個人情報保護法制化専門委員会

第20回個人情報保護法制化専門委員会議事録



1 日 時:平成12年7月7日(金)14時〜17時

2 場 所:総理府5階特別会議室

3 出席者:

園部逸夫委員長、小早川光郎委員長代理、上谷清委員、高芝利仁委員、高橋和之委員、遠山敦子委員、新美育文委員、藤原静雄委員
※西谷剛委員、堀部政男個人情報保護検討部会座長は所用のため欠席。

(事務局)
藤井昭夫内閣審議官、小川登美夫内閣審議官

(学識経験者・関係団体)
東京大学法学部教授 西田 典之
日本情報処理開発協会:プライバシーマーク事務局長 関本 貢
電子商取引推進協議会:主席研究員 合原 英次郎
主婦連合会:副会長 加藤 真代
日本労働組合総連合会:総合政策局長 成川 秀明
雇用労働対策局長 中村 善雄

4 議 題
(1)学識経験者・関係団体ヒアリング

(2)その他

5 審議経過

【園部委員長】それでは、ただいまから個人情報保護法制化専門委員会第20回会合を開催いたします。本日は、堀部座長と西谷委員が所用のため御欠席でございます。それから、上谷委員は少し遅れられるということです。
 さて、本日は学識経験者、関係団体からのヒアリングを行います。全体を30分ずつ5つの時間に区切りまして、東京大学法学部西田教授、日本情報処理開発協会、電子商取引推進協議会、その後、休憩を挟みまして主婦連合会、最後に日本労働組合総連合会からそれぞれ御意見を聴取し、質疑応答を行ってまいります。
 ヒアリングに入ります前に、本日の閣議決定によりまして従来の高度情報通信社会推進本部が発展的に改組され、情報通信技術IT戦略本部が設置されることとなりましたので、この件について事務局から御報告願います。

【小川副室長】御説明申し上げます。お手元の資料の一番下の最後に参考としまして「情報通信技術(IT)戦略本部設置について」という1枚紙があろうか思いますので、ごらんをいただきたいと思います。
 今、委員長からお話がございましたとおり、従来の内閣に設置されておりました高度情報通信社会推進本部につきましては、本日の閣議決定をもって情報通信技術(IT)戦略本部ということで改組をされることとなりました。基本的には本部の構成員等は従来とほぼ同じでございまして、当専門委員会と一番関係がありますところはそのペーパーの一番下、7のところをごらんいただきますと、これまで高度情報通信社会推進本部でございますけれども、「これまで推進本部が決定した事項及び推進本部の本部長決定により推進本部の下に設置又は開催されることとされた会議及び部会等については、本部に引き継がれたものとする」ということでございまして、当専門委員会並びに検討部会も同じでございますけれども、今回新たに改組されましたIT戦略本部の下に設置される部会または委員会ということで継承されたということになっております。以上でございます。

【園部委員長】それでは、まず西田教授からお話を伺います。西田先生におかれましては、今日は御多忙のところ御出席いただきまして、また早くからおいでいただいてお待ちいただきまして誠にありがとうございます。御説明を15分から20分程度、その後は余り時間はないのですけれども質疑に当てたいと存じますので、大変時間の制約が厳しくて申しわけないのですが、ポイントを絞って簡潔に、また私どもにわかりやすく御説明をいただきますようにお願いを申し上げます。それでは西田先生、どうぞお願いいたします。

【西田東京大学法学部教授】本日は中間整理の「その他」というところにあります(3)の「個人情報の漏洩等に関する罰則の可否について、刑事法制の在り方等を考慮しつつ検討する」という部分について、刑事法学者としての私の意見を簡単に述べさせていただきたいと存じます。
 レジュメに沿って申し上げますが、まず第1が「現行法における個人情報の刑法的保護」であります。この点については既に法務省からのヒアリングにおいて御説明があったということを事務局からお聞きいたしましたのでごく簡単に申し上げますと、現行法における個人情報、特に秘密、プライバシーの刑法的保護は医師、薬剤師、その他その職業上他人のプライバシーを知ることとなるような社会的な身分を有する者に守秘義務を課し、その守秘義務違反に対して刑罰を加えるという形をとっているのが基本であるということで、これは国公法や地公法その他いろいろな士法など、数百に及ぶ罰則規定があると承知しております。
 次に2の「現状の問題点」に移りますが、現在の問題点は多種多様な個人情報が収集蓄積利用されていながら、その管理がしっかりしていないために多くの流出事故が続出しているという事実でございます。例えば、全国医療情報センターという業者から多くの個人的な医療情報が流出したという事件がございましたが、そこには守秘義務が法律上定められている場合であっても職業倫理的な身分犯とされているために、現実にはその周辺的な関係者や作成された書類から個人情報を収集することが可能であり、また看護婦や事務員から流出しても現行法上は処罰できないという問題点が表れているわけであります。また、他方で守秘義務の対象外であります重要な個人情報やプライバシーについての法的規制は現在ございませんために、名簿ファイルのフロッピーディスクの窃取あるいは無断持出しが刑法上、窃盗や横領に当たり得るという場合のほかは保護の対象となっていないということも問題点でございます。
 他方で、情報侵害罪の新規立法はこれまで歴史的にタブー視されてきた感があるというのが私の率直な印象でございまして、昭和62年のコンピュータ犯罪の立法におきましてもコンピュータ情報の不正入手罪は見送られましたし、63年の個人情報保護法でも10万円以下の過料の制裁にとどまっております。また、平成2年の不正競争防止法の改正におきまして営業秘密の保護の強化が図られました際にも、営業秘密の不正取得は刑事罰の対象とはされなかったわけでございます。
 しかしながら、今日のように個人情報、特にプライバシーというものが個人の人格権の一部として確固たる承認を得ている以上、その保護を図るための刑事立法を新たに考慮すべき時期が到来しているように私は思っております。
 次に「3.立法論の問題点」の(1)でございます。個人情報を保護するための刑事立法を行います場合、まず問題となりますのはその保護の対象をどのように確定し、明確化するか。すなわち、その要保護性と構成要件的な明確性であります。この点で、中間整理の定義であります個人に関する情報であって当該個人の識別が可能な情報を言うという定義は確かに明確かもしれませんが、これをすべて刑法的保護の対象とすることには要保護性という観点から疑問があるように思われます。この点では、少なくとも非公開あるいは非公知の個人情報に限定すべきでありましょう。
 更に、非公開のものであっても個人の識別情報について要保護性の観点から刑事罰の対象からは外すべきだという見解もあり得ます。職業安定法51条が求職者の秘密と個人識別情報の双方を守秘義務の対象としながらも、罰則につきましては秘密漏示についてしか設けなかったのはそのような考え方に基づくものと考えられます。
 他方、非公開あるいは非公知の個人情報は識別情報も含めて刑法的保護の対象とするとした場合、今度はその範囲の明確性が問題となってまいります。この点では、ドイツ連邦データ保護法41条、あるいはドイツ刑法202 条aのコンピュータデータ探知罪のようにコンピュータに収集蓄積管理されている情報という形で限定するのも一案だろうかと思います。
 しかし、全体としまして刑法の謙抑性という観点からは、個別の生活領域における個人情報の要保護性と明確性を慎重に検討した上で、個別に刑法的保護の対象とする方向をとることが望ましいように思われます。その際の選択の基準といたしましては、社会生活を営む上で個人情報あるいはプライバシーを開示しなければ必要な、あるいは不可欠なサービスが受けられないために、いわば情報の開示が半ば強制されているような場合かどうかという基準を重視すべきように思われます。
 次に(2)ですが、「個別立法による場合に規制の対象とすべき行為」について申し上げます。その@といたしまして、守秘義務を定めた個別の立法、既存の法律がたくさんあるわけですが、これらの個別の法律の改正によって守秘義務の係る主体の範囲を拡張することをまず考えるべきだと思います。刑法134 条の秘密漏示罪を始めとしまして、種々の個別法における守秘義務の主体をプロフェッションに限定するのではなく、看護婦、補助者、関連する事務処理者、更には業務委託先の従業員、情報処理の委託先の従業員などにまで拡張することを考えるべきだろうと思われます。
 第2といたしましては、個別の個人情報保護法の制定でありますが、その際に考慮すべき刑法的禁止行為として(2)のAの「不正な手段による情報の取得の禁止」ということが考えられます。これは、個人レベルにおける禁止行為であります。その一例として不正競争防止法2条第4号は窃取、詐欺、脅迫、その他の不正の手段により営業秘密を取得する行為を禁止しておりますが、個人情報の場合にはこのほかに盗聴や盗視あるいはコンピュータネットワークに不正に侵入して、いわゆるハッキングでございますが、無形の情報を取得する行為のように現行法上では処罰できないか、あるいは取得までは処罰できないような類型にまで拡張する必要があると思われます。
 次がBでございますが、不正に取得された個人情報を流通させる行為の禁止です。個人情報の不正な流通を禁止することは事件の再発防止にも役立ちますし、あるいはこれを不正に売買するということを禁止することによって、いわば故買屋的な存在を封じ込めるという意味合いも持つわけですから、不正に取得された個人情報を他人に提供する行為、あるいは不正に取得された個人情報であることを知りながらこれを入手する行為、更にはこの入手した個人情報を更に他人に提供する行為を処罰すべきだと思います。特に不正に取得された無形の情報などは刑法256 条の盗品関与罪に言う盗品と、昔の言葉で言いますと贓物に該当いたしませんので、このような行為を禁止することの実際的な意義は大きいと思われます。
 最後にCでありますが、個人レベルを離れまして個人情報収集事業者に課すべき禁止行為としては次の4つが考えられます。すなわち、特定の目的のために業として個人情報を収集、蓄積、利用または他人に提供する事業者(法人を含む)については、まず@として不正な手段による情報収集の禁止、Aとして収集された情報の目的外利用の禁止、Bとして収集された情報の改ざんの禁止、Cといたしまして収集された情報を正当な理由がないのに漏示、提供する行為の禁止、これらの禁止規定は当然事業者を名当て人とするわけでありますけれども、いわゆる両罰規定によりまして従業員が業務に関連してこれらの違反行為をした場合には行為者を罰するほか、法人あるいは自然人事業主も処罰するという両罰規定を同時に設けるべきだと考えます。
 最後に「まとめ」でございますが、この個人情報保護に関する刑事立法の在り方ということにつきましては、私個人としては基本的には個人情報の要保護性と処罰範囲の明確性を確保した個別の保護立法を考えていくのが基本的な方向だと考えております。ただ、現在予定されておりますような包括的な個人情報保護基本法のようなものにもし罰則を置くとすれば、処罰範囲の明確性という観点からはドイツ連邦データ保護法41条に類似した、類似したといいますのはドイツ刑法202 条aのようなものも加味した、そういう規定によって非公知の個人情報であって事業者がコンピュータデータの形態で収集し、管理しているものについてその探知、漏示、改ざん、そして目的外使用を比較的軽い法定刑、例えば6か月以下の懲役または50万円以下の罰金といった比較的軽い法定刑で処罰する方向を考えるしかないのではないかと考えております。以上でございます。

【園部委員長】どうもありがとうございました。それでは、ただいまの御説明に関連して委員の方から御質問等がありましたらどうぞ。

【高橋委員】お話の中で、情報に関する犯罪を新しくつくることについては従来タブー視されてきたとおっしゃったのですが、どういう事情でそういうことになったのですか。

【西田教授】よくわかりませんが、昭和49年の改正刑法草案318 条に企業秘密漏示罪というものが予定されまして、企業の技術に関する秘密を漏示したものを新たに処罰する。それに対しては、ちょうど公害の時期でありましたから、そういうものを禁止することは内部告発を禁止し、住民運動を抑圧するものであり、報道の自由を侵害するという形で日弁連、報道界を中心に非常に大きな反対運動が強まったわけです。更にはもっと考えれば、戦前の治安維持法や軍機保護法以来の国家機密スパイ罪みたいなものへの嫌悪感というようなものがあったのかもしれませんが、企業秘密、営業秘密のレベルでも情報侵害罪というものをつくることには大変なアレルギーがあると私は承知しております。

【園部委員長】こういう基本法のレベルでどういう構成要件を規定してどのように罰するかというのはなかなかつかみにくいのですが、何か御意見はございますでしょうか。

【西田教授】先ほど申し上げましたように、これは官と民なのか、民間だけなのか、よく私はまだ理解しておりませんが、要するに対象が明確であるということと、それから保護の必要があるということは最低限の刑事立法の要件だと思うのです。その場合に、対象が個人識別情報であるということだけでは、とてもどういう範囲が処罰されるかということは限定できませんので、客体を限定するとすれば、例えば民間の事業者が取り扱う個人情報であってコンピュータによって処理されているもの、あるいは電磁的、あるいは電子的方式によって処理されているもの、あるいはコンピュータの中に既に蓄積されているものに限定する。これは、ある意味で形式的な限定になり得ます。
 しかし、それならば何でもいいのかと今度は内容になるわけなので、そこではやはり非公知の個人情報、そこでは秘密ということまでは要求しない。識別情報であっても非公知であれば取り込むというところまでいけば、一応プライバシーの保護という要保護性と、それから対象、客体の限定という両方の要件が一応は満足できる。そこがこういう包括的な保護立法の場合には最低のラインであって、あとは個別に例えば信用情報でありますとか医療情報、あるいは犯罪歴情報とか、非常にセンシティブな情報についてはまた個別の立法で法定刑なり、処罰範囲なりを広げ、かつ重くするという対応が考えられるのではないかと思います。

