「我が国における個人情報保護システムの在り方について」（中間報告）に対する意見書

資料４　添付資料１

「我が国における個人情報保護システムの在り方について」（中間報告）に対する意見書

２０００（平成１２）年３月１６日
日本弁護士連合会

「我が国における個人情報保護システムの在り方について」（中間報告）に対する意見書

目　次

第１章　我が国における個人情報保護システムの基本的考え方

第２章　公的部門における現行の個人情報保護法の改正ついて
第１節　現行の個人情報保護法の問題点
第２節　日弁連個人情報保護法大綱
第３節　情報公開法と個人情報保護法との整合性

第３章　民間部門における保護すべき個人情報の定義、範囲
第１節　個人情報の定義
第２節　保護すべき範囲
第３節サイバースペースにおける個人情報保護法制について

第４章　民間部門の個人情報保護のために確立すべき原則
第１節　個人情報収集に関する原則
第２節　いわゆるセンシティブ情報の収集禁止について
第３節　報道機関と学術研究機関における個人情報保護原則の適用除外

第５章　民間部門の個人情報の利用、管理等、目的外利用
第１節　個人情報の利用とデータマッチングについて
第２節　目的外利用の適用除外について
第３節　データセキュリティ基準の策定と保存期間について

第６章　民間部門の本人開示、訂正等の請求
第１節　個人情報の保有状況の公開について
第２節　本人からの開示の請求
第３節　公開及び本人に対する開示の原則の適用除外について
第４節　本人からの訂正の請求
第５節　個人情報の数次取得者が存在する場合の措置について
第６節　本人からの自己情報の利用・提供拒否の請求
第７節　当事者が未成年者等である場合について
第８節　権利性について

第７章　民間部門の個人情報保護のための管理責任、苦情処理、相談、紛争処理機関
第１節　管理責任及び苦情処理等について
第２節　独立行政委員会について
第３節　民間における紛争処理機関の活用及び複層的な救済システムの在り方

第８章　国民、国、地方公共団体の責務
第１節　国民の責務
第２節　国の責務
第３節　地方公共団体の責務
第４節　事業者の責務

第９章　全分野を通じた登録・届出制度

第１０章　全分野を通じた罰則、悪質な不適正処理に対する制裁

第１１章　個別法　信用情報分野
第１節　個別法の整備について
第２節　信用情報分野における個別法の在り方

第１２章　個別法　医療情報分野
第１節　医療分野の個人情報保護の法制化の必要性について
第２節　カルテ等診療情報の本人開示について
第３節　診療情報の収集・管理・利用（提供も含む）の制限について

第１３章　個別法　電気通信分野
第１節「電気通信分野における個人情報保護法制の在り方に関する研究会」中間報告について
第２節　電気通信分野における個人情報保護の現状について
第３節　法制化の必要性について
第４節　法制化に向けた検討について

第１４章　個別法　教育情報分野
第１節　教育に関する個人情報の保護のあり方
第２節　現行の個人情報保護法の問題点について
第３節　文部省の方針との関係
第４節　信頼関係の回復のために必要なこと
第５節　在籍中の個人情報について
第６節　卒業後の個人情報について
第７節　学校の仕事の範囲

第１５章　自主規制　ガイドライン　認証制度
第１節　自主規制の取り組みの促進と問題点について
第２節　自主規制のあり方

　１９９９（平成１１）年８月１３日の１４５回通常国会で住民基本台帳法改正法案が可決されたが、その審議の際、自由民主党、自由党、公明党・改革クラブ間で、個人情報の保護について、１４５回国会中に検討会を設置のうえ、法制化に着手し、１９９９年内に基本的枠組の取りまとめを行い、３年以内に法制化を図るとの確認書が結ばれている（１９９９年６月４日付）。
　高度情報通信社会推進本部の下に設置された個人情報保護検討部会は、１９９９年１１月１９日に「我が国における個人情報保護システムの在り方について（中間報告）」（以下、「中間報告」という。）を纏めた。これを受けて、同年１２月３日、高度情報通信社会推進本部は、政府として中間報告を最大限尊重し、我が国における個人情報保護システムの中核となる基本的な法制の確立に向けた具体的検討を進めるとした決定を公表したが（「我が国における個人情報保護システムの確立について」）、さらに２０００（平成１２）年２月より、学者、弁護士等を含んだ個人情報保護法制化専門委員会を発足し、中間報告に基づいて、より具体的な検討が進められている。
　今回の中間報告は、国会、政府の動きの状況の中で、我が国における個人情報保護システムの基本的な在り方を提案し、最終報告の基本的な枠組みになるものであり、当連合会は、その中間報告の重要性に鑑み、以下のとおり、意見書を纏めるものである。

第１章　我が国における個人情報保護システムの基本的考え方

　中間報告が、個人情報保護を巡る内外の状況をふまえて、「現在の我が国においては、既に社会一般に広く個人情報の利用が進んでいるにもかかわらず民間部門をも対象とした基本的な原則等が確立されていないことは、バランスを欠いているといわざるを得ない」ことを指摘し、「我が国の個人情報保護システムの中核となる基本原則等を確立するため、全分野を包括する基本法を制定すること」を提言したことは評価する。
　もっとも、個人情報の保護について、公的部門と民間部門とでは、個人情報保護システムの原理が異なることに留意する必要がある。
　すなわち、国、地方公共団体、政府関連法人などの公的部門が保有する個人情報の保護は、憲法１３条にもとづき個人の尊厳を保障する義務に根拠付けられるものである。公的部門が国民の情報を収集・管理・利用するについては、法律に基づき、正当な政府活動のため必要な範囲で行わなければならない。したがって、公的部門については、個人情報の管理・保護を「プライバシー保護と個人データの国際流通についてのガイドラインに関するＯＥＣＤ理事会勧告」（①収集制限の原則、②データ内容の原則、③目的明確化の原則、④利用制限の原則、⑤安全保護の原則、⑥公開の原則、⑦個人参加の原則、⑧責任の原則：以下　ＯＥＣＤ８原則とする）等にしたがった法規範として定める十分な根拠がある。また、個人情報保護の基本原則のうち、「公開の原則」及び「個人参加の原則」に対応する本人情報の開示請求権は、情報公開制度の考え方（政府情報を知る権利ないし政府の説明責任）からも導かれる。
　他方、民間部門が保有する個人情報の保護も、個人の尊厳が基本的人権として保障され、憲法の間接的な適用を受けるものであるが、同時に、表現の自由、知る自由との調整、調和も考慮されなければならない。表現の自由は知り伝える自由であり、他人の個人情報を含め、情報を求め、受け、伝える自由は、基本的人権として保障されなければならない。表現の自由、知る自由は、個人の自己形成と共に、民主主義社会の維持発展のためにも不可欠である。中間報告が指摘する「保護の必要性と利用面等の有用性のバランス」も、このような個人の尊厳と表現の自由、知る自由との憲法原理の調整・調和を背景とするものであることを認識しておく必要がある。この観点からは、個人情報保護の理念として、ＯＥＣＤ８原則を承認するにあたり、知る自由、すなわち情報を入手し保有し伝える自由を規制してもやむをえないといえるだけの個人の人格的利益の保護の必要性が認められる場合に、法規制が可能となると考えるべきである。
　したがって、中間報告が指摘するとおり、基本法の内容としては、「個人情報保護の目的」「保護すべき個人情報の範囲」、「基本原則」及び「国民、国、地方公共団体の責務」を盛り込むことは、おおむねが適当であるが、全体としては個人の人格的利益の侵害から個人を保護する必要性が具体的に認められる部門、すなわち公的部門と民間部門の一部については一定の法規制を行い、それ以外の民間部門については主として、ＯＥＣＤ８原則等の理念に則した自主的規制を奨励するという基本法にすべきである。
　したがって、基本法については、公的部門と民間部門とを明確に区別して検討すると同時に、これと並行して、個人情報についてどのような問題が生じているかを具体的に検証し、その問題を解決するために、個別法を含めた検討が重要である。

第２章　公的部門における現行の個人情報保護法の改正ついて

第１節　現行の個人情報保護法の問題点

　公的部門の個人情報保護法の検討において最も重要なものは、国の個人情報保護法の現行法である「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」の改正である。
　現行法は、その名が示すとおり、国の行政機関だけを規制対象とした、しかも電子計算機によって処理される個人情報のみを対象にしマニュアル情報を除外した法律になっている。さらに、この法律は、行政の運営に重きをおくあまり、個人情報収集制限の規定がないこと、官報で公告された個人情報ファイルだけが自己情報開示請求の対象となり、かつ不開示事由が広範であること、自己情報訂正請求権を認めないことなど、個人情報の保護が不十分である。衆参両議院での法律案審議過程においてもこれらの点が強く指摘され、それぞれ１２項目に及ぶ附帯決議（別添資料）がなされ５年後に見直すこととされた。

第２節　日弁連個人情報保護法大綱

　当連合会は、現行法の成立以前からその法律案の問題点を指摘し、１９８８（昭和６３）年５月には｢個人情報保護法案に対する意見書｣を公表したが、日弁連の意見がほとんど汲み入れられることなく現行法が成立し、５年後の見直しも実質的になされていない。昨年、住民基本台帳法改正の審議過程において、個人情報保護が不十分であるとされたのは、この現行法が見直されることなく、公的部門の個人情報保護の体制が不十分であることに帰因している。当連合会は、現行法の抜本的な改正に向けて検討を重ね、１９９０（平成２）年９月には個人情報保護法第１次試案を取りまとめ、さらに、各単位会及び関係委員会から寄せられた意見を元に、１９９８（平成１０）年３月、個人情報保護法大綱（以下、「日弁連大綱」という。）として取りまとめ、公表するに至った。
　日弁連大綱の特徴は、ＯＥＣＤ８原則を個人情報保護に関する最小限のルールと位置付け、同８原則を公的部門に適用される各規定のうえで最大限尊重するとともに、諸外国の法律、国際条約ならびに日本の地方公共団体の条例などを検討して策定したものである。
　具体的に、日弁連大綱では、法律の目的が個人のプライバシーを始めとする基本的人権の擁護にあることが明確にされるとともに（第１）、対象を電算処理情報に限定せず、マニュアル（手処理）情報にまで広げ（第２）、収集制限（第４）、センシティブ情報の特別な保護（第５）、オンライン結合の制限（第２０）、自己情報開示請求権の例外としての非開示事由を必要最小限に限定すること（第２１）、訂正等請求権・中止請求権の創設（第２２、第２３）、実施機関による個人情報の届出制（第２４）、賠償に関する特別規定（第７２）等現行法にはみられない規定がおかれている。
　また、大綱は、独立行政委員会である個人情報保護委員会において、個人情報及びこれに関する基本的人権の擁護に必要な調査、研究、実施機関の監督、指導（第２８）、個人情報の届出事項登録簿の備え置き（第４０）、勧告（第４２）、是正命令（第４３）等を行うこととし、各行政機関の行う個人情報処理を監督させる（大綱は「自由と正義」１９９８（平成１０）年６月号１４７頁に収録）。
　政府においても、現行の個人情報保護法については、そもそも、法制定時から衆参両議院の１２項目におよぶ附帯決議がなされた経過に照らしても、直ちに、法律改正作業に入るべきである。その際、日弁連大綱が参考とされることを、当連合会として強く要望するものである。

