配付資料

「個人情報保護基本法制に関する大綱案(中間整理)」に対する
パブリックコメントの概要(未定稿)




1 目的

○ 基本法制としては、公的分野と民間分野とでは個人情報を収集等する目的等が全く異なるため、公的分野を対象とする立法と民間分野を対象とする立法の二本立てとし、個人が自己情報を管理しうるように、それぞれにおいて個人の権利を具体的に保障すべき。

○ 個人情報の保護のあり方を考える際には、保護と利用を対立的に捉えるのではなく、個人情報の内容及び利用の形態・程度と個人情報の保護措置の内容・水準との間のバランスについて十分に考慮すべき。この観点からすると、目的は、「個人の権利利益を適切に保護することにより、適切な利用を促す」といった表現が妥当。

○ 基本法においては、高度情報通信社会における個人情報保護の思想・理念を明確に示し、法規制領域と自主規制領域の範囲のあり方、法規制領域における基本法と個別法の役割分担のあり方など、我が国の個人情報保護システムの基本構造を明確に示すべき。

○ 大綱案は、「個人情報の保護の必要性」に偏り、「個人情報の利用面等の有用性」とのバランスを欠いているが、高度情報通信社会における自由な情報流通の重要性をふまえ、「保護の必要性」と「利用面等の有用性」との適切なバランスを図る必要。

○ グローバルなネットワーク社会における個人情報の流通問題では、一国の法規制では限界があることから、基本法においては、民間による国境を越えた自主的取組の必要性と役割、責任を重視すべき。

○ 豊かな国民生活の実現に向け求められる高度情報社会の構築には、個人の権利利益を保護することと、良質なサービス提供に向けた情報の適正な利用とのバランスを十分考慮することが必要。

○ 諸外国と比較して制度的枠組みが十分に確立していない我が国では、基本法により基本原則を定めることは、個人情報保護に対する意識と実効性を高める有効な一つの解決策と考えるが、基本法による規制は必要最小限に留め、民間の自主的な取組みを十分に尊重、促進する枠組みの構築が必要。また、情報経済のグローバル性を前提に、諸外国の制度との整合性を確保することが必要。

○ 個人情報保護システムの法制化に当たっては、事業者の個人情報保護に関する自主的な規制の実態を踏まえ、個人情報保護に関するルールが利用とのバランスにおいて過大なものとならないようにすべき。

○ 大綱案では「利用面等の有用性」については実際上ほとんど触れられていないのは大変残念。国際的にも、「保護」と「利用」あるいは「流通」との調和を図ることが最大の課題になっている点を重視していただきたい。

○ 基本法が、公的機関及び民間事業者を対象とした法なのか、民間事業者を主たる対象とした法なのか、その位置づけを明確にすべき。

○ 大綱案は、事業者の個人情報の取扱い・利用のために比重がかかっていると考えられるため、個人情報の保護、人格の尊重の理念に比重を置いた基本法制を望む。

○ 基本法は、個人情報の保護とかかる情報の利用による新たなビジネス展開の促進の双方を十分に考慮した上で制定されるべき。情報の管理に対する過度の規制は、新ビジネスの展開の抑制や規制の遵守の為の大きなコストにつながることに留意。

○ 情報が入手された国のみならず、他の国でも利用されることがあり得るため、主要な経済規模の国々においては情報保護に関する一定のレベル・基準が担保されていることが重要。他方で、過度に厳しい規制は、国際的で公正な競争市場の形成の促進にマイナスであるということにも考慮が払われるべき。

○ 政府による介入は、過度な事前規制は避け、モニタリング及び事後的な処罰に限られるべき。基本法に定められる原則に従い、多くは企業及び業界団体の自主的な規制及び決定に委ねられるべき。

○ 個人情報は事業者にとって貴重な経営資源であるとともに、個人情報の自由な流通が高度情報社会において益々重要になるとの観点を踏まえた利用面の有用性について、保護の必要性とのバランスから考慮願いたい。

○ 顧客の利便性及び事業活動の効率性・円滑性の観点等について配慮いただき、顧客・事業者に過度な負担を強いることによって多大な支障を来すことのないよう、国内外の慣行にも留意しつつ、慎重に検討願いたい。特に、本邦の企業が国際競争力の観点から不当なハンディを負うことのないよう配慮願いたい。

○ 基本法においては、自主規制に盛り込むべき内容を示唆し、各事業者のコンプライアンスの確立を促進させるとともに、ディスクロージャーの充実を通じて市場規律の機能を発揮させることを念頭に置いていただきたい。

○ 目的において、「基本法において定める規制は、報道の自由など憲法の保障する表現の自由、学術研究の自由、さらには国民の参政権を確実にするための知る権利などを侵すものではないこと」、「これらの権利に関わる活動については、基本法の対象外とすること」を明示すべき。

○ 民間部門の個人情報の保護は、法による網羅的、広域的かつ実効性のある保護対策が不可欠との観点から、個別法による具体的規制はもとより、基本法において、あらゆる部門を対象に罰則を含む具体的な規制を盛り込むことにより、実効性のある内容とする必要。

○ 基本法で個人情報保護の保護法益をすべてカバーすることは不可能。基本法においては、必要最低限のルールを定め、個々の法益については、侵害された場合に被害がより深刻なものにつき、個別に法制度を整備するという二段階とすることが望ましい。

○ 大綱案においては、「権利利益」の内容、法的位置付けが明らかでなく、何を指しているのか判らない。このため、具体的な事例に即した「個人の権利利益を侵害するおそれの無いことが明らかな場合」の判断・認定に際し、混乱が起きる可能性がある。

○ 個人情報の処理について、基本的事項が法律により明確にされることは、会社と消費者個人の間の信頼性を生む基礎となり、双方にとって有益。

○ 規制緩和の時代ではあるが、法制化にあたっては規制強化となることも止むを得ない。デジタル化された個人情報は、容易に漏洩されるので、オンラインでの送信では暗号技術の義務づけなども考慮される必要。

2 定義

○ 用語や対象範囲等の各定義は、簡潔であり、かつ柔軟性が確保されるべき。例えばOECDガイドラインなど、国際的にコンセンサスの得られた定義を採用すべき。

(1) 個人情報

○ 検討部会中間報告では、保護されるべき「個人情報の定義」について明確に示されておらず、死亡者の取扱いや匿名化した情報などの取扱いが明らかではない。また、「識別可能」について明確な定義が必要。「データマッチングできる情報」も比較的容易にマッチングできるものと限定された人間のみがマッチングできるものに大別することができ、この両者を同様に取り扱うことが適当であるのか否かの検討は充分に行われるべき。

○ 一般に、事業者の保有する個人情報には、マニュアル処理ファイル上にあるものと電子計算機処理ファイル上にあるものがあり、その性質、取扱方法等は同一ではないため、法制化にあたっては、両者を同一に規定化して取り扱わないよう配慮していただきたい。

○ 「マニュアル処理のうち検索可能な状態で保有されている」とは具体的にどういうものか、範囲を明確化する必要。また、マニュアル情報の管理には限界があリ、個人情報の開示などに的確に対応することは困難。

○ 保護されるべき個人情報の要件として秘密性を必要とすることを明確にすべき。秘密性のない情報にまで保護義務が課された場合には、不当に過大な義務が課されることになる。

○ 現在の「個人情報」の定義では、幅広い対象範囲になると考えられるが、ハイリーセンシティブ情報などの考え方についても明確にすべき。逆に、情報主体にとって受忍限度内であり、かつ、収集目的に合理性がある場合についてまで厳格に原則を適用させ、経済合理性を損なわないよう、対象範囲に含まれないものの範囲を明確にすべき。

○ 「評価情報」や「内部管理情報」は、基本法における個人情報には馴染まない。仮にこれが基本法の対象に含まれるとしても、公表・開示・訂正等の対象には含めないこととすべき。

○ 本法制の企図する「個人情報の保護」は、具体的には、情報を提供した覚えのない事業者に、本人の知らない間に自分の個人情報が入手されており、それが当該事業者の営業に利用されているという実態を是正するためということであれば、営業外の「内部管理情報」や「評価情報」は対象外としていただきたい。

