個人情報保護検討部会

第11回個人情報保護検討部会議事録



1 日時:平成12年9月18日(金) 14:00〜16:00

2 場所:総理府地下講堂

3 出席者:

堀部政男座長、礒山隆夫委員(代理出席)、浦川道太郎委員、大橋有弘委員、大山永昭委員、開原成允委員、加藤真代委員、西垣良三委員、原早苗委員
※岡村正委員、鈴木文雄委員、須藤修委員、三宅弘委員、安冨潔委員は所用のため欠席

(事務局)

藤井昭夫内閣審議官、小川登美夫内閣審議官

4 議題:個人情報保護法制化専門委員会
「個人情報保護基本法制に関する大綱案(素案)」について

5 審議経過:

【堀部座長】定刻になりましたので、ただいまから情報通信技術(IT)戦略本部個人情報保護検討部会を開催させていただきます。今回は第11回の会合になりますが、第10回は6月9日でした。そのときは高度情報通信社会推進本部でしたが、7月7日に高度情報通信社会推進本部が廃止されまして、新たに情報通信技術(IT)戦略本部ができまして、この検討部会も引き続きその下に入っております。そういうことで、今回は上の方の名称が変わっています。
 本日は、後で御説明いただきますようなことで進めてまいりますが、岡村委員、鈴木委員、須藤委員、三宅委員、安冨委員はそれぞれ所用のため御欠席ということであります。また、礒山委員も御出席できないとのことですが、本日はコメント、意見を提出した関係で経団連事務局から担当者が代わりにおいでになっております。後ほど何らかの形で御意見をお出しいただくということになるかもしれません。それから、開原委員は少し遅れてお見えになるということであります。
 それでは、本日の議事に入らせていただきたいと思います。個人情報保護基本法制の検討を行っております法制化専門委員会におきましては、本年6月2日に中間整理を公表いたしまして、その後、関係方面からのヒアリングや国民からの意見聴取を行うなど、精力的に審議を続けています。当部会といたしましては、私が専門委員会の会合に出席いたしまして昨年末までの議論の経過をお伝えして双方の連携や議論の整合性に留意するとともに、先ほど申し上げました6月9日に開きました会議には園部委員長ほか、専門委員会の委員にも御出席いただきまして、中間整理について意見交換を行ったところであります。専門委員会におきましては、いよいよ今月末ごろを目途といたしまして最終報告となる大綱案を取りまとめる予定とのことであります。7月いっぱい検討しまして、8月は休みましたが、その後9月8日から再開いたしまして大綱案の素案を基に検討を重ねております。
 大綱案の素案は、8月から9月の上旬にかけまして小早川委員長代理を中心とする起草グループにおいてまとめられまして、起草グループの検討には私も、全部は出られませんでしたが、できる限り出席するよう努力してまいりました。本日は、その素案の内容につきまして事務局から説明をしていただきまして意見交換を行ってまいりたいと思います。当部会における意見交換の模様は事務局でまとめていただきまして専門委員会にお伝えいたしますし、私自身も今日ここで意見をお聞きしましてそれを何らかの形で専門委員会にお伝えし、今後の専門委員会の検討に際して参考としていただこうと考えています。そういうことでありますので、これから専門委員会で検討されております素案の内容につきまして事務局から説明をお願いしたいと思います。

