個人情報保護委員会にはどのような権限があるか

IT・情報セキュリティ

 個人情報保護委員会は、どのような権限を有する委員会ですか。

 個人情報保護委員会は、平成28年1月1日に、番号法の所管官庁であった特定個人情報保護委員会を改組して個人情報保護法も所管する委員会として設置されました。内閣府の下に置かれた委員会であり、内閣総理大臣からの指揮監督を受けず、独自に権限を行使できるいわゆる3条委員会です。改正個人情報保護法の全面施行後(平成29年5月30日以降)は、主務大臣による監督権限が廃止され、個人情報保護委員会が監督権限を有することになります。

解説

目次

  1. 改正の背景
  2. 個人情報保護委員会の位置付け
  3. 個人情報保護委員会の権限
    1. 平成28年1月1日から改正個人情報保護法の全面施行日(平成29年5月29日)まで(第一段階の改正)
    2. 改正個人情報保護法の全面施行日(平成29年5月30日)以降

※本QAの凡例は注の通りです1

改正の背景

 EUデータ保護指令では、EU域内から個人データを第三国に移転できる場合について、EUから見て十分なレベルの保護措置を確保している場合に限定しています(「十分性の認定」)。

 EUをはじめとする諸外国では、プライバシーや個人情報の保護を一元的に担当する独立の監督機関を設置しています。
 日本は現在のところ、「十分性の認定」の申請をしていませんが、日本政府は、EUから十分性の認定を得るために必要な要件の一つとして、「独立した第三者機関の整備」について定める必要があると考えました。

 そこで、平成27年12月末まで、行政手続における特定の個人を識別するための番号の利用等に関する法律(以下「番号法」といいます)に関する所管官庁であった「特定個人情報保護委員会」を改組し、平成28年1月1日から個人情報保護法も所管する「個人情報保護委員会」としたのです。
 平成27年12月末までは、個人情報保護法の所管官庁は消費者庁であり、同庁が同法の解釈権限を有していましたが、平成28年1月1日以降は、個人情報保護委員会が有しています。

個人情報保護委員会の位置付け

 個人情報保護委員会は、内閣府設置法に基づき内閣府の外局として位置付けられており(改正個人情報保護法59条1項)、主務大臣は内閣総理大臣です(改正個人情報保護法59条2項)。

 内閣府設置法49条3項に基づくものであり、組織としての独立性の高い「3条委員会」に該当するとも言われています。「3条委員会」とは、国家行政組織法3条や内閣府設置法64条の規定に基づいて、府省の外局として置かれる、独立性の高い行政委員会です。府省の大臣などから指揮監督を受けず、独自に権限を行使できます。公正取引委員会・国家公安委員会・個人情報保護委員会(内閣府)、公害等調整委員会(総務省)、公安審査委員会(法務省)、中央労働委員会(厚生労働省)、運輸安全委員会(国土交通省)、原子力安全委員会(環境省)があります。

 委員会の委員長や委員は職権行使の独立性が認められています(改正個人情報保護法62条)。
 また、人格が高潔で識見の高い者のうちから、両議院の同意を得て、内閣総理大臣が任命することとされています(改正個人情報保護法63条3項)。

個人情報保護委員会の権限

平成28年1月1日から改正個人情報保護法の全面施行日(平成29年5月29日)まで(第一段階の改正)

(1)委員会の任務

 個人情報保護委員会の任務は以下のとおりです(全面施行前 個人情報保護法51条)。

  1. 個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護するため、個人情報の適正な取扱いの確保を図ること
  2. 個人番号利用事務等実施者に対する指導及び助言その他の措置を講ずること

(2)委員会の所掌事務

 個人情報保護委員会の所掌事務は以下のとおりです(全面施行前 個人情報保護法52条)。②・③は番号法にのみ関連するものです。

  1. 基本方針の策定及び推進に関すること。
  2. 特定個人情報の取扱いに関する監視又は監督並びに苦情の申出についての必要なあっせん及びその処理を行う事業者への協力に関すること。
  3. 特定個人情報保護評価に関すること。
  4. 個人情報の保護及び適正かつ効果的な活用についての広報及び啓発に関すること。
  5. 前各号に掲げる事務を行うために必要な調査及び研究に関すること。
  6. 掌事務に係る国際協力に関すること。
  7. 前各号に掲げるもののほか、法律(法律に基づく命令を含む。)に基づき委員会に属させられた事務