【遠山委員】身分によらない人を処罰の対象にするというのを仮にやるとすれば今回初めてというお話でございますが、そういう場合にはその行為でとらえるのでしょうが、それはどのようなとらえ方になりますか。

【西田教授】身分によらないという部分は、現在身分犯に入っていない。現在は医師、薬剤師、税理士、公認会計士などと限定されているものを、医師、看護婦、その補助者あるいはレセプトの処理者、あるいは業務委託先のこれこれの処理をする者という形で主体を広げるという意味合いでございます。

【遠山委員】そうすると、個人でも最近は個人情報を漏らしたりしてそういう行為をする人はいるわけですけれども、そういう場合は……。

【西田教授】それは、身分の守秘義務が掛かっていない方がたまたま漏れ聞いて、こんな話があったのよということは。

【遠山委員】たとえば、コンピュータを用いてデータバンクにアクセスして、それを情報を取って漏らすということもあり得るわけですね。そういう場合、その個人は。

【西田教授】それは、不正な探知罪として処罰される。これは現在のところは不正アクセス禁止法という立法でハッカー行為までは処罰することができるようになっておりますけれども、そうでなく取得と、それを広めるという取得のところまで処罰するとすれば、新たな立法をしなければ現在の保護法では対応できない状況でございます。

【上谷委員】お考えは誠に私もごもっともだと思って聞いておりましたし、法務省の方からもそういう問題点をいろいろ示していただいたので大変参考になりましたが、端的にお聞きしたいのは、この委員会に対して刑罰で対処してほしいという要望があるその実質的な理由は、せっかく法律をつくるからには実効性のあるものでなければいけないし、抑止的な効果を持たないことにはほとんど意味がないことになってしまう。
 一方、例えば情報を不正に入手したり、それを流通させるというのはかなり大きな経済的利益をもくろんでやっているものだから、例えば安い罰金ではとても抑止効果はない。極端に言えば罰金覚悟でやってしまうというのが問題なので、例えば禁固とか懲役というようなかなり厳しい刑罰がないとなかなか抑止できないのではないかという御意見が多かったし、そういう御意見をお聞きしていますと誠に私どもも御要望はもっともなところはわかるのですが、一方で先ほどお話がございましたように、やはり犯罪そのものとそれに対する刑罰の均衡という問題は当然出てくるわけです。
 そういう問題に関してごく概括的なことでよろしゅうございますけれども、こういうような個人情報の保護のために、先ほど先生がおっしゃったような形で限定を加えながら立法するとして、果たしてそういうものに罰金よりも重いような刑罰を科することが妥当と考えていいかどうか。大変難しい問題で無理な注文かもしれませんけれども、何か御意見がございましたら私どもの考えのためにお教えいただければと思います。

【西田教授】まず比較法的に見ましても、ドイツ連邦のデータ保護法41条は1年以下の自由刑、または罰金刑ということですし、刑法202 条aのデータ探知罪はたしか2年以下の自由刑または罰金刑という法定刑でございますから、もしこの基本法の中に先ほど私が申し上げたような形で立法するとしても、場合によっては1年以下の懲役または300 万円以下の罰金というぐらいのところまでいくことは可能かもしれません。
 ただ、この基本法というもののネーミングから受ける印象は、基本法というのはあくまで大綱を定めるものであって、そんなに個別の実体法まで規定するようなものではないという感じがいたします。そこで、基本法ではあるけれども、これは実体法だと。したがって、民法の特別法であり、刑法の特別法である。刑法の秘密漏示罪の特別法をここにつくるんだ、民法の不法行為法の特別法をつくるんだというスタンスであるとすれば、私は先ほど申し上げたような個別立法のもう少し一般化したものをつくって、そういう形でしたらデータの不正な探知、それから不正に取得された情報の流通、その他の行為を禁止の対象とした上で、上限は3年以下の懲役ぐらいまでいくことは私は刑の均衡論から言っても十分あり得ることだと考えております。
 ただ、基本法という名前が外れない限りは、どうもそこまでいくのには無理があるかなというのが私の印象でございます。

【小早川委員長代理】今の「基本法」というのは、私の認識では、実はまだ決まっていないので、「基本法制」と言っている、そこはむしろ、まさに何らかの構成要件を掲げた罰則まで置くかどうかというのが逆にこの立法の性格を左右するような面もあって、ですからまさにクルーシャルな点でおいでいただいたのだと思います。
 それで、私はそういう前提で1つ伺いたいのは、事業者と従業者の関係なのですが、この大綱案の中間整理で考えているように各事業者の自主規制を中心にやっていくとしますと、中での管理規定をつくり、責任者を置き、それから従業員に対しての一定の規律を置く、それぞれを事業者が定めるとして、その内部規律に違反して端的に言うと名簿屋に売ってしまったという従業員がいた場合、そういうものをどう考えるか。これは一つには秘密性、公知性の問題かもしれないけれども、名簿屋にとっては非常に利益のある話であるということがあります。だから、会社の規定違反ということを刑法的にどう読むか。
 それからもう一つは両罰規定の問題で、そういうときに、まさに従業員に裏をかかれた事業者が当然に可罰性があるのかというような点等、いろいろあるかと思いますが。

【西田教授】それは両罰規定の解釈に結局帰着するわけですけれども、現在の両罰規定はかなり無過失責任的に運用され、解釈されているというのは園部先生も御承知のとおりでありますけれども、確かに小早川委員が今、提示されたような事例はむしろ事業者は被害者であって従業員が加害者ではないかということだろうと思うのです。
 しかしながら、もし基本法で事業者処罰を基本にするということになれば、それは当然事業者であるという身分を持っていなければ犯せない犯罪ですから、両罰規定がない限りまず自然人行為者は処罰規定がないわけです。行為者を罰するのほかというところで構成要件を修正して自然人行為者にまで罰則を広げたと考えない以外は、事業者以外は処罰できないというのが第1点。
 それからもう一つは、コンプライアンス・プログラム等をきちんとつくって、それだったらそれはディフェンス・オブ・インポッシビリティーといいますか、とてもそれ以上はやれなかったのだという抗弁を認めるときには、結局は過失責任を否定して事業主は処罰しないという道はあると思いますけれども、現実の運用としては本当に会社を裏切って背任横領的な行為で会社、事業主の管理している情報を無形の形であるにせよ、有形の形であるにせよ持ち出したというはっきりとした被害者的な立場に立ったというときは事業者としては不過罰であるとする余地は十分にあるし、またそうすべきだと思います。

【小早川委員長代理】その場合、行為者の方だけというのは大丈夫ですか。

【西田教授】行為者の方だけ処罰するということは、恐らくこの基本法ではできないと思います。それは個別の個人レベルの処罰規定は置かないということになるでしょうから、置くとすればそれは基本法ではなくて特別法になってしまうというのが私の意見ですが、置けばそれは問題ないわけです。

【高橋委員】情報を不正に窃取した場合、個人を対象にしてそういう場合をとらえようとするとこれは基本法ではないというのは、どうしてそのように考えられるのですか。

【西田教授】この基本法の中間整理そのものの書き方が、やはり事業者を対象としてつくられている。それは明らかだということですし、大体基本法と名の付くものはそういう細かい個人レベルの処罰規定を置いた例というのは私は寡聞にして知りませんけれども。

【藤原委員】今の先生のお話で、もしも基本法という名称が、実はその点は今まで議論のあるところなのですけれども、ドイツの連邦データ保護法のような官民を通じた一般法的なものであると考えれば、5万マルク、300 万なり400 万までの上限の法定刑の罰金刑などがあっても、先ほどの先生のお話を伺っておりますとさほどバランスを失したものではないとも考えられるということですか。

【西田教授】ただ、そのときにはほかの守秘義務違反の法定刑が現在非常にばらばらでございますので、それを精査した上で、それとのバランスを取るということは当然必要になってくるかと思います。ただ、罰金刑のみならず自由刑を入れることに私は余り抵抗感はありません。

【園部委員長】時間の関係でもう少し伺いたいこともありますが、なおどうしても必要とあらばまたお出掛けいただきたいと思いますけれども、また別の機会にいろいろお尋ねすることがあると思いますが、よろしくお願いいたします。今日は本当にありがとうございます。

(西田東京大学教授退室・日本情報処理開発協会関係者入室)

【園部委員長】それでは、引き続きまして日本情報処理開発協会からヒアリングを行います。同協会のプライバシーマーク事務局長である関本様に御出席をいただいております。本日は、御多忙のところありがとうございました。御説明は10分から15分ということで非常に短くて申しわけないのですが、その後の時間を質疑に当てたいと思いますので、ポイントを絞って簡潔に御説明をいただければ大変ありがたいと思います。それでは、事務局長よろしくお願いします。

