いわゆる名簿屋等に関する今後検討すべき課題についての意見
2014年9月9日
消費者委員会
当委員会は、政府の高度情報通信ネットワーク社会推進戦略本部が本年6月24日付けで決定した「パーソナルデータの利活用に関する制度改正大綱」(以下「大綱」という。)に対し、本年7月15日付けで「『パーソナルデータの利活用に関する制度改正大綱』に関する意見」(以下「一次意見」という。)を公表した。
このうち、いわゆる名簿屋等により販売された個人情報1について、大綱が、「犯罪行為や消費者被害の発生と被害の拡大を防止するためにとり得る措置等については、継続して検討すべき課題」としていることに対して、一次意見では、犯罪行為や消費者被害の発生と被害の拡大を防止するための削除請求権等の民事効を含む実効性ある措置は、新制度の創設と同時に実施されるべき喫緊の課題であり、消費者の安心感を確保しつつ円滑なパーソナルデータの利活用を可能とする環境整備のためには、大綱が示す対策だけでなく、早急に実効的な対策の在り方を検討することが必要であるとして、次の5つの視点を提示していた。
- (1)特定可能性が低減されていない個人情報の移転についての第三者機関等の関与
- (2)名簿等の個人情報リストを入手・保有する事業者の責任の明確化
- (3)情報のロンダリングを許さないトレーサビリティの確立
- (4)不正の手段により流出した個人情報の削除
- (5)いわゆる名簿屋に対する規制
一次意見公表後の調査審議結果を踏まえ、本意見では、上記視点に係る制度改正の在り方について、より具体的に述べるものである。
前提となる当委員会の基本的な考え方は次のとおりである。すなわち、個人情報については、個人情報の保護に関する法律(平成15年法律第57号。以下「現行法」という。)の施行後も、多くの個人情報流出事故が発生しており2、自らの個人情報が本人の認知していないところで流通しているかもしれない現状や、既に流出してしまった個人情報の取扱いについて、消費者の不安感が高まっている。そもそも、自己の個人情報については、自らがコントロールできることが原則であるべきである。自己の個人情報のコントロールを確保するためには、第1に、個人情報取扱事業者3(以下「事業者」という。)が個人情報を保有する際には、本人の同意を得ているか又は同意を得ている状態に準ずる状態にあること、第2に、本人の意に沿わない個人情報の保有に対し、本人から利用の停止又は消去ができるようにすること、第3に、前述の第1、第2の規律が実効的に行われるよう、個人データ4の流通に係るトレーサビリティを確保し、個人データをどの事業者がどのような経緯で保有しているかを本人が把握できるようにすること、が必要である。これらの条件が満たされることにより、個人情報が架空請求や詐欺的投資勧誘等の犯罪行為に悪用されることへの懸念といった消費者の不安感が払拭されるとともに、個人情報の悪用による被害の発生・拡大5が防止されることにもつながると考える。
以上に鑑みると、現行法には緩やかに解釈運用され過ぎている面があると考えられる。したがって、上記の基本的な考え方を踏まえて現行法の解釈運用を改めることにより、個人情報保護を本来あるべき水準に近づけることも、一定程度は可能であると考える。しかし、現行法の解釈運用による対応には限界があり、法改正が必要なことも否定できない。そこで、以下では、不適正な個人情報の流通を防止し、消費者の権利利益が侵害されないようにするため、現行法の改正に関し、当委員会として意見を述べることとする。今後、内閣官房における現行法の改正のための作業が、本意見を踏まえて行われることにより、消費者の理解と安心の確保がもたらされることを期待する。
なお、現在、経済産業省等において、現行法の事業等分野ごとのガイドラインの見直しの検討が進められているところと承知している。当委員会としては、かかるガイドラインの見直しにとどまらず、速やかな関係法令の改正という法制度的対応により、個人情報の管理が一層徹底されることを期待するものである。
1 第三者提供時のオプトアウト6手続の適正化と提供を受ける側の事業者の責任の明確化
(a)現行法の内容と解釈運用
事業者が個人データを第三者提供する場合、現行法上は、第23条第1項で、本人の同意を得ることが原則とされている一方、第23条第2項で、事業者が「本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって」、所定の事項を「あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき」は、本人の同意が不要とされている。この第2項は、第1項の定める原則に対して例外を定めるものであるから、本来、事業者が本人の同意を得ている状態に準ずる状態にある場合に限って、適用されなければならないと考えられる。
