一般知識科目 情報通信・個人情報保護3

個人情報の保護に関する法律
(平成十五年五月三十日法律第五十七号)
最終改正:平成二八年五月二七日法律第五一号
(最終改正までの未施行法令)
平成二十七年九月九日法律第六十五号 (一部未施行)
平成二十八年五月二十七日法律第五十一号 (未施行)
 第一章 総則(第一条―第三条)
 第二章 国及び地方公共団体の責務等(第四条―第六条)
 第三章 個人情報の保護に関する施策等
  第一節 個人情報の保護に関する基本方針(第七条)
  第二節 国の施策(第八条―第十条)
  第三節 地方公共団体の施策(第十一条―第十三条)
  第四節 国及び地方公共団体の協力(第十四条)
 第四章 個人情報取扱事業者の義務等
  第一節 個人情報取扱事業者の義務(第十五条―第三十六条)
  第二節 民間団体による個人情報の保護の推進(第三十七条―第四十九条)
 第五章 個人情報保護委員会(第五十条―第六十五条)
 第六章 雑則(第六十六条―第七十二条)
 第七章 罰則(第七十三条―第七十八条)
 附則
   第一章 総則

 

個人情報保護法

個人情報保護法は、個人情報を取扱う際のルールを定めて、個人情報の取扱いで個人の権利が侵害されるおそれのある事故の発生を未然に防ぐための法律です。また、国や地方公共団体などの取扱う個人情報については、行政機関個人情報保護法、独立行政法人個人情報保護法、個人情報保護条例――などが制定されています。
行政書士試験での出題の頻度も高く、得点につながるテーマともいえるので、じっくりと法律を読んでいきましょう。
今回は、①個人情報保護法制定の背景、②個人情報保護法――を勉強します。

Ⅰ.個人情報保護法制定の背景
個人情報保護法は、1970年代に西ヨーロッパ諸国で制定されたのが始まりです。しかし、具体的な規制内容は国ごとに異なっていいたため、OECD(経済協力開発機構)で協議され、1980年にOECD理事会勧告が採択されました。この勧告の付属文書であるOECD8原則は、加盟国に対する強制力はありませんが、国内適用の基本原則を定め、先進国の個人情報保護法則のスタンダードとなっています。
OECD8原則の具体的内容は次のとおりです。
①目的明確化の原則:収集目的を明確にして、データ利用は収集目的に合致する
②利用制限の原則:データ主体の同意がある場合、法律の規定による場合以外は目的以外に利用・使用してはいけない
③収集制限の原則:適法・公正な手段により、かつ情報主体に通知または同意を得て収集する
④データ内容の原則:利用目的に沿ったもので、かつ、正確、完全、最新とする
⑤安全保護の原則:合理的安全保護措置により、紛失・破壊・使用・修正・開示などから保護する
⑥公開の原則:データ収集の実施方針等を開示し、データの存在、利用目的、管理者などを明示する
⑦個人参加の原則:自己に関するデータの所在および内容を確認させ、または異議申立てを保証する
⑧責任の原則:管理者は諸原則実施の責任を有する
上記を踏まえた世界各国の個人情報保護法の制定の態様は、アメリカでは特定の分野に対象を限定した個別法が数多いセントラル方式、欧州主要国では官民双方を包括的に適用の対象とするオムニバス方式がとられています。また、我が国は官民別個の法律を制定するセグメント方式を採用しています。
日本について詳しくお話しすると、国や地方公共団体など行政対応では、OECD理事会勧告を受け、日本でも個人情報保護法の制定に向けた機運が高まり、1988年に行政機関の電子計算機における個人情報保護のための法律が制定されました。ただし、地方レベルでは、OECD理事会勧告以前に条例が制定されている例があります。1973年の徳島市、1975年の国立市です。
一方、民間レベルへの対応でも、住民基本台帳ネットネットワークシステムの稼働の際、民間に個人情報が流出した場合に備えるために、2003年に個人情報の保護に関する法律(個人情報保護法)が制定されました。この背景には、個人情報の大量漏えい事件が頻繁に発生して社会問題となったことがあります。