【関本日本情報処理開発協会プライバシーマーク事務局長】本日は、大綱案の中間整理に対して意見を述べさせていただく機会を与えていただきましてどうもありがとうございました。
 私どもも、個人情報の保護というものは高度情報通信社会の健全な進展を図っていく上で非常に重要な課題の一つだととらえています。そのような観点から、平成10年4月にプライバシーマーク制度というものの運用をいたしております。そのような運用を通じて個人情報の保護に取り組んでいるわけですけれども、今般このような形で大綱案の中間整理に接しまして、委員の先生方、または事務局の方々の御努力に敬意を表するものでございます。本日は限られた時間ですので、プライバシーマーク制度の運用というものの経験から業界実態を踏まえて必要な事項について意見を、簡単ですけれども述べさせていただきたいと思います。
 まず初めにですけれども、委員の先生方には大変失礼かと思いますが、プライバシーマーク制度を若干御説明させていただきたいと思います。EU指令の発行ですとか、ネットワーク上のプライバシー保護という問題が国際的にも重要になってきました。その流れに対応して、平成9年の3月ですけれども、通商産業省の方で従来から指導をしてきました個人情報保護に関するガイドラインが新しく改定をされました。このガイドラインの普及を図り、我が国の民間事業者の個人情報保護水準の向上ということを第1の目的としまして、私どもはプライバシーマーク制度というものを平成10年の4月に運用を開始したものです。この制度は通産省の個人情報保護ガイドラインに準拠をして、個人情報の保護の取扱いを行っている事業者を認定をし、そのあかしとしてプライバシーマークというロゴマークの使用を事業活動に認めるというようなものです。
 その後、平成11年の3月に日本工業規格ができました。これは、個人情報保護に関するコンプラアンスプログラムの要求事項というものですけれども、このJISが制定されたことを受けまして、私どものプライバシーマーク制度もこのJISに適合しているかどうかという評価基準にいたしまして現在まで運用をしております。私どもは日本情報処理開発協会が運営の母体になっておりますけれども、審査を代行していただく機関として指定機関という名称を取っておりますけれども、現在情報サービス産業協会、日本マーケティングリサーチ協会、全国学習塾協会という業界団体にその審査の代行をお願いをしております。また、私ども自身も審査の一部を実施しております。
 平成10年の4月以来、現在までの状況ですけれども、本日現在156 社の事業者を認定しております。簡単に内訳を見てみますと、情報処理サービス業が103 社です。あとは学習塾、これは非常に小さいものからありますけれども22社、マーケティングリサーチ業7社、結婚紹介業4社、人材派遣業4社、その他、就職情報の提供をする会社ですとか印刷をする会社、医療機関、職業紹介をする会社、電気通信の会社等々がありまして156 社を認定をしています。この度、私どもの制度の中で、一たん認定したものでも取扱いが非常にずさんな状況が発生した場合には取消しという処分を行う制度、スキームを持っておりますけれども、今般非常に残念なことに1社を取消し処分にいたしました。この会社は厚生省からのデータ処理の委託を受けた会社なのですけれども、それが委託契約に基づいて作業をしたのですが、その過程で委託を受けたデータの一部を紛失してしまい、そのまま納品をしてしまったというような実態が明らかになりました。それについて検討して、6月28日付ですけれども、認定を取消しをしました。その結果、その会社では社長が退任するという状況になっております。以上、プライバシーマーク制度の運用状況を簡単に御説明いたしましたけれども、引き続きまして5点ほど今回の中間整理に対して意見を述べさせていただきたいと思います。
 まず全体にですけれども、私どもプライバシーマーク制度を運用ということを通じて非常に個人情報の保護というものは重要なものだと考えています。したがいまして、我が国に個人情報の保護を目的とした基本法というものが制定されることは非常に意義深いものだと考えています。基本法では、事業者の個人情報の取扱いの差を意識した検討が私どもの立場から言いますと望まれます。すなわち、取扱いの差異というものが非常にあるわけですけれども、それを考慮しなければならない事項につきまして基本法において規定しますと実質的に実効性が上がらないのではないかということを多少懸念をいたしております。
 個人情報の取扱いの目的を見てみますと、契約履行を行うため、マーケティングのため、顧客サービスを行うため、更には情報提供を行うためなどなど、非常にさまざまな目的を持っております。また、その処理の過程や情報を処理するシステム、社内での利用部門の数ですとか人数、安全管理の方法等、企業ごとに非常に多様です。このような多様性は、業種ですとか企業規模等の要素によっても更に複雑になっております。したがいまして、このような多様性を考慮した上で基本法の規定を検討する必要があると考えております。
 続きまして、「安全保護措置の実施」に関して意見を述べさせていただきます。個人情報の取扱いにおける安全措置、いわゆるセキュリティー対策といったものは企業の取扱いの場所ですとか、その環境、取り扱う情報処理システムの形態、利用の目的、業種、企業規模等によって大きく変化をしています。また、それらの安全措置は企業の経済的負担に耐えられる範囲で構築するということも念頭に置く必要があると考えております。更に、技術的な対応策と管理的な対応策、そういうものをうまくミックスして効果を上げているのが実態です。したがいまして、基本原則や事業者が遵守すべき事項において「適切な」という表現で規定したことについては合理的だと考えております。
 しかしながら、どこまでやれば適切かという問題については前述のとおり考慮すべき要素が非常に多く、一律に定めることが困難であると考えます。したがいまして、基本法制の中で「事業者が遵守すべき事項」として更に規定するのではなくて、例えば個別法、または業界ごとの基準として定めるなどの自主的な取り組みを推進するという方向に導いていただくのがよろしいのではないかと考えます。
 技術的な措置を見てみますと、個人情報の取扱いの場所に入ることを制限するために入退管理をするための装置を付けている場合もあります。または、権限のない人々からデータベース等へのアクセスを制限するアクセス制御、または最近インターネットからのアクセスを制御するファイヤーウォールの設置、そういったアクセス制御装置、技術があります。また、このアクセス制御を利用するためにはIDカードですとか、パスワード、または指紋ですとか、人間の例えば虹彩ですとか、そういうものをうまく活用した認証技術も要ります。更には暗号化の技術ですとか、センサーやビデオカメラによる監視、検知技術、それから通信の監視技術と、非常に多様な技術ですとか、管理のための措置が取られるわけです。
 これらの技術は、考えてみますと、いわゆる破る側の努力と競争するという側面を持っています。したがいまして、絶えず最新の技術レベルを維持するということが必要になるわけですけれども、そのために事業者は非常に多大な負担を伴うということが現実として考えらます。技術的対応策を積極的に講じているのはどういう事業者が多いかと考えますと、専門の取扱いの場所を保有している金融機関、それから情報処理サービスを提供している事業者、そういう事業者が比較的積極的に技術的な安全対策を講じています。情報処理サービス業者に対しましては、国が安全対策実施事業者認定制度というものを運用しておりまして、この認定を受けている事業者が多くいます。このような事業者につきましては、安全のレベルが非常に高くなっていると考えられます。
 ただ、一方では雑居ビル等にテナントとして入居して仕事をしているというような中小の事業者もございます。そのような事業者につきましては、ビルの安全管理体制に依存するといった部分が非常に多くありまして、一般的にはその対応策は低いレベルにあると考えられます。
 次に「透明性の確保」についてですけれども、個人情報の取扱いに関する個人参加と公開の原則というものはOECDの8原則にもあるとおり、個人情報の保護をするという観点から非常に重要と思います。したがいまして、この法制の案でその透明性の確保という観点から規定されているのは非常に意義があることと考えておりますけれども、実態面から見ると多少の課題を含んでいると考えております。個人情報に関する取扱いのシステムは、事業者の実情というものを反映して構築をされています。個人情報を取り扱う事業者は、自らの事業目的のために個人情報を取り扱っている事業者と、そのような事業者から処理の委託を受けて個人情報を処理する情報サービス事業者に大別することができます。
 前者にありましては、個人情報の入力、加工、管理といったような部分の一部の業務を事業者に委託している場合や、またはすべて自社で取り扱っている場合とさまざまな状況です。今日では非常に外部の装置等を使うアウトソースというものが盛んになっていますから、受託事業者の存在というものが非常に増えているような状況です。
 受託事業者の場合は、透明性の確保について若干の問題があると考えます。例えば、委託者との間で交わします委託契約には個人情報を処理しているということすら明らかにできないという情報も含んでおります。そういう意味では、透明性を確保するということに多少影響を及ぼすかもしれません。個人情報の取扱い、処理において保護の強化を図るためには、特に安全性の確保という観点から仕組みに工夫を凝らしているわけですけれども、一般的には安全性の確保の仕組みは部外秘、外部に教えないということを前提にして構築されているものが多いわけです。したがいまして、その件に関してどの程度まで透明性を確保できるかということが大きな問題になるのではないかと考えます。
 例えば、入力途中の帳票ですとか入力済みの帳票、または情報システムで処理をした結果の帳票、更には情報システムに保持しているデータを破壊から守るためにバックアップを取ったりします。これはフロッピーディスクですとか磁気テープとか、そういうものに取るわけですけれどもそのようなものの保管管理、保管場所、そういうものは特定者がかぎをかけて管理をするという実態でございますが、この場合はその保管場所といったものを部外の方に明らかにするということは非常に問題を大きくするものだと考えております。したがいまして、透明性の確保の規定につきましては運用上の課題を若干でありますけれども含んでいるものであると考えます。
 次に第三者への委託、提供を含む概念ですけれども、これについて意見を述べさせていただきます。情報処理の外部委託は、我が国全体で先ほど申し上げましたように非常に進展をしています。プライバシーマークの付与認定を先ほど156 社とお話申し上げましたけれども、これらの事業者においてもほとんどの事業者が何らかの形で処理の一部ないしは全部を外部に委託をしている状況です。
 しかしながら、外部企業に個人情報の処理を委託することは自社の管理が行き届かなくなるというような反面の危険性を持っています。その意味で、第三者への委託に関して保護措置というものの必要性を本法案の中で規定したことは非常に意義深いことと考えています。プライバシーマーク制度の運用ではJISQ15001という日本工業規格の規定に従っているというお話を申し上げましたけれども、この規定の中にも委託先の選定基準を確立しなさい、委託先を調査をしてその基準に合致しているか評価をすべきだと、そのような運営をしています。更には、委託契約を結んだ上で責任範囲を明確にすることを求めています。
 一方、その委託基準に対して非常に厳しい条件を課すことは、既に取引をしている受託者に委託をすることができなくなるというような問題も現在はらんでいます。したがいまして、そのような事業者には受託者の処理の状況を委託側が定期的に立入り調査をする。そのようなことをすることで対応するというような措置も講じているわけです。しかしながら、このような詳細な規定について業界ごとのガイドラインや事業者の自主的な対応の範疇で対応するのがいいのではないかと考えております。
 最後になりますけれども、「民間主体の苦情処理の有効性」ということで御意見を述べさせていただきたいと思います。私どもが運営していますプライバシーマーク制度は付与をした、認定をした事業者の個人情報の取扱いに関する消費者からの苦情について対応をいたしております。現在、非常に苦情が多いわけではありません。逆に少ない状況でありますけれども、プライバシーマーク制度では認定事業者に付与後の調査権というものを前提にして認定をいたしております。したがいまして、消費者から苦情があった場合にはその規定に基づきまして認定事業者に対して意見を求めたり、報告を求めたり、調査するということをやっております。
 しかしながら、苦情の対象となる事業者の範囲というものをすべての事業者に私ども拡大しますと、認定事業者以外の事業者に対しては私ども自身がその苦情に対して調査をするという権限がございません。したがいまして、十分な紛争処理、対応処理ができなくなるということが考えられます。そのようなことを考えますと、事業者団体等でも個別に対応する体制は非常に有効なのですけれども、この場合においても調査をする権限を付与するといったことを前提にして、基本法制において団体を指定しておくというような規定といいましょうか、そのようなものを設けて対応していただくことがよろしいのではないかと考えます。少し長くなりましたけれども、以上でございます。

【園部委員長】どうもありがとうございました。それでは、ただいまの御説明に関連して御質問がありましたらお願いします。

【高芝委員】「第三者への委託」のところのお話を伺ったのですが、それとの関連で実際の実務のところを教えていただきたいのですが、きちんと契約をする、選定など委託先も配慮していった、監督もきちんとやっていたというときに何か問題が起こったとき、委託した方というのでしょうか、元の事業者の方が監督義務を尽くしていたときには、それでもやはり責任がありとされているのが実務なのか。やはり監督義務を尽くしていればそれなりに責任は果たしていると評価されているのが実務なのか。そこら辺について教えていただければと思います。

【関本局長】私どもの制度の運用上は今、御質問いただいた後者の方でして、監督義務をしっかり尽くしている。そのような場合には、事業者の責任ではなくて免責ができると考えて運営をしております。

【新美委員】その免責できるというのは、内部者相互の間の責任問題で、例えば情報主体との関係で免責されるかどうかということについてはいかがでしょうか。

【関本局長】それは非常に難しい問題だと思います。委託を受けた事業者が何らかの不祥事を起こして漏洩したときに、当該個人が非常に重要なプライバシーの侵害を受けたときには今、申し上げました免責だとしてもやはり監督義務があるわけですから、その被害の程度によってやはり対応する必要があると考えています。

【新美委員】この責任範囲を明確にするというのは、あくまでも当事者間の責任範囲を明確にすると理解してよろしいですか。

【関本局長】はい。

【藤原委員】どうも御説明をありがとうございました。2点教えていただきたいのですが、いずれも実態の話です。
 1点目はさっき委託のところで、個人情報の処理の事実すら明らかにできないような場合もあるとおっしゃったのですが、もしよろしければ具体的にということです。
 もう一つは、これは時間の関係で御説明なさらなかったのですけれども、最後に自動処理とマニュアル処理に対する苦情の対応も異なるとお書きなのですが、もう少しここの点を具体的にお教えいただきたいのです。

【関本局長】自動処理に関する対応というものですけれども、私どもはこの苦情処理をするときに一般的には私どもの制度はJISに基づいてやっておりますので基本として情報処理を前提にしております。ただ、情報処理を前提にしない一般的な帳票のレベルのものであった場合、例えば雑誌とか、そういう刊行物を持って、それで漏洩というような私の情報が出ているとか、そういうような苦情があったとしても、これはなかなか私どもとして対応できないという意味でございます。
 もう一点ですが、実質的にそういうものということはなかなか具体的にお話できないのですけれども、やはり我が社が他に対して出しているという事実を教えないでくれと、そういうような状況はかなりの数としてあります。

【新美委員】1点お伺いしたい点があります。全体について最初に述べられたところで、「事業者が遵守すべき事項」というのを基本法で余り厳格に決めると実態と乖離する懸念があるという御指摘ですけれども、「事業者が遵守すべき事項」というのをかなり大ざっぱというか、骨組みだけ示して具体的な中身については自主的な取り組みないしは判断に任せるというようなことにした場合はいかがでしょうか。

【関本局長】それは、実態として運営することはできると考えます。

【新美委員】あとは、それで自主的取り組みでかなりの部分をお任せするとした場合に、どういう理由でどういう枠組みでそういう処理システムをつくったかということの説明責任を事業者に負わせるというような仕組みにしたときにはどのような反応が出るとお考えでしょうか。例えば、先ほどコストを考えるとか、中小企業はそれなりに安全性については最新のものまでできないというようなことをおっしゃられたわけですが、それはそれとして認めるけれども、そういう実態だということを広く知らせるようにするということはいかがお考えでしょうか。

【関本局長】それも中身の詳しさの程度だと思うのですけれども、それぞれの事業者が取扱いについて、例えば情報の保管にしてもしっかりと管理者を置いてかぎ付きの場所に保管していますとか、そのような程度の透明性でしたら全く問題なく消費者の方にお伝えすることはできると考えます。現在でもそのようなことはできると思います。

【園部委員長】調査権の問題ですが、調査権と一言で言うのですが、どういうものを考えておられますか。

【関本局長】少し言葉がよくなかったかもしれませんけれども、私どもがプライバシーマーク制度で運営している場合には、苦情がございましたらその苦情の事実を確認をして当該事業者に報告を求めます。その報告が正しいかどうかを、重要な案件の場合には先方に伺ってその事実を確認をするという手続を取ります。ここで調査権と申しましたのは、私どものプライバシーマーク制度では認定をする前提条件としてそのようなことを認めていただいた上で認定しているわけですけれども、非常に範囲を広げた場合、私どもが認定をしていない事業者の問題に対しても私どもが紛争処理をするということを考えましたら、現地に行って状況を視察をして調査をするということができなくなるわけですのて、少なくともそのようなことが可能なような状況に置いていただく必要があるのではないかと思っております。

【高橋委員】基本法において調査権も付与した上で団体を指定するということですが、この団体というのはどういうものをお考えですか。

【関本局長】これは、この以前の中間報告等にも複層的な紛争解決とか、そういうような御提案もあったわけですけれども、そのようなそれぞれの業界なり業界団体なり事業者なりに、事業者は特別ですが、業界団体なりに第三者的な紛争処理のための機関を設けるとしましたら、そのようなときには必ずそういう調査を行う権限を付与していただいた上で指定していただく必要があるのではないかということです。

