資料4-2 個人情報保護に関する論点整理 - 消費者庁

資料4−2
個人情報保護に関する論点整理
【論点1】
個人情報保護法において全ての個人情報を同様に取り扱うという体系についてどのように
考えるか。
【「主な検討課題」該当部分】
・保護の対象について、OECDでは「識別される又は識別され得る個人(データ主体)
に関するあらゆる情報」と定義しているように、国際的には広く捉えるのが一般的であ
るが、国際的な整合性の視点をどのように位置付けるか。
・
「個人情報の性質及び利用方法にかんがみ、個人の権利利益の一層の保護を図るため特に
その適正な取扱いの厳格な実施を確保する必要がある個人情報」について、格別の措置が
講じられたものと整理された分野もあるが、これをどのように考えるか。
1.現状
・個人情報保護法において「個人情報」とは、生存する個人に関する情報であって、特
定の個人を識別することができるものとされており、プライバシーにかかわる情報、セ
ンシティブな情報など特別の性質等に基づく限定は加えていない。一方、公知の情報に
ついても保護の対象から除外していない。
・OECDでは「識別される又は識別され得る個人(データ主体)に関するあらゆる情報」
と定義しているように、国際的には、我が国同様に広く捉えるのが一般的である。
・
「個人情報の性質及び利用方法にかんがみ、個人の権利利益の一層の保護を図るため特に
その適正な取扱いの厳格な実施を確保する必要がある個人情報」
(法第6条)について、
各分野において、業法による守秘義務、規則やガイドラインによる厳格な安全管理措置
等が規定されている。
2.検討の方向性
(1)保護の対象
保護の対象について、OECDでは「識別される又は識別され得る個人(デー
タ主体)に関するあらゆる情報」と定義しているように、国際的には広く捉える
のが一般的であることから、
「個人情報」の定義については、現行の整理が適当で
はないか。
(留意点)
・事業者の保有する市販の名簿の管理や小規模事業者の取扱いについては、別
途検討。
(2)格別の措置
特に適正な取扱いを確保すべき個別分野については、国民の関心は高いが、
既に業法による守秘義務、規則やガイドラインによる厳格な安全管理措置等に
より、格別の措置が講じられられていることから、引き続き現行の枠組の下、
動向を注視することとしてはどうか。
1
※ヒアリングにおける主な意見、関係省庁の取組等、パブリックコメントにおける主な意見については、便宜事務局で整理した。
<参考>
1.ヒアリングにおける主な意見
(1)保護の対象
○日本弁護士連合会
・「過剰反応」は個人情報保護法が情報の質等を問わず広く網をかけていることに起因し
ているため、個別の分野ごとに情報の質に応じた規制が必要である。
・個人情報の定義について、OECDの定義に必ずしも拘泥する必要はない。
○日本私立小学校連合会
・法第2条の定義により、学校は個人が識別できるものは公開しないようになっている。
○堀部委員
・個人情報保護の検討にはグローバルな視点が重要である。
(2)格別の措置
○日本弁護士連合会
・特定三分野については個別法が必要だが、全ての分野について必要ということも言い切
れない。
・違った法規制が適用されている分野は、独立の法律での整理が必要ではないか。
○全国消費者団体連絡会
・医療、金融・信用、情報通信など特段の個人情報の保護が求められる分野については、
ガイドラインだけではなく特別法を検討すべきである。
2.関係省庁の取組等
○経済産業省(個人遺伝情報を用いた事業分野)
・個人遺伝情報を活用した事業については、格別な措置として、インフォームドコンセン
トの取得、個人遺伝情報取扱審査会の設置等を求めるガイドラインを策定した。
○厚生労働省(医療分野)
・医療分野における格別の措置としては、医療関係の資格者に、罰則付きの守秘義務が規
定されている。また、15 年9月に「診療情報の提供等に関する指針」を策定し、患者
や遺族からの診療記録の開示の求めに応じる取組を推進している。ガイドラインでは、
医療情報の性格に鑑み、小規模事業者や死者の情報も対象としている。
○金融庁(金融・信用分野)
・格別の措置として、ガイドライン等に加え、銀行法施行規則等計 25 本の法令において、
安全管理措置の実施、信用情報機関から提供された借入金返済能力情報の目的外利用の
禁止、機微情報の目的外利用の禁止を明記した。
○経済産業省(金融・信用分野)
・格別の措置としては、ガイドラインの制定・拡充、業界の自主ルールの強化・拡充を行
っている。
○総務省(電気通信事業分野)
・格別の措置としては、ガイドラインにおける厳格な措置のほか、電気通信事業法におい
て、通信の秘密の漏えいに対する罰則や業務改善命令、漏えい発生時の報告義務等の厳
格な規定がある。
○総務省(放送分野)
2
・格別の措置として、加入契約の締結により大量の個人情報を取り扱う特性を踏まえ、罰
金刑のある放送関係法令等による標準契約約款を策定し、事業者に対してこれに基づく
届出を求めている。
3.パブリックコメントにおける主な意見
・個人情報は、保護の必要性の高い分野における個別法によるのが相当であり、一律の規
制は相当でない。(大阪弁護士会)
・一般に公表されている情報は義務を緩和するなど、情報の質・重要性に応じた保護のあ
り方の検討が必要。(全国銀行協会等)
・金融分野は、法の規制外の部分についてもガイドライン等で十分規制化された。((社)
生命保険協会)
4.世論調査結果(平成 18 年 9 月実施)
○他人に知られたくない個人情報(複数回答,上位2位)
平成 15 年 9 月
※
74.3%
・銀行口座番号、クレジッカード番号、取引履歴
・年間収入、財産状態、納税額など
平成 18 年 9 月
88.7%
74.2%
(複数回答)
0
銀行口座番号、クレジットカード
番
号
、
取
引
履
歴
10
20
30
40
50
60
写
真
な
ど
の
画
家
離
現
族
住
構
婚
成
所
、
歴
、
結
電
婚
な
話
歴
番
、
ど
88.7
53.3
43.0
52.8
※
49.5
※
(参考)
48.6
号
42.9
44.9
40.5
年金、生活保護などの公的扶助の
受
給
の
有
無
メ
ー
ル
ア
ド
レ
42.5
ス
31.6
40.9
40.9
病 歴 、 身 体 の 障 害 な ど
学
生
職
団
歴
、
年
月
種
体 加
職
日
歴
な
、
、
地
入 の 有
年
位
無 な
35.1
39.7
ど
34.7
齢
30.0
32.6
28.3
29.9
支 持 政 党 、 宗 教 な ど の
主
義
信
条
生
地
そ
の
他
特
に
わ
か
な
ら
19.3
19.2
0.1
0.2
5.0
い
な
い
今
11.5
0.1
1.0
婚
歴
・
離
婚
続
交
通
違
反
の
記
査 ( N=1,811 人 ,M.T.=648.1%)
32.9
※(参考)
20.9
25.3
録
趣 味 ・ 嗜 好 な ど の 記 録
調
55.8
歴
柄
回
平成15年 9月 調査(N=2,126人,M.T.=588.5%)
家族、親族等家庭生活の状況
結
*平成15年9月は「生年月日」
28.2
、
ど
出
90
74.2
74.3
像
電 話 や 電 子 メ ー ル な ど の
通
信
記
録
(%)
80
※
年間収入、財産状態、納税額など
顔
70
18.0
※「他人に知られたくない個人情報」に関しては、財産関係のものが上位を占めているが、
金融・信用分野においては、業法の施行規則やガイドラインによる厳格な安全管理措置等
により、格別の措置が講じられている。また、行政機関についても、別途、法律及び条例
が定められている。
3
○個人情報の取扱いを特に気をつけてほしい分野(複数回答,上位5位)
・銀行、消費者金融、クレジット会社、保険会社など(金融信用関連分野)
・電話会社、インターネット接続会社、放送事業者など(情報通信関連分野)
・病院、介護施設など(医療福祉関連分野)
・国の行政機関、地方公共団体など
・通信販売関連分野
平成 18 年 9 月
87.5%
55.5%
47.0%
45.6%
43.0%
(複数回答)
0
10
20
30
40
50
銀行,消費者金融,クレジッ
ト会社,保険会社など
(金融信用関連分野)
電話会社,インターネット接
続会社,放送事業者など
(情報通信関連分野)
43.0
38.7
27.1
宅 配 , 運 送 関 連 分 野
学 校 , 学 習 塾 な ど
( 教 育 関 連 分 野 )
24.7
職業紹介,人材派遣関連分
野
22.5
ホテル・旅館,旅行会社な
ど(旅行・宿泊関連分野)
20.7
百 貨 店 , 量 販 店 な ど
(店舗型の小売関連分野)
20.6
17.9
電気,ガス,水道関連分野
家 電 , 自 動 車 な ど
( 製 造 関 連 分 野 )
わ
に
か
な
ら
な
い
い
(%)
45.6
不動産の取引,賃貸,管理
など(不動産関連分野)
特
90
47.0
通 信 販 売 関 連 分 野
他
80
55.5
国の行政機関,地方公共団
体など
の
70
87.5
病 院 , 介 護 施 設 な ど
( 医 療 福 祉関 連分 野)
そ
60
総 数(N=1,811人,M.T.=471.6%)
15.1
0.2
4.5
1.0
※特に適正な取扱いを確保すべき個別3分野については、既に業法による守秘義務、規則や
ガイドラインによる厳格な安全管理措置等により、格別の措置が講じられている。また、
