「個人情報保護基本法制に関する大綱案」(中間整理)に対する意見書

平成12年6月30日

高度情報通信社会推進本部 個人情報保護法制化専門委員会 御中
内閣官房内閣内政審議室 個人情報保護担当室 御中

社団法人 情報サービス産業協会
会 長  三次 衛

は じ め に

1. 個人情報の保護は、高度情報通信社会の健全な進展を図っていく上で重要な課題の一つであり、個人情報保護法制の立法化に取り組まれる高度情報通信社会推進本部個人情報保護検討部会、個人情報保護法制化専門委員会、及び内閣官房内閣内政審議室 個人情報保護担当室の方々の多大な努力に敬意を表するものです。
2. 社団法人情報サービス産業協会(JISA)は、通商産業省の認可により、日本を代表するシステム・インテグレータ、有力ソフトウェア開発事業者、及びシンクタンク等を中心とした主要情報サービス事業者570社で構成する業界団体です。

JISAの会員企業は、情報システムの委託開発、情報システム開発支援、システムインテグレーション・サービス、情報システムのアウトソーシング・サービス、情報システム運用、情報処理・受託計算、情報システム保守、パッケージソフトウェア開発、アプリケーション・サービス・プロバイダ(ASP)事業などの情報サービス事業を営んでおり、企業ユーザ及び官公庁ユーザ等から預託される顧客情報等を中心に多種多様な個人情報を日々大量に取り扱っております。

従って、個人情報保護関連立法によって、業務の遂行に直接影響が及ぶ業界であり、その意味で本法案の行方にJISAは大きな利害関係を有しております。
3. JISAは、日本の国家規格であるJIS Q 15001「個人情報保護に関するコンプライアンス・プログラムの要求事項」に準拠した「社団法人 情報サービス産業協会 個人情報保護方針」、及び「情報サービス産業個人情報保護ガイドライン[第3版]」を制定、公表し、また「プライバシーマーク制度」における指定機関(審査機関)として、既に80社にプライバシーマークの付与認定を行うなど、一貫して個人情報の保護に取り組んで参りました。

特に、プライバシーマーク制度の審査業務を通じて、多様かつ多面的な「個人情報」に接し、また情報処理及び情報ネットワークを通じた個人情報の多様な流通形態に直面し、個人情報の具体的な取扱いルールは、個人情報の種類等によって個別に検討し形成することが必要であることを強く実感して参りました。

従って、本来、個人情報の種類等に応じて個別法で対応すべき事項が、基本法において規定された場合の事業活動への弊害を非常に懸念しており、その点を中心にJISAの意見を述べたいと思います。

意 見

一、総 論

<総論のポイント>

1. 基本法においては、高度情報通信社会における個人情報保護の思想・理念を明確に示すべきである。
2. 基本法においては、法規制領域と自主規制領域との範囲の在り方、法規制領域における基本法と個別法の役割分担の在り方など、わが国の個人情報保護システムの基本構造を明確に示すべきである。
3. 基本法大綱案は、「個人情報の保護の必要性」に片寄り、「個人情報の利用面等の有用性」とのバランスを欠いている。基本法においては、高度情報通信社会における自由な情報流通の重要性を踏まえ、「個人情報の利用面等の有用性」にも配慮する必要がある。
4. グローバルなネットワーク社会における個人情報の流通問題では、一国の法規制には限界があることから、基本法においては、民間による国境を越えた自主的取り組みの必要性と役割、責任を重視すべきである。

以下、「個人情報保護基本法制に関する大綱案(中間整理)」の全体にわたる点について意見を述べる。


1.基本法においては、高度情報通信社会における個人情報保護の思想・理念を明確に示すべきである。

個人情報保護基本法(以下、「基本法」という。)においては、そもそもなぜ個人情報を保護するのか、またプライバシーとの関係、憲法上の位置付けをどのように捉えるのか、明確にすべきである。

2.基本法においては、法規制領域と自主規制領域との範囲の在り方、法規制領域における基本法と個別法の役割分担の在り方など、わが国の個人情報保護システムの基本構造を明確に示すべきである。

(1)法規制領域と自主規制領域との範囲の在り方の明確化

基本法においては、法規制領域と自主規制領域の範囲の在り方を示すことが重要であり、わが国の個人情報保護システムが官民協調して全体として機能するよう基本的なスキームを提示していくことが求められる。

