個人情報保護法制化専門委員会

第2回個人情報保護法制化専門委員会議事録



1.日 時:平成12年2月7日(月)10:00〜12:00
 
2.場 所:総理府3階特別会議室
 
3.出席者:
(委員)園部逸夫委員長、小早川光郎委員長代理、上谷清委員、高芝利仁委員、高橋和之委員、遠山敦子委員、新美育文委員、西谷剛委員、藤原静雄委員
(事務局)藤井昭夫内閣審議官、小川登美夫内閣審議官、松田学内閣審議官
4.議 題:
(1)個人情報保護に係るOECD、EU等の動向について
(2)諸外国における関係法制等の現状について
(3)我が国における関係法令等の現状について
(4)今後の検討の進め方について

【園部委員長】 おはようございます。ただいまから、「個人情報保護法制化専門委員会」第2回の会合を開催いたします。なお、本日は、堀部座長が御都合によって欠席されております。

 早速、本日の議事に入りたいと思います。

 本日は、式次第にございますように、OECD、EU等の動向、諸外国及び及び我が国における関係法制等の現状について説明を聴取し質疑を行います。説明聴取と質疑は大きく3つに分かれておりますが、1)と2)は合わせて行うことにいたします。

 なお、その後、今後の検討の具体的な進め方につきましても、御相談させていただきます。

 それでは、まず、OECD、EU等の動向及び諸外国における関係法制等の現状について、藤原委員から、両方合わせて御説明をお願いいたします。御説明は約50分、その後30分程度を関連の質疑に充てたいと思っておりますので、よろしくお願いいたします。それでは、藤原委員、どうぞよろしくお願いします。

【藤原委員】 藤原でございます。

 それでは、ただいまから、「個人情報保護をめぐる諸外国の動向」ということで、50分程度お話しをさせていただきたいと思います。初めに、私に与えられました本日の報告のテーマは諸外国の動向でありますが、2つお断りしておかなければなりません。

 第1点は、事務局の要請もあり、部会の共通認識形成の一助とするために問題を歴史的かつその背景に立ち返って、簡単にではありますが、振り返ってみる作業を多くしております。したがって、各国の法制の詳細は別の機会あるいは今後の部会での議論の中で紹介できることを前提にしております。

 第2は、資料の制約でございますけれども、資料の細かい部分について、一応97年〜98年ごろまではフォローしているつもりでございますが、99年以降、最新の状況は変わっているかもしれませんので、念のため申し上げておきます。

 まず第1に、レジュメをごらんいただきたいのですけれども、「個人情報保護法制の発展の歴史」というところでございます。そこに「『個人情報』保護とは何か」と書いてございます。これは議論の前提として、法律をつくる場合にも必要でありますけれども、「個人情報」保護における個人情報とは何か。特にプライバシーとの関係が問題になっておりますので一応ここに書いておきました。

 個人情報の定義そのものは、御承知のように、総務庁所管の公的部門の電算処理に係る個人情報保護法、昭和63年、1988年法の2条2項に定義がありますし、近時の情報公開法における定義も同様のものであるといってよいと思います。一般的には同心円を書いてみて集合を示した場合に一番外側の円に個人情報が来る。その内側にプライバシー情報と呼ばれるものが来る。更に一番内側に人格の核となる機微なプライバシー情報が存在するという説明をもなされるところでありますけれども、ただ、ドイツの判例やアメリカの立法のように、情報の価値は利用形態との関係で決まるということを重くみる別の考え方もあるところであります。

 いずれにせよ、ここでは個人情報とは何かの問題はひとまず置きまして、個人情報保護で議論されてきた問題に3つの側面があるのではないかというところから議論を始めさせていただきたいと思います。

 個人情報保護の問題の比較研究として著名なものに、どちらもカナダの大学の研究者でありますが、C.J ベネットという政治学者と法学系のデビット・フラハティーという人の著書がありまして、前者のベネットのものは、英・米・独・スウェーデンの4各国を対象としています。フラハティーのものは、これにカナダとフランスが加わるものですけれども、その2冊がありまして、各国の法制の比較研究をしておるのですけれども、この中で、例えばベネットは、大ざっぱに言ってしまうと、データ保護といわれる問題には3つの側面があることを述べているわけです。

 まず第1でありますが、レジュメに打っておきましたように「人格権」。人格の尊重ということで、現代のプライバシー保護論者の中にはこの論点のみでプライバシー保護の立場を正当化できるとするものも多いわけであります。この立場ではプライバシー保護の議論すなわち個人情報保護の議論となるわけです。ですからプライバシーを支える価値観として人格権保護の性質や起源を探る議論をすればよいことになるわけです。例えば、プライバシーは個人の完全性の基礎であるとか、あるいは自動記録システムは非人間的であるといったことを強調する立場がこれであります。この立場というか側面は、個人情報に対するコントロールの低下の結果生じた人間の尊厳、自律性の低下という認識がプライバシー保護の核であるということであります。

 次に、この立場でありますと、情報技術の利用の制限は、ある意味で言えばテクニカルな技術的な制限、基準というより倫理的な基準の意味合いが強くなります。

 もう一つは、第2の層といわれるものは「政治形態」と関わるものでありまして、これは我が国でもよく言われておりますように、情報技術が専制的な支配の手段となるという問題であります。つまり情報を取り扱う能力に関わる技術的進歩があって、それがデータの広範な操作と分析に取り組むという傾向を生む。それが更にビューロクラシィーの常として多数の様々な人々に関するデータの収集を促し、結果として個人から多くの情報が引き出される、これが問題であるという認識です。

 例えば、ヨーロッパ大陸のデータ保護立法の最大の動機は、ナチズム、ファシズムの再来を防ぐことという簡単な紹介がこれに当たるかと思います。これはジョージ・オーエルの1984年の世界を言っています。

 ここでは、プライバシーというのは、個人と国家を仕切る壁であると同時に、市民社会内部をも仕切る壁なのですけれども、こういう考え方に対しては、どのような形の民主主義を前提とするのかという点を検討する必要があるのではないかという反論というか分析がなされております。つまり個人主義的で非共同体主義的な民主主義、ある意味ではマーケティング、市場原理になじむのかもしれませんが、個人主義的であって非共同体主義的な民主主義が1つの前提で、ある意味で言えば、「参加」という概念をそれほど強調する民主主義ではないことということになるわけです。

 3番目の層でありますが、これは「道具性」というものでありまして、これは前二者と違いまして、「データ保護」というコンセプトは、ほかの権利や利益を増進する手段として役立つという側面。つまり、コンピュータ化の進展により、個人の私生活が様々な機関の目にさらされるようになって、その情報に基づいた不利益な、経済的あるいは社会的決定がなされるのではないか、それこそが問題なのだと。逆に言えば、個人というのは自己についての情報が正確・適切・最新であることの確保について利益を持っている。その個人が承認した場合にのみ、その情報は利用を許され、そして、その情報を知る必要のある者以外には伝達されない。

 これは具体的な例を申し上げますと保険や信用といった領域で決定を下す第三者によって、データの取り扱いのプロセスから一般市民が排除されてしまっている。それが問題なのである。逆に言えば、そこのところの安全を確保すれば、データ保護の問題は、経済の財としては優れた働きをするのであるという考え方で、これはOECD勧告にも少し見られるものであります。

 これについても問題点が指摘されておりまして、この考え方でありますと、要するに収集、集める段階の問題は射程に入ってこないのではないかということが言われています。いずれにせよデータ保護の問題は複合的に議論されているわけですけれども、実は今申し上げましたように、人格権の側面からのアプローチ、政治形態、更には経済的なアプローチが複雑に絡み合っていて、もちろんこの3つはそれぞれ切り離せないわけでありますが、人によってそれぞれの部分に光をあてて議論をしているのではないかということが言われます。

 次に個人情報保護の問題の出発点。今日このような専門家委員会で個人情報保護の立法をしなければならないというわけですが、そもそも大もとをたどってみると、どういう形で生じてきたのか。これから申し上げますように、主要な先進諸国はどこも同じようなパターンで問題があらわれているという特徴がございます。

 まず第1に、レジュメに「3つの共通問題」と書いておきましたけれども、1960年代後半〜70年代半ばに個人情報保護の問題が出てくるときには、ここに書いてございますのは、データバンク構想、国民背番号制、国勢調査の3つですが、この3つのものがどこの国でも、全てがあらわれた国もありますし、この中の2つという国もございますが、登場しているということでございます。