【新美委員】プライバシーマークについて伺いたいのですが、このマークは有効期限があるのかどうかということと、それから現在は多分ランク付けはないのでしょうけれども、かなりシステムいかんによっては要求されるレベルが違ってきてもいいということだとするとマークにランク付けを付けるということもありそうなのですが、そういうことは御検討しているかどうか。2つを伺いたいと思います。

【関本局長】マークのランク付けですけれども、ランク付けは非常に難しく、どのようなところで線を引くかというのは非常に難しいと考えております。したがいまして、現在ではまだそこまでの検討はいたしておりません。
 もう一点の有効期限は、今2年間でございます。先ほど少し付加的な話で1社取消しをしたというお話がございましたけれども、申請の段階では私どもの求めている状態にあったわけですが、なかなかその社内システムをそのまま維持またはレベルアップをして動かしていくというのは事業者にとってもかなりの負担があると考えるということもできます。そのような意味で、2年間の有効期限の間、そのまま認定機関として放っておいていいのかどうかという反省は若干しているということです。

【園部委員長】いろいろ伺いたいこともございますが、予定の時間もございますので、日本情報処理開発協会からのヒアリングはここまでといたします。関本事務局長、本日はどうもありがとうございました。時間の関係で本日伺えなかったことも後日、事務局を通じて照会させていただくことがございますが、その切はよろしくお願いいたします。

(日本情報処理開発協会関係者退室・電子商取引推進協議会関係者入室)

【園部委員長】それでは、電子商取引推進協議会からのヒアリングを行います。同協会からは合原首席研究員に御出席をいただいております。本日は御多忙のところどうもありがとうございました。御説明は10分から15分程度で、その後の時間を質疑に当てたいと存じますので、時間の制約がございまして申しわけないのですが、ポイントを絞って簡潔にお願いをいたします。それでは合原首席研究員、お願いいたします。

【合原電子商取引推進協議会首席研究員】よろしくお願いいたします。今回のヒアリングにつきましては、各団体の皆様方共通の個人情報の取扱いにおける課題、現状等のお話もあろうかと思いますけれども、私のこのヒアリング事項につきましては電子商取引関連に特化した内容でお話をさせていただきたいと思いますので、何とぞよろしくお願いをいたします。
 まず「電子商取引における個人情報の取扱の実態」ということでございますけれども、例えば代表的な事例としましてはここに書いております「統合化されたデータベースによる個人の特定」ということがございます。これはどういうことかと申しますと、一般にインターネットを使っていわゆるバーチャルショップとか、ポータルサイトのページにアクセスをするということになりますと、本人はまだキーボードを使って自らの個人情報などは入力をしていない段階であっても、サーバー側にはパソコンのITアドレスを含めてそのユーザーのパソコンからサーバー側にアクセスログもしくは接続領域等も含めまして、アクセスした側の情報が既に送信蓄積を自動的にされているという実態がまずございます。
 それから、インターネットを一般に利用する場合は皆さん御存じのようにブラウザーという画面を見ることになるわけですけれども、このブラウザーというものを使用しますと、ここに書いてありますクッキーというデータの自動送信の仕組み、プログラムがありまして、このクッキーというパケットデータが自動的にパソコンのユーザー側のブラウザー側の情報をサーバー側に送ってしまうというプログラムがございます。これはすなわち、どういうユーザーがアクセスしたサイトのコーナーを見ているかとか、どんな商品に興味があるかとか、その分野がどうであるかといったようなことをすべてサーバー側に送ってしまっているという内容であります。これらの知らない間に蓄積されたデータと、自分でインプットをいたします氏名とか住所、メールアドレスなどのいわゆるユーザーIDをキーにしてインプットされた個人データが結合されますと、たちまち本人の知らない間にこういう本人特定可能なマーケティングデータといいますか、結合された個人情報のデータベースが容易に構築できるということでございます。これが1つであります。
 これのメリットとしましては、今はやりのワン・ツー・ワン・マーケティング、欲しい人にその情報を持っていくという商品をお届けできるという事業者側、ユーザー側にとっても非常に効率的なビジネス展開が可能であるという反面、ここに書いてありますようにデジタル情報であるという特性がECの個人情報、電子商取引の個人情報にはございますので、すなわちその特性を悪用されますと大量の個人情報が容易に情報主体の知らない間に瞬時に漏洩してしまう、流出してしまうという危険性をはらんでいるという二面性を持っているを持っているという点が一つの実態であります。
 続きまして、そういった情報の収集時における目的の通知、同意の取得等については現状はどうであろうかということでありますが、結論から申しますと、それぞれの企業規模、業態によってばらつきがございます。特に例として意識も高い大手企業サイトとか有名モール、通信プロバイダーといったところは、プログラムの保護ポリシーとか個人情報保護に対する方針等をウェブ上に初めから掲載をいたしております。そして、その同意を得た上で次のページに臨んでください、クリックした上で次のところにいってくださいと、同意をした上の情報収集開始をいたすわけです。
 ただ、特にクッキーということで、先ほど申し上げました前述のブラウザー側から自動送信するデータの使用についても、わざわざ私どものサイトはクッキーを使用しております。したがって、こういう内容で情報を集めていてこういう活用をしたいと思います。それに同意いただけたら次の段階に進んでくださいというオプトインを実行しているサイトも確かにございます。
 次のページですが、ただそういう大手の意識の高いサイトばかりではございませんで、やはり中小という言い方は失礼かもしれませんが、そういう小さな個人経営のサイト等も多くインターネット上にはございますので、中には単一ショップでプライバシーポリシーをウェブ上に掲げるといったような稀有な例、少ない例もありますけれども、大半はやはり個人情報の保護方針の明示とか、事前同意とかがなくて個人情報を収集するケースが多く見受けられます。
 ただ、一言、こういう個人経営のサイトでも意識の高いところはありまして、ECの対象を受賞するようなサイトは、御天道様に誓ってこのショップは個人情報を保護いたしますと店主名で宣言しているようなサイトもございます。
 続きまして、ネット上で収集される個人情報の管理、保存についてでございます。これにつきましては、いわゆるデータベース化された電子媒体での保存が基本ということになりますので、そういった保管場所、対策についてはやはりばらつきがございます。先ほどと同じように大手企業、情報処理の関連企業サイトにはそういう社内規定から何から整備されておりますので、ホストコンピュータもしくはメインサーバーのハードディスクに大量の情報が保存されております。そこにつきましては、例えばその情報を引き出す際のアクセスの制限、パスワードを掛けたり、これ以上のアクセス権限を持っていないとその情報にたどりつかないといったような厳重な管理がなされておりますし、外部からの不正なアクセスについてもファイヤーウォール、防止壁の設定等、セキュリティー対策がなされているケースが多いのが実態であります。
 ただ、これもやはりどうしてもコストとの絡みがありますので、中にはデータ保護意識が強くてちゃんと整理した中小のショッピングサイトもありますけれども、大半のところはコスト対効果のところがありますので、いわゆる厳重なセキュリティー対策とまではいかずに、サーバーのハードディスクに単なる保管でアクセスはだれでもできる。それから、MOとかフロッピーディスクに取って金庫にしまったりとかロッカーにしまったりといったようなケースも見受けられます。
 続きまして「ネット取引における個人情報保護の取組状況」ということで、インターネット上の個人情報につきましてはどんな保護が今されているかという現状でございます。これにつきましては、まず法制は今のところはありませんが、いわゆるガイドライン等による規制がございます。これは通産省の個人情報保護ガイドラインというのが大きなベースになってございますが、これをベースにしてECの各関連団体もいろいろなガイドラインをつくっております。例えば、私どもECOMでありますと電子商取引における個人情報保護ガイドラインというのをつくって対応しております。
 それからもう一つは、先ほどのヒアリングの方でもあったかと思いますが、個人情報保護マーク制度というもののオンライン運用がございます。これは日本の中で一番有名なのは先ほどのJIPDECさんのプライバシーマーク、JIS規格も含んだマーク運用でありますし、その他日本データ通信協会さんの個人情報保護マーク、これは電気通信業者とか、それからナンバーディスプレイの業者様向けのマークでありますが、そういった内容、それからいわゆる民間のオンラインデータの保護マークというのが、例えば監査法人のトーマツさんですとウェブトラストマークといったようなものをつくっておりますし、それからベリサインさんでありますとオーセンティックサイトシールとか、その他いろいろな民間のそこのPRも兼ねてなのですけれども、こういった保護マークを運用している例がございます。
 次に技術的なアプローチということでございますけれども、これはいわゆるインターネット上のいろいろな技術を駆使して個人情報を守ろうという取り組みでありまして、例えばW3Cという、ワールドウェブ・ワイドウェブ・コンソーシアムという、インターネット関係の技術の標準化団体みたいなところですが、ここによるP3Pというプラットフォーム・フォー・プライバシー・プレファランス・プロジェクトといったようないわゆるプライバシーの提供ランクをパソコン側にあらかじめ覚えさせておいて、それをサーバー側に自動的に通知するといったような取り組みがなされております。
 それから、続きましてはOECDのプライバシーポリシー・ジェネレーターということで、Q&Aで簡単にプライバシーポリシーに関する質問に答えていきますと、自動的にプライバシーポリシーというのが作成されるといったようなツールがございます。それから、あとは各種暗号技術による通信データの保護ということで、特に公開キーを使った暗号でここに書いておりますSET、SSLといったような内容についてはもう皆さん御存じのようにクレジット関係の暗号のプロトコールでございます。
 続きまして、先進企業はそうは言っても自主規制を既にやっている企業がたくさんございます。一つの例としましては、プライバシーポリシーとか個人情報保護方針を先ほども御説明いたしましたように大半の先進企業、IT関連の企業ではウェブ掲載をして公開をしております。それから、プライバシー保護が不十分な企業サイトには自社広告を出さないといった措置までとっている企業がございます。これは特にマイクロソフトが最初にやりましたけれども、その他追随してIBM、インフォシック、ディズニーといったような各サイトが自社広告をちゃんとプライバシーポリシーを掲げていないサイトには出さないということにしております。皆さん御存じのように、マイクロソフトというのはインターネットの世界では最大の広告のクライアントです。したがって、そこが広告を出さないとなると大変な収入減となりますので、アメリカなどでは特に競ってプライバシーポリシーを掲載し出したというような位置づけがあります。
 それから、次に国際的な取り組みということで3点ほど申し上げます。これにつきましては、プライバシー規制ということがいろいろな企業意識の高まりを反映してEU指令の発行等、いろいろな国際的な流れの中から、特にJIPDECさんのプライバシーマーク等の申請も増加してきているとお聞きしておりますし、それから前にお話があったかとは思いますが、JIPDECさんとBBBオンラインというアメリカのプライバシー保護マークの連携といったような段階にもきております。それから、米国を中心ではありますけれども民間の保護団体、OPA、オンライン・プライバシー・アソシエーションとか、それからプライバシー・リーダーシップ・イニシアティブといったような各団体がこういう民間団体ながら個人情報を保護するというような活動をいたしております。
 4点目でありますが、世界的にもいわゆるオプトインという事前に同意を得てからビジネスを始めるという潮流がだんだん台頭してきておりまして、今までみたいな拒否がなければ何でもやっていいのだというような、例えばクッキーに代表されるような拒否がなければ幾らでも情報を収集するといったような態度からだんだん変化がございます。これは、個人情報の取扱いそのものを企業としての差別化要因として位置づけているという流れであろうと考えております。
 次に、インターネットを利用したワン・ツー・ワン取引における個人情報の活用に法的な利用目的の制限を課した場合の各ビジネスへのJISの影響ということでございます。これにつきましては、ざっと読み上げさせてもらいます。一般の収集情報につきましては、やはり日本の場合、情報収集時に本人同意の取得について一般的な商慣習からどうしても完全な本人同意というよりは本人同意の事後取得とか、同意の推定規定といったような考え方を導入しないと、インターネットの上でも事業活動に支障を来すおそれが強いということが1点。
 それから、特にプロバイダーへの加入ということで、それで会員制のサービスを受けるような場合があるのですけれども、その会員制サービスがどんどん追加をされます。したがって、当初目的にないサービスが追加された場合、その都度同意を求めるといったようなことは少し現実的ではないという気がいたします。
 それから3点目、グループ企業内での個人情報のいわゆる利用であります。例えば、ある企業が音楽の関係のミュージック・エンターテイメントという会社をつくっております。そこで得た情報をピクチャー・エンターテイメントという会社に利用したい。それから、あとはゲームの関係のコンピュータ・エンターテイメントというところで利用したいという場合は、やはり同じグループであって株式会社組織で別でありますけれども、同じような企業グループである場合、マーケティングデータとして利用する場合にその度ごとに通知をするということは、消費者から見てもその度にこれを使っていいですか、使っていいですかというようなかえって繁雑な形になりますので、こういったグループ企業内での利用につきましてはある程度のそういう緩和措置といったようなことを考えるべきではないかというのが1点であります。
 それからもう一つ、近年はプロバイダ企業にとってもいろいろな合併とか分散の傾向にありますし、また特に大手企業につきましても分社化という形で、その企業のインターネットのところを分離するといったようなケースがございます。そういった場合につきましても、新たに会社が起きたからということで、その度ごとにかなりの大手ですと100 万以上というようなユーザーになりますけれども、そこに対して全部の同意を取り直すというようなことは少し現実的ではないといったようなことが考えられます。
 続きまして、付随・特殊情報ということであります。アクセスログということで先ほど御説明しましたけれども、そういった内容からその時点ではまだ通知するか、情報を蓄積するかどうかわからないけれども、仮にユーザーに投げた場合にたくさんアクセスがあった。したがって、これはヒット商品になる可能性があるということで、その関係でユーザー側に通知をするような場合、あらかじめアクセスのあった時点で既に同意を通知するというようなことは難しいということがあります。
 それからまた、ネットショッピングしていただいた商品につきましてアフターサービスの情報をとるわけですけれども、これもメンテサービスの情報だけにしか使えないということになりますと、かえってマーケティングで新しい同様のこんないい製品ができたのですけれどもどうでしょうといったようなことに使えないという形になりますので、それも不備があるといったような内容のことを記載しております。
 最後に「取扱いの透明性を確保する為の手段の在り方」ということでございますけれども、これは消費者側にとりますとやはり開示請求権とか異議申立権の基本的な考え方として個人権利の範囲を明確にしていただいた上で、ネット上のアクセスの可能手段とか方法を明示するといったようなことが妥当であろうと考えております。それから、ネット上のアクセスについてはインターネットで不能な場合もありますので、どうしても同上の権利を行使できるような苦情窓口、電話でもアクセスできるような窓口とか窓口責任者の配置をお願いできればということが1つです。
 一方、事業者側にとってみますと開示、それからそういう請求につきましては取引上やはり必要な範囲に限ってほしい。例えば、単に私の情報がどのように登録されているかという興味本位で何万人といったようなユーザーから開示請求権が行使されますと大変なことになりますので、アクセス件数が増大につながるという意味でサーバーがパンクしてしまったりします。したがって、情報の内容とかランク付け、それからアクセス要件をきっちり明示しての設定が必要なのではないかということが1つあります。
 続きまして消費者ニーズということで、消費者も全部が全部聞きたいわけではない。開示してほしいわけではなく、どうしてもここを聞きたいといったようなニーズと対策コストを考慮した上での合理的な必要な範囲内でのネット上の検索、閲覧、開示プログラムを作成したいと考えております。というのも、基本的には現在のコンピュータシステムは開示閲覧に向くようなプログラミングには初めからなっておりませんので、どうしても追加の費用という形で発生するという内容であります。
 最後に、こういったネットビジネスの潮流は世界的な広がりを見せておりまして、国際的な競争力という観点からも余り過度な規制とか活動制限による枠組みの縛りは自立性をそぐものとして懸念されるということが1点あります。
 ただ、私ども電子商取引委員会の協議会のユーザーアンケートにつきましても、ネットショッピングに参入するときに何が一番不安ですかと聞きますと、やはり個人情報の漏洩が不安である。だから、インターネットでクレジット情報を送信できないといったような事実があるのもこの最近の流れでありますので、やはり消費者が安心して電子商取引に参入できるような社会環境、インフラの整備というのは急務であると思います。したがって、今までにない民間の個人情報保護に対する考え方を国民に明示して、これで法制化に至るというのは私ども電子商取引を推進する者にとっても非常に有意義なことだと思いますので、何とぞよろしくお願いを申し上げます。以上であります。