【藤井室長】それでは早速でございますが、事務局の方から御説明申し上げます。
 説明の前に、お手元に資料を配布させていただいておりますが、左側の方に資料1−1から資料の3まであるかと思います。これらはすべて法制化専門委員会に配布された資料でございまして、そのまま御提出させていただいております。また、右側の方には本日御欠席の委員のうち岡村委員、礒山委員、三宅委員、安冨委員からそれぞれ文書で御意見を提出されておりますが、これらについてもまたこの委員会の中で適宜ごらんいただければと思います。
 あとは、自由人権協会から「行政機関等の保有する個人情報の保護に関する法律(自由人権協会案)」というものが提出されていますので、御参考までにお配りしてございます。
 それでは、早速資料1−1から資料3を用いまして説明させていただければと思います。
 最初に、資料2をごらんいただきたいと思います。資料2では、今年の6月に出しました中間整理と、今回起草グループがおまとめいただいた大綱案の項目ごとの対比表をつくってございます。細かいところは別として大きく変わっているのは、右の中間整理に比して今回の起草グループの素案というのは4.の「個人情報取扱事業者の義務等」というものが大きく順番が逆転するとともに詳細に書かれているというところでございます。また、中間整理の2番目をおめくりいただきたいのですが、最後に「国民の役割」というのがございましたが、これは落ちております。
 なぜこういう構成になったかと申しますと、いろいろ中間整理の後、関係各方面からの御意見なり、パブリック・コメントなりで御意見をいただいたところ、結果としては基本法制の形を維持しながら、最近のIT社会に対応しためり張りのある制度をつくっていただきたいというような御意見が結構見られたということでございます。従来の中間整理の5.で「事業者が遵守すべき事項」というところで、ここは一応条文的なものは書いてあったのですがどの程度の強い義務であるかどうか、そこは今後の検討課題になっていたのですが、そういったところははっきりと法律上の義務にするとともに、むしろ対象となる事業者を今まさに政府、それから経済社会全体で進めなければいけないIT社会における個人情報を取り扱っておられる事業者に絞って、この部分は素案の4.の部分はいわば一般法の部分と言っていいかと思うのですが、当部会でおまとめいただいていた基本法的な部分のうち、特に民間部門についてめり張りをつけた部分をむしろ今度の素案ではIT社会の事業者の一般法的な部分としてプラスアルファとして明記したというのが大きな違いかと思っております。
 全体の構成はその程度にさせていただきまして、次に個々の素案の中身について御説明させていただきたいと思います。主として中間整理のときの異同を念頭に置きながら御説明させていただきたいと思います。資料1−1をごらんいただきたいと思います。
 まず「目的」のところでございますが、基本的には変わっておりません。ただ1か所、従来「基本となる事項を定めることにより、その適正な利用に配慮しつつ、個人の権利利益を保護する」ということで、「その適正な利用に配慮しつつ」というような言い方をしていたのですが、「適正な利用」と「配慮」という言葉のなじみの問題と、それと趣旨がどうも明確ではない。当部会でも企業の個人情報を利用する有用性のようなものと、あとは情報主体側の権利利益、そういったもののバランスというような御指摘もあったわけですが、むしろそういう趣旨を明確にするという意味で、今回「個人情報の有用性に配慮しつつ」という表現になっております。
 「定義」規定のところは技術的な問題が多いので詳細には説明は省略させていただきたいのですが、ただ2点ほどポイントを申し上げますならば、2の(2)の「個人情報の取扱い」というような概念を使おうとしている。それで、この定義規定は現在はまだまだ未熟だという感じになっておりますが、ポイントは単なる物理的な個人情報の処理だけではなしに情報の内容のコンテンツの利用、それからいろいろな評価とか、そういうようなコンテンツ絡みのものも含めるということで「一切の」と広くしておりますが、ただ「一切の」では限定が余りにもなさ過ぎるので、若干ここは御指摘もあって今後の検討になっているということです。
 それと、冒頭から申し上げておりますように2の(4)で「個人情報取扱事業者とは、事業を行う者であって、その事業の遂行に当たり個人情報データベース等を取り扱う者のうち一定のものをいう。ただし、国の機関、地方公共団体を除く」ということで※をごらんいただきたいのですが、先ほど来申し上げているようにIT社会でどんどん民間の企業等が個人情報をIT技術を用いて利用しようとしておられるところなのですが、むしろそういった企業等が対象となるというようなことを、このポイントになる「一定のもの」という概念についてはまだ具体的に詳細に検討する必要があるということで今後の検討課題になっておりますが、一つのイメージとしては※に書いてございますとおり、単にアクセスすることだけが許されているものとか、あるいはデータ自体の変更、移転等をする権限がないような事業者、あるいは小規模の個人情報データベース等を取り扱う者、あるいは自家利用的なものも入るかと思うのですが、そういったものは対象から除くということで問題ないのではないかということで今のところ※にはこう書いてあるところでございます。
 それから3番目の「基本原則」、ここから従来からの基本法の部分でございますが、今回の素案の特色は従来の中間整理の段階での「基本原則」というものの法的性格が若干あいまいだったところでございますが、今回の素案では1つは、個人情報は個人の人格尊重の理念の下に慎重に取り扱われるべきものであるという一つの理念的な文章を付け加えるとともに、この5原則が何人にも、いわば個人情報を保有したり取り扱っている者はだれであっても自らの努力で守るよう努力すべき努力義務の対象であるというようなことを明記したところでございます。なお、この点についてはまだ法制化専門委員会でも位置づけについては若干引き続き整理が必要ということで検討続行中のところでございます。「基本原則」の個々の内容については、大幅な見直しはやっておりません。若干趣旨を明確にしたとか、あるいは3の(3)で従来「正確な内容」とだけしていたのを最新性をやはり入れるべきだというような御指摘もあって「最新」という言葉を入れたりしてございます。
 それから(4)(5)も、内容的に変わったというよりはむしろ意味を明確にするという意味で若干の修文が行われております。
 4.は、これも繰り返しになりますが一般法的な部分でございます。いわばプラスアルファとして素案段階で出てきたものでございますが、この※をごらんいただければ趣旨が書いてございますが「高度情報通信社会において大量の個人情報を高度な情報処理・通信技術を用いて事業の用に供する者についての必要最小限の規律を設ける」と書いてございます。端的に申し上げますれば、近年企業においても顧客情報とか、あるいは消費者に対するアンケート調査等々で相当個人情報というものを保有して取り扱っておられるわけですが、これも単なる従来のような顧客管理だけの利用にとどまらず、最近はサービス内容を充実するとか、あるいは経営効率化に使うとか、あるいは企業戦略、新たな市場開拓とか商品開発とか、そういうようなものにもどんどん使っておられるということで、これはやはり必要最小限のルールというものを明確に定めようという趣旨のものでございます。
 ただ、この規定と「基本原則」との関係ですが、「基本原則」に定められていることはすべての人が自主的な努力として実施されていく必要があるわけですが、この部分は事業者はプラスアルファとしてこういうような一般法的な義務規定がかかるという構成になっております。
 それで、(1)の「利用目的による制限及び適正な取得」ということでございますが、これは読んでいただければおわかりいただけると思いますけれども、1つは目的をまず明確にするということと、目的の達成に必要な範囲で個人情報の取得、処理その他取扱いをしなければならないという、「ねばならない」のここが義務規定になっているというところでございます。先ほど来申し上げておりますように、この4で書いてあることは原則義務規定になっております。
 それからイでございますが、これは特に取得する場合においては、取得する時点と言ってよろしいかと思いますけれども、取得時点で利用目的をまず本人に通知し、あるいは本人が簡単に知ることができるような形で公表等をしなければならないという義務規定を持っていますが、これも企業の場合は直接消費者等から商行為あるいはアンケート調査、直接アクセスして個人情報を取られる場合が多いわけですが、そういう本人と直接接触されて個人情報を取られる場合は、特に「当該取得の際に利用目的を明示しなければならない」ということで、そういう場合には具体的に個々のいわば個人に対して業務目的を通知等によって明示するということの義務を明記しているということでございます。
 次のページの4ページをごらんいただきたいのですが、※には「適用除外を検討する」となっておりますが、適用除外を検討するということについていろいろ心配される方もいらっしゃるわけですが、1つは法律上の義務という形で強い形にすると、やはり事業者側にも正当な事業活動をしている場合はやはり法律上も保護される必要があるということで、まさに有用性と権利利益の保護のバランスをとるという場合、法律上の義務にすればやはり適用除外も法律上明確にしておく必要があるということで、引き続き検討をすべき課題としてこういうものが書かれているということでございます。
 それからウの適用かつ適正な方法による取得についてはほぼ「基本原則」と同様なことを繰り返しているわけでございますが、エで書いてございますことは個人情報を取り扱うときは利用目的を明確にするというのが一つの命題としてあるわけですが、その利用目的自体を簡単に変えれば目的制限した意味がなくなるわけです。それで、中間整理でも目的をどういう範囲で変更することが事業者等に許されるかというのが一つの検討課題になっていたわけですが、とりあえずのいわば解決として非常に一般的な書き方ですけれども、「一般的に合理的と考えられる範囲を超えて変更してはならない」という義務規定を書いたところです。「一般的に合理的と考えられる範囲」については※に書いてございまして、ここもなかなか抽象的でわかりにくいというところがあるのですが、ポイントはここに書いてございますとおり合理的かどうかの判断要素でございますが、1つは当初の目的と関連していなければならない。これは、OECDの8原則などではコンパーティブル、両立し得ないものはだめだというような言い方をしているのですが、そういう目的との関連性です。それともう一つは、こういった目的の変更の範囲を制限する趣旨の裏にあるのは何かと申しますと、やはり簡単に目的を変更されることによって本人が不当な権利利益侵害を損なうことを防止するという観点が含まれていると考えられますので、社会通念上本人に不測かつ不当な権利利益の侵害が生じるおそれの防止ができるような範囲ということで、そういう方向性を示した上で引き続き検討という形になってございます。
 次の(2)に移りますが、「適正な管理の実現」ということです。アは従来OECD8原則での情報内容の原則ですか、データクォリティの原則とプリンシプルと言われていたものでございますが、「利用目的の達成に必要な範囲内において正確かつ最新の内容に保つよう努めなければならないものとする」ということで、これが努力規定になってございますのは、実際に変えなければいかぬというような場合はいろいろな要素を総合的に勘案して判断されることとなるということで、なかなか一義的に義務規定にはつくり難いというところで努力規定になっているところでございます。
 それからイでございますが、「個人情報取扱事業者は、個人情報の取扱いに従事する者に対して個人情報の保護に必要な措置が適切に講じられるよう監督しなければならない」ということで、いわば従事者に対する監督義務を明記したということでございます。
 ウは同様に、従事者に対してではなくていろいろ作業委託とか業務委託というものが近年企業等で行われているわけですが、そういった場合に委託した人が委託を受けた人に対する監督責任があるということを明記したものでございます。※に書いてございますことは、「基本原則」でも安全保護措置のことについて努力する必要があるということが決められるわけですが、安全保護についてはなかなか、特に技術的、組織的安全保護措置ということについてですが、これについては技術の進歩が著しいとか、いろいろな事業における対応があり得るということで、これも法律的に一義的に書くことが困難ということで、今のところこういうような※で法律上の義務規定ではありませんけれども、こういう問題がありますよということを明記しているということでございます。
 (3)の「第三者提供の制限」でございますが、基本的に一般法的な部分である第4章と申しますか、まだ章という言葉は使っていませんけれどもあえて4章と言わせていただきますならば、この義務規定のつくり方は事業者等が最初に個人情報を取得するときにある程度チェック可能な形にする。それで、事業者が実際に企業の中で使っておられるときは結構、自由度が高いような形になっております。それプラス外へ出すときですね。これについては相当厳しい規定のつくり方になってございます。それがまさにこの「第三者提供の制限」の規定でございますが、ここに書いてございますように「個人情報取扱事業者は、個人情報データベースの全部又は一部を第三者に提供してはならないものとする」という禁止規定でずばっと書いてしまっております。「ただし、あらかじめ本人の同意がある場合及び生命又は財産の保護のため緊急に必要がある場合は、この限りではない」ということでございますが、※ではいろいろ適用除外規定を書いてあるわけですが、これについてはまさにIT社会では今後のデータベース業者とか、あるいは事業者自体が相互にデータをやり取りするというような形がどんどん増えてくると思われます。そういうことで、これはそういうところを詳細に検討してもっと正確に定めた方がいいのではないかという考え方から、実は9月14日の専門委員会に「第三者提供自体を目的とする場合の取扱いについて」という検討資料が出されております。
 恐縮ですが、資料の1−3をごらんいただけますでしょうか。案の上の方です。これは案は代替案というよりはそれぞれ一つの案でございますが、上の案はいわゆるデータベース業者などを念頭に置いていただきたいのですが「個人情報取扱事業者が、第三者提供を目的として個人情報を取得する場合」、これは何を言わんとしているかというと、もともと第三者提供を目的とするような個人情報取扱事業者の場合はというように言い換えてもいいかと思うのですが、「本人の同意がある場合を除き、利用目的の他、提供方法等についても通知、公表等の対象とし、本人からの利用停止等の申出があった場合、原則として当該個人情報の利用停止その他適切な措置を講じなければならないものとする」。
 なかなか一読しただけでは意味がおわかりにくいかと思うのですが、ポイントは第三者提供の事業の正当性を考える場合、1つは個人情報の内容、コンテンツを整理するという考え方があり得ます。ただ、問題は今回の個人情報保護法制というのは内容のコンテンツというものを検討し出すとなかなか制度がつくりにくい。そもそもプライバシーは何か、というような議論から始まらなければいかぬということで、個人情報の内容は基本的にとらないという制度のつくり方になっております。そこでむしろここで書いていることは、手続的にある程度透明な形でやっていただくとか、本人の同意をとっていただく。しかも、もし何か個人の情報主体の意思に反する場合は、そのデータベースから抜けることのチャンスを与えてあげる、権限を与えてあげる。これはいわば最近オプトアウトというような言い方もしておりますが、オプトアウトに近いような物の考え方でどうかというのが検討素材として出されているということでございます。
 2番目の案は、例えばこれも個別の業界の適否は問題あるかもしれませんけれども、例えば銀行業などを念頭に置いていただきたいのですが、銀行業などの場合で相互に個人情報を利用されておられるというような場合、こういった場合は利用目的だけではなしにその提供先はどこかと。これは後ほど公表の手続についての義務規定がございますが、ここと少し違うのは、むしろ提供先辺りまでもきちんと透明にするというような形でやる場合は認めるというようなことも考えられるのではないかということでこういう案が前回、委員会に出されたということでございます。
 それで、恐縮ですが(4)の「公表等」のところでございます。これはいわゆるオープンプリンシプルとか言われていたものの具体化であります。基本的にはそんなに中間整理のときと物の考え方は変わっていないわけですが、本人に通知をする場合を除いて公表としなければならないということの中の情報として1番目に利用目的とか、あるいは2番目に責任者の氏名とか、開示等に必要な手続とか、それからその他必要な事項となっております。これは、中間整理のヒアリングのところでも余りにもオープンにし過ぎるとむしろ個人情報の安全保護、セキュリティーという観点から問題があるというような御指摘もあったところですが、そういうセキュリティーに問題のある情報まで出すというようなことは不合理かと思いますが、こういったものはいわば個人情報を取り扱う人たちの責任として必要最低限のものということでこのように書いているところでございます。
 なお、6ページの下の方の(5)の「開示」の前の※ですが、プライバシーポリシーというものをまず策定して、それをオープンにしてやっていくということが一つの個人情報保護の仕組みとして注目されているところでございますが、問題はそのプライバシーポリシーというのは具体的にどういう内容なのか、なかなか明確になっていないところでございますけれども、とりあえずは今のCのその他必要な事項の中にはそういうプライバシーポリシーというものもできるだけ具体化して、そういう形で情報主体が見られるようにする形で進めていくというようなことが考えられているところでございます。
