個人情報保護法
(Personuppgiftslagen 1998:204)
(1998年4月29日公布・1998年10月24日施行)
総 則
本法の目的
第1条 この法律の目的は、個人情報の処理に伴う人権侵害から個人を保護することにある。(EG-direktivet artikel 1, ingresspunkt 7-11)特別法優先の原則
第2条 本法以外の法律,政令において別段の定めある場合、本法の規定は適用されない。用語の定義
第3条 次に掲げる用語は本法において次の意味に用いる。個人情報の処理(Behandling (av personuppgifter)) 個人情報の処理とは、個人情報の処理がコンピュータによって処理されていると否とにかかわらず、個人情報処理のために行われる個人情報の収集、記録、編集、蓄積、改訂または変更、授受、利用、第三者を通じての情報の提供、拡散、その他、情報の供給、編成、合成、封鎖、消去または破壊等に関する個別的または一連の作業のことをいう。
個人情報の封鎖(Blockering (av personuppgifter))
個人情報の封鎖とは、個人情報のアクセスが制限されているという情報および制限されている理由に関する情報と結合しているため、または個人情報が印刷・出版の自由に関する法律第2章の規定による以外の方法で第三者に提供することができないために行われる作業のことをいう。受取人(Mottagare)
受取人とは、個人情報を受け取る者のことをいう。監督、検査または監査のため処理された個人情報が監督官庁に提供される場合、監督官庁は受取人とみなされない。個人情報(personuppgifter)
個人情報とは、処理の対象となっている生存者に関する直接的または間接的なすべての個人情報のことをいう。個人情報管理者(Personuppgiftsansvarig
) 個人情報管理者とは、個人情報を処理する場合、単独または他人と共同して、その目的、方法を決定することができる者のことをいう。個人情報処理業務代行者(Persongiftsbitr
äde) 個人情報処理業務代行者とは、個人情報管理者のために個人情報管理者に代わって個人情報を処理する者のことをいう。個人情報代理人(Personuppgiftsombud)
個人情報代理人とは、個人情報管理者によって選任された後、独立して、個人情報が適法,且つ適正な方法で処理されているか否かを監視する自然人のことをいう。被記録者
(Den registrerade) 被記録者とは、個人情報の処理の対象となっている者のことをいう。同 意
(Samtycke) 同意とは、個人情報の処理に際し、被記録者が個人情報管理者からインフォメーションを受けた後、被記録者から自由、任意、且つ明白になされた個人情報管理者に対する個人情報処理に関する承諾の意思表示のことをいう。監督官庁(Tillsynmindigheten)
監督官庁とは、監督業務を行うため、政府から指定された行政官庁のことをいう。第三国
(Tredje land) 第三国とは、ヨーロッパ連合またはヨーロッパ経済共同体加盟国以外の国のことをいう。第三者(Tredje man)
第三者とは、被記録者、個人情報管理者、個人情報処理業務代行者及び個人情報管理者または個人情報処理業務代行者の許で個人情報処理業務に従事する者以外の者のことをいう。適用範囲
個人情報保護法の地理的、人的適用範囲
第4条
この法律は、スウェーデン国内に設置されている個人情報管理者に適用される。個人情報管理者が第三国に設置され、且つ個人情報がスウェーデン国内において処理される場合、本法の規定が適用される。但し、第三国間の情報交換を行うためにのみ情報処理装置が利用される場合、本法の規定は適用されない。
第2項前段に規定されている場合、個人情報管理者はスウェーデン国内に自己の代理人を設置しておかなければならない。個人情報管理者について規定されている事項は代理人に対しても適用される。
本法の適用される個人情報の種類
第5条
この法律は、個人情報の全部またはその一部がコンピュータによって処理される場合に適用される。但し、個人情報が特別の基準によって検索され、編集される個人情報コレクションに含まれている場合、または含まれることが予定されている場合、その個人情報を処理する場合にも本法の規定が適用される。
私的利用を目的とした個人情報処理に関する特則
第6条 本法の規定は、自然人が専ら自己の私的利用を目的として他人の個人情報を処理する場合には適用されない。
印刷・出版の自由及び表現の自由と個人情報保護法
