個人情報保護法制化専門委員会

第10回個人情報保護法制化専門委員会議事要旨


1.日 時:平成12年4月7日(金)14時〜17時
 
2.場 所:総理府5階特別会議室
 
3.出席者:
園部逸夫委員長、小早川光郎委員長代理、上谷清委員、高芝利仁委員、高橋和之委員、遠山敦子委員、新美育文委員、西谷剛委員、藤原静雄委員、堀部政男個人情報保護検討部会座長
(事務局)
藤井昭夫内閣審議官、小川登美夫内閣審議官、松田学内閣審議官
 
4.議 題
(1)今後の進め方について
(2)個人情報の取扱いの在り方等について
(3)その他

5.審議経過

(1)今後の進め方について
 個別の制度設計に係るこれからの議論に際して、まず「個人情報の取扱いの在り方等」の検討から始め、「個人情報保護の必要性と法目的」については、実体部分に係る議論を一通り終えた後に、改めて検討することとした。また、「『プライバシー権』、『自己情報コントロール権』」、「保有主体等」、「対象情報」についても、別途詳しく議論する予定であるが、「個人情報の取扱いの在り方等」の議論においても必要に応じ、適宜触れていくこととした。

(2)個人情報の取扱いの在り方等について
 事務局より、資料1に従って、「T.収集・保有、目的外利用等」及び「U.管理」について説明がなされ、以下のとおり議論が行われた(→は関連意見及び質問等に対する回答。)。

○ 「合法的で公正な」という文言は国際的に確立された文言だと思うが、具体的にはどのような意味か。
→ OECDメモランダムによれば、「例えばテープ・レコーダーのような秘密なデータ登録機器の使用とかデータ主体を欺いて情報を提供させるとかを禁止したもの」である。例えば、イギリスでは、借金の回収が目的であるにも関わらず、ペンフレンド組織であると偽って、隣近所に住所を確認して回ったという事例が年次報告書に掲載されている。
→ そのような場合、違法な行為として処罰されることになっているのか。
→ データ保護登録官から指導がなされ、それに従ったようである。
→ この場合、「合法的」でなかったというよりは、「公正」でなかったということではないか。

○ 他にも「適法な」、「適切な」、「妥当な」等様々な書き方があるが、「合法的で公正な」とはどのようなものとして把握されているのか。
→ 社会通念として公正でない方法で収集してはいけない、といった意味ではないか。

○ 収集目的を相手方に具体的に告げて同意を得る、というのが第1原則ではないか。この例外としては、作成・加工情報(例えば、評価情報、収集情報を結合した情報)、付随情報(例えば、アンケートに付随した情報)が挙げられる。次に、第三者から収集してはならない、というのが第2原則ではないか。この例外としては、@本人の同意がある場合、A明らかに本人の利益になると思われる場合、B家族等の信頼関係に基づく場合、C評価・観察情報の場合が挙げられる。最後に、センシティブ情報は収集してはならない、というのが第3原則ではないか。その例外としては、明らかに本人の利益になると思われる場合であり、かつ、本人の同意があり、非公表とする場合が考えられる。

○ 議論の仕方として、原則として何を書くかを明らかにして、その後、例外を考えるというのが生産的ではないか。

○ 目的を特定することが重要ではないか。目的を届出させてチェックするのか、自主性に任せるのか。
→ 目的の特定のために、公私共通の何らかのシステムを設けてチェックするということか。
→ そういう方法もあるということである。

○ 評価・観察情報の場合は、その利用目的を具体的かつ明確に、そのファイルに書いておくという方法もあるのではないか。
→ 作成・加工情報については、当初の収集目的に作成・加工することが含まれていれば良いが、そうでなければ、目的外利用になるのではないか。
→ 作成・加工情報には二種類あり、一つは評価・観察情報であり、もう一つは収集情報を結合した情報である。評価・観察情報についても、ファイルの冒頭に利用目的を明記しておくべきではないか。
→ 作成・加工情報は、本人から収集し得る情報と、収集し得ない情報とで異なるのではないか。評価・観察情報は本人から収集し得ない情報であるが、収集情報を結合した情報は、本人が結合していないだけであって、個々の情報は本人から収集されるという点で異なっているのではないか。