 次の7ページをごらんいただきたいのですが、7ページからはいわば中間整理の段階から引き続きの検討課題であったところに大きく踏み込んでいただいたところでございます。アはいわゆる自己に関する情報の本人開示の問題で、これを権利にするか、義務にするか、あるいは単なる努力義務にするか、いろいろな御論議があったわけですが、ここは明確に開示の申出があったときは開示しなければならないということで義務規定にしてございます。※に書いてございますのは、こういう法律上の義務ということになりますと、これも繰り返し申し上げておりますが、事業者の側にもやはり正当な事業の活動に個人情報を利用するという立場がございまして、そういった立場からすべて開示するということにはならないので、不開示情報というのは当然あるのですが、ただ、不開示情報というものを制度上つくるのであれば、やはり法律上明確に規定しなければならないということで、その不開示情報として具体的にどういうものがあるのかというのはここで例示を挙げてございますが、引き続きの検討課題ということになってございます。
 それから、イでは今の本人開示をしない場合、理由の説明に努めるという努力義務、理由の説明努力義務を規定しているということです。
 (6)の「訂正等」でございますが、この文書の最後のところを見ていただきたいのですが、「当該個人情報の訂正、追加、削除その他の適正な措置を講じなければならないものとする」という義務規定を明確にしているところでございます。
 ただ、本人に関する情報を開示する場合とちょっとレベルが違うのは、訂正等というのは相当な合理性がある場合ということになろうかと思いますので、自己の個人情報の内容について、正確かつ最新の事実を反映するような申出があった場合には、内容を確認して、申出の内容が正当と認められるときには目的の達成に必要な範囲で云々で、「その他適切な措置を講じなければならない」という義務規定にしているところでございます。
 次のページをごらんいただきたいのですが、(7)の「利用停止等」でございますが、これもむしろ※から見ていただければと思います。「以下の理由を対象とすることについて検討する」となっておりますが、すなわち違法または不適正な方法により取得された場合、いわば持ってはいけない個人情報を持った場合といっていいかと思いますが、それプラス利用目的の達成に必要な範囲を超えて利用されている場合、こういった場合は情報主体の側は利用停止等の申出を行うことができるわけでございまして、その申出の内容が正当と認められるときには利用停止とか削除、その他適切な措置を講じなければならないと、これも義務規定にしているということでございます。
 8番目は「苦情処理の問題」でございますが、当然これは私人間のいわば紛争ということになりますので、当時者間で話し合いで解決していただくのが一番いいわけですが、ここでは事業者の側にいわば苦情処理についての適切かつ迅速な処理の努力義務を明記しているということでございます。
 9番目が、苦情処理について第三者的な機関とかというような話もあったわけですが、ここでは今、申し上げましたようにこの問題の本質は私人間の紛争であるということを前提に事業者側の体制を整備していただいて、そのところで苦情処理していただくことを推進するという観点から、端的に言えば例えば業界団体が認定苦情処理機関的なものを設けていただいて、それに主務官庁が監督するというような形で、そこを苦情処理の中核的な機関としていろいろな苦情処理の案件を処理していただくというような考え方が示されているところでございます。
 続きまして9ページをごらんいただきたいのですが、5の「政府の措置及び施策」でございます。これは従来からの基本法としての部分にまた戻るわけでございますが、基本法の目的とか原則を受けて個人情報といってもそれこそいろいろな種類、それから取扱い方もいろいろな取扱い方、利用のされ方もあるわけでございまして、またいろいろな人たちがそういったものを利用しているということですので、なかなか一つの法律で網羅的に定めるのは無理なところがあるわけでございます。それで、それを総合的に推進するための政府の措置とか施策というものをここで掲げているのですが、大きな中間整理との違いはございません。
 (1)は行政機関個人情報保護法でございます。これは当然、既に法律は制定されているわけですが、基本法が制定された場合はやはりその基本法の目的あるいは原則、物の考え方、そういったものを受けてそれを行政機関について実現していく。あるいは、一般事業者というか、取扱事業者に対する規定と対比しても整合性のとれたものにするわけで、その見直しをする必要があるわけでございます。
 それで、ここでのポイントは2点あろうかと思いますが、今、申し上げました必要な見直しを行うべきであるということが1点と、もう一つは公的部門が保有している個人情報と民間部門で保有されている個人情報、共通する部分もあるのですが、それぞれ政府といわば国民との間での制度のつくり方と、私人対私人との関係でつくる法律のつくり方ということで、具体的な記述はやはり同じにならないということで、別途行政機関については法律をつくるのだというような考え方を規定しているということになろうかと思います。内容的には省略をさせていただきます。御質問があればまたお答えするということにいたしたいと思います。
 (2)の「独立行政法人等に対する措置」でございます。これも中間整理の段階とは基本的に変えておりませんが、ただ1点、末尾の方で「法制上の措置その他必要な措置」ということで法制上の措置を明確にして、これは法律をつくれということをより明確にされたと言っていいかと思います。
 (3)の方は基本法を受けて個別法ということになるのですが、個人情報といっても先ほど申し上げました取扱事業者の規制の対象となるような個人情報というのは通例は顧客情報的なものが多いわけですが、個人情報でも従来、医療情報とか教育情報とか、あるいはILOの関係では労働者の個人情報などもいろいろ問題になっているわけでございます。新しい問題としては遺伝子情報などの問題も出てくると思うのですが、それぞれ一般的な法の対象で具体的に規律する個人情報とは相当質の違う、ハイリーセンシティブと言っていいのかもしれませんけれどもそういったもの、あるいはその利用方法、これも特異な利用方法をしているというような場合はやはり個別に法律を政府側がつくっていく必要があるということで、そういったものは別途の措置でやるのですよというような考え方を明記しているということでございます。これは、中間整理の段階と基本的には変わってございません。
 (4)の「個人情報の保護の推進に関する基本方針の策定等」、この部分も中間整理のときと基本的に物の考え方が変わっているわけではございません。いわば基本法的な部分についてはいろいろな個人情報の種類、それから繰り返しになりますがいろいろな種類の保有者がおられて、取扱いの仕方もいろいろな取扱い方をしている。それぞれきめ細かく施策を講じていく必要があるのですが、政府全体としていわば総合的に推進していくためには一つの方針というもので、分担体制などをきちんとした上で進めていく。あとは「基本原則」を一般の保有者の方々に努力していただくためにはもっとかみ砕いた指針的なもの、あるいはガイドライン的なものが必要になってくるわけですが、そういったものについてもきちんとやりなさいというようなことが書かれているということでございます。
 11ページに移らせていただきたいのですが、(5)に「主務大臣の指示等」というところがございます。ここは、やはり中間整理の段階よりは相当踏み込んだ検討があったところと言っていいかと思います。これも問題意識は、1つは先ほど申し上げました第4章の取扱事業者、これは義務規定になっているわけですが、その義務規定である以上これをどう法律上守らせていくかということが問題になるのですが、そこは事業官庁が主務大臣となって、その事業官庁のいわば監督責任という形でそこの辺りを明確にしたということでございます。
 ただし、これは中間整理の段階からも表れていたのですが、これは端的に言って事業者に対する規制という形になりますが、その規制は事前規制のような重いものではなくて苦情処理、苦情に関する情報などを契機にして優れて事後的な必要最低限な関与であります。それで、その関与の仕方も報告徴収、これはいわば調査と言っていいかと思いますが、上限改善の指示、この改善の指示というのも改善命令のような処分ではございませんでこれも一つの行政指導の一種だと思いますが、改善を促すというというような性格のものがメインになるといったことかと思います。これは前の中間整理では第三者苦情処理機関というか、行政機関が苦情処理機関として報告を求めて勧告をして公表するというような考え方もしておられましたが、むしろそういう第三者機関ではなくて事業を所管している主務大臣の責任という形で整理されているということでございます。
 また、※の2番目に書いてあるところでございますが今、申し上げましたように個々の主務大臣の権限というのは一般的には改善の指示のような非常にソフトなものを考えておられますが、特に先ほど来個人情報の出口、第三者提供、こういったものについてはやはり改善命令というような行政処分的なものまで厳しくやる必要があるのではないかというような御意見もあって、ここの2番目の※で書かれているところでございます。
 6番目の「地方公共団体の措置」等については大きな変更はございませんので内容の説明を省略させていただきたいのですが、ただ1点、12ページをごらんいただきたいのですが、12ページの(2)のイの※のところでございます。いろいろ問題があった場合の系列としては、1つはやはり事業者に対する事業監督官庁、それは監督責任があるわけですが、そういったところを通じての解決というのがあるわけですけれども、むしろ情報主体、これは事業者との関係では消費者としての立場からの側面が優れて強くなるわけですが、その消費者としての立場からの解決を促進してもらうところというもの、これはこちらでもちらっと書いてございましたが、既に消費者保護基本法に基づいて地方公共団体、それから国、特にこれは国民生活センターが中核となって進めておられるのですが、こちらの方はどちらかと申しますと消費者の立場からいろいろな苦情を聞いてあっせんするというようなシステムがございます。それで、今回の個人情報についても事業者といわば情報主体の関係はほとんどが消費者と事業者の関係に重複するというところがあって、また国民生活センターでも現に相当個人情報を取り扱っておられるということもございまして、むしろそちらをベースに考えるというようなことを検討中でございますという意味で、この※が付けられているということでございます。
 それで、素案の最後の「罰則」の問題でございます。罰則の問題については、率直に申し上げまして法制化専門委員会の方でもまだ引き続き検討になっております。専門委員の方の中にも、まだ何とか刑事罰を科すべきではないかという方もいらっしゃるということで、今のところ引き続き検討中ということになっておるわけですが、ただ、ここに書いてございますところは、刑事罰の場合は構成要件をつくるのは難しいなどといった立法技術的な問題の奥底にあるのは、どのような法益を社会的制裁としての刑事罰で処せられなければいけないか。その裏にはやはり罪刑法定主義という憲法上の要請がある。むしろ罪を犯したというか、罪を犯された側の犯されたかもしれないと疑いを持っておられる方々の人権擁護というような観点から、まさに構成要件というものは相当正確に決められる必要があるわけでございます。今、問題になっているのは個人情報の取扱いの中でもある意味で第三者提供に近い話ですが、いわば情報保有者が違法に情報を漏らした場合、刑事罰で処することができるのかできないのかということでございます。専門委員会でも議論になっているのは、1つは個人情報、先ほど来、今回の法制というのはコンテンツ、内容の質を問うていないということで、すべて個人情報に関するものであれば、仮に行政罰や何かの刑事罰をつくるとなれば罰則の対象となるのですが、例えば個人対個人でも他人のうわさをする場合があるわけですが、それは名誉毀損とか侮辱罪とか、あるいは業務妨害罪とか、既に現在の刑法でも罰せられる場合があるのですが、それ以外の個人情報ですね、そういう名誉毀損にもならず、侮辱にもならず、そういうものをうわさ話をした場合も刑事罰にするのか、それは少し行き過ぎではないか、というような御論議もありまして、それではその違いは一体どこで設けるのかというようなところを今、引き続き御検討いただいているところでございます。
 ただ、これも個人情報の質を問える個別法の段階であれば、相当そういう意味での問題性が低くなるということは言えるかと思います。例えば信用情報ならば信用情報というものの質に着目して刑事罰ができるかどうかとか、医療情報などは既に刑事罰の対象になっているわけですが、それ以外に医療情報を取り扱っていても抜けている方々がいまして、そういったものをどうするかというのは従来の延長線上の問題として簡単にできるのですが、難しいのは一般法的にすべて刑事罰を付するということになると、それこそ極端な場合だと思いますけれども、人のうわさ話とどう違うかというところが出てしまうというところでございます。
 加えてもう一つ「罰則」という意味で委員会で御検討中なのは、先ほど第三者提供の場合は主務大臣の改善命令という行政処分をできるようにするということも考えられないかということですが、その行政処分を課した場合は通例間接罰になるのですけれども、行政罰的な罰則を設ける。要するに、改善命令に従わない場合は罰則をもって規律するということが既存の法制でも講じられているところで、こういった方面での検討を今、委員会の方で引き続き御検討していただいているところでございます。今の刑事罰の関係では、資料1−4で9月14日に法制化専門委員会に提出した資料をお出ししておりますが、このときの議論を踏まえても今、私が説明したとおりの状況かと思います。
 次に、資料1−2をごらんいただきたいと思います。これは、中間整理の中で引き続き検討すべき課題として位置づけられた適用除外の問題でございます。特にジャーナリズム等々からいろいろ適用除外についての御意見、要望があったわけですが、それについての考え方を整理して、9月8日の専門委員会で御検討いただいて御審議いただいた資料でございます。もう既にごらんになっておられるかもしれませんがポイントを申し上げますと、1つは憲法が保障する表現、信教、学問の自由ということと、「基本原則」のところで御説明しましたが、あとは個人情報の保護というのも、人格尊重の理念の下で保護されるべきものであるという位置づけでございまして、いわば憲法上の権利なり理念といったものとの調整ということで、当然これは必要なものであるという御認識は各委員の方にもございます。
 その調整の方法としては4つある。これは簡単に申し上げますと、1番目は法律から全面的に対象外にする。2番目は、章単位ぐらいで対象外を検討する。3番目は、各条文ごとに適用がいいか悪いかを検討する。4番目は少しわかりにくいかと思いますけれども、個々の条文の中身、例えば開示請求などの場合は開示しなくてもいいような場合が出てくるわけで、不開示情報という形でその範囲が出てくるわけですが、当然その不開示情報の範囲の中には事業者の正当な権利、利益を損なう場合はやはり開示しなくてもいいということになるわけですが、まさに報道の自由などというのもいわば事業者の正当な利益というような中の一つということも言えるわけで、そういう解釈運用で明確な場合もありますし、解釈運用で明確でなければ、あえて例示として確認的に報道の自由でも何でも書けばそれで済むという書き方でございます。
 これは非常に機械的な話ですが、こういう4つのパターンで、ではどうするかということですが、委員会で御論議いただいたのは全面対象外とすることについては合理性があるのかとか、あるいは章ごとに検討すると若干章ごとの合理性というものも検討できるが、果たしてそれでうまく収まるのかとか、あるいは条文ごとに対象にすればそれはより正確に対象とするかしないかの合理性は検討できるのだ、というような議論になっています。
 ただ、注意を要するのは、特に項目4の取扱事業者の一般法の部分でございます。この一般法の部分はある意味で制度的担保という少し専門的な言い方をしていますが、すなわち主務大臣の関与をある程度前提としているわけです。それで、4章が適用対象になるということであれば、それは主務大臣の関与というものが必然的にできるようになるわけですが、そういうことも合わせて考える必要があるとか、あるいは「基本原則」、これは5原則あるわけですが、それぞれジャーナリズムとか、あるいは信教の自由とか、そういったものにそのままストレートに適用していいのかどうかとか、やはり条文ごとに見なければいけないのではないかというような御論議もありますし、これは実は「基本原則」の性格をどのように認識するかということにもよる。単なる努力目標的なものなのか、それとも努力目標よりはもう少し強いやらなければいかぬ原理なのかどうかというところがあって、引き続き御論議していただいておりますが、ただ、これは全く事務局としての判断というよりは、横で話を聞いていた一人の者としての感じから申し上げますと、@とかCで絶対やるべきだというような考え方の方はいらっしゃらなかったと感じております。大体AかBか、あるいはAとBのアレンジでいけるのではないかというような感じだったかと思います。この辺は次回、今週の金曜日でございますけれども、再度御論議いただくことになっておるということでございます。
 時間を取り過ぎて恐縮でございますが、以上で説明を終わらせていただきたいと思います。