第３節　情報公開法と個人情報保護法との整合性

　日弁連大綱については、情報公開法試案（１９９８（平成９）年３月公表、以下「試案」という。｢自由と正義｣１９９７（平成９）年５月号１６７頁に収録）との整合性についても検討された。試案６条によれば、何人も実施機関等に対し、その保有する情報の公開を請求する権利を有する。実施機関の長は、当該情報を閲覧または謄写させなければならない（試案１０条１項）。しかし、個人のプライバシーに関する情報であって公開することにより個人のプライバシーを侵害するおそれのあるものについては、当該情報を閲覧又は謄写させないことができる（同１１条本文）。情報公開法試案により何人にも非公開とされた情報であっても、個人情報保護法大綱第２１によれば、実施機関に対して、自己に関する個人情報の開示（個人情報が存在しないときにその旨を通知することを含む）を請求することができる（同第１項）。
　大綱における自己情報開示請求権は、憲法２１条に基づく知る権利の具体化であるとともに、憲法１３条に基づくプライバシー権、特にその積極的側面である自己情報コントロール権の具体化である。
　国が保有する個人情報について、ＯＥＣＤ８原則などに即した法規制を行うべきであることは明白であるが、さらに情報公開法は、行政機関が保有する情報をすべて開示請求の対象としたのであるから、個人情報についても、その管理の形態にかかわらず、行政機関の保有するすべての個人情報を開示請求の対象とするのは当然である。現行の個人情報保護法を改正し、情報公開法との整合性をはかることが必要である。特に、情報公開法は、本人情報は個人情報保護法上の開示請求権に基づき、十分開示されるよう個人情報保護法をただちに改正することを前提に、請求者本人の情報であっても個人情報として不開示とするとの考えのもとに制定されている。２００１年４月に情報公開法が施行される予定であるが、それまでに個人情報保護法を改正しておかないと、本人情報が情報公開法でも個人情報保護法でも開示されないという極めて不合理な事態が生じることになる。約半数の都道府県においても、マニュアル情報を含むすべての個人情報を対象とする個人情報保護条例が制定され、情報公開条例との整合性をはかることとされているが、政府においても、現行の個人情報保護法を改正することにより、同様の措置がとられるべきである。
　以上のことから、個人情報保護の基本法の検討とは切り離し、すみやかに現行の個人情報保護法の改正を行うべきである。この改正がなされないことは国会決議を無視する行政の怠慢と言わざるをえない。
　当連合会は、公的部門については現行の個人情報保護法を抜本的に改正すべきであると考え、以下、基本法については、第１章で述べた、個人情報保護についての公的部門と民間部門とでの個人情報保護システムについての基本的な考え方の違いをふまえて、民間部門における個人情報保護のための基本法に限定して、意見を述べる。

第３章　民間部門における保護すべき個人情報の定義、範囲

第１節　個人情報の定義

　民間部門における個人情報保護基本法において、個人情報については、「個人に関する情報であって、当該情報から特定の個人が識別され又は識別され得るもの」（但し、事業に関する情報を除く）と定義すべきである。
　個人情報の保護は、情報主体である個人の人権保障のためのものであるが、これを制度化する場合には、個人に関する情報であって、特定の個人が識別され又は識別され得るものを広く保護の対象にすべきである。このように個人情報一般を対象にした上で、さらにセンシティブ情報など特別に保護の必要なものには、さらに適切な保護をあたえることが望ましい。
　法人その他の団体に関する情報については、個人情報の保護とは区別して考えるべきであるとする中間報告に賛成である。

第２節　保護すべき範囲

　民間部門における個人情報保護基本法において、保護すべき個人情報の範囲については、デジタル化されたものだけでなく、マニュアル情報も含むべきであり、「事業者が、その業務に関連して収集し、管理し、利用（提供を含む）するすべての個人情報」とすべきである。
　個人情報保護の観点からは、保護の範囲に特に限定を付す必要もないと考えられるが、規制の対象となる事業者に極度の負担をかけるのも適当ではないので、客観的、合理的な範囲を定める必要がある。
　保護の範囲は、デジタル化された情報（電子計算機処理に係る情報）であるにしても、マニュアル情報であっても個人の重要な情報が含まれている場合があり、これを含ませるべきである。
　「ファイリング等により、検索可能な個人情報」という考え方もあるが、｢ファイリング｣及び「検索可能」という定義が法文上不明確である。
　規制の対象が、事業者であるので、その事業者が業務に関連して収集し、管理し、利用（提供を含む）する個人情報を対象とすべきである。このように定めれば、事業者にとって対象となる個人情報は、認識できる。
　したがって、個人が私的に収集し、利用している情報や事業者であってもたまたま保有することになった情報などは除外される。私的に、収集されたものでもこれを対価を得て他者に提供する場合なども問題であるが、私的な行為により人権が侵害する危険性は事業者によるものに比べはるかに低いと思われるので、本法で規制を及ぼす必要はないと考える。

第３節サイバースペースにおける個人情報保護法制について

　中間報告における、「個人情報保護のシステムを検討するに当たっては、このような今後における個人情報利用の分野の拡大及び高度化など、今後起こり得る様々な状況の変化に対して、これらに的確に対応し得るような全体として柔軟なシステムの構築を目指す必要がある」との点は、不可欠の視点である。インターネットの利用に伴って生じるプライバシー侵害行為に対する保護方策については、「サイバービジネスに係る個人情報の保護に関するガイドライン」、「民間部門における電子商取引に係る個人情報の保護に関するガイドライン」など一部見られるところであり、電子商取引に関しては、法務省、通産省、郵政省および警察庁において、電子署名・認証制度の法制化に向けての取組が進められているところではある。しかし、インターネットの利用に伴って生じるプライバシー侵害は、電子商取引の場面に限ったことではなく、今後個人情報保護が最大の問題となるのは、インターネットを利用する業務分野全般、すなわち「サイバースペース」に係る業務分野全般においてである。したがって、その性格上当然、分野横断的かつ包括的な基本法の制定に当たっては、「サイバースペース」における個人情報保護について、セキュリティの側面も含め、分野横断的かつ包括的に検討し、そのための規定も明確に設けるべきである。

第４章　民間部門の個人情報保護のために確立すべき原則

第１節　個人情報収集に関する原則

　中間報告が示す個人情報の収集に係わるアからエの原則は、中間報告自体がＯＥＣＤ８原則から導いたことを明らかにしていることからも判るとおり、特定の分野の問題ではなく、個人情報保護のための全領域に共通の原則と考えられるので、民間部門個人情報保護基本法の中にもその理念を掲げるべきである。ただし、民間部門個人情報保護基本法に規定する条項は、それぞれ抽象的な、場合によっては理念の宣言に留まるものにならざるを得ないと考える。以下、それぞれについて検討する。
　アの収集目的の明確化については、目的を明確にして、収集は目的達成に必要最小限とすべきことを民間部門個人情報保護基本法に規定する。ウの適法かつ公正な手段による収集についても同様に民間部門個人情報保護基本法に規定し、両方とも、具体的な内容は、各個別法およびガイドラインに委ねるべきと考える。
　イ及びエは第三者からの収集制限に係る原則（直接収集の原則）に関連するものであるが、この原則の例外については、中間報告があげる例の他に、名簿業者の取扱い、情報公開法に基づく開示請求権との関係、弁護士法に基づく照会に対する対応等、様々な検討すべき項目があり、実際、今日の経済社会の実態から考えてみても、直接収集には広範な例外を設けざるを得ないのが現実と考えられる。
　しかし、だからといって直接収集の原則の規定を民間部門個人情報保護基本法から除いてしまうことには反対である。国民各人が個人情報をコントロールするためには、その情報の流出時点での把握が重要だからである。したがって、直接収集の原則については、民間部門個人情報保護基本法には理念の宣言的な条項を設け、ここに、本人以外からの情報の収集はそれによらなければ収集の目的が達せられない場合等の例外的な場合であり、その場合でも目的に必要な最小限のものとすべきことなどの内容を盛り込むことを検討すべきである。これによって、個別法、ガイドラインを策定する際に、その指針の役割を果たすことができると考えられる。また、中間報告で問題を提起されている、取引安全のために第三者から信用情報を収集することを許容することも可能になると考えられる。

第２節　いわゆるセンシティブ情報の収集禁止について

　次に、個人情報の収集に関する原則として、思想、信条、人種、身体・精神障害等のいわゆるセンシティブ情報の絶対的収集禁止の規定を基本法に規定することについても検討すべきである。現実には、身体障害の有無、病歴、場合によっては宗教さえも情報の収集が不可欠な場合があることは容易に想像がつき（病院に入院する際、入院食の関係で宗教が聞かれることが一般的である）、民間部門個人情報保護基本法にこの原則をそのまま規定することは難しいと考えられる。しかし、この原則は、これまで多くの自治体の条例に規定され、確立されつつある原則であることを考えれば、個別法やガイドラインの策定の際の指針となるように、民間部門個人情報保護基本法の中に、個人情報の中でも特別な配慮をすべき情報分野があることを認識させる規定を設けることを検討すべきである。

第３節　報道機関と学術研究機関における個人情報保護原則の適用除外

　報道機関は、憲法２１条に基づき、国民の「知る権利」に奉仕すべき「報道の自由」や「取材の自由」を有している。「報道の自由」や「取材の自由」の重要性については、国民主権、民主政治との関連で理解すべきである。すなわち、個人は、さまざまな事実や意見を知ることによって、はじめて政治に有効的に参加することができるのであり、この意味で、「知る権利」は個人が政治過程へ参加するために欠くことにできない、民主政治に不可欠な基本的人権といえる。ところが、現代の複雑化した社会では、個人が事実を知ろうとしてもおのずと限界があり、国民に事実や意見を伝えるマスメディアの役割に大きく依存せざるを得ないのが現状である。したがって、「報道の自由」は国民の「知る権利」に奉仕するものとして、「知る権利」と同様に保護されなければならない。そして、自由な情報の発信には、自由な取材が当然の前提になることから、「報道の自由」には「取材の自由」が含まれると解される。
　このような報道機関の重要な役割を考えれば、「取材の自由」に制限を加える個人情報の収集原則は、報道機関に対しては適用を除外すべきと解さざるを得ない。もちろん、報道機関といえども、いたずらに個人のプライバシーを暴くような報道が許されないことはもちろんであり、昨今、不必要にセンセーショナルな報道、不公正な報道により、「報道被害」が新たな社会問題化していることも事実である。しかし、上記のような報道機関の役割を考えると、かかる問題への対処は、法的な規制を行うことは適当でなく、第三者機関による監督を含めた自主的規制に委ねるべきである。現在、各業界ごとに、様々な自主的対応が行われているが、むしろ基本法においては、かかる自主的対応のより実効的な働きを促す規定を設けることを検討すべきと考える。
　また、学術研究機関についても同様のことが言える。学問的真理の発見が、国民ひいては人類の発展に貢献してきた事実をふまえて、学問、研究の自由（憲法２３条）は、最大限に尊重されるべきであり、これに制限を設ける個人情報の収集原則は、学術研究機関には適用を除外すべきである。
　以上の収集原則に関して、①報道機関の報道目的の情報収集、②学術・研究機関の研究目的の情報収集を原則の規定自体の適用除外分野として、基本法に明示すべきことを検討すべきである。この際、除外対象となる報道分野および研究分野が不明確であることで“萎縮的効果”が生じる可能性があるので、報道機関の取材は報道目的を推定する規定を設けるなど特別な配慮をすることを検討すべきである。

　同様に、報道機関と学術研究機関については、以下に述べる民間部門の個人情報の利用、管理等、目的外利用制限、本人開示、訂正等の請求、管理責任、苦情処理、相談、紛争処理機関における紛争処理についても、適用除外を検討すべきである。個人情報保護の基本原則のすべてについて適用除外をすると、民間部門個人情報保護基本法から対象外として取り扱われることも考えられるが、いずれにせよ、報道機関と学術研究機関については、報道・取材の自由、学問・研究の事由の重要性をふまえて、基本原則からの適用除外について、関係当事者の意見も聴取のうえ、十分に検討すべきである。
なお、ＥＵ指令においても、ジャーナリズム、芸術、文学などについては、適用の免除、あるいは軽減を認めている。

