会員番号 2589 林昭夫(個人情報保護監査研究会) |
|
|
今月号では「第四章 第三節 監督」および、「第四節 民間団体による個人情報の保護の推進」を解説します。この項では、番号利用法から新個人情報保護法に移行した条項のうち、移行時に追加された内容を赤字で表記します。
第40条~第42条、および第47条は、2016年1月1日から施行されています。
また、2016年7月15日に公表された「個人情報の保護に関する法律施行規則案(以下施行規則(案)と呼ぶ)」については、青字で表記しています。
|
第四章 個人情報取扱事業者の義務等 (続き) ※法の改正点は赤字で表記しています。
第三節 監督
第40条(報告及び立ち入り検査) (旧三十二条)
個人情報保護委員会は、前二節及びこの節の規定の施行に必要な限度において、個人情報取扱事業者又は匿名加工情報取扱事業者(以下「個人情報取扱事業者等」という。)に対し、個人情報又は匿名加工情報(以下「個人情報等」という。)の取扱いに関し、必要な報告若しくは資料の提出を求め、又はその職員に、当該個人情報取扱事業者等の事務所その他必要な場所に立ち入らせ、個人情報等の取扱いに関し質問させ、若しくは帳簿書類その他の物件を検査させる。 |
2 |
前項の規定により立入検査をする職員は、その身分を示す証明書を携帯し、関係人の請求があったときは、これを提示しなければならない。 |
3 |
第一項の規定による立入検査の権限は、犯罪捜査のために認められたものと解釈してはならない。 |
|
- 第一節(個人情報取扱事業者の義務)、第二節(匿名加工情報取扱事業者等の義務)を含め、その取扱いに関して、個人情報保護委員会に監督権限があることを規定しています。
- 第一項により、旧三十二条に規定されていた主務大臣における“報告の徴収”に加えて、立ち入り検査の権限が個人情報保護委員会に与えられました。
- この節で記述されることは、罰則の対象となります。
- 第40条は、2016年1月1日から施行されています。
第41条(指導及び助言) (旧三十三条)
個人情報保護委員会は、前二節の規定の施行に必要な限度において、個人情報取扱事業者等に対し、個人情報等の取扱いに関し必要な指導及び助言をすることができる。 |
|
- 旧三十三条にはなかった「指導」の権限が個人情報保護委員会において新たに加えられました。
- 第41条は、施行期日が明確ではありませんが、2016年1月1日から施行されていると思われます。
第42条(勧告及び命令) (旧三十四条)
個人情報保護委員会は、個人情報取扱事業者が第十六条から第十八条まで、第二十条から第二十二条まで、第二十三条(第四項を除く。)、第24条、第25条、第26条(第二項を除く。)、第27条、第28条(第一項を除く。)、第29条第二項若しくは第三項、第30条第二項、第四項若しくは第五項、第33条第二項若しくは第36条(第六項を除く。)の規定に違反した場合又は匿名加工情報取扱事業者が第37条若しくは第38条の規定に違反した場合において個人の権利利益を保護するため必要があると認めるときは、当該個人情報取扱事業者等に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべき旨を勧告することができる。 |
2 |
個人情報保護委員会は、前項の規定による勧告を受けた個人情報取扱事業者等が正当な理由がなくてその勧告に係る措置をとらなかった場合において個人の重大な権利利益の侵害が切迫していると認めるときは、当該個人情報取扱事業者等に対し、その勧告に係る措置をとるべきことを命ずることができる。 |
3 |
個人情報保護委員会は、前二項の規定にかかわらず、個人情報取扱事業者が第十六条、第十七条、第二十条から第二十二条まで又は第二十三条第一項、第24条若しくは第36条第一項、第二項若しくは第五項の規定に違反した場合又は匿名加工情報取扱事業者が第38条の規定に違反した場合において個人の重大な権利利益を害する事実があるため緊急に措置をとる必要があると認めるときは、当該個人情報取扱事業者等に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべきことを命ずることができる。 |
|
- 第1項で、違反行為の中止、違反是正措置を取るべき旨の勧告の対象となるのは、以下のとおりです。
- 第十七条(適正な取得)
- 第十八条(取得に際しての利用目的の通知等)
- 第二十条(安全管理措置)
- 第二十一条(従業者の監督)、第二十二条(委託先の監督)
- 第二十三条(第三者提供の制限)
- 第24条(新設:外国にある第三者への提供の制限)
- 第25条(新設:第三者提供に係る記録の作成等)
- 第26条(新設:第三者提供を受ける際の確認等)
- 第27条(保有個人データに関する事項の公表等)
- 第28条(開示)、第29条(訂正等)、第30条(利用停止等)、第33条(手数料)
- 第37条(匿名加工情報の提供)
- 第38条(識別行為の禁止)
- 通常、是正命令は勧告に従わない場合に出されます。しかし、勧告を経ずに是正命令を出すことができる場合として、個人の重大な権利利益を害する事実があるため緊急に措置をとる必要がある場合を想定して、第3項に以下を規定しています。