○ マニュアル処理の情報は、時間と労力をかければ大半は「検索可能な状態で保有されているもの」に該当し、結局はすべての個人情報が対象となるため、「容易に検索できる個人情報(データベースとして処理されているもの)」に限定していただきたい。

○ 個人情報の範囲については、保護の必要性と利用面等の有用性のバランスを十分考慮し、運用面やコスト面で非現実的な管理とならないよう、企業実務の実態に即した管理の範囲に限定すべき。

○ 昨今、定型・大量処理される個人情報のほぼ全てが「電算機処理」されている実態を考慮すれば、「電算機処理されている個人情報」と定義しても、個人情報保護の目的達成に支障を来すことはない。これに「検索可能なマニュアル処理の情報」を加える場合、定義の境界について疑義を生じる余地が大きくなり、さらに「検索可能か否かの判断を行う主体を誰にするか」という新たな問題を生じる。また、従業員が私的目的のために収集した個人情報については、事業者としての対応ができない場合があることに留意する必要。

○ 現在の「個人情報」の定義は非常に広範であり、個人に関わるおよそすべての情報が対象となりうるが、事業体は組織体として個人情報を管理するものであることから、EU指令のように、事業者が組織的に管理しているものを対象とすることが妥当。

○ 基本法としての性格から、対象となる個人情報は一般的に規定する必要がある一方で、予見可能性からは、法の対象範囲を明確にしておくことが必要。一方、事業者が遵守すべき事項の対象となる情報があまりに広範囲になると、結果として遵守が事実上不可能になりかねない。

○ 「個人情報」は、企業が組織的に管理している情報に限られるよう、より詳細に定義される必要。現在の定義では、企業に存在する情報であれば、例えば販売員によって入手されたマニュアル情報で当該企業のデータベースに蓄積されない情報などまで含んでしまうおそれがある。

○ 個人情報の定義においては、統合的・統計的な意味においてのみ使用される個人の識別が不可能な情報(「非個人化情報」)は含まないようにすべき。非個人化情報は顧客・個人のプライバシーには影響しないが、企業が顧客情報の統計分析を試みるためには重要。このような「統合整理された」情報は、米国公正信用報告法(Fair Credit Reporting Act)等の法律により規制されている顧客信用報告における定義からも除外されている。

○ 「個人情報」の範囲は、コンピューターネットワーク社会の進展による個人データの保護という本来の目的との整合性を失しないため、無制限に拡大しないよう明確に規定しておくべき。「マニュアル処理された情報」を対象に含めれば、公開を目的としない情報も規制の対象となるおそれがあり、慎重な検討が必要。

○ 「個人情報」の範囲が曖昧であり、差別につながる情報であっても規制対象外となるのかといった点について明確な整理が必要。

○ 事業者が混乱しないよう、「個人情報」の定義を明確化していただきたい。個人に対する評価といった主観情報については、一概に個人情報とはいえないと考えられるが、これが対象となる個人情報か否かについて明確にしていただきたい。

○ 「個人の識別が可能」の「識別」とはいかなる状態を指すのか、また誰によって識別が可能なことをいうのかについて明確にしていただきたい。また、個人情報の「取得」の定義をすべき。

○ 基本法においては、「個人情報」を「個人を識別しうる情報を含む」と定義しているが、医学・研究分野では「個人識別情報」と一般的な「個人情報」を分けて定義しており、用語の整合性を保つ努力が必要。

○ 顧客等だけでなく、労働者の個人情報保護を視野に入れているかを明確にすべき。

(2) 個人情報の処理等

(3) 事業者

○ 民間分野における個人情報保護の必要性が、情報主体本人のコントロールが及ばない状態で個人情報の流通・蓄積・利用等が行われるという現実から生じたものであることから、高度情報化に適応した手法で個人情報を取り扱っている事業者のみを対象とすれば必要かつ充分であり、大綱案の定義は広きに失して不当。したがって、「事業者」の定義は、「国、地方公共団体及びこれらに準ずる一定の者以外の、事業を営む者であって、当該事業の遂行について、個人情報ファイルによる方法で、不特定多数の個人についての個人情報を蓄積するもの」とすべき。

○ 個人情報保護システムは、保護と利用が調和すべき関係にあることが前提条件として考えられ、一定レベルの保護措置は基本法制下において必要と思われるため、十分な保護措置の向上を図る上でも、「事業者」の適用範囲を明確にすべき。

○ 「個人情報の処理等を行う」事業者をすべて一括りに捉えるのは問題。

3 基本原則

○ 情報化の進展により、従来の業種、業態の枠組みを越えたサービスの提供や、連結経営におけるリスク回避のための情報共有・共用が可能になっている。基本原則の適用にあたっては、過度の規制によりこのようなメリットを減殺しないよう配慮いただきたい。

○ 基本原則においては、検討部会中間報告で示された「個人情報保護のために確立すべき原則」の考え方が十分反映されていない。また、基本法においては、OECD8原則やEU指令との整合性を図るべき。

(1) 利用目的による制限

○ 「利用目的の明確化には、利用目的が変更された場合の明確化を含む」とされているが、さらに進めて、「利用目的の変更は原則として認められず、もし変更する場合には当該個人の同意を必要とする」とすべき。

○ 第三者に対する目的外の提供については原則禁止とした上で、禁止では不都合な事例がどの程度あるのかを具体的に検討し、あくまで例外として示すべき。

○ 現時点では明確な利用目的はないが、将来の商品開発等の参考にするため個人情報を収集するという場合もあり得るため、利用目的の明確化については、個別具体的なものでなく、「ある程度包括的な表現も可」とする必要。

○ 利用目的の制限の検討にあたっては、今後、従来に増して業種・業態を超えた企業形態や企業活動が活発化することを考慮していただきたい。特に、企業の新規事業や100%出資子会社の企業活動について、企業業績の向上や危機管理の観点から、目的外利用の許されるケースとその際に必要な措置等についての検討が必要。

○ 利用目的の制限については、情報化のメリットに配慮した範囲であるべき。例えば、「従来の業種・業態の枠組みを超えたサービス」等が考えられ、こうしたことを著しく損なわない範囲で適用されるべき。

○ 個人情報の利用目的の変更はあってはならず、また、個人情報の第三者に対する目的外の提供は禁止すべき。

(2) 内容の正確性の確保

(3) 適正な方法による取得

○ 原則として、本人から取得する以外の取得は、人権侵害の起こる可能性を残すものであることから禁止すべき。

(4) 安全保護措置の実施

(5) 透明性の確保

○ 個人のプライバシー権の権利確保と事業者の個人情報保護義務の関係から、個人が自己の情報の取扱い状況を把握しうる可能性、及び必要な関与をしうる可能性が確保される策として、「開示請求権」、「訂正・削除請求権」を具体的かつ明確に個人の権利として明記すべき。抽象的権利として法制化された場合、地方公共団体や紛争解決機関と事業者間または個人間において、個人の主観に基づく権利確保を主張されることが懸念される。

○ 本人から開示を請求された場合には、いかなる理由があっても不開示とすることはあってはならない。

4 政府の措置及び施策

(1) 既存法令の見直し等

○ 公的分野について、情報主体たる個人の各権利を具体的に保障する立法を速やかに行うべき。

○ 各省庁が制定することとなる個別法は基本法を超える保護の程度/範囲を定めてはならないことを、基本法において明確にすべき。

○ 政府の保有する個人情報の保護の扱いに関しては、明確に期限を定めて早期に法律を定めるよう明記すべき。

○ 既存法令の見直しや方針の策定については、極力業界の自主ルールに委ねることを基本とし、各業界・業種の実情等を踏まえた弾力的な対応が可能となるようなものとしていただきたい。

○ 多くの関係機関、関係者を含む複雑なシステムのもとで実施されている事業の場合、政府、事業者、地方自治体のそれぞれ別個に措置や遵守するべき事項が示されると、その取扱いに不合理な差が生じ、結果としてデータの収集や利用に支障をきたす。

