配付資料一覧

個人情報保護システムのあり方に関するアンケート結果概要

2000年3月9日
経団連 産業本部

[個人情報保護に関する基本法の法制化に当たり検討を必要とする視点]
 政府の個人情報保護検討部会中間報告で示された個人情報の取扱いに関する原則を法制化するに当たっては、以下の5つの視点から企業実務を踏まえた検討が行なわれることが望まれる。

1.保護すべき個人情報の定義

 個人情報の種類や取扱いの局面によって、求められる保護のレベルは異なるため、一律に保護すべき範囲を定めることは困難である。例えば、各原則ごとに、求められる保護のレベルや企業実務の実態に照らしながら、適用範囲について検討する必要がある。特に、情報収集時の収集目的の明確化と本人による確認(通知または同意)や、開示、訂正、利用・提供拒否の求めへの対応については企業実務への影響が大きく、一律の義務づけを行なうべきではない。

【企業実務上の検討が必要な事例】1−(1)

具体的な活動内容:名刺交換や顧客等との会話
(原則:収集目的の明確化、収集目的の本人による確認(通知または同意))

懸念される点:
「保護すべき個人情報」および「収集」の範囲が広く定められると、日常的に行なわれている名刺交換や会話の度に収集目的を明確化し、本人から確認(通知または同意)をとらなくてはならなくなる。
このような名刺上の情報あるいは面会記録等については、個人単位で保有管理し、当該個人が営業活動等に活用することを想定する場合はもちろんのこと、組織的にデータベース化して、関係営業部門内の共有データとすることを想定する場合においても、名刺交換時点あるいは会話の時点において、その都度、その後の利用目的の具体的な明示および本人による確認(または同意)を徹底することは事実上不可能である。仮に原則を徹底した場合、日常的なコミュニケーションを円滑に行なうことが困難になる可能性がある。

対応案:
これらの名刺情報については、「本人が公開している情報」として、収集の原則における「保護すべき個人情報」の適用除外とすることが考えられる。

2.用語の定義の明確化

 用語の定義が明確でないと、企業活動や国民生活が必要以上に萎縮する可能性がある。適用除外の範囲も含め、用語の定義は可能な限り具体的かつ客観的なものとすべきである。

【企業実務上問題が生じる可能性のある事例】2−(1)

具体的な活動内容:「収集目的」の明確化
(原則:収集目的の明確化、収集目的の本人による確認(通知または同意)、明確化された目的外の利用・提供の制限)

懸念される点:
@コンテンツの人気などを把握するため、サーバー側で自動的にアクセス履歴を記録し、個人情報と組み合わせて利用する場合、アクセスの都度本人に利用目的を通知し、同意を得ることは困難である。
A同一企業内で、新たなサービス展開等により当初の利用目的とは異なる目的で個人情報を利用することは、今後、業種・業態の垣根が低くなるとともに増加すると考えられるが、「利用目的」が限定的なものしか認められなくなると、サービスが追加される度に同意を得なくてはならず、企業の事業展開上大きな障害となることが危惧される。
B複数の企業で複合的なサービスを提供している場合、親会社と子会社、企業グループ内、協力会社間での情報の相互利用が一律に禁止されると、会社ごとに同意をとる必要が生じ、事業者、消費者双方にとり負担増となり、サービスの提供に大きな影響が生じる(例:宅配便利用者への引越・旅行サービスの提供など)。
C今後、企業は本体機能の分社化(該当部門の独立、他社への吸収あるいは売却等)など企業形態の合理化を進めていくと考えられるが、これらを「第三者への提供」として、その都度顧客の同意をとり直すことは事実上困難であり、機動的な企業再編が妨げられる惧れがある。
D長期的な契約関係を結んだ場合、契約者に対するアフターサービスを行なう必要があるが、「利用目的」の範囲が限定されると、顧客サービスの低下を招くおそれが生じる。
Eお客様カード、アンケート、保証書、修理伝票などに記載された顧客情報を新製品・お役立ち情報等のDM、電子メール送付に利用する行為ができなくなる可能性がある。
F転勤や建替えによる引越しの際に物流事業者が収集した個人情報を、今後想定される再移動時のプロモーションに利用することができなくなる可能性がある。

