個人情報の保護に関する法律
日本の法律
(平成十五年五月三十日法律第五十七号)
通称:個人情報保護法
名称には「保護法」とあるが、事業者による個人情報の保護の定め以外にも、内容としてその開示(25条)、訂正(26条)、利用停止(27条)等も含んでおり、カルテ開示等もこの法律で扱われるものになる。
第一章 総則
(目的)
- 第一条
- この法律は、高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることにかんがみ、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにするとともに、個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。
(定義)
- 第二条
- この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
2 この法律において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるものをいう。
一 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
二 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの
3 この法律において「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。
一 国の機関
二 地方公共団体
三 独立行政法人等(独立行政法人等の保有する個人情報の保護に関する法律 (平成十五年法律第五十九号)第二条第一項 に規定する独立行政法人等をいう。以下同じ。)
四 地方独立行政法人(地方独立行政法人法 (平成十五年法律第百十八号)第二条第一項 に規定する地方独立行政法人をいう。以下同じ。)
五 その取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定める者
4 この法律において「個人データ」とは、個人情報データベース等を構成する個人情報をいう。
5 この法律において「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの又は一年以内の政令で定める期間以内に消去することとなるもの以外のものをいう。
6 この法律において個人情報について「本人」とは、個人情報によって識別される特定の個人をいう。
(基本理念)
- 第三条
- 個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであることにかんがみ、その適正な取扱いが図られなければならない。
以下、略 http://law.e-gov.go.jp/htmldata/H15/H15HO057.html
個人情報開示請求について
個人情報の開示の請求については法25条に記されている。
(開示) 第二十五条 個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの開示(当該本人が識別される保有個人データが存在しないときにその旨を知らせることを含む。以下同じ。)を求められたときは、本人に対し、政令で定める方法により、遅滞なく、当該保有個人データを開示しなければならない。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。 一 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合 二 当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合 三 他の法令に違反することとなる場合 2 個人情報取扱事業者は、前項の規定に基づき求められた保有個人データの全部又は一部について開示しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。 3 他の法令の規定により、本人に対し第一項本文に規定する方法に相当する方法により当該本人が識別される保有個人データの全部又は一部を開示することとされている場合には、当該全部又は一部の保有個人データについては、同項の規定は、適用しない。http://law.e-gov.go.jp/htmldata/H15/H15HO057.html
つまり、個人情報取扱事業者(5000人以上の個人情報を保有する事業者)は基本的には開示に法的義務が伴うという事をこの25条は言っている。対象となる個人データについてであるが、これは個人が識別可能な情報(個人情報)と紐付いたデータという認識でよく、例えばある事業者において名前やIDによって調べる事が出来る全情報が該当する事になる*1。ここで開示対象となる個人データは公開・非公開を問わず*2、その方法は法施行令6条にあるように基本的には書面によって行われる事になる。
(個人情報取扱事業者が保有個人データを開示する方法)
http://law.e-gov.go.jp/htmldata/H15/H15SE507.html
第六条 法第二十五条第一項の政令で定める方法は、書面の交付による方法(開示の求めを行った者が同意した方法があるときは、当該方法)とする。
この開示についてであるが、業者に前もっての相談を行うと請求実行の前に長大なやり取りが行われ、しかもそこで拒否される、という事が往々にしてある。この様な状況になり時間稼ぎ(と嫌がらせ)をされそうな気配があれば、とりあえず法に従った形で開示請求を行ってしまうのが良いだろう。話し合いに法的な定めは無いが、法25条に従った開示請求には法的な義務も伴い、場合により行政からの指導も行われる。法的に拘束力のある公権力による命令等もあり行政の記録にも残るので、下手に時間を長引かせるよりまずは請求をして法的に対策を打てる状況にするのは良策である。
付記
- 個人情報保護法の監督を行うのは現状、各省庁(主務大臣)となっている*3。ここで、主務大臣の指導等に関する権限(法32〜34条)は個人情報保護法施行令11条の規定により、特定の場合*4には地方公共団体の長により行えるものになる*5。
- 「個人情報保護法は死亡している人については定義上保護の対象とならない」という事が法の一般的定義の様に言われている場合があるが、これは事業分野により異なる、という認識がより適切である(近年は死亡後も保護されるとされる事が多い様である。)。事業分野により確認が必要である。(自治体や各省庁の窓口に確認されたい。)
- 登記に掲載される内容は公の情報なので個人情報保護法の対象外である。*6
- 行政機関が保有している個人情報の保護については、別途行政機関個人情報保護法が定められている。
*1:SQL、RDBに関連するシステムを扱った事がある人には分かりやすいかもしれないが、たとえば投稿者がID:hogehogeであるデータ全て、等が該当する。
*2:たとえば株式会社はてなにおいてははてなダイアリーの記事も該当するし、このはてなキーワードの編集内容もである。「公開されているものなので開示はしない」という解釈が相手事業者により示される事があるが、それは法解釈の誤りである。
*3:なお、改正個人情報保護法(平成27年9月9日法律第65号の改正)では、個人情報保護法について個人情報保護委員会により各省庁が管轄していた各事業分野についてのものをまとめて監督する事になっている。
*4:「個人情報取扱事業者が行う事業であって当該主務大臣が所管するものについての報告の徴収、検査、勧告その他の監督に係る権限に属する事務」を扱っている場合
*5:例えば、各地方公共団体の長の下の保健所は各医療機関の報告徴収や立入検査等を行っているが、よって保健所は医療機関に対して一般に行われる「助言」だけでなく、実は勧告及び命令(34条)まで行える権限を持つ(「助言までしか行っていない」と言われた場合は個人情報保護法施行令11条にそうある旨伝えると確認後(周知されていない可能性がある)に一応行ってくれる。)。当然この命令も法25条1項各号を理由に事業者に拒否されるとそれ以上は行えないのではあるが、しかし裁判で証拠保全を行う事由としての「行政の命令でも開示される事はなかった」という事由が即記述可能になるという点でこの規程を知っている事は非常に有用である。
*6:が、当然の事ながら登記には一般に電話番号は載せられていない。電話勧誘で電話番号入手元を訊くとよく「登記簿を見ました」という事を言っている業者がいるが、これは嘘と見て良い。一般人の法令知識の無さにつけ込んで嘘を吐いているのであろう。実際は名簿業者から購入したもの又は業界で回されているものであろう。
www.kantei.go.jp
law.e-gov.go.jp
ja.wikipedia.org
www.taro-yamamoto.jp
www5.cao.go.jp
gigazine.net
rtbsquare.work
www.ppc.go.jp
www.ppc.go.jp
