高度情報通信社会推進本部

我が国における個人情報保護システムの在り方について

(中間報告)

 

平成11年11月

高度情報通信社会推進本部
個人情報保護検討部会


T はじめに

1 背景

 近代国家において成立した法制度やそこで認められるようになった権利等の中には、現代国家において大きく変容を遂げたものもある。また、現代国家において新たに創設された法制度や権利もある。そのような変容をもたらしてきている代表的な例は、情報化の進展である。情報化は、多くのメリットをもたらしている反面、いくつかの問題を惹起しており、その代表的な例がプライバシー・個人情報をどのように保護するかという問題である。

 しかし、「情報化」の意味によって、それに関する問題の発生時期も異なっている。

 マスメディアの発達によって情報量が飛躍的に増大した社会(マスメディア情報化社会)との関わりにおけるプライバシーの問題は、アメリカでは19世紀末近くになって起こり、比較的長い歴史を有しているが、我が国では1960年代に入ってからようやく本格的に論じられるようになった。また、1960年代以降においては、コンピュータが情報を大量に処理することができるようになった社会(コンピュータ情報化社会)との関わりにおけるプライバシーの問題が注目され、さらには、1980年代以降、コンピュータ技術と通信技術の飛躍的発展とその結合によってネットワーク化が進展し、情報量が増大するとともにその流通が国際的にも盛んになってきた社会(ネットワーク情報化社会)と関わるプライバシーの問題も議論されるようになってきた。

 これらの問題を法的にどう捉えるかということについては、近代憲法、近代法の成立時には確立されていなかった問題であるだけに、先進諸国の間でも一様ではなく、とりわけ、我が国においては、ここ30数年の間に議論されるようになった比較的新しい問題である。

 しかしながら、昨今の情報通信関連技術の発展には目覚しいものがあり、世界的規模のネットワーク社会の中で、個人情報の保護の必要性は以前にも増して急速に高まっている。また、一方で、電子商取引等の発展など現代のネットワーク社会の中において利便性の高い豊かな国民生活を実現していくためには自由な情報流通が不可欠であり、その前提として、個人情報については確実な保護が図られなければならない。

2 個人情報保護検討部会の設置の経緯

 平成6年8月、我が国の高度情報通信社会の構築に向けた施策を総合的に推進するとともに、情報通信の高度化に関する国際的な取組みに積極的に協力するため、内閣に内閣総理大臣を本部長とする高度情報通信社会推進本部が設置された。

 平成10年6月には、同推進本部の電子商取引等検討部会において、「電子商取引等の推進に向けた日本の取組み」がまとめられ、その中で、プライバシーの保護の必要性が以前にも増して急速に高まっている旨が指摘された。

 これを受け、同年11月、同推進本部において、「高度情報通信社会推進に向けた基本方針」が決定され、その中で、プライバシーの保護に関し、「政府としては、民間による自主的取組みを促進するとともに、法律による規制も視野に入れた検討を行っていく必要がある。」と指摘された。

 また、平成11年4月には、この基本方針のアクション・プランが決定され、電子商取引等推進のための環境整備のうちプライバシー保護に関して、個人情報保護の在り方を検討するため、平成11年中に検討部会を設置することとされた。

 一方、近年、個人情報の流出や漏洩など不適正な取扱いの事例が明らかになり、社会問題化するケースが出てきたこと等を背景として、第145回国会における住民基本台帳法改正法案の審議過程において、民間部門をも対象とした個人情報の保護の必要性が強く認識されるに至り、政府としても、総理答弁において、個人情報保護の在り方について総合的に検討した上で、法整備を含めたシステムを速やかに整えていく旨の方針を明らかにした。

 このような経緯から、平成11年7月、高度情報通信社会推進本部の下に個人情報保護検討部会が設置され、各省庁によるそれぞれの取組みの間の整合性を確保する必要もある点などを踏まえ、民間部門をも対象とした個人情報保護に関する法整備を含めたシステムを速やかに整えるとの観点から、政府全体として、個人情報の保護・利用の在り方を総合的に検討することとされた。

3 個人情報保護を巡る内外の状況

(1) 諸外国における法制化の動向とその方式

 欧米諸国では、1970年代初めから個人データないしプライバシーを保護すること を目的とする法律が制定されるようになり、1999年現在、経済協力開発機構(OECD)加盟29か国中、27か国において法律が制定されており、その他の各国でも法律が制定されている。

 これらの法的対応の方式については、第1に、一つの法律で国・地方公共団体等の公的部門と民間企業等の民間部門の双方を対象とするオムニバス方式(統合方式)、第2に公的部門と民間部門とをそれぞれ別の法律で対象とするセグメント方式(分離方式)とに分けることができる。また、第3に、それぞれの部門について、特定の分野で保護措置を講じるセクトラル方式(個別分野別方式)がある。オムニバス方式の立法例はヨーロッパ諸国に多く、セクトラル方式はアメリカに見られる。

(2) OECD理事会勧告

 欧州のいくつかの国における個人情報保護のための規制の動きに対し、国際的なネットワーク化の進展に伴って個人情報の国際流通を求める要請が起こり、情報の自由な流通の確保とプライバシーの保護への配慮との調和を図ろうとする観点から、1980年にOECDの「プライバシー保護と個人データの国際流通についての理事会勧告」が出された。