 個人情報委員会は、その所掌事務について、法律もしくは政令を実施するため、または法律もしくは政令の特別の委任に基づいて、個人情報保委員会規則を定めることができます(全面施行前 個人情報保護法65条)。

(3)監督権限

 第一段階の改正においては、勧告・命令等の個人情報保護法に基づく監督権限は従前どおり主務大臣(各省庁)に属しています。

改正個人情報保護法の全面施行日(平成29年5月30日)以降

(1)所掌事務

 所掌事務として以下の2つが追加されます。

  • 個人情報及び匿名加工情報の取扱いに関する監督並びに苦情の申出についての必要なあっせん及びその処理を行う事業者への協力に関すること。
  • 認定個人情報保護団体に関すること。

(2)監督権限

 主務大臣による監督権限が廃止され、個人情報保護委員会が監督権限を有することになります。

  • 報告徴求・立入検査(全面施行後 改正個人情報保護法40条)
  • 指導・助言(改正個人情報保護法41条)
  • 勧告・命令(改正個人情報保護法42条)

 改正前の主務大臣は「報告徴収」の権限しか付与されていませんでしたが、実効性のある監督を確保するために、「立入検査」の権限も付与されたのです。
 「立入検査」とは、個人情報保護委員会の職員が個人情報取扱事業者や匿名加工情報取扱事業者の事務所等に立ち入り、個人情報や匿名加工情報の取扱いについて質問することや帳簿書類等を検査することです(改正個人情報保護法40条1項)。

 「立入検査」は、保護法の「施行に必要な限度」で行うことができます(改正個人情報保護法40条1項)。「施行に必要な限度」とは、具体的には、個人情報取扱事業者や匿名加工情報取扱事業者への任意のヒアリングや報告徴収では正確な事実関係の把握や必要な資料の収集が困難な場合や即座に必要な調査を行うことが有用な場合です(瓜生和久編著『一問一答 平成27年改正個人情報保護法』(商事法務、2015)124頁)。

(3)事業所管大臣への権限の委任等

 個人情報保護委員会は、「報告徴収・立入検査」の権限を、「事業所管大臣」に委任することができます(改正個人情報保護法44条)。「事業所管大臣」は、改正前の「主務大臣」に相当するものが該当することになります(改正個人情報保護法46条)。これに対して、「指導・助言・勧告・命令」の権限は例外なく個人情報保護委員会が実施することとされています。

 「報告・立入検査」の権限を事業所管大臣に権限の委任することができるのは、各省庁が所管する各事業分野に関する専門的知見や所管する事業分野の事業者を監督するために有している体制を有効に活用するためです。

 これに対して、「指導・助言・勧告・命令」の権限は「事業所管大臣」に委任することはできません。「指導・助言・勧告・命令」の権限を委任の対象としなかったのは、必要となる法の解釈や個別事案への適用に関する判断を全て個人情報保護委員会の意思決定にかからしめることにより、監督権限を一元化するためです(PC368)。

 個人情報保護委員会は、事業所管大臣に「報告徴収・立入検査」の権限を委任しても、重畳的に同権限を行使することができます。

 個人情報保護委員会が事業所管大臣に権限を委任することになるのは次のいずれかに該当する「事情」がある場合です(改正個人情報保護法44条1項、個人情報保護法施行規則12条)。これも、個人情報保護委員会の監督権限を一元化するために、権限の委任の範囲を限定しているものです。

  1. 緊急かつ重点的に個人情報等の適正な取扱いを確保する必要があること。
  2. 上記①のほか、効果的かつ効率的に個人情報等の適正な取扱いを確保するために事業所管大臣が有する専門的知見を特に活用する必要があること。