Ⅱ.個人情報保護法
このテーマでの中心となる個人情報保護法の解説です。①総説、②目的と行政の責務、③定義、⑤個人情報取扱事業者の義務、⑥民間による個人情報保護――とお話しします。
1.総説
近年の急速な情報化の進展に伴い、個人情報を利用した各種サービスが提供され生活の利便性は向上されましたが、個人にとっては取扱いによっては取返しのつかない被害を及ぼすことにつながります。そこで、国際的な流れとも相まって我が国でも個人情報保護法が成立しました。個人情報保護法は、個人情報漏えい事故などで個人の権利利益を侵害した場合には、加害者に対して民法に基づく侵害賠償責任を科すなどのルールを定め、個人の権利利益を侵害するおそれがある事故の発生を予防しようとするものです。
2.目的と行政の責務
個人情報保護法の目的は、個人情報の有用性と個人の権利利益の保護との調和を図り、個人の権利利益が侵害される事件や事故の防止です。個人情報の有用性とは、社会一般から是認される個人情報の利用がもたらす利益のことで、個人の権利利益の保護の必要を上回る場合、その情報は公開すべきものと判断されます。
なお、個人情報保護法は、行政や民間で取扱われる個人情報の保護に関する基本法としての性質と民間部門に関する一般法としての性質を有しています。
個人情報保護に関する国や地方公共団体などの行政の責務は、個人情報保護法の趣旨に則り、個人情報の適正な取扱い確保のための必要な施策を、国は総合的に、地方公共団体は区域の特性に応じて策定し実施することです。政府には、特に適正な取扱いの厳格な実施を確保する必要がある個人情報について、保護のための格別の措置がとられるように、法制上の措置などを講じるものとされています。そこで、政府は2004年に個人情報の保護に対する基本方針を策定し、個人情報保護に関する諸施策を総合的かつ一体的に推進するために、その枠組みと方向性を明らかにしました。
また、個人情報保護に関する施策を講ずる場合、国と地方公共団体はお互いに協力するとも定められ、具体的な国・地方公共団体の個人情報保護に関する支援は下表のとおりです。

3.定義
個人情報保護法では、個人情報について、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述などにより特定の個人を識別することができるものと定義しています。つまり、死者に関する情報は原則として個人情報には該当しません。ただし、遺族などの情報は生存する個人に関する情報として、個人情報保護法の対象となります。また、氏名や住所などその者を特定できる情報は個人情報に該当しますが、単なる記号や数字で構成されている文字列のメールアドレスや社員番号・会員番号などは個人情報に該当しません。
個人情報に該当するか否かの例を下記にまとめますので、参考にしてください。
【個人情報に該当する情報】
・外国人に関する情報
・電話の通知内容や音声で特定の個人を識別できる場合の通話記録
・防犯カメラに記録された情報など本人が判別できる映像情報
・従業員の評価等の雇用管理情報
・個人を特定できるメールアドレス(別のリストやデータベースと関連付けて個人を特定できれば個人情報となります)
【個人情報に該当しない情報】
・企業の財務情報など法人等の団体自体に関する情報(役員に関する情報は除く)
・個人を特定できないメールアドレス
また、個人情報とは、私生活上の非公知の情報、プライバシー情報とは限りません。また、公開によって受ける精神的な苦痛の有無は、個人情報性とは関係ないので、「プライバシー情報=個人情報保護法上の個人情報」ではない点に注意してください。

個人情報では個人データを、個人情報データベース等を構成する個人情報のことと定義します。つまり、個人情報よりも限定された概念で、個人情報データベースに組込まれた個人に関する情報のことです。他の媒体に格納したバックアップ用の個人情報は個人データに該当しますが、個人情報データベース構成前の入力帳票に記載されている個人情報は個人データではありません。
また、個人情報データベースとは、個人情報を含む情報の集合体で、①特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの、②特定の個人情報を容易に検索することができるように体系的に構成したもの――として政令で定めるもののことです。例えば、インターネット上の検索エンジンは、地名等個人情報でない情報も検索されるので個人情報を検索できるように体系的に構成されているとは言えず、原則として個人情報データベースに含まれません。
個人データをもっと限定したものが、保有個人データです。保有個人データとは、個人情報取扱業者が開示、内容の訂正・追加・削除、利用の停止、消去、第三者への提供の停止を行うことのできる権限を有する個人データのことです。保有個人データは、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるものや、1年以内の政令で定める期間以内に消去することとなるもの以外を指します。