行政機関についても、別途、法律及び条例が定められている。
4
5.個人情報保護法の施行状況
○主務大臣による権限行使の状況(法第 32 条∼第 34 条)(平成 17 年度)
平成 17 年度においては、個人情報保護法に基づく勧告を1件、報告の徴収を 87 件実
施する等により、事業者等に対する指導・監督を実施した。
主務大臣による権限行使の状況(平成 17 年度)
主務大臣
行使した権限
金融庁長官
(注1)
報告の徴収
勧告
83 件
1件
厚生労働大臣
報告の徴収
4件
合計
(注2)
報告の徴収
勧告
根拠条文
第 20 条(安全管理措置)
第 21 条(従業者の監督)
第 22 条(委託先の監督)
第 20 条(安全管理措置)
計 87 件
計1件
第 20 条
第 21 条
第 22 条
84 件
9件
19 件
4件
計 88 件
計 9件
計 19 件
(注)1.法第 52 条及び施行令第 12 条に基づき、内閣総理大臣が金融庁長官に権限を委任して
いる。
2.共管の事案については、それぞれ計上している。
○事業者からの個人情報漏えい事案の状況(平成 17 年度)
府省名
件数
金融庁
607
国家公安委員会
1
総務省
104
法務省
3
外務省
1
財務省
6
文部科学省
13
厚生労働省
69
農林水産省
89
経済産業省
610
国土交通省
204
合計
(重複分除く)
1,556
5
6.諸外国・国際機関の状況
①保護の対象
保護の対象については、アメリカを除き、我が国とほぼ同様。
国・機関
制度の内容
イギリス
(法律)
「個人データ」は、
「(a)当該データから、又は(b)データ管理者が保有し、
又は保有することになる可能性のある当該データその他の情報から、識別でき
る生存する個人に関するデータであって、かつ、当該個人に関する意見の表明
及び当該個人についてデータ管理者その他の者の意図の表示を含む」と定義さ
れている。
フランス
(法律)
「個人情報」は、「自然人に関するあらゆる情報のうち、識別番号又は個人
に固有の一若しくは複数の要素を参照することで、直接又は間接に個人を識別
し又は識別可能なもの」と定義されている。
なお、「個人を識別し得るか否かを判定するには、取扱責任者その他すべて
の人々が保有している手段、又は、アクセス可能な個人識別可能手段のすべて
について考慮すべき」とされている。
ドイツ
(連邦法)
「個人データ」は、「特定の又は特定され得る自然人(本人)の人的又は物
的状況に関する個々の言明」と定義されている。
アメリカ
(連邦法)
アメリカでは、特定の分野ごとにプライバシー法が制定されているため、分
野ごとに固有の個人情報の定義がされている。
金融サービス近代化法(GLBA)が対象とする個人情報は、
「非公開個人情報」
であり、「個人を識別でき、かつ、一般に入手可能でない金融情報全般」とさ
れている。
公正信用報告法(FCRA)が対象とする個人情報である「消費者報告」は、
「消
費者個人の信用度、信用に対する評価、信用枠、特性、社会的評判、身上事項、
生活様式に関する消費者報告機関による情報の伝達であって、信用若しくは保
険、雇用目的等のために、消費者の適格性を判断するに当たり用いられ又は収
集されるもの」とされている。
個人の健康情報に係るプライバシー規則(医療保険の相互運用性と説明責任
に関する法律(HIPAA)プライバシールール)が対象とする個人情報は、
「個人
の識別が可能な医療情報」とされている。
OECD
「個人データ」は、個人に関する情報であって、個人が識別され又は識別さ
れ得る情報のすべてとされている。OECD プラバイシー・ガイドラインが適用さ
れるのは、個人データのうち、公的又は私的部門において、取扱方法又は性質
若しくは利用状況からみて、プライバシーと個人の自由に対する危険を含んで
いるものすべてとされている。
(ガイドライン)
EU
(指令)
「個人データ」は、「識別された又は識別され得る自然人(データ主体)に
関するすべての情報」とされている。識別され得る個人とは、「特に個人識別
番号、又は肉体的、生理的、精神的、経済的、文化的若しくは社会的アイデン
ティティに特有な 1 つ又は 2 つ以上の要素を参照することによって、直接的又
は間接的に識別され得る者」とされている。
APEC
「個人情報」は、「個人が識別される、又は識別可能なすべての情報」とされ
ている。
(フレームワーク)
6
②センシティブ情報に関する規定
センシティブ情報の対象・取扱いは、各国・機関でまちまち。
国・機関
制度の内容
イギリス
(法律)
センシティブ情報は、「人種的・民族的出自、政治的意見、宗教的信条、労
働組合への加入、健康状態、性生活、犯罪の前科・容疑、犯罪・容疑の手続・
処分・判決」と定義されている。
センシティブな個人データの取扱いに当たっては、少なくとも 10 の条件の
うちの 1 つが満たされなければならず、そのうちの 1 つである「データ主体の
同意」は、
「明示の」同意でなければならないとされている。
フランス
(法律)
センシティブ情報は、
「人種・民族的起源、政治的、哲学的又は宗教的意見、
労働組合への所属が直接又は間接的に明らかになる個人情報、又は、健康若し
くは性生活に関する個人情報」と定義されている。
センシティブ情報の収集・取扱いは、原則として禁止されているが、本人の
明示的同意がある場合等は例外とされている。
ドイツ
(連邦法)
「特別な種類の個人データ」は、人種的及び民族的出自、政治的意見、宗教
的又は哲学的な信条、労働組合への加入、健康又は性生活に関する事項とされ
ている。
「特別な種類の個人データ」が収集され、取り扱われ、又は利用される限り、
同意は、さらに明示的に、当該データと関連付けられなければならないとされ
ており、このような同意がない場合は、一定の例外を除き、データの収集等は
許されていない。
アメリカ
(連邦法)
「消費者報告」(信用情報)のうち、被報告者の友人等に対する個人的な面
接によって得られる、当該被報告者の性質等の情報を指す「消費者調査報告」
については、特に要保護性の高い情報であると考えられることから、その開示
が厳格に制限されている。
医療情報は、原則として本人(患者)の同意がない限り利用・提供は許され
ない(保護された保険情報(PHI)の利用・提供は必要最小限のものに限られ
ている)ほか、医精神科治療記録など特に配慮を要する情報については、特段
の保護が図られている。
OECD
センシティブ情報に関する規定は設けられていない。センシティブ情報の定
義は多様であり、普遍的にセンシティブなデータと整理されるものを定義する
ことは、不可能であろうとされている。
(ガイドライン)
EU
指令
構成国は、原則として、人種又は民族、政治的見解、宗教的又は思想的信条、
労働組合への加入を明らかにする個人データの取扱い、及び健康又は性生活に
関するデータの取扱いを禁止しなければならないとされている。
APEC
センシティブ情報の定義及びその取扱いについての規定は設けられていな
い。
ただし、情報の安全管理は、「情報のセンシティブ性の程度」に見合ったも
のでなければならないとされている。また、業務上の機密情報については、個
人のアクセスが制限される場合があるとされている。
(フレームワーク)
(参照)「諸外国等における個人情報保護制度の運用実態に関する検討委員会報告書」(平成
19 年 1 月)
7
7.参照条文
(1)附帯決議
○個人情報の保護に関する法律案に対する附帯決議(衆議院)(抄)
五 医療、金融・信用、情報通信等、国民から高いレベルでの個人情報の保護が求めら
れている分野について、特に適正な取扱いの厳格な実施を確保する必要がある個人情
報を保護するための個別法を早急に検討すること。
○個人情報の保護に関する法律案に対する附帯決議(参議院)(抄)
五 医療(遺伝子治療等先端的医療技術の確立のため国民の協力が不可欠な分野につい
ての研究・開発・利用を含む)
、金融・信用、情報通信等、国民から高いレベルでの個
人情報の保護が求められている分野について、特に適正な取扱いの厳格な実施を確保
する必要がある個人情報を保護するための個別法を早急に検討し、本法の全面施行時
には少なくとも一定の具体的結論を得ること。
(2)個人情報の保護に関する法律(平成 15 年法律第 57 号)(抄)
(定義)
第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、当該情
報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるも
の(他の情報と容易に照合することができ、それにより特定の個人を識別することができ
ることとなるものを含む。)をいう。
2∼6 (略)
(法制上の措置等)
第六条 政府は、個人情報の性質及び利用方法にかんがみ、個人の権利利益の一層の保護を
図るため特にその適正な取扱いの厳格な実施を確保する必要がある個人情報について、保
護のための格別の措置が講じられるよう必要な法制上の措置その他の措置を講ずるものと
する。
(3)個人情報の保護に関する基本方針(平成 16 年4月2日閣議決定)(抄)
2 国が講ずべき個人情報の保護のための措置に関する事項
(3)分野ごとの個人情報の保護の推進に関する方針
②特に適正な取扱いを確保すべき個別分野において講ずべき施策
個人情報の性質や利用方法等から特に適正な取扱いの厳格な実施を確保する必要がある