【堀部座長】どうもありがとうございました。大変詳しく御説明いただきましたので、素案と関連して「罰則」、それから「報道、宗教、学術等分野との調整」などについてもどういう議論になっているかということがおわかりいただけたかと思います。
 それでは、これからただいまの説明を踏まえまして各委員から御質問、御意見等を適宜お出しいただきたいと思います。先ほども御紹介がありましたが、本日欠席の委員の中でペーパーをお出しいただいている方もあります。そのうち、礒山委員のコメントにつきましては後ほど経団連の担当者から適宜御紹介していただくことにしたいと思います。どなたからでも御自由に御発言いただきたいと思います。

【加藤委員】前回いろいろとお願いした件が入って、例えばデータの最新性を求めるといったようなこと、大変いろいろ配慮していただいたし、また消費者行政を一つの今までの全国民的な苦情処理の機関として見ていただけてよかったと思っておりますが、幾つかまだ疑問を持っていますのでお伺いいたします。
 まず1ページ目の「定義」の(4)の「一定のもの」について今後の検討課題だとおっしゃったわけですが、これは是非こういうような視点も検討の中に入れていただきたいと思うのは、1人ワンデスクサプライヤーでありましてもたくさんの人の情報を集めるということが可能なわけですので、これは事業者が例えば有限会社であるからとか個人商店であるからといったような切り方ではなしに扱っていただきたい。それから、逆に今度は集められる側にしてみますと、先ほどうわさ話の話をおっしゃいましたが、あれは例外の例外だといたしましても、少量集められた人間たちのデータでも漏れることによっては大変困ることもあるということで、数の扱いというのは非常に慎重にしていただきたいということでございます。
 それから、2ページ目にいきまして「利用目的による制限」で必要な範囲内で取り扱われるということですが、これは基本原則なのでここまでしか書けないのかと思うのですが、やはりOECDの原則などを参考にしますと、ここの基本のスタンスのところでぴしっとその本人の同意が前提であるということが読み取れるような書きぶりを私どもは希望するわけです。
 それからもう一つは後ろの方の第三者提供の形と、4ページの第三者提供の制限と特に関わってくるわけですが、取ってはいけない情報や、例えば病歴とか戸籍とか宗教とか思想信条といったようなセンシティブ情報収集の禁止というものが基本のところでは読み取れないのです。それでいいのだろうかということを思いましたことと、不要になったら消去するということが、確かに最新性を確保するということですけれども、これは本人がたまたまそれに関与し始めればそこのところで担保されますが、そうでないと不要になってもいつまでもデータがふらふらしているというようなこともありますので、その不要の場合の消去といったようなことはどうなるのだろうかということを思いました。
 あとはいろいろございますけれども、心配なのは事業者に対してやはりいろいろなことをお願いするというか、義務を課するわけですから慎重に法律になりますとしていかなければならない。善良な事業者がこれによって窮屈な活動によって消費者も不利益を被るということがないように、ということはわかりますけれども、余りにも事業者の正当な利益を害するおそれがある場合ということがたくさん出てきましたり、一般的にそういった拡大解釈によってはほとんど実態がなくなるのではないかというような心配をしますので、どこまでこういう条件を明確にしていくのか難しいものだなと思う一方、心配もしております。事業者の正当な利益を害するおそれの判断というのは非常に拡大解釈されて、消費者が当事者でありながら蚊帳の外に置かれる心配はないのだろうかということを思って、どういう条件を付けてそれを、そのおそれのある場合と規定していくのかと思いました。
 それからもう一つは、7ページにいきまして「政府の措置及び施策」ですが、これは前回にも主婦連合会としてお願いしましたけれども、基本法が国会で挙がっていくとき、同時進行にやはり現行法の改正をきちんとしていくということの作業を一緒にやって、両者が相まって個人情報保護の体制が整うよう、時限的に現行法の改正作業を約束したような書きぶりというのは法律の場合難しいのでしょうか。あるいは、解説でやっていくのか。そこのところを是非していただきたいと、そんなことを思います。長くなって申しわけありませんけれども、今のところそのようにお願いしておきます。

【堀部座長】ありがとうございました。ここで一つひとつお答えするというよりは、言葉の意味等については説明はいたしますが、今、法制化専門委員会の方で検討しているところですので、御意見として伝えるということにしたいと思います。時間の関係もありますのでいろいろ御発言いただいて、時間があれば少し説明できる部分について説明するということでいきたいと思います。
 では、原委員、浦川委員、西垣委員という順序でお願いいたします。

【原委員】加藤さんの方と重複する意見もあるかと思いますけれども、消費者側としてこの原案を見たときの消費者側としての意見を述べさせていただきたいと思います。
 「目的」については、権利利益保護ということが明文化されて、ここは評価したいと思うのですが、「定義」のところですが、先ほど加藤さんの方からも意見が出ましたように、(3)と(4)にかけてどういった人たちが組織や個人情報取扱事業者になるのかというところで、ここで後半にも入ってきますけれども、大量に処理をする事業者だけが対象になるようで、小規模の個人情報データベースを取り扱うというところが要検討にはなっていますけれども、是非ここもその対象範囲としていただきたいと思います。
 それから、「基本原則」のところも私どもの検討部会の中間報告とそれほど差異はないと言われたのですが、中をよく読んでいきますと「利用目的による制限」のところでは消去という話も当然入るべきであろうと思いますし、(2)の取得のところには必ず本人同意が必要だということが入ると思います。
 それから、(3)の「内容の正確性の確保」には最新性というのは入ったのですが、センシティブ情報のような扱いについてはいろいろと意見が出ていたと思うのですが、どのようにされたかという御説明もありませんでしたので、そこについてのお話をお願いしたいと思います。
 それから(5)の「透明性の確保」の部分は前回も少し指摘して非常にわかりにくい文章と申し上げたのですが、まだはっきりわからなくて、やはり開示訂正権として構成をしていただきたいと思います。
 それから、問題は4の「個人情報取扱事業者の義務等」というところで、ここは義務という言葉が入って非常にきつい規制がかかると読み取れるのですけれども、前提として置かれている大量の個人情報を高度な情報処理で必要最小限のという大前提が置かれての規制のかけ方になっていて、これが先ほど申し上げた小規模事業者などは外れていくことになるのではないかということを危惧をしておりますので、そこについての議論はどうであったかということをお願いしたいと思います。
 それから、利用目的とかいろいろな場面で「又は」という表現が入ってくるのです。「又は業務の適正な実施に支障を及ぼすおそれがある場合」ということが、アンドではなくてオアーで入ってきているところを大変危惧しておりまして、「業務の適正な実施に支障を及ぼすおそれ」というのは至るところにあると思うのです。それが、この「又は」という表現で2か所ぐらいたしか入っていたかと思うのですが、ここについては疑問を持っております。
 それから、「一般的に合理的と考えられる範囲を超えて」とか「正当な理由と認めた場合」とかという言葉も何か所かにあるのですが、これも判断主体が事業主だとすると、消費者側からすると納得がいかない場面も出てくる。そうすると、判断主体についてはどのように考えられたのかということについての検討がまだ必要ではないかと思います。
 それから「義務規定」ということで4の頭は付いているのですけれども、適正な取得のところは「義務」になっていて、4ページに入って(2)の適正な管理のところは「努力規定」になっていて、大きくくくれば「義務」になっているのですけれども、個別の中を見ていくと「努力規定」になっているというようなものも幾つかあって、どういう分け方で「義務規定」と「努力規定」とを分けられたのかということについてはもう少し説明をいただきたいと思います。
 それから、政府のところについては検討部会でもまだ十分な議論をしていたわけではありませんので、これについては別途ここで縛りをかけるというか、限定をある程度厳しくするのではなくて、きちんとした検討の部会を設けていただきたいと思います。
 それから、主務大臣の話が11ページで「主務大臣の指示等」ということになっておりますけれども、これはやはり私ども検討部会でも言っておりましたように、ただの指示だけではなくて例えば公表も入れるとか、もう少し強い形での規定が考えられるのではないかと思います。
 それから1点質問なのですが、12ページで「区域内の事業者、住民に対する支援等」ということで、苦情処理について「消費者行政における苦情処理体制などを参考としつつ決める」とありますが、そうすると私ども最初に複層的な苦情処理体制という話をしておりましたけれども、実質的にはここで読み取れるものは消費生活センターでの苦情処理と、それから事業主がそれぞれの事業主団体で設けられるであろう苦情処理体制と、この両方になって、それをまた受け止めるというのでしょうか、それはどこになるのか。そういったところを管理する組織というものはどこに置かれるのかという辺りが全体的に見えないという感じがしておりまして、ここについてももう少し御説明を伺いたいと思います。以上です。

【堀部座長】ありがとうございました。それでは浦川委員、お願いします。

【浦川委員】まず第1は質問なのですけれども、「基本原則」が妥当する範囲というのは単純に何人もということでよろしいのかどうか。つまり、すべての国民、個々人も含むということでいいのか。そうした場合、個人情報の定義というのがすべての個人情報ということで、ある意味で言うと大変大きな網がかかっているということ。これはいけないということではなくて、そういう認識を持っていなければいけないだろうと私自身思っております。
 それとの関係なのですけれども、3ページになりますが4の(1)のアイとの関係で個人情報取扱事業者、これは事業者ということになるわけですが、ここで言っている個人情報というのは最初の定義規定に戻って2の(1)の「定義」、つまりここで言う個人情報という話なのか。あるいは、率直にお尋ねするとその次に書かれている「個人情報データベース等」というのがありますが、ここに入れるべき個人情報を具体的には指しているのか。もし前者であるとするならば、4の(1)のイというものは相当強い義務を課すことになるだろうという指摘だけはしておきたいと思います。
 それから、意見を言ってもいいということのようなので意見も若干ついでに述べさせていただきますと、加藤委員、原委員がおっしゃられた危惧というのは私も若干感じておりますが、重複しますのでそれは除きます。そして、問題は私が特に指摘したいというか、申し上げたいのは、法制化に大変努力されていることはよくわかるのですが、もう一つこの点はどうなのか。つまり、4ページの(2)でイの部分です。これは個人情報取扱事業者が従業員に対して監督せよという義務を課している。しかし、問題はもう一つのレベルもあるのではないか。つまり、個人情報取扱事業者自身がそもそも適正な個人情報取扱いをしているかどうかという、いわゆる監査のレベルがこれは必要なのではないか。この監査機関についての規定がない。やはり今の時代であれば内部監査の対象にこれを含める方法を考えられたらどうかと思います。
 それからもう一つは、先ほどの資料1−3にくるわけですけれども、第三者提供自体を目的とする場合ということの案の1のところで「本人の同意がある場合を除き、利用目的の他、提供方法等」ということで、ここでそもそも個人情報取得の方法あるいは収集の方法というのを特に除外している意味というのはあるのかどうか。むしろ我々から言えば、こういう業者が一体どういう形で情報を収集しているのかというのは知りたい。その点から言えば、この点をやはり入れていただいた方がいいのではないかという気がいたします。以上でございます。