従って、基本法では、まず、個別法制に委ねるべき事項と民間の自主規制に委ねるべき事項とをどのように分担すべきか、その判断のための基本的考え方、ないしはその思想・理念を示すべきである。

例えば、日本工業規格「個人情報保護に関するコンプライアンス・プログラムの要求事項(JIS Q 15001)」等の告示を通じて、法規制と自主規制の整合性を図る基本スキームを構築すべきである。

(2)法規制領域における基本法と個別法の役割分担の明確化

基本法は、その役割と射程範囲を明確に示すべきである。

基本法は、わが国の個人情報保護システムの基本設計を示し、個人情報の取扱いに関する基本原則を確認することに止めるべきである。基本法に規定することによって影響が必要以上に広汎に及ぶ問題は、別途個別法に委ねるなど基本法と個別法の役割分担を明確にするべきである。

3.基本法大綱案は、「個人情報の保護の必要性」に片寄り、「個人情報の利用面等の有用性」とのバランスを欠いている。基本法においては、高度情報通信社会における自由な情報流通の重要性を踏まえ、「個人情報の利用面等の有用性」にも配慮する必要がある。

(1)JIS Q 15001で用いられている「預託」概念の必要性について

高度情報通信社会の進展は、自由な情報流通の確保を前提として実現されており、「個人情報の保護(個人の権利利益の保護)の必要性」と「個人情報の適正な利用」を調和させることなく、その進展は望めない。しかし、基本法大綱案においては、両者をどのように調整するのか明確に提示されていない。どの条項、どの用語等(概念)を用いて解釈していくのか具体的に示すべきである。

例えば、JIS Q 15001における「預託」の概念などを用いることで、「個人情報の保護(個人の権利利益の保護)の必要性」と「個人情報の適正な利用」のバランスを図るべきである。

基本的な考え方としては、

1) 個人情報を第三者に利用可能にすることによって個人情報流出等のリスクが拡大するおそれがある場合

2) 情報セキュリティや個人情報の保護体制が一定レベルにある者に個人情報を預ける場合

の2つに区分し、前者1)を「提供」、後者2)を「預託」という概念で捉え、「預託」にあっては、「情報主体の同意」ないしは「本人への通知」を不要とし、情報の利用面等の有用性に配慮するべきである。ただし、「預託」にあっては、委託者は、受託事業者選定基準を社内規定として定め、預託するにあたっては受託事業者が基準に合致しているかどうかを調査し、その結果を調査票に記録するとともにそれを保存・管理し、さらに個人情報の取り扱いと責任について契約により担保することを要求するなど委託者の責任(及び、免責の基準)を明確にする必要がある。

高度情報通信社会は、上記の「預託」のような考え方が認められることで、実現されるものである。

(2)判例によるルール形成の必要性

多様な個人情報の利用形態に対応するためには、基本的な利用形態を念頭に置いた整理だけでは、具体的に妥当な解決を導くことが困難となることから、「個人情報の保護の必要性と個人情報の利用面等の有用性」のバランスを判例に委ねることを考慮して、手掛かりとなる道具的な概念を置くことを検討すべきである。

4.グローバルなネットワーク社会における個人情報の流通問題では、一国の法規制には限界があることから、基本法においては、民間による国境を越えた自主的取り組みの必要性と役割、責任を重視すべきである。

ボーダレスなサイバースペースにおいては、一国の法規制にも限界があることから、民間レベルのアプローチを尊重することが必要である。

例えば、プライバシーマーク制度とBBBオンラインマーク制度の相互認証などの動きを踏まえ、その国際的な普及・促進について日本の関係団体を支援・指導していくべきであり、その根拠となる条項を規定すべきである。


二、各 論

<各論のポイント>

1. 情報サービス事業者等がユーザ企業等から預託された個人情報についてまで本人に「通知」を要するとすることは高度情報通信社会の進展を妨げるものであり、適切ではない。
2. 事業者に課される「個人情報の処理等に関する事項の公表」は経済活動に大きな負荷がかかるほか、セキュリティ上の問題もあることから、基本法において一律に規定せず、個別法において議論すべきである。
3. 個人情報の「開示、訂正等」の在り方は業界特性や情報の種類によって異なっているため、基本法において一律に規定せず、個別法において議論すべきである。

