個人情報の保護に関する基本方針

個人情報の保護に関する基本方針

平成16年 4月 2日
閣議決定

平成20年 4月25日
一部変更

平成21年 9月 1日
一部変更

平成28年 2月19日
一部変更

平成28年10月28日
一部変更

平成30年 6月12日
一部変更

令和 4年 4月 1日
一部変更

政府は、個人情報の保護に関する法律(平成15年法律第57号。以下「法」という。)第7条第1項の規定に基づき、「個人情報の保護に関する基本方針」(以下「基本方針」という。)を策定する。

基本方針は、「行政機関等の事務及び事業の適正かつ円滑な運営を図り、個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護する」という法第1条の目的を実現するため、法第7条に基づき、個人情報の保護に関する施策の推進の基本的な方向及び国が講ずべき措置を定めるとともに、地方公共団体、独立行政法人等、地方独立行政法人、個人情報取扱事業者及び認定個人情報保護団体等が講ずべき措置に関する基本的な事項等を示すものである。

政府として、官民の幅広い主体による地域や国境を越えた政策、事務及び事業において、この基本方針に則して、個人情報の保護及び適正かつ効果的な活用の促進のための具体的な実践に取り組むことを要請するものである。

1 個人情報の保護に関する施策の推進に関する基本的な方向

  1. 個人情報等をめぐる状況

    近年、AI、IоT、クラウドサービスや5G等のデジタル技術の飛躍的な進展により、多種多様かつ膨大なデータの収集・分析等が容易かつ高度化している。このようなデータや技術が官民や地域の枠又は国境を越えて利活用されることにより、官民双方のサービスの向上や、地域の活性化、新産業・新サービスの創出、国際競争力の強化や我が国発のイノベーション創出が図られることが一層期待されている。

    また、新型コロナウイルス感染症対応に伴う新しい生活様式の進展と相まって、地域、国境や老若男女問わず、様々な個人や業種・業態の事業者等がデジタル社会に参画し、生命、身体、財産といった、人や組織の具体的な権利利益に直接関わるデータが、量的にも質的にも、これまで以上に生成・流通・蓄積・共有等されている。

    特に、個人に関する情報(個人情報、仮名加工情報、匿名加工情報及び個人関連情報。以下「個人情報等」という。)については、高度なデジタル技術を用いた方法により、個人の利益のみならず公益のために活用することが可能となってきており、その利用価値は高いとされ、従前にもまして、幅広く取り扱われるようになってきている。その中で、個人情報及びプライバシーという概念が世の中に広く認識されるとともに、政策や事業活動等においても、データ倫理や人間中心のAIという考え方や、プライバシーガバナンスの構築、プライバシー強化技術(PET)の開発や実装が広まっている。

    これに対し、顔識別・認証技術、AI等の高度なデジタル技術を活用して行われる個人の行動、政治的立場、経済状況、趣味・嗜好等に関する高精度な推定(いわゆるプロファイリング)、さらには、大量の個人情報等を取り扱う民間事業者等の出現等が認められるところであり、ひとたび個人情報等の不適正な利用等に及んだ場合には個人の権利利益に対する大きな侵害につながるリスクが高まっている。そして、自分の個人情報等が悪用されるのではないか、これまで以上に十分な注意を払って取り扱ってほしいなどの個人の不安感が引き続き高まっている。

    加えて、経済・社会活動のグローバル化等に伴い、個人情報等を含むデータの国境を越えた流通が増えており、デジタル化のもたらすプライバシーやセキュリティ上の懸念や地政学的緊張等が世界的に顕在化してきている。その中にあって、データがもたらす価値を最大限引き出すには、プライバシーやセキュリティ等への適切な対処により信頼を維持・構築し、国境を越えた自由なデータ流通を促進することが一層求められている。

    このような状況を踏まえ、令和2年6月5日に個人情報の保護に関する法律等の一部を改正する法律(令和2年法律第44号。以下「令和2年改正法」という。)、そして、令和3年5月12日にデジタル社会の形成を図るための関係法律の整備に関する法律(令和3年法律第37号。以下「令和3年改正法」という。)が成立した。両法律により、従前複数の法令等で規律されてきた個人情報等の適正な取扱いに関する制度が法に統合・一本化され、高い独立性と政治的中立性を有する機関である個人情報保護委員会が法を所管することとなった。個人情報保護委員会に専門的知見や経験を集中・蓄積させ、個人情報等に関する国の政策の企画立案を担うとともに、個人情報取扱事業者、仮名加工情報取扱事業者、匿名加工取扱事業者、個人関連情報取扱事業者(以下「個人情報取扱事業者等」という。)及び認定個人情報保護団体に加え、令和4年4月より行政機関及び独立行政法人等、令和5年4月より地方公共団体の機関及び地方独立行政法人を一元的に監視・監督し、分野横断的かつ迅速・適切に法を執行するための体制が整備されることとなる。

  2. 法の基本理念と制度の考え方

    法第3条は、個人情報がプライバシーを含む個人の人格と密接な関連を有するものであり、個人が「個人として尊重される」ことを定めた憲法第13条の下、慎重に取り扱われるべきことを示すとともに、個人情報を取り扱う者は、その目的や態様を問わず、このような個人情報の性格と重要性を十分認識し、その適正な取扱いを図らなければならないとの基本理念を示している。

    行政機関、地方公共団体の機関、独立行政法人等、地方独立行政法人及び個人情報取扱事業者等の個人情報等を取り扱う各主体(以下「各主体」という。)においては、この基本理念を十分に踏まえるとともに、官民や地域の枠又は国境を越えた政策や事業活動等において、以下に掲げる考え方を基に、法の目的を実現するため、個人情報の保護及び適正かつ効果的な活用の促進に取り組む必要がある。

