「我が国における個人情報保護システムの在り方について」(中間報告)に対する意見書
- 意見書全文 (PDFファイル;697KB)
2000(平成12)年3月16日
日本弁護士連合会
本意見書について
1. 意見書の構成について
まず、第1章で、我が国における個人情報保護システムの基本的在り方について触れ、個人情報の保護については、公的部門と民間部門とでは、その基本的な考え方が異なることに留意すべき旨述べている。
第2章では、公的部門である現行の個人情報保護法の問題点の指摘と同法の抜本的な全面改正を掲げ、日弁連個人情報保護法大綱(1998年3月19日発表)の紹介、情報公開法と個人情報保護法の整合性を考えるべき旨指摘をしている。
第3章から第10章及び15章では、民間部門の個人情報保護基本法という意味に限定して、個人情報保護の原則、救済システム、国等の責務、自主規制等について述べている。
第11章から第14章までは、現在個別法が必要と考えられている分野、信用情報、医療情報、電子通信事業、教育情報の4分野の法制化について意見を述べている。
2. 意見書の内容について
第1章 我が国における個人情報保護システムの基本的考え
1. 公的部門
OECD理事会勧告8原則(1)収集制限の原則、(2)データ内容の原則、(3)目的明確の原則、(4)利用制限の原則、(5)安全保護の原則、(6)公開の原則、(7)個人参加の原則、(8)責任の原則)に従って規定される必要
2. 民間部門
- 個人の尊厳と同時に表現の自由、知る自由との調整が必要
- 基本法の内容は「個人情報保護の目的」「保護すべき個人情報の範囲」「基本原則」「国民、国、地方公共団体の責務」が妥当
- 全体としては、個人の人格的利益の侵害から個人を保護する必要性が具体的に認められる部門、すなわち、公的部門と民間部門の一部については一定の法規制が必要
- 3. 以外の民間部門については、OECD8原則等の理念に則した自主的規制を奨励するという基本法にすべき
第2章 公的部門における現行法の改正について
1988年「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」の抜本的改正が必要
- 12項目の付帯決議の見直し
- 日弁連個人情報保護法大綱
- 情報公開法との整合性
第3章 民間部門における保護すべき個人情報の定義
1. 個人情報の定義
「個人に関する情報であって、当該情報から特定の個人が識別され又は識別され得るもの」 とすべき
2. 保護すべき範囲
- マニュアル情報も含むべき
- 「事業者が、その業務に関連して収集し、管理し、利用(提供を含む)するすべての個人情報」とすべき
- 私的収集情報は除外
3. サイバースペースにおける個人情報保護法制について
分野横断的かつ包括的な基本法の制定は「サイバースペース」に関する規定も含むべき
第4章 民間部門の個人情報保護のための確立すべき原則
1.個人情報収集に関する原則
- 収集目的の明確化の原則は、収集目的達成に必要最小限と規定すべき
- 直接収集の原則は、目的に必要な最小限のものとして規定すべきだが、名簿業者、情報公開法に基づく開示請求、弁護士法23条の2等の広範な例外規定を設けざるを得ない
2.報道・学術研究機関の収集原則は報道目的、研究目的のために適用を除外すべき
3.センシティブ情報の収集禁止
思想、信条、人種、身体・精神障害等の情報の絶対的収集禁止規定を明記すべき
第5章 民間部門の個人情報の利用、管理等、目的外利用制限の除外
- データマッチングは、個人情報の利用とのバランスを考慮しつつ、規制措置を設けるべき(事業者は、法律の規定により具体的に認められている場合その他正当な理由がある場合に限りオンライン結合をすることができる)
- 目的外利用制限の適用除外は、明確に規定すべき情報公開法における個人情報の例外的な開示決定、民訴法文書提出命令、弁護士法23条の2等
- データセキュリティ基準は、具体的な基準を基本法又はガイドラインにおいて規定すべき。収集した保存期間も規定すべき
第6章 民間部門の本人開示、訂正等の請求
- 個人情報の保有状況については、その内容(収集目的、方法、収集項目)を一般の閲覧に供すべき
- 本人開示請求を認めるべき
- 公開及び本人に対する開示原則の適用除外は、抑制的にすべきであり、開示することにより、本人自身又は第三者が著しい不利益を被ることが明らかであるとき、法律の具体的規定により開示することができないとされているときに限定すべき
- 本人からの訂正の請求は訂正にとどまらず、削除請求も含むべき
- 数次取得者が存在する場合の措置については、提供先業者が、累次提供業者をして当該誤情報の訂正を行わせるべき
- 本人からの同意なく収集、又は目的外利用等された個人情報は、無条件で本人からの自己情報の利用・提供拒否の請求ができるとして、一旦利用提供に同意した場合でも、将来にわたって無条件で撤回できるようにすべき
- 未成年等の自己情報コントロール権は人格権の一部であるから、婚姻と同様、法定代理人の意に反しても本人としての権利行使できるとすべき
- 本人による開示、訂正、利用・提供拒否は少なくとも権利宣言的な規定として明記すべき
第7章 民間部門の個人情報保護のための管理責任、苦情処理、相談、紛争処理機関
