個人情報保護法制化専門委員会

第11回個人情報保護法制化専門委員会議事録



1 日 時:平成12年4月14日(金)14時〜17時00分

2 場 所:総理府5階特別会議室

3 出席者:

園部逸夫委員長、上谷清委員、高橋和之委員、遠山敦子委員、新美育文委員、西谷剛委員、藤原静雄委員、堀部政男個人情報保護検討部会座長
※小早川光郎委員長代理、高芝利仁委員は欠席

(事務局)

藤井昭夫内閣審議官、小川登美夫内閣審議官、松田学内閣審議官

4 議 題
(1)個人情報の取扱いの在り方等についてA
(2)その他

5 審議経過

【園部委員長】それでは、時刻になりましたので、ただいまから、個人情報保護法制化専門委員会第11回会合を開催いたします。本日は、所用のため、小早川委員長代理、高芝委員が御欠席、上谷委員が遅れてお見えになるとのことです。
 本日は、前回に引き続きまして、個人情報の取扱いの在り方等を御議論いただきます。具体的には、検討項目 5(4)から(7)まで、すなわち「安全保護措置等」、「個人情報保有主体における統轄責任者等」、「個人情報の取扱い基準、情報項目等の通知・公開等」及び「本人の関与」の各項目について御議論をお願いをいたします。
 本日は、4つの項目を2つに分けまして、途中で休憩をはさんで御議論いただくことになります。
 まず、「安全措置等」、「個人情報保有主体における統轄責任者等」についてお願いいたします。事務局から資料の説明を願います。

【事務局】それでは、お手元の資料、本日は少し多うございまして、1から8までございます。これから始めさせていただきます御説明は、基本的に資料1と2で行わせていただきます。
 なお、3以降でございますが、資料3と4は、現在民間で動いていると思われますガイドライン、その他JISに関する資料で、これは参考資料でございます。
 それから5から8まででございますが、前回、御指摘いただきました外国法制に関するもので、特に重要と思われますOECDガイドライン、メモランダム、欧州評議会のヨーロッパ条約及びEU指令の英語の原文でございます。これを御参考までに御用意させていただきました。
 それでは、本日の前半のテーマでございます「安全保護措置」及び「統轄責任者等」について御説明をさせていただきたいと思います。恐縮でございますが、資料1と資料2を左側に置いていただきながら、御説明をさせていただきたいと思います。
 まず資料1の四角でございますが、安全保護措置及び統轄責任者等につきましては、3つの大きな括りに分けられようと思われます。
 「@ 保有主体は、個人情報の適切な管理を実現するために必要な技術的及び組織的措置を講ずるべき。」というものでございます。
 この場合の適切な管理は、保有者が収集した後の社内での取扱いとお考えいただければよろしいかと思います。
 次に「A 保有主体は、組織的措置を行うに当たっては、当該主体において個人情報を統轄的に管理する責務と権能を有するもの(以下「統轄責任者」という。)を定め、個人情報の保護に関し必要な業務を行わせるべき。」というものでございます。
 Aは、今申し上げました@の「組織的措置」から来るものとお考えいただければと思います。ここは特にドイツが行っておりますように、現場に近いところでの責任者をしっかり定めて、その者に保護に関し必要な業務を徹底させる、こういったものを我が国においても考えるべきかという論点でございます。
 「B 保有主体は、個人情報の処理を外部に委託するに当たっては、個人情報の適切な管理が確保されるよう配慮するべき。」というものでございます。
 これは冒頭申し上げました収集後の社内における取扱いの中で、前回も少し御議論いただきましたが、保有主体の中のみで処理するものではなく、実際にはかなり外部に委託をする。この場合の委託は少し広い概念でございますが、こういった取扱いをする場合の管理の在り方というものでございます。
 少し下に移っていただきまして「1.趣旨、意義」でございます。
 「保有主体における個人情報の不適切な管理やこれに伴う情報の漏えい、改ざん等は、情報主体の権利・利益を侵害する可能性が高いことから、その責任の所在を明確化するとともに、保有主体にこれらを防止するための技術的及び組織的な対応を求める。」
 2.に移りますが、今申し上げました技術的及び組織的な対応は、テクノロジーと人間系と思っていただければよろしいかと思うのですが、まず「技術的保護措置」、すなわち情報技術の観点で、かなりの程度まで安全を図れるものについてはまず図ってくださいというものでございます。
 2.の○でございますが、そうした場合に、「いかなるレベルの安全保護措置の整備を求めるのか。」というものでございます。例えば、ファイアーウォールの整備を行うとか、これはすなわち外からのアクセスをどのように制限をするのか。場合によっては、同じ会社の中の他の部署からのアクセスの制限ないしはパスワードの管理、場合によっては暗号化の推進といったような全て技術的な問題でございます。これを論点としましては、どのようなレベルの安全保護措置を求めていくのか。恐らく個人情報の利用目的や性質に対応するといった議論になろうかと思います。
 次の○でございますが、そうした技術的な対応とともに、今ヨーロッパの方で進んでおります取得情報を匿名化するという在り方でございますが、すなわち個人の名前が必ずしも必要ではないものについては徹底的に匿名化をしていくといった対応、これもある意味では技術的な措置の1つと考えられないだろうかというものでございます。
 次に「3.組織的保護措置」でございますが、今申し上げました2.のように、技術的にいかに優れたシステムを取り組んだとしても、それを取り扱う側の安全管理意識と責任の在り方をどのように考えていくのかという問題でございます。これはそもそも個人情報を他の情報と区別して取扱うべきといった認識はまずあるのかどうか。それに十分な注意を払うということを、恐らくこの法律をつくっていく過程の中で求めていくことになろうかと思いますが、最初の○、今申し上げましたことですが、その下にあります、「・個人情報取扱部署の特定」、そもそもそういった個人情報を誰がその会社の中では取扱っているのか、もう少し言いますと、誰に取扱うことを認めるのか、そうしますと、次のステップとしまして「・管理体制」、すなわち「ファイリングシステム」、この言葉が適当かどうかわかりませんが、要は管理できる状態になっているかどうか、少なくとも保護を徹底するのであれば、管理できる体制をつくってくださいというものでございます。
 その次の○でございますが、そうしたシステムができた場合には、「個人情報ファイル等についての運用管理規定」ができた後、それをどのように運用管理するのかといった対応の在り方を考えるべきではないかというものでございます。
 1枚めくっていただきまして、この組織的保護措置等の流れの中で、四角の中のAにありましたように、「4.統轄責任者」を置くことはどうだろうかというものでございます。先ほど少し触れましたドイツ方式、現場により近いところで効果的な管理をするといった場合に、我が国でこういった制度を考えるに当たってはどういった論点があるかということでございます。
 4.の○でございますが、「個人情報を取扱う上での管理者の責任をどのように考えるか。」、すなわち漏えい等が発生しました場合に誰が一体責任を負うのかという問題。例えば我が国の法律の中では、法律でこういった責任者を置けといっているものの例としまして、消防とか防災関係、原子力といった、極めてリスクが高いと言われているものにおいて安全管理者を置きなさいというものがございます。少し性質が異なるものとしまして、雇用労働関係で、建設労働者の場合について、事業者は雇用管理責任者を置けといったような規定がございますが、これに似たようなものとして位置づけるべきかどうか。これは専従であるべきかどうか、ないしは先ほど2.で申しました技術的な専門性を持っている人であるべきかどうか、いろいろな論点があろうかと思いますが、これをどのように考えるか。
 その次の○でございますが、そうした人をどのような「権能」を与えて、その任務を遂行させるのかということでございます。すなわち下に3つの・がありますが、まず、名前だけではなくて、やはり「従業員に対する個人情報保護に関する教育訓練、周知」を行うこと、「内部規程(個人情報取扱い指針等)の整備」、「安全対策の実施」をイニシアチブをとってやっていくような人として位置づけられなければ、恐らく名前だけで済んでしまうのではないか。場合によっては「等」の中身でございますけれども、苦情その他がある場合の相手方となるのかどうかという問題でございます。
 この場合、権能というのは、法律で与えられるべきものなのか、場合によっては資格化をしていくようなものなのかどうかといったところが恐らく御議論いただくべきところかと思っております。
 最後5.でございますが、中での取扱いの1つとしまして、「外部委託に当たって配慮すべき事項は何か。」ということでございますが、これは今現在の情報処理の実態に鑑みますと、やはり収集した者が社内だけで完全に取扱いを終わっているよりは、データ処理、その他につきましては、委託契約、実際には請負契約が非常に多うございます。会社によっては、コンピュータ処理をする場合、コンピュータに付属して人材派遣契約に基づいて専門家がやっているのが非常に多い実態でございますが、この場合、情報の漏えい、不適切な取扱いの責任を誰に求めていくのか、法律上誰の責任になるかというものでございます。恐らく使用者責任といった論点から御議論をいただくのかと思われますが、そのときの契約の在り方、その他、非常に大きな問題が出てまいります。
 ちなみに先ほど御参考までにと申し上げましたガイドライン、実際に動いておりますJISの規定等におきましては、委託を行う場合には十分な安全保護水準を満たしているような相手を選定しなさいというようなことが書いてあるわけですが、法律でこれを求めるとしたら、そのときの水準の在り方をどのように考えるのかという場合でございます。これは当然でございますが、下請先で漏えいしたような場合に誰が責任をとるのかといった問題でございます。
 とりあえず、最初の2つにつきましての御説明は以上でございます。

【園部委員長】ありがとうございました。はい、どうぞ。

【藤井室長】統轄責任者の言葉の問題なのですが、教えていただきたいのですけれども、各国の法律を見てみますと、義務などの主語が管理者というような書き方とか、あるいはドイツ語の場合は保護受託者といった書き方になっているのですが、我が国の法制であれば、通例は国の行政機関の個人情報保護の場合は行政機関の長、法人などの場合は法人がいろいろな義務の主体になるのですね。その辺、統轄責任者というのは多分両面あるのだろうと思うのですが、主語としての誰かという話と、今、事務局からありましたように、いわば現場でどちらかというと、いろいろな技術的な義務を負わせるものをどうするのか、その辺の2つの論点があって、我が国の法律の場合、主語をどうするのかも気にしているということを申し上げておきたいと思います。

【堀部座長】今、藤井室長が言われたことに適切にお答えできるかどうかはっきりしませんが、1988年の行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律のときは、行政機関の長、各省庁の大臣にしたのは、OECDの勧告の“data controller”に基づいています。この資料にありますか。

【事務局】はい。

【堀部座長】まず、“data controller ”の定義がかなり重要な意味を持っているのではないか。英文ので言いますと、今日の資料5の3ページのところに Definitionsというのがありまして、そこの1.でFor the purposes of these Guidelinesで、(a)で“data controller ”というのがありまして、これはどう訳すのか、controller、そのまま「管理者」ですけれども、何となく管理者というのは、日本の概念では火元責任者のような、そのくらいの感じかなというような議論もしたことあるのですけど、これのOECDの訳はどこでしたか、今日の資料にはそこは入ってないですね。

