14. 1月9日 国境を越える情報と法
授業で使うスライドに下記のリンクからアクセスできます(pdfファイル)。
レポート課題は以下のとおりです。
【授業中に紹介する、日本の個人情報保護法制の3つの「残された課題」を、自分の言葉でまとめ直してください。】
国境を越える情報と法
個人情報に関する法律について
グローバル・ナショナル・ローカルな展開
巽智彦
成蹊大学法学部准教授(行政法)
博士(法学)(東京大学)
/icons/水平線.icon
国境を越える情報と法
国境を越える個人情報の流通と法
グローバルな展開
国際法・ヨーロッパ法・EC/EU法
ナショナルな展開
日本法
ローカルな展開
地方公共団体の法
/icons/水平線.icon
国境を越える個人情報の流通と法
民間事業者による個人情報の取得、利活用
顧客情報の取得
→個人情報の価値は付随的
取引の際に必要な個人情報
個人情報の収集、集積・分析、販売(ゴシップ、名簿、スコアリングetc.)
個人情報そのものに価値を見出す。
スコアリング…日本:ラインスコア。中国:その人自身が気づいていない点を点数化する。
ビッグデータの収集、集積・分析、販売(列車乗降履歴、SNS履歴、オンラインショッピング履歴etc.)
→個人情報それ自体の価値
JR:Suicaの乗降履歴を個人が特定されない形に加工した上で情報を販売
/icons/水平線.icon
国境を越える個人情報の流通と法
民間事業者による個人情報の取得、利活用
顧客情報の取得
→日本事業者の外国人との取引
→外国事業者の日本人との取引
個人情報/ビッグデータの収集、集積・分析、販売
→日本事業者への外国人顧客情報の蓄積
→外国事業者への日本人顧客情報の蓄積
今回の講義ではここをメインに。
/icons/水平線.icon
国境を越える個人情報の流通と法
公的機関による個人情報の取得、利活用
住民管理(住民基本台帳、マイナンバーetc.)
税、社会保障(確定申告、社会保険etc.)
→外国人の個人情報の管理
マイナンバーは住民票に基づいて発行されるため、外国人にもマイナンバーが発行される。
行政調査、犯罪捜査
→国家間共助による情報流通
/icons/水平線.icon
国境を越える個人情報の流通と法
法の適用範囲と主権
個人情報保護法
第七十五条(適用範囲)
第十五条、第十六条、第十八条(第二項を除く。)、第十九条から第二十五条まで、第二十七条から第三十六条まで、第四十一条、第四十二条第一項、第四十三条及び次条の規定は、国内にある者に対する物品又は役務の提供に関連してその者を本人とする個人情報を取得した個人情報取扱事業者が、外国において当該個人情報又は当該個人情報を用いて作成した匿名加工情報を取り扱う場合についても、適用する。
外国において個人情報を取り扱う場合にも個人情報保護法を適用する。
〰に当たらない個人情報を取り扱う場合には、個人情報保護法を適用しない。
外国に対して法律を適用していくのは例外であることがわかる。
/icons/水平線.icon
国境を越える個人情報の流通と法
法の適用範囲と主権
刑法 第一条(国内犯)
この法律は、日本国内において罪を犯したすべての者に適用する。
刑法 第三条の二(国民以外の者の国外犯)
この法律は、日本国外において日本国民に対して次に掲げる罪を犯した日本国民以外の者に適用する。
二 第百九十九条(殺人)の罪及びその未遂罪
外国で日本人が殺されてしまった場合には、殺した外国人に日本の刑法が適用される。
/icons/水平線.icon
国境を越える個人情報の流通と法
法の適用範囲と主権
法の適用に関する通則法
第十七条(不法行為)
不法行為によって生ずる債権の成立及び効力は、加害行為の結果が発生した地の法による。ただし、その地における結果の発生が通常予見することのできないものであったときは、加害行為が行われた地の法による。
国境を越える個人情報の流通と法
法の適用範囲と主権
法の適用に関する通則法
第十九条(名誉又は信用の毀き損の特例)
第十七条の規定にかかわらず、他人の名誉又は信用を毀き損する不法行為によって生ずる債権の成立及び効力は、被害者の常居所地法(被害者が法人その他の社団又は財団である場合にあっては、その主たる事業所の所在地の法)による。
/icons/水平線.icon
国境を越える個人情報の流通と法
法の適用範囲と主権
個人情報保護法
第七十八条(外国執行当局への情報提供)
委員会は、この法律に相当する外国の法令を執行する外国の当局(以下この条において「外国執行当局」という。)に対し、その職務(この法律に規定する委員会の職務に相当するものに限る。次項において同じ。)の遂行に資すると認める情報の提供を行うことができる。
2 前項の規定による情報の提供については、当該情報が当該外国執行当局の職務の遂行以外に使用されず、かつ、次項の規定による同意がなければ外国の刑事事件の捜査(その対象たる犯罪事実が特定された後のものに限る。)又は審判(同項において「捜査等」という。)に使用されないよう適切な措置がとられなければならない。
/icons/水平線.icon
国境を越える個人情報の流通と法
法の適用範囲と主権
国際捜査共助等に関する法律
(外務大臣の措置)
第四条 外務大臣は、共助の要請を受理したときは、次の各号のいずれかに該当する場合を除き、共助要請書又は外務大臣の作成した共助の要請があつたことを証明する書面に関係書類を添付し、意見を付して、これを法務大臣に送付するものとする。
一 要請が条約に基づいて行われたものである場合において、その方式が条約に適合しないと認めるとき。
二 要請が条約に基づかないで行われたものである場合において、日本国が行う同種の要請に応ずる旨の要請国の保証がないとき。
