OECD8原則と個人情報保護法との関係

 

OECDの8原則について調べてみました。

きっかけは最近の特定秘密保護法の議論や、少し前の

個人情報保護法に触れる機会があったからです。

 

OECEと個人情報がどのように関係しているのか

検討もつかなかったので勉強になりました。

 

まずはOECDとは何かから学んでいきましょう！

 

OECDとは？

OECDとは、「Organisation for Economic Co-operation

and Development」の頭文字を取ったもので、

日本語では「経済協力開発機構」と訳されます。

 

本部はフランスのパリです。

 

前身はOEEC（欧州経済協力機構）で、

第二次世界大戦（太平洋戦争）後の経済的に疲弊した欧州を

救済すべきアメリカが発表した「マーシャルプラン」に

基づいて発足されました。

 

その後、まずアメリカとカナダが加わり1961年に

現在のOEDEとなったわけです。（日本は1964年に加盟）

 

OECDには三大目的があります。

すなわち、「経済成長」、「貿易自由化」、「途上国支援」です。

OECDは先進国間で意見や情報交換を行い、これらの三大目的を

達成することを主眼としています。

 

OECD8原則の趣旨

OECD8原則は、いわゆる「OECDプライバシーガイドライン」で

規定される個人情報の考え方の8つの原則のことで、

1980年にOECDで採択されたものです。

 

国際的な取引や交流が増加する中で、各国の法的取り扱いが

異なると混乱をきたすことから、個人情報の取り扱いについての

ガイドラインとなるものなんですね。

 

1980年の制定当初は、インターネット社会がここまで進むとは

想定されていなかったでしょうが、結果として、

昨今の情報化社会では、OECD8原則は非常に重要な位置づけと

なりました。

 

で、ガイドラインの意味なんですが、もちろんOECD加盟国が

そのままガイドラインにしたがった行動や言動をすれば

いいのですが、

 

行っていい、もしくは行わなければならない事項に関しては

各国の個別法で定められているのが原則です。

 

とはいえ、そこまで個人情報に関しては詳細に定められて

いない状態もあるでしょうから、各国はOECDの

「OECDプライバシーガイドライン」に沿った状態に

個別法を定める必要があります。

 

若干、遠回しになりましたが、その際の道標となるのが

「OECDプライバシーガイドライン」であり、2003年に成立

2005年から施行されている日本の「個人情報保護法」も

当然、このガイドラインにしたがって制定されました。

 

OECD8原則と個人情報保護法との関係

それでは最後に、OECD8原則と個人情報保護法との関連性を

お伝えします。

 

1.目的明確化の原則(Purpose Specification Principle)

収集目的を明確にし、データ利用は収集目的に合致すべき

＜利用目的をできるかぎり特定しなければならない（15条）＞

2.利用制限の原則(Use Limitation Principle)

データ主体の同意がある場合、法律の規定による場合以外は

目的以外に利用使用してはならない。

＜利用目的の達成に必要な範囲を超えて取り扱ってはならない（16条）＞

＜本人の同意を得ずに第三者に提供してはならない（23条）＞

 

3.収集制限の原則 (Collection Limitation Principle)

個人データは、適法・公正な手段により、かつ情報主体に

通知または同意を得て収集されるべき

＜偽りその他の不正の手段により取得してはならない（17条）＞

 

4.データ内容の原則(Data Quality Principle)

収集する個人データは、利用目的に沿ったもので、

かつ、正確・完全・最新であるべき

＜正確かつ最新の採用に保つように努めなケラばならない（19条）＞

 

5.安全保護の原則(Security Safeguards Principle)

合理的安全保護措置により、紛失・破壊・使用・修正・

開示等から保護すべき

＜安全の管理のために必要な措置を講じなければならない（20条）＞

＜従業者、委託先に対し必要な監督を行わなければならない（21条、22条）＞

 

6.公開の原則(Openness Principle)

個人データ収集の実施方針等を公開し、データの存在、

利用目的、管理者等を明示するべき

＜取得した時は利用目的を通知又は公表しなければならない（18条）＞

＜利用目的等を本人の知りうる状態に置かなければならない（24条）＞

 

7.個人参加の原則(Individual Participation Principle)

自己(データ主体)に関するデータの所在及び内容を確認させ、

または異議申立を保証するべき

＜本人の求めに応じて保有個人データを開示しなければならない（25条）＞

＜本人の求めに応じて訂正等を行わなければならない（26条）＞

＜本人の求めに応じて利用停止等を行わなければならない（27条）＞

 

8.責任の原則(Accountability Principle)

個人データの管理者は諸原則実施の責任を有する

＜苦情の適切かつ迅速な処理に努めなければならない（31条）＞

※出典：首相官邸ホームページより

※条文は個人情報保護法です

 

以上になります。

 

この内容は、職場での話題の中でも実務に役立ちますね。

 

日本の個人情報保護法が国際機関の一つであるOECDの

ガイドラインに準拠して制定されたものだということを

知らない人も多いと思います。

 

日本で制定される法令の中には、このように国際的な基準に

合致させるためのものも多いと思いますので、

知識として抑えておきたいところです！