第５章　民間部門の個人情報の利用、管理等、目的外利用制限の適用除外

第１節　個人情報の利用とデータマッチングについて

　個人情報の利用に関しては、まず、検討部会における議論でも指摘されているとおり、いわゆるデータ・マッチングとの関係が問題となる。「利用」の定義として、データ・マッチングが含まれるか否かが明らかでないが、特段除外されているとも読めないことから、このままでは、データ・マッチングが自由に行える可能性がある。
　民間事業者がその業務展開に当たって、マーケティング等の関係で個人情報の価値・重要性は極めて高く、しかも、個人情報の種類は多ければ多いほどよい。今後も個人情報に対する需要は増加することはあっても、減少することはないと考えられる。
　今日、インターネットの利用等により、事業者間において、それぞれの収集目的の範囲内で収集した個人情報を相互に提供し合い、任意にマッチングして個々の事業者の業務に利用することは極めて容易であり、これが全く無秩序に行われることになれば、結果的に利用の前段階の規制である「収集制限の原則」の意義が大きく損なわれるおそれがあるとともに、当該情報主体の全体像が容易に把握できることになってしまう。データ・マッチングによる個人情報侵害のおそれは大きいと言わざるを得ない。
　したがって、個人情報利用とのバランスを考慮しつつも、データ・マッチングに対する規制措置（少なくとも、「事業者は、法律の規定により具体的に認められている場合その他正当な理由がある場合に限りオンライン結合をすることができる」との趣旨の規定）を設けるべきであり、悪質な違反者に対しては、罰則による担保も検討すべきである。

第２節　目的外利用制限の適用除外について

　一方、中間報告にも述べられているとおり、目的外利用制限の適用除外について検討する必要がある。
　その際、例えば情報公開法では、個人情報は原則として不開示事由となっているが、例外的に開示（決定）される場合（裁量的開示を含む）も存在し、この場合に目的外利用に該当して禁止されることになれば、情報公開法の当該規定の実効性に支障が生じる可能性があり、目的外利用制限の適用除外として民間部門個人情報基本法自体または整備法において、明確に規定する必要がある。
　同様に、民事訴訟法法上の文書提出命令に基づく個人情報を含んだ書面の裁判所への提出、弁護士法２３条の２に基づく弁護士会への照会請求に対する個人情報に関係する回答等についても、迅速かつ公正な司法の実現等の当該制度趣旨に鑑み、目的外利用制限の適用除外として民間部門個人情報基本法自体または整備法において、明確に規定する必要がある。

第３節　データセキュリティ基準の策定と保存期間について

　中間報告において検討が必要とされている事項については、そのとおりであると考えられるが、今後さらに、コンピュータを中心とする情報システムへの依存度が高まり、インターネット利用がさらに進展することに鑑みると、民間部門個人情報基本法は、いわゆるデータ（コンピュータ）・セキュリティ対策に踏み込んだ内容とすべきであり、分野横断的に共通するデータ（コンピュータ）・セキュリティ基準、すなわち、単に「データの改ざん、滅失、毀損又は漏洩を防止すること」という抽象的なものにとどまらず、既にあるガイドライン等の共通項をまとめた、できる限り具体的な基準を民間部門個人情報基本法又はこれに基づくガイドラインにおいて規定すべきである。
　また、「第２章の第２節　保護すべき範囲」において一定範囲の事業者に対し、より厳しい規制を設ける場合には、それらの事業者個々に当該基準に沿った社内基準の作成を義務づけ、当該事業者に個人情報を提供する情報主体に明らかにする義務を規定することを検討すべきである。
　さらに、収集した個人情報の保存期間についても、分野横断的に共通する基準を民間部門個人情報基本法又はこれに基づくガイドラインにおいて規定すべきである。

第６章　民間部門の本人開示、訂正等の請求

第１節　個人情報の保有状況の公開について

　中間報告の記述自体には異論はない。しかして、公開の在り方は、以下のとおりであるべきである。
　本人は、誰が、どのような目的で、どのような方法によって、個人情報を収集し、管理し、利用（提供を含む）しているのかを、容易に検索できるのでなければならない。したがって、個人情報の収集し、管理し、利用（提供を含む）を行う事業者であって、民間部門個人情報保護基本法に定めるもの（以下、本章において単に「事業者」という）は、個人情報の保有状況を公開し、これを一般の閲覧に供しなければならないものとすべきである。

第２節　本人からの開示の請求

　ある個人情報について、当該本人から事実上開示を求められる場合について、中間報告の記述自体には異論はないが、本人に対する開示の在り方は、以下のとおりであるべきである。
　本人は、事業者が保有している自己についての個人情報を、合理的かつ本人にとり容易な方法によって、開示を受けうることが保障されなければならない。したがって、事業者は、本人からの開示の求めがあったときは、当該事業者が行っている蓄積・処理の方法に応じて法令により定められる合理的な期間内に、自己が保有する当該本人にかかる情報を開示するものとすべきである。
　開示の方法は原則として書面によるべきものとし、本人の明示の同意があるときに限り、法令に定める書面以外の方法による開示が許されるものとすべきである。

第３節　公開及び本人に対する開示の原則の適用除外について

　中間報告は、「現行の『行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律』において公益上の観点や当該個人情報の性質上の観点等から適用除外されているものが数多くあるように、保有状況の公開や本人からの開示の求めに応じることが適切でないと考えられる場合が種々想定されるので、これらの適用除外の要否について検討する必要がある。」とする。
　たしかに、全ての事業者に対して公開の原則及び本人開示の原則を厳密に適用するならば、この要求に応じきれない事業者が数多く存在するであろうことは否めないが、これらは事業者が行う個人情報の収集・管理・利用の方法とその目的とによって、基本法の原則の適用から除外し、あるいは適用の程度に差を設けることによって解決すべきものであり、全事業者に共通して適用されるような適用除外事由の規定を設けることについては、基本法は非常に抑制的でなければならない。
　全事業者に共通して適用されるような適用除外事由は、開示することによって、当該本人自身又は第三者が著しい不利益を被ることが明らかであるときや、法律の具体的規定により開示することができないとされているときに、限定されるべきである。
　また同様の観点から、これらの適用除外事由は、その適用自体も抑制的になされるべきであり、ある部分のみを公開または本人に開示しないことによって前記のような弊害を避けることができる場合には、部分開示を原則として、当該部分を除いたその余の部分については公開または本人開示されるべきである。

第４節　本人からの訂正の請求

　中間報告は「訂正」についてのみ言及しているが、情報が完全に誤っているときには訂正にとどまらず情報全体の削除の求めも認められるべきであるので、そのことを明らかにするため、「本人からの訂正または削除の請求」とするべきである。
　情報の正誤についての見解が異なる場合の取扱において、司法救済を可能にする分野と自主規制に委ねる分野とに分かれることについては、後述の第８節の「権利性について」の項において述べる。

第５節　個人情報の数次取得者が存在する場合の措置について

　中間報告は、「この場合、基本的には、直接の提供先に対して提供したときと同等の手段及び相当の方法で訂正を行うことで足りるのではないかと考えられる」と述べているが、不当である。
　個人情報について数次の取得者が存在するということは、一次的取得者が他に提供する目的で個人情報の収集等を行う者であることを意味する。さらに、三次以降の取得者が存在するということは、二次的取得者が他に提供する目的で個人情報の取得等を行う者であるということを知ってこれに個人情報を取得せしめたことを意味する。このような場合には、当該情報の誤りを惹起した事業者の責任と負担において、提供先業者をして更にその累次提供先業者をして当該誤った個人情報の訂正をあわせて行わせるのでなければならない。

第６節　本人からの自己情報の利用・提供拒否の請求

　中間報告は、「収集の際の本人同意がなくなった状態として他の原則を適用することが基本であると考えられる」としながら、他方で、「本人の同意がいつでも撤回できることとなるのは安定性を欠く結果ともなるので、個別の事情に応じて拒否できる場合があり得るとすることが適切であるとも考えられ、検討する必要がある」としているが、（中間報告の趣旨が何処にあるのか、やや不明確であるが、）
（１）第一に、本人の同意なくして収集され、あるいは目的外利用等された個人情報については、本人は、無条件で利用・提供拒否を求めうるのでなければならない。
（２）第二に、本人がいったん利用・提供に同意した個人情報についても、将来に向かっては無条件で撤回できるのでなければならない。
　中間報告は、「個別の事情に応じて」これを拒否しうる場合があるように読めるが、もしそうだとすれば、個人情報の自己決定の大原則を軽視するものであり、不当である。
　自己についての情報を本人が管理しうるということが、個人情報保護の理念の根本であって、利用・提供の拒否が将来に向かってのものである限りにおいては、安定性云々の問題は生じないはずである。

第７節　当事者が未成年者等である場合について

　中間報告が、「原則としてその法定代理人が本人に代わって求めることができるとすることが適当であると考えられる」とするのは相当である。しかし、「代理人と本人との間で利益が相反するようなケースもあり得るので、この点も含め検討する必要がある」としている部分については、さらに具体的に検討されるべきである。
　たとえば、未成年者等であっても、個人の自己情報コントロール権は、その人格権の一部であるから、婚姻その他と同様、代理人と本人との間に利益の相反があろうとなかろうと、事理を弁識する能力を備えている者の場合は、法定代理人の意に反してでも本人としての権利を行使しうるものとすべきである。

第８節　権利性について

　本人による開示、訂正、利用・提供拒否の求めは、民間部門個人情報基本法においても、少なくとも権利宣言的な規定として明記されるべきである。
　中間報告は、「民間事業者等の実務の実態を踏まえて行為規範に止めるべきであるとの意見」「法制化段階で検討すべき課題であって現時点で考え方を限定するべきではないとの意見」に対し一定の配慮を示しているが、基本法によって、本人による開示、訂正、利用・提供拒否の権利を確認することによって個人情報の保護に資するものとなろう。このようなことは、国や地方公共団体の情報公開が「行為規範」にとどまっている間は一向に向上せず、情報公開請求権が権利として保障されることによって初めて前進を見るに至った歴史的事実によっても証明済みである。
　さらに、個別法によって具体的請求権を明記し、司法救済を可能にする分野ともっぱら権利確認を前提としてガイドライン等による自主規制にゆだねる分野とに分かれるが、これらの権利を確認することは、いずれの分野においても個人情報保護に資するものと考える。

第７章　民間部門の個人情報保護のための管理責任、苦情処理、相談、紛争処理機関

第１節　管理責任及び苦情処理等について

　中間報告は、ＯＥＣＤ８原則の「責任の原則」に対応するものとして、管理責任及び責任者の明確化と苦情処理・相談窓口の設置及びその適正な処理をはかるべきであるとする。
　「責任の原則」とは、「データ管理者は、収集制限の原則、データ内容の原則、目的明確化の原則、利用制限の原則、安全保護の原則、公開の原則、個人参加の原則の基本原則を実施するための措置に従う責任を有する。」とするものである。
　すると、データ管理者は、適正な情報の収集、管理、利用がなされることを確保するための事業者の内部での活動、そして、公開の原則、個人参加の原則を実現するための対外的な活動を責務とすることになる。
　したがって、内部的な管理者の明確化と対外的な苦情処理・相談窓口の設置は当然求められるところで、特段にそのことに異論はない。
　しかし、民間部門における個人情報保護基本法では、その内容をよりいっそう具体化する必要がある。
　そこで、以下の内容の提案をする。
（１）事業者に、情報管理の方法に関し重要な事項を定めた計画を策定し、公表することを義務づける。
（２）事業場単位で情報管理責任者を選任し、事業場単位で苦情窓口・相談窓口を設置することを義務づける。
　また二つ以上の事業場があるような事業者は、総括情報管理責任者を選任する。
　さらに、一定の規模以上の事業場・事業者及び情報管理を業とする事業者には、情報管理委員会の設置を義務づける。
　情報管理責任者の選任、相談窓口・苦情処理窓口の設置をそれぞれ事業場単位とするのは、事業場が業務執行の単位になっているという実態とまた苦情申立人や相談者の双方の便宜を考慮してのものである。
（３）また、情報管理責任者及び総括情報管理責任者は、適正な個人情報の管理を行うため、情報の管理に従事する者に遵守させるための教育訓練、内部規定の整備、安全対策の実施並びに実践遵守計画（コンプライアンス・プログラム）の策定及び周知徹底等の措置を実施する責任と権限を有することする。
（４）苦情処理・相談窓口については、その設置の周知を行うこと、相談窓口等の責任者を明確にすることが求められる。
（５）苦情処理、相談窓口に、質問、苦情があったときは、その内容について調査し、合理的な期間内に、かつ適正な方法による回答の義務があることを定めなければならない。

