個人情報保護法制化専門委員会

第12回個人情報保護法制化専門委員会議事要旨



1 日 時:平成12年4月21日(金)14時〜17時00分
 
2 場 所:総理府5階特別会議室
 
3 出席者:
園部逸夫委員長、小早川光郎委員長代理、上谷清委員、高芝利仁委員、高橋和之委員、遠山敦子委員、新美育文委員、西谷剛委員、藤原静雄委員、堀部政男個人情報保護検討部会座長
(事務局)
藤井昭夫内閣審議官、小川登美夫内閣審議官、松田学内閣審議官
 
4 議 題
(1)個人情報の取扱いの在り方等についてB
(2) 事後救済等について
(3) その他

5 審議経過

(1) 個人情報の取扱いの在り方等についてB、(2)事後救済等について
事務局より、資料1に従って、「Y.保護制度の法的強制の種類及び程度、各種ガイドライン・自主規制等の仕組みの位置付け」及び「事後救済等」について説明がなされた後、以下のとおり議論が行われた。(→は関連意見及び質問等に対する回答)

○ 個別法に委ねる範囲がある程度明らかにならないとなかなか議論し難い面があり、また論点も多数あるが、あまり細かい議論になると時間が足りなくなってしまうのではないか。

○ 基本法のねらいがどこにあるのか明確にする必要があるのではないか。基本的に守るべき事項については明確に規定するべきではないか。そうすれば、裁判規範となるだけでなく、行為規範にもなるのではないか。

○ 今後様々な状況の変化が考えられることから、全体として弾力的な仕組みとするべきではないか。

○ 救済制度は重層的なもので良いと思うが、各省庁の交通整理をするような調整窓口があっても良いのではないか。

○ ある程度法律の考え方がまとまった段階で、国民等の意見を聞くべきではないか。

○ 個人情報の漏えいやカルテ・内申書の開示等が問題として取り上げられているが、具体的な経済的・精神的被害は何か、守るべきものは何かを明らかにする必要があるのではないか。

○ 基本法の機能としては、予防的な機能を中心として考えていくべきではないか。

○ 民間部門には基本的なルールがないことから、ある程度従来の基本法よりは踏み込んだ内容とする必要があるのではないか。

○ 個人情報保護の基本的なコンセプトとしては、権利利益の保護という側面もあるが、情報化社会におけるインフラの整備という観点もあるのではないか。

○ 自己決定権を自我を保護するための手段的な意味での権利として捉えると、個人情報保護にも同様に手段的な性格があるのではないか。自己情報コントロール権と呼ぶかどうかは別として、何か本体をあれこれ詮索する前の段階あるいはその外側の段階で権利形成をしていこうという発想があるのではないか。

○ 物権法の中での占有訴権のように、究極の権利そのものではなく、それが表徴するところで勝負をつけるようなシステムを考えても良いのではないか。

○ 救済措置に関する条文のイメージとしては、共通のミニマム規定と特別規定の二つの規定から構成されるのではないか。特別規定については、「特に保護が必要な情報については、別に法律で定めるところにより、次の各号に掲げる措置のうち必要なものを定めるものとする。」とし、各号として@罰則を設けること、A無過失損害賠償責任の規定を設けること、B行政庁による措置命令の規定を設けること等を規定するのはどうか。

○ 欧州では、情報化社会に対する信頼の確保という観点から、CBI(Congress of British Industry)など経済界からの要請を受けて法的な枠組みの議論を進めてきたという経緯があり、情報化社会のインフラ整備の観点も踏まえて議論する必要があるのではないか。

○ 誰が、どの段階で、どのような救済を求め得るのか明確にする必要があるのではないか。苦情処理のレベルであれば法的な問題は生じないが、司法的な救済のレベルになると、どれを権利として理解するのかという問題にもなるのではないか。

○ 個人が訴訟を起こしたり、苦情を申し立てることが困難な場合には、行政が関与するしかないのではないか。米ではFTC(公正取引委員会)がそのような役割を担っており、警察的なルールを守らせるようなシステムが必要ではないか。

