資料1
| 2000年3月9日 (社)経 済 団 体 連 合 会 情 報 通 信 委 員 会 個人情報保護に関する打合せ会 座 長 礒 山 隆 夫 |
(1)システム上での個人情報ファイル処理形態は、一般的にオンライン処理とバッチ処理に分けられる。
*オンライン処理:システムの利用者が直接個人情報を入力し、その情報がコンピュータセンターなどに集められるもの。
*バッチ処理:コンピュータセンターに集められた情報の集計・分析等を行なうもの。システムの一般利用者は直接関係しない。
(2)企業が保有している個人情報には、主として顧客関連情報(顧客情報や料金情報等)や従業員情報(人事情報、給与情報等)などがある。電子媒体に保存されている個人情報には、検索が比較的容易な各種ファイル(契約情報ファイル、顧客管理ファイル等)のほか、従業員個人のパソコン内で保有されている営業情報やメーリング・リストなどのように、組織的に管理するのが困難なものも存在する。
(3)紙ベースで保管されている個人情報には、顧客からの申込書の原本などがあるが、個別の帳票やアンケートの原票などのように、検索が容易なファイル形式になっていないものや、社内電話帳などのように、全従業員に配布されていて従業員一人ひとりに管理が委ねられているもの、さらには名刺情報のように、従業員が個人的に収集・保管している個人情報も多く存在する。
(1)企業にとって、個人情報は経営の基盤そのものであり、適切な取扱いに努めているが、基本的に、ファイル形式になっていない個人情報(アンケートの原票等)や組織的に管理していない個人情報(従業員が個人的に保管している営業情報等)などについては、個人情報の取扱いに関する原則を厳格に適用することは困難である。
(2)特に、個人情報の開示、訂正、利用・提供拒否の求めに対応するためには、少なくとも容易に検索可能な形になっている必要があり、例えば、日付順にファイルしただけの申込原票などについて、個人名で本人情報を探し出すことは実務上困難である。
1.多くの企業では、就業規則等において、業務上知り得た秘密を他にもらさない旨の規定をおいており、違反した場合には解雇も含め、何らかの措置をとることが可能。
2.個人情報保護に対する関心の高まりに対応して、個人情報取扱方針の策定、業界ガイドラインの策定、JIS規格への適合、国際的なトラストマークの認証等、企業単位、業界単位で体制整備に取り組んでいる。
(1)情報化のメリットを減殺しないよう配慮が必要。
[例えば]
@従来の業種・業態の枠組みを越えた融合的な商品やサービスの提供が可能となり、消費者の利便性や満足度の向上が実現。
Aマーケティングの向上により、個人の嗜好に対応したきめ細かな商品やサービスの提供が可能。
B連結経営におけるリスク管理をするためには、組織をまたがる情報の共有・共用が不可欠。
(2)企業を厳しく律する法規制が導入されると、コストが増加し、消費者の利便性も低下する懸念。個人情報保護に向けた企業の取組みは緒に就いた所であり、現時点では、企業の試行錯誤の積重ねを促すことが重要。
(3)基本的には企業の自主的取組みを尊重すべきであり、実効性担保のためには、苦情処理・相談体制の整備と悪質な行為への罰則の導入、事後救済の充実等により対応すべき。
日常的な企業実務と乖離した法制度が導入されれば、コストの増加や消費者の利便性低下は必至であり、個人情報の利用が進まなくなる惧れがある。以下の5つの視点から、企業実務の実態を踏まえた検討が行なわれるべき。
(1)保護すべき個人情報の範囲の明確化
個人情報の種類や取扱いの局面によって、求められる保護のレベルは異なるため、一律に保護すべき範囲を定めることは困難であり、各原則ごとに、求められる保護のレベルや企業実務の実態に照らした検討が必要。特に、情報収集時の収集目的の明確化と本人による確認(通知または同意)や、開示、訂正、利用・提供拒否の求めが固定化されれば、企業実務に影響するため、一律の義務づけを行なうべきではない。
(2)用語の定義の明確化
用語の定義を可能な限り具体的かつ客観的なものとするととともに、条文そのもの、あるいは指針等によって、具体的な事例を掲げるべき。
【特に検討が求められる用語の定義について】
