個人情報保護制度と自己情報コントロール権

プライバシーと個人情報保護

個人情報保護制度と自己情報コントロール権

【個人情報保護制度とは】

個人情報保護制度とは、個人に関する情報を取り扱う国・地方の機関や民間事業者に対し、取扱いに関して一定の規律を行うことで、個人情報の保護を図る制度である。

1970年代のコンピュータによる情報処理の普及に伴い、個人情報の利用が容易になったことで、欧米では個人情報保護法を制定する国が現れ、日本でも地方自治体が条例によって個人情報保護条例を設ける例が見られ始めた。

その後、ネットワーク化が進んだことで、個人情報の持ち出しや情報漏えいのリスクが増大し、制度の整備が進むこととなった。

【個人情報の取扱いに関するOECD8原則】

1980年、個人情報の取扱いに関する規律の基本原則として、国際機関OECDによる「OECD8原則」が登場した。これは、各国の立法が採用すべき基本原則のガイドラインを勧告するものであり、日本を含む各国の立法に大きな影響を及ぼした。

OECD8原則では、以下の原則が挙げられている。

・収集制限の原則:個人データの収集には制限が課されるべきであり、あらゆる個人データは、適法かつ公正な手段によって、かつ、適当な場合においては、データ主体に知らしめ、またはその同意を得て取得されるべきである。

・データ内容の原則:個人データは、その利用目的に適合したものであるべきであり、かつ、利用目的に必要な範囲において、正確、完全で最新な状態に保たれなければならない。

・目的明確化の原則:個人データの収集目的は、収集時点よりも遅くない時点において明確にされる必要があり、それ以後のデータの利用は、当該収集目的の達成または当該収集目的に矛盾しない範囲内において目的の変更ごとに明確化された他の目的の達成に限定されなければならない。

・利用制限の原則:個人データは、目的明確化の原則により明確化された目的以外の目的のために開示、利用、その他の使用に供されてはならない。

・安全保護の原則:個人データは、紛失、不正アクセス、破壊使用、改ざん、漏えい等の危険に対し、合理的なセキュリティの措置によって保護されなければならない。

・公開の原則:個人データに関する開発、運用および方針については、一般的な公開政策がとられなければならない。

・個人参加の原則:個人は、データ管理者が自己に関するデータを保有しているか否かにつき、データ管理者からまたはその他の方法で確認を得ること、自己に関するデータを合理的期間内に、有料であるとしても過度にならない費用で、合理的な方法で、かつ、自分にとって容易に理解しうる方法で知らされること、そして以上の請求が拒否されたときは理由を提示され、拒否処分を争うことができること、自己に関するデータに対して不服申立てをし、不服が認められた場合には、当該データを消去、訂正、補完補正させることについて権利を有する。

・責任の原則:データ管理者は、以上の第1から第7までの諸原則を実施するための措置を遵守することに責任を有する。

引用:総務省ウェブサイト

(https://www.soumu.go.jp/main_sosiki/kenkyu/daityo_eturan/pdf/j_daityo_eturan_s10.pdf)

【自己情報コントロール権】

自己情報コントロール権は、個人情報保護法の条文で定義されたものではないが、重要な概念である。

個人情報保護制度は、自己情報コントロール権と密接に関係するものであるとか、自己情報コントロール権としてのプライバシー権を具体化するものであると言われる。

自己情報コントロール権とは、個人情報の収集・取得、保有・利用、開示、提供のすべてについて、いつ、どのように、どの程度まで、他者に委ねるのかを自ら決定する権利をいう。

すなわち、本人の同意なくして個人情報が他者に伝達されることを防止し、個人情報が本人の手から離れた後も、本人がその扱われ方を統制することの保障を内容とする権利である。

【伝統的プライバシー権と自己情報コントロール権】

伝統的なプライバシー権の概念は、19世紀末のアメリカで提唱された。当初は、「私的な領域に侵入されない」ことや、「私的な事柄を一般に公開されない」ということであった。

これに対し、自己情報コントロール権は、コンピュータで個人情報を管理するようになった20世紀後半から議論されるようになった。情報化社会における個人情報のコンピュータ管理による脅威は、私的な領域への侵入や私的な事柄の公開といったものだけではない。むしろ、すでに第三者(国の機関や民間事業者)が保有している個人情報の取扱いをどのように規律するかが重要な課題となり、自己情報コントロール権が唱えられるようになった。