【園部委員長】どうもありがとうございました。かなり個別法に関連するような問題でもありますし、またどこまで今の御説明が理解できたかということも大きな問題ではございますけれども、細かいことには余り立ち入れませんが、少し大まかなところでの御質問ということに限ってお願いをいたします。どうぞ。

【藤原委員】どうも御説明をありがとうございます。今、委員長が冒頭におっしゃったこととも関連するのですが、インターネットの法規制という根本問題に突き当たることは承知しているのですけれども、それはひとまず置いておいて伺うのですが、今の御説明ですけれども、インターネット社会での個人情報保護は特別規制あるいは少なくとも基本法制の中でも特別の規定のようなものが必要だというお考えなのか。あるいはまた、そういう考え方について実務の方としてどうお思いになるか、聞かせていただきたいのです。
 と申しますのは、例えばデータベースマーケティングというのはかなり以前からコンピュータシステムが導入されたころから百貨店が一人ひとりの顧客を追うという形で既にあったと思うのですけれども、ワン・ツー・ワンというのは質量ともにそれが高まった。ただ、インターネット社会という特殊性があるからだけと考えるのか、別と考えるのかで、一般的な個人情報保護の枠組みの中なのか、インターネットの世界での個人情報保護かという問題があろうかと思います。
 それから2つ目なのですけれども、なぜそう申し上げるかというと、プライバシーポリシーのお話が出たのですが、私などがそれを見ていて、あれは性善説で書かれていて、確かに大企業は書いておられるけれども、あのプライバシーポリシーの中身というのは信じてくださいという性善説に尽きると思うのです。それで、W3Cのお話をされたけれども、こちらがセキュリティーの設定を上げれば警告が出て、警告ばかり出て煩しくて使い勝手が悪くなるというような問題もありますし、結局制裁規定等を置かなくてもオプトインの世界に本当に向かうのかどうかですね。実効性がなくて任せておいて、予定調和的にいい世界へインターネットの社会はいくのか。それとも、地獄への道が善意で敷き詰められていくということになってしまうのかという問題があると思いますので、元の話に戻るのですけれども、一般的な個人情報保護法制の中でインターネットが規制できるのか、それとも特別な規定を何本か置けばかなりの部分がカバーできるとお考えなのか、お聞かせ願いたいのです。

【合原研究員】それにつきましては、まず特別なインターネット上だけの規制を設けるということは私どもの協議会では思っておりません。一般的な商慣習とか商取引における、その一部にインターネット商取引もあると考えておりますので、これは一般的な法の規制の中にインターネットの法規制もあるという考え方をしております。それが1点であります。
 それからプライバシーポリシーについての考え方でありますが、これはやはり今おっしゃったように実効性という点では非常に疑問はあります。ただし、このポリシーをつくって社会的に看板として掲げるといったような内容にすることで、少なくとも事業者にとっては自覚が生まれ、消費者にとっては一つの目安として機能するということは言えるのではないかというのが2点目であります。
 それから、オプトインが世界の流れでありますけれども、これはやはり自主規制だけでは悪質なオプトアウトビジネスはなくならないと思います。これは法規制を持って、そこの基本原則というのを十分明示した上で、事業活動に支障のない範囲できっちり法規制をしていただきたいというスタンスであります。

【新美委員】今のことにも関連するのですが、国際的な取り組みの傾向としてはオプトインのビジネスだと言っていますけれども、その下にある一般的情報収集についてはかなり包括的な目的の下での同意ということをおっしゃっているのですが、世界的な傾向からいくとそんなに包括的な形での事前同意ではないような気がするのですけれども、その辺は何か日本には特殊性があるのでしょうか。

【合原研究員】それで申し上げますと1点、EUの関係はおっしゃるようにかなりオプトインを大事にした法規制の意見が主流であります。ただ、アメリカの場合はセーフハーバーということで事前同意というのもポリシーで掲げさえすれば、それでもって実効性の担保にはならないまでも、先ほど申し上げましたようにユーザーに通知しているといったような形で、同意を得ていないし公表までいかないけれどもちゃんと通知をしているという内容でそれを理解してもらえないだろうかといったような考え方がアメリカにはあります。日本の場合はそこまで両極にはいっていませんけれども、その中間ぐらいのスタンスで今の商取引の実態としては推移しているのではないかと考えています。

【新美委員】アメリカの場合は通知だけしていますけれども、それに違反する事実がありますとFTCが不公正取引でインジャンクションを食らいますね。日本では何かそういうものは考えられているのでしょうか。

【合原研究員】今、御指摘のあったとおり、自主規制のマーク制度の一番のポイントがそこの苦情処理にあると思います。例えばアメリカですとFTCが乗り出すということも事実ですし、またマーク制度を一つとってもBBBオンラインとかトラストE自身が解決のプログラムを持っております。例えばトラストEですとウォッチドッグ制度、番犬制度というのがありまして、ユーザーがそのマーク制度に対する苦情をそこのトラストEに言いますと、すなわちそこのトラストEのメンバーが企業と直接掛け合ってくれます。ただし、日本ではそこまでの実態になっておりません。努力は各マーク制度の委員の方もしておりますけれども、したがってそういう第三者的な苦情処理窓口というのが急務であると考えておりますし、今年のECOMの私ども電子商取引委員会のメインの研究課題にもADR、裁判管轄外の紛争解決というのを取り上げて研究いたしたいと思っております。

【新美委員】度々申しわけありません。最後のところに関連するのですが、消費者取引などの場合にしばしば言われるのは、無店舗取引をする場合にはそれだけのコストをかけていないのだからそのメリットを享受して、逆に今度は無店舗取引によって生じ得る紛争とか、さまざまな不都合というのはやはり無店舗取引をやる者が自らの費用でもって解決すべきだと、そういうような基本的な考え方が欧米には非常に強いと思いますが、日本ではそういうような議論はされているのでしょうか。

【合原研究員】正直言いまして、いわゆるインターネットでの無店舗で低コストだからほかの面でメリットがあるために、その分セキュリティーに十分お金を掛けなさいといったような発想はまだ正直言ってないと思います。実態としましては、インターネット取引におきましても無店舗だからコストが安いということは現実ではなくて、実際は広告宣伝とか、そのサイトを知らしめるための必要コストというのは、かえって有名でないサイトについては必要以上に掛かるといったような現実がございます。したがって、ブランドのあるところがそのままインターネットに進出する場合はそういった費用はないのですけれども、そういった意味で新しい中小のサイトが有名になるためにはかなりの努力が必要で、コストも必要と考えます。したがって今、言ったような議論というのは日本ではまだまだそういう形にはなっていないというのが現状です。

【園部委員長】よろしゅうございますか。それでは、予定の時間も過ぎましたので電子商取引推進協議会からのヒアリングはここまでといたします。合原首席研究員、本日はありがとうございました。時間の関係で本日お伺いできなかった問題は多数あると思います。また、そういう質問は後日事務局を通じて照会させていただきますので、その切はよろしくお願いいたします。
 それでは、ここで15時50分まで休憩といたします。

(午後3時35分休憩)
(午後3時50分再開)

【園部委員長】それでは、再開いたします。主婦連合会からヒアリングを行います。同連合会の加藤副会長に御出席をいただいております。本日は御多忙のところどうもありがとうございました。時間は短いのですが、御説明を10分から15分程度、その後の時間を質疑に当て、全体として30分程度を予定しております。時間の制約が厳しいのですが、ポイントを絞って簡潔に御説明いただきますようお願いをいたします。それでは加藤副会長、お願いいたします。

