということであって、そこでは、いわば巨大なブラックボックス(暗黒領域)が合法化されることを意味する。しかも、例外規定にあたるかどうかの判断は、当該機関に委ねるほかなく、外部からチェックすることは困難である。こうした領域の存在を広範囲にわたって認知してしまうこれらの規定は、個人情報保護の理念に真っ向から反するものであって、とうてい容認できないものである(意見書)。これに対し大綱は、届出については自己情報コントロール権を保障する立場から例外を認めなかったものである。
2.現行法は総務庁に法運用の統一性、法適合性を確保する観点から「総務庁長官は行政機関の長に対し、資料の提供及び説明を求めることができる」(第21条)ことと「意見を述べることができること」(第22条)を規定し、総務庁に調整機能のみ付与した。諸外国ではほとんどの立法が独立の監督機関を設置している。現行法が独立した監督機関を設置しない理由としては次のように説明されている。
A 法運用について第三者機関がどのように監督し、調整することとするかは、それぞれの国の法制度や行政実態に応じて異なった仕組みがとられ得るものである。
B 我国では、担当行政分野の施策の遂行、行政目的の達成について、各主任の大臣が責任を持ち分担管理する行政制度がとられている。このため、一部の外国に見られるように、独立の行政委員会等を設けて各省庁等が必要とする個人情報ファイルの設置・保有について、許認可等の厳しい規制にかからしめることは、必ずしも適当ではないと考えられる。
これは、現行法が独立した監督機関を設置しない理由は日本は縦割り行政となっているから難しいということであって、そこには個人情報の取扱いに関して個人のプライバシーをはじめとする基本的人権を擁護するという視点が全く欠如しているのである。
しかし、現行法のような総務庁による調整機能では、個人情報の保護の趣旨を達成できないことは明らかである。すなわち実施機関等による個人情報の取扱いから生じるプライバシーなどの侵害に対してどのように個人情報を保護すべきかということが法の目的である以上、調整機能ではその目的を実現することはできない。そこで、本大綱では独立の行政委員会である「個人情報保護委員会」を設置し、実施機関等に対する監督機能等を付与することにしたものである。
3.個人情報保護委員会は、委員長及び委員4名をもって組織することとし(第29の第1項)少数で実効性のあるものとした。また、委員長及び委員は、個人情報保護に関する見識を有する者のうちから内閣総理大臣が両議院の同意を得て、これを任命することとし(同第2項)、さらに、委員の一般的な責務を規定し(第30)、公正な判断が実現されるようにした。
また、個人情報保護委員会の委員長及び委員は、独立してその職務を行うことを明記し(第31)、委員の身分保障(第32)、報酬(第34)等を規定した。
4(1) 実施機関は第24に基づき個人情報の収集目的等の届出義務を課せられていることは前述したとおりであるが、個人情報保護委員会はこの届出事項につき、登録簿を備え置いて一般の閲覧に供しなければならないとした(第40)。この趣旨は実施機関がどのような個人情報を収集し、利用しているかを明らかにし、国民の自己情報コントロール権を実効あらしめるための制度的担保としたものである。
現行法は保有機関の保有している個人情報ファイルの一般閲覧権(「事前通知」の例外規定を除く)を認めたが、事務の適正な遂行を著しく阻害するおそれがあるときはファイル記録項目の一部又は事項を記載しないことができること、個人情報ファイルに掲載しないことができることとしている(第7条第1項、第2項、第3項)。本大綱はこのような例外規定を設けることは自己情報コントロール権を著しく制限することになるから届出事項の全てを一般の閲覧に供することにした(第40の第2項)。
(2) その他、個人情報保護委員会の所掌事務は、この法律の規定に基づく事務のほか、個人情報保護及びこれに関する基本的人権の擁護に必要な調査、研究を行うこと、実施機関を監督、指導すること、関係法令等の調査を行うこと、その他法律(法律に基づく命令も含む)に基づき個人情報保護委員会に属させられた事務、としている(第28)。
(3) 国会及び内閣との関係では、個人情報保護委員会は、毎年1回以上、各実施機関の個人情報の取扱いに関する事項及び個人情報保護委員会の活動その他この法律の施行の状況を国会及び内閣に報告するとともに、その報告内容を公示するものとし(第37の第1項)、この法律の目的達成に関係する法令の制定又は改廃及びこの法律の目的を達成するために必要な事項に関し、国会及び内閣に意見を提出することができるものとした(同第2項)。
