第2回 個人情報保護専門調査会 議事録
- 最新情報
日時
2010年9月29日(水)9:59~12:04
場所
消費者委員会大会議室1
出席者
【専門委員】
長谷部座長、長田委員、別所委員、三木委員、三宅委員、山口委員、吉川委員、和田委員
藤原委員、杉浦委員、柿原委員、岡本委員、大谷委員、臼井委員、宇賀委員
【担当委員】
下谷内委員
【説明者】
消費者庁 國井個人情報保護推進室長
経済産業省商務情報政策局 西田情報経済課長補佐
総務省総合通信基盤局 鈴木消費者行政課長
総務省総合通信基盤局 村田消費者行政課長補佐
【消費者委員会事務局】
齋藤審議官、原事務局長
議事次第
1.開会
2.関係省庁からのヒアリング(消費者庁、経済産業省、総務省)
3.閉会
配布資料 (資料は全てPDF形式となります。)
議事次第 (PDF形式:64KB)
【資料1-1】 個人情報保護法に関する広報・啓発等の取組について(消費者庁資料) (PDF形式:68KB)
【資料1-2】 個人情報の保護に関する国際的な取組への対応ついて(消費者庁資料) (PDF形式:89KB)
【資料1-3】 国際移転における企業の個人データ保護措置調査について(消費者庁資料) (PDF形式:34KB)
【資料1-4】 ガイドラインの策定・見直し、共通化の状況について(消費者庁資料) (PDF形式:35KB)
【資料2】 経済産業分野における個人情報保護の取組について(経済産業省資料) (PDF形式:287KB)
【資料3】 電気通信事業分野における個人情報保護の取組について(総務省資料) (参考資料1) 個人情報保護専門調査会(第2回)における検討にあたっての意見(新保委員資料) (PDF形式:145KB)
(参考資料2) 個人情報保護法における苦情処理が裁判手続で争われた例について(消費者庁資料) (PDF形式:228KB)
(参考資料3) 事業分野別の相談内容の内訳について(消費者庁資料) (PDF形式:71KB)
(参考資料4) 個人情報保護専門調査会 今後のスケジュールについて (PDF形式:85KB)
≪1.開会≫
○原事務局長 それでは、皆様おそろいになっておりますので、始めたいと思います。おはようございます。
本日は、お忙しいところを、また朝早くからお集まりいただきまして、ありがとうございます。ただいまから第2回「個人情報保護専門調査会」を開催いたします。
なお、本日は所用により、角委員、新保委員、須藤委員、川戸消費者委員会委員がご欠席になっております。
議事に入る前に配付資料の確認をさせていただきたいと思います。議事次第の裏のページに配付資料の一覧を掲載しております。
資料1、枝番が付いておりますけれども、今からご説明いただきます消費者庁の資料をお付けしております。
資料2が経済産業省から提出いただいている資料。
資料3が総務省からご提出をいただいている資料になります。随時説明で使わせていただきたいと思います。
参考資料の一覧も掲げておりますけれども、参考資料1として、本日ご欠席の新保委員より専門調査会の検討に当たってのご意見。
参考資料2、参考資料3については、前回、三木委員よりご要請のありました、個人情報保護法における苦情処理が裁判手続で争われた事例と事業分野別の相談内容の状況に関する資料ということで、消費者庁にご用意いただきました資料を付けております。
最後に参考資料4として、「今後のスケジュールについて」ということをお付けしております。ご参照いただきたいと思います。
それでは、よろしくお願いいたします。では、長谷部座長、どうぞよろしくお願いいたします。
○長谷部座長 おはようございます。まず本日の議事に入ります前に、前回所用により欠席をされました岡本委員、山口委員、和田委員から簡単に自己紹介をお願いできればと存じます。「あいうえお」順でまずは岡本委員からよろしくお願いします。
○岡本委員 労働組合の連合で会長代行をしております岡本です。国民生活審議会の際にも個人情報保護部会の委員を長い間務めさせていただきまして、たくさんの資料をそろそろ焼却処分しようかなと思っているときにまたこのお話をいただきました。
多分、前回の議論でもあったと思いますけれども、民生委員の方たちのご苦労のお話もヒアリングで当時伺いましたけれども、あいかわらずさまざまな過剰反応が起こっているなということを感じておりますので、そういったことも含めてまた議論を深めていければと思っております。どうぞよろしくお願いいたします。
○長谷部座長 どうもありがとうございました。
それでは、山口委員、お願いいたします。
○山口委員 東京大学の山口でございます。私の専門は刑法ですが、しばらく前からこの問題に関わらせていただきまして、またいろいろ勉強させていただいて、必要なご意見を申し上げたいと思います。どうぞよろしくお願いいたします。
○長谷部座長 それでは、続いて、和田委員、お願いいたします。
○和田委員 千葉県の総務部政策法務課長をしております、和田と申します。
私どもの所属は、県の個人情報保護条例を所管しているところでございまして、地方の立場からということで意見を申し上げることができればと考えております。よろしくお願いいたします。
○長谷部座長 どうぞよろしくお願いいたします。
≪2.関係省庁からのヒアリング(消費者庁、経済産業省、総務省)≫
○長谷部座長 それでは、本日は関係省庁からのヒアリングを議題として取り上げたいと存じます。
前回、この専門調査会の今後の進め方につきましては、事務局から法の施行状況の評価といたしまして、事業者からの個人情報保護の取組みの実態などの状況、苦情処理の状況、各省庁による施策の実施状況等につきましてヒアリングを行って、そうした評価を踏まえた上で個人情報保護法及びその運用に関する問題点の整理を行っていただきたい。その旨ご説明をいただいたわけでございます。
今回は早速ということで、各省庁による施策の実施状況等に関するヒアリングと、この問題に関しまして、消費者庁、経済産業省、総務省からのヒアリングを実施したいと存じます。
(1) 消費者庁における施策の実施状況について
○長谷部座長 それでは、まず消費者庁における施策の実施状況につきまして、説明をお願いいたします。消費者庁の國井個人情報保護推進室長、よろしくお願いいたします。
○國井室長 消費者庁の個人情報保護推進室長の國井でございます。第1回目に個人情報保護法の概要等ご説明させていただきまして、その中で若干触れさせていただいた内容もあるかと思いますけれども、消費者庁の取組みについて簡単にご説明させていただきたいと思います。
資料は配付資料の中にございますように、資料1-1~1-4ということで、大きく4種類に分けて用意をさせていただいております。
消費者庁におきましては、個人情報の保護に関する基本方針の作成及び推進に関することというのが所掌事務でございますので、基本方針、その他の政府決定によりまして、旧内閣府、現消費者庁において主として行うこととされている事務を中心に実施をしているところでございまして、それらについて大きく分けると4つに分けられます。そこで、その4項目についてこれまでの取組みを簡単にご紹介させていただきたいと考えております。
資料の順番とも一致しているわけですが、1つは広報・啓発ということ。2点目が国際的な取組みへの対応ということ。3点目が諸外国等の情報収集、調査研究を行うということがありますので、その1例といたしまして、昨年度行いました外国調査についてご紹介させていただきます。
最後、4点目でございますけれども、これは前回でも簡単にご説明をさせていただいたんですが、各省庁が作成しております、いわゆるガイドラインの共通化の取組みを行うことになっていますので、その状況について簡単にご説明させていただくということでございます。
それでは、まず資料1-1をごらんいただきたいと思います。これは個人情報保護法に関する広報・啓発等の取組みについて簡単にまとめたものでございます。
1ページ、個人情報の保護に関する基本方針においては、事業者及び国民に十分な情報提供が行われるよう、インターネットの活用、ポスターの掲示など、多様な媒体を用いて広報・啓発に積極的に取り組むこととされております。
その際に、個人情報の有用性に配慮しつつ、個人の権利利益を保護することという法律の目的、この考え方が各主体による実際の個人情報の取り扱いにおいても十分反映されるようにするものとするとされております。
特に3年後の見直しの際に一番問題となりました、いわゆる過剰反応、これを踏まえた取組みの一環ということで、関係省庁の間で個人情報保護施策の今後の推進についてというのを決定したわけですけれども、これに基づく広報・啓発等を一層積極的に行うものとするとされているところでございます。
このような方針に基づきまして、諸々の取組みを行っているわけですが、大きく2種類ご説明させていただきます。
2ページ、まず説明会の実施についてということでございます。これにつきましては、毎年度いろいろやり方、規模等を変えながらでございますが、消費者庁として全国で説明会を実施しているところでございます。
ここでは昨年度、平成21年度に行いました個人情報保護法の説明会の参加人数等について簡単に記してございます。昨年度においては、21年11月~22年1月までの間で、全国ブロックごとに分けまして、各ブロック、1県ないし2県ということで、13道府県で説明会を開催したところでございまして、その参加された人数等については、下の表に掲げておりますとおり、およそ3,300人程度ご参加いただいているところとでございます。
特に過剰反応等が言われている分野ですとか、現場でこの法律ができたことによってさまざま苦労されているというようなお話を聞くところの方々を中心に、自治体の方から声をかけていただいて、ご参加いただいているというところでございます。
内訳はざっとその表のとおりになっておるわけでございまして、この中で地方公共団体の職員の方にもかなりの人数おいでいただいていまして、我々としてはこういう地方公共団体の方々から更に法律の内容等が広まっていくということも期待しているところでございます。
この際に使った資料につきましては、この資料1-1の後ろに冊子の説明会資料を添付させていただいております。これは時間の関係もあって詳しくは説明いたしませんが、前回第1回でご説明申し上げた個人情報保護法の仕組みを更に簡単にしたものと、いわゆる過剰反応というものが取りざたされているケースに分けて、それぞれの状況と法の考え方、先般、過剰反応の優良事例調査というのを内閣府時代に行いましたので、そのときの事例を紹介させていただきつつ、皆さんに理解を深めていただくという考え方で実施しているところでございます。
3ページをごらんいただきたいと思います。多様な媒体の活用ということで、少しビジュアルな資料を載せておりますけれども、最初に申し上げた多様な媒体を活用して広報・啓発をするということを踏まえまして、まずは消費者庁の個人情報の保護に関係するホームページで幾つか情報提供をさせていただいております。
1つは個人情報保護に関するよくある疑問と回答ということで、後ほどご説明いたします質問ダイヤルやメールボックスなどに、あるいは説明会に寄せられた典型的な質問について解説をしているところでございます。
次に、これは一昨年度になりますけれども、わかりやすい個人情報保護の仕組みというものの簡単な動画をつくりまして、これも見ていただけるようにしてあります。
また、個人情報保護法の質問ダイヤルというものを平成19年夏から設けまして、専属の相談員を配置いたしまして、国民の皆さんからのお電話に対して、主に解釈などについての疑問にお答えするということでやってきております。
