個人情報保護基本法制に関する大綱案(中間整理)に対する意見書

2000年7月13日
日本弁護士連合会


本意見書について

第1 目的(中間整理1)について

1. 中間整理1が、個人の権利利益を保護することを主たる目的とし、適正な利用に対する配慮と並立的に捉えなかったことは評価する。公的部門と民間部門では、個人情報保護システムの原理が異なることに留意する必要がある。


公的部門(国、地方公共団体、政府関連法人等)の保有する個人情報の保護は憲法13条に基づき個人の尊厳を保障する義務に根拠づけられるものである。公的部門は、OECD理事会勧告8原則((1)収集制限の原則、(2)データ内容の原則、(3)目的明確の原則、(4)利用制限の原則、(5)安全保護の原則、(6)公開の原則、(7)個人参加の原則、(8)責任の原則)に従って規定される必要がある。


民間部門が保有する個人情報の保護は、個人の尊厳が基本的人権として保障されることについては、少なくとも憲法の間接的な適用を受けるものであるが、同時に、表現の自由、知る自由、さらには私的自治の原則との調整、調和も考慮されなければならない。表現の自由は知り伝える自由であり、他人の個人情報を含め、情報を求め、受け、伝える自由は、基本的人権として保障されなければならない。


2. 基本法の理念について

(1) 個人情報の利用が目的に関連する範囲内で適切に行われなければならないこと


(2) 自己に関する個人情報の適切な管理に努めることを理念としてかかげ、「プライバシーの権利が、個人の権利利益の主要なものの一つとして十分に尊重されるべきであること」を明記すべきである。


プライバシー権の消極的・積極的な側面の両者を保護する体系的な法制度が必要になったことを明記すべきである。


第2 公的部門における現行の個人情報保護法の改正について

公的部門における個人情報保護の検討において最も重要なものは現行法の改正である。しかし、具体的にどのように改正されるのかは明確でないため、現行法の抜本的改正案の骨子を早急に明示すべきである。基本法の検討とは切り離し、すみやかに現行法の改正を行うべきである。


第3 定義(中間整理2)について

1. 個人情報については「個人に関する情報であって、当該情報から特定の個人が識別され又は識別され得るもの(但し、事業に関する情報を除く)」と定義すべきである。


2. 「検索可能」という定義は法文上不明確であり、より一層対象情報が法文上及び解釈上明確になるような工夫が必要である。保護すべき個人情報保護の範囲については、「事業者が、その業務に関連して収集し、管理し、利用(提供を含む)するすべての個人情報」とすべきである。事業者の過度の負担を考慮して客観的、合理的な範囲を定める必要があると考える。


3. 事業者の定義中、「これらに準ずる一定の者」の範囲が不明確である。特殊法人等情報公開法の対象機関以外の法人は、「当該事業の遂行について、個人情報の処理等を行う者」として「事業者」に該当するように定義すべき。


第4 基本原則(中間整理3)について

1. OECD8原則に比べると緩やかであり、より厳格なものにすべきである。


2. 「利用目的による制限」については「関連して」という文言は制限の範囲が不明確になる恐れがあり削除すべき。「目的外利用禁止」を明確に規定すべき。情報公開法に基づく開示、民訴法文書提出命令に基づく個人情報の提示、弁護士法23条の2に基づく弁護士会照会は、利用制限の原則の適用除外とすべき。


3. 「最新性」についての原則も規定すべき。


4. 「直接収集の原則」及び「センシティブ情報の収集禁止」も原則として規定すべき。


5. 本人情報開示請求等を実効性あるものとするために「可能性」は、明確に「手段」と変更すべき。さらに、本人開示や訂正等を求めることができることは、基本原則として権利宣言的に規定すべき。


 


第5 政府の措置及び施策(中間整理4)について

1. 現行法の見直しは抜本的なものでなければならず、単に基本法の理念に従った既存法令の見直しといったレベルでは不十分である(日弁連個人情報保護法大綱を参考)。


2. 基本法が制定されたときの既存の法令が見直されなければならない。


3. 独立法人等に対する措置として、必要な措置を講ずるとして1項目を設け、純然たる民間部門の規制と異なる扱いを検討していることを評価する。政府関連法人の個人情報保護に関する法的規制も、基本的に情報公開の問題と同一に考えるべきである(日弁連政府関連法人の情報公開制度に関する意見書参考)。


4. 基本法はどこまで具体的に規定し、民間部門についてどのような制度設計を考えているのか判然としない。個人情報保護のための独立の行政委員会を設置し、独立した調査権限を付与し、調査権限を基礎にして事業者に対し、指導・助言を行い、そして勧告・是正命令権を与え、オンブズマン的機能の発揮も求めることが必要である。