　中間報告によれば、「個人情報保護の問題は、個人情報の不適切な取扱いという事実行為に起因しているので、これを法的に解決するというよりも当事者間での事実上の対応等により解決しうる場合も多いと推測される」とする。確かに事実上の対応によって迅速な解決が望まれるが、だからといって、曖昧に処理することを許してはならない。適正な処理がなされるよう、苦情処理の基本的手続きについても、規定を設けることが必要である。

第２節　独立行政委員会について

　中間報告は、「EUにおける『データ保護庁』のようなあらゆる分野を通じた規制権限を有する監督機関の創設は、一般多数の事業者に対する規制措置によって本来自由であるべき事業活動を大幅に制約することとなるなど、我が国の現状にかんがみると適切でなく、また行政改革や規制緩和の流れにも反するところである。」として、官民を通じた個人情報保護の基本原則すら確立されていない我が国の現状においては、事後救済システムの構築を目指し、監督機関を設置しないとしている。
　しかし、我が国の個人情報保護の取り組みは、コンピュータ技術の急速な進展や情報流通の急速な拡大に比して、あまりにも遅れている。そのことと比例するように事業者の個人情報に関する問題意識は希薄だと言わざるを得ない。むしろ官民を通じて個人情報保護の基本原則すら確立されていない現状に鑑みれば、苦情処理・相談や監督権能を有する機関の設置は重要なポイントとなる。
しかも、個人情報の不適切な管理によって問題が発生した場合、すでに情報が漏洩するなどして、事後救済だけでは、とうてい実質的な救済にはならないケースも多く想定できる。また事業者の自主的取り組みによって個人情報の保護を確保しても、悪意の者によって個人情報が不適切に扱われる可能性も高く、その場合自主的取り組みによる実効性やアウトサイダーに対する適切な取扱を求めることができないといった状況が生まれてくる可能性は否定できない。
　しかし、他方で公権力が監督の名下に、私的自治原則が適用される民間部門に過度に介入することは避けなければならない。
　したがって、公的システムとしては、個人情報保護の扱いに関する苦情処理・相談機関を設けるべきである。具体的には、苦情処理・相談機関として、日弁連が提案する独立した第三者機関である個人情報保護委員会を設置し、地方には委員会の地方事務所を置き、行政委員会として統一的な権限を行使することが考えられる。情報管理に関わる機関であるため、他の行政機関と独立した機関であることが望まれることから独立行政委員会とするものである。
　当面は、同委員会の委員及び事務局に独立した調査権限を付与し、その調査権限を基礎にして指導・助言に関する権限及び勧告・是正命令権限を与え、オンブズマン的な機能の発揮も求めることとする。
　将来的には、同委員会に、EUのデータ保護登録官のような機能が付与され、同委員会のもとに情報管理の適切な処理がなされるよう積極的に検討すべきである。

第３節　民間における紛争処理機関の活用及び複層的な救済システムの在り方

　中間報告は、事後救済システムの在り方について、「民間における自主的な紛争処理の仕組みの整備が望まれる」とし、「具体的には、より中立性が高く、社会的影響力のある事業者団体、公的機関、第三者機関等による紛争処理の仕組みを整備することが必要であり」「また実効性の担保の観点から、それぞれの段階において、事業者、民間第三者機関等、地方公共団体、国、統一的な第三者窓口が役割を分担しつつ、全体として効果的に機能しうるような『複層的な救済システム』を構築していくことが有効かつ適切である」とする。中間報告も、考えられる救済機関を述べ、具体的には今後の検討課題とするにとどめた。
　権利を侵害された場合の事後救済制度としては、民事訴訟制度がある。この民事訴訟制度が、事後救済の要であることに変わりはないが、個人情報に関する紛争は多様なものが予想され、判決によっても紛争の実態に則した解決とならない場合も考えられること、そのために紛争の実態に則した柔軟な解決が期待されること、また公開手続きになじまない紛争が予測されること、厳格な民事訴訟制度では時間と費用の問題が権利侵害を潜在化させる危険性があることなどから、紛争の実態に則した国民にとって利用しやすい裁判外の複数の救済制度が準備されることが望ましい。そのような観点からは「複層的な救済システム」が必要であることに異論はないと思われる。
　しかし、そのような裁判外の紛争処理は、正義にかなったものでなければならない。つまり裁判外の紛争処理機関は、中立、公平、公正な立場でなければならないし、また、その紛争解決はその紛争の実態に応じた柔軟なものが求められるとしても、法的な正義にかなうものでなければならない。
　したがって、中間報告の事業者及び事業者団体の苦情処理機関が紛争解決・権利救済の役割をある程度担うことはできるとしても（例えば、事業者団体等の苦情処理機関の制度的有り様を工夫することによって）、そこには中立性や信頼性の確保の上では限界があることを十分に認識しなければならない。
　また、事業者団体に加入しないアウトサイダーによる権利侵害も多く考えられることから、裁判外の救済制度の要となるべき横断的な救済機関を構築することが是非とも必要であり、それこそが、救済制度の統一性の確保に資することになる。
　そこで、要となるべき救済機関は、
（１）権利侵害・紛争の発生は、あらゆる事業者で想定できることから、その救済制度を維持する費用は、公的資金でまかなう必要がある
（２）法的正義にかなった解決つまり個人情報の保護の原則に則った解決を図らなければならない、
（３）国民に身近で利用しやすいものでなければならない、といった要請を満たす必要がある。

　それらの要請に応えやすいものの一つとして、行政委員会型の救済機関がある。国及び各都道府県に個人情報保護委員会を設置し、独立の行政委員会として、斡旋、調停及び仲裁の手続きを実施することである。この点については、第２節で述べたとおりである。
　行政委員会型の救済制度は、ややもするとその手続きが厳格で国民に利用しにくいという欠点を持つとする批判も多いが、それぞれの紛争処理手続きに応じた運用の工夫（口頭申立てを認めること、申立て内容の明示について緩やかな措置を執ること、弾力的な事実調査、審理方式の導入など）によって、機動的な紛争解決がはかることを期待できるものと思われる。
　そして、その紛争処理手続きを適正なものとするためには、情報の偏在が懸念されることから、上記行政委員会には、その紛争処理手続きに必要な範囲で資料の提出を求める権限などを与える必要がある。さらに、法的正義にかなった解決を図るためにその紛争の処理に法律家の関与が求められる。

第８章　国民、国、地方公共団体の責務

第１節　国民の責務

　中間報告は、基本法に、個人情報を保有する者が遵守すべき基本原則とあわせて、国民においても、他人の個人情報の保護に努力すべき旨及び自らも自己情報の適切な管理について責任を有する旨を明らかにする必要があり、具体的な定め方については、確立すべき基本原則の内容等を勘案しながら検討する必要があるとする。
　しかし、このように一般的・抽象的な規定を設ける必要があるか否かは疑問である。
　民間部門の個人情報の保護は、高度情報化社会のなかで、個人に関する情報が、個人の知らないところで収集されたり、必要があって提供した情報が本来の目的以外の目的で利用されたり、誤ったまま保有されたりすること等への弊害から個人のプライバシーを保護するためのものである。それは、個人情報の保有者を規制するべきものであり、国民の責務として、たとえ、抽象的・一般的なものであっても、国民に何らかの責任があるかのような規定を設けるべきではない。個人情報の不正流出等、個人情報保護法制の検討を迫る具体的問題は個人情報保護についての国民の認識が不充分であったことから生じたというよりも、個人情報の保有者の情報管理に問題があったのである。
　したがって、このような規定を設けることは、単に必要がないということ以上に、問題の本質をあいまいにするものであり、妥当でない。
　ただし、中間報告が「他人の個人情報の保護に努力すべき旨を明らかにする」と述べる部分が（刑事罰まで考えているものではないと思われるが）、例えば、個人情報を保有する事業者またはその職員が、故意に個人情報を不正に流出させた場合に、これを処罰する方向の検討を含むものであれば、そのような規定を設けることは検討の余地がある。
　また、自己情報を適切に管理する責任を明記することは疑問があるが、国の責務として、自己情報の管理につき、国民に対する啓発・教育をするよう明記することは異論のないところであり、自己情報を適切に管理する責任とある部分は、観点をかえて上述のような形で、国の責務の中に明記するべきである。

第２節　国の責務

　中間報告は、国に対して、必要となる法律上の措置を講ずるよう努力すべき旨、自主規制等を促進するための措置を講ずるよう努力すべき旨、国民に対する啓発活動等に努力すべき旨及び各行政庁に所管業界等に関する苦情処理・相談窓口を設置すべき旨を述べている。
　基本法であるという性格からして、努力すべき旨を明文にするという規定の方法はやむを得ないかもしれないが、それぞれの施策に関し、ある程度の大枠を定める必要があるのではないか。
　例えば、必要となる法律上の措置を講ずるよう努力すべき旨を明記する点については、いかなる法律上の措置が必要かを判断する機関を設置するとか、個別法に司法的救済に関する規定を設けるよう明記するなどである。この場合、立証責任の転換、損害の推定についても規定するよう定めるべきである。
　自主規制等の促進、国民に対する啓発等は異議のないところである。
　各行政庁に、所管業界に関する苦情処理・相談窓口を設けるべき旨を明確にするとある部分には疑問がある。官庁と業界の密接な関係からすると、このような窓口は実効性のあるものとして機能しないおそれがある。業界と無関係の機関を設けるか、業界と直接の関係を持たない行政庁（たとえば総務省）に窓口を設けるべきである。

第３節　地方公共団体の責務

　地方公共団体に対しては、民間部門の個人情報保護についてまで規定した個人情報保護条例の制定されていない自治体が多数あるので、民間部門の個人情報保護についても規定する条例制定に努力するべき旨を明確にするべきである。

第４節　事業者の責務

　中間報告では触れられていないが、事業者の責務を盛り込むことも必要である。　事業者は、個人のプライバシーをはじめとする基本的人権の重要性を認識し、あらゆる施策を通じて個人情報の保護に努め、個人情報の不当な収集、記録、保管、変更、利用及び提供等の行為をしてはならず、情報主体の開示、訂正及び中止請求権を尊重しなければならないなどと規定することが必要である。

