個人情報保護法制化専門委員会

第20回個人情報保護法制化専門委員会議事要旨



1:日 時:平成12年7月7日(金)14時〜17時

2:場 所:総理府5階特別会議室

3:出席者:

園部逸夫委員長、小早川光郎委員長代理、上谷清委員、高芝利仁委員、高橋和之委員、遠山敦子委員、新美育文委員、藤原静雄委員
※西谷剛委員、堀部政男個人情報保護検討部会座長は所用のため欠席。

(事務局)
藤井昭夫内閣審議官、小川登美夫内閣審議官

(学識経験者・関係団体)
東京大学法学部教授 西田 典之
日本情報処理開発協会:プライバシーマーク事務局長 関本 貢
電子商取引推進協議会:主席研究員 合原 英次郎
主婦連合会:副会長 加藤 真代
日本労働組合総連合会:総合政策局長 成川 秀明
雇用労働対策局長 中村 善雄

4 議 題
(1)学識経験者・関係団体ヒアリング
西田 典之 東京大学法学部教授
日本情報処理開発協会
電子商取引推進協議会
主婦連合会
日本労働組合総連合会
(2)その他

5 審議経過

(1)学識経験者・関係団体ヒアリング

@西田 典之 東京大学法学部教授
 西田 典之 東京大学法学部教授より、資料1に従って説明があり、質疑が行われた。質疑の概要は以下のとおり。

○ 情報に関する刑法犯の創設は従来タブー視されてきた傾向があると説明があったが、これはどのような理由からか。
→ 昭和49年の刑法改正草案において企業秘密漏示罪が予定されたが、公害が大きな問題となっていた時代でもあり、内部告発を禁止し住民運動を抑圧するものとして日弁連や報道界を中心に反対があったことがある。また治安維持法や軍機保護法以来の国家機密スパイ罪のようなものに対するアレルギーが広くあるのではないか。

○ 基本法制自体に罰則を創設することについてどう考えるか。
→ 罰則を創設する場合、対象が明確であることと、保護の必要性があることが、刑事立法上の最低限の要件である。基本法制では対象を「個人識別情報」としているが、これだけではどの範囲が処罰の対象なのか明確でなく限定できない。コンピュータで処理されているもの又は蓄積されているものといった形式的限定が必要。加えて内容については、秘密とまではいかなくとも、非公知性が必要であろう。

○ 本基本法制に対し罰則を求める声があるのは、実効性の担保とともに抑止効果が必要との理由からと考えられるが、他方、個人情報の不正使用は経済的利益をもくろんでのことであるから、安い罰金のみでは効果がうすいと考えられる。この点について、犯罪と刑罰の均衡を考えた場合、自由刑を取り入れることについてどう考えるか。
→ 比較法学の観点から見れば、例えばドイツの連邦データ保護法41条で1年以下の自由刑又は罰金、ドイツ刑法202条aでは2年以下の懲役又は罰金が課されており、罰則を創設する場合、1年以下の懲役又は300万円以下の罰金までは法定刑として有り得る範囲と考える。
  他方、「基本法」といえば、通常は大綱を定めるものであり、個別の実体法までを規定するものではないという印象を受ける。仮に基本法ではあっても実体法であり、民法の不法行為、刑法の秘密漏示の特別法という性格を持つものということであれば、個別立法をもう少し一般化したものをつくり、情報の不正探知、不正取得情報の流通その他の行為を禁止の対象とした上で、3年以下の懲役を上限として罰則を創設することはあり得るものと考えられる。

○ 本基本法制をいわゆる「基本法」とするのかはまだ決まっておらず、逆に、何らかの罰則を置くかどうかが基本法制の性格を左右することになる。 

○ 事業者と従業員の関係について、本基本法制では事業者が内部での管理規程を作成することとしているが、従業員がこの内部規律に違反し個人情報の漏えいなどをした場合、刑法的にどのように考えるか。
→ そのような場合は従業員が犯罪を犯したのであり、事業者はむしろ被害者的立場であるとも考えられる。
  本基本法制で事業者処罰を基本とするなら、事業者という身分をもっていなければ犯せない犯罪であり、自然人行為者は処罰規定がないため、構成要件を修正して自然人行為者にまで罰則を広げない限り、事業者以外を処罰することはできない。
  この場合、行為者が事業との関連において行為を行ったかどうか、またコンプライアンスプログラムを作成し、それ以上の行為はできなかったという抗弁を認める場合には事業者の責任を否定し処罰しないという道はあり得る。背任、横領などにより事業者が保有する情報を従業員が持ち出したというはっきりした被害者的立場に立つ場合は、事業者については不可罰とする余地はあるし、またそうすべきと考える。