○ 自分が他人からどう思われているか、といった評価情報は本人の情報なのか。
→ 医療情報や教育情報が典型的な例ではないか。
→ 医療関係者と話をすると、医療情報は誰のものかというと、患者のものでもあり、半分は医師のものでもあると言われる。また、開示請求権との関係では、どこまで開示するのかという問題があり、評価に関する部分は開示しないという扱いをすることもある。そういう意味では、やはり、加工したものも含めて個人情報という概念で捉えるというのが、諸外国の立法例でも示されているところではないか。
→ イギリスの1984年法では、オピニオンまで含むこととされていたが、1998年法では、インテンションまで含むこととされている。例えば、「彼は怠け者である」という評価はオピニオンに該当するが、「彼は怠け者だから解雇する」というのはインテンションに該当する。どの範囲を対象にするかはここで議論する必要があるのではないか。
→ 現行の個人情報保護法では、個人に関するデータファイルが対象とされており、ファイルになった段階では、本人から直接収集したのか、第三者から収集したのか、あるいは加工・修正したのかを問わず規律の対象とされている。

○ 配送業者に荷送人から渡される荷受人の情報は、第三者収集によるものだが、配達目的で利用される限り、収集制限に係らしめるべきではなく、これを蓄積して他の目的に利用するということであれば、目的外利用として規律することが可能ではないか。

○ 配達の際の宛名については、情報の「収集」には該当しないのではないか。
→ 民−民においては、そのような情報も「収集」に該当するのではないか。

○ 電子商取引等を念頭においた場合、そのような情報も含めて考えないと重要な部分が欠落してしまうことになり、基本法としてはまずいのではないか。

○ 宛名を聞く時に本人の同意が必要かと言えば、結論的には不要だということに異論は無いと思うが、これが「収集」に該当するとした上で、例外として整理するのか、「収集」には該当しないとするのかということではないか。
→ 中間報告においても、第三者からの収集制限については、「制限を要しないと考えられる様々なケースが想定される」としている。

○ 宅配便等の場合、実際にはデータベース化して、荷物がどこにあるかという情報まで把握している。本来、目的を達成すれば廃棄すべき情報であるが、目的外で利用されているのが実態ではないか。

○ 「蓄積」と言い換えれば、荷受人情報もやはり「蓄積」になるのではないか。

○ 荷受人情報は、配達が済めば廃棄すべきではないか。目的外利用は許されないのではないか。

○ 荷受人情報は「収集」された情報ではないということになれば、目的外利用という概念に入らないのではないか。

○ 銀行で口座を開設するために情報を提供する、あるいはデパートで一定の情報を提供して、こういう商品を送って欲しいという場合も、同様な議論の射程に入ってくるのか。

○ 将来の商業目的のために利用する場合は、利用目的を明確にして、情報を収集すべきであって、配達目的のための情報を利用するのは許されないのではないか。

○ 第三者から本人の同意無しに収集する場合と本人の明示又は黙示の同意がある場合とは区別して考えるべきではないか。

○ 宅配便で配達中の荷物の事故情報を収集するために、トレースして三枚綴りになっている場合等で、そのうち1枚を保存するような場合は微妙ではないか。

○ 配達業者が、この家は何時から何時まで在宅しているという情報等は、蓄積して利用しても目的外利用にはならないのではないか。

○ 業者としては、誰が何を買ったかは重要な情報であり、これを目的外利用として禁止するとなると業界はパニックになるのではないか。

○ 百貨店協会でもガイドラインを作成しているが、お中元やお歳暮をよく贈る人には、その都度リストを送ってくるという現状がある。これは、目的外利用になるのではないかと思うが、現に同意を取ってやっているところはないのではないか。
→ それは約款がどうなっているか、約款にどこまで要求することができるかという問題に収斂するのではないか。外国でもDMについて、本人の趣向を捉えて、集中的にその種のパンフレット送るという手法については議論があり、そうなると少し問題があるのではないか。