 この勧告は、加盟国に対する強制力を有するものではないが、加盟各国の国内法の中で考慮することを求めており、その付属文書「プライバシー保護と個人データの国際流通についてのガイドライン」のうちの第2部「国内適用における基本原則」で示された8原則(@収集制限の原則、Aデータ内容の原則、B目的明確化の原則、C利用制限の原則、D安全保護の原則、E公開の原則、F個人参加の原則、G責任の原則)は、後述のEU指令にも反映されており、我が国における個人情報保護を考える上でも重要である。

(3) EU(欧州連合)の個人情報保護指令

 1990年に最初の提案が出され、1995年に「個人データ処理に係る個人の保護及び当該データの自由な移動に関する欧州議会及び理事会の指令」として採択された。

 指令(Directive)は、規則(Regulation)のように構成国に直接適用されるものではないが、構成国を拘束し、3年以内に個人情報保護に関する法律の制定、又は改正を求めており、その第25条では、第三国が十分なレベルの保護措置を確保している場合に限って個人データの移転を行うことができる旨の制限を各国の国内法で定めるよう求めており、現在EU各国では、これに合わせた法律の整備等が進められている。

 我が国における民間部門をも対象とした個人情報保護に関する法整備を含めたシステムの整備を検討するに当たっては、このようなEUの動向に対しても留意する必要がある。

(4) 我が国の状況

 我が国においては、国レベルでは、昭和63年(1988年)に「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」が制定され、公的部門(国の行政機関)のみを対象とするセグメント方式をとっている。

 地方公共団体レベルでは、平成11年(1999年)4月現在、23の都道府県及び12の政令指定都市を含め、全国で1,529団体で個人情報条例が制定されている。

 民間部門における個人情報保護に関しては、特定の分野において刑法その他の法律により守秘義務の規定が設けられているほか、一部の法律において個人情報の取扱いに関する規定が設けられているが、民間部門全体を対象としたものはないのが現状である。

 自主規制に関しては、1980年代後半からガイドライン等が策定されるようになり、現在、行政機関が示すものとしては、通産省、郵政省のガイドライン及びJIS(日本工業規格)があるほか、いくつかの分野において事業者団体等が自主的に定めたガイドラインもあり、また、策定を検討中の分野、業界等もある。

 このほか、認証制度に関しては、現在、民間や一部の地方公共団体において実施されている。

4 個人情報を保護するに当たって考慮すべき視点

(1) 保護の必要性と利用面等の有用性のバランス

 我が国における個人情報保護のシステムを検討するに当たって、考慮すべき視点としては、まず、保護の必要性と利用面等の有用性のバランスがあげられる。

 1の背景で示したように、保護の必要性そのものが情報化の進展の過程で生じてきたものであり、情報化(個人情報の利用がその一部として含まれる。)に多くの有用性があるからこそ情報化が急速に進展し、社会の変容をもたらし、その結果として保護の必要性、重要性が生じている。

 したがって、保護と利用は、本来、対立的な関係にあるのでなく、調和すべきものとして捉えるべきであって、保護の観点から個人情報の自由な流通を一方的に否定することは適切とはいえず、むしろ重要なのは、個人情報の内容及び利用の形態、程度と個人情報の保護措置の内容、水準との間に常にバランスが考慮されなければならないことである。

 このような観点からすると、現在の我が国においては、既に社会一般に広く個人情報の利用が進んでいるにもかかわらず民間部門をも対象とした基本的な原則等が確立されていないことは、バランスを欠いているといわざるを得ない。

 一方、個人情報の利用の形態やその程度は分野等によって様々であることから、当該分野における保護と利用のバランスの取り方、すなわち、その分野でどのような内容、水準の保護措置を具体的に講じるべきかについては、当該個別分野の特性に応じて検討されるべきである。なお、保護措置が必ずしも一律である必要がないことと、個別の分野における具体的な保護措置の必要性の判断とは全く別問題であることに留意する必要がある。

(2) 技術革新の進展等による個人情報利用の分野の拡大と高度化

 今日では、情報通信関連技術の発展により、電子化された情報を情報通信ネットワークを介して大量かつ迅速に処理することが可能になっており、これらを活用して、商取引の高度化や社会システムの高度化・複雑化等が急速に進展しつつあるが、今後ともこの趨勢は止まることなく、将来に向けてさらに続いていくものと推測される。

 このような趨勢の中で、個人情報についても、利用分野は今後ともさらに拡大し、利用の内容、形態も一段と高度化していくことが予想される。

 したがって、個人情報保護のシステムを検討するに当たっては、このような今後における個人情報利用の分野の拡大及び高度化など、今後起こり得る様々な状況の変化に対して、これらに的確に対応し得るような全体として柔軟なシステムの構築を目指す必要がある。

(3) 国際的な議論との整合性

 近年におけるインターネットの急速な普及、企業活動のグローバル化の進展等を契機として、国境を超えた個人情報の流通が進んできていることから、個人情報の保護について、国際協調を図っていくことが重要な課題となっている。

 しかし一方で、我が国の個人情報保護システムを具体的に構築していく場合には、我が国の国内的な特性等がシステムの前提として考慮されるべきこともまた当然であり、この点、1998年のOECDの「プライバシー保護に関する宣言」は、個人情報の保護手段については、加盟各国の異なる手段を認め合い、様々なアプローチ間で橋渡し作業をすることが必要であるとしている。

 このように、我が国における個人情報保護システムの具体的内容等を検討するに当たっては、個人情報を取り巻く我が国の特性を踏まえつつ、国際的な議論との整合性をどのように図っていくかということについて、今後検討していく必要がある。