【事務局】 はい。

【堀部座長】 このファイルの中で言うと。

【事務局】 第2回の資料です。

【堀部座長】第2回の資料1(2)の1ページ、訳を見ていただいた方がいいかと思いますけれども、(a)で、「『データ管理者』とは、国内法によって、個人データの内容及び利用に関して決定権限を有する者を意味し、そのようなデータが、管理者又はその代理人によって、収集、貯蔵、処理、もしくは流布されるかどうかは問わない。」
 「国内法によって、個人データの内容及び利用に関して決定権限を有する者」というと、ハイレベルあるいはハイエストレベルのものではないかということで、国の行政機関で行政機関の長がそれに当たるのではないか、民間でも民間企業の代表者がこれに当たるのではないだろうかといった議論をしまして、かなり地位の高い者にきちんと責任を負っていただく、こういうとらえ方をしました。
 data controller が、先ほどのOECDのガイドラインの英文で言いますと、資料5の5ページの一番下の、尿ccountability Principle・で使われています。この“Accountability Principle”でこうなっています。 鄭 data controller should be accountable for complying with measures which give effect to the principles stated above.・ということで、ここにdata controller というのが出てきます。そうするとこの原則に従う責任を負わなけれはならないということで全体の責任、あるいは今日のを伺って「統轄責任者」というのはそういうところから出てきたのではないかと思いました。
 もう一つ、地方公共団体などで議論している際に管理者をどう位置づけるのか。それぞれのセクションにデータ管理責任者みたいなものを置いて、それで対応してもらうというようなことも必要ではないかという意味で、「データ管理者」という言葉を使ってみたり、また、民間事業者でも、そういう形でデータ管理者をきちんと置いてほしいというようなことを言ってきています。
 話が先にいってしまうかもしれませんが、そのためにはデータ管理、個人情報保護がどあるべきなのかということをきちんと知ってもらう必要があるというので、通産省の場合ですと、関係団体、事業者団体、89年の段階で12の団体でしたが、97年では14団体に対して、こういうことでやってほしい、また、後で説明したいと思いますJISでも、コンプライアンス・プログラムを具体化していくのですが、そこで例えばクレジット産業協会という社団法人では個人情報取扱主任者制度というのを設けまして、研修や一種の通信教育みたいなテキストがあって、それで勉強してもらい認定をする、そういう人たちを必ず個人情報を取扱うところについては置くようにという形で対応するということで、全体として責任者を置く必要性は非常に大きいと考えています。
 OECDのこの決定権限を有するというのが、当初の段階でかなり重く受け止めまして、一番上の責任者を決めて、また、その下もいろいろな形で決めていこう、そういうことになったところです。

【藤原委員】よろしいですか。

【園部委員長】どうぞ。

【藤原委員】先ほどの藤井室長の御質問ですけれども、今、OECDについては堀部座長から詳細な御説明あったのですけれども、現在の、例えばEU指令に書いてあることで、行政官庁理論と組織法、行政組織との関係で少し申し上げます。第2回目の資料の1(5)にEU指令の翻訳がございますけれども、そこに条文がございまして、第二条の(d)という項目に「管理者とは」という定義がしてありまして、ここは「単独で又は他と共同して、個人データの処理の目的及び手段を決定する自然人、法人、公的機関」ということでありまして、恐らくこれは諸外国の訳を見ていても、公的部門については、行政官庁理論で言えば、対外的に行政庁としての意思表示ができるもので、我が国流に言うと、機関の長ということになるのだろうと思います。ほかの法律もそのような書き方してあるみたいです。
 それに対して、同じく「管理者」という訳を当てたとしても、資料1(5)の5ページに十八条、前から申し上げているドイツ方式かフランス方式かということに関係するのですけれども、5ページの一番下の段の左から2つ目のダッシュのところをごらんいただきますと、これは今申し上げた管理者ですけれども、「管理者を規律する国内法に従って、特に次に掲げる事項に関して責任を有する個人データ保護担当役員を任命した場合。」とあります。この「個人データ保護担当役員」という書き方が、これが恐らく企業内におりますデータ保護の「管理者」と訳されていたり、あるいはこれに第三者性を公的機関が付する場合には、これを「監察官」と訳してみたり、ベアウフトラクターという感じでオンブズマン的にやる、その2つで分けているようです。

【園部委員長】どうもありがとうございました。
 それでは、御意見をお願いをいたしますが、その前にいろいろ新聞等で本委員会に対する注文や批判が出てまいりました。個別的にこれに対応することはないのですが、ただ本委員会の理解、個人情報保護法の制定に関する理解を明らかにする意味で発言をしていただくことは少しも構わないと思います。

【藤原委員】私は一応外国のことについていろいろ発言をしたり、御報告させていただいておりますので、この委員会の立っている事実認識そのものが、全く違うと言われると非常に困ると思いますので、ここの記事そのものについて、他の専門委員の先生方に申し上げておきたいと思います。ここには「先進国」と書いてあって、残念なことに、どこの国ということが具体的に書いてございません。どこと書いていただければ、ここはこうなっていると反論できるのですけれども、とにかく「先進国」と書いてあるので、恐らく経済大国であったり、G7、G8に出てきたり、あるいは個人情報保護の先進国であれば、大陸諸国の厳しいと書いてあれば、ドイツ、フランス、イギリス等の国を想定しておられるのだろうと推測するのですがそれができません。ここに書いてあるとおりだとすれば、これは先ほどもお話しあったところですが、1番目に「情報公開制度と一体的なことで考える」。2番目に「政府による不当な情報の独占と悪用したプライバシー侵害など市民的自由への介入・干渉の排除を主眼とする」、つまりこれは公的部門における権力の乱用というようなことをおっしゃりたいと思うのです。3番目は「自己情報コントロール権が認められる」。
 その後は、権利の内容のことを書いてあるのですが、この3つのことについて、「先進国ではどこでも」と書いてあるのですが、私の知る限り、先ほどもお話がありましたように、まず第1に、情報公開制度と一体でとらえている国はないと思います。
 2番目に、政府部門の乱用ということをおっしゃっておられるのですけれども、確かに第一世代、1970年代にこの問題が起こってきた当初はそういう考え方で出発いたしましたが、今日の先進諸国では民間部門が問題であるということが議論になっているわけです。たしか新聞等のメディアも、住基台帳法のときに、民間部門の個人情報保護法を何とかしろという御主張をされていたのではないかと記憶しております。諸外国と言われても、諸外国は今民間に問題意識がいっているということです。
 3番目、情報コントロール権といいましても、言葉そのものであるとすると、例えばイギリスはプライバシーをコモンロー法上、認めてないから、今度の1998年法でもEU指令をいち早く転換したのですけれども、目的規定には何も書いてございません。逆にドイツは判例で認めておりますが、それを法文化するかどうかについてはまた議論がある。フランスは今度プライバシーをひょっとすると正面から入れるかもしれないというように各国違いますので、共通でもございません。
 それから、このコントロール権として認められているような開示や訂正のような問題を、今後は民民の間に、このインターネット社会でどうしましょうかというのが、これこそ各国の共通した問題意識ではないか。もちろん、それは国際取引の発展やそれを通じてのプライバシー保護レベルの向上ということですが、「先進国」と書いてあるのがどこかわからないのですが、どこでもということで、@、A、Bと書いてあるけれども、外国法の認識としては、これは必ずしも正確ではないのではないかということだけを一言申し上げておきたいと思います。

【園部委員長】それでは、今日の項目について御意見をお願いいたします。前回は議論を必ずしも十分に行われておりません。センシティブ情報等についても御意見あると思いますが、これはどこの段階で御意見いただくかは別としまして、前回の議題についても適宜御発言いただいて結構でございます。 それでは、どうぞ、どなたからでも御自由にお願いをいたします。

【藤原委員】藤原でございます。時間を大切にするために口火を切らせていただきます。先ほどの藤井室長の質問とも関係するのですけれども、恐らく「統轄」と言ったときに、組織の長というイメージと行政の長というイメージと統轄するもの、何を統轄するのかということとの関係で両方出てくるのだろうと思うのですが、それはさて置きまして、第1回目は落ちている項目がないかということの検討であったかと思いますので、その意味では、このメモはよくできていて、これで私は結構だと思います。
 それで、なお、言わせていただきますと、統轄責任者と言ったときに、我が国の実態を見ながら議論する必要があるのではないかという感じがいたします。と申しますのは、こはドイツ的で、多分現場に近い処理で、御紹介のとおりなのですけれども、ドイツの場合は、例えば民間部門は非常に雇用は解雇が制限されているぐらい強い。一度働き始めたらなかなか不利益を受けないということで、かつ監査役会やその組織のトップに直属するような地位にデータ保護の管理者がある。公的部門でも独立した第三者、我が国で言うならばオンブズマンに近いようなものが公的にもある。
 ということですから、責務と権能ということになりますと、専従にするのかということも問題になりますが、どの程度の地位の人になるか、逆にどの程度の地位を与えるのかによってかなり名目的なものになるのかどうかということが出てくると思います。
 それと同時に、例えば民間の場合ですと公的部門なら全て一発でいくと思うのですけれども、民間はどの程度の規模の企業にまでこれを要求するかによって、また違うのかなという感じがします。
 外国ですと、例えばダイムラー・ベンツのように、我が社はプライバシーを守っておりますというのを売り物にしている会社の場合は非常に強くて独立した人を置いているのですけれども、中小企業になりますと、やはり半分ぐらいは会社の仕事をしていて、半分ぐらいはデータ保護管理者等の仕事をする。更に会社によっては外部委託で、専門家の方々、弁護士、研修を受けて認定された人たちに委託するといった方式もあるようです。
 更に言えば、先ほど事務局から御説明があった、どんな人がなっているかというと、これは恐らく我が国もそうでしょうけれども、技術がわかっている方でないと多分だめなのだろうと。外国の場合ですと、ソフトの開発等を長くやっておられて、ある程度の年代になってバランスよく他の部門でも通用するという方をデータ保護管理者にしていきまして、その下に技術の専門家、あるいは必要ならば法律家を置く。私、外国のことを調べたこのあるのですが、必ずしも我が国のイメージのように、法律に詳しい人がトップではなくて技術に詳しい人がトップだという特徴があったことを御報告申し上げておきます。

【園部委員長】新美委員どうぞ。

【新美委員】藤原委員と関連しますけれども、統轄責任者というのは、法的な権限か技術の権限かということに関連しますが、基本的にはEUの指令やいろいろなものを読んだり、様々な文献読んでみますと、データのコントローラーというのはリスクマネージメントの発想の中におけるマネージャーという意識がベースにあるように思うわけです。要するに当該情報ないしは、リスクマネージメントですとリスクですけれども、そのリスクを最もよくコントロールしうるものということで、単に組織の長、そういったシステム上のものとしては余り意識されていないのではないかと思います。
 先ほど堀部先生がおっしゃられたように、そういうことを意識しながら、とりあえずは組織の長に置いておいて、その組織の長の任命の下で個別の管理者を置くことにしたらどうか、どうも二段階あるように思うわけです。
 そうしますと、我が国でいろいろな対応の組織、事業者がいるわけですので、どのレベルのものを管理責任者に置くべきかというのは、余り法律で正面から規定できないのではないかという気もします。

