個人情報保護法制化専門委員会

第11回個人情報保護法制化専門委員会議事要旨


1.日時:平成12年4月14日(金)14時〜17時00分

2.場所:総理府5階特別会議室

3.出席者:
園部逸夫委員長、上谷清委員、高橋和之委員、遠山敦子委員、新美育文委員、西谷剛委員、藤原静雄委員、堀部政男個人情報保護検討部会座長
※小早川光郎委員長代理、高芝利仁委員は欠席
(事務局)
藤井昭夫内閣審議官、小川登美夫内閣審議官、松田学内閣審議官

4.議題
(1)個人情報の取扱いの在り方等についてA
(2)その他

5.審議経過

(1) 個人情報の取扱いの在り方等についてA事務局より、資料1に従って、「V.安全保護措置、統轄責任者等」「W.個人情報の取扱基準、情報項目等の通知・公開等」「X.本人の関与(開示・訂正等)」について説明がなされた後、以下のとおり議論が行われた。(→は関連意見及び質問等に対する回答。)

○ 「安全保護措置、統轄責任者等」については、保護主体をどうするかという点と、管理主体をどうするかという2つの論点があるのではないか。

○ OECDガイドラインでは「管理者(Datacontroller)」は「個人データの処理の目的及び手段を決定する自然人、法人、公的機関等」とされていることから、国の行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律では、保護責任者は行政機関の長とされている。

○ OECDガイドラインでは、「管理者」は、上記のように行政庁としての意思表示ができる者との規定とともに、法の内部的適用等について内部的に責任を有する「個人データ保護担当役員」として規定される企業内部の管理者の2つがある。

○ 統轄責任者については、専従とするのか併任とするのか、いかなる地位を与えるのか、またどのような人を当てるのかという問題があり、我が国の現状を見ながら議論する必要がある。
 例えばドイツでは、大手企業では監査役や役員の直属機関としているところがあるが、中小企業では併任の場合や、弁護士などに外部委託している場合もある。また、ソフト開発経験者等技術に明るい人を置くことが多い。

○ 個人情報保護管理責任者は、とりあえず組織の長とし、その任命の下に、リスクマネージャーとしての管理者がいるという、二段階の議論ではないか。

○ 諸外国では統轄責任者に対するサンクションは、どのようになっているのか。
→ ドイツでは、監督官庁が、誠実な職務遂行を怠ったデータ保護管理者の解任勧告ができることとされているが、一定規模以上の企業では、実際は、そのようなデータ保護受託者がいれば民事裁判の際不利な立場となるので、そのような質の低い受託者は置かれておらず、解任勧告は発動されていないのが現状である。
 本法は基本法であるので、それほど細かくは規定できないのではないか。
→ 中間報告では、管理責任者の明確化及び管理責任者の責任について言及しているが明確にはなっていない。どの程度詳細な規定とするかは他の規定とのバランスもある。国の個人情報保護法では、「適切な管理のために必要な措置を講ずるよう努めなければならない」と規定しており、こうした規定もあり得るのではないか。

○ 法人等の代表者を責任者としてもあまり実効性がないが、他方、実際にデータを取り扱う者を具体的に規定するのも難しい。個々のデータ取扱者の責任の在り方とともに、それを基本法でいかに規定するかを議論する必要がある。

○ 個人情報保護の責任者とは、対外的にその取扱いについて説明する責任者と、内部的にこれを全うする内部的責任者に分かれるのではないか。内部的責任者の責任の範囲は、代表者の定めるところにより、取扱情報・組織の規模・性格によりきわめて可変的であり、一律な規定は困難ではないか。

○ 管理の一貫として、個人情報のファイリングを積極的に規定する必要はないか。
→ 仮に集中管理しなくとも、検索が可能であれば分散ファイルとして認識可能であり、一元管理に固執する必要はないのではないか。
→ 請求権等の問題を考えると、管理されている情報の中から該当情報を探し出してくるのであるから、ファイリングの概念をどの程度のものとするかは重要な問題ではないか。

○ 検索できない形で管理される情報もあり得ないか。
→ 個人情報は、検索し利用することを意図して収集するのであり、検索を前提としない管理とは、利用を前提としない蓄積を認めるかどうかという問題ではないか。
→ 中間報告では、保護対象の範囲として、自動処理情報、ファイリングされたマニュアル情報、その他のマニュアル情報に区分し、「マニュアル情報についても対象として検討すべきであるが一定の限定は必要である」としている。

