個人情報保護法制化専門委員会

第10回個人情報保護法制化専門委員会議事録



1 日 時:平成12年4月7日(金)14時〜17時

2 場 所:総理府5階特別会議室

3 出席者:

園部逸夫委員長、小早川光郎委員長代理、上谷清委員、高芝利仁委員、高橋和之委員、遠山敦子委員、新美育文委員、西谷剛委員、藤原静雄委員、堀部政男個人情報保護検討部会座長

(事務局)

藤井昭夫内閣審議官、小川登美夫内閣審議官、松田学内閣審議官

4 議 題
(1)今後の進め方について
(2)個人情報の取扱いの在り方等について
(3)その他

5 審議経過

【小早川委員長代理】それでは、ただいまから個人情報保護法制化専門委員会第10回会合を開催いたします。
 本日は、園部委員長は所用のため遅れられるとのことでございますので、委員長がお見えになるまでの間、私が替わって進行を務めさせていただきます。よろしくお願いします。
 そこで、前回会合の最後に御了解をいただきましたとおり、本日から検討項目の柱立てに沿って個別項目ごとに制度設計に係る検討を行ってまいりたいと存じます。本日から会議は毎回3時間を予定しておりますが、途中適当なところで若干の休憩を設けることにいたします。
 本日は、まず冒頭に今後の進め方について簡単に御意見を伺った上で、その後、個人情報の取扱いの在り方等の第1回目として、前回御確認いただきました検討項目5の(1)から(3)、すなわち「収集・保有」「管理」「目的外利用」の各項目について御議論をお願いいたします。
 そこで、まず今後の進め方についてお願いをいたしますが、この点に関しましては個別の制度設計に係るこれからの議論に際しまして、当然法目的とか個人情報の保護の必要性とは何かというようなことなどは、その前提となる検討項目でもあろうかと存じますが、そこは前回の会議で御検討いただきましたとおり、まず個別項目の検討から始めたいと思うわけであります。今の法目的などの問題につきましては、現時点では、個人情報保護検討部会が取りまとめられました中間報告にありますように例えば情報通信技術の飛躍的な発展、世界的規模のネットワーク社会といった状況とか、個人情報の保護の必要性と利用面等の有用性のバランスとか、個人情報利用の分野の拡大と高度化などを念頭に置いて今後の議論を進めていただきまして、そうやって実体部分に関わる御議論を一通り終えた後、改めてこれらの項目について検討をすることにしたいと思うわけであります。
 法目的に関してはそういうことですが、いわゆるプライバシー権、自己情報コントロール権との関係とか、それから更に、対象とすべき個人情報の種類や保有主体の範囲などをどのように考えるかという点などにつきましても別途詳しく御議論をいただく予定となっております。もちろん個別項目の議論においても必要に応じて適宜触れていただきたい。おのずと触れられることになるのだろうと存じます。そういうわけで、法目的とか保護の必要性とか、あるいは権利としてのとらえ方といった諸問題につきましては本日はそれ自体として踏み込んだ議論は予定しておりませんけれども、今、申しましたような形で個別項目ごとの議論の中で当然触れられるべきは触れていただくということになるのだろうと思います。
 一応そのように思っておりますが、今後の進め方の全体につきましてあらかじめ御意見等があればどうかよろしくお願いいたします。いかがでしょうか。
 もしよろしければ、進め方につきましてはまた適宜必要に応じて御発言いただくことにしまして内容に入ってよろしゅうございましょうか。
 それでは、引き続きまして検討項目の5ということになりますが、「個人情報の取扱いの在り方等」の(1)から(3)までを対象に御議論をいただきます。これは「収集・保有」と「管理」と「目的外利用」ということになりますが、内容から考えますとこのうちの(1)の「収集・保有」と(3)の「目的外利用」は相互に関連が深く、合わせて議論した方が効率的かと存じますので、まずこの2つについてお願いいたします。これからいただく御議論は、できるだけ中間報告案に結び付くようなものにしたいと考えますので、もちろん本日ここで結論をいただく必要はありませんが、今後の法制化を念頭に置きまして、その際に問題となると思われる点、それに対する考え方などについてできるだけ具体的に御意見をいただけると幸いでございます。
 進め方としましては前回の会議で申し上げましたとおり、各項目ごとに事務局が議論の際の材料となる資料を用意しておりますので、まず事務局から資料の説明をお願いします。

【藤井室長】事務局ですが、今回は一番詳しい担当より直接説明させていただきたいと思いますので、よろしくお願いいたします。

【事務局】お手元にございます資料1に沿いまして御説明をさせていただきます。
 ただいまありましたように「収集・保有」及び「目的外利用」等については一つの項目としてまとめさせていただいております。四角の中にございますのは、個人情報の適切な取扱いのために必要とされるべき、ないしは明確にされるべき事柄を書いたものと御理解いただければ思っております。
 まずAでございます。「個人情報は、利用目的に関連する範囲で収集・保有され、利用されるべき」である。
 Bといたしまして、「個人情報は、合法的で公正な方法により収集されるべき」。ここでの「合法的で公正な方法」といいますのは、OECD8原則の中にありますローフル・アンド・フェアミーンズというものを引き移したものでございます。
 Cでございますが「個人情報の目的外利用の場合における、情報主体に対する通知、必要な場合の同意については如何にあるべきか」ということでございます。情報主体という言葉を使わせていただいておりますが、これもOECD8原則にございますデータサブジェクトというものを引き移させていただいております。
 以下は、論点として御議論いただければという点を事務局としてまとめたものでございます。
 まずここに書きましたものの「趣旨、意義」でございます。まずは、今回の御議論の中で重要となります個人情報の利用と保護に関する在り方、すなわちバランスでございますが、これをどのように具体化していくのか。その中で法目的、本制度の法益に密接に関連する部分が多々出てこようかと思っておりますし、すなわち法益をどのようなものととらえるかというところに触れていただければと思っております。
 次に「利用目的等」でございますが、ここにあります利用目的の明確性、範囲、これは射程と思っていただければと思いますが、この具体性の程度、そしてその基準の在り方、すなわち目的をどのようにとらえたらいいのかという問題でございます。
 次の○が利用目的の意義、特定の仕方、すなわち個人情報の収集・利用等におきまして、まず目的を特定することの意味でございます。そして、更にどのようにそれを特定していくのかという論点かと思われます。
 次に、利用目的の合法性、公正性等の「適切性」の在り方、すなわち個人情報を使うに当たってそもそも明確化された目的それ自体の適切性についての議論が必要ではないかというものでございます。
 次に、これと関連いたしまして、原則的に収集が禁止されるべき個人情報の取扱い、いわゆるセンシティブ情報でございますけれども、そもそも取り扱ってはいけない種類の情報があるのかどうかという問題でございます。これは後でまた触れさせていただきます。
 そして、3番目の大きな点といたしまして「目的外の利用の取扱い」でございます。この場合の利用の中には提供といったものが含まれるとお考えいただければと思いますが、まず「目的」の範囲の在り方、これはいわゆる目的の明確性とも絡むわけですけれども、目的の内側にあるのか外側にあるのかというのが大前提として大きな論点でございます。
 次に、特にドイツで言われております比例原則のようなものが次の○でございまして、目的外であっても本人の権利利益の侵害のおそれのない場合、ないしは非常に少ないと思われるような場合、そしてその目的を知らしめようとした場合に保有者側に過大な負担を課すこととなる場合の取扱いでございます。こういったものをどのように考えるかという論点でございます。
 次の○は、そうした目的外利用の確認方法及びその実効性です。そもそも収集した個人情報をどうやって目的外であったか、目的内であったかという確認をする方法があるのかどうかといった論点でございます。
 次の○は、通知または同意を必要とするとされた場合に、それを一体どのような方法でとるのかという同意の在り方の問題でございます。
 その次が、将来的な利用のための保有についての考え方。これは少し性質は異なるわけでございますけれども、情報というのが収集されることによって新たなサービスの発端となる。言い換えますと、集めてみないとわからないといったような性質のところをどのように考えていくのかという問題でございます。
 次は個別企業内、グループ企業内等での情報共有の考え方でございます。これは理念的に中か、外かということに加えまして、物理的にまず収集した者がどこの範囲で使うのかどうかといった問題でございます。だれが使うことを予定してそもそも集めたのかという問題でございます。
 そして最後でございますが、情報結合による個人情報利用の考え方。これは、現在個人情報は必ずしも一つのファイルではなくて分散して保有されており、これをマッチング、すなわち結合することが利用の目的の外なのかどうか、また一方で、そもそも流通するとはこうしたことを前提としているのではないかという論点でございます。
 1枚めくっていただきまして、その次の大きな論点で収集方法でございます。先ほども少し触れましたけれども、「合法的で公正な方法」とはどういったものかというものでございます。ちなみに、OECDガイドラインイドにおきましては、ここであります合法的で公正でない方法というものの例としまして、テープレコーダーのような秘密の録音機器を使って本来それを取っているということを言わずに取ってしまうようなとき、あとはデータ主体をあざむいてうその情報、目的を提供して情報を獲得するといったようなことという例を挙げてございまして、これをどのように考えるかということでございます。
 次の5でございますが「第三者収集等の取扱い」でございます。情報主体への利用目的の通知等が必要とされる場合の取扱いというのが最初の○でございますけれども、直接収集よりもはるかに第三者収集が多い実態の中で、どういった場合に本人まで戻って利用目的を通知しなければいけないのかどうかという論点でございます。
 次の論点は、情報主体への利用目的の通知等が困難である場合、または通知等を行うことにより収集の意味が失われるおそれの高い場合の取扱いと、一部特殊な感じがいたしますけれども、困難とは例えば連絡が取れない、数が非常に多いといったようなものです。その意味を失われるといったものは括弧の中に入れておりますけれども、そもそも犯罪捜査とか、場合によっては報道目的の一部のようなものは、それを本人に示すことによって収集ができなくなるようなものといったものがあるのではないか。あとは学術研究は通知等が困難、その他、先般ございました疫学等のようなもので目的が言いづらい。がん患者との関係において非常に難しい関係にあるようなものをどう考えるかというものでございます。
 次の○はこれの関連ではございますが、少し性質が異なるものとして現在存在しております名簿業、それから興信所等の活動をどのように考えていくのかという問題でございます。名簿の場合は、提供された先の利用目的というのはほぼ追えない。興信所の場合については非常に機微な情報であるけれども他人のために集めるような行為、これをどのように考えるかというものでございます。
 そして、もう一つの論点としまして、そもそも集めてくる先で公開情報からの収集の取扱い、公になっているからいいではないかというのを本当に認めるかどうかについての論点でございます。
 次は大きな論点の6でございますが、先ほど少し触れました「センシティブ情報」の取扱いでございます。「我が国における「センシティブ情報」のコンセンサスの有無。」と書かせていただいておりますが、OECDガイドラインにおけますメモランダムにはセンシティブと万民に認められるようなデータを定義づけることは不可能ということで、各国においてそれぞれ文化背景等の観点からセンシティブなものが決まってくるのではないかということだと思われますが、もしそうした場合には、では我が国においてセンシティブとは何であるのかという論点かと思われます。
 また、一方で巷間言われております健康とか性生活に関するものは非常にセンシティブだと言われながら、一部医療等においては収集が必要な場合もあるということで、そもそも取り扱うことにされるべき情報があるのかどうかという論点を御議論いただければと思っております。
 最後に「その他」でございますが、「本規律に関する法的な強制の程度、措置の在り方」、これは理念的なものでとどめるのか、罰則等を用いて厳しく強制していくべきものなのかについての御議論をお願いしたいと思っております。
 次の○は法律上の具体的効果で、現在この取扱いについては明示的な法律はございません。これを法律に書くことによって、例えば個人情報の利用可能範囲が逆に明確化されてくる、こういうことまではやっていいのだということが明確になるといった問題でございます。
 あとはこの後の議論になりますけれども、情報主体からの開示とか通知を請求する権利を付与するのか否かといった問題にもつながってまいります。
 最後でございます。これも少し性質は違いますが、既にこの社会活動においては膨大な量の個人情報が保有され、流通されている実態の中で、これをルールとしてどのように取り扱っていくのかといった問題があろうかと思います。とりあえず以上でございます。