【高橋委員】質問よろしいですか。

【園部委員長】どうぞ、高橋委員。

【高橋委員】ドイツでは管理者を中心に考えているということだったのですが、その場合、ドイツでは責任といいますか、責任の最終的なサンクションみたいなものはどうなっているのですか。

【園部委員長】どうぞ、藤原委員。

【藤原委員】最終的な責任は法人の方の責任でしょうか、それとも管理者がどんな責任をとらされるかということですか。

【高橋委員】いろいろな権限を与えて、こういうことをやりなさいという責任を負わせるけれども、もし間違いが起こった場合にきちんと責任をとらせるようなシステムになっている場合と、そうではない、理念的な訓示的なものである場合では、誰に責任を負わせるかということを考える場合、随分違いが出てくるのではないかという気がしたものですから。

【藤原委員】ドイツですと監督官庁、つまり民間部門のそれぞれの監督官庁ありますけれども、この場合、ドイツですと、データ保護に関しては各省の内務省なのですが、管理者が誠実に職務をきちんと執行していないというときになると、担保として、この管理者を代えろとか管理者をやめさせろということを法人のトップに勧告することが役所ができます。

【高橋委員】そうすると問題としては基本法でそこら辺まで書いた方がいいということなのか、基本法の性格として、そこら辺はいかがなのですか。堀部座長に伺った方がいいのかもしれませんけれども。

【園部委員長】その点はどうですか、堀部座長。

【堀部座長】基本法でどこまで規定するかということにかかわってくるので、どの程度詳細に申し上げられるかわかりませんが、1回目の資料に中間報告ありますが、そこの8ページに「管理責任及び責任者の明確化」という形で、これは先ほど言いましたOECDの8原則のうちの「責任の原則」に対応するものであるということで、「個人情報保護の実効を上げるためには、個人情報を保有する事業者が基本原則を遵守していくことが必要である。このため、個人情報の取扱いに係る管理責任者を明確にするとともに、管理責任者が基本原則を遵守すべき責任を負うことを明確にしようとするものである。」、この程度のことにとどめてあります。
 ですから、そう詳しくは規定できないのではないかと思います。

【高橋委員】基本のレベルで、管理責任者はこういうことに責任を持つべきだ、そこら辺まで書くだけだったら、新美委員が言われたように、それほど、どのレベルでということまで意識する必要ないのかもしれないし、場合によって、ドイツ的に行政の方から、うまくいってない場合は勧告ができるような形にする。更にはひょっとしたら勧告をきちんと聞かない場合は法的な責任もとりうるようなシステムをつくるということであれば、管理者はある程度どのレベルのものを考えているかというのが出るような形で基本法で書くことになるのではないかと思うのですけれども、そこら辺どうしたらいいのか。

【堀部座長】恐らくほかの規定とのバランスもあると思うのです。ほかをどの程度詳しく書くかによって、今日の安全保護措置、統轄責任者等について、法律の規定として入れるかということになるかと思います。先ほど事務局が言われた技術的な側面も含めて安全保護措置ということで規定していくかどうかということも出てくるかと思います。
 現行の個人情報保護法では第5条は、逐条解説の82ページのところですが、第1項で「行政機関が、個人情報の電子計算機処理又はせん孔業務その他の情報の入力のための準備作業若しくは磁気テープ等の保管を行うに当たっては、当該行政機関の長は、個人情報の漏えい、滅失・き損の防止その他の個人情報の適切な管理のために必要な措置を講ずるよう努めなければならない」と規定し、第2項ではこの前出ていたデータ内容原則といいましょうか、特に正確性のことを規定していますので、こうしたやり方もあるとは思います。

【藤原委員】先ほどの高橋先生の御質問ですけれども、最終的な責任という意味との関係ですと、先ほどのようなデータ保護管理者を任命して、解任しろというような権限は置かれているのですけれども、ただ、実際に発動されているかどうかという実態論にいきますと、ある意味で言えば、我が国流に言う伝家の宝刀みたいなもので、数字は今すぐに言えないのですが、ほとんど発動されていない。
 それはどうしてかといいますと、そこまでいくようなことをもしデータ保護管理者がやっていると、民事の損害賠償で、会社がかなり困るような事態になるから、そういう人は余り置かないというのがどうも実態のようです。

【園部委員長】こちらの情報公開法では「行政機関の長」というのは、行政機関の場合は必ずそう言うのです。だから今度のこの法律でいうところの責任者はどうも行政機関の長というような考え方だけではとても賄い切れないものがあって、まず法人や団体の責任を考えるでしょう。また、法人や団体の責任を具体的に言うと、これも日本的に言うと代表者ということになるのだけれども、実際問題として、そういう責任のとり方は余り実効性がなくて、といって組織の中の実際にデータ管理に当たる人たちをきちんと基本法で決めるわけにもなかなかいかない。しかし、なるべくなら、実際の業にあたる人に専門家を置いて、もし、そこで何かずさんなことがあればその人の責任に負わせる。みんなで、組織でそういう人をかばってしまうということが、どうも日本的なこれまでの在り方ですから、そういう点は非常に厳しいかもしれないけれども、個々の責任者の責任をどういう形で問いうるのかということもここでの検討課題にはなると思います。基本法にそういうことまで規定できるかどうかは別としまして、そういうことを前提にして議論しておいた方がいいのではないかという感じがいたします。
 どうぞ、西谷委員。

【西谷委員】今のことと関係します。私の考えでは、対外的な責任は保有主体と使っても何でもいいのですが、トータルないわゆる代表者、しかし対内的な組織の中の責任というもう一つのグループがあって、本件は恐らくその対内責任を明確化することによって対外責任を全うする、こういう構造になっていると酌むべきものではないかと思うのです。この「統轄責任者」と言っているのは、対内的な責任の、もちろん個々の課にまた個別責任者がいる。それを統轄する役所で言えば、官房みたいなところに統轄責任者がいて、その上に大臣がいるということで、対外的責任は全部大臣が負うのだけれども、中の責任はそのようなピラミッドで処理していく、こういうように使い分ければどうかなと思うのですね。確かに中の組織自体が対外的責任を持つ場合も行政法の中にはないではなく、建築主事なんていうのは組織の一員でありながら、直接外に対して権限持ったり、恩給局長などもそうですけれども、それは本件ではとらずに、やはり代表者を対外的責任とするということでいいのではないかと思います。
 そして、一歩進んで、では内部的責任者の責任の範囲ということですけれども、これは私の感じでは、そのトップが決めるところによるという言い方なのではないかと思うのです。これを一律に何か書こうとすることが頭に浮かんでくるものがなくて、結局情報の種類、組織の種類、規模等によって極めて可変的であるから、個別責任者及び統轄責任者の責任範囲は保有主体、つまり代表者の定めるところによるというような形に持っていくのが実情に合いはしないかという感じがしています。
 責任者の点についてはそういうことですけれども、ほかの発言もいいですか。

【園部委員長】どうぞ。

【西谷委員】「組織的保護措置」の中の話に整理できると思いますが、ファイルすることについてどう考えるべきかというのがあるのですが、収集した情報は個別にばらばらに来る。それを多くの場合はファイルされるのですが、ファイルすべしというようなことを積極的に管理の一環として言うべきなのか。また、言ったときは、元の情報は捨てろというように一歩進むのか、その辺が素人なのですが、どんなものなのか。管理という面から見るとファイルすることが非常にやりやすい面もあるのですが、しかし、オール・オア・ナッシングのようなところがあって、うっかりファイルしてしまうと、漏れたようなときは非常に重大なことになってしまうというやや二律背反的なことがありますから、ファイル原則をとってよいのかどうか、私自身ははっきりしないところです。

【新美委員】まさに私もそうなのですけれども、ただ、ファイリングシステムをどう考えるのかによると思うのです。ですから集中管理しなくて分散ファイルという考え方もあります。集めた個人情報を利用するためには必ず検索できなければいけませんので、検索できるようなシステムであれば、それはファイリングシステムとして考えていいのではないかと思うのです。それをどこにあるかわからないような状況ではかえって漏えいの危険が高まるし、管理できないことになると思うのですね。
 今、西谷委員のお考えですと、どちらかというと一元管理みたいなことが頭にあるように思うのですが、そこまで強くとらえなくてもいいのではないかという気がします。

【藤原委員】今、お二人の先生から出たのは重要な点だと私も思うのですけれども、ファンリングの定義と概念によるという、新美先生のおっしゃるとおりだと思うのですが、ある程度そこがしっかりしていないと、西谷先生おっしゃったように、入れてしまうか入れてしまわないかという問題は、同時に各請求権等をつけたときに権利救済してくれと言われても、あるいは自分の情報がどこにあるかと言われても、どこにあるかわからないものは探しようがない。ある程度管理されているものの中から探すことにならざるを得ないと思いますので、そちらとも関連してきますので、分散にせよ集中にせよ、ある程度ファイリングという概念、あるいはファイリングという概念をどの程度きついものとしてとらえるかにもよると思うのですけれども、検索可能なものであると、それがカードであれ電算処理であれ、とにかく検索可能になっていれば、何とかコントロール可能であり、かつ、それには権利付与をして、どの程度の権利付与になるかはともかく、権利救済と結びつけられるという感じになるのではないかと思っております。

【園部委員長】高橋委員。

【高橋委員】個人情報をどう使っているか、私はいろいろな使い方があるだろうという気がするのですけれども、実態がわからないので非常に単純な疑問を持つのですが、検索可能な場合は、確かに開示請求しても検索して、はい、あなたのはこれですよ、と言えるのだけれども、個人情報を使う場合に、特に検索可能なような形で管理する必要もない場合があるのではないかという気がするのです。そういうような場合に、管理体制の確立という要請は、それでも検索可能な形で、管理しなさいよということまで言うのか、そうではなくて、それは権利との関連の問題になるかと思いますが、たまたま検索可能な形で管理していたら、それは開示請求に応じなければいけないという理解でいくのか、そこら辺はどうなのでしょうか。

【新美委員】検索可能であるというのは、個人情報を集積して利用しようという意図があるわけで、収集して、それ以外は検索しないのというのだったら、その後は必要ないわけですので、むしろそれはその時点で廃棄しなさいと、それが管理体制だと考えればよろしいのでしょうか。ですから使いもしないけど、とにかくとっておきましょうというのを認めるかどうかという問題になるかと思います。

【高橋委員】そこら辺がわからなくて、いろいろな情報を集めた中に、個人情報がある場合も、個人が識別はできるというので個人情報というのか、それとも個人情報とは、検索可能な形で集めたのを個人情報というのか。もし後者ならば、確かに新美委員の言われたようなことになると思うのですけれども、何となく私の頭の中では、個人情報は入っているのだけれども、特に検索する必要はない。どこに誰の個人情報が入っているかということは重要ではないというような情報があるのかなという気がしていたのです。