 これについて主要国に例をとりながら少しお話しをさせていただきますと、アメリカは1966年に連邦機関が作成したコンピュータ及びその他の機械の読み取り式データを入手する権限を持った連邦データセンターを設立することを提案したということであります。

 これは後に申し上げますが、アメリカという国はクレジット社会でありまして、消費者信用が個人生活の生命線である。この分野からプライバシーやデータ保護の危険性の問題が市民層に意識されていたわけです。しかしながら問題の出方としては、1965年〜1966年のナショナル・データバンク構想が引き金になっています。これは結論的には、全国民的な反発を受けて実施されなかったのですけれども、各連邦の機関が個人データを大量に蓄積しているという事実は非常によくわかった。

 後で申し上げるように、こういった状況の中で社会福祉や医療のコンピュータ処理というアメリカで先行していた分野を管轄している連邦保険教育福祉省が報告書を出しまして、その影響もあってプライバシー法ができることになってくるわけであります。いずれにせよ、このデータバンク構想は、国勢調査のデータに歳入庁、社会保障局、その他の連邦機関のデータがまとめられて、政府関係者と民間の調査機関もアクセスできるといったことを考えていたわけであります。それが個人情報保護の問題を引き起こしたことになるわけです。

 そしてこの例の後ろから2番目に書いてありますスウェーデンも同じようなものでありまして、ここは後で申し上げるように他の国と少し問題の出方は違うのですが、それにしても1963年には既にデータバンク化の構想は進められていた。ここでも国民背番号化を行った国勢調査局というものがあって、このデータは統計目的で集められていたわけでありますが、立法の不備ということもありまして、個人情報の集中管理が始まるのではないか、管理社会といわれるものの危険性が議論されたわけであります。

 イギリスでも運転者、自動車の免許センターがございまして、同じように問題になっていました。

 ドイツでは、州レベルが実際にいろいろな問題を把握しているのですが、既に地域開発や都市計画といった目的で、1970年代の初めまでには全ての州が中央データバンクを持っていました。例えば、ヘッセンという州では、1960年代の終わりまでにはヘッセンプランに基づいて州政府のデータバンクを持っていた。このプランを実行するのならば、プライバシー保護の問題が危惧されるということで、このレジュメにございますように、1970年に州レベルも国と考えれば、世界で初めてのヘッセン州のデータ保護法ができたわけです。

 連邦レベルでも同じような展開をしていたのですけれども、1971年連邦レベルでも情報バンクシステムという名の個人データバンク構想が話題を呼び、これは失敗に終わっていますが、データバンク構想が問題を明らかにしたということが言えるわけであろうかと思います。

 フランスでありますけれども、1974年の行政ファイル、個人台帳自動システムの導入計画がきっかけで法律の制定がなっている。これは国立統計経済研究所が作成しました全フランス人の個人識別台帳の識別番号としての社会保険番号です。ただし、それは既に租税と教育行政にも利用されていたのですが、これを全ての行政機関に拡大しようとした。これをル・モンド紙が「サファリー」とか「フランス人狩り」とセンセーショナルに書き立てたことがきっかけになったわけです。

 このように、各国とも、ここに挙げておきました3つの要素、データバンク構想、国民背番号制、国勢調査がきっかけとなっている。

 特に国勢調査について補足しますと、1983年、ドイツでは、国勢調査の項目が余りにも詳細であるということで、憲法異議が出されまして、そして連邦憲法裁判所は憲法違反であるということを言って、たしか1億マルクのお金を投じていたものをストップさせてしまった。1983年の国勢調査判決以来、ドイツでは個人情報保護の問題は新たな局面を迎えることになっています。このように問題が出ていたということであります。

 3番目は、それぞれの立法の時期ですが、レジュメの3番をごらんいただくと、ヘッセン、スウェーデン、アメリカ、ドイツ、フランス、1970年代後半、これはいわゆる「第一世代の立法」と呼ばれるものでありまして、かなりいろいろな個人情報保護法のモデルがあるのを各国がそれぞれ実験的に使ったというところがございます。これは後で触れることになります。

 その次が、ある意味で「国際化の時代」とここには書いておきましたが、国際化の時代といいますのは、1980年にOECDの理事会勧告が出て、そのことをきっかけとして、世界的に個人情報保護の問題が議論されるのですが、実はその背景と申しますか、その前に、個人情報保護の問題の出発点のところで(警告・啓蒙書)と書いておきましたが、世界各国にコンピュータとプライバシーに関するかなりの出版物が出てくる。例えば、アメリカでありますと、今日でもなおアメリカの立法に大きな影響を与えているというより、飛び抜けて重要な影響を与えていると評価されるアラン・ウエスティンというコロンビア大学の名誉教授でありますが、この人の『プライバシーと自由』という本がある。更に、これは我が国でも翻訳されておりますが、アーサー・ミラーの『プライバシーの侵害』というのが1971年に出ている。ドイツでもポドレッヒという人の『番号をつけられた市民』、番号付の市民、そういう本が出ている。もちろんアメリカはかなりジャーナリスティックな本が多くて、ドイツはエリート層向けのある意味で法律学的な色彩の強い本が多かったということがあるのですけれども、こういうものが各国に紹介されていたという事情も大きな要因の1つに分析されているところであります。

 そこでもう一度OECDの理事会勧告の方に戻りますが、諸外国の動向を見るときに、常に出発点とされるのがOECDの理事会勧告でありますが、これは大型のコンピュータの導入によってネットワーク化が進み、他方でマイクロコンピュータによって分散処理の割合が高まってきたことで、各国いろいろな法律をつくっていたのですけれども、お手元の資料1(2)がOECDの理事会のガイドラインでございますが、OECDがモデル的な考え方を示したわけです。

 このガイドラインにつきましては、いろいろな見方があるのですが、プライバシーの保護と個人データの自由な国際流通との調和を考えているところも重要な要素であろうかと思います。

 お手元の資料の1(3)「プライバシー保護と個人データの国際流通についてのガイドライン解説メモランダム」という若干厚めの資料をごらんいただきたいのですが、これの2ページに「はじめに」と書いてございますが、要するにプライバシー保護法がそれぞれの国で異なった形態をとっている、現在でも立法化が進んでいるけれども、これは情報の自由な流通に障害をもたらすかもしれないといったことがあるわけです。

【園部委員長】 これはどこがつくったのですか。

【藤原委員】 これはOECDのこちらに出でおります専門家グループです。

 そこに書いてございますように、国際的な取り組みが要ると。特に背景ということで言いますと、情報産業で圧倒的な優位を占めておりますアメリカと、ある意味では個人データ保護で国外処理はできるだけ制限しようと考えておりましたヨーロッパ諸国の利害がぶつかっている。この構図はインターネット社会の今でも余り変わっていないわけでありますが、そういうことも制定のきっかけではなかったかということが言われております。

 ただ、このガイドラインは、5ページの5をごらんいただきますと「個人データの収集は、データ収集者の目的及びそれに類した基準に限定すること」やいろいろ書いてありますが、7ページの9の2つ目のパラグラフをご覧いただきますと、「実際、人や商品あるいは商業的及び科学的活動の国際的な交流という観点からすれば、データ処理に関して共通的に規制を実施することは、データの国際流通ということが直接関係していない場合においても、有利なことになるであろう」、こういう認識があったということであります。

 このガイドラインはいろいろ言われているのですが、内容は2でもう少し詳細に紹介させていただくとして、これが今申し上げたような理由で国際的な枠組み作りのスタートとなった。

 今度は資料1(4)として訳を用意していただいたCouncil of Europe (欧州評議会)と呼ばれるところの出している 108号条約がある。我が国では、我が国がOECDの加盟国でありますから、OECDの8原則に始まる勧告がもっとも有名でございますけれども、ヨーロッパの場合は、ヨーロッパの内部の国々の人的交流も含めて、非常に小さな国も入っておりますし、この条約はかなり重要なものであると評価されています。ただ、内容については、OECDの理事会勧告とそれほど異なるものではないことになります。

 1985年には国連人権委員会の個人データの保護に係る草案が出ている。

 1990年にはEC理事会の指令提案も出ています。

 1990年には同じく国連総会決議、国連で自動的データファイル内の個人データに係る勧告を決議して、各国の関係者に適法性、信義則の遵守といったような諸原則を守るように要求している。しかし、これは第一義的にはあくまでも国際機関内における個人データ保護を念頭に置いているということであります。