○ 荷受人情報も「収集」された情報に該当するのであれば、配達目的であることを明確にすべきであり、それ以外の目的で利用するのであれば、目的外利用として理解するべきではないか。

○ 「収集」という文言には、「収める」という能動的な行為のみではなく、「蓄積する」という意味も含まれているのではないか。

○ 「T.収集・保有、目的外利用等」の「1.趣旨・意義」について、国民の期待には二つあり、@自分のことが丸裸にされているのではないかという不安、A自分の利害に関わることが誤まった情報により判断されているのではないかという不安を取り除いてもらいたいということではないか。
→ 「丸裸」とは、具体的にはどういうことか。
→ これまでは、個別に集められた個人情報がそのまま利用されるだけであったが、それらの情報が結合されることにより、その個人の姿を捉えてしまうという意味である。

○ 業者としては、より木目細かいサービスを提供しようという意図でしかない。DMに対する不安を解消するために利用を制限しすぎると、一方に偏しすぎることになるのではないか。

○ 「金もうけはダメ」ということだと、日本の経済が落ち込んでしまうおそれがある。経済的な目的で個人情報を利用するということは、どのように評価されるのか。
→ 中間報告では、「保護と利用のバランス」と表現している。諸外国においては、国により、保護を強調する国と自由な流通を強調する国とがあり、OECD理事会勧告の表題も「プライバシー保護と国際流通についてのガイドライン」となっている。

○ 「保護」の意味が、「流通させない、囲ってしまう」という意味であれば、まだ言い足りない面がある。人格権的なものだけではなく、財産権的というか、処分し得るのは自分だというのも一つの価値なのではないか。
→ 国際的にみて保護を強調するドイツにおいてさえ、「グローバルプレイヤーとしての自国の地位を引き摺り下ろすようなことはしない」というのが、データ保護監察官事務局や立法当局の考え方である。
→ 国勢調査をきっかけとする個人情報保護の流れは、官−民の部分において、人格権を保護するという側面が強いが、民−民では、財産権的なものを保護するという面が強い。ただし、最近はインターネット等の普及により、その境界が微妙になってきているのではないか。

○ 「本人の権利利益の侵害のおそれの無い場合」とは、概念として明確なものであるか。
→ 「本人の権利利益にかなう場合」という言い方もある。
→ これはデフォルトをどこに置くかの問題である。「権利利益を侵害しない限り」とすれば、自由な流通に重きを置くことになり、個別に「保護に値する利益」があるかどうかを判断することになるが、結局は社会通念により定まるものではないか。いずれにしても、大きな議論になるところではないか。

○ 「本人の利益になる場合」という言い方であれば理解できるが、「本人の権利利益の侵害のおそれの無い場合」とすると、自分の情報をコントロールすること自体を権利として捉える立場からは、目的外利用それ自体が本人の権利利益を侵害していることになり、トートロジーになってしまう。「公益上必要な場合」という概念を持ち出すのかもしれない。

○ 「本人の権利利益の侵害のおそれの無い場合」とは、具体的にどのような場合を想定しているのか。
→ 諸外国の法制を参考に抽象化して書いたものであり、具体的な場合は想定していない。
→ 「優越する利益が認められる場合」といった比較衡量が可能な書き方もある。その場合、争訟になれば「優越する利益」があるか否か、社会通念で決めることになるのではないか。

○ 利用目的が仮に五つある場合、三つ目だけは応じられないというケースも考え得る。利用目的に対して、オール・オア・ナッシングではなく、こういったケースをどのようにパターン化するか、工夫する必要がある。