第7条
本法の規定が印刷・出版の自由に関する法律または表現の自由に関する法律に規定されている印刷・出版及び表現の自由に抵触する場合、抵触する限度において本法の規定は適用されない。個人情報の処理が専ら報道を目的として行われている場合または芸術、文芸作品の創作を目的として行われている場合、第9条乃至第29条、第33条乃至第44条及び第45条第1項、第47条乃至第49条の規定は適用されない。
公資料公開の原則と個人情報保護法
第8条
印刷・出版の自由に関する法律第2章に規定されている個人情報を提供すべき行政官庁の義務を制限する場合、本法の規定は適用されない。本法規定はまた、行政官庁における公資料の保有、保存または公文書保存官庁における文書保存については適用されない。
行政官庁が公文書において個人情報を利用する場合、第9条第4項の規定は適用されない。
個人情報を処理する場合の個人情報管理者の基本的注意義務
第9条
個人情報管理者は、他人の個人情報を処理する場合、次の事項に注意しなければならない。a 個人情報が適法に処理されていること
b 個人情報が常に正しく、且つ個人情報倫理に従って処理されていること
c 個人情報が特別、明確に示され、且つ正当な目的のために収集されていること
d 個人情報が所定の目的以外のことに利用されていないこと
e 処理されている個人情報がその目的から見て適切、且つ相当とみなされること
f 情報処理の目的からみて必要とされている範囲を超えて複数の個人情報が処理されていないこと
g 情報処理の対象となっている個人情報が正確でありその必要がある場合、最新の情報であること
h 情報処理の目的からみて、その個人情報が誤っている場合、または不完全な場合、常にその誤りを訂正、封鎖または抹消するため万全の措置が講じられていること
i 個人情報が情報処理の目的から見て必要以上の期間保存されないこと
但し、第1項d号の規定については、個人情報が歴史、統計または学術研究のために処理されている場合、その個人情報は収集された目的と一致しているとみなされる。
歴史、統計または学術研究ために必要な個人情報は、第1項に定められている期間より長期間これを保存することができる。但し、その目的から見て必要とみなされる期間を超えて個人情報を保存することができない。
歴史、統計、学術研究のためにに処理されている個人情報は、被記録者の個人的事項について処理することができる。被記録者本人の同意がある場合、もしくは被記録者の重大な利益から見て相当な理由がある場合、被記録者について措置を講ずることができる。
個人情報処理の基本的要件
第10条
個人情報管理者は被記録者が自己の個人情報を処理することに対して同意を与えている場合、または次の各号に掲げる事由によって個人情報を処理する必要がある場合、被記録者の個人情報を処理することができる。a 被記録者との契約を履行するためまたは被記録者から要求に基づいて契約が締結される前にその措置をすることが必要とされる場合
b 個人情報管理者がその法的義務を履行するために必要な場合、
c 被記録者の重大な利益を保護するために必要とする場合
d 公共の利益から業務資料が作成される場合
e 個人情報管理者また個人情報の提供を受ける第三者が行政官庁との関係において業務資料作成のためその必要がある場合
f 個人情報を処理することが個人情報管理者または個人情報の提供を受ける者の法的利益が被記録者の人権の保護よりも重要な場合
ダイレクトメール利用を目的とした個人情報に関する特則(Direkt marknadsf
öring)第11条
被記録者から個人情報管理者に対して、書面によって、自己の個人情報をダイレクトメールに利用することについて反対の意思表示が行われた場合、個人情報管理者は、以後、その者の個人情報をダイレクトメールに利用することができない。
同意の撤回
第12条
個人情報管理者が第10条、第15条または第34条の規定によって被記録者の同意をもって被記録者の個人情報を処理している場合、被記録者は何時でも、その同意を撤回することができる。同意の撤回が行われた場合、それ以後、個人情報管理者は被記録者の個人情報を処理することができない。被記録者は、第1項の規定及び第11条の規定によって定められている範囲を超えて、本法の規定によって許されている個人情報の処理に反対することができない。
センシテイーヴ個人情報の処理禁止
第13条
次に掲げる個人情報の処理を禁止する。a 人種、出身民族
b 政治信条
c 信教、思想
d 労働組合の構成員
