1 情報化社会と個人情報保護法三浦正毅私は弁護士で実務家ですので個人情報保護法を研究してきたわけではございませんしたがって今日は個人情報保護法の概略についてお話をして知識を得ていただくことになるかと思います成立の背景と経緯個人情報保護法が検討され始めたのは 1999 年住民基本台帳ネ

1 情報化社会と個人情報保護法三浦正毅私は弁護士で実務家ですので個人情報保護法を研究してきたわけではございませんしたがって今日は個人情報保護法の概略についてお話をして知識を得ていただくことになるかと思います成立の背景と経緯個人情報保護法が検討され始めたのは 1999 年住民基本台帳ネットワークシステムの導入をきっかっけです当時個人情報の大量漏洩事件が頻発しましたまた従来は活字等によるマスメディアのプライバシーが問題でしたがコンピュータシステムによる高度情報通信社会を迎えて個人情報をコントロールする個人の権利を保護する必要がでてきました 1970 年代頃スウェーデンドイツアメリカで個人情報保護に関する法律ができたのですが経済がグローバル化するにしたがって国際的なルールが必要となり OECDで議論をして各加盟国に8 原則が勧告されました日本の個人情報保護法も多くはそこで提言された内容が取り入れられていますしかし直接の動機は住民基本台帳の改正です 2003 年 5 月に制定され即日施行されましたただし公的部門が先行しまして第 4 章以下の民間の個人情報取扱事業者を対象にした権利義務については今年 4 月 1 日から施行されています今日は個人情報保護法の第 1 章と第 4 章以下で適用される個人情報取扱事業者の一般的な権利義務についお話をします基本となる目的個人情報保護法は基本となる個人情報保護法以外に行政機関の個人情報保護法や独立行政法人等の個人情報保護法各地方公共団体の制定する個人情報保護条例など個人情報保護法全体を通した包括的な基本法と理解してよいと思いますこの法律を制定した目的は高度情報通信社会を迎えて個人情報があらゆるところで利用されているため個人情報の取り扱いの適正化を図るためです国地方公共団体の個人情報に対する責務を明らかにするとともに個人情報を取り扱う事業者が守っていかなければいけない義務を定めていますつまり個人情報の有用性を配慮しつつ個人の権利利益を保護することを目的とする ( 第 1 条 ) ためですしたがって個人情報は個人の人格尊重の理念の下に慎重に取り扱われるべきものであることにかんがみその適正な取り扱いが図られなければならない ( 第 3 条 ) とされていますこの規定は憲法第 13 条のすべて国民は

2 情報化社会と個人情報保護法個人として尊重される生命自由及び幸福追求に対する国民の権利については公共の福祉に反しない限り立法その他の国政の上で最大の尊重を必要とするという条文を意識したものだと思いますこの理念によって個人情報保護法にもその取扱いに関しても配慮しなければいけないとなっているわけです用語の定義個人情報保護法で使われる用語の定義をしておく必要があります ( 第 2 条 ) 個人情報とは何かこれは生きている個人生存している個人に関する情報であって当該情報に含まれる氏名生年月日住所など特定の個人を識別するものすべてが含まれます生存する個人ですので亡くなった方は必要ありません個人の属性行動個人に対する評価個人の創作した表現当該個人に関係するあらゆるものです文字ばかりではなく映像音声指紋血液型も含まれます個人を識別する情報はすべて個人情報と考えていいかと思います個人情報データベース等は個人情報をコンピュータを用いて検索できるように構成された情報の集合体ですこれを個人情報データベースと定義づけています主にコンピュータを指しているわけですがそれだけではなく紙に書かれたものでも検索でき他人によって容易に利用できる状態におかれているものも含まれますカルテや学習指導要領職員名簿などの情報の集合体も個人情報データベースの概念の中に含まれます個人情報保護法が適用される個人情報取扱事業者とは個人情報データベースを事業の用に供している事業者で団体個人また非営利営利を問いません年賀状用のデータベースを個人的につくっている方は多いと思いますがこれは事業の用に供するものではない事業の用に供する場合は個人情報取扱事業者になります使い方によるということですただし取り扱う数が 5000 人を超えない事業者の場合は個人情報取扱事業者から外れます 5000 