5 検討経過及び個人情報保護システムの速やかな整備の必要性

 当検討部会は、平成11年7月23日に第1回の会合を開催して以来、合計9回の会合を開催し、精力的な検討を行ってきた。この間、各省庁や地方公共団体から、行政機関としての個人情報保護への取組みの状況や各分野、業界等における取組み状況についてヒアリングを行うとともに、民間団体等や報道機関からも個人情報の保有状況や保護に対する取組みの状況、考え方等についてヒアリングを行った。

 当部会としては、極めて限られた時間の中ではあったが、各分野、業界等の現況等を踏まえつつ、またヒアリングの場で提出された意見等も勘案しながら、我が国における個人情報の保護と利用の在り方等について、委員間で活発な議論を重ねてきた。

 現段階においては、さらに詳細な議論を行うべき課題や、法制的な観点から専門的な検討を行うべき問題点等がいまだ数多く残されていると認識している。しかしながら、個人情報を取り巻く今日の社会環境の急速な変化を目の当たりにし、かつ、個人情報保護の重要性を考えると、我が国における個人情報保護システムの速やかな整備は、まさに喫緊の課題である。

 このような観点から、当部会としては、残された課題、問題点等については今後の検討に譲ることとし、今回、個人情報保護システムの基本的な枠組み等に絞って提言を行うこととした。

U 個人情報保護システムの基本的考え方

1 個人情報保護の目的

(1)個人情報の保護は、個人の尊厳が重んじられるという人権の一部に由来しており、とりわけ、急速にネットワーク化が進む現代社会の中においては、個人情報は、個人の人格にも関わるものとして適切な保護が図られることが重要である。
(2)一方、適切な保護のルールの下、個人情報の利用、提供、流通等を図っていくことは、現代のネットワーク社会の中において利便性の高い豊かな国民生活を実現していくために必要となる社会的基盤である。また、その適切な利用等を通じて、様々な社会システムの公正さを確保し、一層の公平性、透明性の向上を図っていくことも必要である。

 個人情報保護の問題は、情報化の進展により国民生活の便利さ、豊かさなどの面においてメリットをもたらしている反面、個人情報が流通することによって、自己に関する情報の予期しない形での収集、利用、提供や不完全なままの利用、提供等により、不安感や不快感等を国民の間に生じさせているところにある。

 このため、個人情報の適切な保護を図ることはますます重要になっているが、一方で、適切なルールの下、個人情報の自由な流通を図ることは豊かな国民生活を実現していくための不可欠の条件でもある。

 したがって、個人情報保護システムは、保護と利用が調和すべき関係にあることを念頭に、個人情報の保護の必要性とその利用の有用性の双方に配慮した、バランスのとれたものとして構築する必要があると考えられる。

 このような意味で、個人情報保護システムは、いわば社会的基盤であると考えられるとともに、適切なルールの下での個人情報の活用は、今後における社会システムの公平性、透明性の向上等に積極的に貢献でき得る可能性があり得ることにも留意する必要がある。

 また、個人情報の保護については、私生活をみだりに公開されないという従来の伝統的なプライバシー概念と、近年の情報化の進展した社会においてその侵害を未然に防止する観点から、自己に関する情報の流れを管理(コントロール)するという積極的・能動的な要素を含むプライバシー概念の2つがあるといわれている。

 この2つの概念については、憲法第13条に基づく権利であるとする学説があるものの、法的な範囲、効果、手続など明確にされるべき点が多々あるところであり、概念の位置づけ等の考え方については、今後の法制的な検討の段階において、個別法等との役割分担の観点も含め、さらに検討する必要がある。

 以上のように、個人情報保護システムの目的の定め方については、様々な論点から深く議論すべき問題であるので、法制的な観点から検討する必要がある。

2 保護すべき個人情報の範囲

 個人情報保護システムを構築していく場合、個人情報の定義及び保護すべき個人情報の範囲を明確にしておくことが必要となる。

 ア 個人情報の定義

 個人情報の定義については、「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」においては、生存する個人に関する情報であって個人が識別され得るものは基本的にすべて含まれるとの考え方であるが、民間部門の個人情報の形態は様々であるほか、死者の個人情報をどう考えるかなどの問題もあることから、適切な定義について検討する必要がある。

 法人その他の団体に関する情報については、基本的には、個人情報の保護の問題と法人等の情報の安全性や機密の保持等の問題とは同一に取り扱うべきではないと考えられるが、この点についても検討する必要がある。

 イ 保護すべき範囲

 保護すべき範囲の問題は、民間における個人情報の利用の形態が様々であることから、今後において慎重に検討する必要がある。

 私的目的のために私的に収集、利用される個人情報をどう扱うかの問題があり、基本的にはこれを対象外とする方向が適切ではないかと考えられるが、一方で、私的に収集されたものであってもこれを対価を得て他者に提供する場合をどう考えるかなどの問題もあり、これらについて検討する必要がある。

 また、電子計算機処理による情報化によって個人情報保護の問題が大きく広がった経緯があることから、自動処理されるものに限定するかどうかの問題があり、この点に関し、今回、広く民間部門をも対象とした保護システムの構築を検討していく場合、自動処理情報に限定することは保護対象の範囲として狭過ぎるとの意見があるほか、民間事業者の事業活動の現場における取扱いとしても、自動処理情報かマニュアル情報かという線引きは、実態的に混在していてあまり意味がないのではないかとの指摘もある。