    1. ① 個人情報の保護と有用性への配慮

      法は、デジタル社会の進展に伴い個人情報等の利用が拡大している中で、法第3条の基本理念に則し、プライバシーの保護を含めた個人の権利利益を保護することを目的としている。他方、デジタル技術の活用による個人情報等の多様な利用が、個人のニーズの的確な反映や迅速なサービス等の提供を実現し、政策や事業活動等の面でも、国民生活の面でも欠かせないものとなっていることに配慮しているところである。

      個人情報の保護と有用性に関するこの法の考え方は、各主体における実際の個人情報等の取扱いにおいても、十分に踏まえる必要があり、個人情報の保護に関する施策を推進するに当たっては、個人情報の保護と適正かつ効果的な活用のバランスを考慮した取組が求められる。

    2. ② 法の正しい理解を促進するための取組

      上記①の考え方が、実際の個人情報等の取扱いにおいて十分に反映され、社会的な必要性があるにもかかわらず、法の定め以上に個人情報等の取扱いを控えることを防ぐためには、個人情報等を取り扱う各主体及び個人情報等によって識別される個人の双方における法の正しい理解が不可欠である。

      国は、各主体及び個人に対する広報・啓発に積極的に取り組むとともに、法の適切な運用等により、個人情報の保護及び適正かつ効果的な活用の促進を図っていくものとする。

      また、各地方公共団体においては、各区域の特性に応じて、当該区域内の事業者や住民等へ周知するための積極的な広報活動に取り組むとともに、法及び法の趣旨に則った条例の適切な解釈・運用を行うことが求められる。

    3. ③ 各主体の自律的な取組と連携・協力

      デジタル社会においては、官民や地域の枠又は国境を越え、業種・業態を問わず、あらゆる分野において、デジタル技術を活用した多種多様かつ膨大な個人情報等が広く利用されるようになっている。

      このため、法は、各主体を広く対象として、個人情報等の取扱いに関して共通する必要最小限のルールを定めるとともに、各主体において、それぞれの政策、事務及び事業の分野や地域の実情に応じて、自律的に個人情報等の適正な取扱いが確保されることを期待している。

      各主体の自律的な取組に関しては、国及び地方公共団体の支援が重要であり、法は、国及び地方公共団体が各主体による取組への支援や苦情処理のための措置を講ずべきことを定めるとともに、個人情報保護委員会が、各主体における個人情報等の取扱いについて監視・監督する権限と責任を有する仕組みを採っている。こうした複層的な措置の整合性を図りながら実効性を確保していくためには、個人情報の保護に関する施策を講ずるに当たって国と地方公共団体が相協力するのみならず、各主体による連携・協力を確保していくことが重要である。

    4. ④ データガバナンス体制の構築

      上記③の自律的な取組に当たり、デジタル社会においては、ビジネスモデルや技術の革新等も著しいため、個人情報等の取扱いに関する政策や個人情報等を取り扱う事務及び事業並びにシステム構築等の際には、透明性と信頼性の確保が特に重要である。

      各主体においては、政策、事務及び事業並びにシステム構築等の目的、個人が得ることが期待される便益やプライバシーに対するリスクを明確にし、それらをわかりやすく、丁寧に説明することが重要になる。そのためには、解決しようとする課題と、その課題を解決するために取り扱う個人情報等のデータとの関係を明確化する観点から、データの内容や性質、量や範囲の必要十分性、データの流れ、データの取扱いに関わる者の範囲、データの利用目的、安全管理レベル等の事前評価のため、PIA(個人情報保護評価又はプライバシー影響評価)の手法を用いることや、CPO(最高プライバシー責任者)やDPO(データ保護責任者)等の個人データの取扱いに関する責任者を設置すること等が有効であり、これらによるデータガバナンスの体制を構築することが重要である。

    5. ⑤ 個人におけるデータリテラシーの向上

      個人においては、法の正しい理解とともに、令和2年改正法及び令和3年改正法で強化された、各主体による個人に対する情報提供・説明義務の履行や、個人から各主体に対する各種請求権の行使等を通じて、個人が自らの意思に基づいてコントロールするという意識を涵養するという観点から、個人情報等のデータに関するリテラシーを向上することが重要である。このことが、結果として、上記④の実効性を高めることにもつながる。

      例えば、個人によるコントロールの実効性を高めるための規律のうち各主体に共通するものとしては、任意代理人による開示等請求が可能になること、漏えい等が発生した場合の本人通知が行われること、外国にある第三者に保有個人情報や個人データを提供するために本人から事前同意を取得する際、外国の名称や個人情報保護制度等に関する情報が本人にあらかじめ提供されることなどが挙げられる。

      また、主体のうち個人情報取扱事業者等に関するものとしては、開示請求において、請求の対象に第三者提供記録等が追加されること、請求のあったデータの提供方法について、電磁的記録によるなど、その提供方法を本人が指示できるようになることが挙げられる。加えて、利用停止等の請求については、請求できる要件として、重大な漏えい等が発生した場合や本人の権利又は正当な利益が害されるおそれがある場合等が追加されることが挙げられる。さらに、保有個人データに関する公表義務についても、新たに、安全管理措置の内容が公表事項として追加されることが挙げられる。

      以上については、各主体においても、個人に寄り添った取組が進められることが重要である。

  3. 国際的な制度調和と連携・協調

    経済・社会活動のグローバル化等に伴い、個人情報等を含むデータの越境移転が増えており、信頼性が確保された自由なデータ流通(DFFT)の推進の観点から、経済協力開発機構(OECD)、アジア太平洋経済協力(APEC)、G7等の国際的な枠組みでの議論や米国・欧州・アジア太平洋諸国等との対話等が重要になっている。また、世界プライバシー会議(GPA)やアジア太平洋プライバシー機関(APPA)フォーラムといったデータ保護機関間の連携の枠組みも重要である。