【藤原委員】よろしいでしょうか。

【園部委員長】藤原委員。

【藤原委員】今、高橋委員が言われたようなものは多くあると思います。ただ、逆にそれを把握することが現実的にできるかどうかというと、これはできないのではないかと思うのです。個々ばらばらにあるものをたまたま使えるぞということで使ってしまったと。もちろん何か違法に使われて、後で結果として出てきて、その行為者としてコントロールするという意味でなら、たまたまわかることはあるかもしれませんが、先ほど新美先生言われたように、使うのだという意思を持って、ある程度整理したり分類したりしているのならともかく、そうでなくてばらばらになっているものをたまたま見つけて使う場合は、逆にそこまで実態としてコントロールできるかという問題と、先ほど先生おっしゃった、管理を強制的にさせるという方向のファイリングシステムをつくるのか。それともそこのところは実際かなり難しい。あるいはコストとの関係でも、どの程度のところにやらせるかということにもよるのだと思います。
 どの程度というのは、まだ一度も議論していないのですけれども、例示としてかなりセンシティブなデータがあると思います。センシティブなデータとは何かについてコンセンサス得られるかどうかはともかくとして、誰が見てもかなりきちんと管理してもらわなければ困るようなものがもしあれば、それは相当ファイリングなり何なりきちんと整理してくださいということになるでしょうし、そうでなければ、どこまで今度はコストをかけさせるかという問題につながるような気がいたします。

【堀部座長】高橋委員の質問に関連して、個人情報としてこの法律で保護の対象とするものをどの範囲にするかということで表現も変わってくるかと思うのですが、中間報告では、そこのところが大分議論になりまして、中間報告の5ページから6ページにかけて、まず5ページの中ほどの2として「保護すべき個人情報の範囲」ということで、「個人情報システムを構築していく場合、個人情報の定義及び保護すべき個人情報の範囲を明確にしておくことが必要となる」とまとめました。保護すべき範囲として大きくここは3つの骨子を示しました。
 それは、簡単に言えば、電子計算機処理によるものが第1。第2がファイリングシステムによるもので検索可能なもの。第3に、全てのものを含む、紙1枚1枚に書いてあるものなども含めて、その3つに分けました。
 具体的に申し上げた方がよろしいかと思いますが、経済団体の方などは、むしろ自分の企業の具体例などを引かれて、それぞれの担当者が個人情報を集めている、それが企業の1つのファイルといいますか、コンピュータならコンピュータに入って、あるいは手作業でも1つの体系化されたものとして蓄積されている状態でないと、自分の情報を見たいと言ってきても、どこにあるのかということ自体がわからない、だからファイリングシステムで検索可能な範囲にすべきだという意見でした。
 それに対して消費者団体の方の中にはむしろ全ての情報を、具体的には紙1枚1枚に書かれているものなども全て対象にすべきだ、こういうことで、ここは随分議論があって、結局ここのところでは、5ページから始まった2のところですから、6ページの3のすぐ上のところ、「保護すべき個人情報の範囲に関しては、マニュアル情報についても対象として検討すべきであるが一定の限定は必要であると考えることが適当である。」ということで、今一定の限定が必要ではないかとここではまとめておきました。
 今日の安全保護措置、それを保護する責任という観点から、どういうものであればということになってくるかと思います。
 具体的な例とすると、国の行政機関の場合には電子計算機処理によるもので、ここでは「個人情報ファイル」という言い方をしていますが、その具体例は、これは藤井室長が、前に総務庁の資料で説明されたときの、第4回のファイル、資料3、個人情報保護専門委員会ヒアリング資料にあります。その資料3の参考資料が後半部分に付いてまして、そこの4ページに「個人情報ファイルの例」ということで、ここで具体的に「恩給等受給者データベース」というファイル名がありまして、これは官報で毎年公示するのですね。

【藤井室長】はい。

【堀部座長】ファイルの名称は「恩給等受給者データベース」、ここにありますように、保有機関の名称は総務庁。個人情報ファイルは使用に供される事務をつかさどる組織の名称、そこにあって、それから、ファイル保有目的は何か。ファイル記録項目はここにあるように53項目となっています。あといろいろありますけれども、こういう形でファイルができている。行政機関個人情報保護法の場合には、電子計算機処理によるものですので、その限定はありますが、こういうものであるということが毎年官報で出ています。

【高橋委員】保護の対象となる個人情報を考える場合に管理者の責任の対象と本人の請求の対象は同じに考えていいということですか。私は違うかなと思っていたものですから。

【堀部座長】同じにしないと、統轄責任者又は統轄責任者によって権限を与えられた者が実際に対応する場合にもどこまでかというのがわからないと思うのです。そういうことで、同じになるのではないかと思います。

【高橋委員】わかりました。

【新美委員】話題を変えてしまいますが、私は先ほど委員長がおっしゃられたように、途中で中座しますので、今いただいた資料の中で3点ほど申し上げておきたいと思います。第1点は、技術的保護措置と組織的保護措置両者に跨がる問題ですが、これは製品安全やPL法などで言われてきたことですが、リスクを回避するためには技術でまず対応しろと。マニュアルといいますか、人の力で対応するのはその後だということが教訓として得られていますので、ここでも可能な限り、技術的対応でできるところはしろという条項を置くのはぜひお願いしたい。
 もう一つ、それと同時に技術的な保護措置が適正なものであるかどうかというのは、割に客観的に評価できますので、その意味でも、このあたりはまず第一に明確にしていただきたい。
 第2番目に、それとの絡みで、組織的な保護措置が適正であるかどうかはなかなか客観的に評価できませんので、このためにはOECDなどでもありますようにアカウンタビリティーを強く求めているというのはそういうところかと思いますが、可能ならば第三者評価機関みたいなものが考えられるかどうか。それを今の行革の流れの中でつくれないとするならば、民のアイディアをかりたシステムが構築できないか。例えば損保会社などのリスクマネージメントのノウハウを利用して、統轄責任者などの責任の保険を開発してもらって、それで第三者評価的なシステムが構築できないのか、そういうことでございます。
 これがちょっと2点にわたりましたが、申し上げたい点。
 もう一つは、5番目のところに絡む問題ですけれども、外部委託の問題は多分大議論になると思いますが、使用者責任の最近の判例、これは前から定着していると思いますが、派遣社員に対しては受入れ会社が使用者責任を負うことではほぼ定着しておると思います。すなわち指揮管理が及んでおれば使用者責任があるということになっていますので、派遣社員の場合には現実には使用者責任肯定できると思います。
 問題は請負等、独立した事業者に処理等を委託した場合に責任をどうするかということですが、これが現在の民法の限定では使用者責任という形にはならないだろうと思います。ただ、ここで立法的な措置を考えるとするならば、我が国では似たような問題で苦い経験をしたのが廃棄物処理の問題だと思うのです。排出事業者はその処理を所定の事業者に処分を委託すれば免責されると、そういうことから違法投棄が頻発したという苦い経験がありますので、個人情報の場合に同じような問題が起きるとは考えたくないのですけれども、請負ないしは委託してしまったがゆえに免責されるという選択肢をとらない方がいいのではないかというのが私の意見でございます。要するに一たん自分の責任において収集した個人情報は最後まで責任をとりなさいというポリシーをとった方がいいのではないかということでございます。
 以上、勝手なことばかり申し上げましたが、私の意見を述べさせていただきました。

【園部委員長】IV以下でも結構ですよ。

【新美委員】あと、請求権のところ、民法の観点からいきますけれども、法的な請求権として構成することが認められたとしても、これは裁判を考えた場合に履行請求権として構成するのか、損害賠償請求権として構成するのかというのは大きな違いがあろうかと思います。
 むしろ上谷先生ほか裁判実務に詳しい先生いっぱいいらっしゃいますので、私が申し上げるのは適切でないかもしれませんが、履行請求を認めるのはやはり具体的にこういう行為をしなさいというのを判決主文で書けるようでないと、これを認めるのはなかなか難しいのだろうと思います。ですから法的請求権を肯定するとして、開示請求とかいろいろなレベルがあると思いますが、訂正請求などをした場合に、直ちに訂正しろという判決文を書けというような中身として法律で規定できるかというのは難しいと思います。具体的には、訂正すべき個人情報がどこにあるのか、それがどう間違っていて、どう直せと言えるのかというのはかなり難しいだろうと思います。ですから法的な請求権として認めるとしても、損害賠償請求権のレベルにとどまるのではなかろうかというのが私の意見でございます。
 とりあえず申し上げたいのはそこまででございます。

【園部委員長】まだ、議論し足りない面もあると思いますが、一応予定をこなすために、ここから「個人情報の取扱い基準、情報項目等の通知・公開等」、「本人の関与」について御検討を進めていただきますが、その前に事務局から資料の説明をお願いいたします。

