個人情報保護法 | 百科事典

（独立行政法人等の保有する個人情報の保護に関する法律、行政機関の保有する個人情報の保護に関する法律等の適用を受ける。

個人情報取扱事業者の対象

個人情報等データベースを事業の用に供する者で、国、地方公共団体、独立行政法人等、地方独立行政法人（行政機関個人情報保護法等の適用を受ける）や、取扱う個人情報（市販の電話帳やカーナビの住所情報等は除く）が過去6か月以内のいずれの時点においても5000人^[2]を超えない事業者を除く者を指す（2条3項、施行令2条）。

したがって、事業者には営利法人のみならず非営利法人も該当するが、一般の個人については原則として対象とならない（ただし、個人事業主等でこの定義に当てはまる者は当然、本法の対象となる）。

個人情報取扱事業者の主な義務

個人情報保護法第4章第1節に個人情報取扱事業者の義務が記されている。

個人情報について

• 利用目的の特定（15条）
• 利用目的の制限（16条）
• 適正な取得（17条）
• 取得に際しての利用目的の通知（18条）
• 苦情の処理（31条）

個人データについては、データ内容の正確性の確保（19条）、安全管理措置や従業者・委託先の監督（20条 - 22条）、第三者提供の制限（23条）が定められている。

保有個人データについては、事項の公表等（24条）、開示（25条）、訂正等（26条）、利用停止等（27条）が規定されている。

事項の公表、開示、訂正、利用停止の規定により、本人から求められた措置の全部又は一部について、その措置をとらない旨を通知する場合又はその措置と異なる措置をとる旨を通知する場合は、本人に対し、その理由を説明するよう努めなければならない（28条）。

第三者提供の制限

個人情報取扱事業者は、以下の場合を除いては、あらかじめ本人の同意を得なければ、個人データを第三者に提供してはならない（23条）。

1. 法令に基づく場合。例、国勢調査などの統計調査等
2. 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。例、事故の際の安否情報など
3. 公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。例、児童虐待情報など
4. 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要があって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。例、犯罪捜査の協力等

ただし、必ずしも本人の同意を得なくとも、以下の場合は第三者への提供ができるものと規定されている。

第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、

1. 第三者への提供を利用目的とすること
2. 第三者に提供される個人データの項目
3. 第三者への提供の手段又は方法
4. 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること

についてあらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる（23条第2項）。

また、個人情報取扱事業者と実質的に同一と見なし得る事業者が共同で利用する場合、共同利用または業務委託として一定の要件を満たした場合、第三者と看做されない規定がある。すなわち、これらの場合、本人の同意を得る必要がない。

事項の公表等

個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知しなければならない（24条2項）。この場合は、手数料を徴収できる（30条）。

開示請求

個人情報取扱事業者は、本人から保有個人データの開示を求められたときは、以下のいずれかに該当する時を除いては、遅滞なく開示しなければならない。ただし、6月以内で消去することが予定されている情報（第2条5項、個人情報保護法施行令第4条）や情報の存否を明らかにすることによって公益等が害される情報は除かれる（25条）。この場合は、手数料を徴収することができる（30条）。

1. 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
2. 当該個人情報保護取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
3. 他の法令に違反することとなる場合

医療機関等に訴訟外で医療のカルテ等を開示請求する等の活用例が考えられる。

訂正請求

個人情報取扱事業者は、本人から、保有個人データの内容が事実でないという理由によって当該個人データの内容の訂正、追加又は削除を求められた場合は、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、保有個人データ等の訂正を行わなければならない（26条）。

利用停止請求

個人情報取扱事業者は、本人から、個人情報の目的外の利用を行っていること、個人情報を不正に取得したことを理由として、保有個人情報データの利用停止または消去を求められた場合であって、その求めに理由があると認められるときは、違反を是正する限度で、利用停止等を行わなければならないが、利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない（27条 1項）。

主務大臣による報告徴収等

主務大臣は、個人情報取扱事業者の義務の規定の施行に必要な限度において、個人情報取扱事業者に関し、個人情報の取扱について報告を求め（32条）、助言することができる（33条）。

主務大臣は、個人情報取扱事業者が本法の規定に違反（ただし開示請求等は除く）していて個人の重大な権利利益を害する事実があるため緊急に措置をとる必要があると認めるときは、直ちに緊急命令を出すことができる（33条2項）。

主務大臣は、個人情報取扱事業者が本法に違反している場合において個人の権利保護を保護するため必要があると認めるときは、勧告をすることができ、正当な理由がなく勧告に従わず個人の重大な権利利益の侵害が切迫していると認めるときに命令を出すことができる（33条3項）。

