「個人情報保護法と管理組合」 目次   >【前頁】1. 個人情報保護法と管理組合 > 2. 個人情報保護法改正概要 > 【次頁】 3. 個人情報の保護法制

2. 個人情報保護法改正概要

1. 平成27年個人情報保護法改正 〜管理組合も対象に〜

 個人情報保護とマイナンバー制度への対応として、 「個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律」 が成立・公布されました。(2015年(平成27年)9月3日成立・9月9日公布)

この改正により、
○個人情報取扱事業者の5千人の要件が撤廃され、また事業法人に限定されず、 営利か非営利かも問われないため、管理組合や自治会等の非営利組織も、 個人情報保護法の適用を受ける個人情報取扱事業者になりました。

  但し、改正個人情報保護法の全面施行日は平成29年5月30日です。
  それまでは適用されません。

管理組合は、旧個人情報保護法第2条第3項第5号の規定によって、 個人情報によって識別される特定の個人の数が5,000人を超えない限り、 「個人情報取扱事業者」には該当せず、個人情報保護法の適用は受けないとされてきましたが、 平成27年改正法では、旧個人情報保護法第2条第3項第5号の規定は削除されました。

 ○5,000人要件の撤廃理由

5,000人要件が撤廃された理由として、表向きには、 「取り扱う個人情報が5,000人以下であっても個人の権利利益の侵害はありえるとして改正した」という説明がされていますが、 そんなことは旧個人情報保護法の制定時にも分かっていたことで、 旧個人情報保護法の5,000人要件は個人の権利保護と事業者の管理コストを天秤にかけた結果でしたが、 そのようなやり方は国際的には通用せず、日本の個人情報保護制度は十分なレベルに達していないと判断されて、 国際的な情報流通の枠組みから外されるおそれが出てきたからです。

制度の国際整合性については後で詳しく述べますが、EU個人情報保護指令第25条において、 個人データの第三国への移転は、 当該第三国が十分なレベルの情報保護措置を確保している場合に限って行うことができると規定されており、 日本と同様に小規模事業者に対する例外規定を設けていた国が、 国際的な十分性認定審査において情報保護措置が十分ではないと判断されたことが、 今回の改正法における制限撤廃につながっています。

にもかかわらず、今回の改正法でも附則第11条によって、 「新たに個人情報取扱事業者となることに鑑み、特に小規模の事業者の事業活動が円滑に行われるよう配慮する」 旨の規定が置かれました。 実際には国際的な十分性認定に支障を与えない範囲内での措置に限定されますが、その中身は決まっていません。 誰も責任をとらずに問題を先送りするきわめて日本的な解決法です。

小規模の事業者はコンプライアンスにコストをかけられないから恩恵的に義務と罰則を緩めようというのは間違っています。 他人の個人情報を扱う上で、利用者の不安を解消し、信頼性を向上させるために、 極力、必要のないコストはかけずに健全性を保つにはどうすべきかを考えるべきです。 利用者の不安を解消せずに過剰反応だと上から目線で批判するのは間違っている。

この改正法の施行日は5段階に分かれています(詳細 個人情報保護法(H27改正) 参照)。
施行の各段階で条文が変わる為、以下、本頁では現行の全面施行されていない改正個人情報保護法の条文を「現○条」、 改正法が全面施行された後の条文を「新○条」と区別しています。

2. 個人情報保護法改正の経緯

個人情報保護における世界共通の考え方
 1970年代末から個人情報保護の法制化が進んでいた英米独仏では「個人情報の自由な流通の必要性に配慮しつつ、 個人情報保護を図る」という考え方は既に共通の思想でした。

OECD理事会勧告
 1980年(昭和55年)、「プライバシー保護と個人データの国際処理についてのガイドラインに関するOECD理事会勧告」 がOECD加盟国に対して出され、 その勧告付属文書にOECD8原則という個人情報保護の基本原則が示されています。(その後、2013年に改正)

OECD8原則は、わが国の改正個人情報保護法にも引き継がれています。
 ※ 日本の「個人情報保護法(平成27年改正法・全面施行版)」における該当条文

OECD8原則:「プライバシー保護と個人データの国際流通についてのガイドライン (Guidelines governing the Protection of Privacy and Transborder Flows of Personal Data)
該当条文
@収集制限の原則 (Collection Limitation Principle)新第17条
Aデータ内容の原則 (Data Quality Principle)新第19条
B目的明確化の原則 (Purpose Specification Principle)新第15条
C利用制限の原則 (Use Limitation Principle)新第16条
D安全保護の原則 (Security Safeguards Principle)新第20条
E公開の原則 (Openness Principle)新第27条
F個人参加の原則 (Individual Participation Principle)新第24条
G責任の原則 (Accountability Principle)新第 4条