また、情報サービス事業者等がユーザ企業等から預託された個人情報について「開示、訂正等」をすることはできない。
4. 「罰則」は、要件を明確に規定する必要があることから基本法において規定せず、個別法において議論すべきである。

以下、「個人情報保護基本法制に関する大綱案(中間整理)」の記述の順にそって意見を述べる。(なお、ページ表記は大綱案の該当ページを示す。)


個人情報保護基本法制に関する大綱案(中間整理)

1.目的

高度情報通信社会の進展の下、個人情報の流通、蓄積及び利用の著しい増大にかんがみ、個人情報の取扱いに関し基本となる事項を定めることにより、その適正な利用に配慮しつつ、個人の権利利益を保護することを目的とするものとすること。


「1.目的」について(1ページ)

高度情報通信社会における個人情報保護の思想・理念を明確に示すべきである。

個人情報を個人識別情報と定義した場合、多様な個人情報がその射程範囲となることから、単なるデータとして取り扱うことで足りる個人情報から人権に基礎を置く個人情報まで次元の異なる価値を一律に捉えるという誤解を生み易い。

特に個人情報保護と対立する他の利益との調整の局面においては、「なぜ、個人情報を保護するのか」という思想・理念が確立していなくては非常に困難な問題に直面することになる。例えば、同じ個人情報であってもプライバシー権(人権)と、人権としての捉えることのできない個人情報とでは、報道の自由(人権)との調整の在り方は異なるものと思われる。また、プライバシー権(人権)とセキュリティ上の要請(財産的価値ばかりではなく、他人の個人情報など人格的価値も含む)との対立などにおいて、基本法はどのような解決の規範を提示するのか不明である。

現実のビジネスにおいては、日々「個人情報の保護(個人の権利利益の保護)の必要性」と「個人情報の適正な利用」との調整の判断を求められており、この指針を導くための基礎を与える必要があるものと考える。



個人情報保護基本法制に関する大綱案(中間整理)

2.定義

(1) 「個人情報」とは、個人に関する情報であって、当該個人の識別が可能な情報をいうものとすること。
(2) 「個人情報の処理等」とは、個人情報を取得し、作成し、加工し、蓄積し、維持管理し、又は他人に提供すること、その他個人情報の取扱いに関する行為をいうものとすること。
(3) 「事業者」とは、国、地方公共団体及びこれらに準ずる一定の者以外の、事業を営む者であって、当該事業の遂行について、個人情報の処理等を行う者をいうものとすること。

(注)1 対象となる「個人情報」及び「事業者」の範囲など、各定義については、引き続き検討する。
(注)2 「個人情報」には、汎用データベース(分散処理型のものを含む。)に記録されたものを含み、また、マニュアル処理のうち検索可能な状態で保有されているものを含む。

「2.定義」について(1ページ)

(1)「受託事業者」について定義すべきである。

事業者は、自らの事業のために収集主体となって個人情報を収集する者と、当該収集主体からの委託を受けて個人情報を取り扱う者(収集行為そのものを代行する者を含む。)との2つに大別することができる。このうち、後者、すなわち自らが収集主体とならない事業者(以下「受託事業者」という。)についても、後に記載された「事業者が遵守すべき事項」のうち(2)第三者への提供、(3)内容の正確性への担保、(4)適正な方法による取得、(5)安全保護措置の実施、(6)第三者への委託、(9)苦情等の処理、(10)他の事業者との協力、及び(11)国及び地方公共団体への施策への協力を行う責務を有しているものと考えることができる。しかしながら、受託事業者に遵守を求めることによって、かえって個人が混乱する事態が想定できる。したがって、定義の段階で、両者を峻別しておくことが必要である。

(2)「適用範囲」について規定すべきである。

「個人情報」を個人識別情報として定義した場合、事業者等に個人情報保護の必要性を超えた非常に広汎な規制が及ぶことになることから、「適用範囲」について規定すべきである。