    このような国際的な制度調和と連携・協調を通じて、個人情報等を含むデータが安全・円滑に越境移転できる国際環境の構築や国境を越えた執行協力体制の強化、また、情報交換・収集を通じた国際動向の把握が重要である。

  4. サイバーセキュリティ対策の取組

    サイバー攻撃の高度化、サイバーセキュリティに関するリテラシーや人材の不足、クラウドサービスの普及、グローバルなサプライチェーンの複雑化、国家の関与が疑われる攻撃等による国家安全保障上への課題に発展する事態の顕在化等のリスクが高まってきている。

    以上のリスクを的確に把握し、サイバー空間における不確実性の制御や不安感の払拭に対応していくことが重要であり、あらゆる個人、分野や地域等において、サイバーセキュリティの確保が必要とされる時代が到来している。このような中、個人情報等の漏えい等のリスクを軽減するためには、各主体の自律的な取組(自助)のみならず、各主体の連携・協力(共助)及びそれらの基盤となる公助を通じた多層的な取組が重要である。

  5. 経済安全保障の観点からの対応

    新興国の経済成長とグローバルなバリューチェーンやサプライチェーンの深化、経済・技術分野への安全保障の裾野の拡大等に伴い、地政学的緊張を反映した、国家間における技術覇権争いや、国家によるデータ収集・管理・統制を強化する動きが顕在化している。

    このため、データローカライゼーションや無制限なガバメントアクセス等による個人情報等の越境移転における個人の権利利益を侵害するリスクが高まっており、それがDFFTへの脅威や経済安全保障上の課題にもなり得る。

    国をはじめ、各主体においても、それぞれの立場から、こうした脅威に対応するための国際的な議論への積極的な参画が求められる。また、各主体においては、取り扱う個人情報等が、我が国の個人の権利利益に対する諸外国による影響力行使等のために利用されないようにする観点から、リスクマネジメント等が重要である。

2 国が講ずべき個人情報の保護のための措置に関する事項

  1. 各主体における個人情報の保護等個人情報等の適正な取扱いの推進
    1. ① 各行政機関における個人情報の保護等個人情報等の適正な取扱いの推進

      全ての行政機関においては、法の規律が適用されることになることを踏まえ、その政策、所掌事務又は事業の遂行に当たり、法の規律に則り、個人の権利利益を保護するため、個人情報等の適正な取扱いを確保することが必要である。

      特に、デジタル社会の進展に伴い、安全管理措置を適切に講ずるためには、サイバーセキュリティ対策が一層重要である。個人情報を極めて大量に取り扱う業務に係るシステム等を調達する場合、クラウドサービスやSNSサービス等の外部委託先に個人情報等を提供する場合や、民間企業等が不特定多数のユーザーに対して同一条件で提供する約款による外部サービスを利用する場合等について、委託先等に対する必要かつ適切な監督、外国において取り扱う場合における外的環境の把握等の安全管理措置、外国にある第三者に本人の事前同意を得て提供する場合における本人に対する外国の個人情報保護制度等に関する情報提供等の重要性がより一層高まっている。行政機関と委託先等の双方において、個人情報等の取扱いに関する責任の所在の明確化と、適正な取扱いの確保のための取組を着実に実施するとともに、例えば、必要に応じて安全管理措置の内容を公表する等の透明性と信頼性を確保する取組を行うことが重要である。

      個人情報保護委員会においては、「個人情報の保護に関する法律についてのガイドライン(行政機関等編)」(以下「公的部門ガイドライン」という。)、「個人情報の保護に関する法律についての事務対応ガイド(行政機関等向け)」(以下「事務対応ガイド」という。)及び「個人情報の保護に関する法律についてのQ&A (行政機関等編)」(以下「公的部門Q&A」という。)を策定し、保有個人情報の漏えい等事案等を踏まえ、必要に応じた改正を行うものとする。特に、各行政機関がクラウドサービスを利用して個人情報等を取り扱う場合については、デジタル庁や内閣官房内閣サイバーセキュリティセンター(以下「NISC」という。)等と連携・協力して、クラウドサービスに関する政府情報システムのためのセキュリティ評価制度(以下「ISMAP」という。)等を通じ、公的部門ガイドライン等の普及啓発を図る。

      また、複雑化する社会的課題の解決のため、各行政機関においては、裾野が広く、多様なデータの利用を伴う政策の必要性が高まっている。このため、各行政機関が個人情報等を自ら保有し、又は、他の各主体の取扱い方法等に一定の影響を与える政策を企画立案・実施する場合には、法を基盤的なルールとしつつ、個別の政策目的や、そこで取り扱われる個人情報等の内容や性質を踏まえ、法の目的であるプライバシーを含めた個人の権利利益の保護の観点から、それぞれの実態に即した個人情報等の適正な取扱いの仕組みづくり等に取り組むことが重要である。

      以上の取組を適切に推進するため、個人情報保護委員会においては、専門的かつ分野横断的な知見等を踏まえつつ、各行政機関と連携・協力するものとする。それに加え、地方公共団体の機関、独立行政法人等及び地方独立行政法人に対しても、法の規律が適用されることを踏まえ、個人情報等の適正な取扱いの確保に関する活動を支援するため、情報の提供、指針の策定や技術的な助言等の必要な措置を講ずるものとする。また、法の施行状況について、行政機関、地方公共団体の機関、独立行政法人等及び地方独立行政法人からの報告に関する概要の公表を通じて、透明性の確保を図る。