個人情報保護法の成立及び改正に関する主な経緯

<昭和55年(1980年)>
9月 プライバシー保護と個人データの国際流通についてのガイドラインに関するOECD 理事会勧告

<昭和63年(1988年)>
12月16日 「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」公布

<平成11年(1999年)>
6月4日 自自公三党合意
* 個人情報保護に関する法律について、法制化の検討に着手し、・・・3年以内に法制化を図る
6月28日 総理答弁(参議院本会議:住民基本台帳法一部改正法案質疑)
* 政府としては、個人情報保護のあり方について総合的に検討した上で、法整備を含めたシステムを速やかに整えていきたい
11月19日 個人情報保護検討部会「我が国における個人情報保護システムの在り方について
(中間報告)」
12月3日 高度情報通信社会推進本部決定「我が国における個人情報保護システムの確立について」

<平成12年(2000年)>
10月11日 個人情報保護法制化専門委員会「個人情報保護基本法制に関する大綱」
10月13日 情報通信技術(IT)戦略本部決定「個人情報保護に関する基本法制の整備について」

<平成13年(2001年)>
3月27日 「個人情報の保護に関する法律案」提出(第151回国会)

<平成14年(2002年)>
3月15日 「行政機関の保有する個人情報の保護に関する法律案」等4法案提出(第154回国会)
12月13日 「個人情報の保護に関する法律案」等5法案審議未了廃案(第155回国会)

<平成15年(2003年)>
3月7日 「個人情報の保護に関する法律案」等5法案国会提出(第156回国会)
5月23日 「個人情報の保護に関する法律案」等5法案成立
5月30日 「個人情報の保護に関する法律」等5法公布、「個人情報の保護に関する法律」一部施行
12月10日 「個人情報の保護に関する法律の一部の施行期日を定める政令」「個人情報の保護に関する法律施行令」制定

<平成16年(2004年)>
4月2日 「個人情報の保護に関する基本方針」閣議決定

<平成17年(2005年)>
4月1日 「個人情報の保護に関する法律」全面施行

<平成20年(2008年)>
4月25日 「個人情報の保護に関する基本方針」一部変更
(過剰反応への配慮、プライバシーポリシー等の促進等)

<平成21年(2009年)>
9月1日 「個人情報の保護に関する基本方針」一部変更
(個人情報の保護に関する法律の所管が内閣府から消費者庁に)

<平成25年(2013年)>
6月14日 「パーソナルデータに関する検討会」設置(高度情報通信ネットワーク社会推進戦略本部長決定)
12月20日 「パーソナルデータの利活用に関する制度見直し方針」(高度情報通信ネットワーク社会推進戦略本部決定)

<平成26年(2014年)>
6月24日 「パーソナルデータの利活用に関する制度改正大綱」(高度情報通信ネットワーク社会推進戦略本部決定)

<平成27年(2015年)>
3月10日 「個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律案」国会提出(第189回国会)
9月3日 「個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律案」成立
9月9日 「個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律」公布

<平成28年(2016年)>
1月1日 「個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律」一部施行
(個人情報の保護に関する法律の所管が消費者庁から個人情報保護委員会に)

1870年代から米独仏を中心に欧米諸国において、個人情報保護に関する法制の整備が進められ、 1980年には、各国の規制の内容の調和を図る観点から、経済協力開発機構(OECD)理事会勧告において、「プライバシー保護と個人データの国際流通につい てのガイドライン」が示された。以降、各国で急速に個人情報保護法制の整備が進められ、 既にOECD加盟国の大多数が公的部門及び民間部門の双方を対象に個人情報保護法制を有するに至っている。 企業活動等のグローバル化が進む中、日本は立ち遅れていた。

EU個人情報保護指令
 1995年(平成7年)、EUの「個人データ処理に関わる個人の保護及び当該データの自由な移動に関する欧州議会及び理事会の指令(EU個人情報保護指令)」によって、 個人データの第三国への移転は、当該第三国が十分なレベルの情報保護措置を確保している場合に限って行うことができると規定されました。(指令25条)  政治の停滞が続いていた日本は個人情報保護の法制化が進まず2003年に初めて成立したのですが、国際整合性からは取り残されていきます。

