個人情報保護法制化専門委員会

第23回個人情報保護法制化専門委員会議事要旨



1 日 時:平成12年7月28日(金)14時〜17時

2 場 所:総理府3階特別会議室

3 出席者:

園部逸夫委員長、小早川光郎委員長代理、上谷清委員、高芝利仁委員、高橋和之委員、遠山敦子委員、新美育文委員、西谷剛委員、藤原静雄委員
堀部政男個人情報保護検討部会座長

(事務局)

藤井昭夫内閣審議官、小川登美夫内閣審議官

(関係団体)
神奈川県県民部情報公開課長斉藤 雅俊
情報公開課長代理池田 省三
情報公開課主幹瀬戸 一春

テレコムサービス協会事業者倫理・インターネット委員会 副委員長大谷 和子
事業者倫理・インターネット委員会 副委員長鈴木 康史
事務局長久和野 泰之

4 議 題
(1)関係団体ヒアリング
○ 神奈川県
○ テレコムサービス協会
(2)フリーディスカッション

5 審議経過
(1)関係団体ヒアリング

@神奈川県
 神奈川県より、資料1−1及び資料1−2に従って説明があり、質疑が行われた。質疑の概要は以下のとおり。

○ 登録制度について、県内に本店又は支店をもつ事業者は網羅されているか。
→ 個人情報を取り扱っている事業者の総数を把握していないが、かなりの数が未登録で残っていると思う。

○「検索可能」を要件としていない条例との整合性を図って欲しいとのことだが、ファイル処理も電算処理もしていない伝票などについて、民間事業者が開示請求等につき対応できると考えるか。
→ 情報が特定されないことには対応できないだろう。当方としては、大綱案で「検索可能」を要件とした趣旨が分からなかったので、資料中で大綱案に対する意見としている。

○ 資料1−1の「自己情報開示請求等の状況」は県保有の情報についてである。神奈川県の条例制定の経緯を説明すると、民間事業者に対しては啓発行政ができる程度ではないかということで登録制度という任意の登録制度とし、その保障として、PDマークを定めることとした。条例で民間事業者に対して規制できる範囲については、自治省の2回にわたる研究会で議論されたが、これを踏まえ神奈川県の条例は制定された。この条例については世界的な注目を受けている。神奈川県の現在の担当は4人(同人口のスウェーデンは50人ぐらい)で、他の部も協力して対応している。今までのところトラブル無く運用されている。

○ 「目的の明確化」を基本原則とするべきとのことだが、公の情報については、法令に基づいて情報が収集されており、法令から情報を収集する目的は分かる。基本原則まで高めて公にも目的明確化を更に適用するとするなら、法令による以外の収集を想定しているようにも考えられるが、どのようなものが考えられるか。
→ 個人情報保護条例8条1項で、実施機関が収集する場合の収集目的を明確にすることとしているが、これは目的の範囲内で過大収集とならないようにするためである。

○ 事業者に対する開示請求についてのトラブル、苦情などはあるか。
→ 医療機関については、カルテ開示の問題がある。ただし、インフォームド・コンセントの時代なので、ほとんど開示されている。組織としては、県医師会が各地域に持つ組織に相談コーナー、相談窓口があり、県レベルでは、県民を含めた機関で審査することとしている。ただし、この機関まで事案があがってきた例はない。

○ 登録制度の趣旨は啓発であるとのことだが、民間事業者の意識の啓発なのか、それとも行政指導の根拠とし、実質的に、一定水準まで、行政の側より民間事業者を引き上げようとする制度なのか。
→ 基本的には社会のルールづくりが条例の目的であることから、啓発行政の一環であり、制度の趣旨を理解してもらい、登録していただいている。

○ 役割分担に関して、国、地方それぞれにふさわしい仕訳の原則は。
→ 役割分担に関しては、県と市町村で協議会をつくり、役割分担を整理しているところである。

○ 特に国と地方公共団体の仕訳に関して、民間事業者への対応にあてはめるとどうなるか。
→ 全国一律の規制については国の役割であり、住民意識等の普及、啓発については地方公共団体の役割であると考える。

○ かつて信用情報の通達が国の省庁から出された際、通達と県の条例の関係について議論がなされ、その際、県の条例は法的に強制するものではないこと、また、県に特有なものとして、県内で事業をするものを対象とする、として整理された。現在、都内に本店がある事業者についても、県内に支店があれば、県内で事業を行うということで、都内の住所で登録の対象としている。今後は、地域内のみで事業を行うのならば、地域で対応するのも良いのではないか。

