個人情報保護法制化専門委員会

第24回個人情報保護法制化専門委員会議事録



1 日 時:平成12年9月8日(金)14時〜17時

2 場 所:総理府5階特別会議室

3 出席者:

園部逸夫委員長、小早川光郎委員長代理、上谷清委員、高芝利仁委員、高橋和之委員、遠山敦子委員、新美育文委員、西谷剛委員、藤原静雄委員、堀部政男個人情報保護検討部会座長

(事務局)

藤井昭夫内閣審議官、小川登美夫内閣審議官

4 議 題
個人情報保護基本法制に関する大綱案(素案)について

5 審議経過

【園部委員長】それでは、ただいまから個人情報保護法制化専門委員会第24回の会合を開催いたします。
 本日から、最終報告に向けた議論を行ってまいります。前回の会合以後、夏の暑い中を小早川委員長代理を中心としまして堀部座長にも御協力をいただきながら、起草グループの委員の方々に最終報告となる大綱案の案文を御検討いただきました。今年の残暑は格別でございまして、この暑い中、夏休み期間中にもかかわらず、案文の検討に当たられた委員の方々にまず厚く御礼を申し上げます。どうもありがとうございました。
 本日は、起草グループから大綱案の素案が提出されておりますので、一通り内容の説明を伺った後、この案文をベースに審議を進めてまいります。予定としましては、本日を含めて4回の会合で最終報告を取りまとめたいと考えておりますので、本日と次回の会合は第1読会とさせていただきます。その後、案文に修正を加えながら更に2回ほど検討を重ねることになりますが、実質的には3回目でほぼでき上がらなければならないという状況でございますので、限られた時間ではございますが、政府の法案化作業に際しまして基本となる考え方をできるだけ明確にしておく。これが主眼でございますので、それを前提にして検討を進めたいと存じます。
 それでは、提出されております案文につきまして、事務局から内容の御説明をお願いいたします。

