執筆の背景
本記事は、筆者が技術士試験(情報工学部門)の受験のため、情報技術に関連する法律等の知識習得を目的に作成する。今年(2020年)は、個人情報保護法の改正、リクナビ事件(2019年)があり、試験の題材とされる可能性が高いと考えた。
Googleで「個人情報保護法 改正 ポイント」で検索すれば情報は無数に見つけられるのだが、2度の改正を経ていることから、いつ・どの部分が改正されたのか曖昧な情報が多く要領を得なかった。
そこで極力法律自体や官公庁等の信頼のおける一次データをもとに、時系列の変遷をまとめることにした。
内容
日本の個人情報保護法の成立の経緯と、その後の個人情報保護法の改正点をまとめる。
記載事項については参考文献のURLを記していく。
令和2年度(2020年)改正の内容については以下を参照。
年表
| 年月 | できごと |
|---|---|
| 1980年 | OECDにて「 プライバシー保護と個人データの国際流通についてのガイドライン 」が採択される。 |
| 1988年 | 「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」制定。 |
| 1989年 | 通商産業省(現・経済産業省)「民間部門における電子計算機処理に係る個人情報の保護に関するガイドライン」 |
| 1990年 | 神奈川県が全国初の個人情報保護条例を制定。 |
| 1995年 | EU指令 「個人データの取扱いに係る個人の保護及び当該データの自由な移動に関する欧州議会及び理事会の指令」 |
| 1997年 | 通商産業省(現・経済産業省)「個人情報保護に関するガイドライン([1])」を改定。 |
| 1998年3月 | 住基ネットの構築を目的とする「住民基本台帳法の一部を改正する法律案」(改正住民基本台帳法)が国会に提出される。 |
| 1998年4月 | 日本情報経済社会推進協会(JIPDEC・総務省・経済産業省の関連法人) プライバシーマーク認定開始 |
| 1999年 | JIS Q 15001(個人情報保護マネジメントシステム ― 要求事項)制定 |
| 1999年6月 | 改正住民基本台帳法が成立。 |
| 1999年 | 京都府宇治市住民基本台帳データ漏えい事件。裁判の結果、被害者に対し1万円の損害賠償。 |
| 2001,2002年 | 個人情報保護に関する五法案が国会に提出。マスメディアにより「メディア規制法」との批判を浴びて廃案になる。 |
| 2002年 | 住基ネット稼働。 |
| 2003年 | 修正された個人情報保護関連5法案が国会提出、 個人情報保護法関連五法が成立 |
| 2004年 | 「個人情報の保護に関する基本方針」が閣議決定。 |
| 2004年 | 社会保険庁の職員が私的に未納情報等を閲覧。 |
| 2005年 | 個人情報保護法が全面施行。 |
| 2005年 | みちのく銀行が約127万人分の個人情報を紛失。金融庁が個人情報保護法に基づく初の改善勧告。 |
| 2008,2009年 | 「個人情報の保護に関する基本方針」一部改正 |
| 2013年5月 | マイナンバー関連4法案が成立 |
| 2013年6月 | JR東日本がSuicaの利用履歴データを社外提供していたことが発覚。 |
| 2013年6月 | 世界最先端 IT 国家創造宣言 |
| 2014年 | 「パーソナルデータの利活用に関する制度改正大綱」 が公開 |
| 2014年 | ベネッセが最大約2070万件の個人情報を漏洩。 |
| 2015年 | 日本年金機構がサイバー攻撃により約127万件の個人情報を漏洩。 |
| 2015年 | 個人情報保護法改正(2015年) |
| 2016年 | EU一般データ保護規則(GDPR) |
| 2019年 | EUが日本を十分性認定。 |
| 2019年 | リクナビが独自に算出した内定辞退率を企業に提供していたことが発覚。個人情報保護委員会が是正勧告。 |
| 2020年 | 個人情報保護法改正(2020年) |
不明点:
*1: 1989年制定のガイドラインを指していると思われるが明確に示した参考文献は1個しか見つからない。
*2: プライバシーマーク制度はJIS Q 15001に準拠することが必要条件(十分条件ではない)なのだが、なぜプライバシーマーク制度が先行しているのか?
