OECD8原則

OECDオーイーシーディー8原則(OECD(経済開発協力機構)が1980年に採択した「プライバシー保護と個人データの国際流通についてのガイドライン」)も重要です。

世界の個人情報保護のスタンダードになっており、個人情報保護法にも反映されています。

個人情報保護士試験でも毎回のように1題出題されます。

OECD8原則の内容

試験対策としては8原則の内容を理解するとともに、それらが個人情報保護法のどの規定に現れているか確認しておく必要があります。

1 目的明確化の原則

(Purpose Specification Principle)

個人データの収集目的を明確にしましょう、ということです。

個人情報保護法第15条に反映されています。

「提出いただいた個人情報は、商品の発送にのみ使用させていただきます」といった表記を見たことがあると思います。あれのことです。

2 利用目的制限の原則

(Use Limitation Principle)

本人の同意なしに個人データを当初の目的以外に使用してはいけない、ということです。

個人情報保護法第16条(利用目的による制限)と第23条(第三者提供の制限)に反映されています。

データ取得時に示された利用目的の自由な変更を許しては本人に思わぬ不利益が生じるかもしれませんよね。

3 収集制限の原則

(Collection Limitation Principle)

違法な方法で個人データを収集してはいけないし、本人に通知または同意を得て収集してください、ということです。

第17条(適正な取得)に反映されています。

盗んだりだまし取ったりしてはいけません。

4 データ内容の原則

(Data Quality Principle)

訳語が少しわかりにくいですね。

収集したデータの正確性、最新性を保ちましょう、ということです。

個人情報保護法第19条(データ内容の正確性の確保)に反映されています。

例えば、誤ったデータに基づいてDMが送られ続けてきたりしたら迷惑ですよね。

5 安全保護の原則

(Security Safeguards Principle)

紛失や破損しないよう合理的な措置をとってください、ということです。

個人情報保護法第20条(安全管理措置)、第21条(従業者の監督)、第22条(委託先の監督)に反映されています。

いい加減な管理をされては不安ですよね。

6 公開の原則

(Openness Principle)

個人データの取扱いについて情報公開をしましょう、ということです。

個人情報保護法第18条(取得に際しての利用目的の通知)などに反映されています。

7 個人参加の原則

(Individual Participation Principle)

本人(データの主体)のデータ管理に関与する権利を保証するものです。

個人情報保護法第27条から第30条まで(保有個人データに関する事項の公表、開示、訂正、利用停止)に反映されています。

8 責任の原則

(Accountability Principle)

個人データの管理者には上記の諸原則を守る責任がありますよ、ということです。

個人情報保護法第31条(苦情処理)に反映されています。

おわりに

試験ではさらに一歩踏み込んで個人参加の原則が適用されるのは個人情報全体ですか?個人データについてですか?それとも保有個人データについてですか?といったことも聞かれます。

個人情報保護法をひととおり勉強したところで本講の復習をすることをお勧めします。

個人情報保護法改正の背景

個人情報保護法は平成27年9月に改正法が成立し、平成29年5月に全面施行となりました。

実は、「個人情報保護法制定の経緯と社会的背景」というテーマはこの試験の頻出事項であの記事を読むだけで1問正解できました。しかし、2017年6月実施の第47回試験ではこのテーマの出題はなく、かわりに個人情報保護法改正の背景が問われました。それだけ重要な改正だったのだといえます。

では、なぜ改正されたのかご説明します。

グレーゾーンの拡大→定義の明確化

従来の個人情報法保護法は、特定の個人を識別できる情報が個人情報だ、としていました。誰の情報か分かってしまうとプライバシーなど個人の権利侵害のおそれがあるからです。

一見もっともな定義ですが、以前は個人の識別に結びつく情報ではなかったものが技術の進歩により個人の識別が可能となる現象が起こっています。その情報が個人情報に該当するのか判断に迷う「グレーゾーン」が拡大しているのです。

そこで、改正法では「個人識別符号」という概念を導入し、個人識別情報を含むものは個人情報だ、としてグレーゾーンの解消を図りました。

個人識別符号には2つあって、1つは生体情報(顔認識データ、指紋データなど)、もう1つは個人を特定するために割り振られた番号等(運転免許証番号など)です。

これでDNA情報などが個人情報に該当することがはっきりしたのです。

他方、携帯電話番号は個人に割り振られたものではなく(会社が契約する場合もありますよね)、変更されることもあるので個人情報ではありません。

また、特に慎重な取扱いが求められる情報を「要配慮個人情報」と定義して個人の権利利益侵害を防ぐようにしました。

情報の利活用の推進→匿名加工情報

情報は重要な経営資源です。とりわけ近年いわゆるビッグデータの活用が新たなビジネスチャンスを生んでいます。しかし、ビッグデータに含まれるパーソナルデータが個人情報だとされるとどうでしょう。ビッグデータの活用を躊躇ちゅうちょすることになります。