しかし、現行法の下、事業者が本人の求めに応じて個人データの第三者提供を停止する旨等のオプトアウト手続をホームページ等に掲載すれば、「本人が容易に知り得る状態に置いている」と解されており、現実には、本人が十分認知していない状態のまま第三者提供がなされている。そのため、消費者は、自己の個人データがどの事業者にどのように保有されているか、把握できていないのが現状である。このような現状では、消費者がオプトアウトの請求を行おうにも、その請求先事業者の特定すら困難であり、オプトアウトによる個人データの第三者提供の停止等は事実上形骸化している。
(b)大綱の内容
この点について、大綱では、「個人データの第三者提供におけるオプトアウト規定については、運用上の問題点が指摘されているところ、現行法の趣旨を踏まえた運用の徹底を図る」とし、「個人データにより識別される本人が、前述のオプトアウト規定を用いて個人データの提供を行っている事業者を容易に確認できる環境を整えるため、個人情報取扱事業者がオプトアウト規定を用いて第三者提供を行う場合には、現行法の要件に加え、第三者機関に対し、法に定める本人通知事項等を届け出ることとするほか、第三者機関は届け出られた事項を公表するなど、必要な措置を講じる」こととしている。
こうした措置は、形骸化しているオプトアウト手続の実効性の確保に資するものと評価できる。しかし、大綱の述べる措置は、本人の同意なしに個人データの提供を受ける側の事業者(以下「受領者」という。)の責任を規定していない現行法の構造には変更を加えていない点で、なお不十分であると考えられる。
大綱は、「個人が特定される可能性を低減したデータ」を第三者提供する場合に関しては、受領者に対し、「特定の個人を識別することを禁止する」など、適正な取扱いに係る義務を課すこととしている7が、これとの比較においても、本人の同意なしに個人データそのものの提供を受ける受領者の責任が明確に定められていないことは、著しく均衡を欠くと言わざるを得ない。
(c)意見
そこで、大綱の述べる措置から一歩進めて、本人の同意なしに個人データの提供を行う側の事業者(以下「提供者」という。)のみならず、その個人データの受領者にも第三者機関への届出義務を課し、届出を受けた第三者機関が届け出られた事項を公表することを制度化すべきである。これにより、消費者本人が、本人の同意なしに個人データの提供を行う提供者及びこれを受ける受領者の双方を把握できるようになり、マル1個人データの第三者提供について「本人が容易に知り得る状態」が明確となり、マル2情報のトレーサビリティの確保につながるとともに、マル3第三者機関が公表した事項に基づき、本人がオプトアウトや個人データの開示、訂正等及び利用停止等を行う必要性について判断できるようになろう。
このように、形骸化しているオプトアウト規定の実効性を確保するため、まずは実質的に「本人が容易に知り得る状態」へと改善した上で、本人がオプトアウトをするか否かを選択する機会も実質的に保証されるよう、第三者提供を行う側の事業者は、本人への通知又は上記の第三者機関による公表から第三者提供まで、一定期間を置かなければならないとすることも考えられよう。
もっとも、以上のように、個人データの第三者提供に関し、提供者と受領者の双方について第三者機関への届出義務及び第三者機関による公表を制度化するとしても、本人が第三者機関による公表を常時分析して、適時に的確にオプトアウトの手続を採ることは実際には困難であり、提供者の下でのオプトアウトの仕組み自体になお限界があることも否定できない。したがって、更に、オプトアウト規定により、本人の同意なしに個人データの提供を受ける受領者に対しても、本人が自己の個人データの利用(第三者提供を含む)の停止又は消去を求める請求権を認めることも検討されるべきである8。
2 不正取得された個人情報の流通の防止
(a)現行法の内容と解釈運用
現行法は、第17条で「個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない」としており、個人情報は適正に取得されることが前提とされている。しかし、一旦「偽りその他不正の手段により」取得された個人情報が個人データとして転々流通する場合、現行法上、個人情報の提供を受けた各事業者が「偽りその他不正の手段により個人情報を取得」したと言えるか否かは明確でなく、また、本人及び主務大臣にとって、各事業者が「偽りその他不正の手段により個人情報を取得」したことの立証は、困難と言わざるを得ない。
(b)意見