 一方で、個人情報保護システムを構築する以上何らかの限定は必要であり、特に、民間事業者の事業活動等に不安を与えないよう、個人情報保護システムの目的や確立すべき原則の法的効果とのバランス等を踏まえ、その対象範囲を明確にしておくことは不可欠であると考えられる。

 なお、OECD理事会勧告においては、自動処理情報に限定することも妨げないが、マニュアル情報についても対象としている。また、EU指令においては、自動処理される情報とファイリング等により検索可能な情報に止めている。

 以上のように、議論を尽くすべき論点も多く、また、確立しようとする基本原則の在り方とも関連してくるので、法制的な観点からさらに検討する必要があり、現段階においては、保護すべき個人情報の範囲に関しては、マニュアル情報についても対象として検討すべきであるが一定の限定は必要であると考えることが適当である。

3 個人情報保護のために確立すべき原則

 個人情報を取り扱う場合の基本原則を確立することが必要であると考えられる。

(個人情報保有者の責務)
(1)個人情報の収集 ア 収集目的の明確化
イ 収集目的の本人による確認
ウ 適法かつ公正な手段による収集
エ 本人以外からの収集制限(本人の利益保護) (例外の例)
・法令の規定に基づく収集
・本人の同意がある場合など

 本項は、OECD8原則のうち、「目的明確化の原則」及び「収集制限の原則」に対応するものである。

 ア及びイの目的明確化及びウの収集手段の制限は、これらを原則とする場合にあっては、規範として要求される具体的な内容等が明確にされるべきであり、検討する必要がある。

 エの第三者からの収集制限に係る原則は、個人情報に関わる権利利益の侵害が生じ得るケースであり、収集した場合の本人通知等本人の利益保護の在り方も含め、その内容等について検討する必要がある。

 一方で、既に公にされているものから収集する場合のほか、緊急の必要や、生命、財産等の安全を守るために収集する場合、学術的な調査など公益を目的として収集する場合など、必ずしも制限を要しないと考えられる様々なケースが想定される。このほか、取引の安全確保のために契約の相手方の経済的信用に関する個人情報を第三者から収集する場合をどう考えるかという問題もある。

 したがって、エの原則については、例示以外のケースに係る適用除外についても、その要否を含め検討する必要がある。

(2)個人情報の利用等 ア 明確化された目的外の利用・提供の制限
イ 目的外利用・提供の場合の本人の同意及び本人の利益保護

 8原則のうち、「利用制限の原則」に対応するものである。

 個人情報が収集目的以外の目的に利用又は提供されることによって生ずる種々の問題は、個人情報に関わる権利利益の侵害が生じ得る重要な形態であるので、このような侵害を未然に防止する観点から、原則の内容等について検討する必要がある。

 なお、この原則に関しても、法令の規定に基づいて官公庁に個人情報を提供する場合のほか、緊急の必要や、生命、財産等の安全を守るために利用又は提供する場合など、例外的ケースが想定されるので、適用除外について検討する必要がある。

(3)個人情報の管理等 ア 個人情報の内容の適正化、最新化(取扱目的に必要な範囲内)
イ 漏洩防止等の適正管理

 8原則のうち、「データ内容の原則」及び「安全保護の原則」に対応するものである。

 アは、誤った個人情報や古い個人情報が利用又は提供されると個人についての正しい認識が阻害され、個人の権利利益が侵害されるおそれがあるので、そのための原則の内容等について検討する必要がある。

 あわせて、収集目的に基づく利用が終了した場合など、取扱目的に必要な範囲内を越えた場合の取扱いについても検討する必要がある。

 イは、個人情報の違法又は不当な利用、提供等を未然に防止するためには個人情報の漏洩防止等安全確保のための適切な措置が必要であることから、そのための原則の内容等について検討する必要がある。

 なお、個人情報の処理を外部委託する場合において、受託者においても、委託者が自ら管理する場合と同様の保護措置が必要と考えられるが、当該受託者についてまで言及するかどうかについて検討する必要がある。

(4)本人情報の開示等 ア 個人情報の保有状況の公開
イ 本人からの開示の求め
ウ 本人からの訂正の求め
エ 本人からの自己情報の利用・提供拒否の求め (イ、ウ、エ共通)
・原則として応じなければならない。
・期間、費用、方法
・拒否できる場合
・拒否の際のその旨及び理由の提示

 8原則のうち、「公開の原則」及び「個人参加の原則」に対応するものである。

 個人情報の保護を実効あらしめるため、特に自己に関する情報の流れを管理するという積極的・能動的な要素を念頭に置くものである。

 アの公開に関しては、イの開示の求めを本人が行使し得るよう、その実効性を確保するための原則であり、本人が自己の個人情報の所在を支障なく知り得るような状況が確保されることが必要である。この観点から、公開する内容やその具体的な方法等に関し、その考え方等について検討する必要がある。

 イの本人から開示を求められたときは、合理的な範囲内の期間、費用、方法で応じれば足りると考えられるが、その考え方等について検討する必要がある。

 ア及びイの原則については、現行の「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」において公益上の観点や当該個人情報の性質上の観点等から適用除外されているものが数多くあるように、保有状況の公開や本人からの開示の求めに応じることが適切でないと考えられる場合が種々想定されるので、これらの適用除外の要否について検討する必要がある。

 また、本人からの求めに応じて開示した場合、第三者の個人や法人の正当な利益を侵すこととなる場合など、これを拒否できることとすることが適当な個別的なケースも想定されるので、これらの考え方等について検討する必要がある。