○ 原則的には基本法において十分な個人情報保護を図るべきであり、特別な法制上の措置については、基本法のみでは十分な保護が図られないことの根拠を明確にした上で、その対象となる個人情報の分野について検討を行うべき。

○ 「別に定める」とされている法律をどのようなものとするかについては「既存法令を見直す」と記すのみでまったくの白紙の状態。政府等公的機関が保有する個人情報は、公権力によって個人の意思にかかわりなく収集されるものであるから、民間情報以上に明確な規定が必要。

○ 既存法令の見直しの方向性が明確でない。既存の「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」では、個人情報の範囲や目的外利用などにおいて行政機関の判断や運用に任されている面があるほか、本人からの訂正権も、行政が保持している情報が判らないために行使しようがないというのが実態。今後、政府や自治体が遵守すべき事項について、より明確な内容を提示すべき。

○ 公的部門においても人権認識に大きな格差があり、公的部門における個人情報保護のあり方が検討されるべき。

○ 「別に法律で定める」こととされている政府の保有する個人情報に対する措置は基本法とできるだけ同時であることが望ましい。

○ 「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」は収集された個人情報に関して規定しているが、個人情報の収集のあり方について規定を持たないため、見直しに当たっては、収集、特に第三者からの収集を可とすることについても規定すべき。

(2) 独立行政法人等に対する措置

(3) 個人情報の保護の推進に関する方針の策定

○ 政府による方針の策定により、個人情報保護の適切かつ円滑な取り組みや各省庁および地方公共団体による施策の総合的・一体的な運用を図る上で有効であると考えるが、過度の規制や監督機関の重複などによる混乱が生じないよう、配慮して頂きたい。

○ 銀行界では、従来より自主的に個人信用情報の利用及び保護の体制整備を行っており、基本的に各業界の実情に応じた自主ルール等に委ねることが望ましい。

○ 政府は、民間の自主規制の促進、事業者および個人の意識向上に継続的に取り組むべき。「個人情報の保護に促進に関する方針」はこのような観点から策定されるべきで、詳細な規定や義務づけにより事業者の自主性を拘束するものであってはならない。

(4) 支援、周知等の施策の実施

(5) 苦情等の処理

○ 業界により苦情等は様々であると考えられることから、政府が直接受け付けるのではなく、業界ごとに窓口を設けて対応すべき。

○ 業界によってはすでに相談窓口等を設置しているものもあるため、極力それらを活用するようにした方が、より実態にあった対応が可能。

○ 苦情等の処理に政府機関が関与する仕組みを設けるとしても、まず当該事業者自身、簡易な第三者機関による苦情処理を先行させるべき。政府機関を第一の苦情申立先にすることは、当該政府機関はもとより、事業者、個人にとっても、事務処理、時間、コストが大きくなると想定される。また、救済措置は、賠償ではなく、情報の訂正や謝罪といった実際的で迅速な方策がより重要。苦情処理プロセスは、申立人、事業者の双方にとって簡便でコスト効果の高いものであるべき。

○ 苦情等の処理にあたって政府が行うことのできる「必要な調査」については、これが濫用されることのないように、発動要件や手続きを明確かつ厳格に定めるべき。

○ 民間事業者の個人情報の扱いをめぐる苦情などの対応は、事業者や業界団体の自主的なルールに基づく処理、民間の自律的機関や第三者的機関による処理を基本とすべき。政府による苦情の受付け、調査、処理は、政府の民間分野に対する規制や介入が強まるおそれがあり問題が大きい。

○ 住民からの苦情・紛争処理の窓口については、事業者及び住民が混乱しないよう、自治体以外の中立的な第三者機関に一元化した対応をとるようにしていただきたい。

5 事業者が遵守すべき事項

○ 「基本原則に沿って、自主的に必要な措置を講じる」とされ、(注)で「法的強制の程度について規律毎に引き続き検討」とされているが、これについては、義務規定として立法化することを基本とすべき。

○ 個人情報収集の際の当該個人への説明と合意形成について、「具体的な利用目的の通知等を行う」や「個人情報の処理などに関する事項について、容易に閲覧可能な方法により公表」とされているが、この程度では不十分。「個人情報の処理などに関する事項」とされている事項については、情報収集時に当該個人に説明し合意を得ておくべき。

○ 事業者が遵守すべき事項として列挙されている項目は、内容が漠然としているため、事業者としては何をどこまですればいいのかわからない。別途、具体的かつ明確な指針が示されるべき。

○ 企業により収集される情報のタイプ・性質は業界によって大幅に異なるため、業界団体等で定められた基準に従って情報処理に関するガイドラインを採用することが、より効果的。

○ 「中間整理」において「事業者は、基本原則に沿って、自主的に必要な措置を講ずるものとすること」とされているように、ルールの実施にあたっては、民間の自主的な取り組みを原則とすべき。

○ 民間事業者の活動に対する規制は、人権侵害など重大な権利の侵害から個人を守るために特別な法律の定めがある場合を除いて、事業者や業界団体の自主的な規制やガイドラインなどによって行うべき。

○ 個人情報の取扱いについては、法的強制による規制強化よりも、業界等の自主的な取組みに主眼をおき、個々の事業者がこれら自己規律を遵守することにより、保護の実効性を発揮することが重要。

(1) 利用目的による制限

○ 利用目的以外の利用の場合、情報の利用に際して本人の同意を得ることが盛り込まれるべき。これに例外を認める場合、拡大解釈が行われないよう厳格な要件とすべき。また、十分な説明を行わず、形式的な同意を取り付けることによって、利用目的以外の利用禁止を潜脱するおそれがあり、同意の要件についても記載されるべき。

○ 「第三者」や「目的外」は取り組む事業によってその範囲が全く異なる可能性があることを想定した上でこれらの制限について規定する必要。

○ 事業者が個人情報を目的外に利用することは、原則として禁止され、その適用除外事項は厳格に制限されなければならない。

○ 情報サービス事業者等がユーザ企業等から預託された個人情報についてまで本人に「通知」を要することは、高度情報通信社会の進展を妨げるもの。

○ 生命保険契約は非常に長期間にわたるものであり、また、企業形態の合理化等の動きも活発になることが考えられるため、あらかじめ通知すべき利用目的の範囲や第三者への提供については包括的同意を認め、また包括的同意と矛盾しない目的での情報利用については利用目的の範囲内とする等、柔軟な解釈等を可能とすることが必要。

○ 利用目的の明確化について、「容易に理解できる程度に明確にする」では、かなり限定された範囲での目的ということに解釈され、柔軟な企業活動に支障が生じるおそれがあると考えられるため、利用目的については、「顧客が個人の権利利益を侵害するおそれについて自身で判断できる程度に明確にする」といったルールが妥当。

○ 業界により利用目的の具体性が異なるため、利用目的の明確化や通知の方法等については、業界の実情に応じて自主ルール等で定められるようにすべき。

○ 利用目的の明確化については、包括的な表現も可能としていただきたい。また、通知等については、事業者側の負担を考慮し、例えば店頭ポスターの掲示やパンフレットの備付け等で許容されるものとしていただきたい。

○ 個人情報の利用目的の明確化は当然支持されるべきであるが、利用目的の記載の詳細の程度については十分検討が必要であり、利用目的の合理的な範囲内での変更や拡張については、ある程度認められるべき。

○ 損保会社では、保険契約者に関わる個人情報のみならず、契約当事者と異なる被保険者や保険金受取人等の情報について、保険契約者を通じて取得し、利用している。これらすべての関係者に対する通知等は実務的に対応困難であり、また、契約締結時には被保険者が特定できない場合もあるため、通知等の対象は個人情報の取得先に限定していただきたい。

○ 損保会社は、事故発生時の損害調査に当たって、事故の被害者を含む多数の関係者の情報を取り扱うことが不可欠。すべての関係者に対する通知等は、事故という緊急時に実務的に困難を極めるとともに、迅速・円滑な保険金支払い等に重大な支障を来す。