分野については、各省庁において、個人情報を保護するための格別の措置を各分野(医療、
金融・信用、情報通信等)ごとに早急に検討し、法の全面施行までに、一定の結論を得るも
のとする。
8
【論点2】
国際的な整合性についてどのように考えるか。
【「主な検討課題」該当部分】
・個人情報保護には世界共通のインフラが必要であることから、国際的な枠組み等のグロー
バルな視点も重要。
・我が国の法律では、諸外国と異なり、国際的な情報の移転に関しルールが定められていな
いことについて、どのように考えるか。
1.現状
・個人情報保護における国際的な取組としては、1980 年の OECD プライバシーガイドライ
ンにおいて示されているいわゆる8原則が、以降の国際的な取組や各国における取組の
基本となっている。
・
「個人情報の保護に関する基本方針」においても、個人情報保護の取組を推進するに当
たっては、OECD、APEC、EU 等で進められている国際的な取組を踏まえ、国際的な協調
を図っていくとともに、併せて我が国の法制度についても国際的な理解を求めていくこ
とが重要であるとされている。
・OECD では、同ガイドラインに沿った取組を推進しており、最近では、プライバシー法
執行の越境的な課題の検討を行っている。
・APEC では、APEC プライバシーフレームワークを 2005 年 11 月に策定し、越境的なプラ
イバシールールの構築等、異なる検討等を行っている。
・EU 諸国においては、原則として、個人データの第三国への移転は、EU データ保護指令
の国際的な情報の移転に関する規定に準じた十分な水準の保護措置を確保している場
合に限り、行うことができるとされている。
・2006 年1月現在、EU から十分な保護水準を確保していると認められた国・地域は、5
つである。
2.検討の方向性
国際的な取組として、
① OECD において、プライバシー法執行の越境的な課題が検討されていること
② APEC において、ア)越境的なプライバシールールの構築、イ)情報共有や調査・
執行の越境協力に向けた検討が行われていること
③ EU との関係において、ア)アメリカがデータ移転に関する協定を EU と締結し
た、イ)オーストラリアが EU から保護水準が不十分とされた、という状況が
見られること
等から、これらの動向を踏まえて対応する必要がある。
(留意点)
・OECD や APEC、EU 等で進められている国際的な取組に十分留意する必要。
9
※ヒアリングにおける主な意見、関係省庁の取組等、パブリックコメントにおける主な意見については、便宜事務局で整理した。
<参考>
1.ヒアリングにおける主な意見
○全国銀行個人情報保護協議会
・海外との法制度の違いについては、国際的な業務を行う銀行からも、不便を感じたという
声は聞いていない。
○堀部委員
・個人情報保護の検討にはグローバルな視点が重要である。
2.パブリックコメントにおける主な意見
・国際的な情報移転に関するルールは必要。(日本弁護士連合会等)
3.諸外国・国際機関の状況
①国際的な枠組
様々な場で個人情報保護の国際的な取組が進められている。
国・機関
制度の内容
OECD プライバシー保護と個人データの国際流通についてのガイドラインに関する
(ガイドライン) OECD 理事会勧告(OECD プライバシー・ガイドライン、1980 年 9 月 23 日採択。
)
目的:加盟国間の情報の自由な流通を促進すること、及び、加盟国間の経済
的社会的関係の発展に対する不当な障害の創設を回避すること。
対象:OECD 加盟国
拘束の程度:OECD 加盟国は、OECD 理事会からガイドラインに準じた対応を
採ることが勧告されるが、その遵守を義務付けられてはない。
最近の取組:1998 年の電子商取引に関する OECD 閣僚会議では、同ガイドラ
インに沿って、開かれたグローバルネットワークを構築すべきことを確
認した、
「グローバルネットワークでのプライバシー保護に関する宣言」
が採択された。最近では、2006 年 7 月 24 日に「プラバシーに関する通
知文の簡素化-OECD による報告及び勧告-」が公表されたほか、プライバ
シー法執行の越境的な課題を検討するため、同年 10 月 26 日、
「プライ
バシー法の越境的な執行協力に関する報告書」が公表された。
EU
個人データの取扱いに係る個人の保護及び当該データの自由な移動に関す
(指令)
る欧州議会及び理事会の指令(EU データ保護指令、1995 年 10 月 24 日指令。
)
目的:個人データの取扱いに対する自然人の基本的権利及び自由、特にプラ
イバシー権の保護。
対象:EU 構成国。ただし、第三国への個人データの移転を規制する、いわゆ
る第三国条項を通じて、EU 構成国以外の国にも大きな影響を与える。
拘束の程度:EU 構成国は、指令を国内法化する義務を負う。
最近の取組:2006 年 1 月現在、EU から十分な保護水準を確保していると認
められた国・地域は、スイス、カナダ、アルゼンチン、ガンジー島、マ
ン島の 5 つである。なお、カナダは、連邦政府部門対象の法律、民間部
門対象の法律、州政府対象の州法等、複数の法律を組み合わせることに
より、ほぼすべての機関を対象とした法的枠組みを形成し、十分性を認
められた。
また、アメリカ、オーストラリアの EU データ保護指令への対応状況
10
APEC
(フレームワーク)
は以下のとおり。
① アメリカ:包括法がないため、特定の認証基準を設け、その認証を受
けた企業ごとに十分性を付与するセーフハーバー協定を 2000 年に EU
と締結。
② オーストラリア:包括法である「プライバシー修正法」を 2000 年に
施行したが、ア)小規模事業者が規制対象外、イ)一般に利用可能なデー
タが規制対象外、ウ)データの第三国移転が規制対象外等の理由によ
り、保護水準が不十分とされた。
APEC プライバシーフレームワーク(APEC フレームワーク、2004 年 10 月 29
日採択。国際的実施の部分は 2005 年 11 月 16 日承認。
)
目的:APEC 加盟エコノミーにおける整合性のある個人情報保護への取組を促
進し、情報流通に対する不要な障害を取り除くこと。
対象国:APEC 加盟エコノミー
拘束の程度:APEC 加盟エコノミーに対して適用を推奨。適用に際しては、加
盟エコノミーにおける個別事情を考慮すべきであるとされている。
最近の取組:APEC 電子商取引運営グループ(ECSG)では、APEC フレームワ
ークの適用に関するセミナーの開催や会議を通じ、域内諸国の多様な実
情を考慮しつつ、①各国における APEC フレームワークの適用、②越境
的なプライバシールールの構築、③情報共有や調査・執行の越境協力に
向けた検討等を行っている。
②国際的な情報移転に関する規定
EU 諸国では、個人データの第三国への移転を制限している。
国・機関
制度の内容
イギリス
1998 年データ保護法では、原則として、十分な保護水準を確保していない第
(法律)
三国へのデータ移転が制限されている。具体的には、「個人データは、ヨーロ
ッパ経済地域以外の国又は地域が個人データの取扱いに関しデータ主体の権
利及び自由について十分な水準の保護を確保している場合を除き、その国又は
地域に移転してはならない」との原則が規定されている。
フランス
情報処理、情報ファイル及び自由に関する法律では、情報取扱責任者が EU
(法律)
非加盟国に個人情報を移転できる場合は、原則として、対象国が、個人情報の
取扱いに関し、プライバシーや基本的権利に対する十分な水準の保護を確保し
ている場合に限定されている。
ドイツ
連邦データ保護法では、欧州共同体法の適用を受ける活動の枠内において、
(連邦法) 他の EU 構成国内にある機関等以外の機関に個人情報を提供することは、当該
機関に適切なデータ保護水準が存在しないときであっても、例外的に許される
場合があるとされている。
アメリカ
個人の健康情報に係るプライバシー規則(医療保険の相互運用性と説明責任
(連邦法) に関する法律(HIPAA)プライバシールール)や金融サービス近代化法(GLBA)
など、法律によっては、海外の事業者に情報が提供される場合に、国内法の規
定が適用されることを明示するものがある。
また、EU データ保護指令の第三国移転条項への対応として、2000 年に EU と
セーフハーバー協定を締結したことにより、商務省がプライバシー原則に基づ
き認証した企業については、十分性を付与されることとなった(2006 年 11 月
11
時点で認証を受けている企業は 1,045 社)
。
【セーフハーバー協定の概要】
適用範囲:セーフハーバーに加入した事業者が EU の事業者と通商や情報の
流通を行う際に適用される。加入は任意である。
監督制度:事業者がセーフハーバー原則に違反している場合、商務省から告
知を受ける。違反行為等については、連邦取引委員会(FTC)により調
査や停止命令、民事罰等の制裁措置が行われる。
OECD
OECD プライバシー・ガイドラインでは、国際的な情報移転について、加盟国
(ガイドライン) は、①他の加盟国に及ぼす影響について配慮すべきこと、②国際流通が阻害さ
れることなく、安全になされることを確保するための手段を講ずべきこと、③
他の加盟国による本ガイドラインの未遵守等の場合を除き、国際流通の制限を
控えるべきこと、④国際流通の障害となる必要以上の法律や政策、運用を回避
すべきことが規定されている。
EU