【藤井室長】それでは、私の方から御説明させていただきます。
 まずお手元の資料でございますが、資料1−1として今、委員長からありました大綱案の素案、それから1−2といたしまして中間整理で引き続き検討事項となった件についての若干の説明ペーパー、それから資料2は中間整理と今回の素案のいわば体系の移動、構造についての対比表、それから資料3としては中間整理の本文と今回の素案の対比表、それから参考といたしまして中間整理に対してパブリック・コメントを実施しておりますが、それを事務局の責任において要約化いたしまして整理したものをお出しております。必要に応じてごらんいただきたいと思います。まず、私の方からの説明は資料1−1の素案を中心に、適宜資料をごらんいただきながら御説明申し上げたいと思います。
 まず資料1−1の「目的」でございます。中間整理との重要な変更点というのは、中間整理では「個人情報〜のその適正な利用に配慮しつつ、権利利益保護」というようなくだりがございましたが、これは意味の明確化ということで「個人情報の有用性に配慮しつつ」と修正してございます。
 それから2番目の「定義」でございますが、これはいわば今回の大綱案の基本概念について定義的なものを置いているわけですが、(1)の方は若干書き加えておりますが、意味的な変更はございません。
 (2)でございますが、「個人情報の取扱い」という概念を提起しております。この「個人情報の取扱い」というのは非常に広い意味でございますが、特に物理的な処理だけではなしにその内容の利用とか、あるいは内容の評価変更とか、そういったものも含めるという意味で「一切の」というような極めて無限定的な概念を使っておりますが、若干限定にならないというような御意見もございますので、とりあえずというような感じで「一切の」という言い方をしてございます。
 それからまた、重要な概念として「個人データベース等」という概念を用いております。このポイントは個人情報の集合物であるということ、それからコンピュータ等により個人情報を検索できるということ、それから体系的に構成したものという3つの要素がございます。これプラス、とりあえずこれも準ずるという形で※に書いてございますが、マニュアル処理情報であってもこういうコンピュータ処理によるデータベース等と匹敵するようなものは当然対象になるということを特に注書きで明記しているところでございます。
 それからもう一つ、これは重要な概念として「個人情報取扱事業者」、ちょっと言葉がこなれないようなところがございますので「又は特定事業者」というような概念を設けてございます。これは、事業の遂行に当たって個人情報データベース等を取り扱う者で一定の者という言い方をしておりまして、ただし国の機関、地方公共団体を除くということになっております。この問題はその「一定のもの」ということでございますが、これはまだまだ考えが詰まっていないところもございますけれども、これも注書きで単にアクセスのみが許されているような取扱者とか、あるいは専ら小規模の個人情報データベース等を取り扱う者、これは重要な概念ですので4のときにも再検討いただきたいのですが、こういったものは高度情報通信社会のいわば事業者特有の問題ということとは関係が薄いのではないかということで除くという方向を考えているということでございます。
 なお、前の事業者の概念では国の機関、地方公共団体に加えて独立行政法人、特殊法人等を除くというような形になっておりましたが、これはとりあえず本法が施行されるときにはこういう個人情報取扱事業者からあえて除く必要はなく、別途法的措置が講ぜられた段階で改めて見直しすればいいじゃないかということで除外からは除いておるということでございます。
 3番目の「基本原則」でございます。これは中間整理の段階から、この「基本原則」の法的性格がどうあるべきかというのは議論があったところでございますし、もう一つはやはり個人情報の趣旨として個人の人格尊重の理念というようなものを重視すべきじゃないかというような御意見もございましたが、そういった御意見を踏まえまして、1つは個人情報は個人の人格尊重の理念の下に慎重に取り扱われるべきものであるということを本文に明記したというところでございます。また、この「基本原則」というものは何人におかれても個人情報の保護のために自主的に努力していだたくためのものであるという趣旨を明確にするという意味で、何人もこの原則にのっとって個人情報の適切な取扱いに努めなければならないという努力義務規定的に書いてあるところでございます。
 次の五原則そのものの内容の本質的な違いは設けてございませんが、若干順番を改めたり、意味の明確化あるいは追加をしておるというところでございます。改めて申すまでもございませんが、「利用目的による制限」というのはいわゆる目的明確化の原則とか、目的制限の原則とか、そういうものを入れているということです。
 (2)と(3)は中間整理のときと順番を入れ変えておるところでございますが、いわゆる取得制限の問題とか、あるいは内容正確性の問題、それで内容正確性の問題についてはヒアリング等の意見でもございましたが、単に正確性だけではなしに最新性というのがOECD8原則にも入っているということで、最新性をあえて明記したというところでございます。あとは安全保護措置の問題とか透明性の確保、これはアカウンタビリティ・プリンシプルなどに相当するのですが、ここは意味の明確化という意味で若干修文してございます。そこは「個人による適切な関与が認められ、必要な透明性が確保されること」と書いてあるということでございます。
 そこで、恐縮ですが資料2をごらんいただきたいと思います。構成のところですが、右側の中間整理のときには「目的」「定義」「基本原則」、その後で「政府の措置及び施策」があって「事業者が遵守すべき事項」「地方公共団体の措置」「国の役割」ということになったのですが、今回の素案では若干順番を変えてございまして、前に5番目にあった「事業者が遵守すべき事項」に相当する「個人情報取扱事業者の義務等」というのが「基本原則」の次にきているということでございます。そんなに大きな意味的な違いはないわけですが、1つは今回、民で特定の方々に対する一般法的な部分というようなものを強調するという意味プラス、若干次の「政府の措置及び施策」の中にはこういう事業者の義務等を受けてやるべき措置というものも規定しているということで、わかりやすさという意味も込めまして4と5を入れ変えているということでございます。
 あとは、次の2ページ目の最後に中間整理では「国民の役割」というのが従来ございましたが、これは「基本原則」は何人にも対する努力義務規定ということにしたとか、あるいはパブリック・コメント等々、ヒアリングのところでも国民の役割をあえて規定する必要があるかというような御意見があったということも踏まえて落としているところでございます。
 そこで資料1−1にまたお戻りいただきたいのですが、資料1−1の3でございます。今回の素案の大きく変わったところの1つが、この4の「個人情報取扱事業者の義務等」というところでございます。お手元の中間整理の「事業者が遵守すべき事項」の趣旨、それと義務にするのか、努力義務にするのかというそれぞれの規律の法的な規範性をどうするかというようなことが一つの宿題になっていたのですが、ここは今回の素案においてはあえて相当厳しい義務規定になってございます。そして、この義務規定の対象となるのは一般的な事業者ではなくて、4の※にございますが、まさに今の高度情報通信技術というものを用いて一般企業がどんどん個人情報、例えば顧客情報とか、あるいは消費者の消費性向、属性といったものをデータベース化して企業の事業に用いられようとしている。そういったところにターゲットを絞って、そういう方々に対するいわば必要最小限の規律を設けるというような趣旨でこういう項目を設けられたというところでございます。
 ただし、この「必要最小限の規律」という趣旨でございますが、あくまでも個人情報の内容、性質、それから取扱い次第では個別法でより厳しい制度、あるいは事業者によって自主的な努力で相当やっていただかなければいかぬところも多いというところで「最小限の規律」と注書きされているところでございます。
 それで、(1)の「利用目的による制限及び適正な取得」というところでございますが、これは先ほどの原則の中でも目的明確化とか目的制限と言われるもののより具体化した規定という書き方になってございますが、ポイントは個人情報を取り扱うに当たって利用目的をまず明確にする。そして、その目的の必要な範囲で個人情報の取得、処理その他取扱いを行わなければならないという義務の明確化を図っているところでございます。それで、これは以下のいろいろな規律にも関わるのですが、この義務規定の制度的な担保としては1つは本人の参加あるいはそのための透明性、そういったことで担保するとともに、強制措置、事業の所管する主務大臣の必要最低限の事後規制ということでその義務を担保していくというような構成になってございます。
 この注書きのところでございますが、ただ、この後の(3)で「第三者提供の制限」という項目がございますが、そことの関連でもともと第三者に提供することを業とする者、利用目的自体が第三者提供を業とする者については、今ほど申し上げました第三者提供に対する厳しい禁止義務規定との関係でまだ調整が整理されていないということで、引き続き検討するという注書きを付けているところでございます。
 次のイでございますが、これは取得した場合には利用目的を本人に通知、または公表しなければならないという義務規定を明確化いたしますとともに、企業などの場合は契約の締結とか、あるいはアンケート調査等によって直接情報主体である人から情報を取得する場合が多いわけでございますが、そういう場合は当然取得の際に利用目的を明示しなければならないという義務を明確にしたということでございます。
 次のページで4ページのウでございますが、「個人情報取扱事業者は、適法かつ適正な方法によって個人情報を取得しなければならないものとする」ということは、ほぼ先ほどの原則の繰り返しに近いことを改めて義務規定として明記しているところでございます。
 それからエでございますが、これは中間整理のときのいわば注書きの宿題になっていたところでございますが、事業者は一たん利用目的を決めてもそれを自由に変更できるのであれば利用目的を限定した意味がないということで、その目的の変更の可能性をどう表現するかということがあったわけでございますが、ここはとりあえず言葉としてはこなれていないのですが、一般的に合理的と考えられる範囲というものを超えて目的を変更してはならないという義務規定にしているところでございます。この「一般的に合理的」というのは確かにこなれていないと思いますが、このポイントはそもそも当初の利用目的との関連性、これはOECD原則ではコンパーティブルという言葉を使っているわけですが、そういう当初の目的と関連して全く関係のないものに変えてはならないということだろうと思いますし、あとは保護法益は何か。目的を簡単に変えてはいけないという保護法益は何かというと、それはやはり本人に不測かつ不当な権利利益の侵害を生じるおそれを防止することではないかというような2つのポイントから、「一般的に合理的」というのはもう少し詰めた考え方を明確にする必要があるのではないかということで注書きしているところでございます。
 後の注は読んでいただければわかると思いますので、(2)の「適正な管理の実現」というところでございますが、これは安全保護措置の問題と情報内容の原則と申しますか、データ効率の原則を合わせて管理という問題で書かれているところでございます。
 アでございますが、これはデータクオリティの原則の方でございますが、「利用目的の達成に必要な範囲において正確かつ最新の内容に保つよう努めなければならない」という視点でございます。これも冒頭の方で申し上げましたが、このいわば制度的担保の一つの制度としてちょうど(6)の方ですが、訂正の申出等の仕組みを設けているというところでございます。これで、必要であれば訂正していただく。
 それからイでございますが、これは保護措置の具体化ということでございますが、取扱い事業者に対して従事者に対する監督責任を明記したというものでございます。
 ウはほぼ同様の話ですが、委託する場合に委託者に対して事業者に監督責任を義務づけたというところでございます。
 なお、安全保護措置の中には技術的、あるいはいわば組織内のルールのような形での整備の問題があるのですが、これは技術的な進展に応じて適切にやっていただく必要があるという意味では、法律的に書くというよりはむしろ別途政府、事業者団体による情報提供、ガイドラインあるいはいろいろの情報提供施策といったもので適切に定めていただくよう努力する義務を、いわば冒頭の原則の自主努力の一つとしてやっていただくという構成となっているところでございます。
 (3)が「第三者提供の制限」でございます。今回のこの規定の特色は、ヨーロッパ型はどちらかというと事前規制から始まって事後規制、それから強力な行政権限による監督というような構成になっているのですが、今回のこちらの案は事前規制は若干やって、間は相当事業者の努力にゆだね、最後のいわば出る側、第三者提供、ここを厳しく押さえるというようなつくり方になってございます。読み上げさせていただきますと、「個人情報取扱事業者は、個人情報データベース等の全部又は一部を第三者に提供してはならない」という、これは相当広範な義務規定にしているということでございます。当然ただし書きにありますが、本人同意とか、あるいは緊急に必要がある場合はこの限りでないというようなところはあるのですが、全般的に非常に厳しい禁止規定になっているところでございます。
 それで、1番目の※は読んでいただければおわかりいただけると思いますが、2番目の※は先ほどの利用目的のところで申し上げたところの繰り返しでございます。そうは言っても最近データベース業者、正当なデータベース業者も中にはいると思うのですが、こういった方々の活動を全面禁止するということにもなりかねないので、なおこういう正当な第三者提供を業とするような方々の取扱いについては引き続き検討するというところを注書きさせていただいているところでございます。なかなかうまく整理できていないのは、そもそも本法制というのが現段階では個々の個人情報の秘密性とか、あるいはセンシティブ性といったものを区別せずに一般的に必要最低限な規律というような形でつくっているものですから、第三者提供についても何が正当かどうかというのは今の段階ではうまい線引きができないということで、検討中ということで整理させていただいているというところでございます。
 それから、4番目に「公表等」でございます。ここはいわゆるOECD原則でいけばオープンネス・プリンシプルに近いような話でございますが、個人情報取扱事業者の義務として本人に通知しない場合を除いて公表等をすることを義務づけているということでございます。公表すべき項目については、これも中間整理とそう変えておりませんが、1つは当然利用目的、それから責任者の指名、それから必要な手続、それとその他必要な事項となっていますが、これはイの下に※が5つぐらい並んでおりますが、その5つ目の6ページの下の方をごらんいただきたいのですが、本人に通知し、または公表等をしなければならない事項Cその他としては、例えば苦情等の受付窓口とか、あるいはプライバシーポリシーというのを今、盛んに重要性を指摘されているところでございますが、そのプライバシーポリシーのようなものを公表義務の対象とするということを注記させていただいているところでございます。
 ちょっと戻ってイに変更する場合のことを書いてございますが、変更する場合は当然公表するという義務規定を設けているということでございます。
 あちこち飛んで恐縮ですが、イの下の2番目の※で、公表等というのはどういうことかというのはわかりにくいかということで例示しております。例えばインターネット上での公表とか、パンフレット配布とか書面提示、あるいは事務所への備え付け、それから本人からの問合せへの回答というようなことで、ポイントは普通の方々が容易に自分が知りたいということを知り得るような状態で公にしておいていただくという趣旨が注記してあるところでございます。
 (5)に移らせていただきます。(5)は「開示」でございますが、これは従来権利かどうかというのが一つの大きな検討課題になっていたところでございますが、アの上の方をごらんいただきたいのですが、ポイントは開示の申出があったときは個人情報取扱事業者に開示しなければならないという開示義務を明記したというところでございます。※にいろいろ除外規定を注記しておりますが、当然義務規定にするということであれば、不開示とできる範囲を肯定する必要があるわけでございますが、例えばとして今は本人または他人の生命、財産その他の利益、それから個人情報保護事業者の正当な利益、あるいは業務の適正な実施、こういったものを保護法益として不開示情報を考えたらどうかということで注記されているところでございます。
 それとイは、不開示決定をした場合は本人に対する説明が重要なわけでございますが、理由の説明の努力義務ということを明記しているところでございます。ちょっと飛んで(6)の「訂正等」でございますが、この「訂正等」についてもその法的性格をどうするかということは御論議の対象となったところでございますが、これも3行目の後段ぐらいからごらんいただきたいのですけれども、「申出の内容が正当と認めるときは、利用目的の達成に必要な範囲内で、当該個人情報の訂正、追加、削除その他の適切な措置を講じなければならない」という適切な措置の実施義務を明記しているところでございます。この義務としてはこことの関連で当然適用が除外される場合というものも明記する必要があるわけでございまして、その例として@Aを挙げておりますが、内容的には前者と重複しますので省略させていただきます。
 それから(7)として訂正等の延長線上での削除というのもあるのですが、ここでは個人情報のコンテンツ、その利用そのものを停止するという項を起こしてあるところでございます。すなわち2行目辺りからなのですが、2行目の前に※の1番目を見ていただきたいのですが、「違法又は不適切な方法により取得されたものであること」、本来個人情報取扱事業者が持ってはならない個人情報を持っている場合と言っていいかと思いますが、それプラス利用目的の達成に必要な範囲を超えて利用が行われている場合、こういう場合はその情報主体である本人は利用停止の申出ができるわけでございまして、その申出の内容が正当と認められるときは事業者の側に利用停止、削除その他適切な措置を講ずる義務を明記したということでございます。これはいわば最近の言い方で申しますと、1つはオプトアウトを認めるということを義務化したということでございます。