【小早川委員長代理】それでは、以上の御説明を伺った上で各委員から御意見をお願いいたします。早速いろいろ基本的、中心的な問題がいろいろあるかと思いますので、どうぞ御遠慮なくお願いします。
 それでは皮切りですが、合法的で公正なというこの文言は国際的に確立したものかとも思うのですが、これについて何かコメント、解釈はありますか。

【事務局】私どもがたどるものとしましては、先ほど申し上げましたメモランダムの考え方でございます。例として、繰り返しになりますけれども隠し取りをするような行為とか、そういったことはいけないということになっておりまして、基本的に何がいけないかということの例示が挙がっているということかと思います。
 あとは、イギリスでありました事例でございますけれども、ある借金を回収することを目的としている業者がその回収先を確認するために、自らをペンフレンド何とか組織だと偽って隣り近所にその方の住所を確認して回ったというようなことがございまして、これは苦情としてデータ保護登録官の方に入り、そちらから目的は明確にするということでその機関は自ら借金回収のためにやっておりますということを言うようになりましたというのが現状報告書にあります。そういたしますと、やはり偽りの目的でやっているというのが一般的に言われているものかと思っております。

【高橋委員】ペンフレンドだとかというようなことを言うのは処罰されることになっているということですか。合法的というと法律上禁止されているということかと思ったのですが。

【事務局】法文的には法律で許されているという意味と解釈されていると言われておりまして、この場合は処罰したかといいますと処罰ではなくて、結論的にはデータ保護登録官から正しい目的を明示してやりなさいということでそれに従ったということでとどまっていると書いてあります。

【高橋委員】それとちょっと違うことを頭に浮かべていたのですが、合法的な方法でやるという場合、合法的というのは法により禁止されていない方法ですね。そのときに私はだれだれの友達ですとかということを言っていけないという法律が既にあるということですか。

【堀部座長】それはプロパリーの方ではないですか。イギリスはローフリー・アンド・プロパリーという言葉を使いますが、今の事務局の説明はあるいはローフリーの方かどうかはわからないけれどもプロパリーだと思います。

【高橋委員】私は合法的という言葉について、例えばプライバシーの侵害をするというのは合法的なサンクションがあるから違法になるという意味だろう。それで、それ以外でよくないというのならば公正というところでとらえているのかなと思ったのですが、今の説明だと何となくもう少し合法的というものの範囲が広いのかなと思ったものですからお聞きしたいのです。

【事務局】もちろん正確に申し上げますと、その報告書の中にはどの部分を合法的云々ということについてのコメントはございませんので今、堀部先生からお指摘いただいたようなことかと思います。

【堀部座長】大体対になって使っています。ローフリー・アンド・プロパリーと対になって使います。

【小早川委員長代理】分けてどう違うという話ではなくて、大体対にして一個の概念として使うのでしょうか。

【上谷委員】私はそのような言葉の使い方がどのように使われているのかよくわかりませんけれども、日本語であるとすれば、例えばこの合法的というもので公正な方法という場合もいろいろな用語は考えられますね。例えば、合法的というのと適法というのとでもニュアンスは少し違うでしょうし、それから公正な方法というのも公正というのと、それから適切なというのと、妥当なというのは日本では使い分けていますよね。そのようなことでいくと、この合法的で公正な方法というのは実際はどのようなものとして把握されているのか、もうひとつよくわからないのです。

【小早川委員長代理】うそをついてはいかぬとか、そういう具体例はなるほどと思うのですが、この言葉とその具体例の間の中間的な抽象度のレベルの何か解釈論があるのかなということです。

【上谷委員】だから、早い話が常識的な言葉でというか、余り窮屈なことで言わなければ、変なことをやってはだめよと言いたいわけでしょう。だから合法的とか、あるいは適法なとやっておくと、法律には別に違反しないのだけれども実にフェアでない方法だとかというのが出てきたら困るから、比較的大きく網を広げているような感じを私は受けるのです。

【藤井室長】恐らくOECD8原則ではどのような方法が合法的であるか、どのような方法がフェアであるかということはむしろ何も言っていない。それは多分ほかの法律で禁じられているようなこととか、社会通念として公正でないと思われるようなことは、そういう方法ではやってはいけないよというのが普通の各国法制で決められていることですよというぐらいの話だろうと思います。

【上谷委員】だから、例えば今度の基本法の中で合法的とはこんなことであるなどと書くわけではないのでしょう。ですから、感じとしては私は変なことをやってはいかんよというのがわかるよう比較的広い意味で使っているのではないかなという感じがするのです。

【堀部座長】OECDで言いますと、お手元の第2回の資料1の(2)が総務庁、行政管理庁で訳したもので、その後に資料1の3にエクスプラナトリ・メモランダムというものがあります。その中の22ページからが収集制限の原則についての説明です。主としては52ですね。余り明確に分けていっているわけではありませんが……。

【小早川委員長代理】英語としてはどうなのですか。ローフルと言う方が狭いコアの部分で、アンローフルとは言えないけれどもやはりインプロパーとかアンフェアなものというのはその周りにあるということですか。

【堀部座長】そうなります。

【西谷委員】やや技術的なことも含めて詳細にわたってしまうかもしれないが、現段階での私の考えている構図といいますか、それを話しておきたいと思います。
 収集制限というところに主として関わるわけで、我々は一体何をやればいいのかということですが、結局世界的に認められているOECDの収集制限という原則そのものはともかくよしとして、それを実定法化するときにできるだけ具体的かつ明確にその内容を表していくというところの作業を我々は請け負っているというか、そういう枠組みと考えております。そのときに積極的にそれが何を言っているかということと、それからその例外、その大原則の例外となるものは何かということとが一緒になって一つのある1か条、収集制限に関する条文ができると、例えばそういう枠組みを考えようと私などは頭の中をまず整理して、そこでとりあえず現段階でどういうことを書けばよいのかということについての思い付きを申し上げてみると、まず第1原則は収集目的を相手方に具体的に告げて同意を得る。これを原則の1つとしてよいのではないかと私は思っているわけです。何のためにあなたからそのことを聞くのだということは告げなければならないし、それならば私は住所を教えましょうという同意ですね。少なくともそこまではこれが基本的なまず原則と見てよいのではないか。これが第1原則です。
 しかし、これにやはり例外というのは当然ある。適用除外といい、例外と言ってもいいと思うので例外と言っておきます。1つは、収集するのではない情報があるのです。情報には今ここで収集するという情報と、私は作成加工情報と自分で呼んでいるのですけれども、評価するようなものですね。だれかから収集するのではなくて、私はだれだれについてどう思うと、これは学校のまさに情報がそうなのですけれども、これは収集ではなくて私が評価観察しているわけですから違うジャンルになるはずです。
 それから、その作成加工情報はもう一つのタイプがあると思うのは、収集情報を加工する。さっきもちょっと出てきましたけれども、Aの方から収集したものとBの方から収集したものを加工するという情報は直接収集情報ではないわけですね。具体例で言えば、A銀行に10万円、B銀行に10万円というのはそれぞれは収集情報であるが、それを加工してトータルでこの人は20万円ということをだれかが作成したら、それは収集情報を結合した情報ですから、さっきの原則の相手方に具体的に告げて同意を得るという物理的余地もないし、その例外として考えていかなければならないのではないか。しかし、それについてはでは全く同意がないのかというと、今度は開示という方で多分裏打ちしていくという話になっていく。ですから、少なくとも収集制限で同意と書いたらそれの例外としてそこは書いておかなければ、今のような情報でお手上げになってしまうということであるから、作成加工情報については例外の1として頭に置くべきである。
 次に例外の2は付随情報と私自身は思っているもので、これは統計とかアンケートのようなもので、取ろうとする情報はそちらの統計の中身なのです。それからアンケートの中身、これが好きとか嫌いとか、あるいは何とかの学説は賛成か反対かとか、そちらの方で、おしりにだれのだれとか、年齢とか、男女とか、そういうものが付いている。だから、それは本命じゃないのですけれどもくっ付いてきてしまうという、このグループのものもどう扱うかというのは、さっき相手方に具体的に告げて同意を得るというような原則ではないわけです。その目的が本体ではないから。こういうものについては多分、私は付随情報であるよということを明記した上で、告知した上で、その目的に反しない限りの付随情報は出してもらってよいというような原則、つまり同意でもさっきとちょっと違う同意と考えられるのではないかと思います。やや細か過ぎますけれども、例外として少なくとも2つあるだろうと思っています。
 それから、収集制限の原則の第2は第三者収集の制限、第三者から取ってはいけないという原則はやはり書いてしまった方がよいのではないか。ただし、これも例外があって、ざっと言うと本人の同意がある場合は例外である。2つ目として、同意がなくても本人のためであると明らかに思われるときはやはり第三者から取ってもよいであろう。それから、家族関係とか友人関係等の信頼関係に結ばれているような場合における第三者情報は許されると言うべきではないだろうか。それから、当該第三者の主観的な評価観察を述べるような情報は第三者収集制限、つまりある人に聞くとあいつは気に食わないというようなことを言って、そのあいつという個人情報がある意味では第三者から取られてしまうわけですけれども、その主観的なものはしようがない。名誉毀損になるならば別途それは手を打つことで、第三者収集制限の問題ではないだろう。
 それから、収集制限の第3原則はセンシティブ情報は収集を禁止するということをやはり大原則として書いておくべきではないか。ただし、これも例外がある。どんな例外かということはよくわからなくなりましたが、しかし明らかに本人のためであって、かつ本人の同意があり、そしてそれは不公表とする。公表はしませんというような条件を付けた場合においては、そのセンシティブ情報の収集も原則の例外と認めてもよいのではないか。とりあえずそのように考えています。
 そのほか、もちろん原則としては収集方法の適切性とか、なお付け加えるべきものはありましょうけれども、とりあえず3つ述べて、考えてみればその3つみたいなものが本文のところへだっと並んで、ただしとなってそれぞれの例外が幾つかちょろちょろっと並ぶと、こんなイメージを私は持っております。そして今、申し上げたことは仮に今の段階であえて無理に考えればという程度のことで、万全の確信があって述べていることではありませんので、今後において更に修正をしていきたいとは思っています。

【高橋委員】今、西谷委員の言われたことに基本的には賛成なのですけれども、今の意見を聞きながら感じていたのですが、ここでの議論の仕方として今、西谷委員が言われたように、原則として何を書くかということをはっきりさせて、それぞれの原則についてではどういう例外が必要かということを議論していくのが一番生産的ではないかなという感じを受けたのです。
 それで、今のは収集制限についての問題があったのですけれども、恐らく明確性の原則とかいろいろあると思うので、それをまずはっきりさせることが必要ではないか。どのような原則が受けられるべきかということですね。それで、目的について目的の特定明確性が必要かどうかということが先ほど挙げられていたのですが、やはり我々が問題を考えていく場合、どういう目的を実現するためにどういう手段をとるかと考えるのが一番普通のわかりやすい考え方だろうと思うのです。ですから、やはり目的を特定するというのが非常に重要だろうと思います。どういう目的かということを特定する。それで、特定の仕方というのはどういうことをお考えでお書きになったのかちょっとわからないですが、ほかの国を見ていると、どこの国かは忘れましたが、例えば目的を明確化する場合に収集する人が勝手に明確化できるというのではなくて、どのような目的でやるかということを届け出るなりさせて、この目的でいいよとチェックする機能を設けるのか。それとも、それは本人の意思に任せて公表だけするというか、届出をするだけでいいとするのか。そういったことを考えるのかなと思うのですけれども、いずれにしろその目的を明確化しないとほかの議論と関連しますからほかの議論がしづらくなる。ですから、目的の明確性の原則というのはまず最初に確立しておく必要があるのではないかと思います。

【小早川委員長代理】今の御意見は、目的の特定という段階で、公私共通で、何らかの公のシステムに乗せてそこで特定させると…。

【高橋委員】そういう方法もあるかもしれないし、特定の仕方ということを考えるとそういったことも議論する必要があるかなと考えています。

【西谷委員】今おっしゃることは非常によくわかります。作成加工情報のとき、目的の明確化をどうすればいいかなと考えるのですが、現に今、収集する場合はそれは要請できるのですが、例えばさっきの評価観察情報みたいなものですね。そのときは多分評価観察ファイルに具体的かつ明確にそのデータをつくったといいますか、その情報を作成し、加工した目的を書いておくことと、こういうことになるのかなと私は想像したのですが、いずれそれは開示請求の対象になってくるのですが、そのときにこういう目的で以下の情報は作成したものであるということが書いてあることによって目的内か外かということが判別できるから、明確化の原則も2種類あって、取るときに明確化するものと作成情報などですと記載しておくという規範になって出てくるのかなと思いました。