○ 名簿の漏えい等については、個人がやれることだけでは保護が十分できないのではないか。行政的な監督をしていく仕組みが必要ではないか。

○ 訂正の請求について、内容の訂正ではなく、違法収集を理由とする訂正も請求できるのか。さらに、削除や収集の中止を求めることもできるのか。

○ 結局はこの基本法でどこまで具体的な規定を置くかということではないか。個別法から漏れて、空白になってしまう分野に適用されるのは、この基本法のみとなるため、基本法がプログラム規定だけでは問題ではないか。当面手当てをしておかなければならない部分には、具体的に法律の適用があり、場合によっては、司法的な救済が認められるようにする必要があるのではないか。

○ 消費者保護基本法第4条のように事業者の責務を明確に規定している例もあり、このような規定まで盛り込むかどうかという基本的な問題があるのではないか。

※参考 消費者保護基本法(抄)
(事業者の責務)
第四条 事業者は、その供給する商品及び役務について、危害の防止、適正な計量及び表示の実施等必要な措置を講ずるとともに、国又は地方公共団体が実施する消費者の保護に関する施策に協力する責務を有する。
2 (略)

○ 救済措置については、行政委員会的なものを置くということも考えられる。例えば、公正取引委員会は検察官的な役割を果たす一方で、刑事的・民事的な手続も備えており、成功した例と言えるのではないか。行政改革や規制緩和の時代ではあるが、真に必要であれば新たな機関を設けることも一つの方法ではないか。

○ 実体原則については、権利利益の保障、予防措置、手続の三つの段階に分けられるのではないか。その担保手段としては、罰則、被害者のイニシアティブによる権利救済、行政措置の三つが考えられるのではないか。

○ 民事裁判上、規範として使える原則を規定することができるかどうかが問題ではないか。民事不法行為法の一般原則には裁判規範として機能しているものがあるのではないか。

○ 基本法の骨格を考えるに当たり、行政的な規制については、ある程度各分野の個別法に任さざるを得ないのではないか。その上で、各個別法を方向付ける機能を持たせることも考えられるのではないか。

○ 罰則については、センシティブ情報を収集し得る者を限定する趣旨で罰則を科すことはできるかもしれないが、予防措置や手続の面では、基本法で直接罰則を科すことは難しいのではないか。

○ 公害等調整委員会など行政委員会にもいろいろあり、既存の委員会に委ねる方法もあるのではないか。

○ 救済の方法のうち、刑事的な救済については構成要件を明確にしないと裁判所は裁判できない。民事的な救済については、現在の裁判所の不法行為法に関する救済の議論からは、民法第1条のような抽象的規定では難しいものの、権利とまで書かなくても保護されるべき正当な法益であれば救済はできる。すなわち個人情報が勝手に使われないことに法的保護が与えられているとするならば、損害賠償は可能である。さらに差し迫った状況であれば、差し止めという構成も場合により考えられる。

○ あらゆる紛争がそのまま全て裁判所に持ち込まれるのは好ましくなく、紛争解決機関を経てなお解決できないものを裁判所に持ち込むという構造を基本法にある程度書く必要があるのではないか。

○ 基本法、個別法、自主規制のシステムでどうしてもカヴァーできないのは「悪質な不適正処理」である。違法な手段でしか集められない個人情報を売っているいわばアウトサイダーで、明らかに悪質というものにどう対応するのか。また以前から課題であるが、情報窃盗類型についてはどこにも手当されていない。
→ 情報窃盗類型については構成要件のみならず、捜査上の問題があり、また刑事手続における推定規定が必要となる可能性がある。法務省なども交えて議論する必要があり、この基本法では難しい。なお、情報窃盗類型は従来窃盗罪などで対応してきたが、これでは裁判所もやりにくい。