 それから(8)としてございますが、基本的には個人情報をめぐる問題というのはいわば事業者とそれの消費者に典型的に表れるような民間部門における紛争ということになるのですが、当然そういう問題は当事者間での解決ということをスムーズに進めていただくことが極めて重要なわけでございまして、その意味で個人情報取扱事業者に苦情の適切かつ迅速な処理の努力義務を明記するとともに、9番目でございますが、個人情報取扱事業者のみの処理ということであれば効率性あるいは客観性という面で問題が起こりかねないということから、個人情報取扱事業者が団体を設けて主務大臣に申請すると認定個人情報取扱機関と申しますか、そういう第三者的な機関を設けることができるということの規定を設けているということでございます。この機関は、その構成員の苦情処理、紛争の仲介あっせんをやるというのが中心の業務でございますが、あわせて事業者に対する広報啓発活動等を行うということもさせてよろしいのではないかということで検討するということでございます。
 それで、9ページのBで書いてございますが、いろいろ認定するに際してはその認定要件というものがあり得るわけですが、主務大臣はその認定機関が必要な体制を整備しているかどうかということを適切にチェックしていただくということがこの制度のかなめになるんじゃないかと思っていますが、例えば必要な体制として単に事業者側の方々だけではなしに第三者的な学識経験者の方々も参加いただいて、客観的な判断を確保しながら効率的、中立的な運営をしていただくというような形で、この制度が信頼できるような運営が確保されるのではないかという意味で「必要な体制」ということを書いているということでございます。
 5番目が「政府の措置及び施策」ということでございます。(1)は国の行政機関自らが保有する個人情報の問題でございますが、行政機関が保有する個人情報については既に行政機関個人情報保護法があるわけでございますが、ここでは公的部門と民間部門、これは当然国民対公的部門との関係、それから事業者と消費者との関係という法的義務の関係の違いとか、あるいは事業者では無理だけれども、やはり公的部門は積極的にやるべき部分があるというような意味で別の法律で定めるということと、プラスその内容についてインデックス的に主要なものを4つぐらい挙げてあるところでございますが、その内容はとりあえずは省略させていただきます。
 ただ、あえて特色を申し上げますならば、民間事業者の場合は事前規制というのは非常に薄くなっておるわけです。ヨーロッパの法制のようにファイルの届出制度とか登録制度というものがなければ、そのファイルの中身にどういう情報が入っているかということもあらかじめわかるというような形にはならないわけですが、行政機関の場合はやはり事前にファイルを持つときにその内容を所定の機関に通知するだけではなしに、公にするという形での事前管理の段階から充実した制度があるというようなことは明記しておく必要があるということで1番目にその趣旨が書いてあるということでございます。
 それから行政機関の最後のところですが、その他基本法制の趣旨に沿って見直しということになっておるわけですが、今の基本法制の最初の定義づけのところでもマニュアルファイルというのが注書きされてございましたが、当然民間部門でもマニュアルファイルというものが対象文書になるのであれば、現在行政機関個人情報保護法ではマニュアルファイルは対象になっていないのですが、そういったものの見直しも必要がある等々、全般的に基本法制ができた段階で見直す必要があるという意味でここで「見直し」「必要な措置」ということを明記しているというところでございます。
 (2)として「独立行政法人等に対する措置」でございます。これは先ほどの定義規定のところで若干触れましたが、現在独立行政法人、特殊法人というのは行政機関個人情報保護法の中で必要な措置を講ずる努力義務にとどまっておるわけでございますが、これらもいわば公的部門の一つであるということであれば、公的部門にふさわしい個人情報の保護が推進されるということをこの法制で明記するという意味で、これらについて法制上の措置、その他必要な措置を講ずるということ、特に「法制上の措置」というところを明記したというのが中間整理と違っているところかと思います。
 (3)の「法制上の措置等」でございますが、先ほど来申し上げておりますが、4章で書かれている取扱事業者が対象としている個人情報というのは質が問われていませんし、取扱いの仕方、方法もそんなに限定していないというところですが、個人情報の中でも極めて秘密性が高いとか、あるいはセンシティブ性が高いといった個人情報について今の一般的な規律でよいかというと、そういうわけにはいかない場合が多々あろうかということでございます。その他、利用方法にしても、より情報主体に対する権利利益、侵害の危険の高いような利用のされ方もあるわけですが、そういった場合については特に厳重な保護を要するわけでございまして、そういった場合、別途な措置が必要なものについて法制上の措置その他施策等の措置を講ずるということが規定されているところでございます。
 それから(4)の「個人情報の保護の推進に関する基本方針の策定等」ですが、ここは書き方を若干整理をしておりますが、中間整理のところと中身的には変わっていないと認識しております。一言で申し上げれば、国は一般事業者あるいは自らの保有情報、それから国民一般に対してそれぞれ個人情報が適切に保護されるように行政的に対応していかなければいかぬわけですが、何せ担当をするというか、関連する官庁が非常に多数に上る上、地方公共団体との連携も図りながら進めていかなければいかぬという意味で分担関係とか、あるいは統一的な施策といったものを政府として一つに明確化する必要があるという意味で、例えば基本方針というものを策定してその辺りをきちんと定めるとか、あるいは基本原則をそのまま一般の方に流すのではなく、親切なガイドライン的な指針をつくりながら推進していくというようなことが規定されているところでございます。
 また、Bでは「個人情報の取扱いに関する苦情が適切かつ迅速に処理されるようにするための必要な措置」というようなものも、この方針に書かれることによって国、それから地方公共団体、地方公共団体も都道府県、市区町村があるわけでございますが、そういったものとの連携体制というものを明記していくというような考え方になっております。
 (5)が「主務大臣の指示等」、これが相当重要な規定かと言えると思いますが、これは先ほど来の4章の個人情報取扱事業者の義務規定があるわけで、その義務規定をいわば制度的に担保するという意味があるわけですが、この文章では明記されておりませんけれども、あくまで事前的なチェックではなくて事後的なチェックという意味で何か問題があったという場合、多くは苦情を契機とすると考えられますが、そういった場合、事業者に対して報告を求めて助言、それから改善を促すような指示ができるという権限規定を設けている。ともに主務大臣の責任というものを明確化したということでございます。
 ※に書いてございますが、主務大臣が改善の指示ということになった場合は制裁的公表というよりはむしろそういった個人情報の取扱いの問題の企業があるよということを情報提供するという意味かと思いますが、公表に関して規定を設けることも考えられるという意味で注書きしているとともに、2番目の※では民間の個人情報取扱事業者では特に第三者への提供ということを厳しく制限するという趣旨の法制になっておるわけですが、そういう第三者提供の場合は単なる改善を促す指示程度ではなくて、必要であれば改善とか中止命令という命令処分という強烈な措置も講ずる必要もあり得るということで、その旨注記しているところでございます。
 6番目の「地方公共団体の措置」については大きな変更は加わってございません。
 (1)は、自ら個人情報を保有するという立場からの条例の制定については、まだ条例が制定されていないところもあるわけですが、努力義務を明記する。
 (2)は、自らが保有するものではなくて区域内に所在する事業者に対する、あるいは住民に対する支援等の施策の努力義務、それからイに地方公共団体がやはり身近な行政機関という意味で苦情処理の窓口として最も適切と考えられているところでございますが、そういう苦情処理に当たってのあっせん等の努力義務を規定しているところでございます。
 なお、※に書いてありますのは、現在既に消費者保護基本法に基づきます苦情処理体制というのは国の国民生活センターをヘッドクォーターとして都道府県、市区町村に非常に充実したネットワークがしかれているところでございますが、こういったものなどを参考にして連携体制できちんとしたものをつくっていくことが重要という意味で注書きしているところでございます。
 (3)については省略させていただきます。
 「罰則」の点でございますが、罰則についてもいわば中間整理で引き続き検討すべき事項の課題に挙がっていたところでございます。これはむしろ大綱案の内容を書いているというよりは現状を説明した文章になってございますが、「罰則については、以下の観点から具体的に検討する」というところで、アとして一番問題になるのは個人情報を不特定多数の第三者に提供する。これはいわば漏洩に近い、あるいは漏洩そのものかもしれませんが、そういうものについて罰則を設けるかどうかということでございますが、この場合難しいのは、そもそもどういう法益を罰則で保護しようとしているのか、そこを詰める必要があるというところでございます。これはヒアリングなどでもいろいろ各方面からの御意見があったわけでございますが、要は情報も秘密性なり、あるいは保有主体である事業の信頼性みたいなものを保護するということであれば現在の守秘義務法制で対応できるわけでございますが、今回の場合、個々の情報の秘密性というものを果たして問うているのか問うていないのか、あるいは保有者、これも既にあるのは例えばお医者さんでありますとか、特定の資格を持っている人とか、特定の事業者の信頼性を保護するという形で構成要件が設けられているわけですが、単に高度な情報処理機器あるいはネットワーク処理してということで、果たしてそういった事業者の信頼性を保護する必要性があるのかどうか。あるいは、それを破ったことに対して社会的制裁を科することに果たして国民的合意が得られるのかどうかというようなところについて、なお検討する必要があるということで、その旨をア、イとかで書いてあるところでございます。
 ただ、今はどちらかと言えば社会的制裁という意味での刑事罰ということでの今後詰めるべき事項を御説明いたしましたが、もう一つ行政上の観点からの罰則という観点がございます。これは、すなわち第4章でいろいろな義務規定が掲げられているところでございますが、その義務規定というものに対してその義務規定が確実に守られる必要があるという意味で罰則をかけるかどうかというつくり方がございます。それは、こういう場合は行政機関の改善命令がまずあって、その改善命令にも従わない場合は罰則ということになるわけですが、なおそういう面で個々の規定に照らして、そこまで保護しなければいかぬものであるかどうかということについてなお検討する必要があるという意味でここに記されているところでございます。
 続けてよろしければ、今までが大体の素案についての御説明でございますが、その次に中間整理で引き続き検討すべき事項として挙がっていた重要問題の幾つかについて資料をお付けしてございます。資料1と1−2でございます。中間整理でも報道、宗教、学術等に代表されるような、憲法が保障する表現、信教、学問等の自由権、それと他方、人格尊重の理念の下に保護されるべき個人情報の取扱い、これをどうするかというような重要な問題があったわけでございます。そこで、これは今の段階では起草グループでもどれがいいというようなまとめはなかったわけですが、一つの考え方として4通りのものが考えられているということで、その4通りの考え方を整理して記載されております。
 第1番目は、今回の基本法制の対象からそもそもこういったものを除くという考え方でございます。当然、正当な憲法上の権利行使であれば、これは法律上規制するということはよくないのでありますが、問題はその除かれるということが紛れないかどうかということが一つの論点になるかと思いますが、このように全面的に除くということであればそういう意味での紛れはないということはメリットということになろうかと思います。
 ただし、この基本法制の「目的」「定義」「基本原則」、それから事業者の義務等々、いろいろあるわけですが、それらすべてについて全面的に適用除外するということについてはどのような理由が果たしてあるのかというようなところが問題になろうかと思います。
 また、これは立法技術上の問題でございますが、信教、学問といったものについては、例えば宗教法人法とか、大学ならば大学設置法ということである程度法律上の概念として大学とか、あるいは宗教法人というものは特定できるわけですが、報道機関の場合は根拠法が一般法である株式会社法であったり民法であるということで、なかなか対象の特定が困難な点もあるということに留意する必要があるということで、これはいわば不明確なものは除くと逆に不明確な部分については紛れが発生して「除くことの紛れはない」ということが実質上なくなるという可能性もあるというところがあろうかと思います。
 @は全部除くのですが、Aは大綱案の構造をごらんいただけばと思うのですが、いわば章ごとに適用をするかしないかを判断していくというやり方がございます。これは比較的紛れは少ないと言っていいと思いますが、それとともに章ごとにその適用の合意性が反映される。例えば「基本原則」を当てはめることは適切かどうかとか、あるいは事業者の義務等の規定を適用するのは合理的かどうかというような判断が反映されるということでございます。
 ただ、立法技術上、対象の特定が困難というところが若干ありまして、例えば報道用の個人情報、今回の基本法制では個人情報のデータベース等ということになっていますが、そのデータベース等と報道用のデータベース等といったものが法律上果たして明確に特定できるかどうかというようなことが、立法技術上の論点としては残ろうかと思います。
 2番目が章ごとだったんですが、3番目は条文ごとに判断していくということでございます。これは、例えば4の「個人情報取扱事業者の義務等」の中で利用目的による制限とか適正な取得、あるいは「適正な管理の実現」、あるいは「第三者提供の制限」というような条文を念頭に置いたものがあるわけですが、その条文ごとにこういうような自由権を持っている方々の取扱いをどうするかという判断をやっていくということでございます。
 ただ、これで問題なのは4.の「個人情報取扱事業者の義務等」というものは先ほど素案の御説明でも申し上げましたが、5の「政府の措置及び施策」の中の(5)の「主務大臣の指示等」によって制度的に担保するという形になっておりまして、その条文が適用されない分については適用するかしないかの判断ぐらいなのですが、適用されるということに残された分については主務官庁の関与を認めることとなるということでございます。立法技術上の問題点としては全くないかというと報道用の取扱いというようなこと、これはちょっと説明が必要かと思いますが、今の第4章の「個人情報取扱事業者の義務等」というのは、大体事業者の取扱いに対する規制というつくり方になっておりまして、それでその取扱いの規制から例えば報道用ならば報道用の取扱いであるということを特定できるかどうかということは若干技術上の問題になりますが、特定可能であるということであればそれはそういう調整の仕方があるということでございます。
 それから、Cとして「各条文の保護法益として明確化する」という方法があります。これは少しわかりにくいかもしれませんが、例えば開示請求を受けた場合、不開示情報の範囲というものはやはり法律上明記されることになるのですが、その不開示情報は当然事業者の保護法益みたいなものを念頭に置いて書くわけですが、個人情報取扱事業者の正当な利益というものであればそれは保護されるのですが、その正当な利益には、これは全く当然の上の当然の話かと思うのですが、憲法上の正当な自由権の行使が含まれるということは解釈上可能でありますし、解釈上紛れがあるのであれば例示するというような形が考えられるということでございます。これは専門家の中では一番紛れがないと逆に言えるのですが、ただ、一般的には各条文の規律の内容の趣旨を理解しないとその適用の有無というのはよくわからないというところの難点があろう。しかしながら、各条文の適用の合理性というのは最も実は反映されるというメリットがある。ただ、難点は各条文の規律、これはBにもっと厳しくなるのですが、5の(5)の主務官庁の監督下に入るというところに問題があるということでございます。
 合わせて最後になりますが、「適用除外を検討すべきその他の事項について」というところがございます。これは率直に申し上げまして、今の段階では個人情報取扱事業者の規定が結構明確な義務規定になりましたので、当然調整規定というのはいろいろな観点から検討する必要があるわけですが、これはむしろまず事務局における整理のプロセスを経た上で先生方の御判断を得なければならないというような性質のものなのにもかかわらず、事務局の方ではまだまだ十分実態とか、他の制度の問題が把握されていないということで、極めて抽象的な検討中というような記述で御容赦いただきたいと思います。
 適用除外の検討すべき主な項目ということでは、1つは公共の安全とか秩序といった公益上の必要がある場合は適用除外というのは各法制でも大体行われているところでございますが、なおその公益上とは一体何かというようなところをもっと詰める必要があるという意味で、その旨規定されているところでございます。
 2番目は、先ほど来くどいように、今回の法制では個人情報の内容、性質といったものは考慮していないというような説明の仕方をしておりますが、さはさりながら既に公知となっている情報については別途考えていいのではないかというような御意見も相当ございます。こういったものについては引き続き検討する必要があるのではないか。
 3番目は「別に法律の定めがある場合その他特別の理由がある場合」ということで、これは通例広範な一般法の場合は関係法令というのは非常に膨大なのですが、それを一つひとつ詰めていなければいかぬわけですが、ここのところが一番事務局の事前の整理という意味でも作業の遅れているところでございまして、むしろここで書いてございますのは問題意識としてこういう個別の調整をどうするかという重要な問題が引き続きありますということを記させていただいたという程度でございます。
 以上、長時間になって恐縮でございましたが、事務局からの御説明は一たん終了させていただきます。