続いて、真ん中辺にありますけれども、パンフレットの作成です。「よくわかる個人情報保護のしくみ」ということで、先般もお配りいたしましたけれども、わかりやすいパンフレットを作成して、理解を深めていただこうという努力をしているところでございます。
さらに、一番右側はポスターということで、これも毎年1つ作成しているわけでございますけれども、特に最近はできるだけ過剰反応への対応ということもにらみつつ、要するにこの法律が保護一辺倒の法律ではないということがわかるようなものになるように、工夫をして作成しているところでございます。また、このポスターは先ほど申し上げた全国説明会の案内としても、このポスターは活用しております。
以上、簡単ですが、広報・啓発の取組みについてご説明をさせていただきました。
続きまして、資料1-2をごらんいただきたいと思います。「個人情報の保護に関する国際的な取組への対応について」という資料でございます。
これは個人情報の保護に関する基本方針におきましても、国際的な協調を図るとともに、我が国の法制度について国際的な理解を求めていくということが掲げられておりますので、諸々個人情報保護に関する国際会議等に出席いたしまして、以上、申し上げたような取組みを消費者庁として行っているということでございます。
まず、1ページをごらんいただくと、国際的な取組みの概要が簡単に記してございます。左側が日本が正式な加盟国として加盟しているものでありまして、それはOECDとAPECの2種類があるわけでございます。この詳細については後ほどご説明いたします。
右側、その他といたしまして、EUは当然加盟国とかそういうことではないわけですけれども、EUのルールが他の国に影響を及ぼすということがありますので、こちらの動向も注視しているところでありますし、その下の2つ、コミッショナー会議とAPPAというものは、どちらもいわゆる諸外国ではよく見られるコミッショナーというような、政府から独立した個人情報保護の監視執行機関の長がメンバーになって開催されている会議というものがあるわけで、真ん中のコミッショナー会議というのは世界全体の会議でありまして、その下のAPPAというのはアジア太平洋地域のプライバシー執行機関による会議ということで2種類ございます。これらの2つについては、基本的にオブザーバーとして参加して情報収集を行っているという状況にあるわけでございます。
2ページ以下から、今申し上げた国際機関等の概要について資料を用意させていただいております。時間の関係もありますので、概略だけ簡単にご説明させていただきますけれども、最初のOECDは、もともと1980年9月にこちらで作成されましたOECDプライバシーガイドライン、これが我が国の個人情報保護法の制定に当たっても参考としたものということは前回もご説明したとおりでございます。その後、概要の一番下にありますように、プライバシー保護法の執行に係る越境協力に対するOECD勧告というものも2007年6月に採択をされておりまして、一番最初に定められたプライバシーガイドラインが策定されてから今年でちょうど30周年になるものですから、来月の末にも記念行事が国際会議として予定されておりますが、そこでまたいろいろと議論がなされるということになっておりまして、このプライバシーガイドラインの時代に合わせた改正作業等も今後進んでいくと見られております。
3ページはAPECの取組みでございます。APECはプライバシー・フレームワークというものを2004年10月に採択をいたしているところでございます。目的はそこにございますように、加盟エコノミーにおける整合性のある個人情報保護への取組みを促進して、情報流通に対する不要な障害を取り除くこととされております。
これの下に2007年9月にデータ・プライバシー・パスファインダー・プロジェクトというプロジェクトが開始をされて現在に至っているわけでございますが、これは一番下の囲いの中に簡単に書いてございますけれども、大きく分けると2種類のプロジェクトが今進んでいるところでございます。
1つは、APEC域内における、越境を超えてデータをやり取りする場合のルールを事業者がどのように守るか、守っているかということについて認証していこうということ、そのための枠組みをつくっていこうではないかというのが1つ。
もう1つは、加盟国間でそれぞれ国内で紛争が起こった場合に、それを解決するために諸外国の協力が必要であればそれは協力していこうということで、そのための枠組みというものをつくろうという動きになっております。大きく分けてこのような2つの取組みが進んでいるわけでございます。
その中で、4ページになるわけですが、ご説明した2点のうちの1点、越境執行協力の関係は、これについてはもう基本的に枠組みができまして、現在、各エコノミーで順次これに参加をしているところが出てきているということでございます。
概要の真ん中のところにありますとおり、現在では、アメリカから始まってカナダに至るまで、これらの執行機関が参加を表明しているところであります。一応これについては、運営管理者というものが取決め上置かれることになっていまして、APECの事務局と米国、オーストラリア、ニュージーランドが立候補いたしまして、現在これらによって共同管理が行われている状況でございます。
一番下に簡単にどんな考え方なのかというのを図で示してあるわけですが、要は日本の立場からすれば、自ら他国に援助要請を行う場合と、援助要請を受ける場合の2種類考えられるわけでございますけれども、国内において、現行の個人情報保護法上法の執行が必要になった場合に、例えば日本の事業者が他のエコノミーの事業者に個人情報の取扱い等を委託等している場合であって、日本の事業者に法執行する際に外国の事業者の情報が必要になった場合に、他国のプライバシー執行機関に必要な情報の提供を求める。右側に書いてあるのはその逆のパターンですけれども、そういうことを想定しているものでございます。
日本についてはまだ参加はしておりません。日本の場合は、主務大臣制ということで、各省庁間で連携して対応しなければいけないので、今その辺のやり方について関係省庁間で調整を行っている状況でございます。
5ページでございますが、これがEUの概要でございます。よく御存知の方も多いと思いますが、EUはデータ保護指令というものを定めまして、加盟国にはこれに基づく国内法の手当てを要求しているわけでございまして、一番我が国との関係でも取りざたされているのは、いわゆる第三国への個人データの移転を規制する、第三国条項というのがありますので、これが他の国との関係では問題になってくるわけでございます。
ただ、これには例外規定というものが幾つか定められております。EUの審査を受けて、要するに大丈夫だと言われた国以外には、基本的にはEU域内からデータを出してはいけないというのが原則ですが、それの例外措置というものが幾つかありまして、多くの国はそれに基づいて今対応しているというのが現状でございます。3番目の資料でこれについての調査研究を昨年行っておりますので、またそこでご説明させていただきたいと思います。
6ページのコミッショナー会議でございます。これは先ほど申し上げたようなデータ保護プライバシー・コミッショナーと呼ばれる公的機関の世界的な集まりということで、本年も来月末にイスラエルで開催される予定になっていますが、過去そこに記してあるような議論が行われてきたというものでございます。日本は公開セッションは参加をし、非公開セッションはオブザーバー参加で情報収集をするということを現在しております。
最後、7ページですが、これはAPPAということでアジア太平洋地域のプライバシー執行機関の会議でございます。4か国、5地域が今正式メンバーになっているわけで、日本はオブザーバーということで情報収集のために、本年度から実は初めて参加をしているところであります。
正式メンバーの一番下にEU加盟国及び米国の機関は含まれていないとありますが、実は先日、アメリカのFTCが参加したという新たな情報が入ってきておりますので、補足をさせていただきます。 大変簡単ですが、今申し上げたのが国際的な取組みへの対応についてでございます。
続きまして、資料1-3をごらんいただきたいと思います。「国際移転における企業の個人データ保護措置調査について」という資料でございます。
これについては、最初に申し上げたとおり、内外の個人情報保護に関する情報収集、調査研究というのを進めていくという我々の任務の一環として、昨年度行ったものでございますけれども、有識者の方々に参加して執筆していただきましたので、1ページ目はその委員の方々の名前を記してあるということでございます。
2ページに全体の構成というのが示してあるわけでございますけれども、大きく2つのテーマについて今回調査をしてみたということでございます。
1つ目が、EUデータ保護指令と個人データの国際移転ということで、先ほど申し上げたとおり、EUのデータ保護指令に基づいて、要はEUの審査を受けて、EU指令と適合性のある国とみなされていない国については、大きく分けると2種類例外措置がありまして、BCRと呼ばれる制度とモデル契約と呼ばれる制度があって、これを活用すればEU域内からその他の国のデータ移転ができるということでございます。
この点について、日本の企業が実際どのように対応して、どんな問題点があるのかというようなことを把握しておくことが必要ではないかということで調査を行ったわけでございます。
2つ目は、先ほど申し上げたコミッショナー会議で、個人データ処理に係るプライバシー保護の国際標準、要するに世界統一ルールというものをつくろうではないかという動きが出ておりまして、それに関する素案というものが昨年の会議で提案されましたので、まだまだ今後どうなっていくのかというのはわからないわけですが、最初に示された提案についてどのようなものかということについて考察を加えていただいたというところでございます。
3ページ以下は、どういう調査をしたかということが記してあるわけでございますけれども、今回はとりあえず調査研究の一環としてこういうことを行ったということのご紹介でございますので、あとは時間の関係もありますので詳しい説明は割愛をさせていただきたいと思います。
この調査結果については、消費者庁のホームページに報告書そのものをアップしてございますので、ご関心があればいつでも見ていただけるようになっております。
最後、資料1-4、「ガイドラインの策定・見直し、共通化の状況について」の資料について簡単にご説明いたします。
これについては第1回でもご説明いたしましたとおり、平成20年7月の関係省庁連絡会議申合せでありまして、複数のガイドラインが適用される事業者があることに留意しながら、できるだけ共通化できるところはすべきだというような前の国民生活審議会のご指摘を踏まえまして申合せを行ったものでございます。
先般ご説明した施行状況の報告の中にも記載しておりましたが、ざっと下に掲げたような状況に現在なっております。簡単に申し上げると、40のガイドラインがあるわけですが、この共通化の考え方を入れて既にガイドラインを改正された省庁もあり、ガイドラインの数で言いますと11、改正を行っております。残りのものについては、それぞれの省庁で引き続き検討を行っていただいているところでございます。
大変雑駁で恐縮ですけれども、以上、今回用意させていただいた我々の資料についてのご説明をさせていただきました。
以上でございます。
○長谷部座長 どうもありがとうございました。それでは、ご質問あるいはご意見等ございましたらよろしくお願いいたします。
それでは、杉浦委員から、まず。