対応案:
日常的な取引慣行に照らして顧客が予測可能な範囲内であれば、収集目的についてある程度包括的に通知することを可能とすべきである。具体的には、個人情報を収集する際に、今後のサービス追加(例えば情報提供の充実等)や事業形態の変更について通知し、確認をとっておくことを可能とすべきである。また、複数の企業で複合的なサービスを行なう際にも、一括して本人に確認(通知または同意)できるようにすべきである。
そのためには、あらかじめ通知しておく「利用目的」の範囲をどこまで設定することが可能か、今後検討する必要がある(例えば、約款上に掲載されている業務の範囲内での利用について、事前に本人に確認(通知または
同意)をとっておく、あるいは、情報の入手元の明示と、「不必要な人には今後送らない」という選択肢の提示を条件に、関連サービスへの個人情報の利用を可能とするといった方法が認められるかどうか検討が必要。)
また、個人情報の提供を制限する「第三者」の定義についても、事業承継者を除くなど、柔軟な解釈を可能とすることが求められる。

【企業実務上問題が生じる可能性のある事例】2−(2)

懸念される活動内容:他人のための契約の締結
(原則:収集目的の本人による確認(通知または同意)、本人以外からの収集制限(本人の利益保護))

懸念される点:
契約者と被保険者が異なる保険契約(いわゆる「他人のための契約」)を締結する際、実務では契約者から被保険者の情報を収集している。契約行為が「本人以外からの情報収集」とされた場合、本人に対して収集目的を通知し、同意をとる必要が生じるため、「本人への収集目的の明確化、本人による確認(通知または同意)」と同様の問題が生じる。

対応案:
他人のための契約の締結については、契約締結に関する本人の同意があれば、本人以外からの情報収集についても本人の同意が得られているとみなし、本人に不利益をもたらすおそれがない場合には、本人による確認(通知または同意)の適用除外とすべきである。

【企業実務上問題が生じる可能性のある事例】2−(3)

懸念される活動内容:個人が不特定多数に公開している場などからの収集
(原則:収集目的の明確化、収集目的の本人による確認(通知または同意))

懸念される点:
@ホームページの閲覧(企業のマーケティング等が目的)が「個人情報の収集」であるとみなされると、ネットサーフィンを行なうことができなくなるおそれがある。
A公にされた情報や人名録等の著作物については、基本的には不特定多数の人間が収集可能であることが容易に推定されるため、収集の都度本人からの同意を得る必要性に乏しい。また、パソコン通信のメーリング・リストや卒業者名簿については、本人の同意が得られているのか、改めて確認をとることは事実上困難である。
B情報収集時に個人の同意を得ることを保障しており、信頼のおけるリストハウスのデータ利用については対象を絞って効率的なマーケティング活動を行なえるという点で有用性が高く、消費者の利便性向上にも貢献しているため、今後、リストハウスの活用を促すための環境整備が求められる。

対応案:
@Aホームページや著作物など日常的な手段で取得可能な個人情報については、情報源への掲載をもって、本人が掲載情報の収集に同意を与えているとみなすことにより、本人による確認(通知または同意)は得られているとすべきである。基本的には、一般的に入手可能な名簿については、明らかに不適切な行為が介在したことが推測可能なものを除けば、利用の都度本人に確認(通知または同意)することを義務づけるべきではない。
B個人の同意が得られたデータを保有するリストハウスの活用を促すため、「信用」を評価するためのガイドライン等の制定が望まれる。

【企業実務上問題が生じる可能性のある事例】2−(4)

懸念される活動内容:適正化、最新化、漏洩防止のための手段のあり方
(原則:内容の適正化、最新化、漏洩防止等の適正管理)