以下では零細小規模事業者と言えるのでいろんな義務を課すことは負担が大きいということで外しています個人情報データとは何を指すか個人情報データベースを構成する個人の情報を言います保有個人データとは個人データのうち個人情報を取り扱う事業者が開示したり内容を訂正したり追加や削除したりできる権限を有するものを言います利用目的の特定個人情報取扱事業者の義務個人情報を取り扱うにあたってはその利用目的をできる限り特定しなければなりません ( 第 15 条 ) 特定した目的以外の利用は予め本人の同意を得る必要があります同意を得ずに利用目的以外の利用はできないという目的外利用の制限 ( 第 16 条 ) が設けられています検査目的で採取した血液を無断で DNA 鑑定に使うことはできない本人の同意が必要のない例外も法律で定まっています法令に基づく場合では感染症は医者が関係機関に届け出る義務が課せられていますまた生命身体財産の保護に必要と認められる場合本人の同意を得ることが困難な場合などですたとえば交通事故に遇って本人が意識不明の状態に陥り本人の従来の健康状態を知る必要がある場合はそれを提供しても別段違法ではない災害時の安否情報も含まれます尼崎の JR 事故の時これをめぐって議

3 論がありましたが災害時の安否情報を得る場合本人の同意を得ることが困難な場合は構わないとなっています病院によっては本人の同意を得なかった場合報道機関に発表しなかった病院もありました全く発表しなかった病院もありました法律の解釈によって対応が違ったのだと思います公衆衛生の向上児童の健全育成推進のために特に必要がある場合で本人の同意を得ることが困難な場合も目的外に利用することが可能です疫学調査情報や児童虐待で関係当事者間で情報交換を行ったりすることがあります虐待している父親にその情報を知らせることは問題がありますまた本人の同意を得ることが困難な場合がありますのでそういう時には目的外に利用しても許されるということです国の機関地方公共団体またはその委託を受けたものが法令の定める義務を遂行することに協力する必要がある場合で本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがある時も本人の同意なく目的外利用を行うことができますコンビニに強盗が入った場合特定の個人が写されている防犯カメラの映像を提供することは国の機関の事務の遂行に協力するということで目的外利用にあたらないとしています適正な所得個人情報は適正に取得しなければいけないと要求されています ( 第 17 条 ) 偽りとか不正な手段によって取得してはならないたとえば盗み撮りをしたり録音したりして個人情報を取得する年端のいかない判断能力のない子どもから親の情報を聞き出すこういう情報の取得の仕方をしてはいけない所得に際しての利用目的の通知個人情報を取得する際には予めその目的を公表しておくか利用目的を本人に通知しなければいけないことになっています ( 第 18 条 ) この情報はどういう目的で利用するのか本人が知りうる状態にするためですこれによって利用停止を求めたり不服申し立てをすることが可能になります利用目的の通知の例外もありまして本人に利用目的を通知すると第三者の命とか身体財産の権利を害するおそれがある時は通知する必要がない児童虐待に関する情報は本人に知らせれば虐待を悪化することも考えられるため例外的に通知しない利用目的を通知することによって取扱事業者の権利や正当な利益を害するおそれが生ずる時も同様です国の機関などへの協力も利用目的の通知は必要ない個人情報の取得の状況からして明らかな場合たとえばピザ屋さんに出前を頼んで名前と住所を知らせますそれによってピザ屋さんは個人情報を取得するわけですがそれは配達のためという使用目的がわかっているため利用目的を通知する必要がないと判断しますデータ内容の正確性の確保第 19 条では利用目的の達成に必要な範囲においてデータの内容が正確かつ最新の内容を保つように義務づけられています不正確なままデータが利用されますと個人の権利利益が害される場合がありますそういうことがないように常に正確である必要があります安全管理措置次に個人情報個人データが漏洩または滅却しないように安全に管理する安全管理措置が定められています ( 第 20~22 条 ) 個人情報が漏洩することによって権利利益を害することが大きいわけですまたカルテをなくしたり一部が欠けたりして情報の一部が失われるとその人の治療に支障を来すことになりま