○ 民−民では、「目的」の解釈を明確にしておく必要がある。定款に書かれている法人の目的等であれば何も書いてないのに等しい。社会通念で定まる「目的」と当事者間で定まる「目的」の二本立てで理解する必要があるのではないか。
→ それは、本人から情報を収集する段階での「利用目的」の告知・同意についてということか。
→ 通常、医者の前に腕を差し出せば、注射することについて告知しなくても同意があるとみなして良い。メスで切開して処置をするという予測できないことをするのであれば、別途説明する必要がある。民−民では、一々告知して同意を得るということをやっていたら、機能しなくなるのではないか。

○ 利用目的に対して最小限であるべきとの原則は、どこで取り上げるのか。現実には、個人情報の収集はかなりラフに行われており、個人的な経験からも、余分に取られている感じがする。余分に取られた情報も転々流通すると危ない。
→ 資料1では、「利用目的に関連する範囲」と表現されている。ただ、必要な情報だけを選別して逐一書き写すというのは、この時代には適さないのではないか。
→ 運転免許証には本籍地が記載されており、これは通産省ガイドラインでもセンシティブデータとされている。例えば、レンタカーを借りるのに運転免許証の写しを取るのは理解できるが、レンタルビデオショップですべての写しを取るのはどうか。目的達成の範囲内で抑えるべきではないか。
→ 諸外国の法制では、必要最小限、回避可能性について一般条項に規定しているものと、個々の収集等に盛り込んでいるものの二通りある。
→ 「目的に照らして最小限」ということを考える場合、まず「最小限であるべき」という一般論があり、次に「目的の適切性」が判断され、最後に「方法の妥当性」が判断されるという段階に分けて考える必要があるのではないか。

○ 「利用目的」が適切であるか否か、どこが確認するのか。届出制を採るのか、本人に目的を告知すればいいのか。目的の変更をどう考えるのかという問題も含め、どこかの段階で目的が特定されないと目的外利用も議論できないのではないか。
→ 登録・届出制については、中間報告において、民間については「現実的ではない」としている。人口5,500万人ほどのイギリスでも、100人位のスタッフで、ほんの一部しかカバーできていないのが現状である。日本の実態からするとスタッフが何百人も必要になってしまう。情報主体が、自らチェックするというのが基本的な考え方ではないか。
→ イギリスでは、結局、国民全部がコントロールするという考え方になりつつある。登録・届出制については、対象とする法人の範囲やマニュアル情報を含めるかどうかにもよるが、実現可能性の点で、どの国でも同じ問題に悩まされている。

○ 「適切性」という文言は、訓示規定としては良く分かるが、明確とは言い難い。基本法のレベルでは、とりあえずやってみて苦情の段階で議論するという程度ではないか。
→ 如何なる業者が出現するかわからない状況で、基本法で実効有らしめるのは無理ではないか。実効性はむしろ、貸金業法等の個別法で、業所管の観点からの指導あるいは許可の取消し等の手法によるのが現実的ではないか。ただ、基本法において、あるべき姿を規定しておく必要はあるのではないか。
→ 民法上、そのような規定は意味を持つのか。
→ 個人の保護法益のための規定ということであれば、違法評価に大きな意味を持つのではないか。
→ 「損害を賠償する義務を負う」と書けば明確であるが、そうでなくても違法性の判断に大きな影響を与えるのではないか。

○ 民法上意味のある規定にするには、目的を明確にする必要があるのではないか。

○ 目的の外か中かは、社会通念により裁判所が判断することになる。そのバランスを取るときに、そのような規定があることが重要である。

○ 苦情処理システムについて、基本法に規定するかどうか重要な問題ではないか。

○ 企業グループではなく、企業間の業務提携の場合は目的外利用と考えるのか。その場合、同意の取直し又は通知を行うことになるのか。
→ 業務提携は、特に金融機関において広がりを見せており、(財)金融情報システムセンターが昨年改定した「金融機関等における個人データの保護のための取扱い指針」では、連結決算で縛りをかけている。
→ 米では、「オプト・アウト」といって、何らかの形で顧客に業務提携を知らせた上で、他社に情報提供されたくない顧客からの申出に応える、という手法が一般的である。
→ 目的外利用に関しては、最高裁及び地裁レベルで判例がいくつかあるが、個々の裁判官の心証により、判断が分かれているのが現状である。
→ 個別企業内であっても、医療情報を人事部門が持つことの是非が議論になっている。
→ OECDガイドライン等は、コンツェルンやコングロマリットといった企業形態を想定して作成されたものではないため、諸外国は、これまで「グループ企業における第三者」を文理解釈してきたが、新たな企業形態の登場に困惑しているのが現状である。

