イギリスの情報開示と保護
本稿は,財団法人自治体国際化協会が2006年(平成18年)6月に公表した「英国の情報開示と保護―情報自由法とデータ保護法を中心として―」が40ページにわたるため,このうち「データ保護法」に関する記述に限定して,単純に要約したものであり,私見を含まない。
1. データ保護法の制定経緯
イギリスでは,個人情報保護に関する法律として,1984年データ保護法が制定されていたが,1980年のOECDプライバシー・ガイドラインや欧州評議会の個人データ保護関連条約を背景に,1995年個人データの処理及び当該データの自由移動における個人の保護に関するEU指令が採択され,この指令に国内法を適合させる必要が発生したことから,1998年データ保護法が制定されて2000年3月から施行された。
2. データ保護8原則
データ保護法の根幹をなすデータ保護8原則は,個人データについて,次のとおり定める。
① 公正かつ合法的に処理されなければならない
② 明確かつ合法的な目的に沿って処理されなければならない
③ 目的に関連したものでなければならない
④ 正確かつ最新のものでなければならない
⑤ 必要以上に長く保持してはならない
⑥ 個人の権利に従って処理されなければならない
⑦ セキュリティを確保しなければならない
⑧ 欧州経済地域外への移転は,当該国が個人情報について適切な措置を講じている場合に限る
上記8原則のうち,①の「公正かつ合法的」であるための要件として,いくつかの要件が定められており,この要件は,機微情報について,加重されている。
また,⑧の国外移転要件についても,いくつかの例外要件が定められている。日本が「情報保護について適切な保護水準」を保障しているか否かは,現在審査中である。
3. 情報コミッショナーの役割
情報コミッショナーは,政府から独立した監督機関であり,データ保護法に関しては,次の権限を有する。
① 情報通知(データ管理者に対しデータ保護法が遵守されているかどうかを判断するために必要な情報を要求する)権限
② 強制通知(違法行為を行ったデータ管理者に対して同法遵守のため特別措置を講ずることや処理を停止することを要求する)権限
③ データ保護法違反者を情報審判所に告訴する権限
④ データ管理者の同意に基づき,データ保護法を遵守し適正に実務を行っているかどうかを評価し,その評価結果をデータ管理者に通知する権限
4. データ主体となる個人に保障されている権利
① 個人(データ主体)のアクセス権(本人についてどのような情報が記録保存されているかを知る権利。犯罪防止・摘発,保険,教育及び社会事業・課税の場合等の例外あり)
② 個人(データ主体)の処理を防止する権利(本人又はその他の者に不当な損害・苦痛を与える処理または開示の中止請求権)
③ ダイレクト・マーケティングのための情報処理停止権
④ 自動的機械的決定に対して人的関与を求める権利
⑤ 損害補償を求める権利
⑥ データの修正,阻止(保護),消去,破棄を要求する権利
⑦ 情報コミッショナーに対し法律違反かどうかの審査を要求する権利
5. 情報自由法との関係
① データ主体による本人についての個人情報の開示の可否は,すべてデータ保護法に従い,上記4の①の例外以外は全部開示の対象となる。
② 第三者による固持温情法の開示請求については,情報自由法で規定する以下の要件のうちいずれに該当しない限り,公開を要する。
ア) データ保護8原則のいずれかに抵触する場合
イ) データ保護法に基づき本人さえアクセスできない場合
ウ) データ主体に損害を与える可能性があり,データ主体がその処理を阻止する権利が妨げられる場合
6. 違法行為
① 情報コミッショナーに対する届出義務違反
② 調達販売違反(データ管理者の同意無く意図的又は不当に個人情報を入手・公開・漏泄する場合)
7. データ使用通知システム(情報保護のための南京錠Information Padlock)
データ管理者が,保有データの使用をデータ主体である個人に通知するシステム。本人は,Webを通じて,事故情報の使用状況を把握できる。
| 固定リンク
この記事へのコメントは終了しました。
コメント