個人情報保護法制定の経緯
個人情報保護法の制定の経緯は、1980年まで遡る。
1980年、OECD(経済協力開発機構)にて、「プライバシー保護と個人データの国際流通についてのガイドライン」が採択される。2003年に制定される個人情報保護法は概ねこの内容に沿っていると言ってよい。
しかし、ガイドラインの採択から法律制定までは20年以上を要している。この間に何があったのか?
まず、1988年に「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」が成立する。これは名前の通り行政機関に対し個人情報の取り扱いについて定めたもので、民間を対象としたものではなかった。
その翌年、1989年には当時の通商産業省(現・経済産業省)が「民間部門における電子計算機処理に係る個人情報の保護に関するガイドライン」を制定したが、これも罰則等はなく強制力のあるものではなかった。
1995年、EUは「個人データの取扱いに係る個人の保護及び当該データの自由な移動に関する欧州議会及び理事会の指令(個人データ保護指令)」を採択。個人データ保護指令を満たしていない第三国への個人データの移転が禁止され、日本を含む各国で個人情報保護の法制化が検討され始める。
日本で個人情報保護法制の機運が高まったのは、1999年の 住民基本台帳法の改正である。住基ネットの構築を目的に改正された本法には以下の条文が附則されている。
この法律の施行に当たっては、政府は、個人情報の保護に万全を期するため、速やかに、所要の措置を講ずるものとする。
当時の小渕総理は、同法の審議にて
「『所要の措置』とは、民間部門をも対象とした個人情報保護に関する法整備を含めたシステムを速やかに整えることなどを示すものと認識しております。」
と答弁。
その後個人情報保護5法案は一度は廃案となるものの2003年に成立。
個人情報保護5法とは以下の5法を指す。個人情報保護法以外は行政機関を対象としたもの。
- 個人情報の保護に関する法律(いわゆる個人情報保護法)
- 行政機関の保有する個人情報の保護に関する法律
1988年の「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」を全部改正したもの。 - 独立行政法人等の保有する個人情報の保護に関する法律
- 情報公開・個人情報保護審査会設置法
- 行政機関の保有する個人情報の保護に関する法律等の施行に伴う関係法律の整備等に関する法律
個人情報保護法改正(2015年)
経緯
2015年の個人情報保護法改正の主な目的は、「パーソナルデータ」の利活用の促進である。
2013年が改正の大きな契機になったといえる。
まず5月に経済産業省が「パーソナルデータワーキンググループ」を、6月に総務省が「パーソナルデータの利用・流通に関する研究会」を発足している。同5月にはマイナンバー関連4法案が成立。また6/14には「世界最先端IT国家創造宣言」が閣議決定され、パーソナルデータの利活用のルールを検討する検討組織の設置が決定されている。さらに6月末からJR東日本からSuicaの利用履歴を販売していたことがネット上で問題とされた。
内容
個人情報の定義
2003年制定時の「氏名、生年月日、その他の記述等により、特定の個人を識別できるもの」という個人情報の定義は変更されていない。個人識別符号の定義が追加され、DNA、指紋などの生体情報から生成したコード、免許書番号、マイナンバーなどの公的な番号が個人情報となることが明記された。
匿名加工情報
特定の個人を識別することができないよう加工した情報であり、第三者提供・目的外利用の本人同意が不要である、と明文化された。
また、これを扱う個人情報取扱事業者、匿名加工情報取扱事業者の義務が定められた。
利用目的制限の緩和
「相当の」が削除された。
個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と 相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない。
要配慮個人情報の取得制限
人種、病歴などの差別の要因となる個人情報の取得は、本人の同意を得なければ不可となった。
第三者提供時のルール
提供した第三者の記録などが義務付けられる。
個人情報データベース提供罪
個人情報を名簿屋などに売る行為に罰則を定めた。(1年以下の懲役または50万円以下の罰金)
オプトアウト規定
オプトアウトを実施する場合は個人情報保護委員会に届け出が必要となった。
小規模事業者の適用除外撤廃
以前は対象でなかった5000人以下の個人情報を扱う事業者も対象となった。
個人情報保護委員会の設置
当初各省庁に委ねられていた事業者の監督権限を集約した。
