第3回 個人情報保護専門調査会 議事録

日時

2010年11月16日（火）10:00～12:05

場所

消費者委員会大会議室1

出席者

【専門委員】
　長谷部座長、別所委員、三宅委員、山口委員、吉川委員、和田委員、藤原委員、
　杉浦委員、新保委員、柿原委員、大谷委員、臼井委員、宇賀委員
【担当委員】
　川戸委員、下谷内委員
【説明者】
　独立行政法人国民生活センター相談部　　宮内相談部長
　独立行政法人国民生活センター相談部　　安藤主事
　社団法人全国消費生活相談員協会　　鈴木主任相談員
【消費者委員会事務局】
　齋藤審議官、原事務局長

議事次第

１．開会
２．個人情報保護の状況に関するヒアリング
　・独立行政法人国民生活センター
　・社団法人全国消費生活相談員協会
　・藤原委員
　・新保委員
３．閉会

配布資料 （資料は全てPDF形式となります。）

議事次第 （PDF形式：55KB）
【資料１】 「個人情報相談」５年間の傾向と2009 年度相談概要（独立行政法人国民生活センター） （PDF形式：284KB）
【資料２】 個人情報保護の状況に関するヒアリング（社団法人全国消費生活相談員協会） （PDF形式：34KB）
【資料３】 諸外国における個人情報保護制度の概要（藤原委員） （PDF形式：58KB）
【資料４】 多国間における個人情報保護の取組み（新保委員） （PDF形式：303KB）

---

≪１．開会≫

○原事務局長　おはようございます。遅れておられる委員もいらっしゃるようですが、時間になりましたので、始めさせていただきたいと思います。事務局の原です。どうぞよろしくお願いいたします。
　ただいまから第３回「個人情報保護専門調査会」を開催いたします。なお、本日は所用により、岡本委員、角委員、須藤委員、長田委員、三木委員がご欠席です。
　まず、議事に入る前に配付資料の確認をさせていただきたいと思いますが「議事次第」と書かれております裏のページに配付資料一覧を載せております。
　資料１は国民生活センター、資料２は社団法人全国消費生活相談員協会、それから資料３、資料４はそれぞれ、今日、委員からもヒアリングをお願いしておりまして、その関係の資料をお付けしております。
　不足がございましたら、また審議の途中でも事務局にお申し出いただけたらと思います。
　それでは、長谷部座長、どうぞよろしくお願いいたします。

≪２．個人情報保護の状況に関するヒアリング≫

○長谷部座長　おはようございます。本日は前回に引き続きまして、個人情報保護の状況に関するヒアリングを行いまして、法の執行状況の把握、そして個人情報保護法及びその運用に関する問題点の抽出を行ってまいりたいと存じます。
　今回、まず個人情報に関する苦情処理の状況につきまして、独立行政法人国民生活センター、そして社団法人全国消費生活相談員協会からそれぞれご説明をいただきまして、その後、個人情報保護に関する国際的な状況につきまして、藤原委員、そして新保委員からそれぞれご説明をちょうだいしたいと存じます。

（１）　個人情報に関する苦情処理の状況について（国民生活センター）

○長谷部座長　まず個人情報に関する苦情処理の状況につきまして、最初に国民生活センターから15分程度でご説明をちょうだいしたいと存じます。それでは、国民生活センターの宮内相談部長、よろしくお願い申し上げます。

○宮内相談部長　国民生活センターの宮内です。どうぞよろしくお願いします。それから私の隣におりますのが、個人情報相談を担当しております安藤です。
　国民生活センターでは、個人情報保護法全面施行を機に個人情報相談の窓口を設置しました。それで、相談を受けて助言を行っております。また、全国の消費生活センターに寄せられた個人情報の相談の情報を収集しているわけです。また、毎年消費者庁と共催で、個人情報保護法に関する説明会を全国で実施しているところです。
　今日は、お手元の資料の10月21日に公表しました「『個人情報相談』５年間の傾向と2009年度の相談概要」に基づいて、まず私の方から国民生活センター及び全国の消費生活センターに寄せられた個人情報の５年間の相談件数の推移、それから特徴を中心にご説明したいと思っております。
　資料の２ページの表１、図１ですけれども、これは個人情報相談の件数の推移を表したものです。相談件数は合計で５万6,416件となっております。国民生活センター自身で受付た相談件数は、毎年約1,200件から1,400件、ほぼ横ばいですが、消費生活センター等の受付件数は減少傾向にある中で、2009年度は５年前に比べて約６割になっているというふうな状況です。
　それから、相談者の属性で見ますと、資料の一番後ろの12ページに掲載してありますけれども、男性が46.8％、女性が52.3％、若干女性の方が多いわけですが、男性が増加傾向にあります。
　年代別で見ますと、特に30歳代と40歳代からの相談が増加傾向にあるということで、約半数を占めております。逆に50歳代以上の相談の割合は減少傾向にあるということです。
　職業別で見ますと、サラリーマン、それからＯＬといった給与生活者の相談が半数以上を占めております。こういった方の相談が増加傾向にあって、次に多いのが主に主婦ですが、家事従事者というものが４分の１になります。学生からの相談は若干増加しているというふうな傾向にあります。
　また、個人情報の保護に関する基本方針において、特に適正な取扱いの厳格な実施を確保する必要があるというふうに定められている分野としまして３つほど集計、それから内容について掲げております。
　１つは情報通信分野に関する相談ですけれども、これは携帯電話に架空請求のメールが届いて、電話をしてしまった。それで個人情報の悪用が心配であるといった相談とか、インターネットの検索サイトで自分の名前を検索したら自分の個人情報が表示されたといった、携帯電話とかインターネットに関する相談が多く寄せられているという状況にあります。
　金融・信用分野に関する相談としては、利用したことのない消費者金融からのダイレクトメールが届いたとか、クレジットカードの審査に落ちた理由を知りたいといった相談です。
　医療・福祉分野の相談としては、介護事業者に亡くなった親の個人情報を開示させたいとか、病院に診療記録を開示させたいといった医療の関係、介護の関係の相談があります。
　次に苦情の内容別分類ですけれども、最も多いものは、自分の個人情報が不正に取得されたというような不適正な取得が最も多いわけです。次いで個人情報が外部に漏洩されたという、漏洩・紛失に関する相談。こういった相談が上位を占めておりまして、不適正な取得については48.0％、２件に１件くらいはこういった相談がある。それから漏洩・紛失は21.5％、５件に１件くらいでしょうか、こういった関係の相談というふうな状況です。
　事例を幾つかご紹介していますけれども、１つ２つ、不適正な取得というところでは、携帯電話でブログに添付されたアドレスをクリックしたらアダルトサイトにつながってしまった。慌てて前のページに戻ろうとしたら、３日以内に４万円支払わないと個人識別番号やＩＰアドレスから個人情報を特定して督促するという表示がされたというふうなことで、自分の個人情報はどこまで知られてしまったのかという相談。こういった相談は意外と多く寄せられております。
　それで、個人識別番号とかＩＰアドレスだけでは個人を特定されるわけではないわけですけれども、どうしてもその相手が自分の個人情報を把握しているのではないかというふうな不安で寄せられてくる。この次に相手方へ電話すると、今度は本当に個人情報を取得されてしまう、また違う展開になっていくというおそれもあります。
　また、本人の同意がなく第三者に提供されたという同意のない提供に関する相談というものが2008年度以降、若干増加しています。自分の予期していない目的で個人情報が利用されているのではないか。知らないうちに個人情報が他人に提供されているのではないかといった、個人情報の取扱いに対して不安を感じている相談というものがあるわけです。
　時間もあれですので、この資料の最後の10ページのところに、全体を通して「３．まとめ」というふうな形で整理しておりますが、ここについて若干説明します。
　個人情報保護法の施行とともに設置された個人情報相談窓口に寄せられる相談は、先ほど申し上げましたけれども、減少傾向にあります。2009年度は約8,000件ということで、2005年度と比較して件数は大きく減っているという状況です。
　また、国民生活センターの個人情報相談窓口に寄せられる相談の件数はほぼ横ばいですが、町内会の緊急連絡網がつくれなくなったとか、卒業生の一人から同意が得られないため卒業アルバムがつくれない、いわゆる過剰反応に関する相談というものは減っております。
　個人情報の相談の件数が全国的に減少しているという背景としては、個人情報保護法に関する各種のガイドラインが見直し、充実されてきたこと、消費者庁と共催で実施している個人情報保護法に関する説明会を通して、個人情報の意識が高まってきたことから、社会に定着しつつあるのではないかということが考えられると思っております。
　ただ、国民生活センターの方はほぼ横ばいになっているというふうなこともあります。これは、その要因としてはっきりしたものはわからないのですが、消費者庁と共催で行っている説明会の反響といったもので相談が来たりもします。また、地方の受付窓口から国民生活センターを紹介するというケースが結構多くなってきております。総務省とか消費者庁、そういったところからの紹介という相談が結構増えてきているということで、横ばいではないか。正確な分析はなかなか難しいところです。
　しかし、資料にあるような相談が寄せられているということがあるわけです。そういう中で、一部の事業者は漏洩・紛失が起きたときに自社のホームページとかマスコミ等を通して公表したり、また不適正な取得とか目的外利用というケースでなくても本人からの申し出に応じて削除するというふうな対応も取っているというところがあるわけです。
　また、その一方で、消費者が個人情報保護法に対する誤解とか個人情報への過敏な反応が原因の相談もあります。３つほどここに紹介しましたけれども、交通事故に遭って、加害者の保険会社が弁護士に委任した際、自分の個人情報を弁護士に提供した、同意のない提供であるとか、３つ目辺りには、企業に内定後、自分の健康診断の結果を複数の役員が確認していた。問題ではないか。こういった、どちらかといいますと、個人情報保護法上の問題とはならないわけですが、正しく理解されていないということからこういった個人情報の相談窓口に寄せられているという現実もあるというところです。
　今後も事業者はこういった未然防止のために適切な対応を取っていただき、消費者も個人情報保護法について正確な理解をするということも大切だろうと考えております。
　以上、資料の説明としてはそのような形になります。

○長谷部座長　どうもありがとうございました。

（２）　個人情報に関する苦情処理の状況について（全国消費生活相談員協会）

○長谷部座長　それでは、引き続きまして全国消費生活相談員協会からこれまた15分程度でご説明をちょうだいしたいと思います。全国消費生活相談員協会の週末電話相談のご担当の鈴木主任相談員、よろしくお願い申し上げます。