○ 個人情報については、積極的な保護措置を講ずべきという作為義務を課した方が良いのではないか。労働分野でいう安全配慮義務や安全保護措置に関する規定のようなものがあれば、民事救済としてはやりやすいのではないか。
→ 民事刑事の救済措置は確かに予防的な役割もあるが、個人情報については漏れてしまうとそれで終わりという特殊性があり、行為規範的なものにある程度力を入れざるを得ないのではないか。

○ 労基法などでは安全のための措置を講ずる義務、あるいは安全基準など具体的法措置を設けており、これを根拠に作為請求が認められている。これを参考に、個別法の制定を前提に、個人情報の保護措置を講ずる義務を基本法に書いた上で、具体的な措置については個別法に委ね、作為請求を構築していくという法制もあり得るのではないか。

○ 配付資料2ページの「各種ガイドライン・自主規制等」と3ページAの「指針、ガイドライン等」は同じ内容か。
→ 3ページは国の定めるガイドライン等を、2ページは民間が自主的に作成するガイドライン等を念頭に置いている。
→ 米国の自主規制は行政庁がかなり関与してコード・オブ・プラクティスを作成させている。行政と民間が相互乗り入れした中間的なガイドラインにも着目すべきではないか。
→ 米国は自由というもののかなり行政庁が関与してガイドラインを作成している。ドイツ、英国についても同様であり、民間事業者とデータ保護監督庁の役人がワーキンググループや勉強会のようなものを開いてまとまったものが自主ガイドラインとしていると聞いている。官と民が必ずしも泰然と分かれているものではないのではないか。

○ 諸外国の例として、ちょうど公取委が公正取引規約の認定をするように、法制度上行政庁が認定等を行っているガイドラインはあるのか。
→ 前述の3カ国については認定等はしていないが、コード・オブ・プラクティスについては、民間による自主ガイドラインの作成に、データ保護監督官や監督官庁も関与している。
→ 米国のFTCの場合「公正な取引」でなくてはならないという一般条項があり、認定等ではないものの、コード・オブ・プラクティスであれば、「公正な取引」であるというお墨付きを与えることとしており、コード・オブ・プラクティスがないと、立証責任を転換している。
→ 国内のガイドラインについては、通産省、郵政省は官報で告示し、(財)金融情報システムセンターが策定したガイドラインには大蔵省が関与している。現在基準の一つとなりつつあるのは、JISガイドラインである。ただ実際にこれに準拠しようとすると民間事業者はかなり大変であるので、法律で保護措置を講ずる作為義務を課すのも一つの方法であろう。なお、日本中心で自主規制の世界標準を作って欲しい、といった要望も他国から聞こえてくる。

○ 自主ガイドラインについては、行政がどのような形で関与するかという問題がある。公正取引規約の認定制は独禁法の適用除外をするためであり、このような形では困難なのではないか。

○ 業界ガイドラインが不適切な場合に行政庁が勧告したり、競争業者や消費者による勧告の申立てができるといった仕組みが考えられるのではないか。その際、仮に専門の行政委員会ができたとしたら、その機関が勧告等すればよいが、このとき民間の業界の特質を踏まえて実態から乖離しない勧告をしなくてはならないのではないか。
→ 配付資料2ページ「差別化する役割を果たすのではないか」とは、レベルの高いガイドラインを認め、そちらへ誘導する役割を考えているのではないか。一方、あまりに低いレベルの保護措置の自主ガイドラインをどのようにチェックするのかという問題がある。さらに自主ガイドラインを定めすらしないアウトサイダー的な業者をどうするのか、という問題がある。

○ この基本法では、共通官庁、個別官庁、地方自治体の3つの仕分けを考える必要があるのではないか。例えば苦情処理・紛争処理機関ならば、まず共通官庁がそのような機関を設置し、次に情報通信分野や信用情報分野などの特別官庁が特別機関を設置し、一般組織はそれ以外の残った部分について関与することとし、地方自治体は残った部分について苦情処理・紛争処理機関を設けても構わないこととした上で紛争処理の結論が地域により異なるのは困るので、国の機関へ再審査請求できることにし、紛争解決の統一性を確保することとなるのではないか。開示などの保護措置は個別に考えればよいが、共通的な行政関与の手法を考えるときには、これら3つの仕分けをいろいろな条文について考える必要があるのではないか。