その他
- 不要となった個人情報を早めに削除する努力義務
- グローバル化への対応
- 開示等請求権(開示などの権利を裁判上の権利として位置づけ)
- 3年ごとの見直しを行うことが定められた
参考文献
-
個人情報保護法の過去・現在・未来
https://www.ppc.go.jp/files/pdf/personal_280229sympo_lecture_shimpo.pdf -
個人情報保護法制定までの経緯、論点、展望
https://www.lec-jp.com/h-bunka/item/v242/pdf/200408_08.pdf -
JIPDEC:制度が誕生した背景~国内での取り組み~
https://privacymark.jp/wakaru/kouza/theme2_02.html -
JIPDEC: 【EU】世界的に個人情報保護法を整備させたEUデータ保護指令
https://privacymark.jp/wakaru/kouza/theme5_03.html -
住民台帳の歴史的考察とその変化法則
https://www.jstage.jst.go.jp/article/jasi/17/0/17_0_127/_pdf/-char/ja -
衆議院:住民基本台帳法の一部を改正する法律案
http://www.shugiin.go.jp/internet/itdb_annai.nsf/html/statics/ugoki/h11ugoki/145/f145chig.htm -
宇治市住民基本台帳データ大量漏洩事件控訴審判決
https://www.law.co.jp/cases/uji2.htm -
不祥事続発の日本年金機構。その「母体組織」の驚きのルール~「文字入力は一日平均5000字まで」「50分働き15分休憩」
https://gendai.ismedia.jp/articles/premium01/48610 -
金融庁、個人情報紛失でみちのく銀行に是正勧告
http://www.security-next.com/001802 -
JR東日本:Suicaに関するデータの社外への提供について
https://www.jreast.co.jp/information/aas/20151126_torimatome.pdf -
パーソナルデータの利活用に関する制度改正大綱
https://www.kantei.go.jp/jp/singi/it2/info/h260625_siryou2.pdf -
神奈川県:個人情報保護条例
https://www.pref.kanagawa.jp/documents/8065/jyourei.pdf -
個人情報保護基本法制に関するこれまでの経緯
http://www.kantei.go.jp/jp/it/privacy/houseika/hourituan/kentou.html -
OECD8原則と個人情報取扱事業者の義務規定の対応
http://www.kantei.go.jp/jp/it/privacy/houseika/hourituan/pdfs/03.pdf -
日EU間の相互の円滑な個人データ移転を図る枠組み発効
https://www.ppc.go.jp/enforcement/cooperation/cooperation/310123/ -
個人情報の保護に関する基本方針
https://www.ppc.go.jp/files/pdf/300612_personal_basicpolicy.pdf -
行政機関の保有する個人情報の保護に関する法律
https://elaws.e-gov.go.jp/search/elawsSearch/elaws_search/lsg0500/detail?lawId=415AC0000000058 -
世界最先端IT国家創造宣言
http://www.kantei.go.jp/jp/singi/it2/pdf/it_kokkasouzousengen.pdf -
パーソナルデータの利活用に関する制度改正大綱について
https://www.soumu.go.jp/main_content/000305738.pdf -
個人情報保護法の基本
https://www.ppc.go.jp/files/pdf/28_setsumeikai_siryou.pdf -
個人情報の保護に関する法律等の一部を改正する法律(概要)
https://www.ppc.go.jp/files/pdf/200612_gaiyou.pdf -
個人情報保護法案って何だ?
http://www7a.biglobe.ne.jp/~scoorap/kojinjouhoutop.html#huusatu