    2. ② 個人情報取扱事業者等が取り扱う個人情報の保護等個人情報等の適正な取扱いの推進

      様々な業種・業態における個人情報取扱事業者等が取り扱う個人情報等について、その性質や利用方法等の実態に応じた適正な取扱いの実効性を確保するためには、法の定める規律が全ての事業活動等に共通する必要最小限のものであることを踏まえ、特定の事業分野における法第6条及び第9条に基づく格別の措置等や、認定個人情報保護団体における個人情報保護指針の策定等及びこれを踏まえた対象事業者の自主的な取組が進められることが、なお一層期待されるところである。

      このため、個人情報保護委員会においては、全ての事業活動等に共通して適用される「個人情報の保護に関する法律についてのガイドライン」(以下「民間部門ガイドライン」という。)及び同ガイドラインに関するQ&A等を策定する。また、金融関連分野、医療関連分野、情報通信関連分野等の特定の事業分野については、関係省庁等と連携・協力し、個⼈情報等の性質及び利用方法並びに各業法等による規律の特殊性等を踏まえた更に必要な規律として、ガイドライン等を策定する。

      また、事業者単位に加え、特定の事業分野を対象とする認定も可能となる認定個人情報保護団体による自主的取組の活性化に向けて、認定個人情報保護団体向けガイドラインを策定するとともに、個人情報保護指針の策定等認定個人情報保護団体の自主的取組を支援するため、情報の提供及び助言等を行うものとする。その際、特に小規模の事業者の事業活動が円滑に行われるよう配慮するとともに、事業者に参考となる情報の提供等を行うことにより、法第1条の趣旨を踏まえ、個人情報の保護と適正かつ効果的な活用のバランスを考慮した取組を行うものとする。

      特に、国民生活及び経済活動の基盤に関する分野については、個人情報保護委員会において、NISC等の関係省庁等と連携・協力し、クラウドサービスを利用して個人情報等を取り扱う場合における漏えい等発生時の対応等に関する情報の提供や、サイバーセキュリティに関する情報共有・分析機能を担う組織(ISAC等)と認定個人情報保護団体との連携・協力の推進等を行うことが重要である。

    3. ③ 官民や地域の枠を越えて各主体が取り扱う個人情報の保護等個人情報等の適正な取扱いの推進

      官民及び地域の枠を越えたデータ利活用として、健康・医療・介護、教育、防災及びこども等の準公共分野、スマートシティ等の相互連携分野や公的基礎情報データベース(ベース・レジストリ)の整備等については、法の規律が異なる各主体間における個人情報等のデータ連携等が行われることとなる。

      各主体間における個人情報等のやりとりがより複層的になることにより、個人情報等の取扱いについて責任を有する主体が従来以上に不明確になるリスクがあり、これに対応した制度設計や運用を行う必要がある。そのため、個人情報等を取り扱う各主体のみならず、データ連携等を推進する者においても、データガバナンス体制の構築等に取り組むことが重要である。個人情報保護委員会においては、法の規律が全ての政策や事業活動等に共通する必要最小限のものであるという観点から、必要な情報提供や助言等を行うものとする。

      また、医療分野・学術研究分野については、規律の適用が法に統一され、国公立の病院や大学等について、行政機関等としての規律が一部適用されるものの、基本的には個人情報取扱事業者等に対する規律が適用される。個人情報保護委員会においては、関係省庁等との連携等を通じて、民間部門ガイドライン及び公的部門ガイドライン等の普及啓発等を行うものとする。

  2. 個人情報の保護及び安全・円滑な流通を確保するための国際的な取組
    1. ① 国際的に整合のとれた個人情報に係る制度の構築

      個人情報保護委員会は、プライバシーを含む個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している国や地域との間で、相互に円滑な個人データの移転を図るために、国際的に整合のとれた個人情報に係る制度を促進する方法としての枠組みを構築・維持するための措置を講ずることとする。

      個人情報保護委員会は、法を所管する機関として、外国から移転される個人情報等の適正な取扱いを確保する観点から、法第6条に基づき、日本と当該外国との間の制度及び運用の差異を埋めるために必要な措置を講ずる権限を有している。個人情報保護委員会は、必要に応じ、法及び法に基づく政令等で規定された規律(例えば、要配慮個人情報や保有個人データの定義に係る規律等)を補完し上回る、拘束力のある規律、すなわち、国内の個人情報取扱事業者等に対して執行可能な、より厳格な規律を設けることを含め、一層の個人情報の保護を行う権限を有している。

      また、個人情報保護委員会は、当該外国当局との執行協力及び法制度の理解に関する対話を行うこととする。

    2. ② DFFTの推進の観点から個人情報が安全・円滑に越境移転できる国際環境の構築

      個人情報保護委員会は、DFFTの推進の観点から、我が国と同等の水準と認められる個人情報の保護の制度を有する国との間で、相互に円滑な個人データの移転を進める枠組みを構築・維持するための措置を講ずることとする。その他、越境データ移転を行う様々な事業者等の各主体がその政策や事業等に適した移転の仕組みが選択できるよう、個人情報保護委員会は、企業認証制度の推進や、海外制度の情報の収集・提供等を行うこととする。

      また、個人情報保護委員会は、DFFTを脅かすリスクに対応するためOECDにおけるガバメントアクセスやデータローカライゼーションに係る議論へ積極的に貢献するほか、GPA、APPAやG7等においてDFFTの重要性及び日本の取組・貢献について積極的に発信することとする。さらに、米国・欧州やアジア太平洋等の各国・地域との対話等を通じて、DFFT推進に向けた連携を図ることとする。

