資料1
1.個人情報保護の現状
(1) 自主規制の手段の提供
これまで、高度情報通信社会推進本部の「個人情報の内容や用途、収集の方法は、業種業態毎に異なるため、基本的には、業種業態別に民間によるガイドラインの整備、登録・マーク付与制度の実施等の自主的対応が早急に推進されるべきである」(平成10年11月9日 高度情報通信社会推進本部決定)との基本方針の下、民間による自主規制のため有効な手段を提供するとの観点から以下のような施策を講じてきた。
@通産省ガイドラインの策定
1989年4月に通産省は「民間部門における電子計算機処理に係る個人情報の保護について(指針)」を取りまとめ、業界団体に通達した。
その後、インターネット等の情報化の急速な進展等を踏まえ、指針を改正し、産業構造審議会における議論等も経て「民間部門における電子計算機処理に係る個人情報の保護に関するガイドライン」(通産省ガイドライン)を1997年3月に告示した。通産省ガイドラインは、OECD8原則の遵守を確実にするために業界団体が定めるガイドラインの模範となるものである。
現在、18の団体(事業者・事業所数では約94,000社)が通産省ガイドラインに準拠して業界団体ガイドラインを策定している。
18の団体
電気事業連合会、(社)日本ガス協会、(社)日本熱供給事業協会、日本チェーンストア協会、日本百貨店協会、協同組合連合会日本商店連盟、協同組合連合会日本専門店会連盟、(社)日本通信販売協会、電子ネットワーク協議会、電子商取引実証推進協議会(ECOM)、(社)日本クレジット産業協会、(社)全国信販協会、日本マーケティングリサーチ協会、(社)ダイレクト・メール協会、(社)情報サービス産業協会、日本コンパクトディスク・ビデオレンタル商業組合、(社)全国学習塾協会
AJISの策定
各事業者が体系的で全経営活動に統合されたマネジメントシステムとしてコンプライアンス・プログラム(実践遵守計画)を策定し、実施し、維持し、継続的に改善していくことにより、管理能力を高めていくことが重要である。こうした観点から、コンプライアンス・プログラムの最小限の要求事項を規定した「JIS Q15001 個人情報保護に関するコンプライアンス・プログラムの要求事項」(個人情報保護JIS)を、日本工業標準調査会の審議を経て、1999年3月に制定した。
個人情報保護JISは、コンプライアンス・プログラムを策定する際に必要な事項を客観的に明らかにするために、計画(内部規定を含む)、実施及び運用(教育、苦情及び相談への対応等を含む)、監査等について記述している。
Bプライバシーマーク(Pマーク)制度の創設
(財)日本情報処理開発協会(JIPDEC)は、通産省ガイドラインに基づく業界ガイドライン(現在は、個人情報保護JIS)に準拠し、個人情報の取扱いについて適切な保護措置を講ずる体制を整備している事業者等に対し、プライバシーマークを付与し、事業活動に関してプライバシーマークの使用を認容する「プライバシーマーク制度」を1998年4月から開始した。
認証費用8万4千円。マーク使用料5万2500円(有効期間2年)。2年ごとの更新。
プライバシーマーク制度は、事業者の適切さを外部の専門家(JIPDEC)が評価するもので、事業者の個人情報の取扱いに関する適切性の是否をマークによって個人に知らせるとともに、事業者に対して個人情報保護措置へのインセンティブを与える。マーク取得事業者による不適切な行為に関しては、事業者のみならずJIPDECも苦情を受け付け、調査を行い、必要に応じて改善勧告やマーク付与取消し等の措置を講じることができる。現在、112事業者がプライバシーマークの認定を受けている。
プライバシーマークと同様の第三者認証制度として、米国にはBBB Onlineによるプライバシーシールプログラム等がある。BBB Onlineは、商事改善協会(BBB)の子会社で、米国企業がオンラインで業務を行う際に、ある一定の個人情報保護の規則を満たす者に、プライバシーシール(マーク)を付与している。シールを取得した事業者数は158(1999年10月末時点)。
通産省としては、オンラインビジネスの国際化への対応、個人情報保護に関する様々な制度の国際整合化、事業者の認証取得費用・事務負担の軽減等の観点から、JIPDECのプライバシーマーク制度とBBB Onlineのプライバシーシールプログラムとの間で相互承認を行うことが重要と考えており、現在、JIPDECとBBB Onlineとの間で協議を始め、基本的には合意したところ。今後、詳細な協議を続ける予定。
(参考)マークの形
| |
(2) 苦情処理の状況
通産省ガイドライン、JIS等の内容を詳細に把握している消費者等は少ないものと推測され、通産省ガイドラインに基づく業界団体ガイドラインを策定している業界団体、JIPDEC等への苦情は抽象的なものが多い(これまでに64件)。
ガイドライン違反と考えられる具体的な苦情はこれまでに1件であり、これは、情報主体からの削除要請を受けた企業が内部手続きの誤りから削除を行っていなかったケースで、JIPDECによって解決されている。
2.欧州委員会との協議
EU指令(個人データ処理に係る個人の保護及び当該データの自由な移動に関する1995年10月24日の欧州議会及び理事会の95/46/EC指令)第25条+は、適切な個人情報保護措置を講じていない第三国への個人情報の移転を各加盟国は規制すべきとしている。
加盟国は、処理されているまたは後に処理される予定の個人データの第三国への移転は、当該第三国が適切なレベルの保護を提供している場合に限られることを規定するものとする。
欧州委員会は、この措置の発動をできるだけ予見可能性の高いものとする観点から、域外各国の施策について、その適切性をあらかじめ個別に判断していく方針をとっている(positive finding アプローチ)。このため、米国をはじめ、我が国を含む域外各国と協議を進めている。
我が国(通産省)は、1997年より協議を開始し、通産省ガイドライン、JIS等の個々の施策について、詳細な説明を行っている。
EU側は、第3国の制度が自主規制であっても、保護の実効性があればよいとの考えであり、基本的には日本側の説明を評価している。
EU側とは、我が国についてはまず通産省の施策についてその適切性を判断し、その後、それをモデルケースとして随時各省庁の取組みについて判断していくという点で合意している。
(参考)米−EU協議の状況
欧州企業からのデータ移転が多い米国は、日本に先駆けて商務省がDG15との間で協議を続けており、米国は欧州委員会に対し、商務省が示す個人情報保護のための行動規範(code of conduct)を遵守すると宣言した企業においては、適切な保護がなされていると推定するという原則(セーフハーバー原則)を認めるよう主張している。これに対し、EU側は実効性が十分に担保されないとして合意が得られていない。
3.基本法・制度設計に対する要望事項
(1) 個人情報保護の実効性を確保するためには、
(2) 通産省では、これまで企業実務の実態等を踏まえ、産業界との間で詳細な検討を重ね、通産省ガイドライン及び個人情報保護に関するJISを制定し、また、その解釈集等を明らかにしてきた。今般、基本法を立案するに際し、通産省としてはこれらの材料を提供し、協力する用意があるので、これらを参考にして頂きたい。また、これらを基本法と整合性のあるものとすることが必要であるので、引き続き、連携をとらせていただきたい。
(3) 基本法に盛り込まれる個人情報の利用等にかかる原則について、実務が混乱しないよう、個人情報の収集・利用等の実態を踏まえつつ、詳細な法令解釈やFAQを早期に整備するよう、検討いただきたい。
(4) 欧州委員会が我が国をEU指令上の適切な保護レベルにあると認めるうえで、苦情処理システムの有効性、開示請求の存在等を重視していると思われるところ、基本法の制定に当たっては適切な配慮をお願いしたい。