○鈴木主任相談員　おはようございます。社団法人全国消費生活相談員協会で週末電話相談室の主任相談員をしております鈴木と申します。よろしくお願いいたします。
　本題に入る前に、私ども全国消費生活相談員協会について、委員さんの方にはパンフレットを配付しておりますが、概要だけ少しご説明させていただきます。
　主に全国の消費生活センターで相談の受付、処理、あっせんなどの業務を担当しております消費生活相談員で組織されている団体です。約33年前に発足しまして、10年後に社団法人化し、３年前には消費者団体訴訟制度の「適格消費者団体」として認定されており、全国７支部で活動しております。
　目的等は、このパンフレットをご覧下さい。活動の内容といたしましては、年１回、電話相談110番を実施しております。私が担当しております週末電話相談、消費者団体訴訟活動、あとは出前講座などの啓発講座、いろいろな分野で消費生活相談に関わる活動を行っている団体です。
　それでは、２ページの本題の方に入らせていただきます。
　「ＩＩ　個人情報に関する相談」ということで、今、国民生活センターの方から過去５年間と最近の傾向等の発表がございました。私どもの週末電話相談は、各行政で平日は相談をやっておりますが、土曜日と日曜日はやっていないところが多いので、それをフォローし、または消費者が困らないようにとか、土日のみしか相談できない方のために、東京本部事務所と関西事務所、北海道事務所で受付をしております。今回皆様方には、週末電話相談報告書という去年度版を配布させていただいております。内容はすべてこちらの方に集約されております。
　それで今回、今年度上半期の相談受付件数1,280件分がまとまっておりますので、その中から個人情報に関する相談73件について報告させていただきます。
　まずマル１としましては、先ほど国民生活センターの発表にありましたように、やはり個人情報漏洩・紛失に対する相談があります。今回、73件すべては発表できませんので、おもだったものだけをお伝えしたいと思います。
　まず個人情報の方ですが、５年ほど前に養子にした６歳の息子に旧姓でダイレクトメールが届いた。情報の流出先を知りたい。なぜ旧姓で届いたのか。これはランドセルのダイレクトメールだったのですが、やはり今後ずっと、この旧姓で届くのは非常に親としては困るということで、どこでなぜ漏れたのかという相談でした。
　あと、最後の４つ目のポツですけれども、投資関連や競馬情報のダイレクトメールが多い。情報漏洩ではないか、個人情報が保護されていない。私は投資とか競馬などは一切やったことがないのにおかしいではないかという苦情もあります。これらは販売のツールとしてダイレクトメールとか電話勧誘が最近の消費者相談の中に多いがゆえに、このように個人情報に絡んで入ってくる相談と思われます。
　マル２としまして、同意のない提供。これは先ほどの発表にもありましたけれども、私どもに入った相談は、電車の中で耳を負傷した、医療機関が電鉄会社に診断書を無断で提供した、私の知らないところで、私の大切な情報が提供されているというものです。これ以外によくある相談で、生命保険会社、損保会社が勝手に、本人の承諾なくして医療機関から診断書を取り寄せたというものも消費生活センター等には寄せられております。
　次に、先ほど問題になった、結構多い相談が、マル３の不適正な取得です。これは事例的には、皆さんから見れば、それほどと思われるかもしれませんが、占いの学校に入学の際、説明なく健康保険証を出してと言われて携帯電話で撮られて、全部情報を取られてしまったなどがあります。これ以外にも本人が意識しないうちに、了解もしないうちに、何かわからないうちに個人情報を取られてしまったなどの相談があります。
　マル４としまして、情報開示・誤登録・ブラックリストがあります。携帯電話料金を滞納したら、信用情報機関に登録された。滞納したぐらいで信用情報機関に私の個人情報が登録されて非常に不満であるという相談とか、ローンを使いたいがためにサラ金の信用情報を開示したところ、登録内容が違うではないか、取消しをしたいなどという相談があります。
　次にマル５が誹謗中傷で、こちらはブログの掲示板に誹謗中傷する書き込みをされた、削除を希望したいということです。これは子どもを取り巻くネットトラブルの中でよくある内容で、最近、これらの相談が多くなっていると感じております。
　マル６に、その他アダルト関係等の相談で、先ほども国民生活センターから事例紹介がありましたように、すべての個人情報を知られたのではないかとか、ヤミ金に契約したらそのときに健康保険証のコピーを渡してしまって、その後がとても心配であるなど、自分が情報を出した後のことがとても心配であるという相談が多く寄せられております。これはアダルト関連、ヤミ金・サラ金の相談が増加とともに増えているという現状があります。
　以上が今回、上半期で私ども協会が受けた週末相談の中からのプライバシー関係、個人情報に関わることの相談の内容です。
　これらの中から、私も週末電話相談だけではなくて区市町村の相談員をやっておりまして、個人情報とかプライバシーに関して、今、相談員が直面している実態と今後の課題などを少しお話しさせていただきたいと思います。３ページの真ん中辺りからになります。
　マル１としまして、相談者は個人情報そのものをストレートに消費者相談窓口に相談してくることはまず少ないです。消費者相談でカウントする個人情報は消費者相談に関わる個人情報相談、つまりもともと消費者相談があって、その中に個人情報的な相談が付随的にありますので、それを相談員が拾い上げたものが多いのではないかと思います。消費生活センターの役割からして、消費者相談ということでまずメインで相談しますので当然ではないかと思われております。
　マル２としまして、個人情報の苦情処理の在り方については、法の規定とともに基本方針にも定められていますけれども、各行政には情報管理の部門があります。消費生活センターよりも専門性が高いと感じられることから、消費生活センターでは消費者相談に比べて積極的な対応に少しちゅうちょすることがあるのではないかと思われます。また、事業者から法的な見解を求められることもあります。その場合は専門的な相談窓口を紹介するケースが多いかと思われます。
　例えば、各地の自治体の専門窓口、国民生活センターの個人情報相談窓口を紹介するケースが多いかと思います。東京の場合は「東京都個人情報保護条例」を所管しています生活文化局の広報広聴部情報公開課では、事業者さんからも、消費者からも、両方から相談を受けますし、法的な解釈、条例の解釈をしていただけるので、東京の場合はそちらの方に紹介するケースが多いかと思います。
　ちなみに、私も勤務先の方の行政対応はどうなっているのか、昨日確認しました。やはり行政は行政の中の個人情報についての苦情は受けますが、消費者相談とか事業者さんからの場合は消費生活センター等に回しているという実態がありました。
　以上から＜今後の課題＞といたしましては、消費生活センターと関係機関との連携が必要ではないかと思います。
　マル３としまして、名簿事業者の問題があります。名簿事業者は規制がないために、個人情報の売買が恒常的に行われ、悪質事業者が高齢者リストとか、趣味リスト、過去の契約内容別リストなどを購入し、新たなる消費者被害の発生につながっていると感じられます。よく私どもの相談窓口で、高齢者をねらった次々販売などはこういうものが利用されているのではないかと思われます。
　ちなみに11月２日のニュースによりますと、サンプル百貨店の46万人の情報が、派遣社員が33万円で名簿業者に販売してしまって、もう既に11業者に転売されているという状況もありまして、名簿事業者の規制がないがための問題ではないかと思っております。
　４ページにまいります。４ページの（相談例）と一番上に書いてあるのは、警視庁の方が振り込め詐欺関係で、やはりこういう振り込め詐欺の手口があると紹介しております。これは名簿業者とはいえませんが、ＮＴＴ東日本が、振り込め詐欺に電話帳のハローページの個人名編が使われているケースが増えているとして新聞で広告し、注意を促して、この事例を載せて啓発しております。
＜今後の課題＞として悪質業者の利用が問題となっている名簿を販売している名簿業者等への何らかの規制も必要ではないかと思われます。
　マル４としまして、情報開示について。私ども窓口での相談業務についての情報処理のプロセスで、消費生活センターから事業者とか、金融事業者その他に問い合わせをする場合があります。要するに契約内容はどうなっているのかという問い合わせをすることがありますが、個人情報保護を盾に、契約者本人が消費生活センターに言ってくださいと了解していたとしても、消費生活センターには開示してくれない場合が多い現実があります。緊急性を伴う場合は非常に困る場合もあります。
　特に高齢者の場合、契約書類を紛失していたり、本人の記憶があいまいなことがあって、契約内容の確認が取れなくて、相手事業者に確認しても開示してくれない状況のことが多いということです。例えば先物取引の場合、緊急に手仕舞いなどをしたいんですけれども、契約内容が不明瞭で手続ができないということもありました。
　私が受けた相談で、かなり古い通帳を持ってきまして、この通帳を何とかして、中がどうなっているかわからないと言われ、本人を目の前にして銀行に問い合わせいたしました。しかし、その場に相談者がいたとしても私どもには開示されません。本人の自宅に何時何分に電話をするからというふうに言われまして拒否をされてしまいました。しかし、高齢者の場合は耳が遠かったりして、電話がよく聞き取れなかったり、説明内容が理解できないこともありまして、非常に現場では困っている状況があります。
　＜今後の課題＞といたしましては、個人情報保護法を盾に事業者が情報開示をしないのは問題があると思います。とても大切な個人情報ですから、基本的にはわかります。しかし、消費生活センター等には相談者本人の意思確認のみで情報開示できるようにしていただきたいと思っております。
　次に、５ページに入っております。マル５としまして、取り扱う情報が5,000件を超えるというものが法律にあります。法律の規制を受けることになっておりますけれども、消費者から見て、個人情報保護法の対象事業者なのか、そうではない事業者なのか、区別が見えにくい。昨今、プライバシーマーク制度が普及し、プライバシーポリシーも定着してきています。しかし、個人情報を悪用して消費者トラブルを発生させる事業者も後を絶たないという実態があります。
　このことから＜今後の課題＞として、個人情報保護法の規制対象事業者は5,000件を超えるというのではなくて、事業者に限り件数に制限を設けることなく、すべての事業者を規制の対象とするなどの何らかの対策を取っていただきたいと思っております。
　マル６で、最近は高度情報化社会が進み、家庭内でもインターネット利用は日常化して、モバイルデータ通信も急成長しています。やはり現場で見ていますと、個人情報の取扱いについて、一人ひとりの認識に差がありまして、安易に、本当に簡単に、何の疑いも危険性も感じることなくネット上に個人情報を書き込んだりする人がいます。本当に子どもたちはこれを平気といいますか、わからずにやってしまうことが多い一方で、相談時に私どもに氏名などは一切言いたくないと、先ほど国民生活センターの方でありましたけれども、過剰とも思える自己防衛をするため、相談対応ができないことなどもあります。それで、自分の氏名、住所などは言いたくないけれども、相手の事業者にちゃんと行政として注意しろとか、そういうふうな発言をなさる方もいらっしゃいます。
　＜今後の課題＞としましては、現在、消費者庁を中心に各地で個人情報保護法の説明会が開催されておりますけれども、過剰反応などがまだまだ見られますので、法律をわかりやすく説明していただいて、理解できるように周知徹底していただきたいと思います。
　それで、消費者の方はとても関心があるんだなと思ったのが、現在、東京でこの説明会が開催されております。個人に関しましては11月４日、もう終わりましたが、開始前には満員になっています。事業者対応は11月30日で、まだ空きがある状況ということで、消費者はとても関心があるんだなというのが、参加状況でもわかるのではないかと思いました。
　最後に、ますます通信サービスやインターネットが急激に普及してきています。プライバシーと個人情報の取扱いには事業者・消費者ともに慎重さが求められるのではないかと思われます。保護のための規制も必要とは思いますけれども、やはり弱者救済のための法律であってほしいと感じております。
　以上です。ありがとうございました。