 ウの訂正の求めに関しては、個人情報の誤りが確認された場合には、基本的にこれを訂正すべきと考えられるが、個人情報の誤りについて当事者間で争いがある場合などもあり、これらの取扱いについて検討する必要がある。

 なお、訂正に関しては、当該個人情報の2次、3次取得者についてどうするかの問題もあり、この場合、基本的には、直接の提供先に対して提供したときと同等の手段及び相当の方法で訂正を行うことで足りるのではないかと考えられるが、さらに検討する必要がある。

 エの利用又は提供の拒否の求めについては、収集の際の本人同意がなくなった状態として他の原則を適用することが基本であると考えられるが、本人同意がいつでも撤回できることとなるのは安定性を欠く結果ともなるので、個別の事情に応じて拒否できる場合があり得るとすることが適切であるとも考えられ、検討する必要がある。

 ただし、収集の際に本人同意がない場合については、一般的にはこのような事情はないことに留意すべきであると考えられる。

 イ、ウ、エの当事者が未成年者等である場合については、原則としてその法定代理人が本人に代わって求めることができるとすることが適当であると考えられるが、代理人と本人の間で利益が相反するようなケースもあり得るので、この点も含め検討する必要がある。

 イ、ウ、エの求めについては、国民の権利を重視する立場から法律上の請求権として構成するべきであるとの意見、民間事業者等の実務の実態を踏まえて行為規範に止めるべきであるとの意見、法制化段階で検討すべき課題であって現時点で考え方を限定するべきではないとの意見などがあった。この点については、個別法との役割分担の観点も含め、法制的に検討する必要がある。

(5)管理責任及び苦情処理 ア 管理責任及び責任者の明確化
イ 苦情処理・相談窓口の設置及びその適正な処理

 アは、8原則のうち、「責任の原則」に対応するものである。

 個人情報保護の実効を上げるためには、個人情報を保有する事業者が基本原則を遵守していくことが必要である。このため、個人情報の取扱いに係る管理責任者を明確にするとともに、管理責任者が基本原則を遵守すべき責任を負うことを明確にしようとするものである。

 イは、8原則では明確にされていないが、個人情報保護の実効性を確保する観点から、個人情報の保有者に対して、苦情処理・相談窓口の設置及び苦情に対する適正処理の責務を負わせようとするものである。

 個人情報保護の問題は、個人情報の不適切な取扱いという事実行為に起因しているので、これをすべて法的に解決するというよりも、当事者間での事実上の対応等により解決し得る場合も多いと推測されること、また、何よりも迅速な解決が望まれることなどから、苦情等のアクセスポイントの明示及びその適正処理は問題の解決に効果的であり、かつ、事業者側にも過大な負担とはならないと考えられる。

※1 (1)から(5)については、これらを個人情報保有者に適用される原則とする場合にあっては法的に様々な検討課題があるので、その適用関係に係る考え方を全体的に整理した上で、法制的な観点から検討する必要がある。

 ア 個別法等に基づき公益上の観点等から個人情報を取り扱う場合において、個人情報に関する基本原則等を適用した場合にその事務や活動に支障を生ずるものなどについては、(1)から(5)の原則の全部又は一部の適用除外について、法制的に検討する必要がある。

 イ 次のような個別法等に規定のない分野については、(1)から(5)の基本原則のそれぞれについて具体的にどのような支障が生じるかを検証した上で、憲法上の考え方を踏まえつつ、それぞれの分野における個人情報の利用の程度と保護の現状のバランスをも考慮しながら、各原則の適用除外の要否等について、法制的に検討する必要がある。

 ウ 当該個人情報の性質上の観点等から、(4)の原則に関して、公開、本人開示等を行うことが適切でないと考えられるものについては、その適用除外について、法制的に検討する必要がある。

※2 基本原則を基本法として立法化する場合には、一般法である基本法とこれに対する特別法となる各個別法との関係の考え方等を整理する必要があり、特別法である旨を 明確にするための規定の整備の必要性等についても、別途検討していく必要がある。

※3 未成年者等が本人同意や開示等の求めの当事者となる場合は、本人に代わって法定代理人が行うことができるものとすることが適当であるが、このほか、個人情報の取扱いをオンラインによって行う場合において当事者が未成年者等である場合をどう扱うのか、また、未成年者等からの個人情報の収集については一定の配慮がなされるべきことについてどう考えるかなどの問題があり、これらについて検討する必要がある。

(国民の責務)
(6)国民の果たすべき役割と責務

 個人情報を保有する者が遵守すべき基本原則とあわせて、国民の責務を明確にする必要がある。この場合、国民においても、他人の個人情報の保護に努力すべき旨を明らかにするとともに、自らも自己情報の適切な管理について責任を有することを明らかにしておく必要があると考えられる。

 具体的な定め方については、確立すべき原則の内容(目的、範囲、基本原則)等を勘案しながら検討する必要がある。

(国の責務)
(7)国の果たすべき役割と責務 ア 必要な施策を講ずる責務 ・法律上の措置
・自主規制等の促進(実効性担保措置を含む。)
イ 所管業界について、各行政庁における苦情処理・相談窓口の設置

 基本原則とあわせて、個人情報の保護を図る上での国の責務を明確にしておく必要がある。

 この場合、国においては、確立された基本原則の趣旨にのっとり、必要となる法律上の措置や自主規制等を促進するための指導、勧告、公表等の措置を講ずるよう努力すべき旨を明らかにする必要があると考えられる。