第９章　全分野を通じた登録・届出制度

　民間部門の全分野を通じて登録・届出義務を課すことは、民間の事業活動に大きな負担と制約を課すこととなり現実的ではないとの考え方は、国家による私的領域に対する過度の干渉を避ける意味でも基本的に正しいと考える。
　ただし、いかなる種類の情報がいかなる事業者に保有されているかを容易に探知しうる制度が存在することは、個人情報保護のシステムによって付与される種々の権利を国民が適切に行使することに資するものであり、自治体の個人情報保護条例に見られるように任意の、情報収集項目等に関する登録制度を設け一般の閲覧に供したり、そうした登録を行った事業者に一定の特典（認証マークの付与等）を与えるといった制度を設けることは十分検討できる。
　また、個人信用情報等の一定の類型（情報が大量に処理される一方で、侵害があった場合の被害が大きいような類型）について個別の規制を行う場合、当該規制の中では、規制対象者に対し、情報収集項目や管理責任者等の登録や届出を義務づけることも検討すべきである。

第１０章　全分野を通じた罰則、悪質な不適正処理に対する制裁

　個人情報保護法違反の行為に対する刑事罰等の制裁をどう定めるかは、慎重に検討すべき問題である。
　個人情報のプライバシーに対する侵害は、近時、その規模においても、程度においても大きな広がりをみせており、悪質な侵害行為に対しては、刑事制裁を含む厳しい対処が必要なケースが生まれている。
　しかし、他方において、「情報」という知的活動にかかわるものであるところから、個人情報の保護と言論・表現の自由や報道・言論活動、政治活動など、他の基本的人権や社会的価値と矛盾・衝突する場合が考えられ、また、構成要件を明確化することが容易でないことから、基本的人権を保障した刑事法の諸原則との調和も十分に検討しなければならない問題である。
　また名誉毀損や業務妨害その他の現行法において加罰行為とされている規定があり、その適正な執行によってまかなえる場合があることも念頭に置いておく必要がある。
　当連合会としては、そのような点を考慮して、典型的で悪質と評価されるであろう、事業者又はその職員等が不正に他人に情報提供する行為およびそれを受領する行為について処罰することを提案する。
　なお、例えば個人情報保護のための行政委員会による行政命令を発し、その行政命令違反をもって処罰するというシステムを採用することや、被害者や主務官庁の告訴、告発を条件とすることなども検討に値するであろう。

第１１章　個別法　信用情報分野

第１節　個別法の整備について

１　全体を包括する民間部門個人情報保護の「基本法」にとどまる場合には、前記第１章第２節の現行の個人情報保護法の改正の他に、民間部門においても個別法の整備がきわめて重要である。特に、信用情報の分野は、不正利用や漏洩事件の多発と被害の深刻性に照らして、速やかに法的措置を講ずる必要性が高いこと、規制内容の面でも、多重債務防止の観点から与信における信用情報の適正な利用を図ることが認められるかという特有の課題があることなど、個別法を早期制定する必要性が高いと言える。

２　中間報告は「既存の法規制等について検討を加えた上でこれらの改正を含め、個別法の整備について別途検討していく必要がある」と述べるが、民間部門の個人情報保護のための個別法については、「基本法」を検討するのに並行又は先行して進むべきものと考える。早急に、信用情報保護法についても要綱案等が立案され、かつパブリックコメントに付される必要がある。

第２節　信用情報分野における個別法の在り方

　中間報告には、以下の意見の趣旨が含まれているものもあると考えられるが、その趣旨を明確にするため以下のとおり意見を述べる。

１　基本原則
（１）信用情報分野の法制化に当たっても、ＯＥＣＤ８原則を最小限のルールと位置づけ、同原則を規定中に明文で盛り込み、信用情報に係る規制が、個人情報に関するプライバシー保護等の基本的人権の擁護にあるとの趣旨が明確にされるべきである。
（２）行政的な規制については、個人信用情報の保護を十全ならしめるために必要な規制は前向きに導入すべきである。
（３）消費者の立場に立って、個人情報の保護を第一義とすべきとの基本的視点に立脚しつつ、罰則、行政的規制及び民事的規制等の適切な各制度を構築していくべきである。

２　法的な保護・規制の対象となる信用情報の範囲について
（１）対象範囲について
　信用情報の収集段階においては、ポジティブ情報の収集は、原則として認めないとすることが相当である。
　一方で、既に収集されている情報の保護との関係では、与信情報以外の情報（購入商品に関する情報、資金使途に関する情報、預金に関する情報及び顧客資産の情報等与信以外の業務に係る情報並びに電子商取引に係る決済に関する情報等）についても、原則として広く保護の対象とすべきである。
（２）マニュアル情報の扱いについて
　プライバシー保護等を徹底する観点からは、電算機処理情報に限定せず、マニュアル情報も保護対象とすべきである。

３　罰則の在り方とその適用範囲について
（１）罰則以外の方法によったのでは目的が達成できない場合にはじめて罰則規定を設けるべきである。
　罰則規定を設ける場合は、それはいかなる行為が処罰の対象となるかを明確に示すものでなければならず、その構成要件が曖昧であってはならない。
　このような趣旨から、罰則の適用については、典型的で悪質な行為と考えられる事業者又はその職員等が不正に他人に情報を提供する行為及びそれを受領する行為等に限るのが相当である。
（２）適用範囲について
　信用情報については、消費者信用業者から信用情報を収集し、加盟業者への提供を行うことを業とする信用情報機関と、与信に当たって信用情報を収集・利用する与信業者（貸金業者・クレジット業者・金融機関等）とが存在する。それらの機関の職員は、日常的に個人信用情報に接することができる立場にあることから、在職中はもちろんのこと、退職後においても規制対象者とすべきである。
　また、保証会社、債権回収代行業者、通信販売会社など、滞納情報を提供する立場にある者も、規制対象とすべきである。
　そこで、以上の業者・機関の職員が、信用情報を目的外に利用しまたは他の者へ不正に提供する行為は、罰則をもって規制すべきである。
　さらに、不正流出情報の故買行為についても罰則が必要である。
（３）自主ルールとの関係について
　罰則の範囲を広げないとしても、その他の領域が全て自主的規制に委ねられるのでなく、一定の法的規制に服すると考えるべきである。自主的規制になじむ領域があることは否定できないが、自主的規制に委ねる事項については、これに実効性を付与すべく、各都道府県の個人情報保護条例に見られるような独立した第三者審査機関を設け、企業の自主規制を一括して審査し、必要に応じて行政処分等を行うことを検討すべきである。　

４　ポジティブ情報の交流について
　与信業者が消費者から収集した信用情報を、信用情報機関または他の与信業者に提供・交流することは、本来は目的外利用に当たる行為であり、原則として許されないものと考えるべきである。ただし、過剰与信を避けるためには、与信を受けようとする者の取引経歴全体を与信業者において把握できる制度が整備されていることが望ましく、この点からは、ポジティブ情報を情報機関相互で交流させることが望ましいという考え方もありうる。しかし、信用情報の収集、管理、提供の機構も法的ルールも未整備の現状では、ポジティブ情報だからといって、直ちに交流を許すべきではない。個人信用情報の管理法制が確立し、事実上も十全な管理が定着した後において、ポジティブ情報の交流を検討すべきである。

５　情報機関相互での与信情報、事故情報の交流について
　信用情報機関相互で情報を交流させることは、情報の目的外利用になり、原則として許されない。しかし、信用情報の特殊性から、多重債務者の発生を未然に防止するという目的のために、例外的に、与信に関する基本情報のみを交流させることが許されると考えるべきである。この場合には、情報の提供を受けた者が、当該情報を与信判断以外に使わないという厳しい規制方法を確保しておくべきである。

６　法的措置の対象とするのが適当な信用情報の範囲と自主ルールの対象とするのが適当な範囲について
　行政的な行為規制は、個人情報を集積して取扱う事業者は、原則として、すべて規制対象とすべきであり、さらに、罰則による行為規制については、その対象となる行為等を絞り込む必要がある。

７　誤情報を訂正する権利等情報主体の権利について
　情報主体に、法的権利として自己情報開示請求権、訂正・削除請求権及び中止請求権を付与することを明確に規定し、情報主体がこれらの請求権を適正に行使しうる制度とすべきである。

８　情報漏洩等の早期発見のための施策　
　信用情報機関及び与信業者の行政機関に対する届出書類等を一般の閲覧に供し、どの機関・業者がどのような情報を保有し、どのように使っているのかを確認できるようにするなどして、情報漏洩の疑いを消費者自身が検証することのできる制度を法制化すべきである。

９　民事訴訟手続による救済の在り方について
（１）情報漏洩時における挙証責任転換に係る規定は、不法行為責任を立証する上できわめて困難と思われる部分の存在等に鑑み、不可欠である。
（２）情報主体に係る権利侵害に関するみなし規定を設けるべきである。

１０　行政機関による監督について
　信用情報機関及び与信業者等に対する規制を実効あらしめるため、行政機関による監督を機動的に行うことのできる公的なシステムを創設し、これに必要な権限を付与すべきである。
　民間部門の個人情報一般の保護に係る法整備も視野に入れた上で、独立した第三者機関たる個人情報保護委員会を設置し、当面は、同委員会の委員及び事務局に独立した調査権限を付与し、その調査権限行使という形で、オンブズマン的な機能の発揮も求める制度とすることとするが、将来的には、同委員会に、英国のデータ保護登録官のような機能が付与される制度の構築を積極的に検討すべきである。
　特に、個人信用情報保護の問題については、いわゆる第三者機関の意義がきわめて大きいことを銘記する必要がある。

１１　信用情報機関への加盟与信業者による個人信用情報の登録・照会の在り方について
　多重債務の防止のためには、与信業者が与信に際し個人信用情報機関の情報を調査することを義務づけることが不可欠である。
　与信業者に信用情報調査義務を課すための条件整備として、与信業者はいずれかの個人信用情報機関に加入すること、並びに与信業者自身が入手した事故情報を確実に登録することが、義務づけられなければならない。その結果、いずれの信用情報機関にも登録していない与信業者は営業が許されないことになる。この場合の問題として、一方では、既存の個人信用情報機関が業者の加盟要件を見直す必要がある。他方では、信用情報の交流内容があまりにも不完全な信用情報機関では実効性が確保出来ないことから、信用情報機関の認可・登録等の開業規制を設けることが必要となろう。

１２　信用情報機関の定義や在り方
　情報の交流を目的として設置される信用情報機関は、収集・保管・提供の全般にわたって規制が必要であり、かつ登録・調査義務の前提条件を整備することが必要であるから、認可・登録等の開業規制が必要である。
　また、収集に関する規制の場面では、個々の与信業者と個人信用情報機関とで区別が必要であるが、不正利用禁止等の場面では、与信業者と個人信用情報機関との双方が規制対象とされる必要がある。　

