1 個人情報保護の必要性
近年、IT化の進展に伴い、官民を通じてコンピュータやネットワークを利用して大量の個人情報が処理されています。こうした個人情報の取扱いは、今後ますます拡大していくと予想されますが、個人情報は、その性質上いったん誤った取扱いをされると個人に取り返しのつかない被害を及ぼすおそれがあります。
実際、企業からの顧客情報の流出や個人情報の売買事件が多発しており、国民のプライバシーに関する不安も高まっています。
こうした状況を踏まえ、誰もが安心してIT社会の便益を享受するための制度的基盤として、平成15 年5月に「個人情報の保護に関する法律」が成立し、公布されました。この法律における民間の事業者(個人情報取扱事業者)の義務は、平成17年4月1日から施行されます。
実際、企業からの顧客情報の流出や個人情報の売買事件が多発しており、国民のプライバシーに関する不安も高まっています。
こうした状況を踏まえ、誰もが安心してIT社会の便益を享受するための制度的基盤として、平成15 年5月に「個人情報の保護に関する法律」が成立し、公布されました。この法律における民間の事業者(個人情報取扱事業者)の義務は、平成17年4月1日から施行されます。
2 個人情報保護法とは
(1) この法律は、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的としています。
(2) この法律は、官民を通じた基本法の部分と、民間の事業者に対する個人情報の取扱いのルールの部分から構成されています。
(3) この法律は、民間の事業者の個人情報の取扱いに関して共通する必要最小限のルールを定めています。
(4) この法律の仕組みは、事業者が、各省庁等が策定するガイドラインに即して、事業等の分野の実情に応じ、自律的に取り組むことを重視しています。
(2) この法律は、官民を通じた基本法の部分と、民間の事業者に対する個人情報の取扱いのルールの部分から構成されています。
(3) この法律は、民間の事業者の個人情報の取扱いに関して共通する必要最小限のルールを定めています。
(4) この法律の仕組みは、事業者が、各省庁等が策定するガイドラインに即して、事業等の分野の実情に応じ、自律的に取り組むことを重視しています。
3 個人情報取扱事業者の義務の概要
【利用目的の特定、利用目的による制限】
(1) 個人情報を取り扱うに当たって、利用目的をできる限り特定しなければなりません。
(2) 特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはなりません。
【適正な取得、取得に際しての利用目的の通知等】
(1) 偽りその他不正な手段によって個人情報を取得してはなりません。
(2) 個人情報を取得したときは、本人に速やかに利用目的を通知又は公表しなければなりません。また、本人から直接書面で取得する場合には、あらかじめ本人に利用目的を明示しなければなりません。
【正確性の確保】
利用目的の達成に必要な範囲で、個人データを正確かつ最新の内容に保つよう努めなければなりません。
*個人データとは、個人情報データベース等を構成する個人情報のことです。
【安全管理措置】
(1) 個人データの漏えいや滅失を防ぐために、必要かつ適切な安全管理措置を講じなければなりません。
(2) 安全に個人データを管理するために、従業者に対し必要かつ適切な監督を行わなければなりません。
(3) 個人データの取扱いについて委託する場合、委託先に対し必要かつ適切な監督を行わなければなりません。
【第三者提供の制限】
(1) あらかじめ本人の同意を得ないで、他の事業者など第三者に個人データを提供してはなりません。
(2) 本人の求めに応じて第三者提供を停止することとしており、一定の事項をあらかじめ通知等しているときは、本人の同意を得ずに第三者提供することが可能です(オプトアウトの仕組み)。
(3) 委託の場合、合併等の場合、一定事項の通知等を行い特定の者と共同利用する場合は第三者提供とはみなされません。
【開示、訂正、利用停止等】
(1) 保有個人データの利用目的、開示等に必要な手続、苦情の申出先等について本人の知り得る状態に置かなければなりません。
(2) 本人からの求めに応じて、保有個人データを開示しなければなりません。
(3) 保有個人データの内容に誤りのあるときは、本人からの求めに応じて、訂正等を行わなければなりません。