個人情報データベース等を事業の用に供している者のことを個人情報取扱事業者と言います。事業とは、一定の目的をもって反復継続して遂行される同種の行為のことで、営利事業に限らず法人格のない団体や個人も個人情報取扱事業者に該当します。
個人情報取扱事業とならない者は次のような者のことです。
①国の機関(国会、裁判所含む)
②地方公共団体
③独立行政法人等個人情報保護法に規定する独立行政法人
④地方独立行政法人法に規定する地方独立行政法人
⑤取扱う個人情報の量・利用方法から見て個人の権利利益を害するおそれの少ないものと政令で定める者(具体的には、特定できる個人の数が直近6カ月間1度も5000を超えていない者)
5.個人情報取扱事業者の義務
個人情報取扱事業者には、個人データの安全管理のために必要かつ適切な措置や、個人情報の取扱いに関する苦情の処理その他の個人情報の適正な取扱いを確保するために必要な措置を自らとり、内容の公表に努める義務があります。
もっとも、下記の者が下記の目的のために個人情報を使用する場合は適用除外となります。
①放送機関、新聞社、通信社その他の報道機関が報道のために供する場合
②著述を生業としている者が著述のために供する場合
③大学その他の学術研究を目的とする機関またはそれらに属する者が学術研究のために供する場合
④宗教団体が宗教活動のために供する場合
⑤政治団体が政治活動のために供する場合
また、個人情報取扱事業者は、個人情報を取扱うに当たり、利用目的をできる限り特定しなければなりません。したがって、個別の利用を類型化してまとめるなど、具体的な利用目的が、その利用目的の範囲内であるかどうかを判断できるように、可能な限り明確にする必要があります。
さらに、個人情報取扱事業者は、原則として、あらかじめ本人の同意を得ないで特定された利用目的の達成に必要な範囲を超えて、個人情報を取扱ってもいけません。例えば、商品を購入した人への配送のために取得した個人情報を利用して、別の商品の販売目的でダイレクトメールを送付することは、特定された利用目的の達成に必要な範囲を超えた個人情報の取扱いになります。
なお、本人とは、個人情報によって識別される特定の個人を指します。
また、利用目的による制限の適用除外は、次の4つです。
①法令、条例に基づく場合
②人の生命、身体または財産の保護のために必要があり、本人の同意を得ることが困難な場合
③公衆衛生の向上または児童の健全な育成の推進のために特に必要があり、本人の同意を得ることが困難な場合
④国の機関・地方公共団体・その委託を受けた者が、法令の定める事務を遂行することに対して協力する必要があり、本人の同意を得ることによりその事務の遂行に支障を及ぼすおそれがある場合
個人情報取扱事業者は、偽りやその他の不正な手段による個人情報の取扱いを行ってもいけません。不正な手段とは、不適法な方法あるいは適性性を欠く方法のことです。具体的には、判断能力の乏しい子供を通じて親の同意なしに親に関する個人情報を所得すること――などです。
さらに、個人情報取扱事業者が、個人情報を取得する際には、原則として、利用目的の本人への通知または公表が義務付けられます。また、個人情報取扱事業者は、利用目的を変更した場合、変更された利用目的を本人に通知するか公表しなければなりません。以上の取得に関する事項の適用除外は次の4つです。
①本人、第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
②個人情報取扱事業者の権利または正当な利益を害するおそれがある場合
③国の機関等が法令の定める事務を遂行することに対して協力する必要がある場合で、利用目的を本人に通知・公表することで事務の遂行に支障を及ぼすおそれのある場合
④取得の状況から見て利用目的が明らかであると認められる場合
これら個人情報取扱事業者の苦情に対する処理には、適正かつ迅速に処理するという努力義務があります。
次に、個人情報取扱事業者の個人データに関する義務には、まず、利用目的の達成に必要な範囲内において、正確かつ最新の内容に保つよう努める義務があります。合わせて安全管理のために必要な適切な措置を講じる必要もあります。具体的には、従業員に対する教育・訓練、個人データの取扱い状況の点検・管理体制の整備――などです。
また、個人情報取扱事業者は、法令に基づく場合になどの一定の場合を除いて、あらかじめ本人の同意を得ないで個人データを第三者に提供してはいけません。第三者に提供される個人データの例としては、住宅地図業者が個人データを最初から第三者に提供する目的で取得した場合などです。
ただし、次の場合、あらかじめ本人に通知し、または本人が容易に知り得る状態にあるときは、以下の個人データを第三者に提供することができます。
①第三者への提供を利用目的とすること
②第三者に提供される個人データの項目
③第三者への提供の手段または方法
④本人の求めに応じてその本人が識別される個人データの第三者への提供を停止すること
次は保有個人データに関してです。個人情報取扱事業者は、保有個人データに関し、当該個人情報取扱事業者の氏名または名称などの一定事項について、ウェブ画面への掲載、パンフレットの配布など、その時点での正確な内容を、本人の知り得る状態にしておかなければなりません。そして、本人からその本人が識別される保有個人データの利用目的の通知を求められたときには、原則として遅滞なく通知しなければなりません。