日本の個人情報保護法は2003年に成立、2005年全面施行、2015年改正
 個人情報漏洩事件が相次いだことからようやく日本でも1999年(平成11年)小渕内閣のもとで法制化のための検討が始まり、 2003年(平成15年)第156回通常国会で住基ネットの構築に合わせる形で「行政機関の保有する個人情報の保護に関する法律」、 「独立行政法人の〜同」、「行政機関の〜同整備等に関する法律」、「情報公開・個人情報保護審査会設置法」、「個人情報の保護に関する法律」の5法案が可決成立し、 2005年に全面施行されました。

各省庁の強固な縦割り行政システムのもとで
 なぜ5法案なのでしょうか? それは国の各省庁、独立行政法人、地方自治体それぞれの縦割り行政別に個別的・断片的な法律を作ったからです。

縦割りの行政システムが作り上げた40本の「個人情報保護のためのガイドライン」
その後、各省庁は自ら管轄する業界別に現行法8条に規定する指針として、「個人情報保護のためのガイドライン」を次々に発表していきます。 その数、平成27年(2015年)11月25日時点で民間事業者向け27事業分野で38本、更に総務省所管の行政機関と独立行政法人向けの2本で合計40本のガイドラインが発表されました。 このほかに「マイナンバーの適正な取扱いについてのガイドライン」が更に策定されています。 主務官庁としての監督権限を堅持することが目的で、肝心の規制の実効性など問題ではない。 官僚総活躍社会。ただし責任はとらないから、罰則の適用は法施行後1件もない。(2015年10月消費者庁報告)

個別的・断片的というのは抜け穴だらけという意味です。
新聞・出版分野については報道・表現の自由を重んじ、主務大臣は規定されていません。
2014年7月、ベネッセコーポレーションの大規模個人情報漏洩事件が発覚した後、 管轄する官庁がなく、内閣総理大臣の命により経済産業大臣が主務大臣として指定されました。
結局、経済産業省は業者に対し注意喚起と管理体制の強化を要請しただけでした。
 (1)ベネッセ個人情報漏洩事件

他国事業者が提供するインターネットサービスで日本国民の個人情報が侵害されたとき、 日本ではどこの省庁が担当するかは決まっていませんでした。

ビックデータの活用などのEU個人情報保護指令が求めるデータ移転に関する十分性の認定交渉などで、 国の統一的な執行機関(コミッショナー)の存在が求められている時代に、 このような縦割り幕藩(主務官庁)体制では国際的に相手にされるはずがありません。

3. 直接罰と間接罰 〜日本と欧米の違い〜

 欧米では個人情報の漏洩や窃盗などを直接的に処罰する直接罰方式を採用していますが、 日本では主務大臣の命令に違反して初めて処罰されるという間接罰方式をとっています。

現行法では、主務大臣より当該違反行為の中止その他違反を是正するために必要な措置をとるべき旨を勧告されます。(現34条・新42条2項〜3項)
義務違反⇒主務大臣の勧告・命令⇒命令違反⇒罰則⇒6ケ月以下の懲役又は30万円以下の罰金(新84条) 全面施行以後は、主務大臣が個人情報保護委員会に替わります。

なお、従業員が行なった違反に対しては、その企業も罰則の対象となります。(両罰規定・新87条)

しかも、情報の性質や重要性、情報侵害の行為態様に一切関係なく、 「個人情報保護における義務違反」「主務大臣への報告義務違反」「主務大臣の命令に対する違反」 といった形式的・抽象的な概念によって個人情報に対する侵害を規制していたので、 個人情報の漏洩や売買によって国民に実際に被害が生じても、効果的な対策がとられることはありませんでした。

 この方式はわが国の監督指導行政の特徴です。例えば、2005年耐震強度偽装事件、 2006年10月都市再生機構の耐震強度偽装事件等が続いたことを受けて国は建築基準法、建築士法の改正を行い、 2007年(平成19年)6月20日改正建築基準法が施行されましたが、 10年たっても建設業界の状況はますますひどくなっています。  「今、建築業界で何が起きているのか」
「マンション管理適正化法」施行後15年を経た管理業界も同じ状況に陥っています。
                          「管理業者の違反行為と行政処分」