【堀部座長】ありがとうございました。

【藤井室長】ある程度切りのいいところで一回お答えをさせていただければと思います。
 事務局から、御意見に関わる部分についてお答えするというのは何か変なところもありますので、御意見に関わるところは基本的にはむしろ専門委員会に座長が御指摘のとおりお伝えするということと、プラス若干既に委員会の中で議論があったこととか、あるいはそれ以外の部分も含めてコメントできるところはコメントさせていただくということでやらせていただきたいと思います。
 加藤委員からの定義規定、「一定のもの」をどうするのかというのは、まさにその辺りはこれから議論していかなければいかぬところだと思いますので、これは御意見としてこういう御意見があったということをお伝えしたいと思っております。
 それから、原則のところでございます。これはいろいろ委員会でも議論はあったのですが、ある程度法律上の原則とするということであればそんなにたくさん書けないなというところで、むしろ今後別のところで、解説とおっしゃいましたが、解説の部分で趣旨をどう明確に書くかということも含めて、委員会の方で議論していただこうかと考えてございます。
 また、原委員からもあったのですが、「正当な利益」という言葉遣いの問題でございます。この正当な利益というのはよく法律では使う言葉でございますけれども、そこで言っていることは何かと申しますと、多分情報主体側の権利利益の侵害のおそれというのは天秤の片方にあって、もう一方には個人情報を取り扱う事業者側のまさに有用性の配慮もある。いわばその調整概念というようなときに、正当な利益という。逆に言えば、事業者側の正当な利益でない場合はだめよということになるわけです。
 そこで、原委員から御指摘があったのですが、ではだれが判断するのかという御論議があります。これは第一義的には御指摘のとおり事業者が判断して対応されることになると思うのですが、問題は第4章は義務規定になってございまして、これはいずれ裁判所で御判断いただくことになろうかと思いますが、これは委員会でも御論議があったのですが、そういう局面に来れば、それはやはり正当かどうかというのは単なる事業者側の主観的な判断で決まるものではなくて、社会通念とか一般社会の観点から見て正当かどうかという客観的な判断になるのではないかという御論議があったことを紹介しておきたいと思います。
 それから、原委員の小規模の定義規定のところは加藤委員と全く同じように委員会の方にお伝えしたいと思います。原則の方もそうだと思いますが、ほぼ御趣旨はわかりましたので、むしろ委員会に御報告をするとともに、もっと解説部分では丁寧に書かないとそういったところは分かっていただけないのかなと。法律の条文に書くか書かないかというよりはむしろ趣旨をいかに明確に書くかという、その辺の問題もあろうかと思いますので、その辺も含めて御論議いただければと思っております。
 それから、一般的に合理的とか正当なというのは今、申し上げたとおりでございます。一般的に合理的も言葉としてはまだまだ立法技術的には改善の余地がある言葉だと思っておりますが、今度は事務局の立場でお答えさせていただきたいのですが、私どもこういった委員会をお世話するときはまず趣旨を明確にしていただければ、その趣旨に一番沿うような法律用語みたいなものを選択できますので、具体的な法律用語をどうするかというよりは、むしろ趣旨を明確にしていただきたいということで、今こういう流れできているということでございます。
 それから、努力義務か義務規定かというのは結構緻密に区別してやっていただいていると思っております。義務規定にするのは、やはり法律上当然そうすべきだと言っていいものということになると思うのですが、努力義務規定の方は先ほど少し申し上げましたけれども、なかなか一義的にここまでやれということは言えない。それはなぜかというと、まさにIT技術などというのは日進月歩でございますので、いろいろ進展があればそれに対応した措置をやっていただく必要があるとか、あとは適正管理などはそれぞれ各事業主体の中での状況に応じて適切にやっていくということで、なかなか法律上一義的にここまでやれということは書けないというような場合は書いているということです。
 ただ、巷間、よく努力義務はやってやらないでもいいようなことだというのは、これは役人の間でもそういう言われ方をするのですけれども、本来法律の趣旨から言ったら努力義務であっても本来努力すべきことは少なくとも義務があるので、そこは法律上ここまでやれと言うことは言っていないというぐらいの理解でいいのではないかと思っております。
 それから、政府の措置の中で行政機関個人情報保護法の件についてはそういう御意見があったということはお伝えしたいと思っております。
 それから、原委員の主務大臣の関与の話で、指示等を単なる指示等ではなくて別途公表をというようなお話がありました。これは※で書いていたかと思いますが、当然そういうことも視野に入れて御検討いただいているということです。ただ、委員会での議論は公表という場合、制裁的公表というのと単なる情報提供としての公表という問題がございます。情報提供としての公表というのは、どちらかというとほかの個人消費者に対して情報を与えることによって、そういう危ないものがあればそこを避けられるように要望するというような意味であろうかと思うのですが、こういうものは別に法律上明記するかしないかの話ではなくて運用でやれる話だと思っております。制裁的公表ということになると、企業などによっては信用などというのは単なる罰金以上に大きないわば制裁的効果があるものですから、そこは相当慎重に考えなければいけないというような感じの御論議があったということを御紹介いたしたいと思います。結論的には、情報提供的な公表であれば現にやっている場合がありますので、そこは運用でもやれるし、あるいはこの※でも書いてございますが、そういったものはむしろ趣旨として解説文というか、趣旨の考え方を書くところで書くということも考えられるかと思います。
 それから、苦情処理体制の問題でございます。これはなかなか口頭で御説明したのでわかりにくかったかと思いますが、まさに当部会で御検討いただいた複層的な苦情処理体制をどう法律上で制度化するかという流れで考えているところでございます。それで、先ほど申し上げましたように大きな流れとしては3つあろうかと思っています。1つは事業者、それから事業者団体、そういった当事者間での紛争のやり方と、もう一つは今回の素案はいわば事業所管官庁が主務大臣として個人情報保護についてもやはり監督責任があるという位置づけになっております。ですから、そういう事業所管官庁への流れがもう一つあろうかと思っています。それプラス、こういう個人情報をめぐる苦情というのは全国津々浦々で起こり得る問題かと思っております。それで、既にもう一つ都道府県とか市町村でもこの個人情報保護の問題も含めて御努力していただいていて、それをどう活用し、有機づけるかという問題もあろうかと思っております。そういう意味で、むしろ消費者サイドに立った苦情処理の体制ということでは今の消費者保護基本法の系列、これは既に市区町村、都道府県、それから国ベースでは経企庁、国民生活センター、これは非常に連携をとられた形をとっておられる。そういったもので処理していて、その後、国民生活センターなり経企庁なりがそれぞれの事業官庁といろいろ情報交換して解決に当たるという構図があろうかと思っています。
 あとは、説明から抜かしていたのですが、もう一つの流れとしては実は個人情報保護でも人権侵害事案みたいなものが出てくる場合があり得ると思っています。これは法制化専門委員会でもヒアリングでも、法務省におかれてもいわば人権侵害事案関係の個人情報というのはそこできちんとやられるということを当然のことですが表明しておられますので、そういったところとも連携しながらやっていくという形になろうかと思っております。
 それから、浦川先生から基本原則は何人も、ということでいいかという点がありました。これは実は専門委員会でも御論議がございまして、そこはもう少し考えてみようということになっています。一応議論があったときに、事務局からその代替案としては何人もという考え方、それからこちらでお出しされていた報告の裏にある個人情報を保有する主体的な、あるいは個人情報を取り扱う者とか、そういったものはだれでもという考え方とか、いずれにしてもここでは極めて基本原則は広くとらえるという物の考え方に立っていただいているということでございます。
 それプラス、逆に4の(1)の個人情報というのは「定義」の個人情報と同じかという御指摘でしたが、それは基本的に同じだと考えております。むしろ広い意味での個人情報、何でも入る個人情報です。個人に関すればというか、個人が識別される個人の属性情報であればすべて個人情報という位置づけになっているのですが、そういうものはすべて取扱事業者においてもやはり個人情報である。そのデータベースとの関係で申し上げますと、たまたま広い意味での個人情報でもいろいろものがありますが、それがデータベース等に入っていれば、それはデータベース等に入っている広い意味での個人情報であり、それがそのまま取扱事業者の概念の一つの構成要素になっていると思うのですが、取扱事業者が持っているデータベース等ということになるということで、むしろ除いておりません。事業者が何の個人情報でも持っていれば、それは法律の規制対象となる個人情報と位置づけているということでございます。
 それから、監査機関の話は私は御趣旨をよく理解できなかったところでもあるのですが。

【浦川委員】(2)のイというのは、要するに、事業者の下にいる従業員が事業者の規則に違反して個人情報の取扱いをした場合を想定していると思うのですが、そもそも事業者自身が適正に個人情報を組織として扱っていない、あるいは、取扱い方に疎漏な点があるという問題があると思うのです。そういったような場合には、会社では、監査という形で事業の遂行を内部的な監査あるいは外部的な監査の対象にしています。事業監査の方法で事業者の個人情報処理のコントロールをするというやり方は、現在の世の中では既に一般的な方法になっていると思います。しかし、この部分では、事業者は自分たちの従業員がいいかげんなことをするなという監督はやるけれども、ではその企業体自身の個人情報の取り扱いをどうコントロールするかという問題が抜けているのではないかという指摘なのです。

【藤井室長】大体そうかと思っていたのですが、内部監査というと普通経営監査とか財務監査とか、そういう面での監査というのは内部監査的な形があって、あるいは第三者的な公認会計士の方々などの監査機関というのもあるのですが、それ以外の業務運営については少しぴんと来なかったから申し上げただけですが、趣旨はわかりました。
 1つは、むしろ監査というよりは今回の第4章の特色は、事業者の個人情報の取扱いに対するいわば監督機関というのは主務官庁である、信用官庁としての主務官庁が監査するということと、もう一つは自主的なそういう個人情報保護のやり方についての推進機関的なイメージを、実は認定苦情処理機関というものを今度設けたいということを申し上げたと思いますが、その認定苦情処理機関の業務の一つとして、事業者団体の中で相互に研鑽していただいて進めていくというような形をとっているという考え方でございます。

【堀部座長】ありがとうございました。監査の問題は、ここでは直接は取り上げていません。これは民間の自主的な取り組みの中で既に監査、内部監査、外部監査を進めているところがあります。しかし、ごく一部ですね。恐らく今の監査の概念だと、個人情報の取扱いについて対象にはしていないと思います。普通、財務関係が中心だと思いますのでそこまではいっていないようです。そういう考え方を法律の中でということは恐らく現段階では難しいのではないかと思いますが、そういう御意見として紹介させていただきます。

【藤井室長】1点だけ、第三者提供の関係でございますが、取得段階の目的の話とか、あるいは取得の方法の問題がございましたが、これは8ページの(7)で別途の制度としてむしろそういう目的外のものを持っていたり、本来持っていけないものがあった場合は利用停止等を申し出ることができるという形で制度がつくられているということでございます。以上です。

【堀部座長】最近よく国際的に言われているオプトアウトというような形で、自分の情報が違法に取得されているというようなときにそこから除けとか使うなということになります。最初の段階で必ずしもわからないわけですから、後で見てそういうことがあれば利用停止等を求めるという発想なのです。
 それでは、西垣委員、お待たせいたしました。

【西垣委員】これから専門委員会で更なる御検討をされるわけなので、そういった意味では何点かの意見というか、要望に近いと思うのですけれども、それと若干の質問、確認をさせていただきたいと思います。
 ページ数で言うと、最初は4ページです。(2)の「適正な管理の実現」の中で「正確かつ最新の内容に保つよう努めなければならない」。これは努力義務規定ということになっていますけれども、例えば私の所属している生命保険会社もそうですし、多分金融業界あるいはその他の業態であっても、大変多くのお客様の情報を実際に取り扱っている事業者というのはたくさんあるのだろうと思います。このような事業者においては、例えば個人住所一つをとらえましても、お客様からの御連絡がなければ変更ができないという情報はたくさんあるわけなのです。したがいまして、ここで言う事業者が自ら所有している情報を耐えず最新にしなければならないということは現実的には大変困難が伴うという、そこのところを是非御理解をいただきたい。したがいまして、事業者、企業といたしましては情報を最新化する方法、これはもちろん用意をするわけですけれども、情報主体が正確、最新の情報確保に協力するといったことでの周知、そういう措置が必要で、またそれで足りるのではないかと考えております。これが第1点です。
 それから、次の5ページの「第三者提供の制限」の中で、ここは大変微妙なといいますか、難しいことがあるのだろうと思うのですけれども、言うまでもないことですが、今いろいろな業態の中においてはここで言われている外部委託であるとか、あるいはアウトソーシングにしてもそうですし、あるいは業務の提携等のもろもろの形でのお客様へのサービスの提供、あるいは商品の提供ということをやっておるわけです。したがいまして、ここで※の「第三者から除外することを検討する」という記載がございますけれども、このAのくだりでは「明確化された利用目的」等々と書いてありますが、やはりこれは是非除外の項目を明確にしていただきたいという点が第2点でございます。
 それから、第3点はその下の「公表等」ということになっておりますが、この「公表等」の中の@に「利用目的」という記載がございます。この「利用目的」につきましては余り具体的あるいは限定的なものとするのはやはり現実的ではないという部分がありまして、ある程度この「利用目的」については包括的な表現を認めていただきたいと思います。
 それから、第4点は7ページの「開示」のアのところになります。これにつきましても、私が所属している生命保険会社の場合が一番わかりやすい例かと思うのですけれども、お客様の医的情報など、大変センシティブな情報というのも現実に保有をしているわけでありまして、開示ということで考えた場合にそれに適切でないというような情報もあるわけでございます。したがいまして、ここにも書いてございますような本項の適用除外の検討についてもAを当てはめていただくようによろしくお願いをしたい。
 それから、8ページの「利用停止等」のところです。ここも適用除外の話になるわけですけれども、実際に個人の情報の利用の停止というのが行われた場合、業務の性格によってはそのまま業務そのものが停止をする。情報の停止がイコール業務の停止につながる。それはまさしく事業者の正当な利益が害されたり、あるいは業務の適正な実施に支障を及ぼすということがございますので、ここの項目についても適用除外については十分に御配慮いただきたいということでございます。
 以上が具体的な意見といいますか、要望ということになりますが、あと若干の確認の質問をさせていただきたいと思います。ページが戻って恐縮なのですけれども、最初に「個人情報のデータベース等」、1ページのところになりますが、ここの記載の中で「体系的に構成したもの」という表現になっております。こういう概念が取り入れられておりますけれども、この体系的というのは具体的にどのような状態を想定しておられるのか、どういう御議論があったのかという点をお聞かせいただきたいというのが第1点です。
 それから、次が4ページになります。少し細かくて恐縮なのですけれども、エの項目です。「利用目的を変更してはならないものとする」という中で※が3つありまして、その3番目、「以下の場合については本項ア、イ、エの適用除外を検討する」。その@に「あらかじめ本人の同意がある場合」という記載がございます。それで、ここで言う「あらかじめ本人の同意」の「あらかじめ」のタイミングなのですけれども、これは利用目的を変更する前にと読ませていただいたのですが、それでよろしいのでしょうか。利用目的の変更ではなくて個人情報の最初の取得時だと解釈する向きもあるようですけれども、申し上げた理解でよろしいかというのが2点目の確認事項でございます。
 それから3つ目の確認事項になりますが、これは11ページの「主務大臣の指示等」、ここは先ほどの浦川委員の御質問等とも関連する部分があるのですけれども、実際問題といたしましては個人情報の取扱いの事業者の中で多分、現実的に主務大臣のといいますか、当該の監督官庁の下でという業態もあれば、実際には監督官庁の存在をしないという事業者も存在しているのだろうと思います。そういった意味で、ここに書かれている趣旨からすると、そういう主務省のない事業者についてはどのようにお考えになっておられるのかということです。
 それから、実際に個人情報の不正取扱いに関する検査等が当該監督官庁によって行われるというようなことも想定されておられるのか。それは今、申し上げたように主務省のない場合とのアンバランスというものが現実になってくるのではないかと、このようなことを御質問させていただきたいと思います。
 最後に、これは念のためということですけれども、既にいろいろな事業者は個人情報を取得し、かつ利用しているわけですが、今回の法律に伴って既契約といいますか、既に取得している情報についてゼロから利用目的等々の通知をして同意を得るということは極めて現実的ではないわけでありまして、そこのところの訴求の適用についてはしかるべく取扱いを是非していただきたいという、最後は要望といいますか、確認ということで、長くなりましたけれども私からの意見といたします。