○杉浦委員 杉浦です。消費者庁としての考え方を1点だけお尋ねしたい、確認したいんですけれども、かねてから問題となっております第三者機関の設置について、消費者庁はどのような取組みをされているのか、あるいは今後どのような取組みをされる予定があるのか、その点だけご質問したいと思います。
○國井室長 ただいまのご質問でございますが、第三者機関につきましては、先般もご説明したとおり、前回の3年後見直しのときの国民生活審議会の意見で、その時点ではとりあえず現時点では主務大臣制を維持することが妥当であるという結論になり、ただ、ほかの国ではそういうところを導入している国も多いことから、引き続き検討を重ねていくことが必要であるということで、中長期的な課題ということで位置づけられております。
我々としてはとりあえず、先ほどご説明したのはEUとの関係の調査でしたけれども、一昨年度に各国の第三者機関がどういうふうになっているのかということを含めたもう少し幅広な調査を行いまして、情報収集を行っているということでございます。
ただ、そういうような位置付けでございますので、すぐに実現に向けてどうこうというような現状にはないわけでございますが、またこちらでの議論ですとか、その他の動きを見極めながら考えていきたいと思っておりまして、現時点で結論が出ているわけではございません。
○長谷部座長 よろしいですか。
○杉浦委員 はい。
○長谷部座長 それでは、柿原委員、お願いします。
○柿原委員 特に重大事故の情報の出し方です。記者会見、報道発表のやり方ですけれども、個人情報がネックになっているというようなご説明があるようですけれども、非常に情報の出方が乏しいように思うのです。
新長官が9月3日の日に、重大事故に関してはより詳しくいつどこでどのような重大事故が発生したのか、製品との関係でわかるような記述をしたいというようなことをたしかおっしゃっていると思うんです。ところが、その後もプレスリリースでも、特に電動車いすの死亡事故に関しても1行のみですし、その後の連続した事故に関しても、はっきり言って原稿にならないような情報しか出てきていないように思うんです。
要するに保護法がネックだと言うんですけれども、広く注意喚起するのは報道発表の目的だと思うんです。ところが、その目的に沿っていないように思うんです。ですから、これは今後どうされていくのか検討していただきたいなという注文です。
○國井室長 今のご意見でございますけれども、個人情報保護法が情報を出すときにネックになっているというような話というのは時折あるわけでございますけれども、微妙なんですけれども、我々の立場からすると、消費者庁の我々の室の方で担当しているのは、要するに民間の事業者が守るべきルールの個人情報の話でございまして、今言ったような政府機関が出すときに個人情報にどのような配慮をしなければいけないかというのは、総務省の所管する行政機関個人情報保護法というものがありまして、そのルールに従うということになっております。
所管外の話になってしまうので申し上げにくいのですが、ただ、行政機関法も一般的なルールを定めているだけのものでありまして、個々の事案についてどう出すかというのは、基本的にはそれぞれの省庁のルールに基づいた中での裁量がかなりあると思われますので、その中でどういうふうに判断していくかということだとルール上はなっているわけでございます。
重大事故の情報の出し方はそれはそれとして、消費者庁の別のセクションの方で検討していて、しかるべき結論が出てくるんだろうと思いますけれども、申し訳ないんですが、個人情報保護法との文脈でということになると、若干関連性が低いというか、離れてしまうのかなというふうに私どもの方では認識しております。
○柿原委員 つまり、保護法がネックになってというご説明があるようなので、所管が違うんでしょうけれども、それはわかっているんですけれども、ここで答えていただきたいというようなものではなくてわかっているのですが、注文として、重大事故が起きた場合に、例えばチャイルドシートでも2か月ぐらいかかっていますね。そういうものはメーカー側の問題もあるでしょうから、いろいろ難しい問題があるのはわかっていますが、つまりどこかで今のまま発表体制でいいのかというのを注文したということです。
○國井室長 わかりました。では、消費者庁全体に対するご意見ということでございますので、それは柿原委員からそのようなご意見がこの場であったということで担当部署にお伝えをさせていただきたいと思います。
○長谷部座長 三宅委員、関連してということでしょうか。
○三宅委員 今の関連ですけれども、個人情報保護法がネックになると言われるのは、情報の受け手が民間で、メディアもそうですが、政府が情報を提供するというときに、所管は総務省かもしれませんが、受け手は民間ですから、多分民間の方に情報を流すことについての問題点ということになると思うのです。
実は行政機関個人情報保護法についても、この消費者委員会の個人情報保護専門調査会で視野に入れてということで前回それについても考えるということでしたので一言問題点を指摘しておきたいのは、第三者提供なり目的外利用について、行政機関個人情報保護法の中に相当の理由がある場合には提供できるという規定になっているのです。
それは行政機関個人情報保護法の制定の際の検討部会にさかのぼるのですが、その前に1988年にできた行政機関の保有する電子計算書に係る個人情報の保護に関する法律というのがありまして、スーパーコンピュータを対象とした法律のときにも相当の理由があれば情報提供できるという規定があるんですが、その政府の出版になっているコンメンタールを見ても、相当の理由というところがどういう理由なのかはっきりしないのです。
私、日本弁護士連合会で裁判員裁判を施行するに当たって、最高裁から裁判員裁判を担当する弁護人の名簿をいただきたいということを言ったら、最後はそこの相当の理由のところで立法の経過は1998年の法律までさかのぼるけれども、相当の理由に基づいて行政機関が情報提供をする根拠と非常になりにくい。かつ、それを参考に最高裁が弁護士会に裁判員裁判の担当弁護士の名簿を渡すわけにいかないと言われてしまいまして、つまり、情報提供をする側の行政機関個人情報保護法の中の条文自体も見直さなければいけない問題があるだろうと思いまして、それが受け手の方は個人情報保護法になりますが、送り手の方は総務省の所管になり、消費者庁でもう一回検討していただくなりして、そこのところをどうするかという問題を今後詰めていかなければいけない問題点としてあるのではないかと思っています。
○長谷部座長 関連する点のご指摘をどうもありがとうございます。ほかにはいかがでございましょうか。
臼井委員、お願いします。
○臼井委員 広報・啓発の件ですけれども、特に過剰反応について広報・啓発されているのはよく知っておりますし、先ほど國井さんがおっしゃったように、保護一辺倒ではないというのは確かにそうです。しかし、お配りいただいた説明会の資料を読みますと、内容が極めて難しい。難しいというのは、普通の人にとっては、例えば学校現場で名簿を作成自体は可能だけれども、配付は同意を得ることでできるとか、自治会のうち5,000人を超える組織はほとんどないとか、ということです。それはそうなんですが、これを普通の人が聞いて、この法律は単に保護するだけではなくて活用することが必要だし、情報を使えるんだとは理解できないのではないかと思うのです。
従来のこういう啓発のやり方あるいは広報のやり方では、過剰反応についてはそのままになってしまうと、ぼくは思うんですが、國井さんはどういう認識でしょうか。このままの啓発のやり方をすることで、過剰反応はなくなるとお考えでしょうか。
○國井室長 そうですね。ご指摘いただいたようなご意見もあろうかと思います。ただ、要するに法律の周知と徹底ということになりますと、基本的に自分自身などもそうなんですが、結局実際そういう問題が自分の身に降りかかってくるようなことがない限り、まず関係ない法律は知ろうとしないというか、そういうようなところもありますので、全国民に対して周知徹底していくというのは本当に難しいことだと思っています。
ただ、興味を持っていただいた人に法律の中身を知っていただくことで、徐々に誤解を解いていくという地道な作業しかないのかなと思っております。
そういうこともありまして、全く知らない人が何年か経ってそういう問題に直面して、そのときに初めてどうなっているのだというか、あるいは個人情報保護法というものがあって、そういう名前からするとこういうふうな中身だろうと思い込んでいろいろと行動されるということもないとは言えないと思いますので、そういう意味ではこのまま取組を進めていわゆる過剰反応というものが全くなくなるかと言われると、それは我々としても100%なくなるということは難しいのかなとは思っています。
一時期、社会的に大きく問題になったような状況が少しずつでも解消されていくことが必要だと考えておりまして、そのためにこれまで申し上げたような地道な取組みをさせていただいているというところでございます。
逆に何か過剰反応の解消のためにもう少し別のやり方があるというようなよいお知恵があればお聞かせいただいて、対応できることがあればやっていきたいなとは思っております。
○臼井委員 別な方法と言えば、それは、一つは法律を変えることでしょう。つまり、法律を変えるというのは周知徹底が一番簡単なわけです。解説を一つひとつホームページに載せるとか、説明会を開くというよりも、法律を変えるのが一番わかりやすい。しかも、わかりやすく法律を変えればいいと思います。
説明の仕方も、ぼくが読んでもよくわからない。一生懸命読んでも、例えば名簿の作成のところでは、私立学校と公立学校に分かれていて、私立学校で個人情報取扱事業者に該当する場合は同意がなくても名簿をつくること自体は可能、同意を得れば配布も可能、とあります。公立学校の場合は、各自治体の定める条例の適切な運用解釈による、とあります。こういうふうなことを言われても、多分ほとんどの人はわからない。普通の人というか、ぼくも普通の国民のレベルですが、わからない。このままだと、ほとんど広報・啓発というのは意味をなしていないのではないかと思っております。
○長谷部座長 ただいまのはご意見の表明ということかと思います。ほかにはいかがでございましょうか。
三木委員、お願いします。
○三木委員 広報・啓発の話とつながるというか、それに関連するものですけれども、先ほど國井さんがおっしゃられたとおり、一般的な周知徹底となると結構抽象的なことになるので難しいかなとも思うのですが、一方で資料を拝見すると、むしろ個人情報を集めて使う側に対する周知徹底というのが基本なのかなと思います。
過剰反応の原因というのは、使う側の問題もあるんですけれども、実は提供側というか、一方の主体側の受けとめの問題も非常に大きいのかなと思うところがあります。今のような形の広報・啓発を継続することが、どの程度この先も過剰反応とか個人情報保護制度に対する、ある意味誤解だったり、認識のずれとかそういうものにどのくらい役に立ちそうなのかなというか、どのくらいつながりそうなのかなというところで、何かこれまでやってきた活動からお感じになっていることがあれば、少し何かあればと思います。
説明会とかをされていて、法律の問題とそれ以外の問題とがいろいろと混ざった形で社会的には認識されているきらいがあるのかなと思うのですけれども、それについては説明会とかでいろいろな質問とかご意見が出ると思うのですけれども、その辺については何か傾向とかそういうものがあるのかというが何かあればお聞かせいただければと思います。