Aテレコムサービス協会
 テレコムサービス協会より、資料2に従って説明があり、質疑が行われた。質疑の概要は以下のとおり。

○ 定義が曖昧との主張だが、一次的に蓄積する情報はどのように扱うべきかという意味か。ここは一定の利用目的のために、一次的に蓄積する必要はあるものの、長期間の蓄積の必要はない場合に、必要がなくなった時点で削除することが求められていると考えることはできないか。
→ 意識的に保存する場合、課金目的ということを示し、保存するならそれでよいだろう。しかし、通信を媒介することにより蓄積してしまう情報もあり、全てについて利用目的を通知することはできないのではないか。

○ この場合も利用目的があり、そのために一次的に蓄積しているが、開示、訂正には対応できないという理解か。利用目的を広く設定した上で、その中を仕切るということか。
→ 情報の種類によっても違うのだろうが、利用目的を通知する際の具体化の程度により異なる。広く「通信サービスを円滑に行うため」で十分ならばあまり問題は生じない。ただし、開示や訂正、公表の対象にはなりにくいだろう。

○ 一次的にデータを蓄えることを「蓄積」というべきだろうか。確かに「通信のため」ともいえるものの、ただ通過しているだけであり、そこまで利用目的という場合、このようなものまで含まれるのか。どのように限定できるのだろうか。そもそもそのように解釈してよいのだろうか。
→ 詳細にプロセスを追うと、個人ユーザーがウェブサイトをサーフした際に、データがキャッシングされる。キャッシングされる期間は、サーバー設定によるが、キャッシング容量が大きければ、ある程度の期間は蓄積されることとなる。「蓄積」の捉え方にもよるが、現実にはディスクにデータとして残っており、一般的には「蓄積」と見ざるを得ないと考える。これを「処理」と捉えると、問題なく基本法制の対象から外すのは難しいだろう。法律あるいは解説で、何らかの考え方を示していただきたい。

○ 定義に関連して、資料とは逆にある情報と照合すると個人が識別される情報については、定義ではなくガイドラインなどで示すこととなると考えるが、これをどう捉えるか。対象外とすると他の用途に利用されてしまうのではないか。
→ 基本法と通信の秘密の関係をどう考えるかによるのではないか。事業者から見ると、アクセスログは通信の秘密である。確かに会員のIDと連動がとれるよう管理しており、事業者の中では容易に個人を特定可能である。しかし事業者は通信の秘密という観点で管理しており、警察からの任意調査すら断っている状況である。個人情報保護基本法と通信の秘密の整理の仕方によるが、個人的には、通信の秘密は刑事罰があるので、より厳密に、かつ機械的に守らなくてはならないものと考え、誰も触れないよう管理する必要があると考える。

○ メールアドレスについては個人情報に含まれ、一方アクセスログについては通信の秘密の対象とするとの主張だが、通信の足跡が残る発信電話番号やクッキー、IPアドレスに関しては、これらとは別の問題と捉えて、基本法制による個人情報には含まれないが、個人情報にはあたると考えているのか、それとも個人情報にはあたらないから、基本法の対象とすべきと主張しているのか。
→ 大綱案の定義には形式的にはあたる。一方、アクセスログは通信の秘密の対象である。仮に基本法の対象でなくても通信の秘密により保護が図られるものと考えている。

○ 発信電話番号やクッキー、IPアドレスについてはどうか。それぞれについて別個に考えているのか、まとめて考えているのか。アクセスログだけ通信の秘密の対象なのか。資料ではまとめて捉えているようだが、前述の説明では、それぞれ別個に考えているようだが。

○ この問題については郵政省で検討中である。通信の秘密は電気通信事業法があり、同法で対応することとしている。貴協会では通信の秘密と個人情報保護を異なるものとして捉えているか。
→ 通信の秘密に該当する情報としては個人が識別不可能なものもあるので、両者は異なるものと認識している。両者は包含関係にはないが、通信の秘密の方が多少狭い概念と考えている。

○ 通信の秘密については自然人でないものの情報も含まれ、その点でも区別しなくてはならないだろう。

○ 開示について、情報の種類によって分ける必要があるとのことだが、単に経過的に蓄えたものを指したのか、それとも通信の秘密の対象になるようなものとそうでないものは違うという趣旨か。情報の種類で区別し、通信の秘密なら開示の対象とはならず、開示、訂正はそれ以外についての情報についての問題と思っていたが、もうひとつのカテゴリーとして、経過的に蓄積されるものは対象とならないということを想定しているのか。