懸念される点:
「適正」あるいは「最新」の判断が非常に困難である。また、管理のためにわざわざ電子化することが求められるとコストが大きくなる。例えば、保管に関して、書類については、施錠されたロッカーでよいのか、より強固な金庫でなければならないのか。電子的に保存する場合は、ID、パスワードによるアクセス制限でよいのか、アクセス制御された特定の部屋で、ネットワーク連携されていないコンピュータに保管するのか。どの程度を適正と考えるか具体的な判断は難しい。
また、個人情報保有者が適正化、最新化に努めることは重要であるが、企業が独力で内容の正誤や新旧を認識することが困難であったり膨大なコストがかかることが多い。本人からの申し出があり、客観的に確認できる場合に更新を行なうなど、むしろ本人側の努力(変更があった場合の申告等)と一体的に検討すべき部分もあり、双方のバランスを考慮すべき。
また、事務所の設備状況、費用の確保、技術水準の状況等様々な要素によって、具体的手法が決まってくると思われるが、その妥当性を判断することには常に困難を伴う。個人情報を含む情報利用、管理方法の差も企業の競争力の差として市場で評価される。この部分まで一律の規定が及ぶと、健全な競争が阻害される。
例えば、EDP(Electronic Data Processing)システムにより個人情報を登録・管理する場合、各対応窓口において訂正等の履歴を反映できるようにする必要があり、そのためのコストが増大する。また、漏洩防止のためには、アクセス可能者の登録制度やセキュリティ管理、内部規定の整備、関係者への教育、委託先との契約等解決すべき課題は多い。

対応案:
基本法においては、管理方法について一律に規定するのではなく、企業の柔軟な対応を可能とするよう明記すべきである。

【企業実務上問題が生じる可能性のある事例】2−(5)

懸念される活動内容:本人情報の開示、訂正、利用・提供拒否の求めへの対応
(原則:本人情報の開示、訂正、利用・提供拒否の求め)

懸念される点:
本人からの開示等の求めに対して、情報保有者が全て対応しなければならなくなると、競合他社などからの高頻度な開示請求等により、業務が麻痺する可能性がある。例えば、JIS規格のQ15001では、以下の制限がかけられている。
@照会者が本人である旨の証明がない場合等、正当な照会であるか否かが明らかでない場合
A照会の趣旨が明らかでなく、または照会を希望する情報が特定されない場合
B本人からの照会頻度が常識的な範囲を超えて度重なるなど、業務に支障をきたす場合
C本人がその権利を濫用していると判断され、または権利行使が不正・不当な目的で行なわれていると判断される場合
(例:個人情報に誤りがないにもかかわらず、訂正、削除を求められることがある。具体的には、料金不払いによるサービス供給停止の履歴や、請求の郵送先、支払先を他人に知られたくないという理由から、訂正や削除を求められることがある。)
D本人の個人情報を開示することが他の情報主体の個人情報保護に反するなど照会に応ずることが困難または不適切と判断される場合。
(例:保険契約において、加入時・支払い時の医師による診察結果について、本人からの開示の求めに応じることによって、本人が認識させていない病気を認識させることになる。また、加入時・支払い時の申告項目のうち、契約者から被保険者の病歴などの内容の開示を求められた場合、応じることはセンシティブ情報の開示となる。)
(例:料金が第三者弁済された場合、契約者本人から弁済者等の開示を求められることがあるが、これに応じると、弁済者と契約者本人との紛争に企業が巻き込まれる可能性がある。)
(例:従業員情報のうち、評価や昇進計画に関わる情報は、開示することによってかえって本人に悪影響を及ぼしたり、雇用関係に重要な影響を及ぼす可能性がある。)
(例:評価・分析情報はそれ自体が企業秘密であったり、開示することによって評価・分析手法を推測できる場合などがあり、企業に不利益が生じる可能性がある。)

対応案:
基本法においても、上記を参考に、対応すべき範囲について検討すべきである。

【企業実務上問題が生じる可能性のある事例】2−(6)

懸念される活動内容:個人情報の保有状況を公開すべきでない場合の取扱い
(原則:個人情報の保有状況の公開)