直接罰には犯罪に対する抑止力がありますが、間接罰には抑止力はありません。
間接罰は主務官庁の監督権限の維持と業界に対する影響力の行使が第一の目的です。

平成27年度改正法においても間接罰方式は継続されました。(注1)
それどころか、個人情報取扱事業者が義務違反を犯して個人が被害を受けた場合、 被害者はまず事業者に開示・訂正・利用停止等の請求(新28〜33条)を求め、 その請求から2週間を経過しなければ訴訟提起ができないという請求前置主義をとっています。(新34条)
乱訴を防ぐための措置ですが、これでは事業者保護法であって個人情報保護法ではありません。

(注1):改正個人情報保護法では直接罰の規定が新設されました。但し下記に限定されています。

(1) 委員会から命令を受けた者が委員会の命令に違反した場合、2年以下の懲役又は50万円以下の罰金(第73条)、 6月以下の懲役又は30万円以下の罰金(第56条)

(2) 委員会に対する虚偽の報告、虚偽の資料提出、検査拒否等の場合、1年以下の懲役又は50万円以下の罰金(第74条)、 30万円以下の罰金(第57条)

上記の通り懲役や罰金刑の直接罰は間接罰の幹に直接罰の枝を接ぎ木した形になっています。

刑法による直接罰は二つの基本原則、犯罪と刑罰をあらかじめ法律で定めること(罪刑法定主義)、 その実体的デュープロセスは適正なものであること(実体的適正の原則)から成り立っています。

直接罰と間接罰の決定的な違い、それは「基本的人権である個人情報の自己決定権(アクセス権・コントロール権)は個人にある」とする原則を貫くか、 又は「データベースは有益な社会資本財であり、憲法に違反しないための取扱基準を示した上で、実体的デュープロセスの判断は行政の裁定に委ねるのが適当である。」とするかの違いです。

改正個人情報保護法は個人情報を重要なものとして保護する姿勢をとりつつ、実務では後者を選択し、個人情報それ自体を保護法益とする考え方は取りませんでした。

4. 個人情報保護委員会の権限

1.さまざまな侵害行為が持ち込まれる個人情報保護委員会
 重要性の低い情報に対する比較的軽微な個人情報侵害も、 重要性の高い情報に対する重大な個人情報侵害も一律に主務大臣 (完全施行で一元化された後は個人情報保護委員会)の命令とその違反に対する罰則という扱いになるので、 その実効性は期待できそうにありません。

2.個人情報保護委員会の立入権限
新法40条で個人情報保護委員会の立入権限を規定していますが、その3項で「立入検査の権限は、犯罪捜査のために認められたものと解釈してはならない。」との規定があります。
同様の規定は国税徴収法第147条第2項と消防法第4条にもあります。

(1) 国税査察官(マルサ)の立入検査
国税の滞納処分を行うための財産調査として、徴収職員は裁判所の発行する捜索差押許可状なしで立入検査ができます。 そのため、刑事事件での捜索の執行方法を細かく規定した刑訴法222条と同様の捜索執行規定が徴収法142条以下にもあります。

(2) 消防職員の立入検査
火災予防のために必要があるときは、消防職員は立入検査ができます。 ここでも刑訴法222条と同様の検査執行規定が消防法第4条(消防職員の立入検査等)に規定されています。

国税徴収法も消防法も憲法35条1項に反する無制限の捜索令状なしの自力執行を認めているわけではありません。 そのためにそれぞれ捜索執行規定を置いています。

(3) 個人情報委員会職員の立入検査
ところが、個人情報保護法第40条2項では、捜索の執行方法について単に「身分証明書を携帯し、関係人の請求があったときは、これを提示する」とだけしか規定していません。 個人情報委員会職員は身分証明書を携帯していればストーカーで捕まっても職務行為だといえば罪に問われない?

