シンプラル法律事務所
〒530-0047 大阪市北区西天満2丁目6番8号 堂島ビルヂング823号室TEL(06)6363-1860
MAIL    MAP


論点整理(個人情報保護法関係)

論点の整理です(随時増やしていく予定です。)


個人情報保護に関する法律
第一条(目的)
この法律は、高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることに鑑み、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにするとともに、個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。
第二条(定義)

この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。第十八条第二項において同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二 個人識別符号が含まれるもの

2この法律において「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、政令で定めるものをいう。
一 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの
二 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの

3この法律において「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。

4この法律において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。)をいう。
一 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
二 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの

5この法律において「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。
一 国の機関
二 地方公共団体
三 独立行政法人等(独立行政法人等の保有する個人情報の保護に関する法律(平成十五年法律第五十九号)第二条第一項に規定する独立行政法人等をいう。以下同じ。)
四 地方独立行政法人(地方独立行政法人法(平成十五年法律第百十八号)第二条第一項に規定する地方独立行政法人をいう。以下同じ。)

6この法律において「個人データ」とは、個人情報データベース等を構成する個人情報をいう。

7この法律において「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの又は一年以内の政令で定める期間以内に消去することとなるもの以外のものをいう。

8この法律において個人情報について「本人」とは、個人情報によって識別される特定の個人をいう。

9この法律において「匿名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。
一 第一項第一号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
二 第一項第二号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。

10この法律において「匿名加工情報取扱事業者」とは、匿名加工情報を含む情報の集合物であって、特定の匿名加工情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の匿名加工情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(第三十六条第一項において「匿名加工情報データベース等」という。)を事業の用に供している者をいう。ただし、第五項各号に掲げる者を除く。
第一五条(利用目的の特定)

個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。
2個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。
第一六条(利用目的による制限)
 
個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。

2個人情報取扱事業者は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。

3前二項の規定は、次に掲げる場合については、適用しない。
一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
第一八条(取得に際しての利用目的の通知等)
 
個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。

2個人情報取扱事業者は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電磁的記録を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。

3個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。

4前三項の規定は、次に掲げる場合については、適用しない。
一 利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
二 利用目的を本人に通知し、又は公表することにより当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合
三 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。
四 取得の状況からみて利用目的が明らかであると認められる場合
第二三条(第三者提供の制限)
 
個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

2個人情報取扱事業者は、第三者に提供される個人データ(要配慮個人情報を除く。以下この項において同じ。)について、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。
一 第三者への提供を利用目的とすること。
二 第三者に提供される個人データの項目
三 第三者への提供の方法
四 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
五 本人の求めを受け付ける方法

3個人情報取扱事業者は、前項第二号、第三号又は第五号に掲げる事項を変更する場合は、変更する内容について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければならない。

4個人情報保護委員会は、第二項の規定による届出があったときは、個人情報保護委員会規則で定めるところにより、当該届出に係る事項を公表しなければならない。前項の規定による届出があったときも、同様とする。

5次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
一 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
二 合併その他の事由による事業の承継に伴って個人データが提供される場合
三 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。

6個人情報取扱事業者は、前項第三号に規定する利用する者の利用目的又は個人データの管理について責任を有する者の氏名若しくは名称を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。

個人情報保護に関する法律の概要 
■第1章 総則      ■第1章 総則 
●   ●1 目的(1条)
高度情報通信社会の進展に伴い個人情報の利用が著しく拡大
→ 個人情報の有用性に配慮しつつ、個人の権利利益を保護
●2 定義(2条)
「個人情報」…生存する個人に関する情報(識別可能情報)

「個人情報データベース等」…個人情報を含む情報の集合物(検索が可能なもの。一定のマニュアル処理情報を含む)

「個人情報取扱事業者」…個人情報データベース等を事業の用に供している者(国、地方公共団体等のほか、取り扱う個人情報が少ない等の一定の者を除く)