【堀部座長】ありがとうございました。それでは、大橋委員お願いします。

【大橋委員】幾つかの確認と、質問というか、意見です。
 最初の1ページの「定義」のところで、個人情報の「定義」を(1)で全般的にしています。ここで番号、記号その他の符号により識別できるものとされています。ここの書きぶりだと電算処理か、マニュアル処理かという限定は見えない。マニュアル処理も含まれると思います。そして、(3)の※で「マニュアル情報については」云々と書かれていますので、この(3)のところに※の説明が置かれるのがいいのか、(1)のところでこれを含めて言うのか、それとも(1)でここまで書いてあれば要らないのか、その辺の整理が必要だと思います。マニュアル情報についての今回の「定義」というか、限定はこれで割合明確になったとは思っていますし、(1)での説明でもその辺は明確になっていますので、整理の問題かもしれません。
 2つ目が、先ほど来いろいろな議論がありました正当な利益云々のところなのですけれども、検討段階で仮置きという感じはあると思うのですが、正当な利益があって適用除外になる。それはいつも存在するものだと思うのですけれども、ただ、例えば7ページの訂正あるいは利用停止等なのですが、訂正の申出の内容が正当と認められたときは訂正しなければならないというのですが、その内容が正当でもあるにもかかわらず事業者の正当な利益を害するおそれがある場合はその正当な訂正、申出を拒否することができる。そうすると、正当であると認めた上でそれを受けないという少し矛盾といいますか、実際どうなるのか。やはり正当な修正内容だということが認められたら、それは認めるのではないかという感じがするのです。
 それから7ページ目の(5)なのですけれども、開示は義務であるが、説明は努力であるという、これはなかなか整合性がとりにくい点です。開示が義務規定ならば、開示を行わないという場合の説明は義務なのではないか。一貫性が欠けるかなと思います。
 それから、これは「罰則」との関連もあるのですけれども、11ページの主務大臣で、主務大臣の存在、不存在の議論もありましたが、やはり改善中止命令まであるというのが一つ完結した体系かなと思います。何か問題があったときに助言、改善の指示、行政指導でとどまるか。やはり行政処分的に改善中止命令をすることができるという内容を持っている方が、この法律の基本的な実効担保をするものではないかと思います。以上です。

【堀部座長】ありがとうございました。それでは、経団連の方で用意していただいたものがありますので、ここで御紹介いただきたいと思います。

【礒山委員(代)】それでは、礒山は本日欠席させていただきましたが、コメントを読み上げさせていただきたいと存じます。

個人情報保護基本法制に関する大綱案(素案)へのコメン卜
礒山隆夫


 個人情報保護基本法制について、大綱案(素案)をおまとめいただいた法制化専門委員会の委員各位、事務局のご努力を高く評価したいと存じます。私は、この基本法制については個人情報保護の理念を明確化し、広く社会に定着させるものとして位置づけ、企業の自己規律による取り組みを促す一方、政府は民間では問題解決ができないときに必要最小限の関与をするのが基本であることに加え、民間における個人情報の保護と利用とのバランスの確保、企業活動の実態を踏まえた内容とする必要があると考えており、これまで本検討部会でも申し上げてきたところでございます。
 そうした観点から本大綱案(素案)を拝見しますと、個人情報の有用性に配慮することを明確に打ち出されるとともに、個人情報の集合物という考え方が採用され、検索可能なものとしているなど、高度情報通信社会への対応という観点からご配慮いただいた跡が伺われます。
 一方、個人情報取扱事業者の義務等など、一律な運用が行われますと欧米に比較しても全般的に企業にとって厳しい内容となっているものと思います。高度情報通信社会の発展にとって、個人情報の適切な保護は不可欠であり、企業の社会的責任が強く求められることを自覚し、企業としては今後とも適正な個人情報の取扱いに最大限努力をしなければならないと感じております。
 しかし、かねてから申し上げておりますように、個人情報保護という点ばかりが余りに強調され過ぎ、企業に過大な義務が課せられると大きなコスト負担が避けられず、ひいては消費者の利便性を低下させたり、国際的な競争力の低下により、社会的な負担増を招くことにもなりかねません。
 したがいまして、最終報告書を取りまとめるに当たりましてはあくまで予防的な措置との観点からは、善良な企業の活動を必要以上に圧迫したり業務の適正な実施に支障を及ぼすことにより、社会的コスト増や利用者の利便性の低下を招くことがないよう、下記の点にご配慮を賜りたいと存じます。その際には、グローバル化の進展に対応して国際的整合性を図る観点から、是非、欧米の制度運用の実態を踏まえていただくようお願い申し上げます。

(1)「4 個人情報取扱事業者の義務等 (1)利用目的による制限及び適正な取得 イ」について
 「本人との契約締結等に伴い、直接個人情報を取得する場合には、その際に利用目的を明示する」こととされていますが、利用目的の明示のタイミングにつきましては、膨大なユーザーとの対応の多くを「電話」で行っている場合などに、適正な業務の実施に支障が出ないよう、柔軟な対応をお願い申し上げます。

(2)「4 個人情報取扱事業者の義務等 (3)第三者提供の制限」について
 @本人の同意のある場合などを除き、第三者への提供は原則禁止、とされていますが、本人の同意の取り方につきましては企業実務を尊重していただきたいと存じます。
 A経済構造改革の進展に伴い、営業譲渡・分社化、アウトソーシングなどの動きが活発になっていることを踏まえまして、合併あるいは営業譲渡や分社化などにより個人情報データベースを承継する場合、並びに利用目的を達成するために共同または委託により個人情報を取り扱う場含は企業活動の実態を踏まえ、適用除外としていただきたいと存じます。

(3)「4 個人情報取扱事業書の義務等 (4)公表等 ア」について
 「責任を有する者の氏名」の公表が求められておりますが、人事異動等の事情により、常時正確性を維持することに多大なコストがかかり、また最終的に責任を負うのは社長、代表取締役であることは自明でありますし、個人情報の主体にとっても苦情を言うべき窓口か明確であれば十分であり、あえてこの項目を義務として記載することの意味が明確でなく、「責任を有する者の氏名」を削除していただきたいと存じます。

(4)「4 個人情報取扱事業者の義務等 (5)開示 ア」について
 事業者が保有する個人情報には、本人から取得したもの以外に、事業者が独自に作成・収集したものも含まれますが、特に後者の情報は当該事業者の営業ノウハウ、評価情報など企業秘密に属するものか多く、それらの情報についてまで開示を求められますと、事業に死活的な影響が及ぶおそれがございます。したがいまして、このように、事業者の正当な利益を害するおそれがある場合、または業務の適正な実施に支障を及ぼすおそれがある場合は、開示義務の適用除外としていただきたいと存じます。

 以上でございます。

【堀部座長】ありがとうございました。礒山委員は経団連の委員会の委員長を務めておられて、その立場でこれまでもいろいろ発言されてきていましたので今日こういう形で出していただきました。ほかの委員のも出ていますが、これを今ここで紹介する時間はありませんので適宜お読みいただきたいと思います。これは法制化専門委員会の方にこのまま提出させていただきます。
 それでは、加藤委員、関連してということでどうぞ。

【加藤委員】先ほど浦川委員の御発言に対して室長さんがお答えになった件で、要するに内部監査の問題なのですが、幸いなことに既に堀部先生などの御努力でJISで個人情報保護に関するコンプライアンス・プログラムができておりまして、その中で内部規定をきちんと整えるということ、それから外部に委託するときも非常に委託処理に関する措置について、これは少し私たちから読むと弱いですが、それでも一応内部と同等の配慮をするべきだといったようなことが書かれていること。それから、監査が4−5という項目で出ておりまして、そこのところを今度は法律の中でも明確にしていけば監査の問題は解決するのではないか。ですからせっかくできている、それから既に良心的事業者がこれを遵守し始めているコンプライアンス・プログラムを法律の中で生かしていくということが可能ではないか。素人でございますので少し失礼な言い方かもしれませんが、そう思いました。

【堀部座長】法律にどう書くかというのは法制化専門委員会での議論になるかと思いますが、先ほど原委員が言われました3ページの必要最小限の規律を設けるというのはまさに加藤委員が説明されたJISを始め民間では、私もずっと関わってきていますけれども、かなりハイヤーレベルの保護措置を講じているところがあります。この「個人情報取扱事業者の義務等」のところは平均的なところをとらえていますので、法律ができたからこの基準でいいのだとされているのでは困ります。むしろここに定めたのは必要最小限のものだ、ミニマム・スタンダードにすぎない、だから、これよりもハイヤーレベルのものをそれぞれ自主的にやってほしい、ここは必要最小限ですよと言っているのがこの必要最小限の規律という意味であります。
 では、大山委員どうぞ。

