第4回 個人情報保護専門調査会 議事録

最新情報

日時

2011年1月11日(火)13:00~14:57

場所

消費者委員会大会議室1

出席者

【専門委員】
 長谷部座長、長田委員、別所委員、三木委員、三宅委員、吉川委員、杉浦委員、
 藤原委員、新保委員、岡本委員、大谷委員、臼井委員、宇賀委員
【担当委員】
 川戸委員
【説明者】
 日本労働組合総連合会 総合政策局 経済政策局 岩井部長
【消費者委員会事務局】
 齋藤審議官、原事務局長

議事次第

1.開会
2.個人情報保護の状況に関するヒアリング
 ・日本労働組合総連合会
 ・株式会社日本総合研究所
 ・ヤフー株式会社
3.閉会

配布資料 (資料は全てPDF形式となります。)

議事次第 (PDF形式:59KB)
【資料1】個人情報保護法の運用に関する職場での実態等について(日本労働組合総連合会) (PDF形式:237KB)
【資料2】 IT ベンダにおける個人情報保護の取組例(株式会社日本総合研究所) (PDF形式:243KB)
【資料3】 Yahoo!JAPAN における顧客個人情報の取扱い(ヤフー株式会社) (PDF形式:407KB)
【別添】 Yahoo!JAPAN 利用規約 プライバシー・ポリシー(ヤフー株式会社) (PDF形式:140KB)


≪1.開会≫

○原事務局長 それでは、時間になりましたので始めさせていただきたいと思います。明けましておめでとうございます。本年、早い段階での会合になりましたけれども、お忙しいところ、お集まりいただきましてありがとうございます。
 ただいまから第4回「個人情報保護専門調査会」を開催いたします。
 なお、本日は所用により、柿原委員、角委員、須藤委員、山口委員、和田委員、消費者委員会の下谷内委員がご欠席と聞いております。ちょっと遅れておられる委員の方がおられますけれども、始めさせていただきたいと思います。
 議事に入る前に、配付資料の確認をさせていただきます。議事次第と書かれているものの裏のページに配付資料ということで付けさせていただいておりますけれども、本日、これからご説明をいただく、日本労働組合総連合会、株式会社日本総合研究所、そしてヤフー株式会社からそれぞれご提出いただいている資料になります。
 審議の途中で、もし、不足のものがございましたら、事務局までお申し出いただけたらと思います。
 では、長谷部座長、どうぞ、よろしくお願いします。

≪2.個人情報保護の状況に関するヒアリング≫

○長谷部座長 それでは、議事の方に入らせていただきます。
 本日、前回に引き続きまして、個人情報保護の状況に関するヒアリングを行いまして、法の執行状況の把握、個人情報保護法及びその運用に関する問題点の抽出を行ってまいりたいと存じます。
 今回は、まず、個人情報保護法の運用に関する職場での実態等につきまして、日本労働組合総連合会からご説明をちょうだいし、その後、個人情報取扱事業者の状況につきまして、株式会社日本総合研究所、そして、ヤフー株式会社からそれぞれご説明をちょうだいしたいと存じます。
 それでは、まず、個人情報保護法の運用に関する職場での実態等につきまして、日本労働組合総連合会から20分程度でご説明をいただきたいと思います。
 それでは、日本労働組合総連合会総合政策局経済政策局、岩井部長、よろしくお願い申し上げます。

(1) 個人情報保護法の運用に関する職場での実態等について(日本労働組合総連合会)