健康、性生活に関する個人情報を処理することもまた同じ。
本法において第1項、第2項に掲げられている情報をセンシテイーヴ個人情報と称する。
センシテイーヴ個人情報処理の禁止に関する例外
第14条
第15条乃至第19条に規定されている場合、第13条の規定と関係なくセンシテイーヴ個人情報を処理することができる。センシテイーヴ個人情報処理の基本的要件は第10条に定める。
被記録者の同意または個人情報が公開されている場合
第15条
センシテイーヴ個人情報は、被記録者がその情報処理に対して明白な同意を与えている場合、または明確な仕方で被記録者の個人情報が公開されている場合、センシテイーヴ個人情報を処理することができる。
必要的個人情報
第16条
次の各号に掲げられている場合、センシテイーヴ個人情報を処理することができる。a 個人情報管理者が労働法上の権利を行使し、義務を履行する場合
b被記録者または他人の重要な利益を保護するために必要な場合で、且つ被記録者か個人情報の処理について同意が得られない場合
c 法的要求が確定されために必要な主張、または防御を行う場合
第1項
aの規定によって処理された個人情報は、それが労働法上、それを行うことが個人情報管理者にとって義務づけられている場合で、且つ被記録者が明確にその提供に同意を与えている場合、第三者に提供することができる。
非営利団体構成員の個人情報
第17条
政治的、思想的、宗教的または専門的目的をもっている非営利団体は、その活動の範囲内において、団体構成員及び団体の目的ために必要なセンシテイーヴ個人情報を処理することができる。但し、センシテイーヴ個人情報は、被記録者が明確にそれに対して同意を与えていない限り第三者にその情報を提供するができない。
保健・医療関係に関する個人情報
第18条
保健、医療事務を処理するため、次の場合、センシテイーヴ個人情報を処理することができる。a
保健、医療に必要な場合b
診療に必要な場合c
入院またはその他の処置を行うために必要な場合d
保健、医療管理のために必要な場合保健、医療の分野内の業務に携わっている者で、且つ守秘義務を課されている者は、守秘義務の対象となっているセンシテイーヴ個人情報を処理することができる。同様の守秘義務をもつ者で、且つ保健、医療関係機関からセンシテイーヴ個人情報を入手した者についてもまた同様である。
学術研究、統計処理のために行われる個人情報の処理
第19条
センシテイーヴ個人情報は、その処理が第10条に規定されている方法で行われ、且つまたその処理が、公共の福祉のために、被記録者に対する人権保護よりも学術研究または統計処理上、必要と認められる場合、センシテイーヴ個人情報を処理することができる。センシテイーヴ個人情報の処理に際し、研究技術コミッテー
(forskningsetisk kommitté)によってその承認を受けている場合、第1項に規定されている条件は満たされているものとみなされる。ここに技術的コミッテーとは、研究技術開発のために、社会に対しても研究に対しても、責任者をもっている特別の機関で、且つ大学、高等専門学校または大学,高等専門学校と同等以上の研究機関に結合している倫理問題審査機関のことをいう。個人情報は秘密保護法及び守秘義務に反しない限り、第1項に規定されているそのようなプロジェクトにおいて利用されるために提供することができる。
禁止規定の例外
第20条
公共の利益からみてさらに例外規定を設ける必要があるとみなされる場合、政府または政府によって指定された行政官庁は、第13条に規定されている禁止事項の例外を設けることができる。(1998年法律第1436号にて改正)
犯罪関係個人情報の処理に関する特則
第21条
個人にかかわる犯罪、犯罪事件に関する判決、刑事訴訟法的な強制手段または行政的自由拘束に関する個人情報は所管行政官庁以外の者はこれを処理してはならない。政府または政府の指定する行政官庁は、第1項に規定される禁止事項の例外を設けることができる。
政府は個別的事件において、第1項に規定されている禁止事項以外にも例外を設けることができる。政府は監督官庁に対してその決定を行うことを委任することができる。(
1998年法律第1436号にて改正)
個人番号の処理に関する特則
第22条
個人番号及び整理番号はa.処理される個人情報の目的
b身元確認の必要性がある場合
c その他相当とみなされる理由がある場合においてのみ処理することができる。(1999年法律第1059号において改正)
個人情報管理者の自発的インフォメーション義務
個人情報管理者の被記録者に対する自発的インフォメーション義務