5.個人情報保護委員会は、この法律の規定に違反する事由があると疑うときは、必要な調査を行うことができるものとし(第41の第1項)、そのために、A事件関係人又は参考人に出頭を命じて審訊し又はこれらの者から意見若しくは報告を徴すること、B個人情報ファイル、帳簿書類その他物件の所持者に対し、当該物件の提出を命ずること、C実施機関を含む事件関係人の事務所その他必要な場所に立入り、帳簿書類等の検査をすることの処分をすることができることとした(第41の第2項)。
また、個人情報保護委員会の事務を処理させるため、個人情報保護委員会に事務局を置くこととしたが(第35の第1項)、個人情報保護委員会が相当と認めるときは、命令をもって定めるところにより、前項に定める事務局の職員のうちから調査官を定め、第40の第2項の処分をさせることができることとし、調査の充実をはかることとした(同第2項)。
なお、事務局の職員中には、任命の際に現に弁護士たるものを非常勤の職員として加えなければならないこととし(第35の第4項)、また、事務局の地方機関として、都道府県に地方事務所を置くこととし(第36)、実効性ある機関となるものとしている。
6.個人情報保護委員会は本大綱に定める事項に違反する行為があると認めるときは実施機関等に対し、当該違反行為の中止、個人情報の開示、廃棄、訂正、抹消及び原状回復等の適正な措置を取るべきことを勧告しなければならないが(第42)、同委員会は実施機関等が勧告に従わなかったときは、当該行為の中止、個人情報の開示・訂正・抹消・廃棄、原状回復等の行為を是正するために必要な処分をすべき旨命じなければならない(第43)。これに対し、実施機関からの異議申立てがなく、又は異議申立てが却下されたときは、是正命令は確定し、実施機関等は是正命令に拘束される(第44)。
実施機関等が勧告に従わない場合、法を実効あらしめるためには強制力を伴う処分がなされる必要がある。このため、個人情報保護委員会は、違法行為等があると認めるときは、前記のとおり、まず勧告をなし、その勧告に従わない実施機関等に対し、当該行為を是正するために必要な処分をすべき旨命じることとした。
これに対し、実施機関等は、当該命令によって行政目的に重大な損害が生ずることが明らかなときは異議申立てをすることができるが、異議申立てがなく又は異議申立てが却下されたとき、是正命令は送達と同時に、それぞれ確定し、実施機関等は当該命令に拘束されることとして、是正命令の実効性を担保することとした。
2.個人情報保護審査会が不開示決定に対する審査請求を受理した場合はその副本を実施機関の長に送付し(第59の第1項)、また、必要があるときは利害関係人にも副本を送付できる(第59の第2項)。ある個人情報が審査請求者以外の第三者にとってもプライバシーに属する情報であることはよくあるため、利害関係人には意見を述べる機会を与えることもできることとした(第64)。
審理は、プライバシー保護のため非公開とし、直接主義をとって口頭審査にて行うものとした(第61)。
審理の場所については、審査請求をしやすくするため、審査請求者の利便を考慮して定めるものとした(第60の第3項)。少なくとも最寄りの高等裁判所所在地で審理できるものとすべきである。
審査会は、審査するうえで必要と認めた場合には実施機関が保有する情報等の資料を提出させ、これを留置しておくことができ、実施機関はこれを拒めないこととした(第65の第2項)。審査を実効あらしめるためには必要不可欠な権限である。
3.この法律に関する民事訴訟及び行政訴訟については、原告の所在地に裁判管轄を認めることとした(第69)。
行政事件訴訟法第12条は行政庁を被告とする取消訴訟の裁判管轄を行政庁所在地と定めており、中央省庁はすべて東京となるため、地方在住者の司法救済を受ける権利を著しく制限するものとして批判されているとことである。個人情報の保護は憲法の保障するプライバシー権を守るものであり、地方在住者の司法救済を受ける権利を保障するためにも原告の所在地に裁判管轄を認めることは不可欠である。
裁判所は、当該情報が公開除外事由に該当するか否かを判断するため、不開示理由につき文書による説明を求め(第70の第1項)、説明の補充を求めることができることとし(第70の第2項)、さらにそれでも判断ができない場合には、当事者の立ち会いなしで当該情報を閲覧することができることとした(第70の第3項)。
不開示情報について、これまで原告はその情報の内容について全く手掛かりを得られまいまま、訴訟に臨まざるを得ず、また裁判所も不開示理由に正当性があるか否かを判断する材料も得られなかった。
ヴォーン・インデックス類似の手続を認めることにより、不開示理由を具体的に明らかにさせ、原告は、情報そのものではなくても不開示情報についてのかなりの情報を得ることができる。