4 情報化社会と個人情報保護法すのでそういう意味では安全に十分注意して管理することが義務づけられています個人情報事業者は従業員や事業を委託している機関に対しても監督する義務があります安全管理措置として個人情報保護に関する内部規定を整備し定期的に点検や見直しをして常に安全性を保つ必要があります従業員には雇用する時に守秘義務を課すなどして個人情報をきちんと守ってもらうように徹底を図る常々研修して遺漏がないようにしておく必要がありますよくデータを持ち出して紛失することがありますがこういうのは論外だと言わざるをえません ID やパスワードの管理を十分にし不心得な従業員が持ち出さないようにしておく必要があります外部委託の場合も委託する事業者は適切かどうかを見極めて委託し点検確認することが必要かと思います第三者提供の制限本人の同意を得ずに個人情報を第三者に提供することは原則として禁止されています ( 第 23 条 ) 個人情報が第三者に提供された場合どのように利用されるか全く不透明ですその結果個人の権利利益が失われる重大なおそれがありますので本人の同意を得ずには第三者に提供してはいけない個人情報の目的外利用の一形態ですが特に第三者への提供を禁止することが定められています名簿を横流ししたり通販業者に売却される問題が発生していますがそれは第三者提供の禁止の規定に違反するということですこれに関しては有名な裁判例があります早稲田大学で江沢民の講演会を開いた時出席した人の個人情報を警察の求められるままに大学が提供して損害賠償を求められた裁判で被告が敗訴しましたこれも例外は認められています個人情報の目的外利用の例外と同じで人の生命身体財産を保護する場合など利用目的の通知の例外と同様なケースでは第三者への提供が許されます第三者への個人データを提供す場合は本人の求めに応じて停止することができる旨を通知している時に可能となりますたとえば住宅地図やデータベースの販売業者が本人がやめてくれといったらすぐ止めるということを常に公表している場合は第三者に提供することができますこれらの業者は第三者に提供すること自体を事業目的としているため本人の求めに応じて停止することがはっきりしている場合は構わないとなっています委託先も第三者になるわけで委託や合併特定の第三者と共同で事業する場合は第三者の概念から外れますので構わない保有個人データに関する事項の公表個人情報取扱事業者は保有個人データに関係する事項を公表しなければいけないことになっています ( 第 24 条 ) 情報公開によって保有個人データ取り扱いの公正性公明性を確保することが目的です OECD の 8 原則に公開の原則個人参加の原則があり公表を義務づけられているわけです個人情報取扱事業者は責任主体を明確化するために名称と利用目的を公表しなければなりません開示訂正利用停止一方個人情報を与えた本人にはこの情報に関与できる権利を定めています保有個人データの開示義務当該本人に保有個人データの開示を求められた時は本人に対して書面を交付するとか場合によっては電話とか本人が納得する形で個人データの内容を開示しなけばならない情報公開の一種ですこれは個人情報取扱事業者に対して義務を課すとともに本人に開示を求める権利を有すると解釈されます

5 この開示も例外的な規定が定められていまして先述の利用目的の通知の例外と同じように個人データの全部一部を開示しないことができる本人とか第三者の生命等に何らかの被害が発生する恐れがある場合やガンなどの病であることを本人が知ることによって体の状況が悪くなる場合開示を求められても開示しなくても構わないとされていますまた弁護士はいろいろな人から相談を受けることで個人情報を取得するわけですがこの個人情報を本人から求められても基本的には刑法の秘密保持に該当するケースですので例外として開示は必要とされておりません開示要求の他に本人は保有個人データの情報が事実でないという場合にその訂正削除追加等を求めることができますこの求めに対して個人情報取扱事業者は調査を行いその結果に基づいて訂正等を行わなければなりませんまた目的外に利用したり不正に取得したことを理由に本人から利用停止や抹消を要求された場合には必要に応じて訂正や利用停止消去をしなければならないことが定められています本人の同意なく第三者に提供しているという理由で利用停止を求められればそれに応じて行わなければなりません個人情報開示等を求める手続きの方法についても定めておくことが可能ですし開示には手間隙もかかり開示要求を濫用する恐れもありますので実費等の手数料をとることも可能です実費程度が適切で利益を目的としてやってはいけないと考えられています削除を求められた場合ケースによってはその措置をとらない異なる措置をとることが個人情報取扱事業者に認められていますその場合は理由を本人に説明するように努めなければなりません ( 第 28 条 ) これは本人が場合によっては民事的な手続きで訂正要求損害賠償要求等ができるようにするためです実効性の担保等さらに個人情報取扱事業者に取り扱いに対する苦情を申し出ることができます ( 第 31 