○長谷部座長　どうもありがとうございました。それでは、ただいまの国民生活センター、そして全国消費生活相談員協会からのご説明につきまして、ご質問あるいはご意見のある方はご発言をお願いいたします。
　それでは、杉浦委員、お願いします。

○杉浦委員　杉浦です。国民生活センターにお尋ねしたい点が２点あります。
　１点目は、国民生活センターの相談事例がこのペーパーにまとめられていますけれども、問題があると思われる事業者を確認した場合に、その事業者に対して国民生活センターがどのような指導とか、その他の措置を取っておられるのかどうか。そういう体制があるのかどうかについての確認が１点目です。
　そして２点目は、このペーパーの10ページの「３．まとめ」のところに書いてありますが「また、消費者が事業者に『自分の個人情報をどこから入手したか』とたずねても、個人情報保護法上、取得元を伝えることが義務付けられていないことから、回答しないケースが散見される」という事実を踏まえて、事業者に自主的な対応について、検討を望みたいというまとめ方がなされていますけれども、こういうことは自主的な検討で足りるのか、改正を含む法的な措置が必要なのか。現場の国民生活センターのご意見を伺いたいと思います。
　以上です。

○安藤主事　１点目の問題のある事業者について、どのように国民生活センターで対応しているかということですけれども、事業者にこちらから電話をして、まず事実関係を確認して、問題があれば、その点の改善を求める。場合によっては監督官庁等にも情報提供をしたり、認定個人情報保護団体にも連絡をして対応を求めるということをしています。
　ただ、そのようになるケースが実はそんなに多くないというのが現場の実態です。やはりアダルト関係とかが非常に多いことから、そのような業者にはこちらから基本的には連絡もしないという対応になっております。
　２点目の10ページの、取得元を伝えることが義務付けられていないことについて法改正等はどうかということなんですけれども、ここはなかなか現場としても難しいところでして、何でもかんでも事業者に取得元開示を求めることがいいのか。消費者が非常に過剰な要求をしているケースも中にはございますので、その辺りのバランスというものはこちらも非常に難しいと思っております。
　なので、自主的に何で開示しないのかということをこちら側から事業者を説得してというような対応で今のところはやっておりますけれども、場合によってはそういうものも必要かもしれませんが、そこまで切実な必要性を感じているかと言われますと、そこまではないというのが実態でございます。

○長谷部座長　よろしゅうございますか。

○杉浦委員　はい。

○長谷部座長　それでは、ほかにはいかがでしょうか。
　三宅委員、お願いします。

○三宅委員　国民生活センターさんに、９ページでオプトアウトについて【事例９】というものがありますが、それで「例外としてオプトアウトを設けている場合は本人の同意を得ずに個人データを第三者に提供することができる」ということですけれども、こういうような苦情がある場合に【事例８】も同じようですが、オプトアウトについてこういうふうに手続するんですというような説明とか、何かそういうパンフレットみたいなものはあるのかどうかということ。
　それともう一つ、今日のデータの中では本人情報の開示請求とか、訂正請求とか、利用停止請求というものについて報告がないのですが、その辺はもともと、余り相談もないからデータも取っていらっしゃらないのか。幾つか個別事例がもしあるのであればその辺のご紹介もしていただければと思うのです。開示請求とか訂正請求、利用停止請求というものが具体的にどういうふうに活用されているのかという点に絡む、今日のご報告になかった点として少し補充できることがありましたらお願いしたいと思います。

○安藤主事　まずオプトアウトのパンフレット・手続等については、当センターで特に設けている、つくっているものはございません。
　もう一つ、利用停止でございますけれども、個人情報保護法上、利用停止が主張できるのは目的外利用ないし不適正な取得ということに限られておりまして、なかなか不適正な取得というものをこちらがわかるというのでしょうか、判断できるようなケースが非常に少ないというのが実態でございます。ただ、不適正な取得で利用停止になった事例としては、郵便物のポスト、マンションの集合郵便物のポストから郵便物を抜き取って個人情報を取得した。それを基にダイレクトメール、勧誘電話をしたという事例がございました。本件については、事業者が郵便物を抜き取ったということを認めましたので、これは不適正な取得でしょうということをもって個人情報の利用停止・消去になった事例はございます。
　なお、統計的なところで補足いたしますと、この資料の６ページですけれども、分類としては、上から５番目の「開示等」のところには訂正ないしは利用停止の相談もこの中に含まれているということでございます。
　以上です。

○長谷部座長　よろしゅうございますでしょうか。

○三宅委員　６ページの５番目の「開示・訂正等・利用停止に関する相談」については、具体的にどんなものがありますか。

○安藤主事　開示については、自分の個人情報、診療記録を見たいというものが典型でございますし、あとは信用情報を開示したいというものもございます。中には契約書等を開示したいというものもございます。訂正というものは正直、ほとんどありません。ほとんど記憶がないです。利用停止は、自分の個人情報を消去したいというような事例が典型です。例えば契約を解除した、契約を拒否されたから、自分の個人情報を相手方が持っているのはいかがか、消去してほしいというような事例がございます。

○長谷部座長　よろしゅうございますか。

○三宅委員　はい。

○長谷部座長　それでは、臼井委員、お願いします。

○臼井委員　５ページに医療・福祉分野の相談で、主な相談として、介護事業者に亡くなった親の個人情報を開示させたい、とあります。もう一つは、病院に診療記録の開示をさせたい、とあります。これも多分、流れから言いますと、親のことであろうと思いますが、これについて、どういう対策を取られましたか。

○安藤主事　まず、介護事業者に亡くなった親の個人情報を開示させたいというものと、病院に診療記録の開示をさせたいというものは一応、別の相談でございまして、前者は亡くなった親の個人情報を開示したいということで、後者が自分のということで分けていただければと思います。
　それで開示については、なかなか事業者が開示しないというところもなくはない。説得すれば開示されるということはございますが、ここに相談に来るということは基本的に不開示というものがあってこちらに相談が来ているわけですので、例えばセンターが間に入ってもすんなり開示されるとかということではなかなかない。場合によって説得すれば開示されるケースもありますし、背景には医療過誤というんでしょうか、そういうものも見え隠れいたしますので、実はこちらでやるよりは医療過誤、そういうものを含めて弁護士さん等に御相談していただいた方が、この御相談者の本来の目的を達せられることはあろうかと思いますので、その辺は十分、相談者の意思をしんしゃくして相談処理を行っているというのが実態でございます。

○臼井委員　センターとしては手の打ちようがないということですか。

○安藤主事　勿論、開示だけでいいということで、見るということだけであればセンターでも間に入ることは当然可能ではありますけれども、医療過誤的なものがあると、なかなかセンターとしてやりづらい。いろいろセンターが時間をかけている間に何かされてしまうかもしれないというところがどうしてもありますので、その辺りは相談者に御判断していただいて、こちらに頼むか、弁護士等司法的な手続に移るかというものを判断していただいているというのが実態でございます。

○臼井委員　この場合、センターの判断としては、これは開示しなくてもいいという判断でしょうか。それとも、開示すべきであるという判断でしょうか。

○安藤主事　原則は開示であると思っております。

○臼井委員　でも、なかなかセンターとしては力が及ばないということでしょうか。

○安藤主事　そういうケースもあるのは実態です。

○臼井委員　わかりました。

○長谷部座長　それでは、藤原委員、お願いします。

○藤原委員　今の三宅委員と先ほどからのご質問に関連して、地方公共団体の条例を使ってみたらとか、あるいは先ほどの不適正な取得であれば、およそインターネット上で一般人は購入できないようなとか、あるいはだれだれに限定して売っているはず、頒布しているはずの名簿などを全く関係ない人が持っているというのであれば、経産省のガイドラインに不適正な取得の事例が書いてありますし、あるいは今の介護の事例であれば、文書、記録あるいは事業者のことが自治体に行っていれば、自治体でもかなりのことができる場合があるはずですが、そういう窓口は紹介はなさらないのですか。

○安藤主事　ケース・バイ・ケースではありますけれども、自治体の医療に関する相談窓口をご案内するケースもございますし、ただ条例部局を案内するかと言われますと、なかなかそこまでは現場としてはないのが実態です。

○藤原委員　今、申し上げたのは医療の部局ではなくて、直接に自治体の情報公開、個人情報保護の部局であればこういう案件を扱うことがありますので、そこを紹介しないのかという意味です。

○安藤主事　そういうケースはなくはないですけれども、積極的に紹介しているかと言われますと、そうではないのが実態であると思います。

○長谷部座長　それでは、宇賀委員、お願いします。

○宇賀委員　鈴木相談員にご質問ですが、レジュメの５ページの＜今後の課題＞というところで、現在、個人情報取扱事業者について5,000件を超えるという要件がありますけれども、そこで「事業者に限り件数に制限を設けることなく」とありますが、ここで言っている事業者というものは営利的なものということですね。

○鈴木主任相談員　はい。そうです。

○宇賀委員　わかりました。

○長谷部座長　それでは、三宅委員、お願いします。

○三宅委員　藤原委員に関連した質問ですが、先ほどの医療の問題とか、それから病院の問題とかがありますが、自治体の窓口の紹介とは別に、例えば業界ごとに認定個人情報保護団体というものをつくっておりますけれども、そこを紹介するケースとか、認定個人情報保護団体の活動の団体ごとの、頑張っている団体とか、余りそうでない団体とか、その辺りのデータは取っていらっしゃるとか、そういうことはありませんか。

○安藤主事　まず最後のご質問ですけれども、データを取っているかと言われれば、取ってはおりません。医療関係の認定個人情報保護団体は大きいところで２団体ぐらいあったかと思いますけれども、そこに加盟しているというところであれば、そこはご紹介・ご案内するケースはございます。
　なお、当センターに定期的に認定団体として、業界団体として報告に来ていただける団体さんもございますので、そういうところの実態はある程度はわかりますけれども、そうでない団体については正直、余り把握できておりません。案件によって個別に連絡を取るということはございますけれども、それ以外で定期的に何か活動報告をいただいているということはございません。
　以上です。

○長谷部座長　臼井委員、お願いします。

○臼井委員　さっきの関連ですけれども、問題になっている介護事業者や病院が開示しないというのは、理由としてはどういうことを言っているのでしょうか。

○安藤主事　さまざまなケースがありますけれども、基本的には理由は余り言わないのが一番多いです。何となく嫌だ、不開示だ、何で出さなければいけないのだ、そもそも論から始まるのが多いような印象ではございます。

○臼井委員　個人情報保護法に基づいて不開示であるというような言い方はしないのですか。

○安藤主事　明確な不開示理由という形で書面を出されるというのは、余り聞いたことがないです。そこまで行かないと思います。口頭で、何で開示しなければいけないのか。不開示とか開示を拒否するケースについては、そういうものが多い印象ではあります。
　ただ、医療関係自体の相談が全国的に見てもそんなに多くないというところから、実際どうなのかというのは少しわからないところではございます。