国境を越える個人情報の流通と法
法の適用範囲と主権
国際捜査共助等に関する法律
第五条(法務大臣の措置)
法務大臣は、受刑者証人移送以外の共助の要請について、第二条各号(第三条第一項ただし書の規定により法務大臣が共助の要請の受理を行う場合にあつては、第二条各号又は前条各号)のいずれにも該当せず、かつ、要請に応ずることが相当であると認めるときは、次項に規定する場合を除き、次の各号のいずれかの措置を採るものとする。
一 相当と認める地方検察庁の検事正に対し、関係書類を送付して、共助に必要な証拠の収集を命ずること。
/icons/水平線.icon
国境を越える個人情報の流通と法
個人情報保護に関する法(理論)
国によって法律は異なる。それでいいという考え方もあるが、異なっていては不都合である。個人情報保護に関する2つの理論が対立している。
プライバシー権(アメリカ)
…一人で放っておいてもらう権利+自己情報コントロール権
…連邦レベルでの一般法の不存在
個人情報に関する基本権(ヨーロッパ、ドイツ)
…人間の尊厳に結びついた人格権(ドイツ)
…EUレベルでの一般法の存在(ヨーロッパ)
/icons/水平線.icon
国境を越える個人情報の流通と法
小括
個人情報それ自体の価値の増大
外国人個人情報の取扱いの増大
→自国民個人情報の外国における適切な保護
→外国人個人情報の適切な保護
外国人個人情報の適切な保護ができていれば、他国との協力体制を布くことができる。
個人情報保護に関する法(理論)の分立
→個人情報保護の方法ないし水準の断片化
→保護の方法ないし水準の統一の必要性
/icons/水平線.icon
グローバル
国際法
経済協力開発機構(OECD)
ヨーロッパ法
欧州評議会(Council of Europe)
EC/EU法
欧州共同体(EC)
欧州連合(EU)
/icons/水平線.icon
グローバル:国際法
経済協力開発機構
Organisation for Economic Co-operation and Development(OECD)
1961: 改組←OEEC
1964: 日本加盟
市場と市場を機能させる組織に対する信頼感を取り戻すこと
将来の持続的な経済成長の土台となる健全な財政を再建すること
技術革新、環境に配慮した「グリーン成長」戦略、新興経済国の発展による新たな成長の源泉を促進・支援すること
あらゆる世代の人々が今後の仕事で、生産的に、かつ満足して働くための技能を習得できるようにすること
/icons/水平線.icon
グローバル:国際法
OECDプライバシーガイドライン
「プライバシー保護と個人データの国際流通についてのガイドラインに関する理事会勧告」Recommendation of the Council concerning Guidelines governing the Protection of Privacy and Transborder Flows of Personal Data
1980: 採択 2013: 改訂
加盟国に適用されるプライバシーガイドライン
/icons/水平線.icon
グローバル:国際法
OECDプライバシーガイドライン
8原則
① 収集制限の原則 ② データ内容の原則
③ 目的明確化の原則 ④ 利用制限の原則
⑤ 安全保護の原則 ⑥ 公開の原則
⑦ 個人参加の原則 ⑧ 責任の原則
日本の個人情報保護法は8原則を具体化する形で条文が作られた。
/icons/水平線.icon
グローバル:ヨーロッパ法
欧州評議会
Council of Europe(CoE)
1949: 設立
加盟国: 47(EU全加盟国(28※イギリス),ロシア,ウクライナ,トルコ等)
オブザーバー国: 5(米国,カナダ,日本 (1996-) ,メキシコ,バチカン)
重要な問題については日本も意見をいうことができる。
/icons/水平線.icon
グローバル:ヨーロッパ法
欧州評議会(Council of Europe)
欧州人権条約(European Convention on Human Rights (ECHR))
欧州評議会データ保護条約(条約第108号)
/icons/水平線.icon
グローバル:ヨーロッパ法
欧州人権条約(ECHR)
European Convention on Human Rights (ECHR)
「人権と基本的自由の保護のための条約」Convention for the Protection of Human Rights and Fundamental Freedoms
1950: 調印
1953: 発効
1959: 欧州人権裁判所(European Court of Human Rights (ECtHR))設置
→個人への訴権の付与
国際条約は国と国がどうするということを規律するが、この条約は個人に対して訴権があることを定めている。
国を対象とするのではなく個人を対象としていることで、進んだ条約。
/icons/水平線.icon
グローバル:ヨーロッパ法
欧州人権条約(ECHR)
/icons/水平線.icon
グローバル:ヨーロッパ法
欧州人権条約
第八条(私生活及び家庭生活の尊重についての権利)
1 すべての者は、その私的及び家庭生活、住居及び通信の権利を有する。
2 この権利の行使については、法律の基づき、かつ国の安全、公共の安全若しくは国の経済的福利のため、また、無秩序若しくは犯罪防止のため、健康若しくは道徳の保護のため、又は他の者の権利及び自由の保護のため民主的社会において必要なもの以外のいかなる公の機関による干渉もあってはならない。
