個人情報保護法の基礎知識 (1) – 個人情報保護法の成り立ち
投稿日 : 2023年9月19日|最終更新日時 : 2023年9月19日| 秦野真衣
個人情報を保護するという考え方は、現在では比較的市民権を得ていると思われますが、民間事業者に適用される個人情報保護法が成立したのは、2003年と比較的最近の出来事であり、それまでは、業種ごとのガイドラインなどは存在したものの、民間事業者の取り扱う個人情報について規制する法律はありませんでした。
本稿では、個人情報を保護するという考え方がどのように生まれ、個人情報保護法の成立につながっていったのかをご紹介します。
シリーズ一覧
プライバシー権の誕生
個人情報の保護という概念は、プライバシー権が出発点となっています。
プライバシー権は、アメリカの弁護士であるウォレンとブランダイスによって書かれた「The Right to Privacy」(1890年)という論文が起源です。この論文で、プライバシー権は、「ひとりにしてもらう権利」(the right to be let alone)と位置付けられ、プライバシー権の侵害は、不法行為を構成すると主張されました。背景には、マスコミによる報道につき、名誉毀損に該当しない、社会的評価にかかわりのない私的領域についての公開についても、不法行為が成立する場合があるのではないかという問題意識がありました。
戦後、日本でも、マスメディアによる私生活に関する報道が多くなる中、三島由紀夫がある政治家の私生活を描いた「宴のあと」という小説について、モデルとされた政治家が三島由紀夫と出版社をプライバシー侵害として訴訟を提起し、1964 年「私生活をみだりに公開されない」権利を認め、プライバシー侵害を認める東京地裁判決がなされました(東京地判昭和39・9・28下民集15巻9号2317頁)。
OECDプライバシーガイドライン(1980年採択、2013年改正)
その後、コンピュータ技術の発展により、企業や公的部門において、個人を識別できるデータの大量保有・処理が可能となり、これらの情報を乱用される危険が高まりました。このような時代背景から、プライバシーの概念は、消極的な権利のみならず、自己に関する情報を適切に取得し・管理することを求める「自己情報コントロール権」へと広がりを見せ、各国で自己情報コントロール権に基づいたプライバシー立法が相次ぎます。
しかしながら、ここで、国ごとの法制の違いは情報の円滑な流通を阻害することになるという問題が生じました。
そこで、個人データ(personal data)の国境を越えた円滑な流通とプライバシーの保護を目的として、OECD(経済協力開発機構)によって、「プライバシー保護と個人データの流通についてのガイドラインに関する理事会勧告」(OECDプライバシーガイドライン)」(Recommendation of the Council Concerning Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data)が採択されました。
同勧告付属の「プライバシー保護と個人データの国際流通についてのガイドライン」は、個人データのプライバシーの保護について、①収集制限の原則、②データ内容の原則、③目的明確化の原則、④利用制限の原則、⑤安全保護の原則、⑥公開の原則、⑦個人参加の原則、⑧責任の原則の8つの原則につき、OECD加盟国に対し、国内法において同原則を考慮することを要請しています。基本的に、日本を含め、各国の個人情報保護法制は、このガイドラインをベースにしたものがほとんどとなっており、現在でも、国際標準としての機能を果たしていると言えます[1]。
「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」(1988年)
OECDプライバシーガイドラインの採択を受け、日本では、「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」 (昭和63年(1988年)12月16日法律第95号)が最初に制定されました。個人情報の保護に関する立法について、民間部門ではなく、公的部門が先行したのは、当時、電子計算機(いわゆるコンピューター)を利用して大量の個人情報を保有しているのは民間部門よりはむしろ地方自治体であり、地方自治体において、情報公開条例制度とともに個人情報保護条例の制定が先行したことに由来します。
もっとも、民間部門における個人情報保護の対策については当時から認識されており、同法の制定過程の内閣委員会の附帯決議において、「個人情報保護対策は、国の行政機関等の公的部門のみならず、民間部門にも必要な共通課題となっている現状にかんがみ、政府は早急に検討を進めること。」とされました。
住基ネット導入・相次いだ個人情報の漏えい事件
民間部門の個人情報保護法制定の直接的なきっかけになったのは、1999年に住民基本台帳法が改正され、住民基本台帳ネットワーク(いわゆる住基ネット)が導入されることになったことでした。
住基ネットとは、それまで紙ベースで管理していた住民基本台帳を全国共通のネットワークにしたシステムです。住基ネットの導入により、行政事務の効率が飛躍的な向上する一方で、住民のデータが全国共通のシステムにより一元的に管理されることとなると、住民データの流出やデータの紐づけなどといったプライバシー侵害の危険性があるのではないかと危惧されたのです。
とりわけ、同時期に、「住民基本台帳閲覧用マイクロフィルム窃盗事件」(札幌市)(19992)や、銀行からの顧客情報漏えい(1998年)など、個人情報の流出事件が相次いだことから、民間部門における個人情報保護法制がない状態では、住基ネットのデータが漏えいした場合に、データが民間事業者において悪用される可能性が指摘され、民間部門の個人情報保護法制が整備されていない状況下において住基ネットを導入することに、大きな批判が寄せられました。
個人情報保護法の成立
このような批判を受けて、住基ネット導入の住民基本台帳法改正案の附則[2]として、改正住基法の施行に当たっては、「政府は、個人情報の保護に万全を期するため、速やかに、所要の措置を講ずるものとする。」と義務づけられたうえで、1999年8月に可決されることとなりました。この「所要の措置」[3]は、民間部門も含めた個人情報保護に関する法整備を意味します。こうして、民間向けの個人情報保護法制は、住基ネットの導入と引き換えの形で、整備されることがマストとなりました。
そこで、2000年に「個人情報保護法制化専門委員会」の開催が設置され、個人情報保護法に向けた具体的な検討が開始されることとなりました。
その後、報道機関により報道の自由を制約するものであるとの批判を受けるなどしたことから、法案の見直しを経て、2003年、個人情報保護法(及び関連4法)が成立することとなりました。
脚注
————————————–
[1] https://www.soumu.go.jp/main_content/000322418.pdf
[2] 附則第1条第2項
[3] 平成11年6月の参議院本会議の改正法審議で、当時の内閣総理大臣が「民間部門を含めた個人情報保護に関する法整備」であることを明言していた。
本記事に関するお問い合わせはこちらから。
(文責・秦野)
