<5 個人情報の適正な取扱い>

回答

Q5-1
行政機関による適法かつ適正な個人情報の取得に関して、保護法に規定がないのはなぜですか。

A

 行政機関が、法令を遵守して適法かつ適正に個人情報の取得に当たる必要があることは、日本国憲法の下で当然の要請です。また、行政機関の職員についても、国家公務員法の法令遵守義務等により規律がされています。改めて保護法で規定を置いていないのは、このように既に法規範として存在しているからです。行政機関が無謬であることを前提としているものではありません。
 なお、仮に行政機関が個人情報を不適法に取得した場合、その個人情報は、保護法第36条に規定している利用停止請求権の対象となります。
 独立行政法人等とその職員については、必ずしも行政機関と同様の規範があるわけではありませんので、独法等保護法第5条で個人情報の適正な取得について規定しています。

ページトップへ戻る

Q5-2
いわゆるセンシティブ情報について、その収集を原則禁止するべきという考えもありますが、保護法がそのような規定を置いていないのはなぜですか。

A

 すべての個人情報は、その利用目的・方法次第で個人の権利利益に深刻な侵害をもたらす可能性があります。何が「センシティブ情報」であるかを、あらかじめ類型的に定義することは困難です。
 例えば、公職選挙法に基づく候補者の立候補の届出に際して本籍地を記入することは、立候補資格の確認のために必要ですが、就職活動の際に戸籍謄(抄)本を提出させることは、就職差別につながるおそれがあるなど、何がセンシティブ情報であるかは、その利用目的・方法で大きく異なります。
 また、仮に、思想・信条といった情報を行政機関が収集することを禁止したら、例えば、読書感想文や作文を募集することも不可能になってしまうおそれがあるなど、非現実的な側面もあります。
 さらに行政機関は、いわゆるセンシティブ情報と呼ばれる情報であっても、犯罪の捜査等の公共の利益のため、収集せざるを得ない場合もあります。
 このように考えると、重要なのは、思想・信条といった個人情報の類型を問わず、あらゆる個人情報について、行政機関による利用目的の達成に必要のない個人情報の保有や、利用目的以外の利用・提供を厳しく制限することであることが分かります。

ページトップへ戻る

Q5-3
行政機関が個人情報を保有するに当たっては、どのような制限がありますか。

A

 保護法第3条第1項においては、行政機関が個人情報を保有するに当たっては、法令の定める所掌事務を遂行するため必要な場合に限り、かつ、その利用目的をできる限り特定しなければならないと定められています。また、同条2項において、行政機関は、特定された利用目的の達成に必要な範囲を超えて、個人情報を保有してはならないと定められています。例えば、行政機関が受給資格の審査のために申請者の個人情報を保有する際に、その受給の要件の中に「性別」が含まれていなければ、「性別」という内容は利用目的の達成に必要とは考えられませんから、保有できません。
 なお、上記のほか、行政機関は法令を遵守して適法かつ適正に個人情報の取得に当たる必要があり、不適法に取得された個人情報は、利用停止請求の対象となります(Q5-1参照)。

ページトップへ戻る

Q5-4
行政機関が個人情報を取得する際、その利用目的を本人に明示しなければならないのはどのような場合ですか。例えば、次のような場合には、本人に対して、利用目的の明示を行う必要がありますか。
  1. 1) 保護法の施行(平成17年4月1日)前から保有していた個人情報を保護法の施行後も引き続き保有する場合
  2. 2) 口頭で本人から個人情報を取得する場合(書面以外での取得)
  3. 3) 第三者から個人情報を取得する場合
  4. 4) 申請書のように、行政機関が書面で取得した個人情報の利用目的が本人にとって明らかである場合

A

 保護法では、行政機関は、自己の個人情報がどのように利用されるか分からないことから生じる個人の不安感に対応するため、本人から直接書面で個人情報を取得する際には、原則として、あらかじめ本人に対して利用目的を明示しなければなりません(第4条)。

  • 1)の場合には、保護法の施行前に個人情報を取得していることから、保護法の施行後に改めて利用目的を明示する必要はありません。
  • 2)の場合には、書面による取得ではないことから、利用目的を明示する必要はありません。
  • 3)の場合には、本人から直接取得するわけではないことから、利用目的を明示する必要はありません。
  • 4)の場合には、本人が利用目的を確認するための措置をあえて講ずる必要性がないと考えられますから、「取得の状況からみて利用目的が明らかであると認められるとき」(第4条第4号)として、利用目的の明示が適用除外される場合に当たります。しかし、例えば、申請書に記載された個人情報を、申請事務の処理だけでなく業務統計の作成にも利用する場合には、通常、申請を行う者が業務統計の作成目的まで認識することは難しいと考えられますから、利用目的を明示することが必要になります。

ページトップへ戻る

Q5-5
本人から直接書面に記録された個人情報を取得する場合に、保護法第4条が規定する本人に対する利用目的の明示は、どのような方法で行えばよいですか。

A

 利用目的を明示する方法については、保護法上、特に規定はありません。例えば、申請書等の様式にあらかじめ記載しておくなどの方法のほか、窓口における掲示や口頭による方法も考えられます。ただし、いずれの方法で行う場合であっても、本人が利用目的を認識することができるよう適切な方法で行うことが必要です。