例えば、名刺などのように従業員が収集、管理している個人情報の中には、事業者として管理することが甚だ困難であって、社会人としての倫理に委ねるべきことが妥当なものがある。また、事業者は議事録など個人名を含んだ文書等を多数作成するが個人名で名寄せしたり管理することが無意味な情報もあり、多大なコストをかけて管理したとしても何ら情報主体の救済に資することがないものもある。さらにはコンピュータ処理の過程においてコンピュータ内に記録される中間データも定義上は個人情報に該当するが、これを個人情報として取り扱うことは意味がない。

こうした個人情報については、適用除外とすべきであり、事業者の倫理もしくは社会人としての倫理に委ねるべき事項とすべきである。

(3)基本概念の整理を行うべきである。

基本法大綱案中に示されている「利用」(OECD理事会勧告に出てくる用語)と「処理等」(EU指令に用いられている用語)との関係が不明確なように思われる。その他、「取得」、「作成」、「加工」、「蓄積」、「維持管理」、「提供」、「流通」、「取扱い」などの概念、関係を整理し、統一的に用いるべきである。



個人情報保護基本法制に関する大綱案(中間整理)

3.基本原則

個人情報は、原則として、以下のように取り扱われるべきものとすること。

(注)本基本原則は、個人情報の取扱いが、その態様次第で、人格の尊重の理念に関わるような重要な国民の権利利益を侵しかねないとの認識に立つものである。


(1)利用目的による制限

個人情報は、その利用目的が明確にされ、明確にされた利用目的に関連して必要な範囲で取り扱われること。

(注)1  利用目的の明確化には、利用目的が変更された場合の明確化も含む。
(注)2  利用目的の変更可能な範囲の限界について、引き続き検討する。
(注)3  第三者に対する目的外の提供の制限について、引き続き検討する。


(2)内容の正確性の確保

個人情報は、正確な内容に保たれること。

(注)「正確な内容に保たれること」とは、個人情報が(1)の原則に基づき利用目的に関連して必要な範囲で取り扱われる上で正確な内容に保たれることである。


(3)適正な方法による取得

個人情報は、法令に違反しないよう、かつ、適正な方法で取得されること。


(4)安全保護措置の実施

個人情報は、適切な安全保護措置を講じた上で取り扱われること。


(5)透明性の確保

個人情報は、その取扱いに関し、個人が自己の情報の取扱い状況を把握しうる可能性、及び必要な関与をしうる可能性が確保されること。


「3.基本原則」について(2ページ)

(1)は、OECD8原則のうち、目的明確化の原則と利用制限の原則を合体させたものと思われるが、その結果、この原則は、「利用目的の明確化」、「利用制限」及び「利用目的の通知」という3種類の内容から構成されることになっている。本文(遵守事項)でもこの原則が援用されているが、この3つを分けて考えた方がよい場合もあるのではないか。

(5)は、OECD8原則のうち、個人参加の原則、公開の原則に対応する概念である。両原則は、個人情報の処理等に際しては、一体不可分で考えられる必要があり、これを一つに括ったことが評価できる。



個人情報保護基本法制に関する大綱案(中間整理)

4.政府の措置及び施策

(1)既存法令の見直し等

政府の保有する個人情報に関しては、別に法律で定めるところによることとすること。
政府は、基本原則に沿って、具体的かつ適正な個人情報保護措置が講じられるよう、個人情報に関する既存の法令を見直す等、必要な措置を講ずるものとすること。
特定の個人情報又は特定の利用方法であるため、特に厳重な保護を要する等、別途の措置が必要なものについては、特別な法制上の措置その他の施策等の措置を講ずるものとすること。


(2)独立行政法人等に対する措置

政府は、独立行政法人、特殊法人等について、その性格、業務の内容に応じ、本基本法制の趣旨に沿って、個人情報の保護を充実強化するための制度、施策を検討し、必要な措置を講ずるものとすること。


(3)個人情報の保護の推進に関する方針の策定

政府は、事業者及び地方公共団体等による個人情報の保護に関する取組が適切かつ円滑に行われることを図るとともに、各省庁による施策が総合的かつ一体的に講ぜられることを図るため、「個人情報の保護の推進に関する方針」を策定するものとすること。


(4)支援、周知等の施策の実施

政府は、上記(3)の方針に基づき、事業者及び地方公共団体等による個人情報の処理等について本基本法制に沿った取組が行われるよう必要な支援、周知等に関する施策を実施するものとすること。あわせて、国民に対する啓発活動の推進等に努めるものとすること。