懸念される点:
企業が収集・蓄積している個人情報を全社的に把握することは困難である。また、個人情報の中には、企業秘密に触れるものがある。例えば、贈答品を発送するために保有している取引先の担当者の住所といった個人情報については、企業の営業政策の公開に結びつく。さらに保有状況を公開することによって、営業妨害行為を誘発する可能性があることにも留意が必要である。

対応案:
個人情報の保有状況の公開については、公開のための条件について慎重に検討すべきである。特に公開の必要性と、公開することによって生じる不利益とを衡量し、不利益の方が影響が大きいと判断される場合には、公開対象から除外すべきである。

【企業実務上問題が生じる可能性のある事例】2−(7)

懸念される活動内容:マニュアル情報への開示等の求めへの対応
(原則:本人からの開示、訂正、利用・提供拒否への求め)

懸念される点:
マニュアル処理されている情報については、検索等の面で限界があるため、開示の求めに対応することが困難な場合がある。また、開示等の求めに対応するため、マニュアル情報をデジタル化するのであれば、ある程度のコストを本人側が負担する必要がある。

対応案:
開示・訂正の求めへの対応については、例えば「電子計算機処理されており容易に検索可能な状態で蓄積された個人情報」に限定するか、あるいはマニュアル情報に対する開示等の求めについては、例えば容易に検索可能な状態にある「ファイリングされている個人情報」や「企業として組織的に管理している個人情報」に限定するなど、対応すべき範囲を限定する必要がある。

3.他の利益(不利益)とのバランス

 個人情報保護のためにする行為が、他の利益(不利益)に影響を及ぼす可能性がある。個人情報保護による利益とそれと衝突する可能性のある利益(不利益)との間のバランスを考慮する必要がある。

【企業実務上問題が生じる可能性のある事例】3−(1)

懸念される活動内容:契約の履行のために必要な行為
(原則:収集目的の明確化、収集目的の本人による確認(通知または同意)、本人以外からの収集制限)

懸念される点:
@セキュリティの確保や課金のためにアクセスログを自動的に蓄積、保管する場合、当該サービス利用者に対し、ログの収集内容等を明示することは、セキュリティ上問題がある(収集しているログの種類を明示することは、収集していないログを示すことになり、不正アクセスを行なおうとする者は、収集していないログに関連する方法によって攻撃してくる可能性がある)。
A顧客との契約締結時の契約書への本人情報の記入につき、いちいち本人に利用目的を通知し、確認(または同意)をとることは、契約締結への同意と重複し、事業者、消費者双方にとり負担増となる。
B月ごとの商品、サービスの使用料、料金など、自動的に追加される個人情報については、その都度本人に確認(通知または同意)することはあまり意味がなく、事業者、消費者双方にとり負担が重い。
C契約準備行為や料金等の契約条件決定のために本人以外から情報を収集することが認められないと、相手に不確かな期待を抱かせるたり、契約の公正、安定、公平性を確保することができないこと等が懸念される。
D債務者を確定するため、本人以外からの情報収集(NTTの電話番号案内、アパート等の家主・管理人、不動産会社等)が不可欠である。

対応案:
契約の円滑な履行に必要な範囲であれば、契約の申込みをもって、自己情報提供への同意と見なすことが求められる。
同様に、当該個人情報が利用できないことによって生じる不利益と当該情報主体の権利・利益に与える影響を衡量の上、公平、安定、公正な契約の締結や業務の円滑な遂行上不可欠であれば、知り得た個人情報を他者に漏洩しないなど個人の権利・利益への影響を最小限にとどめる措置をとりつつ、本人以外からの個人情報の収集を認めるべきである。

【企業実務上問題が生じる可能性のある事例】3−(2)

懸念される活動内容:輸送(特に宅配便)における荷受人情報の取扱い
(原則:収集目的の本人による確認(通知または同意)、本人以外からの収集制限(本人の利益保護))

