平成27年改正の目玉のひとつが個人情報保護委員会の新設です。
それまで個人情報保護法の所管が、銀行は金融庁、病院は厚生労働省、学校は文部科学省がという具合に縦割りになっていたものを一元化し、個人情報保護委員会が所管します。
個人情報保護委員会の権限(何をする機関なのか)は次の通りです。
報告及び立入検査(第40条)
個人情報保護委員会は個人情報又は匿名加工情報の取扱いに関し、必要な報告若しくは資料の提出を求めることができます。
また、個人情報保護委員会の職員を個人情報取扱事業者の事務所その他の必要な場所に立ち入らせ、個人情報等の取扱いに関し質問させ、若しくは帳簿書類その他の物件を検査させることもできます。
警察の家宅捜査のような物々しい権限が認められているのです。
そこで、立入検査権は「犯罪捜査のために認められたものと解釈してはならない」と注意的な規定もついています(第40条第3項)。あくまで個人情報の適正な取扱いの確保が目的であって犯罪の証拠集めが目的ではない、ということにご注意ください。
また、立入検査の際には身分証を携帯し、請求があればその提示に応じなければなりません(同第2項)。
なお、報告を求める権限、立入検査をする権限については、個人情報保護委員会から事業所管大臣(例えば厚生労働大臣)に委任することもできます(第44条第1項)。事情に精通した者が調査した方が適切な場合もあるからです。
逆に、事業所管大臣の方から、個人情報保護委員会に権限発動を請求することも認められています(第45条)。
指導及び助言(第41条)
個人情報保護委員会は、個人情報等の取扱いに関し必要な指導及び助言をすることができます。
勧告及び命令(第42条)
個人情報保護委員会は、個人情報保護法違反があり、個人の権利利益を保護するために必要があると認めるときは、個人情報取扱事業者等に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるよう「勧告」することができます(第1項)。
そして、個人情報取扱事業者が正当な理由なく勧告に従わず、個人の重大な権利利益の侵害が切迫しているときは、勧告に従うよう「命令」することができます(第2項)。
また、個人情報の不適正な取得や本人の同意を得ない第三者提供などの違反行為により個人の重大な権利利益を保護する緊急の必要性があるときは、勧告を経ずにいきなり命令をすることもできます(第3項)。
このように、個人情報保護委員会には強力な権限が認められているわけですが、その行使にあたっては、表現の自由、学問の自由、信教の自由及び政治活動の自由を妨げてはならないと、釘がさされています(第43条第1項)。