 それから、先ほどの1990年のEC指令でありますが、これは1990年の理事会指令提案は、ある意味では言えば、かなり非実用的であるという評価がなされまして、非実用的とはどういう意味かと申しますと、政党、宗教団体、マーケティング業界、金融界から非常に強い反発、特に金融界等から非常に強い反発が出ました。1995年の指令はそういう意見を反映した、よく言えば現実的、悪く言えば妥協の産物になっているということであります。

 これは8条の2項、13条といったものをごらんいただければおわかりのところだと思います。これも後でもう一度触れることになります。

 1996年には、ILOコード(労働者の個人データの保護に関する実施コード)というものも発せられております。これは個人データの組織的な収集、検索の危険性というところから始まっております。組織的な収集、検索ということになりまして、コンピュータ化された検索技術、自動化された個人情報システム、更に労働の場における電子機器による監視。ただ、この監視は別に見張ることだけではございませんで、労働者の保護のために、危ない施設等での作業は監視する必要があるという意味も含む監視であります。

 それでありますとか遺伝的なスクリーニング。これも労働者をしばるときもありますし、例えば化学物質等にアレルギーを持っている方々はそちらの部門には行けない、そういった実際の要求もあったり、あるいは薬物検査といったものも規定されている。かなり新しい時代の要請が出てILOコードが出ています。ただ、このILOコードは、どのくらいの実効性を持っているかといいますと、ILOのコードでありますから、一応世界の国々に勧告をしているわけでございますけれども、実はヨーロッパとアメリカも含めて、主要国では独自にその国の個人情報保護法を重視していて、ILOコードを重視しているとは言い切れないようでございます。ヨーロッパ等では「EU指令の方がレベルが高い」からと、その一言で片づける向きもあるようでございます。

 これが国際化の時代ということで、後でOECDの理事会勧告とEU指令についてもう一度触れさせていただきます。

 次にこういう時代を経まして、5番目に「ネットワーク社会・ゲノム社会と情報倫理の時代」と書いておきました。これはドイツのヘッセン州のデータ保護監察官であったハーゼマーという人が言っている言葉に象徴されていると思うのですが、先ほど申し上げましたように、世界各国では、国勢調査等の公権力による人格権の侵害があるのではないかというところでデータ保護の問題が始まってきたのですが、ハーゼマーは今たしか連邦憲法裁判所の裁判官ではなかったかと思いますが、彼の言葉によれば、「今日の情報技術は牙と爪をけだもののように見事に操って市民の欲望をそそりつつ立ち向かってくる」。つまり時間を節約し、的中率を高め日常生活に彩りをもたらし新たな次元を切り開く。クレジットカード、健康カード、テレマーケティング、双方向のメディア、テレショッピング、インターネット、そして生物学的な判定法。要するに心地よいカラフルな、ふだん着で身をつつんで情報技術が市民に対している。つまり、かつてと違って国勢調査員の制服を着て市民に向かっているわけではない。つまり国家ではなくて企業が個人のプロフィールを描くことが可能になった時代なのだ。極論すれば、行政は民間のデータベースを利用するやり方もある。そういうことを言っておりまして、時代が少し変わってきたことを強調しています。

 この言葉は、民間部門の規制の必要性を語る言葉としてよく引用されますけれども、ここに書いておきましたインターネット、電子商取引、遺伝子情報、データセキュリティといった問題がそうです。

 それから、ここにありますデータセキュリティといいますのは、個人情報保護の問題とデータセキュリティの問題はよく一緒に議論されるのですけれども、これは先ほど紹介した啓蒙書の中の1つで、初代のドイツのデータ保護監察官であるハンスペーター・ブルという人が書いているのですが、彼は、個人情報保護というのは個人情報を守るのではなくて人格権を守るのだというわけです。「個人情報保護」という言葉はミスリーディングで非常に技術的な印象を与えてしまったと。彼は人格権を守るという点を重視するのでそう言っているのですが、つまりデータ・セキュリティの問題は、個人情報そのものを組織的、技術的措置で守ること。これと個人の人格権を中心とした、あるいは個人の法的な利益保護の問題とは本当は区別して議論すべきなのだということを言うわけです。

 ただ、データ・セキュリティすなわちデータ保護だという場合がございますので、一般論としてはそうは言えてもという難しい問題が当然生じてくるわけであります。

 その次に、ゲノムでありますとかインターネットの中では、かつて医の倫理と言われたように情報倫理の問題、情報教育の問題、行政のスタイルの転換の問題が言われています。一般市民あるいは情報に携わる者の倫理と、最近のヨーロッパ等で言われている行政情報をかつてのように多くとるというよりは、必要最小限度の原則、量自体も収集を必要最小限度にすべきではないかという議論でございます。この30年ぐらいで随分議論が変わってきたことになります。

 以上が歴史的な話でございまして、次に残りの時間で国際機関の動向でありますが、先ほどOECDの理事会勧告の話をさせていただきましたが、このガイドラインにつきましては、先ほどの資料1(3)の14ページをごらんいただくと詳細さのレベルの問題が書いてございますが、要するにOECDの立場は、個人データの保護の在り方は各国の法制度や伝統・文化といった社会的基盤の違いにもよるだろうということで、ある意味で国情による齟齬というかある程度の揺れは許されることがあるというものです。ミニマム・スタンダードであるということです。詳細さのレベルの真ん中ぐらいに、「ガイドラインは、概して、加盟国による協調行動のための一般的な枠組みになっている。ガイドラインが提起している諸目的は、加盟国によるガイドライン実施のための法律的手段や戦略に基づき、それぞれ異なった方法で追求されであろう。」そのようなことが書かれています。

 このメモランダムにはおもしろいことがほかにも書いてございまして、本筋から外れるので省きますが、15ページに、法人にプライバシーがあるかという話がありまして、これは先ほど名前を出したウエスティンはあると言っているのですけれども、ある意味で興味深い論点がほかにも出てきます。

 それから何と申しましても、内容でありますが、これは22ページ以下にいろいろな原則、第7条から収集制限の原則が14条まであるのですが、50頁のところに「最初のコメントとして、まずこれらの原則は、相互に関連していたり、部分的に重複していることを指摘しておきたい。」と書いてあるのですが、そういうわけもありまして、この8原則と呼ばれているものを5つに整理したのが、たしか昭和62年の総務庁の加藤先生の研究会だったと思いますが、我が国では5原則と呼ばれているものであります。

 収集制限の原則、データの内容の原則、目的明確化の原則、利用制限の原則、公開の原則、個人参加の原則が書かれていることになります。これは御承知のように、我が国を始めとしていろいろな国の立法に大きな影響を与えています。

 それから、EU指令でありますが、資料で申しますと資料1(5)に訳がございます。これは堀部先生の研究室の訳であろうかと思いますが、最も新しい訳でございます。これはEU指令と呼ばれていますが、我が国では御存じのようにEU指令の二十五条以下、二十六条に「第三国への個人データの移転」という条項がございまして、適正な十分なレベルのデータ保護法制を持っていない国には、EUの加盟国の域内からのデータの移転が禁じられるという条項がありまして、1990年に指令提案が発表されて以来、我が国ではその真偽あるいは適切なレベルとはどの程度のレベルなのかを中心に議論が推移してきたわけでございます。

 結論を申し上げれば、法的な問題であると同時に政治的な問題で、もし違反したような国があれば、それはEU委員会の中で、データ保護の委員会が出てきて各国間の個別交渉になりますので、必ずしも法律で割り切れる問題とは限らないということです。それと現実の問題としては、最近は個別企業との契約という手法によって、二十五条、二十六条は、特に二十六条で例外的措置として、個別の契約でカバーできるのではないかということも言われております。特にこれはアメリカを念頭に置いてそういう議論がされているところであります。

 このEU指令の要点を少し申しますと、条文をごらんいただきながら説明をさせていただきますが、第三条あたりをごらんいただきますと、全部又は一部が自動的に処理される個人データ。自動的に処理されなくてもファイリングシステムに蓄積されている、あるいはされる予定であれば適用される。

 マニュアルについては、データ処理原則への適用は12年間猶予が与えられている。実務的に重要なのは、マニュアルとデータ自動処理といった場合に、一部分が自動的な処理でも一応規制対象にするというようなことを言っている点であろうかと思います。

 それから、データ処理の適法性は、一定の完結した許可要件を満たさなければいけない。それは例えばデータ主体の同意によっても処理が適法となるのですが、先ほど情報倫理というお話をしましたが、二条の(h)をごらんいただくとわかりますように、例えば、処理の目的や事情に関する情報が必要である。一言で言ってしまえば、EU指令は、インフォームド・コンセントの考え方を採用しているという読み方もできるわけです。