(5)苦情等の処理

政府は、事業者による個人情報の処理等に関する個人からの苦情等を受け付け、適切に処理するものとすること。政府は、受け付けた苦情等の処理に当たって、必要な調査を行うことができるものとすること。

(注)1  上記(3)の「方針」の内容としては、以下の事項が考えられる。

政府による支援措置等

個人情報の保護に関する施策等が整合的に講ぜられるようにする。

政府による個人情報の保護に関する指針の策定

事業者及び地方公共団体等が本基本法制に基づく取組を行うに際して留意すべき事項をできるだけ具体的に例示する。(指針の策定に当たっては、OECD等の国際機関、欧米諸国の制度、運営の状況をも参考にする。)

(注)2  政府は苦情等の処理に当たって、事業者に対し、個人情報の適切な取扱いに関する勧告を行うという仕組みも考えられる。



「4.政府の措置及び施策」について(3ページ)

(1)政府における事業者選択の徹底を明記すべきである。

行政情報化の進展などに伴い政府の保有する個人情報が民間事業者にアウトソーシングされる機会が増加することから、政府、地方公共団体においても民間事業者と同様に事業者選択の責任を課すべきである。


(2)個人情報の保護の推進に関する方針においては、自主規制の尊重について言及すべきである。

JIS Q 15001及びプライバシーマーク制度など民間自主規制の尊重を明記すべきであり、わが国の個人情報保護システムの全体構造を示すべきである。


(3)民間の自主規制におけるADR、苦情処理などを支援すべきである。

政府機関として、苦情処理機関、裁判外の紛争処理機関(ADR)などを創設することは行政改革の流れに逆行することから反対である。

プライバシーマーク制度や消費者保護団体の消費者相談窓口など既存の公益団体の活動を支援して、苦情処理及びADRを創設・運用すべきである。

基本法においては、かかる団体を指定する根拠規定を置き、主務官庁は当該団体を指導するほか、財政的支援を講ずるものとすべきである。


(4)行政調査権の創設には原則反対である。

個人情報の定義が広く、基本法の適用範囲が非常に広汎であることから個人情報保護に関連する行政調査権の行使の範囲が無限定に拡大することを危惧するものであり原則として反対する。

ただし、自主規制を尊重し、かかる自主規制を行う公益団体(上記(4)における指定団体)等からの要請がある場合に限定して行政調査権の行使が許されるといったことが法制上可能な場合は、賛成する。



個人情報保護基本法制に関する大綱案(中間整理)

5.事業者が遵守すべき事項

事業者は、基本原則に沿って、自主的に必要な措置を講ずるものとすること。その場合においては、以下の事項が含まれるようにすること。(注)  以下の各事項に関しては、義務規定とすること等を含め、その法的強制の程度について、規律ごとに引き続き検討する。

(1)利用目的による制限

事業者は、個人情報の処理等に当たっては、原則として個人情報の利用目的を具体的に明確にし、その目的に関連し必要な範囲で行うこと。また、具体的な利用目的の通知等を行うこと。(注)  「利用目的を具体的に明確にし」とは、通常、個人がその利用目的を容易に理解できる程度に明確にすることを意味している。


(2)第三者への提供

事業者は、個人情報の第三者への提供が利用目的を超えることとなる場合は、個人の権利利益を侵害するおそれの無いことが明らかな場合等を除き、本人の同意を得て行うこと。


(3)内容の正確性の確保

事業者は、利用目的の範囲内で、個人情報の内容に正確な事実が反映されるよう必要な措置を講ずること。


(4)適正な方法による取得

事業者は、個人情報の取得に際しては、法令に違反してはならず、また、個人の権利利益を侵害するおそれの無いことが明らかな場合その他個人情報の性質、取得の際の状況等に照らし第三者から取得することが必要かつ合理的と認められる場合を除き、原則として本人から取得するなど、適正な方法で行うこと。


(5)安全保護措置の実施

事業者は、その保有する個人情報の漏洩、毀損等を防止するため、適切な技術的措置を講じ、「個人情報の保護に関する規程」を定め個人情報の処理等に従事する者に対し同規程を周知させ、「個人情報安全管理者」を配置する等、適切な安全保護措置を講ずること。

