いよいよ最終回となりました。連載が５月に開始して８か月、その間に重要な法令が改正、もしくは改正案が出されています。注目すべきは9月30日の「個人情報保護法ガイドライン（案）」で、経済産業省ガイドラインの後継では？と言われています。個人情報保護監査研究会でも今後の研究テーマとして取り上げていく予定です。

• 5月27日「行政機関の保有する個人情報の保護に関する法律」改正
  • http://law.e-gov.go.jp/htmldata/H15/H15HO058.html　
    
  • 「独立行政法人等の保有する個人情報の保護に関する法律」改正
    • http://law.e-gov.go.jp/htmldata/H15/H15HO059.html
  • 「個人情報の保護に関する法律」改正　・・・・（行政機関関連法改定に伴う改正）
    • http://law.e-gov.go.jp/htmldata/H15/H15HO057.html
• 7月15日「個人情報の保護に関する法律施行令（改正案）」公表
  • 「個人情報の保護に関する法律施行規則（改正案）」　
    • http://www.ppc.go.jp/enforcement/minutes/2016/201600715/
• 8月 8日 　経済産業省「匿名加工情報作成マニュアル」公表
  • http://www.meti.go.jp/press/2016/08/20160808002/20160808002.html
    
• 9月30日「個人情報保護法ガイドライン（案）」公表
  • http://www.ppc.go.jp/personal/preparation/

最終号の今回は、「第６章　雑則」と、「第7章　罰則」を解説します。この原稿を書いているときは未施行ですが、施行規則（改正案）が決まればいっきに施行されるので注意が必要です。

 

第6章　雑則　　（旧第５章）　　※法の改正点は赤字で表記しています。アラビア数字は全面施行後の条項番号です。

第75条（適用範囲）　（新設）　 第十五条、第十六条、第十八条（第二項を除く。）、第19条から第25条まで、第27条から第36条まで、第41条、第42条第一項、第43条及び次条の規定は、国内にある者に対する物品又は役務の提供に関連してその者を本人とする個人情報を取得した個人情報取扱事業者が、外国において当該個人情報又は当該個人情報を用いて作成した匿名加工情報を取り扱う場合についても、適用する。

• 日本国内で取得した個人情報を、外国において取り扱う場合にも、個人情報取扱事業者の義務等（以下条項参照のこと）の適用範囲であることを規定しています。
  1. 第十五条（利用目的の特定）
  2. 第十六条（利用目的による制限）　
  3. 第十八条（取得に際しての利用目的の通知等）第二項（人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。）を除く
  4. 第十九条　（データ内容の正確性の確保等）
  5. 第二十条　（安全管理措置）
  6. 第二十一条（従業者の監督）
  7. 第二十二条（委託先の監督）
  8. 第二十三条（第三者提供の制限）　
  9. 第２４条　（外国にある第三者への提供の制限）　
  10. 第２５条　（第三者提供に係る記録の作成等）
  11. 第２７条　（保有個人データに関する事項の公表等）
  12. 第２８条　（開示）　
  13. 第２９条　（訂正等）　
  14. 第３０条　（利用停止等）
  15. 第３１条　（理由の説明）　
  16. 第３２条　（開示等の請求等に応じる手続）　
  17. 第３３条　（手数料）
  18. 第３４条　（事前の請求）
  19. 第３５条　（個人情報取扱事業者による苦情の処理）
  20. 第３６条　（匿名加工情報の作成等）
  21. 第４１条　（指導及び助言）　
  22. 第４２条第一項（勧告）　
  23. 第４３条　（個人情報保護委員会の権限の行使の制限）
  24. 第７６条　（適用除外）

第76条（適用除外）　　　（旧第五十条） 個人情報取扱事業者等のうち次の各号に掲げる者については、その個人情報等を取り扱う目的の全部又は一部がそれぞれ当該各号に規定する目的であるときは、第四章の規定は、適用しない。 　 一 放送機関、新聞社、通信社その他の報道機関（報道を業として行う個人を含む。）報道の用に供する目的   二 著述を業として行う者　著述の用に供する目的   三 大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者　学術研究の用に供する目的   四 宗教団体　宗教活動（これに付随する活動を含む。）の用に供する目的 2 前項第一号に規定する「報道」とは、不特定かつ多数の者に対して客観的事実を事実として知らせること（これに基づいて意見又は見解を述べることを含む。）をいう。 3 第一項各号に掲げる個人情報取扱事業者等は、個人データ又は匿名加工情報の安全管理のために必要かつ適切な措置、個人情報等の取扱いに関する苦情の処理その他の個人情報等の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。

• ※ 個人情報保護法が制定された2003年5月30日法律第57号からある条項です。前項に記載した、第四章（個人情報取扱事業者の義務等）の規定はすべて適用除外となっています。
• ※ ただし、３項に規定するように、安全管理措置、苦情の処理その他の個人情報等の適正な取扱いを確保するために必要な措置、当該措置の内容の公表について、努力義務が課せられています。法律に努力義務があるのは変だと思いますが、もとからこのように規定されています。

