プライバシー保護と個人データの国際流通についてのガイドライン
プライバシー > ガイドライン、標準規格、法制度等 > プライバシー保護と個人データの国際流通についてのガイドライン
プライバシー保護と個人データの国際流通についてのガイドライン(プライバシーほごとこじんデータのこくさいりゅうつうについてのガイドライン、英語: Guidelines on the Protection of Privacy and Transborder Flows of Personal Data)とは、経済協力開発機構(OECD)の理事会によるプライバシーに関する勧告。1980年に最初の勧告が行われ[1]、2013年に更新版が勧告された[2]。略してOECDプライバシーガイドライン[3][4]とも呼ばれる。
以下特に断りがない限り、2016年現在における最新版である2013年度版勧告をもとに記述する。また日本語訳は、JIPDECの仮訳(外部リンク参照)に準じた。
勧告概要
このガイドラインはプライバシー保護と個人データの国際流通についてのガイドラインに関するOECD理事会勧告(英語: Recommendation of the Council concerning Guidelines governing the Protection of Privacy and Transborder Flows of Personal Data)の勧告附属文書(Annex)という位置づけであるが、勧告本体は勧告附属文書記載の内容に従うよう勧告する旨が書かれたものであり、勧告の具体的内容は勧告附属文書の側に記載されている。
勧告附属文書の構成は以下の通りである:
| 名称(日本語) | 名称(英語) | 概要 |
|---|---|---|
| 第1部 総論 | PART ONE. GENERAL | 「データ管理者」や「個人データ」などの定義やガイドラインの適応範囲について述べる |
| 第2部 国内適用における基本原則 | PART TWO. BASIC PRINCIPLES OF NATIONAL APPLICATION | OECD8原則(後述)の勧告。 |
| 第3部 責任の履行 | PART THREE. IMPLEMENTING ACCOUNTABILITY | データ管理者の個人データに関する責任を明記 |
| 第4部 国際的適用における基本原則-自由な流通と合法的制限 | PART FOUR. BASIC PRINCIPLES OF INTERNATIONAL APPLICATION: FREE FLOW AND LEGITIMATE RESTRICTIONS | 個人データを国際流通させる場合、流通先がリスクを抱える場合を除いて流通の制限を控えるべきという旨 |
| 第5部 国内実施 | PART FIVE. NATIONAL IMPLEMENTATION | 各国は個人データに関する法整備や執行機関の設立、プライバシー保護の奨励等を行うべきという旨 |
OECD8原則
「第2部 国内適用における基本原則」ではOECD8原則[4][5]が勧告されている。以下、各原則の要約を記した:
| 番号 | 名称(日本語) | 名称(英語) | 概要 |
|---|---|---|---|
| 1 | 収集制限の原則 | Collection Limitation Principle | 個人データの収集は、適法かつ公正な手段で、データ主体に通知するかその同意を得た上で行わなければならない。 |
| 2 | データ内容の原則 | Data Quality Principle | 個人データは利用目的に沿ったものでなければならず、その目的に必要とされる範囲内で正確かつ完全で、最新の状態に保たなければならない。 |
| 3 | 目的明確化の原則 | Purpose Specification Principle | 個人データの収集目的は収集前に特定されなければならず、目的が変更される際も、利用はその目的の達成に限定されなければならない。 |
| 4 | 利用制限の原則 | Use Limitation Principle | データ主体の同意や法令に基づく場合以外は、個人データを特定された目的以外に利用してはならない。 |
| 5 | 安全保護措置の原則 | Security Safeguards Principle | 個人データを不正利用・漏洩・改竄などから保護する対策を講じなければならない。 |
| 6 | 公開の原則 | Openness Principle | 個人データの利用方針を公開し、データ管理者や個人データの所在地などを示さなければならない。 |
| 7 | 個人参加の原則 | Individual Participation Principle | データ管理者は、個人が自分の個人データを保有しているかを確認し、保有している場合にはそのデータの開示を求める手段を提供しなければならない。データ管理者がこれを拒否する場合は、その理由を提示し、異議申し立てを保証しなければならない。 |
| 8 | 責任の原則 | Accountability Principle | データ管理者には、以上の原則を遵守する責任を負わせるべきである。 |
脚注
- ^ OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data 2016/8/29閲覧
- ^ OECD GUIDELINES GOVERNING THE PROTECTION OF PRIVACY AND TRANSBORDER FLOWS OF PERSONAL DATA(pdf) 2016/8/29閲覧
- ^ [1] 2016/8/29閲覧
- ^ a b IT用語辞典e-words「OECD8原則」 2016/8/29閲覧
- ^ 首相官邸「OECD8原則と個人情報取扱事業者の義務規定の対応」(pdf) 2016/8/29閲覧
外部リンク
- OECD GUIDELINES GOVERNING THE PROTECTION OF PRIVACY AND TRANSBORDER FLOWS OF PERSONAL DATA(pdf) 2013年度版。2016/8/29閲覧
- プライバシー保護と個人データの国際流通についてのガイドラインに関する理事会勧告 (2013)(pdf) 2016/8/29閲覧 JIPDECによる2013年度版の仮訳
- OECDプライバシーガイドライン改正について(pdf) 2016/8/29閲覧。JIPDEC