【園部委員長】いろいろな質問等、疑問点についてはまた後から説明をいただくことにして、とりあえず事務局からの説明は以上ということにいたします。
 それでは次に、大変御苦労いただいた起草グループを代表して小早川委員長代理から今の説明に補足してコメントをお願いいたします。

【小早川委員長代理】この委員会でお示しいただいた方向をできるだけ具体化して、形としては最終的な大綱案の形に近づけたいということで、事務局ともども最大限の努力はしたわけですが、ごらんいただきましたようにまだまだ熟度といいますか、完成度はいまだしというところでございまして、これこれについて検討するという注書きが大変たくさんあるということはお気づきのとおりです。
 ただ、その中で大綱案としてどこまで確定しなきゃならないかという話がありまして、その後の法案化の段階に方向性だけ示して先送りしていいものももちろんあると思いますが、その辺の仕分けも今後この委員会で御検討いただきながら詰めていただきたいと存じております。それで、内容的には今、藤井さんから詳しい御説明がありましたのでダブってはまずいのですが、いただいた方向性を具体化する過程で従来の考え方を更に絞っていって、表現ぶりが変わってきたとか、そういったところがございますので、多少ダブりますけれども、2、3の点をもう一度指摘させていただきたいと思います。
 第1は「基本原則」のところなのですが、この本文の中に「個人の人格尊重の理念」、前は、理念はなくして基本原則に純化するということも言われていたのですが、たまたま「理念」という言葉がもう一度ここに復活することになりました。これは、やはり全体として一種の解釈原理みたいなものを出しておくことに意味がある。それは特に、個別の基本原則の中身にしろ、それから事業者の、今度は義務等ということになりましたが、その中身であれ、要件を抽象化せざるを得ないというようなこともあります。典型的な例は、取得の際の本人取得原則というようなものは、やはりそれはそのままでは書き切れないということになって、今回はそこは抽象化されています。しかし、そこに「適法かつ適正な取得」という言葉だけ残っていますけれども、そこは当然何を考慮すべきかということが大事なわけですので、その辺をこういう言葉を最初に掲げることで多少補えるのではないかという趣旨も入っております。
 それから、「基本原則」の条文のところで先ほど藤井さんからもありましたが「取扱いに努めなければならない」。注のところでは「自主的な努力を求める」という書き方をしております。これは単に空に浮かんだ基本原則ということではなくて、この基本法は一体何を定めているのかということをはっきりさせる。だれに何を求めているのかということを書かざるを得ないだろうというわけです。最初からありました自主規制なり自主的取り組みなりという言葉は、ほかのところではだんだん整理していくとなくなってしまうのですけれども、この基本原則は基本的にはそういう趣旨のものだということを改めて強調しておきたいということであります。ですから、「自主的な努力」というのが「基本原則」のレベルでも出てきますし、これは何人にとってもですが、それから個人情報取扱事業者についての義務規定とその担保の仕組みにおいても自主的な要素を重視するという、いわば自主努力の2段構えになっているということが1つです。
 それから事業者の義務等、これも御説明がありましたとおり義務の側面をはっきりさせるということを考えました。それで、その結果、この基本法制全体が、もちろん「基本原則」のところは基本法的なのですが、今の部分はむしろ一般法的な色彩をはっきり出すことになるかと思われます。ただ、それにしましてはその義務の法的性質はもちろん問題でして、民事法上の効果がどういうものであるのかということはあるのですが、そこはここでは余り触れない。余りといいますか、基本的に触れない。それで今、申しましたとおり自主的な努力でもってそれを実現していくような仕組みを整えるということなのです。ただ、義務を明示するということになりますと罰則をどうするかということがどうしてもシビアな問題になりますが、そこは申しわけありませんけれども、こういう罰則ではどうですかという具体的な御提案までいっていないところは御容赦いただきたいと思います。
 義務の中の一項目だけ取り上げますが、5ページの「公表等」でございます。ここは中間整理の段階とちょっと雰囲気が変わっているかとは思うのです。中間整理の段階ですとだれに対する公表かということは余り特定はされていなかったわけです。それで、とりようによっては潜在的な消費者、カスタマーまでも含め、広く一般に対して公表をする、それでもって透明性を確保するともとれたのですが、詰めていくうちに、これは事業者にとっての負担の問題もあるわけですけれども、仕組みとしては結局はそれぞれの個人情報の主体、本人との間での透明性ということに主眼を置くべきではないか、そこで本人への通知もしくはそれに代わる公表という基本線がとられているわけであります。その辺は、中間整理の段階とややニュアンスが異なっているのかもしれません。
 あとは適用範囲、そして適用除外の問題につきまして、これは起草グループでも相当議論はしましてそこでいろいろな意見が出ておりましたけれども、やはりこの問題は事柄の性質上、原案をお出ししてというよりは、先ほど御説明がありましたような形で問題を考える方向性の選択肢として考えられるものを並べて、それを御参考にしていただきながら本委員会で大所高所から御議論いただいた方がいいのではないか。そういうこともありまして、これも結論まで出さない形でお出ししたことをお許しいただきたいと思います。以上です。

【園部委員長】どうもありがとうございます。次に、起草グループにも時折というか、随分関与していただいたそうでございますが、堀部座長からコメントをお願いします。

【堀部座長】私は、全部の会議には出ることはできませんでしたので、部分的に意見を述べたに過ぎませんが、こういう形になったことについてはここまでよくまとまってきたと思います。
 私の場合、昨年の11月19日の「我が国における個人情報保護システムの在り方について(中間報告)」との関連で、この法制化専門委員会でどういう内容のものにしていただくかという観点からいろいろ意見も述べてきておりますが、中間報告の趣旨を大変よく踏まえてまとめていただいていると同時に、特に小早川代理が言われましたように、今日の案でいきますと4の「個人情報取扱事業者の義務等」というところが基本法制を踏まえつつもかなり一般法的なものになってきていると思います。昨年の中間報告の段階ですと基本法ということで緩いものがあり、それを全体のインフラと見るか、あるいはアンブレラと見て、その下で「行政機関の保有する電子計算機処理に係る個人情報の保護」について、それを見直すとか、個別法を3分野、信用情報、医療情報、電気通信分野、昨年の時点でほぼ関係省庁で考えていただいているようなものを具体的に例示しまして、また、「自主規制」という言葉を中間報告では使いましたが、ここでは「自主的な取り組み」で対応することを構想しました。
 一般法化することによって、もう少し考えてみないとわからないところがありますけれども、個別法というのをどう進めていくのかという点が問題になるかと思います。場合によるとこの4の「個人情報取扱事業者の義務等」でかなりの部分がカバーされますので、そうすると個別法というのはどのようにしていったらいいのかということをもう少し考えなければなりませんし、また関係者とも議論をしなければならないところですが、そういう点がどうなのかなということが1つあります。
 それから自主規制、自主的な取り組みというのは法律に何らかの根拠を持って自主的な取り組みをしてほしいということを入れるとしまして、自主的な取り組みというときにいろいろなイメージがあるわけですが、1つは事業者団体等できちんとガイドラインをつくって対応するということもありますけれども、アウトサイダーが非常に多いものですから、それが自主的な取り組みをするかということになると必ずしもそうではないのではないか。個人情報取扱事業者ということになれば、この規定が及ぶということになりますので、そこは非常に明確になると思いますが、他方で資料の1−2にあります他の利益といいましょうか、特に憲法で保障されている、ここでは表現、信教、学問等の自由権との関係がありますけれども、一般法化することによって、その適用の仕方によると自主規制の幅というのがかなり狭められてくるではないか。そうすると、ますますそこの調整をきちんと図らないと、ヒアリングなどで出てきている、あるいはその他の機会に出てきている意見などとの調整が難しくなるのかということがあります。
 全体として見ますと先ほど申しましたように個人情報保護検討部会の中間報告のうちの法制的な部分につきまして、ここまでこういう形でまとまってきたということは大変意味のあることであると考えています。

【園部委員長】どうもありがとうございました。それでは意見の交換に入りますが、3時半には休憩を取りますので、とりあえずは案文検討の1回目でございまして、1回目と言ってもあとはそんなに何回もないのでございますが、今日はそういう意味では非常に重要なのですけれども、全体を通してごらんいただいた上でまず政府の方は後回しにしまして制度の大枠と事業者に係る規律を中心に、御検討と言っても今から御検討をする十分な時間はここではございませんので、とりあえず御感想といいますか、アトランダムにおっしゃっていただいて結構でございますので、一応あと15分ほど、どなたからでも御自由に御発言ください。
 また、起草グループの方でなお補足したいという方がおられましたらどうぞ、それも御自由におっしゃってください。

【西谷委員】やや細かいことですが、「基本原則」のところの書き方で「努めなければならない」については小早川先生から解説もありましたが、次の章の特定事業者のところは「ねばならない」という義務となっていますから、つまり基本原則にかかわらず強くするという構造になっていると読めますね。つまり基本原則といいながら基本原則として徹底していない。
 基本原則なり理念は客観的にぽんと書いておいて、それを「努める」か「ねばならない」かというのは個別条文の問題である。つまり、概念的に言えば特定事業者については「ねばならない」でしょうし、それから行政機関でも多分「ねばならない」という構造でしょう。それから、その他の事業者ならば多分「努めなければならない」という構造として頭に置いてセットされているのだと思います。ですから、この「基本原則」のところにあえて何人も努めなければならないというようなことを書かなくても、1から5までを理念として、あるいは原則として客観的に書けばいいだけではないか。
 確かに普通の条文ですと、だれがという主語が要ることが多いのですけれども、しかし基本法では例えば土地は投機的取引の対象とされてはならないなどと、別に主語があるわけではないのですね。ある種の理念がぽっと規定されている構造ですから、元の案のように1から5が次のような原則であるよということだけうたえばよいのではなかろうか。つまり、「努める」と書いたお陰で、それと後の各主体との関係がやや不明確になってくるという気がいたしました。
 それから、事業者のところでは適正な管理のところだけが「努める」という努力義務になっているのでしたね。その説明がいるでしょう。
 それから、5ページの(4)「公表等」のところですが、(1)の利用目的制限のところでは契約等で取得する場合についてはこれを明示するというのがありましたね。ここも入れるべきものではないかと思うのです。つまり「開示」と絡むわけですけれども、契約に乗るものは乗せておいた方が、それは立証責任その他の面でその方が有利なわけですね。ですから、契約等で取得するときは明示しなさいと(1)のところで書いてあることと同様に、この「公表等」というのも結局は開示請求に必要な手続等を公表するという意味ですから、そのことは契約等で取得する場合においては明示すると、(1)と同じ構造をここに持ってくるのがよいのではないかと思います。
 それからもう一点だけ、「開示」「訂正等」のことですが、これはいわゆる請求権を規定したという形になっていると思います。つまり、しなければならない、開示しなければならないという義務の側で書いてあるわけですね。請求することができると書いてもよし、ねばらないということで書いてもよい。その責務の方でこれは書いてあるものですから、裁判所へ行ってもこれで通用するのだろうとは思いますが、字句にこだわるようですが、どうもみんな3つとも「申出」で統一しているのですが、御承知のとおり63年法あるいは住民基本台帳法では「請求」と「申出」とは使い分けているのです。「請求」というのはまさに必ずお答えしなければいけないものだし、「申出」というのは行政庁の職権発動の端緒になるだけの意思表示だという、何かの通知はしなければいけませんけれども、そのとおり直すかどうかということについては担保されていない。そういう言葉として使い分けているうちの後者の方の言葉で統一しているから、その語尾とちょっと合わないなと。一般論としては「請求」と言おうと「申出」と言おうと同じなので、語尾さえしっかりしていればいいとは思うのですが、しかし63年法など兄弟法を考えてみるとやはり使い分けを意識した方がいい。もしそうならば、ここは全部「請求」の方で統一してしまった方がイメージが近いのではないかという気がいたします。これはやや技術的な法制局的な問題ですから、ここで言うべきことかどうかもわかりませんが、とりあえず以上です。