(4) プライバシー侵害を直接罰として扱っている欧米の例 
欧米の管理組合の個人情報保護ではどのような問題が起きているのでしょうか。

2013年、カナダのトロントで行われた管理組合向け講演の議題から一例を挙げてみます。
コミュニティの安全とプライバシー権の保護のバランスをどう取るかという具体的な事例です。

 管理組合の管理者が区域内で盗聴器を発見して警察に通報し、犯人が逮捕され有罪となった事例を挙げ、 情報管理の権限を持つ管理者以外の者が警察に通報する場合には、 警察官が正式の捜索令状を取ったことを確認した上で入室させるなど、適正な手続きが必要となる。 この手続を欠くと、せっかく収集した証拠が法廷で採用されずに台無しとなり、有罪には出来なくなってしまう。

 では、緊急に警察官が訪問してきた場合、管理組合はどうするか。 弁護士の助言「管理組合の個人情報保護規定を警察官に説明し、捜索令状をとった上で出直すよう丁重に依頼しなさい。」 セキュリティコンサルタントの助言も「管理人や一般居住者にも、対応の仕方を日頃から教育しなさい。」でした。

 いうまでもなく個人情報保護法は、捜査段階では被疑者のプライバシー権も守りますから、 証拠集めの情報収集に違法性があっては話にならない。 犯罪者を確実に有罪にしてコミュニティから排除し、安全を担保する為には、一般法としての個人情報保護法(Law)Personal Information Protection Act("PIPA")と、 自治法としての管理組合の個人情報保護規定(By-Law)の両方を満足する適正捜査によって収集された証拠であることを立証しなければならない。
個人情報侵害行為を司法のもとで直接罰で裁くことに対する自分の権利を守るための具体的な対処法です。

日本では前述の「3 直接罰と間接罰」で述べた通り、個人情報の漏洩や窃盗は間接罰ですから、 警察官も個人情報委員会職員も被害者からの直接の訴えで動くことはありません。

憲法 第35条第1項(住居の不可侵)
「何人も、その住居、書類及び所持品について、侵入、捜索及び押収を受けることのない権利は、 第33条(注:現行犯逮捕に伴う捜索)の場合を除いては、正当な理由に基づいて発せられ、かつ捜索する場所及び押収する物を明示する令状がなければ、侵されない。」

5. 後退したプライバシーの保護

旧法の改正にあたって掲げられた見直し方針では、 パーソナルデータの保護は「プライバシーの保護と同時に利活用を促進するためにおこなうものであるという基本方針を明確にすること」 を検討課題として掲げていたが、プライバシーないし自己情報コントロール権は、法案の目的規定に明記されることはありませんでした。

むしろ、与党修正においては、「個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであること」が、 個人情報の有用性の提示として付け加えられました。

今回の27年改正は、パーソナルデータの経済的な利活用の観念が支配的であり、報道・取材等にも手を触れない流れが早期に確定したため、 表現の自由に関する議論もまた棚上げされました。

6. マイナンバー制度との関連で一元化の方向へ

 平成25年5月、社会保障・税の分野を中心に個人番号制を導入し、特定個人情報保護委員会を設置するマイナンバー法(番号利用法)が制定されましたが、 その附則6条2項で「法施行後1年を目途に特定個人情報以外の個人情報の取り扱いに関する監視又は監督に関する事務を委員会所掌事務とすることについての検討をする」旨の規定を盛り込んでいました。

 マイナンバー制度の平成28年1月1日開始日と同日、内閣府の外局として設置されていた特定個人情報保護委員会が個人情報保護委員会に改組され、 個人情報保護法の所管が、消費者庁から個人情報保護委員会(内閣総理大臣の所轄)に移りました。

 また、改正個人情報保護法の全面施行時(平成29年5月30日)には、 現在、各主務大臣が保有している個人情報保護法に関する勧告・命令等の権限(新第59条 ― 第74条)が個人情報保護委員会に一元化されます。

 マイナンバー以外の個人情報の取り扱い(個人データを第三者に提供しようとする者の通知等)については、 平成29年3月1日施行となりました。(平成28年12月20日の閣議決定)

7. 日本の現行法の問題点

(1) グレーゾーンの存在

 2013年(平成25年)に発生したJR東日本のSuicaの乗降履歴提供を巡る事例のように広く活用されだしたパーソナルデータが、 特定の個人を識別しうるものとしての個人情報に該当するのか、 法の適用を受けるのかといったグレーゾーンの存在が明らかになっていきます。
 (2)JR東日本Suicaデータ事件

(2) プライバシーの侵害を直接に裁けない日本

 英国の「データ保護法(1998年)」には個人データの漏洩・窃盗を直接処罰する規定があり、 仏では1978年、刑法に個人情報保護と情報処理・情報ファイル及び諸自由に関する規定を盛り込み、個人情報に対する侵害行為を規制しました。