○ 利用目的の通知等については、事業者に膨大なコストを課すことにならないよう、必要最小限のガイドライン等を検討願いたい。また、「個人情報の処理等に関する事項の公表」で代替して、内容変更の際に通知等を行う等の軽減の方策を併せて検討願いたい。

○ 利用目的の具体化については、企業組織の多様化や事業の多角化を踏まえ、@一定程度、将来の変更可能性を包括的に容認するものであること、A通知等の必要がない変更を規定し、予見可能性を高めること、について考慮願いたい。

○ 個人情報に関わる利益を保護するため、利用目的による制限や第三者への提供について規律が設けられることが必要。その前提として「明確化された目的」が必要とされるが、目的が明示されていない場合でも、収集時の態様等に鑑み合理的と考えられる範囲については、利用・提供ができるものとすべき。また、同意を得たことの証拠が確保しにくい場合(口頭での同意など)にも、合理的な取扱いが認められるべき。

○ 「個人情報の処理等に当たっては、・・・、具体的な利用目的の通知等を行うこと。」とあるが、「情報の取得に先立って」、「情報の取得の際」など、何時の時点で行うか明確にすべき。また、一定の時間経過後には本人の所在がつかめない場合もあり、利用目的変更後の通知等については、容易に閲覧可能な方法による公表も可とすべき。法施行以前に取得した個人情報についても同様。

○ 事業者に対して、より明確に、必要以上の個人情報の収集・保持の自制の努力義務を課すべき。情報の保有量が増え、保持期間が長くなれば、それだけ情報の漏洩等の危険が増大する。

○ 悪意の保険契約者を排除し、善良な保険契約者及び広く社会の利益を守るため、個人情報の利用目的に適合した弾力性(緩和措置)に配慮することが必要。

(2) 第三者への提供

○ 経営の多角化による分社化が盛んに行われている状況において、グループ企業内での個人情報の利用が第三者に対する提供にあたるか否か明確にすべき。

○ 「個人の権利利益を侵害するおそれのないことが明らかな場合等を除き、本人の同意を得て行うこと」とあるが、調査業は、基本的に「極秘」であることが契約の前提で、対象者の同意を得ることは不可能であるため、調査業は対象外としていただきたい。

○ 企業グループ内における個人情報の利用は、利用者利便の向上の観点から必要な措置であると考えられることから、純粋な第三者に提供するよりも弾力的な取扱いを認めるべき。

○ 個人情報の第三者への提供はあってはならず、基本原則を貫く意味で、「個人の権利利益を侵害するおそれがないことが明らかな場合を除き」を削除すべき。

○ 「個人の権利利益を侵害するおそれがないことが明らかな場合等」とは、どのような場合が対象となるのかが不明瞭。

○ 官公庁等からの要請に対して任意協力として情報提供する場合、その提供の可否の判断基準の明確化を検討していただきたい。また、官公庁等が事業者に対して行う個人情報の開示要請については、原則として文書による旨の明示を検討していただきたい。

○ 法令等により第三者から個人情報の提供要請(協力依頼)がある場合、または法令等により第三者に対する個人情報の提供が義務づけられる場合については、本人の同意を要しないと明確に解釈できるような法文とすることを要望。

○ 個人は自己の個人情報を収集される際に、第三者への提供の可能性についてあらかじめ知らされ、この提供についてオプトアウトの機会が与えられるべき。また、第三者への目的外の提供についても、当該個人にオプトアウトの機会が与えられ、また、かかる第三者への提供にあたってはオプトイン等の手段により当該個人の同意を得るべき。

○ 個人情報を提供する際に第三者との情報共有についてする顧客の同意に関しては、いわゆる"opt out"の原則が考慮されるべき。かかる同意方式については相手先企業の提携先のビジネスについて、更なる情報を得ようとする顧客・個人の利益にも合致し、かつ価値ある情報のビジネス上合理的な範囲での利用促進にもつながる。

○ 同一のビジネス・グループ内の企業は「第三者」とみなされるべきではない。第三者性の厳格な解釈は、企業合併・買収及び分社化傾向が顕著なこれからの日本において、合理的な情報共有の阻害要因となる。

○ 損害保険は犯罪や反社会的な行為に利用される可能性があるため、モラルリスクの防止・排除は、損保事業の健全な運営に不可欠。そのための手段としての損保会社間の情報交換制度に代表されるような、社会的正義・犯罪防止等や公共の利益に資する場合については、本人の同意取得の適用除外としていただきたい。

○ 保険金支払いに係る損害調査においては、保険事故の有無責判断や損害額把握のために、調査機関、鑑定事務所、弁護士等社外の専門家に個人情報を提供することが多いが、すべてについて本人の同意を取得することは、迅速・適正な保険金支払いに多大な支障を来す。

○ 損保事業においては、保険募集や事故対応等の際に、通常、保険代理店が介在しており、保険会社・保険代理店間の情報提供は不可欠。委託契約に基づく代理人については、本人と代理人の間の行為は一体のものとみなして、第三者に該当しないよう配慮願いたい。

○ 同意の取得方法については、黙示の同意を含むなど、顧客・事業者に過度な負担を強いることのないよう留意願いたい。

○ 蓄積、入手した情報の第三者への提供は原則禁止とすべき。警察官や弁護士等の特定業種の職権で知り得た情報もその直接目的のみの利用とすべき。

○ 「第三者への提供」の「除く」場合として、「適正な方法による取得」と同様、「その他個人情報の性質、取得の際の状況等に照らし第三者から取得することが必要かつ合理的と認められる場合」を加えるべき。

○ 個人情報保護の法制化にあたっては、医療や公衆衛生上、必要と認められる場合には、同意を第三者への情報提供における絶対的条件にしないという例外規定を設けることを検討していただきたい。

(3) 内容の正確性の確保

○ 一般に契約期間が長期にわたる生命保険契約において必要となる個人情報のアップデートは契約にかかる権利関係に影響を与えることが多く、また顧客数も極めて多いため、顧客からの通知によらず保険会社独自の調査で個人情報を修正することは困難。したがって、企業としては、情報を最新化する方法を用意し、情報主体が正確・最新の情報確保に協力するように周知する等の必要な措置を講ずることで足りると考える。

○ 金融業界など一定の業界の事業者が保有する個人情報は膨大であり、事業者側に積極的に内容の正確性を保たせることは現実的に困難。基本的には、個人からの申し出に基づいて可能な限り正確な内容の維持に努めるという形にとどめていただきたい。

(4) 適正な方法による取得

○ 個人情報を第三者から取得した場合の本人への通知が盛り込まれるべき。これに例外を認める場合、拡大解釈が行われないよう厳格な要件とすべき。また、未成年者から個人情報を取得する場合の措置が盛り込まれるべき。

○ 生命保険の場合、不正請求目的での加入申込みの排除等のために、本人以外からの個人情報の取得が必要となる場合があるが、その場合は「第三者から取得することが必要かつ合理的と認められる場合」に相当すると考える。また、例えば、従業員に関する情報を契約者たる団体を通じて入手することが不可欠である企業保険についても同様。

○ 個人情報を有する第三者が情報主体と経済的信用面において一体といえる関係にある場合については、「第三者から取得することが必要かつ合理的であると認められる」と考えられるので、適用除外としていただきたい。

○ 「第三者から情報を取得することが必要かつ合理的と認められる場合」の具体的事例については、業界ごとに個人情報の利用形態が異なることを踏まえ、基本法で一律に定めるのではなく業界の自主ルールに委ねることとしていただきたい。

○ 保険契約締結の際に、保険契約者と異なる被保険者や保険金受取人等の情報を、契約当事者である保険契約者から取得することや、損保会社間の情報交換制度については、「第三者から取得することが必要かつ合理的と認められる場合」として、本人からの取得の適用除外としていただきたい。また、迅速・適正な保険金支払いのために、事故に係る保険契約の状況や保険金請求の状況等を他の損保会社から確認し、適宜、警察・消防・修理業者・事故の目撃者等から情報を取得する場合も同様。