【小早川委員長代理】起草グループから一々答弁を申し上げるのはいかがかと思いますが、そういう意味で第1点はまさに根本的な基本コンセプトの話ですので是非御議論いただければと思います。あとの点もそうなのですけれども、申し上げたいのは強いて言えば第2点です。確かに5ページの「公表等」のところは、先ほどもちょっと申しましたが、私の理解ではやや考え方が以前とは違ってきたのかなということがあります。そのいきさつがあるのか、「公表等」のところの文言がこれでいいのかなということを私自身も少し思っております。通知と公表というのは結局どういう関係なのかということなのです。利用目的は本来通知せよというのが(1)の意味なのですが、そちらの方も場合によっては本人に通知できないこともあって公表等で代替するという仕組みですが、そこは利用目的の話だけでして今、西谷委員がおっしゃったようにそのほかにも知らせるべき事項がたくさんあって、そちらの方が(4)のところなどに出てくるわけです。
 ですから、それも通知できればした方が確かにいいだろうと思うのです。ここの書き方ですと「通知する場合を除き、公表等をしなければならない」となっているのですけれども、心は多分おっしゃったようなことで、できれば通知せよ、それが無理ならばやはり公表せよと。しかし、それは利用目的についての書き方とはちょっと両者のバランスが違ってくるのかなという気がするのですけれども、確かにこの辺はもう少し整理が必要かと思います。

【西谷委員】私は通知のところというよりは、(1)で言えばイの「このうち」以下なんです。契約締結がある場合には契約の中でいわばその利用目的を明示しろと書いてあるならば、今度は開示の手続とか、5の方で言っているようなことも契約で明示してもいいではないか。だから、この後段をそっくり持ってきてもいいのではないかというような意味で申し上げたのです。

【小早川委員長代理】文言の上では、この案では「本人に通知する場合を除き」の通知の中に多分そういうケースが入っているのだろうと思うんですけれども、ちょっと表現は適切ではないかもしれません。

【園部委員長】「努めなければならない」ということと、その後の事業者の義務との関係ですが、私の理解では何か全体に網をかぶせるためには「努めなければならない」。ただ、そういう言葉を使うかどうかというのはまた別問題で、同じようなもので使っても使わなくても法律の最初のところに掲げてあれば、法の適用対象者としては法の趣旨の実現のために努力すべきだと受け取るのだとは思いますけれども、言葉遣いで、例えばこれは「国民」を外しておりますので、国民も含めてすべておよそ個人情報の保護というのは憲法上の大原則で、何人と言えども個人情報の保護に反対する人はいないわけなので、自分は個人情報は絶対保護しないということを言う人がいたとしたらそれはまた別だけれども、それはおよそ憲法に反するようなことをおっしゃっているわけで、それはまた別問題ですが、いずれにしてもそういうことをこの新しい技術革新の段階で、個人情報というのは法律の非常に重要な命題になったのだなということは非常に画期的なことでございますから、それは最初の条文のところに看板として打ち出される。
 ただし、具体的にどういうような網をかぶせていくかということは、これまた基本法でかぶせる部分と個別法でかぶせる部分とに分かれていくでしょうし、また後に問題になる資料1−2のいろいろな配慮というものでまた異なってくると私は理解しておりますが、この辺の法技術上の言葉遣いについてはなお検討の余地はあると思いますけれども、御意見があればどうぞおっしゃってください。

【上谷委員】この「基本原則」の部分は、私はこの原案で結構だと思います。西谷委員からお話のあったような見方もあるとは思いますけれども、今、委員長がおっしゃったとおり「基本原則」として掲げるところにこういうような形でまとめてしまう方が、中間案のように別に抜き出して国民の努力義務ということを書くよりもよほどすっきりしていると思いますので、この案で私は異論はありません。今、話題になったところに焦点を当てて申し上げました。細かい話はいろいろありますけれども…。

【園部委員長】資料1−2の問題は休憩後にいたしますので、これは一応外しまして、資料1−1の関係でなお全体の問題として何かありましたらどうぞ。

【上谷委員】はなはだ細かいことなのですけれども、前にも予告したのですが今言っておかないと時間がなくなりそうですから、言っておきます。
 基本理念でも何でもない、定義規定の文章が気に食わないという、ごく細かい話です。「当該個人を識別できるもの」という、この「当該個人」というのは何とかなりませんかということです。これは個人情報保護法からそのまま採っておられる言葉なのですね。前の方の「当該情報」は日本語としておかしくないけれども、後ろの「当該個人」というのはおかしいと思います。「当該」という言葉の使い方です。個人に関する「情報」という言葉が先にあって、「当該」情報というのは、言ってみれば前にある「情報」が、英語で言えば先行詞みたいな形になっている場合に使う言葉ですよね。ところが、後ろの「当該個人」というのは、そのいわば先行詞に当たる、「個人」という言葉が前にないのです。ないものだから使い方としてはおかしいので、もし言うのならば、「特定の個人を識別できるもの」とすべきだと思います。
 誠に細かい話で、現にある法律ができが悪いということになりますが、やはりおかしいと思います。どこかで言いますよと前に予告していましたから、基本理念とははなはだ隔たるくだらない話ですみません。こんなときにでも言っておかないと、大事な議論になったらまた忘れますから。

【西谷委員】政府の措置のところは休憩後ですね。

【園部委員長】そうです。これは私の単なる感想ですが、「個人情報取扱事業者」という言葉が何だか、もちろん定義は書いてありますので私はそれでいいと思いますが、一般の人が受ける印象というのは、いかにも個人情報を取り扱って商売をしている人とどうしても受け止める可能性がある。そうすると、名簿の業者とか、そういうものだけが頭に浮かんできて、自分のところは個人情報取扱事業じゃないと理解されては困るのですが、「又は特定事業者」とありますが、これはこちらでもいいという意味ですか。そういう趣旨でしょうか。

【藤井室長】2つの名前が挙がっていましたので、どちらかという感じになるわけですが、もっといい名前があれば、それはまた御論議でということでございます。
 ただ、悩ましいのはもともと保有者概念がありましたけれども、その保有者概念はプロセッシングの方が最近主流ということで、そのプロセッシングの延長線で「処理」から「取扱い」になって、何とかその「取扱い」という言葉を入れたような形での主体を表す名前でいいものがないかという中で、とりあえずはこういう2つのものを掲げてあるというところでございますので、何かもっと的確な名前があればお決めいただければと思います。

【園部委員長】それでは、とりあえず休憩に入りましょう。その間にまたお考えをおまとめいただきまして、3時45分から再開いたします。

(午後3時30分休憩)
(午後3時45分再開)

【園部委員長】それでは、時間になりましたので再開します。5時までで終わりたいと思います。これは議論を続けていますと6時でも7時でもとなりますので、とにかく5時までやれる範囲でいろいろ御意見を承ります。
 先ほどは事業者のところまででしたが、政府の措置、地方公共団体との関係、国との地方との関係、それから罰則、それと資料の1−2の「報道、宗教、学術等分野との調整について」、正直なところ、これはどんどん先送りになってとうとうはみ出して、こちらの最終大綱案からもはみ出すことも中にはあるかもしれませんけれども、大綱ですからそういう意味では非常に大綱的に全部含めておいた方がいいのではないかという感じもしないではありません。その点は余り細かく議論をして先送りにしてしまうよりは、なるべく大綱の中に入れ込むけれども細かい問題は先送りの点もあるということで御了解いただきたいと思います。
 まず資料の1−1について一通り御意見を承って、その上で1−2に入るという順序にいたしましょう。どなたからでも御自由に御発言ください。

【藤原委員】1点だけ、若干細かい字句なのですが、紛れがないようにということで今のうちに申し上げておきます。
 7ページの「訂正等」のところですけれども、この3行目で起草グループの心は一緒なのですが、「申出の内容が正当と認めるとき」は一応より客観的に言葉を選んで「認められる」という方がよろしいのではないかと思いますので、念のために申し上げておきます。
 次のページのところも同じでございます。8ページの「認められるときは」と。以上です。

【園部委員長】それでは、8ページの(7)の3行目、「申出の内容が正当と認められるとき」と。

【堀部座長】その場合、主語はどれになるのですか。この原案ですと、個人情報取扱事業者が認めるときはとなるわけですか。今の藤原さんのだと、「認められるときは」というのは。

【藤原委員】判断が客観的であるということがよりわかるという意味なのですが。もちろんこれの方が親委員会としてより適切であるというのならばこれでも結構ですが。

【高芝委員】補足をよろしいでしょうか。私も藤原委員と同意見なのですが、「認めるときは」となりますと主語が座長の言われるように個人情報取扱事業者が認めるときはということで、正当かどうかの判断として事業者がアンパイアになるということになるわけですけれども、そうではなくて申出の内容が正当かどうか客観的にという意味で、最終的には裁判所でということになるのかもしれないんですが、正当と認められるかどうかという方がよりよいのではないかという意見だと思います。

【園部委員長】ただ、ここは主語は「事業者は」となっていますからそこのところは微妙なのですけれども、もちろん最終的に客観的に正当と認められればということなのでしょうが、これはどんどん争われていって事業者としては正当と認められたという客観的状況になった場合はという意味ですか。

【遠山委員】事業者が行う内容というのは適切な措置を講ずるというところで言っていますから、正当と認められるというのはもうちょっと客観的にという御意見かと思いますが。

【堀部座長】それは客観的な方がいいと思いますけれども、どの道、第一次的には事業者が判断することになります。よく同じ人が何回も来たりするので、外国の立法例でもアット・リーズナブル・インターバルというようなことで一定の合理的な期間を置いて来てほしいという決め方をしています。申出の内容となると自己の情報の内容になるのでしょうが、全体を個人情報データベースと言っていますから、かなりデータベース化されて検索可能なものが対象となります。よく挙げる例では、学習指導要録の開示請求なり訂正請求なりがあったときにそれはどのようになるのか。
 「申出の内容」というのは、それを見たいということなのですかね。例えば学習指導要録の所見欄を含めて開示してほしいというとき、自治体ですと評価とか診断の場合はむしろ不開示情報として開示しないというような言い方をすることがあるのですが、ここではその後に、本人または他人の生命、財産その他の利益を開示するおそれがある場合とか、正当な利益を害するおそれがある場合、これを除くとすると、この場合には正当でないということになるのですか。

