第1項：個人情報の利用及び提供についての原則を定めたものです。

個人データの保護に関するＯＥＣＤ理事会勧告においては、利用制限の原則(「個人データは収集時以前において明確化された目的以外の目的のために利用・提供すべきではなく、その例外は、データ主体の同意がある場合、又は法律の規定による場合である。」)として、明示されているところです。個人情報は、本来みだりに利用したり他に流通させてはならないものです。利用目的の範囲を超えて利用されたり、実施機関以外の第三者に提供されると、プライバシーの侵害を招く危険が有ります。

そこで、個人情報の目的外利用及び外部提供は、原則として禁止するものとし、例外として第7条第1項各号に該当するやむをえない場合に限り、目的外利用及び・外部提供をすることができるものとしました。

情報公開法や情報公開条例に基づき、第三者が他人の個人情報の公開を請求し、それが、情報公開法・条例の適用除外事項に該当しない場合は当該第三者に個人情報が開示されますが、これは個人情報の外部提供にあたります。情報公開法や情報公開条例によって個人情報をどこまで外部提供することになるかは、情報公開法・条例のプライバシーに関する適用除外事項の定め方及びその運用によって決められることになります。

この適用除外事項を広くすると第三者の知る権利が制約され、他方、適用除外事項を狭くすると個人のプライバシーが脅かされることになります。第三者の知る権利と個人のプライバシー権とをどう調整すべきかはなかなか困難な問題です。

私達は、個人情報保護制度を制定することを前提として情報公開法や情報公開条例を制定する場合には、情報公開法・条例の定め方として、まず、個人を識別し又は識別しうる情報を広く適用除外としたうえで、個人のプライバシーを不当に侵害することのない範囲で、公開することの公益性の程度等により公開すべき場合を列挙する方法がとられるべきではないかと考えます。

第2項：個人情報の目的外利用及び外部提供については、個人プライバシーの権利の保護の観点から厳しく規制する必要がありますが、さらに、前項但書各号に基づき目的外利用又は外部提供を行った場合には、だれが何の目的でこれを行ったのかを掌握できるよう目的外利用等記録簿に記録しなければならないものとしました。これによって、国民や住民は、政府や自治体における自己情報の流れを監視することができます。

第3項：目的外利用又は外部提供が濫用されることがないように監視することができるよう、目的外利用又は外部提供を行ったことを当該個人に通知することを定めたものです。これによって、当該個人は、目的外利用等の中止請求(第13条)を行う手がかりを得られることになります。

第1項：個人情報の適正かつ安全な保管についての原則を定めたものであり、前記ＯＥＣＤ勧告では、データの正確性の原則(「個人データは、その利用目的に沿ったものであるべきであり、かつ利用目的に必要な範囲内で正確、完全であり、最新なものに保たれなければならない。」)及び安全保護の原則(「個人データは、紛失・破壊・使用・修正・開示等の危険に対し、合理的な安全保護措置により保護されなければならない。」)と規定されているところです。

実施機関が誤った個人情報を保管・利用したり、個人情報が恣意的に改ざんされたり、あるいは漏洩されたりすると、個人のプライバシーが侵害されるおそれがあるので、実施機関は個人情報を正確かつ最新なものとして維持管理し、また、個人情報の不用意な紛失、正規の手続を経ないで行われる改ざん、減失、毀損、漏洩などに対し、適正な安全措置を講じる必要があります。

そして、このような適正な保管を行うために、個人情報保護責任者を定めることとしました。 ＯＥＣＤ勧告も、責任の原則(「データー管理者は、諸原則を実施するための措置に従う責任を有する。」)として明示されているところです。

第2項：前項の趣旨により、個人情報の保管の必要がなくなったときは実施機関は、速やかに当該個人情報を廃棄又は消去しなければならないものとしました。私達の案にはありませんが、当該個人が廃棄又は消去請求できる旨の規定を設けることも検討に値します。

実施機関が保管する個人情報を実施機関以外の個人情報と結合する場合は、個人情報の外部提供になり、また多くの場合、個人情報の目的外利用となります。諸外国では、「徴税の徹底、公平を図り、福祉の不正受給者を暴くために、個人情報バンクのドッキング(例外利用等)が盛んに行われるようになり、データー監督庁との間で、激しいやりとりが行われている」とのことです。(『個人情報保護への新時代』(春日市個人情報保護研究会編)67頁)。 特に、高度に発達した電子情報処理システムによれば、極めて簡単に個人情報を結合することができます。

しかし、第7条で明らかなとおり、目的外利用及び外部提供は厳格に制限される必要があります。それゆえ、目的外利用又は外部提供の制限の趣旨をふまえて、実施機関は、当該個人の事前の同意を得たとき又は法律(又は条例)に特別の定めがあるときを除き、個人情報を実施機関以外の個人情報と結合してはならないことを特に明記しました。

第1項：現在、行政機関等の公的機関が個人情報を処理する場合、技術的、財政的理由からその処理を外部の民間機関に委託することが多くみられます。しかしながら、民間機関の職員には法律上の守秘義務もなく、個人情報がその委託先から流出する危険も十分に予測されます。公的機関が自ら収集した個人情報を自ら責任をもって管理、処理すべきことは当然であり、技術的、財政的理由だけから安易に外部委託すべきではありません。そのため、ここでは、個人情報処理等の業務を外部＝実施機関以外のものに委託することを原則として禁止し、「必要やむをえないと認められる場合」に限ってこれを認めるものとしました。

