個人情報保護

個人情報保護法を勉強しよう|法制の全体像とOECD8原則

著作者:jannoon028/出典:Freepik

今回は、個人情報保護法を勉強しようということで、個人情報保護法制の全体像について見てみたいと思います。

また、基本的な考え方のベースになっているOECD8原則についても併せて見てみます。

ではさっそく。なお、引用部分の太字、下線、改行などは管理人によるものです。

メモ

 このカテゴリーでは、インハウスとしての法務経験からピックアップした、管理人の独学や経験の記録を綴っています。
 ネット上の読み物としてざっくばらんに書いており、感覚的な理解を掴むことを目指していますが、書籍などを理解する際の一助になれば幸いです。

OECD8原則

日本の個人情報保護法に関して基本的な考え方のベースになっているのは(日本に限りませんが)、OECD8原則と呼ばれるものになります。

OECD(経済協力開発機構)は、自由主義経済の発展のための協力を行う国際機関であり、欧米諸国や日本を含めた30数か国の先進国が加盟しています。

参考リンク

OECDは、1980年に「プライバシー保護と個人データの国際流通についてのガイドラインに関する理事会勧告」を採択しましたが、その附属文書が「プライバシー保護と個人データの国際流通についてのガイドライン」であり、これがOECDプライバシーガイドラインと呼ばれています(その後、2013年に改正されています)。

OECDプライバシーガイドラインは、加盟国ごとの様々なルールの違いにかかわらず、加盟国間での個人情報の適正な流通とプライバシー保護を一定水準に保つことを目的とした共通ルールです。

このガイドラインのなかで示されているのがOECD8原則であり、内容は、

  • 収集制限の原則
    :適法で公正な手段による収集など
  • データ内容の原則
    :データの正確性、完全性、最新性など
  • 目的明確化の原則
    :収集目的の明確化など
  • 利用制限の原則
    :目的外使用の禁止など
  • 安全保護の原則
    :合理的な安全保護措置など
  • 公開の原則
    :方針の公開など
  • 個人参加の原則
    :本人の権利など
  • 責任の原則
    :データ管理者の責任など

となっています(※内容のひと言説明は、管理人によるざっくりの要約です)。

プライバシーマーク制度(後述)を運用しているJIPDECのホームページに、用語説明やわかりやすい解説があります。

OECD8原則は、「外国にある第三者への提供の制限」の場面でも、本人に提供すべき参考情報の主な内容として出てきますので(その国の制度や提供先の事業者の管理措置がOECD8原則に沿った水準になっているかetc)、ざっくりと押さえておくとよいかもしれません(外国提供ガイドライン5-2参照)

▷参考記事:外国にある第三者への提供の制限

個人情報保護法制の全体像

個人情報保護法制の全体像は、以下のようになっています。下にいくほど、内容がより詳細になっていきます。

【法制の全体像】

【法律】
個人情報保護法
国会が制定
【政令】
個人情報保護法施行令
内閣が制定
【規則】
個人情報保護法施行規則
所管庁個人情報保護委員会)が制定
【解釈・運用】
ガイドラインQ&A
所管庁委員会特定分野の所管庁)が作成

施行令施行規則は法令ですが、ガイドラインQ&Aは法令そのものではなく、具体的な解釈や運用を示したものになります。

法令(法律、施行令、施行規則)

個人情報情報保護法にスポットをあててみると、法律の章立ては、

  • 第一章 総則(第1条~第3条)
  • 第二章 国及び地方公共団体の責務等(第4条~第6条)
  • 第三章 個人情報の保護に関する施策等(第7条~第15条)
  • 第四章 個人情報取扱事業者等の義務等(第16条~第59条)
    民間分野のルール
  • 第五章 行政機関等の義務等(第60条~第129条)
    公的分野のルール
  • 第六章 個人情報保護委員会(130条~170条)
  • 第七章 雑則(第171条~第175条)
  • 第八章 罰則(第176条~第185条)

となっています。

第4章は民間分野のルール、第5章は公的分野のルールになっていますので、一般的な会社法務では第5章はあまり関係なく、主に第4章とそれ以外の章(全体に共通の部分)を見ることになります。