第１２章　個別法　医療情報分野

第１節　医療分野の個人情報保護の法制化の必要性について

　診療情報等医療分野の個人情報は、個人の尊厳に直結する内容を持つものであり、特に慎重な取扱を要するものである。
　医療情報の取り扱いについては、診療録作成義務、守秘義務等の法的規制の他、医療従事者の倫理としても取り上げられてきた。
　しかし、患者の権利の確立を求める近時の社会状況と、他方で膨大な医療情報が収集・利用されつつある状況を踏まえ、患者の自己情報コントロール権の観点から医療分野の個人情報保護を法制化する必要がある。
　日弁連は、去る１９９９年３月、厚生省の「カルテ等の診療情報の活用に関する検討会」の報告書（１９９８年６月、以下、本章において「検討会報告書」という。）に対する意見書を公表し、カルテ等の診療情報の開示を早急に実現する法律が制定されることを求めた。この意見書を踏まえつつ、医療分野の個人情報保護の法制化の必要性について述べる。
　日弁連は、去る１９９２年１１月の第３５回人権擁護大会において、「患者の権利の確立に関する宣言」を採択した。この中では、「患者の主体的な意思が尊重される権利は基本的人権に由来し、国際人権法もこれを認めるところである。この権利の中核は、患者が自己の病状、医療行為の目的、方法、危険性、代替的治療法などにつき正しい説明を受け理解した上で自主的に選択・同意・拒否できるというインフォームド・コンセントの原則」であるとして、患者の権利の確立のために努力を尽くすことがうたわれている。そして、その提案理由の中では、「患者の権利を真に確立するするために、われわれは、インフォームド・コンセントの原則、カルテの閲覧・謄写権、患者の権利擁護システムなどを含む患者の権利法の制定やガイドラインの作成などが必要不可欠であると考える。」としている。
　また、１９９８年３月に発表した当連合会の公的部門についての「個人情報保護法大綱」（日弁連大綱）では、自己情報開示請求権を規定し、これによって自己の医療情報も請求できるものとした。日弁連大綱の解説の中で、医療情報を自己情報開示請求権の例外としない理由として、「医療情報といっても多種多様である。しかも、多くの場合、医者だけでなく、患者本人がそれぞれの内容を知り、治療に努めている現実がある。医療情報の内容から考えてみても、例えば、ガンに関する医療情報の場合でも、患者本人が開示請求し情報を得たため、その本人に多大な精神的負担がかかることになったとしても、それは自己の選択の問題であると考えられ、その是非をめぐっては、意見の分かれるところである。他方、例えば、精神医療に関する医療情報については、医者の診断内容が人の自由の拘束につながることもあることから本人への開示の必要性が極めて大きい。ガン告知の場合を根拠にして、診療に関する医療情報を開示の除外とすることは是認できない。」としている、このように、日弁連は、インフォームド・コンセントを中核とする患者の権利の観点からも、自己情報コントロール権の観点からも、カルテ等の医療記録の開示を求める権利が確立されるべきであるとしてきた。

第２節　カルテ等診療情報の本人開示について

　前記「検討会報告書」は、不十分な点は多々あるものの、診療記録の患者への開示を法制化すべきであるとの結論を示した。しかし、日本医師会は法制化に強く反対し、診療記録開示の法制化を議論した医療審議会は合意に至らず、１９９９年６月、法制化は見送りとなった。
　ただ、医師会は２０００年１月から、日本医師会の定めた「診療情報の提供に関する指針」に基づく本人開示を実施する。また、国立大学付属病院や都立病院等でも、指針（ガイドライン）に基づく開示が実施されつつある。
　このように、診療情報を原則として患者本人に開示すべきことは、医療提供者側も含めて社会的合意が形成されつつあるといえよう。問題は日本医師会を代表して医療提供者側が法制化に頑強に抵抗していることである。個人情報保護検討部会における日本医師会からのヒヤリングにおいてもこうした姿勢は明らかである。
　しかし、そもそも診療記録の開示を患者の権利として確立するためにはこれを法定することは当然のことである。医療関係者の中には、法制化が直ちに罰則を伴うといった誤解もみられる。また、パターナリズム的発想からする「信頼関係」を強調して、「権利義務でとらえることになじまない」などという意見も少なくないが、患者と医師が対等の立場であることからすれば、開示請求権を確立した上で信頼関係を築くべきである。
　むしろ、医療提供者側が必ず強調する、患者一人当たりの診療時間の確保や財政的裏付けも、診療記録の開示が法制化されてこそ、政策課題として強く要求することが可能となろう。
　そして、患者の自己情報コントロール権を確保するために、次のような点につき、「検討会報告書」より、もう一歩進めた法制化を実施する必要がある。
　第一に、「検討報告書」は法制化といっても、医療法等の改正により患者の請求があれば原則として開示すべきことを規定するにとどまり、患者に具体的な請求権を認めることまでは想定していないように解されるが、そうであるとすれば問題であり、患者に請求権を認めて非開示とされた場合には裁判上の救済を受けられる仕組みにするべきである。
　第二に、徹底したインフォームド・コンセントと自己情報コントロール権をともに開示の根拠に位置付けるべきである。
　第三、遺族に対する開示も認めるべきである。
　第四、「検討会報告書」は開示の方法として、「診療記録の作成・管理についての体制が整うまでの当分の間医療記録に代えて、診断病名、治療経過、投薬記録など患者の自己決定に必要な診療情報を記載した文書を作成交付することを持っても足りるとすべき」とする。しかし、診療記録そのものを開示するのでなければ開示制度とは言えない。
　第五に、非開示とする事由は限定的に規定すべきである。
　第六に、開示をめぐる紛争処理のために公正中立な救済機関を設けるべきであり、この救済機関は医師会等から独立した第三者機関としなければならない。
　なお、開示を受けた結果、誤記があった場合には訂正を求める権利を保障すべきである。

第３節　診療情報の収集・管理・利用（提供も含む）の制限について

　今日、大量の診療情報が流通し、利用されている。
　その一つの分野は、疾患の頻度調査、対策（政策決定）、疫学的研究等のため、疾患の発生状況やそのバックグランドを調べるものである。個人情報保護検討部会では、地域がん登録についてヒアリングを行っているが、ほかにも、先天異常モニタリングやエイズ・感染症のサーベイランスなどが既に長年実施されてきた。
　こうした調査の有益性や必要性は否定できないとしても、患者の自己情報コントロール権の観点からの規制を及ぼす必要がある。もとより、個々の調査の内容を法定することは困難であろうが、例えば、調査の基本的事項についての届出や、実施に先立って必要性を審査したり、実施状況をチェックするための機関を設ける等の基本的なルールを法定することは可能であり、必要である。
　ほかにも、例えば、治療後もしくは治療中に福祉事業の対象となってリハビリを受ける場合、ある患者に関する情報を医療機関と行政機関と福祉事業者がそれぞれ保有し、かつ利用しあう必要性が生じる。現状では、明確なルールなしに情報のやり取りがされている面がある一方、個人情報保護条例を持つ自治体が関与して原則通り運用すると、必要な情報のやり取りも難しくなる。介護保険法の施行によってこうした問題は一層拡大する。これについても法律により、一般的な原則を明示する必要がある。
　さらに、従来行われてきた、研究のための症例報告についても、その必要性は否定できないとしても、プライバシー保護のための原則を定める必要がある。
　このように、医療に関する個人情報の、収集・管理・利用（提供も含む）の制限とその例外や本人開示・訂正に関するルールを、患者の権利の視点から統一的に法律で規定する必要は大きい。したがって、これらの規定する法律を、個人情報保護の個別分野として制定すべきである。

第１３章　個別法　電気通信分野

第１節　「電気通信分野における個人情報保護法制の在り方に関する研究会」中間報告について

　中間報告は、我が国の個人情報保護システムの在り方として、まず、「基本法」を制定して基本原則の確立を図り、電気通信分野については、特に個別法の整備が望まれるとした。しかし、中間報告には、電気通信分野の個別法についての具体的提言はない。
　他方、｢電気通信分野における個人情報保護法制の在り方に関する研究会｣中間報告（１９９９年１１月）（以下、｢郵政中間報告｣という。）は、電気通信分野における個別法の在り方を検討するため、個人情報保護の必要性と検討の方向を示すものとされており（第４章今後の課題）、我々としてはこの郵政中間報告に対して意見を集約するのが現実的であると考える。
　郵政中間報告のもととなる高度情報通信社会推進本部の基本方針、アクションプランの概要、アクションプランのポイントによれば、電気通信分野はほとんどすべての省庁の所管と関連しており、掲げられた事項は電気通信の利便性と将来に対する期待の満鑑飾の感がある。
　１９７５年、国連は総会決議において、「科学技術の進歩は平和（Interests of Peace）と人類の利益（Benefit of Mankind）のため、利用すべきである」と宣言した（1975/11/10　3384(XXX)国連総会決議）。われわれは科学技術が基本的人権の向上に資する一方、それが基本的人権を侵害する側面を持つことを忘れてはならない。その後の科学技術の進歩は、特に情報分野では著しく、高度情報化社会と呼ばれるものが出現しつつある。
　しかし、我が国においては、政府が策定した高度情報化社会に向けての基本方針は、手段にすぎない科学技術の発展と普及にのみ重点が置かれ、内容は総花的である。叙上の国連の宣言の視点に立つと、高度情報化社会に向けての基本方針は一体、何を目標としているか定かではなく、重大な欠陥があると言わざるを得ない。
　郵政中間報告は基本方針の上記欠陥をそのまま承継している。したがって、本来あるべき基本的人権の向上と侵害の防止には程遠く、対症療法の域をでるものではない。

第２節　電気通信分野における個人情報保護の現状について

　郵政中間報告は個人情報保護の現状を法規制と自主規制に分けて検討する。まず、法規制として憲法２１条２項の通信の秘密、それに基づく電気通信事業法４条の通信の秘密、１０４条、１１２条の罰則をあげ、現在、罰則で保護されているのは個人情報のうち一部であって、自主規制があるものの、実際には十分に機能していないと指摘する。
　しかし、電気通信事業法は１条に明記されているとおり、電気通信役務の円滑な提供を確保するとともに利用者の利用を保護することが目的である。その根拠は憲法２１条１項の表現の自由である。表現の自由を保障するため、３条で検閲の禁止、４条で通信の秘密を保護するとともに、７条で利用の公平を保障する。同法が対象とする通信は個人情報に限らない。同法が秘密を保護する通信も個人情報のそれに限らない。
　同法によれば、電気通信役務は電気通信設備を用いて他人の通信を媒介することと、みずから通信を媒介せず電気通信役務を他人の需要に応ずることの２つに分類される。電気通信事業はこの電気通信役務を他人の需要に応ずるために提供する事業であるが、電気通信回線設備を設置して行う第一種電気通信事業と、その他の第二種電気通信事業に分かれる。事業を営むためには許可、届出又は登録が必要とされている。
　電気通信事業を行うため様々な個人情報を収集し、利用し、保管する必要があるが、それらの個人情報は電気通信役務の公共性にとって必要不可欠なものなのか、それとも利用者に選択の自由があり利用者の要求により提供する電気通信役務のためのものなのかを正しく認識する必要がある。
　上記の電気通信事業の分類に基づき実態を把握した上、扱われている個人情報がＯＥＣＤ８原則を充たしているか否かを明らかにする必要がある。そして本来表現の自由を保障するための電気通信事業法が、果たして個人情報保護の個別法として相応しいものなのか、それとも同法とは別のまったく新しい枠組みの中で個別法を考えたほうがよいのか、検討すべきである。郵政中間報告はこのような視点からの現状分析が十分とは言い難い。
　電気通信事業者の責務は利用者に対して通信による表現の自由を保障することであり、利用者がいかなる時でも確実に通信できるよう、所定の基準を充たす電気通信設備を備えなければならない。また、通信の役務にはモールス信号による電報が含まれるから、通信士が通信の内容を知ることは当然であるが、通信の秘密は絶対に遵守しなければならない。したがって、電気通信事業者が通信の内容を理由に電気通信役務を拒絶することは許されず、第３条の検閲の廃止に抵触し違法とされる。
　しかし、利用者の通信の中には明らかに表現の自由を逸脱し、他人の権利を侵害する違法なものが存在する。電気通信事業者がこのような違法な通信のためにまで電気通信役務を提供する法律上の責任はない。検閲の禁止に抵触しない限り、提供を拒絶すべきであり、もしそれを知りながら提供を続ければ違法行為に荷担した責任を問われかねない。さらに、現実の権利侵害を除去する方法としては電気通信事業者による電気通信役務の拒絶が最も有効であり、且つ、直ちに権利侵害を除去できるものは電気通信事業者以外にいない。
　要するに、現行電気通信事業法は本来個人情報の保護を目的としていない。また、上述した有害な通信サービスの禁止にも対応していない。したがって、電気通信事業者に対する法規制については、いかに個人情報の保護の観点から規制する必要性が強くとも、電気通信事業者の機能が国民の表現の自由の保障に不可欠であること、表現の自由の合理的規制の在り方、個人情報の侵害の危険性とその保護の方策などをも考慮したうえで、規制の方策を決定する必要があり、単純に個人情報保護の必要性が強いという観点からのみ検討することは避けるべきである。電気通信事業者は、その存在自体が表現の自由の確保にとって不可欠の存在であるし、インターネットなど電子ネットワークへの社会的依存度が高まる中で、電気通信事業者は、他人の権利侵害を惹起する表現活動をも支える存在たりうる。また、かかる電気通信を拒否し、直ちにかかる権利侵害を阻止できるし、無名性・匿名性を特徴とする電子ネットワーク社会における違法行為の阻止、調整に不可欠な行為者特定のための情報を提供できる唯一の地位にある。このことに鑑み、電気通信事業者が有する個人情報のうち、電気通信システム維持に不可欠な個人情報に関する取扱いについては、慎重に検討されるべきである。
　他方、電気通信事業者の業務のうち、各事業者において異なる役務を提供できるものや、利用者に選択の自由があり利用者の要求により提供する電気通信役務のためのものについては、利用者が電気通信事業者を選択するにあたり自己の個人情報のコントロールを可能とするための情報開示を含む規制方策を検討する必要がある。
　このような方策を講じるにあたっては、情報の性格に基づく分類の視点から、電気通信事業者の収集している個人情報にどのようなものがあるかの実態把握を行った上、ＯＥＣＤ８原則の適用の当否を検討し、さらに、電気通信事業法の枠組み内で制度化するのかそれとも別の法制度で個人情報の保護を図るのかの検討が不可欠であると思われる。
　しかしながら、中間報告及びこれを受けた郵政中間報告は、このような問題意識があるのか疑問なところがあり、仮にこのような視点からの考慮をすることなく個人情報を保護するという観点のみから、新たな枠組みによる規制を推進するのであれば、不適切というほかない。