(注)「個人情報の保護に関する規程」の内容としては、以下の事項が考えられる。

「個人情報安全管理者」の責務(データ内容の必要な正確性の確保を含む。)
個人情報の処理等に従事する者が個人情報の保護のため遵守すべき事項(個人情報の漏洩禁止を含む。)また、規程の法的効果については、引き続き検討する。

(6)第三者への委託

事業者は、個人情報の処理等を第三者に委託する場合は、委託先の選定に配慮し、必要な監督等を行うことにより、十分な保護措置を図ること。

(注)監督義務を尽くしているときは免責して良いか、引き続き検討する。

(7)個人情報の処理等に関する事項の公表

事業者は、その保有する個人情報に関し、個人情報の処理等に関する事項について、容易に閲覧可能な方法により公表し、適切に更新すること。

(注)1  事業者が公表する「個人情報の処理等に関する事項」の内容としては、以下の事項が考えられる。

個人情報の利用目的及び方法

保有する個人情報の概要

開示、訂正等の請求及び苦情申し出の窓口(「個人情報安全管理者」が置かれている場合は、当該管理者がこの窓口となる。)、費用等

その他の事項としては、

i 「個人情報安全管理者」を置く場合には、その氏名及び連絡先
ii 個人情報の処理等を第三者に委託している場合は、その理由及び第三者の氏名又は名称
iii 保有する個人情報を第三者に提供して使用させている場合は、その理由及び当該第三者の氏名又は名称、住所等

が考えられる。

(注)2  対象となる事業者、個人情報の範囲については、引き続き検討する。

(注)3  事業者が公表を行った場合の法的効果については、引き続き検討する。

(8)開示、訂正等

事業者は、その保有する個人情報に関し、本人から開示を求められたときは、一定の場合に、その個人情報を開示すること。訂正等を求められたときは、原則として、必要な訂正等を行うこと。

(注)1  事業者が開示、訂正等を行うべき場合に関して、

個人の権利利益確保の観点からの開示、訂正等の求めの必要性

事業者の適正かつ円滑な業務の確保に対する支障の程度

対象となる事業者、個人情報の範囲

等について、引き続き検討する。

(注)2  不開示の場合等における理由の提示の必要性について、引き続き検討する。

(注)3  その他、事業者が行う開示、訂正等に係る書面性の要否、手数料、期間等の手続の在り方についても、引き続き検討する。

(9)苦情等の処理

事業者は、個人情報の処理等に関する本人からの苦情等を受け付けるための窓口を明確にすること。また、苦情等の申出を受けたときは、その適切かつ迅速な処理を行うこと。

(10)他の事業者との協力

事業者は、個人情報の保護の推進を図るため、必要な場合は他の事業者と協力して、事業者が遵守すべきガイドラインの策定や、苦情・紛争等の処理などを行うこと。

(11)国及び地方公共団体の施策への協力

事業者は、本基本法制の趣旨に沿って、国及び地方公共団体が実施する個人情報の保護に関する諸施策に協力すること。



「5.事業者が遵守すべき事項」について(5ページ)

(1)受託事業者に「利用目的の通知」を課すべきではない。

受託事業者にあっては、預託された情報に個人情報が含まれること、個人情報の利用目的を具体的に知らされていないこともある。また、利用目的を決定する立場にもない。個人情報の処理等の方法についても、個人情報の処理等を委託する者からの指示・仕様に拘束されるため、利用目的に関連して必要な範囲で行われているものであるか厳密には知ることができない。ましてや、具体的な利用目的を通知することもできないのが実態である。しかしながら、そのような受託事業者が個人情報の保有主体である本人に対し、利用目的等の通知義務を負うことが基本法に規定されてしまうと、これを行うことのできない事業者にあっては、違法状態に陥ってしまう。

しかし、「利用目的による制限」のうち「目的明確化」及び「利用制限」の部分については、適用対象とすべきである。

したがって、「利用目的による制限」は、少なくとも2つの項目に分割し、通知については、委託事業者からなされればよいことにする必要があるのではないか。


(2)「基本原則」と「事業者が遵守すべき事項」との関係が不明確である。

「(1)利用目的による制限」、「(3)内容の正確性の確保」、「(4)適正な方法による取得」、「(5)安全保護措置の実施」は「3.基本原則」において既に記述されており、民間事業者においてのみ重複して規定されているが、総則的「基本原則」の他に各論的な本項を必要とする趣旨が今一つ不明確である。また、基本法としては詳細にすぎる規定などが見受けられる。各論的な規定は個別法及びJIS Q 15001など自主規制に委ねることも考慮すべきである。