 また、個人情報の保護に関して、国民に対する啓発活動及び教育の推進等に努力すべき旨を明らかにする必要があると考えられる。

 さらに、各行政庁においては、所管業界等に関する苦情処理・相談窓口を設置すべきことを明確にしておく必要がある。

 具体的な定め方については、確立すべき原則の内容(目的、範囲、基本原則)等を勘案しながら検討する必要がある。

(地方公共団体の責務)
(8)地方公共団体の果たすべき役割と責務
国の施策・制度の趣旨にのっとった施策、地域の特性に応じた施策 ・条例上の措置
・自主規制等の促進(実効性担保措置を含む。)
・苦情処理・相談窓口の設置

 個人情報の保護を図っていく場合において、地方公共団体が果たし得る役割も大きいと考えられることから、個人情報の保護を図る上での地方公共団体の責務を明確にしておく必要がある。

 民間分野の保有する個人情報の保護については、一部の団体が先行して取り組んでいるが、確立された基本原則の趣旨にのっとり、当該地域の特性等に応じた必要な施策を実施するよう努力すべき旨を明らかにする必要があると考えられる。

 上記のような観点から、地方公共団体が、指導、勧告、公表等の措置を講じ、また、地域における個人情報保護に関する苦情処理・相談窓口を設置するに当たって、国との役割分担等について検討する必要がある。

 具体的な定め方については、確立すべき原則の内容(目的、範囲、基本原則)等を勘案しながら検討する必要がある。

V 個人情報保護システムの在り方

1 基本的考え方

 我が国において、既に社会一般に広く個人情報の利用が進んでいる現状にかんがみると、民間部門をも対象とした個人情報保護システムの整備は喫緊の課題である。

 しかし、民間における個人情報の利用の形態やその程度は分野によって様々であるので、個別法による公的関与や民間における自主規制など、個別分野ごとの利用の特性に応じた保護を図っていく手法の利点を十分生かしていくことが不可欠である。

 また、個人情報利用の分野の拡大及び高度化など今後起こり得る様々な状況の変化に的確に対応し得るような全体として柔軟なシステムの構築を目指す必要もある。

 したがって、我が国の個人情報保護システムの在り方としては、まず、官民を通じた基本原則の確立を図ることとし、あわせて保護の必要性が高い分野については個別法の整備を図るとともに、民間における業界や事業者等の自主規制等の自主的な取組みを促進し、これらを全体として組み合わせて最適なシステムとして構築することを基本とすることが適当である。

 このような観点から、我が国の個人情報保護システムの中核となる基本原則等を確立するため、全分野を包括する基本法を制定することが必要である。

2 基本法に盛り込むべき内容

 基本法の内容としては、「個人情報保護の目的」、「保護すべき個人情報の範囲」、「基本原則」及び「国民、国、地方公共団体の責務」を盛り込むことが適当と考える。

 なお、当検討部会の中において、その他の事項についても種々の議論があったところであり、それらを将来において盛り込む必要性まで否定するものではないが、我が国の個人情報の保護及び利用の現状を勘案した場合、分野ごとの個別法や自主規制を生かしていくことが重要であり、かつ、全体としての保護システムを早急に構築する必要があることなどから、基本法の内容については、現時点で必要と思われる事項に限定して提言することがむしろ適当であるとの結論に達した。

3 基本法の意義

 個人情報の保護に関して、民間部門をも対象とした基本的な原則等が確立されていない現状にある我が国において、個人情報の保護の目的、範囲、基本原則が明確にされることの意義は極めて大きいものと考えられる。

 すなわち、我が国においては、個人情報保護の問題はここ30数年の間に議論されるようになった比較的新しい問題であるだけに、その重要性は指摘されながらも統一的な考え方等が示されていたとはいえない状況であった。

 しかし、基本法を定めることによって個人情報保護の理念が明らかにされることとなり、このことは我が国における個人情報保護の概念の明確化という意味において、大きな一歩となるといえる。

 また、個人情報の取扱いに関して、民間部門をも対象とした一般的な基本原則等が明らかにされることは、国民一人ひとりにとっても、自らの個人情報が保護されるべきであると同時に、他人の個人情報を保護しなければならないという現代社会にとって必要不可欠な基本ルールが確立されることとなる。

 さらに、基本原則等が確立されれば、国及び地方公共団体においては、その趣旨にのっとり、個人情報の保護のため法律上の措置、条例上の措置をはじめとして様々な施策を講じていくこととなるほか、一般多数の民間の事業者、業界においても、基本原則の遵守に向けた様々な努力が払われることが期待されるところであり、これらの結果として、我が国における個人情報の保護は大きく前進すると考えられる。

 このような意味においても、個人情報保護システムの中核となる基本法の制定を急ぐべきである。

※1 監督機関について

 EUにおける「データ保護庁」のようなあらゆる分野を通じた規制権限を有する監督機関の創設は、一般多数の事業者に対する規制措置によって本来自由であるべき事業活動を大幅に制約することとなるなど、我が国の現状にかんがみると適切ではなく、また、行政改革や規制緩和の流れにも反するところである。

 また、EU各国においても、データ保護庁は、まだ十分に機能、定着していないとの指摘もあり、このようなことから、我が国においては、基本的方向として、これを代替し得る全体として実効性ある事後救済システムの構築等を目指すことがむしろ適切であると考えられる。