○ 管理者の管理責任の対象範囲と、開示請求等の対象の範囲は同一でなければならないか。
→ 自らが管理する中から請求のあった情報を探してくるという観点から、同一である必要があるのではないか。

○ リスク回避は第一に技術的措置により、その次に人的措置により対応するのが鉄則であり、また、技術的措置は、それが適切か否かは客観的評価が容易であるため、まず技術的措置について規定するのが適当ではないか。組織的措置は、客観的評価が難しく、ここにアカウンタビリティを求める理由がある。この点については第三者的な評価機関が有用であるが、行革の観点からそういう仕組みが難しいのであれば、例えば責任者の責任保険など民間のリスクマネジメントを利用し、評価するシステムはできないか。

○ 外部委託の際の責任に関しては、判例では、派遣職員については指揮・管理が及ぶという観点から、受入側が使用者責任を負うということでほぼ確定している。他方、請負の場合、委託の段階で元の保有者は免責となってしまう。
 この構造の苦い例が、委託により委託元が免責となってしまった廃棄物処理の問題である。このため、個人情報の取扱いについては、個人情報を収集したからには、最後まで何らかの責任を負わせる体制とすべきではないか。

○ 「委託」については、まず、適正な管理をしなくてはならないという原則がある。次に適正な管理の系として、委託を慎重に行うべき、という原則があり、更にそれを敷えんして、「委託を慎重に」の内容を規定するのだろう。そのうちの一つが、受託者は委託者と同様の管理責任を負わせるべきということだろう。2番目に、委託の要件については、市場に任せてしまってよく、要件については規定する必要はないだろう。第3は、委託に関する責任の所在は、委託者に責任があるという原則とすべきである。例外として、責任の一部のみならば受託者に負わせる旨契約で定めることもできるとするのが良い。さらに、訂正方求める通知など対外的な責任の一部を負わせることもできるのではないか。

○ 「安全保護措置」「統轄責任者」について、利益の大きいところは、安全保護措置も高いものが求められるというルールが良いのではないか。個人情報の性質や企業の規模といった指標も考えられるが、どの程度利益があがるのかで判定すべきだろう。

○ 個人情報の範囲として、個人情報が不存在であったときにどのように対応するかという手続的な問題が存在する。解釈論的にないという問題と物理的にないという問題は違う。

○ 現実的でない制度を作っても機能しないので、今回の基本法の議論では、個人情報の範囲として個人情報ファイルをすべて対象とするのではなく限定すべきであろうし、また統轄責任者の条件や資格といった細部へはあまり立ち入らない方が良いのではないか。この観点からは、保有主体が公開すべき事項と求めに応じて開示等対処する事柄は性質が異なるだろう。さらに公開については届出、登録等精密に方法などを規定して義務付けるのではなく、自主性を重んじるようにすべきである。
 一方本人の関与については精密に考えるべきで、特に拒否できる「合理的な理由」の範囲について検討を加えるべきである。「合理的な理由」の範囲については限定的に考えていくのだろうが、解釈に委ねる領域も残すべきだろう。

○ 特殊法人の取扱いについては、国の個人情報保護法27条がある。特殊法人の取扱については、現在情報公開法でも議論になっており、この個人情報保護法でもどこかで議論する必要があるだろう。

※参考行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律
(特殊法人の講ずる措置)
第二十七条 特殊法人は、個人情報の電子計算機処理等を行う場合には、この法律の規定に基づく国の施策に留意しつつ、個人情報の適切な取扱いを確保するため必要な措置を講ずるよう努めなければならない。

→ 独立行政法人については、従来規制を受けていたものが切り離されることになるが、このとき政府に近づけるのか、民間に近づけるのか、といった議論となるのだろう。
→ 情報の保有主体による法の適用範囲については後ほど別途議論が予定されている。なお、独立行政法人については中央省庁等改革推進本部の方針として特殊法人並とされており、国の個人情報保護法も27条が改正され、特殊法人同様努力規定となっている。情報公開法の議論では、特殊法人を対象とするか否かについては、「政府の一部と見られるか」という基準で検討し、「認可法人」「指定法人」の取扱いも含めて議論されている。