○臼井委員　わかりました。

○長谷部座長　三宅委員、お願いします。

○三宅委員　国民生活センターと全国消費生活相談員協会の両方にお伺いします。名簿事業者への規制について全国消費生活相談員協会の方の＜今後の課題＞で書かれていますが、名簿事業者といった場合に大体どんな業者かというのは、事業者として何か固まりみたいなものがイメージできますでしょうか。

○鈴木主任相談員　東京には売買を主にやっている名簿事業者というところが何か所かありまして、そこを通してというのがまず基本的にあります。今はネットの世界ですので、どのように販売されているかわかりませんが、カモリストなるものが業界団体に流れますので、その名簿事業者がどこにどういうふうな固まりであるのかということまでは、私どもからはわかりません。ただ相談者の方からは、名簿事業者から漏れたのだから、なぜ名簿事業者を取り締まれないのかという苦情はよくあります。

○安藤主事　まず名簿事業者ですけれども、正直よくわからないというのが実態です。勿論まともな、例えばインターネット、ホームページで名簿事業者として活動している事業者さんがいらっしゃるのはわかりますが、それ以外のいわゆる、先ほど鈴木さんがおっしゃいました、いわゆるカモリストみたいなものを売っているのがどういうところなのかというのは正直わかりません。
　相談者の申し出では、そういうものがやりとりされているのではないかという申し出はございますけれども、実際、その現物を、いわゆるカモリストと言われているもの、高齢者リストと言われている物そのものをこちらで見たことはありません。
　以上です。

○長谷部座長　臼井委員、お願いします。

○臼井委員　４ページに「インターネットの検索サイトで自分の名前を検索したら自分の個人情報が表示された」とあります。多分、こういうケースは今、ネットでたくさんあると思うのですが、このネットで自分の情報が勝手に載っているというふうな相談があった場合に、国民生活センターとしてはどういう対応をされているのでしょうか。

○安藤主事　まず、そのサイトの運営業者に申し出ていただく。それが個人でやっているものであれば基本的には保護法の対象外になってしまいますので、その辺りを説明して、サイトに直接、削除の申し出をしていただくというのが１つ。
　あとは、検索サイトにひっかからないようにしてほしいというようなことで、検索エンジン会社の方にそういう申し出をしていただく。絶対に消すがどうかはその検索エンジンの会社の判断にはなりますけれども、そういうことを情報提供するというケースはございます。
　中には、誹謗中傷的なものということであればそれこそ、例えば弁護士さんというようなケースになろうかと思います。

○臼井委員　それは、弁護士さんを紹介するということですか。

○安藤主事　そうですね。弁護士会なり無料法律相談等をご案内するということが多いです。

○臼井委員　わかりました。

○長谷部座長　柿原委員、お願いします。

○柿原委員　鈴木さんにお伺いしたいんですけれども、４ページ目等々に書かれていますが、緊急性のある場合に警察と連絡を取り合うケースとか通報するケースとか、そういったケースがかなりあるのか。そういった場合、スムーズにいっているのかどうか。それはこれまでの例としてどうでしょうか。

○鈴木主任相談員　４ページの情報開示のところですか。

○柿原委員　そうです。

○鈴木主任相談員　情報開示の件で、協会としては土日しかやっていませんので、何も行動ができない土日ですので、まずこれは外していただきます。通常、私どもが相談窓口で相談を受けたとき、緊急性という中に警察に通報しなくてはいけない部分がある場合、危険が伴うとか犯罪が絡んでいるといった場合はありますけれども、通常、さっき言った誹謗中傷系で犯罪絡みのインターネットの場合は、東京の場合は警視庁、各県のハイテク犯罪関係の相談窓口を紹介することがあります。そうでない場合のケースで警察という紹介は余りいたしません。警察の場合、被害が起きない限りは受けないといいますか、門前払いをされてしまうケースがあって、被害が多額という場合でなければなかなか難しいかなと思っています。

○長谷部座長　臼井委員、お願いします。

○臼井委員　鈴木さんにお伺いします。高齢者などの場合に、銀行などに話をしても情報を開示してくれないというケースがありましたが、銀行以外に同じようなケースはありますか。

4

○鈴木主任相談員　私が体験した限りでは、銀行系はやはりきっちりとしておりまして、銀行に登録している住所の電話番号でなければ回答しない。その上で、本人を確認した上でなければだめでした。信販会社系では私どもと何回かやりとりして、信頼関係ができてきますと消費生活センターあてに書面で回答してきてくれるとか、若干、業界でも違いますし、事業者さん自体でも対応は違うかなと思っております。

○臼井委員　ほかに銀行、信販会社以外にそういう困ったケースはありませんか。

○鈴木主任相談員　特に先物取引関係ですと、本人が了解してやった、なぜおたくが聞いてくるのか、言わなくてはいけない義務がないというような形で拒否されることがあります。

○臼井委員　わかりました。

○長谷部座長　ほかにはいかがでございましょうか。
　ございませんようでしたら、そろそろ次のテーマに移っていってよろしいでしょうか。国民生活センター相談部さん、それから全国消費生活相談員協会さん、どうもご説明ありがとうございました。

（３）　諸外国における個人情報保護制度の概要について（藤原委員）

○長谷部座長　それでは、引き続きまして個人情報保護に関する国際的な状況につきまして、これは藤原委員、新保委員からそれぞれ20分程度でご説明をちょうだいしたいと存じます。それでは早速ですが、藤原委員からよろしくお願い申し上げます。