○ この法律の行政上の管轄についてはどのように考えているのか。
→ 管轄を考える上では、個人情報保護の本質的なものは何かが問題となる。この法律が民事上の原則を規律するのか、業の規制となるのか、あるいは公正競争、人権保護なのかそのあたりの法律の作り方次第であり、本質的な部分を見極めてからの議論となるのではないか。いずれにせよ、法案提出にあたっては、政府に責任があるのであり、この法律の行政上の管轄は政府部内できちんとさせるべきと考えている。
→ 自主ルールとするにせよ、そのルールをチェックするならば、規制する機関が必要なのではないか。また、規制に従わないときのため、管轄官庁も必要なのではないか。

○ 私はこの問題を人権の問題であり、プライバシーの捉え直しと考えている。中心は人権であり、これを保護するには2つのアプローチがある。一つは行政の関与であり、行政の規制による保護なのではないか。もう一つは個人の側からの権利救済であり、権利救済としてどこまでできるのかがはっきりしないのが問題なのではないか。全て行為規範で行政から規制するのではなく、部分的には国民の側から権利救済という形でコントロールする仕組みを設けなくてはならないのではないか。

○ 国内の個人情報保護については、各省庁がそれぞれ取組を進めており、この専門委員会での結論を関係各省庁が注目している。

○ 検討する上で重要なのは、どこがポイントかを見定めて運用する行政機関を判断することである。自主規制を仕組みの中心としたとき、自主規制は業界所管官庁が指導することとなるが、行政に対する現時点での一般的認識としてそれではいかがなものか。業界の所管とは違う目で制度を作り、運用する必要があるのではないか。

○ 地方分権といっても、苦情処理などについて基準が地域によりバラバラという訳にはいかない。苦情処理について、処理機関を階層的に設けるだけではなく、地方公共団体が集まり、基準の平準化を図るための会合を開催するといった対応なども考えられるのではないか。いわばフェデレイションのようなものである。
→ 地方の自主的判断を重視すると、任意に苦情処理機関などがおかれることになるが、個人情報は全国民に保障しなくてはならない共通の問題であることを考慮すると、フェデレイションだけでは保障が地域によって漏れるおそれがある。

○ この法律の目的のイメージだが、個人の権利の保護か、業に関する規制か難しいものの、「個人情報の処理をする者は適正な処理を行って、個人の権利保護を図る」などのように最終的には個人の権利保護に行き着くのではないか。ただ、この法律では手段性の法規制が重要となり、「個人の情報を取り扱う事業者は〜しなくてはならない」あるいは「〜してはならない」といった条項が数多く入るのてはないか。一方、開示・訂正では「情報主体は・・・」という主語が入るのではないか。

○ この法律に規定する事項として、@個人情報は守られなくてはならない。A情報主体も個人情報を提供する場合は気を付けなくてはならない。B情報保有主体となる事業者は自らコントロールしながら、出せる個人情報、出せない個人情報を振り分けて、区別して処理にあたらなくてはならない。しかし、Cいざというときのため救済措置がある。ただ、行政的な規制というより、自主的な取組が奨励された方がよい。その意味で、Dガイドラインは、法的な機関が逐一認証するよりも、盛り込まれるべき要件を明示しておき、この要件が盛り込まれた自主規制などに従い事業主体などが自らコントロールしていくことを奨励していくのがよいのではないか。そのようなガイドラインにつき個人情報保護の精神に則っているか争うことができ、申し立てて審査できるとした方がよいのではないか。仮に行政委員会などができたとしたら、最終的にそこが判断できるようにすれば良いのではないか。
→ 認証マークのようなものを設けるべきという趣旨か。
→ 認証までは不要なのではないか。ただし認証マークなどを業界団体の作業を通じて運用していけば個人の側からするとわかりやすいと言える。また事業主体も協力しやすい上、また、そこでは公平な取扱いが担保されるという意味で利点がある。しかしながら、行政がそのような認証に逐一関与するとしたら、煩雑でもあり、適切といえるのか疑問である。
→ 数年前の調査で、カリフォルニア州の製品安全のケースだと思ったが、民間のマークを政府の認証に代えるという方法を採っていた。認証でも様々な手段があるのではないか。
→ 認証に関しては、個別の領域でまかなえるのではないか。基本法で規定すべき事項は、情報保有主体が注意すべき事項であり、その他に事業主体・業界団体内でマークを設けることもよい、という内容となるのではないか。