(3)「個人情報の処理等に関する事項の公表」には反対である。

基本法において「個人情報の処理等に関する事項の公表」を規定すべきではないと考える。

特に、事業者が保有する個人情報に関して、容易に閲覧可能な方法により公表することを義務づけることについては強く反対する。

その理由は、以下の通りである。

第一に、セキュリティ上の要請と対立する場合がある。情報サービス事業者は事業者ユーザ等から個人情報を含む情報を預託されており、当該業務を受託している事実を第三者に秘匿するよう契約上義務付けられることもある。情報サービス事業者としてはこうした守秘義務条項の有無に関わらず一般に預託された個人情報についてはその概要についても第三者に開示するべきではないと考えている。

第二に、「個人情報」の概念が広汎であり、現実的にリスト化すべき範囲が非常に広く対応しきれないという問題がある。

第三に、本項は、基本原則にいう「透明性の確保」を具体化したものであり、「開示・訂正等」の前提という位置付けにあるものと理解しているが、「開示・訂正等」については個別法に規定すべきであって基本法には規定すべきではないという当協会の主張の下では、本項の「公表」もまた個別法において検討すべきものと考える。


(4)「開示、訂正等」は基本法ではなく個別法で検討すべきである。

「開示・訂正等」については個別法に規定すべきであって基本法には規定すべきではない。

例えば、受託事業者においては、開示、訂正等の請求を受けた場合に、預託された情報について開示、訂正等を行うことができるかどうかは、委託事業者との契約によって定まるからである。金融機関の情報処理を受託している事業者が、預金者の個人情報を含むデータのオンライン処理を行う機器を運行していたとして、預金者が金融機関ではなく当該情報処理事業者に開示、訂正等を依頼してきたとしても、受託事業者としては、委託事業者の許可なく当該機器に蓄積された個人情報を閲覧する権限をもたない。また、本人確認を行う有効な手段をもたない。(7)の公表とも関係するが、公表対象とされた場合において、開示、訂正等の請求があっても対応できないことになれば、当該個人に無駄足を踏ませることとなり、結果として個人の権利利益の保護に反することとなる。

「開示・訂正等」については、まさに基本法大綱案で述べているように「一定の場合」に限られるのであって、8頁の(注)に記述されているように開示、訂正等の求めの必要性や業務に対する支障の程度、対象となる事業者、個人情報の範囲などが論点となる。このことはまさに基本法ではなく個別法で要件を検討すべきことを示唆するものである。

基本法において、そもそもなぜ個人情報を保護するのか、またプライバシーとの関係、憲法上の位置付けをどのように捉えるのか、その法の理念と指導原理を明確に示すことなく、「開示・訂正等」について立法した場合は、他の対立する利益との調整が困難となる。

仮に基本法を根拠として「開示」の要請があったとしても、事業者は開示することによって新たな法律問題を引き起こしたり、証拠保全的効果を情報主体に与えかねないときなどは、事実上「不存在」の抗弁を主張することも可能である。故に、「開示・訂正等」の実効性を担保するためには、個別法において具体的に事業者にどのような種類の個人情報をどのような範囲で保存・管理すべきか義務付けておく必要があり、その義務の不履行については立法政策上、開示する不利益を上回る不利益を課すなどの方法が考えられる(なお、およそ個人の識別が可能な文書ないし情報全てについて保存義務を課すことは個人情報保護という立法趣旨を超えた過剰な規制であり、個別具体的な情報について、開示を前提とする保存義務を課すべきである)。

また、何を保存・管理しどのような場合に開示・訂正等に応じるべきか明確にすることで、事業者の業務等の不当な萎縮的効果を回避することができる。従って、個別法で「開示・訂正等」について検討することが望ましいものと考える。

それから、「開示・訂正等」に応じる前提となる本人確認のための方法が確立されていないという問題、どの範囲で開示すべきかの判断基準の確立が困難であるという問題がある。このような問題は、個人情報の種類等や対象事業の特性等に応じて具体的に検討することが必要であり、この点も個別法により限定的に導入すべきとする理由である。

