OECD8原則とは

1980年にOECD（経済協力開発機構）で、個人情報保護の基本となるガイドライン「OECD 8原則」が定められました。

これは有名なアシモフのロボット3原則のように、世界の個人情報保護の共通した基本原則となるものです。
日本の「個人情報保護法」も「OECD 8原則」を取り込む形で制定されています。

【個人情報保護の体系】
上の図は日本の個人情報保護の体系を表したものですが、ピラミッド階層の時系列が年月の古い順番になっていないところに、わが国の個人情報保護の歴史の紆余曲折が表れています。

OECD8原則とは

1980年にOECD（経済協力開発機構）で採択された「プライバシー保護と個人データの国際流通についてのガイドライン」いわゆる「OECDプライバシーガイドライン」に含まれる個人情報の取扱いに関する基本原則がOECD8原則です。

この８つの原則がその後世界の個人情報保護の共通した基本原則、スタンダードとなりました。

日本の「個人情報保護法」も「OECD 8原則」を全て取り込む形で制定されています。
「OECD 8原則」を踏まえておけば、読みこなすのが難解に感じる個人情報保護法の条文の理解の助けになります。

１．目的明確化の原則　(Purpose Specification Principle)

・個人データの収集目的を明確にし、データ利用は収集目的に合致するべきである。

【説明】
個人データの収集目的と利用目的にブレがあってはいけません。

【個人情報保護法】
第１５条（利用目的の特定）に対応しています。

２．利用制限の原則　(Use Limitation Principle)

・データ主体（個人情報の持ち主）の同意がある場合や法律の規定による場合を除いては、収集したデータを目的以外に利用してはならない。

【説明】
収集した個人情報は同意を得た利用目的の範囲内でしか利用できないということです。

【個人情報保護法】
第１６条（利用目的による制限）
第２３条（第三者提供の制限）に対応しています。

３．収集制限の原則　(Collection Limitation Principle)

・個人データは、適法・公正な手段により、かつ情報主体に通知または同意を得て収集されるべきである。

【説明】
個人情報は本人の同意無しには収集してはいけないということです。

【個人情報保護法】
第１７条（適正な取得）に対応しています。

４．データ内容の原則　(Data Quality Principle)

・収集する個人データは、利用目的に沿ったもので、かつ、正確・完全・最新であるべきである。

【説明】
収集した個人情報は常に正確で最新の状態を保つ必要があります。

【個人情報保護法】
第１９条（データ内容の正確性の確保）に対応しています。

５．安全保護の原則　(Security Safeguards Principle)

・合理的安全保護措置により、紛失・破壊・使用・修正・開示等から保護すべきである。

【説明】
個人データはデータ主体（個人情報の持ち主）からの預かり物なので保護措置を取る必要があります。

【個人情報保護法】
第２０条（安全管理措置）
第２１条（従業者の監督）
第２２条（委託先の監督）に対応しています。

６．公開の原則　(Openness Principle)

・個人データ収集の実施方針等を公開し、データの存在、利用目的、管理者等を明示するべきである。

【説明】
個人データの取扱いについて情報公開する必要があります。

【個人情報保護法】
第１８条（取得に際しての利用目的の通知等）
第２４条（保有個人データに関する事項の公表等）に対応しています。

７．個人参加の原則　(Individual Participation Principle)

・自己(データ主体)に関するデータの所在及び内容を確認させ、または異議申立を保証するべきである。

【説明】
収集した個人情報は個人データを提供した本人に開示、訂正、削除する権利を保証する必要があります。

【個人情報保護法】
第２５条（開示）
第２６条（訂正等）
第２７条（利用停止等）に対応しています。

８．責任の原則　(Accountability Principle)

・個人データの管理者は諸原則実施の責任を有する。

【説明】
収集した個人情報はあくまで預かり物であり、預かった側に原則を踏まえた責任が発生します。

【個人情報保護法】
第３１条（苦情処理）に対応しています。

OECD8原則を踏まえて>個人情報保護法ができました。個人情報保護法とは