○國井室長 なかなか難しいご質問でしたので、お答えになるかどうかわかりませんけれども、基本的に集めて使う側といいますか、いわゆる法律の対象となるような個人情報取扱事業者といいますか事業者サイドというのは直接規制がかかってくるものなので、一部対象にならない中小企業の方とかというところにまだ周知が不十分ではないかというのはあると思うんですけれども、それ以外のある程度の規模の事業者には基本的にはかなり法律の中身というのは浸透してきているのかなと思っています。
どちらかというと、過剰反応と言われるのは、まさに法律の義務の対象とならない人たちがどういうふうに感じて受けとめて行動するのかというところが中心かなと考えておりまして、一応そういう方々を中心に説明会なりを開催してきたところであります。
ただ、先ほども臼井委員のご質問のときにもお答えしたのですが、結局そもそも自分の身に降りかかってこないとなかなか興味を持っていただけないというところもありますし、あとはこれをどうしたらいいのかというのはよくわからないところですが、ある程度知っているけれども、個人情報というのを出すことによって、特に自分の情報等を出すときに、個人情報保護法を理由にブロックできるというようなのを意図的にやっているような人たちもおられると思うので、そういうのが全部渾然一体となっている中で、どうしていったらいいのかというのは非常に悩ましい問題だと思っています。
説明会等でよくある質問というのも多少はパターナライズ化してきているところもありまして、そういうのは冒頭申し上げたように、パンフレットの後ろによくある質問と回答というような形で掲げたりとか、説明会の場で丁寧にご説明申し上げるというようなことをやっているわけでございますけれども、なかなか見通しというか、そういうものについては我々の方も現在悩んでいるというところでございまして、1つだけ言えるのは、要するに抜本的な解決策というのはないものですから、地道な活動をとりあえず続けていくしかないのかなと考えているところです。
○長谷部座長 三木委員はよろしゅうございますか。
では、三宅委員、お願いいたします。
○三宅委員 今の説明会に関連するところで、消費者庁の説明会の資料の21という番号が付いているところです。これで要援護者支援の現場というのがあって、私は今日これを拝見して初めてわかったのですが、自治体での同意者名簿と未同意者名簿というのがありますね。町内会で自主防災組織とか、町内会で閲覧のみの許可とか、未同意者名簿の方は緊急時のみに提供許可とあります。名簿の交付のときに古い名簿を回収するとかありますけれども、これは実際にこういうことをちゃんとやっている自治体と町内会についてのデータというのは消費者庁でお持ちでしょうか。
というのは、私もある東京の下町に住んでおりまして、今までどおり名簿がまいります。かなり分厚いものですから多分5,000軒ぐらいの名簿が入っていると思うんですが、古い名簿を回収しろと言われたことはありませんし、未同意者名簿と同意者名簿を分けているということでもないので、つまり、先ほどからの話になりますけれども、説明会で広報・啓発をするというのは、この実績から言うと3,000人程度ということで、実際にいろいろ過剰反応とか個人情報の趣旨の徹底とか言っても、果たして十分説明会だけで足りているのか。結局、そこから考えられるのは、もう少しわかりよい法律の部分を少し修正して書き込んでいくような必要もあるのかどうかというところですが、その辺の事実の把握はどの程度されているかということをまず伺いたいと思います。
○國井室長 ここの要援護者の支援の現場というのは、先ほどご説明したような、先般行った優良事例調査の中で、要援護者の支援の現場における個人情報の取扱いについて悩んで、一定の取組を行うことによって問題を解決している事例が出てきましたので、これと同じような方法を採用することができれば、同じ問題で悩んでいる自治体等も悩みを解消することができるかもしれず、参考になるのではないかということで紹介をさせていただいているということであります。つまり、我々としてこういうやり方がベストだとまで考えているわけではなく、したがってこういうやり方をしているところがどれくらいあるかということを悉皆的に調査するということはもともとこの調査の目的ではありません。そういう意味ではこういう方法を取っているところがあるという事実を承知して、そこをお知らせしているということにとどまります。三宅委員がおっしゃったような、どれぐらいのところがやっているのか、データとして持っているのかと言われれば、それは承知をしていないというのが実態でございます。
要するに広報・啓発の限界があるので、臼井委員もおっしゃられたように法律の改正をしていく必要があるのではないかという点については、とりあえず我々としては前回3年見直しのときにも国生審でご議論いただいたところで、まずは周知徹底を図っていくことが重要であるという当時の結論にのっとって、できる限りの努力をさせていただいておりますが、更にその限界があって、やはり何らかの手当が必要だというご意見については、またこちらでも今後議論されていくでしょうし、実現可能な手法があれば、それは採用していくことを否定しているわけではございません。いずれにしても今後の検討の結果いかんによるものかなと思っております。
○長谷部座長 臼井委員、どうぞ。
○臼井委員 質問です。三宅さんがおっしゃった同意者名簿とか未同意者名簿というのは、下に「ある自治体の管理方法」と書かれています。つまり、自治体ごとにばらばらということですか。こういうことをやっている自治体もあれば、全くやっていないところもある、という話なんでしょうか。
○國井室長 それは個人情報保護法制の現在の体系が、自治体の所有している個人情報については、別途個別分野等の特例の法律がない限りは、自治体の条例に従うというルールですから、そういうものとして我々は承知しているということです。
○臼井委員 では、説明会でこの例を挙げるということは、消費者庁としてはこういうふうにした方がいいですよというお勧めでしょうか。
○國井室長 お勧めというか、こういうやり方で住民の理解を得て、うまくやっているところもあるということであれば、それは同じ悩みをお持ちの自治体であれば参考になるのかなということでご紹介はさせていただく。当然、地方分権の話もありますので、要するに国として強制はできませんから、あくまでご紹介にとどまっているということです。
○臼井委員 わかりました。
○長谷部座長 杉浦委員、お願いします。
○杉浦委員 この説明資料の18と書いてあるところに関連しますが、前から気になっているのですが、ここのところは多分文科省のガイドラインがここで紹介される形になっていると思うのですが、ここがポイントのところの2つ目のポツの例えばのところに、入学時の案内や新学期の開始時に同意を得て、必要な個人情報を記入してもらえれば、それでもってもう同意を得たことになるということができますというお勧め的なアイデアがここで披歴されているのですけれども、やはり同意をとれば個人データの第三者提供ができるという法の立て付け方そのものが問題になっているのであって、ここだと何かその他の事柄、名簿をつくってもいいですよという幾つかの事柄について総括的に同意をとってしまえば、それでいけますよみたいな問題の本質をずらしているようなことでも同意を得たことになるんですよということをあたかも勧めているような気がしていまして、前からここは気になっているんです。
法が求めている同意というのは、例えば名簿について掲載すること、第三者提供することの同意という個別の同意をとらないと、本来法の目的からは外れしてしまっているはずなのに、こういう例示をするということはそれをそらしてしまうような気がするんですが、その点はどのようにお考えでしょうか。
○國井室長 一般的にはどの程度具体的なのか、抽象的なのかということにもよると思うんです。ただ、法律の考え方の同意をとるということが当然大前提になる中で、個別なのかある程度まとめなのかというところでどういうふうにとるかというところに工夫の余地があるのではないかということでありまして、別に法律を外れるようなことを進めているとか、そういう意図は我々としてはありませんし、これ自体は文部科学省の方の指針ですので、分野ごとのお考えはあるかとは思いますが、そこは要するに実際の現場の中で困っているところがあって、それを法律の解釈の範囲内で解消できる手法があるのであれば、それをとればいいですよということであって、別に脱法行為的なものを勧めているわけではないという認識です。
○長谷部座長 ほかにはいかがでございましょうか。もしないようでしたら、國井室長、どうもありがとうございました。
(2) 経済産業省における個人情報保護の取組みについて
○長谷部座長 続きまして、経済産業省における個人情報保護の取組みにつきましてご説明をお願いできればと思います。
それでは、経済産業省商務情報政策局情報経済課の西田課長補佐からご説明をお願いいたします。よろしくお願いいたします。
○西田課長補佐 経済産業省商務情報政策局情報経済課の西田と申します。本日、私の方から経済産業分野における個人情報保護の取組みについてということで、法を執行する立場から、資料2に沿ってご説明させていただきたいと思います。
1つ目の事業者の取組みについてということで、経済産業分野の事業者の取組みについてご紹介でございますけれども、平成17年の個人情報保護法が全面施行されてから、総じて大規模の企業を中心としまして、企業内での取組みが進展しているということで、例えば個人情報保護に関する社内規定類の整備、個人情報管理責任者の設置、あるいは個人情報保護方針の策定・公表などの取組みについては、比較的高い割合で進められているという状況でございます。
取組みが進んでいるということですけれども、状況としましてプライバシーマークの取得事業者、これは日本情報処理開発協会(JIPDEC)の方で運営している第三者認証制度でございます。プライバシーマークの取得事業者も保護法が施行される前の平成16年度ぐらいから急増しておりまして、現在、伸びの方は若干落ち着いているんですけれども、本年今月末現在で約1万2,000社が取得をしているといった状況でございます。
そういった取組みを進めていくことによって、事業者さんの方がどういう印象を持っているかというところなんですけれども、我々が平成21年度に実施したアンケートによりますと、個人情報保護法が施行されてから、個人情報が利用しやすくなったという回答は20.7%であったんですけれども、逆に個人情報が利用しにくくなったと感じている事業者は70.5%と高い割合でいらっしゃるという状況でございます。
次に、2点目の認定個人情報保護団体の取組みについてでございますけれども、これは法律に基づきまして、経済産業分野について、経済産業省が認定している団体でございますけれども、こちらは他省庁との共管を含めまして、現在18団体を認定してございます。それらの団体の取組み状況を毎年報告をもらっているのですけれども、その報告によりますと、大体すべての団体でセミナーとか研修といった情報提供を年に1回実施しているということでして、苦情処理は件数がどのくらいか報告をもらったところでは、全部で362件処理をしている。その内、説明を要求したりとか、資料を要求したりとかというのが43件、2件といった状況でございます。
我々の方で認定した団体を集めまして、認定個人情報保護団体連絡会というのを毎年実施しております。最近は年に1回ペースでやっておりますけれども、直近で平成22年3月に開催しまして、我々はガイドラインを昨年の10月に改正しているんですけれども、主にそういったガイドラインの内容について説明したりとか、日ごろの団体の問題意識などを共有して意見交換をしているという状況でございます。