(5)第三者への委託と免責について

第三者への委託(預託)にあっては、委託者は、受託事業者選定基準を社内規定として定め、第三者へ委託(預託)するにあたっては受託事業者が基準に合致しているかどうかを調査し、その結果を調査票に記録するとともにそれを保存・管理し、さらに個人情報の取り扱いと責任について契約により担保することとし、それを全て遵守していた場合は、免責とすべきである。

アウトソーシングなどの形態も多様であり、委託者が常に「監督」し得るかどうか疑問であるが、少なくとも委託者が遵守すべき事項を明確にしてその徹底を図るよう促すべきである(「監督」責任が事実上委託事業者の「結果責任」を求めることにならないよう委託事業者の責任の範囲とともに免責の基準を明確にすべきである)。

(6)受託事業者の「取得」について

適正な方法による取得について、コンピュータによる情報処理等の委託に伴い個人情報の預託が行われる場合は、受託事業者の立場から「取得」とならないことを明確にすべきである。



個人情報保護基本法制に関する大綱案(中間整理)

6.地方公共団体の措置

(1)保有する個人情報に関する制度、施策の整備充実

地方公共団体は、本基本法制の趣旨に沿って、その保有する個人情報に関し、個人情報の処理等に関する必要な条例及び施策の整備、充実等のための措置を講ずるよう努めるものとすること。


(2)区域内の事業者、住民に対する支援等

地方公共団体は、その区域内に所在する事業者及び住民に対する支援、苦情等の処理などの施策の実施に努めるものとすること。

(注)  支援等に関し、国と地方公共団体の役割分担等について、引き続き検討する。



「6.地方公共団体の措置」について(9ページ)

(1)基本法と条例との役割分担について

基本法大綱案においては、地方公共団体の自律性を尊重することから各論的規定は提案されていないが、個人情報の保護が人権に基礎を置く部分を有するのであれば、そもそもその点は条例に委ねずに基本法において規定すべきではないか。
また、住民基本台帳等に記載されている個人情報が簡単に閲覧できることは現状のまま許容されてよいのか疑問である。


(2)個人情報保護条例等関係法情報のインターネットによる公開を促すべきである。

情報サービス事業者は、地方公共団体の行政情報化等に関連する業務を受託しており、広く地方公共団体の制定する個人情報保護条例を入手する必要があり、その改正履歴を含め法情報を追っていく作業が大きな負担となる。従って、基本法に明記するかどうかは別としても各地方公共団体に対して個人情報保護条例をホームページ上に公開するなどの適切な情報公開の実施を要望する。



個人情報保護基本法制に関する大綱案(中間整理)

7.国民の役割

国民は、他人の個人情報の保護及び自己に関する個人情報の適切な管理に努めるものとすること。



「7.国民の役割」について(9ページ)

特になし。



個人情報保護基本法制に関する大綱案(中間整理)

8.その他

以下の事項については、今後、引き続き検討することとする。

(1) 適用対象範囲について、規律ごとに情報の性格等に即して検討する。この場合、表現の自由、学問の自由等に十分留意する。
(2) 事業者による開示、訂正等の法律上の位置づけについて、実効的救済措置の在り方を含め検討する。
(3) 個人情報の漏洩等に関する罰則の可否について、刑事法制の在り方等を考慮しつつ検討する。
(4) 第三者的な苦情・紛争処理機関の設置について、公的機関又は民間の自律的な機関とすることを含め、実効的な解決を進める観点から検討する。
(5) 条例に関する規定について、地方公共団体の自律性を尊重しつつ、本基本法制との整合を図る観点から検討する。

「8.その他」について(9ページ)

(1)基本法において「罰則」規定を設けるべきではない。

刑事法制を検討するにあたって個人情報の漏えい等一般を対象とすることは、処罰範囲が過度に拡大することから、誰から見ても刑事罰にふさわしい悪性の強い行為に限定すべきであり、基本法ではなく個別法制で議論すべき課題であると思われる。

以上


【本意見書に対する問合せ先】
社団法人 情報サービス産業協会
調査企画部 調査役 鈴木 正朝
msuzuki@jisa.or.jp

  •  

このページの先頭へ▲