また、個人情報取扱業者は、本人から保有個人データの開示を求められたときは、原則として遅滞なく開示しなければなりません。その本人が特定できる保有個人データが存在しないときはその旨を伝えなければなりません。もし、開示できない事由が存在する場合には、開示をしない旨を伝えなければなりません。開示をしないことができる場合は、次の3つです。
①人、第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
②個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
③他の法令に違反することとなる場合
さらに、個人情報取扱事業者には、本人から内容が事実でないという理由により保有個人データの内容の訂正などを求められた場合は、一定の場合を除いて必要な範囲内において遅滞なく必要な調査を行って、その結果に基づき内容の訂正を行い、本人にその結果の通知をする義務があります。
そして、本人から利用目的による制限や適正でない取得という理由で、保有個人データの利用停止や消去を求められたときに、その理由が正しいことが判明した場合は、原則として、必要な限度で遅滞なく利用停止などを行う義務を負います。また、第三者への提供を停止することを求められた場合も同様です。
さて、本人からの開示などに関する求めの受付の方法は、個人情報取扱事業者が定めることができます。また、開示の際には、本人か否かを特定するに足りる事項の提示を求めることができますが、本人が容易かつ的確に開示等の求めができるよう適切な措置を取らなければなりません。ただし、利用目的の通知や開示に対する措置に実費と勘案して合理的であると認められる範囲内で手数料を徴収することが可能です。
一方、主務大臣は、個人情報取扱事業者に対して報告をさせ、必要な助言を与え、事業に違反行為があったときには、勧告・命令することが可能です。主務大臣とは、①個人情報取扱事業者の取扱う事業を管理する権限を有している大臣または国家公安委員会、②雇用管理に関する事業に限っては厚生労働大臣と個人情報取扱事業者が行う事業を管理する権限を有する大臣等――と規定されています。
しかし、上記の行為を行う際に、表現の自由、学問の自由、信教の自由、政治活動の自由――を妨げてはなりません。そして、主務大臣の命令に違反した者には、6カ月以下の懲役または30万円以下の罰金が科され、主務大臣に報告しなかったり虚偽の報告を行った者には30万円以下の罰金が科せられます。
6.民間による個人情報保護
個人情報保護法の義務規定の適用を受けて、個人情報取扱事業者の自発的な適正な取扱いに対する取組みを支援するために認定個人情報保護団体制度が設けられています。認定個人情報保護団体とは、①対象事業者の個人情報の取扱いに関する苦情の処理、②対象事業者に対する情報提供、③その他、対象事業者の個人情報の適正な取扱いの確保に関し必要な業務――について、主務大臣の認定を受けた者のことです。そして、主務大臣は、必要な限度において、認定個人情報保護団体に対して報告させることや、認定業務の実施方法の改善など必要な措置を取るべき旨を命ずること――ができます。なお、対象事業所とは、当該認定個人情報保護団体の認定業務の対象となることを同意した個人情報取扱事業者です。
認定個人情報保護団体には、対象事業者の個人情報の適正な取扱いのための、①利用目的の特定、②安全管理措置、③本人の求めに応じる手続き、④その他の事項――に関して、個人情報保護指針を作成して公表する努力義務や、対象事業者の氏名や名称を公表する義務があります。
認定個人情報保護制度の概要は、保有個人データの取扱いに対する本人の苦情などが解決できない場合は、認定個人情報保護団体が代わって解決をしてくれるものです。
この制度のメリットは、①認定個人情報保護団体から適切な情報が提供されることで、適切な個人情報保護の取組みの維持が可能である、②民的個人情報保護団体が第三者機関として関与することで、迅速かつ円滑な苦情の解決、安心して個人情報の開示ができる環境が期待できる――ことです。対象となった個人情報取扱事業者は、認定個人情報保護団体から苦情の解決についての、文書や口頭による説明、資料の提出を求められたときは、正当な理由がある場合を除いて、対応しなければなりません。
本人等から対象事業者の個人情報の取扱いに関する苦情の解決の申出があった場合は、相談に応じ、必要な助言をし、苦情に係る事情を調査するとともに、当該対象事業者に対して、苦情の内容を通知して迅速な解決を求めます。そして、必要があるときは、対象事業者に対して文書または口頭による説明、資料の提出などを求めることが可能です。対象事業者はこれを拒んではいけません。
ただし、認定個人情報保護団体といえども、認定業務の実施で知った情報をその目的外で利用してはいけません。また、認定個人情報保護団体でない者は、紛らわしい名称を名のることができません。この名称の使用制限の規定に違反した者や、廃止の届出をしなかったり虚偽の届出をした者は、10万円以下の過料に処されます。