○ 委託契約に基づく代理人からの取得については、第三者からの取得に該当しないよう留意願いたい。

○ 「適正な方法による取得」において、「個人の権利利益を侵害するおそれの無いことが明らかな場合」と「個人情報の性質、取得の際の状況等に照らし第三者から取得することが必要かつ合理的と認められる場合」は明らかに内容が異質であり、「その他」で結ぶのではなく、並列して掲げるべき。

(5) 安全保護措置の実施

○ 「個人情報の保護に関する規程を定め、周知させること」が記載されているが、規程の記載要件が明記または注記されるべき。要件の中には、役割、責任及び権限、規程の効果的な実施のための体制整備の重要性、最適な個人情報保護を実現するために規程が適時見直される体制の重要性が盛り込まれるべき。

○ 安全保護措置が必要であることは理解できるが、業界ごとに技術レベルや組織体制等が異なることを踏まえ、基本法で一律に定めるのではなく業界の自主ルールに委ねることとしていただきたい。

○ セキュリティ技術やデータベース管理システム等が急速に進歩しており、技術革新を阻害することがないように、安全保護措置の具体的な方策は詳細を規定せず事業者に委ねるべき。また、「個人情報の保護に関する規程」は法的強制ではなく、事業者が自主的に策定すべきもの。

○ 個人情報については、その漏洩、毀損等を防止するために、合理的な範囲で適正な管理を行うことが必要であるが、個人情報の保護に関する規程を定める等の具体的要件設定まで基本法において定める必要はない。

○ 不要となった情報媒体(主として紙)の処理は業者に委託することが多いが、処理の過程でしばしば情報の漏洩が生じており、不要となった個人情報についても、排出事業者には廃棄した情報が消滅するまで責任があることを明確にすべき。

(6) 第三者への委託

○ 受託者は委託契約に基づく遵守義務を負うほかに、情報主体に対しても直接責任を負う旨が盛り込まれるべき。

○ 事業者が個人情報の処理等を第三者に委託する場合は、事業者は、その結果として生じた情報主体の損害について、結果責任を負うものとすべき。これ以外には、現在の、本来漏れるべからざる個人情報が垂れ流しになっている状態を改めうる方策はない。

○ 事業者が外部の第三者に対し、一定の監督義務を負うことは当然と考えるが、委託先が十分な保護措置を講ずる旨誓約している場合など、事業者が監督義務を尽くしているときは免責としてほしい。

○ 事業者の第三者に対する監督義務について、必要な範囲や程度を明確にしていただきたい。

○ 事業者は委託先の従業員に対して直接の監督権限はないことから、委託先の従業員の行為に対してまで責任を負うことはできない。委託が認められる以上事業者が監督義務を尽くしたときには監督権限の及ばない第三者行為については事業者は免責されるべき。

○ 委託先の選定について事業者自身が責任を負うべきであり、事業者は監督義務を尽くしたとしても相応の責任を負担すべき。

○ 委託先に対する監督については、実際問題としては、委託先の監督まで事業者が行うことについては限界があるものと考えられ、「委託先の選定に配慮し、十分な保護措置を図ること」との表現にとどめるべき。

○ 委託者・受託者間の委託契約の内容は様々であることから、一律に委託者側の責任のみを重くするという扱いは避けていただきたい。

○ 企業の事業範囲の拡大等に伴い、企業運営に占める業務委託の比重は高くなりつつある。個人情報の提供に際しては、委託元が委託先を管理することは当然であるが、過度な委託先への介入などを惹起しないためにも、十分に管理・監督している委託元への両罰規定の適用には慎重に対応いただきたい。

○ 個人情報の取扱いについて、事業者が情報処理の委託先との間で個々に独自の取決めを行うことを制限すべきではない。事業者と委託先との関係は当事者間の取決めが基本であり、基本法では、事業者に過度な監督責任や義務を課したり、委託先に過度な責任を求めるべきではない。

○ 大綱案においては、受託者側の遵守事項を定める規定はないため、受託者の負うべき遵守事項は他の一般的な事業者と同等であるのか否かが明確でない。事業者たる受託者に、自ら利用する目的で個人情報を収集・取得した事業者と同等の負担を課すことが妥当か否かは、検討する必要。

○ 事業者が実際に第三者たる委託先を監督することは非常に困難であり、情報保護の為に合理的な措置をとった場合は、委託した企業には責任がないことを明確にするべき。

(7) 個人情報の処理等に関する事項の公表

○ 保有する個人情報の概要等々は、事業者にとっては営業上の秘密に当たるものがあり、個人情報のみならず、このような事業者にとって秘密に当たる情報も法的に正当に保護されなければならず、公表対象から除外すべき。

○ 公表する内容の範囲や程度について、細部事項まで公表することは企業実務に照らして考えると困難であるほか、セキュリティの面からも問題を含んでいる。

○ 事業者に課される「個人情報の処理等に関する事項の公表」は経済活動に大きな負荷がかかるほか、セキュリティ上の問題もあることから、基本法において一律に規定せず、個別法において議論すべき。

○ 公表すべき事項として想定されているのが企業が保有する個人情報ファイルの公開という、「行政機関の保有する電子計算機処理に係る情報の保護に関する法律」に基づいて行われているような規制であれば、定められた法律の枠内で業務を運営する行政機関と、企業間競争に打ち勝つために、保有している種々のデータを基に新たな価値・目的を見いだしていく必要のある民間企業とでは、その保有する個人情報は性格を異にしており、そのような規制には反対。企業に対し何らかの公表義務を設けるのであれば、企業の個人情報保護に係る基本方針の公表義務とすることが妥当。

○ 「第三者への委託」において、事業者が、委託先の監督等を行うことにより十分な保護を図り、責任をとることが前提であることから、委託先の公表までは必要ない。

○ 個人情報の処理等に関する事項の内容として、「個人情報の処理等を第三者に委託している場合は、その理由及び第三者の氏名又は名称」とあるが、複数の委託先に委託している事業者の場合に、公表方法や適切に更新することの運用上の観点から困難。

○ 事業者が公表を行った場合の法的効果について、本事項全般の考え方に関し「個人の情報のコントロール権」への対抗要件として事業者に具備されるべきと考え、この場合、公表することによって「免責」事項となることも含めて検討していただきたい。

○ 公表に当たっての「容易に閲覧可能な方法」については、どのようなものを想定しているのか、具体的に例示し、顧客・事業者に過度な負担を強いることのないよう留意願いたい。

○ 「個人情報の処理等に関する事項」については、各業界・業種により、個人情報の保有形態・保有量等が異なることから、公表する内容・方法等については、基本法で一律に定めるのではなく業界の自主ルールに委ねることとしていただきたい。なお、「内部管理情報」や「評価情報」はここでいう公表の対象外としていただきたい。

○ 委託先等について、氏名・名称、住所、連絡先等を公表することは、大変に煩雑な実務を伴うとともに、セキュリティー上の問題も懸念される。したがって、(注)1の「その他事項」として示された項目の削除について検討していただきたい。

○ 委託・提供先の氏名(名称)、住所等をその公表事項に含めた場合には、実務上対応可能となるよう、公表する範囲及び方法を限定していただきたい。

○ 第三者への委託をしている場合の理由や第三者の氏名等の公表については、委託先の第三者は頻繁に変更となること、また一般に個人情報の所在場所は企業機密であることから、これへの対応は極めて困難。したがって、「こういった種類の仕事をする第三者」のレベルで可とすべき。

○ 公表を行った場合の法的効果の意味、検討の方向性がわからない。仮に公表を義務として義務違反による制裁等を検討するということであれば、公表を要する事項の範囲は慎重に定められるべき。

○ 個人情報の処理等の委託先の公表は、事業者および委託先との責任関係が個々の委託業務毎に異なるため、一律とせず、当事者が判断すべき。

○ 開示・訂正等の請求や苦情窓口を除き、直接利害関係を有さない公衆に対して公開することは必ずしも必要ない。情報主体への開示は必須とし、それ以外の公表については、個人情報の概要の範囲、程度が明確にされることを前提として事業者の裁量に委ねることで足りる。