懸念される点:
荷送人側情報は引受け時に本人によって確認(通知または同意)できるが、荷受人側情報については、現時点では本人に確認(通知または同意)をとっていない。

対応案:
荷受人情報は契約の履行に不可欠であり、本人の同意をとることが適切でない場合もあるため、本人による確認(通知または同意)、または本人以外からの収集制限の適用除外とすべきである。

【企業実務上問題が生じる可能性のある事例】3−(3)

懸念される活動内容:他の法令に基づき情報提供する場合
(原則:明確化された目的外の利用・提供の制限)

懸念される点:
国税徴収法第141条に基づき税務署等から個人情報の照会があった場合、当該個人情報を提供できないと、企業の側が法的義務に抵触することになる。その他、所得税法第234条、地方税法第26条、賃金の支払いの確保等に関する法律第12条等が挙げられる。また、刑事訴訟法第197条第2項に基づく照会のように、警察、検察への協力が求められる場合もある。また、訴訟の過程で裁判所が提出を許した場合にも証拠としての提出が認められないと、訴訟で不利益を被る可能性がある。

対応案:
法律上個人情報を提供することが求められている場合には、当該個人情報を提供することを認めるべきである。

【企業実務上問題が生じる可能性のある事例】3−(4)

懸念される活動内容:苦情処理・相談体制のあり方
(原則:苦情処理・相談窓口の設置およびその適切な処理)

懸念される点:
企業として苦情・相談等への対応を集約して行なうには多大なコストと労力が必要となる。提供する商品、サービスは様々であり、収集の目的によって条件や内容等も多岐にわたる。また、苦情・相談などは担当者へ直接連絡されることも多い。さらに、補償や損害賠償に対するバックアップ体制も必要となる。

対応案:
企業の規模や業務の態様によって組織のあり方は異なるため、管理責任を対外的に明確化していれば、苦情処理・相談体制の形態は企業や業界の自主性に委ねるべき。

【企業実務上問題が生じる可能性のある事例】3−(5)

懸念される活動内容:ヘビークレーマーへの対応
(原則:苦情処理・相談窓口の設置およびその適正な処理)

懸念される点:
営業妨害等、悪意の苦情申立てについて、その都度対応すると、業務の遂行に支障が生じる。

対応案:
悪意の苦情申立てについてどこまで対応すればよいか、一定の基準が必要である。

4.合理的なコスト負担のあり方

 個人情報保護に伴うコストが重くなりすぎると、実質的に個人情報の利用が困難になる。当該個人情報の取扱いが個人の権利・利益にもたらす影響の大きさと、個人情報保護のコストを勘案し、両者のバランスをとる必要がある。

【企業実務上問題が生じる可能性のある事例】4−(1)

懸念される活動内容:収集目的等の通知手段、収集時及び本人情報の開示の際の多様な本人確認手段の認容
(原則:収集目的の明確化、収集目的の本人による確認(通知または同意)、目的外利用・提供の場合の本人の同意及び本人の利益保護、本人情報の開示、訂正、利用・提供拒否の求め)

懸念される点:
全ての場合に、収集目的を直接本人に通知し、本人から明示の同意をとることを求められると、対応窓口の業務が煩雑になり、事業者側の負担が増加するとともに、顧客側の利便性が低下し、本人の同意が得られなくなる可能性もある。
また、利用目的が時間経過によって変化した場合、対面等によって個別に同意を取得することが義務づけられることも、コスト負担が過大なものになる。
また、利用目的を本人に確認(通知または同意)する際や、本人からの開示の求めに対応する際に、いちいち本人かどうかを厳格に確認(通知または同意)すること(例えば身分証明書やクレジットカードの提示等)も本人の利便性の低下等につながる。

