個人情報保護法について

個人情報保護法について
(2017年8月8日更新)

1 個人情報保護法の概要

「個人情報の保護に関する法律」(以下「個人情報保護法」といいます。)は、だれもが安心して情報化社会の利益を享受できるよう制定され、平成17年4月から全面施行されています。 

個人情報保護法は、官民を通じた個人情報の取扱いに関する基本理念などを定めた部分(第1章~第3章)と、民間の事業者における個人情報の取扱いのルールを定めた部分(第4章~第6章)から構成されています。このうち、前者については国の行政機関や地方公共団体にも関わりますが、後者については民間部門のみを対象としています。 


2 個人情報保護法の目的


この法律は、「個人情報の有用性に配慮しつつ、個人の権利利益を保護すること」(法第1条)を目的としています。よって、法は「個人の権利利益の保護」のみを目的としているのではなく「個人の権利利益の保護」と「個人情報の有用性」のバランスを図ることを目的としています。


3 個人情報保護法によるメリット


 個人情報保護法によって、私達は、事業者による個人情報の取扱いに不安を感じたような場合、自分に関する情報の開示や訂正、利用停止などを、その問題の事業者に求めることができるようになりました。

また、個人情報の取扱いに関する苦情がある場合には、問題の事業者に直接申し出るだけではなく、地方公共団体などに相談できるようになりました。


4 「個人情報」「個人情報取扱事業者」とは

(1)個人情報とは

生存する個人に関する情報であって、特定の個人を識別できるものと定義されています。ですので、名前はもちろんのこと、電話番号、住所などそれだけでは個人情報でなくても、他の個人情報と簡単に照らし合わせることができ、それにより個人を識別できる情報も個人情報となります。

(2)個人情報取扱事業者とは

個人情報保護法第4章から第6章に定める義務の対象となる「個人情報取扱事業者」とは、個人情報データベース等(個人情報を含む情報の集合物で、特定の個人情報を電子計算機を用いて検索できるように体系的に構成したもの又はこれに準ずるものをいいます。 法第2条第2項)を事業の用に供している者(民間部門)をいいます(法第2条第3項)「事業」とは、一定の目的をもって反復継続的に遂行される同種の行為の総体を指すものであり、営利・非営利の別を問いません。したがって、非営利の活動を行っている団体であっても個人情報保護法の義務規定の対象となり得ます。ただし、事業の用に供する個人情報データベース等を構成する個人情報によって特定される個人の数の合計が、過去6か月以内のいずれの日においても5,000を超えない場合は、除外されます。


5 過剰反応について

(1)過剰反応とは

個人情報保護法が施行され、個人情報に対する人々の意識が高くなりました。しかし、一方で法律に対する誤解等により、個人情報保護法の抵触をおそれて過度に個人情報の提供が控えられるといった「過剰反応」と呼ばれる事態が生じました。

主な具体的事例として、個人情報保護法全面施行後の2005年に発生したJR福知山線脱線事故が挙げられます。この事故でJR西日本や一部の病院では、個人情報であることを盾に被害者の家族からの安否確認を拒否したり、死傷者情報をメディアに提供しませんでした。

より身近な例では、個人情報保護法のために学校の連絡網や自治会名簿を作れないという事態も起きました。

(2)過剰反応の対策

「過剰反応」問題を解決するために必要なのは、まずは法の趣旨を正しく理解することです。「個人情報」に対し、過剰に反応せず、法律に沿って、論理的に対処することが大切です。


6 個人情報保護法に関連するQ&A

個人情報保護の過剰反応に関するものを中心に,国の機関等が公表しているおもな事例を参考に,日常の生活でしばしば問題となる個人情報の取扱方法等についてQ&A形式でまとめました。参考にしてください。


Q1 学校や地域で名簿を作成・配布したいのですが、どのようにすればよいですか?

A1   個人情報保護法の義務規定の対象である個人情報取扱事業者は、個人情報の適正な取得や利用目的の通知等のルールを守れば、本人の同意なく各種名簿を作成すること自体は可能です。これを配布するときに本人の同意が必要になります。個人情報保護法においては、以下のいずれかの手続きを行えば、学校や地域社会での名簿の配付ができます。

(1)あらかじめ本人の同意を得る場合

まず、本人に連絡網や名簿の必要性、利用目的や配布先、管理方法等をよく説明し納得してもらうことが重要です。そのために、利用目的に従って記載事項を必要最小限にするなど、本人が同意しやすいように工夫することが必要です。同意が得られない場合は、同意する者の範囲内で作成・配布するなど適切に対処する必要があります。

よって、学校でクラス名簿や緊急連絡網などを作成・配付する場合は入学時や新学期の開始時に、「生徒の氏名、住所など学校が取得した個人情報については、クラス名簿や緊急連絡網として関係者へ配付する」ことを明示し、同意の上で所定の用紙に個人情報を記入・提出してもらいます。(全員の同意を取れなかった場合も、同意を得ることができた人のみを掲載した名簿の配付はできます。)

(2)同意に代わる措置を取る場合

以下の4点を本人に対し、郵便、電子メール等で通知する、又は事業者の窓口への掲示、ホームページへの掲載等により、本人が容易に知ることができる状態に置くことにより、作成した名簿を配布することができます。(法第23条第2項)

ア 第三者への提供を利用目的とすること

イ 提供される個人データの項目

ウ 提供手段・方法

エ 本人の求めにより個人データの第三者への提供を停止すること

Q2  本人からの同意を得なくても個人情報を提供することは可能でしょうか。できるとしたら、どのような例がありますか?