○藤原委員　それでは、資料３をご覧ください。15分と伺っていたのですが、今、20分というありがたいお言葉をちょうだいしましたので、20分程度ということにします。15分では時間が足りないと思い、粗々のことを書いてきましたので、これに従ってご説明をしたいと思います。
　まず「１．前提」でございます。
　諸外国の法制を語る意味ですけれども、我が国の問題の出方とその解決の可能性の比較のためなんだということですが、どの角度から見るかで景色は全く異なってくる。人権問題として見るのか、治安の問題をどの程度重視するのかという点でも違います。外国では、治安問題はいろんな人の情報の集め方という点でかなり問題になっております。
　それから、個人情報保護法を含む個人情報保護の問題は経済問題でありますので、これも消費者問題を含みますが、経済的な側面が前に出てくると、かなり違う。文化的な側面というのは過剰反応的なものを念頭に置いていますが、今お話ししたどの角度から見るのかで、我が国の法制を見る目も随分違ってくるということであります。
　レジュメに、国際的な話と国内の話と地域の話があると書いておきましたが、今生じている問題を分析するに際しては、何を議論しているのかということをきちんと見極める必要があるのではないかと思っております。ただ、これにつきましては、２年経ってしまいましたけれども、おおよその論点を網羅的に挙げたものを書きましたので、ご興味のある方はそちらを参照していただきたいと思います。参考文献としてあげておいた論文です。
　国際的な動きについては、後ほど新保委員からご説明があるわけですけれども、御存じとは思いますが、基礎的な国際文書にはこういうものがあるというものをレジュメに挙げておきました。ただ、これも地域により、国により、どの文書を重視するかは異なるという点は申し上げておきたいと思います。ここには書いてありませんが、ヨーロッパではもっと重要な条約がございます。ＯＥＣＤの位置づけ等も我が国とは違った角度から見ていると思います。
　いずれにせよ、ここに書いてあるものは、拘束力のある国際法ではないのですが、その中で2009年のところだけ太字にしてございます。個人データの処理に関するプライバシー保護の国際標準草案のための共同提案という、世界プライバシー・コミッショナー会議というところで採択されたものです。これはＥＵのレベルが高過ぎる。他方、ＯＥＣＤはやや古くなってきた。そこで最近の展開を含めて、コミッショナー会議と称するところで採択がされたものですが、新たな標準になる可能性を秘めているということであげておきました。ただ、これはまだ可能性のお話で、どうなるものかはわかりません。
　残念ながら、我が国はこのコミッショナー会議の正規のメンバーには入っておりません。ずっと参加はしておりますが、正規のメンバーにはなっていないということでございます。この共同提案の中には、結構新たないろんな仕組みが書いてあるということのみ申し上げておきます。
　以上を前提といたしまして「２．諸外国の法制の概要」に入りたいと存じます。
　昔、コンピュータが少ないころは、個人情報ファイルをつくるのに事前の届出制とか許可制にするのか、あるいは個人情報保護の面倒を見る、つまり個人情報保護の管理者がいれば許可制をとらなくていいのかといったような議論がありました。そういう法制のタイプで分けることもできたのですが、今、分けるとすれば、黒ポツにあるような分類にして、幾つかの国を紹介するのがよいのではないかと思った次第です。
　最初の型は「ＥＵ型」です。ＥＵ指令に基づくものでありまして、勿論構成国各国の個性はあります。ありますけれども、それは一定の幅の中、枠内の中での伝統的な相違ということだと考えれば、やはりＥＵ型ということでよろしいのかなと思います。これはコミッショナーがある国です。コミッショナーのある国とコミッショナーのない国というのは、外国等ではよく言われることですが、ＥＵ型はコミッショナーがあります。
　ちなみにもう一つの型、ＥＵの対極にあるのが「アメリカ型」で、コミッショナーはない国でございます。しかも、包括的な法律もＥＵとは異なり、ないということです。
　それとは違って、カナダやオーストラリアというのは特色がある。コミッショナーは持っているけれども、法制の立て方は少しＥＵと違いますし、イギリス連邦の国でもあるということです。
　アジアでは、ＡＰＥＣの問題はともかくとすれば、我が国とか韓国、台湾の立法は比較的紹介しておく必要があるということで、２．で日本を除いたそれぞれの国について、ざっとご紹介するということです。
　そこでご要望でもありますし、監督機関と制度の概要、特色を中心にご説明をいたします。
　まず「3.1　ＥＵ型」です。
　これは要するにＥＵ指令を基礎にしておりまして、１ページの一番下に書いてございますように、公的部門と民間部門の双方を包括的に規制している。だから、民間と政府部門が包括的である。それから、センシティブデータの処理制限の原則もかかっている。
　先ほども議論に出ましたけれども、個人データ主体にいろんなアクセス権とか、提供しなければいけない情報とか、要するに個人の権利のカタログが比較的詳細に書いてある。
　もう一つは、執行権限を有する監督機関が設置されている。要するに、独立した第三者機関を必ず置けというのがＥＵの考え方です。
　アメリカと比較した場合には、どちらかというと経済的自由の側面よりも人権に配慮することがＥＵ全体として見れば多い。第三者機関の存在意義もここによく現れているということです。ただし、常に第三者機関の主張が通るとは限らないというよりは、通らないこともかなりあるということであります。ただ、第三者機関が個人情報保護について議論を起こす役割をしているという点が重要だと思います。
　これは単純に英・独・仏と並べただけなんですが、まず「3.1.1　イギリス」です。
　レジュメに、やや詳細に、どういう構成になっているかを書いておきましたが、規制は公的部門、民間部門の区別なく両方なんですが、マル３対象情報は、我が国の法律にもあるように、識別できる生存する個人に関するデータであるということが大原則になっているということです。
　マル４のところで、本人の関与、個人の権利が比較的詳細に書いてある。これはＥＵ指令の具体化ですから、ほかの国も大体同じです。
　例えば（ｂ）の（ｉｉｉ）などは、先ほど議論に出ました当該個人データが提供又は提供され得る受取人とか受取人の種類、あるいは（ｃ）分かりやすい書式で個人に伝えられること。どこから出たかということも権利として知ることができるということです。
　レジュメの３ページ、イギリスの特徴は下線を引いてございますけれども、ダイレクト・マーケティングの目的のための取扱いを停止させる権利を書いてあるところが特色といえば特色です。
　それから、請求に対する対応の期限が法令レベルできちんと書いてあるのも面白いところです。ただし、アクセス権と損害または苦痛を与えるおそれのある取扱いを停止させる権利についてのみ書いてあるということであります。
　監督機関はインフォメーション・コミッショナーですけれども、特色はイギリスの法制の常として「女王」という言葉が出てくるんですが、女王様からは独立して、議会に対して責任を負うというのがイギリスのコミッショナーです。
　４ページ、イギリスのコミッショナーはデータ管理者の登録事項の登録簿への記載、データ管理者というのは定義にございますように個人情報を扱う者ですけれども、イギリスは登録という制度から出発した国ですが、その登録事項の記載などいろんなことをやっている。相談対応もやりますし、コードオヴプラクティスということで、実務におけるよき実践の指針についてもパンフレットを配付したり、いろんなことをやっております。
　権限としては、令状に基づく立入検査権はありますけれども、令状なしに家宅捜索を行うような権限まではないということです。
　規模は、職員数は大体350名。ただし、これはフランス、ドイツも一緒ですが、情報公開の部門と合わせてこのぐらいの人数だということです。
　予算の規模は、200億という数字はポンドが高いころに計算してしまいましたので、今現在の数字とは違うと思います。要するに、データ管理者、個人情報を扱う人から35ポンド登録料を取っている。それが約1,000万ポンド。あとは政府の方から出るお金すなわち司法省からの補助金が500万ポンドぐらいということです。
　レジュメの予算規模の2008年の後にフランス、ドイツも同じと書いてあるのは、誤解を招く表現で申し訳ありません。これは後で出てくる数字が2008年のものであるという意味で、システムが同じという意味ではありません。こういう登録料と補助金というのは、イギリスの独特の仕組みです。個人情報を扱う人たちから運用費を徴収しようというシステムです。
　それから、これは各国のコミッショナーに共通のことですけれども、上に書いてある国内的な役割だけではなくて、国際的な活動を積極的にやっているというところに特徴があります。これは国際機関に出ていって情報を収集するとか、更に言えば国際的なルールの形成に参画できるというところが非常に大きいところだと思っております。これがイギリスです。
　次に「3.1.2　ドイツ」です。
　法律はレジュメに書いてあるのですけれども、最近中規模の改正がありまして、例えば一定の種類の個人情報を漏えいされた被害者の側に情報を通知する義務というのが42a条で課せられたり、興信所等による情報の取得に規制がかかる端緒となる条文を入れてみたり、あるいは信用情報のところでスコアリングと申しまして、要するに信用力の把握、信用力の調査のお話ですけれども、それに対する規定が入ったりということで、注目すべき改正も行われているところです。
　ここドイツについてはマル２規制の対象のところをご覧ください。下線が引いてございますけれども、これはご説明しませんでしたが、イギリスもそうです。ＥＵ指令を受けて、個人情報の中で非公的機関が扱う部分については、専ら個人的な、または家庭的な活動のために行われる場合は除外ということで、ここのところでかなり一般的なものを落とす工夫ができるようになっております。
　監督機関は、連邦と州が違っている。ドイツの議論をするときは、連邦と州が違うんだということを常に意識しなければならないことになります。
　そこで５ページです。職員は70人ぐらいでやっていますけれども、ここの監督官の地位はかなり高いということが言えます。法制及び運用の特色をご覧いただくと、情報化社会の進展とともに、民間部門の規律が重要という意識が高まってきて、新たな規定が入ってきているということです。
　監察官の権限はオンブズマン的なもので比較的強くて、質問、検査、書類閲覧、立入検査などの権利を与えられておりますし、民間部門については我が国も少し似ておりますが、各省庁が新たな施策を打ち出したり、あるいは民間の事業者が新たな行動をするときに事前に相談に来るという事実があるようです。
　民間部門については、各州の監督官庁が重要な役割を果たしております。民間は州です。
　ちなみに、先ほどドイツは監察官が結構きついし、強いと申し上げましたが、例のGoogleストリートビューについて、世界で一番厳しい態度をとって、自分は嫌だという人に削除する期間をGoogleとの交渉によって８週間にしたのは、ドイツの中の一部の州です。
　次は「3.1.3　フランス」です。
　ここの特色は、マル３対象情報等はＥＵと共通ですけれども、その中でもインターネットプロバイダーがプロキシサーバにアクセスした際に生じる一次的な情報のコピー、言わばキャッシュの問題を意識して、ここのところを適用除外にしていたり、インターネットのところに対して工夫をしている。
　開示の仕方で、治安情報や国防、国家の安全に関する情報は、事業者等に請求できるのではなくて、ＣＮＩＬという独立した第三者機関に請求して、そこが判断するということで、直接的に本人に見せるのではなくて、治安情報は間接的に開示するというのが特色です。
　マル５監督機関は、今、話に出ましたＣＮＩＬですけれども、これは条文で「その権限行使に当たり、いかなる機関の指揮も受けないこと」と書いてある、非常に強く、かなり大きな機関です。
　フランスの情報公開については、ＣＮＩＬよりずっと弱いのですが専門の機関がありますので、ＣＮＩＬは専ら個人情報保護とか、人権の問題を扱っているということになります。
　レジュメ６ページの二つ目の２パラグラフぐらいですが、ＣＮＩＬは監督機関としては、他のヨーロッパ諸国と同様の権限を有するのですけれども、独自の制裁権限を有している点で特色があります。つまり、制裁がかけられるということです。職員数は120ぐらいのポストを持っているそうです。
　「3.2　アメリカ」です。
　今までがヨーロッパですけれども、ヨーロッパと全く違うのは、包括的な個人情報保護法は存在せず、オムニバス形式ではない。ただし、医療情報等では個別法でかなり有力な法律も近時はできています。
　州法レベルは多様な法制があります。例えばカリフォニア州のData Breach Notification Lawsは、紛失等の場合にそれを本人に告知する義務があるという特色のあるものですけれども、かなり他の州にも広がっております。連邦でも、最近ウェブサイトでのセンシティブデータ取得については、オプトインにすべきだという新しい動きがありますが、連邦レベルでこういう法律ができるかどうか見通しが立っていないというのが現実だと思います。法案は提出されたということです。
　マル５監督機関は、統一的な第三者機関はございませんが、ＦＴＣという連邦取引委員会が消費者のプライバシー保護を担当して、この中で個人情報保護を扱っている。ただ、独立性はＥＵ型よりは弱いところです。
　７ページです。
　ＥＵデータ保護指令への対応として、ＥＵとの間でセーフ・ハーバー協定というものを結んでおりまして、ＦＴＣが関与している、要するに事前交渉ルールを産業界が守っていれば、ＥＵ指令違反にはならないという形で個人情報の流通を担保しております。ただ、ＥＵ各国のデータ保護当局は、これを厳しい目で見ているということであります。
　「3.3.1　カナダ」です。
　カナダは北米型と言ってもいいのですけれども、ちょっとアメリカと違うのは、公的部門と民間部門はセグメントで別々の法律です。
　ただ、マル３対象情報のところで、民間部門の「個人情報保護及び電子文書法」における個人情報というのは、識別可能情報のうち組織の被用者の氏名・肩書き・業務地の住所、電話番号は除くとか、こういう工夫もしているということです。
　マル５監督機関は、プライバシー・コミッショナーという者がおります。オンブズマン的な役所で、自己付託とか、あるいは自ら当事者となって司法裁判所に救済を求めるという権限を有していることもございます。
　この国の特色として、我が国のＪＩＳに相当するような規格が歴史的な経緯で重要なものとなっております。加えて、７ページの下の３行に書いてありますように、プライバシー影響評価、これは要するに非常に単純化してしまえば環境影響評価の個人情報保護版と思っていただければよろしいのですが、そういうものを採用しているとともに、公教育において個人情報保護の教育を結構積極的にやっているという特色がございます。
　８ページ「3.3.2　オーストラリア」です。
　ここの特色は、時間の関係もございますので、最近一生懸命努力していること、ＡＬＲＣ、オーストラリア法改革委員会の勧告がなされて、報告書に盛られた勧告を踏まえて、改正作業が進行中で、三段階ぐらいで進んでいるということのみ申し上げておきます。改正は、恐らく来年の秋ぐらいに最終的な国会での審議になるのかなと言われております。
　特色は「法制及び運用の特色」をご覧いただければよくわかるのですが、ＥＵ指令が出たので、それに対応して、今まで公的部門だったオーストラリアの法律を民間部門にも適用するようにはしたのですが、その対象事業者が最低取引高300万豪ドルとしたものですから、民間事業者の約３％しか該当しない。要するに97％は該当しないとなってしまったということが事の発端でもあるのですけれども、このレジュメに時計数字で書いてある（ｉ）～（ｖｉｉ）のような理由、例えば、ＥＵから取得した個人データをオーストラリアから第三国へ移転することも規制されていないということなどの理由があり、ＥＵ指令の29条に基づいて、作業部会というものが設置されているんですが、そこが公表した2001年の意見書で、カナダの方は合格したのですけれども、オーストラリアはＥＵから見たら十分ではないと言われてしまったという事実があります。オーストラリアを見るときには、どんな点がだめと言われたのかを見ておくのがいいと思って、特色のところに書いておいたわけです。
　「3.4.1　韓国」です。
　これはアジアですので、後で新保委員からご説明があると思いますが、ＡＰＥＣが独自の動きをしております。しかし、韓国は９ページの冒頭に書いてありますように、包括的な個人情報保護法制になっていないのです。厳しい法案が毎年のように出されますけれども、多分国会はまだ通っていないはずです。
　しかしながら、特色のところに書いておきましたが、コミッショナー会議の正式メンバーにはきちんとなっているという点が私は重要かなと思っております。これは情報保護振興院のＫＩＳＡというところが存在するということもあるのでしょうけれども、とにかく正式メンバーで、オブザーバーとしてではなく議決権を有してクローズドセッションに出られます。そこは重要かなと思います。
　次に「3.4.2　台湾」を書いておきましたのは、近時、大改正をしたアジアの国だからです。今年の４月に全部改正をしているということです。
　これは「法制及び運用の特色」をご覧いただくとわかりますように、ＥＵ指令とヨーロッパ法制の動向に目配りがしてあります。対象をマニュアル処理情報にも拡大しておりますし、非公的機関のすべてを規律しております。家庭は例外としています。センシティブ情報として特定のものを挙げております。
　それから、同意というものについて、同意の射程、つまり個人が一旦同意してしまえば、個人情報がどこまでも点々としていくかという根本的な問題について、一定のことが書いてあります。消費者保護の観点からは、悪質な販売方法に対する規制を個人情報保護の問題として規定しております。この辺りは、我が国の議論をご覧になったのかなという感じがしないでもありません。
　加えて、情報漏えい等で多数のものに損害が生じた場合には、損害賠償額の上限を２億台湾元に引き上げて、かつ団体訴訟が可能だという制度にしている。ただ、これはまだ施行政令ができておりませんで、多分実施の段階にはなっていないと思います。
　最後ですけれども、我が国のところで、今、社会保障・税に関わる番号制度に関する検討会中間取りまとめも公表されており、独立した第三者機関についての言及があるのですが、その議論を具体的にするのであれば、やはり我が国の状況がどうかということも考えた方がいいと思ったので書いておきました。つまり、本日のレジュメに予算と職員数を書いておいたんですが、我が国の法制担当部局は、諸外国に比べて著しく少ない職員で、かつ予算措置も、2006年のＯＥＣＤの調査によれば大変少ない。諸外国だと個人情報保護部門だけで、日本の数字の数倍持っている。だから、比較法的に見た場合、先進的な国々と比べると、現状の法の運用は、消費者庁の担当課と他の省庁を含めても、非常に少ない人数で大変な業務をやっているということです。新しい第三者機関を考えるのであれば、やはりそういった基礎的なところから考える必要があるのではないかという気がいたしました。
　以上です。