そこで、個人データを第三者提供するに当たっては、現行法第17条の定めに加えて、提供者と受領者の双方に対して次のような義務を課すことが必要であると考える。すなわち、提供者には、マル1提供しようとしている個人情報が適正に取得されたものであること、マル2提供することができる権限(社内的権限を含む)を持っていること、マル3その提供行為が適法なものであること(本人同意を得る、利用目的の範囲内であるなど)を保証する義務を課し、また、受領者には、マル4得ようとしている個人情報が前述のマル1マル2マル3の要件を満たしていることを事前に確認する義務を課すべきである。事業者にこうした義務を課すことによって、不正の手段により取得された個人情報が個人データとして転々流通する事態を防止すべきであると考える。
3 本人同意原則によらずに流通した個人情報の利用停止・消去
(a)現行法の内容
現行法は第27条で、事業者に対し、第16条(利用目的による制限)に違反して取り扱われているという理由又は第17条(適正な取得)に違反して取得されたものであるという理由により、当該保有個人データ9の利用の停止又は消去を義務付けている。
(b)意見
しかし、もともと適法な手続によらずに取得された個人情報が個人データとして転々流通した場合に対応するため、当該個人情報の提供を受けた全ての事業者に、本人からの利用の停止又は消去の請求に応じることを義務付ける制度が必要である。併せて、このように不正の手段により個人情報が流出した場合、行政庁(第三者機関又は主務大臣)は、当該個人情報を個人データとして取得した全ての事業者に対し、当該個人情報の利用の停止又は消去を命令できることを定めるべきである10。
なお、この利用の停止又は消去の請求について、本人からだけでなく、不正の手段により個人情報の流出の被害を受けた事業者からも行えるようにすることが、迅速性及び個人の手続負担の軽減等に有効と考えられるが、個人情報保護法ではなく不正競争防止法等により規律すべき事項とも考えられ、更に検討する必要がある。
4 個人データのトレーサビリティの確保
現行法は、第24条で、事業者が保有個人データに関する事項の公表等を行う義務を定めている。しかし、これまでに発生した様々な個人情報流出事故からも分かるように、現状では本人が自己の個人データがどのように流通し、現在どの事業者の下にあるのか把握できない現状がある。このような現状に鑑みると、事業者に対し、保有個人データの取得手段、(第三者提供による保有の場合)取得元や(第三者提供をした場合)提供先の公表も原則として義務付けることが必要であると考える。
また、現行法は第25条で、本人から事業者に対する保有個人データの開示請求につき定めているが、この内容にも、保有個人データの取得手段、取得元や提供先の開示が含まれていない11。事業者が本人から保有個人データの開示を求められたときには、当該保有個人データとともに、その個人データの取得手段、取得元や提供先についても開示するよう義務付けることが必要であると考える。
このように、個人データに関するトレーサビリティの確保は、個人データを保有する事業者の責任において行うべきであるが、個人データが第三者提供される場合、提供者と受領者それぞれが措置を採るだけでは、関係する本人及び事業者が個人データの流通経路を追跡することは困難である。そこで、前述1(c)で述べたように、第23条第2項による第三者提供の場合の第三者機関への届出、及び届け出られた事実に関する第三者機関による適切な公表を、制度化する必要がある。
以上のように個人データのトレーサビリティを確保することにより、本人が個人データの利用停止等を請求し又は行政庁が個人データの利用停止等を命令すること(3参照)の実効性が確保されることとなり、また、個人データの提供を受けた受領者が、当該個人情報が適正に取得され流通したことを確認すること(2参照)が容易になると考える。
5 加工された個人データの取扱い
1から4で提案した制度の下においても、事業者が第三者提供を受けた個人データを加工して、当初の個人データと同一ではない個人データを作成した場合に、新たに作成された個人データは第三者提供を受けたものではないとして、制度の適用対象から外すと、制度の趣旨が全く実現できない。
したがって、事業者にとって、提供を受けた個人データがなければ、新たな個人データを作成することが社会通念上不可能であった場合には、新たな個人データも第三者提供を受けた個人データとみなして、制度を適用すべきである。
6 いわゆる名簿屋等に対する業規制