○ 公表すべき事項に、安全管理者を置く場合はその氏名及び連絡先があげられているが、セキュリティ等を考えると、公表すべきかどうかは、安全管理者に期待すべき役割との関係で慎重に判断されるべき。また、複数の事業を行っている事業者等で多数の安全管理者を置く場合に、多数の者の氏名及び連絡先を公表することは、情報主体からもわかりにくい。

○ 第三者に委託している場合の氏名・名称の公表については、セキュリティ上の理由等から公表しない方が望ましく、公表の目的が、情報主体が自己の情報の所在を確認するためであれば、公表ではなく、開示で十分対応できる。また、委託先を公表・開示しないこととして、事故の際には委託者が責任を負うとすることも考えられる。

○ 損保会社間の情報交換制度については、モラルリスクの防止・排除を目的としている性格上、公表に馴染まないとともに、容易に閲覧可能な方法で公表することにより、当該制度を悪用した反社会的犯罪の助長につながる懸念もあるため、慎重に検討願いたい。

○ 大規模な会社では多数の委託先があり、適宜、委託先の変更を行っており、「理由及び第三者の氏名又は名称」を公表することとされた場合、事業者に過大な負担を強いるとともに、却って顧客が困惑することが懸念されるため、慎重に検討願いたい。

○ 公表すべき事項に、安全管理者を置く場合はその氏名及び連絡先があげられており、ここが請求等の窓口と規定されているが、管理者が一人とは限らず、窓口を兼ねているとは限らない。また、情報主体に対して責任を負うのはあくまで事業者であり、セキュリティや当該管理者の個人情報保護にも配慮すれば、対外的に公表する必要はない。

○ 誰に向かっての「公表」か、相手方は一般公衆等ではなく情報の本人であることを明らかにすべき。また、事業者が公表する事項として、「個人情報を保有する期間」を加えるべき。

(8) 開示、訂正等

○ 開示する個人情報の範囲について、医療情報、教育情報等について対象から除外するか否か明確にすべき。

○ 報告された副作用情報等に対し、患者が訂正権を持って訂正することができるということは、拒否権を認める場合と同様、情報に偏重が生じ、事業そのものの存続を危うくするおそれがある。

○ 情報の訂正の申し出に対する取扱いについては、訂正できる情報の範囲と併せて明確にする必要。その際、故意に誤った情報を報告することにより事業者の営業権を侵害することのないよう留意すべき。

○ 開示、訂正の請求本人は、自己の個人情報につき、合理的かつ容易な方法によって、開示を請求しうること、及び、誤った情報につき訂正を請求しうることが保障されなければならない。したがって、事業者は、求めがあったときは、当該事業者の蓄積、処理の方法に応じて法令により定められる合理的な期間内に開示、訂正するものとすべき。

○ 民間事業者が保有する個人情報は、公の秩序の維持等ではなく、基本的に自己の利益を図る目的で処理等が行われるため、本人開示・訂正を拒みうるような立場にあることをほとんど想定できない。本人開示等の適用除外は、開示等によって公共の秩序または第三者の重要利益が害されること、あるいは当該本人自身が著しい不利益を被ることが明らかであるときに限定されるべき。

○ 情報主体本人には、@自己情報の目的外利用を差し止める権利、A違法または不当な手段により収集された情報、収集等が禁止されている情報、及び、目的外利用により外部に提供された情報の利用を差し止め、これを削除させる権利、B事業者が情報主体との信頼関係を破壊する行為を行った場合に、予めなした個人情報利用についての同意を取消し、その利用を差し止め、これを削除させる権利、を具体的に保証すべき。

○ 本人が自己情報の訂正・利用差止め・削除を求めることができ、かつその権利が生じる原因を作った事業者がある場合であって、当該情報の数次取得者が存在する場合には、当該原因事業者の責任と負担において、数次取得者らが保有する当該情報の訂正、利用差止め、削除をしなければならないものとすべき。

○ インハウス情報(従業員の人事情報等)、特に評価・昇進情報などについては、機密保持の必要性等から、開示請求に応えられない場合があることに配慮いただきたい。

○ 事業者が開示すべき「一定の場合」の範囲やその「期間」について、企業の円滑な業務遂行に支障を及ぼさない範囲となるよう配慮いただきたい。

○ 個人情報の「開示・訂正等」のあり方は、業界特性や情報の種類によって異なっているため、基本法おいて一律に規定せず、個別法において議論すべき。また、情報サービス事業者等がユーザ企業等から預託された個人情報について「開示・訂正等」することはできない。

○ 保険会社の場合、被保険者の医的情報等、本人に開示することが適切でないセンシティブな情報を保有・利用することもあることを十分に配慮いただきたい。

○ 「本人から開示を求められたときには、一定の場合に、その個人情報を開示すること」とされているが、「原則として開示すべきである」と規定すべき。その意味では、(注)2にある「不開示の場合等における理由の提示」は当然必要。

○ 情報の開示は経営ノウハウ等に触れる場合が多いことから、非開示が個人の権利利益を害するおそれのある場合にのみ開示対象とすべき。

○ 個人の側からの請求の濫用により業務運営に支障をきたす場合も想定されるため、事業者側から請求理由の明示を求めることができるようにする等の措置が必要。また、事業者側から訂正請求内容の信憑性の確認を求めることができるようにすべき。なお、開示・訂正等の具体的な手続きについては、各業界・業種の実情を勘案し、業界の自主ルールに委ねていただきたい。

○ 保有する個人情報の開示については、その求めに応じることで企業の円滑な業務運営に格別な支障の生ずることがないよう、その適用範囲について検討いただきたい。

○ 個人情報が各事業者において業務部門毎に独立して処理されている場合、どの窓口でも開示を請求することができるとすると、事業者側は業務部門を横断した検索システムを構築しなければならない等、多大なコスト負担を余儀なくされるため、開示請求及び「公表」の場所(窓口・部署)は当該個人が事業者と接点を持った場所に限定できることとすべき。

○ 事業者は不正確な個人情報が訂正されるよう合理的な処理プロセスや仕組みを確立すべきだが、基本法では、開示、訂正の手続きを詳細に規定すべきではない。

○ 開示・訂正等について、「一定の場合」とは、少なくとも「事業者の適正かつ円滑な業務の確保に対する支障のない場合」とすべき。また、本人から収集した情報と保有者が自ら追加した情報(評価情報等)については取扱いを異にすべき。

○ 開示・訂正等の範囲・方法等については、事業者に過度な負担を強いることのないよう留意願いたい。

○ 保険事業においては、各種情報に基づき保険引受可否の評価・判断を行い、取得情報とともに蓄積して、契約履行等に利用している。また、顧客側への情報の偏在により、本人から取得した情報のみならず、第三者から取得した情報を合わせ利用しているが、経営の安定性の観点から、開示・訂正等の対象となる個人情報は、本人から取得したものに限定していただきたい。

○ 損保会社間の情報交換制度については、モラルリスクの防止・排除を目的としている性格上、開示・訂正等に馴染まないとともに、開示・訂正等により、当該制度を悪用した反社会的犯罪の助長につながる懸念もあるため、慎重に検討願いたい。

○ 自己が提供した情報の開示、訂正、及び利用・提供の拒否についても、法的に担保する必要が認められるが、本人が開示、訂正等を請求できるのは、本人が提供した情報の範囲に留められるべきであり、評価情報等については認められるべきでない。

(9) 苦情等の処理

○ 苦情等の処理について、政府および地方公共団体及び事業者が、それぞれ苦情等を受け付けて処理するものとなっている一方、事業者団体も苦情の受付は自明の前提とされている。さらに、本案では第三者的な苦情・紛争処理機関の設置も検討することとしており、窓口・処理依頼元の多重化による住民および事業者の混乱が想定される。政府・地方公共団体は、個人情報保護に関する施策の実施など支援に徹し、住民からの苦情受付・紛争処理は中立的な第三者機関に一元化するなどの方向性も含め今後検討を進める必要。