※仮訳:ミネソタ大学人権図書館
自分の国がやっていることに不満なら、欧州人権裁判所に訴えることができる。
グローバル:ヨーロッパ法
欧州人権条約
Article 8 – Right to respect for private and family life
1. Everyone has the right to respect for his private and family life, his home and his correspondence.
2. There shall be no interference by a public authority with the exercise of this right except such as is in accordance with the law and is necessary in a democratic society in the interests of national security, public safety or the economic well-being of the country, for the prevention of disorder or crime, for the protection of health or morals, or for the protection of the rights and freedoms of others.
/icons/水平線.icon
グローバル:ヨーロッパ法
欧州評議会データ保護条約(条約第108号)
「個人データの自動処理に関する個人の保護のための条約」(条約第108号)Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data
1981: 条約文採択
1985: 発効
2010-: 改訂作業
グローバル:ヨーロッパ法
/icons/水平線.icon
欧州評議会データ保護条約(条約第108号)
Chapter I – General provisions
Chapter II – Basic principles for data protection
Article 4 – Duties of the Parties/ Article 5 – Quality of data/ Article 6 – Special categories of data/ Article 7 – Data security/Article 8 – Additional safeguards for the data subject/ Article 9 – Exceptions and restrictions/ Article 10 – Sanctions and remedies/ Article 11 – Extended protection
Chapter III – Transborder data flows
Article 12 – Transborder flows of personal data and domestic law
/icons/水平線.icon
グローバル:ヨーロッパ法
欧州評議会データ保護条約(条約第108号)
Article 4 – Duties of the Parties
1 Each Party shall take the necessary measures in its domestic law to give effect to the basic principles for data protection set out in this chapter.
Party:当事者→国
2 These measures shall be taken at the latest at the time of entry into force of this Convention in respect of that Party.
/icons/水平線.icon
グローバル:EC/EU法
欧州共同体(EC)/欧州連合(EU)
1993:マーストリヒト条約発効
European Community
←European Economic Community
European Union
…ECs (EC, Euratom, ECSC), CFSP, PJCC
2009:リスボン条約発効
European Union
←EC, ECSC, CFSP, PJCC ※Euratom
/icons/水平線.icon
グローバル:EC/EU法
欧州共同体(EC)/欧州連合(EU)
2009:リスボン条約発効
EU条約(the Treaty on European Union (TEU))
EU運営条約(the Treaty on the Functioning of the European Union (TFEU))
EU基本権憲章(the Charter of Fundamental Rights of the European Union (CFR))
/icons/水平線.icon
グローバル:EC/EU法
欧州共同体(EC)/欧州連合(EU)
EU司法裁判所(Court of Justice of the European Union/ European Court of Justice (ECJ))(1952-)
※EU裁判所(1989-)
※EU公務員裁判所(2005-)
/icons/水平線.icon
グローバル:EC/EU法
欧州共同体(EC)/欧州連合(EU)
EU条約(TEU)
Article 39
In accordance with Article 16 of the Treaty on the Functioning of the European Union and by way of derogation from paragraph 2 thereof, the Council shall adopt a decision laying down the rules relating to the protection of individuals with regard to the processing of personal data by the Member States when carrying out activities which fall within the scope of this Chapter, and the rules relating to the free movement of such data. Compliance with these rules shall be subject to the control of independent authorities.
/icons/水平線.icon
グローバル:EC/EU法
欧州共同体(EC)/欧州連合(EU)
EU運営条約(TFEU)
Article 16
1. Everyone has the right to the protection of personal data concerning them.
2. The European Parliament and the Council, acting in accordance with the ordinary legislative procedure, shall lay down the rules relating to the protection of individuals with regard to the processing of personal data by Union institutions, bodies, offices and agencies, and by the Member States when carrying out activities which fall within the scope of Union law, and the rules relating to the free movement of such data. Compliance with these rules shall be subject to the control of independent authorities.