いわゆる名簿屋等については、実態が十分に判明しておらず、「名簿屋」の範囲を法律上明確に定義することは現時点では難しいと考えられる。このため、まずは「営利目的で個人データを取引等する行為」について、上記1から5のような行為規制で対応し、名簿屋等の実態がより明らかになった段階で、上述のような行為規制だけでは十分でないことが判明した場合に、名簿屋等を事業者として定義し、規制の対象にする業規制について検討すべきであると考える。
本意見は、新たな制度化に向けた具体的方策を述べるものであるが、今後取得される個人情報のみならず、現在、事業者によって保有されている個人情報の取扱いにも波及するものであることは言うまでもない。新制度の検討と同時に、既存の個人情報の取扱いの在り方について、具体的な検討が行われることが望まれる。
また、事業者の多くは、これまでに顧客から取得した個人情報を「自らの営業努力によって積み上げた資産の一部」と考えているが、同時に、それは顧客である「本人からの預かりもの」であることに思いを致し、その責任を自覚して、情報管理に万全を期し、適正な利活用をなすことにより市場における信頼を獲得すべきである。
以上
1 個人情報の保護に関する法律では、個人情報とは、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの」とされている(第2条第1項)。ただし、本意見では、現行法について述べている部分を除き、大綱でパーソナルデータとして保護することが検討されている情報も含む概念として、「個人情報」の語を用いている。
2 消費者庁「個人情報の保護に関する法律 施行状況の概要」によると、事業者からの個人情報漏えい事案の状況は、過去5年間で、平成20年度538件(18件)、平成21年度490件(15件)、平成22年度413件(13件)、平成23年度420件(13件)、平成24年度319件(13件)に上る(括弧内は、漏えいした人数が50,001人以上の事案の件数。)。さらに近時では、2,000万件を超える大量の個人データが流出する深刻な個人情報漏えい事案も発生した。
3 現行法では、個人情報取扱事業者とは、「個人情報データベース等を事業の用に供している者」とされている(第2条第3項)。なお、現行法下では、事業者が取り扱う個人情報により識別される特定の個人の数が5,000以下である場合、個人情報取扱事業者の範囲から除外されるが、大綱は、この適用除外の制度を廃止することとしており、本意見も、そのことを前提にしている。
4 現行法では、個人データとは、「個人情報データベース等を構成する個人情報」とされている(第2条第4項)。
5 流出した個人情報の悪用による被害だけでなく、最近は公的機関をかたって「漏れた個人情報を削除する」と持ちかける詐欺も急増している(独立行政法人国民生活センター報道発表資料「個人情報が漏れているので削除してあげる?!公的機関をかたって個人情報の削除を持ちかける詐欺にご注意!」平成26年7月30日)。
6 「本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。」(現行法第23条第2項第4号)
7 大綱の第3Ⅱ1(10頁)。加えて、政府のパーソナルデータに関する検討会に置かれた技術検討ワーキンググループの報告書(平成26年5月)及び当委員会の一次意見では、事業者が第三者「提供等の事実」について、第三者機関に情報提供しこれを公表することを、検討すべき課題としている。
8 総務省「緊急時等における位置情報の取扱いに関する検討会報告書『位置情報プライバシーレポート』」(平成26年7月)が、電気通信事業者の保有する個人の位置情報の第三者提供について、位置情報の高いプライバシー性等に鑑みて、電気通信サービスの利用者による「個別かつ明確な同意の原則」を厳格に求めている(27頁)ことが、参照されるべきである。
9 現行法では、保有個人データとは「個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの又は一年以内の政令で定める期間以内に消去することとなるもの以外のもの」とされている(第2条第5項)。
10 なお、個人データを消去することが個人情報流出事故に関する調査の支障になる場合には、調査に必要な期間に限り、個人データの消去はせずに利用停止の措置にとどめる可能性も、念のために法定することが考えられる。
11「本項に基づく開示は、開示の求めがあった時点で存在する保有個人データをあるがままの状態で本人に示すものであり」、「本人から保有個人データの入手元の開示を求められたとしても、対象となる保有個人データに入手元が記録されていない場合には、それを追加して開示する必要はない」とされている(宇賀克也「個人情報保護法の逐条解説[第4版]」有斐閣、2013年、125頁)。なお、同書によると、ドイツの連邦データ保護法では、本人に、個人データの入手元の開示請求権が認められている。