対応案:
企業、消費者双方の利便性向上の観点から、以下の方法による収集目的や目的外利用の旨の通知を認めることが求められる。
@問合せ電話番号の横に注意書きを記載する。
A電話着信時の音声メッセージで注意を促す。
B対応者がその旨を伝える。
C目的を記載した紙を消費者(本人)に手渡す。
Dホームページで告知する。
E電話で説明する。
F確認書を郵送する。
通常の取引慣行に照らして、合理的な範囲内であれば、黙示の同意をもって本人による確認(通知または同意)と認めるべきである。例えば、電話やインターネットなど非対面型の確認(通知または同意)も柔軟に認めるべきである。例えば、電話した人、来訪した人、郵送してきた人を本人とみなすなど、合理的な範囲で行なっていれば、責任を問われることのないようにすべきであり、個人情報の性質に応じて「合理的な範囲」の線引きを行なう必要がある。
例えば、
@電話対応中に本人から収集目的を否定する発言が無い場合には、収集目的に同意したものとみなす。
A本人から郵送で送られてきた申込書に収集目的を拒否する旨の記載が無い場合には、同意したものとみなす。
B対応者が来訪した本人に収集目的を説明、あるいは収集目的を記載した紙を本人に読んでもらい、拒否する発言が無い場合には収集目的に同意したものとみなす。

【企業実務上問題が生じる可能性のある事例】4−(2)

懸念される活動内容:既に収集・蓄積された個人情報の取扱い
(原則:収集目的の明確化、本人による確認(通知または同意))

懸念される点:
官・民双方において、既に膨大な個人情報が蓄積されており、相当程度、収集の段階で目的が明確化されていないものも想定される。これらのすべての個人情報について、収集目的を再度本人に対して明確化し、確認(通知または同意)をとることが義務づけられると、コスト負担が過大なものとなる。

対応案:
既に収集・蓄積された個人情報については、「合理的に推測される収集目的」に対して同意があったものとみなし、その収集目的の範囲内であれば、改めて本人に確認(通知または同意)をとらなくても利用できるようにすべきである。

【企業実務上問題が生じる可能性のある事例】4−(3)

懸念される活動内容:従業員が独自に作成し、個別に所有する情報(個人情報が記載されたメモ等)の管理
(原則:個人情報の適正化、最新化、漏洩防止等の適正管理)

懸念される点:
従業員個人が個別に所有する情報をつぶさに把握し、最新化を図ることは事実上困難である。

対応案:
適正化、最新化、適正管理の対象として、これらの組織的に管理することが困難な情報は適用除外とすべきである。

【企業実務上問題が生じる可能性のある事例】4−(4)

懸念される活動内容:開示等のための体制整備のあり方
(原則:本人からの開示、訂正、利用・提供拒否の求め)

懸念される点:
保有状況の公開や開示、訂正等の求めに関して、一元的な対応体制の整備を求められた場合、業務上の必要が無いにもかかわらず、個人情報を全社的に一元管理するためのシステムを構築する必要が生じるため、企業の負担が過大なものとなるおそれがある。(例えば登録数や登録項目の公表等で足りるとすることも一案である。)

対応案:
開示等の求めへの対応については、企業の態様や個人情報の処理の方法に応じて、それぞれ最も適したやり方を選択できるようにすべきである。

【企業実務上問題が生じる可能性のある事例】4−(5)

懸念される活動内容:一時的に収集・保管する個人情報の取扱い
(原則:本人からの開示、訂正、利用、提供拒否の求め)

懸念される点:
アンケートのように一定期間後削除する情報について、保有状況の公開や開示の求めに対応する必要性は少ないと思われる。

対応案:
一定期間経過後削除する情報については、保有状況の公開や開示の求めの対象外とすることについて検討すべきである。

5.業務委託の取扱い

 わが国においては、業務委託(情報処理の場合と業務そのものの場合を含む)は広範に行なわれており、業務を円滑に遂行する上で不可欠となっている。しかしながら、個人情報の取扱いに関して、委託元企業と同様の義務づけが行なわれると、機動的な業務委託を行なうことができなくなり、業務運営に重大な支障が生じる。基本的には消費者に対する責任は委託元企業が担っており、受託側が果たすべき義務については別途検討が必要である。

【企業実務上問題が生じる可能性のある事例】5−(1)