 ドイツ連邦データ保護法では「個人データを扱う機関が違法又は不当なデータの収集・処理・利用によって本人に損害を与えたときに損害賠償の責任を負うこと、 故意又は過失による個人情報の侵害行為は過料の対象となること。 対価を得て、又は図利他害目的で個人情報の侵害行為をした場合は刑事罰の対象になること」等の規定があります。

 日本では刑法134条規定の職業(医師・看護士、国家公務員等)の者が有する守秘義務に対する秘密漏示罪があり、 被告人は身分犯として裁かれる一方で、守秘義務を負わない者による個人情報・秘密の公表は罪に問われませんでした。 個人情報の侵害行為は日本の刑法では裁けません。
 刑法134条・秘密漏示罪

これが「個人情報」ではなく「企業情報」の場合は、刑法の窃盗罪、横領罪が適用されています。
 8.3 巧妙化する犯罪の手口

(3) 主務大臣制

 主務大臣制という現代における幕藩体制の弊害は既に述べてきた通りで、司法を基礎とした秩序の維持・ガバナンスの世界の流れとは完全に異質のものです。 平成25年6月、政府は「世界最先端IT国家創造宣言」を閣議決定し、個人データの利用・活用に関連した制度を見直す方向性をめぐって平成25年9月からの検討会、 12月改正方針発表、平成26年6月改正大綱発表(「継続的な検討課題」)を経て、 平成27年9月3日、今回の改正法成立に至りましたが、 「個人のプライバシーをどう守るか」と「産業育成の為に個人データをいかに自由に活用できるようにするか」という相反する利害の調整については、 先々、政令及び個人情報保護委員会が指針で定める形で先送りされました。

相反する利害の調整が進まない具体例をひとつ挙げます。
指紋認識データや顔認識データは個人識別符合に含まれることは国会審議で明らかにされましたが、 携帯電話番号は個人識別符合に含まれるのか、個人情報に該当するのかという点については、 コールセンター等で利用している企業側と個人情報としての保護を主張する消費者側の意見は対立しています。 国会に呼ばれた参考人の審議委員は個人情報には含まれないと答弁しましたが、結論は個人情報保護委員会が作る今後の指針に委ねられました。 禅問答みたいですね。要は悪用する者をどう処罰するかなんですが。

8. 基本理念と目的

個人情報保護法第一条(目的)では「個人の権利利益を保護すること」が最後に出てくるだけで、 全体では「個人情報を産業のために利活用することがいかに大事か」ということが強調されています。

旧法の改正にあたって掲げられた見直し方針は、 「プライバシーの保護と同時に利活用を促進するという基本方針を明確にする」ことでしたが、 本来の目的規定に掲げるべき「基本理念を具体化するためのプライバシー権及び自己情報コントロール権の確立」は、 法案の目的規定に明記されることはなく、逆に、自公の与党修正において、 「個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであること」が、 個人情報の有用性の提示として付け加えられました。

今回の27年改正は、パーソナルデータの経済的な利活用の観念が支配的であり、報道・取材等にも手を触れない流れが早期に確定したため、 表現の自由に関する議論もまた棚上げされました。

個人情報保護法第一条

(目的)
第一条  この法律は、高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることに鑑み、 個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、 国及び地方公共団体の責務等を明らかにするとともに、個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、 個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであること その他の個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。

解説

1.一般的に法令の第一条に掲げる目的規定の書き方には幾つかの類型があり、
(ア)その法令が達成しようとしている直接の立法目的、
(イ)その達成手段、
(ウ)より高次な目的、
(エ)更に究極的な目的、
 等の選択肢を組み合わせる書き方があります。

この個人情報保護法の第一条(目的)の場合は、

(ア)の「達成すべき直接の目的」として、「個人情報の適正かつ効果的な活用によって新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資する」ことを掲げ

(イ)の「その達成手段」として、「個人情報の適正な取扱いに関し、
@ 基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定めることを国及び地方公共団体の責務として明らかにすること、
A 個人情報を取り扱う事業者の遵守すべき義務等を定めること」とし、

(エ)の「究極的な目的」として、「個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする」とした書き方になっています。
第一条の前段は、個人情報を利用することを直接目的としたことを合理化するための根拠の記述です。