 あと、機微な情報が八条に出てまいりますが、「労働と健康」、つまり労働法と医療関係になると思いますが、これについては特別な例外がある。例えば、守秘義務を負う医療専門家等による場合には同意がなくても許される。それからデータ主体の権利。開示請求権、以下十二、十四、十五あたりに、自動データ処理による個人に関する判断への関与権、要するにこれはコンピュータによるプロフィールには服せしめないということであろうかと思います。

 十七条でセキュリティ、処理の安全性の問題。技術的措置及び組織的措置が定められている。背後にあるのはデータの節約、匿名か仮名かという考え方でもあるという点も申し上げておきたいと存じます。

 届出等のシステムについて、事前許可、コントロールは例外であって、原則としては事後的なコントロールとすべきあることが前文の五十二というところに書いてあります。事後的なコントロールであるということです。

 免除方式もいろいろありますが、詳細はまたお話しする機会もあろうと思いますので、ここでは省略させていただきまして、監督機関ではEUレベルで設置される個人情報保護グループが重要な役割を果たすだろう。これはEU各国の規制機関の代表及びEUの代表から成る諮問機関です。我が国でいう○○委員会というものですが、それは各国の制度の調整機関ではあるが、しかし専門家会議で非常に強い影響力があると言われております。

 第三国への移転は先ほど申し上げたような、契約による、例えば契約の実施又は契約締結前の措置の実施のために必要である。例えば国際間の支払い委託、ホテル等の国際間の委託。

 個人データの処理について責任を有する者が十分な保護措置を提示していれば、二十五条二項による十分なレベルの保護を保証しない第三国への個人データの移転を許可することもできるという規定。この例外規定をどのようにうまく使うかというのが現在のEUとアメリカの議論であると言えます。

 次でありますが、主要国のデータ保護の動向との関係ですが、ここではもはや詳細な議論をしているいとまはないのですが、各国法制の概要そのものは、資料1(6)でございますが、Council of Europe の97年版をたまたま持っておりましたので、事務局とまとめてみたものでございます。

各国法制の概要ですが、先ほどモデルと申し上げましたので、それとの関係だけ少しお話をさせていただきたいと思います。それは何かと申しますと、各国がデータ保護法をつくるときに5つぐらいモデルがあるということが言われたわけでございます。

 第1は自主規制モデルであります。自主規制モデルを現実にとっておりますのはアメリカであります。アメリカという国は、先ほど申し上げましたように、クレジットとの関係で個人情報保護法が非常に早くできたのですけれども、その後、個人データの利用の可能性を探る試みのみがレーガンエコノミックスによって推し進められた。

 資料1(7)の各国の制度の概要にございますように、もちろんセクトラル方式をとっておりますので、○○法という民間部門で個別の立法はその時どきの議会の要請等でなされるわけです。しかし、包括的な法律ではない。包括的な法律は74年のまま止まって、新たな問題が来るとセクトラルで○○法が来る。例えば、一番最近でありますと、資料1(7)の9ページの10に書いてあります「子どもオンラインプライバシー法」。子どものプライバシーに関する法律。

【園部委員長】 1(7)の10というのは何ですか。

【藤原委員】 1(7)の9ページ目ということでございます。すいません。

【園部委員長】 一番最後ですね。

【藤原委員】 はい。例えば、一番最近であればということですが、そういうものをつくっているということです。ただ、「子どもオンラインプライバシー法」とは、13歳より下の子どもからデータとるときは親の承諾が要る。使うときも同じようなものであるという法律ですけれども、その時どきで重要なもの作っている。原則は、アメリカは、一言でよく言われる自主規制と民事訴訟である。これはアメリカの法律の2条にもあるのですが、連邦機関は個人の権利侵害のあらゆる故意ある行為の結果として生じた損害に対して民事訴訟の対象となる。

 ということは、前提となっているのは、訴訟をいとわない市民層と情報技術という専門外の技術的な問題についても判断能力を持ち合わせているという前提で裁判をする裁判官。他の分野と一緒なのですが、自主規制と民事訴訟がアメリカモデル。自主規制を今貫いているのはアメリカであろう。法律はあるのですが実態がそうなっているということです。

 次に、データ主体によるコントロールということですが、これは個人によるコントロールに任せるというシステムです。しかし、これだけをとっている国はどうも見当たらないようでございまして、これは要するに個人が自ら積極的に自分の権利を守ることですが、例えば開示請求権といったものを行使するわけです。これは事の性格からいうとほぼ全てが事後的な救済になるということであります。

 それから、許可制というモデルが3つ目に考えられたわけですが、これをとりましたのは、この各国法制の概要の中にはございませんが、スウェーデンという国がそうであります。スウェーデンは初めに許可制をしいたのです。これは世界各国のモデルというか実験場になったわけですが、これはスウェーデンの特殊な事情があるのだと思いますが、予防的に実験的な行政の試みができるということで許可制をしいた。しかし、とても無理だということがわかってライセンス制で一定の資格のあるものは個人情報が扱える。ただ、特定の例えばセンシティブなデータを収集するといったようなときだけ許可に服せしめるという考え方を途中でとりました。しかし、それも更に今度の改正で登録制に移行してきた、こういう経過があります。

 それから、データ保護オンブズマンをつくるというシステム、これはドイツのシステムですが、このドイツのシステムは妥協の産物であると言われております。監督形式が本当は望ましかったのですけれども、かなり許可に近いものを当初考えていたらしいのですが、行政当局と議会との、官僚機構と連邦衆議院、下院との綱引きの結果、内務省に属するが身分は独立であるというデータ保護オンプズマン、コミッショナーと呼ばれているものができたということでございます。

 これは一言で言うと、あらゆる監督権限を持っているけれども、制裁権は全くないとよく言われる一言に象徴されている。助言や監督はできる。立入り調査の権限も認められている。しかし現実に執行できるかというとできない。要するに苦情の処理機関にしかすぎない。苦情の処理を報告書にこのような種類の問題があったということで公表して、それを個人情報保護の問題に関心のある国会議員や市民団体、市民が見て問題のあるところに間接的に圧力をかけるというシステムになっています。

 登録制というのはイギリスであります。イギリスはまさしく登録制でありまして、出発点はイギリスのデータ保護のレジストラーです。登録官の積極的な義務は2つしかないと言われたわけですが、1つは議会に年度報告書を提出する。もう一つは登録の管理であるということが言われたわけです。

 登録制度とは、自己に関するデータを見たいときには案内役の役目を果たすわけですが、この形態はデータの関係者の善意と熱意を前提にしているということが言われています。ただし、98年法で基本は変わりませんが、登録官はコミッショナーと名前も変わりオンブズマン的な人に変わったと言われております。ただ、本質はそれほど変わっていないということでございます。

 これが各国がどういう法制度、モデルをとったかというお話でございます。

 各国法制が具体的にどうなっているか、個人情報保護法の資料1(6)にありますが、冒頭でお話しましたように、本日の私の話は、こういう点から問題が生じているとか、大ざっぱに言って、こういうモデルで議論が発達してきたところの御紹介でありますので、各国の個人情報保護法制については、詳細はまたお話しする機会があれば、そこでお話をさせていただきたいと思います。

 大体与えられた時間を使い切ったと思いますので、一応ここで報告を終わらせていただきます。

【園部委員長】 どうもありがとうございました。

 藤原委員のごらんになっているメモと、私の方に配られているのとちょっと違うようですね。

【藤原委員】 そうですか。

【園部委員長】 許可制とか登録制はこちらの方には書いてない。

【藤原委員】 それは私が自分でつくったノートです。

【園部委員長】 そうですか。それを前提にしてお話になっておられたと思います。

 それでは、あと25分ほど自由に御質問、御討議、御意見おっしゃっていただきたい。どなたからでも結構でございます。

【上谷委員】 難しくてよくわからないところがありましたけれども、きょういただいた資料を拝見していると、出典になっている行政管理局情報システム参事官室監修の世界の個人情報保護法とかそういうものがあるようだけど、そういうのは入手できますか。

【藤井室長】 それは私の親元の方でつくったものですが、1点は予備があるどうかチェックさせていただきますということと、お断りは、何分昭和63〜64年ぐらいにつくって、あとメンテしてないということなので相当法律自体古いものが入っております。そういうことを前提の上でごらんいただければ、そこは手配しておきたいと思います。