○ 仮にデータ主体の開示・訂正等の在り方を権利とした場合においても、実際の裁判で特定の行為をするよう判決主文で書くことが可能か否かという観点から考えると、履行請求権とすることは難しく、損害賠償請求権としての構成にとどまらざるを得ないのではないか。

○ 「開示」「訂正」については、民間と行政機関は大きく違い、民間の紛争で裁判所に訴求できるような請求権を規定するのは、民事訴訟では困難。損害賠償で別途措置することになるのではないか。行政に対しては、まず行政不服審査があり、訂正のみならず変更しろ、という裁決も可能である。その後更に行政事件訴訟ができる。特殊法人については民間と行政のいずれかに截然と区別できず、規定を置こうにも明確でなく困難である。そこで特殊法人に対しては現行の国の個人情報保護法27条があるから、同条の問題、つまり個別法の問題として考えることとし、基本法で正面からとらえる必要性はないだろう。基本法は純粋な民間の問題と行政機関の問題についてだけこれを区別して考えればよいのではないか。

○ 開示請求権については、確かに民事的な手法で履行請求を認めるのは難しいが、民間部門と公的部門で区別し、異なる規定とするならそのための理屈が必要となる。この場面の法的な請求権を目的等との関連においてどのように考えるかという問題である。なお、公的部門では履行請求は義務付け訴訟となるが、このとき取消訴訟中心主義との関係をどのように考えるかという問題がある。
→ 行政事件訴訟のうち無名抗告訴訟に関しては、裁判所は明文で規定されていないのでなかなか使えない。実効性を考えるなら、行政事件訴訟法の特例につき関係部局と相談して訴訟形態などを考えることになるだろう。

○ 開示、訂正、さらに削除請求については、請求「権」として構成すべきである。民事訴訟法上問題があるという点については、訂正請求は個人情報の正確性についての争いであり、請求内容は明確なのではないか。もし訂正が困難であるとするなら削除請求とすればよいのではないか。また、損害賠償が民事での責任の限度とのことだが、訂正しなかったことそれ自体が損害賠償の対象となるのか、それとも訂正しなかったことで誤った情報に基づき何らかの処分などがなされたときに、損害賠償の対象となるのか。もし後者ならば権利ではなく行為規範ということだろう。しかし、個人情報の保護を考えるということは、個人情報の利用により感じる不安そのものを法的な利益と捉え、実際に問題が生じる前段階で救済を行うべきである。
→ 実体法上の具体的な権利とするか否かはかなり大きな問題である。裁判官や原告は法律上の権利と明確に規定されていると扱いやすいが、民法上の問題とも関係し、新しい権利とするには相当の議論が必要である。特に履行請求権、損害賠償請求権は今でも民事訴訟で争えるので、はっきり行為規範とされていれば裁判所は対応し、判例が積み重なっていく中で判例法的に請求が確立していくものもあるのではないか。一方わざわざ権利と規定しても、裁判上行使できる場合が大きく限定されることも考えられる。請求の間口の広さと裁判上行使できる範囲の双方を見きわめる必要がある。
→ 苦情処理を強化して権利的なものとする考え方もあるだろう。例えば審査機関を設け不服はここで受け付け、理由ある場合には訂正勧告や命令などを発し、従わないときには公表したり場合により罰則を科すといった仕組みである。
→ 細部はともかく、請求権は認め、できるだけ具体的な履行を認めた方が良いのではないか。ただ、それ以前にしかるべき機関を設けるなどして整理した方が、裁判所としてはやりやすいのではないか。

○ 訂正請求については、元台湾兵の事件に関する判例で、一般論としては人格権として訂正請求権を認めた例がある。

○ 訂正について、評価・認識などに争いがある場合はどのようにするのかという論点がある。双方に争いがあるとき、「付記」をするといった実務もあるが、どのようにするか考えておく必要がある。

○ 訂正請求権を認めた場合、事実の争いについては結局、立証責任の問題となるが、この場合、立証責任をどちらにするかによって、企業に過大な負担となるか、まるで権利救済がなされないか両極端になるのではないか。
→ 立証責任については法律上規定しなくてはならないが、どちらに立証責任を負わせるかは、政策上の問題である。なお、仮に訂正請求権を認める場合も履行の強制は現実には間接強制しかないだろう。