/icons/水平線.icon
グローバル:EC/EU法
欧州共同体(EC)/欧州連合(EU)
EU基本権憲章(CFR)
Article 7 Respect for private and family life
Everyone has the right to respect for his or her private and family life, home and communications.
Article 8 Protection of personal data
1. Everyone has the right to the protection of personal data concerning him or her.
2. Such data must be processed fairly for specified purposes and on the basis of the consent of the person concerned or some other legitimate basis laid down by law. Everyone has the right of access to data which has been collected concerning him or her, and the right to have it rectified.
3. Compliance with these rules shall be subject to control by an independent authority.
/icons/水平線.icon
グローバル:EC/EU法
EC/EUデータ保護指令/規則
条約を具体化したEC/EUのル-ル
1995: ECデータ保護指令
Directive on the protection of individuals with regard to the processing of personal data and on the free movement of such data (Data Protection Directive)
2017: EUデータ保護基本規則
Regulation on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC
(General Data Protection Regulation (GDPR))
場合によっては日本にも適用される可能性があるル-ルなので有名。
グローバル:EC/EU法
EC/EUデータ保護指令/規則
指令(Directive)
達成すべき目標についてのみ加盟国を拘束する。そのための形式および方法は各加盟国の選択に委ねられる(Art. 288 para. 3 TFEU)。
A directive shall be binding, as to the result to be achieved, upon each Member State to which it is addressed, but shall leave to the national authorities the choice of form and methods.
→加盟国法(例:ドイツ連邦データ保護法(BDSG))への転換が必要
グローバル:EC/EU法
EC/EUデータ保護指令/規則
規則 (Regulation)
全体について拘束的であり、加盟国において直接に適用される(Art. 288 para. 2 TFEU)
A regulation shall have general application. It shall be binding in its entirety and directly applicable in all Member States.
→加盟国法への転換不要(ただし、加盟国法における独自の規律を許容する場合には、加盟国法で詳細が規定される)。
/icons/水平線.icon
グローバル:EC/EU法
EUデータ保護規則
非加盟国へのデータ移転
第45条(十分性決定に基づく移転)
1. 第三国、第三国内の地域又は一若しくは複数の特定の部門、又は、国際機関が十分なデータ保護の水準を確保していると欧州委員会が決定した場合、当該第三国又は国際機関への個人データの移転を行うことができる。その移転は、いかなる個別の許可も要しない。
※訳:PPC
十分性決定がない第三国に対しては、個人データを移転することが許されない。
この45条の規定があるため、ヨーロッパ以外の国は、十分性決定を得られない限りヨーロッパの情報を得ることができない。
グローバル:EC/EU法
EUデータ保護規則
非加盟国へのデータ移転
第45条(十分性決定に基づく移転)
2. 保護水準の十分性を評価する場合、欧州委員会は、とりわけ、以下の要素を考慮に入れる:
(a) 法の支配、人権及び基本的自由の尊重、公共の安全、国防、国家安全保障及び犯罪法を含め、一般的又は分野別の関連立法・・・
※訳:PPC
/icons/水平線.icon
グローバル:EC/EU法
EUデータ保護規則
域外適用
第3条(地理的適用範囲)
1. 本規則は、その取扱いがEU 域内で行われるものであるか否かを問わず、EU 域内の管理者又は処理者の拠点の活動の過程における個人データの取扱いに適用される。・・・
※訳:PPC
/icons/水平線.icon
グローバル:EC/EU法
EUデータ保護規則
第3条(地理的適用範囲)
2. 取扱活動が以下と関連する場合、本規則は、EU 域内に拠点のない管理者又は処理者によるEU 域内のデータ主体の個人データの取扱いに適用される:
(a) データ主体の支払いが要求されるか否かを問わず、EU 域内のデータ主体に対する物品又はサービスの提供。又は
(b) データ主体の行動がEU 域内で行われるものである限り、その行動の監視。
※訳:PPC
例えば楽天ネットショッピングでドイツ人に物品を売ろうとする場合、本条に該当する場合がある。
EUのル-ルで日本の事業者が規律される。
/icons/水平線.icon
グローバル:EC/EU法
EUデータ保護規則
第27条(EU域内に拠点のない管理者または処理者の代理人)
1. 第3 条第2 項が適用される場合、管理者又は処理者は、書面により、EU 域内における代理人を指定するものとする。