    3. ③ 国際動向の把握

      デジタル技術の飛躍的な進展とそれに伴う課題に対応するため、個人情報保護委員会は、新たな技術・ビジネスと個人情報保護、プライバシーの関係について、国際的な枠組みで我が国の取組を積極的に発信するとともに、政策立案やビジネス支援に資するため、国際動向を把握するものとする。

    4. ④ 国境を越えた執行協力体制の強化

      個人情報を含むデータの国境を越えた流通の増大を受け自国のみでは対応できない事案の増加が予想されることから、個人情報保護委員会は、GPAやグローバルプライバシー執行機関ネットワーク(GPEN)等への参加、G7における連携、各国執行当局との対話等を通じて、執行協力強化のための協力関係を積極的に構築するものとする。

  3. 個別の事案等への対応
    1. ① 個別の事案への対応

      個人の権利利益を害するおそれが大きい個人データの漏えい等個別の事案が発生した場合、個人情報保護委員会は、個人情報等の適正な取扱いを確保するため、各主体による漏えい等の報告の受理等を通じて、必要な情報の収集を行うとともに、事案による個人の権利利益に対する被害の広がりや社会的な影響を踏まえ、迅速に法第6章第2節の規定に基づく措置等の検討を行う。加えて、同様の事案の再発防止や被害拡大の抑制等に資する観点から、個別の事案から得られる教訓や対処措置等に関する事例について、認定個人情報保護団体と連携した研修等を通じて、各主体に対する共有や周知啓発を行うものとする。

      また、個人情報保護委員会は、各主体に対する勧告又は命令等を効果的に行う上で必要があると認めるときは、事業所管大臣に対して報告徴収又は立入検査等の権限を委任することができることとされており、必要に応じて、権限を委任することを含め、事業所管大臣と連携した対応を行うものとする。

      さらに、法第169条の趣旨を踏まえ、個人情報保護委員会及び事業所管大臣は、権限の委任の有無にかかわらず、法違反が疑われる事実を把握した場合や、権限を行使して事案に対処した場合等には、相互に情報共有を行うとともに、個人情報保護委員会と事業所管大臣間で、複数の事業所管大臣に委任された権限を行使する際には事業所管大臣間で、重畳的な執行を回避すべく緊密な連携・調整を行うものとする。

    2. ② サイバーセキュリティ対策や経済安全保障の観点等からの対応

      サイバーセキュリティ対策の観点から、個人情報保護委員会は、各主体が取り扱う保有個人データや個人データの外部からの不正アクセスやランサムウェア等のサイバー攻撃等による漏えい等の未然防止や被害の拡大防止等のリスクの低減、漏えい等事態への適切かつ迅速な対応を図るため、NISC等の関係省庁等及びサイバーセキュリティ関係機関と緊密に連携する。

      経済安全保障の観点からの対応として、各主体が個人データを越境移転する場合について、個人の権利利益に生ずるリスクの有無等は、各主体の事務及び事業の実態等に応じて様々であるため、外国の個人情報保護に関する制度等に関する情報の本人への提供は各主体により対応する必要がある。個人情報保護委員会においても、各主体の参考となる一定の情報を提供する観点から、データローカライゼーションや無制限なガバメントアクセス等、本人の権利利益に重大な影響を及ぼすおそれがある制度等に関する情報提供を行うものとする。また、個人情報保護委員会においては、各主体による漏えい等の報告をはじめとする関係者から寄せられる情報等を基に、適時適切な監視・監督機能による法の執行を行うものとする。

  4. 広報・啓発、情報提供等に関する方針

    法は、個人情報等を利用する各主体に対して政策や事業活動等の分野、利用の目的を問わず幅広く個人情報等の取扱いに関する義務を課すとともに、本人が開示、訂正、追加又は削除、利用の停止又は消去並びに第三者への提供の停止に係る請求権を行使できる等、各主体の個人情報等の取扱いに関与する仕組みを採っている。

    法第1条の目的が正しく理解され、個人情報の保護及び適正かつ効果的な活用の実効性が確保されるためには、各主体及び国民等に対して法制度、個人情報等の取扱いに当たっての注意事項等の周知を徹底することが極めて重要である。

    このため、個人情報保護委員会は、各主体及び国民等に十分な情報提供が行われるよう、多様な媒体を用いて、広報・啓発に積極的に取り組むものとする。また、各省庁等や地方公共団体においても、必要に応じて個人情報保護委員会に協力し、所管する政策や事業活動等の分野における広報・啓発に取り組むものとする。

  5. 個人情報保護委員会の活動状況等の公表

    個人情報保護委員会は、必要に応じて関係機関の協力を得て、毎年、法第6章第2節に基づく報告の徴収、助言等による個人情報取扱事業者等及び認定個人情報保護団体の監督並びに行政機関等の監視の実施の状況のほか、苦情の処理等の取組状況、各主体における個人データや保有個人情報の漏えい等事案の状況等を含む所掌事務の処理状況を国会へ報告し、その概要を公表するものとする。また、当該報告を通じ、個人情報保護制度の運用の透明性を確保する。

3 地方公共団体が講ずべき個人情報の保護のための措置に関する基本的な事項

  1. 地方公共団体が保有する個人情報の保護等個人情報等の適正な取扱いの推進

    地方公共団体の機関や地方独立行政法人が保有する個人情報等については、法の規律が適用されることに伴い、法の趣旨を踏まえつつ、個人の権利利益を保護するため、個人情報等の適正な取扱いに関する条例の制定又は改廃等に取り組む必要がある。