○ 資料中、開示・訂正の可能性については、個人情報の種類により区別すべきとのことだが、通信の秘密、相手方のプライバシーに係るものは除かれ、契約者情報や課金情報については個人情報に含まれるという理解でよいのか。
→ 契約者情報、課金情報については本人から開示請求があれば、現在でも開示の対象としている。ただし、同時に通信の秘密に該当する場合には、事業者が中身を見ない方がよいとも考えており、本人からの開示ならばよいが、訂正については難しい。通信の記録を変えろと言われても困る。通信の秘密に該当する部分を除く部分については開示、訂正はよい。通信の秘密が入ってくると、別の考え方をしなくてはならないだろう。

○ 課金情報について、自分のアクセス記録と異なることはあり得るので、訂正の可能性はあるのではないか。
→ なりすましや他人のID等を利用する場合があり、利用明細については見ることができるようにしている。これは内部処理に誤りがないか、事実確認するためである。なお、約款等によりパスワードやIDの他人の不正使用については客の責任としている。

(2)フリーディスカッション
 最終報告の草案の検討に向けて、フリーディスカッションが行なわれた。主な意見の概要は以下のとおり。

○ 開示請求権の根拠について、個人情報の収集の際には利用目的を明確にするのであるから、情報を取ることを契約の中身とみなし、開示請求を契約に基づくものとみなすことができるのではないか。これにより、情報の取得を個別契約、附合契約、掲示とみなす条件を明示することはどうか。
→ 一つの方向と考える。個人情報の取扱い内容を約款に記すことを一つの指標にすることもあり得るが、約款が使える業種とそうでない業種を仕分ける必要はあるのではないか。
→ 例えば日本医師会の考え方であれば権利としては認めないという考えから情報提供ガイドラインにより実施しているが、このような場合例外と考えるのか。
→ 日本医師会の場合も診療情報の開示について情報提供を行なっており、このような場合も、どこまで詳細に書くかは自主的な判断としても、これを契約内容と考えれば、契約の一種とみることは可能ではないか。 
→ 法律では任意規定とし、特約で更に請求権を広げる、あるいはそれをないものとすることも方法としてあり得る。特約で請求権をなくすにはよほどの説明義務を生ずるとすれば歯止めとなるのではないか。

○ 開示請求の場合契約上の請求権が成り立つことは当然であるが、この法律として実質的に開示請求権と認めるかどうかは今後議論すべき事項ではないか。この場合、人格権的なものと構成するのか、又はプライバシー保護の一環として例えば不法行為的なものとして差止めのようなものとして考えるか、又は自己の情報管理として考えるのか、その法的根拠は非常に難しい問題である。

○ 起草グループでの草案の検討にあたっては、@国際的な趨勢をみたものであること、A個人情報の定義の範囲ないしその対象、罰則のあり方、紛争処理のあり方等について議論したものであること、B実行可能性のあるものであることについて、議論する必要がある。

○ 個人情報の利用の面は社会的・経済的な必要性により満たされていく性格のものであり、法目的は基本的に個人の権利利益を保護するという観点から起草すべきものと考える。

○ 基本的には、個人情報保護という大きな枠は基本法として全体にかけていくべきものであり、その中で、必要に応じてそれぞれの場面で適用除外を一つ一つ検討していくべきであり、はじめから基本法の枠外であるとの分野を作るべきではない。 

○ 罰則の創設については、賛否両論からの要望があるが、基本法の実効性確保の観点から、構成要件を厳格に絞った上で、罰則をどこかに設けておく必要があると考える。

○ 個人情報はきわめて多様性に富んでおり、核心部分のこれこそ譲れないというものからその外延まで濃淡がある。こうした多様性と濃淡に応じた対応を考える必要がある。仮に開示請求権を権利の基本と考えた場合であっても、果たして全てにわたってそういえるかどうかは非常に難しい。この辺を踏まえた議論が必要ではないか。

○ 表現の自由や学問の自由が戦前にはずいぶん侵されたという経験を重視すれば、憲法上の自由は法律により簡単には侵すことのできないものであり、法律で規制するに当たってはよほどの配慮が必要と考える。

○ 国際的に日本が個人情報保護法をもっていることを鮮明にすることは非常に重要であるが、同時に実効性の確保も必要である。このためには、除外規定の検討とともに、苦情処理や救済機関というものを充実する必要がある。

