配付資料
資料2
高度情報通信社会推進本部 個人情報保護法制化専門委員会ヒアリング資料
「個人情報保護基本法制に関する大綱案」(中間整理)に対する意見
財団法人日本情報処理開発協会
【全体について】
個人情報の保護は、高度情報通信社会の健全な進展を図っていく上で重要な課題の一つ。わが国に個人情報保護を目的とした基本法が制定されることは有意義である。
個人情報の処理の実態は業種、事業形態等によって多様。したがって、基本原則以外に「事業者が遵守すべき事項」として事業者が行うべき事項までを基本法で規定することは、実態と乖離する懸念がある。
【基本原則について】
(1)安全保護措置の実施
個人情報の取扱いにおける安全措置は保護の観点から必須であり、基本原則として求めることは意義がある。
しかし、事業者の個人情報の取扱い状況によって具体策は異なることから、「事業者の遵守すべき事項」として適切な技術的措置の範囲がどの程度ものであるか明確でないところに運用上において懸念がある。
(2)透明性の確保
個人情報の取扱いに関する個人参加と公開の原則は、保護の観点から重要である。
しかしながら、事業者の個人情報の取扱いは、直接収集する事業者、提供・委託を受ける事業者等、更には事業の内容等によって、個々の事業者毎に最適なシステムを構築していることから、全ての取扱い過程を対象として透明性を確保することは困難な場合がある。また、セキュリティを確保する観点、委託契約上の守秘義務を確保する観点からも困難な場合もある。
したがって、当該規定の実効性をどのように確保するのか検討する必要がある。
【事業者が遵守すべき事項について】
(1)第三者への委託(含む、提供)
情報処理の外部委託は進展しており、個人情報の処理についても例外ではない。委託によって自社の管理が行き届かなくなる恐れがあることから、委託にあたっては、受託者の選定基準を定め、その基準に準拠していることを確認すること、委託契約によって責任範囲を明確にすること等に関して規定を明確にすべき。
なお、これ以上の厳しい制限規定を設けた場合、現在の外部委託の実態から乖離する等の状況が発生し、業務の停滞が懸念される。
(2)民間主体の苦情処理の有効性
当協会の苦情処理は、プライバシーマーク付与認定事業者に関する消費者からの苦情相談を対象としている。苦情処理のためには、事業者に対する調査等が不可欠になるが、プライバシーマーク制度の規定の範囲で事業者に対する調査等が行われることを明確にしていることから、有効に機能している。
しかし、プライバシーマーク付与認定事業者以外の事業者に関する消費者からの苦情相談に対しては、調査することができず十分な対応が困難。これについては、基本法において調査権も付与したうえで団体を指定する規定を設けて対応すべき。
なお、自動処理とマニュアル処理に対する苦情の対応も異なるため、そのあり方を検討する必要がある。
以上