    以上に取り組むに当たっては、地方公共団体において、行政機関における取組等も参照しつつ、必要に応じ、個人情報保護委員会による個人情報の保護及び適正かつ効果的な活用に係る施策とも十分に連携していくことが重要である。

    国は、地方公共団体における条例の制定又は改廃に向けた検討が行われる場合に、その円滑な検討に資するよう、必要な情報の提供を行うなど、地方公共団体に対して協力を行うものとする。

    また、個人情報保護委員会においては、公的部門ガイドライン、事務対応ガイド及び公的部門Q&A を策定し、保有個人情報の漏えい等事案等を踏まえ、必要に応じた改正を行うものとする。特に、各地方公共団体の機関がクラウドサービスを利用して個人情報等を取り扱う場合については、デジタル庁等と連携・協力して、各地方公共団体の機関等に対し、政府共通のクラウドサービスの利用環境(ガバメントクラウド)等において、公的部門ガイドライン等の普及啓発を図る。

    なお、病院や大学等を運営する地方公共団体の機関については、官民連携による社会的課題の解決の必要性を踏まえ、原則として、個人情報取扱事業者等と同様の規律が適用されることになる点にも留意が必要である。

  2. 広報・啓発等住民・事業者等への支援
    1. ① 広報・啓発等住民・事業者等への支援の在り方

      個人情報の保護等個人情報等の適正な取扱いの推進において、住民や事業者に身近な行政を担う地方公共団体の役割は重要であり、法では、区域内の実情に応じて、住民や事業者への支援や苦情の処理のあっせん等に対して必要な措置を講ずるよう努めなければならないものとされている。

      各地方公共団体においては、法の基本理念や具体的な仕組み等を住民等へ周知するための積極的な広報活動に取り組むとともに、区域内の事業者等の主体的な取組を促進するため、事業者からの相談等に適切に対応することが求められる。

      また、事業者と本人の間のルールについて、地方公共団体の取組は、区域の特性に応じた措置として重要であり、その運用は、法及び公的部門ガイドライン等に則って行う必要がある。また、地方公共団体がその実情に応じて講じようとする措置については、区域内の事業者等の活動が、全国等の広域にわたることがあり得ることを考慮し、個人情報保護委員会による個人情報の保護及び適正かつ効果的な活用に係る施策とも十分に連携していくことが重要である。

    2. ② 地方公共団体の部局間の連携・協力

      地方公共団体は、法の施行に関し、自ら保有する個人情報等の適正な取扱い、その区域内の事業者等への支援、苦情の処理のあっせん等、さらには、法第6章第4節により事業所管大臣又は金融庁長官(以下「事業所管大臣等」という。)に委任された権限を行使することまで、広範で多様な施策の実施が求められている。

      地方公共団体においては、こうした多様な施策は、個人情報の保護に関する制度の担当部局、住民からの苦情の相談を担う部局、各事業・事業者の振興・支援を担う部局等相当数の部局にまたがるものと見込まれるが、個人情報等の適正な取扱いに関し、住民の権利利益の保護の実効性を確保するためには、広範な施策が一体的・総合的に講じられるよう、関係部局が相互に十分な連携を図る必要がある。

      また、区域内の事業者からの相談や住民からの苦情等の相談の利便性の観点から、連携体制の確保に併せて、関係部局間の役割分担と窓口を明らかにして、これを公表すること等により周知することが望まれる。

  3. 国・地方公共団体の連携・協力の在り方

    事業者に対する報告の徴収等の事業所管大臣等に委任された権限については、法の定めるところにより、地方公共団体がその事務を処理することとされるものがある。他方、地方公共団体の区域をまたがって事業者が活動している場合等においては、地方公共団体が十分に事業者の事業活動を把握することが難しいことも考えられる。このため、地方公共団体と事業所管大臣等は、十分な連携・協力を図ることとし、地方公共団体は、事業所管大臣等に必要な情報の提供等の協力を求めるとともに、事業所管大臣等は、必要な場合には、法に基づき自ら権限を行使するものとする。

    また、法についての広報・啓発、苦情の相談等の業務についても、住民や事業者等に混乱を生じさせないよう、国と地方公共団体が連携・協力することが重要であり、このため、個人情報保護委員会は、必要に応じて関係機関とも連携して対応を行うものとする。

4 独立行政法人等が講ずべき個人情報の保護のための措置に関する基本的な事項

独立行政法人等においては、法の規律が適用されることになることを踏まえ、その事務や事業の遂行に当たり、法の規律に則り、個人の権利利益を保護するため、個人情報等の適正な取扱いを確保することが必要である。

特に、デジタル社会の進展に伴い、安全管理措置を適切に講ずるためには、サイバーセキュリティ対策が一層重要である。個人情報を極めて大量に取り扱う業務に係るシステム等を調達する場合、クラウドサービスやSNSサービス等の外部委託先に個人情報等を提供する場合や、民間企業等が不特定多数のユーザーに対して同一条件で提供する約款による外部サービスを利用する場合等について、委託先等に対する必要かつ適切な監督や、外国において取り扱う場合における外的環境の把握等の安全管理措置、外国にある第三者に本人の事前同意を得て提供する場合における本人に対する外国の個人情報保護制度等に関する情報提供等の重要性がより一層高まっている。独立行政法人等と委託先等の双方において、個人情報等の取扱いに関する責任の所在の明確化と、適正な取扱いの確保のための取組を着実に実施するとともに、例えば、必要に応じて安全管理措置の内容を公表する等の透明性と信頼性を確保する取組を行うことが重要である。