1. 基本法における責任の原則を実現するための具体的な規定の提案
- 事業者に情報管理の方法に関する計画の策定、公表義務
- 情報管理責任者の選任と事業場ごとの苦情・相談窓口の設置の義務化
- 情報管理者等の教育訓練、内部規定の整備、安全対策の実施、実践遵守計画の策定、周知徹底等の実施する責任と権限を与える
- 苦情・相談窓口の設置の周知と窓口責任者の明確化
- 苦情・相談窓口の質問、苦情に対する適切な回答義務
2. 特別行政委員会の設置について
- 第三者機関である個人情報保護委員会の設置
- 個人情報保護委員会の機能
委員及び事務局に独立した調査権限を付与、調査権限を基礎にして指導・助言に関する権限及び勧告・是正命令権限を与え、オンブズマン的な機能も認めるべき。
将来には、EUのデータ保護登録官の機能が付与されることも検討すべき
3. 民間における紛争処理機関の活用及び複層的な救済システム
- 民訴法は事後救済の要であるが、中立、公平、公正な裁判外の複数の救済制度が準備されることが望ましい
- 事業者、事業者団体の苦情処理機関における中立性や信頼性の確保の限界
- 事業者団体に加盟しないアウトサイダーへの対応
- 個人情報保護委員会の設置(救済機関の具体像)
救済制度機関には公的資金利用、個人情報保護原則に則った解決、利用しやすさ
第8章 国民、国、地方公共団体の責務
- 国民の責務は、抽象的・一般的なものであっても国民に何らかの責任があるかのような規定を設けるべきでない。事業者の責務は規定を設けるべき
- 国の責務は、努力すべき旨を明らかにすべき規定にすべき
例えば判断機関の設置、個別法に司法救済に関する規定を明記、立証責任の転換、損害の推定等 - 地方公共団体の責務は条例制定に努力すべき旨の明記
第9章 全分野を通じた登録制度・届出制度
民間部門の全分野に登録・届出義務を課すことは、現実的でないが、自治体の個人情報保護条例にみられる任意の情報収集項目等に関する登録制度を設け、一覧に供したり、認証マーク付与をすることは十分検討できる
第10章 全分野を通じた罰則、悪質な不適正処理に対する制裁
「事業者又は職員等が不正に他人に情報提供する行為およびそれを受領する行為」についての罰則は規定すべき
第11章 個別法 個人信用情報分野
1999年9月10日発表の「個人信用情報保護・利用の在り方に関する論点・意見の中間的な整理」に関する日弁連意見書を参照されたい。
第12章 個別法 医療情報分野
1. 医療分野の個人情報保護の法制化の必要性について
1999年3月発表の厚生省の「カルテ等の診療情報の活用に関する検討会」報告書に対する日弁連意見書を参照されたい。
2. カルテ等診療情報の本人開示の法制化について
- 患者に具体的な請求権を認め、非開示の場合は、裁判上の救済が可能にする
- 徹底したインフォームド・コンセントと自己情報コントロール権を開示の根拠にすべき
- 遺族に対する開示も認めるべき
- 診療記録そのものを開示すべき
- 非開示とする事由は限定的に規定すべき
- 紛争処理機関は公正中立な救済機関を設け、医師会等から独立した第三者機関の設置
3. 診療情報の収集・管理・利用(提供も含む)の制限について
- 調査の有用性や必要性は否定できないが、調査の基本的事項についての届出、実施に先立っての必要性審査、実施状況をチェックするための機関を設ける
- 医療、行政、福祉業者のそれぞれの情報保有、利用についての一般原則の明示必要
第13章 個別法 電気通信分野
「電気通信分野における個人情報保護法制の在り方に関する研究会」中間報告対する意見
本来、表現の自由(憲法21条)を保障するするための電気通信事業法が、個人情報保護の個別法の枠組みとして相応しいのか検討すべき
法制化に向けた検討については
- 事業の公共性に鑑み、個人情報が何かを明確にする基準の設定は外部に公開すべき
- 付随サービス利用者の個人情報保護の法制にあたっては、電気通信分野固有の問題ではないことを留意すべき
- 「通信の秘密」と「業務上知り得た個人の秘密」の「秘密概念」を用いて罰則適用の範囲を隠そうとする方法論は、他の立法例において採用されていることをもって罪刑法定主義を軽視するもので問題がある
- 個人(行為者)に対する規制は保護の対象とすべき個人情報の範囲を明確にし、その行為類型も個人情報の管理が十全であることを前提にすれば、規範的な意味を用いなくても、具体的に記述することが可能であると考える
第14章 個別法 教育情報
- 現行の個人情報保護法第13条本条、但書の解釈の間違い
- 在籍中の個人情報、卒業後の個人情報
第15章 自主規制 ガイドライン 認証制度
OECD8原則、EU指令に則したガイドラインを制定すべき
- ガイドラインで検討すべきこと
管理者
同意の方法
情報主体の権利 - 基本法とガイドラインとの関係
民間部門の個人情報保護基本法には、基本法を根拠に、策定されるガイドラインにおける情報主体の権利性及び、その救済方法(差し止め、損害賠償、挙証責任の軽減)、救済を求める第三者機関の設置等の在り方を明確に規定すべき - 認証制度
認証審査の方法や認定後の不適となった際のチェックをどのように担保するか等も検討課題
(※全文はPDFファイルをご覧ください)