 

 

(目的)
第一条  この法律は、高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることに鑑み、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにするとともに、個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。
(定義)
第二条  この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
2  この法律において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるものをいう。
一  特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
二  前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの
3  この法律において「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。
一  国の機関
二  地方公共団体
三  独立行政法人等(独立行政法人等の保有する個人情報の保護に関する法律 (平成十五年法律第五十九号)第二条第一項 に規定する独立行政法人等をいう。以下同じ。)
四  地方独立行政法人(地方独立行政法人法 (平成十五年法律第百十八号)第二条第一項 に規定する地方独立行政法人をいう。以下同じ。)
五  その取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定める者
4  この法律において「個人データ」とは、個人情報データベース等を構成する個人情報をいう。
5  この法律において「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの又は一年以内の政令で定める期間以内に消去することとなるもの以外のものをいう。
6  この法律において個人情報について「本人」とは、個人情報によって識別される特定の個人をいう。
(基本理念)
第三条  個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであることにかんがみ、その適正な取扱いが図られなければならない。
   第二章 国及び地方公共団体の責務等
(国の責務)
第四条  国は、この法律の趣旨にのっとり、個人情報の適正な取扱いを確保するために必要な施策を総合的に策定し、及びこれを実施する責務を有する。
(地方公共団体の責務)
第五条  地方公共団体は、この法律の趣旨にのっとり、その地方公共団体の区域の特性に応じて、個人情報の適正な取扱いを確保するために必要な施策を策定し、及びこれを実施する責務を有する。
(法制上の措置等)
第六条  政府は、個人情報の性質及び利用方法にかんがみ、個人の権利利益の一層の保護を図るため特にその適正な取扱いの厳格な実施を確保する必要がある個人情報について、保護のための格別の措置が講じられるよう必要な法制上の措置その他の措置を講ずるものとする。
   第三章 個人情報の保護に関する施策等
    第一節 個人情報の保護に関する基本方針
第七条    政府は、個人情報の保護に関する施策の総合的かつ一体的な推進を図るため、個人情報の保護に関する基本方針(以下「基本方針」という。)を定めなければならない。
2  基本方針は、次に掲げる事項について定めるものとする。
一  個人情報の保護に関する施策の推進に関する基本的な方向
二  国が講ずべき個人情報の保護のための措置に関する事項
三  地方公共団体が講ずべき個人情報の保護のための措置に関する基本的な事項
四  独立行政法人等が講ずべき個人情報の保護のための措置に関する基本的な事項
五  地方独立行政法人が講ずべき個人情報の保護のための措置に関する基本的な事項
六  個人情報取扱事業者及び第四十条第一項に規定する認定個人情報保護団体が講ずべき個人情報の保護のための措置に関する基本的な事項
七  個人情報の取扱いに関する苦情の円滑な処理に関する事項
八  その他個人情報の保護に関する施策の推進に関する重要事項
3  内閣総理大臣は、個人情報保護委員会が作成した基本方針の案について閣議の決定を求めなければならない。
4  内閣総理大臣は、前項の規定による閣議の決定があったときは、遅滞なく、基本方針を公表しなければならない。
5  前二項の規定は、基本方針の変更について準用する。
    第二節 国の施策
(地方公共団体等への支援)
第八条  国は、地方公共団体が策定し、又は実施する個人情報の保護に関する施策及び国民又は事業者等が個人情報の適正な取扱いの確保に関して行う活動を支援するため、情報の提供、事業者等が講ずべき措置の適切かつ有効な実施を図るための指針の策定その他の必要な措置を講ずるものとする。
(苦情処理のための措置)
第九条  国は、個人情報の取扱いに関し事業者と本人との間に生じた苦情の適切かつ迅速な処理を図るために必要な措置を講ずるものとする。
(個人情報の適正な取扱いを確保するための措置)
第十条  国は、地方公共団体との適切な役割分担を通じ、次章に規定する個人情報取扱事業者による個人情報の適正な取扱いを確保するために必要な措置を講ずるものとする。
    第三節 地方公共団体の施策
(地方公共団体等が保有する個人情報の保護)
第十一条  地方公共団体は、その保有する個人情報の性質、当該個人情報を保有する目的等を勘案し、その保有する個人情報の適正な取扱いが確保されるよう必要な措置を講ずることに努めなければならない。
2  地方公共団体は、その設立に係る地方独立行政法人について、その性格及び業務内容に応じ、その保有する個人情報の適正な取扱いが確保されるよう必要な措置を講ずることに努めなければならない。
(区域内の事業者等への支援)
第十二条  地方公共団体は、個人情報の適正な取扱いを確保するため、その区域内の事業者及び住民に対する支援に必要な措置を講ずるよう努めなければならない。
(苦情の処理のあっせん等)
第十三条  地方公共団体は、個人情報の取扱いに関し事業者と本人との間に生じた苦情が適切かつ迅速に処理されるようにするため、苦情の処理のあっせんその他必要な措置を講ずるよう努めなければならない。
    第四節 国及び地方公共団体の協力
第十四条    国及び地方公共団体は、個人情報の保護に関する施策を講ずるにつき、相協力するものとする。
   第四章 個人情報取扱事業者の義務等
    第一節 個人情報取扱事業者の義務
(利用目的の特定)
第十五条  個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。
2  個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない。
(利用目的による制限)
第十六条  個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
2  個人情報取扱事業者は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。
3  前二項の規定は、次に掲げる場合については、適用しない。