個人情報保護委員会においては、公的部門ガイドライン、事務対応ガイド及び公的部門Q&Aを策定し、保有個人情報の漏えい等事案等を踏まえ、必要に応じた改正を行うものとする。特に、独立行政法人等がクラウドサービスを利用して個人情報等を取り扱う場合については、デジタル庁やNISC等と連携・協力して、独立行政法人等に対し、クラウドサービスに関するISMAP等を通じ、公的部門ガイドライン等の普及啓発を図る。

独立行政法人等においては、行政機関における取組等も参照しつつ、必要に応じ、個人情報保護委員会による個人情報の保護及び適正かつ効果的な活用に係る施策とも十分に連携していくことが重要である。

なお、医療分野や学術分野における一部の独立行政法人等については、官民連携による社会的課題の解決の必要性を踏まえ、原則として、個人情報取扱事業者等と同様の規律が適用されることになる点にも留意が必要である。

5 地方独立行政法人が講ずべき個人情報の保護のための措置に関する基本的な事項

地方独立行政法人が保有する個人情報等について、地方公共団体は、法第12条第2項において、必要な措置をとることが求められている。これを踏まえ、各地方公共団体は、その設立に係る地方独立行政法人の性格及び業務内容に応じ、各団体が制定又は改廃する条例において所要の規定を整備する等、適切な個人情報の保護等個人情報等の適正な取扱いに関する措置が講じられるように取り組むことが求められる。

以上に取り組むに当たっては、地方公共団体の機関や独立行政法人等における取組等も参照しつつ、必要に応じ、個人情報保護委員会による個人情報の保護及び適正かつ効果的な活用に係る施策とも十分に連携していくことが重要である。

国は、地方公共団体における条例の制定又は改廃に向けた検討等が行われる場合に、その円滑な検討等に資するよう、必要な情報の提供を行うなど、地方公共団体や地方独立行政法人に対して協力を行うものとする。

また、個人情報保護委員会においては、公的部門ガイドライン、事務対応ガイド及び公的部門Q&Aを策定し、保有個人情報の漏えい等事案等を踏まえ、必要に応じた改正を行うものとする。

なお、病院や大学等を運営する地方独立行政法人については、官民連携による社会的課題の解決の必要性を踏まえ、原則として、個人情報取扱事業者等と同様の規律が適用されることになる点にも留意が必要である。

6 個人情報取扱事業者等が講ずべき個人情報の保護のための措置に関する基本的な事項

  1. 個人情報取扱事業者等が取り扱う個人情報等に関する事項

    個人情報取扱事業者等は、法の規定に従うほか、上記2(2)①の民間部門ガイドライン及び認定個人情報保護団体の個人情報保護指針等に則し、例えば、プライバシーを含む個人の権利利益を一層保護する観点から、個人情報保護を推進する上での考え方や方針(いわゆる、プライバシーポリシー、プライバシーステートメント等)を対外的に明確化するなど、個人情報の保護及び適正かつ効果的な活用について自主的に取り組むことが期待されているところであり、体制の整備等に積極的に取り組んでいくことが求められている。その際、事業の規模及び性質、個人データの取扱状況等に応じて、各個人情報取扱事業者等において適切な取組が実施されることが重要である。

    法は、認定個人情報保護団体制度を含め、各個人情報取扱事業者等の自主的な対応を尊重する制度設計となっているため、各個人情報取扱事業者等においては、法を補完する観点から自主ルールを策定し、運用していく役割が期待される。個人情報保護委員会においても、各個人情報取扱事業者等におけるPIAの取組、個人データの取扱いに関する責任者の設置等の自主的な取組を促進するため、必要な支援を行うものとする。

  2. 仮名加工情報取扱事業者が取り扱う仮名加工情報及び匿名加工情報取扱事業者が取り扱う匿名加工情報に関する事項

    仮名加工情報及び匿名加工情報に関する制度は、近年のデジタル技術の飛躍的な進展に対応した個人情報等の適正かつ効果的な活用を推進するために導入された制度であり、仮名加工情報取扱事業者及び匿名加工情報取扱事業者において、この趣旨を踏まえた積極的な活用が期待される。その際、それぞれの取扱いに関して個人の安心感・信頼感を得られるよう、仮名加工情報取扱事業者及び匿名加工情報取扱事業者において、法の規定に従うほか、民間部門ガイドライン及び認定個人情報保護団体の個人情報保護指針等に則し、自主的な取組を実施することが求められる。

  3. 認定個人情報保護団体に関する事項
    1. ① 認定個人情報保護団体に期待される役割

      認定個人情報保護団体は、個人情報等の取扱いに関して、対象事業者自身による苦情処理の取組を補完し、問題の自主的、実際的な解決を図るとともに、個人情報の保護及び適正かつ効果的な活用を図るため、民間部門ガイドラインに則り、個人情報保護指針を策定し、それが公表されたときは、対象事業者に対して当該指針を遵守させるため必要な指導、勧告等の措置をとることが義務付けられている等、民間部門における自主的な取組を促進する上で、極めて重要な役割が求められている。

      また、対象事業者の実態に応じた法の適切な運用等を推進するために、認定個人情報保護団体が、対象事業者の運用実態や課題等の情報を収集し、それを個人情報保護委員会と共有するといった役割も期待されるところであり、このような仕組みが十分に活用されることが必要である。

      なお、令和2年改正法において、複数の事業を行う企業も含む企業単位に加えて、企業における特定の事業(部門)を対象とする認定個人情報保護の認定も可能であり、当該団体の増加が期待される。

