ポイント

●個人情報保護に関して法律が整備された背景の一つに,情報の流出・漏洩の危険性が高まったという点がある
●個人情報保護のガイドラインでは,OECD8原則が有名である。日本で施行された個人情報保護法もOECD8原則を参照して作られている
●個人情報保護関連の文書には,法規のほかにも,JIS Q 15001(個人情報保護マネジメントシステム---要求事項)や,分野(業界)別の個人情報保護に関するガイドラインなどがある

 2005年に個人情報保護法(個人情報の保護に関する法律)が全面施行されたのは,まだ記憶に新しいところです。今回は国内法規の中から,個人情報保護に関連する法律と,個人情報保護の考え方の基になったガイドラインを勉強します。

個人情報保護に関連する法律が整備された背景

 コンピュータやネットワークが利用される前は,「情報」は主に紙媒体やマイクロフィルムなどに記録していました。情報は基本的に「モノ」として存在していたので,金庫の中に保管するなどの物理的セキュリティを施すことで,ある程度の安全性が確保できました。

 コンピュータが普及し,小さなメディアでも大容量のデータを保存・処理できるようになりました。電子データとして保存しておけば,検索も容易ですし,大量の情報を瞬時にコピーやバックアップが可能です。また,企業や個人がインターネットを業務に活用するのも当たり前となり,ネットワークを利用して大量のデータを短時間で送付することができるようになりました。しかし,こうした半面,紙媒体で情報を保存していたころよりも,情報を流出・漏洩させる危険性が高まりました。

 民間企業や行政機関が活動するために,個人情報(特定の個人を識別できる情報)を収集・管理することは,ある意味自然なことです。また,個人情報そのものは,突然登場したわけではありません。個人情報保護法が施行されるに至った背景には,前述のような急速なIT化があります。このような状況の中で個人情報の有用性に配慮し,個人の権利・利益を保護するために,個人情報を収集する事業者に対して,個人情報を適切に取り扱うための決まりごと(=法)の整備が必要になったのです。

個人情報保護関連法案整備までの流れ

 個人情報の保護に関する取り組み方法(ガイドライン)として,1980年OECD(Organization for Economic Cooperation and Development:経済開発協力機構)が発表したOECD8原則(後述)があります。OECDは加盟国に対して,ガイドラインの内容を考慮するよう勧告しました。これを受けて,日本でも個人情報の保護に関連する法整備が進みます。

 1988年には「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」が制定されました。これは名前の通り,行政機関が保有している個人情報に対するもので,かつ電子計算機処理に関連するものと対象が限定されていました。もちろん,そのほかの民間組織であっても個人情報は適切に取り扱うべきものです。ただし,法律の下でというわけではなく,ガイドラインなどを基に自主的に取り組むような流れで推移してきました。

 2001年に,民間組織も対象とした個人情報保護に関する法律案が国会に提出されました。しかし,この時の法案は「表現の自由を規制することになりかねない」などの理由により,翌2002年に廃案となりました。そして2003年に修正案が提出されて成立し,2005年に全面施行に至りました。

OECD8原則と個人情報保護法

 OECD8原則とは,OECDの勧告文書「プライバシー保護と個人データの国際流通についてのガイドライン」の中にある基本原則のことです。基本原則が8つ掲げられていることから,「OECD 8原則」と呼ばれています。内容の大枠は以下の通りです。

・目的明確化の原則/利用制限の原則
データ管理者(個人情報利用者:以下同様)は,個人情報収集の目的を事前に明確にすること。また収集した個人情報は目的以外に使用しないこと

・収集制限の原則
個人情報収集の手段が適法且つ公正で,主体者(個人情報を提供する人:以下同様)の同意を得ていること

・データ内容の原則
データ管理者は,収集した個人情報を,正確・完全・最新に保つこと

・安全保護の原則
データ管理者は,収集した個人情報を,紛失・破壊・不正利用・改ざんなどから適切に保護すること

・公開の原則/個人参加の原則
データ管理者は,個人情報の収集方針や利用目的などについて公開すること。主体者は,自己に関するデータの内容を確認することができ,情報に誤りがあった場合には,異議申し立てができること

・責任の原則
データ管理者は,これら原則を実施する責任がある

※参考:外務省のWebサイトでOECD8原則(プライバシー保護と個人データの国際流通についてのガイドライン)の原文(日本語訳)が確認できます

 この基本原則は日本で施行されている個人情報保護法の基になっています。内閣府のWebサイトにOECD8原則と個人情報保護法(個人情報取扱事業者の義務規定)の対応表があります(図1)。OECD8原則の内容をカバーするように,個人情報保護法の条文が整備されていることがわかります。

図1●OECD8原則と個人情報取扱事業者の義務規定の対応
図1●OECD8原則と個人情報取扱事業者の義務規定の対応
出展:内閣府  [画像のクリックで拡大表示]