○ 救済の問題に関して国と地方公共団体についてはできるだけ重層的なものを設ける、という点についてはサービス的なものであり、よいのではないか。問題は苦情処理などに法的な拘束力のあるものとしては何を作るかである。最後は裁判所が解決するのだろうが、その前段階としての法的な力のあるものについては、基本法で設け、かつそれは一つ作ればよいのではないか。不服審査のように上級審を設ける必要はなく、おそらく行政委員会的なものができたとしたらよいのではないだろうか。この行政委員会的なものを設けるという考え方は、一方で情報の有効利用、一方で人権の保障があり、双方にかかわる行政官庁を含めた組織を考える必要があるという点で利点があるように思われる。この行政委員会的なものは、あわせて不服処理の最終的な法的な権限をもつだろうが、この判断について従う義務を負わせ、従わない場合には何らかの制裁措置をとることとするのが良いのではないか。そしてそれ以外の救済手段は奨励する程度とし、個人の側からはメニュー的にどれでも選び、救済されるとするという感じでよいのではないか。

○ 特に重要なのは、個人がコントロールできるシステムを作るということである。個人に実害が発生したときにこれを争うことができるとするのは今まで通りであり、それ以前に予防的にできるということを権利として認める必要がある。特に、個人の側から見て、一番困るのは目的外利用であり、誤った情報については開示・訂正ができることも考えると、それ以外の情報に関してチェックする仕組みとして目的外利用に着目し、目的外利用を個人がストップできるような仕組みがいいのかもしれない。
→ 確かに究極の目的は個人の尊厳につながる人格権の発展であり、しかもこの情報化社会に生きていく者の人格権の発展を守るための法律なのではないか。人権の側面については、情報権力者から守るという意味できちんと規定する必要がある。一方で情報化社会に安心して生きるためにインフラの整備として交通ルールをきちんと定め、こちらは自主規制にうまく誘導できるようなシステムをきちんと作っておけばよいのではないか。2番目に、国と地方公共団体の関係については、地方は現在民間部門を除けば審査会等を作り積極的に対応しているので、これを尊重するような仕組みがよいのではないか。その際、行政委員会については現実的な問題だが、裁決機関とするのか、諮問機関とするのか、また行政がどこまで関与するのかなどについて情報公開の際の議論が参考となるのではないか。この点は官民の議論であり、民間についてはまた別の議論となるのではないか。最後に、目的外利用に関して、「目的拘束」はおそらく他のルールよりも次元が高いのではないか。

(3)その他
 中間公表案の素材を作成するため、小早川委員長代理を中心として、高芝委員、新美委員、藤原委員を起草委員とすることとした。

(次回の予定)
次回は、4月28日(金)14時から17時00分まで、総理府5階特別会議室で開催し、「個人情報保護の必要性と法目的」、「プライバシー権、自己情報コントロール権」、「保有主体等」、「対象情報」について議論を行う予定。

*文責事務局

*本議事要旨の内容については、事後に変更の可能性があります。


資料
資料1 個人情報の取扱いの在り方等
参考資料 紛争等の処理に関する法令上の規定の例