なお、法令の第一条に(目的)ではなく(趣旨)規定を掲げる場合がありますが、 この趣旨規定とは、その法令で規定する事項の内容そのものを要約したものです。 この個人情報保護法の第一条(目的)の書き方は、目的というより、趣旨規定の書き方になっています。
本来の目的規定に掲げるべき「基本理念とそれを具体化させるための目的」は省かれ、第三条で基本理念だけ置かれました。
一見、高尚な基本理念に見えますが、実際にそれを具体化した条文はありません。

(基本理念)
第三条  個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであることにかんがみ、 その適正な取扱いが図られなければならない。

「継続的な検討課題」とは、問題を先送りすること

2014年(平成26年)6月25日から意見募集が開始されていた「パーソナルデータの利活用に関する制度改正大綱」において、 「継続的な検討課題」として挙げられていた下記の問題は、改正法においても具体化されることなく、継続課題となりました。

「個人情報を販売することを業としている事業者(いわゆる名簿屋)等により販売された個人情報が、 詐欺等の犯罪行為に利用されていること、 不適切な勧誘等による消費者被害を助長するなどしていること及びプライバシー侵害につながり得ることが、 社会問題として指摘されている。
このような犯罪行為や消費者被害の発生と被害の拡大を防止するためにとり得る措置等については、 継続して検討すべき課題とする。」

9.個人情報漏洩事件

(1)ベネッセ個人情報漏洩事件

 2014年7月9日に発覚した大手通信教育事業者ベネッセコーポレーションの3504万件(9月10日ベネッセ公表) に及ぶ大規模個人情報漏洩事件。ベネッセは、プライバシーマークを取得していた。 ベネッセの通信教育にしか登録していないのに、別の通信教育企業からもダイレクトメールが届くようになり、 ベネッセの個人情報が漏洩しているのではないかという問い合わせの急増により発覚した。
7月17日、ベネッセの顧客情報データベースの運用と保守管理を受託していたグループ企業の派遣社員(当時39歳のシステムエンジニア) が、情報を持ち出して名簿業者に販売したとして、警視庁はこの男を逮捕。2016年3月29日東京地裁は 不正競争防止法違反(営業秘密の複製、開示)で懲役3年6ヵ月、罰金300万円の実刑判決を言い渡した(弁護側控訴)。 不正に持ち出された個人情報は複数の名簿業者に拡散、利用していた企業は35社にのぼった。

違法に取得された大量の子供の個人情報が漏洩し、市場で流通しているのに、 主務官庁がどこになるかさえ決まっていなかった。内閣総理大臣が経済産業大臣を主務大臣に任命したが、 結局、不正取得の事実を主務官庁は確認できず、 適正取得義務に関する注意喚起と管理体制の強化を要請するにとどまった。 (経済産業省「ベネッセ情報漏えい事案の概要と経済産業省の対応について」(平成26年8月) における株式会社ジャストシステムへの対応)(http://www.cao.go.jp/consumer/iinkai/2014/169/doc/140819_shiryou1_1.pdf)

(2)JR東日本Suicaデータ事件

2013年6月27日 日立は交通系ICカード分析情報「駅利用状況分析リポート」提供サービスを発表した。 JR東日本が日立に乗降駅、利用日時、利用額、年齢、性別などのSuica(スイカ)データを提供し、 日立はこれらをいわゆる「ビッグデータ」として分析し、出店計画や広告宣伝などマーケティング支援サービスとして、 さらに別企業に販売するサービスを7月1日から提供するとしていた。

JR東日本は「当社が提供しているデータには、氏名や連絡先など個人が特定できる情報は含まれていない。 個人情報には該当しない」 としていたが、主務官庁の国土交通省は「違法でなくても、利用者が不安に思う可能性がある。 JR東の今後の対応などを確認したい」として判断を避けた。

JR東日本は2013年7月25日、Suicaの利用データをマーケティング目的で日立に提供する件について、 詳細を発表。プライバシー面で事前の説明が足りなかったことなどの批判を受け、 「大変なご心配をおかけした」と謝罪した。Suicaのユーザーは希望すれば、 他社に提供するデータから自分の分を除外できるとする対策を公表した。

この事件が改正法の2条9項〜10項及び第4章第2節における匿名加工情報を類型化して本人の同意を得ることなく、 自由な流通と利活用を促進する法制化へとつながった。匿名加工とは個人情報を加工することで特定の個人を識別できなくし、 かつ、当該個人データを復元することができないようにしたものをいう。