EU データ保護指令では、構成国は、個人データの第三国への移転は、当該第
(指令)
三国が十分なレベルの保護措置を確保している場合に限って、行うことができ
ることを定めなければならないとされている。
また、その十分性は、データの性質、取扱いの目的・期間、発信国・最終目
的国、当該第三国の一般的及び分野別の法規範並びに専門的規範及び安全保護
対策措置等、データ移転に関するあらゆる状況にかんがみて、評価されなけれ
ばならないとされている。
さらに、構成国は、十分なレベルの保護を保障しない第三国に対する移転が
例外的に可能な場合を定めなければならないとされている。
このため、構成国は第三国移転の例外事由を設けており、これに基づき、本
人が明確に同意した場合のほか、①拘束力のある企業ルールを定め、監督機関
に申請して認証を得た場合、②EU の定めた標準契約条項を利用する場合、③セ
ーフハーバー原則による場合等は移転が可能になっている。
APEC
APEC フレームワークでは、個人情報管理者が個人情報を第三者に提供する場
(フレームワーク)
合、国内・国外を問わず、個人から同意を得るか、又は提供先が当該情報を同
フレームワークに則って保護することを確認できる手続を踏まなければなら
ないとされている。
(参照)「諸外国等における個人情報保護制度の運用実態に関する検討委員会報告書」(平成
19 年 1 月)
4.参照条文
(1)個人情報の保護に関する法律(平成 15 年法律第 57 号)(抄)
(第三者提供の制限)
第二十三条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を
得ないで、個人データを第三者に提供してはならない。
一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得る
ことが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、
12
本人の同意を得ることが困難であるとき。
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行す
ることに対して協力する必要がある場合であって、本人の同意を得ることにより当該事
務の遂行に支障を及ぼすおそれがあるとき。
2∼5 (略)
(2)個人情報の保護に関する基本方針(平成 16 年4月2日閣議決定)(抄)
1 個人情報の保護に関する施策の推進に関する基本的な方向
(1)個人情報保護法制定の背景
(前略)
国際的には、1970年代から、欧米諸国において、個人情報保護に関する法制の整備が
進められ、1980年には、各国の規制の内容の調和を図る観点から、経済協力開発機構(O
ECD)理事会勧告において、「プライバシー保護と個人データの国際流通についてのガイ
ドライン」が示された。以降、各国で急速に個人情報保護法制の整備が進められ、既にOE
CD加盟国の大多数が公的部門及び民間部門の双方を対象に個人情報保護法制を有するに
至っている。企業活動等のグローバル化が進む中、我が国としても国際的に整合性を保った
法制の整備と運用が求められている。
(後略)
(3)国際的な協調
個人情報保護における国際的な取組としては、1980年のOECDプライバシーガイド
ラインにおいて、いわゆる8原則※が示されており、その原則が以降の国際的な取組や各国
における取組の基本となっている。OECDプライバシーガイドラインにおいては、8原則
の各国国内での実施に当たっての詳細は各国に委ねられているが、個人情報取扱事業者の義
務に関する法第4章の規定は、我が国の実情に照らして8原則を具体化したものであり、今
後、法及び基本方針に基づく取組により、その実効性が確保されることが重要である。
また、法のルール及び基本方針に基づいて個人情報保護の取組を推進するに当たっては、
OECDをはじめとして、アジア太平洋経済協力(APEC)、欧州連合(EU)等様々な
場で進められている国際的な取組を踏まえ、国際的な協調を図っていくとともに、併せて我
が国の法制度についても国際的な理解を求めていくことが重要である。
※ 8原則:「プライバシー保護と個人データの国際流通についてのガイドライン(Guidelines
governing the Protection of Privacy and Transborder Flows of Personal Data)」における、
① 収 集 制 限 の 原 則 (Collection Limitation Principle) 、 ② デ ー タ 内 容 の 原 則 (Data Quality
Principle)、③目的明確化の原則(Purpose Specification Principle)、④利用制限の原則(Use
Limitation Principle)、⑤安全保護の原則(Security Safeguards Principle)、⑥公開の原則
(Openness Principle)、⑦個人参加の原則(Individual Participation Principle)、⑧責任の原則
(Accountability Principle)を指す。
13
【論点3】
第三者機関の意義についてどのように考えるか。
【「主な検討課題」該当部分】
・現行法の主務大臣制と異なる、諸外国に見られるような中立的な第三者機関は必要か。
1.現状
・個人情報保護法では、法第4章の個人情報取扱事業者の義務は、事業の用に供している
個人情報を対象としていることから、各事業等を所管する大臣が、主務大臣として、当
該事業における個人情報の適正な取扱いについて、行政責任と権限を有している。
・平成19年1月31日現在、事業等を所管する各省庁により、22分野について35のガイドラ
インが策定され、主務大臣制の下、事業者等に対する指導・監督が実施されてきている。
・平成19年1月31日現在、個人情報保護法第37条の規定に基づき、主務大臣が認定個人情
報保護団体として認定した団体は、計32団体である。
2.検討の方向性
我が国では、
① 個人情報の取扱いは民間事業者の事業活動の一環として行われ、当該事業
活動と不可分なものであるとともに、業種・業態に応じた様々な特性を有
していることから、個人情報の適正な取扱いを十分に確保するためには、
事業ごとのきめ細かい判断が不可欠であり、また、当該事業活動に関する
事務と一体的に遂行することが合理的かつ実効的であること
② 新たな第三者機関を設けるとすれば、地方組織を含む大規模な行政組織が
必要となり、行政改革の流れに反するとともに、事業所管大臣との間に二
重行政が生ずるなど、現実性・実効性の観点から問題が多いと考えられる
こと
③ 現状において、主務大臣制による特段の支障は生じていないと考えられる
こと
から、主務大臣制を維持することが適切ではないか。
14
※ヒアリングにおける主な意見、関係省庁の取組等、パブリックコメントにおける主な意見については、便宜事務局で整理した。
<参考>
1.ヒアリングにおける主な意見
○日本弁護士連合会
・個別事案の利益衡量の仕組みとして、法律にも、個人情報保護条例における審議会のよ
うな仕組みが必要ではないか。
2.パブリックコメントにおける主な意見
・国の行政機関における個人情報の取扱いに関しては、ことに独立した第三者機関による
監視制度を早期に導入すべき。(日本弁護士連合会等)
3.個人情報保護法の施行状況
○事業等分野ごとのガイドラインの策定の状況(法第8条)
平成19年1月31日現在、事業等を所管する各省庁により、22分野について35のガイ
ドラインが策定されている。(別添1参照)
○認定個人情報保護団体の認定の状況(法第37条)
平成19年1月31日現在、個人情報保護法第37条の規定に基づき、主務大臣が認定個人
情報保護団体として認定した団体は、計32団体である。
(別添2参照)
4.法案審議時における議論
【政府案関係】
○第156回国会 衆議院個人情報の保護に関する特別委員会(平成15年4月15日)会議録(抄)
(砂田委員)
(前略)続いて、政府案と野党案で意見が分かれているものの第二点目として、個人情
報取扱事業者の義務の実効性を確保するに当たっての考え方についてお伺いをいたします。
政府提出の個人情報保護法案においては、各事業の個人情報の取り扱いについては、各
事業所管大臣が主務大臣として必要最小限度の関与をする仕組みとなっていると承知して
おります。
一方、野党案を拝見しますと、個人情報保護委員会という第三者機関を設置し、すべて
の個人情報取扱事業者を監督する仕組みとなっております。野党の先生の先日の本会議で
の御意見も拝聴いたしますと、第三者機関であれば何の問題もないかのような御説明がな
されておりました。
果たして本当にそうなのでありましょうか。実際、事業者の方々が取り扱っている個人
情報というのは、与信、金融機関であれば預金口座や債務残高、学校で あれば児童生徒の
個人情報、病院であれば医療情報といったように、個々の事業活動とは切り離せないもの
があり、またその使い方も、業態に応じて多種多様で あります。私は、政府案のように、
個々の事業における個人情報の取り扱いを熟知している事業所管大臣が監督する方がより
効果的な制度となると考えるもので あります。
そこで、細田大臣及び野党提案者にお伺いをいたしますが、個人情報保護法制の実効性
15
確保の観点から、第三者機関を設置することの是非についてお答えをいただきたいと思い
ます。
(米田副大臣)
