個人の権利利益を保護

― 個人情報の保護に関する法律（個人情報保護法）の中身は、内閣府のHPで見ることができますが、何を規定する法律なのですか。

宇賀　この法律の目的は、第１条にもあるように、個人情報の取り扱いに際して、個人の権利利益を保護することにあります。個人に関する情報の適正な取り扱い方法を整備することで、個人の権利利益を守ろうというのが、この法律の趣旨です。
　その主な内容として、（１）個人情報を収集する際には利用目的を明確にしなければならない（２）目的以外で利用する場合には、本人の同意を得なければいけない（３）個人情報を収集した場合、利用目的を本人に通知・公表しなければいけない（４）情報が漏洩しないよう対策を講じ、委託業者も監督しなければいけない（５）本人の同意を得ずに第三者に情報を提供してはならない（６）本人からの求めに応じ情報を開示しなければならない（７）公開された個人情報が事実と異なる場合、訂正や削除に応じなければならない（８）苦情に対し、適切・迅速に対処しなければならない―といったことが規定されています。
　また、個人情報は教育やビジネスなどの場面で有効に活用される資産であり、その有用性に配慮することも謳っています。しかしその場合でも、まず個人の権利利益の保護を優先し、場合によっては有用性とのバランスも考慮するという立場に立っています。
　また、ここでいう個人情報は、従来「プライバシー」として扱われてきたものより広い概念であることに注意すべきです。法律では、個人情報を「生存する個人に関する情報で、かつ特定の個人を識別できるもの」と規定していますから、一般には必ずしもプライバシーとはいえない情報まで含まれる可能性があります。

― プライバシーではない個人情報とはどんなものですか。

宇賀　例えば、個人の性別は通常ではプライバシーとは見なされません。ほとんどの場合、一見してわかりますから。しかし、何らかの書類に性別を書くとなると、それは一つの個人情報と見なされるということです。

― この法律では、「個人情報データベース等を事業の用に供している者」を「個人情報取扱事業者」としています。大学もそれに当てはまるわけですが、個人情報の取得や利用について事業者が認識しておかなければいけないことは何ですか。

宇賀　この法律における個人情報利用の基本的な考え方は、「利用目的の制限」にあります。つまり、個人情報の利用目的をできるだけ具体的に特定し、その範囲内でしか利用しないということです。
　そこで、まず気を付けなくてはならないのは個人情報を取得する場合の手続きです。取得には必ず何らかの目的があるはずですから、その目的を通知しなくてはなりません。文書で個人情報を提出させる場合は、あらかじめ利用目的を明示しておく必要があります。また、取得する情報は、その目的を達成する上で「必要最小限の範囲内の個人情報」に限られるというのが、基本原則です。
　また、使わなくなった個人情報は速やかに廃棄しなくてはなりません。個人情報を無目的に保持していることは許されないのです。

― この法律全体の構成について教えてください。

宇賀　大きく二つの部分に分かれています。第１章から第３章までは、個人情報保護の基本法の部分にあたります。そして第４章から第６章は、民間機関における個人情報保護の一般法としての部分です。つまりこの法律は、二重の性格を持ち合わせているのです。個人情報は民間部門だけでなく、国や地方自治体などの公共機関でも扱います。ですから基本法の部分は、個人情報を扱う人たち全員が守るべき基本的な理念、国や地方公共団体の責務について述べたものになっています。
　03年５月の公布時点では、第３章までの施行でしたが、05年４月からは第４章以降も含めて全面施行されます。