3. 代理人は、データ主体に対する物品若しくはサービスの提供と関連してその個人データが取扱われるデータ主体、又は、その行動が監視されるデータ主体のいる加盟国中の1 つに設けられる。
4. 本規則の遵守を確保する目的のために、代理人は、取扱いと関連する全ての事項に関し、特に、監督機関及びデータ主体への対応のために、管理者又は処理者に加え、又は、それらの者の代わりとして、管理者又は処理者から委任を受ける。※訳:PPC
/icons/水平線.icon
グローバル:EC/EU法
EUデータ保護規則
第83 条(制裁金を科すための一般的要件)
4. 以下の条項違反行為は、第2 項に従い、1000 万ユーロ以下の制裁金に服するものとし、又は、事業の場合、直前の会計年度における世界全体における売上総額の2%以下の金額、若しくは、いずれか高額の方の制裁金に服するものとする:
(a) 第8 条、第11 条、第25 条から第39 条並びに第42 条及び第43 条による管理者及び処理者の義務 ※訳:PPC
EU域内で代理人をおかずにヨーロッパ人に対して物を販売するとき、場合によっては制裁金を科されるかも。
/icons/水平線.icon
ナショナル:日本法
1988: 行政機関電算機個人情報保護法
「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」 (昭和63年12月16日法律第95号)
行政機関のみが対象、電子計算機処理にのみ適用される。二重の制限。
2003: 個人情報保護法+行政機関個人情報保護法
個人情報の保護に関する法律(平成15年5月30日法律第57号)
行政機関の保有する個人情報の保護に関する法律 (平成15年5月30日法律第58号)
行政機関のみに限定せず、電子計算機に限定しない。
/icons/水平線.icon
ナショナル:日本法
2015-16: 個人情報保護法+行政機関個人情報保護法改正
個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律(平成27年5月27日法律第65号)
行政機関等の保有する個人情報の適正かつ効果的な活用による新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するための関係法律の整備に関する法律(平成28年5月27日法律第51号)
/icons/水平線.icon
ナショナル:日本法
1980: OECDプライバシーガイドライン
↓反映
1988: 行政機関電算機個人情報保護法
1995: ECデータ保護指令
↓反映
2003: 個人情報保護法+行政機関個人情報保護法
2013: OECDプライバシーガイドライン改訂
↓反映
2015-16: 個人情報保護法+行政機関個人情報保護法改正
2017: EUデータ保護基本規則
/icons/水平線.icon
ナショナル:日本法
個人情報保護法(2015改正後)
第一章 総則(第一条第三条)
第二章 国及び地方公共団体の責務等(第四条第六条)
第三章 個人情報の保護に関する施策等
第四章 個人情報取扱事業者の義務等
第五章 個人情報保護委員会(第五十九条第七十四条)
第六章 雑則(第七十五条第八十一条)
第七章 罰則(第八十二条第八十八条)
ナショナル:日本法
個人情報保護法(2015改正後)
第二条 (定義)
1 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。第十八条第二項において同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二 個人識別符号が含まれるもの
ナショナル:日本法
個人情報保護法(2015改正後)
第二条 (定義)
2 この法律において「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、政令で定めるものをいう。
一 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの
二 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの
ナショナル:日本法
個人情報保護法(2015改正後)
第二条 (定義)
3 この法律において「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。
9 この法律において「匿名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。
ナショナル:日本法
個人情報保護法(2015改正後)
第四章 個人情報取扱事業者の義務等
第一節 個人情報取扱事業者の義務(第十五条第三十五条)
第二節 匿名加工情報取扱事業者等の義務(第三十六条第三十九条)
第三節 監督(第四十条第四十六条)
第四節 民間団体による個人情報の保護の推進(第四十七条第五十八条)
/icons/水平線.icon
ナショナル:日本法
個人情報保護法(2015改正後)
第十五条 (利用目的の特定)
1 個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。
顧客からの情報をとるときに、その情報をどのように使うかを予め示す。
例:オンラインショッピング利用規約に「個人情報は適切に利用させていただきます」
→特定とは言えず違反するとされる可能性あり。
2 個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。
例:サイトの運営のためにしか使わないと言っているのに、就活情報サイトがその情報を企業に提供していた。
ナショナル:日本法
個人情報保護法(2015改正後)
第十六条(利用目的による制限)
1 個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
2 個人情報取扱事業者は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。
/icons/水平線.icon
ナショナル:日本法
個人情報保護法(2015改正後)
第二十三条(第三者提供の制限)
1 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
先ほどの就活生の情報を勝手に企業に提供した場合
利用目的に書いていないことも問題だし、勝手に第三者に提供したことも問題。