お答えをいたします。
民間における個人情報の取り扱いは、砂田先生のお説のとおり、その事業実施と一体と
して行われるものであります。また、その適正な取り扱いの具体的な内容も、当然ながら、
業種、業態によってさまざまな形になるわけでございますので、事業ごとに判断すること
が不可欠であるというふうに考えております。
このため、政府案の第三十六条では、それぞれの事業を所管する大臣を主務大臣とし、
当該事業における個人情報の適正な取り扱いについて行政責任と権限を規定しております。
野党案のように、新たな第三者機関を設けるとすれば、地方組織を含む大規模な行政組
織が必要となるわけでございまして、行政改革の流れに反するとともに、事業を所管する
大臣との間に二重行政が生ずるおそれがあるなど、現実性、実効性の観点から大変問題が
多いというふうに考えております。
【政府案への対案関係】
○第156回国会 衆議院個人情報の保護に関する特別委員会(平成15年4月8日)会議録(抄)
(細野議員)
民主党・無所属クラブ、自由党、日本共産党、社会民主党・市民連合を代表して、ただ
いま議題となりました個人情報保護法案並びに関連法案の趣旨を説明いたします。
(中略)
また、個人情報保護における主務大臣の恣意的な運用を避けるために、いわゆる三条委
員会である個人情報保護委員会を内閣府の外局に設置することといたしました。すなわち、
個人情報の適正な取り扱いのために必要な監督、苦情の処理等の役割をこの個人情報保護
委員会に与えることとしております。
(後略)
○第156回国会 衆議院個人情報の保護に関する特別委員会(平成15年4月15日)会議録(抄)
(細野議員)
まず第三者機関に関しては、小泉総理の方からは二重行政という御批判がございました
けれども、特にこの問題に関しては、主務大臣という、午前中の答弁の中でもありました
けれども、一体担当者がだれかわからない、しかも、非常に権限が強い形で個人情報とい
う形で関与されるんじゃないか、さまざまな面で弊害が多い、むしろ、第三者機関をつく
って、きちっとそこで担保していった方が客観的でいいんじゃないかという判断を我々は
いたしました。
行政改革についての考え方は、これは当然、不必要なものを削る、そのかわり必要なと
ころはきちっと担保していく、それは制度としてつくっていく、そういう考え方でこの機
関については設置をしたいと考えております。
規模といたしましては、第三者機関の代表的な例である公正取引委員会を例にとります
と、大体その三分の一程度を想定しております。
16
組織体制につきましては、これは個人情報に関しても全国各地でさまざまなケースが考
えられるわけでございますので、大体全国を八か九のブロックに分けまして、本部の事務
局は当然東京に置くということを想定しております。本部や、必要であれば一部の地方事
務所については、調査機能を持たせることを検討しております。
以上でございます。
(参照)衆議院ホームページ【URL】http://www.shugiin.go.jp/index.nsf/html/index.htm
5.諸外国・国際機関の状況
第三者機関を設置している国が多い。
国・機関
制度の内容
イギリス
(法律)
官民双方を監督する独立した監督機関として、情報コミッショナーが設置さ
れている。2005∼2006 年度における全職員数は、245 人である(データ保護以
外の担当者を含む)。同コミッショナーの機能は、①情報の適切な取扱いの推
進、②データ保護に関する啓発、③データ管理者の行動規範の作成・承認、④
情報の届出の管理、⑤法令遵守の調査、⑥法令違反に対する通知の発出、⑦犯
罪の起訴、⑧議会への報告等を行うことである。
フランス
(法律)
官民双方を監督する独立行政委員会として、情報処理及び自由に関する国家
委員会(CNIL)が設置されている。同委員会は 17 名の委員で構成されており、
2006 年 12 月現在の職員数は 85 人である。同委員会の機能は、①情報の取扱い
の届出・許可の管理、②義務違反に対する制裁、③苦情処理、④助言、⑤違法
行為の告発、⑥調査及び物件収集、⑦政府及び民間団体への助言、⑧重大・急
迫時の裁判所への安全保護措置の命令要求等を行うことであり、強力な規制権
限を有している点が特色である。
ドイツ
(連邦法)
ドイツでは、以下の監督体制をとっている(左は監督機関名、右は監督対象)。
① 連邦データ保護監察官:連邦の公的機関及び民営化された一部事業者
② 州のデータ保護監察官:州の公的部門
③ 州のデータ保護監察官又は内務省の下の監督官庁:一般の民間事業者
民間部門についての監督機関の機能は、①法律違反についての本人への通
知、訴追又は告発、②データ処理の届出の管理、③事業者に対する情報開示請
求、④立入検査の実施、⑤技術的・組織的措置の実施命令等を行うことである。
アメリカ
(連邦法)
連邦取引委員会(FTC)は、諸外国の監督機関ほど政府から独立しているわ
けではないが、消費者及び事業者の啓発に当たっている。FTC の機能は、①連
邦取引委員会法に基づく、企業の個人情報の取扱いに関する不正・欺瞞の監視、
②金融サービス近代化法に基づく、ア)金融のプライバシー通知に関する規則の
実施、イ)個人情報の事務的、技術的及び物理的保護、ウ)詐欺に対する執行、③
公正信用報告法及びこどもオンラインプライバシー保護法に基づく、消費者の
プライバシー保護を行うことである。なお、信用情報については、違反行為者
を被告とする民事訴訟の提起権限を有する。
医療情報については、厚生省(HHS)の公民権室(OCR)で苦情を受け付けて
いる。
OECD
OECD プライバシー・ガイドラインでは、監督機関に関する特段の規定は設け
られていない。採るべき実効性担保の仕組みは、各国の法体系等によって変わ
(ガイドライン)
17
り得るため、監督機関の設置等は各国の判断に委ねられている。
EU
(指令)
EU データ保護指令では、各構成国は、各国の規定の適用に関し、完全に独立
して監督する公的機関を定めなければならないとされている。
監督機関の機能は、①調査、②介入、③法的手続の開始、違反の司法機関へ
の通知、④個人の主張の聴取、⑤定期的な活動報告書の作成を行うこととされ
ている。
APEC
APEC フレームワークでは、監督機関に関する特段の規定は設けられていな
い。損害防止のため、制度の実施の仕組みを整備すべきとされている。
(フレームワーク)
(参照)「諸外国等における個人情報保護制度の運用実態に関する検討委員会報告書」(平成
19 年 1 月)
6.参照条文
(1)附帯決議
○個人情報の保護に関する法律案に対する附帯決議(衆議院)(抄)
六
第三者機関の意義について交わされた議論等さまざまな国会における議論を踏まえ、
全面施行後三年を目途として、本法の施行状況について検討を加え、その結果に基づ
いて必要な措置を講ずること。
○個人情報の保護に関する法律案に対する附帯決議(参議院)(抄)
六 第三者機関の意義や死者に関する個人情報の保護の在り方等について交わされた議
論等これまでの国会における議論を踏まえ、全面施行後三年を目途として、本法の施
行状況について検討を加え、その結果に基づいて必要な措置を講ずること。
(2)個人情報の保護に関する法律(平成 15 年法律第 57 号)
(抄)
(地方公共団体等への支援)
第八条 国は、地方公共団体が策定し、又は実施する個人情報の保護に関する施策及び国民
又は事業者等が個人情報の適正な取扱いの確保に関して行う活動を支援するため、情報の
提供、事業者等が講ずべき措置の適切かつ有効な実施を図るための指針の策定その他の必
要な措置を講ずるものとする。
(主務大臣)
第三十六条 この節の規定における主務大臣は、次のとおりとする。ただし、内閣総理大臣
は、この節の規定の円滑な実施のため必要があると認める場合は、個人情報取扱事業者が
行う個人情報の取扱いのうち特定のものについて、特定の大臣又は国家公安委員会(以下
「大臣等」という。)を主務大臣に指定することができる。
一 個人情報取扱事業者が行う個人情報の取扱いのうち雇用管理に関するものについては、
厚生労働大臣(船員の雇用管理に関するものについては、国土交通大臣)及び当該個人情
報取扱事業者が行う事業を所管する大臣等
18
二 個人情報取扱事業者が行う個人情報の取扱いのうち前号に掲げるもの以外のものにつ
いては、当該個人情報取扱事業者が行う事業を所管する大臣等
2 (略)
3 各主務大臣は、この節の規定の施行に当たっては、相互に緊密に連絡し、及び協力しな
ければならない。
(主務大臣)
第四十九条 この節の規定における主務大臣は、次のとおりとする。ただし、内閣総理大臣
は、この節の 規定の円滑な実施のため必要があると認める場合は、第三十七条第一項の
認定を受けようとする者のうち特定のものについて、特定の大臣等を主務大臣に指定する
ことができる。
一 設立について許可又は認可を受けている認定個人情報保護団体(第三十七条第一項の
認定を受けようとする者を含む。次号において同じ。)については、その設立の許可又
は認可をした大臣等
二 前号に掲げるもの以外の認定個人情報保護団体については、当該認定個人情報保護団
体の対象事業者が行う事業を所管する大臣等
2 (略)
(連絡及び協力)
第五十四条 内閣総理大臣及びこの法律の施行に関係する行政機関の長は、相互に緊密に連
絡し、及び協力しなければならない。
19
(別添1)
民間事業者に対するガイドライン等一覧