【上谷委員】関連して。今問題にされている藤原委員や高芝委員の御意見はこういうことでしょう。事業者が、「あなたの内容は正当とは私は認めませんよ」と言ってしまったらもうそれで勝負がついてしまうというのではおかしいということですね。だから、その判断自体も客観的に正しい判断でないと困るというニュアンスを出してほしいという御趣旨なのです。私もその方がいいと思います。
 もう一つ、私は関連して大事なことだと思うので、ここで質問を兼ねてお伺いしておきたいのですが、この「開示」「訂正等」それぞれに関連してきます。例えば今、座長から例が出ましたように、学校の評価事項であるとか、お医者さんの診断に関する判断事項であるとか、そういうものが「開示」のところには「正当云々」という形では入っていなくて、この注の中の「個人情報取扱事業者の正当な利益を害するおそれがある場合、又は業務の適正な実施に支障を及ぼすおそれがある場合」という除外規定を置いており、(6)でもこれと全く同じような除外規定を置かなければいけないということになっていますが、ここに書かれている「個人情報取扱事業者の正当な利益を害するおそれがある場合」、あるいは「業務の適正な実施に支障を及ぼすおそれがある場合」という中に、例えば今のような評価情報のようなものが入っている趣旨かどうか。あるいは、先ほどの正当かどうかということの中にそういうようなものが入っている趣旨なのかどうか、質問を兼ねて伺っておきたい。
 といいますのは、これは除外規定を認めるかどうかということにも大きく関連してくるわけですね。そういう要望が各界からございましたので、例えば教育上の評価の問題、あるいはお医者さんの判断の問題、あるいはそういうものでなくても本人の純粋な客観的事実ではなくて何らかの人の評価が加わっているようなもの、例えば倒産したというのでも地方裁判所で破産宣告を受けたというのは全く客観的事実でしょうし、あるいは民事再生法の再生開始決定があったと、これは客観的な情報と言えると思いますけれども、例えば信用情報でどうもあそこは最近事業が行き詰まっているらしくて危険であるとかという評価になってきますと客観的事実かどうかわからない。そういうものがきっとボーダーラインに出てくると思いますので、そういうものを含めているのかどうかということをお聞きしておきたいのです。

【藤井室長】お答えいたしますが、これは先ほどの冒頭の御説明のところでも申し上げましたが、開示義務という法律上の義務になると、当然どこまで開示するかというのは裁判規範としても耐え得るものではなければいかぬというようなことになりますが、冒頭に申し上げました、この※にしている趣旨は例示だと申し上げましたが、御指摘の問題意識そのものでございまして、完全に全部網羅しているということではないものですから注記しているということです。したがいまして、Aの正当な利益とか業務の適正な実施という表現の仕方も、今の段階でそれこそ常識で考えてこういったものはというようなことで書いている程度でございまして、教育上の観点から、あるいは医療上の観点からの適否みたいなものが、普通は適正な実施で読めるのだろうとは思うのですが、精査したものではありません。
 それから、これも先ほどの御説明で1−2の2枚目の紙で自信なさそうに率直に吐露をしたところでございますけれども、特に3番目の「別に法律の定めがある場合その他特別の理由がある場合」というものについてはやはり相当広範に精査しないと、どういうものがあるかというのは今の段階で即断することは危険だというような感じがありまして、ここはむしろまず事務局である程度網羅的に精査する必要がある。必要であればこれは各省庁にも紹介して、今回初めてこういうような考え方を出すものですから、何か問題があればむしろ教えていただくというようなプロセスも必要かというぐらいに考えているところでございます。お答えになったかどうかはあれですが。

【上谷委員】わかりました。そういう状況を前提にして、私も1週間考えさせてください。

【園部委員長】どうぞ、遠山委員。

【遠山委員】休憩前に言うべきことだったのかもしれませんけれども、この全体の素案を出していただいたことに対して心から敬意を表したいと思います。非常にすっきりした形で枠組みができたと思います。
 上谷委員がおっしゃったように、やはり「基本原則」のところで何人も努めなければならないということで、すべての人がこういう基本原則にのっとって現代の情報社会といいますか、個人情報の取扱いに留意すべしというのは非常にわかりやすいと思います。
 それから、個人情報取扱事業者がどの程度の人たち、どの程度の活動をとらえるのかというところがポイントだと思います。それで、今後別の資料にのっとって更にディティールを検討されるときに、その概念というのがもう少しわかっていると議論しやすいと思います。今の時代になりますとほとんどの事業者ないし組織というものがデータベースを用いたり、個人情報を用いているという点では、2ページの「定義」のところにあります「一定のもの」というのは大体どういうことを考えておられたのか。そこのところがわかりますと、全体に今後の議論がしやすいと思います。それで、これは法律で定めようとしているのか、あるいは法律ではもちろん非常に書きにくいのであれば時代の変遷に応じて改定できるように、もっと下位の法体系で書くべきものかと思います。その辺のことと、それからまた御議論の中で出てまいりました事業者のとらえ方についてお教えいただければと思います。

【小早川委員長代理】これは、最終的に法律にどこまで書くかというのが立法技術的には一つ大きな問題だと思うのです。結局ずっといくと罰則につながるかもしれないということがありまして、そうなりますと余り政令に投げてしまうのはということが一方でありますが、しかし他方で、では実際どう書けばいいかというのは大変難しい話です。これは前から議論になっていますとおり、分散型のデータベース利用形態がだんだん多くなっているということも踏まえて考えるといろいろな切り方があるのですが、事業者全体としてどれだけの量の個人情報を扱っているかということでいくのか。それとも、定義でいいますと(3)の「個人情報データベース等」という、この個々のデータベースの単位というものを考えて、その大きさでもって切るかですね。それからまた、大きさで切ると言っても何人の情報が入っているかというのは時によってどんどん変わるわけでして、そこでそれをうまくつかまえられるかということなので大変難しい。そのくらいしか私は申し上げられないのですが、感じとしては、相当の事業者はこれに入ってもいいのではないか。そういう前提でよほど零細な、たまたま大福帳の代わりにパソコンを使っていますよというぐらいの人を例外的に除くような、そういう切り方になるのかなと。

【園部委員長】藤井審議官、何かございますか。

【藤井室長】特にございませんが、あえて繰り返しみたいな感じになるのかもしれませんけれども申し上げるならば、この個人情報取扱事業者の概念自体はやはり4.の規制をかけなければいけない対象範囲はどうなのかというようなことで、多分こういう問題が出てきたのはIT社会というものが今まさに到来しようとしている段階における個人情報の、いわば社会から見たら危険性を防ぐという観点だろうと思いますので、今、代理からもありましたけれども、ポイントとしてはやはり大量性とか、コンピュータ等による検索の容易性とか、あるいはネットワークを通じたような情報の流通とか、そういうようなところがやはり一番危険になってきているわけで、これは技術的な話ということでお聞きいただきたいのですが、のぞき方としては小早川代理がおっしゃったように、1つはコンピュータのデータでいくのか、コンピュータの処理能力でいくのか、そういう規模で切るという考え方もありますし、あるいはネガティブリスト的にこういうようなものは問題ないのではないかということで、例えば自家用に使っているようなものはある程度危険性がないということであれば、個人の方が自分のために使っているというようなところで、インターネットを使うことによる危険性みたいなものがあれば、これまたインターネットの規制法というのは難しい問題がありますので、そちらの方からのアプローチというものにゆだねるとしても、ここでのターゲットはやはり基本的に企業におけるような顧客情報とか、消費動向調査みたいないろいろな個人の属性、情報を企業が大量に持って、それを使わなければいかぬという時代になってきているというところを中心に、技術的にもどういう切り方があるのかというのを私どもとしても検討させていただければと思っております。
 切り方としては最終的には政令にゆだねる部分は残るとしても、できるだけ法律とか、この大綱案でその趣旨みたいなものは明記しておいていただければ、それはそれでまた可能な余地もあると思います。

【園部委員長】堀部座長、どうぞ。

【堀部座長】個人情報保護検討部会の方の今まで出ている意見との関係で言いますと、一方では個人情報の保護、他方でその利用という、そのバランスをどうとるかということが問題となります。
 この前、委員長、委員長代理に出ていただきましたが、例えば子どもから集めるのをどこで読むのか、こういう話になってくるのです。子どもから情報を集めるのは名簿業者のような、しかもコンピュータを使わない例があります。実際にあるのは、子どものところへ電話をし、何か名簿があったら見せてほしい、幾ら小遣いをあげるからということで呼び出し、コンビニに行ってコピーを取って5,000 円をやるというようなことです。子どもの方はこんなことで5,000 円もらえるならありがたいというのでそれに応じるようです。それから、インターネットを子どもがどんどん使って情報が蓄積されてしまう、これをどうするのか。こういうことが検討部会の方で問題になっていました。「基本原則」で「何人も」ですからそれで対応できるかもしれませんが、4の方でそういうものを含めるのか。ターゲットをどこまでにするのかということになってくると思うのです。
 一方では、高度情報通信社会ということの理念からすれば情報通信技術、ITとの関係でということになると非常に狭くなります。その辺をどのようにするのか。そういう問題もあります。

【園部委員長】西谷委員、どうぞ。

【西谷委員】若干別のことで、政府の措置です。これで基本的には誤りはないし、いいと思います。別法だと、内容はこうだと。ただ、若干欲を言えば、政府の措置というのはどういう精神で臨むのかというのが出る方が好ましい。そして、その場合には民間の情報取扱いと比べて政府の場合はどういう特色があるのかということを抽出できれば、それを書くということによって定性的な特色が出てくると思うのです。
 仮にですが、2つあるだろう。1つは、やはり政府の集める情報というのは法令に基づいて任意の契約で一般の民間がやっているような形と違って、基本的には法令に基づいて取るという形なのですね。ある法令に基づく仕事をするためにやむを得ずといいますか、当然に入ってくるという性格であることが1つです。これは民間と違うところでしょう。もう一つは、やはり政府の公的部門が持っている情報というのは、個人の権利利益に与える影響が民間の場合より大きいという要素がひとつあるのだと私は思うのです。それで、2つ大きくそういうことであるから、それに対応したような内容としろと書けば、それはある意味で思想が基本法として出てくるわけです。
 そして前者、政府の仕事の特性という意味で言えば法令に基づいて最小限たるべしというのが1つです。それから2つは、政府として一元的管理が必要だということです。つまり、総務庁に全部ファイルを集めてどうこうとか、現行法63年法が持っているようなものはそこからきているということがあると思いますから、@第1に法令に基づく特性がまさに法令に基づいて最小限たること。A第2に一元管理を要すること。それから、影響力が大きいという第2の方というのは、これも幾つかに分節できると思いますが、@まず保有ファイルについては徹底したディスクロージャーを図る必要がある。影響が大きいものなのですから、当然ディスクロージャーを優先して行わなければならない。決定しなければならない。それから、A厳格な守秘義務というものが伴わなければならない。Bそれから、開示、訂正については充実したものでなければならない。それから、C苦情あるいは不服という点についても充実した手続といいますか、システムを持っていなければならないというような系が導かれる。
 この系の部分は厳密に私自身、詰めたわけではなくて、63年法を見ればそういう構造にほぼなっているが、今のような充実とか、厳密とかという部分に照らして改善をしていくという要素は当然ある。法文的に言えば、第1はこれこれの事務の性質にかんがみこれこれするとして構成することであり、第2の方は持っている情報が非常に影響が大きいことにかんがみこれこれするというようにすれば、多少は第5章が4章と違う一つのものだというところが鮮明に出るのではないか。その方がいいのではないかという気がしますけれども、出されている内容について根本的な異議があるわけではないです。この4点でいいのかもしれないですが、それをうまく説明づける形に法文を持っていった方がいいのではないかという気がします。以上です。