【上谷委員】 資料解説とかいろいろ出典が出ているものだから。別に個人的にいただかなくてもここへ来たときに自由に参照できるような形にしておいてもらうとありがたい。

【藤井室長】 資料解説書の方は法律自体改正してないですので、まだ有効な。

【上谷委員】 市販しているのですか。

【藤井室長】 市販はしております。

【上谷委員】 政府刊行物なのだから。

【藤井室長】 何分もう古くなっていますので、そちらでも在庫があるかどうかというところがあると思いますので、いずれにしても私の方で調べさせていただいて手配させていただきたいと思います。

【小早川委員長代理】 同じような資料の関連ですけれど、きょうの話のような理論的な整理をほかの学者の方もやっている人がいるだろうと思うのです。そういうものも含めてとにかく文献リストみたいなものを、外国語のものはいいとして、差し当たり。

【上谷委員】 藤原委員のお書きになっているものもおありなのでしょうから、教えていただくと。

【藤井室長】 こちらでも関係文書の文献リストは蓄積しているはずだと思いますので、現段階のものを整理させてお出しいただくとともに、できれば可能なものはコピー等でまた逐次お配りできるような形を考えたいと思います。

【園部委員長】 いずれお諮りするわけですが、藤原委員がまた現在の状況を少し実態調査、外国の調査もしてもらって、一番アップデートな資料を出していただきたい、こう思っております。それはまたお諮りいたします。

【新美委員】 よろしいでしょうか。

【園部委員長】 どうぞ。

【新美委員】 最後のアメリカの自主規制との絡みで、これは消費者取引などと同じようなシステムかどうか伺います。「子どもオンラインプライバシー法」の中で、ポリシーの掲載を義務づけて、それに違反した場合に、FTC(連邦取引委員会)が乗り出すということで、ポリシーそのものがかなり自由なようなお話でしたが、消費者取引の場合にはこのポリシーの作成に事実上FTCがかなりコミットして行政指導して、中身について相当程度意見を反映させているというのが実情です。子どものオンラインプライバシーに関してはいかがでしょうか。

【藤原委員】 FTCの5条等に不正とか欺瞞的なとあったと思いますけど、同じようなことがここでもたしかあったように記憶しております。

【新美委員】 消費者取引ですと、FTCが関与して、このポリシーに則っておれば適正であるというお墨付きは得られるようなシステムになっているのですが、そう理解してよろしいですか。

【藤原委員】 親の許諾が要るかどうかというお話で、今、先生がお話になった、例えばウエッブサイトに業者がプライバシー保護ポリシーを掲載するわけです。それに違反があったかどうかをFTCが見るシステムは一緒だと思います。

【新美委員】 どうもありがとうございました。

【上谷委員】 この「ウェッブサイト」、インターネットをまだやってないのでこれよく知らないのですけれども。

【藤原委員】 インターネットの、どう説明すればよろしいのでしょう。ここの会議のは官邸になるのですよね。

【藤井室長】 そうでございます。

【藤原委員】 WWWのその後に、この間、私は別のところから入ってなかなか入れなかったのですが、KANTEIとやって打つと、この官邸の写真とともにこの建物が出て、その中でいろいろ高度情報化、ここは何ていうのでしたか。

【小川副室長】 高度情報通信社会推進本部。

【藤原委員】 そこを押すと画面が出てきまして、その中で個人情報保護、先ほど委員長が難しい名前だと言われた委員会の名前がございまして、そこを開くと、要するにそういう情報の集積されている場所というのですか。

【上谷委員】 わかりました。

【高芝委員】 先ほどのお話の一番最後のところで、モデルということで説明をいただいて、5つほどですが、伺ったのですが、自主規制から始まって、自主規制というと法律外という趣旨だと思うのですね。それから、データ主体のコントロールも直接的には事後救済という形。

【藤原委員】 自力救済。

【高芝委員】 自力救済ですか。その保護の法律との関係、保護のやり方という意味でモデルという言葉を使われたと思いますけれども。

【藤原委員】 この法律をどう執行していくかという意味でのモデルということで、特に保護をどうしていくかというときのモデルだということです。

【高芝委員】 切り口みたいなものですか。

【藤原委員】 はい。

【高芝委員】 それは法律と直接つながる。法律のつくり方がそうなっている。

【藤原委員】 コンセプトと関係してくるかという意味ですか。

【高芝委員】 コンセプトです。

【藤原委員】 アメリカの場合はひょっとするとかなり密接に関係するのかと思います。アメリカの場合は、もう一方で、修正1条の「表現の自由」の問題がありますから、余り政府機関がコントロールに乗り出すのはよろしくない。その伝統プラス国家権力に対する不信といいますか、集権主義と分権主義の対立の話もございますから、多分そういったところが関係しているのだと思います。

 あとは政治の妥協の産物であると。フラハティーやベネットという人のものには書いてございますけれども、必ずしも必然的にそうなったというわけではない。

【小早川委員長代理】 きょうの話の全体の流れを見ても、最初は政府による個人情報の集積が問題になって、それが引き金になって問題が出てくる。だけど、最後の現状まできますと、5つのモデルもどちらかというと民間を念頭に置いたシステムであるようにも見えるのです。その辺はそのように見ていいのか。

 各国のアメリカで言うと自主規制は主として民間について言われていることであって、それと政府部門についての規制と両方あるものなのですが、各国でもそのように政府だけでなくて民間をねらった規制をだんだん立法化しているという方向なのか。その辺のグローバルな具体的な扱いは。

【藤原委員】 第1点の、個人情報保護の問題が対公権力で出てきたけれども、民間部門の問題に比重が移っているのはそのとおりなのですが、先生のご質問の、5つのモデルと直接の関係があるかと言えば、このモデルは最後に説明したので、そのような印象を与えてしまったかも知れないのですが、これは各国が第一世代の立法をつくるときに、既にこういうモデルが考えられていたということでありまして、公的部門を統制する場合でも、このモデルを考えたということで、必ずしも民間を念頭に置いていたモデルではありません。それが第1の点でございます。

 第2は、このレジュメの3.の「主要国のデータ保護の動向」のところに、「第三世代の個人情報保護法へ」と書いてあるのですが、例えば、当初は公的部門を規制するところ、民間部門は簡単にするところ、もう一つのポイントが、マニュアル規制も簡単にするところとあったのですが、国によっては公的部門も民間部門もマニュアルも法律で規制する。ただ、規制の仕方が二本立ての法律でいくか、一本の法律の中に、ドイツのように編を違ってやるか、一本の法律なのか別々の法律なのかということがございますが、民間部門もかなり以前から諸外国では規制があったと思います。それから、EU指令が公私の区分をしていないということも重要であろうかと思います。ある意味で、OECDの中の先進主要国の中で民間を全く持ってないのは例外的ということになります。

【小早川委員長代理】 ドイツも最初のヘッセンのときから民間が入っていたのですか。

【藤原委員】 ヘッセンは官からの情報提供的規定しかおいておりませんが、少なくとも連邦データ保護法からは入っています。

【小早川委員長代理】 日本法はこの最後のモデルで言うと登録制ということなのですか。

【藤原委員】 どれかに当てはめるとすると、登録というか、ここで申し上げなかったのですが、フランスも「クニール」という強い行政委員会の下で届出制度をとっています。ただし、そのフランスの届出制は、実際に全てのコンピュータを使っている企業が、あるいは公的部門はともかく民間部門に関しては、企業が届け出てくれるかどうかという問題がありますので、詳細なのと簡略な手続の二本立てで届け出させるというのをとっているのですけれども、我が国はきちんと一応公的部門は、一定規模以上は全部届け出るというシステムなのだろうと思います。

【小早川委員長代理】 これで言うと登録制のモデルに近いと。

【藤原委員】 近いのではないかと思います。

【高橋委員】 ちょっと抽象的なことを伺うので申しわけないですけれども、この最初のところでベネットが紹介されて、個人情報法の3つの層ということをお話されたのですが、問題になっているのは「人格権」だというとらえ方ですね。これが一番普通の日本でも議論されるところですが、人格権というのをどう理解しているのでしょうか。「人格権」という言葉を非常に安易に使われているけれども、私はどういう意味かよくわからなくていつも迷うのですけれども。