平成19年1月31日現在
分野
所管省庁
一般
厚生労働省
文部科学省
厚生労働省
経済産業省
医療
ガイドラインの名称
①医療・介護関係事業者における個人情報の適切な取扱いの
ためのガイドライン(局長通達)
②健康保険組合等における個人情報の適切な取扱いのため
のガイドライン(局長通達)
③医療情報システムの安全管理に関するガイドライン(局長通
達)
④国民健康保険組合における個人情報の適切な取扱いのた
めのガイドライン(局長通達)
策定・見直し時期
平成16年12月24日
平成18年4月21日(見直し)
平成16年12月27日
平成17年3月31日
平成17年4月1日
①ヒトゲノム・遺伝子解析研究に関する倫理指針(告示)
②疫学研究に関する倫理指針(告示)
③遺伝子治療臨床研究に関する指針(告示)
平成16年12月28日
臨床研究に関する倫理指針(告示)
平成16年12月28日
○「厚生科学審議会科学技術部会医学研究における個人情報の取扱いの在り方に関する専門委
員会」
○パブリックコメント
平成16年10月29日∼11月19日
ヒト幹細胞を用いる臨床研究に関する指針(告示)
平成18年7月3日
○「厚生科学審議会科学技術部会ヒト幹細胞を用いた臨床研究の在り方に関する専門委員会」
○パブリックコメント 平成18年3月9日∼平成18年4月7日
①金融分野における個人情報保護に関するガイドライン(告示)
平成16年12月6日
②金融分野における個人情報保護に関するガイドラインの安全
管理措置等についての実務指針(告示)
平成17年1月6日
厚生労働省
金融庁
金融・信用
信用
電気
通信
経済産業省
総務省
経済産業分野のうち信用分野における個人情報保護ガイドライン(告 平成16年12月17日
示)
平成18年10月16日(見直し)
電気通信事業における個人情報保護に関するガイドライン(告示)
総務省
放送受信者等の個人情報の保護に関する指針(告示)
○「産業構造審議会割賦販売分科会個人信用情報小委員会」
○国民生活審議会個人情報保護部会への報告(平成16年9月13日)
○パブリックコメント 平成16年10月1日∼10月29日
平成18年9月7日∼10月6日(見直し時)
○「電気通信事業分野におけるプライバシー情報に関する懇談会」
○国民生活審議会個人情報保護部会への報告(平成16年7月23日)
○パブリックコメント 平成16年6月28日∼7月27日
平成17年8月8日∼平成17年9月8日(見直し時)
平成16年8月31日
○「放送分野における個人情報保護及びIT時代の衛星放送に関する検討会」
○国民生活審議会個人情報保護部会への報告(平成16年7月23日)
○パブリックコメント 平成16年7月2日∼7月30日
○「衛星放送の将来像に関する研究会」
○パブリックコメント 平成18年7月21日∼8月31日、平成19年2月6日∼3月7日(見直し時)
個人情報の保護に関する法律についての経済産業分野を対象とする 平成16年10月22日
ガイドライン(告示)
事業全般
○「金融審議会金融分科会特別部会」
○国民生活審議会個人情報保護部会への報告(平成16年9月13日)
○パブリックコメント
①について 平成16年10月1日∼10月29日
②について 平成16年11月19日∼12月3日
平成16年8月31日
平成17年10月17日(見直し)
情報通信
放送
○「医療機関等における個人情報保護のあり方に関する検討会」
○国民生活審議会個人情報保護部会への報告(平成16年9月13日)
○パブリックコメント
①について 平成16年10月29日∼11月30日
平成18年3月23日∼4月5日(見直し時)
②について 平成16年12月9日∼12月22日
③について 平成17年3月1日∼3月14日
(文部科学省)「科学技術・学術審議会生命倫理・安全部会ライフサイエンス
研究におけるヒト遺伝情報の取扱い等に関する小委員会」
(厚生労働省)「厚生科学審議会科学技術部会医学研究における個人情報の
取扱いの在り方に関する専門委員会」
(経済産業省)「産業構造審議会化学バイオ部会個人遺伝情報保護小委員会」
○国民生活審議会個人情報保護部会への報告(平成16年9月13日)
○パブリックコメント
①について 平成16年10月22日∼11月19日
②∼③について 平成16年10月29日∼11月19日
研究
金融
検討の経過
経済産業省
経済産業分野のうち個人遺伝情報を用いた事業分野における個人情
平成16年12月17日
報保護ガイドライン(告示)
20
○「ガイドライン検討委員会」
○国民生活審議会個人情報保護部会への報告(平成16年7月23日)
○パブリックコメント 平成16年6月15日∼7月14日
○パブリックコメント 平成16年10月25日∼11月19日
分野
雇用管理
雇用管理
警察
防衛
法務
所管省庁
一般
船員
ガイドラインの名称
策定・見直し時期
雇用管理に関する個人情報の適正な取扱いを確保するために事業
者が講ずべき措置に関する指針(告示)
平成16年7月1日
○国民生活審議会個人情報保護部会への報告(平成16年7月23日)
○パブリックコメント 平成16年6月15日∼6月29日
雇用管理に関する個人情報のうち健康情報を取り扱うに当たっての
留意事項について(局長通達)
平成16年10月29日
○「労働者の健康情報の保護に関する検討会」
○国民生活審議会個人情報保護部会への報告(平成16年10月25日)
○パブリックコメント 平成16年10月15日∼10月28日
船員の雇用管理に関する個人情報の適正な取扱いを確保するため
に事業者が講ずべき措置に関する指針(告示)
平成16年9月29日
○パブリックコメント 平成16年8月10日∼8月23日
国家公安委員会が所管する事業を行う者等が講ずべき個人情報の
保護のための措置に関する指針(告示)
平成16年10月29日
○国民生活審議会個人情報保護部会への報告(平成16年10月25日)
○パブリックコメント 平成16年9月17日∼10月7日
厚生労働省
国土交通省
検討の経過
警察庁
警察共済組合が講ずべき個人情報の保護のための措置に関する指
平成17年3月29日
針について(局長通達)
○部内において検討
防衛省
防衛省関係事業者が取り扱う個人情報の保護に関する指針(告示)
○パブリックコメント 平成18年3月30日∼平成18年4月28日
法務省
法務省が所管する分野における事業者等が取り扱う個人情報の保護 平成16年10月29日
に関するガイドライン(告示)
債権管理回収業分野における個人情報の保護に関するガイドライン 平成16年12月16日
(課長通知)
平成18年1月11日(見直し)
平成18年5月25日
○国民生活審議会個人情報保護部会への報告(平成16年10月25日)
○パブリックコメント 平成16年9月29日∼10月20日
○パブリックコメント 平成16年11月9日∼11月30日
○部内において検討(見直し時)
外務
外務省
外務省が所管する事業を行う事業者等が取り扱う個人情報の保護に
平成17年3月25日
関するガイドライン(告示)
○パブリックコメント 平成17年3月1日∼3月21日
財務
財務省
財務省所管分野における事業者が講ずべき個人情報の保護に関す
平成16年11月25日
る指針(告示)
○国民生活審議会個人情報保護部会への報告(平成16年9月13日)
○パブリックコメント 平成16年9月30日∼10月29日
教育
文部科学省
学校における生徒等に関する個人情報の適正な取扱いを確保するた
平成16年11月11日
めに事業者が講ずべき措置に関する指針(告示)
○国民生活審議会個人情報保護部会への報告(平成16年10月25日)
○パブリックコメント 平成16年10月25日∼11月4日
福祉
厚生労働省
福祉関係事業者における個人 情報の適正な取扱いのためのガイドラ
平成16年11月30日
イン(局長通達)
○国民生活審議会個人情報保護部会への報告(平成16年10月25日)
○パブリックコメント 平成16年9月30日∼10月15日
職業紹介等
厚生労働省
職業紹介事業者、労働者の募集を行う者、募集受託者、労働者供給
事業者等が均等待遇、労働条件等の明示、求職者等の個人情報の
平成16年11月4日
取扱い、職業紹介事業者の責務、募集内容の的確な表示等に関して
適切に対処するための指針(告示)
○「労働政策審議会労働力需給制度部会」
○国民生活審議会個人情報保護部会への報告(平成16年10月25日)
○パブリックコメント 平成16年10月1日∼10月22日
労働者派遣
厚生労働省
派遣元事業主が講ずべき措置に関する指針(告示)
平成16年11月4日
○「労働政策審議会労働力需給制度部会」
○国民生活審議会個人情報保護部会への報告(平成16年10月25日)
○パブリックコメント 平成16年10月1日∼10月22日
労働組合
厚生労働省
個人情報の適正な取扱いを確保するために労働組合が講ずべき措
置に関する指針(告示)
平成17年3月25日
○パブリックコメント 平成17年3月1日∼3月14日
企業年金
厚生労働省
企業年金等に関する個人情報の取扱いについて(局長通達)
平成16年10月1日
○部内において検討
国土交通
農林水産
国土交通省
農林水産省
国土交通省所管分野における個人情報保護に関するガイドライン(告
平成16年12月2日
示)
○「国土交通省情報化政策委員会」
○国民生活審議会個人情報保護部会への報告(平成16年10月25日)
○パブリックコメント 平成16年9月21日∼10月20日