A2   過剰反応が起きる背景にあるのは「個人情報保護法は全ての場合において、本人の同意なく個人情報を第三者に提供することを禁じているのではないか?」といった誤解です。以下の場合は、例外として本人から同意を得なくても、本人以外の者に個人情報を提供することができます。
  1. 法令に基づく場合
  2. 人の生命、身体又は財産の保護に必要な場合
  3. 公衆衛生・児童の健全育成に特に必要な場合
  4. 国等に協力する場合

Q3 大規模災害や事故等の緊急時に報道機関や地方公共団体等、被害者の家族から身元不明の患者に関する問い合わせがあった場合、当該患者の情報を提供できますか?

A3  個人情報保護法では、法令に基づく場合や人の生命、身体又は財産の保護のために必要がある場合等には例外として本人の同意なく第三者へ個人情報を提供することができると定めています。大規模災害や事故等において、被害者本人の安否を家族等の関係者に迅速に伝えることは本人のみならず、家族の安心や生命等を保護するために必要であると解釈できます。よって、「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」(法第23条第1項第2号)に該当するので、医療機関は、存否確認に必要な範囲で、意識不明である患者の同意を得ることなく患者の情報を提供することが可能と考えられます。ただし、具体的な対応については、個々の事例に応じて医療機関が判断する必要があります。

Q4 学校行事で撮影された写真を、校内に展示する場合、写真に写っている本人に事前に同意を求める必要がありますか?

A4  写真に写っている人が、後姿であったりと人を識別できない写真の場合は、当然その写真は個人情報には該当せず、個人情報の問題にはなりません。しかし、写真により本人を識別できる場合には、個人情報に該当しますので、利用目的を公表等する(法第18条)ほか、展示期間を限定したり、不特定多数の者への提供には本人の同意を求めたりするなどの自主的な取組が必要です。 学校行事で撮影された写真等については、データベース化せずそのまま保存するような場合は、通常特定の個人情報を容易に検索できる個人情報データベースとは言えません。このような場合、当該写真は個人データ(データベースを構成する個人情報をいいます。)には該当しないため、学校が、それを展示したり、生徒や保護者に提供したりすることについて、個人情報保護法第23条(第三者提供の制限)に定める本人の同意を求める手続きは必要ありません。

Q5  年賀状などを出す目的で、知人の個人情報をデータベース化して管理していますが、個人情報保護法上、何らかの義務が発生しますか?

A5  個人情報保護法では、一定の数量以上の個人情報を事業に利用する「個人情報取扱事業者」が義務規定(個人情報の利用目的の特定義務や安全管理措置義務等があります。)の対象になります。従って、個人的に年賀状を出すなど、私的な目的で個人情報を扱う場合は、義務規定の対象とはなりません。

Q6 統計調査については、個人情報保護法があるのだから、個人情報に関することは答えなくてもよいですか?

A6  国勢調査や労働力調査をはじめとする基幹統計調査については、個人情報保護法とは別に、統計法第13条によって報告が義務付けられています。なお、基幹統計調査で得られた情報(人、法人又はその他の団体の秘密に関する事項)については、統計法により、関係者に守秘義務が課されており、保護されます。

Q7 個人情報保護法が適用されない個人情報取扱事業者はありますか?

A7  個人情報取扱事業者のうち、憲法上保障された自由(表現の自由、学問の自由、信教の自由、政治活動の自由)に関わる(1)から(5)の者がそれぞれ(1)から(5)の活動のために個人情報を取り扱う場合には、その限りにおいて、個人情報取扱事業者の義務は適用されません(法第50条)。

  1. 報道機関 報道活動
  2. 著述を業として行う者 著述活動
  3. 学術研究機関・団体 学術活動
  4. 宗教団体 宗教活動
  5. 政治団体 政治活動

以上の諸活動の自由を確保するため、これらの活動の相手方である個人情報取扱事業者の行為(例:政党から政治活動を行うため要請があった場合に、本人の同意なく個人データを提供すること)についても、主務大臣は、その行為に関する限り、その個人情報取扱事業者に対して報告の徴収、勧告、命令などの権限を行使しないこととされています(法第35条)。



その他、個人情報保護法に関連するQ&Aについて、更に詳しく知りたい場合は、個人情報保護委員会ウェブサイトをご覧ください。