@「収集目的」の範囲:事前に明らかにできる「収集目的」の範囲をできるだけ幅広く認めるべき(例えば将来的な商品・サービス・情報提供の充実やアフターサービスの提供等包括的な目的記載を可能とする等)。
A「本人による確認」:明示の同意のみならず、「黙示の同意」によることも認めるべき(例えば、契約の申込をもって、商品・サービスの提供に必要な個人情報の収集への同意とみなす等)。
B「開示、訂正、利用・提供拒否の求め」に対応すべき範囲:全ての個人情報について開示、訂正、利用・提供拒否の求めに対応することは困難であり、一定の線引きが必要(例えば、「電子計算機処理され、容易に検索可能な個人情報」、「組織的に管理されており、容易に検索可能な個人情報」等)。
C「第三者」の定義:今後、企業の組織改編や業種・業態の融合が進むことが予想され、ある程度幅をもたせた定義とすべき(例えば合併・統合時の事業承継者や連結決算の対象企業を「第三者」から外す等)。
(3)他の利益(不利益)とのバランス
個人情報の取扱いに関する原則を厳格に適用することによって、他の利益が失われたり、不利益が生じる場合、他の利益(不利益)との調整のあり方について検討すべき(例えば、個人情報の保有状況の公開や、開示の求めへの対応によって、営業妨害行為を誘発する可能性がある場合に対応を拒否できることとする等)。
(4)合理的なコスト負担のあり方
個人情報保護のために個人情報保有者に生じるコスト(手間、時間、費用等)が合理的な範囲を超えると、事実上個人情報の利用が不可能になるため、企業がよりコストのかからない保護手段を選択したり、合理的な範囲内で消費者の協力を得ることを可能とすべき(例えば、個人情報の適正化、最新化の手法として、個人情報保有者側から問い合わせる方法だけでなく、本人からの変更の届出による方法を認める等)。
(5)業務委託の取扱い(委託側と受託側の責任分担のあり方)
業務委託(情報処理と業務そのものの委託を含む)を機動的に行なうことは業務を円滑に遂行する上で不可欠。受託側に対し、委託側と同様の義務を課す必要はなく、別途検討が必要。
(1)重大な悪質行為を行なった者の取締りと制裁措置に関する検討が必要
(善意の企業に厳しい規制を課しても、ひとたび悪意の者が個人の権利・利益を侵害するような行為に及べば消費者の信頼は失われてしまう。事前規制型では徒に社会全体としてのコストを引き上げるだけであり、実効性に乏しい)。
(2)例えば、「個人情報の盗取あるいは詐欺的・欺瞞的方法による取得およびその利用、開示、並びに第三者への移転」、「盗取あるいは詐欺的・欺瞞的手段の介在を知った上での個人情報の取得、利用、開示」などの明らかに悪質と思われる行為等、制裁を課す対象について議論を深める必要。
(3)善意の企業に両罰規定を課すことは、企業の日常的な事業活動に支障が生じるおそれがあるため、慎重にすべき。
(4)制裁措置の検討と併せて、効率的かつ実効性のある苦情処理・被害救済の仕組みを構築する必要があり、官民の役割分担のあり方について検討すべき。
(1)米国とEUの共同発表によると、欧州委員会は米国の自主ルールによる取組みに制裁措置や司法手続等の実効性担保措置を組み合わせたスキームを認める方向で交渉を進めており、諸外国に対してEU指令と同様の厳しい法制度の整備を求めているわけではないことに留意が必要。欧州の産業界の中にも、規制が厳しすぎるという評価が存在(例:個人情報の取扱いに関する問合せの件数は増えていないにも拘わらず、厳しい規制を課すのは理解できない。マーケティング等の足かせとなる。マニュアル情報の管理体制は未整備であり負担が重い、等)。
(2)例えば、英国では、本人の同意を得て収集したメーリング・リストや地図データを市販する業者が存在し、個人情報が幅広く利用されている。わが国では、本人の同意の上で個人情報が幅広く利用される環境が整っておらず、わが国に欧州型の規制がそのまま導入されると、個人情報の提供が進まなくなり、保護と利用のバランスが崩れてしまう懸念。
基本法の実効をあげるためには、個人情報を提供する際に企業の個人情報取扱方針を確認するよう呼びかける等、国民に対する教育・啓蒙が必要。
以 上