最後の認定個人情報保護団体についての課題でございますけれども、政府全体としては、やはり認定の審査基準の明確化が必要であろうと。特に新設の法人などにつきましては、それまでの実績のない中でどういったところをポイントで見て、どういった法人であれば認定できるかというところで、我々の方でも基準は定めているところですけれども、全体としてある程度最低のラインはこのぐらいだということをお示しいただけるとありがたいなと、法を執行する立場から考えております。
次は審査基準の明確化にも関わる話ですけれども、認定個人情報保護団体の信頼性の維持、質の向上ということで、認定した後もきちんとした取組みをしていただくという上でも、最初の審査する上での基準というのが重要になってくるのかなということと、最後は団体制度自体が余り知られていないということもありまして、その周知も必要かなというところでございます。
3点目の事業者等に対する指導・監督についてというところでございますけれども、まず、我々は指導・監督といいますか、先ほど消費者庁さんの方でも説明会の話がございましたけれども、我々の立場としても、ガイドラインの内容を中心に説明会を開催してございます。
これは大体毎年度行っているんですけれども、平成21年度では、全国7か所で合計8回実施しておりまして、これについても直近では昨年10月に改正したガイドラインの内容を説明したりとか、あと外部講師として事業者の方とかお呼びして、実際の企業の中での取組みはどういったものかというところをご紹介していただいているということで、参加人数は全体で約1,900人ということで、東京は2回実施しているんですけれども、定員500名で大体すぐに東京などの場合だと定員締め切りになってしまうといった状況でございます。
保護法解説ビデオの作成と配布ということで、これは平成17年3月に作成したんですけれども、累計で約1万本配布していまして、これについてはホームページの方にアップロードしておりまして、多くの方に見ていただいているというところと、ガイドライン等に関する質問に対し、電話、メールにて個別対応ということで、ガイドラインについてご質問があれば個別に対応しているわけなんですけれども、特にこういった情報は個人情報に当たりますかとか、共同利用の仕組みが若干わかりにくいということで、その辺りの質問等が多いという状況でございます。
漏えい問題への対応ということで、我々は事業者さんの方で漏えいが起こった場合に正式な報告徴収とは別に任意で報告いただいているんですけれども、そういった報告件数を集計しますと、21年度では2,565件。これは消費者庁さんの方には公表事案を報告するという形になっておりますけれども、非公表事案も含めまして、2,565件ということで比較的多い数字になってございます。
次に事案ごとの原因究明、再発防止策の指導ということで、報告いただいた中で比較的漏えい事件数が多いですとか、新聞で大きく取り上げられているような事案については、個別にまずは任意のヒアリングを行って、こういったことを指導させていただいているということでございまして、それがかなり重篤な事案であれば、正式な報告徴収あるいは勧告といった行政処分を行っていくという状況でございます。
次は18年2月20日に周知している内容ですけれども、当時、データベースへの不正アクセスですとかウイルスとか、PC紛失、盗難という事案が相次いでいたということもあり、そういった点について周知を18年の時点でしていた。最近もデータベースへの不正アクセス、特にSQLインジェクションという手法で、事故が起きているということで、先ほど申し上げた説明会などではその点も周知をさせていただいているという状況でございます。
2ページになりますけれども、事業者さんからの個人情報漏えい事案の状況でございますけれども、先ほど申し上げました21年度は2,565件でございますけれども、施行された平成17年度から見ますと、かなり上昇してきているということでございますが、特にクレジットカード会社から平成20年度辺りから細かく報告が来るようになりましたので、その関係もあって、20年度から件数が若干増えているんですけれども、総じて上昇傾向にあるのかなというところでございます。
次が例えば21年度、直近の事案の原因別で見た場合にどうかというところで、やはり500人以下の小規模なケースが7割以上だという状況になってございまして、例えば郵送の誤送ですとか、書類の紛失とか、そういった軽微な事案が多いのかなと。
中には先ほど申し上げましたような不正アクセスとか、ウイルス感染といったような事案が、件数は少ないんですけれども、発生をしているという状況でございます。
21年度、直近の事件を漏えい人数別で見た場合どうかというところですけれども、先ほど500人以下と申し上げましたけれども、実際は1人とか2~10人というところでほぼ80%を占めているという状況でございまして、ご報告いただいているものとしては、大半が軽微な事案だという状況でございます。
3ページ、先ほどのように指導・監督というところも重要なんですけれども、一方で我々としては事業者さんの優良な取組みをご紹介して、まだ取組みが十分でない事業者さんにそういったものを参考にしていただきたいという趣旨で、事業者のベストプラクティスをヒアリング調査して、取組み実践事例として公表してございます。
平成18年度から取り組んでいるものですけれども、最初、30社にヒアリングしてその内容を紹介したんですけれども、次の年度ではフォローアップと新たに10社加えてヒアリングをした。次の年にはフォローアップしかしなかったんですが、21年度ではまたフォローアップに加えて新たに10社にヒアリングしたということで、現在50社の取組み事例をご紹介しているという状況でございます。
どういったことを紹介しているかといいますと、そこにございますように、対策の場面ごとの取組み事例ということで、例えば個人情報保護対策の準備、規程づくりとか体制づくりとかですけれども、そういったところから始まって、個人情報の取得、利用、管理、消去・廃棄に至るまで、あるいは事故が発生した場合にどういった取組みをしているかというのをご紹介しています。
特に昨年度は実際に大きな事故を起こした事業者さんの方にご協力いただいて、実際に事故が起きたときにどういう対応をしてきたかといったところも詳しく聞いて、今回公表してございます。
次の中小企業における効果的な取組みということで、これは規模が小さい事業者さん向けに、そういった事業者さんがどういった取組みをしているかというところを項を分けてご紹介しております。
あと、対策についての費用ですけれども、大体どのぐらい費用をかけていらっしゃるかというのも事例として挙げさせていただいております。
次の4のガイドラインの策定・見直し等についてでございますけれども、こちらは平成16年10月に法律が施行される半年前ぐらいに有識者あるいは事業団体、消費者代表の方々のご知見をいただきながら、経済産業分野を対象とするガイドラインを作成いたしました。その後、数次改正しているわけでございますけれども、1回目の改正を平成19年3月に行っています。
ここでは過剰反応に対する見直しということで、当時、事業者さんの方からなかなか必要な場合でも第三者提供が行われないということで、例えば法令で定める場合には、第三者提供の適用除外になっているのですけれども、その場合にもやはりちゅうちょしてしまうということで、どういった法令でどういった規定に基づいていれば第三者提供できるかというケースを例示して内容を充実したということと、個人情報取扱事業者の過剰な負担の適正化ということで、当時から、安全管理措置の中に個人情報取扱事業者がどういったことをすべきかということをガイドラインの中に書いていたんですけれども、そこをわかりやすく解説をして、予見可能性を高めたということと、当時クレジットカード情報が漏えいする事件が増えていたということで、クレジットカード情報については、厳格に取扱っていただくようにということで、その内容をガイドラインに盛り込んだということ。
20年2月の2回目の改定では、委託先で漏えいが発生していた状況を踏まえて、委託元の監督責任のところの内容を充実したということで、必要ない個人データの提供は禁止してください、あるいは委託先に対しては必要かつ適切な監督をしてくださいという内容を盛り込んだという状況でございます。
平成20年11月ですけれども、これは直接ガイドラインの改正ではないんですけれども、パーソナル情報研究会というのを経済産業省の中に設置しまして、そこで報告書をとりまとめて公表したという経緯があります。この研究会では、個人と連結可能な情報、これをいわゆるパーソナル情報というふうに総称していたわけですけれども、有効利用するに当たって環境整備上の課題を整理した。
その整理に当たっては、個人情報保護法の枠内の課題あるいは境界線上の問題、枠外の問題というふうに分類して検討させていただいたということで、その内容を一部次の21年10月のガイドライン改正の中に反映したという形になっております。
次に10月のガイドライン改正でございますけれども、ここで行ったのは、パーソナル情報研究会での検討結果の反映ということのほかに、平成20年4月に基本方針が改正されておりましたので、そういった変更に対応する見直し、あるいは法律の施行令が改正されて、5,000件の中に入らないものが規定されたということで、それへの対応あるいはガイドラインの共通化ということで、標準ガイドラインが示されておりましたので、それについての対応。あと、最後はパーソナル情報研究会の対応ということと、不正の手段により個人情報を取得している事例の追加ということで、近時悪質な名簿屋などを通じて、情報が流出しているということで、受け取るときにはそういったところに加担することのないようにということで、不正の手段によって個人情報を取得している場合に当たる事例を追加させていただいたということ。
最後にガイドラインでは典型的な事例など用いているのですけれども、もっと具体的な話はQ&Aというところに落として解説しておりまして、これもガイドラインと一緒に公表させていただいているという状況でございます。これにつきましてもガイドライン改正などに合わせて、その後も8回フォロー、追加・更新をしているという状況でございます。
最後に、今後の検討課題ということで、これから検討したらどうかと考えている課題なんですけれども、現在、セキュリティ技術がかなり向上しているということで、どういったセキュリティ技術であれば安全管理措置を行っていると言えるかというところとか、今、漏えいの対応がかなり多様化しているということで、自社の中でデータベースを管理していて、それが外部から攻撃されなければいいのかというところも、今の流出の形態を見ていると考えるところもあるので、その辺りを一度検討してみてはどうかなと考えているところでございます。
あと、最後のところ、情報の利活用についてでございますけれども、エネルギー使用情報ですとか、匿名化した情報などをいかに安心・安全に確保しつつ利活用できるかといったような課題についても、今後検討したいなと考えてございます。
これらの検討は、これから始めるということで、まだ具体的な話ではないんですけれども、検討結果につきましては、また別途ご説明の機会をいただけるとありがたいと考えてございます。
私からは以上でございます。
○長谷部座長 どうもありがとうございました。それでは、ご意見、ご質問等ございましたらよろしくお願いします。
長田委員、お願いします。