第３節　法制化の必要性について

　郵政中間報告は「個人情報保護の法的位置付け」から「法制化の必要性」までの７項目にわたって検討している。
　郵政中間報告は「法的な位置付け」として、個人情報保護は個人の尊重という憲法上の価値を実現するための重要な要請であると位置付け、個人情報保護の範囲と保護措置は他の重要な社会的要請も考慮する必要があるとしている。しかし、上述したとおり、電気通信事業法は憲法が保障する表現の自由が根拠であり、同法４条の通信の秘密は単なる社会的要請で例外を認めることを許さない。郵政中間報告のいう「重要な社会的要請」が何であるのか定かではない。
　「ガイドラインの有用性とその限界」は論旨のとおりであると考えるが、「電気通信分野における個人情報保護法制の現状と問題点」は、現行電気通信事業法は本来個人情報の保護を目的としていないのであって、同法による通信の秘密保持の結果として、個人情報が一部保護されているにすぎない。ここでは民間部門個人情報保護基本法で定められるべき個人情報保護の原則を適用しても、なお問題が残ることが指摘されなければならない。
　「諸外国等における法整備の進展」は示唆に富むものである。しかし、電子情報流通システムについての米国の先進性などに鑑みると、直ちにＥＵ指令による欧州各国法の規制方式内容との整合を指向するには疑問なしとせず、さらに、十分な社会的要請や法体系上のバランスも考慮して、日本独自の実効的な規制を考えることが望ましい。

第４節　法制化に向けた検討について

　「法制化の方向性」が郵政中間報告の要とも言うべき部分である。
　まず、郵政中間報告は、｢保護対象とすべき個人情報保護の範囲｣を｢電気通信事業者が保有する電気通信サービスの利用者にかかわる個人情報保護とし、従来のガイドラインに基づく自主規制におけると同様、電子計算機処理にかかわるもの等に限定しないことにするのを適当である｣として基本的範囲を示しながら、｢さらに、電気通信事業者の保有する個人情報の実態や他分野とのバランス等も考慮しつつ、検討を行う必要がある｣と提言する。
　「保護の対象とすべき個人情報の範囲」について検討を行う必要があるとするが、取り扱う個人情報が何かを明確にする基準の設定は、電子通信事業はその事業内容が法律で規定されており、さほど困難とも思われない。むしろ事業の公共性に鑑みれば基準は外部に公開すべきであり、取り扱いが許されない個人情報は除外すべきである。必要なものについて、民間部門個人情報保護基本法の定める原則に従い、それぞれの特徴と必要性に応じて保護の措置を定めればよい。
　なお、郵政中間報告が、保護の対象とされるべき個人情報の範囲に、電気通信事業法２１条３項の利用者の個人情報に加え、利用者の通信の相手方、利用者の契約にかかわる端末等を使用する者、さらには電気通信役務の提供に付随するサービス（電話帳発行業務等）を利用する者等の個人情報も含むものとすることが適当であるとするのは相当である。
　次に、郵政中間報告は、｢個人（行為者）に対する規制｣の（１）①イで「罰則により保護すべき個人情報の範囲を限定し、構成要件を定めることは、それほど容易な課題ではない」としたうえで、他の立法例における秘密概念を検討した結果、主観的な非公知性及び要保護性を不要とする｢通信の秘密｣と、これを必要とする｢業務上知り得た個人の秘密｣には、罰則による保護を行うものとし、罰則による保護までは必要でないが保護を要する個人情報を単なる｢個人情報｣として訓示規定で保護を義務づけるという技術を取るべき旨を報告している。その趣旨は、電気通信事業者の従業員等は、もともと電気通信事業法により、通信の秘密を侵害することを禁じられているため、これらの者の個人情報の適切な取扱いを確保し、不正な第三者への漏洩行為等を防止するためには、｢通信の秘密｣に該当する事項を除いた事実の漏洩行為等に対する規則の在り方を中心に検討する必要があるとして、罰則により保護すべき個人情報の範囲について立法技術上の検討を加えた結果導かれたものである。しかしながら、その検討の過程においては、｢秘密｣概念が極めて規範的で、相対的な概念であることが明らかにされ、郵政中間報告においてすら｢秘密｣概念は、罰則による保護の必要性ある概念として、より以上に積極的な概念規定が不可能であることを認めている。
　したがって、郵政中間報告が提唱する、秘密概念を用いて罰則適用の範囲を画そうとする方法論は、罪刑法定主義に照らして問題があるにも関わらず、他の立法例において採用されていることをもってそれを正当化するものであり、問題があるといわざるを得ない。
　「個人（行為者）に対する規制」はいろいろな場合を分けて検討しているが、罰則による規制には罪刑法定主義が適用される。犯罪の構成要件は明確でなければならず、そのためには、｢保護の対象とすべき個人情報の範囲｣を明確にする基準の設定が必要である。また、その行為類型も個人情報の管理が十全であることを前提にすれば、規範的な意味（「みだりに」の類）を用いなくても、具体的に記述することが可能であると考える。郵政中間報告は、具体的に情報の種類を列記する方法について、「当該情報主体の意思等、個別具体的な事情を捨象して、特定の情報を一律に保護の対象とすることの相当性にも疑問が残る」と指摘するが、例えば、具体的に列記する情報から、電話帳に掲載された電話番号は除外する等、定型的に情報主体が保護対象から除くことに合意していると認められる事項を除外する等の措置によって、妥当な結論を導くことは可能であろう。
　郵政中間報告は、第６節において、諸外国等における法整備の進展に触れておきながら、第７節で罰則によって保護すべき個人情報の範囲を画するに当たっては、諸外国が具体的にどのような方法論を採用しているかについて触れていない。この点に関する諸外国の法制をさらに詳細に検討し、その結果も踏まえて、罪刑法定主義に即した罰則のありかたを探求することが求められる。
　「民事的救済等」について、被害者のため何らかの立法措置が必要なことは指摘のとおりである。賠償額の問題もさることながら、電気通信事業者の賠償責任の根拠が個人情報保護の過失責任なのかそれとも被害者救済のための無過失責任なのかが中心となる。更に検討を行う必要があることに異論はない。
　個人情報保護の背景においては、個人情報の有用性の認識に高まりがある、また、電気通信事業者は、電気通信事業を通じて膨大な量の情報を把握、蓄積、流通させうる立場にあり、その方法が適切に規定されるなら、電気通信事業者は、社会における情報の有用性に応えうる極めて重要な地位にあるといえる。
　したがって、第三者の電気通信事業者に対する情報開示手続及び要件についても、電気通信事業関係の個別法制の検討に際して配慮されるべきである。
　電気通信を利用した権利侵害を受けた者が、訴えを提起し、あるいは告訴しようとするときには、行為者と通信事実を特定するための情報が不可欠であるところ、ガイドラインの規定は、これら情報収集と通信の秘密保護の調整につき必ずしも十分とはいえない。少なくとも、通信ログ、把握にかかる登録者、発信者情報、ＩＰアドレスなどについての、民事訴訟法に基づく提出命令の要件、調査嘱託あるいは弁護士法２３条の２の照会に対する回答に際しての民事免責の要件、刑事訴訟法１９８条に基づく捜査事項照会回答に際しての民事免責の条件などについては、これら各法の在り方との調和を図りつつ、情報の不適正利用にかかる立法動向との調整をもふまえて、その開示手続を積極的に検討するべきである。

第１４章　個別法　教育情報分野

第１節　教育に関する個人情報の保護のあり方

　これまで日本の教育現場においては児童・生徒に関する個人情報（以下「生徒等の個人情報」という。）は学校の一方的な判断によって収集・利用・管理（以下「収集等」という。）されてきた。学校と児童・生徒（以下「生徒等」という。）、保護者との間に信頼関係が成り立っているという現実があるならば、当事者の暗黙の合意という理解ができないではない。
　しかし、生徒等の不登校が全国の学校で日常化し、高校では退学者が増えつづけ、教職員の「不祥事」（暴行傷害、覚せい剤取締法違反、淫行条例違反等犯罪というべきものも少なくない。）が続発している今日、もはや関係当事者の暗黙の合意では説明できない状態に至っている。これらの問題の背景の一つには関係当事者間に信頼関係がないことが挙げられる。自分がどのように監視され評価されているか分からない人間関係において信頼関係が芽生えるはずがないし、監視評価する側の教職員にしても有形無形の圧力を様々な立場の人々から日々受けることで相当のストレスがたまっているであろうことは容易に想像がつく。生徒等も教職員も疲弊しているのである。
　それでもなおかつ、学校が、これまでの体制を維持するために、これまでと同じ、学校と生徒等・保護者の信頼関係を理由とすることは、学校に対する不信を一層募らせることになるであろうし、それは学校の教育機関としての自殺行為である。

第２節　現行の個人情報保護法の問題点について

　個人情報保護法１３条１項本文では、「行政機関」（２条１号）が保有する「個人情報」（同条２号）について開示請求権を規定しているが、同条但書において「学校教育法に規定する学校における成績の評価又は入学者の選抜に関する事項を記録する個人情報ファイル‥についてはこの限りではない。」と規定している。
　このような規定の存在を、学校が生徒等の個人情報の開示を広く拒む理由にすることがある。
　しかし、前記のとおり、現行の個人情報保護法は全面改正されるべきであるが、仮に、現行法の規定を前提としても、そのような解釈は明らかに誤りである。
　第一に、個人情報保護法が規制の対象にしている情報は、「行政機関（２条１号）が保有する「個人情報」（同条２号）に限られている。学校に関しては「学校における成績の評価又は入学者の選抜に関する事項を記録する個人情報ファイル」に限られている。これ以外の個人情報（典型的には手書きの個人情報）は規制の対象に含まれておらず、これらについてどうするかは空白になっているのである。
　第二に、個人情報保護法１３条但書の規定は同条本文の規定との対比で解釈される必要がある。本文が原則開示を認めていることとの対比からすると、但書に規定する各個人情報については開示が禁止されているわけではなく、原則開示の扱いにしないということを指摘しているに過ぎないと解するのが合理的である。つまり個々の現場において開示を認めてよい（認めて差し支えない）と判断された場合に開示することは禁止されていないのである。