例えば、「個人情報」「個人関連情報」といった全体に共通する用語は、第1章で定義づけされているのに対し(法2条)、「個人情報取扱事業者」「個人データ」「保有個人データ」といった用語は、第4章で定義づけされています(法16条)。

そして、法律のあとに→施行令(内閣の定める政令)→施行規則(省庁の定める規則)と続くのは、他の法領域と同様です。

「個人情報の保護に関する基本方針」

 個人情報保護法の分野では、このほか、基本方針(「個人情報の保護に関する基本方針」)というものもあります。

 これは、法7条に基づいて、個人情報保護員会が原案を作成し、閣議決定後、内閣総理大臣が公表するもので、個人情報の保護に関する施策の推進の基本的な方向や、国が講ずべき措置地方公共団体・独立行政法人等、地方独立行政法人や、個人情報取扱事業者・認定個人情報保護団体等が講ずべき措置に関する基本的な事項など(2項各号)を示すもの、になります。

 制定主体としては政令レベルのものですが、内容的には、極めて広大な範囲で、また、法令で義務づけられる内容を含めつつもそれにとどまらない、個人情報保護に関する総合的・一体的な施策を図るための骨太方針、といった感じなので、以下で見る各種のガイドラインの元締めみたいなイメージもあります(管理人的な理解)。

▽法7条

第七条 政府は、個人情報の保護に関する施策の総合的かつ一体的な推進を図るため、個人情報の保護に関する基本方針(以下「基本方針」という。)を定めなければならない。
 基本方針は、次に掲げる事項について定めるものとする。
一~八 (略)
 内閣総理大臣は、個人情報保護委員会が作成した基本方針の案について閣議の決定を求めなければならない。
 内閣総理大臣は、前項の規定による閣議の決定があったときは、遅滞なく、基本方針を公表しなければならない。
 前二項の規定は、基本方針の変更について準用する。

解釈・運用(ガイドライン、Q&A)

個人情報保護法関連のガイドラインには大きく2種類があり、全ての事業分野に共通して適用されるものと、特定の事業分野のみに適用されるものがあります。

全ての事業分野に共通して適用されるのは、個人情報保護委員会の告示する「個人情報の保護に関する法律についてのガイドライン」であり、これが一般的なガイドラインになります。

参考リンク

個人情報保護法についてのガイドラインは、テーマごとにまとめられており、

1. 通則編
2. 外国にある第三者への提供編
3. 第三者提供時の確認・記録義務編
4. 仮名加工情報・匿名加工情報編
5. 認定個人情報保護団体編

があります。

特定の事業分野のみに適用されるものは、特定分野ガイドラインと呼ばれ、個人情報保護委員会と、普段その事業分野を所管する省庁との共同告示になっています。特定分野であっても、特定分野ガイドラインに定めのない事項については、一般的なガイドラインが適用されます。

特定分野ガイドラインには、金融関連分野、医療関連分野、情報通信関連分野の3つのカテゴリーがあります。

参考リンク

特定分野ガイドライン|個人情報保護委員会HP

以上を一覧にすると、以下のようになります。

【ガイドライン・Q&A一覧】

分野ガイドライン(orガイダンス)Q&A(or解説)
一般に共通個人情報の保護に関する法律についてのガイドライン(通則編)「個人情報の保護に関する法律についてのガイドライン」に関するQ&A
個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)
個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)
個人情報の保護に関する法律についてのガイドライン(仮名加工情報・匿名加工情報編)
個人情報の保護に関する法律についてのガイドライン(認定個人情報保護団体編)
金融関連分野
(=金融庁所管の分野)
金融分野における個人情報保護に関するガイドライン金融機関における個人情報保護に関するQ&A
金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針
信用分野における個人情報保護に関するガイドライン
債権管理回収業分野における個人情報保護に関するガイドライン
医療関連分野
(=厚労省所管の分野(一部経産省))
医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」に関するQ&A(事例集)
健康保険組合等における個人情報の適切な取扱いのためのガイダンス「健康保険組合等における個人情報の適切な取扱いのためのガイダンス」を補完する事例集(Q&A)
国民健康保険組合における個人情報の適切な取扱いのためのガイダンス 
国民健康保険団体連合会等における個人情報の適切な取扱いのためのガイダンス 
経済産業分野のうち個人遺伝情報を用いた事業分野における個人情報保護ガイドライン 
情報通信関連分野
(=総務省所管の分野)
電気通信事業における個人情報保護に関するガイドライン電気通信事業における個人情報保護に関するガイドラインの解説
放送受信者等の個人情報保護に関するガイドライン放送受信者等の個人情報保護に関するガイドラインの解説
郵便事業分野における個人情報保護に関するガイドライン郵便事業分野における個人情報保護に関するガイドラインの解説
信書便事業分野における個人情報保護に関するガイドライン信書便事業分野における個人情報保護に関するガイドラインの解説

