今回は、個人情報保護法を勉強しようということで、個人情報保護法制の全体像について見てみたいと思います。
ではさっそく。なお、引用部分の太字、下線、改行などは管理人によるものです。
メモ
このカテゴリーでは、インハウスとしての法務経験からピックアップした、管理人の独学や経験の記録を綴っています。
ネット上の読み物としてざっくばらんに書いており、感覚的な理解を掴むことを目指していますが、書籍などを理解する際の一助になれば幸いです。
OECD8原則
日本の個人情報保護法に関して、基本的な考え方のベースになっているのは(日本に限らないが)、OECD8原則と呼ばれるものである。
OECD(経済協力開発機構)は、自由主義経済の発展のための協力を行う国際機関であり、欧米諸国や日本を含めた30数か国の先進国が加盟している。
▷OECD(経済協力開発機構)の概要|外務省HP
OECDは、1980年に「プライバシー保護と個人データの国際流通についてのガイドラインに関する理事会勧告」を採択したが、その附属文書が「プライバシー保護と個人データの国際流通についてのガイドライン」であり、これがOECDプライバシーガイドラインと呼ばれている(その後、2013年に改正されている)。
OECDプライバシーガイドラインは、加盟国ごとの様々なルールの違いにかかわらず、加盟国間での個人情報の適正な流通とプライバシー保護を一定水準に保つことを目的とした共通ルールである。
このガイドラインのなかで示されているのがOECD8原則であり、内容は、
- 収集制限の原則
:適法で公正な手段による収集など - データ内容の原則
:データの正確性、完全性、最新性など - 目的明確化の原則
:収集目的の明確化など - 利用制限の原則
:目的外使用の禁止など - 安全保護の原則
:合理的な安全保護措置など - 公開の原則
:方針の公開など - 個人参加の原則
:本人の権利など - 責任の原則
:データ管理者の責任など
となっている(※内容のひと言説明は、管理人による超ざっくりの要約ですのでご注意)。
プライバシーマーク制度(後述)を運用しているJIPDECのホームページに、端的な用語説明と、わかりやすい解説がある。
▽日本情報経済社会推進協会(JIPDEC)HP
➢(用語集)OECD8原則
➢【OECD】その1:プライバシー保護と国際流通の両立を目指して
➢【OECD】その2:OECDガイドライン~規範となる8つの原則~
OECD8原則は、「外国にある第三者への提供の制限」の場面でも、本人に提供すべき参考情報の主な内容として出てくるので(その国の制度や提供先の事業者の管理措置がOECD8原則に沿った水準になっているかetc)、ざっくりと押さえておくとよいかもしれません(外国提供ガイドライン5-2参照)。
▷参考記事:外国にある第三者への提供の制限
個人情報保護法制の全体像
個人情報保護法制の全体像は、
| 【法律】 個人情報保護法 | 国会が制定 |
| 【政令】 個人情報保護法施行令 | 内閣が制定 |
| 【規則】 個人情報保護法施行規則 | 所管庁(個人情報保護委員会)が制定 |
| 【解釈・運用】 ガイドライン、Q&A | 所管庁(委員会や特定分野の所管庁)が作成 |
という感じになっている。下にいくほど、内容がより詳細になっていく。
法・施行令・施行規則は、法令であるが、ガイドラインやQ&Aは、法令そのものではなく、具体的な解釈や運用を示したものである。
法令
個人情報情報保護法にスポットをあててみると、法律の章立ては、
- 第一章 総則(第1条~第3条)
- 第二章 国及び地方公共団体の責務等(第4条~第6条)
- 第三章 個人情報の保護に関する施策等(第7条~第15条)
- 第四章 個人情報取扱事業者等の義務等(第16条~第59条) ←民間分野のルール
- 第五章 行政機関等の義務等(第60条~第129条) ←公的分野のルール
- 第六章 個人情報保護委員会(130条~170条)
- 第七章 雑則(第171条~第175条)
- 第八章 罰則(第176条~第185条)
となっている。
第4章は民間分野のルール、第5章は公的分野のルールであるので、一般的な会社法務では、第5章はあまり関係なく、主に第4章とそれ以外の章(全体に共通の部分)を見ることになる。
例えば、「個人情報」「個人関連情報」といった全体に共通する用語は、第1章で定義づけされているのに対し(法2条)、「個人情報取扱事業者」「個人データ」「保有個人データ」といった用語は、第4章で定義づけされている(法16条)。
法律のあとに→施行令(内閣の定める政令)→施行規則(省庁の定める規則)、と続くのは、他の法領域と同様である。
ガイドライン、Q&A
個人情報保護法関連のガイドラインには大きく2種類あり、全ての事業分野に共通して適用されるものと、特定の事業分野のみに適用されるものがある。
全ての事業分野に共通して適用されるのは、個人情報保護委員会の告示する「個人情報の保護に関する法律についてのガイドライン」であり、これが一般的なガイドラインである。
▷個人情報取扱事業者等に係るガイドライン・Q&A等|個人情報保護委員会HP
特定の事業分野のみに適用されるものは、特定分野ガイドラインと呼ばれ、個人情報保護委員会と、普段その事業分野を所管する省庁との共同告示になっている。特定分野であっても、特定分野ガイドラインに定めのない事項については、一般的なガイドラインが適用される。
特定分野ガイドラインには、金融関連分野、医療関連分野、情報通信関連分野の3つのカテゴリーがある。
▷特定分野ガイドライン|個人情報保護委員会HP
【ガイドライン一覧】
| 分野 | ガイドライン(orガイダンス) | Q&A(or解説) |
| 一般に共通 | 個人情報の保護に関する法律についてのガイドライン(通則編) | 「個人情報の保護に関する法律についてのガイドライン」に関するQ&A |
| 個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編) | ||
| 個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編) | ||