- 第24条(外国にある第三者への提供の制限(適切な外国への提供、本人の同意取得)に違反、若しくは、
- 第36条(匿名加工情報の作成等)第一項(規則に従った加工)、第二項(安全管理)若しくは第五項(照合禁止)に違反した場合、又は
- 第38条(識別行為の禁止)の規定に違反した場合
- 第42条は、2016年1月1日から施行されています。
第43条(個人情報保護委員会の権限の行使の制限) (旧三十五条)
個人情報保護委員会は、前三条の規定により個人情報取扱事業者等に対し報告若しくは資料の提出の要求、立入検査、指導、助言、勧告又は命令を行うに当たっては、表現の自由、学問の自由、信教の自由及び政治活動の自由を妨げてはならない。 |
2 |
前項の規定の趣旨に照らし、個人情報保護委員会は、個人情報取扱事業者等が第76条第一項各号に掲げる者(それぞれ当該各号に定める目的で個人情報等を取り扱う場合に限る。)に対して個人情報等を提供する行為については、その権限を行使しないものとする。 |
|
- 第43条第一項では、個人情報保護委員会が権限を行使する場合に、事業者の表現、学問、信教、政治の各分野に対する自由を妨げないことを規定していますが、これは、憲法第21条の、表現の自由、検閲の禁止に基づく概念です。
- 第二項の規定は、第76条(適用除外)第一項各号に掲げる者(報道、著述、大学その他の研究機関の研究、宗教活動、政治活動の各活動の用に供する目的である場合)には、第4章(個人情報取扱事業者の義務等)の規定は適用されないことに基づいています。
- 第43条は施行期日が附則に記述されていないため、未施行となります。
第44条(権限の委任) (新設)
個人情報保護委員会は、緊急かつ重点的に個人情報等の適正な取扱いの確保を図る必要があることその他の政令で定める事情があるため、個人情報取扱事業者等に対し、第四十二条の規定による勧告又は命令を効果的に行う上で必要があると認めるときは、政令で定めるところにより、第四十条第一項の規定による権限を事業所管大臣に委任することができる。 |
2 |
事業所管大臣は、前項の規定により委任された権限を行使したときは、政令で定めるところにより、その結果について個人情報保護委員会に報告するものとする。 |
3 |
事業所管大臣は、政令で定めるところにより、第一項の規定により委任された権限及び前項の規定による権限について、その全部又は一部を内閣府設置法(平成十一年法律第八十九号)第四十三条の地方支分部局その他の政令で定める部局又は機関の長に委任することができる。 |
4 |
内閣総理大臣は、第一項の規定により委任された権限及び第二項の規定による権限(金融庁の所掌に係るものに限り、政令で定めるものを除く。)を金融庁長官に委任する。 |
5 |
金融庁長官は、政令で定めるところにより、前項の規定により委任された権限について、その一部を証券取引等監視委員会に委任することができる。 |
6 |
金融庁長官は、政令で定めるところにより、第四項の規定により委任された権限(前項の規定により証券取引等監視委員会に委任されたものを除く。)の一部を財務局長又は財務支局長に委任することができる。 |
7 |
証券取引等監視委員会は、政令で定めるところにより、第五項の規定により委任された権限の一部を財務局長又は財務支局長に委任することができる。 |
8 |
前項の規定により財務局長又は財務支局長に委任された権限に係る事務に関しては、証券取引等監視委員会が財務局長又は財務支局長を指揮監督する。 |
9 |
第五項の場合において、証券取引等監視委員会が行う報告又は資料の提出の要求(第七項の規定により財務局長又は財務支局長が行う場合を含む。)についての審査請求は、証券取引等監視委員会に対してのみ行うことができる。 |
|
- 個人情報保護委員会は、必要な報告、若しくは資料の提出を求めることを事業所管大臣に委任することができます。さらに事業所管大臣は、地方支分部局その他の政令で定める部局又は機関の長に委任することができるため、結局、個人情報取扱事業者等は、地方の関連機関に報告することとなるようです。
- 第四項以降、金融庁長官への委任、金融庁長官から証券取引等監視委員会への委任、さらに、財務局長又は財務支局長への委任と金融業界におけるエスカレーションルールが特別に規定されています。
- この条項における「権限の委任」には第41条の「指導及び助言」の権限は含まれていません。
- 第44条は未施行です。
第45条(事業所管大臣の請求) (新設)
事業所管大臣は、個人情報取扱事業者等に前二節の規定に違反する行為があると認めるときその他個人情報取扱事業者等による個人情報等の適正な取扱いを確保するために必要があると認めるときは、個人情報保護委員会に対し、この法律の規定に従い適当な措置をとるべきことを求めることができる。 |
|
- 第44条において、地方の機関や財務支局長が受け付けた、個人情報取扱事業者等からの報告書は、事業所管大臣がそれを判断して、個人情報保護委員会に、“適当な措置を取るべきことを求める”という手続きとなります。
- 第45条は未施行です。
第46条(事業所管大臣) (旧三十六条)
この節の規定における事業所管大臣は、次のとおりとする。 |
|
一 |