【大山委員】質問を1つと中身の確認を、私の意見を含めて、させていただきます。最初に大橋委員が言われたとおり、※のことですが、この元の文章はまだ素案の形で9月8日に資料として出ているので最終版ではないと思うのですが、※の使い方は、資料3の方がわかりやすくなっていると思います。なぜならば、よく見てみますと※の付いている位置が一番左にある場合と真ん中辺にある場合とで、意味が全体にかかるかどうかを考えて使い分けているように見えるからです。さらに、これらの項目の具体的な記述の仕方を見ると、何々をすることとするという書き方や、備忘録的な書き方をしているもの等があります。これらのうち、何々することとするという書き方のものについては、例えば具体的には5ページの一番上のウで「個人情報取扱事業者は」の下にあります「安全保護措置については」では、最後に「示すこととする」と書いてありますが、これは具体的に今後、文章中に書き込まれると解釈してよいのでしょうか。あるいは、この注釈は消えてしまうけれども、趣旨としては何らかの形で、例えば解説等に付けるというような意味があるのでしょうか。先ずはこのことについて、お聞きしたいと思います。
 次は私の意見です。このことは、今質問したことおよび、浦川委員が言われたことにも関係してきますが、例えば3ページの「基本原則」(4)の「安全保護措置の実施」に書いてある「個人情報は、適切な安全保護措置を講じた上で取り扱われること」を念頭において、この後ろの5ページ目を見ると、「安全保護措置(技術的、組織的安全保護措置)」と書かれている。ということは、この安全保護措置を講じてという意味は、技術的、組織的な安全保護措置と取れます。この解釈が正しいとすれば、この後の方に具体的な例として「政府又は事業者団体によるガイドライン」と書いてあり、言うまでも無く、ガイドラインを用いる方法は組織的な安全保護措置になります。一般的にガイドラインはJISのようなボランタリーなやり方なので、事業者団体等が、自分たちでガイドラインをつくるといったときに、そのガイドライン自体の適否や各事業者の運用が本当にガイドラインに準じているかどうかが分からなくなります。このことが先ほどの外部監査、内部監査につながってくるわけです。さらに、ガイドライン自体がどういう目的でどういう意味を持っているのかが示されなければ、言いかえれば、特定の事業者団体が自分たちの利益を優先する書き方にならないとも限りません。要するに、ガイドラインを出すのであれば、ガイドラインはあくまでも一つの考え方を示したものですから、当該事業者が自分でどのように運用するのかをはっきり公に示すことが必要です。公の必要に応じて示すのですから、これはある意味では説明責任を果たすということにつながってくると思うのです。この辺のところが「政府又は事業者団体による云々」という原案の記述では、それぞれがガイドラインを出せばそれで終わりと逆にとれてしまうのではないかと危惧します。
 後の方は意見で、最初の方は※の付け方についての解釈の質問です。

【堀部座長】それでは、原委員どうぞ。

【原委員】今日、礒山委員が欠席で読み上げられたので、経団連の意見と、それから事業者側の意見のところで質問が2点あります。
 1つは、礒山さんは最後のところで事業者が独自に集めて作成、収集した情報については適用除外ということを書かれているのですが、具体的にはどういうものを指されているのかということです。
 それから、この本文の中にも先ほど御説明で事業者の正当な利益と、それから業務に支障がないということがありましたけれども、これは事業者側の強い意見が出たのだなということはよくわかったのですが、これで消費者側、一般国民に納得をしてほしいというのであれば、一体これはどのぐらいの範囲のことを考えていらっしゃるのか。適正な業務に支障がない、その「適正な」ということはどの程度のことを言っていらっしゃるのかという具体的な話がないと納得ができないということです。
 それから3点目は意見なのですけれども、全体的にこれは「基本原則」で基本法の性格と事業者のところには一般法的なものとが含まれた法律になるのだろうと思うのですが、そうすると特に事業者の部分のところで非常に混乱をしてくるのが監査の話と苦情処理体制の話とがありまして、すべて裁判にいけばいろいろな判断が出ますということなのですけれども、この法律とその裁判の間を埋める、一体だれが責任を持っているのかという話の部分がまだうまく整理がされていない気がいたしますので、そこのところはまた精力的に後半検討していただきたいと思います。以上です。

【堀部座長】ありがとうございました。何かお答えすることはありますか。

【礒山委員(代)】恐縮でございますが、この礒山委員のコメントの3ページのところでございますけれども、ただいま(4)の部分について御説明いただきましたが、ここで申し上げておりますのは、要するにいろいろな個人に関わる情報というものがある中で、企業の営業ノウハウなり、営業の独自の情報なり、そういうものに深く関わっているもの、もしくはそのものも存在する。そういうものが公表、開示ということになりますと、企業の競争力がこれまで培ってきたものがライバル会社に知れる等々がございまして、それで企業の競争力上の非常に大きなマイナスとなってしまうということの趣旨でございまして、こういうものを要するに企業独自の営業ノウハウですとか評価情報等についてはそれを開示することは業務の適正な実施に多少支障を及ぼすのではないかという指摘でございます。
 余り答えになっていないかもしれませんが、後ほどでも御質問の趣旨をお話しさせていただいて対応いたしたいと思います。

【西垣委員】ここで言う営業ノウハウとか評価情報、礒山委員の御意見とストレートではないのですけれども、たまたまここで言う事業者が独自に作成というよりも収集したという内容で、私どもの業務の中で一番わかりやすい例で言いますと、契約の対象になっている被保険者が死亡したときには、例えば私どもの商売で言いますと保険金をお支払いをする。あるいは、入院をされました。入院の給付金をお支払いをするという場合があります。そういったときに、死亡というのもいろいろな形が現にあるわけであります。例えば、自殺もあったり、他殺もあったり、また災害で亡くなった場合もあったり、そうでない場合もあるとか、変な言い方ですけれどもいろいろな死に方があるわけです。それのどれに該当したのかというのはケースによって、要するに医的な診断書で判断がつかないというようなことがよくあるわけでございまして、そういった場合には企業が独自に必要な情報を収集した上で正当にお支払いをしないと、これは大変結果としてはまずいことになる。そういうようなケースはすぐ思い付く事例としてはあるわけです。

【加藤委員】死んでしまった人は請求できないですが。

【西垣委員】今は死んだ人とか病気の人の話もしましたが、例えば病気の人の話で言えばそういうケースがあるわけです。

【堀部座長】入院特約の場合などが入るのでしょうね。
 それでは、4時が終了時刻なのですが、この前の都道府県会館の場合には貸し部屋で時間を区切られていましたが、今日はもう少し大丈夫だということです。4時までということでしたので御都合の悪い方は適宜御退席いただきまして、もう少し続けさせていただきたいと思います。
 それでは、加藤委員どうぞ。その後、藤井審議官にお答えいただきたいと思います。

【加藤委員】今のことですが、ほかの人の情報を見せろと言っているのではなくて、自分のことがあなたの会社ではどう登録されているかということを本人が聞いているわけですから、それは開示されるべきではないか。ほかの人のことを聞いているわけではない。本人が聞くわけですから、そちらが私について直接会社は私から提供したもの以外、周辺から集めたものでも、もし間違っていれば私の名誉に関わるし、正しい契約内容にならないのだから、それはやはり礒山さんがおっしゃっている、あるいは西垣さんが例示として挙げたものは、消費者としては、情報当事者としては納得がいかないので、こういう形で適用除外ということになりますとほとんどそうなってしまうのではないかという心配がまさに出てきたと思っております。

【堀部座長】その辺はそういう御主張がある一方、企業関係の方などですと、そのように書いてあるかどうかわかりませんが、この顧客は有用だとか、この顧客はそうでもないとか、あるいはクレームをどのくらいつけてきたかとか、保険の場合などでも何回事故を起こしているか、客観的な事実ならばいいかもしれませんけれども、何らかの評価をしているということが一般的にはあり得ると思うのです。それをどこまで本人に開示するのか。それは企業として経営していく上で必要な情報だという関係もあって本人開示ということはほとんどありませんでした。医療の場合のカルテも、開原先生はおいでになりましたが、どこまでなのかというのは常に問題になりますし、教育情報でもどこまでか。教育の場合などもできるだけ開示する方向に地方公共団体の条例によりまして変わってきていますし、最近の新聞報道でも指導要録は全面開示にすべきではないかということが出てきていることはありますけれども、恐らく過渡的あるいは将来的には21世紀のどこの時点かわかりませんが、かなり本人に開示するということになるかもしれません。
 それでは、藤井審議官、お願いします。

