戻る

個人情報の保護に関する施策の推進について

個人情報の保護に関する法律
(平成15年5月公布)
 高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることにかんがみ、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的として制定。
 具体的には、国等の責務を定めるとともに、民間事業者等に対し、個人情報の適正な取扱いに関する義務を規定しており、平成17年4月1日より全面施行。
 なお、主な項目については以下のとおり。
(国の施策)
地方公共団体等への支援〈第8条〉
国は、地方公共団体及び国民、事業者等における個人情報保護の取組みを支 援するため、指針の策定その他の必要な措置を講ずる。
(個人情報取扱事業者の義務等)
利用目的の特定〈第15条〉
安全管理措置〈第20条〉
委託先の監督〈第22条〉
第三者提供の制限〈第23条〉
(主務大臣の権限等)
主務大臣〈第36条〉
雇用管理については、厚生労働大臣及び各事業所管府省庁大臣が主務大臣。

個人情報の保護に関する施行令
(平成15年12月公布)
 「個人情報データベース等」の範囲、「個人情報取扱事業者」の範囲等につき規定。


 雇用管理に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置に関する指針について


趣旨
 ○  個人情報保護法の規定に基づき、雇用管理の観点から事業者が講ずべき措置に関しての指針を策定。
 ○  施行:平成17年4月1日(法律施行日)


主な項目
 ○  雇用管理情報については、病歴、収入、家族関係といった特殊性を含むことに鑑み、以下の項目について、その適切な取扱いを企業に要請。
 ・ 収集する個人情報の利用目的を具体的に特定
 ・ 安全管理措置
個人データ管理責任者を事業所ごとに設置
 ・ 個人データの処理を外部に委託する場合の取扱い
再委託の際の委託元への文書による報告
利用目的達成後の確実な破棄、削除
 ・ 労働組合の役割
企業が個人情報の取扱いについて、重要事項を決定する場合における組合との事前協議


○厚生労働省告示第二百五十九号
 個人情報の保護に関する法律(平成十五年法律第五十七号)第八条の規定に基づき、雇用管理に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置に関する指針を次のように定め、平成十七年四月一日から適用する。
  平成十六年七月一日
厚生労働大臣 坂口 力