第2項：次に、この「必要やむをえないと認められる場合」を実施機関の判断だけに委ねたのでは安易な委託がなされるおそれがあるので、これを「プライバシー保護審議会」の同意を得なければならないことにしました。

第3項：たとえ「プライバシー保護審議会」が外部委託に同意したとしても、委託先での個人情報の保護が確保されなければ本法及び条例の趣旨は実現されません。そこで、モデル案では、実施機関に対して、委託を行った実施機関がこの法律・条例で負うのと同様の責務を受託者が負うことを契約で定めなければならないものとし、また、契約上の義務の履行を確保するために必要な措置を契約上定めなければならないものとしました。たとえば、契約違反の場合に違約金を支払う義務を受託者が負うことや、業務委託契約を解除できることを契約書の中で確認することなどが考えられます。

第1項：誰でも自己に関する情報を保管している実施機関に対して、その情報の開示を求めることができるとしたものです。

自己に関する情報を適切にコントロールするには、国や地方公共団体が自己に関するどのような情報を保管しているのかを知ることが不可欠の前提となります。この自己に関する情報にアクセスする権利は、プライバシーの権利並びに憲法21条の保障する「知る権利」に基礎づけられたきわめて重要な権利です。

なお、閲覧等請求の主体については、国や地方公共団体の保管する個人情報は日本国民や当該地方公共団体の住民の情報に限られませんので、外国人や他の地方公共団体の住民も含む趣旨で、「何人も」としました。

第2項・第3項：個人情報は、基本的に情報主体である請求者本人のコントロールに服すべきものですから、請求者へ開示されることが原則であることは当然です。

しかし、一定の場合に本人に対して非開示とできる場合があることは認めざるを得ません。

そこで、例外的に非開示をすることができる情報を限定列挙しました。なお、本人への開示が原則ですから、非開示条項に該当することの立証責任は実施機関が負担することになります。

(1号)　法律又は条例で本人へ開示することができないと定められている情報については、開示しなくともよいとしたものです。

法律や条例の文言上、一般的に開示を禁じていても、それが本人への開示まで禁じる趣旨でないときはやはり本人への開示をしなければなりません。

(2号)　閲覧等請求権は極めて重要な権利ですが、第三者のプライバシーの権利、情報のコントロール権もまた保護されなければなりません。そこで同一の情報に請求者本人と第三者の情報があわせ含まれている場合、第三者の情報が第8条第1項第1号ないし第3号の外部提供の例外にあたる場合を除き、これを開示しないこととしました。

しかし、それによってたとえば第三者の氏名が記載されているため非開示とされるという不都合が考えられますが、本条第4項の部分開示の規定がありますので、たとえば第三者の氏名を抹消するなどし、できる限り多くの情報を請求者に開示しなければなりません。

これによって、請求者の閲覧請求権と第三者のプライバシーとの妥当な調整がはかられるわけです。

(3号)　医療の分野において、患者は単なる治療の客体ではなく、むしろ自己の健康を管理する主体ということができます。そして、自己の病状や治療内容は本人にとって極めて重要な事項でまた関心の高いところです。したがって、自己に関する医療記録も原則的に本人に開示しなければなりません。しかし、本人が不治の病気羅漢している場合であってかつそれを本人が知ることがかえってその治療に悪影響を与えることになるというケースもあると思われます。したがって、本人の治寮に著しい悪影響を及ぼすことが明らかな情報は非開示としました。

ただ本人への悪影響の有無については実施機関よりも専門家である医師の方が判断者として適切ですから、本人が医師を指定し、その医師への開示を求めた場合には、実施機関はその医師に対して当該医療情報をすべて開示しなければならないこととしました。この場合請求者本人は、当該医師の判断のもとに同医師から情報の開示を受け得ることになります。

(4号)　犯罪の捜査や刑の執行に関する情報は、その性質上公開することによって、その実行に支障を及ぼすことがあり、また刑事被告人の公正な裁判を受ける権利を侵害することも考えられます。そこで、このような危険が現実に存在する場合に限って非開示としました。

(5号)　行政に関する情報のなかには、行政の公正な運営を確保する観点から非開示とせざるを得ないものがあることは認めざるをえません。しかし、行政上の便宜を無制限にプライバシー権に優先させる結果にならないよう、非開示とできるのは「公正」な職務執行に「著しい」支障を生じることが「明らかな」場合に限定しました。

なお、個人情報は機関内部にとどまっている限りでは本法・条例による種々の規制を受けますが、外部に出てしまった場合にはそのコントロールはきわめて困難です。外部に出てしまったときはそれがどのように使われるかは容易に知り得ませんし、誤り等があった場合には本人に重大な影響を与えることになります。したがって外部に提供するもの及び提供することを予定して作成するものについては、絶対に開示しなければならないこととしました。これによっていわゆる内申書も絶対的開示となります。

第4項：個人情報のうち一部分のみが非開示条項に該当するような場合に、その全部までを非開示とすべきではありませんので、開示部分と非開示部分を可能な限り区分して、非開示条項に該当しない部分は開示しなければならないとしたものです。

第5項：情報が膨大又は複雑であるため2週間では開示の許否を判断できない場合には、実施機関はその理由を明らかにしてその許否決定の期間を2週間だけ延長することができます。

第6項・第7項：実施機関が請求された情報を保管していないときは、その旨明示して請求を却下しますが、この場合でも他の保管している機関があることがわかっている場合にはこのことを請求者に教示する義務があります。

第8項：定められた2週間(あるいは延長の場合、4週間)以内に許可、不許可、却下の決定がなされない場合には、開示等の各許可があったものとみなすことにしています。