※2 全分野を通じた登録・届出制度について

 民間の全分野を通じて漏れなく登録・届出の義務を課すことは、民間事業者に対して、本来自由であるべき事業活動を大幅に制約するとともに、大きな負担を課すこととなり、個人情報保護の重要性を考慮したとしてもなお問題が多く、また、行政コストも大幅に増大するので、我が国の現状にかんがみると現実的ではない。

※3 全分野を通じた罰則等について

 刑事法の一般理論として、罰則の創設には謙抑的であるべきであり、他の手段によっては実効性担保が期待できない場合に限り、その創設を検討することが適切であると考えられる。

 分野を問わず一律に罰則等を設けることについては、各分野における個人情報の利用の形態等が様々であるので、構成要件の明確化の観点から問題が多い。

 登録制度や届出制度があれば、構成要件の明確化を図ることも可能ではあるが、前記※2で示したように、全分野を通じた登録制度や届出制度は現実的ではない。

 全分野を通じて適用する罰則等を創設する場合は、当該規定は一般多数の事業者を対象とするため広く薄いものとならざるを得ないが、その場合の抑止効果には限界があり、全体としての実効性は必ずしも高くない。

 広く薄い罰則であっても、あらゆる分野の一般多数の事業者にとっては、自由な事業活動の阻害要因となるなど、他の保護されるべき権利、利益が損なわれるおそれがある。

 以上のようなことから、あらゆる分野を通じた一般多数の事業者を対象とする基本法において、罰則等を創設することについては、慎重に考えるべきである。

4 個別法等

(1)個別法の整備

 個別法において、個人情報保護のための具体的措置の整備を図っていくことは、全体として実効性ある個人情報保護システムの構築を図る上で極めて重要である。

 このため、個人情報が大量に収集、利用され、当該個人情報の内容についても機密性が高く、かつ、漏洩の場合の被害の大きい分野については、個人情報保護の必要性が高いと考えられるので、個人情報保護に関する法整備を含めたシステムを速やかに整えるとの観点から、既存の法規制等について検討を加えた上で、これらの改正も含め、個別法の整備について、別途検討していく必要がある。

(例)

 また、個別法において、個人情報の取扱いに関する規定がある場合においては、個人情報保護に関する基本原則等との整合性を図る必要があることから、当該法律の見直し等の必要性などについて、別途検討していく必要がある。

(例)

(2)個別法の在り方

 個別法において、個人情報の取扱いに関する規定等の整備を図る場合にあっては、個人情報に関する基本原則等を踏まえつつ、当該分野における個人情報の内容や収集、利用の形態、利用の程度など、その分野の実態や特性を配慮して検討していくことが必要である。

 また、保護の必要性と利用面等の有用性のバランスにも配慮する必要があるほか、技術革新の進展等による個人情報利用の分野の拡大及び高度化、国際的な議論との整合性なども考慮する必要がある。

 保護のための具体的措置の内容等については、これまでの当該分野における保護に対する取組み等の実績などを踏まえつつ、可能な限り個人情報の高水準の保護が図られるよう配慮する必要がある。

 本人からの開示、訂正の求めの実効性を確保する必要性が高く、個人情報の保有状況を当該事業者だけでなく、所管の行政庁においても公開しておく必要があると考えられるような場合には、必要に応じて、そのための個人情報の届出制、登録制等の導入について、別途検討していく必要があると考えられる。

 さらに、個人情報の取扱いに関する規定等について、その実効性を担保する必要性が大きく、かつ、他の手段によっては実効性担保が期待できないと考えられる場合においては、構成要件の明確化、他の分野とのバランス等も勘案しつつ、刑罰、行政罰、行政処分等の規制措置の設置及び十分な監督体制の整備等について、別途検討していく必要がある。

(3)その他の法令の運用等

 個人情報の取扱いに関する個別規定等の整備までは必要としないと考えられる分野における法令においても、その運用等に当たっては、個人情報保護に関する基本原則等の趣旨が生かされるような方向が望まれるところであり、当該法令の趣旨の範囲内で、可能となる方策等を別途検討していくことが望まれる。

 特に、法律上の処分であって当該法律の規定の趣旨に他の法令等に対する適合性が要件とされている場合など、個人情報保護に関する基本原則等への適合性を当該処分の処分基準又は審査基準等の中に取り込むことが可能な場合においては、基本原則等の趣旨が生かされるような方向で積極的に検討していくことが望まれる。

5 自主規制

(1)自主的な取組みの促進

 法的規制については、その性質上、必要最低限の規範、規程とならざるを得ないのに対し、自主的な取組み(行政機関によるガイドラインの制定、業界自主規制等)には、一定の限界はあるものの、以下のようなメリットがある。

ア 当該分野の業態や特殊性等も考慮したきめ細かな、又は、高水準の対応が可能で あり、場合により先進的な取組みを標準化することも期待できること。
イ 法規制の場合に比べ、機敏かつ柔軟な対応が可能であること。特に、技術進歩や 事業形態の変化が速くかつ大きい分野にあっては、予期しない事態に対する迅速な 対応が可能となること。
ウ 国民からの監視(社会的評価)が厳しくなり、民間企業、国民の双方に意識の高 揚が期待されること。
エ 規制の遵守等の監視・管理にかかる行政コストが小さいこと。