 個人情報保護委員会から事業所管大臣に権限の委任をする手続は以下のとおりです(改正個人情報保護法44条1項、個人情報保護法施行規則13条)。

  1. 個人情報保護委員会は、権限を委任する場合においては、委任しようとする事務の範囲及び委任の期間を定めて、事業所管大臣に委任する。ただし、個人情報保護委員会が自らその権限を行使することを妨げない。
  2. 個人情報保護委員会は、委任しようとする事務の範囲及び委任の期間を定めようとするときは、あらかじめ、事業所管大臣に協議しなければならない。
  3. 個人情報保護委員会は、権限を委任しようとするときは、委任を受ける事業所管大臣、委任しようとする事務の範囲及び委任の期間を公示しなければならない。

 事業所管大臣は、以下のとおり、個人情報保護委員会に権限行使の結果を報告しなければなりません(改正個人情報保護法44条2項、個人情報保護法施行規則14条)。これも個人情報保護委員会への権限の一元化に留意した取扱いです。

  1. 事業所管大臣の権限行使の結果報告は、委任の期間の範囲内で個人情報保護委員会が定める期間を経過するごとに(個人情報取扱事業者等に個人情報保護法に違反する行為があると認めたときは、直ちに)、その間の権限の行使の結果について次に掲げる事項を記載し、又は記録した書面により行う。
    • 報告若しくは資料の提出の要求又は立入検査を行った結果により判明した事実
    • その他参考となるべき事項
  2. 個人情報保護委員会は、上記①の報告の期間を定めようとするときは、あらかじめ、事業所管大臣に協議しなければならない。

(4)地方支分部局の長等への権限の委任

 事業所管大臣は上記(3)で個人情報保護委員会から権限を委任された事項について、以下のとおり、地方支分局の長等へ権限を委任することができます(個人情報保護法施行規則15条~18条)。

  1. 事業所管大臣は、委任された権限及び結果報告の権限を外局の庁の長等に委任することができる。
  2. 事業所管大臣及び外局の庁の長等は、委任された権限を地方支分部局の長等に委任することができる。
  3. 事業所管大臣及び外局の庁の長等は、上記①又は②の委任をしようとするときは、委任を受ける職員の官職、委任しようとする事務の範囲及び委任の期間を公示しなければならない。

(5)地方公共団体の長等が処理する事務

 報告徴収および立入検査の事務が、個人情報保護委員会から事業所管大臣または金融庁長官(改正個人情報保護法44条4項により内閣総理大臣から権限を委任されている)に権限が委任された場合において、個人情報取扱事業者等が行う事業であって当該事業所管大臣又は金融庁長官が所管するものについての報告の徴収または検査に係る権限に属する事務の全部または一部が他の法令の規定により地方公共団体の長等が行うこととされているときは、当該地方公共団体の長等が行うことになります(改正個人情報保護法施行令21条)。

 この場合、事業所管大臣または金融庁長官が自ら当該事務を行うことを妨げられません。

 報告徴収または立入検査の事務を行った地方公共団体の長等は、委任に係る権限行使の結果の報告の期間を経過するごとに(個人情報取扱事業者等に個人情報保護法に違反する行為があると認めたときは、ただちに)、その間に行った当該事務の結果について権限行使の結果に関する事項を記載し、または記録した書面により事業所管大臣または金融庁長官を経由して個人情報保護委員会に報告しなければなりません。


    • 改正個人情報保護法:個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律(平成27年9月9日法律第65号)に基づく改正後の個人情報保護法
    • 改正個人情報保護法施行令:個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律の施行に伴う関係政令の整備及び経過措置に関する政令(平成28年10月5日政令第324号)に基づく改正後の個人情報の保護に関する法律施行令
    • 個人情報保護法施行規則:個人情報の保護に関する法律施行規則(平成28年10月5日個人情報保護委員会規則第3号)
    • PC:個人情報の保護に関する法律施行令の一部を改正する政令(案)および個人情報の保護に関する法律施行規則(案)に関する意見募集結果(個人情報保護委員会:平成28年10月5日)

    ↩︎

無料会員にご登録いただくことで、続きをお読みいただけます。

1分で登録完了

この実務Q&Aを見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する