【事務局】資料1の3ページ目から御説明させていただきたいと思います。
 IVといたしまして、「個人情報の取扱基準、情報項目等の通知・公開等」という項目についてまとめております。
 まず、基本的な考え方といたしまして、枠の中に以下のように記載させていただいております。
 ○ 保有主体は、以下の事項を公開
  一 保有する個人情報のファイル名、項目
  二 利用目的
  三 処理方法(取扱基準、保有形態など)
  四 統轄責任者
  五 その他(開示、訂正等の求めや苦情等に対する窓口の所在など)
 この「1.趣旨、意義」といたしましては、まず「情報主体による開示、訂正等の求めのための前提」、これはこの後でまた御説明させていただきますが、この開示、訂正等の前提として、こういった公開が必要なのではないか。
 もう一つ、個人の利用目的、処理方法等を公開するということで透明化を図っていくことにより、適正な管理も担保されていくのではないかという考え方をとってきております。
 2.以下が論点となるべき事項と考えられる点でございますが、まず、「2.公開の方法」といたしまして、枠の中では、保有主体がこういった事項を公開するという考え方に基本的に立っておりますが、基本的にこういった考え方でいいかどうかといった点。
 また、公開する場合の具体的な方法としては、書面を備えつけておいて、それが閲覧できるようにしておくこと、また最近ではインターネットによる公開などが考えられるかと思いますが、こういった方法についてはどの程度のことをやっていけばいいのか。
 参考までに、この公開に関してはOECDのガイドラインでは、公開の原則、Openness Principle と言われておりますけれども、このメモランダムの中では、例えば公開の方法としては、データ管理者から自発的に行われる定期的な情報の提供であるとか、公的に記載されている出版物に載っているとか、公的機関での登録などが考えられるとしていますが、こういったこういった公開の方法に関する問題が一つあるのではないかと思います。
 次に公開を求める場合、「公開すべき事項の範囲」をどの程度にしていくかといった問題があります。
 特に「安全保護措置等」ということに関しましては、逆に公開を求めることによって手のうちを見せてしまって、かえって安全保護措置の目的が達成されないといったようなことも考えられるかと思います。例えば諸外国の法制では、イギリスでは届出を受け付ける機関があるわけですが、安全保護措置は届出事項にはなっているけれども、登録簿には記載する事項になっていないといったような点もございます。
 また、一から五で掲げている中で、処理方法等は手続の透明性を図る観点からは、ある程度公開を図っていくことが好ましいと考えられますが、特に民間事業者の場合ですと、事業者の内部的な取扱いにか関わってくるようなことですので、どこまで踏み込むべきかといった点が論議になるかと思います。
 それから、また、この規定をどの程度の強さの規定とするかにもよるわけでございますが、「適用除外」的に考えるべきものをどのように考えたらいいかということで、例として、公開により業務の適正かつ円滑な遂行に支障を及ぼすものがあれば、除外すべきでないかということを記載しておりますが、そういった点も論点になろうかと思います。
 めくりまして4ページでございますが、先ほどの公開の方法と絡みまして、諸外国では、監督機関への届出制や登録制をとっている国もございます。こういった制度につきましては、実効性でありますとか、また保有主体側の負担といった点も考えなければいけませんし、中間報告では非常にこの辺は慎重な考え方をとっていると思いますが、こういった点につきましても、考え方を整理することが一つの論点になろうかと思います。
 それから、公開と関係いたしましては、情報主体に対して通知する事項に関して、前回、収集・保有・目的外利用等について議論しましたときに、目的外利用の場合には通知をすべきではないかといったような議論があったかと思いますが、目的外利用の場合以外でも通知を行っていく。個別に情報主体に知らせていくといった必要な事項があるかどうかといった点も一つの論点になろうかということで掲げております。
 そのほか、当然、先ほどの安全保護措置等の議論の中でも議題になりましたけれども、この事項に関しまして、対象情報の範囲をどの程度のものに求めていくか。また、対象となる保有主体の範囲をどの程度にしていくかといった点も当然関連してまいりますし、この公開等に関して、法的強制の程度、方法をどういったもので担保していくかという点、これは全体に関わる論点でございますけれども、この項目の中でも論点になろうかと思っております。
 引き続きまして、5ページ目、「V.本人の関与(開示・訂正等)」につきましても説明させていただきます。
 まず、考え方としまして、
 @保有主体は、情報主体から自己に関する個人情報の開示を求められたときは、合理的理由がある場合を除き、情報主体に当該個人情報を開示。
 A保有主体は、情報主体から自己に関する個人情報の訂正等を求められたときは、合理的理由がある場合を除き、求めの内容を確認し、訂正等を実施。
 という2点を枠の中で記載させていただいております。
 この「1.趣旨、意義」といたしましては、「個人情報の保護に関して、情報主体が自己の権利利益を確保するための重要かつ実効性がある手段」として、こういうものを求めていくべきであるということを書かせていただいておりまして、基本的に、ここはOECDガイドラインで言えば、個人参加の原則、Individual Participation Principleに対応していくものと考えております。
 論点につきましては、2.以下になりますが、まず、開示、訂正等を求めることができる情報主体はどの範囲のものかといった点や、情報主体が開示、訂正等を求めることができるとした場合、情報主体の本人確認の方法、これは行政機関の個人情報保護法では細かい規定を置いていますが、この基本法制でどの程度までそういうものを置く必要があるのかといった点が一つの論点になろうかと思います。
 次に、「開示、訂正等の求め」についてです。ここで「求め」という書き方にさせていただいていますが、この「求め」の法的な性格をどのように考えるか。特に営業の自由、契約の自由等を原則とする民間部門において、法的な請求権とすることについて、どう考えていくのかということが一つ大きな論点になろうかと考えます。
 また、先ほどの項でもありましたように、開示、訂正等を求める場合、誰にどのようにといった手続が必要になるわけですが、これに関して、今回の法制の中で置く必要があるかといった点も議論になろうかと思います。
 次に、枠の@とAの中では、「合理的理由がある場合を除き、開示、訂正等を実施」という書き方になっていますが、合理的理由の範囲というのは、また大きな論点になってくるのではないかと思われます。例えば、開示の拒否可能な場合の在り方として、「他の法律により不開示とされているとき」、「別に公開されている情報であるとき」、「人の生命、身体、財産その他の利益を害するとき」、「業務の適正かつ円滑な遂行に支障を及ぼすとき」などを掲げておりますが、こういったものの範囲について、ある程度検討していくことが論点になろうかと考えております。
 行政機関の個人情報保護法では、学校における成績の評価、入学者に関すること、医療関係の診療に関する事項等は、本項目において、ただし書きで適用除外になっております。
 また、「業務の適正かつ円滑な遂行に支障を及ぼすとき」というものを例に掲げており、これはいわゆる評価に関する情報の開示でありますとか、また、業務妨害的に開示請求が行われるといった場合を念頭に置いているわけですが、こういったものの範囲について、どう考えていくかが大きな論点になるかと思います。
 「訂正等の拒否可能な場合の在り方」といたしましても、「一定の時点における事実を記録する目的の情報であるとき」や「業務の適正かつ円滑な遂行に及ぼすとき」、「訂正等の求めの内容に争いがあるとき」などをここでは理由として掲げておりますけれども、こういった考え方をとることでいいのかどうか。これ以外にも追加すべき事項がないかといったことが一つ論点になってくるかと思います。
 次に5.といたしまして、開示、訂正等を実際に実施する上での論点ですが、まず「対象の明確化」。先ほどの議論でも対象ファイルが明確になってないと、そもそも実効性が上がらないのではないかという御議論がございましたけれども、こういった対象ファイルの明確化などを今後どう規定していくかといった問題があります。
 また、開示、訂正等といった場合、何をもって、どの範囲のものを開示、訂正等と言うこととするか。例えば、行政機関の個人情報保護法では、個人情報の存否の通知も開示に含むものであるとか、訂正等に削除や追加が含まれるといったことを法文上明記しているわけですが、こういった点に関して、どこまでのものを内容としていくかについても一つの論点ではないかと思います。
 また、開示、訂正等は、極めて手続的なものでございますので、この方法、例えば、行政機関の個人情報保護法では「書面により開示する」と書かれているわけですが、最近は電子的な手法等も普及しておりますし、また、いろいろな主体にかかわってくることからすると、こういった方法について、どこまで細かく規定していくか。
 また、訂正等を行った場合に本人であるとか、この情報の二次取得者等がいる場合に、更に通知を行っていくことが必要なのかといった点も論点になろうかと思います。
 更に、これも若干、技術的な点ではございますけれども、OECDガイドライン等では、開示、訂正等に当たっては、合理的期間内に費用負担も合理的な形で行っていくというようなことについての記載がございますし、また、開示、訂正等を行った場合には、情報主体に理由を示すべきだといったような点についても触れられている点がございます。
 こういった点につきましても、かなり手続的な点ですが、ある程度、条文に盛り込むべき事項なのかどうかという点も論点になろうかと思います。
 その他といたしまして、情報主体から利用の拒否、提供の拒否やこういう使い方はやめてほしいといったような制限を求めてくる場合があるかと思いますが、こういったものについて、どこまで保有主体側は応じるように考えるべきなのか。これについては特に手は打たなくていいのか。OECDではこれについては特に求めてはいないわけですが、中間報告等ではこういったことも考えていきますという形になっていまして、この辺についても一つ大きな論点になろうかと思います。
 また、先ほどと同じように、保有主体、対象情報の範囲等についても留意することが必要でし、特に開示、訂正等という手続的な点につきましては、また次回、議論をすると伺っておりますけれども、苦情処理、事後救済等との関係は留意しておく必要があろうかと考えております。
 以上、簡単ですが、説明を終わらせていただきます。

【園部委員長】どうもありがとうございました。それでは、各委員から御意見をお願いいたします。

【西谷委員】よろしいですか。

【園部委員長】どうぞ、西谷委員。

【西谷委員】さっきのところにちょっと戻るのですが、委託のことです。結局あれは管理、適正な管理をしなければいけない、こういう原則を立てて、適正な管理の1分子あるいは系として委託を慎重にと、こういう原則があって、それを更にかみ砕いて、委託に慎重というのはどういうことなのかということを具体的に書いていかなければいけないわけですが、当然1つあるのは、受託者も委託者と同様な管理責任を負うという規定。これは現行法にもあるものなので、それは当然あるでしょう。
 2番目は、委託先の要件のようなものを何か規定する必要があるのかということを思いつくのですが、これは多分市場に任せてよくて、委託先はこういう要件のものを原則とするということは書かなくていいと自問自答で恐縮ですけど、そういう気が私はします。
 第3は、先ほど新美委員がおっしゃったことですが、責任がどちらか、その問題は片づけておかなければいけないと思うのです。私も新美委員と同様だったと思いますが、委託者に責任があると、こういう原則を打ち立てるべきであると思います。ただし、これも例外条項を設けておく方がよいのではないか。委託契約によって、責任の一部を受託者に負わせることを可能とする。全部丸投げはだめだけれども、責任といっても非常に広いわけですから、こんなことについては受託者、あなたの方でというように契約で定める余地は残しておいてよくて、オール・オア・ナッシングではない形にしておく方がよいのではないかと思います。その責任は対外的責任も場合によっては受託者が負うように一部契約することもできる。例えば、訂正方求める通知などの責任を受託者が負うなどという場合があってもよいかもしれないと思います。
 以上、委託は慎重たるべしという原則と若干の例外みたいなことを考えておりました。
 それから、新しい今御説明いただいたところの開示、訂正のことですが、どういう権利として構成するかということに関して、やはり行政機関の場合と民間の場合とは大きく違うと思います。民間については、先ほど新美委員が言われたように、裁判で訴求できるような請求権として構成するということについてはその強制手法の点からしてもなかなかむつかしいものがある。
 ところが行政の方は、まず第一段階として、行政不服審査の対象になっていくことは解釈としても当然なのでしょうし、明文で置く必要があるかどうかということは今後考えなければいけませんが、その場合、取消しだけではなくて変更もできるわけですから、言ってみれば、訂正するという裁決を出すこと、あるいは異議申立ての決定することもできる。
 そして第二弾として裁判、行訴法ということになって、こっちは残念ながら取消ししかできないわけですから、取消して判決の拘束力というところでどうなるかという問題を考えればいい。行政機関の方はそういう筋ですっといく。民間は民訴となって、先ほども言ったように、それは今のような形になりそうもない。だから損害賠償という別途の措置でそこはフォローするのだということにいくのではないかと思います。
 そこで問題はもう一つあって、真ん中に挟まっている特殊法人、認可法人、半分政府がかっている領域がどっちなのか、これをどうするかというのが非常に問題だと思うのです。黙っておいても、行政処分になって審査法がかぶるかというと、これはまた危ない。そこを一切解釈などに任せて知らぬふりしているのもどうか。しかし、書こうとすると、そこの決着は非常にまた難しくて、特殊法人、認可法人、指定法人とだらだらっとあるうちのどこまでが処分に当たるものであろうかなんてやりだしたら、ある意味で解はない。だからどうすればいいのかというのはちょっと悩むが、1つの悪知恵としては、現行の行政機関の個人保護法が、特殊法人等について27条の規定がありますね。ですから、これはそういう個別法の問題であると。だから基本法ではさりげなく何も言わずに、こういう特殊法人などはどうするかということは、行政機関保有保護法の今後の運用に検討を待つとかといったすぽーんとそこは落としてしまって、それで基本法では純粋行政機関と民間のところだけを頭に置いて書けばいいのではないか。