【高橋委員】西谷委員の今、言われる加工というのは正確に理解していないかもしれませんが、例えばこちらから収集したものと違うところから収集したものを合わせるというのが加工であれば、そういうことをするという目的が最初の目的で入っていれば、これはそれを告げてやれるわけですが、そうではない目的の範囲を超えた場合は目的を修正、変更するかどうかという問題になるだろうと思うのです。それで、変更し得る範囲で変更できればそういうことはできるし、そうでないと目的外の利用の仕方ということになるのではないかという気がします。

【西谷委員】さっきも申し上げましたが、作成加工情報は2種類あると思います。1つは評価観察情報という主観的な教育評価みたいなもので、2つ目が結合、収集情報を結合するという加工をするという、この2つで今おっしゃるのは2つ目の方かと思います。主観的な評価観察情報についても、なぜ私はこの評価観察をして以下のとおりのことを書くのかということを冒頭のところに明記しておくべきであるということになるのだろうと思います。

【上谷委員】今の御議論を聞いていまして、私は西谷委員のおっしゃる加工情報ですね、例えば、A銀行に200 万の借金なり預金がある、B銀行には300 万の借金なり預金がある、その2つを合わせるとこの人の資産、預金はこれだけだというものと、それから学校の先生の評価はどうなっているというのは違うと思うのです。つまり、本人から収集し得る情報とそうでない情報との違いなのです。学校の評価でいうと、例えば自分は気が小さいと思っているかということを本人にアンケートして、また、あなたはすごく怒りっぽいですかと本人から聞く情報と、第三者が見て、例えば大学なら大学の先生が見て、あるいは高校の先生が評価をして、この人の性格はこのように見ていますとか、あるいは授業の到達度はこのように見ていますというのとは違う、本人からは収集できない情報なのでしょうね。そこに違いがあると思うので、そういう意味ではA銀行には300 万円借金があります、あるいは預金があります。B銀行にはこれだけの預金がありますというのをたまたま集めてきてというのは、それは本人もわかっているわけですね。自分で足し算をしていないだけの話で、だからやはりそこは少し違うような気がします。
 だから、私はむしろ先ほど高橋委員がおっしゃっていたように、利用目的との観点で結局だれから集めるかということも決まってくるような気がするのです。確かに先ほど西谷委員のおっしゃったような形の加工になる場合もあると思います。本人はどのように考えている、本人はどのように見ているということと、第三者はどのように見ているというのを結合して何かのデータをつくれば、それは加工だと思います。本人から提供できない情報について、本人の同意を得るとかというのは意味はないわけですから。

【小早川委員長代理】言葉の定義として、本人が知らないといいますか、自分が他人からどう思われているかとかというようなものはその本人のデータなのでしょうか。

【上谷委員】それはやはりそうなのだろうと思います。

【西谷委員】典型的にそうでしょう。医療情報も教育情報も。

【堀部座長】そこはいろいろな議論があるところなのですけれども、解説的に言いますと、西谷委員が言われるように収集とか作成とか加工とかいろいろな段階があります。実際にあるところから収集して、それについて評価をするということは医者とか教師とか皆やっています。そのために特に医療関係の人と話していると、私ならば私についての医療に関する情報というのはだれのものかということになり、それは確かに患者のものでもあるけれども医者が専門的にどういう病気であるかを判断しているので、半分は医者のものではないかという意見もあります。むしろ医療関係者からすれば医師の判断が入らなければ医療というのは成り立たないと見るわけですね。先ほど西谷委員も言われたように、次の段階で自己情報開示請求権になったときにそれはどこまで見せるのか。その評価の部分まで見せるのかどうかとなると、そこを除いて、事実に関するところを出して、あとは評価に関するところは本人にも開示しないとか、そのような扱いをすることもあるわけです。
 実際に条例などでは大体そういう考え方をとってきたし、行政機関の保有する電子計算機処理に関する個人情報の保護に関する法律もその開示請求の13条のところで教育と医療と犯罪とを除いていますけれども、それは前にも言いましたように各省庁でそれぞれ検討していただくとこの辺はこの段階では開示請求の対象になっては困るというのでこうしてあります。
 ですから、加工したものを含めて個人情報という概念でとらえるというのが各国の立法例などでも示されているところであると見ていいと思います。例えばイギリスの1984年法で言いますと、パーソナルデータというのはオピニオンまで含むのです。オピニオンというのは評価なのです。84年法ではインテンションは含まないということでしたが、今度の98年法はインテンションまで含む。それはどういうことなのか。よくイギリスで議論したことがあるのですけれども、例えばある勤務状態を見て、彼は怠け者だと評価をする、これはオピニオンなのです。彼は怠け者だから解雇するというインテンション、そこまでは最初のイギリスの法律では個人情報に入らないという形ですから、それについては除いてしまうのです。自己情報アクセス権でもそこのところは個人情報ではそもそもないから対象にしないということになります。今度は98年法ではインテンションまで含めて全部個人情報だととらえる、いろいろ揺れがあるのです。ここでどの範囲までにするかというのは、まさにここで決めることだと思います。

【藤井室長】もし誤りがあるのでしたら堀部先生に訂正していただきたいのですが、今の個人情報保護のものの考え方ですが、収集、保管、保存とか、あるいは提供利用とか、いろいろな概念がありますけれども、むしろ全体を一連のプロセシングとして、処理としてとらえまして、その処理のベースになっている個人情報というのは個人に関する情報のデータファイルという概念がありまして、そのデータファイルは行政機関の場合は電子計算機処理に限っていますけれども、これはマニュアルを入れるとしても、いずれにしても個人の名前とそれに関する情報という一連の識別可能な情報というものが集積されたファイルというものがベースになっている。それで、そのファイルに記載されている個人に関する情報には西谷委員がおっしゃった直接収集したものも、加工修正したものも、そのどちらでもいいのですけれども、いずれにしてもデータファイルには全部結び付くような形で記録されている。その全体をどう規制するかというような形で今の法律はつくられているのですが、今、御論議になっているのは一番いわば入り口段階の収集段階でそういうような原則なり規律が要るのかというような御論議かと思いますが、いろいろ申し上げたのですけれども、申し上げたいのは多分データファイルになった段階では本人から直接収集したのか、第三者から収集したのか、あるいは加工修正したのか、いずれにしてもやはり個人に関する情報として規律の対象になっていることは間違いないだろうというのが今の法律の考え方です。

【西谷委員】第三者収集制限というのも書くべきだとしたときに、よく言われる荷受け人情報ですね。つまり、何か私のところへ宅急便を送ってくると私の住所か何かわかってしまうのです。そういう情報はどうするか、これも片付けておかないといけない。これは、つまり第三者から運送屋さんが取る。これを禁止などと言ったら、企業が成り立たなくなってしまうでしょう。こういうのをどうするかということですけれども、これは私は多分収集目的があの人に届けるという目的であるから、それを何かためて別のものに使うということになると目的外利用という、先の利用の制限の方でコントロールできるというように考えるべきであって収集制限、特にその内包である第三者収集制限の話ではないと考えることによってパスするのではないかと思いますけれども、これもいずれやや細かい話になるけれども御議論いただければと思います。

【上谷委員】今おっしゃった議論はよく私は理解しかねるのです。要するに、ここで個人情報保護の基本法で扱おうとしているのは今おっしゃったような、どこかへ配達するためにあて名はどこへ送ればいいのですかというような情報まで含んでいるのですか。私はそうじゃないように理解していたのです。
 例えば、個人に関する情報を何らかの利用目的で集めるというとき、その情報を集積化することによって何らかの利用形態が出てくるという場合を考えているのではないですか。例えば、手紙を出すときにあて名を書かなければ届きませんから、そいうものは情報の収集ではないのだろうと私は思っていたのです。

【西谷委員】それを受けた運送屋がずっと届け先リストをつくりまして……。

【上谷委員】そういう利用をするのを目的外とかというのではないか。情報を集めているわけではないのだろうと思うのです。配達するために必要なあて先を聞いているだけの話で、それは情報を収集しているとは言わないので、全く別のことで自分の仕事を処理するために必要な材料としてもらったものをたまたま集めてしまったということじゃないですか。

【西谷委員】運送屋が第三者から情報を集めたということです。

【上谷委員】聞いたのは第三者です。それは発送人が渡すわけですから、そういうのもここで言ういわゆる個人情報の収集ということなのですか。

【西谷委員】個人情報ファイルではあるわけで、それを第三者から収集してはならないと書けば今のような問題が引っ掛かってくるから。

【上谷委員】それが個人情報ファイルなのですかということです。

【藤井室長】事務局から申し上げる話ではないのかもしれませんが、私どもが認識していますのは、特に民の場合は個々の商行為において、例えば連絡先、今のようなあて名という形で何か用紙に書いて業者に渡しました、あるいは、何かサービスを受ける場合にその資格の審査などをするためということでいろいろな自分の属性とかを紙に書いたり、あるいは口頭で言ったりしますが、そのほかにもまた調査機関みたいなものの調査もありますが、少なくとも民民においてはすべてそういうものも収集に入ると認識しているのですが。

【上谷委員】例えば国でやっている郵便局へ書留め郵便を頼むのだったら当然書かなければいけませんね。そういうものも国の行政機関の保有するファイルとしていますか。

【藤井室長】データファイルに記録されれば当然入ります。

【新美委員】恐らく今、上谷さんがおっしゃられたようなものも入れないと、電子商取引などを念頭に置いた場合にはその部分がほとんど脱落してしまうことになって、個人情報保護の基本法としてはまずいことになるだろうと思うのです。

【高橋委員】今の議論の食い違っているところは、民間で何か買ったりするときに書いたり、サービスを受けるときに書くのは本人がやっているから本人以外から集めているわけではないと思うのです。さっき問題だと言ったのは、運送会社に自分の会社のを渡したら、それは運送会社から見て収集したことになるのかどうかという議論で。

【上谷委員】そういうことなのです。あそこへ配達してくださいと言うのに、配達先の住所を言わなければ配達にならないわけですから、そういうのは情報を収集していることに入っているのですかということを私は申し上げているのです。

【小早川委員長代理】そこは、あて名を聞くときに本人の同意が要るかどうかという結論部分になれば、それは要らない。恐らく典型的なケースについてはそうで、結論は皆さん御異論ないのだろうと思いますが、それが収集に入るとした上で例外にするのか、収集には入らないとするか、そういうことですね。

【堀部座長】中間報告では6ページのところにありますが、本人以外からの収集は原則として制限しますけれども、しかしいろいろな場合があるので、それは認める場合もあります。特に本人の利益になるようなものについては、これは認めることになると思いますし、今の宅配便の場合などですと実際には宅配業者はそれをデータベース化していまして、荷物が今どこに行っているかということまでかなり把握していて、遅れていると言えば今どこにあるだろうかということまでチェックするというぐらいになっていています。それを本来は目的を達すれば消去すべきなのですけれども、今のところ実際にはそれを蓄積しておいて、だれがどのくらい送ったかということまでわかるというような状況ではないかと思います。
 このうちはこのデパートからしょっちゅうこういうものを受けているとかということがわかって、ではそのデータをこういう商品の売込みのために使えばいいだろうということになると、目的外利用の話になってきます。

【上谷委員】それは恐らく当然目的外利用になると私も思うのです。私が考えているのは、そういうのは配達するために必要なデータなので、それを集積すること、つまり配達のために使っているデータでデータを集めるために集めているわけでも何でもないでしょうということなのです。データがないと配達ができないからたまたま聞いているだけの話です。

【堀部座長】それを収集というもので整理するか、また別の概念でとらえるかということですね。

【上谷委員】そういうことです。そういうものもデータの収集ということに入るのですかということです。

【藤原委員】今のことを蓄積と言い換えると収集または蓄積と言って、そこは少し整理されていないかもしれないのですけれども、蓄積であると一応やはり蓄積ということにはなりますね。