○ 今回の基本法制を、仮に基本法ではなく官民を通じた一般法的なものとした場合、罰則について罰金刑に加え自由刑を入れたとしてもさほど刑法上のバランスは失しないと考えるか。  
→ 他の守秘義務違反に対する罰則の法定刑とのバランスも考慮しなければならないが、罰金刑に加え自由刑を入れること自体はあまり抵抗感はない。

A日本情報処理開発協会

 財団法人日本情報処理開発協会より、資料2に従って説明があり、質疑が行われた。質疑の概要は以下のとおり。

○ 第三者への委託について、実務の実態では、委託者が監督義務を尽くしているのに問題があった場合、委託者は免責されているのか。
→ 監督義務を尽くしている場合は、委託者は免責されると考える。 

○ 委託者が免責さえ得る場合、対情報主体との責任関係ではどのように考えるか。
→ 委託者が仮に免責される場合であっても、監督責任はあるのであり、被害の程度により、委託者の対応が必要な場合があると考える。

○ 第三者への委託について、資料中「委託契約によって責任範囲を明確にすること」とあるのは、委託者と受託者の間での責任関係を明確にするということを想定しているのか。
→ そのとおり。

○ 個人情報の処理等を委託している事実すら公表できない場合があるとのことだが、具体的にはどのような場合か。
→ 実態上、委託の事実自体を公表することを禁止するような場合が多い。

○ 資料中「事業者が遵守すべき事項として事業者が行うべき事項までを基本法で規定することは、実態から乖離する懸念がある」ということだが、事項を大まかに決め、具体的な仕組みを事業者に任せる仕組みとした場合どうか。また、この仕組みをつくった理由に対する説明責任を負わせる仕組みとした場合どうか。
→ 具体的な仕組みを事業者に任せる仕組みとした場合、実態として運営可能であると考える。また説明責任については、求められる内容の詳しさにもよるが、一義的には対応可能である。

○ 苦情処理の際には調査権が必要とのことだが、どのようなものを想定しているか。
→ 例えばプライバシーマーク制度では、苦情があった場合、当該企業から事実関係を報告してもらい、被害が重大であるなどの際には、その報告が事実と合致しているかの確認を行う場合がある。
  このような調査は、プライバシーマークを付与している事業者に対しては、可能であるが、そうでない事業者に対しては調査は行えない。仮に苦情処理団体として認定を受けるような場合には、そのような調査が行えるような権限の付与が必要と考える。

○ プライバシーマークには有効期限はあるのか。またマークを受けている事業者の間でランク付けする可能性はあるか。
→ 有効期限は2年であるが、社内システムの維持は負担がかかるものであり、有効期限内の監査が必要ではないかとの声もある。
  またランク付けについては線引きが難しく、現在考えていない。

B電子商取引推進協議会

○ インターネット上での個人情報の取扱いについては、特別な法規制が必要と考えているか。
→ インターネット上での個人情報の取扱いも一般的な法規制の中にあるものであり、インターネットに特別な規制は必要ないと考えている。

○ プライバシーポリシーによる自主規制のみに任せておいて、オプトインに向かうと考えるか。
→ プライバシーポリシーについては実効性の問題もあるが、それを作ることにより事業者の個人情報保護に関する自覚を高めるとともに、消費者にとっては目安となるものと考える。
  自主規制のみでは悪質なオプトアウトはなくならないと考える。このため、法律上基本原則を明示する必要があると考える。