不動産流通業における個人情報保護法の適用の考え方(課長通知) 平成17年1月14日
○「不動産業における個人情報保護のあり方に関する研究会」
個人情報の適正な取扱いを確保するために農林水産分野における事
平成16年11月9日
業者が講ずべき措置に関するガイドライン(告示)
○「農林水産省個人情報安全管理連絡会議」
○国民生活審議会個人情報保護部会への報告(平成16年10月25日)
○パブリックコメント 平成16年9月3日∼9月30日
合計22分野
(注)この他、金融庁においては、個人情報保護について格別の措置を講ずるため、関連する業法施行規則の改正を行った。(平成17年3月)
21
(別添2)
認定個人情報保護団体の認定の状況
平成19年1月31日現在
対象事業等分野
所管府省
名称
認定年月日
対象事業者数
証券業
金融庁
認定法人 日本証券業協会
平成17年4月1日
508
保険業
金融庁
社団法人 生命保険協会
平成17年4月1日
38
保険業
金融庁
社団法人 日本損害保険協会
平成17年4月1日
24(2)
銀行業
金融庁
全国銀行個人情報保護協議会
平成17年4月15日
247
信託業
金融庁
社団法人 信託協会
平成17年4月15日
52
(2)
投資信託委託業
金融庁
社団法人 投資信託協会
平成17年7月1日
114
証券投資顧問業
金融庁
社団法人 日本証券投資顧問業協会
平成17年7月1日
250
信用情報機関
金融庁
全国信用情報センター連合会
平成17年10月24日
36
保険業
金融庁
有限責任中間法人外国損害保険協会
平成18年11月30日
21
放送
総務省
財団法人 放送セキュリティセンター
平成17年4月12日
548(244)
電気通信事業
総務省
経済産業省
財団法人 日本データ通信協会
平成17年4月12日
145(145)
事業全般
総務省
経済産業省
財団法人日本情報処理開発協会
平成17年6月27日
2,819(2,819)
製薬業
厚生労働省
日本製薬団体連合会
平成17年10月20日
1,064
介護・福祉
厚生労働省
社会福祉法人 沖縄県社会福祉協議会
平成18年2月2日
介護・福祉
厚生労働省
社会福祉法人 岐阜県社会福祉協議会
平成18年3月30日
医療
厚生労働省
社団法人 全日本病院協会
平成18年2月13日
2150
医療・介護
厚生労働省
特定非営利活動法人 医療ネットワーク支援セン
ター
平成18年3月24日
25(17)
医療・介護・福祉
厚生労働省
特定非営利活動法人 患者の権利オンブズマン
平成18年3月24日
13
手技療法(柔道整復・はり・きゅ
う・あんまマッサージ指圧・整 厚生労働省
体・カイロプラティックス・リラク 経済産業省
ゼーション等)
特定非営利活動法人 日本手技療法協会
平成18年3月31日
135
ギフト用品に関する事業
経済産業省
社団法人 全日本ギフト用品協会
平成17年5月13日
86
葬祭業
経済産業省
JECIA個人情報保護協会
平成17年5月13日
120
クレジット事業
経済産業省
クレジット個人情報保護推進協議会
平成17年5月30日
860
印刷・グラフィックサービス工業 経済産業省
社団法人 東京グラフィックサービス工業会
平成17年12月7日
473
小売業
経済産業省
社団法人 日本専門店協会
平成17年12月7日
249
経済産業分野
経済産業省
平成18年2月10日
26
経済産業分野
経済産業省
平成18年2月13日
9(9)
経済産業分野
経済産業省
長野県個人情報保護協会
平成18年8月4日
13(13)
結婚情報サービス業
経済産業省
結婚情報サービス協議会
平成18年3月9日
4
新聞販売業
経済産業省
大阪毎日新聞販売店事業協同組合
平成18年3月9日
625
葬祭業
経済産業省
全国こころの会葬祭事業協同組合
平成18年3月31日
3
自動車販売業
経済産業省
国土交通省
社団法人 日本自動車販売協会連合会
平成17年5月19日
1,714
自動車登録番号交付代行業
国土交通省
社団法人 全国自動車標板協議会
平成17年12月27日
57(57)
特定非営利活動法人 日本個人・医療情報管理協
会
社団法人 日本消費生活アドバイザー・コンサルタ
ント協会
計32団体
※対象事業者数の( )は、認定業務の対象となることについて同意を得た事業者の数。
22
707
290
【論点4】
死者に関する個人情報の保護の在り方についてどのように考えるか。
【「主な検討課題」該当部分】
・現行法は生存する個人に関する情報のみを保護の対象としていることについて、どのよう
に考えるか。
1.現状
・個人情報保護法は、個人情報の本人を対象として、本人の権利利益の侵害を未然に防止
することを目的としており、死者に関する情報の保護によって、遺族等の第三者の権利
利益を保護することまで意図するものではないことから、現行法では、「個人情報」を
生存する個人に関する情報に限っている。したがって、死者に関する情報については、
同時に遺族等の生存する個人に関する情報でもある場合のみ、当該生存する個人に関す
る情報として保護される。
・
「医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン」では、
患者・利用者が死亡した後においても、医療・介護関係事業者が当該患者・利用者の情
報を保存している場合には、漏えい、滅失又はき損等の防止のため、生存する個人に関
する情報と同等の安全管理措置を講ずるものとすることとされている。
・「診療情報の提供等に関する指針」では、
① 医療従事者等は、患者が死亡した際には遅滞なく、遺族に対して、死亡に至るまで
の診療経過、死亡原因等についての診療情報を提供しなければならない
② 診療記録については、遺族(患者の配偶者、子、父母及びこれに準ずる者)からの
開示の求めも対象とする
③ 遺族に対する診療情報の提供に当たっては、患者本人の生前の意思、名誉等を十分
に尊重する
こととされている。
2.検討の方向性
死者に関する個人情報の保護については、
① 医療・介護分野のガイドラインにおいて、死亡した患者等の情報を保存してい
る場合には、生存する個人の情報と同等の安全管理措置を講じるよう求められ
ていること
② 「診療情報の提供等に関する指針」において、遺族からの診療記録の求めも対
象としていること
等、所要の措置が講じられていることから、その運用を注視していくことが適当
ではないか。
23
※ヒアリングにおける主な意見、関係省庁の取組等、パブリックコメントにおける主な意見については、便宜事務局で整理した。
<参考>
1.ヒアリングにおける主な意見
○慶應義塾
・物故者の情報は保護の対象ではないが、血縁者への配慮が必要である。
2.関係省庁の取組等
○厚生労働省(医療分野)
・死者の情報の取扱いについては、ガイドラインにおいて、遺族からの開示の求めも対象
としているほか、死亡した患者の情報を保存している場合には、生存する個人の情報と
同等の安全管理措置を講じるよう求めている。
3.パブリックコメントにおける主な意見
・医療情報などをはじめとして、死者の個人情報を保護の対象から外す理由はない。(日
本弁護士連合会等)
・死者の情報を保護の対象とする場合には、誰にどのような権利を付与するかについて慎
重な検討が必要。(在日米国商工会議所)
4.法案審議時における議論
○第156回 国会参議院個人情報の保護に関する特別委員会(平成15年5月13日)会議録(抄)
(内藤正光君)
次は、第二条の定義についてお尋ねしたいんですが、第二条の定義で、個人情報とは生
存する個人に関するものだというふうに明言されております。
そこでちょっとお尋ねしたいのは、いわゆる死者に関する個人情報というものをあえて
外した理由は何なんでしょうか。
(国務大臣(細田博之君)
)
やはり本来、個人が自ら、その権利利益の侵害に対して、それを未然に防止することも
含めてその法律の対象として保護すべきであるという意味で、保護法益を生存する個人と
いうことにしたわけでございまして、遺族などの第三者の権利利益を保護することまで意
図したものではございません。
ただ、これもこれまでの御審議でも明らかにしておりますが、その死者に関する情報が
同時に遺族などの生存する個人に関する情報であると、例えば遺伝子情報とかいろんな例
があるかもしれませんが、正に自分に関する情報であるという場合にはこれは法案の対象
となると。しかし、そこまでが限度であって、例えば お亡くなりになった方について、親
が亡くなったと、どうも医療において過誤があったんじゃないか、そのカルテを見せろと
いうような問題はまた別の問題で あって、個人情報保護法というのはやっぱり生ける個人
の権利を保護する、権利利益を保護するという立場で割り切っております。
(参照)参議院ホームページ【URL】http://www.sangiin.go.jp/index.htm
24
5.諸外国・国際機関の状況
死者に関する個人情報の保護
個人情報保護法制上、死者に関する個人情報について規定している国・機関は少ない。
国・機関
制度の内容
イギリス
1998 年データ保護法では、
「生存する個人」という概念が使われているため、
(法律)
本法上、死者は何の権利も認められていないといえる。
1990 年保健記録法では、死者の保健記録に関するアクセス権について規定さ
れている。同規定では、患者が死亡した場合、その患者の遺言執行者や遺産管
理人等は、保健記録の保有者に対してアクセスを請求することができるとされ
ている。