【加藤主婦連合会副会長】どうもお忙しいところありがとうございます。私の関係するものについて資料をつくっていただきまして、資料の4と参考の4でございます。参考の4の方はこちらの法制化専門委員会の方へ、大綱の出る寸前でございましたけれども私たちが盛り込んでいただきたい点として提出させていただいたものでございます。
 それから、申しわけございませんが、資料4の3枚目のところにミスタイプがございますので訂正させていただきたいと存じます。上から4行目、12の2行目のところに「収集される本人に対して収集(登録)」と書いてあるのですが、これは「収集された本人」と「る」を「た」に変えていただきたいのと、「収集」ではなくて「公表」と、3文字の訂正をよろしくお願いいたします。原文は「収集される本人」となっていますが「収集された本人に対して、公表(登録)」でございます。
 それでは、いただきました大綱を拝見いたしまして、私どもといたしましてお伺いして帰りたいことや、それからお願いしたいことを申し上げます。
 まず「目的」でございます。ここは大変いろいろと前文が書いてございますけれども、要するに私どもの認識に間違いがなければ、個人の権利利益を保護することを主たる目的としていらっしゃると拝察いたしまして大変結構なことだと存じております。
 それから2番目の「定義」の方にまいりまして、資料4のところにも書きましたけれども、後でお教えいただきたいのですが、恐らくそうではないかと思うのですが、認識の足りないところがあったら教えていただきたいのは「一定の者」という表現の内容でございます。それは第3セクターとか特殊法人とかというようなものでよいのかということです。それから、最近BツーCというのですか、ビジネス・ツー・コンシューマーではなくてコンシューマー・ツー・コンシューマーという形でオークションなどの個人ビジネスが大変活発になってきまして、この辺の個人のビジネスの場合もものすごい量の個人情報を取り扱われるのですが、あるいは趣味の活動でありながらかなり事業的に会費といった形で仕事をするときに個人情報が手元にあるというような方はどのように考えていかれるのかということについてお伺いしたいと思っております。
 それで、1ページ目の下に注意が2つばかりございますけれども、私たちとしてはこの事業者のところではできるだけ幅広くしていただいてすべて対象に、行政とか事業活動のために収集されるものはやはり対象にしていくという方向で法律の枠をつくっていただきたい。狭まらない方向をお願いしたいわけです。そういうことになりますと「検索可能」というような言葉も、これは不可能ということで除外されるものを少なくしていく工夫をしていただきたいということです。ここに「マニュアル処理」というようなことも入っておりまして、後ろの方の行政機関の方とも関係してくるのですが、マニュアル処理が入ったということは大変私たちとしては評価しておりますので、願わくば除外されるものを少なくするという方向での御検討をお願いしていただきたい。
 それから、次のページで「基本原則」に入ります。これもOECD8原則の精神は生かされて、そして日本的な現実味のある表現になってきてはいるのだろうと思いましてよいのではないかと思うのですが、幾つかお願いしたいのは、例えば「基本原則」の(1)の「利用目的による制限」で、利用目的が明確にされるというだけではなくて、やはりそこで本人の同意がとられるということで「利用目的が明確にされ、本人の同意を得て」とされていっていただきたいと思っているのです。
 そして、注の1でございますけれども、「利用目的が変更された」と過去形になっているのですが、これは日本語の表現で「される場合」と同じなのか、そこは素人で法律用語はわからないのですが、普通の私たちの日常語でいきますと「変更される場合」と、変更されてしまってから本人にというのではなしに、変更される場合は事前に十分な説明と本人同意がされるということをお願いしたいと思うわけです。
 2と3につきましても、利用目的の変更とか第三者に対する目的外提供といったようなことも原則は認めないのだ。しかし、こういう条件があれば、それはよいのではないかと原則認めない方向での表現ぶりという方がよいのではないかと思っております。
 私の資料の1ページの下から4行目に書きましたが、ちなみに現状の個人信用情報などの登録会社や関係企業への提供につきましては、大変同意文言の提供のされ方が不親切、極めて形式的で書かれ方も違うのでほとんどの人が知らないで済んでいるということが多いと思います。この辺も法律ができたときには個別法でいくのかどうなるのかわかりませんけれども、もう少し本人が大事にされる方向で基本原則が実態としてできていくということを希望しております。
 2番目の「内容の正確性の確保」ですけれども、ここは現状の通産省のガイドライン辺りでも「正確」だけではなくて「正確かつ最新」としておりますので、ここのところも私はここのメモには書き忘れたので資料には書いてございませんけれども、本文でいきますと2の「内容の正確性の確保」で「個人情報は、正確で最も新しい内容に保たれること」と直していただければありがたいと思っております。そのためにはどうするかというと、持っていらっしゃる例えば事業者なりお役所の方にしてみると、これは最も新しくて正確だと思っていてもいろいろな事情で変わってきている場合がある。そして、そのことによって保有者と本人との間にそごが生じるような現状ができたとき、本人がそれをおかしいのではないか、確認させてくださいといったとき、本人の訂正開示、開示していただいて訂正してもらえるという請求権が保証されたいと思います。ものによっては、役所の仕事の中で削除してくれと勝手に言って税金のリストからうちは除いてくれと、そんなばかなことを言うつもりはありませんけれども、例えば事業者との関係などでよく来る苦情は、御主人が死んでしまったのにいつまでたってもその種の彼の関係らしい、あるいは死んだ子どもの関係らしい、子どもさんが七五三も過ぎ、中学へ入るなどという話になっても折々にそういうダイレクトメールや電話が来たりすることはすごく悲しくて嫌なことだから、そういったものは削除してほしいといったときはそういう権利も保証していくということで、基本原則の中に本人がそのことを確保できるための開示訂正の請求権を保証していっていただきたいと思っています。
 そうなりますと、次のページで(3)の「適正な方法による取得」についても、これは私ども素人ではどのように法律の方に物を申していいのかわかりませんけれども、適正といった場合は一番明確にされて本人から取っていただくのが一番ですが、何らかの形でそうでない方法というものもあるのだろう。例えば子どもの場合だと、保護者からしか取らなければならないだろうということもありますので、特に事業者の場合に現状で起きていますのが、子どもをだまして不当に子どもの周辺の情報を入手して、そして子ども向きの商品サービスのリストをつくっていくような、そういうことは絶対やってもらいたくないので、何かこの辺が保証してもらえるのではないかと期待しています。
 それから、ここは適正な方法だけですけれども、やはり思想、信条だとか、病歴だとか、場合によっては政党の問題だとかといったセンシティブな情報の収集禁止といったようなものがどこかであってもいいのではないかと思っておりますが、ここはただ適正方法なのですけれども、収集の制限というものもどこか、これは公的機関と民間とを一緒にした基本原則なのでそこまで踏み込めるのか踏み込めないのかわかりませんけれども、そんなことを感じております。
 大綱の2ページの「安全保護措置の実施」についてはそのとおりで、これが実質的に保証されていければ結構だと思っています。
 次が、大綱の5の「透明性の確保」です。ここのところでも「必要な関与をしうる可能性が確保される」ということで「可能性」ということは大変あいまいなものですから、やはり具体的には本人の開示とか訂正、削除請求権をもって、それは実施が可能なので、そこのところを明記していただける方法はないものだろうか、あるいは行使できる方法ですね。本人による開示訂正、削除請求権が行使できる方法が確保されるという形に書いていただければ素人には具体的で安心できるものでございます。
 それから政府措置のところですけれども、ここでは拝見しますと私自身、個人情報保護検討部会の方に加えさせていただいて、そこで一番最初にいただいた課題が今、放置されている民間部門について特に丁寧に御説明や何かもあって、そこが期待されているような雰囲気でもございましたし、事実期待もされていますし、限られた時間の中でやっていくにはそこを中心に個人情報保護検討部会の方ではありましたけれども、現行の88年法の電算機処理部分の法律については非常にまだ不備が多いものですから、ここを十分肉付けしていっていただいて、今回新しい基本法ができるならば同時に本当はやっていただきたいけれども、それが物理的に無理ならば、同時までいかなくても追い掛けてとにかくなるべく早い時期に既存の88年法の見直しをしていただきたいと思っています。
 そのときに、是非今の内容が私たちから見まして、やはり行政機関による無制限な収集と、収集単位のデータベースのスタンドアローンされたものがネットワーク化されていくということを非常に怖いとみんな思っていまして、そこの歯止めを入れた上での見直しを期限を設定してやっていっていただきたいし、それから開示請求はできても訂正権を保証するといったような法律の改善をしていただきたいので、その辺の期待を内容も言及し、期限の設定をして現行法の見直しが必要である旨を骨子の中で入れていただければ大変ありがたいと思います。
 大綱の3ページの(1)の下から2、3行目辺りに「特定の個人情報又は特定の利用方法であるため、特に厳重な保護を要する等、別途の措置が必要なもの」云々というところについて私どもが想像するのは、これはいわゆるセンシティブ情報とか、現在個別法で手当てをしようとしている、あるいは ing である医療とか電気通信、金融といったことなのだろうと思いますけれども、これ以外にも是非教育関係の情報ですね。それから情報処理業者、これは電気通信の方で今、考えられているものから、私たちはこれも全部含有されているのだろうかと思っているのですが、情報処理分野における個人情報保護というのは技術的にきちんともう少しお願いしたい。多様な業者がいるだろうし、孫請けまで最近できて、この間の朝日新聞でしたか毎日でしたかの記事を読みますと、非常に労働者としては厳しい状況の中で4段構えぐらいの孫請けさんが実態的には仕事をしているというような場合もあるので、そこら辺りの別途の措置の中に新しい個人情報についての明確な保護の手を差し延べてもらえればいいのではないかという感じを持っております。
 大綱の4ページの(3)(4)につきましては格段の異論はございませんし、結構なことだと思います。
 次は、私の方の資料の2ページ目の7で「(5)苦情等の処理」というところについて少し意見を言わせていただきます。ここは、後ろの方の8の「その他」でもってこれから御検討になる御予定の第三者的な苦情紛争処理機関と絡めて私たちがイメージしていることを述べさせていただきたいと思っております。ここのところを読みますと、政府が非常に頑張ってくれると読めるのですけれども、実際問題新しいこういう分野の仕事をしていくときに、全く新しいところで始めるというよりは、私どもは非常に現実主義なのでしょうか、できることからまずやれる可能性、それから普通の人がこういう形で自分の個人情報保護についてはしかるべき機関が助けてくれるのではないかと期待するのは、全国どこにいましてもその窓口に御相談できるような方法をとる。それは市区町村の人権相談や消費生活相談の窓口になると思いますので、そういうところの関係者が増員されて資質が向上して研修なども十分されて担当者ができていく。
 それと同時に、個別法に関しては各官庁が個別法とか、それから行政機関そのものが持っている個人情報の関係についてはそういうところ、それから自治体、事業者は各会社そのもの、それから事業者団体はそれぞれ対応窓口を設置しておいて、個人が直接そこにお願いした場合でもそれが対応できるようにしておいていただく。それから、消費者団体の方に相談にきた場合は消費者団体も頑張らなくてはいけないと思いますし、日弁連なども積極的に対応していく。こういう形で連携して稼働するけれども、どうしても解決困難になった場合は、では政府の中に個人情報についての最高機関を置くのかということになりますと、そこは第三者機関という形を設置していただいて、ここがそれまでの苦情について解決のアドバイスをしたり、監督したり、勧告し、それでもどうしようもないような場合はそれを公表するという仕組みにしていただいたらどうかと思います。それで、公表されても平気だというものに対しては後段で申し上げますが、何らかの罰則を最小限用意してもらえればいいのではないかと思います。
 それで、現在御努力くださっている担当室はますますきちんとした仕事をしていただく。特にこういう法律ができていく過程でのPR活動や消費者啓発、事業者啓発、それから新しくできる第三者機関の担当事務局を担っていただくというようなことを主婦連合会としては提案させていただきます。
 続きまして、5の「事業者が遵守すべき事項」につきまして申し上げます。大綱の5ページの5の(1)のすぐ上の注でございますけれども、ここでは「各事項に関しては、義務規定とすること等を含め、その法的強制の程度について、規律ごとに引き続き検討する」ということを書いてございます。私的自治というようなことについて余り法律が縛るのはどうかということはありますけれども、先日消費者契約法が成立いたしましたが、個人と事業者との間の力の格差などを考えますと、法律である程度きちんとしたことを述べておいていただきたいと思いまして、やはりこれは原則義務規定にしていただきたいと思っております。
 そして、私のレジュメの9番でございます。「利用目的による制限」につきましても基本原則に述べましたのと同じように明確にするだけではなく、原則本人の同意を得るということと、いずれ他業務にも我が社は乗り出すのだからこういう情報もついでに事前にたくさん取っておこうというような形でたくさん外延情報まで取ってしまわないで、そのときのその業務の必要最低限のものを取っていくということにしていただきたいのです。というのは、たくさん取ったところでどうせ人間の生活というのは変わっていくものですから不正確なものになりかねないと思うので、そういったことを提案するわけです。
 それから、「第三者への提供」につきましても大綱の方を拝見すると「個人の権利利益を侵害するおそれの無いことが明らかな場合等を除き」と書いてありますけれども、これはそれを除くというのを本人以外によって軽々に判断されることを非常に恐れます。本人以外の人が、その御本人の権利利益を侵害するおそれがないのだからということで軽々に第三者への提供がされるということも懸念しましてやめていただきたい。この部分は削除していただきたいと思います。その代わり、例えば生命救助とか緊急避難的な必要があれば、それは除外規定という形で出していけばよろしいのではないかと思っております。
 それから大綱の6ページの「(3)内容の正確性の確保」、ここも先ほど申し上げましたが、やはり正確だけではなく正確性と最新性の確保としていただければ結構ではないかと思っております。
 そして「適正な方法による取得」でございます。先ほど例えば子どもから不当な方法で取るというような話を申し上げましたが、ここまで書くべきかどうかわかりませんけれども、非常に商業倫理的に見てやってはいけない、取ってはいけないような情報とか、やってはいけない方法とか、そういうことをガイドラインでやっていくというようなことを法律が進めるというのでしょうか、推奨するというか、何かそんな書きぶりがあってもいいのではないかと、素人の考えでございますけれども感じております。
 それから、ずっとまいりまして私の意見としては3枚目の11のところにいきます。「第三者への委託」ということで、大綱の方ですと7ページの(6)でございます。ここは監督義務を尽くしていたのだからいいのではないかと言うけれども、こういうことはされるべきではないと思っています。具体的にも今JIPDECと日本データ通信協会が個人情報保護のマークを発行しており、付与しておりまして、私自身も後者の方に関わらせていただいていますが、どちらもまだスタートして何年でもないのに、かなり真剣に審議して付与したはずなのにすぐ違反が出てしまったわけです。その違反の一つの例としては、その本社の方が漏らしたのではなくて委託先が漏らしてしまったわけです。それで、監督義務を随分一生懸命尽くしたのだけれども、その会社のプライドにおいてもそういうことはやはりよくないということで、御自分の方からもそういう周辺の雰囲気もあってと思いますが、これは辞退してもやむを得ないということになりまして、そこはマークを剥奪したという事例が現在既にありますので、やはり事業者が自分の仕事先を見誤ったということ自体がミスだと思いますので免責されるべきではないと思っております。
 それから、12番のところは先ほど申し上げたことでございまして、できるだけ第三者への提供と同様にこういうことについて公表するということは事前に本人に知らせていただきたいと思っております。
 それから大綱の8ページ、(8)の「開示、訂正等」というところでございますが、私の意見の13番目です。ここでは「一定の場合に」と限定して開示、訂正のことを書いているのですが、原則として開示、訂正に応じるという形でしていただきたい。書きぶりがそうなっていただきたいと思っています。そして、やはりこれは事業者が自分のビジネスのためになさっていることについて情報主体本人が協力するのだから、それは無料であるべきではないかと思います。しかし、何らかの形で必要でそのことについて情報を取られる本人が、やはりこれは負担して当然だと私たちが理解できるようなケースにおいてのみ有料になっても仕方がないけれども、原則無料の方向が必要ではないかと思っています。
 それから、大綱の「苦情等の処理」につきましては先ほど申し上げましたが、要するに裁判以外に相談のできる窓口とADRの設置が欲しいということでございます。
 それからずっと大綱の方は進みまして、大綱の9ページの7に「国民の役割」ということがございます。法律的には国民と言いますと、一般的には御専門の皆様の方では日本にいる外国人や国籍のない人もほとんど日本人的生活をしている人もみんな国民という形で、権利まではいかないかもしれないけれどもその対象にしているのだとおっしゃるのかもしれないのですが、私の個人的な小さな体験を申し上げますと、在日の留学生の方などのお世話をするボランティアが結構あるのですが、そういうときに彼らから来る苦情というのは、日本人というのは都合のいいときは我々は日本人並みに扱われ、都合の悪いときは日本人ではないと排除されるということで、国民という言葉に対するアレルギーが相当あるように私の個人的体験では思うわけです。
 そこで、この法律そのものもいずれ英文にもなるのであろうと思いますので、国民の役割というよりも何人でも他人の個人情報に配慮して互いに個人情報保護を心掛けなければいけないのだといったような法の精神をうたう前書きとか、あるいは目的の中にその辺のことを含めるという形にしていただいて、このように「国民の役割」ときちんと文書化されることは遠慮していただきたいと思っています。それは万一、トラブルなどが起きたとき、あなたの努力不足だということで門前払いを食わされるのではないかということを懸念してもいるからであります。
 大綱の「その他」につきまして、いろいろたくさんまだ先生方の御検討の課題が残っていらして御苦労をお察ししますし、私どももここに多く期待しているわけですが、適用対象範囲のところで非常に乱暴な形で私どものNPO活動も除外されたいと申し上げましたが、報道機関とか研究機関がやはり表現の自由、学問の自由のところで除外される部分ですね。参考資料4でございますが、5月25日に主婦連合会が出しました要望書の2でございますけれども、保護の対象のところで「報道、研究機関など適用除外機関については、存在そのものを対象とするのではなく、適用除外範囲が十分検討され、一般市民が納得のいくものに限られること」としておりますのは、いわゆる営業的な普通の事業者さんがやるのと同じように営業的に個人情報を保有し、活用するような場合は対象にする。
 しかしながら、表現の自由や学問の自由の分野に関わる部分だけは適用除外にするということについては納得がいくのですが、その場合、私どもも毎月『主婦連合だより』という機関紙を出したり、いろいろな調査報告やレポートや研究テーマなども記録したりしていきますので、同じようなこの部分については適用の対象外にしてもらいたいと思っています。そのほかの部分については、私たちもやはり市民団体でも一定の個人情報保護の義務はあると思っております。
 それから、私の意見の最後から3つ目の「罰則」です。ここはなかなか難しいということを検討部会でも言われたのですが、あのとき私の記憶では、事業者の方でもどうしようもない悪いやつがいるから、善良な事業者にとってはそういうものがあっても別に問題ではないのではないか、罰則はあってもいいのではないかということも言われたと思います。やはりこういうことをやってはいけないのだと。例えば、親会社からお預かりした個人情報の仕事の勝手なマッチングをしてしまったり、外へ漏洩させてしまったり、自分たちで別のビジネスに使ったりというようなことはしてはいけないのだということが明確に最小限の罰則があれば意識の啓発になるし、抑止力があるのではないかと思って、それは置いてほしいと思っています。特に今、一番問題なのは、悪質業者などがアウトサイダーであるために、善良な事業者のガイドライン行政の中でカバーされないことです。これに対しての一定の効果があるのではないかと思っています。
 時間が長くなって大変申しわけありませんけれども、以上のようなことで、条例については現行法よりも進んでいるような条例は積極的にその項目について本法の中でお取り上げいただきたいと思います。長くなってすみません。