 雇用管理に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置に関する指針
一 趣旨
 この指針は、個人情報の保護に関する法律(以下「法」という。)に定める事項に関し、雇用管理に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置について、その適切かつ有効な実施を図るために必要な事項を定めたものである。
 なお、雇用管理に関する個人情報については、本指針によるほか、当該個人情報取扱事業者が行う事業を所管する大臣等が策定した指針その他の必要な措置に留意するものとする。
二 用語の定義
 法第二条に定めるもののほか、この指針において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。
 事業者 法第二条第三項に規定する個人情報取扱事業者のうち雇用管理に関する個人情報を取り扱う者をいう(第四に規定する場合を除く。)。
 労働者等 前号に規定する事業者に使用されている労働者、前号に規定する事業者に使用される労働者になろうとする者及びなろうとした者並びに過去において事業者に使用されていた者をいう。
三 事業者が講ずべき措置の適切かつ有効な実施を図るための指針となるべき事項
 法第十五条に規定する利用目的の特定に関する事項
 事業者は利用目的の特定に当たっては、単に抽象的、一般的に特定するのではなく、労働者等本人が、取得された当該本人の個人情報が利用された結果が合理的に想定できる程度に、具体的、個別的に特定すること。
 法第十六条及び法第二十三条第一項に規定する本人の同意に関する事項
 事業者が労働者等本人の同意を得るに当たっては、当該本人に当該個人情報の利用目的を通知し、又は公表した上で、当該本人が口頭、書面等により当該個人情報の取扱いについて承諾する意思表示を行うことが望ましいこと。
 法第二十条に規定する安全管理措置及び法第二十一条に規定する従業者の監督に関する事項
 事業者は、雇用管理に関する個人データの安全管理のために次に掲げる措置を講ずるように努めるものとすること。
(一)  雇用管理に関する個人データを取り扱う従業者及びその権限を明確にした上で、その業務を行わせること。
(二)  雇用管理に関する個人データは、その取扱いについての権限を与えられた者のみが業務の遂行上必要な限りにおいて取り扱うこと。
(三)  雇用管理に関する個人データを取り扱う者は、業務上知り得た個人データの内容をみだりに第三者に知らせ、又は不当な目的に使用してはならないこと。その業務に係る職を退いた後も同様とすること。
(四)  雇用管理に関する個人データの取扱いの管理に関する事項を行わせるため、当該事項を行うために必要な知識及び経験を有していると認められる者のうちから個人データ管理責任者を選任すること。
(五)  雇用管理に関する個人データ管理責任者及び個人データを取り扱う従業者に対し、その責務の重要性を認識させ、具体的な個人データの保護措置に習熟させるため、必要な教育及び研修を行うこと。
 法第二十二条に規定する委託先の監督に関する事項
 事業者は、雇用管理に関する個人データの取扱いの委託に当たって、次に掲げる事項に留意するものとすること。
(一)  個人情報の保護について十分な措置を講じている者を委託先として選定するための基準を設けること。
(二)  委託先が委託を受けた個人データの保護のために講ずべき措置の内容が委託契約において明確化されていること。具体的な措置としては、以下の事項が考えられること。
(1)  委託先において、その従業者に対し当該個人データの取扱いを通じて知り得た個人情報を漏らし、又は盗用してはならないこととされていること。
(2)  当該個人データの取扱いの再委託を行うに当たっては、委託元へその旨文書をもって報告すること。
(3)  委託契約期間等を明記すること。
(4)  利用目的達成後の個人データの返却又は委託先における破棄若しくは削除が適切かつ確実になされること。
(5)  委託先における個人データの加工(委託契約の範囲内のものを除く。)、改ざん等を禁止し、又は制限すること
(6)  委託先における個人データの複写又は複製(安全管理上必要なバックアップを目的とするもの等委託契約範囲内のものを除く。)を禁止すること。
(7)  委託先において個人データの漏えい等の事故が発生した場合における委託元への報告義務を課すこと。
(8)  委託先において個人データの漏えい等の事故が発生した場合における委託先の責任が明確化されていること。
 法第二十三条に規定する第三者提供に関する事項
 事業者は、雇用管理に関する個人データの第三者への提供(法第二十三条第一項第一号から第四号までに該当する場合を除く。)に当たって、次に掲げる事項に留意するものとすること。
(一)  提供先において、その従業者に対し当該個人データの取扱いを通じて知り得た個人情報を漏らし、又は盗用してはならないこととされていること。
(二)  当該個人データの再提供を行うに当たっては、あらかじめ文書をもって事業者の了承を得ること。但し、当該再提供が、法第二十三条第一項第一号から第四号までに該当する場合を除く。
(三)  提供先における保管期間等を明確化すること。
(四)  利用目的達成後の個人データの返却又は提供先における破棄若しくは削除が適切かつ確実になされること。
(五)  提供先における個人データの複写及び複製(安全管理上必要なバックアップを目的とするものを除く。)を禁止すること。
 法第二十五条第一項に規定する保有個人データの開示に関する事項
 事業者は、あらかじめ、労働組合等と必要に応じ協議した上で、労働者等本人から開示を求められた保有個人データについて、その全部又は一部を開示することによりその業務の適正な実施に著しい支障を及ぼすおそれがある場合に該当するとして非開示とすることが想定される保有個人データの開示に関する事項を定め、労働者等に周知させるための措置を講ずるよう努めなければならないこと。
 法第二十九条第二項に規定する本人の利便を考慮した適切な措置に関する事項
 事業者は、労働者等からの雇用管理に関する個人データの開示等の求めができるだけ円滑に行われるよう、閲覧の場所及び時間等について十分配慮すること。
 法第三十一条に規定する苦情の処理に関する事項
 事業者は、雇用管理に関する個人情報の取扱いに関する苦情の適切かつ迅速な処理を行うため苦情及び相談を受け付けるための窓口の明確化等必要な体制の整備に努めること。
 その他事業主等が雇用管理に関する個人情報の適切な取扱いを確保するための措置を行うに当たって配慮すべき事項
(一)  事業者は、六に定める保有個人データの開示に関する事項その他雇用管理に関する個人情報の取扱いに関する重要事項を定めるときは、あらかじめ労働組合等に通知し、必要に応じて、協議を行うことが望ましいものであること。
(二)  事業者は、九の(一)の重要事項を定めたときは、労働者等に周知することが望ましいものであること。
四 個人情報取扱事業者以外の事業者による雇用管理に関する個人情報の取扱い
 法第二条第三項に規定する個人情報取扱事業者以外の事業者であって、雇用管理に関する個人情報を取り扱う者は、第三に準じて、その適正な取扱いの確保に努めること。


個人情報の保護に関する法律(平成十五年法律第五十七号)〔抄〕


(目的)
一条 この法律は、高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることにかんがみ、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにするとともに、個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。

(定義)
二条 この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
 この法律において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるものをいう。
 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの
 この法律において「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。
 国の機関
 地方公共団体
 独立行政法人等(独立行政法人等の保有する個人情報の保護に関する法律(平成十五年法律第五十九号)第二条第一項 に規定する独立行政法人等をいう。以下同じ。)
 地方独立行政法人(地方独立行政法人法(平成十五年法律第百十八号)第二条第一項 に規定する地方独立行政法人をいう。以下同じ。)
 その取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定める者
 この法律において「個人データ」とは、個人情報データベース等を構成する個人情報をいう。
 この法律において「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの又は一年以内の政令で定める期間以内に消去することとなるもの以外のものをいう。
 この法律において個人情報について「本人」とは、個人情報によって識別される特定の個人をいう。