第23条
個人情報管理者が直接、被記録者本人から個人情報を収集する場合、個人情報管理者は被記録者に対して、自発的に個人情報処理に関するインフォメーションを与えなければならない。
第24条 個人情報管理者が被記録者本人以外の者から、間接的に被記録者の個人情報を収集する場合、個人情報管理者は、被記録者に対して、自発的に個人情報処理に関するインフォメーションを与えなければならない。個人情報が第三者に提供することを目的として処理されている場合、個人情報管理者は、処理された個人情報が第三者に提供された後、被記録者に対して個人情報処理に関するインフォメーションを与えなければならない。
個人情報ファイルまたは個人情報の提供に関する規定が法律またはその他の法令に規定されている場合、第1項によるインフォメーションを提供することを要しない。
またそのことが不可能な場合またはそのことが個人情報管理者に対して不当に多大な時間と経済的負担を及ぼす場合、インフォメーションを行なうことを要しない。処理された個人情報が被記録者本人にかかわる問題を処理するために使用される場合、インフォメーションは、遅くとも、その措置が講じられるときに行わなければならない。
自発的に提供されるインフォメーションの内容
第25条
第23条または第24条の規定によって提供されるインフォメーションには、次に掲げる事項を記載しておかなければならない。a 個人情報管理者の身元に関する情報 b 個人情報処理の目的に関する事項
c 情報受領者に関する情報、個人情報管理者のインフォメーション義務、被記録者の個人情報開示請求権および訂正請求権等、被記録者の個人情報が処理される場合に被記録者の利益を保護するために必要なすべての情報
但し、既に被記録者において提供されるインフォメーションの内容が知られている場合、個人情報管理者はインフォメーションを与えることを要しない。
請求による個人情報の開示
第26条
被記録者であると否とにかかわらず個人情報の開示が求められた場合、個人情報管理者は、一暦年に一回、無料で請求者に関する個人情報の有無を通知しなければならない。個人情報管理者の許に請求者の個人情報が存在している場合、個人情報管理者は、次に掲げる事項を被記録者に通知しなければならない。
a 処理されている請求者の情報の種類
b 情報の収集先
c 処理の目的
d 個人情報が提供される宛先
第1項に規定されている請求は、個人情報管理者に対して、請求者の署名のある書面をもって行わなければならない。第1項に規定されている情報は、請求が行われてから、1ヶ月以内に提供しなければならない。但し、特別の事由がある場合、インフォメーションは請求後、4ヶ月以内に提供することができる。
第1項に規定されているインフォメーションは、請求が行われたとき、未だ処理中の場合、または記憶のまたはそれに類する場合、個人情報を提供することを要しない。但し、上記のことは、個人情報が第三者に提供されている場合、または個人情報が歴史的、統計的または学術的目的のために処理されている場合、または個人情報が1年以上処理される場合、最終的ホームがもたない処理中の文書に関する場合、上記、制限規定は適用されない。
秘密保護法及び守秘義務に基づく個人情報管理者の情報提供義務の免除
第27条
本法、その他の法令または被記録者に対して提供すべきでないという考え方に基づいて行われた決定において、別段の定めがある場合、第23条乃至第26条の規定は適用されない。行政官庁に届け出ない個人情報管理者は、その際、秘密保護法(sekretesslagen 1980:100)に規定されている場合、被記録者に対する情報の提供を拒否することができる。
訂 正
第28条
個人情報管理者は被記録者からの請求が行われた場合、本法または本法の規定に基づいて公布されているその他の法令によって処理されない個人情報を訂正、封鎖または抹消しなければならない。個人情報管理者は被記録者から請求が行われた場合、または被記録者の損害または不利益が報告によって回避することができる場合、個人情報の提供を受けている第三者に対してそのことを報告しなければならない。但し、そのことが不可能な場合、または必要以上に大きな負担となる場合、その通知は行われない。
自動決定
第29条
自然人に対して法的な効果または明白な影響を及ぼす資格判定に関する決定が自動電算処理に基づいて行われた場合、その決定によって影響を受けた者は、人による再審査請求を行うことができる。第1項に規定されている決定によって影響を受けた者は、決定の基礎となった自動電算処理に関する資料を請求することができる。