【上谷委員】ですから、それは蓄積すべきものではないわけでしょう。配達を済ませてしまえばそれで本来廃棄すべきもので、配達するためにこそ集めているデータなので、それをほかへ使うなどというようなデータではないはずで、その場合はデータを収集しているのではないのです。ある人に配達するために聞いたということではありませんかと言っているのです。

【新美委員】先生のおっしゃるように張っただけならば、恐らく収集ということにはならないでしょうね。

【上谷委員】だから、それ以上の使い方をしてはいけないはずなのです。

【堀部座長】目的外に一切利用するなとするのかということになります。

【上谷委員】収集しているのではないのです。ある人に聞いただけなのです。それ以外のことはそもそもそんなものはやること自体がおかしな問題ではありませんかということです。

【堀部座長】実態とするとそうしているようですから、それをどうするかという問題が出てきます。

【上谷委員】そんな収集は許さないということです。聞くのはいい。問題としてはそういう問題ではありませんか。

【遠山委員】「目的外利用の取扱い」のところの一番下に「情報結合による個人情報利用の考え方」と大変抽象的に書いてありますけれども、これからはこういうことは非常に起こりやすいと思うのです。それで、今の御議論は非常によくわかるのですけれども、目的外利用の取扱いについてそれは問題であるとするときに、もともと集められていたものが目的外であって、これはよくないというときに、もしそれが収集された情報でないとすると目的外という概念に入らないのかなと思って。

【上谷委員】そうです。私はデータを集めることによって何らかの目的を実現しようというのがここで問題になっている収集ではないかと。それで、個別的にたまたま配達する目的のためにある一つを聞くということは何も収集ではない。たまたま溜めることがそもそもおかしい。それは同時に何らかの形でためて利用したいというのならば、その利用をするのは一体何の目的かということを書いておかないと、そんなものは収集してはだめということになるだけの話で、もう門前払いだという議論があっていいはずではありませんか。たまたまたまってしまったというのはそもそもおかしいでしょう。

【藤原委員】そうしますと、今の上谷委員の御議論を前提とすると、宅配業者でありますとか、あるいはいわゆるデリバリーですね。有名なピザ屋さんでありますとか、あれは住所が自動的にたまるもの、ただそれをもう少し広くして一般的に利用者が窓口等でも申請したり、情報を一方的に渡すのはどうなるのでしょうか。

【上谷委員】もちろちんそれは論外の話なのです。

【藤原委員】それをとめることはまかりならぬということになるのですか。

【上谷委員】とめることがまかりならぬじゃなくて、そんなものを利用させるのが問題外じゃないか。例えば住民登録というのは住民のいろいろな情報を把握して、それで市民の利用に供するためにまさに住民登録の情報を集めているわけですから、それはそういうことを市役所に備えておくことによって、本人の利用なりいろいろなほかの人の利用に資するためにまさに収集しているわけです。だけど、配達のためにこれをどこかへ持っていってくださいよというのは、業者だからたまたまそういうものが集まるだけの話なので、それはまさにその配達のため以外に使っていけないのは当たり前ではないかということなのです。そんなものは溜めておくのがそもそもおかしいので、溜めておくこと自体許さないということになってしかるべきで、配達で目的を遂げて配達すればそれはもう廃棄する。そんなものを蓄積しておくのは、それこそ違法な収集というか、違法な蓄積になるということなのです。

【藤原委員】わかりました。そうすると、それをもう少し広げまして、例えばデパートとか銀行で口座を開くために幾つか情報を渡す。これはデパートでこういう商品が欲しいけれどもというときある一定の情報を渡して、ついでに配達もしてほしいという、そのときの情報も今の先生の議論の射程に入ってくるのでしょうか。

【上谷委員】例えば、この品物を売ってくださいというのはそれ限りのものではありませんか。だけど、私はこのデパートでいろいろな案内も欲しいということでこういうことを全部お宅にお届けしておきますのでよろしくお願いしますというのはまさにデータの収集でしょう。つまり、将来の商業目的のために利用するし、提供する方もそれによってサービスを受けることを期待するものだから提供していく種類のデータで、私の家はここですからここへ送ってくださいと一回限りで提供したものを蓄積しておくのならば、それではこれは私は蓄積しますから利用させていただきますからデータを出してくださいということを言って、それで初めて利用目的が明確になって提供するということになるので、そうではなくて一回限りで配達してください、配達するには住所が要るのが当たり前ですから、ここへ送ってくださいと出すだけの話なので、そんなものはほかへ溜めておくというのはそもそもデータの利用とか収集ということではないでしょう。そんなことに使われるならば私は持って帰りますと、例えばそういう選択だってあっていいようなものなのです。

【小早川委員長代理】議論がだんだん、第三者から本人の同意なしに取ったものの話から、本人の明示または黙示の同意のもとで収集したものの場合にどうなるかという話と合わさってきてしまっていますが、その2つは一応別にした方がいいですね。

【新美委員】今の上谷先生のお話で、確かに先生がおっしゃるようにぱっと分かれるのです。例えば宅配便でも途中の荷物の事故情報を集めるためにトレースしますよね。3枚つづりになっていて1枚は取っておくというような場合になると微妙ですね。

【上谷委員】だから、配達済みになった途端に廃棄すべきものを残しておくのがそもそもおかしいじゃないですか。

【遠山委員】今の御議論はよくわかるのですけれども、今、時代が非常にインターネットとか、それからITを使って仕事を極めて簡便に効率的にやろうという社会が一方であって、アメリカなどの経済状況は今そういうことで発展しているのですね。そうなりますと、その配達業者が一回配達しに行って、このうちは何時から何時までならばいるというような情報を持っていて、次にもう一回電話などをしないでそのときにあそこに行った方が蓋然性が高い場合、そういうことを利用するということで考えれば、保護と利用のバランスという点で言うと、利用を認めましょうという今の時代の法律の背景から考えますと、目的外利用にはならないのではないか。最初の品物を送る目的とは違いますけれども。

【上谷委員】それならばそれで、そういうものとしてやりますよとちゃんとやっておいてもらわなければいけないだろうということなのです。

【遠山委員】そこまでが目的外利用になるのか、あるいは配達ということで同じ処理をするという点では一々目的外利用の同意とか何かは要らないで使えるのか。

【上谷委員】それは書いておいてもらわないと、私はそんなことをやっているのは知らないから、宅配便に頼みに行ってそれを配達するために書いているだけの話で、それが相手に迷惑を掛けるなどと考えたこともなかったですから。

【高橋委員】大体同じようなことを考えていたのですけれども、例えば百貨店で物を買うときに、これからもいろいろなパンフレットとか資料を送ってほしいからというので承知していろいろなデータを相手に渡す。これは自分で同意してやっているからいいのですけれども、そうではなくて通販などでもそうですけれども、品物を買う。それで、もちろん送ってもらうのだから住所も与える。そうすると、業者の方でやはりだれが何を買ったかというのはそれでデータベース化するのだろうと思うのです。それで、この人はこういうものに興味があるということで今度はパンフレットか何かを送るということですね。それを目的外利用として禁止するとなると、これは業界ではパニックに陥るのではないかという感じはするのですけれども、そこまでは目的外とは言わないと。そうすると、どこで線を引くのだろうか。どこまでの情報は目的の中で、どこから外になるかというのは難しいなという感じがします。

【堀部座長】今の関連で言いますと、これは百貨店協会でもガイドラインをつくったりしてよく議論をしているのですけれども、高橋委員の発言に関連して言うと、実際にはお中元とかお歳暮をよく送る人の場合には、その送り主とあて先と何を送ったかとその金額が幾らかということまで全部データベース化していて、お中元で送ったとすると、お歳暮のときにちゃんとそのリストまで添えて送ってくるという状況があるそうです。それをやるのであれば、私もそういうのは目的外の利用だからそれはやるべきではないと言ってきていて、そうするのであれば申込み用紙の中にこれは次にはこういうサービスを提供しますけれども、それを受ける希望がありますかどうかというチェックする欄でも設けておいて本人同意でするべきではないかと言っています。しかし、そこまでするとなると、お客さんの方が希望しなくなるので困るとかということで、恐らく実施しているところはないと思います。
 本人同意ということを原則にしていけばそうあるべきだと思います。

【藤原委員】今の補充ですけれども、今、堀部委員が言われたことは1つは上谷委員が言われたように、そんなことになるのは嫌だというのは多分約款がどうなっているかとか、もう一つはその約款に一々そういうことをどこまで要求できるかという問題に恐らくあとで収れんすると思うのです。もう一つは高橋委員の言われたダイレクトマーケティングですが、堀部座長が言われたように微妙なのは外国などでも少し議論があるのは、お歳暮でどんなものを送ったかとか、お中元でどんなリストだから今度も便利だろうと思ってそれを善意ととるかどうかはともかく、これは限界事例かもしれないのですけれども、もう一歩超えて戦略としてはこの人はこういうものをどうも好きな傾向にあって、こういうものをよく買っているからこういうものを集中的にパンフレットを送ればどうだろうとなると、少し問題があるかなという議論は確かに外国ではあるのです。非常に効果的なのですけれども、こういう好みなのだなというところで。

【上谷委員】申しわけないですけれども、議論が別の方へずれていったからもう一度元へ戻していただけませんか。私が申し上げているのは、自分が百貨店にここへ送ってくれと頼むような場合を議論したのではないのです。もともとは第三者のあて名でやったときの話なのです。私はそんなもので私の家に宅配便が1つ来たからというので、知らない間に私の情報が入っていたなどというのは大いに迷惑なので、例えば私はここで内閣のこの委員会に頼んで、すみません、これを家へ送ってくれませんか、持って帰るのは大変だからと言って宅配便で送ってくれますね。そういう間に、何だか知らないけれどもあの人は政府からしょっちゅう郵便がいっているから何かというようなデータをつくられたら嫌だと、それだけの話なのです。だから、私は第三者から提供するというのは情報を提供しているわけでも何でもないので、ここへ送ってくれと言っているだけの話なので、そんなものから情報を収集するとか、収集の概念でするのはおかしいのではありませんかと、それが私のスタートだということなのです。ですから、余り自分でデパートに行った場合のサービスと混同されると困るのです。

【小早川委員長代理】大分白熱してきましたけれども、少し頭を冷ますために休憩をしたいと思います。
 そう言いながら発言してしまって恐縮ですが、今までは要するに収集の際の本人同意を要件とするという、それを軸とした話が1つ。それからもう一つは、第三者収集の場合について宅配便のごとき場合を収集の概念との絡みでどう位置づけるかという点が1つと、今まで議論があったのはその2つのことが同時にあったのだろうと思いますが、ここで15分程度休憩をいただいて、なおほかの点についても御意見をちょうだいしたいと思います。目的外利用一般についてもまだいろいろ問題が残っていると思いますし、その中で結合の問題についても触れられましたけれどもまだ問題はあると思いますし、それからセンシティブ情報の問題、実体的に見ればそのようなところがまだ大きな点として残っていると思いますし、そのほか付随する事柄がいろいろあると思いますので、また後半でお考えいただきたいと思います。
 それでは、15分程度休憩いたします。

(休  憩)

【園部委員長】所用で遅れまして申しわけございません。それでは会議を再開いたしますが、休憩が15分ずれていますので4時15分まで「収集・保有」「目的外利用」に関連して休憩前の御議論を続けていただきたいと思います。私はちょうど議論が白熱しているというのか、錯綜しているというのか、ややこしいときに入ったものですから私も頭が錯綜しておりますが、上谷委員の御発言に絡むいろいろな御議論はこれで一応ということですが、なお補足していろいろな御意見がありましたら当然伺いますが、できれば(4)(5)(6)(7)全部含めまして一通り御議論をいただければと思っております。

【上谷委員】議論をこんがらがせてどうも申しわけありません。私が議論したのは、結局西谷さんの例から始まってしまったのですが、それを情報の収集だともしお考えになるならば、そのこと自体に私は異論があるわけではないのです。収集という言葉が多くのものを集める目的という語感を持っているから私は申し上げただけなので、それも収集だというのならば、今の例で言えば配達の目的、利用目的は、当該物を当該家に配達するための目的で、それ以外のものに利用するのは目的外の利用になる、それで、それを初めからそういう利用をしたいならば書いてもらうということで別に結構なので、私は収集という言葉から言ってちょっと外れているような気がしたからそんな議論をしたわけです。これ以上議論していただかなくて私は結構なので、それも入るというならば入るで目的外で理解していただければ一向に差し支えないです。余り混乱させてもいけませんので。