主務大臣は、個人情報取扱事業者に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべき旨を勧告又は、命ずることができる（34条）。

命令に違反すると6月以下の懲役または30万円以下の罰金に処せられることがある（56条）。

適用除外

個人情報取扱事業者が、マスコミ・著述業関係、大学等、宗教団体や政治団体であり、それぞれ、報道・著述、学術研究、宗教活動、政治活動の目的で個人情報を利用する場合は、個人情報取扱事業者の義務の適用を受けない（50条1項）。これは、主務大臣の報告徴収等を通じて表現の自由等を制約するおそれがあるという強い反対論に基づいて設けられた規定である。これらの者については、個人情報保護のために必要な措置を自ら講じ、内容を公表する努力義務が課せられる（50条3項）。

さらに主務大臣は、一般の個人情報取扱事業者がマスコミ・著述業関係、大学等、宗教団体や政治団体に対して、上述の目的に利用するために個人情報を提供する場合には、報告徴収や命令等の権限を行使しないものとしている（個人情報保護法そのものの適用除外を意味するものではない）。

なお、これらの職にある者が、正当な理由がない場合に、業務上取扱い知り得た秘密を漏らしたときは、刑法134条2項の秘密漏示罪が成立することがある。個人情報取扱事業者の義務の除外と刑法上の責任の免除とは別である点に留意する必要がある。

認定個人情報保護団体

個人情報に関する苦情処理や事業者への情報提供等の業務を行おうとする法人（権利能力なき社団も含む）は、主務大臣の認定を受けて認定個人情報保護団体となることができる（37条）。

認定個人情報保護団体でない者は、認定個人情報保護団体という名称又はこれに紛らわしい名称を用いてはならない（45条）。違反した者は、10万円以下の過料に処せられる（59条）。

認定個人情報保護団体は、その認定業務を廃止しようとするときは、あらかじめ、その旨を主務大臣に届け出なければならない（40条）。 届出をせず、又は虚偽の届出をした者は、10万円以下の過料に処せられる（59条）。

主務大臣は、規定の施行に必要な限度において、認定個人情報保護団体に対し、認定業務に関し報告をさせることができる（46条）。 報告をせず、又は虚偽の報告をした者は、30万円以下の罰金に処せられる（57条）。

問題点

この節には「独自研究」に基づいた記述が含まれているおそれがあります。これを解消するためにある情報の根拠だけではなく、信頼可能な解釈、評価、分析、総合の根拠となる出典を示してください。このタグは2010年6月に貼り付けられました。

この法律については、一部^[誰?]で誤解や過剰反応に基づいた問題が発生している。 国家による警察的な取締をおそれ、法律の基本理念を逸脱した拡大解釈がなされ、国民生活に支障をきたしている。^[3] 実際には、法律上、主務官庁の、個人情報取扱事業者に対する監督がなされるのみで、一般国民に対する直接の規制はない。事業者による個人情報漏洩^[4]それ自体に対する直接の罰則はない。個人情報取扱事業者の主務官庁による中止・是正措置の勧告がなされ、従わない場合または要求された報告をしない場合には罰則が課される。個人情報漏洩を原因とした損害^[5]が発生した場合は民事上の責任を問われる場合がある。

災害や大規模な事故などが発生した際の安否情報も、第23条第1項第2号の「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」に該当するため、この法律の規制は及ばないと解釈される。 JR福知山線脱線事故のように、周知が行き届かなかったために、情報の取扱いに混乱をもたらした事例もあった。^[要出典] 新潟県中越沖地震では、要援護者名簿の取り扱いに問題点が表面化した。自治体が保有する要援護者名簿が町内会に共有されていれば、地震の死者を減らせた可能性がある。^[要出典] 小中学校の学級緊急連絡網リストや企業の社員住所録が作成されなくなる事態も起きている^[6]。

内閣府ではこういった過剰反応や誤解に対し、個人情報保護法に抵触しない例を出すこととなった。^[7]

この法律施行以後も、一向にダイレクトメールや振り込め詐欺、悪徳リフォーム、インターネットにおける個人情報の無断公開が減らず、実効性に疑問がある、という主張がある。^[要出典]

利用停止請求については、本人が利用停止または消去を求めた場合でも、利用停止等に多額の費用がかかる場合など、適用の除外が認められているため、実質的に機能していない面がある。たとえば、Amazon.co.jpでは、退会後に利用停止請求を行っても、個人情報は削除されず、また個人情報が削除されないことが本人に通知されない問題がある。