資料請求または提供については、適用可能な範囲において第26条の規定が適用される。
個人情報を処理する場合の安全
個人情報を処理する者
第30条
個人情報処理業務代行者、個人情報代行者または個人情報管理者の指揮の許に個人情報を処理している者は、個人情報管理者の指図にしたがってのみ個人情報を処理することができる。個人情報管理者のために個人情報処理業務代行者が個人情報を処理する場合、書面によって契約を締結しておかなければならない。契約には、特に、個人情報処理業務代行者が個人情報管理者の指図に従ってのみ個人情報の処理を行うこと、及び第31条第1項の規定に定められている安全対策を講ずることを定めておかなければならない。
公的業務の場合,第
1項に規定されている個人情報の処理に関し、法律、その他の法令において、別段の定めがあるとき、その規定が個人情報管理者の指示に優先して適用される。安全措置
第31条
個人情報管理者は相当な技術的、組織的な安全対策を講じなければならない。処理されている個人情報を保護するために、次の各号に規定する措置を講じなければならない。a 利用できる技術的な可能性
b 安全対策の費用
c 個人情報を処理する場合に生ずる特別の危険
d 処理されている個人情報の内容
個人情報管理者が補助者を使用する場合、個人情報管理者は補助者が必要な安全措置を講ずることを保証し、且つ個人情報の処理に際し、補助者が安全対策を講じているか否かを監督しなければならない
監督官庁による安全基準の決定
命ずることができる。
監督官庁による制裁金賦課決定は第45条に定める。
第三国に対する個人情報の移動
第三国に対する個人情報の移動禁止
第33条 第三国の個人情報保護体制が十分に整っていない場合、その国に対する個人情報の移動を禁止する。異動先国の個人情報保護体制が整っているか否かは個人情報の移動に関連して総合的に判断される。その判断に際しては、移動個人情報の種類、処理されている個人情報の目的、個人情報の処理期間、原産国、最終決定国、及び異動先国の個人情報立法に注意を払わなければならない。
保護体制が相当であるか否かは個人情報の第三国移動に際し、すべての事情を考慮して判断されなければならない。特にその場合、第三国に移動される個人情報の種類、処理目的、保存期間、原産国、最終的決定国および移動先国における個人情報処理に関する諸規則に留意しなければならない。
(1999年法律第1210号にて改正)
個人情報の国外移動禁止に対する例外
第34条
第33条の規定によって、個人情報を国外に持ち出すことが禁止されている場合であっても、被記録者の同意がある場合、または個人情報を国外に持ち出す必要がある場合、個人情報を国外の持ち出すことができる。a
個人情報管理者が被記録者との契約を履行するため、または契約が締結される前に被記録者から要求された措置を契約の締結される前に講じておく必要がある場合b
被記録者のために個人情報管理者と第三者との間に締結されている契約を履行するために必要とされる場合c
法的権利の確定、主張、防禦するために必要な場合、またはd
被記録者にとって重要な利益を保護する要がある場合個人情報のコンピュータ処理に際しての権保護に関するヨーロッパ理事会条約に加盟している国においてのみ利用されるために個人情報を移送することは許される。
第35条 個人情報の特定国への移動に関し、政府は第33条に規定されている禁止事項の例外を設けることができる。契約によって、被記録者の権利を保護するに十分な保証が与えられている場合、政府はまた、第3国への個人情報の移動に関し、規則を設けることができる。
被記録者の権利保護に対して十分な保証があり、且つ公共の利益から見て必要な場合、政府または政府の指定する行政官庁は、第33条の禁止事項に関し例外を設けることができる。
政府は第2項に規定されている前提の許で、個別的に第33条の例外規定を設けることができる。政府はその決定を監督官庁に委ねることができる。(
1998年法律第1436号にて改正)
監督官庁に対する届出
届け出義務
第36条
個人情報の全部またはその一部が自動電算機によって処理される場合、個人情報管理者は個人情報の処理に先立って、同一目的をもって一連の個人情報が処理される場合にはその情報処理に先立って、書面をもって監督官庁に届け出なければならない。個人情報管理者によって個人情報代理人が選任されている場合、個人情報管理者は選任されている個人情報代理人を届け出なければならない。個人情報管理者が解任された場合、また同様である。