【園部委員長】収集という言葉が、ためる部分と、それから集積というか、蓄積の部分とありますから、両方混ざったような感じもするし、能動的に収集する行為だけなのか、なかなかそこに限定しにくい部分もある。自然にたまってきたというのもあるものだから、どこから蓄積と分けるかという問題はありましてなかなか難しいです。

【高橋委員】一番の「趣旨、意義」のところは全然議論をしないでいると思うのですけれども、ここはかなり全体のとらえ方を規制するような気がするものですから、余りはっきり頭が整理されているわけではないのですけれども、私の考え方を申し上げたいと思います。
 非常に素人感覚から言うと、一番国民が気にしているのは2つあるのではないかと思うのです。1つは自分のことが丸裸にされてしまうのではないかという不安です。もう一つは、自分の利害に関わることが誤った情報によって判断されているのではないかということです。この2つが一番大きなものではないかという気がするので、そこに焦点を合わせて考えていくのがいいのではないかという気がします。ほかにもっと重要なものがあるという御指摘があればがあればそれも考えますが、今のところそのように感じています。

【園部委員長】丸裸というのは、もう少し具体的に言うとどのようなことになりますか。

【高橋委員】今まで個別的に集められていた情報が、現在のテノクロジーによって結合されたりするということになってきた。そういうことによって、その使い方によってはいろいろなデータベースを結合してその人の姿というものをとらえてしまうことができるようになる。そういう不安を持っていると思うのです。だから、例えばダイレクトメールなどが来たときに不安に思うというのはそういうところからきているのではないかという気がします。
 ついでですからもう少し、なぜ最初にこんなことを言ったかというと、先ほど出ていた議論の中で、業者がいろいろな自分の顧客の情報を、取引があってやったから別に不公正な形で集めたわけではない情報をデータベース化していっていると思うのです。それによって業者がやろうとしているのはそれを裸にしようとしているわけではなくて、その業者の目的としてはよりきめの細かいサービスあるいは商品を提供して商売をしよう、そして成功をしようと、そのために情報を集めているわけです。だから、そういうものと裸にされる不安との関係をどうとらえるかというのが非常に重要なポイントになってくるのであろうという気がするのです。
 そこのところを一緒にしてしまって、とにかく善意といいますか、ただ金もうけのためにやっているだけなのに、裸にされる危険があるからだめだと言って強い規制をかけてしまうと、私は割合個人情報の保護を強調する立場ですからそれでも構わないという気がないわけではないのですけれども、恐らく今回の中間報告の立場から言うと一方に偏し過ぎるかなという印象を持っているものですから、そこら辺の調整が非常に重要な問題になってくるという気がしたものですから、その趣旨、目的をどうとらえるかということに関して最初に申し上げた次第です。以上です。

【園部委員長】業者が必ず絡む事件が多いと思うのですが、業者の今おっしゃった金もうけのためにはやむを得ないのだと、金もうけと言うとちょっと言葉は悪いけれども、そういう利益を得るためにはかなり個人情報に入っていかなければ、これはなかなか収益を上げることはできないと思いますけれども、公益上の目的というわけにもなかなかいかないでしょうが、しかし、今、非常に個人情報の収集で問題になっているのは、まさに経済的な目的のためにどこまで収集し、かつ蓄積し、利用できるかということが基本で、かなりの数はそこにあるのではないかなという感じがしないでもないのです。この経済的、金もうけ的というのはどのような具合に評価されるのですか。極めて素人的な質問なのですが、これはどうなのですか。その辺は全く切り捨てるというわけにはいかないだろうと思います。そんなことをしたら日本の経済がますます落ち込んでしまうのではないかと思いますが、どういう理屈なのでしょうか。そういうことは何か議論されましたか。

【堀部座長】それを中間報告では保護と利用のバランスということで、中間報告の3ページの4のところで「個人情報を保護するに当たって考慮すべき視点」としてその(1)で「保護の必要性と利用面等の有用性のバランス」としてまとめました。OECDの理事会勧告も1980年に採択されていますけれども、もともと70年代に保護を非常に強調する国と、他方で利用あるいはトランスボーダーデータフローと言いますけれども、国境を越えるデータの流れの自由を強調する立場とありまして、その調整ということでOECDの場合でも表題自体が「プライバシー保護と個人データの国際流通についてのガイドライン」というようなことで両者のバランスをとっているということもありまして、中間報告ではそういうことも踏まえながら「保護の必要性と利用面等の有用性のバランス」としてまとめてみました。

【小早川委員長代理】確かに保護と利用というとらえ方がわかりやすいとは思うのですが、その場合に、何か保護というのは流通させない、囲ってしまうということで、それと、流通させる、利用するというのを分けるというのは、まだちょっと何かが足りないかなという気がするのです。先ほど高橋委員がおっしゃられた丸裸にされたら困るとか、それからもう一つはねじ曲げられたら困るということを言われたのですが、それはいずれも人格権的なものだと思うのですけれども、こういう情報化社会ではそれぞれ自分が情報の持ち主だという面もある。その情報を使って他人が商売をしてもうける、自分の知らないうちにそれをされてしまう、もうけられること自体は悪くもないし、それは自分にとって場合によってはプラスのサービスになって戻ってくるのかもしれないけれども、とにかく自分の持っている情報というものを勝手に使われて、自分には何も代償も払ってくれない、対価も払ってくれないし、あいさつすらない。そういう面で、その辺は財産権と言えるのかどうかは知りませんが、自分が自分で処分し得るはずの価値を勝手に他人が処分してしまう、そこは何となくしゃくだなという感覚がまた一つあるのではないかと思うのです。だとすれば、人格権的な隔離すべき部分と、それから処分するにしても自分の意思で処分すべきものという2つがあるのだろうという気がします。大変抽象的な言い方ですけれども。

【藤原委員】今の小早川委員のお話と少し似ているのですが、まず外国の調査でありますとか外国のものがどうなっているかということを御紹介しますと、先ほど堀部座長がヨーロッパの中で非常に強いところ、個人情報保護の厳しいところがあるとおっしゃったのですが、多分最たるものはドイツであるといえると思うのです。そこでも実はデータ保護の監察官事務局でありますとか立法当局などの考え方というのはグローバルプレイヤーであると。それで、グローバルプレイヤーとしてのドイツをその地位から引きずり下ろすようなことをするつもりはないということをはっきり言っているというのは、情報の流通というものをかなり重視しているということではないかと思います。
 つまり、前にも御報告申し上げましたように、個人情報保護のレベルだけではなくて経済のレベルを上げていくために個人情報保護を守る。例えば、電子商取引などは不安があったらそもそも電子商取引が発達しない。そういうことで、個人情報保護のレベルは結果として後からついて上がってくるという考え方が外国の立法当局なのだろうと思います。それで、OECDもやはりそこから出発しているのだという点をかなり彼らは強調していたと思います。
 それから今の小早川委員のお話ですけれども、多分さっき高橋委員が言われたのは、例えば国勢調査などによるプロファイリングというか、コンピュータに入れてどういう人間か大体わかるのではないかというような不安から個人情報保護が始まってきたという話だろうと思うのですが、多分それは人格権に関わるという部分は従来は対公権力の部分で官民の部分がそれであった。それが徐々に、では民民で社会的規制というか、いわゆる事実上の権力の場合がどうなのかという議論もひとつしなければいけない。
 それからもう一つ、民民だと今、小早川委員が後段で言われた財産権的な議論が少し強くなってくるのかなと。人格的なお話というのはどちらかというと従来は官民ですね。公的部門に対するもので議論されていて、民民だと財産権的な部分がかなり強かった。ただ、若干インターネット等の普及でその境が微妙になってきているというのがもう一つ問題があると、大体そんな状況のような感じがしますが。

【遠山委員】守られるべき法益としては人格権的なものと財産権的なものがあるのだろうと思いますけれども、問題になるのは目的外利用によってどういう権益が課されるのかということかと思いますが、この3の2番目の丸で「目的外であっても本人の権利利益の侵害のおそれの無い場合」、こういう場合はある程度流通なり、それから利用ということで許容していった方がいいのではないかとも考えられますし、ひとつ教えていただきたいのは、ここに書いてあります本人の権利利益の侵害のおそれという規定の仕方で概念として非常に明確なものであるのか、本人自身がどう考えるのか。あるいは、客観的にこういうものが明確になってくるのかどうか。

【堀部座長】権利利益の侵害のおそれのない場合という言い方もありますし、あるいは本人の権利利益にかなう場合には目的外利用もあってしかるべきではないかというような議論になるのです。例えば、入院するときに本人が病状を明確に言えないときに、第三者から、これは収集の場合ですが、そういうときに何らかの形で本来集めていた目的以外に使うということも許容されていいのではないかというようなことでこうした議論をいたします。

【新美委員】今、堀部先生のおっしゃられた権利に資するときという言い方と、侵害のない場合という言い方とはデフォルトをどちらに取るかという問題になりますので、スタンスはやはりかなり大きな議論になると思います。個人情報の流通の方にウェートをかけるとすれば、権利侵害がない限り自由だという書き方をした方がいいと思います。その辺の議論は大事な問題だと思います。
 あとは、遠山委員の権利侵害という書き方ではっきりするかということですけれども、これは不法行為の議論ですと権利というのは法律に書いたもの以外のいろいろな保護に値する法益も含むのだということになりますと、これははっきりしたものというのはならずに、結局は社会通念によって保護すべきかどうかを個々に決定していくことになり、そんなに明確になるわけではありません。

【小早川委員長代理】今の御発言に続けてですけれども、ここで権利利益というのは何が権利かということですが、もともと余り意味がないと言えばそれまでなのですが、先ほど私が言ったことを自分で引用させていただきますと、人格権的な利益が1つあって、それからもう一つは財産権的といいますか、自分が処分権を持つという関係が自分とあるデータとの間にあるのだとしますと、そのつながりを他人が横から破ってしまうのはそれ自体権利侵害だ、権利利益の侵害だということにもなりかねないわけです。そうすると、トートロジーになるわけですね。
 ですから、やはり遠山委員が言われたように、権利利益の侵害のおそれがあるかないかという言い方はかなり無内容な言い方なのではないか。そこを今、新美委員が議論されていたように、本人の利益になる場合だけはいいのだということならばそれはそれでわかるし、それから本人の不利益にならないというのは余り縛りにならないかもしれませんが、そのような言い方もあると思いますし、そのほかにもう一つの要件として公益上の必要などという言葉を持ち出すのか持ち出さないのかという問題だと思います。

【高橋委員】これは具体的にはどういう場合を想定した書き方ですか。本人の権利利益の侵害のおそれのない場合とか、権利利益にかなう場合と。

【園部委員長】何か審議官の方で考えていらっしゃいますか。

【事務局】ドイツ法はこの辺りの書き方は非常に抽象化しました。各国法とも書き方は少しずつ違っておりまして、例えばドイツの場合については、本人の保護に値する重大な利益が侵害されるということについて根拠が存在しない場合というような表現になったり、その本人の重大な利益が侵害される例としてセンシティブ情報だったり、そういう体系になったり、各国とも少し立て方は違っております。それで、ここについて具体的にこれこれというのを想定したのかということについては、とりあえず想定しておりません

【藤原委員】今のことに続けますと、外国の中ではさっきの小早川先生の話ですと、比較考量が可能なような書き方もありますね。優越する利益があるかないかということで、そこで一応比較考量してしまってという書き方ですね。それだと少し権利利益の侵害があるかないかよりは具体的である。それは恐らく争訟になったら裁判の場で社会通念で決めるということになっていくのでしょうけれども、そういう書き方もあります。