○ 本人からの苦情等は、事業者によって設けられた窓口にてまず処理されるべきであるが、企業と顧客間で苦情が解決されない場合には、業界団体において調停等の手続をとれるような仕組が組成されるべく促すべき。

(10) 他の事業者との協力

(11) 国及び地方公共団体の施策への協力

○ 国及び地方公共団体が実施する施策への協力については、明確にする必要。現在の内容では、各地方公共団体に対する施策の協力を求められた場合に行政指導や条例の内容に格差がでること、また全国規模の事業者においては、対応に混乱をきたす場合が想定される。

○ 個人情報の保護をより強固に進めていくためには、国や地方公共団体の施策へのであると考えられるが、事業者の混乱を招かないように、また効率性を考慮し、各省庁間や地方公共団体間及び政府・地方間の施策が総合的かつ一体的なものであることを期待。

○ 国および地方公共団体が実施する個人情報の保護に関する諸施策に対して事業者が行う協力の内容が、著しく各々の企業活動を制限するようなことにならないよう「目的・範囲」を明確化すべき。

6 地方公共団体の措置

(1) 保有する個人情報に関する制度、施策の整備充実

○ 地方公共団体によって講じられる事業者や住民に対する措置は、個人情報保護に関する啓蒙や民間の自主規制の取組みを促進することを目標とするべき。これら措置は、基本法と一貫性があるべきで、事業者に追加負担を課すべきではない。

(2) 区域内の事業者、住民に対する支援等

7 国民の役割

○ 基本法が制定されれば、法を遵守することが結果として国民の責任を果たすことになる。また、「他人の個人情報の保護及び自己に関する個人情報の適切な管理」は当たり前のことであり、改めて法律として制定する必要はない。

○ 国民に対しては基本法について十分な啓蒙を行い、その際、自己に関する個人情報の管理は自己責任が基本であることを周知徹底すべき。

8 その他

(1) 適用対象範囲

○ 「医薬品の適正使用推進」のために不可欠な「副作用情報等の医薬品情報収集」は、実施根拠となる個別法が制定されていない事業であり、「基本法」における「副作用情報等の医薬品情報収集」の除外規定への明示と個別法の制定を要望。

○ 報道機関などの所有する個人情報には、報道目的のものと営業行為や販売管理のためのものがあり、報道機関を一律に適用除外とするのでなく、利用目的によって峻別すべき。また、報道機関や研究機関が適用除外を主張するのであれば、言論・報道・学問の自由と個人情報保護の関係について、高い倫理観をもって自主的にガイドラインなどを作成し、広く社会に公表するなどの取り組みを進めるべき。

○ 高度情報化社会への対応として、個人、事業者の如何を問わず収集した個人情報の利用や提供といった個人情報の「流通性」がみられる中、適正な流通に対する考え方と禁止行為等の行為規制的な考え方も適用範囲に含めて検討すべき。

○ 「基本原則」において、表現の自由、学問の自由等に十分留意し除外規定を設けておくべき。なお、表現の自由、学問の自由等のなかには公衆衛生の向上及び増進が含まれるはずであり、これを明示しておくべき。

○ 個人情報は、原則として、民間の自主的な取組みによって保護され、信用情報、医療情報といったセンシティブな特定情報のみ法律によって保護されるべき。

○ 公衆衛生や産業衛生の推進を目的とした公益性の高い情報を取り扱う場合においては、原則が適用除外される項目について、その条件と活用の原則をあわせて法制的に明記していただきたい。

○ 宗教団体が保有する個人情報には、本人が他に明らかにすることを望まない情報が含まれており、個人情報保護の範囲を定める際には、「信教の自由」が侵害されることのないよう、十分な配慮と慎重な検討を行うべき。

○ 情報保護の水準や程度は当該情報の性質により別異の取扱いをできるように考慮されるべき。信用情報等のようなセンシティブ情報については高いレベルの保護が必要とされる一方、単なる顧客氏名だけのような情報にはより緩和された保護レベルが適用されるべき。

○ 大綱案では、表現の自由、学問の自由については留意する旨を述べながら、報道機関の保有する個人情報を基本法の規制対象として含め、個別的な検討の中で扱うとしており、これには反対せざるを得ない。そもそも、報道機関が収集・保存・報道する個人情報は、国民の知る権利に奉仕するものであり、憲法に保障された言論表現の自由及び報道の自由に重大な関わりを持つため、一般の民間業者が扱う情報とは異なった性格を有している。

○ 適用対象範囲について、「表現の自由、学問の自由等に十分留意する」となっているが、表現の自由の問題がいまだ先送り状態となっていることは、結果として表現の自由が奪われる危険性があることを示しており、大変な問題。EU指令と同様、ジャーナリズム目的、芸術上、文学上の表現目的のためにのみ行われる個人データの処理については適用除外とすべき。また、情報の性格等に即して規律ごとに適用対象範囲を検討するというのであれば、「報道」や「ジャーナリズム」などについて明確な定義が必要。

○ 「個人情報」を保護すべき民間事業者の選定については、例外(報道機関や政府の特殊法人など)を認めないようお願いしたい。

○ 医学研究に大きな障害とならないよう、医学における除外規定を検討していただきたい。

○ 医学上の統計調査データベースから得られる情報は極めて大きな意義を持っていると言えるが、仮に「個人情報保護基本法」によって、個々の患者のデータの収集に個人の同意が必要になった場合、このデータベースへの患者の登録率の減少などが予想され、データの信頼性を著しく損なってしまうことが危惧される。

○ サービサー会社の中には、本業の特定債権よりも通信(電話)債権の方が多いという会社もあると聞く。通信債権の扱いは兼業として許可されているが、通信債権は個人情報そのものであり、基本法の対象会社にサービサー会社を含め、個人情報の保護を法的に図る必要。

(2) 開示、訂正等の位置づけ

○ 「本人からの開示、訂正、自己情報の利用・提供拒否の求め」については、濫訴などにより経済活動の効率性を損なわないよう、少なくとも基本法においては、「請求権」ではなく、「行為規範」にとどめるのが企業活動の実態に即している。

○ 事業者の開示、訂正の法律上の位置づけについては、「本人の請求権」として構成するのではなく、遵守しない場合のしかるべき制裁措置(事業者名の公表等)を担保した上、「事業者の行為規範」として構成することが社会・経済的な利益に資する。

(3) 漏洩等の罰則の可否

○ 個人情報漏洩問題が頻発しているにも関わらず、それを防ぐ有効な手段が見当たらない状況に鑑み、罰則によって抑制を図る必要。

○ 個人情報保護における権利・利益の保護の重要性に鑑み、個人情報の漏洩等に関する賠償について盛り込まれるべき。また、賠償訴訟の原告が個人となる可能性が高いことから、有責性の立証責任の転換が盛り込まれるべき。

○ 罰則の可否を検討する際には、保護すべき個人情報の範囲の定義にもよるが、適正な企業活動においての情報利用の利便性を阻害することがないよう考慮していただきたい。

○ 個人情報保護を実効性あるものとするためには、不正提供者のみならず不正受領者も処罰の対象にする必要。

○ あらゆる分野を通じた一般多数の事業者を対象とする基本法において罰則等を設けたとしても、それにより実効性が高まるかどうか疑問。むしろ、実効性をあげるには、苦情処理体制などを充実させるほうが望ましい。

○ 「罰則」は、要件を明確にする必要があることから、全分野を包括する基本法において規定せず、個別法において議論すべき。

○ 基本法制の考え方として、一般多数の事業者に対し、自由な事業活動の阻害要因とならず、他の保護されるべき権利利益が損なわれないような罰則規定が望ましいが、極めて悪質な行為に対する厳格な罰則規定の検討は必要。また、特に基本法制において、ハイリーセンシティブ情報に対する罰則のあり方について明確にすべき。

