【資料12】 プライバシー保護と個人データの国際流 通についてのガイドラインに関するOE CD理事会勧告(一九八○年九月) 理事会は、  一一九六〇年一二月一四日のOECD条約第一(c)、3(a) 及び5(b)の各項に留意し、加盟国は、国内法及び国内政 策の相違にもかかわらず、プライバシーと個人の自由を 保護し、かつプライバシーと情報の自由な流通という基 本的ではあるが、競合する価値を調和させることに共通 の利害を有すること、個人データの自動処理及び国際流 通は、国家間の関係に新しい形態を作り上げるととも に、相互に矛盾しない規則と運用の開発を要請するこ と、個人データの国際流通は経済及び社会の発展に貢献 すること、プライバシー保護と個人データの国際流通に 係る国内法は、そのような国際流通を妨げる恐れがある こと、 を認識し、 加盟国間の情報の自由な流通を促進すること及び加盟国 間の経済的社会的関係の発展に対する不当な障害の創設 を回避することを決意し、 次のとおり勧告する。 1 加盟国は、本勧告の主要部分である勧告附属文書のガ イドラインに掲げているプライバシーと個人の自由の保 護に係る原則を、その国内法の中で考慮すること。 2 加盟国は、プライバシー保護の名目で、個人データの 国際流通に対する不当な障害を除去、又はそのような障 害の創設を回避することに努めること。 3 加盟国は、勧告附属文書に掲げられているガイドライ ンの履行について協力すること。 4 加盟国は、このガイドラインを適用するために、特別 の協議・協力の手続きについてできるだけすみやかに同 意すること。 勧告附属文書 プライバシー保護と個人データの国際流通に ついてのガイドライン 第一部 総論 定義 一 このガイドラインにおいて (a)「データ管理者」とは、国内法によって、個人デー タの内容及び利用に関して決定権限を有する者を意味 し、そのようなデータが、管理者又はその代理人に よって、収集、貯蔵、処理、もしくは流布されるかど うかは問わない。 (b)「個人データ」とは、識別された又は識別されうる 個人(データ主体)に関するすべての情報を意味す る。 (c)「個人データの国際流通」とは国境を越えて、個人 データが移動することを意味する。 ガイドラインの適用範囲 二 このガイドラインは、その処理方法又は、その性質も しくは利用の情況から、プライバシーと個人の自由に対 して危険性のある公的又は私的分野の個人データに適用 する。 三 このガイドラインは、次のことを妨げるものと解釈さ れてはならない。 (a)異なる範ちゅうの個人データに対し、その性質及び その収集、貯蔵処理及び流布の情況に応じて、異なる 保護措置を適用すること。 (b)プライバシーと個人の自由に対して、明らかにいか なる危険性をも含んでいない個人データについて、ガ イドラインの適用を除外すること。 (c)個人データの自動処理についてのみガイドラインを 適用すること。 四 ガイドラインの第二部及び第三部に掲げられている諸 原則に対する例外は、国家主権、国家安全保障及び公の 政策("公秩序")に関係するものをも含め、 (a)できるだけ少なくすること。 (b)国民に知らしめること。 五 連邦国家という特別の場合には、ガイドラインの遵守 は、連邦制における権力の分割によって影響を受けるこ ともある。 六 このガイドラインは、最小限の基準とみなされるべき であり、プライバシーと個人の自由の保護のため追加的 措置により補充することができる。 第二部 国内適用における基本原則 収集制限の原則 七 何人データの収集には、制限を設けるべきであり、い かなる個人データも、適法かっ公正な手段によって、か つ適当な場合には、データ主体に知らしめ又は同意を行 た上で、収集されるべきである。 データ内容の原則 八 個人データは、その利用目的に沿ったものであるべき であり、かつ利用目的に必要な範囲内で正確、完全であ り最新なものに保たれなければならない。 目的明確化の原則、 九 個人データの収集目的は、収集時よりも遅くない時点 において明確化されなければならず、その後のデータの 利用は、当該収集目的の達成又は当該収集目的に矛盾し ないでかつ、目的の変更毎に明確化された他の目的の達 成に限定されるべきである。 