懸念される活動内容:受託事業者が負うべき責務について
(原則:確立すべき原則(5原則))

懸念される点:
中間報告では、受託事業者側の責務がどこまで及ぶか明確に示されていない。委託側からデータを預託され、その委託内容に基づいて情報加工処理を行なう際に、受託者が5原則すべての適用を受けて、対応することは実質的に困難な面が多い。
1.個人情報の収集
(1)収集目的の明確化、本人による確認(通知または同意):受託者が本人に対して通知し、本人による確認(または同意)をとることは、本人にとっては委託者からの通知、確認(または同意)と重複することになる。
@アンケート(ネット媒体、紙媒体)、キャンペーン(プレゼント応募)、イベント(入場者、イベント参加者)、通信販売(購入者)、ネット販売(購入者、アクセス者)のデータ収集を受託し代行する場合、受託した企業の名義で改めて個人から同意を得ることは個人にとっても煩わしく、企業側にとってもコスト増を招くことになる。
Aデータマイニングのために委託元の顧客データを預かり、顧客の属性やニーズを適宜選別し、委託先が顧客への情報・サービスの提供を効率的に行なうことによって顧客の利便性を高めることを支援しているが、この場合、委託元が本人の同意を得ているか、目的内の利用かどうかを確認することは実質的に困難である。
(3)適法かつ公正な手段での収集:受託者は預託を受ける側であり、受託者との信頼関係に基づいて受託している。
(4)本人以外からの収集制限:預託の場合はJIS規格と同様、適用除外とすべきである。
2.個人情報の利用等
(1)目的外の利用、提供の制限、目的外の利用、提供の場合の本人の同意:本人に対する責務は、委託者側で負うべきであり、受託者は、委託者との業務委託契約に従って責務を果たすことを基本とすべきである。
@個人情報を収集する時点で委託について本人に確認(通知または同意)していなくても、その後の経済的判断により子会社等に業務を委託する必要に迫られた場合、情報の移転を例外なく禁止した場合には、弾力的な対応ができず企業活動が大幅に制限されるおそれがある。
A委託先から再委託されるなど、委託関係が複層的になることがある。また、委託先の契約違反あるいは倒産等のために、至急委託先変更を行なう場合もあり、全ての個人から同意を再取得することは極めて困難である。
3.個人情報の管理等
(1)内容の適正化、最新化:受託者が取り扱う個人情報は受託者側から預託されたデータであり、受託者側で対応することには無理があるため、基本的には委託者側が責務を負うこととすべきである。
(2)漏洩防止等の適正管理:預託された個人情報の内容に応じて適切な管理体制がとられるべきであり、その意味では、受託者側は、委託者との契約に基づいて管理を行なうことが基本である。ただし、受託事業者と言えども社会的に個人情報の適正管理の義務を負うべきことは言うまでもなく、過度の負担にならない範囲で対応する必要がある。
4.本人情報の開示等
(1)保有状況の公開:受託者側の単独の判断で個人情報の保有状況を公開することは困難であり、委託者との契約での取決めに基づいて対応することを旨とすべき。
(2)本人からの開示、訂正の求め:受託者側の単独の判断で対応することは困難であり、委託者との契約での取決めに基づいて対応することを基本とすべき。
(3)本人からの利用・提供拒否の求め:受託者側の単独の判断で対応することは困難であり、委託者との契約での取決めに基づいて対応することを基本とすべき。
5.管理責任及び苦情処理
(1)管理責任及び責任者の明確化:預託データの処理の場合、受託者が負うべき管理責任は第一義的には委託者に対して負うべきである。したがって、基本的には委託元との契約の範囲内で対応すべき問題であるが、本人に対する受託者側の責務はどこまでが適当か十分な論議が必要である。
(2)窓口の設置:(1)に同じ。

対応案:
法制化に当たっては、5原則のうち受託者が負うべき責務の範囲を明確にして、それ以外の責務については、委託者と受託者の2者契約に委ねるべきである。

以 上