配付資料

資料5

「個人情報保護基本法制に関する大綱案(中間整理)」に対する意見

平成12年7月14日
株式会社シー・アイ・シー


T.はじめに

 この度、「個人信用情報保護基本法制に関する大綱案(中間整理)」(以下「大綱案」という)がまとめられ、わが国における個人情報保護システムに関する基本法制の枠組みが提示されたことは、個人信用情報という個人情報を直接取り扱い、そしてこれに重大な関心を有するクレジット業界および個人信用情報機関にとって、その保護を図りつつ適正な利用を行うための環境を整備するとの観点において、画期的で、かつ、大きな意義を有するものと考える。今般の大綱案は未だ検討中のものであり、必ずしも十分明らかになってない部分もあるが、以下において、これに対する意見を申し述べるので、今後の検討過程で十分配慮されるようお願いしたい。

U.基本的な考え方

1.個人情報保護システムの法制度化に当たっては、個人情報の保護と利用とがバランスのとれたものとする必要がある。特に、個人信用情報の信用情報機関を通じるクレジット業者間の流通・利用は、クレジット業界の業務遂行のための根幹のシステムとなっており、過重な保護ルールの適用はシステムがうまく機能しなくなるおそれがあることをご理解いただきたい。

2.また、法制度化に当たっては、@今後のIT革命や情報通信ネットワーク社会の進展等に的確に対応できるよう個人情報保護システムに柔軟性を持たせること、A個人情報保護システムはわが国の経済的、文化的特性を考慮しつつも、国際的な調和を図る必要があることなどについても十分配慮すべきである。

3.今回の大綱案は、「我が国における個人情報保護システムの在り方について(中間報告)」に示された基本法に該当するものと理解するが、全体としての保護システム、すなわち基本法、個別法、自主規制の位置づけとそれぞれの役割についてさらに明確にしていく必要があるのではないかと考える。
 特に、@一般的には、基本法と自主規制が保護システムのべ一スと考えられるが、個人信用情報等については、これに加え特別な法制上の措置(個別法)を講ずるとされていると承知している。そうであるならば、個別法を制定する必要性(基本法および自主規制では何故不十分なのか、信用情報、医療情報、電気通信の3分野については何故上乗せ規制が必要なのか等)について明らかにしていただきたい。 A自主規制は、民間事業者の保護システムとして最も重要であり、先に述べた観点からも積極的に取り組む必要がある。現在、クレジット業界では、実効性の担保措置も考慮に入れながら、個人信用情報の保護と利用に関する自主ルールの制定作業を鋭意進めているところである。法制度化に当たっては、このような民間事業者の自主規制の取り組みを出来るだけ尊重し、法規制は必要最小限のものとしていただきたい。

4.しかしながら、基本法や自主規制の枠組みではどうしても十分に保護できないものがある。それは、個人情報の漏洩、窃用、搾取および不正利用で、昨今における個人情報に関する社会問題として騒がれるものの大半はこれらの不正行為である。このため、これらの行為で悪質なものについては、法的な制裁措置を設け、抑止を図っていく必要があるので、一般的な法規制について是非ご検討いただきたい。

V.大綱案の各項目についての意見

大綱案の各項目についての主な意見は以下のとおりである。なお、各項目についての意見の詳細は、別添資料に取りまとめているので、併せてご参照いただきたい。

(1)「定義」について
 @個人信用情報機関では思想、宗教、人種等のハイリーセンシティブ情報を収集・利用することはないが、基本法においてはその範囲および取り扱いを明確にする必要はないか。
 Aマニュアル処理される個人情報のうち検索可能な状態で保有されているものについては、電子計算機処理される個人情報と同等の保護措置を講じる必要性はあると考えられるが、業種業態によってその保有・利用の実態が異なり一律に規制するのは適当でないので、業界毎の自主ルールに委ねるべきである。

(2)「政府の措置および施策」について
 @特別な法制上の措置を講ずるのであれば、基本法では十分な保護が図られないという理由と何故信用情報等の3分野がその対象となるのかの理由を明らかにしていただきたい。
 A政府が苦情等の処理を行うに当たって必要な調査(勧告)を行うことができるとされているが、これは政府に対して調査権(勧告権)を付与することの法的な裏付けを意図したものと理解してよいか。