【藤原委員】先ほどの安全保護措置と統轄責任者等のところで、今、西谷先生が触れられましたので、私も一言だけ申し上げておくと、技術的保護措置等で、例えば、どのぐらいのレベルのものを求めるか、多分企業の規模や取り扱う個人情報の性質、処理目的によって来ると思いますので、利益の大きいところは頑張って保護措置も高めていただくというような形でもいいのではないかという気がしています。
 規模で切るのか利益で切るのか難しいところはあると思うのですけれども、匿名化とか仮名のシステムを使うとか、あるいはセキュリティ措置の高いソフトを組み込むとか、会社の規模にもよると思うのですが、利益が上がるような、あるいはリスクマネージメントであるということを新美先生おっしゃいましたけれども、そのお言葉をおかりしてもいいのですが、利益が大きければリスクマネージメントもきちんとしていただきたいというルールでもいいのではないかという気もいたします。
 あとは、開示請求権等についてほとんど論点を出していただいたのですが、公的な機関の場合と民間の機関の場合と違う前提から出発するのですけれども、根拠をかなり詰めて考えておかないといけないのかなという気がします。というのは、先ほど履行請求権か損害賠償請求権かという話があって、具体的にこういう行為をしろということまで言えるかどうかという問題で、民事的な思考だと恐らく言えないという方に流れやすいのではないかと思うのですが、個人情報保護の最も根幹となるものをどう考えるかにもよるのですが、共通した部分があるときに民事と公的部門とかなり違うのだとすると、ひと理屈要るのではないかという気がするのと、もう一つ、公的な部分の場合の裁判所による救済は、先ほど西谷先生のおっしゃったとおり、取消し訴訟というのがオーソドックスなのですが、これは外国の制度とのかかわり、あるいは日本の行政訴訟そのものの問題だと思いますが、履行請求となると、いわゆる義務づけ訴訟の問題になってくるわけで、義務づけ訴訟も理屈の上ではできることには一応なっています。ですから、そのあたりをどう考えるのかということも出てくるのだろうと思います。
 ドイツ的ですと、いわゆる結果除去請求権で構成してしまえば、違法な結果の除去ということで構成してしまうのですけれども、我が国はそこが多分義務づけ訴訟で扱うことになっていて、先ほども西谷先生言われたとおり、取消し訴訟の判決の拘束力で、取消し訴訟中心主義との関係をどう考えるかという話になるのだと思います。
 ただ、その場合もその根拠となる請求権、目的規定の書き方ともきっと関係してくるのでしょうが、法的な請求権をどう考えるのかということで、民民と官民の問題が違うのかどうか、あるいは違うようにする理屈が要るのかどうかという感じになってくるのかなという気がいたします。
 それから、もう一つ、忘れないうちに、論点としては、今の御説明のとおりだと思うのですが、次回以降に出てくるのかもしれませんが、先ほど個人情報の範囲ということが問題になって、全てあるものなのか、ファイリングしたものなのかということが問題になっているのですが、とすると手続として不存在のときにどうするかという議論をしておかないといけないのではないか、不存在に対する答え方とか不存在のときにどういう反応するのか、それは恐らくどこかで問題になるだろうと思います。ひょっとすると次回以降に出てくるのかもしれませんけれども、解釈論的にないというのと物理的にないというのと違うというお話ですが。

【遠山委員】委員長よろしいでしょうか。

【園部委員長】はい、どうぞ。

【遠山委員】権利理論の専門的なのに入るちょっと前に、全体的な印象で申し上げますけれども、IIIもIVもVも基本的なことは挙げられていて大変資料としてよくできていると思います。
 この新しい日本における個人情報保護の体系をつくるに際しまして、やはり新しい体系をつくるときに余り理想を追って、現実的でないものをつくってみても、恐らく機能しないようになるのではないかという心配もございます。その意味では、個人情報ファイルについても、何でもかんでもファイルを明確にして公開をしてという角度ではなくて、ある程度の義務づけられているものとか、当然つくっているものとか、そういうものに収れんしていった方がいいのではないかと思われますし、統轄責任者についても、余り条件といいますか、資格というところまで細かく及んでいかない方がいいのではないかという気もいたします。
 その関連で、IV、Vを見ましたも、保有主体が公開すべき事柄はここに書いてあるような事柄だと思いますが、保有主体が公開すべきことと、求めに応じて公開ないし開示、訂正権に応じて対処すべきこととは少し性格が違うと思います。公開すべき事項について、ここにも書いておりますように、保有主体が公開する場合の具体的な方法とかいろいろ考えていきますと、精密にやりますと膨大な作業になると思うのです。保有主体自体、また社会にとってもそういう情報が出されてきて一体どうするのかといったことがあると思います。ですから余り軽々に義務づけるという観点よりは、自主性を尊重して、特にIVの公開の事項については、そういう姿勢で規定をしていった方がいいのではないかと思う次第です。
 ただ、最低公開という場合に、その保有主体自体内部で書面を用意しておかれ、インターネットで公開していくというようなことは可能かと思いますが、登録制にしたり届出制にしたりといった余り煩雑な方法になっていくと実際上働きにくいようなことになるのではないかと思われます。
 それから、本人の関与の問題では、精密な法律上の議論が必要と思います。特に私は関心がありますのは、合理的理由の範囲についてであります。これはできるだけ最小限にしていくというのがこれからの姿勢だと思いますけれども、評価にかかわる問題、業務の適正かつ円滑な遂行に支障を及ぼすという解釈に至りますが、これについても限定的ではありながら、ある程度その領域も残しておく必要があろうかと思います。以上です。

【園部委員長】ありがとうございました。

【高橋委員】開示、訂正のところで「等」と書いてあるものですが、恐らく削除請求もここに含まれてくるのだろうという前提で意見を述べさせていただきたいのですが、私は開示、訂正等はやはり請求権として考えるべき段階にきているのではないかと思っております。ただ、訂正権といった場合に、どう訂正するのだという訴訟法上の問題が起こる点がありまして、確かにそこをどうしたらいいか、私自身いい回答があるわけではありませんけれども、訂正要求が出てくるということは、データの保有者とデータ主体でその正確性について争いがあるわけです。データ主体の方では、ここはこう間違っているから、このように訂正してくれと言っているわけです。請求の内容は非常に明確になっているだろうと思うのです。
 ですから、このように訂正してくれということを主張する権利として考えると、私は民訴や司法の方は余りよくわからないので、そういう要求をすると非常に困るのかどうか。それほど困らないのではないか。請求内容自体が明確にできていれば、それを裁判所が判断する。もちろんそういう権利与えると、裁判所にいっぱい事件が起こってきて、裁判所が困るという議論は他方であるかと思いますが、それはまた別の問題ではないかという気がいたしまして、理論的には請求権としてとめて、請求権でどう訂正せよということをするのはまずいというならば、削除するかどうかという形にして、誤っているから削除せよと。裁判所としても、削除せよという命令を出すか出さないかですから、それほど紛れた議論になることはないのではないかという気がするのです。ですから現段階においては、開示、訂正は権利としてきちんとやるべきではないか。
 そうやったとしても、損害賠償が限度だということを言われて、新美委員がいらっしゃらないので、その趣旨が私は理解できなかったのですが、それを尊重しないことが直ちに権利侵害ということで損害賠償になるという理解なのか、それとも訂正しなかたったことで、誤った情報に基づいて、何かその後に処分がなされて、それで損害が生じた段階で争えばいいという趣旨なのか、それだったら権利ということではなくて、恐らく行為規範でとらえるということに帰着するのだろうと思うのですけれども、私はその後から、誤った情報に基づいて、何か現実の結果が生じた後で争えばいいというのではなくて、それはそれで法的に争えるはずですが、個人情報の保護を考えるということは、そういう不安を法的に保護する利益とみて、結果が出る前の段階で救済しようではないか、そういう考え方であった方がいいのではないかという気がするものですから、やはり請求権として、実際の害悪という結果が生じてない段階で救済していく、そういうとらえ方をしていくべきではないかと思っています。

【園部委員長】これは堀部座長がおっしゃるのが筋かもしれませんが、検討部会の中間報告では、今のようなことについても、両方の考え方があるとしている。一つは「法律上の請求権として構成すべきである」としていて、これは中間報告の8ページの真ん中あたり。
 もう一つは、「民間事業者等の実務の実態を踏まえて行為規範に止めるべきであるとの意見」。これは大体2つ分かれるのですが、その次が「法制化段階で検討すべき課題であって」とこう書いてある。こちらは全部任されているわけだから、どこかにまた責任を負わせるわけにいかないのですけど、ただ、こういう新しい権利、あるいは正しく権利としてとらえるのかどうか、これは基本的な問題点で、プライバシーの権利、知る権利と、普通常識的には言うのですけれども、こういう自己開示の権利が、実体法上の権利として新しく法律で決めることができるものであるかどうか、そういう問題がある。単なる情緒的な権利ではなくて、法律上の権利ということになると、これが具体的に裁判で争われた場合、裁判官の方ではそういうようにはっきり実体法に権利として規定されておれば、これは原告側も裁判所の側も割合と扱いやすいことは扱いやすいのですけれども、ただ、これは恐らく民法上の問題等にも関係してまいりますので、ここでそういう新しい権利をはっきり規定できるかどうか、これは相当議論が必要だろうと思います。
 殊に履行請求権、賠償請求権、これはそもそも基本的に民事訴訟で争える事柄ですので、行為規範がはっきりしておれば、それは当然黙っていても争ってくれば裁判所は受け付けるだろうと思います。そういう問題については恐らく判例が積み重なっていって、自然に判例法的に請求できるということが確立するものもありますが、問題は権利として規定してしまうのは大変結構なのですが、それが裁判上どうもしり切れトンポに終わってしまうというようになってもいけませんので、その辺の入口と出口の関係をきちんと見きわめた上で、この法制化は考えていかなければいけないのではないか。そういうような感じです。
 先ほど行政訴訟の場合は割合と新しい特例的な訴訟ですから、いろいろなものを考えてもいいのですが、行政訴訟でもいわゆる無名抗告訴訟といいまして、いわゆる取消訴訟、無効確認訴訟以外にいろいろ理論的に考えられているものがございますが、無名では困るので、はっきりした訴訟形態がないとなかなか裁判所はこれを使いません。それで理論的には学者がいろいろなことを言ってたくさんあるのですけれども、およそそれが実行された例が非常に少ないということもありまして、もし実効性ということを考えるなら、ある程度このあたりで行政事件訴訟法の特例、行政事件訴訟法自体が特例法ですが、そのまた特例的に、こういう別の法律で救済方法を考えるときには、かなり関係部局とも相談した上ではっきりした訴訟形態などを設ける。これは御承知のように、地方自治法で職務執行命令訴訟などという新しい訴訟形態を設けていることもありまして、そういう形のものがこの基本法でできるかどうかということも1つの検討課題ではあろうかと思います。一応そういうことだけ申し上げておきます。