○長田委員 まず1つは、パーソナル情報研究会で検討を行った各課題をガイドラインの改訂のところに盛り込まれたとおっしゃいましたが、それはどういう項目だったのかということを教えていただきたいことと、もう一つ、今日ご欠席の新保先生からもご指摘のペーパーが出ていますけれども、主務大臣制の限界に来ているぐらいIT技術がどんどん進展して新しいサービスが提供されていて、主務大臣制ではなかなか対応が難しくなっているのではないかというご指摘もいろんなところからあると思いますけれども、経済産業分野の個人情報保護のガイドラインを所管しておられて、そういうような新しいサービスとかでなかなか対応が難しいなとお思いになっているようなことを何か感じていらっしゃるのか教えていただければと思います。
○西田課長補佐 それでは、最初のパーソナル情報研究会の検討結果はどういったものを反映したかというところでございますけれども、まず1点目は、個人情報の取扱いということで、安全管理措置義務の一環として、我々は任意で報告いただいているんですけれども、それはこれまで1件でも発生した場合には、すぐ報告いただいていることにしたんですけれども、ファックスとかメールの誤送信というケースが結構多うございますので、そういった軽微なものについては月に1回にまとめて報告いただいてもいいということにしたですとか、事業承継、第三者提供の適用除外になってございますけれども、事業承継を正式にする前にデューディリジェンスということで、事前に調査をする場合がございます。そういったときに、やはり個人情報の調査も必要だということで、それも事業承継の中に含めて第三者提供していいとしてほしいという声もありまして、そこはきちんと個人情報を預けた場合の管理とか契約できちんと結んだ上でやっていただくようにという形で、そのルールを明確化したということです。
あと、共同利用、先ほども申し上げましたけれども、なかなか制度がわかりにくいということで、実際には利用されていないという状況があると聞いてございましたので、その共同利用の制度を使っていただくために、例えば共同利用する際にはこんなことを取り決めとして結んでおいた方がいいですとか、共同利用として活用できるのはこんな場合ですよとか、そういった例示をしたりとか、そういったところをガイドラインに反映させたというところでございます。
2点目の主務大臣制についての問題でございますけれども、確かにその点の問題点としては、やはり各省庁でどこまで所管するのかというところで、調整をする必要がある事案がありまして、そういったところの調整がなかなか大変なところであろうということと、それが省庁間の話で済めばいいのですけれども、実際の事案の処理に影響を与えるようなことになると問題かなと考えてございます。
主務大臣制の問題点については、我々の方としてもこれから少し検討してみたいなとは思っているんですけれども、現状ではこの程度の感想でございます。
○長谷部座長 ほかにはいかがでございましょうか。
岡本委員、お願いします。
○岡本委員 今後の検討課題の安全管理措置の在り方のところですが、これまでの議論の中でも、労働者への過剰な管理強化といったものであったり、または違法な契約、誓約書を書かされるとかそういったことが問題になっていました。
そのことはこれまでも議論をしてきたわけですけれども、厚労省のガイドラインの方に関係をするんですが、実際に指導されるのは経産省の方になっていくだろうと思います。若干過剰な安全管理措置に労働者がなれてしまったというところもあるのですが、そうやって技術が向上すれば、なおさら自分が使っているパソコンの中身というか、打っている中身自体を直接見ていくことができるとか、監視するカメラがどんどん入ってくるとか、そういったようなことがあり得ますので、そういったことの議論も是非していただけるとありがたいなと思います。
○長谷部座長 今のは将来に向かっての検討のご要望ということでございますね。どうもありがとうございました。
臼井委員、お願いします。
○臼井委員 資料の中のガイドラインの策定・見直しの中の平成19年3月のガイドライン改正で、過剰反応に対する見直しで、先ほど第三者提供の除外のケースなんだけれども、ちゅうちょする場合とおっしゃったのは、どんなケースだったんですか。
○西田課長補佐 例えば先ほどお話があったかもしれないんですけれども、第三者提供の適用除外として、法令に定める場合というのがありますけれども、弁護士法23条の2に基づく個人情報の提供とか、そこに当たり得るという例示をしたりとか、消費生活用製品安全法38条3項に基づく製品の購入者等の情報についても、そういった法令に定める場合に該当しますということで、それを明確にすることによって事業者さんの不安を和らげたというものでございます。
○臼井委員 弁護士法だとどういうことになっているんですか。
三宅さんの方が詳しいですか。
○長谷部座長 三宅委員、お願いします。
○三宅委員 実は、弁護士法23条の2というのは、弁護士会に弁護士が照会をすると、弁護士会から国の各機関とか自治体とか民間にも照会状が行って、訴訟の準備の段階でいろんな情報を入手できるんです。それで個人情報が入手できるシステムになっているんですが、この個人情報保護法ができてから、民間、特に金融機関などから個人情報保護法があるから回答できませんという話がありまして、それはおかしいのではないかということで弁護士会は委員会を挙げて総出で、私も国民生活審議会の委員会をやっていましたのでお前はちゃんと言えとか言われまして、つまり個人情報保護法の23条1項1号に、法令に基づく場合には、本人の同意がなくても第三者に個人情報を提供できるという、この法令の中に弁護士法23条の2という規定が入っているということを明確にしてほしいということを明らかにしたんですが、それがまずガイドラインでは法務省のガイドラインには入っているけれども、金融庁のガイドラインに入っていないから出せませんというのが今度は銀行の話になってくるんです。
それでは、もうガイドラインで調整してもらわなければいけないからというので、ガイドラインの共通化の段階でまずそこに載せていただくことと、各省庁のガイドラインで弁護士法23条の2を入れていただく。その際、警察庁からも任意捜査で情報提供を受ける捜査照会についても入れてほしいという話もありまして、そういう諸々のものが明らかになったという経過が前回の国民生活審議会の過程の中であった。
そのとき経産省の方では随分苦労なさったらしいという話が今あったのではないかということで私は理解しています。
○西田課長補佐 ご説明いただいたとおりかと思います。
○臼井委員 後の方の製品購入者というのは、販売店とメーカーとの関係ということでしようか。
○西田課長補佐 38条3項の詳細までこの場ではわからないんですけれども、そこは条文で規定しているとおりでございます。
○臼井委員 ありがとうございます。
○長谷部座長 三宅委員、お願いします。
○三宅委員 先ほど、認定個人情報保護団体の取組みについての課題ということで、政府全体としての認定の審査基準の明確化ということと、保護団体の信頼性の維持、質の向上という点を挙げられておるんですが、お伺いしたいのは、今日は個人情報の漏えい等についてかなりいろいろガイドラインとか施策を具体化されているという話があったんですが、本人情報の開示請求についての苦情の申し立て等について、経済産業省の所管の認定個人情報保護団体でどのように対応されているかということについてのデータがあるのかどうかということと、認定個人情報保護団体を認定する際の審査基準の中に、本人情報開示請求や訂正請求に対する対応を認定個人情報保護団体でどのように取っているかということについての調査をした上での認定というような形になるのかどうか。その辺のことが考えられているのかどうかということです。
と申しますのは、私の関連している認定個人情報保護団体では、情報の漏えいについては事実調査等随分詳しくやっておりますので、そういう団体が一律なのかと思って、たまたま自分の関係している事件で所有株式の明細についての本人情報開示請求というのを成年後見人としてしたときに、情報を教えていただけなかったので苦情申し立てを証券業協会の認定個人情報保護団体にしましたら、かなり証明資料を付けたんですが、けんもほろろでだめと言われまして、本人情報開示請求に対する対応が認定個人情報保護団体ではほとんど考えられていないのではないかということが実は明らかになったんです。
今日の参考資料2の3ページの裁判例で、東京地判平成19年6月27日判決というのがありますが、これは裁判手続で個人情報保護法の25条に基づいて本人情報の開示請求をしたところ、苦情の申し立ての手続があって、それがあるんだから裁判はできませんという判決になっているものですから、私は個人情報の専門家を自称しておりますけれども、訴訟もできないし、認定個人情報保護団体に申し入れを新たにすることもできなくて、どうしようかなと思ってそのままになっているケースがありまして、つまり、認定個人情報保護団体は情報の漏えい等に関するものと同時に本人情報の開示、訂正についてどういうような取扱いをすることが求められているのかということについて、政府全体として認定個人情報保護団体の信頼性の維持、質の向上の観点から、そのようなものについての基準、または認定するに当たっての審査に当たってそういうことが考えられているのかどうか。経済産業省の場合はどのようにされているかということをお伺いしたいと思うんです。
○西田課長補佐 開示請求の取扱いについて認定個人情報保護団体がどうするかというところまでは、今の審査の中では見ていないというのが実情でございます。
○長谷部座長 まだご意見、ご質問等あるかもしれませんが、申し訳ありません。もう一つご説明の案件が残っておりますので、以上で経済産業省からのご説明の件は終わりとさせていただければと存じます。西田課長補佐、どうもありがとうございました。
(3) 総務省の電気通信事業分野における個人情報保護の取組みについて
○長谷部座長 続きまして、総務省の電気通信事業分野における個人情報保護の取組みにつきましてのご説明をお願いしたいと存じます。
それでは、総務省総合通信基盤局電気通信事業部の鈴木消費者行政課長からご説明をよろしくお願いいたします。
○鈴木課長 総務省の消費者行政課長の鈴木でございます。よろしくお願いいたします。
お手元の資料3に沿いましてご説明させていただきたいと思います。
まず、3ページをお開きいただきたいと思います。総務省では、電気通信事業、放送、郵便、信書便の4つの事業分野におきまして、ガイドラインを制定しているところでございますけれども、本日は電気通信事業における個人情報保護に関するガイドラインの概要についてご説明させていただきたいと思います。
説明上、このガイドラインについては現行ガイドラインという形で表現させていただきますので、よろしくお願いいたします。
3ページの上の目的のところでございます。現行ガイドラインの目的といたしましては、通信の秘密に属する事項、その他の個人情報の適正な取扱いに関し、電気通信事業者の遵守すべき基本的事項を定めることにより、電気通信サービスの利便性の向上を図るとともに、利用者の権利利益を保護することでございます。
その横で平成16年制定と記載しているところでございますが、これは平成17年施行の個人情報保護法に合わせまして、ガイドラインを全面的に見直した時期でございまして、電気通信事業分野のガイドライン自体は平成3年に制定しておりまして、総務省は個人情報保護法の施行以前から個人情報保護に関する取組みを実施しているところでございます。
下の方の朱書きの部分でございますけれども、特色としましては、個人情報だけでなく、通信の秘密の観点からも規定していること、保有する個人情報等の数にかかわらず、すべての電気通信事業を行う者を対象としていること、個人データ・保有個人データの用語は用いず、すべての個人情報を対象としていることなど、個人情報保護法が求めている規律より広く規律している点が特色でございます。