(4) 保有個人データを法の義務に違反して取り扱っているときは、本人からの求めに応じて、利用の停止等を行わなければなりません。
*保有個人データとは、個人データのうち開示等の権限を有し、6ヶ月以上にわたって保有する個人データのことです。
【苦情の処理】
(1) 本人から苦情などの申出があった場合は、適切かつ迅速な処理に努めなければなりません。
(2) 本人からの苦情を、適切かつ迅速に処理するため、苦情受付窓口の設置、苦情処理手順の策定等必要な体制を整備しなければなりません。
(1) 個人情報を取り扱うに当たって、利用目的をできる限り特定しなければなりません。
(2) 特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはなりません。
【適正な取得、取得に際しての利用目的の通知等】
(1) 偽りその他不正な手段によって個人情報を取得してはなりません。
(2) 個人情報を取得したときは、本人に速やかに利用目的を通知又は公表しなければなりません。また、本人から直接書面で取得する場合には、あらかじめ本人に利用目的を明示しなければなりません。
【正確性の確保】
利用目的の達成に必要な範囲で、個人データを正確かつ最新の内容に保つよう努めなければなりません。
*個人データとは、個人情報データベース等を構成する個人情報のことです。
【安全管理措置】
(1) 個人データの漏えいや滅失を防ぐために、必要かつ適切な安全管理措置を講じなければなりません。
(2) 安全に個人データを管理するために、従業者に対し必要かつ適切な監督を行わなければなりません。
(3) 個人データの取扱いについて委託する場合、委託先に対し必要かつ適切な監督を行わなければなりません。
【第三者提供の制限】
(1) あらかじめ本人の同意を得ないで、他の事業者など第三者に個人データを提供してはなりません。
(2) 本人の求めに応じて第三者提供を停止することとしており、一定の事項をあらかじめ通知等しているときは、本人の同意を得ずに第三者提供することが可能です(オプトアウトの仕組み)。
(3) 委託の場合、合併等の場合、一定事項の通知等を行い特定の者と共同利用する場合は第三者提供とはみなされません。
【開示、訂正、利用停止等】
(1) 保有個人データの利用目的、開示等に必要な手続、苦情の申出先等について本人の知り得る状態に置かなければなりません。
(2) 本人からの求めに応じて、保有個人データを開示しなければなりません。
(3) 保有個人データの内容に誤りのあるときは、本人からの求めに応じて、訂正等を行わなければなりません。
(4) 保有個人データを法の義務に違反して取り扱っているときは、本人からの求めに応じて、利用の停止等を行わなければなりません。
*保有個人データとは、個人データのうち開示等の権限を有し、6ヶ月以上にわたって保有する個人データのことです。
【苦情の処理】
(1) 本人から苦情などの申出があった場合は、適切かつ迅速な処理に努めなければなりません。
(2) 本人からの苦情を、適切かつ迅速に処理するため、苦情受付窓口の設置、苦情処理手順の策定等必要な体制を整備しなければなりません。
4 認定個人情報保護団体とは
認定個人情報保護団体制度の目的は、事業者による苦情処理の取組みを補完し、苦情の自主的な解決を図るため、主務大臣が民間の団体(事業者団体等)を認定することにより、その業務について消費者からの信頼を確保することにあります。認定団体は、対象事業者の個人情報の取扱いに関する苦情の処理、ガイドライン等の作成・公表、対象事業者への情報提供などの業務を行うことになります。
認定を受けるためには、主務大臣に申請を行い、一定の基準を満たせば認定を受けることができます。
5 この法律に違反すると…
本人からの苦情は、事業者自身による苦情処理や、地方公共団体による苦情のあっせん等により解決が図られることになります。それでも解決が図られないような場合は、本人は裁判手続により解決を図ることもできます。
また、個人情報取扱事業者が義務規定に違反し、不適切な個人情報の取扱いを行っている場合には、事業を所管する主務大臣が、必要に応じて、事業者に対し勧告、命令等の措置をとることができますし、事業者が命令に従わなかった場合には罰則の対象になります。
また、個人情報取扱事業者が義務規定に違反し、不適切な個人情報の取扱いを行っている場合には、事業を所管する主務大臣が、必要に応じて、事業者に対し勧告、命令等の措置をとることができますし、事業者が命令に従わなかった場合には罰則の対象になります。