【西谷委員】関連して。

【園部委員長】どうぞ、西谷委員。

【西谷委員】裁判所が最終的解決の場であることは間違いありませんが、そのほかに、例えば行政上の審査機関を設けて、そこに不服を申立てることができる。なるほど訂正すべきだと思ったときは、その委員会が、あるいはその委員会の諮問により行政庁が訂正の勧告ないし命令をする。その言うことを聞かないときは公表する、また罰則もあり得るわけですが、仮に公表といった効果を持たせるとすれば、それはそういう効果を持ったいわば請求権というと語弊があるにしても、つまりただの何でもないものとは違うのですね。
 そういう行政的な対応も十分考慮すべきだろう。最後の最後は裁判なのですけれども、こういう苦情紛争関係は当然苦情紛争処理のところを少し強化して権利らしいものに持っていくという余地もあるのではないかという気が実はしています。

【堀部座長】よろしいでしょうか。

【園部委員長】どうぞ、堀部座長。

【堀部座長】今日の論点、それぞれの御意見がありましたので、補足的にというか、ほかでどんな議論があるかということを少し申し上げてみたいと思います。今出た訂正請求ないし訂正請求権については、元台湾兵が厚生省の正式な名前忘れましたが、そこの名簿には「逃亡」と書いてある、ところが自分は逃亡ではなくて円満除隊であった、これは誤りであるということで、人格権に基づいて訂正請求をしました。これはここには入っていますか。

【事務局】入っています。

【堀部座長】そういうことで、人格権に基づく訂正請求権は一般論としては裁判所は認めまして、ただ、その場合は訂正請求については棄却した、そういうケースがあります。これをめぐって学界でもこのあたりは随分議論があるところです。
 今日、西谷委員が言われた中で、全体としてとらえていく場合、特殊法人のところをどうするのか、これまでここでは視野に余り入れてきていなかったわけですが、行政機関個人情報保護法では、地方公共団体、特殊法人をどう扱うかは大分議論になりまして、個人情報保護法の27条では、「特殊法人は、個人情報の電子計算機処理等を行う場合には、この法律の規定に基づく国の施策に留意しつつ、個人情報の適切な取扱いを確保するため必要な措置を講ずるよう努めなければならない。」、この逐条解説の 212ページに出ています。特殊法人については、当時、昭和60年(1985年)から検討を始めて、1986年(昭和61年)の12月に総務庁で議論をまとめたわけですけれども、そのとき、行政機関とは独立した別の存在だということで、特殊法人については特殊法人が独自に施策を講ずるようにすることで、特殊法人を主語にして27条の規定は設けられました。
 ところがその後、情報公開法との関係で、特殊法人をどう扱うのかということが非常に大きな議論になってきて、行政改革委員会の行政情報公開部会では、これは私が発言したのですが、個人情報保護法でこういう形で特殊法人を主語にしてみたところ、余り施策を講じてないような実態がある、正確に調べてないので、ないというと少し語弊があるから、それはやめますが、明確にきちんと対応しているかどうか、必ずしも明確でないというか疑わしい面もあるようでした。そこで情報公開法では、むしろ政府を主語にして、政府は特殊法人が保有する情報の公開について、要綱案の段階では、「その性格及び業務内容に応じて法制上の措置その他の必要な措置を講ずるものとすること。」、こういう規定にしました。
 それが国会で大きな議論になって、附則第2項に特殊法人が入り、その後、独立行政法人が入ったりしていますが、特殊法人をどうするのかというので、今、情報公開の方では特殊法人情報公開検討委員会、これも行政改革推進本部でしたか。

【藤井室長】行政改革推進本部の下に置かれています。

【堀部座長】事務局は内閣官房内閣内政審議室にあり、そこで議論しています。今、西谷委員が言われたような問題で、そこでも情報公開の場合に、対象にする範囲もかなり明確になってきていますが、それと不開示処分をしたときの救済をどうするのかというので、これを行政処分として見るかどうか。そのように見る方向になってきていますが、そういう新たな状況を踏まえて、特殊法人、独立行政法人、指定法人等、それを個人情報保護基本法の中でどう位置づけるのか、どこかで議論しておいていただく必要があるのではないかと思います。
 それも委員長言われたことなのですけれども、特に特殊法人をどう扱うのかというのがあります。

【遠山委員】これから特に独立行政法人という新たな法人格を持ったものが出てきますね。それらは政府に準じた扱いにするのか、それとも民間と同じようにするのかということを明確にすればいい。

【堀部座長】そうですね。

【園部委員長】多分、一方ではなるべく政府から離そうと思っているのに、こういうところでまた政府に近づけなければというのも何か妙な話です。

【堀部座長】情報公開法の方では、むしろ政府に近づけてやっていこうという、これは国会がそういうことだと理解していますので、この問題では、まだ国会でそこまでの議論はたしかないですね。情報公開法との関係で、特殊法人をどうするのかというのが出てくるかもしれないですね。ある程度そこのところは何らかの議論をしておいていただく必要があるかと思います。

【藤原委員】よろしいですか。

【園部委員長】藤原委員。

【藤原委員】情報公開法との関係もそうですが、今、遠山委員が言われた中央省庁等の改革で、独立行政法人ができてきたことで、個人情報保護法の27条との関係で、規制を受けていたものから、また離れるということで、そこの部分をどうするのだという議論はきっと出てくるのだろうと思います。
 それから、先ほどの高橋先生のお話の、開示の請求権は別として訂正のところですが、さっきの台湾兵の問題にも戻るのですけれども、議論に評価とか過去の事実の判断、認識でもいいのですが、争いがあるときにどうするかというのが結構地方自治体等では御存じのように難しい問題になっているという点も1つの論点になるのだと思います。要するに双方の言い分がどうしても合わないときは、付記をするという実務をとっておられる自治体があると思うのですけれども、この情報については、結局当事者からこういう反論があるというか、しかし、それを全ての保有主体に認めるのか、もし開示請求権を認めた場合、そこのあたりまで考えておかないとかなり難しい問題が生ずるのではないかと思います。これも1つの論点として申し上げておきたいと思います。

【園部委員長】どうぞ、藤井室長。

【藤井室長】今の保有主体の問題でございますが、これは別途検討項目後回しになっておりますが、公的部門、民間部門それぞれいろいろなものがあるのをどう考えるかという中で再度また御論議いただきたいと思います。
 それともう一つ、独立行政法人についてですが、現状はどうなっているかと申しますと、独立行政法人整備法で、中央省庁改革推進本部の1つの立案方針として、特殊法人並みということになっておりまして、現在の個人情報保護法では、特殊法人の規定を改正しまして、特殊法人と独立行政法人がむしろ努力義務になっているという位置づけになっております。

【堀部座長】27条改正の中で行われました。

【藤井室長】はい。それに加えて、今、特殊法人情報公開法検討委員会のお話ありましたが、そこでの御議論に参加していただいている方いらっしゃいますが、特殊法人も独立行政法人も法人格は別なのですが、政府の一部と見られるかどうかというような1つの切り分け方になっていまして、大体同じ基準からいきますと、独立行政法人、特殊法人の全てではないのですが、政府の一部と見られると言っていいのですが、それ以外にも認可法人、認可法人と言われるものでもやはり同じ基準で当てはまるものがあるのではないかということで、認可法人も一応対象の範囲に入れて御検討いただいているところでございます。御参考までに。
 それに追加させていただきますが、更に指定法人なるものもどう取り扱うかということを引き続き御検討いただくことになっているということでございます。

【園部委員長】上谷委員が参加されましたので今までの議論経過をお話ししますと、先ほどから1つは、資料1の5ページで、開示請求ですが、これは開示請求訂正の請求、もっと言えば、削除の請求等といろいろあるのですけれども、これを行政機関の保有するものであれば、行政不服審査や行政訴訟、そういう方向でいくけれども、それでもなおかつ無名抗告訴訟などでは難しい面もあって、取消訴訟か無効確認訴訟ではこういうものを争うのはなかなか難しいだろう。
 それで判決の規範力とかそういう問題はありますけれども、ただ、もう一つは、もう少し行政委員会的なものをこしらえて、そこで苦情処理をして、裁判所までなるべく持っていかないように、持っていかないというのは、持っていってはいけないというのではなくて、できるだけそこで実質的な処理ができるようにすれば、かえっていいのではないかという御発言もあった。
 最後に民事訴訟で争う場合に、これは新美委員からの御発言があったのですけれども、履行請求権と損害賠償請求権があるわけです。この請求権が一体どこまで具体的に実効性があるかという問題があって、履行請求権まではっきり認めるまでもないのではないかという議論もございました。損害賠償請求権であれば、これは別に法律が規定をしなくても、損害賠償請求権は誰でもあるわけだから、それはいいのですけれども、何かこういう開示請求等について、本人の権利を実体的な権利として認めるか、それとも保有主体の行為規範として規定するにとどめるかというのは、これは検討部会ではその2つの意見があって、これは法制化専門委員会の課題であると、こちらに送られている非常に重要な問題なのだから、そこのところでちょっと議論があったのですけど、そのことだけ申し上げておきます。

【上谷委員】私自身は御議論の経過よく存じませんけれども、結論的には請求権は認めて、できるだけ損害賠償ではなくて、具体的な履行を求める形の方がいいだろうとは思います。その前にしかるべき機関の判断を経過して、裁判所へ何でもかんでも最初から持ってくるというよりも、そういった中間の段階をつくっていただいた方が、裁判所としては少なくともありがたいです。

【園部委員長】おっしゃるとおりです。どうもそういう行政的な委員会を設けることに一般的に反対される方もおり、それでは行政寄りだといったことをおっしゃるのですけれども、アメリカでもイギリスでもその他の国でも、裁判所の役割は非常に限られた面がございまして、できるだけ実質的な救済は行政委員会でする。それで初めて行政訴訟も、非常に内容的にも実質的にもいい方向へいくわけなので、いきなり全部裸のままで裁判所へ持ち込むことが全て権利の救済につながるとは考えない方がいいのではないかと、私の経験からいって、そう思っておりますので、その点はひとつまた御検討いただきたいと思います。

【藤原委員】よろしいですか。

【園部委員長】どうぞ、藤原委員。

【藤原委員】今の点で委員長に単純な質問なのですが、今の委員会とおっしゃったときには、官民の争いは、例えば情報公開法の場合であれ、特殊法人情報公開法の場合であれ、不服審査会のようなものに、あれは8条機関ですけれども、なると。ただ、この場合は、官民の争いともう一つ民民の争いとありますが、それを包括して1つの委員会と念頭において発言されておられるのか。

【園部委員長】包括はしていません、民民の場合は民民の場合でまたちょっと考えなければいけないでしょうね。

【藤原委員】官民と民民は別々に。

【園部委員長】それは一応別に検討して。

【藤原委員】別々に委員会もあり得ると。

【園部委員長】それはあり得ると思います。

【藤原委員】それを確認させていただきたかったのと、もう一つ、来られたばかりで恐縮なのですが、上谷先生に質問なのですが、今、請求権とおっしゃって、履行請求権も構わないのではないかというお話があったわけです。その場合ですけれども、根拠もそうなのですが、官官の場合と官民の場合で、基礎にあるものが同じであったとして、情報のコントロール権と呼ぶかどうかはともかくとして、官民は公的分野はもちろん公権力の行使的なところがある、民民はそうではないということで、単なる請求権ということで、及ぶ範囲が異なることがあってもそれは構わない。裁判規範として、例えば、片方は開示訂正ぐらいまでいくのだけれども、片方は開示にとどまるということはあり得るのでしょうか。