 したがって、自主的な取組みの促進は重要であり、各分野において、保護の水準向上を目指して、自主的な取組みを積極的に促進していくことが必要である。

(2)自主規制の在り方

ア ガイドライン等

 自主規制の手法として、行政機関がガイドラインや規格を制定し、それを事業者団体や事業者が遵守するという手法がある。ガイドラインや規格の内容は、個人情報保護の基本原則等を踏まえつつ、これを補完するようなものとする必要があり、さらに、業種業態の差異等による特質が付加されたものも検討されるべきである。

 現在、個人情報保護に関しては、通産省、郵政省のガイドライン及びJIS(日本工業規格)Q15001があり、これらについては、その普及及び内容の充実を図っていく必要がある。

 また、事業者団体や事業者がガイドラインや規格を遵守し、自らの課題として積極的に個人情報保護対策に取り組むことが重要であり、このようなガイドラインや規格の実効性を担保するため、公的機関等による広報活動や、ガイドライン遵守企業名等の公表、認証制度の実施など、有効な施策を講じる必要がある。

 なお、事業者団体等が自主的にガイドラインを定める場合も考えられ、行政庁が制定するガイドライン等を補完するものとして有効な場合がある。

イ 認証制度

 ガイドラインや規格の実効性を高めるために有効な手法として、認証制度(事業者等の取組みの適切性を認定し、マーク等を付与する制度)があり、現在、民間や一部の地方公共団体が実施している。

 国民は、これによって当該事業者等の個人情報保護に関する適切性を容易に確認することができるとともに、事業者等の側においても、自らの適切性を確認し、かつ、自らの適切性をアピールすることが可能となり、消費者側の選択の要素にもなり得るので、その場合事業者の利益確保が可能となる。

 このように、マーク制度等の認証制度は、個人情報保護の水準の向上に大きく寄与するものであり、その一層の普及と内容の充実を図っていく必要がある。

ウ 民間における紛争処理機関の活用

 個人情報保護の問題は、すべてを法的に解決するというよりも、当事者間での事実上の対応により解決し得る場合も多いと推測されるが、仮にそうでない場合でも、できるだけ当事者に近いところで、かつ、短期間で解決されることが望ましいと考えられる。

 このような観点から、事後救済制度として、基本原則に基づく各事業者における苦情・相談窓口の設置に加え、民間における自主的な紛争処理の仕組みの整備が望まれる。

 具体的には、より中立性が高く、社会的影響力のある事業者団体、公的機関、第三者機関等による紛争処理の仕組みを整備していくことが必要であり、その場合、第三者機関として非営利団体(NPO)等の活用も期待される。

 ただし、紛争処理機関には、紛争当事者の個人情報に関する保護義務など、いくつかの義務を法的に課すべきとの議論もあり、紛争処理の仕組みの策定、紛争処理機関の設置等について、今後において、別途検討がなされるべきである。

6 複層的な救済システムの在り方の検討

 個人情報保護の問題は、個人情報の不適切な取扱いという事実行為に起因しているので、これをすべて法的に解決するというよりも、当事者間での事実上の対応等により解決し得る場合も多いと推測されること、また、何よりも迅速な解決が望まれることなどから、事後的な救済制度を充実させる必要がある。

 このため、事業者の苦情処理・相談窓口において対応するとともに、民間における紛争処理機関の活用を図るなど、まず当事者に近いところでの迅速な解決を図った上で、それでも解決できない場合については、国の各行政庁又は地方公共団体の苦情処理・相談窓口に申し出ることができ、必要に応じて国又は地方公共団体の所要の措置が講じられるよう、その体制等について検討する必要がある。

 それでも解決できない場合も想定されることから、基本原則等の実効性を担保するため、最終的に国においてこれらを受け付け、公正・客観的な立場から処理する統一的かつ第三者的な窓口の設置について検討する必要がある。

 このように、実効性の担保の観点から、それぞれの段階において、事業者、民間第三者機関等、地方公共団体、国、統一的な第三者窓口が役割を分担しつつ、全体として効果的に機能し得るような「複層的な救済システム」を構築していくことが有効かつ適切であると考えられるところであり、その在り方や仕組みなどについて検討する必要がある。

7 悪質な不適正処理等を行った者に対する制裁措置の検討

 基本原則等に反したことのみをもって刑事罰等の制裁措置を加えることについては、慎重に考えざるを得ないところであり、悪質な不適正処理等を行った者に対する分野を横断した制裁措置の創設については、今回、具体的に提言することは困難であるが、しかしながら、権利侵害の程度が著しく、かつ、原則違反の行為の形態等を横断的に捉えることが可能な場合等については、刑事罰等の制裁措置を検討し得る可能性もあることから、別途検討していく必要がある。

W 今後の進め方等

1 法制的な観点からの専門的な検討のための体制の整備

 基本法を制定するためには、さらに詳細な議論を行うべき課題や、法制的な観点から専門的な検討を行うべき問題点等が数多く残されている。

 このため、政府においては、法制的な観点からの専門的な検討を行っていくための「専門委員会」及びこの問題を専ら担当する「担当室」を設置するとともに、関係省庁間の連絡等を密にするなど、今後、十分な検討を進めていく上で必要となる体制整備を図るべきである。

2 国民等の意見の聴取

 個人情報保護の問題は、広く国民等全般に及ぶ問題であるとともに、国民一人ひとりにも深く関わる問題であるので、当検討部会としてこの報告において行った提言等に対しては、広く各界、各層からの意見等を聞くことが、今後の検討に不可欠であると考えられる。

 このため、政府においては、いわゆるパブリック・コメント手続に準じて、国民等の意見を聴取する手続を実施するよう要請する。