そして、一定の条件の下で、インカメラ審理(原告にその内容を知らせず、裁判所が情報を見る手続)を認めることにより不開示理由についての説明の正確性が担保刺さることになり、裁判所に正面から判断を迫ることができることになる。両制度を取り入れることには、裁判を実効あるものとするために不可欠である。
2.最低損害額の規定について
プライバシー侵害のような場合における損害の項目は慰謝料となろうが、原告にとってはその損害額の立証も困難なことが多いであろう。そこで、有責性についての挙証責任の転換や権利侵害のみなし規定に加えて、損害のみなし規定あるいは推定規定を設けることも検討された。
このような立証の困難を救済するものとして、たとえば無体財産法が定める「被告の得た利益の額を原告の損害の額と推定する」(特許法第102条第1項)などがある。しかし、本法の場合の損害は原告に帰属すべき経済的利益が被告に移転したというものではなく慰謝料であり、無体財産法のような考え方をとることはできない。
また、具体的な金額を定めることは、権利侵害の実態に応じたフレキシブルな損害の認定の妨げとなるという面がある一方、ひとつの行為で多数の者のプライバシー侵害行為があった場合に損害の個数をどのように数えるかといった問題もあり、これらの課題の解決ができなかったことから規定としては提案していない。
なお、新民事訴訟法は「損害が生じたことが認められる場合において、損害の性質上その額を立証することが極めて困難であるときは、裁判所は口頭弁論の全趣旨及び証拠調べの結果に基づき、相当な損害額を認定することができる。」(第248条)として損害額の認定において原告の立証の負担を軽減させる規定を設けた。個人情報保護法違反による損害は「損害の性質上その額を立証することが極めて困難であるとき」と言えるであろうから、右規定の適用を受けると解すべきである。したがって、原告にとって具体的な「損害の数額」(最判昭和28年11月20日民集7巻11号1229ページ参照。同判決は原告にその立証責任を認めた。)が立証できない場合であってもなお請求認容の余地があるものと解される。
3.原告勝訴の場合の弁護士費用の国負担について
「裁判所は、国に対して、その敗訴の場合に、相手側が要した弁護士費用及びその他の訴訟に要した費用につき、相当額の負担を命ずることができる。」との趣旨の規定を設けることの可否も検討の対象となった。
裁判上、国が国民の権利又は利益に対する侵害をしたことが認定された場合、その裁判を遂行するために必要であった弁護士費用は国が負担すると考えることには合理性がある。また、権利又は利益に対する侵害の存在が明白である場合に、被害者である国民がその損害賠償請求権の権利行使を躊躇せず、容易にするためにも必要であるとの面もある。
類似の規定は、住民訴訟(地方自治法第242条の2第7項)や株主代表訴訟(商法第268条の2)などに設けられている。しかし、これらの規定はいずれも、その訴訟のもつ公益性に規定の存在根拠が認められているのに対して、プライバシー侵害に対する賠償請求行為には公益性という要素が少ないと見られる。特に税金を使用することになるから、このような規定を設けることについては一層慎重である必要がある。
また、不法行為法一般の理論として、相当因果関係の範囲にある損害については損害とすることが可能であることから、ケースによっては弁護士費用も損害となしうる部分があり得るから、あえて規定を設けなくとも一定範囲の弁護士費用を国の負担とすることが可能である。さらに、民事訴訟手続一般において弁護士費用敗訴者負担の原則が検討されているが、これについては多くの問題点が指摘され、特別法とはいえ、この規定が弁護士費用敗訴者負担の一般化のきっかけを提供しかねないという問題点もある。
以上の各理由から弁護士費用に関する特則は規定していない。
2.そこで、典型的で悪質と評価されるであろう実施機関等の職員等が不正に他人に情報を提供する行為等及びそれを受領する行為等を処罰することとした。
行政罰かそれとも刑事罰かの選択の問題もあるが、その侵害される権利の重要性を考慮し、刑事罰とした。
それぞれの処罰は、いわば、情報に関する業務上横領あるいは背任罪に相当するような行為形態を想定し規定した(不正開示請求を除く)。したがって、実施機関等の職員の不正行為には両罰規定を設けなかった。
未だ構成要件が不明確であるとの批判もあり、更なる検討も必要と思われる。
なお、本件での「提供」は、情報を特定の者、あるいは不特定又は多数の者に了知しうる状態におくことで、例えば、インターネット上に掲載することも含まれる。
「提供を受ける」とは、それを了知することである。入手することまでは必要でない。