【西谷委員】目的外利用についてですが、これはさっき収集のところで申し上げたのですが、結局目的を具体的かつ明確に書くという原則、そこが徹底すればするほど目的の中か外かということがわかるものですから、その原則のところを徹底するということではないかと思います。そして、それについて注意すべきはオール・オア・ナッシングではない。つまり、こういう目的でということを具体的に言いますが、今度は同意する方、ここで言う情報主体ですか。その方は、これはやめてくれと。例えば5項目の目的が書いてあったとしたら、3番目のものはそれは嫌だと。そのためには嫌だというようにそこにネゴシエーションといいますか、ある種の折衝があり得るというように構成しなければいけないのではないかと思うのです。そこのところをどのようにパターン化すればいいのか、まだしっかり考えていませんけれども、少なくともこの目的のうち賛成が8割というものがあるわけですから、そこでネゴシエーションしながら両者である目的を具体的に決めて、決めたら中と外というのはかなり明確になってくると思います。問題はそのネゴシエーションの部分で示された目的の修正システムといいますか、そこのところをどうするかということはちょっと工夫が要るのかなという気はします。まだ具体的に考えていませんけれども。

【新美委員】司法的なというか、民法的な立場でいきますと、公法的な理解とどこか違うように思うのですけれども、例えば目的といった場合にやはり目的の解釈というのは民民になると必ず出てくるわけですね。それをどこまで許すのかということをとらえておかないと、西谷先生がおっしゃったように目的を明確にしておけば全部外か中か決まるのだというのはいかない可能性も出てくるのではないか。典型的なのが、法人の目的などというのは今、株式会社ではほとんど書いていないに等しいということになっていますね。それと同じようなことがあるのかないのか。その辺を議論しておく必要があるだろう。むしろやはり目的というものが明確になっていったときに社会通念で大体この業種、この業態だったらこんなものは予測できるだろうというときにはそれで外と中は決まりますし、ちょっと特殊な使い方をするときには明確に示しておいてもらわなければ困る。どうもそのような目的の明確性といいますか、書き方というか、とらえ方が必要になるような気がします。ですから、どちらかというと当事者によって定まる目的というものと、社会通念によって大体収まる目的というのは2本立てみたいなもので目的というのはとらえておく必要があるのではないかと思います。
 それに加えて今、西谷先生がおっしゃられたように、社会通念から言ったら大体入るであるような目的だけれども自分は嫌だとか、自分は別なものを付け足してもいいというような特定の仕方をしていくことになるのかなと思います。

【小早川委員長代理】今おっしゃられたのは、本人から収集する段階での目的の告知と同意ですか。

【新美委員】その場合も、先ほど遠山先生とも話していたのですが、例えば我々が医者の前に行って腕をまくって手を差し出せば、これは注射を打ってもらってもいいですよということは同意しているわけですし、その目的というのは告げなくてもわかるだろう。ところが、そうではなくてそこでメスで切開して何かやるとなると、それはその旨を明らかにして同意をとらなければいけないだろうと思うのです。ですから、その目的という場合も本人から収集する場合でも当然期待してわかっているような目的と、そうでない特殊なといいますか、そのシチュエーションでは予測できないような目的というのがあるだろう。その場合、予測できないようなシチュエーションについてはきちんと明確にするということを考えていった方がいいのではないか。特に民民の場合には一々全部明確に告げて集めなければいけないということをやりますと、ほとんど機能しなくなる可能性があるのではないかと考えます。

【西谷委員】もう一言よろしいですか。目的に応じて最小限でなければならないという原則のことは後で出てくるのか、ここの問題なのか。どうも一般に私の経験でも余分に情報が取られてしまうというのが多いのです。運転免許証を全部コピーか何かを取られてしまって、そんな必要はないじゃないかと思うのだけれども、そういうのはかなりラフに行われているような気がするので、それが転々流通すると危ないなという気がするから、最小限たるべしというのはこの収集の原則の一環なのでしょうか。

【園部委員長】合法的で公正な方法というのがありますね。

【西谷委員】これはうそをついたり何かしないというような……。

【園部委員長】それだけですか。そうすると、必要な範囲というのは何ですか。利用目的に関連する範囲というのが最小限になりますね。
 ただ、一々コピーでなくて手で書けだ何だというと、今どきちょっとはやらないものだから、さっさと取ってしまって。

【西谷委員】そこを隠してコピーを取ってくれるのならばいいのですけれども。

【堀部座長】特に運転免許証の場合には本籍地が出ていますね。これは通産省のガイドライン等でも、後に出てくるセンシティブデータとして収集してはならないとあるのですが、それは取られてしまいます。慣行として行われているので、これはどうするかという問題があるのです。
 そういうときに免許証をそのまま渡すというのがいいのかどうかという話になると、例えばレンタカーの場合など、免許証の写しが、必要であるということであればやむを得ないと思うのですが、よく問題になるのはレンタルビデオショップなどが免許証を身分証明書として使ってコピーしている場合です。運転免許証をコピーして運転免許証を偽造したということもありますので、やはり目的達成に必要な範囲内というところで押さえないと範囲が広くなりすぎます。そういうときに一々この部分はコピーするなと言うか、あるいは自分でテープでも張って渡すかとか、自己情報をコントロールするためにそうするかという話にもなってくるのではないでしょうか。

【藤原委員】今の西谷先生の御質問は、データを取るときは必要最小限にしろとか、もう一つ回避可能性があったらなるべく取らないようにしろというような原則は一般条項というか、一般条項といっても実体的なものから訓示規定的なものまでありますけれども、一般条項的な書き方をするような立法と、もう一つやはり個々の収集等のところにそれぞれ入れ込むというような立法と、やり方としてはどうも2つあるみたいです。

【小早川委員長代理】両方あるのでしょうけれども、今の御議論を伺っていると、理屈としてはまずはやはりその目的に照らして最小限のものしかいかぬというのがまず第1原則であって、ではその目的は何かというのが大事である。その次に、では目的にとって必要な情報である、だからそれは取ってもいい。しかし、取り方によってはコピーでよけいなものまで取れてしまうこともある。それは収集の方法の問題であって、方法が妥当性を欠かないかどうか。その方法についての本人の同意なり拒否権なりというものをどうやって確保するか。そういう段階に分かれるのではないかと思います。

【高橋委員】民間の場合、目的についてさっきの議論では業者がかなり自由に目的を設定できるというようなことではないかと言ったのですが、それは例えば届出をさせるのですか。それとも、この目的でいいということはどこで確定するのですか。ここで書いてあるものでも、例えば目的外利用の確認とか、そういうことをやるためには目的がきちんとしていないとできないと思うのですけれども、2の「利用目的等」のところで利用目的の特定のところに関係するのでしょうか。

【園部委員長】今おっしゃっているのは目的の合法性、目的の適切性なのですね。

【高橋委員】公的機関の場合は事前に届け出るわけですね。民間の場合はどういう目的で収集するかという場合に届け出るようなことを考えていくことになるのか。それとも、それは個々の業者がこういう目的でやりますよと本人にそれを言えばそれでいいのだということになるのかですね。そうすると、当初の目的はどんどんずれていくかもしれない。公的機関については目的を変更する場合にもちゃんと届け出なければいけないというような網がかかっているわけですけれども、民間の場合は全くそこは自由にということになると、どの段階でどのようにチェックしていくのか、よく頭の中で整理できないのですけれども、そこはしかしきちんと目的というのがどこかの段階で特定されないと、目的外利用というのもうまく議論できないような気がするのですが、そこはいかがですか。

【堀部座長】中間報告の11ページを見ていただきたいのですが、11ページの※印の2のところで登録・届出制度について書きました。この制度を取れば、その登録なり届出をしたときにこの業務も全部明確にするわけで、その目的を一般の人が見ることができますから、例えば先の宅配業者の場合、これは配達目的であり、それ以外には使わないということが明らかになっていればそれでチェックはできますけれども、この中間報告ではそれをするとなったら恐らく日本の実態からすると何百人かのスタッフのいる新たな機関を設けないと無理だと思うのですね。イギリスの場合でも人口5,500 万ぐらいで100 人ぐらいのスタッフがいて、登録していないところもあるというような状況なので、全件登録といったら大変なことになるということで、ここではむしろ民間についてはそういうことはしないとしました。そうなると、あとはそれぞれの情報収集なり利用する段階で、一々情報を出す側がそれをチェックするというようなことで、それが余りにも範囲が広ければ、ではそこまで出せないとか、これは目的の範囲内ではないとかということで、実際にはそれに応ずるか応じないかということになってくるのだろうと思います。

【高橋委員】そうすると、その確認方法及びその実効性というはそういう実効性をどれだけ担保するかという意味で書かれているということですか。

【藤原委員】今、高橋先生がおっしゃったとおりだと思うのですけれども、結局目的外利用をしているかどうかについて確認のしようがあるかないかということになると、入り口で縛るのか、最後のところで、どのように実効可能性があるのか、制裁等も含むという議論になると思うのですけれども、そこでとらえていくかということを議論せざるを得なくなると思うのです。ちょっと循環してしまうのですけれども、さっき堀部先生がおっしゃったのは、イギリス等は結局のところは国民全部がコントロール人だという考え方につながるというようなお話で、それぞれ気をつけないとという一般論になってしまうのではないかという議論もあるところです。ただ、現実問題として民民の場合、特に民間を把握するというのは対象とする法人の範囲にもよりますし、それから対象とするデータの種別ですね、電子媒体だけなのか、紙に書いたものまでなのかということとも絡んでくるので、ここで今、議論しているきちんと明確にしなさいという要請は常に執行可能性というか、実現可能性というところでは悩ましい問題が生じているというのはどこの国でもそうだと思います。

【園部委員長】それが実に悩ましい問題でして、目的が明確というのはだれが見ても明確ということでそれはわかるでしょうけれども、肝心の適切な目的かどうかがはっきりしないと、明確なのだけれどもその目的外かどうかというのは全然わからなくなってしまうのです。だから、明確でかつ適切な目的であるということがはっきりして初めて目的外ということの定義が出てくるわけですですが、その辺になると、しかも登録とか何かは到底不可能だということになると、とりあえずやってみるけれども余りにも目的外だというものは一般国民の目から見ておかしいというような常識的な判断でいろいろ苦情も申し立てる。苦情の段階で議論をする。余り最初からきちんとしたそんなに法律的にこれは書いてあっても何が適切なのかよくわからないということになってくると、これは適切性というのは法律に出るわけですか。適切というのですか。実際にはどのような用語を使うのですか。目的は明確かつ適切でなければならないとか、そんなことを書くのですか。
 結局、何だかよくわからなくなってしまいますが、それは訓示規定としてはよくわかりますけれども、あとは個別法で業種その他、目的に応じて細かい議論ができるかどうかということでしょうね。基本法だとこの程度かなと、余り深く入り過ぎるとどうも規定そのものの意義が問われることになるわけだけれども、どうぞ御自由に議論してください。

【上谷委員】私もこれを基本法で実効あらしめるのは現実には無理だと思います。ですから、例えば目的がはっきりしていなくていいかげんな書き方をしてあって、たまたまそこへ自分もOKしてやったらとんでもないところへ使われてしまって仮に損害を受けたということがあれば、それは損害賠償の訴訟なり、そういうようなもので勝訴することはあり得るという程度のものでしかないだろうという気がします。むしろ個別法の分野では、例えば貸金業者ならば貸金業者がそういう変なことをやっていたらもう登録を取り消すとか、そういう対応は可能でしょうし、医療機関ならば医療機関で医療情報について変なやり方をしていれば監督の行政官庁で指導をするなり、場合によれば免許とか許可が要るような場合にはそれを取り消すというような形でつなげていくしかない。極端なことを言えばどんな業者が出てくるかわからないわけでしょう。それを全部一件一件登録する、あるいはどこかの行政機関で審査するというのは現実の問題として無理だと思います。
 また、罰則だって例えば刑罰を設けるにしても、そんな幾つ出てくるかわからないようなものを全部捜査してというのは現実の問題としてはまず難しいと思いますので、結局はそういうひどいことをやったことでだれかが目的外利用をされた結果、損害賠償を求めるということになれば、そのときには生きてくるかもしれませんが、そういう意味で完全な訓示規定ではないということにしておかないと、これまた法律の規定も意味がありませんので、できれば守ってちょうだいよと言って、後は個人の良心に任せます、ではまずいのだろうと思いますけれども、現実にそれほど効果的なサンクションを期待するのはまず無理でしょう。結局最終的にはそれが争いになった場合に、裁判の場で適用されるという含みを持たせるのが精一杯じゃないかと、私はそんな気がします。
 ただ、あるべき姿としてはこういうふうにしなさいということははっきり書いておくべきで、できたらしてくださいというのではないという感じはします。