一番下の参考のところをごらんいただきたいと思いますが、個人情報保護法に基づき策定されました基本方針におきまして、情報通信分野は医療、金融・信用分野と並んで個人情報の特に適正な取扱いの厳格な実施を確保する必要がある分野の1つといたしまして、個人情報を保護するための格別の措置を検討すべき分野として挙げられておりますので、こうした要請に現行ガイドラインは応えているものでございます。
今、申し上げました格別の措置、一段高い水準等につきましては、次のページからご説明させていただきたいと思います。4ページをごらんいただきたいと思います。
個人情報保護法と現行ガイドラインの相違点につきましての表でございます。まず、保護対象につきましては、保護法では生存する個人が対象になっておりますが、現行ガイドラインにおきましては、死者に関する情報も電気通信事業法の通信の秘密の保護の対象となるため、生存する者に関する情報と同様に、現行ガイドラインに定める措置をとり、適正に取扱うことを求めているところでございます。
また、法人も対象となってございます。ただし、法人が対象となりますのは、通信の秘密に該当する事項だけで、例えば通話明細などが対象となっているということでございます。
保護法におきましては、個人情報、個人データ、保有個人データ、3つのカテゴリーがあり、それぞれのカテゴリーで規律内容が変わっているところですが、現行ガイドラインにおきましては、一番広い概念でございます個人情報を保護の対象としております。
対象事業者でございますけれども、保護法では5,000未満を対象外としておりますが、現行ガイドラインにおきましては、電気通信事業を行う者であれば、個人情報が1件でも現行ガイドラインの対象事業者として規律しているところでございます。
また、電気通信事業を行う者には、電気通信事業法上の届出が不要な者も含んでおります。
更に開示等の求めに関しましては、保護法では法定代理人であることを示す資料さえあれば開示が可能になってございますけれども、現行ガイドラインにおきましては、例えば子が契約者となっている携帯電話の通話履歴を確認したいときには、通信の秘密の保護の観点から、子の同意書が必要とされております。
最後に独自規定といたしましては、共通事項といたしまして、センシティブ情報の取得制限、保存期間の設定、個人情報の取扱いに関する責任者の選任、プライバシーポリシーの公表・遵守を求めています。
また、その下の独自規定の2つ目としましては、電気通信事業分野の独自の保護対象となります通話履歴、発信者情報、位置情報等の取扱いについて規定を設けているところでございます。
このように電気通信事業分野の特殊性を踏まえまして、現行ガイドラインでは保護法が求める内容より一段と高い水準で電気通信事業を行う者を規律しているところでございます。
お手元の5ページをお開きいただきたいと思います。法律及びガイドラインの施行状況でございます。こちらは個人情報漏えい事故の状況をまとめたものでございます。大きな傾向といたしましては、個人情報漏えい件数は平成18年度を除きまして減少傾向を示しているということで、電気通信事業者の個人情報の取り扱いに関する管理が確実に徹底されてきたと私どもは理解してございます。
平成21年度に関して見ますと、媒体別では紙による漏えいと電子データによる漏えい、54%、45%でほぼ拮抗に近いということです。
漏えい発生場所は社内での発生が約6割強を占めてございます。
漏えいを起こしました行為者別の内訳では、委託先での事故が半数以上となっておりますので、委託先への指導徹底が今後更に個人情報保護の取扱いの適正化を図る上では重要であると考えております。
6ページをお開きいただきたいと思います。ここでは、平成21年度における個人情報の漏えい状況の原因等をとりまとめた表でございます。右の表の漏えいの原因の例というところで代表的な例を記載してございますが、紛失の例としましては、電車等への置き忘れ、営業活動中の移動時に車両からの落下などでございます。
誤送信の例としましては、TOやCCにメールを入れての送信。誤発送では、料金明細書の封入ミス等、不注意による事故。こういった不注意による事故が全体の約7割を占めているという状況でございます。
その他のものとしまして、利用目的達成に必要な範囲を超えて個人情報を提供したり、ファイル共有ソフトによって個人情報が漏えいしたような事例が2割ほどございます。
これらの漏えい事故につきましては、紛失に関しては、社外に持ち出してはならないというルールがあるにもかかわらず、従業員がデータやPCを持ち出したケース。誤送信に関しては、PC設定を全社員統一して誤送信がなされないよう措置されていたにもかかわらず、わざわざその設定を従業員が外して誤送信をしてしまったケースなど、従業員が社内ルールを守っていれば防げた事故もありまして、個人情報の取り扱いを適正にするためには、従業員の教育・監督の徹底も重要であると考えているところでございます。
下の棒グラフのところは、漏えい規模について見ているグラフですが、個人情報数が500以上の事故は少なくて、一番右の緑の棒グラフでは、平成21年度では31件中27件とほとんどの場合が小規模な漏えい事故になっております。
また、漏えい件数1件という事案が9件ございまして、これは1件でも個人情報の取り扱いに問題があった場合は報告しなければならないということで、電気通信事業者がきちんと対応しているものと理解してございます。
7ページをごらんいただきたいと思います。こちらは参考といたしまして、個人情報漏えい時にとった電気通信事業者の具体的な対応状況についてでございます。個人情報漏えい事故が生じた場合には、その概要を速やかに総務省に一報しまして、事故詳細については別途正式な報告書により報告する手続となってございます。
ここにお示しいたしました措置状況が実際に報告された措置状況でございまして、事例といたしましては、個人情報を含んだハードディスクの紛失ということで、一部データにはパスワードが設定されておりました。
事業者の対応としましては、該当の顧客に対しましてお詫び文書を送付しまして、該当でないお客様、顧客に対しましては、お詫びと紛失対象ではない旨をメール送信。利用者様からのお問い合わせには、苦情受付専用回線を設置。更に当該個人情報がインターネットの掲示板等に流出していないかの監視。インターネット上において、当該ハードディスクが売買されていないかの監視。こういった対応をとっているところでございます。
この対応事例に見られますように、電気通信事業者におきましては、個人情報漏えい事故が発生した場合には、漏えいされた本人への対応、二次被害の防止策を的確に実施しているところでございます。
8ページをごらんいただきたいと思います。委員の皆様限りで配付させていただいておりますけれども、こちらは施行状況についてでございます。
個人情報漏えい事故が発生した場合には、総務省からは対象事業者に原因究明、再発防止策の検討、本人への対応を求めておりますけれども、漏えいされた状況、個人情報の量と内容によって保護法等に基づく措置を行っているところでございます。
この表はこれまでの個人情報漏えい事故の中で総務省として個人情報保護法に基づく措置、または現行ガイドラインに基づく措置を行った事案をまとめているところでございます。
先ほど漏えいの行為先として委託先が多いと説明いたしましたけれども、この指導状況の中でも委託先の漏えいが多いということが言えると思います。
保護法に基づく措置といたしましては、報告徴収が2件、勧告が1件、現行ガイドラインに基づく行政指導等といたしまして9件を実施しております。
一番多い年度が平成17年度になっておりますけれども、それ以降は個人情報漏えい事故の減少傾向と同様に、行政措置も減少してきておりまして、電気通信事業者の個人情報保護の取組みが効果を挙げてきているものと考えております。総務省といたしましても、不適正な個人情報の取り扱いの事例が発生した場合は、今後とも法に照らして対応していく予定としております。
9ページをごらんいただきたいと思います。ガイドラインのこれまでの改正状況をとりまとめたものでございます。先ほどご説明いたしましたとおり、平成3年にガイドラインを制定いたしまして、その後平成16年には個人情報保護法の施行に合わせましてガイドラインの全面改正を実施しております。
その後は電気通信事業分野の特性に応じた改正を行いますとともに、「個人情報の保護に関する基本方針の一部変更」「ガイドラインの共通化の考え方について」に基づきまして改正を行ってございます。
また、今年度、平成22年度からは、総務省に報告された漏えい事案につきまして、分析、評価を行いまして、国民の皆様、事業者さんへの情報提供を行うということを予定しているところでございます。
10ページをごらんいただきたいと思います。電気通信サービスをめぐる状況は、高度化、複雑化しまして、新たなサービスの登場、新技術を活用した情報の流通などによりまして、通信の秘密、個人情報保護、知的財産保護などの観点から、新たな課題が生じたり深刻化したりといった状況が生じることがございます。また、諸権利との関係が不十分なために、新規サービスの展開が円滑に進まないといった課題も生じているところでございます。
こうした課題につきまして、総務省では利用者視点を踏まえながら、関係者間で速やかに具体的な対応策を検討して実施するとともに、通信の秘密等の関係についても、必要に応じて整理することを目的として、「利用者視点を踏まえたICTサービスに係る諸問題に関する研究会」、こちらを昨年平成21年4月に設置いたしまして、多方面にわたる検討をいただいているところでございます。
これまでの研究会におきましては、インターネット地図情報サービスに関する検討ですとか、個人情報保護ガイドライン改正に関する検討、ライフログ活用サービスに関する検討、安全管理措置に関する検討などを行っているところでございます。そして、この研究会の検討結果の一部につきましては、ガイドライン改訂にも反映しているところでございます。
具体的には9ページのところの平成21年12月の改正、平成22年7月の改正。これらについては、この研究会での検討を反映したものとなってございます。総務省といたしましては、状況の変化に合わせまして、今後ともこうした取組みを通して対応を行っていく予定としてございます。
11ページをごらんいただきたいと思います。認定個人情報保護団体の取組みについてでございます。保護法37条に基づく認定個人情報保護団体の指定につきまして、電気通信事業分野におきましては、財団法人日本データ通信協会、この1団体を認定しているところでございます。
現在、この団体の対象事業者は140社で、2名の専従職員によって運営がなされております。一般からの苦情相談件数は、保護法の対象は赤い棒グラフの状態でほぼ横ばいで推移しております。
保護法の対象外の相談は、棒グラフのうちの青い一番左の部分でございますが、こちらも多く寄せられておりますが、こういった場合には適切な相談機関を紹介している。つまり、この個人情報保護団体からほかの相談機関を紹介していると承知しております。
相談の具体的内容としましては、電話勧誘の電話があるけれども、事業者が電話番号を第三者に提供しているのではないかとか、勧誘電話の停止を求める相談というようなものに関連するようなものが比較的多いと聞いております。