プライバシーマーク制度(JIS Q 15001)

あと、個人情報保護法制に関する規格で一般的によく見かけるものとして、プライバシーマーク制度があります。

プライバシーマーク制度は、日本産業規格であるJIS Q 15001への適合性を評価する制度です。一般財団法人日本情報経済社会推進協会(JIPDEC)が運営主体となっています。

JIS Q 15001マネジメントシステム要求事項の名称は、「JIS Q 15001 個人情報保護に関するマネジメントシステムー要求事項」(Personal Information Protection Management Systems:略称PMS)で、事業者が個人情報保護のマネジメントシステムを確立するために必要な事項を規格として取りまとめたものになります。

JIPDECのプライバシーマーク制度は、事業者がこの要求事項を組織内において確立し実施していることを第三者の立場で認定するものであり、事業者は、適格と評価されたら、その証としてプライバシーマークが付与され、事業活動に関してそのロゴマークを使用することが認められます。

申請する企業としては、法令を含めより高い水準で個人情報保護を行っているという、いわばお墨付きを得て、企業価値やブランドイメージの向上を図るものといえます。
(参考:JIS Q 15001 個人情報保護マネジメントシステム-要求事項|情報サービス産業協会)

1999→2006→2017と来て、以前まで2017でしたが、最新は2023に改定されています(「JIS Q 15001:2023(個人情報保護マネジメントシステム-要求事項)」)。

参考リンク

JIS Q 15001改正に伴う構築・運用指針の対応について|日本情報経済社会推進協会(JIPDEC)HP

ほか、ISMS適合性評価制度(JIS Q 27001)などの規格もありますが、本記事では割愛しています

結び

今回は、個人情報保護法を勉強しようということで、個人情報保護法制の全体像とOECD8原則などについて見てみました。

[注記]
本記事を含む一連の勉強記事は、過去の自分に向けて、①自分の独学や経験の記録を見せる、②感覚的な理解を伝えることを優先する、③細かく正確な理解は書物に譲る、ということをコンセプトにした読みものです。ベテランの方が見てなるほどと思うようなことは書かれていないほか、業務上必要であるときなど、正確な内容については別途ご確認ください。また、法改正をはじめとした最新の情報を反映しているとは限りませんので、ご注意ください。

個人情報保護法に関するその他の記事(≫Read More

個人情報保護

個人情報保護法を勉強しよう|個人情報に関する義務

個人情報保護

個人情報保護法を勉強しよう|個人データの漏洩等の報告

個人情報保護

個人情報保護法を勉強しよう|第三者提供の制限

個人情報保護

個人情報保護法を勉強しよう|保有個人データに関する義務

個人情報保護

個人情報保護法を勉強しよう|個人情報取扱事業者の義務

主要法令等・参考文献

主要法令等

リンクをクリックすると、e-Gov又は個人情報保護委員会HPの掲載ページに遷移します
  • 個人情報保護法(「個人情報の保護に関する法律」)
  • 個人情報保護法施行令(「個人情報の保護に関する法律施行令」)
  • 個人情報保護法施行規則(「個人情報の保護に関する法律施行規則」)
  • 通則ガイドライン(「個人情報の保護に関する法律についてのガイドライン(通則編)」)
  • 外国提供ガイドライン(「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」)
  • 確認・記録ガイドライン(「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)」)
  • ガイドラインQ&A(「『個人情報の保護に関する法律についてのガイドライン』に関するQ&A」)
  • 令和3年パブコメ(令和3年8月2日付「『個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)の一部を改正する告示』等に関する意見募集の結果について」)
【特定分野ガイドライン】

-個人情報保護