【高橋委員】民法の方にお聞きしたいのだけれども、目的外利用はだめだということを明確に書くと、これは損害賠償のときにかなり意味を持ってきますか。

【新美委員】やはり違法評価のときに大きな影響を持ってきます。

【上谷委員】これは条文の書き方によると思いますけれども、例えば目的外利用をしたことによって利用された第三者に損害を加えたときにはその損害を賠償する義務があると書けば、これは一番はっきりしますけれども、そこまで書くかどうかは別にして、書いていなくてもやはり違法性の判断ということでは大きな意味を持つはずです。

【新美委員】単なる取締り法規ではなくて、個人の保護法益のために規定されていると言えば不法行為の違法評価には大きな意味を持ちます。

【上谷委員】裁判所もそのような書き方によると思います。なるべくこのようにしなければならないというとちょっとまずいかもしれません。

【高橋委員】例えばプライバシー侵害にまで至っていなくても。

【新美委員】個人情報の重要性にかんがみ、目的外利用はだめだと書いてあれば事後評価には大きく関わってくると思います。

【小早川委員長代理】それはよくわかりましたが、その場合、さっきの話に戻りますが、では目的外かどうかはケースごとにはっきりしないわけですね。はっきりしている場合もあるだろうけれども、ここまではいい、これはだめとマルバツを付けている場合もあるだろうけれども、そうでないケースも多いだろうというときに、本当にはっきり民法が働くのだろうかという気がひとつするのです。

【新美委員】ただ、個人情報が保護法益なのだということが書いてあれば違法評価になってきますね。ですから、あとは目的の外か中かというのは社会通念で決めることになるだろう。あとはそのバランスをとるときに今、言ったような保護に値すべき法益だというのが法律の中に書いてあるということが重要だと思うのです。

【小早川委員長代理】そういう意味で、法益性をはっきりさせるということ、基本法というのか何というのかわかりませんが、そこに書くことにはなるほど意味があるのだなという気がします。それと、民事訴訟でなくても各個別法で苦情処理システムをつくった場合に、そこでは当然これが参照されるのだろうと思いますし。この一般法としての苦情処理システムをこの法律の中で書くかどうかというのが私たちの一つの問題です。

【高橋委員】ちょっと違う問題でお聞きしたいのですけれども、企業グループ内での利用はどうかということがありますね。企業グループではなくて、全然違う企業の間で情報を交換し合いましょうということはしょっちゅう起こっていると思うのですけれども、こういうものは目的外利用と考えるのでしょうか。そこら辺は目的外利用だということになると、例えば企業と企業で提携して新しい分野に進出しましょうというような場合にはもう一回情報を取り直さなければいけない、あるいは本人に通知しなければいけないということになるのか、あるいは目的の変更で処理できると考えるのか、そこら辺はどのように考えておられますか。

【堀部座長】例えば、金融機関の場合などが今グループ企業内での利用というのをかなり求めているのです。グループというのをどうするのか、連結決算で一応縛っていまして、これは財団法人の金融情報システムセンターというところが金融機関等における個人データ保護に関する取扱指針というので 昨年改定してそういう考え方をとっています。実際問題とすると金融機関のいろいろな合併が出てきますので、そこをどうするのかというのがあるのですが、その辺りは一人ひとりの預金者に一々伝えるというのは実際問題として大変難しいので、何らかの形で本人にわかるようにして、他には使わせないということであれば、そこから今度はオプトアウトという言い方をよくするのですけれども、自分の情報をそこから削除してほしいという権利を、あるいはそういう申出をしてもらう、アメリカの今の議論はいろいろな面でそれが一般的になってきています。経済活動の自由、営業の自由というのをどこまで認めていくのかということと関連してきますけれども、そういう考え方を金融機関ではとっています。
 別のことで言いますと、実はこういう訴訟がありました。具体的に言いますと、東洋信託銀行に預金した人がいまして、その人のところにセキスイハウスからアパート経営のダイレクトメールが来た、自分は東洋信託銀行には預金しているので東洋信託銀行から来るダイレクトメールはやむを得ないと思っている、しかし、それをセキスイハウスに知らせたということは、銀行の守秘義務違反であり、目的外利用だし、自分の個人情報なりプライバシーの侵害であるということで訴訟を起こしました。
 ところが、東洋信託銀行とセキスイハウスの方は、東洋信託銀行と提携してセキスイハウスのアパート経営の案内書、パンフレットを東洋信託銀行の責任において、預金者に発送しているということであって、他に提供はしていないというようなことでした。最高裁まで争いましたけれども結局原告の方が敗訴しています。
 ほかにも地裁段階の判決があります。デパートにマンションを買う申込みをしたところ、マンションの管理会社が申込書に書いた勤務先に電話をしてきました。原告は、デパートが管理会社に情報を提供したのはプライバシー侵害だと損害賠償請求をしました。東京地裁は一般論としては、コントロール権的なものを認めましたが、本件の場合、提供したことには正当な理由があったとして請求は棄却しました。
 このように目的外利用・提供について裁判で争う例も出てきています。

【藤原委員】今、堀部先生の方から国内について御説明がありましたので、問題意識が外国等ではこういうことであるということを申し上げると、例えば個別企業内というのは、これは多分特別法の話になるのですけれども、人事等でありますとこの個別企業内であってもやはり医療情報等は人事部門が持つことがいいのかどうかというような議論があるというのが多分1つ、データの結合についてであります。それからもう一つは、グループ企業内というのは目的外利用のときの第三者とはだれかという問題で、EUのディレクティブ以前の外国法はどちらかというとコンツェルンでありますとかコングロマリットというような思想がなかった時代のものなので、文字どおりに文理解釈を、例えばヨーロッパの諸国の法律の解釈をしますと、子会社に出すのも第三者に出していることになるのではないかという議論が確かにあるのです。
 それは、しかし現実に合わない話で、外国でも今、議論されているところでもあり、困っているところでもあるというお話にもなろうかと思います。あとは、我が国の話は先ほど堀部座長の方からあったようなことだと思います。

【園部委員長】まだこの問題はずっと議論しなければいけないのですけれども、一応事務局の方で「管理」についての検討資料を出していますので、これを先に途中ですが説明してもらって、なお議論は「収集・保有」「目的外利用」等も含めて続けたいと思いますので、説明をお願いします。

【事務局】それでは、お手元の資料1の3ページ目にございます「管理について」を御説明させていただきます。
 まず四角の中でございますけれども、2つございます。まず1としまして「個人情報は、漏えい、滅失、破損、改ざん等が行われないよう適正に管理されるべき」というもの。2つ目に、「個人情報は、その利用に際し必要な範囲で正確かつ最新であることが確保されるべき」という2つでございます。
 この2つにつきまして、論点といたしましてまず1は「趣旨、意義」でございますが、こうした漏洩等を直接禁止しようとすべきものであるのか、それとも漏洩することによって情報主体の権利利益侵害の予防として保護措置を講ずべき旨にとどまるものかというものでございます。そういう意味で直接禁止というのは例えば懲罰の対象にすべき、それ自体がやはり反社会性があるようなものとしてとらえるべきなのかという問題でございます。次に第2点目の論点でございますが「適正管理の内容」。ここでも先ほど御議論いただきました適正とは何かというのがあろうかと思いますが、まず漏洩、改ざん等を防止するためのルール、システム、すなわち何をしなければならないか、またはすればよいかということを規定すべきであるのかないのか。するとしたらどこまで求めていくのかといったような問題でございます。
 次に「情報管理体制(責任関係)」と書かせていただきましたけれども、これは非常に大きな問題を含んでおりまして、漏洩その他の問題が起きたときに、これはだれの罪であるのか。罪になるかどうかは別にしても、もう一つは今これから議論いただくべき点としましては、それを漏洩した、漏らした者の罪なのか、それともそれをそういうことになってしまうことを許した会社の罪であるのかという論点でございます。これは個人情報というのが秘密と同じレベルのものとして議論されるべきなのかどうかということでございます。すなわち秘密漏示に関しては罪というのはありますが、情報漏示については罪ではない。そうすると、個人情報というものが漏れるということに対してだれがどういう形で責任を負っておくものなのかという論点でございます。
 次に、そこからのアナロジーで特に情報の取扱いに関する業務の委託を行ったような場合、これはだれの責任になるのか。また、そういった場合にどういうルールをつくっておくべきであるのかということでございます。よくありますように、自然淘汰の議論なのか、それとも法律でこういったことをやってはいけないと明示的に示すべきものなのかという論点でございます。
 次に3番目でございますが、情報の正確性、最新性という問題でございます。「正確性、最新性の意義と実効性をどのように考えるか」と書かせていただきましたけれども、これは利用に際し正確であるべきことというのは当たり前のような感じがしますが、そもそも不正確な状態になってしまったこと自体が違法なのかどうか。もう一つ、捕捉性の問題としまして、問題が生じない限りそれが正確であったのかどうかよくわからないということでございます。これは将来的な課題として開示請求とか訂正請求の方につながっていく問題としてどれほど正確であることを求めていくのか。また、その正確性を維持する期間といった問題につながってくるものであるとしております。
 最後に4番目でございますけれども「目的終了後の個人情報の取扱い」という論点でございます。これも先ほどお話がありましたが、当初の目的が終了した後の個人情報の廃棄または消去の必要性をどのように考えるか。当然、目的が終了すれば廃棄せよという論点はございますけれども、先ほどからありますように、そもそも目的の範囲との絡みもございますし、もう一点、収集された個人情報がだれのものであるのかという論点も含んでおります。すなわち、顧客情報のような情報はお客様にサービスを提供するということはもちろんでございますけれども、どの段階でサービスが終了したとするのか。それから、これは収集したいわゆるデータベース的なものというのは資産性の問題として所有権はだれにあるのかといったような問題も含んでいるというものでございます。以上でございます。

【園部委員長】この管理の問題は適法に収集され、保有されているということを前提にして管理と言うわけだけれども、適法また合法というか、公正に保有されていない情報については野放しになってしまうわけですね。この管理の観念の外になるのでしょう。そこが大変なのだけれども、とりあえずこれは一応きちんと収集された情報についてはこうあるべきだという理解でひとつごらんいただければといいと思います。
 これに限らず、まだ議論されていないところがありますが、適当なところで今日は50分で切りますけれども、なお論じ足りないセンシティブ情報もございますし、その他、第三者収集等の取扱いについてもございますので、今のうちに何か議論はございましたら論点だけでもお示しください。

【高芝委員】どうも遅参して申しわけございませんでした。もう議論が出ていたら大変申しわけないのですが、先ほどの先生のお話の関連もあるのですが、管理ではなくてその前の方の議論なのですけれども、目的外の場合にある目的の範囲が決まるか、決められるかどうか。社会通念に従って決めるということで仮に決まるとして、その範囲でもアウトかセーフかが決まるという二元的なものなのかどうかというのは前から考えているところがありまして、その中間がまだあるのではないか。目的内で利用している分には全く問題はない。ただ、情報主体にとっては余り考えてはいなかったけれども、特段そういう利用をされたときに異議がなければ許される範囲というのでしょうか、認められる範疇もある。それで、異議が出ないからといって許されない範囲、目的外だからこれは絶対だめですという範囲と、議論が複雑になり過ぎるかもしれないのですけれども、目的外だからやめてくださいといったときにはやめなければいけない。けれども、そうでなければまだ認められる範囲というのも場合によってはあるのではないかという印象を持っていまして、そこら辺の議論がもしありましたら教えていただければと思いました。

【園部委員長】目的の内と外がはっきり境界線のように分けられるかどうかという問題がまずありますね。

【高芝委員】目的の解釈でそれをする手もあるということですね。

【園部委員長】それがまず大変なので、もともとこの境界線というのはなかなか難しいグレーゾーンのようなところがあると思いますから、結局今おっしゃった意味は恐らく外に出ていると言っても本当は中に入っているようなものもありますし、それはいいんじゃないかというような議論にはなると思いますが、はっきり目的外だという場合はまたそれなりの処理をきちんとしないと、だんだん広がってしまってどれでもいいということになるのも具合が悪いし、その辺のところは難しいところだと思います。