12ページをごらんいただきたいと思います。こちらのグラフは、保護団体に加入している電気通信事業者に対する苦情・相談のうち、その対象先である電気通信事業者に対して調査確認を依頼した件数の割合を示したものでございます。
調査確認は、相談者からの相談に対して、保護団体だけでは情報がなく、電気通信事業者の取組み状況等を確認した上で相談者に回答する際、行うものでございまして、この調査確認率、青の折れ線グラフでございますが、これは業務を開始した平成17年度には64%でございましたが、平成18年度には36%、それ以降も低下して、21年度は24%になってございます。
これは対象事業者との情報交換、意見交換によりまして、知識の習得や認定業務の推進等によりノウハウが蓄積されまして、調査確認を必要とせずに申出人の理解が得られたことから、調査確認を実施した割合が減少しているものととらえております。
こうした紹介率の減少は、相談者からの相談に対して迅速な回答を示すことでもあるので、保護団体の苦情・相談に関する取組みとしては評価しているところでございます。
13ページをごらんいただきたいと思います。保護団体の取組みについてで、保護団体ではガイドラインを踏まえまして、その詳細な解説、手続用の様式を例文化するなどしまして、個人情報の取り扱いをできるようにするために、個人情報保護指針を作成、公表しておりまして、下の表にございます改正状況のとおり、必要に応じて改正を行っているところでございます。
最後になりますけれども、14ページでございます。保護団体では、平成17年度から継続いたしまして、毎年電気通信事業者の個人情報保護への向上のための研修会を実施しておりまして、今年度の実施状況として、表にございますとおり、6か所で開催しているところでございます。このほか、適宜対象事業者に対しましては、この団体から対象事業者にメールを活用した情報提供を行っているということです。
この後、15ページ以降は参考条文等を添付させていただいているところでございます。電気通信事業分野における個人情報保護の施行状況についてのご説明は以上のとおりでございます。どうぞよろしくお願いいたします。
○長谷部座長 どうもありがとうございました。それでは、ご意見、ご質問等ございましたら、よろしくお願いいたします。
杉浦委員、お願いします。
○杉浦委員 結局、意見になってしまうと思うんですけれども、今、ご説明いただいたペーパーの特に4ページ目が一番わかりやすいんですが、個人情報保護法という一般法的なものがあって、右側の欄にガイドラインがあって、どちらが間違っているということではないんですが、ガイドラインの方が個々の電気通信に適合して具体的に書いてあるんですが、一般法とガイドラインが余りにも違う。これがガイドラインという形で施行というか適用されていっていいのだろうかという単純な疑問があります。
一般的な個人情報保護法がなかった時代には、ガイドラインという形で適用してきてよかったと思うんですが、一般法ができた後には、やはりここまで違うと個別法としての法律が国会で審議されて、国会の決定としてあって、個別のことはガイドラインで更に細密化していくという方法をとるべきだと思います。
意見です。
○長谷部座長 お答えはよろしゅうございますか。ほかにはいかがでしょうか。
長田委員、お願いします。
○長田委員 このガイドラインの対象事業者は電気通信事業を行う者となっていますけれども、それはどのくらい数があるとお考えですか。
○鈴木課長 こちらの電気通信事業を行う者の範囲については、電気通信事業法で登録、届出を必要としている電気通信事業者よりも広い範囲で、例えばネット上でのデータベースを提供しているような者も対象になっておりますので、全体の数については把握できない状況でございます。
○長田委員 そういう方々にもこのガイドラインに遵守していただかないと困るわけですが、そこはどういう努力をしてお伝えして。140社の対象事業者の方はいろいろやってらっしゃるんだと思うんですけれども、それ以外の方々にこのより厳しいガイドラインのいろんな規範をどういうふうに伝えておられるのか。
○鈴木課長 1つには、周知の方法としましては、ホームページ等でこのガイドラインの解説も含めて公開をして公表をしておりますし、または説明会等の場もございますけれども、実際の施行状況、現場での対応といたしましては、今の状況でも1件でも漏えいした場合でもご報告いただいているということ、その中には登録とか届出を要しているような事業者さんではない、先ほど申し上げたような一般のこちらで把握していないような方からも報告が行われているということを考えますと、それなりにかなり浸透してきているのかなと理解しておるわけです。更に今後一層関係者への周知の努力というのはしていく必要があると思っております。
○長谷部座長 長田委員は、総務省の諸問題研究会の委員でもいらっしゃいます。なお検討をお願いできればと思います。ほかにはいかがでございましょうか。
三木委員、どうぞ。
○三木委員 最初に2点確認をしたいんですが、8ページが構成員限りで資料をいただいているんですけれども、構成員限りということでは、これは非公開という意味なんでしょうか。内容を拝見すると非公開情報なのか疑問に思うので、資料の扱いをまず確認させてください。
それと11ページの資料ですけれども、私の聞き間違いかもしれないですが、青いグラフが保護法の対象外のものであるような趣旨のお話があったかに思うんですけれども、これは電気通信事業分野の個人情報の取扱いに関するもので、法律の対象外のものという意味なんでしょうか。
まずそこの2点だけ最初に確認をしたいのです。
○鈴木課長 1点目の11ページのところでございますけれども、青の部分の具体的な内容は、例えば特に多いのが迷惑メールに関する相談等でございまして、こちらについては迷惑メールについて相談を受け付ける専門機関がございますので、そちらを紹介しているということで、直接的に個人情報保護法の対象というよりも迷惑メール関係のものが多い。そういう意味で対象外という形でご説明をさせていただきました。
8ページの方でございますけれども、こちらはこれまでの過去の漏えい事故についての情報でございますけれども、今回こういう形でまとめさせていただきましたので、委員の皆様限りということでさせていただいていますけれども、内容的に個別には公表しているものでございますので、この場限りということではなくて、公表資料をまとめたものということでご理解をいただいて結構でございます。よろしくお願いします。
○長谷部座長 鈴木課長、11ページで資料を見ますと青のグラフについて電気通信事業分野の個人情報の取扱いに関するものと下に書かれていまして、赤の方がその他ということだったようで、逆ではないですか。色が逆になっていませんか。
○鈴木課長 一番左が青で、真ん中が赤になっていまして、逆です。申し訳ございませんでした。
○長谷部座長 それでよろしいですか。
○三木委員 それを確認したかった事柄で、質問は、例えば国民生活センターの方からつくっていただいた資料などを見ると、参考資料3として今日配付されていますけれども、情報通信分野は不適正な取得、漏えい、紛失、目的外利用はどうもほかの特別、格別な取扱いが必要な個人情報の分野に比べると相談件数としては多いのかなと思いまして、割合としては多いかなという印象があります。
ガイドライン等でもその辺については十分に周知をされていると思うんですけれども、事業者からは漏えい事案や誤送信について報告を受けているということですが、一方でこういった実態が相談件数としてはあるということを踏まえて、何か格別に取り組まれていることがあるのかということが質問したいことの1点目です。
例えばですけれども、最近、私は情報提供を受けることがありますが、実際にやっているかどうかは別にしても、行われているかどうかはわからないですけれども、携帯電話の会社からの個人情報の取得について、このキャリアは幾らでやりますよとか、このキャリアについては1万5,000円、別のキャリアに行くと2万円とかという料金表を付けたダイレクトメールが結構あちこちに送られているみたいで、情報提供を受けたりするんですけれども、そういう場合は、自分が直接被害を受けているかどうかわからなくて、ただ被害者になり得るという状況で、どこに相談をする、あるいはそういうことをした場合に相談すればいいんだろうというようなお話を最近ありまして、そういうような場合は、苦情の言い先として、電気通信事業者そのものにそういう行為があるのかわからないんですけれども、そういうサービスをうたっている事業者がいるといったときには、例えば経済産業省なのか総務省に言ったらいいのかとか、いろんな意味で窓口を少し迷う。
同様な話で、実は私自身が窓口をたらい回しされたことがありまして、経済産業省は確実に所管だろうということで連絡したんですけれども、それは別の省庁の所管だと言われて、戻ってくるのはわかっていてわざとたらい回しにされてみたんですけれども、そういう意味ではいろんな分野がプラスして問題があるかもしれないというような事案が発生した場合に、例えば今の法律の制度の下ではどういう対応をなさることになるのか、仮定の話なのでお答えしにくいかもしれないですけれども、少しご説明していただける範囲でしていただければと思います。
○鈴木課長 電気通信事業者さんに直接苦情なり相談をするという事例もあると思いますし、またそちらではなかなか効果的ではないといときには、電気通信事業の業界団体の方へ相談することもありますし、総務省としましても、そういった消費者の相談センターというのを設けておりまして、そちらの方にも苦情とか相談というものは上がってくるようになってございます。
そちらで利用者様の声を聞きまして、必要な措置とか改善をする必要があればそれを事業者なりに伝えて改善を図ってもらうというような取組みをしているところで、これは件数等もとっておりまして、その中で要因等も分析して、事業者さんに改善を図ってもらう部分は図ってもらうというような取組みをしているところでございます。
それとともに、今回いただいた参考資料の中で情報通信分野、件数は多いということでございますが、先ほど申し上げた総務省の消費者相談センターでもそういった利用者の方々の声を分析する、そして改善を図っていくという取組みをしておりますけれども、今回のこういった事例もきちんと受け止めて分析して今後生かしていきたいと考えているところでございます。
○長谷部座長 なお、まだご意見、ご質問等はおありかとは存じますが、申し訳ありません、予定の時間を若干過ぎております。司会の不手際でこういう事態になりまして申し訳ございません。
本日、個人情報保護法の施行状況の評価ということで関係省庁からのご説明を踏まえまして議論を行っていただき、また施策の実施状況の把握を行わせていただきました。また、これらを通じまして、個人情報保護法に関するご意見をちょうだいしているところでございますので、次回も引き続き関係者からのヒアリングを通じて執行状況の把握、個人情報保護法及びその運用に関する問題点の抽出を行ってまいりたいと存じます。
鈴木課長、どうもありがとうございました。
≪3.閉会≫
○長谷部座長 最後に事務局から次回の日程等につきましてご説明をお願いします。
○原事務局長 次回については、参考資料4で今後のスケジュールをお示ししておりますけれども、第3回は11月16日木曜日の10時から行いたいと思っております。今、座長からもいただきましたけれども、引き続き関係者からのご説明を通じて更に運用状況を把握し議論を深めていただければと思っております。
事務局からは以上です。
○長谷部座長 それでは、本日はこれにて閉会とさせていただきたいと存じます。お忙しいところをお集まりいただきまして、どうもありがとうございました。
(以上)