(基本理念)
三条 個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであることにかんがみ、その適正な取扱いが図られなければならない。

七条 政府は、個人情報の保護に関する施策の総合的かつ一体的な推進を図るため、個人情報の保護に関する基本方針(以下「基本方針」という。)を定めなければならない。
 基本方針は、次に掲げる事項について定めるものとする。
 個人情報の保護に関する施策の推進に関する基本的な方向
 国が講ずべき個人情報の保護のための措置に関する事項
 地方公共団体が講ずべき個人情報の保護のための措置に関する基本的な事項
 独立行政法人等が講ずべき個人情報の保護のための措置に関する基本的な事項
 地方独立行政法人が講ずべき個人情報の保護のための措置に関する基本的な事項
 個人情報取扱事業者及び第四十条第一項に規定する認定個人情報保護団体が講ず べき個人情報の保護のための措置に関する基本的な事項
 個人情報の取扱いに関する苦情の円滑な処理に関する事項
 その他個人情報の保護に関する施策の推進に関する重要事項

(地方公共団体等への支援)
八条 国は、地方公共団体が策定し、又は実施する個人情報の保護に関する施策及び国民又は事業者等が個人情報の適正な取扱いの確保に関して行う活動を支援するため、情報の提供、事業者等が講ずべき措置の適切かつ有効な実施を図るための指針の策定その他の必要な措置を講ずるものとする。

(利用目的の特定)
十五条 個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。
 個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない。

(利用目的による制限)
十六条 個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
 個人情報取扱事業者は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り扱ってはならない。
 前二項の規定は、次に掲げる場合については、適用しない。
 法令に基づく場合
 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

(安全管理措置)
二十条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

(従業者の監督)
二十一条 個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。

(委託先の監督)
二十二条 個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

(第三者提供の制限)
二十三条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
 法令に基づく場合
 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
 個人情報取扱事業者は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。
 第三者への提供を利用目的とすること。
 第三者に提供される個人データの項目
 第三者への提供の手段又は方法
 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
 個人情報取扱事業者は、前項第二号又は第三号に掲げる事項を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
 次に掲げる場合において、当該個人データの提供を受ける者は、前三項の規定の適用については、第三者に該当しないものとする。
 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託する場合
 合併その他の事由による事業の承継に伴って個人データが提供される場合
 個人データを特定の者との間で共同して利用する場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
 個人情報取扱事業者は、前項第三号に規定する利用する者の利用目的又は個人データの管理について責任を有する者の氏名若しくは名称を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。

(開示)
二十五条 個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの開示(当該本人が識別される保有個人データが存在しないときにその旨を知らせることを含む。以下同じ。)を求められたときは、本人に対し、政令で定める方法により、遅滞なく、当該保有個人データを開示しなければならない。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
 当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある 場合
 他の法令に違反することとなる場合
2、3(略)

(開示等の求めに応じる手続)
第二十九条
1 (略)
 個人情報取扱事業者は、本人に対し、開示等の求めに関し、その対象となる保有個人データを特定するに足りる事項の提示を求めることができる。この場合において、個人情報取扱事業者は、本人が容易かつ的確に開示等の求めをすることができるよう、当該保有個人データの特定に資する情報の提供その他本人の利便を考慮した適切な措置をとらなければならない。
3、4(略)

(個人情報取扱事業者による苦情の処理)
三十一条 個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。
 個人情報取扱事業者は、前項の目的を達成するために必要な体制の整備に努めなければならない。

(主務大臣)
三十六条 この節の規定における主務大臣は、次のとおりとする。ただし、内閣総理大臣は、この節の規定の円滑な実施のため必要があると認める場合は、個人情報取扱事業者が行う個人情報の取扱いのうち特定のものについて、特定の大臣又は国家公安委員会(以下「大臣等」という。)を主務大臣に指定することができる。
 個人情報取扱事業者が行う個人情報の取扱いのうち雇用管理に関するものについては、厚生労働大臣(船員の雇用管理に関するものについては、国土交通大臣)及び当該個人情報取扱事業者が行う事業を所管する大臣等
 個人情報取扱事業者が行う個人情報の取扱いのうち前号に掲げるもの以外のものについては、当該個人情報取扱事業者が行う事業を所管する大臣等
 内閣総理大臣は、前項ただし書の規定により主務大臣を指定したときは、その旨を公示しなければならない。
 各主務大臣は、この節の規定の施行に当たっては、相互に緊密に連絡し、及び協力しなければならない。

トップへ
戻る