第77条（地方公共団体が処理する事務）　　　（旧第五十一条）　 この法律に規定する委員会の権限及び第44条第一項又は第四項の規定により事業所管大臣又は金融庁長官に委任された権限に属する事務は、政令で定めるところにより、地方公共団体の長その他の執行機関が行うこととすることができる。

• この規定により、第40条（報告及び立ち入り検査）　に規定する、事業者等への報告の求めや、立ち入り検査は、地方自治体の長（実際は自治体職員等）が行うとことになる予定です。

第78条（外国執行当局への情報提供）　　　（新設） 委員会は、この法律に相当する外国の法令を執行する外国の当局（以下この条において「外国執行当局」という。）に対し、その職務（この法律に規定する委員会の職務に相当するものに限る。次項において同じ。）の遂行に資すると認める情報の提供を行うことができる。 2 前項の規定による情報の提供については、当該情報が当該外国執行当局の職務の遂行以外に使用されず、かつ、次項の規定による同意がなければ外国の刑事事件の捜査（その対象たる犯罪事実が特定された後のものに限る。）又は審判（同項において「捜査等」という。）に使用されないよう適切な措置がとられなければならない。 3 委員会は、外国執行当局からの要請があったときは、次の各号のいずれかに該当する場合を除き、第一項の規定により提供した情報を当該要請に係る外国の刑事事件の捜査等に使用することについて同意をすることができる。 　 一 当該要請に係る刑事事件の捜査等の対象とされている犯罪が政治犯罪であるとき、又は当該要請が政治犯罪について捜査等を行う目的で行われたものと認められるとき。   二 当該要請に係る刑事事件の捜査等の対象とされている犯罪に係る行為が日本国内において行われたとした場合において、その行為が日本国の法令によれば罪に当たるものでないとき。   三 日本国が行う同種の要請に応ずる旨の要請国の保証がないとき。 4 委員会は、前項の同意をする場合においては、あらかじめ、同項第一号及び第二号に該当しないことについて法務大臣の確認を、同項第三号に該当しないことについて外務大臣の確認を、それぞれ受けなければならない。

• 第２項に、外国に提供される情報について委員会の同意を規定していますが、本人の同意を必要とするか不要とするかには言及していません。また、政治犯罪であるとき、日本国の法令によれば罪にあたらない場合には委員会は同意をしない、と人道的な見地としては消極的な言い回しになっています。この条項を施行するには、詳細な規則が必要となると思われます。

第79条（国会に対する報告）　　（新設）　 委員会は、毎年、内閣総理大臣を経由して国会に対し所掌の処理状況を報告するとともに、その概要を公表しなければならない。

• 新個人情報保護法の施行が国民に多大な影響を及ぼすことから、今後の見直しに帰するため、国会へのインプットを行うことが示されました。

第80条（連絡及び協力）　　　（旧第五十四条） 内閣総理大臣及びこの法律の施行に関係する行政機関（法律の規定に基づき内閣に置かれる機関（内閣府を除く。）及び内閣の所轄の下に置かれる機関、内閣府、宮内庁、内閣府設置法第四十九条第一項及び第二項に規定する機関並びに国家行政組織法（昭和二十三年法律第百二十号）第三条第二項に規定する機関をいう。）の長は、相互に緊密に連絡し、及び協力しなければならない。

• 第77条に地方自治体への権限委任を規定しましたので、国が縦割り行政とならないよう釘をさしています。

第７章　罰則　　（旧第６章）　

罰則については、改定の有無にかかわらず全文掲載します。
番号利用法第48条では、個人番号利用事務等に従事していた者が、正当な理由がないのに特定個人情報ファイルを提供した場合、四年以下の懲役若しくは二百万円以下の罰金に科せられます。また、番号利用法第51条では、不正な手段で個人番号を取得した者に対し、三年以下の懲役又は百五十万円以下の罰金に処するとし、誰でもがその対象となっています。
それに比べ、新個人情報保護法において、個人情報取扱事業者の科せられる罰則は、第83条の一年以下の懲役又は五十万円以下の罰金が最高となっています。

第82条（秘密保持義務）　　　　（新設）　 第72条の規定に違反して秘密を漏らし、又は盗用した者は、二年以下の懲役又は百万円以下の罰金に処する。

• 第72条：個人情報保護委員会の、委員長、委員、専門委員及び事務局の職員が対象。

第83条　　　　　　　　　　　　（新設）　 個人情報取扱事業者（その者が法人（法人でない団体で代表者又は管理人の定めのあるものを含む。第87条第一項において同じ。）である場合にあっては、その役員、代表者又は管理人）若しくはその従業者又はこれらであった者が、その業務に関して取り扱った個人情報データベース等（その全部又は一部を複製し、又は加工したものを含む。）を自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、一年以下の懲役又は五十万円以下の罰金に処する。