【園部委員長】1つ私からのお願いなのですが、事業者の具体的な、例えばいろいろな業界があると思うのだけれども、まだイメージがわかないのです。今までいろいろ名簿業者だとか何だとかとありましたが、例えば法律事務所とか、いろいろ士業をやっている弁理士とか、税理士とか、100 人も200 人も会計事務所などは大変の数のものを扱って、そしてそれぞれがみんなデータを持っている。そうするとそれが大量になるのか。1人が事務所を開いて、私のところなどは1人で何の情報もないからこういうのは全くかからないと思うけれども、アメリカみたいに3,000 人、5,000 人というような弁護士を抱えているところは当然データ情報処理というのをやっているわけです。そういうものは人数でいくのか、情報量でいくのか、これも一つ大きな問題でして、一体どういうところにかぶるのか。大体の業界、例えばデータバンクなどというのはまさに名前を付けちゃっているけれども、人事興信所などというのはまさにそのとおりで、そういうものはひとつ典型的に挙げられのですが、典型的に挙げられないものでかぶりそうなところというのは一体どこなのだろうか、ちょっとわかりにくい。
 それで、従来問題になっていた利益代表の方が出てきておられるのは大体見当がつくのですが、それ以外に何もおっしゃらないけれども自分のところにかぶったら困るなと思っているところもあるかもしれない。そういうイメージがわかない面もありますので、その点が大量に扱うということの一つのメルクマールとして、こういう場合もありますよというのがあれば是非挙げておいていただきたいと思います。それによってだんだんとイメージがわいてくるのではないかと思います。

【堀部座長】そこは外国でも問題になりまして、なかなか情報の量とか規模で切るというのは難しいですね。コンピュータ処理、それを少し広げたマニュアルを含めても検索可能なもので対象を絞るとか、そのようにするというようなこともありますね。少なくともこれが法律の規定になった場合には、一定のものについてどのようにそれを規定するかにもよると思います。このデータベースというのもどのように定義するかによって違ってくると思うのですが、著作権法でいうデータベースのようにとらえるのか、何らかの形でファイリングしているものはどうするのか。
 それから、この議論をするときによく問題になるのは、事業者である場合は従業員の氏名を含めると個人情報をすべて扱っているということになります。今、労働省でも、労働者の個人情報の保護をどうするのか、ガイドラインをつくっていますけれども、一方では前から言っていますようにILOとの関係でつくらなければならないという側面と、この個人情報保護法制化専門委員会の動きを見ていてそれとどう調整するのかということが議論になっています。労働者の個人情報については、基本原則は全部に適用になりますから小規模なところはそれで対応していければよいともいえますし、その辺はどこで線引きするのかということを改めて考えてみますと難しい問題があると思います。

【藤井室長】委員長がおっしゃっていたイメージということの流れで言えば、IT社会における企業の個人情報はどういう扱われ方をするかというところの一つのイメージということで御説明申し上げたいのですけれども、今、企業は特に販売とか営業関係は直接顧客とやりとりするものですから、顧客に対する物品とかサービスを販売するときに、その顧客がどういうようなものを買ったとか、どういう趣味趣向があるかとか、そういうようなもののデータがとれるのですが、従来であればそれを放置していたのですけれども、コンピュータ社会になりますとある程度申込みをすれば自動的にそれが記録されていく。そういう情報が、実は企業の経営においての在庫管理とか、経営の効率化とか、あるいは経営の方向性を決める非常に重要な情報になっていって、それがまさにIT技術の利用の大きなメリットになっているというところです。
 ですから、主として大きな企業とか、あるいはチェーン店みたいなものは特にそのような情報を活用していかなければいかぬという状況下が、IT社会における一つの主流の分野ということでイメージされると思うのですが、それプラスアルファその周辺にそれに近いものが入ってくるということで、弁護士なども一つのいわばサービス業みたいなものですから、これが大型の弁護士事務所になると相当、それも一つの顧客ですけれども、情報がたまると、あるいは弁護士の経営方針というのはあるのかどうか知りませんが、いろいろほかの面での活用というものが考えられていくということになるとやはり対象になってくる可能性があると思います。
 それプラス、従来個人情報でいろいろな問題が指摘されておりましたが、そこはまさにここでの御論議で、1つは一般法的な部分でどこまで範囲に考えていただくか。それとも、個別法にはどこまでゆだねるか。仮に個別法にゆだねるにしても、少なくともやってほしいものが何かあればそれを整理するとか、そういうような一つの議論の仕方があるのかなという気がしております。

【園部委員長】それでは時間がだんだんたちますので、一応一通りということもございますし、今日御議論いただけなかったことはもちろんこの次に回しますが、資料の1−2の「報道、宗教、学術等分野との調整について」も含めて、時間まで忌憚のない御意見をこの段階で承っておきたいと思います。
 その前に、この@ABCについて起草グループでまとまらなかったから4つ並べられたのか、それとも知恵を出して4つ出されたのか、そこのところはよくわからないのですが、客観的にこういう4つがあり得るということであるとすると少し何か補足して、具体的に言うとどういう点が問題でどういう点がどうだと。先ほど藤井審議官もおっしゃっていましたけれども、これは@が一番緩くてCが一番厳しい。@ABCと段階があるわけですが、ただしどれにもいろいろ難点があってなかなか決めかねる面もあるようですが、どうぞ起草グループの方も含めてどんどん御意見をおっしゃっていただきたいと思います。

【高橋委員】ここでの議論の流れから言うと、まず全面的に除くことは最後の考えで、そうではない形でできるかどうか考えてみようということだと思うので、@はとりあえず括弧に入れるとすると、Aを考えてみると、例えば報道機関を頭に置いて考える場合、目的から除外するという必要はないだろう。それから、「基本原則」も非常に抽象的なものであり、報道機関の利益は十分読み込む形で理解できると思いますから、私の理解する限りでは「基本原則」から除外する必要があるということにはならないではないか。
 一番大きな問題は4.のところで、Aで考えていくとすると4.の除外ということが一番焦点になるかなという気がいたします。ただ、それにしても「基本原則」は除かないとするとAのペーパーでは出ていないのですが、やはり主務官庁の関与というのはそれで出てくるのだろうと思うのです。Aの場合はそういうことになるかと思います。
 それに対してBの場合は4.の個々の原則について必要な除外規定を考えておくということで、私は今日ざっと見ただけでまだ精読していないのではっきりしたことは言えないのですけれども、幾つか※等で除外規定が考えられている。それで見ていくと、大体報道機関の方々がヒアリングで主張されていたようなことはカバーされるのではないか。抽象的な規定ですからその保障はないというような問題はあるかもしれませんけれども、通常の読み方をすればそういった利益というのは大体カバーされているのではないか。まだ細かいところまで詰めていませんからわからないですが、そんな印象を受けました。ですから、Bでも可能性はあるなと。
 ただ、この場合も主務官庁の関与というのは出てくるということになります。それで、主務官庁の関与というのは何かというと、11ページのところで、これは恐らくコンプレイントがあって、報道機関の方でもいろいろ自主的な解決方法を考えておられるわけですからそういったところで解決される。それで、できなかった場合に裁判所に行く前に主務大臣のところへ来るということになるかと思うのですけれども、その場合に報告を求める。それで助言、改善の指示をするということで、これは調査と言っても強制力は何もない非常に弱いものだろうと思います。
 そうは言っても、国とメディアの場合はほとんど強制力という、事実上の強制力がどのくらいかというのは私もわからないところがあるのですけれども、非常に小さなものだろうという気がするのですが、放送の場合は免許の更新との関連で意味を持ってくるかどうかということがあるのかもしれないという気がするのです。そこら辺の点をどの程度考えなければいけないのか。今、即座に頭は回らないのですけれども、またそこは非常に重要だということであれば、一つの考え方としては主務大臣の関与に当たっては表現の自由等に配慮しなければいけないというような注意規定を入れるということもあり得るのかもしれない。あるいは、そういうことを入れてしまうと逆の意味でかなり関与してもいいと読まれるという危惧もあるのかもしれませんけれども、とりあえずそんな感想を持ちました。

【園部委員長】そうすると、どちらかというと高橋委員はBの可能性が高いわけですか。

【高橋委員】そうですね。主務官庁という点ではAもBも変わりないかなと。もちろん「基本原則」も外してしまうということであれば……。
 でも、「基本原則」まで外してしまうならば@でいった方がすっきりするかなという感じなのですけれども、@ではない可能性を追及するとすれば、私はBがかなり可能性はあると。ただし、主務大臣との関連をどうするかというのを多少議論しないといけないかなということです。

【堀部座長】意見ではなく、先ほど藤井室長が言われたことと関連して、高度情報通信社会、あるいはIT革命との関わりで顧客情報ということになってきますと、個人情報取扱事業者というの非常に狭くなって、ここに挙がっているようなものはほとんど入ってこなくなるような気もします。そうすると全面的に適用はない、あるいは「基本原則」のところのみ適用があり、その対象が何なのかが問題となります。
 それから、主務大臣という場合に新聞の場合には今はないですね。雑誌もない、出版もないというような場合にそこをどうするのか。紙の関係で通産省という話もありますけれども、社団法人日本新聞協会はたしか文部省が主務官庁であったと思いますが、それは社団法人としての日本新聞協会でして、各新聞社はほとんど株式会社です。もっとも、共同通信社は社団法人ですが、これらはどう扱うのか。今話を伺っていて、なかなか難しいと思いました。とりあえず印象だけ申し上げます。

【上谷委員】私はAでできると本当はわかりやすいと思うのですけれども、結論的に私は今、全体をながめてみたところでは、やはりBではないかなという感じがします。といいますのは、例えばCを考えてみますと個人情報取扱事業者の義務、これを全部除外で抜いてしまうかどうかということになりますね。その中でも当たり前のことを書いてあるところがあるのです。