○長谷部座長　どうもありがとうございました。

（４）　多国間における個人情報保護の取組みについて（新保委員）

○長谷部座長　それでは、引き続きまして、新保委員からご説明をちょうだいしたいと思います。よろしくお願いいたします。

○新保委員　続きまして「多国間における個人情報保護の取組み」について、ご報告をさせていただきたいと思います。
　私からの報告につきましては、多国間における個人情報保護制度と現行の我が国の制度との関係におきまして、個人情報の取扱いに関し、障壁または支障を及ぼしている点を中心に、国際的な制度について報告をさせていただきたいと思います。なお、報告の内容につきましては、レジュメのとおりであります。
　まず、１ページ目「多国間における個人情報保護の取組み　我が国の位置づけと課題」をご覧いただければと思います。
　本日私の方からは、ＯＥＣＤ、ＡＰＥＣ並びにＥＵとプライバシー・コミッショナー会議との関係について報告をさせていただきたいと思います。なお、それぞれの沿革や取組みの概要につきましては、前回の専門調査会におきまして既に報告がなされているということと、藤原先生からの報告資料でも詳細が記されておりますので、今回の私の報告では、それらの沿革や制度の内容についての報告は省略いたしまして、検討課題を議論する上での必要な論点のみを報告させていただきたいと思います。
　なお、本報告内容につきまして、今後議論を行う際に、ネットワーク社会において個人情報が国境を日々越えて流通しているという現状があるという点、それから、国際的に対応しなければならない問題が、これら大量に国境を越えて流通している個人情報との関係において生じていることから、これらの点について検討を行わなければなりません。併せまして、日々新たに発生し続けている個人情報保護・プライバシー保護の問題につきましては、とりわけ技術の進歩に伴いまして検討しなければならない課題があります。こちらにつきましては、現在の国際的な議論の動向の把握を行い、本調査会の今後の議論の前提としていただければと思います。
　今後、我が国における個人情報保護制度の在り方を、いわゆるグローバルスタンダードの観点から見た場合の対応すべき事項を明らかにする上でも役立つと思われますし、第三者機関を設置する場合の機能や役割を検討する際にも不可欠と思われます。
　では、多国間における個人情報保護の取組みとの関係におきまして、その対応や喫緊の課題となっている事柄について報告をさせていただきます。
　まず、こちらの図の右上「コミッショナー会議」からご覧いただきたいと思います。
　現在、コミッショナー会議につきましては、我が国は正式メンバーとして認定されているわけではございません。現状におきましては、登録者であればだれでも参加ができる公開セッションへの参加、並びに認可されたデータ保護機関の関係者のみの参加が認められる非公開セッションにオブザーバー参加という形で参加をいたしまして、会議内容を聴取いたしております。しかし、コミッショナー会議における決議に参加し、国際的な個人情報保護・プライバシー保護制度の構築へ向けた積極的な関与や積極的な提言を行う立場にはないというのが現状でありますので、出遅れ感は否めないと感じております。
　コミッショナー会議は、現在の問題を把握し、今後の検討につなげる上で国際的に最も柔軟かつ効果的に情報共有を行い、プライバシー、個人情報保護法の執行関係機関の担当者が一堂に会する、いわゆるサミットと位置づけられる会議でもありますので、今後の方向性を定める上でも重要な会議であることから、日本がコミッショナー会議の正式メンバーの認定基準に基づく参加を認めてもらうことが課題であると言えると思います。
　続きまして、ＡＰＥＣであります。
　ＡＰＥＣのプライバシー・フレームワークにつきましては、前回の調査会におきまして、既に詳細について報告がなされておりますので、この点につきましての課題点であります。現在、越境協力を行う際に担当窓口となるコンタクトポイントにつきまして、国内における検討も進みつつあります。また、制度の構築に向けて、その運用に向けた取組みも順調に進行しております。
　今後は、越境協力体制の完成に向けた検討及び取組みを行うことが引き続き求められているわけでありまして、実際に運用を開始して、パスファインダー・プロジェクトの各プロジェクトを実施して、今後の運用に当たっての検討を行うという形で進んでいるわけでありますが、これらのプロジェクトの運用の検討が一通り完了し、実際の運用が開始されて以降、さまざまな検討事項について、実際の運用に当たっての検討事項を検討することが今後必要になってくると思われますので、本専門調査会では、越境協力のための仕組みについて議論する際の現状を把握することにとどめて、この仕組みそのものに関する議論を行うことは、現状では不要と考えられます。
　よって今後の課題としては、越境協力の執行体制の構築であります。
　ＯＥＣＤとの関係における問題としては、1980年に制定されましたプライバシー・ガイドラインが今年で30周年を迎えるため、現在改正へ向けた検討がなされております。既にプライバシー８原則については前回までに報告がなされているわけでありますけれども、こちらの改正へ向けた検討について、今後この動向を注視するとともに、我が国はＯＥＣＤへの拠出額第２位の国でありますので、やはり積極的に意見を述べることが求められております。従来、このような国際的な場における仕組みについては、その議論に参加をしてはいるものの、実際にその仕組みができ上がってから、国内においてそれを忠実にどのように実行するのかについて、勧告を履行するために必要な検討が行われてきたわけです。しかし、現在まさにこの改正へ向けた検討が行われている段階において、我が国もやはり積極的に関与をしていくべきであろうと思っております。つまり、でき上がったものを守るということではなくて、検討の段階でそもそもどのような方向で議論すべきかということについて関与すべきであると思っております。並びに、既に採択されております各勧告につきましては、詳細な資料がございますので、後ほど若干ご説明させていただきます。
　越境協力の勧告、セキュリティ勧告などがござまいすけれども、履行は法的な義務ではございません。この勧告を履行することについては、やはり各国積極的な取組みを行っておりますので、いまだ勧告を履行していないもの、特にとりわけ越境協力などの関係などについては、積極的に履行する方向で検討することが求められていると思われます。
　ＥＵにつきましては、後ほど詳細についてご説明いたしますが、本日示させていただく課題は１点です。十分なレベルの保護基準への適合判断を受けることが課題と考えられます。それ以外にもいろいろな課題はございますけれども、現在、本専門調査会において議論をする過程において検討しなければならないことについては、現にＥＵから我が国に対する個人データの移転が制約されているわけでありますので、個人情報の取扱いに関し支障となっている点については検討をすべきであると思います。
　では、詳細につきましてご説明させていただきます。
　まず、ＯＥＣＤにつきましては、次の資料をご覧いただければと思います。
　現在、ＯＥＣＤにおける個人情報保護・プライバシー保護関連の取組みについては、勧告が採択された分類として、「プライバシー・個人情報保護関係」、「情報セキュリティ関係」、「迷惑メール関係」の３つの分野に大きく分けることができます。
　プライバシー・個人情報保護関係については、1980年の「プライバシー保護と個人データの流通についてのガイドラインに関する理事会勧告」（ＯＥＣＤプライバシーガイドライン）、1998年の「グローバル・ネットワークにおけるプライバシー保護宣言」、2003年の「プライバシー・オンライン：政策及び実務的ガイダンス」と併せまして、2007年に「プライバシー保護法執行における越境協力に関する理事会勧告」が採択されております。これに基づきまして、本年３月時点で、Global Privacy Enforcement Network、ＧＰＥＮというものが設置され、現在13か国が参加しております。我が国は、この点についてもまだ参加をしていないという状況がございますので、今後、個人情報の取扱いについて国際的な観点から見た場合、また国内において情報を取扱う場合であっても、ネットワークにおいて日々国境を越えて情報が取扱われておりますので、こういった観点からも越境協力の対応は喫緊の課題である。とりわけ、現在13か国が加盟しているＧＰＥＮについても我が国は出遅れております。
　情報セキュリティについては、2002年の「情報システム及びネットワークのセキュリティに係るガイドラインに関する理事会勧告」、2008年の「重要な情報インフラの保護に関する理事会勧告」や、電子署名、暗号政策及びRFIDについて勧告等は採択されております。
　迷惑メールについても、2006年に「スパム（迷惑メール）対策法執行における越境協力に関する理事会勧告」が採択され、我が国におきましても国内法の整備が行われているという現状がありますので、やはり現在、越境協力という観点から見た場合の対応が喫緊の課題と言えるかと思います。
　次は「ＯＥＣＤプライバシー・ガイドライン見直しにあたっての検討事項」であります。
　ＯＥＣＤプライバシー・ガイドラインの制定から、30周年を経て、そもそもプライバシー・ガイドラインはどのような観点から見直しを行うべきかということについて検討がなされております。その検討事項の主な項目は、報告書の素案が現在上がってきておりますので、そちらに基づいて列挙させていただいております。
　なお、本日は時間の関係ですべての事項のご説明をさせていただくことができませんので、大まかなところでどういう流れかということをお話しさせていただいた上で、今後の本専門調査会における議論の基礎資料としていただけましたらと思います。
　まず、１点目は「ＯＥＣＤプライバシー・ガイドラインの発展とその影響」です。
　ＯＥＣＤ加盟国は、このガイドラインの採択をもちまして各国国内法の整備を行っております。情報は国境を越えて流れますので、ガイドラインは、各国が国内法の整備を行うに当たっての基礎的な方向性、指針となるものであります。我が国におきましても、1980年にＯＥＣＤプライバシー・ガイドラインの採択をもって、その後検討を行った結果、1988年に行政機関を対象として、行政機関における電子計算機処理に係る個人情報保護法を制定したわけでありますけれども、それと同時に、各自治体においても、ＯＥＣＤ８原則に基づく個人情報保護に関する条例などを制定してきたという経緯があるわけであります。
　このような経緯からいたしましても、やはりこのプライバシー・ガイドラインのそもそもの基本原則並びに基本的な理念については、我が国の法制度に極めて大きな影響をもたらしているということからいたしましても、今後のガイドラインの見直しに当たっての議論を注視するとともに、このガイドラインの改正に当たっての積極的な発言、能動的な関与が求められていると思います。
　２点目は「現在の個人情報の取扱い傾向」です。