(3)「事業者が遵守すべき事項」について
 @[利用目的による制限]
  「通知等」の態様の一つに、クレジット業界で定着しているように、個人情報の利用目的等を明記した契約約款への同意も当然含まれると理解してよいか。
 A[第三者への提供]
  「個人の権利利益を侵害するおそれのない場合」についてどのような場合を想定しているのか具体的に示していただきたい。
 B[内容の正確性の確保]
  内容の正確性確保に関して求められる必要な措置とは、誤情報に対する措置および最新性を保持するための措置の2点と理解してよいか。
 C[適正な方法による取得]
  消費者信用取引に際しては、個人信用情報を第三者(他の与信業者)から取得することおよび秘匿性がなく公知の情報の取得については、本項でいう「個人情報の性質、取得の際の状況に照らし第三者から取得することが必要かつ合理的と認められる場合」に該当すると理解している。
 D[安全保護措置の実施]
  安全保護措置のレベルは、「適切な技術的措置」のほか、その実施のコストも考慮に入れるべきであり、法制化に当たってもこうした点を加味すべきである。
 E[第三者への委託]
  受託業者についても基本法の適用を受ける筈であるので、当然免責されうると考える。
 F[個人情報の処理等に関する事項の公表]
  委託先の公表はかえって情報の漏洩や不正取得のリスクを高めることになるので、適当ではないと考える。
 G[開示・訂正等]
  個人信用情報の分野では、近年、開示制度を悪用して企業やアウトサイダーの与信業者が情報主体に強制的に開示させその情報を手に入れるケースが目立ってきているので、何らかの制裁措置を検討していただきたい。
  また、信用情報の場合、訂正・削除の請求については誤情報が確認された場合にのみ応じることを原則とする必要がある。

(4)その他
 @[第三者的な苦情・紛争処理機関の設置]
  複数の機関を設置するのであれば、統一的なルールに基づき処理が行われるべきである。

(5)「委員会からの要請による留意点」について
 @[近年の企業経営の多角化等を踏まえた特に留意すべき点]
  近年の企業経営の多角化等によって、個人情報も拡散する傾向にあると考えるので、その取り扱いについては業界の実態に応じ慎重な検討が必要である。
 A[安全保護措置のあり方について留意すべき点]
  クレジット業界においては、現在自主ルールを策定中であるが、その中で個人信用情報の保護と利用に関してコンプライアンスプログラムの策定の義務づけなどをする予定である。また当社については、さらに通産省の電算機安全対策基準の遵守やISO品質保証システムによる監査などを実施することとしている。

以上


(別 添)

T.各項目の考え方に対する意見

1.「目的」について
  •  前回の当委員会のヒアリングにおいて当社は、個人信用情報に対する法制化に際しては保護の側面のみならず利用の側面を考慮し、バランスのとれたものにする必要のある旨を申し上げた。
     今般、大綱案の目的において示された考え方も、個人情報の流通・蓄積および利用の制限を主眼としたものではなく、これらのルールを決めておくことによって、個人の権利が侵害されることのないような環境を整備し、適切な利用の推進を目指したものであると理解している。

  •  「個人の権利利益」の具体的な内容は、裁判規範としてばかりではなく事業活動における指針としても重要な意味を有するものでもあることから、明らかにされる必要があると考える。

2.「定義」について
  •  対象となる「個人情報」および「事業者」の範囲など各定義については引き続き検討することとされているが、思想・信条・宗教・人種・民族等の特定の機微に触れる個人情報(ハイリーセンシティブ情報)については、その考え方が示されていない。
     個人信用情報機関において、ハイリーセンシティブ情報を収集・利用することはないものの、個人情報全般を対象とする基本法においては、その取り扱いを明確にする必要があるのではないかと考える。

  •  「個人情報の処理等」の定義については、例えばEU指令にあるように個人情報の処理の形態を詳細に例示する形で規定すべきと考える。このことは罰則を設けるような場面において罪刑法定主義の理念からみて必要であり、仮に罰則を設けないとしても法的予測可能性を高める意味で望ましいものと思われる。

  •  マニュアル処理される個人情報については、検索可能な状態で保有されている等、一定範囲のものに限定するにしても、電子計算機処理される個人情報と同等の保護措置を整えることが難しい点が少なくない。 従って、マニュアル処理される個人情報に関しては、各業界において業務の実態を踏まえながら、自主的に適切な保護措置を講ずるものとすることが適当なのではないかと考える。

3.「基本原則」について 
  •  これまでの我が国における民間分野における個人情報保護の取り組みはOECDの8原則に基づいてなされてきた。大綱案の5原則もOECD8原則を尊重しているものと理解しているが、上述の経緯もあることから、大綱案の5原則とOECD8原則との関連をより具体的に示していただきたい。

4.「政府の措置および施策」について 
  •  「特定の個人情報又は特定の利用方法であるため、特に厳重な保護を要する等、別途の措置が必要なものについては、特別な法制上の措置その他の施策等の措置を講ずるもの」との考え方が示されている。個人情報保護検討部会における個人信用情報等の3分野の個別法整備が念頭にあると思われるが、原則的には基本法において十分な個人情報保護を図るべきであると考える。別途特別な法制上の措置を講ずるのであれば、基本法では十分な保護が図られないという理由と、何故3分野がその対象となるのかの理由を明らかにしていただきたい。

  •  政府が苦情等の処理を行なうに当たって必要な調査を行うことができるとされているが、これは行政府に対して調査権(勧告権)を付与することの法的な裏付けを意図したものと理解して良いか。

