高度情報通信社会推進本部

資料4B

「個人情報保有者の責務」に関して実務上問題になると考えられる事項

平成12年3月17日
全 国 銀 行 協 会

(1)個人情報の収集

論  点 問 題 点 等
ア 収集目的の明確化 【包括的な表現での明確化】
◇収集目的を個別取引単位で明確化しなければならないとすると、同意取得等に際して、将来の利用が想定される商品・サービス名を羅列する必要が生じる。また、新たな商品・サービスを開発するたびに目的を追加し、同意の再取得等をする必要が生じることとなり、実務対応不可能。
◇問題なのは情報主体の予期しえない無断利用(特に第三者への提供による情報の一人歩き)であり、本人の予測可能性が確保されている限り、ある程度包括的な表現(例えば、将来顧客が申し込む商品・サービスを提供するために利用する、といった包括的な表現)も許容されるべき。
【口頭対応での限界】
◇電話等の口頭による場合には、さらに収集目的の明確化の程度は限定的にならざるをえない。
イ 収集目的の本人による確認 【確認の意義】
◇本人の理解を指すとすれば、大量処理を前提とした場合、個々人の理解の度合いまで推し量ることはできないため、実務対応不可能。
◇仮に同意を要するものとする場合には、実務運用上、相当幅広く黙示的同意を認める必要が生じ、法文と実際の運用が乖離することになる。「知らしめる」ことによる収集目的の明確化も選択肢とすべき。
(注)OECDガイドラインでは「適当な場合には、データ主体に知らしめ又は同意を得たうえで、収集されるべきである」とされ、米国商務省のInternational Safe Harbor Privacy Principles(案)では「知らしめる」ものとされている。
【利用目的に応じた弾力的な運用】
◇「保護の必要性と利用面等のバランス」を確保するためには、情報主体に知らしめ又は同意を得る方法については、情報主体との接点や利用目的(第三者への提供の有無等)に応じて弾力的な運用を可能とすることが必要。
◇例えば、第三者に提供する場合には明示的同意を得ることを原則とすべきであるが、情報収集者やこれと一体経営がなされているグループ会社(持株会社や連結対象会社)内で利用する場合には、第三者に提供する場合よりも弾力的な取扱い(パンフレットの備え置きによって知らしめる等)を認めるべき。
【既収集済み情報への対応】
◇特に、既に収集済みの情報について大量の既存顧客に対して同意を取り直すことは実務対応不可能。改めて通知等を行うことも多額のコストがかかることとなり、また、郵便不着等も想定され、現実的ではない。仮に知らしめる必要があるとされる場合においても、店頭掲示やホームページへの掲載等の方法により、情報主体がいつでも閲覧できる状態を確保する程度が現実的。
【適用除外】
◇利用目的が自明の場合等、個人情報保護の観点から問題がない場合には、情報主体に知らしめ又は同意を得る必要はない(ないしは同意があるものとみなす)ものとすべき。
例:
情報主体の依頼内容の実行(例えば、依頼に応じた申込書の送付)
情報主体との間の契約の履行(例えば、振込に係る個人情報を被仕向銀行に提供する場合)
エ 本人以外からの収集制限 【代理人等への対応】
◇事実上代理権があると考えられる者との取引の場合においては、情報主体に知らしめ又は同意を得る必要はないものとすべき。
【契約履行に必要な情報への対応】
◇契約当事者から、契約の履行のために必要な情報を入手する場合(例えば、振込依頼人から被振込人に係る情報を入手する場合)には、情報主体(この例では被振込人)に知らしめ又は同意を得る必要はないものとすべき。
【取引の安全確保】
◇取引の安全確保のために本人以外から情報を収集する必要がある場合(例えば、正当な権利者を確認するために相続関係の資料提出を受ける場合)には、情報主体(この例では他の相続人)に知らしめ又は同意を得る必要はないものとすべき。
【公開情報への対応】
◇法令又は情報主体によって公開されている情報を利用する場合(例えば、各種登記簿)には、情報主体に知らしめ又は同意を得る必要はないものとすべき。