• 個人情報取扱事業者の内部の者による、個人情報データベースの第三者提供、盗用が対象。
  “不正な利益を図る目的で”なければいいのかと疑問が残ります。

第84条　　　　　　　　　　　　（旧第五十六条） 第42条第二項又は第三項の規定による命令に違反した者は、六月以下の懲役又は三十万円以下の罰金に処する。

• 第42条：個人情報取扱事業者等が、個人情報取扱事業者等の義務を怠り、個人情報保護委員会の勧告に従わなかったとき、または命令に従わなかったときに、その者に処せられます。

第85条　　　　　　　　　　　　（旧第五十七条） 次の各号のいずれかに該当する者は、三十万円以下の罰金に処する。 　 一 第40条第一項の規定による報告若しくは資料の提出をせず、若しくは虚偽の報告をし、若しくは虚偽の資料を提出し、又は当該職員の質問に対して答弁をせず、若しくは虚偽の答弁をし、若しくは検査を拒み、妨げ、若しくは忌避した者   二 第56条の規定による報告をせず、又は虚偽の報告をした者

• 第40条：個人情報取扱事業者等が、個人情報保護委員会の権限に基づく、資料の提出や立ち入り検査に応じない、もしくは虚偽の報告をした場合、その者に対して処せられます。
• 第56条：認定個人情報保護団体が、個人情報保護委員会への報告をしなかった場合、その者に対して処せられます。

第86条　　　　　　　　　　　　（新設） 第82条及び第83条の規定は、日本国外においてこれらの条の罪を犯した者にも適用する。

• 第82条：個人情報保護委員会の、委員長、委員、専門委員及び事務局の秘密保持義務。
• 第83条：個人情報取扱事業者の内部の者による、個人情報データベースの第三者提供、盗用。

第87条　　　　　　　　　　　　（旧第五十八条） 法人の代表者又は法人若しくは人の代理人、使用人その他の従業者が、その法人又は人の業務に関して、第83条から第85条までの違反行為をしたときは、行為者を罰するほか、その法人又は人に対しても、各本条の罰金刑を科する。 2 前項の規定による情報の提供については、当該情報が当該外国執行当局の職務の遂行以外に使用されず、かつ、次項の規定による同意がなければ外国の刑事事件の捜査（その対象たる犯罪事実が特定された後のものに限る。）又は審判（同項において「捜査等」という。）に使用されないよう適切な措置がとられなければならない。

• 第84条：個人情報取扱事業者等が、個人情報保護委員会の勧告に従わなかったとき。
• 第85条：事業者等や認定個人情報保護団体が、報告を怠るまたは虚偽の報告をしたとき。

第88条　　　　　　　　　　　　（旧第五十九条） 次の各号のいずれかに該当する者は、十万円以下の過料に処する。 　 一 第26条第二項又は第55条の規定に違反した者   二 第50条第一項の規定による届出をせず、又は虚偽の届出をした者

• 第26条：個人情報取扱事業者が、第三者提供を受ける際の確認等を怠ったりした場合。 　
  施行規則（案）第十五条３項では、記録の作成及び保存を規定しています。
• ※ 第55条：認定個人情報保護団体でない者が、その名称や紛らわしい名称を用いた場合。

最後に、附則　第一条（施行期日）を掲載します。

附則　　（2015年9月9日法律第65号）　抄 第一条（施行期日） この法律は、公布の日から起算して二年を超えない範囲内において政令で定める日から施行する。ただし、次の各号に掲げる規定は、当該各号に定める日から施行する。 　 一 附則第7条第二項、第十条及び第十二条の規定　公布の日   二 第一条及び第四条並びに附則第５条、第六条、第七条第一項及び第三項、第八条、第九条、第十三条、第二十二条、第二十五条（第28条）から第二十七条（第30条）まで、第三十条（第33条）、第三十二条（第40条）、第三十四条（第42条）並びに第三十七条（第47条）の規定　平成二十八年一月一日   三 （空白）   四 次条の規定　公布の日から起算して一年六月を超えない範囲内において政令で定める日   五 第三条及び第六条（番号利用法第19条第一号及び別表第一の改正規定を除く。）並びに附則第24条及び第36条の規定　番号利用法附則第一条第五号に掲げる規定の施行の日

 

長期に渡り、お読みいただきありがとうございました。
2017年には、あらたな研究会報告を予定しています。ご期待ください。

SAAJ「ＰＭＳハンドブック」ご紹介サイト：http://www.saaj.or.jp/shibu/kojin.html　

認定NPO法人　日本システム監査人協会　個人情報保護監査研究会

認定NPO法人　日本システム監査人協会　個人情報保護監査研究会