政府または政府によって指定されている行政官庁は、明らかに人権侵害の危険性がないと思われる場合、その個人情報処理について、届け出義務を免除することができる。
個人情報代理人の選任と個人情報管理者の個人情報処理届け出義務の免除
第37条 個人情報管理者が監督官庁に対して、個人情報代理人の選任届を提出している場合、個人情報管理者は、第36条に規定されている届け出の義務を免除される。
個人情報代理人の任務
第38条
個人情報代理人は独立して、個人情報管理者が適法、適正、且つ個人情報倫理にしたがって、個人情報を処理しているか否かを監視し、処理の方法に瑕疵を発見した場合、そのことを指摘しなければならない。個人情報代理人において個人情報管理者が個人情報処理規程に反して個人情報の処理を行っていることを知り、且つその指摘を行った後、個人情報管理者が早急に是正措置を講じなかった場合、個人情報代理人はその旨を監督官庁に報告しなければならない。
個人情報代理人は個人情報の処理に適用される規定の運用に疑義がある場合、監督官庁と協議しなければならない。
第39条
個人情報代理人は個人情報管理者の保有している個人情報で、且つ個人情報代理人が選任されていなかったらならば届出の対象となるべき個人情報に関するリストを作成しておかなければならない。リストには少なくとも第36条に規定されている個人情報管理者の届け出義務の対象となる個人情報を含んでいなければならない。第40条 処理されている個人情報に誤りがあると思われる場合、または不完全であると思われる場合、その訂正を行うことため、個人情報代理人は被記録者を援助しなければならない。
センシテイーヴ個人情報を処理する場合の強制的届け出義務
第41条
処理される個人情報の中に、不当な人権侵害の危険性が含まれている場合、政府は、事前審査のため、3週間前に、第36条の規定により、監督官庁に対して届けを行うことを義務付けることができる。政府がそのような規定を設けた場合、第37条に規定されている届け出義務からの例外は適用されない。(1998年法律第1436号にて改正)
未届個人情報の公開
第42条 自動伝先によって処理された個人情報で、且つ監督官庁に届け出られていない個人情報について、一般人から情報の開示を求められた場合、個人情報管理者は、早急な適切な方法で、情報の開示を請求した者に対して自己の保有する個人情報についてインフォメーションを与えなければならない。提供される情報には、本法第36条第1項に規定されている情報を記載しておかなければならない。但し、行政機関以外の個人情報管理者は、請求事項が秘密保護法(Sekretesslagen 1980:100)に規定されている場合、その情報の提供を拒否することができる。
監督官庁の権限
第43条
監督官庁は監督を行うため、次に掲げる事項を要請することができる。a 処理されている個人情報の提出
b 処理されている個人情報及び個人情報処理に際しての安全に関する情報、資料の提出、及び
c 個人情報の処理が行われている場所に立ち入り
第44条 監督官庁が第43条の規定に基づいて要請を行った後、監督官庁において個人情報処理が適法に行われているということを確認するにたる十分な根拠を入手することができなかった場合、監督官庁は制裁金を付して、個人情報管理者に対して貯蔵以外の方法で、個人情報処理の中止を命ずることができる
第45条 監督官庁において個人情報が違法な方法で処理されているとみなされた場合、または違法な方法で処理されるおそれがある場合、監督官庁は指示その他の方法で改善が求めることができる。指示、その他の方法で改善ができないと思われる場合、またはそのことが急を要する場合、監督官庁は制裁金を付して責任者に対して個人情報の処理を中止させることができる。
個人情報管理者が任意に第32条に規定されている監督官庁の改善命令に従わない場合、監督官庁は制裁金を賦課することができる。
第46条 監督官庁は、第44条または第45条の規定によって制裁金の賦課決定を行う前に、個人情報管理者に対して、意見を述べる機会を与えなければならない。事態が急を要する場合、監督官庁は意見聴取に先だって、制裁金を付して暫定的な決定を行うことができる。
暫定的決定を行った場合、監督官庁は暫定決定期間が終了したとき再審査を行わなければならない。通知に関する法律
(Delgivingslagen[1970:428])第12条の規定は、個人情報管理者が逃亡、その他の方法でその居所が不明の場合においてのみ使用することができる。