(2)個人情報の利用等

論  点 問 題 点 等
ア 明確化された目的外の利用・提供の制限 【矛盾しない目的での利用に対する弾力的な運用】
◇情報主体の予測可能性が確保されている限り、ある程度包括的な表現により「収集目的の明確化」を図ることを認めるとともに、これと矛盾しない目的での利用については「明確化された目的内」とする等、弾力的な運用を可能とすることが必要。
イ 目的外利用・提供の場合の本人同意及び本人の利益保護 【適用除外】
◇次の場合には、情報主体に知らしめ又は同意を得る必要はないものとすべき。
@法令の規定による場合
A情報主体の利益保護のために必要な場合(例えば、法定代理人への情報提供)
B公共の利益のために必要な場合(例えば、犯罪の防止)

(3)個人情報の管理等

論  点 問 題 点 等
ア 個人情報の内容の適正化、最新化 【実務対応上の限界】
◇情報主体からの申し出により客観的に確認できる場合を除き、実務対応不可能(住所変更届等を用意し、情報主体が最新化に協力するように周知する対応が限界)。

(4)本人情報の開示等

論  点 問 題 点 等
ア 個人情報の保有状況の公開 【詳細な情報公開に対するリスク等】
◇公権力をもって個人情報を収集する行政機関と民間事業者とを同列に扱う必要はなく、詳細な情報を公開することによる負担やリスクにも配慮することが必要。
◇公開の目的が「開示の求めを本人が行使しうるよう、その実効性を確保するため」である以上、公開の対象となる情報は開示の対象となる情報と平仄を合わせるべき。
【公開方法の選択】
◇公開の方法は、店頭掲示やホームページへの掲載等、幅広い選択肢を認めるべき。
イ 本人からの開示の求め 【抽象的な開示請求等への対応困難性】
◇抽象的、包括的又は請求理由の示されない開示請求への対応は実務的に困難であり、「合理的な範囲内」の判断に当たっては、請求者の申出内容(請求内容の具体性、請求理由の開示の有無等)も考慮されることが必要。
【適用除外】
◇次の場合には開示請求を認めるべきではない。
@企業秘密など企業の正当な利益を侵害するおそれがある場合
A評価等に関する情報(企業が行う評価は、評価方法自体が企業秘密・ノウハウに属するものである。また、企業が行う評価は、各企業がそのリスクマネージメントの必要性という正当な目的のために行うものであり、開示や訂正、中止請求になじまない)
B他の顧客の情報が含まれている場合
Cデータが保有期間経過後又は自動処理される以前のため検索不能である場合
D終了した取引に関する個人データ等、顧客の現に得ている利益と関連性に乏しい、又は顧客へもたらされる利益が極めて小さいと考えられる場合
ウ 本人からの訂正の求め 【実務対応上の限界】
◇公的資料等で誤りであることが客観的に確認できる場合には訂正に応じるべきであるが、客観的に確認できない場合や当事者間で争いがある場合には訂正等に応じることはできない。
エ 本人からの自己情報の利用・提供拒否の求め 【適用除外】
◇次の場合には中止請求を認めるべきではない。
@顧客の申し込んだ契約について個人情報を利用する場合には、当該契約関係が終了した後でなければ、個人情報利用の中止請求は認めるべきではない(取引の安全確保の観点から、取引と個人情報の利用は不可分のものとして扱うべき)。
Aリスクマネージメントは企業が顧客に対して負担するリスクを管理するものであり、リスクマネージメント目的での個人情報の利用については、その性格上、中止請求は認めるべきではない。
B個人信用情報機関への情報の登録・利用は、多重債務防止・適正与信の観点から行うものであり、中止請求は認められない(中止請求を認めたのでは個人信用情報機関としての役割を果たしえなくなる)。

*3 未成年者等の場合の配慮

論  点 問 題 点 等
*3 未成年者等の場合の配慮 【未成年者等の場合の配慮】
◇未成年者等の取引については、民法等により一定の配慮がなされているところであり、個人情報保護についてもこれと平仄を合わせるべき(取引の安全確保の観点から、取引と個人情報の利用は不可分のものとして扱うべき)。