【藤井室長】いろいろなことが重なりましたので、お答えさせていただきたいと思います。いずれにしても冒頭申し上げましたが、先生方の御意見にわたる部分はそれこそできる限り正確に法制化専門委員会の方にお伝えしたいと思っております。
 西垣委員からの御意見、御質問の関係でございますが、1つは4ページの適正管理、努力義務規定の趣旨、性格についての御意見がございました。これは先ほど言ったことの繰り返しになるかと思いますけれども、法律上、一義的にここまでやれというような明確なものは極力義務規定にすることとしております。先ほども申し上げたのですが、努力義務規定としているのは巷間言われるような、やってもやらなくてもいいという話ではなくて、それぞれの状況下において企業によっても実情はいろいろ違うわけでしょうから、そういう実情に応じて少なくとも努力はしていただきたいというものは努力義務規定と、一応この第4章の中でも義務規定にするべきか努力義務規定にするべきかは整理した上で使っておられるというところでございます。適正管理などは先ほども申しましたが、まさにいろいろな企業の実情、あるいは技術の進展の状況等によってそれぞれレベルとか内容が違ってくる可能性がありますので、そのときそのときで一番いいやり方で努力していただきたいという意味で努力義務規定になっているということでございます。
 それから、第三者提供のところの※の問題がございました。これも、実は先ほど資料の1−3だったでしょうか、まさに御指摘の趣旨で※のままではいかぬということで、再開第1回目は※だったのですが、再開第2回目の委員会ではむしろデータベース業とか、事業者間で相互にデータを利用しておられるというような場合についての新たな、これは大綱案の中身というイメージですが、そういうイメージで御論議をいただいているところでございます。これもやはり正当な事業者の活動というものは当然法的にも認められるべきだという前提で今、御検討いただいているところでございます。
 それから、利用目的等の公表でできるだけ限定的にというような御質問、御意見だったと思うのですが、まさにそれは情報主体の側から今日の委員会でも御論議があったのですが、逆にできるだけ具体的にという御意見が出ております。それで、この辺はどの辺りが一番いい線なのかというのはなかなか一義的に申し上げられる能力もないわけですが、ただ言い得るのは包括的、抽象的であろうが、具体的であろうが、情報主体の側から見て自分の情報は何に使われているのかというのが明確にわかるのかどうか。更に、一般的に見てもわかる場合はあります。何もこと細かく言わなくても大体そういうことに使われているのだなということがわかればいいという意味では、言葉が限定的であるかどうかという問題ではなくて、むしろ範囲が明確に表されているかどうかということの方が問題なのかと思っております。この辺りは引き続き検討をさせていただきたいと思います。
 それから開示情報の適用除外ですが、言葉遣いとしては開示情報の場合は適用除外というよりはむしろ不開示情報の範囲と言った方がいいと思いますが、その後での委員間の御論議でも、正当な事業活動なり正当な利益という言葉が問題になっておりましたが、情報主体側にも情報保有者側にもそれぞれ正当な理由とか正当な利益というのはあるのだろうと思います。情報主体側の正当な利益というのは何かというと、個人情報というのは単なる情報ではなくて、情報主体側の権利利益の侵害を即するものもありますし、侵害するおそれの段階のものもあろうと思いますが、そういうような事情がある。あとは、情報保有者側はそれこそ正当な事業活動なり、あるいは消費者に対するサービスをする一つの情報として、それこそ正当に使っていい利益があるのだろうと思います。それで、そこのいわば調整概念として正当な利益とか正当な活動とか、あるいは適正な利用とか適正性とか、これは前回の当部会でも原委員から御指摘があったのですが、そこで言っている正当とか適正というのは第一次的には事業者が判断すると申し上げましたが、第二次的な判断では当然裁判所等が判断されることになるのですけれども、その場合は客観的な正当性、適正性が求められるのであって、その段階では単なる事業者側の利益だけで、あるいは事業者側の恣意的な判断だけで決められるものでもなければ、逆に情報主体側の主観的な意思だけで決められるものではなくて、それこそバランスをとって一番いい線で決められるというような意味で使うときに正当とか適正という言葉を使っているということを申し上げておきたいと思います。要は、客観的に我々は利益衡量という言葉を使っているのですけれども、両者のそれぞれの利益衡量、利益のバランスがとられるべきであって、一方だけの利益に着目したものではないということを御理解いただきたいと思います。
 それから、利用停止、適用除外の場合も同様な話だろうと思いますが、これも両者の利益があるのだろうと思いますが、停止することについては情報主体側にも利益があるし、一方保有者側にも不利益が生ずるというような場合、そこはまさにバランスの問題をいかに、これは義務規定という非常にきつい規定なものですから、むしろ法律上そこは適正なバランスを図った上で判断するのだということを表現するという趣旨で今、御検討いただいているということでございます。
 それから、御質問でデータベース等で体系的に構成されたものの「体系的」という意味内容という御質問がございましたが、これは率直に言ってまだまだ詰めた検討をしていかなければいけない問題だろうと思っております。ただ、あえてこれはむしろ委員会ベースでの議論というよりは事務方での議論でございますが、例えば今のデータベース等はテキストがファイル化されていれば用語だけで検索できるような形になっておるわけですが、そういうものを入れるのか入れないのか。むしろデータベース等でも中間的なアプリケーションソフトなどである程度利用目的というものを明確にされたものでなければ、なかなか制度的には乗りにくいところはあるわけなのでして、そういうアプリケーションソフトなどをイメージされた場合、系統的に単に個人の識別情報だけでの検索ではなくて、個人のむしろ属性情報をある程度カテゴリー化するなりして、そういう形での検索可能性とか、そういうことになりますと相当属性情報についてもある程度ソフト段階では系統的に、少なくともタグか何か付けるなりして検索可能な形になっているというようなことが前提になるわけですが、その辺りを念頭に置いてむしろ技術的な問題も含んでおりますので、引き続き検討してまいりたいと思っております。
 それから、あらかじめの時期です。これも恐縮ですが、まだそこまで詰めた議論をやっている段階ではございません。ただ、趣旨から言ったら変更される段階には少なくとも情報主体側の納得が得られていることは必要だというぐらいのイメージで御論議されていると思いますが、厳格に最初の段階か、中途でいいかとか、そこまでの議論はしておられません。
 それから主務大臣の指示でございますが、これも冒頭に申し上げたのですが、この関与というのはソフトな関与、規制改革、緩和の時代でございますし、経団連からの御指摘にもありましたけれども、なかなか厳格な事前規制的な厳しい規制を、実際に保有主体は企業だけでも数百万、個人も入れたら1,000 万を超えるかもしれませんから、そういうもののきちんとした制度を持っていくというのは実効的ではないという意味で、できるだけ何か問題が起きたことを契機にソフトな調査をするなり、関与なりするという形での制度づくりがイメージされているところでございますので、不正取扱いの検査をやるのかというような御質問もありましたが、行政関与でございますのでここまで言っていいのかどうかはあれですが、行政がこういう私人間の紛争などに直接関与するというのは普通はあり得ないわけで、その背景に社会問題化しているなり、あるいは公益的観点から個々の紛争でも問題がある場合に乗り出すというのが従来のやり方でございますので、やはりそういう流れでこういう制度はつくっていかざるを得ないのではないかと思っております。
 それから、既契約の分についてどうするかという御議論ですが、事務局としてはもともとそれは念頭にあります。実効性のある制度をつくるには本当にできるのかということがありますが、まだ委員会では表立って御論議にはなっていませんので、そういうものも御論議していただきながら考えていただこうかと思っております。
 それから、大橋委員からの問題指摘で定義規定、個人情報、それからデータベースの関係ですが、基本的にはこれは一貫的に考えた形でつくっております。最初の個人情報の定義を受けて、データベース等の定義を受けて、そのデータベース等に準ずるものとしてマニュアルというものができる。問題は個人情報ということの定義は非常に広いということで、それをそのまま使ったら相当大幅な広範な規制がかかるのではないかというような御指摘かと思うのですが、そこはまさに実体規定のところで個人情報を単独に使う場合、これは注意しながらむしろ使っていっているということで、もともと定義規定については広いことにしております。むしろ限定的なケースをつくる場合には単独の個人情報という言葉ではなしに、個人情報を取り扱う個人情報取扱事業者とか、そういう複合的な形の言葉を並べることによって限定して使っていくという考え方に立っております。
 それから、正当な利益については今ほど申し上げたことと重複いたしますので省略させていただきます。
 開示の方の、開示が義務であれば理由の説明も義務ではないかという御質問でございますが、確かにそういう考え方もあるかなと思っております。ただ、行政処分などの場合は処分の理由などというのは義務ということになると思うのですが、これは私人間の話なものですから、もともとの不開示なり訂正しないということと説明というものをそこまで法制上同等のものとして取り扱っていいかどうか、その辺は疑問があるということで、むしろ説明義務も義務化すると具体的にはどこまで説明すればいいのか、先ほども言いましたが、義務化することでやはり一義的に法律上ここまでというものがあった方がいいわけなのですが、なかなか出し得ない。むしろこういう法律、制度の趣旨を事業者側が十分お考えいただいて、できるだけ親切に説明していただくという意味では努力義務でもいいのかなということでこうなっているのですが、その辺は御指摘があったということで、委員会での御論議にも適宜紹介させていただきたいと思います。
 それから、改善中止命令まで必要だという御意見は確かに専門委員の中でもそういう御意見がございますので、再度お伝えしたいと思っております。
 経団連の御意見等については、委員同士で御論議があったので省略させていただきます。
 大山委員からは、全体のむしろ最終報告書の構成の仕方に絡む話でございますが、※の整理の仕方、取扱いについての御指摘がございました。ここはまさに御指摘のとおりでございまして、これからそれを整理していきたい。何を整理するかというと、3つあります。要は、法律事項であるのか、大綱事項なのか、あとは大綱事項プラス解説とおっしゃいましたが、私どもとしては趣旨の補足説明的な部分は必ず必要であろうと思っております。その3つに整理していかなければいかぬということで、その辺りは中身の重要性に応じて整理していっていただこうと思っております。
 それから、原則とかガイドラインの話で、御指摘の趣旨はそもそもガイドラインというのは法的にどう位置づけるか。ガイドラインの性格はどうかということなのであろうと思います。ある程度ガイドラインというのは政府の措置等の中で法的に位置づけたいとは思っていますが、ただ、性格的にはこれはどちらかというと振興奨励型というか、周知広報型の行政手段でございまして、要は硬い規制型の権利義務の侵害の行政手法としてはなかなか位置づけられないところがある。それで、解釈の指針的には可能かと思うのですけれども、今のところはどちらかというとむしろそういったことを推奨することによって事業者の方々、あるいはできれば消費者とか情報主体の方々も参加していただいて、むしろ自主的にこういう個人情報保護法が基本法の理念に沿って実現していただくための手法で、それに対して国はある意味でノウハウはあるわけですから、そういうノウハウを外へ情報提供していくというような形での物の考え方をとっていきたいと思っております。
 JISとの関係については、JISが別途一つの違った行政目的から行われていると思いますので、JISそのものをここで位置づけるところまでは無理かなと思っております。
 御回答で漏れた部分があるかもしれませんが、正確に議事録は取っていると思いますので、できるだけ皆様方の御意見は委員会の方にもお伝えして、また御論議をしていただきたいと思います。以上でございます。

【堀部座長】ありがとうございました。開原委員、何かございますか。

【開原委員】医療界からはいろいろ既に要望を申し上げておりまして、その部分が今の段階としては星印の中に入っているということなものですから繰り返すことはいたしませんが、1つだけ御質問なのでございます。むしろ中身の問題ではなくて今後のことでございますが、大体どういうタイムスケジュールで特に※の部分などが煮詰まっていくのかという、その大よそのスケジュールを教えておいていただくと、我々の方もそれに合わせてまたいろいろと関心を深めていきたいと思うのでございますけれども。

【藤井室長】恐縮でございます。まずはそれを説明すべきだったかと思うのですが、現段階では法制化専門委員会は9月29日までが予定されております。あと2回でございます。それで、実質的には最終報告の内容を固める。多分、てにをはとか、そういうのは固まっていないと思いますので、最終的な決定はそれ以降に残ると思いますが、そういう感じでいっている。
 一方、政府は政府で次期通常国会に法案提出ということを目標で進めております。それで、結構時間が限られた中での専門委員会での御論議だろうということになりますので、法律に盛り込むべき事項、今ほどの説明にも申し上げたのですけれども、すべて盛り込めるかといったら到底それは無理だろうと思っております。むしろ専門委員会段階で趣旨を明確にしていただいて、立法技術的な部分については更に政府側で詰めるという形での進め方も出てくるのではないかと思っておりますが、問題は繰り返しになりますけれども、専門委員会などでできるだけ専門家としての物の考え方の趣旨を明確にしていただくというところはやっていただきたいということで進めさせていただこうかと思っております。

【堀部座長】ありがとうございました。

【加藤委員】さっき西垣委員がおっしゃいましたけれども、主務官庁のない事業者の分野のところもあるし、それからやはりこれがもし法律になって運行された場合、1年間の実態の取りまとめをして国会辺りには報告の義務も法律としてはあると思うのです。それから、国民にも公表していく。苦情ばかりではないと思うのです。だから、そこのところをどうするのか。私どもとしては、やはり各官庁もみんな個人情報のファイリングを持っているから、特定の官庁がこの主務大臣になるということも、この基本法全体の主務大臣になることも少し難しいのではないかということで、独立行政委員会で簡単なものをつくって、そこに統括してもらって、その事務局をどこかの省庁、例えば先ほど国民生活センターの話が出てきたので、これが経企庁なのか、あるいは省庁再編で変わっていく総務庁になるのかはわかりませんけれども、そういったようなところが直接自分でやるというのではなしに行政委員会、個人情報保護の委員会の主務をするというような形で、やはりお取りまとめの場所がないとおかしいのでないかと思っていますので、一度その辺の御検討も法制化委員会の方でお願いできればと思います。

【藤井室長】私も御回答を忘れてしまいまして失礼しました。
 1つは、主務官庁がない産業もあるのではないかという言われ方もしますが、実は今の国家行政組織法なり内閣法の物の考え方から言って、主務官庁のない産業とか業界はないということで、たまたま必要性がない場合は何もやっていないというところがあるわけで、今回こういう基本法ができてその必要性ができた場合は、当然そこは話し合いの上ということになるのか、あるいはそれこそ内閣官房の主導でお決めになることなのかは別として、いずれにしても主務官庁というのは必ずできると考えております。
 それから、御指摘の統括官庁的な役所が今のところ議論に浮上しておらないのですが、これは具体的に統括官庁が何をやるのかというある程度のイメージができてから御論議ということもあったので今後の課題としてあります。それで、いずれにしても統括官庁の役割は極めて重要だと事務局も考えておりますので、その辺りも御論議を深めていただいて明確にさせていただきたいと思っております。

【堀部座長】ありがとうございました。
 まだ議論をしていけばいろいろあろうかと思いますが、予定の終了時刻も25分ばかり超過していますので、本日の意見交換はここまでとさせていただきたいと思います。最初にも申し上げましたように、今日出していただきました貴重な御意見は法制化専門委員会の方にお伝えしたいと思います。また、今日いろいろ御質問が出てまいりまして、その質問を通してこの大綱案の素案の意味をもう少し考える必要があるのではないかなと思った点も幾つかありました。大変有益な御意見、御質問をいただきましたので今週の金曜日の9月22日、それから来週の金曜日の9月29日の法制化専門委員会の議論にできるだけ生かせるよう、事務局にもまとめをしていただきたいと思います。
 以上をもちまして本日の会合は閉会させていただきますが、当部会の今後の運営につきましては法制化専門委員会の最終取りまとめとの関係で事務局とも相談しつつ検討させていただきたいと思います。この検討部会の方を先ほど議論しながら思い出していましたが、昨年の11月19日にここで「我が国における個人情報システムの在り方について(中間報告)」をまとめました。10か月前ということになります。その後、法制化専門委員会で法制的な側面についても検討していただきまして、ようやく法制の枠組みが見えるようになってきたというところであります。
 私など個人的には随分前からこの問題をも研究し、何らかの制度的な保護措置が必要ではないかと言ってきた立場からしますと、随分長い時間がかかったようにも思いますが、しかしこれからまた事務局においてもいろいろな点で大変かと思います。事務局の御努力にも感謝しつつ、来年の通常国会に向けて法案の策定作業に入っていただくことをお願いしたいと思います。
 申し上げたいことはいろいろありますが、時間の関係もありますので、本日はこれをもちまして終わらせていただきます。どうも長時間にわたりましてありがとうございました。