一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
・・・
ナショナル:日本法
個人情報保護法(2015改正後)
第二十三条(第三者提供の制限)
2 個人情報取扱事業者は、第三者に提供される個人データ(要配慮個人情報を除く。以下この項において同じ。)について、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。
一 第三者への提供を利用目的とすること。
二 第三者に提供される個人データの項目
三 第三者への提供の方法
四 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
五 本人の求めを受け付ける方法
/icons/水平線.icon
ナショナル:日本法
個人情報保護法(2015改正後)
第十九条(データ内容の正確性の確保等)
個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。
第二十条(安全管理措置)
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
現代のビジネスで個人情報を取り扱わないことはないでしょうから、日本でビジネスをやる場合には常に念頭に置かなければならないこと
/icons/水平線.icon
ナショナル:日本法
個人情報保護法(2015改正後)
第五章 個人情報保護委員会
内閣府
第五十九条 (設置)
1 内閣府設置法第四十九条第三項の規定に基づいて、個人情報保護委員会(以下「委員会」という。)を置く。
2 委員会は、内閣総理大臣の所轄に属する。
第六十二条(職権行使の独立性)
委員会の委員長及び委員は、独立してその職権を行う。
ヨーロッパにおける「個人情報の監督は独立して行う」にリンク。
内閣府に置かれているが、委員長及び委員は内閣総理大臣から影響を受けない。
/icons/水平線.icon
ナショナル:日本法
個人情報保護法(2015改正後)
第四十条(報告及び立入検査)
個人情報保護委員会は、前二節及びこの節の規定の施行に必要な限度において、個人情報取扱事業者又は匿名加工情報取扱事業者(以下「個人情報取扱事業者等」という。)に対し、個人情報又は匿名加工情報(以下「個人情報等」という。)の取扱いに関し、必要な報告若しくは資料の提出を求め、又はその職員に、当該個人情報取扱事業者等の事務所その他必要な場所に立ち入らせ、個人情報等の取扱いに関し質問させ、若しくは帳簿書類その他の物件を検査させることができる。
第四十一条(指導及び助言)
個人情報保護委員会は、前二節の規定の施行に必要な限度において、個人情報取扱事業者等に対し、個人情報等の取扱いに関し必要な指導及び助言をすることができる。
/icons/水平線.icon
ナショナル:日本法
個人情報保護法(2015改正後)
第四十二条 (勧告及び命令)
個人情報保護委員会は、個人情報取扱事業者が第十六条から第十八条まで、第二十条から第二十二条まで、第二十三条(第四項を除く。)、第二十四条、第二十五条、第二十六条(第二項を除く。)、第二十七条、第二十八条(第一項を除く。)、第二十九条第二項若しくは第三項、第三十条第二項、第四項若しくは第五項、第三十三条第二項若しくは第三十六条(第六項を除く。)の規定に違反した場合又は匿名加工情報取扱事業者が第三十七条若しくは第三十八条の規定に違反した場合において個人の権利利益を保護するため必要があると認めるときは、当該個人情報取扱事業者等に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべき旨を勧告することができる。
2 個人情報保護委員会は、前項の規定による勧告を受けた個人情報取扱事業者等が正当な理由がなくてその勧告に係る措置をとらなかった場合において個人の重大な権利利益の侵害が切迫していると認めるときは、当該個人情報取扱事業者等に対し、その勧告に係る措置をとるべきことを命ずることができる。
/icons/水平線.icon
ナショナル:日本法
個人情報保護法改正と十分性認定
2010: 執行の欠缺(lack of enforcement)の指摘
独立な機関が監督をするということをやっていない。法律はあるけど実際に機能するか?
; Country studies B5: Japan
2012: EUデータ保護基本規則案の公表
日本としてはこの2つを受けて、法改正をしなければならないということになった。
/icons/水平線.icon
ナショナル:日本法
個人情報保護法改正と十分性認定
十分性決定
2017年1月10日:欧州委員会十分性認定手続の開始
2017年9月5日:欧州委員会十分性認定案の公表
2019年1月23日:日-EU相互の十分性認定
EU委員会のいう「執行の欠缺」の懸念は解消された。
※Commission Implementing Decision (EU) 2019/419(欧州委員会認定原文)
/icons/水平線.icon
ナショナル:日本法
残された問題1:公的部門の認定
十分性決定は行政機関を対象外としている。行政機関個人情報保護法は十分性決定の例外とされている。
Commission Implementing Decision (EU) 2019/419
2.1(10): The two latter acts (amended in 2016) contain provisions applicable to the protection of personal information by public sector entities. Data processing falling within the scope of application of those acts is not the object of the adequacy finding contained in this Decision, which is limited to the protection of personal information by "Personal Information Handling Business Operators" within the meaning of the APPI.
行政機関個人情報保護法について十分性決定が降りなかった。だけど多分やってしまっている。それで大丈夫?