一  法令に基づく場合
二  人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三  公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四  国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(適正な取得)
第十七条  個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。
(取得に際しての利用目的の通知等)
第十八条  個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
2  個人情報取扱事業者は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。
3  個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。
4  前三項の規定は、次に掲げる場合については、適用しない。
一  利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
二  利用目的を本人に通知し、又は公表することにより当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合
三  国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき。
四  取得の状況からみて利用目的が明らかであると認められる場合
(データ内容の正確性の確保)
第十九条  個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つよう努めなければならない。
(安全管理措置)
第二十条  個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
(従業者の監督)
第二十一条  個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。
(委託先の監督)
第二十二条  個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
(第三者提供の制限)
第二十三条  個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
一  法令に基づく場合
二  人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三  公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四  国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
2  個人情報取扱事業者は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。
一  第三者への提供を利用目的とすること。
二  第三者に提供される個人データの項目
三  第三者への提供の手段又は方法
四  本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
3  個人情報取扱事業者は、前項第二号又は第三号に掲げる事項を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
4  次に掲げる場合において、当該個人データの提供を受ける者は、前三項の規定の適用については、第三者に該当しないものとする。
一  個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託する場合
二  合併その他の事由による事業の承継に伴って個人データが提供される場合
三  個人データを特定の者との間で共同して利用する場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
5  個人情報取扱事業者は、前項第三号に規定する利用する者の利用目的又は個人データの管理について責任を有する者の氏名若しくは名称を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
(保有個人データに関する事項の公表等)
第二十四条  個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
一  当該個人情報取扱事業者の氏名又は名称
二  すべての保有個人データの利用目的(第十八条第四項第一号から第三号までに該当する場合を除く。)
三  次項、次条第一項、第二十六条第一項又は第二十七条第一項若しくは第二項の規定による求めに応じる手続(第三十条第二項の規定により手数料の額を定めたときは、その手数料の額を含む。)
四  前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの
2  個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知しなければならない。ただし、次の各号のいずれかに該当する場合は、この限りでない。
一  前項の規定により当該本人が識別される保有個人データの利用目的が明らかな場合
二  第十八条第四項第一号から第三号までに該当する場合
3  個人情報取扱事業者は、前項の規定に基づき求められた保有個人データの利用目的を通知しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。
(開示)
第二十五条  個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの開示(当該本人が識別される保有個人データが存在しないときにその旨を知らせることを含む。以下同じ。)を求められたときは、本人に対し、政令で定める方法により、遅滞なく、当該保有個人データを開示しなければならない。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
一  本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
二  当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
三  他の法令に違反することとなる場合
2  個人情報取扱事業者は、前項の規定に基づき求められた保有個人データの全部又は一部について開示しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。
3  他の法令の規定により、本人に対し第一項本文に規定する方法に相当する方法により当該本人が識別される保有個人データの全部又は一部を開示することとされている場合には、当該全部又は一部の保有個人データについては、同項の規定は、適用しない。
(訂正等)