【藤原委員】 先生にそれを言われると困ってしまうのですが、今のは根拠をどこに持つかという御質問でしょうか。

【高橋委員】 日本でも「人格権」といえば、いろいろなものをひっくるめて言っていますね。個人情報について「人格権」という場合は何に焦点を当てているのか。

【藤原委員】 直接のお答えになるかどうかわかりませんが、前提としてよく言われることがプライバシー保護の議論において実体的レベルのプライバシーとは何かというお話があって、先生御存じのように、アメリカでは中絶をする、しないというのもプライバシーである。しかし、ウエスティンという人が言っているように、我が国でも佐藤幸治先生等が言われるように、「情報の自己コントール権」、いわゆる情報のプライバシー権がここでの人格権と同義で使われているような気がします。それではそれは何かと言うと、突き詰めて議論をしている論者はそんなにいないのではないかという気がします。それがアメリカです。

 それから、ドイツは、これもまた1983年の国勢調査判決で情報の自己決定権、これも情報プライバシー権に近いものを、「基本権に準じた権利である」という微妙な言い回し方で議論して、それを根拠に民民の問題でも議論できるのではないかという使い方をしているのだと思います。

 「人格権とは何か」と言ったときに、ドイツでありますと、人間の尊厳と人格の自由な発展、形成の自由、あそこにいくわけですが、逆に、例えばイギリスですと、これまた御存じのようにコモンロー法上もいまだにプライバシー権が正面から認められていないことがあると思います。したがって、個人情報保護法制の場合、今「人格権」と言われていますが、正確に言うと人格を尊重しているということまで含む、かなりドイツ的な議論をしているのかもしれません。

【上谷委員】 というと、それを一つの権利、権利を保護しなければいけないとか、そういったものを権利ということで余り考えないのかな。

【藤原委員】 出発点の当初は、例えば国によっては、このレジュメに書きました第一世代の立法の中には「人格権」と書かずに単なる法的な権利利益の侵害であるとするものがあります。

【上谷委員】 例えば不法行為の議論でよくありますね。権利の侵害ということから出発して、今では権利の侵害というよりは、むしろ違法な法益の侵害を問題にするということで、要するに権利ということを考えるよりも違法性の方へ重点が移ってきて、問題はそういう保護されるべき法益というものを考えていくということになっていますね。それとよく似た議論があるのですか。

【藤原委員】 民法 709条のお話がどうだったか、今詳しく知らないのですけれども。

【上谷委員】 今の日本では、例えば憲法上の問題として人格権がどうかこうとか、環境権があるかないかという議論が一方にあると同時に、どういう権利に基づいて、と考えるよりも、救済されるべき法益がある場合には、それを救済していくということで考えていますね。何という権利と名づけるかは問題ではないという考え方が結構ありますね。少なくとも民法のレベルでいろいろ人の救済を考えるような場合。そういう議論と何か関係しているのですか。

【藤原委員】 民事の発想でそうだということはよくわかるのですけれども、ひょっとすると一番それになじむのはアメリカ型ではないでしょうか。ヨーロッパ型は何か基本権に近いような権利があるところから出発しているのだと思います。

【西谷委員】 きょうは具体の法律の中身の話は将来の楽しみということですけど、あらかじめ1つだけ、法律の実効性担保が民事訴訟、損害賠償、罰則でバシッとやる。情報を修正するような権利がある。幾つかほかにもありましょうが、これらの手段は各国によってバラツキがあるのか、それとも大体統一されていると見ていいのか。

【藤原委員】 今の御質問に対する答えは多分こうなると思うのです。出発点ではある程度バラツキはあった。ただ、現在ではEU指令がヨーロッパの場合ですとスタンダードになっておりますので、そこに例えば開示請求権、訂正を求める権利等々のカタログがありますので、それは具体化しなければならないということで一般的になるということです。出発点がどうであったか、たくさんの国を比較したことがないので今直ちにはお答えできません。

【西谷委員】 特に罰則の導入を考えるとすれば、一体構成要件その他がどうなるかという問題もこれあり、各国が共通に皆すっと入れているのであれば、相当参考になるけれど、むしろそれはドイツだけであるということであれば、まだ問題はあるというような予感がするものですから。

【藤原委員】 制裁は別にドイツだけということではないと思います。ただ、そのサンクションも刑事制裁なのか過料、行政罰なのかという問題もあると思います。

【上谷委員】 この間いただいた中間報告などでは、刑事罰の分野はよほど特殊な場合でないと、そう全ての場合に適用を考えるべきものではないという基本方針が出ていましたね。

【遠山委員】 大変基本的なことを教えていただいてありがとうございました。まだよくわかってない部分があるのですが、最初、立法の時代ということで、各国それぞれ苦労しながらつくってきて、そのうちに国際化の時代ということで、OECD、EC指令ということで、国際的なルールといいますか、そういうもののスタンダードができつつあるような感じがしますが、しかもEU関係国、アメリカ、カナダではかなりこの法制が発達しているようですけれども、これは先進国だけ今後とも考えていくのか。それとも将来いろいろな国々がいろんなことをやってくるようなことを考えて、国際的に更に進んだような、あるいはもうちょっとオーバーオールなような新しい考え方をつくろうという動きがあるのかないのか。

 要するに知的所有権の面で著作権でございましたが、WIPO(世界知的所有権機関)のような国際機関があって、そこで非常に議論をして、そこがスタンダードを出して、各国はそれの勧告に従う、あるいは条約に入るかどうかを決めていくことになる。

 個人情報についてはそういう種類のこととは違って、もう少しインターネットでも相互に情報が動き合っている国際社会の中で、すでに出されているOECDやECの指針が、今後とも全体を動かしていくのかどうか、その辺を少し教えていただきたい。

【藤原委員】 動いていくかどうか、それはわからないのですけれども、ただ、一般法といいますか、基本法制の枠組みとしてはこの枠組みなのだろうと思います。先生おっしゃったような著作権の問題、インターネットの周辺で、例えば電子商取引の問題が絡んでくるといったようなところは特別法なりで部分的に手当てしていますが、一般的な権利義務関係が出てくるというような問題は、この枠組みがしばらく続くような気がいたします。

【園部委員長】 日本の場合は一体先進国の仲間として、OECDやEUとの関連で、どうしても日本もつくらければいけないのだということなのか、今おっしゃったようなグローバルな発展状況を見ながら、日本の置かれた特殊事情も加味しながら、日本は日本としてはつくっていくということなのか、この辺は、どうもいわゆるガイドラインがどこにあるのかよくわからないのですが、それはどうお考えなのですか。

【藤原委員】 出発点で先ほど申し上げた3つの国勢調査であるとかいろいろなことが出てきたわけですけれども、各国の法改正も何かそういったきっかけがあって出てくるわけですが、今、諸外国が言っているのは確かにEU指令のことと、ここに書いておきました電子商取引を発展させるためには調和が必要であるという要素であると思います。

 しかしながら、我が国独自の要素がないかと言えば、我が国は諸外国が第一世代のときに大議論した住基台帳法の議論がそれにかぶっていますので、最新の議論と最初の議論を一緒にやっているという気もするのですけれども。

【園部委員長】 日本がつくると、これまたアジアやその他の国にもかなり影響を及ぼしていくわけで、そういう点で日本の置かれた位置は非常に微妙だと思いますが、その辺はまた改めて議論をさせていただきたい。それが1つ課題であろうと思います。

 それから、私一言だけ。先ほどドイツのデータ・オンブズマンが、その制度に比べて自由な人格権というものなのだということをおっしゃったというけれども、その場合の人格権だという主張するのは、そうした現在の法制度より更に保護の対象が厚く、深くなるのか。それとも何か別の感覚で人格権ということをおっしゃっているのか、この点はどうなのでしょうか。

【藤原委員】 創設のときはハンスペーター・ブルというハンブルク大学の人なのですけれども、どちらかというと、人権派の学者ということもありますから、データ保護という言葉そのものが、彼に言わせると非常に技術性の強い問題のことを限定してしまっているのではないかという感じを持っているのだと思います。

【園部委員長】 そういう意味ですね。

【藤原委員】 はい。人格権を道具概念にしてどうのこうのという主張まではしていないと思います。

【園部委員長】 そうですか。まだ御質問あると思いますが、次回もその次もいろいろございますので、また、お考えはそれぞれ開陳していただきますが、時間が迫ってまいりましたので、藤原委員の御報告はこれで一応閉じさせていただきます。