○ 世界的な電子商取引の潮流ではオプトアウトに向かっているとの説明があったが、他方で包括的な利用目的の事前同意とあるが、世界的な実態ではそれほど包括的な事前同意ではないような印象を受けるが、日本の特殊事情はあるか。
→ EUは基本的にオプトインを大切にした考え方をとっており、他方、アメリカのセーフハーバー原則はポリシー遵守の公表により同意まではいかなくとも通知したものとみなすこととしている。日本はこの中間を推移している。

○ アメリカの場合、プライバシーポリシーに対する違反があれば、FTC(連邦取引委員会)の制裁があるが、日本では何かこういうものは考えているか。
→ プライバシーマーク制度に係る課題の一つが、この苦情処理による実効性担保にある。アメリカではFTCの制裁もあるが、BBBオンライン又はトラストeなどでは、苦情があれば事務局が企業に掛け合う制度を採っている。ECOMでもADRの研究が重要な研究課題となっている。

○ 欧米では、無店舗取引によるコストの低下メリットにより得られる経費は、無店舗であることにより生じる紛争コストに使うべきとの考えがあるが、日本ではどうか。
→ 日本では、広告宣伝費などの経費から、無店舗取引によるコスト低下メリットがあまりなく、そうした発想はまだあまりないのが実状である。

C 主婦連合会

 主婦連合会より、資料4に従って説明があり、質疑が行われた。質疑の概要は以下のとおり。

○ 資料中2及び9において「本人の同意を得て」とあるが、個人情報の処理等のすべての段階で本人の同意が必要との趣旨か。
→ どこにどのような個人情報が蓄積されているのかわからないため、原則として本人の同意を得る必要があると考えている。処理の個々の段階についてまでその都度同意が必要ということではない。

○ 利用目的を明確にして取得された個人情報は、第三者提供は別として、利用目的の範囲内で様々な処理が行われることになるが、その場合にも改めて本人の同意が必要という趣旨か。
→ 紙媒体の個人情報を電子媒体に置き換えるといった技術的な処理を行うことにまで本人の同意を得る必要があるとは考えていない。ただ、本人の同意がないがしろにされている例もあるので、人権尊重の観点から十分に検討してもらいたい。

D 日本労働組合総連合会  日本労働組合総連合会より、資料5に従って説明があり、質疑が行われた。質疑の概要は以下のとおり。

○ 労使関係の個人情報保護について検討が進められているとのことだが、個別法を制定する方向で議論しているのか。
→ 基本法制の中にOECD8原則に対応する項目が盛り込まれれば、労使関係の個人情報保護もその中で十分処理できるものと考えている。すでに職業安定関係の個人情報保護については法律が整備され指針が策定されているが、基本法制とあいまって労使関係の個人情報保護が確立されていくのが望ましいと考えている。

○ 資料中3のCにおいて、「労働協約の締結において、個人情報保護を理由に使用者が賃金等の労働条件に関わる情報を提示しないことは許されるべきではない」とあるが、どういう趣旨か。
→ 労働組合は組合員の労働条件の維持向上を図るという機能を有しており、賃金等の労働条件に関わる個人情報を匿名化した上で、労使交渉に利用することがあり得る。この場合、使用者の立場から見れば、非組合員の個人情報を労働組合に提供することは第三者に対する目的外の提供に該当する懸念があり、限界事例として取り上げたものである。

○ それは経営者の団体交渉義務、誠実交渉義務の問題であって、基本法制において想定している「第三者に対する目的外の提供」とは異なるのではないか。
→ 労働法制における問題ということであれば、ここで取り上げるべき事例としてはなじまないのかもしれない。

○ 労働組合も基本法制においては「事業者」に該当することとなると考えられるが、労働組合としては「事業者が遵守すべき事項」が適用された場合、特段の不都合はないのか。
→ 特段の不都合はないと考えている。

(2) その他
 事務局より、情報通信(IT)戦略本部の設置について事務局から報告があった。

(次回の予定)
 次回は、7月14日(金)14時から17時30分まで、総理府3階特別会議室で開催し、関係団体ヒアリングAを行う予定。

*文責事務局

*本議事要旨の内容については、事後に変更の可能性があります。


配付資料