個人情報取扱事業者等が行う個人情報等の取扱いのうち雇用管理に関するものについては、厚生労働大臣(船員の雇用管理に関するものについては、国土交通大臣)及び当該個人情報取扱事業者が行う事業を所管する大臣又は国家公安委員会(次号において「大臣等」という。) |
|
二 |
個人情報取扱事業者等が行う個人情報等の取扱いのうち前号に掲げるもの以外のものについては、当該個人情報取扱事業者が行う事業を所管する大臣等 |
|
|
第四節 民間団体による個人情報の保護の推進
第47条(認定) (旧三十七条)
個人情報取扱事業者等の個人情報者等の適正な取扱いの確保を目的として次に掲げる業務を行おうとする法人(法人でない団体で代表者又は管理人の定めのあるものを含む。次条第三号ロにおいて同じ。)は、個人情報保護委員会の認定を受けることができる。 |
|
一 |
業務の対象となる個人情報取扱事業者等(以下「対象事業者」という。)の個人情報等の取扱いに関する第52条の規定による苦情の処理 |
|
二 |
個人情報等の適正な取扱いの確保に寄与する事項についての対象事業者に対する情報の提供 |
|
三 |
前二号に掲げるもののほか、対象事業者の個人情報等の適正な取扱いの確保に関し必要な業務 |
2 |
前項の認定を受けようとする者は、政令で定めるところにより、個人情報保護委員会に申請しなければならない。 |
3 |
個人情報保護委員会は、第一項の認定をしたときは、その旨を公示しなければならない。 |
|
- 認定個人情報保護団体の認可主体は、主務大臣から個人情報保護委員会に変更されました。
- 上記以外に「認定個人情報保護団体」に、個人情報取扱事業者等として匿名加工情報取扱事業者が含まれることになったことがポイントです。
- 第47条は、2016年1月1日から施行されています。
- 第48条~第52条までは、大きな改定はありませんので省略します。
第53条(個人情報保護指針) (旧四十三条)
認定個人情報保護団体は、対象事業者の個人情報等の適正な取扱いの確保のために、個人情報に係る利用目的の特定、安全管理のための措置、開示等の請求等に応じる手続その他の事項又は匿名加工情報に係る作成の方法、その情報の安全管理のための措置その他の事項に関し、消費者の意見を代表する者その他の関係者の意見を聴いてこの法律の規定の趣旨に沿った指針(以下「個人情報保護指針」という。)を作成するよう努めなければならない。 |
2 |
認定個人情報保護団体は、前項の規定により個人情報保護指針を作成したときは、個人情報保護委員会規則で定めるところにより、遅滞なく、当該個人情報保護指針を個人情報保護委員会に届け出なければならない。これを変更したときも、同様とする。 |
3 |
個人情報保護委員会は、前項の規定による個人情報保護指針の届出があったときは、個人情報保護委員会規則で定めるところにより、当該個人情報保護指針を公表しなければならない。 |
|
- 法改正により、認定個人情報保護団体の「個人情報保護指針」作成にあたって、法律の規定の趣旨に沿った指針を見直すこととなりました。
- 個人情報保護委員会は、認定個人情報保護団体から届出のあった個人情報保護指針を公表します。
- 第53条は未施行です。
★2016年7月15日 個人情報保護委員会規則(案) |
第二十四条
法第53条第二項の規定による届出は、別記様式第三による届出書によるものとする。 |
|
- 施行規則(案)は、青字で記載します。
- 施行規則案では、認定個人情報保護団体が作成する「別記様式第三による届出書」には以下を記載することとなっています。
- 届け出をする認定個人情報保護団体名称等、
- 届け出る個人情報保護指針にかかわる事項、
- 個人情報保護委員会による個人情報保護指針の公表に関する希望の有無等、
- 添付書類(個人情報保護指針(必須)その他)
★2016年7月15日 個人情報保護委員会規則(案) |
第二十五条
法第53条第三項の規定による公表は、インターネットの利用その他の適切な方法により行うものとする。 |
|
|
第53条(個人情報保護指針)つづき
4 |
認定個人情報保護団体は、前項の規定により個人情報保護指針が公表されたときは、対象事業者に対し、当該個人情報保護指針を遵守させるため必要な指導、勧告その他の措置をとらなければならない。 |
|
|
- 旧四十三条の“努力義務”から、改定された第53条では“義務”へと変わりました。
★2016年7月15日 個人情報保護委員会規則(案) |
第二十六条
認定個人情報保護団体は、法第53条第三項の規定による公表がされた後、遅滞なく、インターネットの利用その他の適切な方法により、同条第二項の規定により届け出た個人情報保護指針を公表するものとする。 |
|
- このように「新個人情報保護法」の改定を順次見ていくと、民間事業者に対してできる限り解りやすくと配慮されていることがわかります。
|
第54条(目的外利用の禁止)、第55条(名称の使用制限)、第56条(報告の徴収)、第57条(命令) および、第58条(認定の取消し)は、主体が個人情報保護委員会に改定された以外の改定はありませんので省略します。
|
|
|
SAAJ「PMSハンドブック」ご紹介サイト:http://www.saaj.or.jp/shibu/kojin.html
認定NPO法人 日本システム監査人協会 個人情報保護監査研究会
|