【上谷委員】別にそこは同じでもいいような感じはします。私余り厳密には考えていませんけれどもね。

【藤原委員】そうですか。

【上谷委員】ええ。

【藤原委員】もう一つですけど、その場合、裁判所に上がってきたときに、訂正について、先ほど先生がいらっしゃらないときに発言したのですけれども、台湾兵の例のプライバシーの判例ですが、厚生省の何かの書類に「逃亡」と記載されているけれども、本人はそうではなくて、あれは満期か何かで除隊したのであると言っているのです。しかし、その争いは、究極は立証責任の問題になってしまう。

【上谷委員】そういうことになるでしょうね。それしかないと思います。

【藤原委員】民民の場合に、それが立証責任の問題となると、企業に非常に負担になるか、あるいはほとんど権利救済がなされないか、極端になるような気がするのです。

【上谷委員】どちらに証明責任負わせるかはきちんと法律で書かなければいけないと思います。それは政策の問題だと思います。

【藤原委員】どうもありがとうございました。

【上谷委員】それから、履行の強制ですけれども、現実の問題としては、こういうような問題ですから、判決があれば、それに従って訂正すべきなのですけれども、現実に強制する手段としては、間接強制しかないとは思います。強制執行の方法としては、訂正しなかったら、1日幾ら払えという以外のテクニックはないだろうという感じはします。

【堀部座長】よろしいでしょうか。

【園部委員長】堀部座長。

【堀部座長】先ほど委員長が言われたこととも関連して、自治体での経験を少しお話ししておいた方がよろしいかと思います。情報公開条例をどうするかというときに、救済制度が非常に大きく出てまいりました。条例で裁決権を有する機関が設けられるかどうかということになって、これは随分議論があって、現行法制度の下では難しいであろうということで、長の付属機関として設けました。実施機関という概念を地方公共団体で使いましたが、その実施機関は不服申立てがあったときには、審査会という概念を使いましたが、その審査会の意見を聞いて判断しなければならないという趣旨のものを設けました。
 それを個人情報保護条例についても同じような趣旨で設けまして、これは行政不服審査法に基づく不服申立て、それとは別に行政機関訴訟法で訴え提起することになりますが、現実の運用は、行政不服審査法に基づいて不服申立てがなされていて、それが審査会に諮問されて、その審査会が判断して、「答申」という言葉使っていますが、答申をするというのが一般的なやり方になっています。
 具体的に幾つか問題になった例がありまして、開示請求のところでも、診断とか評価をどうするのかというのはなかなか難しいところでして、特にカルテ、国民健康保険のときに出すのは何て言いましたか。

【藤井室長】レセプトです。

【堀部座長】レセプトなどについて、自治体では開示請求があります。川崎市の個人情報保護条例などのときに随分議論して、評価や診断については開示しないことができることにしました。それは教育関係者、医療関係者からヒアリングしますと、現段階では評価診断については開示はすべきではない、こういう意見で調整を図る規定を設けました。
 実際に開示請求があって、それを理由として開示を拒否しますと、不服申立てがありまして、それが審査会にかかってきて、また審査会でもそういう関係者の意見などを聞いて、例えばレセプトでいいますと、そこの診断の部分、使った薬などを不開示にして、いつ診察を受けたかといった事実に関するところについては部分開示すべきだ、こういう答申をしたこともあります。
 また、教育関係などですと、体罰に関して、体罰報告書の中に、教師が何回殴ったかというのがありまして、もっと回数が多かったと親も本人も主張していて、この体罰報告書を訂正せよ、こういうこともありました。これは証拠がないので、結論的にどうしたか、結果は伺っていませんが、そういうことも争いになったことがあります。
 また、別の例では、学習指導要領の中の所見欄に、これは新聞でも報道されたのですが、「偏向的正義感の持ち主である。接し方を誤ると親子ともども問題を引き起こす」、という趣旨の記述がありました。この場合、個人情報保護条例に基づいて、そこまで開示したのです。つまり評価の部分も開示しました。そこで、親と本人が、まず親の方からすると、親についてそこまで触れるのはおかしいではないか、こういう主張だったようです。これは訂正、削除の請求だったようです。審査会は「偏向的正義感の持ち主である」という表現自体が、人権侵害のおそれがあるというような趣旨で、その部分と、「親子ともども問題を引き起こす」、その部分は削除せよ、こういう答申をして、大分話題になったことがあります。その後、諮問をした教育委員会がどう対応したのか、1年数カ月たっていますが、まだ結論が出てないのではないかと思います。
 もっとほかにも例がありますが、いろいろな例を考えていきますと、今後こういう問題が出てきたときにどう対応するのか、どこかできちんと受け止めないとなかなか大変ではないか。裁判所でも、恐らく相当大変なことになるだろうと思います。

【西谷委員】もう一つ。

【園部委員長】西谷委員。

【西谷委員】訂正で問題になりそうだと思われるのが、評価観察情報というか、この人はこういう性格であるとか、要するにその評価者が評価しているものがあるとしますね。それを開示はするとして、それはおかしいではないか、こういうトラブルはかなり窓口的にはありそうな気がするのです。それをどうするか。これはもちろん主観なのだから、いや、私がそう思ったということなのですが、しかし、それは何を根拠にしているのだとかだんだんやっていくと、本人から見ると、そこを直してほしいということにもなる。こういうグループ、これをどうすればいいのでしょうか。客観的な間違いならともかく主観をあらわしているということですから、こういう情報については一切訂正の外であるというようにも言いたい気もするのですが、そのことは一般には。

【堀部座長】条例では事実に関する訂正の請求をすることができるという、事実と規定するのが一般的になっています。ところが、さっきの「偏向的正義感の持ち主である。接し方を誤ると親子ともども問題を引き起こす」ということですと、事実に関するものでなくて、評価の問題ではないかと言ったのですが、後で審査会の答申を見ましたところ、そこが明確に事実だとは言ってないのですが、とらえ方は事実としてとらえませんと、条例の要件を満たしませんので、どうも事実としてとらえて、それを削除せよ、こういう判断ではないかと思います。
 この辺になると、どこまでが事実で、どこが評価なのか、これは争いになると難しいでしょうね。

【藤原委員】よろしいですか。

【園部委員長】藤原委員。

【藤原委員】私は今のような問題があるので、このメモの6ページに、訂正等の拒否可能な場合の在り方に、訂正等の求めの内容の争いがあるときという例示が、理由付記等とからめておかれているのかなと思って拝見していたのですけれども、限界事例をお考えになったのかと思っていたのですけれども。

【事務局】これは条例なども参考といたしまして、こういったものがカテゴリーとして考えられるのではないかというものを事務局として出したものでございますので、これについて、更にこれでは広すぎるとか、逆に狭いのではないかということがあれば、御意見をいただくべきではないかと考えております。

【堀部座長】自治体の具体的な運用例では、先ほど藤原委員が言っていましたように、事実の訂正請求にしても、本当に事実かどうか、事実認定すること自体が非常に難しいので、こういう申立てがあったということをそこに付記しておく。今度次の段階でそれを見た人は、これについては争っているのだということがわかる、こういうやり方をしているところもあります。
 この方法は、アメリカの1970年の公正信用報告法にその考え方がありまして、信用情報の場合にも、信用情報機関はそれぞれの金融機関等が言ってきているものを保有していますので、その金融機関等で、どちらが正しいのかということが確定できない限り、訂正するわけにはいかない。そうするとこういう申立てがあったという、 100語のコメントを付ける、こういうことをやっています。
 たしか3月17日だったと思いますが、信用情報機関からヒアリングしたときに、そういう趣旨の説明があったかと思います。それを法律として定めるのか、あるいはその辺は運用としてそういうこともあるとするのか、具体的には問題になってくるのではないかと思います。

【遠山委員】評価であっても公表すべしという御意見もありましたけれども、私はそうではない部分もあるのではないかと思います。シリアスな部分ですね。人的関係において、評価をすべき人が評価した記録をとどめておく。それらを全て出すことにしますと、仕事として成り立たない分野があるのではないか。教育などはそういう分野だと思います。ただ、できるだけ開示していった方がいいことは確かですから、今の話のように、事実に関するようなことはできるだけ出していった方がよくて、それはそれぞれ書いた人、あるいは学校なりというところが判断するのかもしれませんけれども、その議論していくと、個人情報保護というのが一体何なのかということにもかかわってくると思うのです。書かれていること自体が問題であるのか、それとも保護されるのはそれが他用されたり、公表されたり漏えいしたり、何か個人の権利の侵害になるようなときに問題になるのではないか。
 そう考えると組織の中で特定の評価をして、それを組織の中にとどめておくこと自体についてまで、全て権利として公表しということになっていくのかどうか、その辺が少し疑問に思われる点もあります。ですから個人情報保護で保護する法益といいますか、そこにもかかわるのかもしれませんが、これはまた基本論を論ずるときに返ってきて、そこのところはすっきりした体系で説明できるようにしないといけないなと思います。

【高橋委員】いろいろんな意見言われたのは全く私も賛成ですけれども、ただ、それは請求権という原則をしていった上で、開示なら開示に対する除外規定という形で書いていったらどうかと思っています。

【園部委員長】こういうような問題は、それこそ個人のプライバシーに関する問題で、これを公の裁判所の法廷で争いところまで持っていくこと自体に、個人情報の保護に欠ける面がございまして、できるだけ組織内部、自主規制できちんと処理することができるようにするのが一番いいと私は思うのです。もちろん最終的には、裁判所による権利保護は当然なのですけれども、その過程でかえって露出すべきでない個人情報がいろいろな形で公にされることになると、そこにまた1つの大きな問題があるということですから、今は基本的には権利を規定しておいて、除外をしていく。その除外の要件といいますか、そこで押さえていく必要があるのではないかという感じはします。

【上谷委員】委員長よろしいですか。

【園部委員長】はい。

【上谷委員】今、委員長のおっしゃっている問題点は、私はおっしゃるとおりだと思うのです。1つ参考になるものとしては、今度できた民事訴訟法で、文書等秘密のものの提出を命ぜられた場合で、それが本当に秘密なのかどうかということが問題となっている場合に、いったん出てしまったら秘密でなくなるものですから、裁判所だけがまず見て、そこで出すべきかどうかを決めるという手続を決めましたけれども、そういうものも使っていかないと、秘密であるべきはずのものがオープンになってしまって、公開の法廷に出てしまうという大変矛盾した問題が出てきます。
 これは今情報公開との関係で、民事訴訟法の文書提出命令の、特に国等の秘密に関する問題が差戻しというか、国会から差し戻されて今検討しているところです。まだたしか結論が出てなかったはずですけれども、その辺ともにらみ合わせながら考えていかなければいけない問題だという気がします。
 とりあえず1つ、それがいい方法かどうか、大いに問題はあると思いますけれども、一応そんな解決方法をしているのも、横にらみしながら手続を考えていくのかなという感じがします。

【園部委員長】それでは、そろそろ時間になりまして、まだ議論は残りますが、更にまた次回、今回の残りの分と、次の項目へ移らせていただきたいと思います。
 本日はどうもありがとうございました。