【園部委員長】どうもありがとうございました。それでは、ただいまの御説明に関しまして、ほとんど時間はありませんが、御質問はございますでしょうか。

【新美委員】加藤さんにいただいた意見書の2と、それから9に関わる点ですけれども、すべて本人の同意を得て処理しなさいと御意見にはあるわけですが、個人情報の処理というのは「定義」のところの(2)を見ていただくとわかりますように、極めて広範囲なことを予定しておるわけですが、このことすべてについて本人の同意が必要であるという御趣旨なのかどうか、その辺を伺いたいのですが。

【加藤副会長】私も個人情報がどこに保有されているかというのはすごい幅広なのと、濃度ですね。そういう危険度の濃度とか、そういうことについて全然わかりませんので、やはり原則はそうであるべきだと思っているわけなのです。

【新美委員】と申しますのは、「事業者が遵守すべき事業」などのところで収集とか第三者提供というところでは原則本人同意という形で押さえていて、そのほかの処理についてはそこまで書き切れるかどうか問題があるものですから、明確な目的の下での限定ということを付けているわけです。ですから、そういう意味では入り口のところで同意というのでかなり目的と同意で絞りをかけていて、そのあとについては目的による拘束という構造をとっているつもりなのですけれども、すべての場面において本人の同意が必要であるとしてしまう意図というか、御趣旨がよくわからなかったものですから、その辺を伺わせていただければと思います。

【加藤副会長】例えば「基本原則」のところで申し上げますと、明確にされると嫌だなと思ってもそれは受けなければならないのかという雰囲気はよくある。いわゆる静かな押し付けですね、それは困るということです。

【新美委員】そうすると処理そのもの、例えば蓄積とか、いろいろなプロセッシングをしますよね。それは、事業者にしてみれば同意を得て取得させていただいたその目的の範囲の中であれこれ処理をするということについても改めて消費者からの、あるいは情報主体からの同意を得なさいという御趣旨なのかどうかということです。入り口では同意を得ているわけですね。その後でいろいろデータ処理をするわけですが。

【加藤副会長】第三者に移すときなどは……。

【新美委員】それも第三者への提供も同意を……。

【加藤副会長】だから、このように使いますよという内容を最初に明示しますね。そのときには今、先生のおっしゃった処理、加工の段階の話まで予定の内容を言わなくてはいけないわけですね。このようにしますよと。
 例えば、デパートでカードをつくります。そのときに、あなたの個人情報は当社の関連の通信販売会社にも、あるいはゴルフ場にも全部差し上げて共有させていただきますし、それからシー・アイ・シーなどの個人信用情報機関にも登録しますということを言いますね。そのときに、加工処理というのはその範囲内において当然されるとこちらは感じますね。そのことはそこで同意してしまっているわけではないのですか。同意していると思うのですが、それ以外に……。
 ちょっと理解が悪くてすみません。

【新美委員】そうではなくて、私が言っているのはまさに同じ趣旨だと思うのですけれども、目的を明確にしてそれで同意を得ているときには、私が考えているのはその後、例えば普通の個票でいただいた情報をデジタル化、電子化するというのは加工になりますね。そのときも一々同意を得なければいけないのかという趣旨なのです。

【加藤副会長】ですけれども、別にデジタル化してまたそれを売ってしまうというわけではないわけですね。

【新美委員】第三者提供はまた改めて同意といことが要るわけですけれども。

【加藤副会長】それは、例えば紙の上であったものが電算機カードになるということは別にいいのではないですか。

【新美委員】ですから、ここですべて同意が必要だというのはむしろ今、言ったように目的の明確化という下での、それと外れたようなときになるわけですね。わかりました。

【加藤副会長】そうです。例えば、介護保険のデータなどはすごいマニュアル処理を入れて、今回私どもが非常に評価しているのはこのマニュアル処理のものも対象にする。しかも行政機関もと、これはすごく結構だと思います。そうしたら、そのマニュアル処理をした例えば介護保険関係のものを業者さんが、今度はそれを役所との間で共有するということは当然出てきます。ですから、本人同意というのは必要ですね。そして、そのときにお預かりしたものはこの紙1枚ですよとは私たちだって思っていないです。それは絶対電算機の上に乗っていくだろうとか、そういう技術的なことは別に一々その度に言ってこいというわけではないです。
 ただ、例えばクレジットカードが今、出ましたけれども、こんなものが安いだとか、楽しいお知らせは毎月来るわけです。しかし、規約の変更などは一方的に行われて、そのお知らせはこんな隅に小さくあってほとんどの人が気がつかない。大変口うるさいうちのメンバーは気がついてこういうものを読みますと、例えば信用情報機関が今までと違ったところになってしまうわけです。そうすると、それは何なんですかという感じでそこへ聞きますね。そのときには既にこれは同意が得られてしまっている形を取られてしまっていて、しかもこの信用情報機関にまで私が関与したくないとすればやめざるを得ないわけです。そのやめるときには既に移ってしまっている。こういうような形はよくないということを言っているのです。
 しかも、10年も前に入ったカードは規約の変更などはそれっきりです。うるさい人は来る度にこれを読んで、新しい規約をくださいと言うと会社がくれるのです。そのときに、言うとコピーしたものをくれるけれども、言わなければ消費者から見ると同意させられたものもくれないのです。こういう現状は余りにも本人をないがしろにしているということで、私どもは今回の資料4の頭に書きましたように、個人情報の保護というのは利用が便利になるということが目的ではなくて、やはり主体者が自分の情報をコントロールして必要に応じて皆さんに使っていただいて自分の生活が豊かになれるようにと、そういう精神でやっていただきたい。そうすると、書きぶりも随分変わってくるのではないか。しかし、事業者の皆さんはまた別の視点からの御希望もあると思うので先生方が大変御苦労なさるところなのだろうと思いますけれども、主婦連合会としては人権尊重という視点から是非是非どうぞよろしくお願いする次第でございます。

【園部委員長】それでは、主婦連合会からのヒアリングはここまでといたします。加藤副会長、本日はありがとうございました。また今後ともよろしくどうぞ。

(主婦連合会関係者退室・日本労働組合総連合会関係者入室)

【園部委員長】それでは、引き続きまして日本労働組合総連合会からヒアリングを行います。成川総合政策局長、中村雇用労働対策室長ほか御出席の皆様、本日はありがとうございます。御説明は10分から15分程度と非常に短くて申しわけないのですが、なるべくこれで進めたいと思いますので、その後の時間は質疑に当てたいと思います。大変厳しい時間の制約で申しわけないのですが、ポイントを絞って簡潔に御説明いただきますようにお願いをいたします。それでは、成川局長からよろしくお願いいたします。