ページトップへ戻る

Q5-6
行政機関の保有する個人情報について利用目的以外の利用・提供を行うことができるのは、どのような場合ですか。

A

 行政機関は、原則として、利用目的以外の目的のために保有個人情報を利用・提供してはなりません(保護法第8条第1項)。しかし、行政機関の保有する保有個人情報については、個人の権利利益を不当に損なわない範囲で、国民負担の軽減、行政サービスの向上、行政運営の効率化等を図る観点から、他の行政の遂行のために有効利用を図ることも必要です。また、本人の利益や社会公共の利益のために、保有個人情報の利用目的以外に利用・提供することが要請される場合もあります。保護法では、このような場合には、個人の権利利益の保護の必要性と個人情報を利用することの有用性を比較衡量し、例外的に利用目的以外の利用・提供を行うことができることとされています(第8条第2項)。
 保護法上、保有個人情報の利用目的以外の利用・提供が認められているのは、次の4つの場合です。このうち、2)から4)の場合については、本人又は第三者の権利利益を不当に損なうおそれが認められないことが前提となります。

  • 1) 法令に基づく場合(第8条第1項)
  • 2) 本人の同意がある場合又は本人に提供する場合(同条第2項第1号)
  • 3) 行政機関内部で利用する場合又は他の行政機関等へ提供する場合であって、利用することについて「相当の理由」がある場合(同項第2号及び第3号)
  • 4) 専ら統計の作成又は学術研究の目的のために提供する場合、本人以外の者に提供することが明らかに本人の利益になる場合(例えば、災害や事故に遭った旨を家族に知らせる場合)、又は行政機関等以外の者(例えば、国際機関、公益法人等)に提供する場合であって提供することについて「特別の理由」がある場合(同項第4号)

 保護法・独法等保護法に基づき毎年実施している施行状況調査では、個人情報ファイルの記録情報の利用目的以外の目的のための利用・提供の状況についても調査し、結果をとりまとめて公表しています。

ページトップへ戻る

Q5-7
保護法は「法令に基づく場合」(第8条第1項)を利用目的以外の利用提供の原則禁止から除外していますが、これに該当する法律の例としてどのようなものがありますか。

A

 保護法では、他の「法令に基づく場合」を除き、利用目的以外の利用・提供を原則して禁止しています(保護法第8条第1項)。このように、他の「法令に基づく場合」を利用目的以外の利用・提供の原則禁止の対象から除外したのは、他の法令の規定は、それぞれの立法目的から保有個人情報の利用・提供を可能としており、合理性が認められるためです。
 この「法令に基づく場合」の具体例としては、以下のようなものが考えられます。

  • 国会法第104条
  • 会計検査院法第24条から28条まで
  • 総務省設置法第6条第2項
  • 国家公務員法第100条第4項
  • 麻薬及び向精神薬取締法第58条の3から58条の5まで
  • 土地改良法第118条第6項
  • 民事訴訟法第186条、第223条第1項及び第226条
  • 刑事訴訟法第197条第2項及び第507条
  • 弁護士法第23条の2

 なお、本項は、他の法令に基づく場合は、利用目的以外の利用・提供をし得るとするものであり、本項により利用・提供が義務付けられるものではありません。実際に利用・提供することの適否については、それぞれの法令の趣旨に沿って適切に判断される必要があります。
保護法・独法等保護法に基づき毎年実施している施行状況調査では、個人情報ファイルの記録情報の利用目的以外の目的のための利用・提供の状況についても調査し、結果をとりまとめて公表しています。

ページトップへ戻る

Q5-8
保有個人情報を利用目的以外の目的で他の機関に提供することが認められるための要件として、保護法上、「相当な理由」(第8条第2項第3号)や「特別の理由」(同項第4号)が必要とされていますが、これらはどのように違うのですか。

A

 どちらの理由についても、保有個人情報の内容や利用目的等を勘案して、行政機関の長が個別に判断することとなります。
 「相当な理由」としては、社会通念上、客観的にみて合理的な理由であることが求められます。行政機関の恣意的な判断を許容するものではありません。
 「特別の理由」としては、本来行政機関において厳格に管理すべき個人情報について、行政機関等以外の者に例外として提供することが認められるためにふさわしい要件として、「相当な理由」よりも更に厳格な理由であることが必要です。具体的には、1)行政機関に提供する場合と同程度の公益性があること、2)提供を受ける側が自ら情報を収集することが著しく困難であるか、又は提供を受ける側の事務が緊急を要すること、3)情報の提供を受けなければ提供を受ける側の事務の目的を達成することが困難であることなどの正に特別の理由が必要とされます。例えば、国際協力のため外国政府、国際機関等に提供する場合等が想定されます。