第二十六条  個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの内容が事実でないという理由によって当該保有個人データの内容の訂正、追加又は削除(以下この条において「訂正等」という。)を求められた場合には、その内容の訂正等に関して他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行わなければならない。
2  個人情報取扱事業者は、前項の規定に基づき求められた保有個人データの内容の全部若しくは一部について訂正等を行ったとき、又は訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨(訂正等を行ったときは、その内容を含む。)を通知しなければならない。
(利用停止等)
第二十七条  個人情報取扱事業者は、本人から、当該本人が識別される保有個人データが第十六条の規定に違反して取り扱われているという理由又は第十七条の規定に違反して取得されたものであるという理由によって、当該保有個人データの利用の停止又は消去(以下この条において「利用停止等」という。)を求められた場合であって、その求めに理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行わなければならない。ただし、当該保有個人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
2  個人情報取扱事業者は、本人から、当該本人が識別される保有個人データが第二十三条第一項の規定に違反して第三者に提供されているという理由によって、当該保有個人データの第三者への提供の停止を求められた場合であって、その求めに理由があることが判明したときは、遅滞なく、当該保有個人データの第三者への提供を停止しなければならない。ただし、当該保有個人データの第三者への提供の停止に多額の費用を要する場合その他の第三者への提供を停止することが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
3  個人情報取扱事業者は、第一項の規定に基づき求められた保有個人データの全部若しくは一部について利用停止等を行ったとき若しくは利用停止等を行わない旨の決定をしたとき、又は前項の規定に基づき求められた保有個人データの全部若しくは一部について第三者への提供を停止したとき若しくは第三者への提供を停止しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。
(理由の説明)
第二十八条  個人情報取扱事業者は、第二十四条第三項、第二十五条第二項、第二十六条第二項又は前条第三項の規定により、本人から求められた措置の全部又は一部について、その措置をとらない旨を通知する場合又はその措置と異なる措置をとる旨を通知する場合は、本人に対し、その理由を説明するよう努めなければならない。
(開示等の求めに応じる手続)
第二十九条  個人情報取扱事業者は、第二十四条第二項、第二十五条第一項、第二十六条第一項又は第二十七条第一項若しくは第二項の規定による求め(以下この条において「開示等の求め」という。)に関し、政令で定めるところにより、その求めを受け付ける方法を定めることができる。この場合において、本人は、当該方法に従って、開示等の求めを行わなければならない。
2  個人情報取扱事業者は、本人に対し、開示等の求めに関し、その対象となる保有個人データを特定するに足りる事項の提示を求めることができる。この場合において、個人情報取扱事業者は、本人が容易かつ的確に開示等の求めをすることができるよう、当該保有個人データの特定に資する情報の提供その他本人の利便を考慮した適切な措置をとらなければならない。
3  開示等の求めは、政令で定めるところにより、代理人によってすることができる。
4  個人情報取扱事業者は、前三項の規定に基づき開示等の求めに応じる手続を定めるに当たっては、本人に過重な負担を課するものとならないよう配慮しなければならない。
(手数料)
第三十条  個人情報取扱事業者は、第二十四条第二項の規定による利用目的の通知又は第二十五条第一項の規定による開示を求められたときは、当該措置の実施に関し、手数料を徴収することができる。
2  個人情報取扱事業者は、前項の規定により手数料を徴収する場合は、実費を勘案して合理的であると認められる範囲内において、その手数料の額を定めなければならない。
(個人情報取扱事業者による苦情の処理)
第三十一条  個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。
2  個人情報取扱事業者は、前項の目的を達成するために必要な体制の整備に努めなければならない。
(報告の徴収)
第三十二条  主務大臣は、この節の規定の施行に必要な限度において、個人情報取扱事業者に対し、個人情報の取扱いに関し報告をさせることができる。
(助言)
第三十三条  主務大臣は、この節の規定の施行に必要な限度において、個人情報取扱事業者に対し、個人情報の取扱いに関し必要な助言をすることができる。
(勧告及び命令)
第三十四条  主務大臣は、個人情報取扱事業者が第十六条から第十八条まで、第二十条から第二十七条まで又は第三十条第二項の規定に違反した場合において個人の権利利益を保護するため必要があると認めるときは、当該個人情報取扱事業者に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべき旨を勧告することができる。
2  主務大臣は、前項の規定による勧告を受けた個人情報取扱事業者が正当な理由がなくてその勧告に係る措置をとらなかった場合において個人の重大な権利利益の侵害が切迫していると認めるときは、当該個人情報取扱事業者に対し、その勧告に係る措置をとるべきことを命ずることができる。
3  主務大臣は、前二項の規定にかかわらず、個人情報取扱事業者が第十六条、第十七条、第二十条から第二十二条まで又は第二十三条第一項の規定に違反した場合において個人の重大な権利利益を害する事実があるため緊急に措置をとる必要があると認めるときは、当該個人情報取扱事業者に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべきことを命ずることができる。
(主務大臣の権限の行使の制限)
第三十五条  主務大臣は、前三条の規定により個人情報取扱事業者に対し報告の徴収、助言、勧告又は命令を行うに当たっては、表現の自由、学問の自由、信教の自由及び政治活動の自由を妨げてはならない。
2  前項の規定の趣旨に照らし、主務大臣は、個人情報取扱事業者が第六十六条第一項各号に掲げる者(それぞれ当該各号に定める目的で個人情報を取り扱う場合に限る。)に対して個人情報を提供する行為については、その権限を行使しないものとする。
(主務大臣)
第三十六条  この節の規定における主務大臣は、次のとおりとする。ただし、内閣総理大臣は、この節の規定の円滑な実施のため必要があると認める場合は、個人情報取扱事業者が行う個人情報の取扱いのうち特定のものについて、特定の大臣又は国家公安委員会(以下「大臣等」という。)を主務大臣に指定することができる。
一  個人情報取扱事業者が行う個人情報の取扱いのうち雇用管理に関するものについては、厚生労働大臣(船員の雇用管理に関するものについては、国土交通大臣)及び当該個人情報取扱事業者が行う事業を所管する大臣等