| 個人情報の保護に関する法律についてのガイドライン(仮名加工情報・匿名加工情報編) | ||
| 個人情報の保護に関する法律についてのガイドライン(認定個人情報保護団体編) | ||
| 金融関連分野(=金融庁所管の分野) | 金融分野における個人情報保護に関するガイドライン | 金融機関における個人情報保護に関するQ&A |
| 金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針 | ||
| 信用分野における個人情報保護に関するガイドライン | ||
| 債権管理回収業分野における個人情報保護に関するガイドライン | ||
| 医療関連分野(=厚労省所管の分野(一部経産省)) | 医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス | 「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」に関するQ&A(事例集) |
| 健康保険組合等における個人情報の適切な取扱いのためのガイダンス | 「健康保険組合等における個人情報の適切な取扱いのためのガイダンス」を補完する事例集(Q&A) | |
| 国民健康保険組合における個人情報の適切な取扱いのためのガイダンス | ||
| 国民健康保険団体連合会等における個人情報の適切な取扱いのためのガイダンス | ||
| 経済産業分野のうち個人遺伝情報を用いた事業分野における個人情報保護ガイドライン | ||
| 情報通信関連分野(=総務省所管の分野) | 電気通信事業における個人情報保護に関するガイドライン | 電気通信事業における個人情報保護に関するガイドラインの解説 |
| 放送受信者等の個人情報保護に関するガイドライン | 放送受信者等の個人情報保護に関するガイドラインの解説 | |
| 郵便事業分野における個人情報保護に関するガイドライン | 郵便事業分野における個人情報保護に関するガイドラインの解説 | |
| 信書便事業分野における個人情報保護に関するガイドライン | 信書便事業分野における個人情報保護に関するガイドラインの解説 |
プライバシーマーク制度(JIS Q 15001)
あと、個人情報保護法制に関する規格で、一般的によく見かけるものとして、プライバシーマーク制度がある。
プライバシーマーク制度は、日本産業規格であるJIS Q 15001への適合性を評価する制度である。一般財団法人日本情報経済社会推進協会(JIPDEC)が運営主体となっている。
JIS Q 15001マネジメントシステム要求事項の名称は、「JIS Q 15001 個人情報保護に関するマネジメントシステムー要求事項」(Personal Information Protection Management Systems:略称PMS)で、事業者が個人情報保護のマネジメントシステムを確立するために必要な事項を規格として取りまとめたものである。
JIPDECのプライバシーマーク制度は、事業者がこの要求事項を組織内において確立し実施していることを第三者の立場で認定するものであり、事業者は、適格と評価されたら、その証として、プライバシーマークが付与され、事業活動に関してそのロゴマークを使用することが認められる。
申請する企業としては、法令を含めより高い水準で個人情報保護を行っているという、いわばお墨付きを得て、企業価値やブランドイメージの向上を図るものである。
(参考サイト:JIS Q 15001 個人情報保護マネジメントシステム-要求事項|情報サービス産業協会)
1999→2006→2017と来て、以前まで2017だったが、最新は2023に改定されている(「JIS Q 15001:2023(個人情報保護マネジメントシステム-要求事項)」)。
▷JIS Q 15001改正に伴う構築・運用指針の対応について|日本情報経済社会推進協会(JIPDEC)HP
ほか、ISMS適合性評価制度(JIS Q 27001)などの規格もありますが、本記事では割愛しています。
結び
今回は、個人情報保護法を勉強しようということで、個人情報保護法制の全体像について見てみました。
[注記]
本記事を含む一連の勉強記事は、過去の自分に向けて、①自分の独学や経験の記録を見せる、②感覚的な理解を伝えることを優先する、③細かく正確な理解は書物に譲る、ということをコンセプトにした読みものです。ベテランの方が見てなるほどと思うようなことは書かれていないほか、業務上必要であるときなど、正確な内容については別途ご確認ください。また、法改正をはじめとした最新の情報を反映しているとは限りませんので、ご注意ください。
個人情報保護法に関するその他の勉強記事
参考文献・主要法令等
参考文献
当サイトではアフィリエイトプログラムを利用して商品・サービスを記載しています
主要法令等
- 個人情報保護法(「個人情報の保護に関する法律」)
- 個人情報保護法施行令(「個人情報の保護に関する法律施行令」)
- 個人情報保護法施行規則(「個人情報の保護に関する法律施行規則」)
- 通則ガイドライン(「個人情報の保護に関する法律についてのガイドライン(通則編)」)
- 外国提供ガイドライン(「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」)
- 確認・記録ガイドライン(「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)」)
- ガイドラインQ&A(「『個人情報の保護に関する法律についてのガイドライン』に関するQ&A」)
- 令和3年パブコメ(令和3年8月2日付「『個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)の一部を改正する告示』等に関する意見募集の結果について」)
- 金融ガイドライン(「金融分野における個人情報保護に関するガイドライン」)
- 電気通信ガイドライン(「電気通信事業における個人情報保護に関するガイドライン」)