【成川日本労働組合総連合会局長】この委員会に労働組合連合の意見を聞く場を設けていただきまして感謝申し上げます。それでは、我々の考え方を簡単に御説明申し上げたいと思います。
 我々の中でも、個人情報保護につきましていろいろな委員会で議論をしていまして、2年間ぐらい途切れ途切れでありますが議論をしていっております。その中での議論をまとめたという形で、連合の考え方をここで出させていただいております。我々としては、個人情報の保護については特に国民自らが個人情報をコントロールする権利をしっかり確立していただきたいという考えが基本でございます。OECD8原則が既に示されてヨーロッパ辺りでは法制化されているわけですが、我が国におきましても基本的にはその考え方に立った個人情報の法制化が速やかにされるのがいいのではないかというのが私たちの考え方です。そして今、政府につきましては電算機関係に係る個人情報保護の法律がございますけれども、国民がわかりやすいという意味では行政、政府、地方自治体、民間団体をともに対象としたような形での個人情報保護法を制定していただけたらと考えております。
 次に「法律の目的」ですが、そういう意味で大綱を読ませていただきましたけれども、是非「目的」の中には個人が自己の情報を適切に管理することができる権利という趣旨での目的を明らかに定めていただきたいと思っております。それから、今回の大綱では国、地方公共団体及び事業を営む者という形でそれぞれ規定がされていますけれども、先ほども申しましたように、考えられる対象としては国、地方公共団体並びに特殊法人あるいは新しい政府の行政法人ですか、そのような独立行政法人なども当然対象になりますし、NPO等の民間団体も当然入るという趣旨であってほしいと思っております。
 それから、主にコンピュータ処理される情報ということが中心になっていますけれども、大綱の中に示されておりますように、マニュアル処理のうち検索可能な状態で保有されているものを含むという考え方は我々は賛成でありまして、やはりマニュアル情報でファイリングされているようなものについてもしっかりした対象とした考え方、法律を打ち出すべきだと思っております。
 それから、大綱を見させていただきまして基本原則という形で挙げられておりますが、我々からしますと基本原則の中にOECDの8原則をしっかり入れていただきたいと思っております。今、大綱の中では公開の原則、個人情報の自己決定権に関わります個人参加の原則並びに責任の原則という面が明確になっていないということで、是非これらも基本原則の中に入れていただきたいという趣旨でございます。利用目的を明確にした上で、その利用目的に限って必要な範囲で個人情報を扱うという基本的な考えでやっていただきたいと思いますが、第三者に対する目的外提供につきましては基本的には本人同意というものを基本にしていただきたい。合わせて法定されている場合、あるいは学問的なものないし生命、財産の安全を守るという特に重大な例外を明示した上で、第三者に対する目的外利用を限定列挙的に示していただきたいと思います。
 それから「内容の正確性の確保」という項目がございますが、これと「透明性の確保」を合わせまして我々は情報の公示、開示をしっかりしていただいて個人、当該本人がそれを見て訂正できるという原則をこの中で示していただきたいと思います。
 それから「適正な方法による取得」につきましては当然本人を原則とするということで、そのほか例外としてはどういう形があるかということをなるべく明快な形での例外の場合の列記をする必要があると思っております。特にここで明確にしておりませんが、本人同意に変わるような第三者からの取得については、先ほどお話ししたような形でのしっかりした例外の条件を明示する必要があると思っております。
 安全保護措置も、原則の中にはしっかり書き込んでいただきたいと考えております。
 それから、我々のペーパーで「労働者の個人情報保護について」ということで現状につきまして我々の認識を出させていただきました。事業所における従業員情報等をかなり事業所側は持っているわけですが、残念ながらこれらに対するルールが今、明確になっておりません。Cのところに書いておきましたけれども、労働者派遣事業等ではかなり登録者の情報が外部に流出するということでいろいろな問題も起きているという事態でございます。これは労働者派遣法あるいは民営職業紹介に関わる職業安定法等におきましては99年の改定の中で指針ということでありますが、個人情報の収集、保管及び使用に関する要件等につきまして一応定められております。
 しかし、まだ安心が十分できないと思っているところでございます。これはBに書いてありますように、労働省の中で労使の代表が参加する中で今、個人情報保護に関する研究会ということで3年にわたりまして研究がされていまして、この秋にもまとめられるということになっております。先ほど紹介しましたような我々の考え方に沿ってまとまっていくのではないかと我々は受け止めているところでございます。特に事業所が収集する個人情報については、これを管理に関する限りにおいて必要最小限のものとする。従業員の同意等の自己情報コントロール権ということをしっかりそこで行使できるようにする。また、そのことによって不利益な扱いをしてはならないということを、そこで是非我々としては明らかにする必要があると思っているところでございます。
 次に、政府に対して是非お願いしたいことでありますが、先ほど言いましたように行政機関の保有する今の法律においてはマニュアル情報等に関する規定が明確に定められておりません。これらについても定めていただきたいと思いますし、政府自身が個人情報を収集する場合の根拠となる法律の規定についても必ずしも明確でない。設置法等を流用するというような例もどうもあるようでありまして、この辺についての整理をしっかりしていただくことが必要であると思っております。
 それから、苦情処理等につきましては是非窓口をそれぞれの事業所レベルで設置をさせると同時に、政府自らの窓口についても国民にわかるような形での設置をしていただきたいと考えております。また、これらの重大な訂正等をできるような改善、是正勧告を行える権限を持った政府内の組織をしっかりつくっていただきたいと思います。
 「事業者が遵守すべき事項」ということは先ほど出ておりますし、特に第三者からの取得につきましては明確な要件をこの中で定めていただきたいと思っているところであります。
 「その他」ということでは、憲法21条の表現の自由及び23条の学問の自由との権利の関係につきましては我々はなかなか難しいと思っていますが、これらの権利がそれぞれしっかり生かされるという中での個人情報保護の権利との関係について、是非この点については十分配慮した御検討をお願い申し上げたいと思っております。
 罰則等につきましても、やはり目的外利用あるいは安全措置を怠ったところの漏洩等について、そういう事態に対する一定の罰則ということも必要ではないかという考え方を今、我々は議論しているところでございます。以上でございます。

【園部委員長】ただいまの御説明に関連して、御質問等がございましたらどうぞ。

【小早川委員長代理】1点、労使関係における個人情報保護について御検討が進んでいるということですが、イメージとしては、個別法をつくってそこで問題を処理するという方向でお考えなのか。それとも、ここで考え方はいろいろ議論するけれども、それを盛り込んだといいますか、それを乗せられるような基本法をつくれという御趣旨なのか、その辺はどうでしょうか。

【成川局長】是非基本法の中で、個人情報の先ほど言いました8原則に当たる項目を明確に定めていただければ、それにのっとった形で労使関係においても十分やれると思っております。具体的には法律の中で職業安定関係の個人情報についての定め、指針ができておりますけれども、それと基本法と合わせる形になると、我々としては非常に労使関係における個人情報保護もしっかり確立していくのではないかと考えます。

【高橋委員】5ページのDのところでお書きになっていることでわかりづらいところがあったので教えていただきたいのですが、「その際、労働協約の締結において、個人情報保護を理由に使用者が賃金等の労働条件に関わる情報を提示しないことは許されるべきではない」、これは具体的にはどういうことなのですか。

【中村日本労働組合総連合会雇用労働対策室長】回りくどい書き方をして申しわけなかったのですが、基本的に労使関係において従業員の使用者が持たれている情報、これは例えば本来労働組合というのはメンバーの労働条件の維持向上を図るという本来的な機能がありまして、当然ながら賃金関係のデータとか、そういったようなものについて、企業の賃金体系を含めた全体の体系の中でやはり合理性があるという部分で、必ずしも現行のメンバーシップだけにとらわれず、労使間で体系論として議論をしていくことになるわけです。
 そういったような場合において、通常では組合員だけにとらわれず、いわゆる管理職となった方々ということも含めて当然匿名性にして今、賃金の決定基準の資格とか、年齢とか、役職とか、性別とか、そういうのがわかるような形で賃金データとし、それは労使の信頼関係の中で正々堂々とした議論の中で交渉をして決めているわけですけれども、今回はそういう関係で使用者の立場に立つと、一応それらのデータというのは労働組合が第三者に当たるという解釈だろうと思うのです。そういたしますと、その中で匿名性を前提にしても基本的に、例えば極端な場合、中小企業みたいなものも含めて資格とか、そういうある種の属性で特定ができてしまうようなケースも例外的に発生をするわけです。
 そうすると、そういうことを理由に、今までの交渉上の円滑な情報のやりとりができないといったような場合が人によっては出てくることも懸念されるということでありまして、当然ながら労働協約として労使間のルールとしての問題に関わるわけで、労働協約の中でそこの辺りはきちんと確認をしていればそれは問題がないということであるのですけれども、なおかつそれであってもこういうことによって、一つの例としては賃金のデータとか、そういうものの提供を拒むとか、そういったような事態が限界的には考えられるのではないかということです。
 それで、本来労働組合というのは組合員の方の労働条件の維持向上という明確な目的があって、その目的は当然組合規約も含めてすべて確認しているわけですから、そういう活動の中でやっていく部分について抵触するということはあり得ないことだとは思っておりますけれども、そういったようなことが明確であるような御判断でそういうところの配慮についてしっかりしていただきたいということです。私の解釈と、この議論している第三者等を含めた解釈と違いがありますでしょうか。

【高橋委員】匿名ということをおっしゃったので、匿名で出しても、しかし状況からわかってしまうこともあるのではないかと言われたのはそうなのであろうと思うのですが、そういう場合にそうすると会社としてはどういう理由で出すことができるのか、今ちょっとわからないところがあるのです。メンバーの場合は、組合に入ったときにある程度まではそういう情報をもらうことに同意したという説明があるいはあるのかもしれないけれども、メンバーでない場合は状況によってわかってしまうような場合は困るのではないかという議論もあり得るかなと思いまして、そこら辺をクリアするにはどのようにするのか、今ちょっと考えていて難しいなと思ったのですが。

【中村室長】労使交渉の関係で申し上げますと必ずしもメンバーということですけれども、実際上は今の日本の労使関係というのは管理職になって抜けていく方もユニオンショップで組合員ですから、基本的に例えば賃金上げ、賃金改定ならば賃金改定の議論をするときに一応交渉も全従業員ベースという観点と賃金体系という観点に立ったところで当然こういう交渉を含めてやっていくわけで、経営者の方が組合員だけでやるんだと割り切った労使関係ではそういうことはないのですが、大抵の場合においてはぎちぎちの組合員だけというようなことをやっているのはまれで、むしろ効率性という面からいくと職場内の秩序維持という面も含めて広く非組合員でない方々、例えば非正規のパートの方々を含めて、そういうメンバでない方も含めて一緒に全体に改定しましょうということで、これはこちらから求めていくことだけではなくて慣行として使用者側からも含めてという議論になっていく格好になります。
 今、申し上げたのは一部で、悪意と申しますか、特定の意図を持った使用者の話をいたしましたけれども、そうではない部分のところにおいて逆にその部分でまたぎちぎちになるというようなことが引っ掛かってくる可能性もあるのかなと、具体的な問題はまたいろいろ検討してまいりたいと思います。取り分け労働組合が第三者という考えの含まれ方の問題だと思います。
 それで、関連してDのところで若干申し上げたのはいわゆる雇用関係という、一種の昔の言葉で使用従属関係ということを背景にして従業員の方のデータを使用者側は取り得る立場にあります。したがいまして、それはあくまでも労働関係の中の労働組合が組合員の利益を保護する正当な権利を持っているということを前提にした上でそういうことの在り方の枠組み、例えば情報を取るときの手続とか、そういったようなものについては労働組合は組合員の代表でありますから当然そのことについて話す、使用者と交渉する権利といったものは多分労働法の上では本来的に有していると思うのですけれども、それと個別の個人という単位で見た労働者との関係と、取り分けいわゆる企業の労使関係の中における労働組合の役割といったようなことについては、こういう保護の中でまさしく保護を進めるという観点では労働組合は積極的な役割を果たしていくべきだと考えております。ちょっと前段に書いてあるところを補足させていただきました。

【小早川委員長代理】ここは解釈論をやる場ではないと思いますが、今の点で、Dのところはちょっと不意をつかれた感じもあるのですが、私も労働委員会におりましたので、経営者側がそうやって団体交渉に出さないということは実感としてよくわかります。ただ、結局、私たちがここで考えている法制の問題というよりは、やはり経営者の団体交渉義務、誠実交渉義務の問題ではないか。もともと労務管理のために持っているわけですから、ここで考えている目的外第三者提供ということとどうも少し違うような気がするのです。だから、ここに持ち込まれると私どもはちょっと困るなと。

【中村室長】わかりました。私どももこれをここまで細かく個別労使関係の問題をこの全体の枠の中で申し上げるのはどうかなと躊躇していたのですけれども、今のは基本的な労使関係の労働法の世界との関係についてということでいま一つ整理が見えなかったものですから、今そういう御意見というか、御指摘をいただきましたので、それはそういうことであれば、全然これは確かにおっしゃるとおり、この場ではなじまないかなと思います。

【成川局長】特に強調しているわけではありませんで、我々の考え方としてこういう点についても組合としては考えながら意見を申し上げたということでございます。

【中村室長】労働組合に対してということで、一項目そういうヒアリング内容が入っていたものですから。

【新美委員】今の項目は変わるのですが、ここで基本原則にならった取扱いを行うことは当然と考えると述べられているのですが、この大綱の中での考え方ですと労働組合も事業者として位置づけられることになりそうなのですが、この「事業者が遵守すべき事項」というものについて、仮に労働組合の方に要求されるとすると格段の不都合はないのかということを伺いたいのです。

【成川局長】一応検討しまして、格段不都合はありません。むしろこういう規則に沿ってしっかりと労働組合も情報を管理していくという必要があると思っています。

【園部委員長】よろしゅうございますか。それでは、時間も過ぎましたので、日本労働組合総連合会からのヒアリングはここまでといたします。成川局長、中村室長ほか、御出席の方々、本日はどうもありがとうございました。時間の関係でお伺いできなかったことは、また後日事務局からお聞きしますのでよろしくお願いいたします。

(日本労働組合総連合会関係者退室)

【園部委員長】それでは、事務局から連絡事項がございますか。

【小川副室長】今お手元にお配りをいたしました今後の予定でございますけれども、おおむね従来からお話申し上げたとおりなのですが1点だけ、第23回、7月28日金曜日でございますけれども、ヒアリングの対象として是非ヒアリングに加えてほしいという団体がございました。第23回の下線が引いてありますテレコムサービス協会、ここからヒアリングの御希望がございましたので、28日に追加をさせていただきたいと考えております。以上でございます。

【上谷委員】今お話のあったテレコムサービス協会というのはどういう協会ですか。

【事務局】インターネットのプロバイダーなどである第二種電気通信事業者の団体です。

【園部委員長】それでは、これで本日の会合は終了させていただきます。次回の会合は7月14日金曜日午後2時から5時半まで、場所を3階の特別会議室で開催いたしますので御出席の方をよろしくお願いいたします。関係団体からのヒアリングの第2回目でございます。
 それでは、本日はどうもありがとうございました。