「個人データ」…個人情報データベース等を構成する個人情報

「保有個人データ」…個人情報取扱事業者が開示、訂正等の権限を有する個人データ
●3 基本理念(3条)
個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであり、そ の適正な取扱いが図られなければならない。
■     ■第2章 国及び地方公共団体の責務等
●1 国及び地方公共団体の責務(4条、5条)
●2 法制上の措置等(6条)
国の行政機関、独立行政法人等の保有する個人情報についての法制上の措置等
個人情報の性質及び利用方法にかんがみ、適正な取扱いの厳格な実施を確保する必要がある個人情報についての法制上の措置等
■      ■第3章 個人情報の保護に関する施策等
●第1節 個人情報の保護に関する基本方針(7条)
施策の総合的・一体的推進を図るための基本方針を国民生活審議会の意見を聴いた上で閣議決定
●  ●第2節 国の施策(8条〜10条)
地方公共団体等への支援、苦情処理のための必要な措置等
●第3節 地方公共団体の施策(11条〜13条)
 地方公共団体の保有する個人情報についての必要な措置
区域内の事業者及び住民への支援、苦情処理のあっせん等の必要な措置
●  ●第4節 国及び地方公共団体の協力(14条)
■第4章 個人情報取扱事業者の義務等         ■第4章 個人情報取扱事業者の義務等
●     ●第1節 個人情報取扱事業者の義務  ※ 必要に応じて一定の適用除外を規定
○(1) 利用目的の特定、利用目的による制限(15条、16条)
個人情報を取り扱うに当たり、その利用目的をできる限り特定
特定された利用目的の達成に必要な範囲を超えた個人情報の取扱いの原則禁止
○(2) 適正な取得、取得に際しての利用目的の通知等(17条、18条)
偽りその他不正の手段による個人情報の取得の禁止
個人情報を取得した際の利用目的の通知又は公表
本人から直接個人情報を取得する場合の利用目的の明示
○(3) データ内容の正確性の確保(19条)
利用目的の達成に必要な範囲内で個人データの正確性、最新性を確保
○(4) 安全管理措置、従業者・委託先の監督(20条〜22条)
個人データの安全管理のために必要かつ適切な措置、従業者・委託先に対する 必要かつ適切な監督
○(5) 第三者提供の制限(23条)
本人の同意を得ない個人データの第三者提供の原則禁止
本人の求めに応じて第三者提供を停止することとしており、その旨その他一定の事項を通知等しているときは、第三者提供が可能
委託の場合、合併等の場合、特定の者との共同利用の場合(共同利用する旨その他一定の事項を通知等している場合)は第三者提供とみなさない
○(6) 公表等、開示、訂正等、利用停止等(24条〜27条)
保有個人データの利用目的、開示等に必要な手続等についての公表等
保有個人データの本人からの求めに応じ、開示、訂正等、利用停止等
○(7) 苦情の処理(31条)
個人情報の取扱いに関する苦情の適切かつ迅速な処理
○(8) 主務大臣の関与(32条〜35条)
この節の規定の施行に必要な限度における報告の徴収、必要な助言
個人情報取扱事業者が義務規定(努力義務を除く)に違反し、個人の権利利益保護のため必要がある場合における勧告、勧告に従わない一定の場合の命令等
主務大臣の権限の行使の制限(表現、学問、信教、政治活動の自由)
○(9) 主務大臣(36条)
個人情報取扱事業者が行う事業等の所管大臣。
規定の円滑な実施のために必要があるときは、内閣総理大臣が指定
  ●第2節 民間団体による個人情報の保護の推進
○(1) 団体の認定(37条)、対象事業者(41条)
個人情報取扱事業者の個人情報の適正な取扱いの確保を目的として、苦情の処理等を行おうとする団体の認定
認定団体による対象事業者(団体の構成員等)の氏名又は名称の公表
○(2) 個人情報保護指針(43条)
認定団体による個人情報保護指針の作成・公表
○(3) 主務大臣の関与(46条〜48条)
この節の規定の施行に必要な限度における報告の徴収
業務の実施の方法の改善、個人情報保護指針の変更等についての命令
認定基準に適合しなくなった場合、命令に従わない場合等における認定取消し
○(4) 主務大臣(49条)
対象事業者が行う事業等の所管大臣。規定の円滑な実施のために必要があるときは、内閣総理大臣が指定
■第5章 雑則   ■第5章 雑則
報道、著述、学術研究、宗教活動、政治活動の用に供する目的で個人情報を取り扱う報道機関、著述を業として行う者、学術研究機関等、宗教団体、政治団体については、第4章の適用を除外(50条1項)
これらの主体は、安全管理、苦情処理等のために必要な措置を自ら講じ、その内容を公表するよう努力(50条3項)
※ この他、権限又は事務の委任、施行の状況の公表等について規定
■第6章 罰則   ■第6章 罰則
個人情報取扱事業者が主務大臣の命令に違反した場合等における罰則
  (56条〜59条)
■附則    ■附則
公布の日(平成15年5月30日)から施行。第4章から第6章までの規定は、公布後2年以内に施行(附則1条)
経過措置(附則2条〜6条)
内閣府の所掌事務等に本法施行関係の事務を追加(附則7条)