第47条 監督官庁は、監督官庁所在地県の地方行政裁判所に対して、違法に処理された個人情報の撤去を請求することができる。
但し、撤去決定を行うことが不適当と思われる場合、裁判所はその決定を行ってはならない。
損害賠償
第48条 個人情報管理者が個人情報の処理に際し、本法の規定に反して他人に対して損害を与えた場合、または人権侵害によって被記録者に対して損害を与えた場合、個人情報管理者はその損害を賠償しなければならない。
但し、個人情報管理者においてその誤りが自己の責めに帰すべからざることを立証することができる場合、その損害賠償責任を軽減することができる。
刑 罰
第49条 故意、過失によって、次に掲げる事項に反した場合、罰金または6ヶ月以内の懲に処する。犯罪の内容が重大な場合、最高2年の懲役に処する。
a 本法に規定されている被記録者に対して提供された情報において不真実情報を提供した場合、
b 第36条に規定されている監督官庁に対して提供された報告書に不真実を記載した場合、または第43条の規定によって監督官庁から請求された報告に不信実情報を記載、提供した場合
c 第33条乃至第35条の規定に反して第3国に対して個人情報を移動した場合
d 第36条第1項の規定により届け出義務を怠った場合または第41条の規定に基づいて行われた規則による届け出義務を怠った場合
第1項の規定に反する犯罪のないようが軽微な場合、その責任を免除する。
(1999年1210号にて改正)第44条または第45条第1項に規定されている事項に反した場合、違反事項に含まれる行為については刑事責任を問われない。
規則制定権
第50条
政府または政府の指定する行政官庁は、次の掲げる事項について個人情報処理に関する規則を設けることができる。a 個人情報の処理が許される場合の条件
b 個人情報が処理される場合の条件
c 個人番号の使用が許される場合の条件
d 個人情報管理者に対する報告、申請に含まれるべき事項
e 被記録者に対して提供される情報の内容及びその提供方法
f 監督官庁に対する届け出及び届け出事項が変更された場合の変更手続き
(
1998年法律第1436号にて改正)異議の申し立て
第51条
本法の規定による監督官庁の決定に対して異議ある者は、その決定がデータ検査院通達の場合を除いて、普通行政裁判所に対して異議の申し立てを行うことができる。高等行政裁判所に対して異議の申し立てを行う場合、審理許可を得なければならない。
監督官庁の決定に対して異議の申し立てが行われた場合であっても監督官庁はその決定を適用することができる。
――――――――――――――――――――――
施行及び経過規定
1.この法律は1998年10月24日から施行する。本法の施行と同時にデータ法
(Datalgaen 1973:289)を廃止する。但し、1998年10月24日前に行われた決定に対する異議の申し立てについてはデータ法の規定が適用される。2.本法施行前に個人情報の処理が開始されている場合、特定の目的のために行われた情報処理が本法の施行前に開始されているとき、2001年9月30日までデータ法の規定が新法の規定に代わって適用される。その場合、異議の申し立てに関しては、データ法の規定が適用される。
3.本法施行前に着手された手作業個人情報、または特定の目的のために行われた手作業処理については、そのための手作業処理が本法施行前に開始されている場合、2007年10月1日までは、新法第9条、第10条、第13条、及び第21条の規定は適用されない。
4.本法施行の際に、歴史研究のため蓄積されている個人情報については、別の方法でその個人情報が利用されるとき、新法第9条、第10条、第13条及び第21条は適用される。それまでは旧法の相当規定が適用される。但し、以上述べたことから、新法に規定されている規定は、第2号または第3号に規定されていることより早く適用されない。
5.新法第36条による届け出は、当該処理に対して新法が施行される前に行わなければならない。
6.新法施行前に提供された同意は、新法に規定されている要件を満たしている場合、本法施行後も有効とする。
7.データ法第10条の規定によりコピーについて請求が行われた場合で、且つコピーが本法施行前に存在していなかった場合、その請求は、新法第26条に規定されている申請とみなされる。
8.新法の損害賠償に関する規定は、主張の依拠する状況が新法の規定される当該情報処理のために効力を生じたとき、その効力を発する。 以 上
(菱木昭八朗訳)
註 1998年法律第1436号にて改正された規定は、1999年1月1日より施行。