第6 事業者が遵守すべき事項(中間整理5)について

1. 「利用目的の制限」については第4の2と同様。


2. 「第三者への提供」については、原則、第三者への目的外情報提供を禁止とし、例外として、「本人の同意をえて第三者に提供ができる」という趣旨を明確にすべき。


3. 「内容の正確性の確保」については第4の3と同様。


4. 「適正な方法による取得」については、直接収集の原則に基づく規定とすべき。


5. 「安全保護措置の実施」については、収集情報の保存期間に係る内容も含むべきであり、当該規程の内容が当該事業者に対して個人情報を提供した者に明らかになるような措置(閲覧・公表等)を講ずるべき。


6. 「第三者への委託」については、少なくとも政省令又はガイドライン等では、実効的な保護措置を明確に定めるべき。


7. 「個人情報の処理等に関する事項の公表」については基本的には正当であり、容易に閲覧可能にするために公表場所を地方自治体にしたり、インターネットによる公表を検討すべきである。公表義務を課さないこととした事業者や情報についても、事業者が自発的に公表・登録することとすべき。公表制度と認証マークの付与をリンクさせ、公表することにインセンティブを与える工夫が必要。虚偽公表者については罰則を検討すべき。


8. 「開示・訂正等」について
(1) 開示・訂正の請求

本人は、事業者が保有している自己についての個人情報につき、合理的かつ本人にとり容易な方法により(1)当該個人情報の開示(2)誤情報についての訂正等を求めることができる規定を策定すべき。


(2) 開示等の原則の適用除外

事業者は、自己の利益を目的として、本来本人が管理する権利を有する個人情報を利用しているのであるから、情報主体である本人から開示等の請求に伴うコストは、甘受すべきである。但し「事業者」は「事業を営む者であって、当該事業の遂行について、個人情報の処理等を行う者」として定義されるのであるから、この定義に基づき、本人開示の原則を適用すべき事業者の範囲が制限されることはある。


(3) 請求の方法・費用等について
  1. 本人からの開示・訂正等の請求方法については制約を設けるべきでない。
  2. 開示の方法は原則として書面による。
  3. 事業者が本人からの開示・訂正等の請求を拒否する場合には、その具体的理由を明示すべき。
  4. 開示・訂正等に要する費用は原則として事業者負担。
  5. 開示・訂正等をなすべき期間は合理的なものでなければならない。

(4) 開示・訂正以外に本人が求めうるものとすべき事項
  1. 自己情報を事業者が目的外に利用することの差止め
  2. 違法または不当な手段により収集された情報、収集等が禁止されている情報、及び目的外利用により外部に提供された情報について、当該情報の利用を差止め及びその削除
  3. 事業者が情報主体との信頼関係を破壊する行為を行った場合、予めなした個人情報利用についての同意の取消し、その利用の差し止め及びその削除

9. 「苦情処理等」について

苦情処理窓口を明確にし、苦情処理等の申し出を適切かつ迅速に処理を行うこと。適切・迅速を行うための苦情情処理機関の位置付け、権限等をガイドラインにどの様に盛り込むかを具体的に検討すべき。


10. 「他の事業者との協力」について

事業者及び事業者団体にガイドラインを策定させることは、極めて重要である。個人情報保護の実効性の担保、自己規制を守らない業者に対する制裁、被害救済の方法、被害救済の審査機関の設置等は議論をすべき。


11. 「国及び地方公共団体の施策への協力」について

事業者は、国及び地方公共団体が実施する個人情報の保護に関する諸施策に協力することは、個人情報保護を進めるために有用である。


第7 その他(今後引き続き検討する事項)(中間整理8)について

1. 表現の自由、学問の自由について

収集制限の原則の適用除外分野とすべき。他の原則についても適用除外を検討すべき。報道機関における個人情報保護や学問・研究分野でも自主的規制が必要である。


2. 事業者による開示、訂正等の法律上の位置付け

事業者に対し本人による開示、訂正、利用・提供拒否の求めができることは少なくとも権利宣言的な規定として明記されるべき。


3. 罰則について

事業者又はその職員等が不正に他人に情報提供する行為及びそれを受領する行為について罰則を置くべき。


4. 第三者的な苦情・紛争処理機関の設置について

第三者機関によるチェック機能が重要であり、さまざまな問題に柔軟に対応できる多様なシステムが必要。公的システムは公権力の過度の介入を避ける意味で、苦情処理、相談機関を設けるにとどめるべき。独立行政機関としての個人情報保護委員会を設置し、調査、勧告権限を持ちつつ、苦情処理、相談機関として活動させ、国、都道府県に置くべき。


5. 条例に関する規定

地方公共団体も権限の範囲内で、基本法の趣旨に従い、民間部門の個人情報保護について積極的な役割を果たすべきであり、そのために条例制定につとめるべきことを明記すべき。条例を制定しない自治体には、基本法を直接適用して、苦情処理、相談機関の設置を義務づけるようにすべきである。