条 ) 申し出があれば迅速適切に対応しなければならない苦情処理は第一義的には事業者ですがそこで埒があかない場合には地方公共団体の窓口消費者センターとか国民生活センターに申し出ることができます個人情報保護法に関係する事業を担当する主務大臣に不服申し立てをし大臣から事業者に報告を求めたり助言したり是正勧告をしたりして個人情報保護法遵守義務の実効性を担保する措置をとっています ( 第 32~34 条 ) その他事業者団体は国の認定を受けてそこで苦情処理をする個人情報保護団体をつくることも可能となっています ( 第 37 条 ) 適用除外主務大臣の報告聴取助言勧告是正措置命令等については表現の自由学問の自由信教の自由政治団体の自由をおかしてはいけないという制限規定を定めています憲法の表現の自由に定められた基本的人権ですから主務大臣の規制の対象外ですそれと裏表の関係で個人情報取扱事業者の個人情報保護法遵守義務の適用を除外されているものもあります ( 第 50 条 ) この法律をつくる時表現の自由を守る立場からの反対が多かったのでこういう適用除外が設けられました放送機関報道機関それを業とする個人は報道の目的以外で取り扱う場合は個人情報保護法に規定されている義務を遵守する必要がありますしかし苦情など個人情報について問題が起こった場合は自ら必要な措置をとるように努めなければならないと定められています遵守

6 情報化社会と個人情報保護法義務がないからといってすべて自由なわけではありません場合によっては民事上の問題等が起こってくることがあるわけです労働組合等は残念ながら個人情報保護法の例外規定適用団体には入っておりません労働組合は政治団体ではないので外れています政治団体の取り扱う個人情報は本人から苦情等が主務大臣に申し立てられても主務大臣は是正命令等を発することはできないことになっていますのでそういう面から行政庁からの制約を受けないということだろうと思います情報漏洩等の不利益個人情報が漏洩した場合どういう不利益があるか個人情報保護法は個人の権利が侵害されないように防止を目的としてつくられた法律ですから義務を怠ったことによって損害が発生した場合は民法の規定が適用されます宇治市の住基ネット事件はプライバシーにかかわる権利を侵害したとして宇治市の議員 3 人が原告になり裁判を起こしました最高裁で宇治市の損害賠償支払が確定していますこの事件は宇治市が住民基本台帳を利用して乳幼児の健診システムの開発を業者に委託したところ委託先の従業員が21 万人の住基データをコピーして持ち出し名簿販売業者に売ったというものです氏名住所年齢はプライバシーに属し保護されなければならない情報であるため宇治市は委託先の監督義務を怠ったことになります事業者も損害賠償を負わされました 1 人 1 万円と弁護士料 5000 円の損害賠償です多くの方が損害賠償を求めると賠償金は莫大になります信販会社では膨大なデータが漏洩したりしていますが損害賠償請求をしていないので助かっているのだと思います個人情報を漏洩させることは信用をなくすことになるので事業者はくれぐれも漏洩に注意しなければいけないと思います個人情報保護法には漏洩行為を処罰する規定はなく主務大臣の措置命令にしたがわなかった場合にだけ 6 カ月以下の懲役または 30 万円以下の罰金が課せられます漏洩者は個人情報保護法ではなく刑法で処罰することになりますが漏洩者を刑法で処罰する例は意外に少ないなぜかというと情報は誘拐物ではありませんので窃盗罪にならない宇治市の事件もそうですデータは盗みましたが自分が持ち込んだディスクにデータをコピーして持ち出している物そのものはとっていないということで窃盗に該当しないため刑事罰は問われなかった会社のディスクやコピー用紙を使って持ち出すと刑事罰の窃盗罪です公務員には守秘義務がありますので情報を漏洩しますと守秘義務違反の刑事責任が問われます民間部門は刑事罰にほとんど問われない状況になっています個人情報漏洩罪をつくるべきだという声がありますがそうするとかえって内部告発を阻害する要因になるのではないかとか個人情報保護法をつくった意味がないという反対意見があってまとまらない状況ですその他持ち出された個人情報を使うことは営業秘密を犯すということで不正競争防止法によって刑罰を受けるという可能性もありますこのように個人情報漏洩は民事上刑事上不正競争防止法上の刑罰等が考えられます個人情報取扱事業者は個人情報の適正な管理と取り扱いをしなければならないということがこの法律によって定められたということになります ( みうらまさき京都総合法律事務所弁護士 ) * この文章は 10 月 19 日の学習会で話された内容を編集したものです