○ 個人情報の不正な取得、不正な利用、悪質な取扱い・処理については、個人情報の種類や行為の担い手を問わず共通して法的制裁を課すこととすべきであり、特別な法制ではなく、基本法制の枠組みで検討されるべき。

○ 事業者における個人情報の適切かつ有効な利用の促進意欲を減殺することがないよう、罰則については、極めて悪質な行為に限定する等の配慮をお願いしたい。

○ 全体としての保護システムを早急に構築する必要があることは理解するが、分野を問わず一律に罰則等の規制措置を設けることについては、十分考慮する必要。また、企業に明らかな過失がない場合には刑事罰が及ばないよう要望。

○ 基本法における罰則規定は設けるべきではない。個人情報の範囲や処理の形態は、各分野によって多種多様であり、画一的に規定することが極めて困難であり、また、現行の刑事法によっても処罰が可能な行為に追加的な罰則措置を講じる必要はない。

○ 極めて悪質な個人情報の取扱いに対する制裁措置については、法的な手当が必要と思われることから、基本法制の枠組みで検討されるべき。仮に基本法ではなく特別な法制上の措置で制裁措置を設けるのであれば、その根拠を明確にすべき。

○ 通常、個人情報の漏洩により直ちに財務上の損害が発生するものではないと考えられるが、基本法において損害との因果関係を推定する等の規定が設けられた場合、不当なクレームや訴訟を誘発することが懸念される。このような観点から、罰則規定の整備については、事業者側に過重な義務を課すものとならないよう慎重に検討願いたい。

○ 基本法には明確な罰則規定が盛り込まれるべき。社会的差別を引き起こす情報、違法な情報の蓄積については、具体的被害の有無に関係なく、特定の要件を満たさない限り、規制・罰則の対象とすべき。また、ハイリーセンシティブ情報については罰則、抹消命令を明記すべき。

○ 個人情報に伴う被害として多いものは、経済活動に関係するものと思われるが、そのような場合は、個人情報を利用する者の所在が明らかであり、個人情報を利用する側の罰則規定を強化すると効果があるのではないか。

(4) 第三者的苦情・紛争処理機関

○ 苦情窓口については、行政機関、各社、各業界団体にすでに設置されている場合があり、刑事/民事の正式な苦情処理のためには警察機関/司法機関がある。さらにその上に苦情処理の公的機関や民間の自律的な機関を作る必要があるのか疑問。

○ 検討部会の報告では重層的な機関という提言もあるが、実効性及び効率性の観点からは、公的機関、民間機関それぞれの機能・役割を明確にするとともに、新たな苦情・紛争処理機関の設置だけでなく、既存の消費者問題等の苦情受付窓口の活用も視野に入れた検討を行う必要。

○ 行政機関が保有する個人情報に関する苦情や、行政機関の保有する個人情報と事業者が保有する個人情報双方に関わる苦情についての対応が述べられていない。また、利用しやすく信頼される機関とするために、どのような機関していくのかイメージがわからない。個人情報保護に関する苦情処理機関の全体像を提案し、広く国民の意見を聞くべき。

○ 第三者的な紛争処理機関について、機関の運営形態等を含め、どのような機関を設置するのかについて明確にすべき。仮に複数の機関を設置するのであれば、統一的なルールに基づき、苦情・紛争処理が行われるべき。

○ 政府、地方公共団体および第三者的な苦情・紛争処理機関などにおいて、各々の役割が輻輳することのないよう、全体として最適なシステムを構築していただきたい。

○ 個人情報保護の問題は、すべて法的に解決するものではなく、当事者間での話し合いによって相当数が解決されうるもの。このような観点から、民間における自主的な苦情・紛争処理の仕組みを整備することを一義的に検討願いたい。

(5) 条例に関する規定

○ 地方自治体の個人情報保護条例での規制が、いわゆる「法律先占論」で違憲とならないように配慮した法整備としていただきたい。

○ 地域ごとに個人情報に関する取扱いが異なると混乱を招くおそれがあるため、条例の制定は統一的なルールに基づいて行われるようにしていただきたい。

○ 各地方公共団体の条例において、その区域内の所在する事業者に対する施策を定めるのであれば、基本法との整合性を図り、統一的な運用が行われるように配慮すべき。

○ 全国にまたがる個人情報を保有する事業者においては、各自治体ごとに異なる取扱いを条例化された場合、事業者にとっての負担が大きく、これを遵守することが必ずしも可能であるとは限らないことから、条例上の義務等は基本法制の枠内にとどめるべき。

○ 地方公共団体における「個人情報保護条例」では、情報化の進展(インターネット等普及など)による地方公共団体の区域を越える「個人情報」の侵害等に対応することが不可能と考えられるため、政府においては、個別法等による適正な措置が図られるようお願いしたい。

その他

○ いわゆるハイリーセンシティブ情報の取扱いについて明確にすべき。

○ 個人情報の漏洩機会低減のため、保管期間を定め、保管期間切れの場合及び保管目的を達成した個人情報の廃棄または消去の必要性が盛り込まれるべき。

○ 策定された規定の法令等への適合性及び個人情報保護の運用状況の妥当性を点検・評価し、更なる個人情報保護活動の維持・向上を図るため、内部監査の必要性が盛り込まれることを期待。

○ 個人情報保護規定の制定、保護体制の整備、情報の取得、利用及び提供、第三者への委託等、内部統制状況について、第三者機関による監査の必要性が盛り込まれることを期待。

○ 医学・疫学研究における「同意」の定義を明確にし、その上で「本人の同意」のあり方を検討すべき。意識不明の患者や小児、意思を表明できない人の場合等、単に「本人だけの同意」を得ることで了解されたとは考えられない場合への対応についても明確に規定されるべき。

○ 一定の範囲の、プライバシー性の非常に高い情報については、処理等を禁ずるべき。個人の人格そのものに深くかかわる情報(例えば、個人の思想・信条など)は、民間分野で情報の処理等を行うことに何の合理性もない。

○ 個人情報の蓄積を行う事業者は監督行政機関に登録するものとし、事業者が違反行為を行った場合について登録の抹消・停止等ができるものとすべき。

○ 大綱案全体を通して、方向性は示されているものの、肝心な部分については不確定要素が多い。今後、法制化の過程において詳細が明らかになってきた段階で、改めて意見聴取の機会を提供いただきたい。

○ 大綱案においては、今後の検討に委ねられている部分が多く、検討部会中間報告に示されている重要なポイントが明記されておらず、基本法の目指すべき法益とその必要性が明確でない。

○ 宗教団体の信徒・会員に関わる個人情報は、その存在を含め慎重に扱われるべき情報であり、個々人のプライバシーに深く関わるもの。その保護は法律で一様に規定されるべきものではなく、個々の宗教団体がその伝統、教義、活動等に基づき、自主的にガイドライン等を定め、保護を図っていくべき。

○ 「情報」による人権侵害、差別の実態を踏まえ、これを防止する有効な手段を盛り込んでいただきたい。戸籍情報は極めて基本的な情報であり、公的部門が所有する情報として慎重に扱われるべき。

○ 大綱案では、興信所や身辺調査の位置づけが不明であり、差別身辺調査の防止に有効な方策が盛り込まれるべき。また、業としない個人情報の収集であっても、社会的差別を引き起こすことのないような方策が盛り込まれるべき。

○ インターネット等による差別情報の流布は野放し状態であり、こうした高度情報化システムについては特別法による方策の必要性が盛り込まれるべき。

○ 「自己情報のコントロール権」は譲ることのできない基本権であり、明記されるべき。

○ 基本法制を考える場合には、本人認証やセキュリティの問題について、技術的な側面も十分に配慮・議論を尽くしていただき、将来に向けて有効な法制化を推進されることを強く望む。例えば、個人認証への利用を目的として注目されている指紋等の身体的情報は、極めて限定的に本人を特定するものであるが、このような情報への対応をどのようにするのか。

○ 「納税貯蓄組合法」(昭和26年制定)の下では住民が地区の住民の税金を集めることで個人情報が野放しになっているが、保護法を作る前に、こういった法の整備を行う必要。

(以上)