    2. ② 個人情報保護指針等の策定・見直し等

      個人情報等の取扱いに関する事業等分野別の取組においては、認定個人情報保護団体が策定する個人情報保護指針等に、各対象事業者の取組を促進する上での重要な役割が期待されている。このため、認定個人情報保護団体等においては、個人の意見を代表する者その他の関係者の意見を聴いた上で、事業等分野の実情に応じた公正・透明な個人情報保護指針等の策定・見直しに努めていくことが望まれ、その際、法第1条の趣旨を踏まえ、個人情報の保護と適正かつ効果的な活用のバランスを考慮した取組が求められる。特に、仮名加工情報及び匿名加工情報の作成方法等に関しては、情報の種類・性質に応じた適切な取扱いを定める指針等を策定することが望まれる。

      また、個人情報等の取扱いが複雑化・高度化している中にあって、対象事業者が自身の個人情報の取扱い等について、いかに本人に対して透明性を確保しながら説明責任を果たしていくかも重要であり、そのための自主ルールを踏まえた指導等についても認定個人情報保護団体が積極的に行っていくことが望ましい。

      さらに、対象事業者の従業員に対する研修、調査研究などの業務のほか、PIAを含むプライバシー・バイ・デザインの実践や、個人データの取扱いに関する責任者の設置を含む組織体制の整備などの個人情報等の適正な取扱いの確保に関する事項についても、対象事業者に対して積極的に推奨していくことが望ましい。認定個人情報保護団体として、PIAの自主ルールを定めた上で、当該自主ルールに沿った実施を対象事業者に求めていくといった取組も望ましい。

      個人情報保護委員会においては、認定個人情報保護団体等のニーズに応じて、必要な支援を行うものとする。

7 個人情報の取扱いに関する苦情の円滑な処理に関する事項

個人情報等の利用・提供あるいは開示・不開示等に関する本人の不平や不満は、訴訟等によるのではなく、事案の性質により、迅速性・経済性等の観点から、むしろ苦情処理の制度によって解決することが適当なものが多いと考えられる。法は、苦情処理による個人の権利利益の保護の実効性を確保するため、各主体自らの取組により苦情を解決することを基本としつつ、認定個人情報保護団体、地方公共団体等が苦情の処理に関わる複層的な仕組みを採っている。この仕組みが円滑に機能するためには、これらの関係機関がそれぞれの役割分担に応じて適切に取り組むとともに、緊密な連携・協力を確保することが必要である。

  1. 各主体自らによる取組の在り方

    法は、苦情処理について、まず、第一に各主体の責任において適切かつ迅速な処理に努めるべきことを明らかにしている。こうした責務を全うするため、各主体には、必要な体制整備として苦情受付窓口の設置、苦情処理手順の策定等が求められる。

  2. 認定個人情報保護団体の取組の在り方

    認定個人情報保護団体の苦情処理は、各対象事業者が行う取組を補完し、個人の権利利益を効率的・効果的に実現する重要な役割が期待される。

    このため、認定個人情報保護団体は、本人その他の関係者からの様々な苦情に簡易・迅速に対応し、公正な第三者としての立場から個人の期待に応えられるよう、人材の養成・確保を含む体制を整備することが求められる。

  3. 地方公共団体における取組の在り方

    地方公共団体の担う苦情の処理のあっせん等は、当事者間で問題が解決されない場合等において、事業等分野を問わない苦情処理の仕組みとして、苦情の処理のあっせん、助言、指導、情報提供等の役割が求められている。

    地方公共団体が苦情の処理のあっせん等に取り組むに当たっては、広く住民一般に分かりやすく、なじみやすい対応が求められる。このため、個人情報等に関する苦情の窓口を軸に各事業・事業者の振興・支援を担う部局等の関係部局が実効のある連携・協力を確保する仕組みが、相談者の利便性等の観点から望まれる。

    なお、地方公共団体において、別の苦情窓口を定めている場合等、直ちに上記の仕組みにより難い場合においては、特に、窓口と関係部局の役割分担を明確化し、周知を図る必要がある。

  4. 個人情報保護委員会における取組

    個人情報保護委員会は、自ら個人情報等に関する苦情の申出についての必要なあっせんに取り組むほか、苦情相談機関等において適切かつ迅速に苦情処理を行うことができるよう、苦情相談機関等から個別事案への対応について相談を受けた場合には、必要に応じて、助言・対応の協力等を行うものとする。

    悪質な事業者等の各主体に関しては、個人情報保護委員会において、苦情相談機関等と連携して、情報収集を行うとともに、必要に応じて、個人情報保護委員会の対応等について情報を提供するものとする。また、苦情相談機関等の窓口等に関する情報を収集・整理し、インターネットの活用等により公表する。

8 その他個人情報の保護に関する施策の推進に関する重要事項

  1. 個人情報保護委員会の体制強化

    個人情報等を取り扱う各主体が、官民や地域の枠又は国境を越えて連携し、データ利活用がどの各主体においてもますます必要になり、取り扱う個人情報等が量的にも質的にも増大・多様化している。その結果、個人の権利利益に対するリスクが多様化していることも背景として、個人情報等の取扱いに関する各種政策が、国及び地方双方の行政主体により、同時かつ複合・重畳的に実施されるようになっている。

    個人情報保護委員会においては、個人情報保護制度の司令塔として、基本的な方針を示すとともに、個別の政策や事業活動等の企画立案や実施等において、総合調整や監視・監督等の役割を果たすことが求められており、安全・安心なデジタル社会の構築に貢献するためにも、その実効性を確保するための体制強化を進めるものとする。

  2. いわゆる3年ごと見直し規定による検討

    個人情報保護委員会は、法附則(令和2年法律第44号)第10条に基づき、個人情報の保護に関する国際的動向、デジタル技術の進展、それに伴う個人情報等を活用した新たな産業の創出及び発展の状況等を勘案し、法の施行の状況について検討を加え、必要があると認めるときは、その結果に基づいて所要の措置を講ずるものとする。