　これは一重に、ネットワーク社会の発展、技術の進歩に伴う情報の劇的な流通量の増加と飛躍的な共有型越境データの流通という点が、個人情報の取扱い傾向として注目すべき点であるといえます。とりわけ、国際的にデータ流通が日々行われているところが、各国が取り組むべき課題を検討するに当たって重要な論点となっております。
　３点目は「個人情報の取扱環境の変化に伴うプライバシー・リスク」です。
　情報セキュリティをいかに確保するか。また、情報は日々さまざまなところで蓄積、利用されておりますので、いかに目的外利用を防止するのか。更に、監視カメラを始め、さまざまな監視手段について、事実上監視活動ができるものと、本来は監視活動を目的としていないものであっても、事後的に監視活動ができるものがありますので、いわゆるサーベイランスの問題があります。つまり、日々さまざまな観点でいろいろなツールが監視ツールとして用いられているという状況がございますので、それに伴うプライバシー・リスクが問題となっています。
　４点目は「既存のプライバシー保護の取組における検討課題」です。
　個人情報、プライバシー保護の取組みにおける検討課題として、そもそもプライバシーとして保護すべき範囲はどういうところか。透明性の確保、利用目的、同意というのはどういう形でとるべきか。あとは地域のおけるアプローチの多様性といったものがございます。
　５点目は「プライバシー保護のための新たな取組（プライバシー・ガバナンス）」です。
　プライバシー・ガバナンスと書かせていただきましたけれども、いかにプライバシーを保護するのか。個人情報を適正に取り扱うための制度を整備する。そのために必要なのは、プライバシー保護だけでなく、セキュリティを保護するための立法の必要性。情報管理、計画的なプライバシー保護。これはカナダのコミッショナーの方がPrivacy by designという形で提唱されているものでありますけれども、つまりユーザー側はプライバシー保護について自分で対応できる部分に限界がありますので、やはり情報を取扱う側がいかに確実に管理をするか。この情報管理の仕組み。それから、計画的にそれを実行することが求められており、更に説明をすることが求められております。
　更に重要なのは、プライバシー・個人情報保護法の執行権限を有する機関による越境協力であります。これはとりわけネットワークを利用したサービスの多様化が進んでいるという現状からいたしますと、越境協力は不可欠な状況です。更に民間団体との協力も必要であるという状況があるわけです。
　なお、参考資料といたしまして、ＯＥＣＤの各委員会がどのような分野で検討を行っているかという点、並びにこのプライバシー・ガイドラインについては、ＷＰＩＳＰ、Working Party on Information Security and Privacyという部会が行われているという図であります。
　次のページは、ＩＣＣＰ委員会の現在の検討事項です。
　６つの主な検討事項でありますので、こちらについては今後の方向性、どのような観点からＯＥＣＤで議論がなされているのかというところを御検討いただく際の参照資料としていただければと思います。
　続きまして、ＥＵについてです。
　ＥＵにつきましては、表紙をめくっていただいて、次のページです。現在の個人情報保護に関係するＥＵ指令を列挙いたしております。
　個人データ保護指令。
　電気通信指令。
　電子通信指令。
　データ保全指令。
　なお、電気通信指令は、電気通信指令の採択をもって廃止となっております。
　その他、電子商取引関連の指令等もございますけれども、本日は個人情報保護に関係するＥＵ指令のみを列挙いたしております。
　次のページです。本日は、個人データ保護指令が主な課題でありますので、個人データ保護指令における課題で我が国における問題としては、第三国という点が問題となっているわけです。
　第三国とは何かといいますと、欧州連合加盟27か国＋ＥＥＡ加盟３か国以外の国ということで、この指令の適用を受けない国は第三国として扱われるわけであります。
　なお、既に御存じのとおり、加盟国の国内法をＥＵ指令に基づいて整備をいたしまして、その際に十分なレベルの保護措置について国内法で規定した上で、第三国がこの十分なレベルの保護措置を講じていない国である場合には、個人データの移転を禁止することができる旨を定めております。
　次の資料をおめくりください。
　ただし、その際に適用除外がございます。適用除外は、このように移転に関する同意がある場合や、契約、公共の利益、本人の権利保護、法令に基づく登録情報の移転といったことについては、第25条の適用除外となっているわけであります。
　実際、どのように適用が除外されるかということにつきましては、次の資料です。
　ＥＵ域外への個人データの移転が許容される条件は４つございます。
　１つ目は、十分なレベルの保護基準に適合していること。
　２つ目は、Standard Contract Clausesという標準契約条項に基づくデータ移転であること。
　３つ目は、Binding Corporate Rulesという「拘束力を有する企業の内部規程」に基づく移転。
　４つ目は、セーフ・ハーバーへの参加となっております。
　それぞれこちらを図で表しますと、次のページの「ＥＵ域外への個人データの移転」になります。
　こちらの図は、日本、ＥＵ、米国間における個人データの移転を例に、ＥＵの第三国移転の制約がどのように関わっているのかというものであります。十分性の基準に適合している国については、当然制約がございませんので、図から除外をしております。
　まず、米国との関係であります。米国はセーフ・ハーバーという形で、十分性の基準をクリアーしております。なお、セーフ・ハーバーだけでなく、標準契約条項ＢＣＲを使うことも当然可能なわけであります。
　一方、我が国につきましては第三国扱いで、十分なレベルの保護基準に適合しているという判断もなされておりません。したがいまして、標準契約条項ＢＣＲ、拘束力を有する企業の内部規程で移転をするということによらざるを得ない現状があるわけであります。
　なお、こちらの図は各国を雲の形にしてみたのは、実はクラウドをイメージしてみたわけであります。例えばクラウドコンピューティングという用語をお聞きになったことがあると思いますけれども、その際、クラウドについてそれぞれ各国にサーバが置かれていて、その管理者がどこにいるかということも含めて考えた場合、個人データはクラウドの場合には瞬時に各国のサーバ間を行き来しますので、そうすると文字通り個人データの移転が瞬時に国境を越えて流通するという現状があるわけであります。
　次の資料をご覧いただければと思います。
　なお、その他の指令といたしましては、電気通信・電子通信指令、データ保全指令がそれぞれございますが、本日は第三国移転、十分性の基準に関する問題のみのお話をさせていただいていますので、あくまでも参考資料としてご覧いただければと思います。
　最後に「ＥＵ指令29条に基づいて設置される作業部会の主な報告書」という資料がございます。こちらは主な報告書を2010年、2009年、2008年、2007年と列挙させていただいております。
　その理由といたしましては、ＥＵ指令29条に基づいて設置される作業部会は、現在問題となっている個人情報保護・プライバシー保護に係る問題を検討することが役割となっているわけであります。つまり、この作業部会における検討事項は、現在検討しなければならないと考えられる事項と考えられるわけであります。そこでこちらをご覧いただきますと、太字のゴシック体にしてある部分が主なキーワードになるわけであります。
　標準契約条項、ＲＦＩＤを始めとする問題とか、影響評価。これは第２回に意見書として提出させていただきましたプライバシー影響評価というものも既に行われておりますけれども、昨今、事前に個人情報、プライバシー保護に関して、個人の権利利益保護の観点からその影響を評価するという影響評価という手法、これは従来環境評価という形で行われてきたわけでありますが、それを用いるという傾向がございます。
　その他、ダイレクト・マーケティング、またはオンライン行動ターゲティング広告。既にこちらは総務省から報告書が出ておりますが、行動ターゲティングと呼ばれる広告手法であります。この点についても、やはり非常に関心が高まっております。
　その他、我が国において検討されていないところでは、2009年の２行目、免税店が取得する情報。私も空港において買い物をしますけれども、そもそもあの情報はどうなっているのか。あとはＳＮＳ（ソーシャル・ネットワーク・サービス）、子どもの個人データ保護といったところが2009年。
　続きまして、次のページの2008年。
　拘束力を有する企業の内部規程。これは各国が個人情報、個人データの移転を行うに当たって、どのように行うのかということについての実際の問題がございますので、そちらについての検討。
　更に、やはり重要なところで我が国において全く議論がなされていないところとしては、搭乗者記録、Passenger Name Recordの米国当局への移転に関する問題がございます。委員の皆様も出張などで米国に旅行されるときには、ＰＮＲという６けたの予約番号が付与されます。氏名、航空会社、便名、予約クラス、搭乗日、搭乗機関、出発時間、到着時間、座席番号、現地連絡先、航空券番号といった詳細な情報が記録されているわけでありますが、現状におきましては、そもそもこの搭乗者本人がその情報を提供されていることすら知らないという状況があるわけであります。この点についてＥＵとの関係におきましては、ＥＵでは数年間にわたって米国へのＰＮＲの提供については、個人の権利利益保護の観点からさまざまな観点がなされてきているところがあります。
　その他、検索エンジン、ＥＵ域内における情報システム、消費者保護、電子的医療記録といった観点からの検討が行われているという状況がございます。
　なお、これらの点につきまして、最後のページに、既に内閣府のホームページに公表されております報告書におきまして、詳細な点の報告が上がってきておりますので、詳細についてはこちらをご参照いただくことになると思います。やはり、今後多国間における個人情報保護への取組みに当たって、日本としてすべきこと。とりわけ法執行、越境協力に十分対応できる体制を整備するに当たって、そもそも国際的な枠組みにおいて、法執行や越境協力として何が求められているのか。その根拠となる制度を把握していただき、日本の個人情報保護制度について検討するに当たって、諸外国におけるこれらの事項を把握することで、今後対応が求められる問題を検討し、個人情報保護制度の見直しに当たっての論点の整理の基礎としていただければと思います。
　その上で、国境を越えて個人情報が取扱われている現状、不知不識、知らないうちに取得し利用される情報の増大、ネットワーク社会における個人の権利利益保護のために必要な検討。これらの問題に時宜に応じて臨機応変に対応するための仕組みを整備するに当たって、多国間における個人情報保護制度との関係において、検討が必要な課題について報告をさせていただきました。

○長谷部座長　どうもありがとうございました。ただいまの藤原委員、新保委員からのご説明につきまして、ご質問あるいはご意見がございましたらよろしくお願いします。
　三宅委員、お願いします。