 どうも藤原委員、ありがとうございました。

 それで、ここでこれはひと区切りということでございますが、「我が国の関係法制の現状について」、これは室長からですか。どうぞ、お願いいたします。

【藤井室長】 それでは「我が国における個人情報の保護に関する現行制度等の概要」について事務局から御説明いたします。資料は、お手元に2(1)、「我が国における個人情報の保護に関する現行制度等の概要」というレジュメと、参考資料ということで、資料2(2)、個人情報について、我が国では実際どういうことが問題になっているのか、若干でもイメージをつかんでいただく趣旨で、資料2(3)に報道事例の資料をお付けしております。説明はレジュメ・ペーパーでやらさせていただきたいと思います。

 レジュメペーパーの1枚おめくりいただきますと、「個人情報保護の法制化の検討の係る経緯」という1枚紙がございますが、これにつきましては、前回堀部座長から相当詳細な経緯の御説明があったことと、きょうもまた世界的な動きについては藤原委員から御説明ありましたので、ごくポイントの部分だけに絞らさせていただきたいと思いますが、1つは、我が国で行政機関の個人情報法ができたのは上から4番目の昭和63年でございますが、それに至る前どういう状況であったかと申しますと、1つは昭和40年代半ばですから、1970年ごろ我が国においてもコンピュータの草創期でございまして、大型のコンピュータをどんどんルーティンの計算事務に使おうとしていたということです。大きなシステムとして考えられたものとしては、社会保険庁のシステム、国税関係のシステムがありました。そのころ一部統一番号をつくった方がいいのではないかという議論もあったことはあったのですが、結局のところ、そういう統一番号を使うやり方ではなくて、それぞれ開発するという形になっております。

 それから、ごく一部にはIDカード的な、いわばICカードをつくったらいろいろ行政事務でも生活にも便利ではないかという一部の意見があるのですが、今の段階ではごく一部の意見にとどまっていることかと思います。

 私ども国内でこういうデータ保護法制の検討が始まったのは、何回か既に御紹介がございましたが、昭和57年7月の「プライバシー保護研究会」、加藤一郎先生に座長にお務めいただいたものでございますが、この研究会の位置づけでございますが、これは当時、行政管理庁の一局である行政管理局長が開催する研究会であったわけですが、この時点では、まだ内外の動向を調査するといったものにとどまっておりまして、結論的には個人データの保護についても制度的対応が必要だという御指摘もあるのですが、それはどちらかというと、行政管理庁の中での1つの認識にとどまっていたということです。

 この経緯には書いてございませんが、政府レベルでの検討ということになりますと、例の土光臨調がございまして、これはメモに書いてないで恐縮ですが、昭和58年3月に最終答申を出しておりますが、この中で個人情報、行政手続法制、情報公開法制、こういった法制についても積極的な対応をすべきではないかといった指摘をしています。いわば個人情報も行革ベースの課題という形で入ってきて、それを受けたような形で、昭和61年12月に「行政機関における個人情報の保護に関する研究会」が設けられて、この座長は林修三先生にやっていただいたのですが、位置づけ的には、これも行政管理庁の中での研究会ですが、そのときには既に政府全体としても、少なくとも行政機関のデータ保護については検討に着手している段階にあったということでございます。

 その研究会の報告があった後、主として総務庁の制度化の立案が進められて、昭和63年12月に「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」が公布されました。

 前後して、実は民間についても、まだ金融機関関係については、いわばガイドライン的な施策が昭和62年ぐらいから始まっていました。

 また、今申し上げました個人情報保護法の法律の施行に当たっては、衆・参両院で附帯決議がいろいろついていたのですが、その中の1つで、細かい字で恐縮でございますが、「個人情報保護対策は、国の行政機関等の公的部門のみならず、民間部門にも必要な共通課題となっている現状にかんがみ、政府は早急に検討を進めること。」というような指摘があったということでございます。

 別途の流れといたしましては、先ほど申し上げましたいわば情報化というか、コンピュータ処理ネットワークシステムが官民挙げて進んでいたところでございます。高度情報通信社会推進本部、この委員会の親になる組織でございますが、これが設置されたのはこれも書いてございませんが、平成6年8月でございます。閣議決定でやっているのですが、これは国内だけではなしに国際的にもこういうコンピュータと通信ネットワークを使った仕事のやり方は大いに進んでいて今後ますます進展する。それを総合的に進めるために、政府レベルの組織がつくられたわけですが、先ほど来も御説明の中にあったのですが、この時期で大きな変化があったとすれば、それはインターネットの登場とコンピュータがダウンサイジング(小型化)していって、従来はどちらかというとコンピュータシステム自体極めて大型のコンピュータで、これが実は会社のメーカーが違うと全然接続できない、あるいはソフト自体が違うとまた接続できないということで、意外と使いづらいものだったわけですが、この時点からLANやインターネットでネットワークが違っていても、それは完全な接続はできないのですけれども、相当部分は自由にコンピュータネットワークシステム同士で情報交換できるようになった。それに伴って個人情報もどんどん行き来する可能性ができてきたこと。

 平成10年6月の「電子商取引等検討部会」というのがありますが、民の間でも、いわゆる電子商取引と称しておりますが、こういったネットワークシステムを使って、契約行為そのものを進めていく中で、どんどん民でも個人情報がネットワーク上流通していくという状況が出つつあった。そういったことを一方では推進しながら、やはり忘れてならないのは、個人情報とその裏にある、先ほど来の議論で人格権なのか、個人の権利利益なのか、そこはそれとして、そういうものを保護しながらやっていくことが不可欠であるという認識。これは政府も持っておるところでございますので、今回、堀部部会での全体的なシステムづくり、その中で当委員会における法制化への検討着手に至ったということでございます。

 また平成11年8月の「住民基本台帳の一部を改正する法律」が制定されていますが、これが先ほど来の御論議の中で、個人の識別番号、それも相当大規模な識別番号が付されるということで、国民的関心というか、マスコミもまた総背番号制の復活ではないかといったような指摘もされたのですが、少なくとも現在の住民基本台帳法においては、極めて共通番号の使われ方は限定的になっていて、法律で明示された形になっているということでございます。

 経緯はそのくらいにして、現行制度の概要等について、これも俯瞰させていただきたいと思います。なお、個々のパーツについては、それぞれ専門の組織から、あるいは専門家の方々から御説明いただくことも考えさせていただきたいと思っております。

 1番目の項目ですが、「個人情報の保護に関する制度等」、いわば個人情報ということをメインにした法律なりシステムといったものの状況でございます。個人情報の保有主体別に整理させていただいておりますが、(1)として、国・地方公共団体の保有する個人情報の保護でございますが、これは今までも御紹介いたしましたが、昭和63年、行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律が制定され公布されております。内容的には別途また総務庁からの説明ということで御説明させていただく機会を与えていただきたいと思いますが、ポイントというか、大きな特徴は、目的は個人情報というよりは、個人情報の取扱いに伴い個人の権利、利益が侵害される可能性があること。あるいは国民の不安こういったものを保護すること。それと併せて、いわば電子計算機処理をどんどん利用して行政の効率化・適格化を進めることを目的としております。

 これもマスコミ等から、あるいは国会でも議論されたのですが、対象情報、定義的には個人に関する情報として識別可能性のある情報は全部含まれるのですが、個別具体的には、例えば本人開示などの問題あるいは公示対象をどうするかということになりますと、それは電子計算機処理されたデータファイルに限定しています。

 警察、文部、厚生、それぞれ特有な情報については特有な取り扱いにしているという形になっております。基本的にはOECDの8原則、これの我が国おける実定法化をねらったものと考えております。

 若干つけ加えさせていただきますと、特殊法人、地方公共団体については、ほぼ同趣旨のことをやりなさいという努力規定をつけています。今回、中央省庁改革で独立行政法人というものが出てきましたが、この独立行政法人は特殊法人と同様の扱いにしているということでございます。

  2に移らさせていただきますが、地方公共団体、これも一番最初には国立市がつくられたようですが、国の制度化に前後してどんどん条例制定をされていらっしゃるということです。平成11年4月1日現在、約 3,000超の地方公共団体のうち、規則、規程等も含めてますと 2,386の地方公共団体がおつくりになっていただいている。うち、条例は 1,529団体となっております。都道府県に限定しますと、47都道府県のうち条例を制定されているのはこの時点では23団体でございます。政令指定都市とか中核都市は全部おつくりいただいているということです。情報公開などの場合はむしろ都道府県が先行したわけですが、個人情報についてはむしろ市町村ベースが先行しているというのは、各団体自体、個人情報を一番保有しているのは市町村レベルが多いこともあらわれているのかと思っておりますが、いずれにしても現段階ではまだ都道府県ベースでも条例を制定されてないところがあるということでございます。