○ 政府の調査について心配する向きもあるが、国会の下で行動する行政機関が法律の適正な実行のために調査をするのはいわば必要悪であり、それが乱用されないようにするにはどうしたらいいかという視点が必要。
 個人情報保護法制はこれまでの法律の中で最も適用範囲の広いものであり、しかも権利利益に関わる重要なものである。基本法でどこまで権利利益に関する明確な規定を置くのか、具体的な規制との関連で置くのかについても議論が必要ではないか。

○ 国と自治体の関係について、苦情処理をどう仕分けるかについては、例えば公害等紛争調整の場合は広域的紛争と狭い紛争の場合で仕分けがされているが、本件の場合はそれぞれ存在しているという世界でよいのかなと考える。
→ 国民生活審議会が自治体における消費者問題の苦情処理のあり方について報告書をまとめたが、そこでも都道府県と市町村がそれぞれに意味があるのであり、基本的には重層的にいくしかないと報告している。自治体間の結論の相違の問題についても、消費者問題などは基本的にはお互いが納得すればよいというところがある。

○ 第三者的な行政機関ができるかとの問題はあるが、例えば裁判所に申立てをする機関は考えられないか。
→ 日本では行政委員会のあり方が十分に認識されていないため難しい面があり、裁判所への申立てというのも一つの解決の方向であるが、他方、裁判所に多くの事件が集中することに対する問題もある。
→ 刑事的発想・民事的発想いずれとするかについては議論があり、消費者領域でも団体訴権の代わりに行政機関に訴権を認めるか民事訴訟法分野では決着がついておらず、どのようにもっていくかは非常に難しい。

○ 「国民の役割」を規定することには、これにより自助努力の欠如を指摘されるのではないかとの心配や、新たな行政指導・事前規制の根拠になるのではないかとの意見もあったが、どう考えるか。
→ ヒアリングなどを聞くと、両方の意味で若干誤解されたかなという感じがする。そんなに誤解される心配があるのなら、落とすことも検討していいのではないか。
→ 基本法とは、従来、政府も一生懸命やりますが国民の皆さんもみんなで一生懸命やりましょうねというイメージであった。国民の役割規定を除くということになると、法律名も個人情報保護法でいいのではないかという気がしないでもない。

○ 主務大臣規定等を置いた場合、そうした各省庁の役割と、仮に第三者的な苦情処理機関を置いた場合のそれとの関係はどうなると考えるか。
→ 事業者に規制的な義務を課すということであれば、規制的義務の所管省庁をどこにするかという問題があるが、これにはそれぞれの所管大臣とする考え方と、一つの主務大臣として、個人情報保護のための機能を一つの役所で集中的に規制するという考え方がある。
  第三者機関との関係は、機関の機能によるものと考える。例えば規制がかかっている場合、規制の遵守状況について調査し、違反があれば改善命令、行政罰あるいは秩序罰ということになり、いわば行政機関的なものとなる。また、国民の権利利益に関わらない程度のものへの対応であれば苦情あっせん機関的なものとなる。さらに国民の権利利益侵害に対する紛争処理機関ということであれば、規制官庁との機能の分離の必要が出てくる。

○ 草案の起草に当たっては、表現の自由、学問の自由が現在と比べて悪くなることにならないよう、吟味して考える必要がある。

○ 中間整理段階での基本原則の書き方であると、現行の国の個人情報保護法はパスしてしまうのではないかと思える。現行法の改正は必要なのだということが表れるようなものにする必要があるのではないか。

○ 国の行政機関の個人情報保護法の検討の際には、学術研究の扱いが問題となったが、学問の自由に基礎を置くものとして、かなりの部分について適用除外とした。

○ 憲法違反の法律を作るわけにはいかないし、同時に、いかなる団体・個人であっても、他人の憲法上の権利を侵害することはできない。個人情報の保護の重要性についていかに浸透させていくかが問題。ただし、これを法律による規制により浸透させていく点に難しさがある。

○ 本専門委員会が政府になりかわって、法律を通してくださいというところまで頑張る必要はない。委員会としての結論を予定とおりのスケジュールで出し、あとは更に大所高所から機関に内容を判断してもらうということでよいのではないか。

(次回の予定)
 次回は、9月8日(金)14時から17時まで、総理府5階特別会議室で開催し、最終とりまとめに向けた議論を行う予定。

*文責事務局

*本議事要旨の内容については、事後に変更の可能性があります。

資料
資料1 神奈川県ヒアリング資料
資料2 テレコムサービス協会資料
資料3 ヒアリングにおける意見の概要
資料4 セーフハーバー・プライバシー原則に関する欧州議会決議案
資料5 セーフハーバー・プライバシー原則