【園部委員長】先ほどCとおっしゃいましたがAですね。

【上谷委員】失礼しました、4.です。テクニックとしては、私は最終的にはBでまとめざるを得ないのではないかと考えます。Aでまとめるとすると、仮にこの意見をとるとしますと、例えば第4章に当たる4.のところ、「個人情報取扱事業者の義務等」の中にも、例えば今まで除外を望んでおられる方々にとってこれをかぶせられたらたまったものではないというものもあると同時に、例えばいつでも最新の情報で正確にしておきなさいというのは、だれでも守るべき当たり前の原則です。そんなものは適用除外する必要はないだろうという気もします。そういうことで章ごとでやるというのはなかなか難しいかなと思います。それから、例えば3.の「基本原則」を見てみましても、「基本原則」の冒頭に書いてある前文は「何人も」と、当然私はどんな人でも守ってほしい、この原則に従ってやってほしいということですけれども「利用目的による制限」、(1)(2)(3)(4)(5)とある、この中で点検してみますと、例えば「内容の正確性の確保」だとか、(2)の「適正な方法による取得」というのはどの人であっても情報は違法に集めてもらっては困るということは、報道機関であろうが医療機関であろうが同じことだと思うのです。
 ところが、「利用目的が明確にされるとともに」ということになってきますと、これはものによってはできないものが出てくるだろうし、それから「透明性の確保」などでも特に後段の方で適切な当該個人による適切な関与が認められるということで、「適切な」で外していくのだというのならば別ですけれども、例えば報道機関に対して情報源を知らせろなどという話になると、恐らくこれは適用除外しなければいけないだろうと思いますので、この「基本原則」の中でも適用除外を希望しておられる方のおっしゃるのはもっともなものと、それから、そうでないものがあります。例えばだれでも適法かつ適正に情報を集めてもらわなければならないというのは当たり前のことです。こんなものを外す必要はないというのが出てきますので、章ごとに省くのはなかなか難しいかなという感じがします。
 理想的にはCだろうと思います。だけど、これは現実には私は書けないのではないかという感じがします。来週までもう少しよく考えてみますけれども、見通しとしては私はそういう感じがします。
 それからほかのことですが、皆さんまだ御発言なさっていませんので「罰則」について申し上げておきます。これは大変難しいことですけれども、やはり、非常に悪質な個人情報の処理をする者については何らかの罰則は是非設けてほしいという気がしますし、そういう要望も結構ありました。それは、私ももっともだと思います。当面、私が考えていますのは、第三者提供にまつわるような不正な情報の処理です。ただし、これもあらゆる個人情報について何でもかんでも全部罰則というわけには恐らくいかぬだろうという気がします。やはり個人の秘密に関わるようなものを違法に第三者に提供したとか、何も事業者だけではなくても、事業者でない末端個人でも、何らかの形で個人情報を盗み出して、それをだれかに提供する場合などが考えられます。そのようなものに限ってでないと罰則を設けるのは難しいと思います。現実の議論としては、そのようなものに限定していくしかないと思いますけれども、何らかの形で、それぐらいは作っておいてほしいという気がします。
 もちろん、個別の法律ですと業界単位ごとにいろいろ作れますでしょうし、それからその使用方法毎につくっていけますから、もっと詳しい罰則がつくりやすくなると思います。今考えているのは一般法ですから、罰則が作りにくいという御議論はよくわかりますし、今までの議論の中でも、ヒアリングの中でも、そういう技術的な難しさをおっしゃる点は私ももっともだと思います。ですから、ぎりぎりのところに絞って、各個別の法律では対処し得ない、さりとて刑法からも漏れてしまうというか、要するに紙一枚の窃盗でしか処理できないようなものになってしまうような分野に関しては、非常に悪質なものに何か罰則を設けてほしいな、という気がします。
 犯罪構成要件の概念としては、ややあいまいなところが伴ってまいりますので、単純な書き方と比べてみて、いい条文は作りにくいとは思います。しかし、現実にいろいろな法律の中で守秘義務違反を罰する規定というのが現実にあるわけですから、「秘密」を要件に書けないはずはないと思います。
 2つの面からの絞りを考えてください。1つは、個人情報の内容から絞っていく必要がある。それは恐らく守秘義務違反等で、もし国家公務員ならば当然罰せられるような、そういう秘密事項に関する情報の提供であるという面で、絞っていかなければいかんでしょう。それから、手段の悪質性を何らかの形で絞る必要があるかもしれないということです。秘密ということでくくれるかどうかということですが、秘密というのは犯罪構成要件の概念としてはややあいまいなところが伴ってまいりますので、解りやすい条文はつくりにくいとは思います。しかし、いろいろな法律の中で守秘義務違反を罰する規定というのが現実にあるわけですから、秘密というものを犯罪構成要件とすることができないわけではないということですから、情報の内容面で一つ絞るのと、別に手段の悪質性で一つ絞るのと、両面作戦です。必ずしも個人情報取扱事業者に限らず、その従業員がやることもありますし、第三者が情報検索で集めてきた情報を提供するという事態も考えられますから、主体は事業者ではなくて一般の個人としたい。繰り返しになりますが、情報の内容と、それから手段の悪質性にかなり限定を加えた上で、何らかの罰則を置いてほしいというのが私の意見です。

【園部委員長】この罰則の構成要件の書き方は非常に難しい面もありますから、上谷委員、この際何か原案めいたものをつくってもらえませんか。もう時間がないものですから、ひとつ考えておいてください。

【上谷委員】考えてみますので、事務局も知恵を貸してください。

【園部委員長】小早川委員、どうぞ。

【小早川委員長代理】それは是非上谷先生にお願いしたいのですが、今おっしゃられたような構想ですと、従来からヒアリングで特に産業界辺りが実は希望しているのは、多分、従業員が職務上の横領背任みたいな形で、必ずしも秘密ではないかもしれないけれども集積すれば経済的価値があるものを、自分の利益のために使う。産業界からは、それが一番あったと思うのですけれども、それは可罰性が余りないと。

【上谷委員】非常に書きにくいと思います。法務省のヒアリングのときにも御意見がございましたとおり、やはり保護法益というものが罰則とバランスがとれていなければいけないということがありましたので、単純にそれが個人の情報であって、その操作は本来本人の権利として自由にできるべきものだという、それだけの保護法益で重い罰則を科するというのは恐らく難しいだろうと私は思います。したがって、今おっしゃったような経済界の要望のあるのはよくわかりますけれども、特にそういうものが集積していってというような形になりますと構成要件としては書きにくいのではないかなという気がします。それは小早川委員にお考えいただけませんか。

【小早川委員長代理】ただ、金になるということは、要するに保護に値する経済的価値がそこにあるのですよね。ですから、単純に考えればそれは一種の窃盗と同じ社会現象ではないかとも思うのですけれども。

【堀部座長】そうであれば電気通信事業者の個人情報、電話番号とか住所とか氏名とか、これも場合によると公開されている情報です。それを盗むという言葉は変ですが、何らかの形で知って他人に知らせると何千円とか何万円とか、場合によると10万とか15万にもなると聞いています。その需要と供給のバランスで1件当たりがそうなるのです。そういう行為をどうするのかという問題も出てくるのです。この辺になると高度情報通信社会の問題ではなくなってくるのですが、どうでしょうか。

【上谷委員】両委員のおっしゃることは誠にごもっともでして、書きたいのですけれども自信がないということです。

【藤原委員】今の上谷委員の御発言は内容として守秘性、秘密性ということを言われているのですけれども、個人情報の分野等で言いますと、例えば周知になっていない個人データを無権限で云々というのは外国法に時々出てくるのですが、そういう一般的な書き方の方が書きやすいのではないかという。

【上谷委員】そこまで含めて書いて、果たしてこの前、法務省がおっしゃっていたような保護法益と刑罰のバランスがとれているかという議論を乗り越えていけるかという、その心配があるのです。

【藤原委員】もちろん後ろは絞りますけれども、経済界が要望されているように大量蓄積の大量というよりは今の守秘性から書いていくアプローチの方がということです。

【上谷委員】ただ、それもたまたま公開されていないだけの話であって、別に秘密とまで言って保護しなければいけないものかどうかという問題は別にあるような気がします。

【園部委員長】高芝委員、どうぞ。

【高芝委員】先ほどの適用除外との関係で、行政庁との関与の点が議論になっていて、それが資料としては1−1の11ページの「主務大臣の指示等」というところに関連してくると思うのですけれども、ここについて、これは「必要があると認めるときは」という要件があるわけなのですが、これの理解としては先ほどの藤井さんの御説明だと、苦情相談を端緒としてこちらに来る話になることがあるだろうということなのですが、個々の申出を個別解決処理をするという趣旨では当然ないと思われますので、この「必要があると認める」というのは個別案件の処理ではなく、それはどちらかというと裁判所の職責ということになるわけでしょうから公益侵害というのでしょうか、類似の被害者というのでしょうか、困る方が多数出る可能性がある場合の公益侵害性を要件としているとここは読んでよろしいのかなと思ったのですが、いかがでしょうか。

【藤井室長】私がお答えするような話ではないのかもしれませんけれども、一般論としておっしゃったように、行政権が直接民間の企業に関与するというのは、やはり行政目的というか、公益的な目的があって初めて許されることなのだろうと思います。個々の苦情が本当に個々の民間の紛争である段階だけでは、どちらかというと家庭内の話に入るようなことですからあってはいけないのだろうと思います。したがいまして、その後の措置として指導なり改善を促すという場合も、ある程度行政目的から見て適当でないというような場合と、具体的に言えばやはり社会問題化しているような場合は行政関与の可能性が出てくると思います。
 ただ、それはそれとして、苦情処理というものが行政も一つのサービスとして非常に緩やかな形であれば、個々の苦情があった場合は普通は断らずにいろいろ照会したり、行政介入ということに至らない範囲での対応は既にやっているということで、別にそれ自体権力的でなければ許されるということも言えるかと思いますので、むしろこの規定の直接の適用ということではなくて、こういう規定があればそういう場合でもある程度非常にソフトな形ですけれども、実際は情報提供というような形なのかもしれませんが、対応をする可能性はあると思います。

【園部委員長】今日はまだ議論になっていませんが、苦情処理機関の問題がございまして、これは個人情報取扱事業者の中にどこまで入れるかという問題とも関連するのですが、できるだけ自主規制でいくという方向になってきたと思います。私の個人的な見解では、第三者的な行政委員会を国または地方のレベルでつくり上げるというのが理想ですけれども、今の状況ではなかなかそこまでいかない。
 同時にまた、そういう外的な規制よりも自主的な規制という方向へいくことも望ましいことですが、そうするとすべての業者がそういう苦情処理機関というものを何らかの形でつくり上げるという努力をされるかどうかにもかかってくるので、それをきちんとつくられることによって初めて、それではどうぞとそこで苦情処理をして、更に問題があれば裁判所に持っていくという形になります。それで、この個人情報保護法基本法が全部外れてしまいますと、そういう自主的な苦情処理機関をつくるという努力もなかなかされないということになって、言ってみれば野放し状態になる。これもまた困ったことでございますから、そういう点ではやはりそういう苦情処理機関を自主的な規制の中に入れ込んだという、この基本的な考え方の中で今の適用除外の問題も考えていく必要があるかなと、私が拝見しておりましてそういう感想を持ちました。
 いろいろな問題が絡み合っておりますので、今の適用除外については簡単に1がいい、2がいいということはなかなか難しいと思いますけれども、なお今日初めてこの委員会だけでなくほかの傍聴者の方もそれをごらんになっているわけですから、ひとつこの意のあるところを十分にくんでいただいて、やはりみんなで考えていくという姿勢をあえて傍聴しておられる方にも望んでおきたいと思っております。そうしないといい法律ができません。最初からもうだめと言っているのではどうにも仕方がありませんので、そこのところを十分検討されて、なおまだ時間もございますので、来週どういう形に変わっていくのかもまだわかりませんし、何とか再来週までに形をつけていきたいと思います。
 時間になりましたので、一応ここで今日の検討会は終わらせていただきます。そこで、来週までにお気づきの点がありましたら適宜事務局まで御連絡をいただきますようにお願いをいたします。また、事務局の方では各委員からの御指摘がございましたので、本日の議論の結果を整理の上で必要な修正を加えて、次回改めて案文を提出するようにお願いをしたい。
 それでは次回の会合は9月14日、来週は金曜日ではなくて木曜日でございます。午後2時から5時まで、この5階の特別会議室で開催をいたします。次回の会合では、最終報告案についての2回目の議論を行ってまいりたいと存じます。
 それでは、本日はどうもありがとうございました。