いわゆる「オプトアウト」を定める第23条2項の趣旨は「利用停止を求めれば、第三者提供は停止される」というものであり、「本人に通知する」ことの代替として「本人が容易に知り得る状態に置く」ことを容認しているものであるが、一部の個人情報取扱事業者は、この規定を拡大解釈し「第三者(つまり他の個人情報取扱事業者)から取得した個人データも、WEB上に4要件を明示していれば、本人の同意を得ずに、本人に通知することなく、個人データを第三者に提供できる」として、個人データを売買しているケースがある。このような第三者提供が繰り返されると、個人情報を保有されている国民は、いかなる個人情報取扱事業者が自らの個人データを保有しているかを知り得る手段がないことから、実質的にオプトアウトの機会を逸失しているにも関わらず、自らの知らないところで第三者提供が行われるという事態が生じており、「利用停止を求めれば、第三者提供は停止される」という法律の趣旨を満たさないこととなっている。このような問題を是正するために、法第23条第2項の正しい法律解釈を告知していくことが求めらている。

当初、創価学会を支持母体とする公明党はこの法案に反対の立場であったが、宗教団体が個人情報取扱事業者の適用を除外されると一転して賛成に回った経緯があり、宗教団体（特に支持母体である創価学会）の活動を助長しているのではないかとの問題がある。

裁判

本法の施行後、個人情報を漏洩された本人が、精神的苦痛を与えられたとして、慰謝料を請求する訴訟も起こされている。実際に被害者側が勝訴している判例もあり、例えば、京都府宇治市の住民基本台帳データが不正流出した件では、大阪高等裁判所が、宇治市に対し、住民に一人あたり15000円（慰謝料10000円、弁護士手数料5000円）の損害賠償をするように命じた。また、最高裁判所は本件に対する宇治市の上告を棄却し、平成14年7月11日に控訴審判決が確定した。

脚注

1. ^ OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data
2. ^ この5000人のうち、当該事業者以外の者が作成した個人情報データベース等であって、氏名、住所情報、電話番号以外の個人情報がないものについて、当該個人情報データベース等を編集、加工せずにそのまま使用する場合には、当該個人情報データベース等での取扱個人の件数は含まれない。
3. ^ 国民生活センター「最近の個人情報相談事例に見る動向と問題点(平成17年11月17日)」
4. ^ ここでは、個人情報取扱事業者が、個人データの漏洩防止等のための安全管理措置義務（第二十条）義務を怠って個人データを漏洩した場合を言う。
5. ^ 通常は、個人情報取扱事業者が安全管理措置義務（第二十条）を怠って個人データを漏洩し、もって当該データの個人情報が第三者に知られる可能性が生じた時点で、本人の精神的損害（慰謝料）は少なくとも認められうる
6. ^ この法律の規制が及ばないと言うわけではない。場合によっては、組織外への第三者への無断提供や、漏洩防止等のための安全管理措置義務は、規制の対象になりうる。本人の同意が必要になる場合があるが、全員が同意しなかった場合に、「本人が同意しなかったと言う個人情報」自体が組織内で共有されてしまうとして、最初から作成しないと言うことも起こり得る。
7. ^ 内閣府国民生活局個人情報保護推進室「個人情報保護法に関するよくある疑問と回答」

関連項目

ウィキソースに個人情報の保護に関する法律の原文があります。

ウィキブックスにコンメンタール個人情報の保護に関する法律関連の教科書や解説書があります。

• 個人情報保護法関連五法
  • 個人情報の保護に関する法律 - 基本法則と民間の個人情報保護を規定
  • 行政機関の保有する個人情報の保護に関する法律
  • 独立行政法人の保有する個人情報の保護に関する法律
  • 情報公開・個人情報保護審査会設置法
  • 行政機関の保有する個人情報保護法等の施行に伴う関係法律の整備等に関する法律
• 表現の自由 - 報道の自由 - 言論の自由
• メディア規制三法
• プライバシー - プライバシーポリシー - プライバシーマーク（JIS Q 15001）
• 住民基本台帳ネットワーク
• 安倍内閣メールマガジン#目的外使用問題
• 企業コンプライアンス
• 名簿業者
• 経済産業省商務情報政策局　情報経済課03-3501-0397

外部リンク

• 個人情報の保護に関する法律（法令データ提供システム フレーム版）
• 個人情報の保護に関する法律施行令（法令データ提供システム）
• 首相官邸・個人情報の保護に関する法律
• 内閣府個人情報保護ポータル
• 個人情報保護法に関するよくある疑問と回答（消費者庁）
• 個人情報の保護に関するガイドラインについて（消費者庁）
• 個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン（経済産業省）
• 個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン等に関するＱ＆Ａ（経済産業省）
• プライバシーマーク制度（財団法人日本情報処理開発協会）