○ 訂正に関する問題として、地方公共団体の例では特に評価や診断が問題となり、これらについては非開示事項としているが、例えば体罰報告書の殴った回数が違うので訂正して欲しい、といった請求がされている。今後このような請求が出されたときの対応を考えておく必要があるだろう。
→ 評価観察情報の訂正請求はかなり出てきそうだが、これは記載者の主観を表しており、争いに決着がつきそうにない。訂正を認めるかどうか問題がありそうである。
→ 対象については条例では「事実」という用語で整理していることが多い。しかし「事実」と「評価」の境界は必ずしも常に明確というわけではない。
→ 資料1「X.本人の関与」「5.開示、訂正等の実施」「○開示、訂正等の方法」で、訂正等の二次取得者への通知が掲げられているのは、限界事例を想定し「付記」と絡めてまとめているのではないか。
→ 地方公共団体の運用例では事実認定自体が難しいので、争いがあった旨を付記し、次に利用する人はそのことが分かるようにしているものもある。

○ 内申書のように評価すべき人が下した評価を公表すると仕事が成り立たなくなる分野もあるだろう。できるだけ開示をするべきという考え方からは、事実についてはできる限り開示した方が良いが、開示についてはその事柄を書いた人、あるいはその属する学校などが判断するべきとも言える。このように考えると、個人情報保護とは何なのか、ということに関わる。記載されている事柄自体が問題なのか、それとも情報が他用されたり、公表され漏洩されたりして、個人の権利の侵害となるようなときが問題なのか。後者だとするならば組織内で評価をし、組織内で留めておく場合にも権利として開示すべきとまでは言えないのではないか。個人情報を保護する利益にも関わるのかもしれないが、個人情報保護の基本論の際に再度検討し、すっきりと説明できるようにしなくてはならないだろう。
→ その場合にも請求権として原則を規定した上で、除外規定を考えるべきである。

○ 個人のプライバシーに関する問題をそのまま公の裁判所で争うのでは個人情報の保護に反することになる。最終的には裁判所による権利保護は当然だが、できる限り組織内部や自主規制できちんと解決できるようにすべきだろう。そうでないと裁判所で争う過程で露出すべきでない個人情報が様々な形で公にされ、問題が生じてしまう。開示等の除外の要件によりそのような問題を防止すべきだろう。
→ そのような場合のため、例えば新民事訴訟法では秘密の文書が提出されたときに備えインカメラ規定が設けられたが、このような手続も考えていく必要があるだろう。

○ 行政的な機関に関して、アメリカにせよ、イギリスにせよ、できるだけ実質的な救済は行政が行うことにより、行政訴訟は内容的にも実質的にもいい方向に行く。紛争を裸のままで裁判所に持っていってもあまり実質的な救済にはならない。なお、対行政についての紛争と民間における紛争は必ずしも一つの機関で取り扱うのではなく、それぞれ別ということも考えられる。

(2)その他

○ 先進国の個人情報保護法では、どこでも@情報公開制度と一体として考えられている、A政府による不当な情報独占とプライバシー侵害、市民的自由への介入・侵害の排除を主眼としている、B自己情報コントロール権を認めているとあり、先進国が具体的にどこの国を指すのか定かでないが、@についてはそのような国は皆無である。またAについて、1970年代の第一世代の個人情報保護立法当初はこうした視点からスタートしたが、今日では民間部門における個人情報の取扱いの在り方が課題となっているのであり、現に昨年の住民基本台帳法改正の際のマスコミ論調も同様であった。
 またBに関連して、イギリスではプライバシー権はコモンロー法上認められておらず、今回98年の改正でも法目的に入れていない。また、ドイツでは情報上の自己決定権が判例では認められているが法文化するかどうかは議論が分かれているところであり、フランスでは今回の改正によりプライバシー権を正面から規定するかどうかを議論しているところである。

(次回の予定)
 次回は、4月21日(金)14時から17時00分まで、総理府5階特別会議室で開催し、「個人情報の取扱いの在り方等」に関する残りの項目及び「事後救済等」について議論する予定。

*文責事務局

*本議事要旨の内容については、事後に変更の可能性があります。

資料