 それから、(2)として「民間事業者等の保有する個人情報の保護」でございますが、法律ベースでできているといえば、まず藤原委員からも御説明があったのですが、労働法制関係でございます。職業安定法、労働者派遣事業法といった法律の中の一部として、いわば求職者の個人情報の保護に関する規定がつくられております。

 信用情報でございますが、割賦販売法が昭和59年ぐらいに改正されております。あと貸金業の規制法は58年に改正されておりますが、いわゆる信用情報の目的外の禁止を定めてございます。また、それぞれの関係事業者団体等がガイドラインを定めて自主的な規律を進めておられるという状況でございます。

 また、我が国の個人情報をめぐる1つの特色であるのですが、実際の条例などの運用状況を見ておると、医療、教育関係の請求事件が多いわけですが、医療情報につきましては、これは御案内のとおり刑法、また、医療従事関係者の○○士法というのがございます。そういった資格を保有しておられる方、あるいは特定の業務に従事しておられる方に対しての守秘義務規定が設けらている制度があります。

 また、これも厚生省におかれては、いわゆるインフォームド・コンセント、こういった問題に対応する観点から、1つは医師法自体、患者に対して医療内容の説明を行って理解を得るような努力義務が設けられているところでございますが、別途いろいろ研究会を開かれたり、あるいは日本医師会が自ら「診療情報の提供に関する指針」を定められて適正な運用を推進しておられるところでございます。

 その他といたしましては、これは法律ベースとは若干薄くなるのですが、1つはそれぞれ各業界を監督しておられる通産省を始めとした関係省庁が、まず個人情報の保護に関するガイドラインを定めて、それぞれ関係業界あるいは企業に自主的な個人情報の取り扱いの指針のようなものをつくっていただいて、それに沿って自主的な規律をやっていくという施策が講じられているほか、JIS(日本工業規格)に個人情報保護についての基準を定めている。それに合うような形でのガイドライン、あるいは民間団体、これは日本全体としては日本情報処理開発協会(JIPDEC)と称しているものがあるのですが、こういったところがマーク制度とからめてそういった施策を推進している。あるいは地方公共団体においてもマーク制度などをつくって推進しておられるところもあるという状況でございます。

 このあたりのガイドライン等の状況については、この資料7ページに、私どもが把握している限りのものを一覧として設けておりますので御参考ということでございます。

 2番目の柱としましては、個人情報保護そのものを保護することではないのですが、重要な「関連制度」について俯瞰させていただいているのですが、これも同様に、国・地方公共団体ベースでいきますと、公務員の守秘義務というものがあります。当然国家公務員法、地方公務員法あるいは外務公務員法いろいろ 200弱ぐらいあるらしいのですが、守秘義務を定めている法律があります。当然守秘義務で守られる主要なものとしては、いわゆるプライバシーに係る個人に関する秘密のようなものが含まれておるわけでございます。ただし、これは個人情報そのものを保護するというよりは、いわゆる実質秘説に立ちますと、個人の権利、利益に対する侵害性を念頭に置いての運用解釈になっています。

 2番目に統計調査関係の制度がございます。秘密の保護という点では守秘義務と似ているわけで、従事する公務員あるいは調査員といった方に対する守秘義務ですが、この関係の制度での特色は、もちろん目的外使用の禁止というところでございまして、当然統計調査、これは指定統計と承認統計というのがあるのですが、いずれにしても個人を対象とする調査が膨大にございます。当然個人に関する情報がたくさん収集されておるわけですが、その調査したときの調査票、個票については、その指定なり承認された統計目的以外には、原則としては使ってはならないことになっているのですが、特に個票については相当厳格な運用がなされておりまして、まず名前付の個票であればほとんど他の目的には使えないという運用がなされています。

 それと4ページ目、おめくりいただきまして、今回の住民基本台帳法改正に基づいて、住民基本台帳システムがつくられて、その中で住民票コードを利用する本人確認情報、これは氏名、成年月日、性別、住所、それと統一的な住民票コード等で構成されているわけですが、こういった情報については、特に同法の改正に際して、安全確保、利用、提供の制限、秘密保持義務等々の規定を法律上明記しているという形でございます。

 それから、民間事業の方々に守秘義務がかかるというのは一般的ではないのですが、これも御承知のように、刑法では医師等、薬剤師、医薬品販売業者、あるいは弁護士、弁護士のほかにも公証人なども入るかと思うのですが、これには秘密を漏らすと刑罰がかかるという規定がございます。当然秘密の中にはいわゆるプライバシー情報も含まれうると考えております。そのほかにも、いわゆる士(さむらい)○○士という方々で、特に秘密を保持することが求められるようなものについては守秘義務規定が設けられているところでございます。

 若干違った流れとしては、通信事業者関係については、通信の秘密の保護ということで、電気通信事業法、有線電気通信法等において、通信の秘密を保護する規定が設けられていますが、当然のことながら個人情報がこれらに含まれているわけでございます。

 3に「その他考慮すべき制度」ということでございますが、これは先ほど来も、これも既になっているわけですが、民法上の不法行為として構成できる場合あるいは刑法上の名誉毀損罪等に構成できる場合は、当然不法行為の損害賠償や刑罰が科せられることになります。そのほかにも、これは立証上なかなか難しいようでございますが、情報そのものに価値があって、そういう形を窃取した場合といえる場合、あるいは横領したといえる場合は、当然従来の刑法的な物の考え方を明確にする必要性はあるのでしょうけれども、その延長線上の問題として刑罰が科せられます。

 むしろ今問題になっているのは、のぞき見されたりアクセスされた、その情報そのものに価値があるかどうかに関わらず、のぞき見したこと自体、あるいはアクセスしたこと自体に刑罰を科せられるかどうかという問題でございますが、この面については、少なくとも違法なアクセスをした場合は処罰できるということで、つい先般「不正アクセス行為禁止等に関する法律」が成立されて、これが残念ながら2月施行だったらしくて、今回の中央省庁のホームページに対するハッカーには適用できない形になったわけですが、少なくとも法制度的には、違法なやり方によるアクセスをしている場合については規制できる形がとれているということでございます。

 そのほか、先ほど御論議ありましたが、「人格権」という形ではないのでしょうが、個人に関する情報であっても、財産権的なものを含む場合は著作権法あるいは特許法、著作権法には人格権的な公表権等があるようですが、そういう既存の法律にも関わってくる部分があるということでございます。

 あと(注)の方は、また後ほどごらんいただきたいと思うのですが、6ページ目をお開きいただきますと、今ほど申し上げたところを若干整理しております。個人情報の関連制度とその他とそれぞれ官・民を整理するとどうなるかというような御説明をしているところでございます。

 また、参考資料はそれぞれ関係条文、個人情報の場合は構造的な枠組みをお付けしておりますが、これはまた必要に応じて御説明、また専門家から御説明させていただく形になろうとか思います。

 それから、「個人情報の取り扱いに関する報道事例」は、これもお時間があれば、後ほどでもごらんいただきたいと思うのですが、どうも報道されているものは、いわば個人データのリストが漏洩したり盗用されたというようなケースが多いようでございます。

 そのほかに、先ほど申し上げましたが、地方公共団体の条例などでは、医療情報、教育情報の審査みたいなものが我が国では話題になっているという状況でございます。

 以上、雑駁でございますが、一応説明を終わらせていただきます。

【園部委員長】 どうもありがとうございました。時間も大分迫ってまいりましたが、とりあえず現行法制の状況について、中身については、更に関係省庁からとることもできますが、今の段階で何か御要望なり御質問なりございますでしょうか。

【小早川委員長代理】 中身ではありませんが、先ほども話のありました不法行為との関係でのどういう意味で権利なのか、ないのか、そのような論点はここで一応検討する機会があった方がいいだろうと思いますし、お詳しい方もおられるから、いつの機会かに。

【藤井室長】 やらせていただきたいと思います。

【園部委員長】 議論されていること、既に活字になっているようなものがあればお願いします。

【藤井室長】 判例等なども整理させていただきます。

【園部委員長】 それでは、よろしゅうございますか。

(「はい」と声あり)

【園部委員長】 以上をもちまして、本日の会合は終了させていただきます。次回の会合は2月16日、来週水曜日の午前10時〜12時まで。今度は5階の会議室でございますので、間違いのないようにお願いをいたします。

 次回の会合は先ほどございましたように、信用情報分野、医療情報分野、電気通信分野、これについて、関係省庁からヒアリングを予定しております。

 本日は、どうもお忙しいところありがとうございました。