二  個人情報取扱事業者が行う個人情報の取扱いのうち前号に掲げるもの以外のものについては、当該個人情報取扱事業者が行う事業を所管する大臣等
2  内閣総理大臣は、前項ただし書の規定により主務大臣を指定したときは、その旨を公示しなければならない。
3  各主務大臣は、この節の規定の施行に当たっては、相互に緊密に連絡し、及び協力しなければならない。
    第二節 民間団体による個人情報の保護の推進
(認定)
第三十七条  個人情報取扱事業者の個人情報の適正な取扱いの確保を目的として次に掲げる業務を行おうとする法人(法人でない団体で代表者又は管理人の定めのあるものを含む。次条第三号ロにおいて同じ。)は、主務大臣の認定を受けることができる。
一  業務の対象となる個人情報取扱事業者(以下「対象事業者」という。)の個人情報の取扱いに関する第四十二条の規定による苦情の処理
二  個人情報の適正な取扱いの確保に寄与する事項についての対象事業者に対する情報の提供
三  前二号に掲げるもののほか、対象事業者の個人情報の適正な取扱いの確保に関し必要な業務
2  前項の認定を受けようとする者は、政令で定めるところにより、主務大臣に申請しなければならない。
3  主務大臣は、第一項の認定をしたときは、その旨を公示しなければならない。
(欠格条項)
第三十八条  次の各号のいずれかに該当する者は、前条第一項の認定を受けることができない。
一  この法律の規定により刑に処せられ、その執行を終わり、又は執行を受けることがなくなった日から二年を経過しない者
二  第四十八条第一項の規定により認定を取り消され、その取消しの日から二年を経過しない者
三  その業務を行う役員(法人でない団体で代表者又は管理人の定めのあるものの代表者又は管理人を含む。以下この条において同じ。)のうちに、次のいずれかに該当する者があるもの
イ 禁錮以上の刑に処せられ、又はこの法律の規定により刑に処せられ、その執行を終わり、又は執行を受けることがなくなった日から二年を経過しない者
ロ 第四十八条第一項の規定により認定を取り消された法人において、その取消しの日前三十日以内にその役員であった者でその取消しの日から二年を経過しない者
(認定の基準)
第三十九条  主務大臣は、第三十七条第一項の認定の申請が次の各号のいずれにも適合していると認めるときでなければ、その認定をしてはならない。
一  第三十七条第一項各号に掲げる業務を適正かつ確実に行うに必要な業務の実施の方法が定められているものであること。
二  第三十七条第一項各号に掲げる業務を適正かつ確実に行うに足りる知識及び能力並びに経理的基礎を有するものであること。
三  第三十七条第一項各号に掲げる業務以外の業務を行っている場合には、その業務を行うことによって同項各号に掲げる業務が不公正になるおそれがないものであること。
(廃止の届出)
第四十条  第三十七条第一項の認定を受けた者(以下「認定個人情報保護団体」という。)は、その認定に係る業務(以下「認定業務」という。)を廃止しようとするときは、政令で定めるところにより、あらかじめ、その旨を主務大臣に届け出なければならない。
2  主務大臣は、前項の規定による届出があったときは、その旨を公示しなければならない。
(対象事業者)
第四十一条  認定個人情報保護団体は、当該認定個人情報保護団体の構成員である個人情報取扱事業者又は認定業務の対象となることについて同意を得た個人情報取扱事業者を対象事業者としなければならない。
2  認定個人情報保護団体は、対象事業者の氏名又は名称を公表しなければならない。
(苦情の処理)
第四十二条  認定個人情報保護団体は、本人等から対象事業者の個人情報の取扱いに関する苦情について解決の申出があったときは、その相談に応じ、申出人に必要な助言をし、その苦情に係る事情を調査するとともに、当該対象事業者に対し、その苦情の内容を通知してその迅速な解決を求めなければならない。
2  認定個人情報保護団体は、前項の申出に係る苦情の解決について必要があると認めるときは、当該対象事業者に対し、文書若しくは口頭による説明を求め、又は資料の提出を求めることができる。
3  対象事業者は、認定個人情報保護団体から前項の規定による求めがあったときは、正当な理由がないのに、これを拒んではならない。
(個人情報保護指針)
第四十三条  認定個人情報保護団体は、対象事業者の個人情報の適正な取扱いの確保のために、利用目的の特定、安全管理のための措置、本人の求めに応じる手続その他の事項に関し、この法律の規定の趣旨に沿った指針(以下「個人情報保護指針」という。)を作成し、公表するよう努めなければならない。
2  認定個人情報保護団体は、前項の規定により個人情報保護指針を公表したときは、対象事業者に対し、当該個人情報保護指針を遵守させるため必要な指導、勧告その他の措置をとるよう努めなければならない。
(目的外利用の禁止)
第四十四条  認定個人情報保護団体は、認定業務の実施に際して知り得た情報を認定業務の用に供する目的以外に利用してはならない。
(名称の使用制限)
第四十五条  認定個人情報保護団体でない者は、認定個人情報保護団体という名称又はこれに紛らわしい名称を用いてはならない。
(報告の徴収)
第四十六条  主務大臣は、この節の規定の施行に必要な限度において、認定個人情報保護団体に対し、認定業務に関し報告をさせることができる。
(命令)
第四十七条  主務大臣は、この節の規定の施行に必要な限度において、認定個人情報保護団体に対し、認定業務の実施の方法の改善、個人情報保護指針の変更その他の必要な措置をとるべき旨を命ずることができる。
(認定の取消し)
第四十八条  主務大臣は、認定個人情報保護団体が次の各号のいずれかに該当するときは、その認定を取り消すことができる。
一  第三十八条第一号又は第三号に該当するに至ったとき。
二  第三十九条各号のいずれかに適合しなくなったとき。
三  第四十四条の規定に違反したとき。
四  前条の命令に従わないとき。
五  不正の手段により第三十七条第一項の認定を受けたとき。
2  主務大臣は、前項の規定により認定を取り消したときは、その旨を公示しなければならない。
(主務大臣)
第四十九条  この節の規定における主務大臣は、次のとおりとする。ただし、内閣総理大臣は、この節の規定の円滑な実施のため必要があると認める場合は、第三十七条第一項の認定を受けようとする者のうち特定のものについて、特定の大臣等を主務大臣に指定することができる。
一  設立について許可又は認可を受けている認定個人情報保護団体(第三十七条第一項の認定を受けようとする者を含む。次号において同じ。)については、その設立の許可又は認可をした大臣等
二  前号に掲げるもの以外の認定個人情報保護団体については、当該認定個人情報保護団体の対象事業者が行う事業を所管する大臣等
2  内閣総理大臣は、前項ただし書の規定により主務大臣を指定したときは、その旨を公示しなければならない。

 

スポンサーリンク

スポンサーリンク

関連記事

  1. 一般知識科目 情報通信・個人情報保護5

  2. 5-20 ×問題演習 一般知識(個人情報保護) 0問

  3. 一般知識科目 情報通信・個人情報保護1

  4. 一般知識科目 情報通信・個人情報保護2

  5. 5-19 ×問題演習 一般知識(情報通信) 0問

  6. 一般知識科目 情報通信・個人情報保護4