○ 目的外利用について、内と外が明確に区分できるものではなく、その中間に位置づけられるものもあるのではないか。目的外であっても、異議が無ければ認められる範囲もあるのではないか。
→ たしかにグレーゾーンはあると思うが、明確に目的外の利用に対しては、それなりの処理をする必要があるのではないか。

○ 「U.管理」の「1.趣旨・意義」は、どちらかと言えば、「情報主体の権利利益侵害の予防として保護措置を講ずべき旨」にあるのではないか。「保護措置」を通じて、漏えい等を防止するということではないか。
→ 漏えいした個人だけを捕まえておくのでは意味が無い。アルバイト等に個人情報を扱わせる事業者も出てくるので、管理責任者を置かせて、事業者にも責任を課す必要がある。業務委託等の場合も同様に、委託先のみならず、委託元にも責任を負わせる必要があるのではないか。ただし、刑事罰を課すかどうかは別途議論する必要がある。
→ 情報を漏らした個人は罰せられるのか。雇用関係において、クビにするというサンクションはあっても、情報漏示で罰するというのはどうか。漏らした環境を罰するというのはどうか。
→ 漏らした内容によるのではないか。漏らした情報がセンシティブな情報で、解雇される等の実害を与えたような場合は、漏らした個人が特定できれば刑罰も考えられる。個人が特定されない場合でも、一種の使用者責任を認める規定を置いて、企業に民事上の責任を負わせるべきではないか。

○ 正確性、最新性については、例えば6ヶ月毎にチェックしろというのは無理な話で、本人からの申出に応ずるというのが基本ではないか。

○ 目的終了後の個人情報の取扱いについては、終了したら廃棄するというのが基本ではないか。

○ 人の噂をするのは罪になるのか。およそ他人の個人情報を漏らしてはならないとすると、そういうことになる。保有主体で裾切りするとして、事業者で切るのか、規模で切るのか。
→ 昨年の通常国会で成立した改正職業安定法では、「秘密」と「個人情報」の概念を分けて規定している。
→ 国家公務員法等の守秘義務規定と現行の個人情報保護法の従事者の義務をパラレルに規定したものという理解で良いか。
→ そうである。

○ 事業者に社内管理体制を構築することを義務付けて、違反した従業員に不利益を課す方法、社内管理規程の作成を義務付けて、当該規程に違反した場合に刑罰を課すという方法は立法上可能なのか。

○ 「正確性」とは、内容が正しいということを保証するものではなく、取ってきたら取ってきたまま、という意味ではないか。

○ 「廃棄」については、その範囲をどう取るのか。

○ 技術的な保護措置に関する規定を置くかどうか検討する必要があるのではないか。

○ 守秘義務については、基本法の適用除外とされた分野をどうするか、収集・管理の実態を踏まえて検討する必要があるのではないか。

○ 利用した側の責任だけでなく、利用させた側の責任についても検討する必要があるのではないか。

ZZ(次回の予定) ZZ次回は、4月14日(金)14時から17時まで、総理府5階特別会議室で開催し、「個人情報の取扱いの在り方等」に関し、「安全保護措置等」、「個人情報保有主体における統轄責任者等」、「個人情報の取扱基準、情報項目等の通知・公開等」及び「本人の関与」について議論する予定。

*文責事務局

*本議事要旨の内容については、事後に変更の可能性があります。

資料
資料1:個人情報の取扱いの在り方等