そこで、改正法は、個人を識別できないよう加工した匿名とくめい加工情報」という概念を導入し、厳格なルールのもとで流通させることを認めました。

匿名加工情報については第47回試験で詳しく聞かれていますので、別講で解説します。

グローバル化対応の要請

経済のグローバル化に伴い、個人情報の国際的流通も課題になっています。

法律は国によって異なり、個人情報を厳格に扱う国もあればそうでもない国もあるからです。

そこで、改正法は、我が国と同等の個人情報保護法制が整備されている国、あるいは我が国の個人情報保護法下で求められるのと同水準の管理体制をしいている事業者以外の外国事業者に個人データを提供するには本人の同意を要するものとしました。

名簿屋対策の強化

ベネッセの事件で流出した個人情報がどこまで広まってしまったのかは捜査機関でも把握しきれなかったと聞きました。

名簿の取引自体は合法ですが、規制強化の要請は高まっています。

そこで、改正法は、個人データのトレーサビリティ(追跡可能性)を確保するために、提供者は受領者の氏名等を、受領者は提供者の氏名や当該データの取得経緯を確認・記録し一定期間保管するよう義務づけました。

また、不正な利益を図る目的で個人情報データベースを提供する行為を犯罪として処罰の対象にすることとしました(データベース提供罪)。

個人情報保護委員会の新設

我が国には個人情報保護の専門行政庁がなく、各行政庁が所管する事業者を指導・監督してきました。

例えば、銀行や証券会社は金融庁、病院は厚生労働省といった具合です。

しかし、複数の省庁にまたがる場合もありますよね。医療一般は厚生労働省の所管ですが、医療研究となると文部科学省や経済産業省も関係してきます。仮定の話ですが、複数の省庁から二重、三重に指導を受けるとしたらどうでしょう。同じ事を言われるなら煩雑なだけで無駄ですし、違う事を言われたらどう対処していいのか混乱します。

そもそも、専門の所管庁がないということ自体、日本が個人情報保護を重要視していないとの評価につながりかねません。

そこで、マイナンバー法施行時に設立された「特定個人情報保護委員会」を改組して個人情報保護委員会」を新設することにしました。

個人情報保護委員会には調査、監督権限が認められており、同委員会の命令違反には罰則が科せられます。

その他

いわゆる5000件要件廃止、第三者提供のルール整備、認定個人情報保護団体制度導入などたくさんあります。いずれも出題可能性が高いと思われますので適宜解説します。

個人情報保護法制定の経緯と社会的背景

個人情報保護に関する法制の歴史

個人情報保護法制の出発点は1980年のOECD8原則発表です。

プライバシー保護と個人データの国際的流通のガイドラインが提示されたのです。(OECD8原則自体もこの試験の頻出事項なので項を改めて解説します)

これを受けて1988年に「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」が公布されました。

この段階では民間事業者に個人情報の保護に関する義務を課すのは時期尚早として、まずは行政機関の個人情報保護制度整備に着手したのです。

「個人情報保護法は我が国初の個人情報保護に関する法律である、○か×か」と問われましたら自信を持って「×」とお答えください。

個人情報の漏洩事件

次に重要なのは、個人情報の大量漏洩事件が社会問題化した、ということです。

1999年に宇治市で住民ほぼ全員の住民基本台帳データが流出してしまうという事件が発生しました。

乳幼児検診システムの開発に従事していた大学院生が、住民基本台帳データを自宅に持ち帰り、そのコピーを名簿販売業者に販売したというものです。

流出したデータには氏名、住所、生年月日のほか世帯主との続柄なども含まれており、プライバシー侵害の不安感が高まりました。

電子政府の構築

また、電子政府の構築も重要です。

2002年に住基ネットの運用が始まりました。住基ネットの導入に際しては政府が個人情報を掌握する布石ではないか、プライバシーは保護されるのかとの警戒感があり個人情報についての議論が盛んになりました。

このような社会背景があって個人情報保護法は2003年5月に公布され、2005年4月に全面施行となりました。

この公布と施行まで約2年の期間が空いているということも出題可能性あり、です。

だいたい、重要な制度の導入が国会で決まって即実施、というのは乱暴ですよね。

実際、2004年に関係各省庁がガイドラインを発表し、これを参照しつつ各事業者が準備をするという流れになっていました。