(3)少年Aの個人情報を公開出版した行為が秘密漏示罪の対象外とされた事件

刑法134条(秘密漏示罪)「医師、薬剤師、医薬品販売業者、助産師、弁護士、弁護人、 公証人又はこれらの職にあった者が、正当な理由がないのに、 その業務上取り扱ったことについて知り得た人の秘密を漏らしたときは、懲役又は罰金に処する。」 と規定しており、国家公務員法100条1項、地方公務員法34条1項、裁判員の参加する刑事裁判に関する法律108条、 保健師助産師看護師法42条の2、自衛隊法59条、国立大学法人法18条その他に同様の守秘義務規定がありますが、 これらの身分を持たない者が個人の秘密を暴露した場合には処罰の対象外とされた事件です。

放火・殺人を犯した少年Aの精神鑑定を裁判所から命じられた精神科医が鑑定を進めるなか、 ジャーナリストCの取材要求に応じて少年事件記録の写しや鑑定書等を閲覧させ、 このジャーナリストCはその記録をもとに少年の事件に関する事実や本人の家庭環境、生育歴、 学校の成績などを公表した書籍を出版し、 医師は身分犯、Cは「身分なき共犯」として秘密漏示罪で告訴された事件です。

一審(奈良地裁)二審(大阪高裁)に続き、最高裁で精神科医は秘密漏示罪として懲役刑(執行猶予付)が確定しましたが、 Cについては、嫌疑不十分で不起訴処分となっています。 つまり、守秘義務者から秘密を得たCの立場の者が他の者に秘密を漏らし、その結果、 新たな法益侵害が発生しても秘密漏示罪では罪に問えません。 (最決平成21年2月13日刑集66巻4号405頁)

(4)住民基本台帳閲覧用マイクロフイルム持出しは窃盗罪にあたるとした事件

区役所内で閲覧が許されている住民基本台帳閲覧用マイクロフイルムを、正規の手続きで借り出した上、 区役所外に短時間持出した行為が窃盗罪にあたるとして認容した事件 (札幌地判平成5年6月28日判タ838号268頁)

情報に財物性を認めた事件

(※1)大日本印刷事件(情報に財物性を認めた事件)
被告人が稟議決済一覧表の原本を会社の複写機でコピーし、そのコピー用紙を社外に持ち出した行為について 「単なるコピー用紙の窃盗ではなく、機密書類である右稟議決済一覧表を窃取したものと認めるのが相当」とした事件 (東京地判昭和40年6月26日判時419号14頁)

コピー用紙それ自体の財物としての価値は低いので、可罰的違法性が否定され得るところ、 情報の不正収集を機密書類・財産の窃盗罪とみなした事件です。

(※2)新薬産業スパイ事件(情報に財物性を認めた事件)
製薬会社の代表取締役社長と顧問が他の会社の新薬開発研究の成果を不正に入手するために、 国立予防衛生研究所の厚生技官に、秘密資料を持ち出させてコピーをとらせ、もとにもどさせた事件です。 東京地裁は「情報の化体された媒体の財物性は、情報の切り離された媒体の素材だけについてではなく、 情報と媒体が合体したものの全体について判断すべきであり、ただその財物としての価値が、 主として媒体に化体された情報の価値に負うもの」であるとして、コピー用紙に財物性を認めました。 (東京地判昭和59年6月28日判時1126号6頁)

(5)新潟鉄工事件(情報の持ち出しが横領罪にあたるとした事件)

新潟鉄工社員が、会社内において自分で保管していた機密資料を、 退職後に新しい会社で利用するためにコピーしようと考え、社外に持ち出してコピーしたあと、 元に戻しておいた行為について、東京地裁は「内容自体に経済的価値があり、 所有者以外の者が許可なく持ち出す事を許されない機密書類をコピー目的で持ち出す行為には、 その間の所有者を排除して資料を自己の所有物と同様にその経済的用法に従って利用する意思が認められ、 使用後返還する意志があったとしても、不法料得の意思が認められる」として横領罪の成立を肯定しました。 (東京地判昭和60年2月13日刑事裁判月報17巻1=2号22頁)

情報に財物性を認めた事件に共通の問題として、 情報の窃盗は他の財物や財産上の利益と異なり、移転ではないこと、 情報の持ち主がその情報を失うわけではないという特殊性があることから、 情報を財産犯の枠組みで保護することの困難性が指摘されてきました。

(掲載)2017/1/20