/icons/水平線.icon
ナショナル:日本法
残された問題1:公的部門の認定
個人情報保護法 第六十一条 (所掌事務)
委員会は、前条の任務を達成するため、次に掲げる事務をつかさどる。
二 個人情報取扱事業者における個人情報の取扱い並びに個人情報取扱事業者及び匿名加工情報取扱事業者における匿名加工情報の取扱いに関する監督、行政機関の保有する個人情報の保護に関する法律第二条第一項に規定する行政機関における同条第九項に規定する行政機関非識別加工情報(同条第十項に規定する行政機関非識別加工情報ファイルを構成するものに限る。)の取扱いに関する監視・・・
/icons/水平線.icon
ナショナル:日本法
残された問題1:公的部門の認定
個人情報保護法 第六十一条 (所掌事務)
委員会は、前条の任務を達成するため、次に掲げる事務をつかさどる。
四 特定個人情報(番号利用法第二条第八項に規定する特定個人情報をいう。第六十三条第四項において同じ。)の取扱いに関する監視又は監督並びに苦情の申出についての必要なあっせん及びその処理を行う事業者への協力に関すること。
マイナンバー
/icons/水平線.icon
ナショナル:日本法
残された問題1:公的部門の認定
行政機関個人情報保護法 第四十九条(施行の状況の公表)
総務大臣は、行政機関の長に対し、この法律の施行の状況について報告を求めることができる。
2 総務大臣は、毎年度、前項の報告を取りまとめ、その概要を公表するものとする。
第五十条(資料の提出及び説明の要求)
総務大臣は、前条第一項に定めるもののほか、この法律の目的を達成するため必要があると認めるときは、行政機関の長に対し、行政機関における個人情報の取扱いに関する事務の実施状況について、資料の提出及び説明を求めることができる。
第五十一条(意見の陳述)
総務大臣は、この法律の目的を達成するため必要があると認めるときは、行政機関の長に対し、行政機関における個人情報の取扱いに関し意見を述べることができる。
日本の行政機関について、個人情報保護は各省庁が自分たちでやっていて外部からの監視・監督をされるということがない。
/icons/水平線.icon
ナショナル:日本法
残された問題2:個人情報保護監督の独立性と実効性
よくよく法律を見ていくと、本当に独立できている?と疑問に。
個人情報保護法 第四十四条 (権限の委任)
個人情報保護委員会は、緊急かつ重点的に個人情報等の適正な取扱いの確保を図る必要があることその他の政令で定める事情があるため、個人情報取扱事業者等に対し、第四十二条の規定による勧告又は命令を効果的に行う上で必要があると認めるときは、政令で定めるところにより、第四十条第一項の規定による権限を事業所管大臣に委任することができる。
金融関係の個人情報保護については、金融庁や証券〇〇に委任している現状。
個別に委任できる状況になっているので、よくよく見ると権限が独立していないとの指摘がされる可能性あり。
2 事業所管大臣は、前項の規定により委任された権限を行使したときは、政令で定めるところにより、その結果について個人情報保護委員会に報告するものとする。
/icons/水平線.icon
ナショナル:日本法
残された問題2:個人情報保護監督の独立性と実効性
個人情報保護法 第四十五条 (事業所管大臣の請求)
事業所管大臣は、個人情報取扱事業者等に前二節の規定に違反する行為があると認めるときその他個人情報取扱事業者等による個人情報等の適正な取扱いを確保するために必要があると認めるときは、個人情報保護委員会に対し、この法律の規定に従い適当な措置をとるべきことを求めることができる。
/icons/水平線.icon
ナショナル:日本法
個人情報保護委員会「個人情報保護法 いわゆる3年ごと見直し制度改正大綱(骨子)」4頁
Ⅶ.官民を通じた個人情報の取扱い
1.行政機関、独立行政法人等に係る法制と民間部門に係る法制との一元化
行政機関、独立行政法人等に係る個人情報保護制度に関し、規定や所管が異なることにより支障が生じているとの指摘を踏まえ、民間、行政機関、独立行政法人等に係る個人情報の保護に関する規定を集約・一体化し、これらの制度を個人情報保護委員会が一元的に所管する方向で、政府としての具体的な検討において、スケジュール感をもって主体的かつ積極的に取り組む。
民間の法律に合わせる形でやっていくことになるでしょう。
/icons/水平線.icon
ナショナル:日本法
内閣官房:個人情報保護制度の見直しに関するタスクフォース
(第1回)令和元年12月25日(水)15:30~15:50
資料3:基本的な考え方・具体的論点(例)
民間部門、行政機関、独立行政法人等の個人情報保護に関する法令・規定を集約・一体化する方向性を前提に、その意義・目的などを整理しつつ、具体的論点について議論を進める。
事務処理体制の在り方
統一的な法の解釈・運用のための体制の在り方
責任体制及び監視・監督機能の在り方
情報公開・個人情報保護審査会の在り方
総合案内所機能の在り方
/icons/水平線.icon
ローカル:地方公共団体の法
個人情報保護条例
現状、各自治体が自分たちで条例を作って規律している。