5.「事業者が遵守すべき事項」について
[基本的な考え方]
  •  大綱案の注において、法文で義務規定を置く場合のあることが示されているが、基本的には業界による自主的な規制を尊重し、これを前提として検討される必要があると考える。

[利用目的による制限]

  •  「通知等」の態様の一つに、個人情報の利用目的等を明記した契約約款への同意(契約の同意)も当然含まれると理解している。

[第三者への提供]

  •  「個人の権利利益を侵害するおそれのない場合」とはどのような場合を想定しているのか具体的に示していただきたい。

[内容の正確性の確保]

  •  内容の正確性に関して、EU指令は「正確であること、必要な場合には最新の情報を維持すること」としており、アメリカの非営利法人「トラストe」の要件でも「誤った情報を更新あるいは修正できる方法」と規定されている。このような点から誤情報に対する措置および古い情報に対する措置の2点が、内容の正確性確保に関して求められる「必要な措置」に当たると考えられるが、基本法でもこのような内容を想定しているものと理解している。

[適正な方法による取得]

  •  消費者信用取引に際し、その取引の安全確保のために申込者の経済的信用に関する個人情報(個人信用情報)を第三者から取得することは、本項でいう「個人情報の性質、取得の際の状況に照らし第三者から取得することが必要且つ合理的と認められる場合」に該当すると理解しているが、このほか、次のような秘匿性がなく公知の事実についても同様であると理解している。
      * 官報に公告された情報(破産者、失踪者の情報)
      * 情報主体により不特定多数に公開された情報(電話帳に掲載された名義人等)

[安全保護措置の実施]

  •  大綱案の記述は「適切な技術的措置」を講ずるに止まっているが、例えばEU指令では「適切な技術的及び組織的措置を講じなければならない」と規定し、「最新技術及びその実施の費用を考慮に入れて、かかる措置は処理によって生じ得る危険および処理されるデータの性質に対して適切な安全のレベルを確保するものとする」と述べている。経済的合理性ないしは費用対効果といった側面を考慮して安全のレベルを決定することができることを示しており、法制化に当たっても、こうした点は加味されるべきである。

[第三者への委託]

  •  「監督義務を尽くしているときは免責してよいか引き続き検討する」とされているが、受託業者も基本法の適用を受ける筈であるので、当然、免責され得るものと考える。

[個人情報の処理等に関する事項の公表]

  •  「個人情報の処理等を第三者に委託している場合」に「その理由及び第三者の氏名又は名称」を公表することとなっているが、委託先の公表はかえって情報の漏洩や不正取得のリスクを高めることになるので適当ではないと考える。

[開示、訂正等]

  •  個人信用情報機関は、20年以上前から開示制度を整備しており、本人から請求があれば、これに応じて個人信用情報を開示してきた。しかしながら、機関の開示制度が周知されることに伴い、これを不適切に利用する事例も散見されるようになっている。本人の自由な意思に依らない開示であることが、事前若しくは事後に判明した場合の措置(本人に開示を指示した者への制裁等)についても検討していただきたい。
     具体的な事例としては次のようなものがある。
      イ.企業が採用や労務管理のために求職者や従業員に指示して、個人信用情報機関で自己の情報を開示させ、その開示データを取得する。
      ロ.個人信用情報機関に加盟していない与信業者が申込者に指示して、個人信用情報機関で自己の情報を開示させ、その開示データを取得する。
     訂正、削除の請求についても誤情報であることが確認された場合などについてのみ応ずることを原則とする必要がある。

6.地方公共団体の措置
  •  各地方公共団体の条例において、その区域内に所在する事業者に対する施策を進めるのであれば、基本法制との整合性を図り統一的な運用が行なわれるように配慮すべきであると考える。

7.その他
  •  「第三者的な苦情・紛争処理機関の設置」について今後、公的機関又は民間機関を含め検討することとしているが、どのような機関(機関の運営形態も含め)を設置しようとしているのか明確にすべきである。
     仮に、「苦情・紛争処理機関の設置」を検討するにしても、複数の機関を設置するのであれば、統一的なルールに基づき「苦情・紛争処理」が行なわれるべきものと考える。
  •  個人情報の窃用・搾取による取得およびその利用等、悪質な個人情報の取り扱いに関する制裁措置については、法的な手当てが必要と思われることから基本法の枠組みにおいて検討すべきものと考える。
     仮に、基本法において制裁措置を設けず、特別法上の措置において制裁措置を設けるのであれば、その根拠を明確に示す必要があると考える。

U.その他中間整理に対する意見

(1)大綱案については、今後の検討に委ねられた点も多いが、個人情報保護システムの法制化に当たっては、民間事業者の円滑な事業活動の発展を阻害することのないよう、事業者の個人情報保護に関する自主的な規制の実態を踏まえ、個人情報の保護に関するルールが利用とのバランスにおいて過大なものとならないようにすべきと考える。

(2)大綱案が今後の検討を経てより明確なものになった時点で、再度意見陳述の機会を与えていただきたい。 

以上