【上谷委員】この管理については、私はここに書かれている四角の括弧の中のことは結構だと思いますし、あとの趣旨等もどちらに重点を置くかという点はあるのだろうと思いますけれども、どちらかと言えば私は保護措置を講ずべきという方に趣旨としては重点が置かれるのではないかという気がします。つまり、そのことを通じて漏洩等を禁止するという建前の表現で足りるのではないかという気がしています。
 それから、適正管理の内容等については、やはりルールあるいはシステムというものをきっちりしておけということを書く程度で、それ以上細かく書くのは現実には無理なような気がいたします。特に民間の場合を考えますとですね。情報管理体制、責任関係等は、私は現場で現実に情報を漏らした人だけをつかまえておくのでは少し不十分なので、それを刑罰にするか、それとも民事的な制裁でとどめるかは別として、やはり管理責任者というものもきっちり把握しておいて、例えば会社全体として少なくとも責任者を置いて、だれかが何か情報を漏らしたような場合には当該会社として責任を負うというような規定は置いておかないと意味がないだろうという気がします。
 こんな言い方をすると少しどぎつ過ぎるかもしれませんけれども、やはり現実に情報を扱っている人というのはどういう人が扱うかわかりませんので、極端なことを言えばアルバイトでよく教育も受けていないような人に扱わせる会社も出てくるには違いないので、そういうようなものだけつかまえていたのでは恐らく余り実効性のないものになる。要するに、そういうようなものが情報を漏らしても責任主体である会社なりというようなものが最終的には責任を負うのだということははっきりしておかないと実効性がないような気がします。更に刑事罰まで科すかどうかは、私は今ここで議論しようとは思っていないので、その必要性は皆さんの御意見でお聞きいただいたらいいと思います。
 それから、業務委託の場合も委託を受けた方だけでは不十分なので、やはり委託するからには委託した方にも責任を持って委託するという形でないといけないのではないかという気がします。
 それから、情報の正確性、最新性としても、これは理屈としてはやはり必要なことですけれども、例えば本人から情報を収集している場合に一々常に、例えば6か月経過するごとに再度情報を収集しろというのは無理な話だと思います。やはりその辺は情報を提供した本人側からある程度情報の内容に変更があれば連絡させるという形を基本にして、連絡があればきちんと整理しておくという程度でないと、現実には無理なのではないかという気がします。膨大な情報になってきますから、それを例えば半年ごとに全部チェックしろというのは現実の問題としては無理なのではないかという気がします。
 それから4番の終了目的後の取扱いですが、やはりこれも終了してしまえば本来は廃棄すべきだときっちりしておくべきなので、ついでに先ほどの議論に結び付けて言いますと、実は目的が何かというのもあらゆる場合に文章できっちり書いておく必要があるとは限らないので、先ほどのケースのように、もしそれが情報の収集に当たるとするならば、運送のためにやったのならば運送が済めば、配達してもらうために情報を提供しているわけですから、収集の目的は運送屋に配達を頼んだということからおのずから明らかになっている。それは書いてあろうがなかろうが、運送が済めば廃棄する。それを残しておいて利用したいと言うならば、その目的をはっきり書いておいてくれと、こういうことになるのではないか。概括的ですけれども、私はそう思います。

【事務局】ありがとうございました。今、上谷委員がおっしゃっていただいた中で1点、情報管理体制の中で漏らしたものをつかまえるだけではなくとおっしゃっておられたのですが、実は非常に私ども大きな論点としてとらえておりますのは、情報を漏らした人はそもそもつかまるのかという問題がありまして、これはまだ実はこの法律を書くときの名あて人が決まっておりませんので、そのときに漏らすような環境になったことが罪なのか、それとも先ほど申し上げましたとおり秘密を漏らした場合、業法でありますように秘密を漏らすと罪であるというのは漏らした人も罪ですし、両罰規定でその会社も罪になることはあるのですけれども、この個人情報の場合は秘密と同じ構成ができるのかどうか。その漏らした人は何を漏らしたのだろう。その会社と個人との契約関係においては、雇用関係として適当でないから首にするというサンクションはあるにしても、この法律上、漏らした人がどうであるのかというのはひとつ論点として出てくると思います。

【上谷委員】それはあると思います。それに刑事罰を科するかどうかは皆さんで少し御議論いただかないと、私には自信のある結論がないのです。それで、感じとしては漏らした内容いかんにもよるだろうという気がします。そのことによって非常に大きく個人の利益が害されるようなことを漏らしたとして、その漏らした当人が仮に特定できるならば、やはり刑罰ということも考えられるとは思います。漏らしようにもよると思います。ですから、漏らした内容とも関係してくると思います。
 要するに、先ほどの例で挙げますと、そのお陰で自分のところへダイレクトメールが来たよという程度で果たして刑罰というようなことまで考えるのか。それだったら、恐らくせいぜいそれで非常に迷惑を被った例があれば民事上の損害賠償が精一杯のような気がしますけれども、例えば非常にセンシティブ情報を提供せざるを得ないような業態であって、それが守られたお陰で自分が変なところで首になってしまったというような大事な情報が仮にあったとすれば、やはり情報の中身いかんによるような気がします。
 それから、そのような場合に先ほど、私は当の本人が特定されれば当の本人だけではなくてと申し上げたのは、当の本人が特定されない場合もあるのです。そのときにはやはりだれかが漏らしたに違いない。具体的にこの男がいつ何日に漏らしたということがはっきりしないけれども、そこのある情報を収集しているそのファイルから流れ出したことははっきりしているという場合、やはり管理体制の責任者なり、あるいは当該管理をしている企業なり、そういうのは保有主体が少なくとも民事上の損害賠償責任を負わないとおかしくなる。一種の使用者責任的なものはやはり出てくるだろう。その場合にも、例えば法人の両罰規定みたいなものを置いて法人にまで刑罰を科するというようなことをするかどうかは、やはり情報の内容の重要性にも関連してくるだろうと思いますし、それから現実にそういうものを一々摘発していけるかという警察なり取締り側の体制も考えなければいけないだろうという気がします。そこは私は今、自信はありません。

【小早川委員長代理】今の関連ですが、事務局の言い方に乗って言うと、およそ人のうわさをするのは罪になるかということだと思うのです。だから、相当極端な言い方をすれば、個人も含めておよそ他人の個人情報を漏らしてはいけませんよと、刑事罰にするかどうかはともかく、そういうことはいけませんよということを法律で書くかということになると、それはどうかなという気は今のところはするわけです。
 それもそこまでやってもいいのかなという気もしないでもないのですけれども、そこまでいかないとすると、あとは1つは適用範囲、保有主体の範囲をどうとるか、それで裾切りをするという手はあると思います。事業者かどうかで切るか。あるいは事業者の中でも規模で切るか。大企業であれば一種の危険責任、報償責任みたいなものがあって、社会的に人様の個人情報を扱ってもうけているのだからそれだけのことはやらなければだめだよというのがひとつあるだろうと思います。あとはその先で法人か、事業者か、それとも従業員かということになるとどうなのでしょうか。例えば、一定の事業者には管理体制を整えることを義務づけておいて、それでその管理体制の発動でもって悪い従業員には不利益や制裁がいくようにする。あるいは、更に、こういうのはどうかと思うのですが、きちんと社内管理規定をつくるように義務づけておいて、その管理規定に違反したら、極端な話、それに刑罰を科する、その管理規定を犯罪構成要件にしてしまうということは立法上可能なのか。余り本気で考えているわけではありませんけれども、理論的にそういうのはあり得るのかなということです。

【堀部座長】これは、中間報告の段階では既に個別法の一つに数えてもよかったのですが、中間報告では個別法として今後制定してはどうかということで、信用情報と医療情報と電気通信分野と3つ挙げました。あとは行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律はその一つの個別法の例として挙げました。
 昨年の通常国会で職業安定法の改正がありまして、これも前から個人的にはいろいろ議論してきましたが、立法的に解決しました。昨年の通常国会に出した改正案では、背景としますとILOが職業紹介に関する情報について保護措置を講ずるようにというILO第181 号条約がありまして、それに基づいて労働省としては職安法の改正をしました。その51条で秘密という概念と個人情報という概念を分けました。
 51条の第1項は「有料職業紹介事業者及びその代理人、使用人、その他の従業者は、正当な理由がなくその業務上、取り扱ったことについて知り得た人の秘密を漏らしてはならない。有料職業紹介事業者及びその代理人、使用人、その他の従業者でなくなった後においても同様とする」と規定し、第2項が「有料職業紹介事業者及びその代理人、使用人、その他の事業者は前項の秘密のほか」と、秘密という概念とは区別して「その業務に関して知り得た個人情報、その他命令で定めるものに関する情報をみだりに他人に知らせてはならない」としました。それでなくなった後においても同様とするという形で規定いたしました。
 51条第1項の方は、「正当な理由なく」という規定を入れました。これは刑法の134 条の医師などの場合と同じ趣旨の規定です。それから、第2項の方の「みだりに他人に知らせてはならない」というのは、個人情報保護法の12条にそういう規定の仕方がありまして、これには罰則は科していません。
 民間のさまざまな個人情報のうち、何が秘密で何がそれ以外の個人情報なのか、こういうことも議論になってくると思いますが、実際にこういった例がありましたので紹介しました。

【事務局】第2回会合の「我が国における現行制度の概要」としまして、参考資料として2の(2)の8ページに職業安定法の条文の抜粋を載せております。

【上谷委員】質問ですが、今の規定は例えば国家公務員とか地方公務員の守秘義務については一般的な公務員法に守秘義務がありますね。それから、先ほどの行政機関の情報保護法になっている。それとほぼ両者をパラレルにしたと理解してよろしゅうございますか。

【堀部座長】そういうことです。

【藤原委員】今、文献があるということは私も申し上げようと思ったのですけれども事務局から紹介がありましたので、私も少し感じていたのですが、それとの関係で、例えば公的分野ならば公務員法上の今おっしゃった守秘義務があって、かつ秘密の事務の取扱い要領とか、そういうものがあって、もし何かあると懲戒分限等がある。恐らく民間の場合もそれとのバランスを、さっき上谷先生がおっしゃったように考慮する必要があると思います。
 それと、管理のところなのですけれども、1つはこれは今後の話になると思うのですが、どこに置くかはともかく、技術的な話を一文置いておくのかどうかというのは一つの論点になる。要するに技術的にベストなものとか、あるいは最新のものに対応するのだとか、諸外国の立法にあるような技術でできるものは個人情報保護の問題でもかなり技術で解決できてしまうものがあるというところを少し置くのかどうかというような問題があると思います。
 それとこれは確認ですけれども、ここに書いてある情報の正確性というのは別に内容が正しいという意味ではなくて、取ってきたら取ってきたままともとれるのですけれども、そこはどちらなのかという話です。先ほど6か月ごとに一々というお話もありますので…。

【上谷委員】それは最新性の方ですね。

【藤原委員】あとは、4番目の当時の目的が終了した後は目的内ならば結局破棄しないかもしれないというお話なのですが、これもさっきの個人情報の範囲をどうとるかということと大いに関係してくるという、それだけお話をしておきたいと思います。

【園部委員長】守秘義務と秘密漏泄の関係は大体よくわかっていますが、問題は適用除外を受けたところが適用除外だからもちろんそれはきちんと自主規制をされるのでしょうけれども、適用除外を受けていろいろ個人情報をどんどん入手できるということが、仮にそういう制度ができた場合にそこをどのように管理していくか。そこでの秘密漏洩をどうするか。本来ならば守秘義務ぐらい設けてもいいぐらいのことなのですが、ただこれも非常に難しい問題で、適用除外のところでどういう形で個人情報が手に入り、いかなる形で管理されるのかということも少し目を向けておかなければいけないかなという感じがしますけれども、それはまた別の議論です。

【新美委員】ちょっと絡むかもしれませんが、第三者利用をさせたときに利用する側は管理の問題ですが、させた場合に何らかの責任なり何なりを用意しておく必要があるのではないでしょうか。一たん流してしまったら知りませんよというわけには情報の場合にはいかないだろう。だれにどう利用させるか、どのように監督するかというのは考えておいた方がいいのではないか。

【園部委員長】まだ議論は尽きないのですが、一応50分になりましたのでこの辺で今日の議論は止めさせていただきます。この1、2の両方についてまた次の議題に続行することは当然でございますが、更に次回はまた別の資料が出るので、それはそれでまた説明をしていただくことにします。
 それでは、以上をもちまして本日の会合は終了させていただきます。