フランス
情報処理、情報ファイル及び自由に関する法律では、死亡原因を証明するた
(法律)
めに作成された情報を含め、死者に関する情報は、当該個人が、生前に書面で
拒否した場合を除き、情報処理の対象となり得るとされている。また、訂正請
求の一環として、死者の相続人は、死者に関する情報の更新をするよう情報取
扱責任者に請求することができ、この請求があった場合、情報取扱責任者は、
必要な措置をとったことを無料で請求者に証明しなければならないとされて
いる。
基本的人権は生存する人間だけに適用されるため、死者の情報は保護の対象
外である(現地での聞き取り調査による)
。
ドイツ
連邦データ保護法には、死者の個人情報に関する規定は設けられていない。
(連邦法)
死者の個人情報については、民法上の人格権を根拠に遺族が保護を求めるこ
とができるようである。また、憲法裁判所においても、死者の人格権は死後も
保護されるべきである旨の判決がある(現地での聞き取り調査による)
。
また、カルテの第三者への開示については、開示先が遺族の場合には、民法
上の解釈により開示でき、開示先が遺族以外の第三者の場合には、刑法上の医
者の守秘義務との関係で、原則として開示できない(現地での聞き取り調査に
よる)。
アメリカ
個人の健康情報に係るプライバシー規則(医療保険の相互運用性と説明責任
(連邦法) に関する法律(HIPAA)プライバシールール)は、死者の個人情報についても
適用されることを明示的に規定している。
具体的には、死者の情報の取扱いについて、
・ 対象機関は、検死官又は医療検査官に対し、死者の同定、死因の決定等の
義務を履行することを目的として、医療情報を提供することができる
・ 対象機関が、検死官又は医療検査官の義務をも同時に履行している場合、
定められた目的のために自ら医療情報を利用することができる
・ 対象機関は、葬儀施主に対し、その業務に必要な限りにおいて、法に定め
るところにより情報を提供することができる
といった規定がある。
OECD
OECD プライバシー・ガイドラインでは、死者に関する個人情報の保護に関す
(ガイドライン) る規定は設けられていない。
EU
EU データ保護指令は、死者のデータについてはあえて言及していないという
(指令)
のが関係者の一致した解釈である。閣僚理事会、EU 委員会とも、「個人情報」
に死者のデータを含めるか否かは、加盟各国の立法政策に委ねるということで
合意している。
APEC
APEC プライバシーフレームワークでは、死者の個人情報については特段記述
(フレームワーク)
されていない。
(参照)「諸外国等における個人情報保護制度の運用実態に関する検討委員会報告書」(平成
19 年 1 月)
25
6.参照条文
(1)附帯決議
○個人情報の保護に関する法律案に対する附帯決議(参議院)(抄)
六
第三者機関の意義や死者に関する個人情報の保護の在り方等について交わされた議
論等これまでの国会における議論を踏まえ、全面施行後三年を目途として、本法の施行
状況について検討を加え、その結果に基づいて必要な措置を講ずること。
(2)個人情報の保護に関する法律(平成15年法律第57号)(抄)
(定義)
第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、当該情
報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるも
の(他の情報と容易に照合することができ、それにより特定の個人を識別することができ
ることとなるものを含む。)をいう。
2∼6 (略)
(3) 医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン(平成16
年12月24日(平成18年4月21日改正)厚生労働省)(抄)
Ⅰ 本ガイドラインの趣旨、目的、基本的考え方
4.本ガイドラインの対象となる「個人情報」の範囲
法令上「個人情報」とは、生存する個人に関する情報であり、個人情報取扱事業者の義
務等の対象となるのは、生存する個人に関する情報に限定されている。本ガイドラインは、
医療・介護関係事業者が保有する生存する個人に関する情報のうち、医療・介護関係の情
報を対象とするものであり、また、診療録等の形態に整理されていない場合でも個人情報
に該当する。
なお、当該患者・利用者が死亡した後においても、医療・介護関係事業者が当該患者・
利用者の情報を保存している場合には、漏えい、滅失又はき損等の防止のため、個人情報
と同等の安全管理措置を講ずるものとする。
8.遺族への診療情報の提供の取扱い
法は、OECD8原則の趣旨を踏まえ、生存する個人の情報を適用対象とし、個人情報
の目的外利用や第三者提供に当たっては本人の同意を得ることを原則としており、死者の
情報は原則として個人情報とならないことから、法及び本ガイドラインの対象とはならな
い。しかし、患者・利用者が死亡した際に、遺族から診療経過、診療情報や介護関係の諸
記録について照会が行われた場合、医療・介護関係事業者は、患者・利用者本人の生前の
意思、名誉等を十分に尊重しつつ、特段の配慮が求められる。このため、患者・利用者が
死亡した際の遺族に対する診療情報の提供については、
「診療情報の提供等に関する指針」
(「診療情報の提供等に関する指針の策定について」(平成15 年9月12日医政発第0912001
号)
)の9において定められている取扱いに従って、医療・介護関係事業者は、同指針の規
定により遺族に対して診療情報・介護関係の記録の提供を行うものとする。
(4) 診療情報の提供等に関する指針(
「診療情報の提供等に関する指針の策定について」(平
成15年9月12日医政発第0912001号)
(抄)
3 診療情報の提供に関する一般原則
○ 医療従事者等は、患者等にとって理解を得やすいように、懇切丁寧に診療情報を提供
26
○
するよう努めなければならない。
診療情報の提供は、①口頭による説明、②説明文書の交付、③診療記録の開示等具体
的な状況に即した適切な方法により行われなければならない。
7 診療記録の開示
(1)診療記録の開示に関する原則
○ 医療従事者等は、患者等が患者の診療記録の開示を求めた場合には、原則としてこれ
に応じなければならない。
○ 診療記録の開示の際、患者等が補足的な説明を求めたときは、医療従事者等は、でき
る限り速やかにこれに応じなければならない。この場合にあっては、担当の医師等が説
明を行うことが望ましい。
(3)診療記録の開示に関する手続
○ 医療機関の管理者は、以下を参考にして、診療記録の開示手続を定めなければならな
い。
① 診療記録の開示を求めようとする者は、医療機関の管理者が定めた方式に従って、医
療機関の管理者に対して申し立てる。なお、申立ての方式は書面による申立てとするこ
とが望ましいが、患者等の自由な申立てを阻害しないため、申立ての理由の記載を要求
することは不適切である。
② 申立人は、自己が診療記録の開示を求め得る者であることを証明する。
③ 医療機関の管理者は、担当の医師等の意見を聴いた上で、速やかに診療記録の開示を
するか否か等を決定し、これを申立人に通知する。医療機関の管理者は、診療記録の開
示を認める場合には、日常診療への影響を考慮して、日時、場所、方法等を指定するこ
とができる。
なお、診療記録についての開示の可否については、医療機関内に設置する検討委員会等
において検討した上で決定することが望ましい。
(4)診療記録の開示に要する費用
○ 医療機関の管理者は、申立人から、診療記録の開示に要する費用を徴収することがで
きる。
8
診療情報の提供を拒み得る場合
医療従事者等は、診療情報の提供が次に掲げる事由に該当する場合には、診療情報の
提供の全部又は一部を提供しないことができる。
① 診療情報の提供が、第三者の利益を害するおそれがあるとき
② 診療情報の提供が、患者本人の心身の状況を著しく損なうおそれがあるとき
<①に該当することが想定され得る事例>
・ 患者の状況等について、家族や患者の関係者が医療従事者に情報提供を行っている場
合に、これらの者の同意を得ずに患者自身に当該情報を提供することにより、患者と家
族や患者の関係者との人間関係が悪化するなど、これらの者の利益を害するおそれがあ
る場合
<②に該当することが想定され得る事例>
・ 症状や予後、治療経過等について患者に対して十分な説明をしたとしても、患者本人
に重大な心理的影響を与え、その後の治療効果等に悪影響を及ぼす場合
※ 個々の事例への適用については個別具体的に慎重に判断することが必要である。
○
○
医療従事者等は、診療記録の開示の申立ての全部又は一部を拒む場合には、原則とし
て、申立人に対して文書によりその理由を示さなければならない。また、苦情処理の体
制についても併せて説明しなければならない。
27
9
遺族に対する診療情報の提供
医療従事者等は、患者が死亡した際には遅滞なく、遺族に対して、死亡に至るまでの
診療経過、死亡原因等についての診療情報を提供しなければならない。
○ 遺族に対する診療情報の提供に当たっては、3、7の(1)、(3)及び(4)並びに
8の定めを準用する。ただし、診療記録の開示を求め得る者の範囲は、患者の配偶者、
子、父母及びこれに準ずる者(これらの者に法定代理人がいる場合の法定代理人を含む。
)
とする。
○ 遺族に対する診療情報の提供に当たっては、患者本人の生前の意思、名誉等を十分に
尊重することが必要である。
○
28