利用制限の原則 一〇 個人データは、第九条により明確化された目的以外 の目的のために開示利用その他の使用に供されるべき ではないが、次の場合はこの限りではない。 (a)データ主体の同意がある場合、又は、 (b)法律の規定による場合 安全保護の原則 一一 個人データは、その紛失もしくは不当なアクセス・ 破壊.使用.修正・開示等の危険に対し、合理的な安 全保護措置により保護されなければならない。 公開の原則 一二 個人データに係る開発、運用及び政策については・ 一般的な公開の政策が取られなければならない. 個人データの存在、性質及びその主要な利用目的と ともにデータ管理者の識別、通常の住所をはっきりさ せるための手段が容易に利用できなければならな、 個人参加の原則 一三 個人は次の権利を有する。 (a)データ管理者が自己に関するデータを有している か否かについて、データ管理者又はその他の者から 確認を得ること。 (b)自己に関するデータを、 (i)合理的な期間内に、 (ii)もし必要なら、過度にならない費用で、 (iii)合理的な方法で、かつ、 (iv)自己にわかりやすい形で、 自己に知らしめられること。 (c)上記(a)及び(b)の要求が拒否された場合には、その 理由が与えられること及びそのような拒否に対して 異議を申立てることができること。 (d)自己に関するデータに対して異議を申立てるこ と、及びその異議が認められた場合には、そのデー タを消去、修正、完全化、補正させること。 責任の原則 一四 データ管理者は、上記の諸原則を実施するための措 置に従う責任を有する。 第三部 国際的適用における基本原則−−自由な流通と合法 的制限 一五 加盟国は、個人データの国内における処理及びその 再移出が、他の加盟国に及ぼす影響について配慮すべ きである。 一六 加盟国は単なる通過も含めた個人データの国際流通 が阻害されず、安全であることを確保するために、あ らゆる合理的かつ適当な手段を講ずべきである。 一七 加盟国は、自国と他の加盟国との間における個人 データの国際流通を制限することを控えるべきである が、後者が未だガイドラインを実質的に遵守していな い場合、又はかかるデータの再移出がその国のプライ バシー保護規制を免れようとする場合は、この限りで ない。 加盟国は、また、自国のプライバシー法制が、その 性格からして特別の規制をしており、かつ他の加盟国 が、自国と同等の保護を課していないある種の個人 データに関しては、その流通を制限することができ る。 一八 加盟国は、プライバシーと個人の自由の保護という 名目で、これらの保護に必要とする程度を超え、か っ、個人データの国際流通に対して障害を創設するこ とになるような法律や政策及び運用を差し控えるべき. である。 第四部 国内実施 一九 第二部及び第三部に規定されている諸原則の国内実 施に当たって、加盟国は、個人データに関するプライ バシーと個人の自由の保護のための法的、行政的又ほ その他の手続きあるいは制度を確立すべきである. 加盟国は、特に次の事項に努めるものとする. (a)適当な国内法を制定すること (b)行動綱領その他の形式による自主的な規定の制定 を奨励し、支持すること。 (c)個人に対し、その権利を行使するための合理的な 手段を提供すること (d)第二部及び第三部の諸原則を実施する措置に応じ ない場合には適当な制裁及び救済手段を提供するこ と (e)データ主体に対する不当な差別がないようにする こと. 第五部 国際協力 二〇 加盟国は、ガイドラインの諸原則の遵守状況につい て、要求があれば他の加盟国に通報すべきである。加 盟国は、また、個人データの国際流通及びプライバ シーと個人の自由の保護についての手続きが簡明であ り、かつガイドラインを遵守している他の加盟国のそ れと矛盾しないようにすべきである。 二一 加盟国は、次の事項を容易にするための手続きを確 立すべきである。 (i)ガイドラインに関する情報交換 (ii)手続的調査的事項における相互援助 二二 加盟国は、個人データの国際流通に関して、適用し 得る法を規律する国内的、国際的な諸原則の開発に向 けて作業すべきである。