○三宅委員　今、新保委員から、多国間における個人情報保護についての全体的な世界の動きを拝見させていただいたわけですけれども、藤原委員にお伺いしたいのですが、新保委員の資料の後ろから３枚目の裏側「ＥＵ域外への個人データの移転」が一番象徴的で、アメリカはセーフ・ハーバーの標準契約条項にうまいこと交渉して、これはヨーロッパと同じレベルだということを認めてもらったようですが、日本の場合は、民間部門の個人情報保護法もつくって、行政機関の個人情報保護法も改正したけれども、まだ第三者扱いという点について何が足りないのか。
　宇賀さんと藤原さんがたしか今年の春ぐらいの『Jurist』の座談会で、個人情報保護法の本人開示請求を認めなかった裁判例を見て、これは驚くべき判決で困ったものだというところが、ここの第三者扱いのところにひとつ絡んでいたのではないかと思って、私もあの座談会を読んで思ったことがあります。それ以外に、例えば今、話が出たところで言えば、プライバシーの評価制度がないとか、独立した第三者機関できっちりしたものができていない。これは国民生活審議会の個人情報保護部会でよく堀部委員が、私はオブザーバーでいつも参加しているけれども、正式参加でいけないのは問題だということで、随分おっしゃっていた件があります。最近、税と社会保障の番号制のことで、日弁連で10月にシンポジウムをやったときにいろいろ勉強して、日弁連の委員が随分いろんな海外を見て回ったんです。
　ポイントになるのは、今、言った第三者機関とプライバシーの影響評価制度がないとか、本人情報の開示請求等々が不十分だとかいうところが、ＥＵから見て不十分だと言われているところだと理解していいのか、もっといろいろあるのか、私の理解が間違っているのかどうか。その辺のコメントをしていただければと思います。

○長谷部座長　藤原委員へのご質問ということですね。

○三宅委員　はい。

○長谷部座長　では、よろしくお願いします。

○藤原委員　的確にお答えできるかどうかわかりませんけれども、ＥＵから見て日本がという問題を考えるときに、前提となっているのは、私が冒頭で申し上げたように、個人情報保護制度の問題というのは、ひとつは経済問題であるという点があると思います。それもあって、アメリカとＥＵについて言えば、アメリカ側はもう亡くなられた女性の方が非常に努力したということもあったんですが、経済問題になるということを非常に早くから敏感にかぎとって、交渉していたという事実はあると思います。
　いわゆる十分性の認定手続に関連する三宅委員のご質問でいいますと、ひとつは確かにおっしゃるように、独立した第三者機関の問題はあろうかと思います。ただ、その独立した第三者機関にもいろいろなつくり方はありますが、とにかく第三者性というものが問題にされることはあると思います。
　もう一つは、三宅委員の言われたことを一言で言うと、制裁措置まで含めて、権利救済の実効性というところに疑問があるということです。ただ、これはよく言うんですけれども、逆に我が国の場合は、ガイドライン行政、行政指導行政で十分実効性が上がっているという国内の認識がありますので、それと法令レベルのものとして根拠がある実効性でなければならないという考え方の差などもあろうかと思います。
　もう一つは、作業部会が何かを言った後は、ＥＵ委員会レベルで実は移転の問題を検討するのですけれども、オーストラリアとの議論の影響を踏まえて、我が国が不適だということをＥＵがどこまで真剣に考えているかという問題も、冷静に議論しなければいけないんだろうなと思います。影響が余りにも大き過ぎますから。
　これは個人的な考えですが、不適だ、不適だということをＥＵの側から本当に言うのかなという感じもあります。アメリカとのセーフ・ハーバーはそれほどレベルが高くないというのは、先ほどのご質問にもあるとおりで、我が国の場合は、現在、標準約款あるいは契約条項で我が国のヨーロッパにある企業は対処しているようですが、具体的にどこが困るというところがＥＵとの間で生じているのかというところを、本当は吟味する必要があるのだろうと思います。ＥＵの要請と我が国の事業者の要請の両方を、まずは、きちんと整理する必要があると思います。
　最後の方は個人的見解になってしまいましたけれども、ご質問に答えるとしたら、第三者機関と権利救済の権利救済の実効性等の問題であろうかと思います。

○長谷部座長　臼井委員、お願いします。

○臼井委員　初歩的な質問ですが、日本ではなぜ第三者機関をつくらなかったのでしょうか。あるいはつくれなかったのでしょうか。

○藤原委員　それは私に聞かれてもというところがありますが、我が国の行政というのは分担管理が原則ですね。かつ、個人情報保護の問題というのは、歴史的に見れば、法律がないころから、当時の郵政省と通商産業省の２つの省庁のガイドラインで、事業者に対してはかなり実効性のある規制をしてきたということで、一定の省庁は既に重要な役割を果たしていて、しかも他省庁を含めて分担管理であるという事情がある。他方、公的部門は公的部門で、当時の行政管理庁になりますけれども、今の総務省行政管理局のところで公的部門を押さえている。そのような中で横串を刺して横断的な、オンブズマン的な機関をつくろうというのは、私の個人的推測ですけれども、当時としては、最初から立法者の頭には入っていなかったのではないかと思います。勿論、理論的なお話はできますけれども、立法するときは現実的な可能性、つくれるかどうかということを考えますから、そうではないかと思います。このようなお答えになってしまいます。

○長谷部座長　臼井委員、何かありますか。

○臼井委員　違う話です。
　欧米の話は面白かったのですが、保護だけではなくて、個人情報を流通させることを工夫している部分というのは何かありましょうか。

○藤原委員　工夫と申しますと。

○臼井委員　例えば流通させるために、特別に各国で規定を設けているということはありますか。つまり、個人情報保護というのは、保護と流通のバランスが重要だと思うんですが、その流通をさせるために日本ではやっていないけれども、欧米の国でやっていることはありませんかという質問です。

○藤原委員　個人情報保護に関して言えば、流通のためにこうしろという条項を具体的に置いているというのは記憶にないです。情報公開の方であれば、環境情報等を積極的に流通させるべきだという旨の規程は見たことがありますが、個人情報保護の問題は、規制さえしなければ情報は自由に流れるという前提ですので、一定の規律をかけたら、そこのところは情報の流れるスピードは緩くなったり、滞ったりしますので、逆にあるとすれば、そういう規制を外せとか、ＥＵ指令のレベルが高過ぎるからもう少し低くしろという議論になって現れているんだろうと思います。

○長谷部座長　別所委員、お願いします。

○別所委員　いろいろ調査をありがとうございます。非常にわかりやすかったと思います。
　ちょっと聞いていてもう少し知りたいなと思ったのは、ＯＥＣＤにしろ、ＡＰＥＣにしろ、コミッショナー会議にしろ、今ある所与の状態だけではなくて、どこの国がどういう意図を持ってそれぞれの会議体で何をインプットしたいのかというのを知りたいなと思っています。日本もそこに入っていくわけなので、各国で何を考えているかということをわかっていないと、どんな意見をどこで発言すればいいのかわかりにくいかなと思っています。
　日本で何を発言していくかというのは、勿論日本独自で考えていくことも必要だと思いますけれども、国際会議の駆け引きになりますから、そうすると多分各国の中でもそれぞれの機関のポジショニングが違うので、各国の中でどこの機関がどういう意図を持って、どう引っ張っていって、それが国の意見として出てくるんだというところを少し教えていただけるとありがたいと思います。

○長谷部座長　これは新保委員ですか。

○別所委員　もし時間がかかるようであれば、また事務局の方にお願いできればと思います。

○長谷部座長　わかりました。

○別所委員　知っている限りで言うと、例えばＡＰＥＣのＥＣＳＧ－ＤＰＳとかは座長をオーストラリアがやっていますけれども、実質的な発言はアメリカの代表者が出てきて大分引っ張っていって、ドラフティングとかもその場でやって、すぐに合意したいみたいにかなり強引に進められていて、日本は多少抵抗していますが、ほかの国はなかなか引きずられているという状態です。
　そういうことで、各国は何かやりたくてそういう議論のシードをそこに突っ込んでくるという状況の中で、日本としてどういう立ち居振る舞いをしたらいいのかということは、やはり各国が何を考えて、どこの機関がということも知っておく必要があるかなと思いますので、是非そういうことをお願いします。

○長谷部座長　では、新保委員お願いします。

○新保委員　私からは１点だけ申し上げます。各国は交渉の場において権限がある担当者、これは第三者機関のコミッショナーであるかどうかは問わず、権限がある担当者が非常に積極的に発言を行っております。それによって交渉を有利に進めているわけです。
　その一方で、日本の場合は、権限なき事実上のコミッショナーとして、堀部先生がお１人で頑張ってこられたといえると思います。各国の代表者は、事実上のコミッショナーとしての堀部先生を存じ上げない方はいらっしゃらないわけです。ところがコミッショナーのような権限がないというところが日本の現在の立ち位置であると思います。

○長谷部座長　別所委員からは、将来のアジェンダーに関するご要望もありました。可能な限りで御勘案いただければと思います。
　臼井委員、お願いします。

○臼井委員　これも初歩的な質問で、すみません。藤原先生のお話の中で、個人情報とプライバシーという話が出ていたんですが、欧米では個人情報とプライバシーは同じと考えているんですか。

○藤原委員　我が国の議論で言っているような意味であれば、厳密に言えば違うのですが、欧米の場合、個人情報保護という法的枠組みで何をどう守るかという話だと思います。プライバシーについて言えば、侵害されたときに我が国でも民事の不法行為で守れます。

○臼井委員　というのも、Googleストリートビューの話を例に挙げられました。あれは個人情報の問題なのか、あるいはプライバシーの問題なのかというのは日本でも議論があるのではないですか。

○藤原委員　あれを申し上げたのは、ドイツのシュレースヴィヒ・ホルシュタイン州というところですけれども、Googleに対して最も厳しい態度をとったんですが、私の見るところ、かなり強引に州の個人情報保護法の問題に還元したところもあります。要するに、グーグルストリートビューの映像ですが、個人が識別されて、特定されてという問題と、一般的に言えば、これは個人情報ではなくて、単なる今、言われた嫌だと思うという我が国ならプライバシーの問題だという説もドイツでは有力でしたが、おそらく両方の問題がある。そういう問題だと思うのですが、その州の監察官は、これは個人情報に係わる、個人情報保護の問題で、私の権限がある問題で、Googleと交渉する必要があるという流れだということです。

○長谷部座長　申し訳ありません。まだなおご質問、ご意見等はあるかと存じますが、司会の不手際でちょっと予定の時間を過ぎてしまっておりますので、新保委員、藤原委員からのご説明に関する審議は、この程度で終了とさせていただきたいと思います。お二人とも、どうもありがとうございました。

≪３．閉会≫

○長谷部座長　それでは、事務局の方から、次回の日程等についてお話はございますでしょうか。

○原事務局長　どうもありがとうございました。大変興味深いお話でした。法制定時の堀部先生のご苦労の一端も知っておりますので、今日の話は、20年、30年後の将来も見据えての議論を展開できればと考えております。
　次回、第４回の専門調査会は、年明け１月11日火曜日午後１時から行いたいと思っております。
　事務局からは、以上です。

○長谷部座長　それでは、本日はこれにて閉会とさせていただきます。お忙しいところご参集いただきまして、どうもありがとうございました。

(以上)