ページトップへ戻る

Q5-9
行政機関が保有する保有個人情報を利用目的以外に利用・提供する場合には、本人にその旨を通知する必要がありますか。

A

 保護法上、保有個人情報の利用目的以外の利用・提供を行う場合に、本人に対してその旨を通知することは求められていません。
 なお、保護法第11条の規定に基づき作成、公表が義務付けられている個人情報ファイル簿において個人情報の経常的提供先が記載されている場合(第10条第1項第6号)には、本人にとって、保有個人情報の利用目的以外の提供を知る端緒になり得るものと考えられます。

ページトップへ戻る

Q5-10
利用目的以外に利用・提供することができる場合として、保護法は「本人の同意があるとき」(第8条第2項第1号)を規定していますが、具体的にどのような方法で同意を得ればよいのですか。

A

 本人の同意を得る方法について、特に、保護法には規定はありません。書面により同意の意思を確認する方法のほか、口頭により確認する方法等も考えられます。ただし、いずれの方法であっても、本人が当該保有個人情報の利用目的以外の利用・提供の内容について認識することができるよう適切に行う必要があります。

ページトップへ戻る

Q5-11
保有個人情報の漏えい、滅失、き損を防止するため、行政機関の長はどのような措置を講ずる必要がありますか。

A

 行政機関の長は、その保有する保有個人情報の漏えい、滅失、き損の防止その他の適切な管理のために必要な措置を講じなければなりません(保護法第6条)。
 総務省では、各行政機関が具体的な措置を講じる際の参考に資するため、「行政機関の保有する個人情報の適切な管理のための措置に関する指針」(平成16年9月14日総務省行政管理局長通知、[最終改正]平成27年8月25日)を取りまとめ、各行政機関あてに通知しています(独立行政法人等についても、同内容の指針を通知しています)。
 この指針の中では、各行政機関が講ずべき最小限の措置の内容として、具体的に、1)保有個人情報の管理体制、教育研修、職員の責務、2)保有個人情報の適正な取扱い(例えば、アクセス制限、複製・持ち出しの制限等)、3)情報システムにおける安全の確保等(例えば、アクセス記録、不正アクセスの防止等)、4)情報システム室等の安全管理、5)保有個人情報の提供及び業務委託等における留意事項、6)安全確保上の問題への対応、7)監査・点検の実施、8)行政機関と独立行政法人等の連携などの項目について示しています(下図参照)
 各行政機関は、その保有する個人情報の取扱いの実情に即し適切な管理を行うため、この指針を参考として整備している規程等に基づき、保有個人情報を適切に管理していく必要があります。

ページトップへ戻る

Q5-12
個人情報を取り扱う行政機関の職員には、どのような義務が課せられていますか。

A

 個人情報の取扱いに従事する個々の行政機関の職員又は受託業務の従事者(職員又は従事者であった者を含む。)は、業務に関して知り得た個人情報の内容についてみだりに他人に知らせ、又は不当な目的に利用してはなりません(保護法第7条)。
 「みだりに他人に知らせ」るとは、正当な理由なく個人情報の内容を他人に知らせることをいいます。「不当な目的に利用」とは、自己又は他人の私的利益のために個人情報の内容を利用する場合その他正当性を欠く目的のために個人情報の内容を利用することをいいます。
 なお、行政機関の職員が保護法第7条に規定する義務に違反した場合は、国家公務員法上の法令遵守義務(国家公務員法第98条)違反による懲戒処分(同法第82条)の対象となり得ます。また、個人の秘密を漏らした場合には、守秘義務(同法第100条)違反による罰則(同法第109条)が適用されることがあり得ます。受託業務の従事者が当該義務に違反した場合は、行政機関との委託契約の解除事由になり得ます。

ページトップへ戻る

Q5-13
個人情報の取扱いに係る業務を外部に委託する場合、保護法ではどのような義務が生じますか。

A

 行政機関の長は、保有個人情報の適切な管理のために必要な措置を講じなければなりません(保護法第6条)。保有個人情報の取扱いに係る業務を委託する場合には、委託先において適切な管理が行われるように必要な措置を講ずる義務があります。具体的な措置としては、例えば、秘密保持義務や再委託の制限などを契約書に明記すること、管理体制等を書面で確認することなどが考えられますが、各行政機関において、委託の対象となる個人情報の秘匿性等の内容に応じて個別に判断することになります。また、行政機関から委託を受けた事業者等についても、同様の義務が課されています。
 このほか、受託業務に従事している者(従事していた者を含む。)に対しても、「業務に関して知り得た個人情報の内容をみだりに他人に知らせ、又は不当な目的に利用してはならない」という義務が課されています(保護法第7条)。

ページトップへ戻る

Q5-14
個人情報が記録されている名簿の印刷を委託する場合、業務を受託した事業者は、保護法第6条第2項に規定する「行政機関から個人情報の取扱いの委託を受けた者」に該当し、保護法第6条第1項や第7条等の規定が適用されることになりますか。

A

 「個人情報の取扱いの委託を受けた者」とは、その者が個人情報の内容を認知しているか否かにかかわらず、個人情報の取扱いについての業務を受託している者であれば、すべて該当します。
 設問の場合の印刷事業者は、名簿に記録されている個人情報を取り扱っていることから、「個人情報の取扱いの委託を受けた者」に当たります。

ページトップへ戻る