PPC「地方公共団体の個人情報保護条例」
←条例一覧
電子計算機処理分野
東京都国立市(1975年)
岩手県紫波町・東京都世田谷区(1976年)
個人情報一般
福岡県春日市(1984年)
政令都市としては、川崎市(1985年)
都道府県としては、神奈川県(1990年)
※PPC「個人情報保護法を巡る動きについて」10頁
ローカル:地方公共団体の法
個人情報保護条例
行政機関個人情報保護法 第二条(定義)
この法律において「行政機関」とは、次に掲げる機関をいう。
一 法律の規定に基づき内閣に置かれる機関(内閣府を除く。)及び内閣の所轄の下に置かれる機関
二 内閣府、宮内庁並びに内閣府設置法(平成十一年法律第八十九号)第四十九条第一項及び第二項に規定する機関(これらの機関のうち第四号の政令で定める機関が置かれる機関にあっては、当該政令で定める機関を除く。)
三 国家行政組織法(昭和二十三年法律第百二十号)第三条第二項に規定する機関(第五号の政令で定める機関が置かれる機関にあっては、当該政令で定める機関を除く。)
/icons/水平線.icon
ローカル:地方公共団体の法
個人情報保護条例
武蔵野市個人情報保護条例
第1条 (目的)
この条例は、高度情報通信社会の進展にかんがみ、個人情報の取扱いについての基本的事項を定めるとともに、武蔵野市(以下「市」という。)の実施機関に対し本人が保有個人情報の開示、訂正、消去及び目的外利用等の停止を請求する権利を明らかにすることにより、市政の適正な運営を図りつつ、個人の権利利益を保護することを目的とする。
ローカル:地方公共団体の法
個人情報保護条例
武蔵野市個人情報保護条例
第1章 総則(第1条第5条)
第2章 個人情報の収集、管理及び利用(第6条第15条の2)
第3章 自己情報の開示、訂正等の請求(第16条第28条)
第4章 救済の手続等(第29条第37条)
第5章 出資団体等及び事業者の責務並びに市長等の権限(第38条第41条)
第6章 罰則(第42条第44条の3)
/icons/水平線.icon
ローカル:地方公共団体の法
個人情報保護条例
武蔵野市個人情報保護条例
第38条 (出資団体等の責務及び市長の指導監督)
市が出資等を行い、その団体の行う業務が市政と極めて密接に関係する団体及び市が継続的に財政支出を行っている団体であって、規則で定めるもの(以下「出資団体等」という。)は、この条例の規定に基づく市の施策に留意しつつ、個人情報の適正な取扱いを確保するため、実施機関に準じた措置を講ずるよう努めなければならない。
2 市長は、出資団体等に対し、個人情報の適正な取扱いについて必要な指導及び監督を行わなければならない。
/icons/水平線.icon
ローカル:地方公共団体の法
残された課題3:条例2000個問題
都道府県+市町村(特別区)+特別地方公共団体(広域連合、一部事務組合など(ex. ごみ処理、消防、水道、病院等))=計2000個前後の条例
自治による創意工夫 v. ルール統一の必要性
十分性認定の障害
e.g. 独立機関による監督(→課題1、2)
/icons/水平線.icon
ローカル:地方公共団体の法
個人情報保護委員会「個人情報保護法 いわゆる3年ごと見直し制度改正大綱(骨子)」4頁
Ⅶ.官民を通じた個人情報の取扱い
2.地方公共団体の個人情報保護制度
現在条例で定められている地方公共団体が保有する個人情報の取扱いについて、法律による一元化を含めた規律の在り方、地方公共団体の個人情報保護制度に係る国・地方の役割分担の在り方に関する実務的論点について地方公共団体等と議論を進める。
地域の自主性という地方自治の理念と衝突。地方自治の研究者から強く言われること。
どこまで一元化すればEUから十分性決定をしてもらえるか?
/icons/水平線.icon
ローカル:地方公共団体の法
国と地方公共団体の関係
法律国執行型:国税の賦課徴収
規範:法律(所得税法、国税通則法、国税徴収法)
執行:国(の地方支分部局) e.g. 税務署
法律地方執行型:行政不服審査
規範:法律(行政不服審査法)
執行:地方公共団体 e.g. 審理員、行政不服審査会
条例地方執行型:個人情報保護、情報公開、行政手続、公安
規範:条例
執行:地方公共団体
ローカル:地方公共団体の法
国と地方公共団体の関係
法律+条例地方執行型
:地方税の賦課徴収
規範:法律+条例:標準/超過税率
執行:地方公共団体
:公衆浴場規制
規範:法律+条例:許可制+配置基準
執行:都道府県
ローカル:地方公共団体の法
条例内容の平準化
法律規定条例化ないし委任条例化
規範の具体化:公衆浴場規制(配置基準)
執行細目の規定:行政不服審査(手数料)
自主条例の平準化
模範条例(モデル条例):地方税の賦課徴収
並行法律:個人情報保護、情報公開、行政手続
並行条例:公安
/icons/水平線.icon
まとめ
残された課題
1.公的部門の十分性認定
行政機関個人情報保護法等の改正の必要
…特に監督機関
2.個人情報保護委員会の独立性と実効性
調査権限の委任の規律の見直し
3.条例2000個問題
条例内容の平準化(特に監督機関)
地域の自主性の確保