第３節　文部省の方針との関係

　深刻ないじめや、いじめによる自殺の問題に端を発して、文部省はその解決策として、常日頃からの学校と保護者とが連携し合うことを繰り返し提唱している（例えば、１９８５年６月２９日「児童生徒のいじめの問題に関する指導の充実について」、同年１０月２５日「いじめの問題に関する指導の徹底について」、１９８６年２月２１日「いじめの問題に関する指導状況等に関する調査結果について」、同年６月１８日「臨時教育審議会『教育改革に関する第二次答申』について」、１９９４年１２月９日「『いじめ対策緊急会議』緊急アピール」、同年同月１５日「いじめの問題について当面緊急に対応すべき点について（通知）」、１９９５年３月１３日「いじめの問題の解決のために当面取るべき方策等について（通知）」）。これは取りも直さず、学校と保護者の間における生徒等の個人情報の流通である。これが存分になされてこそ当該問題に関係する生徒等の保護者は問題状況を理解することができ、これを起点として学校と協力しあいながら、問題解決に取り組むことができるという考えに立っているのである。

第４節　信頼関係の回復のために必要なこと

　学校が学校であるが故に、教師が教師であるが故に信頼されていたという時代が終わっていることは誰の目にも明らかである。この現実を受け入れざるをえないことを前提にするならば、具体的に信頼関係を築く努力をするしかない。
　信頼関係の基本は何か。生徒等の個人情報の収集等について、関係当事者に説明する責任を負うことを認識し、かつこれを真摯に実行することである。
　具体的には、生徒等にとって重要な個人情報を当人またはその保護者に開示することを原則化することである。その内容が当該生徒等にとって厳しい評価を含むものであったとしても、否むしろそうであればこそ、当人または保護者に開示し説明することによって改善努力をさせる必要があるのである。そこでは感情的な対立が生じることもあろうが、子どもの教育が千差万別様々な考えを持った人々（生徒等・保護者）を相手とする仕事である以上、教育を職業として選んだ者として引さ受けざるを得ない負担である。それを当人や保護者に開示すると理解が得られないどころか非難されるに違いないから開示しないという関係（生徒等や保護者は騙されているのであるから、いつか気付いたときには強烈な不信感に変わる。）は如何にも不健全であり、そこには真の信頼関係が生まれるはずがないのである。

第５節　在籍中の個人情報について

　生徒等が在籍中の場合、保護者が学校が管理する自分の子どもの個人情報を入手するために、個人情報開示請求手続の窓口まで出かけ、一定期間を待ってから開示手続を受けるというのは、あまりにも迂遠であるし、事態が流動的であることを踏まえるならば非現実的である。
　臨機応変に問題に対処する必要性が高いことからすれば、この場面は基本的に個人情報保護法・条例による開示請求という手続による必要がないとされなければならない。
　当該生徒等が（自主）退学した直後や自殺した直後など、形式的には、在学関係が終了している場合であっても、臨機応変に問題に対処する必要性が高いという点では、在学中の場合と同じであるから、同様に、基本的に個人情報保護法・条例による開示請求という手続による必要がないとされるべきである。
　記録化された個人情報について開示請求手続を取らせるとしても、開示・（一部）非開示の判断は即決的なものである必要がある。（一部）非開示処分に際しては、学校と児童・生徒との信頼関係を崩さないよう、十分な説明が必要である。児童・生徒には開示できない（しにくい）が保護者には開示できるという選択肢もあるはずである。
　昨今、開示請求が増えている学習指導要録や内申書については、その作成過程に児童・生徒や保護者を関与させること（学校に一任する者もいるであろうが）によって問題は解消するはずである。

第６節　卒業後の個人情報について

　在学中に収集された個人情報は固定化したものとして保管されている。在学関係が存在しない以上、在学関係を前提とする学校と児童・生徒の信頼関係は問題にならない。このことを前提に記録化されている個人情報について開示請求手続によって開示を受ければよい。

第７節　学校の仕事の範囲

　個人情報の収集等が是認されるのは、当該職務にとって必要な範囲内においてである。
　ところが、学校か法的に行うべき職務の範囲が必ずしも明確ではない。学校が法的に行うべき職務の範囲と、保護者や社会が学校に期待する職務の範囲、個々の教職員が内心で考えている教職員の職務範囲との間に大きな落差があるように思われる。
　学校の法的な責任領域を明らかにしないかぎり、保護者や社会の期待により教職員の負担は増すばかりであり、その結果として学校・教職員の能力の限界から様々な問題を生じることになる。学校の法的な責任領域を明らかにし、その範囲内に属する生徒等の個人情報の収集等について責任を負うとするべきである。

第１５章　自主規制　ガイドライン　認証制度

第１節　自主規制の取り組みの促進と問題点について

　法的規制は、その性質上すべての業種、事業態様に規制をかけることは困難であることからすると、自主規制（行政機関によるガイドラインの制定や業界のガイドラインの制定等）は、当該業界の特殊性等を考慮したきめ細かな規制が可能であることや機敏かつ柔軟に対応できることなどのメリットがある。
　しかし、他方で、あくまでも自主規制であるために、個人情報の保護の実効性をどのように担保するのか。自主規制を守らない業者に対する制裁をどうするのか、被害救済の方法、被害者救済の審査機関の設置をどうするか等の問題点がある。
　したがって、自主規制を意味あらしめるためには、ＯＥＣＤ８原則、ＥＵ指令に則ったガイドラインを制定すべきである。それが国際基準をみたすことにもなる。

第２節　自主規制のあり方

１　ガイドライン等
（１）自主規制の方法として、行政機関がガイドラインや規格を制定し（通産省、郵政省のガイドライン及びＪＩＳ（日本工業規格）Ｑ１５００１）、それを団体、事業者が遵守するという手法と業界自体がガイドラインを制定（金融機関等における個人データ保護のための取り扱い指針、販売信用取引における電子計算機処理に係る個人情報のためにガイドライン、民間部門のおける電子商取引にかかる個人情報保護のガイドライン（α版）等）する手法とがある。いずれの手法にせよ、個人情報の保護の実効性を担保するような規定にすることが重要である。
（２）ガイドラインで検討すべき点　
通産省のガイドラインは多くの業種で参考にされるガイドラインであり、ＯＥＣＤ８原則、ＥＵ指令を踏まえて作成されたものであるといわれているが、尚、以下の点について検討の余地があると考える。
①管理者について
　通産省ガイドラインの管理者は「企業の内部において代表者により指名されたものであって、個人の情報の収集、利用又は提供の目的手段等を決定する権限を有するものである」（２条（２）号）のに対して、ＥＵ指令では、管理者とは、「単独で、または他との共同により、個人情報を処理する目的及び手段を決定する自然人、法人、公的機関、行政機関、又はその他の団体」（ＥＵ指令２条（ｄ）号）と定義されている。この定義の仕方から明らかなとおり、ＥＵ指令の管理者は、企業内で指名されたものでなく、独立性を有しており、損害賠償責任を負う等（ＥＵ指令２３条１項）対外的に責任を負っている。ガイドラインの作成には、情報管理の要である管理者の位置づけをＥＵ指令に近づけるべきである。
②同意の方法について
　通産省ガイドラインは、情報主体の同意について次のように定義する。
　「情報主体が署名押印、口頭による回答等明示的方法により、自己に関する個人情報の取扱を承諾する意思表示を行うことをいう。但し、書面の交付などによる契約手続きを伴わない取引、申込、加入等の行為の場合においては、当該行為の手続きにおいて、反対の意思表示を表明しない等黙示的方法による意思表示を含めることができるものとする」（２条（４）号）として、黙示の同意を認めている。そして、情報主体以外から間接的に情報を収集する場合においても、原則としては情報主体の同意を取ることになっているが、例外として「正当な業務の範囲内であって、情報主体の保護に値する利益が侵害されるおそれのない収集を行う場合」には同意を得る必要がない（９条（４）号）としている。これでは、情報主体の権利保護が十分に尽くされているのか検討の余地がある。
　ＥＵ指令では、情報主体の同意について「自己に関わる情報が処理されることに同意する旨の、情報主体による意思の表示であって、自由（任意）になされ、特定かつ十分に情報を得た上でのものとする」（２条（ｈ）号）とあり、同意は、（ⅰ）自由になされ、（ⅱ）同意の内容が特定され、（ⅲ）十分の情報を得た上でのものでなければならないとの３つの要件がついている。　
③情報主体の権利
　通産省ガイドラインは、情報主体の開示請求権（２０条前段）、訂正、削除請求権（２０条後段）、その事実の通知請求権（２０条後段）、情報の利用・提供の拒否権（２１条）を規定している。
　しかし、ＥＵ指令では、もっときめ細かく情報主体の権利を認めている。
（ⅰ）開示請求権につき「①情報主体に対する情報の処理がなされているか否か、②情報処理の目的、③当該情報の種類、④情報提供がなされた相手方または相手方の類型、⑤処理がなされている情報につきわかりやすい形で示したその内容及びその情報の取得源、⑤コンピュータ等の自動情報処理がなされ、情報主体について自動的判断が出される場合の、そのロジックの知識」の開示を求めている（１２条１項）。
（ⅱ）訂正・削除・処理差止め権として「情報が不完全または不正確な場合に、情報の訂正、削除、または処理の差止めを求める権利」を保障し（１２条２項）、通産省ガイドラインには存在しない「処理差止め権」を認めている。
（ⅲ）訂正等の通知請求権として「情報の訂正・削除・処理差止めが行われた場合に、それが不可能かまたは過度の努力を要する場合を除いては、既に情報が提供された第三者に対し、その事実を通知することを保障すべきだ」としている（１２条３項）のに対し、通産省のガイドラインでは「可能な範囲内で当該個人情報の受領者に通知を行うもの」としている。
（ⅳ）情報主体の異議申立権（１４条）として「公的な利益が関係する場合や情報コントローラー（管理者）または第三者の正当な利益が関係する場合の情報処理についても異議申立を認めている」が、通産省のガイドラインでは拒否権が使えない例外となっている。また異議申立権は、「ダイレクトメール等のダイレクトマーケティングを意識した規定」になっているが、通産省のガイドラインそのような意識をしていない。
　このような違いは、ガイドラインが自主規制であるにとどまり、ＥＵ指令が法的意味を有していることの相違があるためと考えられる。そうであれば、民間部門の個人情報保護の基本法において、基本法を根拠法として策定されるガイドラインにおける情報主体の権利性及びその救済の方法（差し止め、損害賠償、挙証責任の軽減）、救済を求める第三者機関の設置等の在り方を明確に規定しておかないと、個人情報の不当な処理に対して、適切な防御手段がないことになる。

２　認証制度
　ガイドラインや規格の実効性を高める手段として、認証制度（事業者等の取組の適切性を認定し、マーク等を付与する制度）があり、現在民間や一部の地方公共団体が実施している。これは、国民から見ると当該事業者が個人情報保護に関する適切性を有していることが容易に確認でき、消費者側の選択の要素にもなり、事業者も適切性をアピールできるというメリットがある。しかし、認証の審査をどのような調査をして行い、一度認定したものが不適となった場合のチェックをどのように担保するか等の問題点がある。また、認定審査を業界単位の民間に任せるのか、行政が直接・間接にチェックするのかの検討も必要である。

以上