○岩井部長 日本労働組合総連合会の岩井でございます。よろしくお願いいたします。
 本日は、私から現場で働きます従業者、組合員ということになりますけれども、その立場での現状や、実態などにつきましてアンケートを実施しましたので、そのアンケート結果を中心にご説明をさせていただきます。
 アンケートの概要ですが、1ページ目に記載しております。
 今回は、連合加盟の労働組合に対してアンケートを実施いたしました。なお、調査対象としましては、個人情報保護の取組みが、より重点的に行っているであろうと思われます、医療・介護分野、金融分野、また、情報通信、の3つの分野の労働組合に対してアンケートを実施いたしました。
 その結果、記載のとおり、206の加盟組合に回答をいただいたということでございます。
 質問の内容ですが、Q1は分野を聞いていますけれども、Q2~Q7につきまして、記載のとおりの質問を確認したということでございまして、以下、それぞれの質問につきまして順にご説明をさせていただきたいと思います。
 それでは、2ページをご覧いただきたいと思います。
 まず、こちらの質問でございますけれども、現在、個人情報保護の実効性といいますか、それが確保されていると思うかにつきまして、質問を行った結果です。
 その結果、約85%の労働組合で実効性が確保できていると感じているという回答結果になりました。
 特に情報通信の分野では、回答いただいた組合すべてが実効性は確保できていると感じている状況でして、非常に高い結果になっております。
 私ども連合では、2005年にも加盟組合に対しまして、個人情報保護の取組みが、その時点でどうなっているかといったことについてアンケートを実施いたしました。
 その際にも、こうした医療・介護分野や、金融、情報通信といった分野は、ほかの分野と比べても、安全管理措置への対応であるとか、従業者の方の理解度が高かったのですが、やはりこうした早い段階での取組みまたは理解の浸透といったことが、今回のアンケートの結果にもつながっているのではないかと感じております。
 一方、現在の取組みで実効性は確保できていないといった声も約14%ほどございます。どういった点について実効性確保ができていないかといった点をフリー回答という形で伺ったものが3ページ目になります。
 こちらは、上がってきた意見の主なものを記載させていただいていますが、例えば過度に意識をし過ぎたルールにこだわっているのではないかと感じているとの声であるとか、形式的な部分が先行しているといったような声が複数あったということがございます。
 また、医療・介護分野では、上から3つ目くらいですが、個人情報の扱いが、各施設によってまちまちであると、そういったことを患者さんなどから指摘をされているといったようなことであるとか、医療ミス、それとか間違い防止の観点で、やはりどうしても患者さん本人のお名前を確認せざるを得ないという部分がやはりございますので、そういった点でも、限界があるのではないかといったような声がございました。
 また、金融分野ですが、やはり同意書が複数、いろんな取引とか事例が発生した都度、同意書というのを取得するようですけれども、そういった部分が非常に形骸化していると感じている声や、やはりそういう複数にわたる同意書を取ること自体が、本当にお客様が望んでいることであろうかと感じている、また、お客様に本当に理解をしていただいて取得ができているかどうかといったところで疑問を感じるとの声などがございました。
 また、資料には記載してございませんけれども、やはりそれぞれ社内でつくりましたルールというものが非常に複雑になっているようでして、その適切な取扱いができるかどうかと、それを含めまして判断が非常に難しいと。そういうことがございますので、取り扱うこと自体が非常に慎重になっていて、お客様に対して適切な利用による利便性の向上というものが制約をされる面が出てくるのではないかとの声もあったということをご報告させていただきます。
 続きまして、4ページをご覧いただきたいのですが、こちらは、現在、それぞれが取り組んでおります個人情報保護の取組みに関しまして、働く上で負担を感じるかといった質問への回答でございます。
 ご覧のとおり、60%が負担は感じていない結果にはなっております。
 ただ、一方で、40%くらいの割合で、やはり負担を感じながら仕事をしているという結果が出てきております。
 特に、先ほどの2つ目の質問にありました実効性が確保できているかといった質問ですが、そちらとの関連で見ますと、実効性は確保できていると感じているのですが、日々の仕事の上で負担は感じているという回答が52ございましたので、全体の約25%あったという結果がございます。
 この結果を見てみますと、やはり法施行されましてから5年以上経過しておりますので、時間が経過するにつれ、今、取り組んでいる個人情報の取組みには、もう慣れてきましたし、その結果、実効性は確保できていると感じているのだろうと思います。
 ただ、慣れたからといいまして、その業務に対する負担感というのは軽減されているわけではないという声が上がってきているということだと思います。
 特に、金融分野をご覧いただきたいのですが、負担を感じていると答えた割合が約87%と非常に高い結果が出ております。
 2005年に実施しましたアンケートを見ても、お客様の対応上の問題であるとか、日常業務における負担が増えるといった声が非常に多かったのですが、やはりこうした傾向というのは、現時点でも強いということがうかがえるかと思います。
 やはり、こういった3つの分野は、どうしてもセンシティブな情報を取り扱っていることが多いので、個人情報漏えいのリスクというのを排除する上では、どうしてもやむを得ないことではあると思うんですが、やはりルールを厳格にしようという動きの中で、一部では過度なと申しますか、そういった社内ルールなどもありまして、それが一因になっているのではないかと感じる点もございます。
 こうした負担感の具体例としていただいた声というのが、5ページ目、6ページ目になります。ちょっと数が多かったので、2つに分けてございますけれども、5ページ目は、医療・介護分野のところから上がってきた声ということになります。
 まとめたものが、点線囲いで書いてあるところですが、こちらで多かったのは、やはり患者さんや、ご家族の方への適切な情報提供といったことがなかなかとりにくいといった声であるとか、入院案内をなかなかしづらいといった声、特に病院内外での情報共有、連携といったことがしづらくて、事故と申しますか、ミスと申しますか、そういったリスクというものも非常に高まっているのではないかという懸念の声もあったということでございます。
 6ページ目が、金融分野と、情報通信分野をまとめさせていただいているものでございます。
 こちらの特徴といたしましては、やはり業務上、複数にわたって取得が求められる同意書に対する声であるとか、社内それぞれやられている厳格な管理ルールなどによりまして、業務の負担が増加しているといった声であるとか、お客様に対するサービスの低下が起こるのではないかといったことに対する不安であるとか懸念、そういった声が多かったように思います。
 例えば左下の事例、こちらは生命保険会社のケースになりますが、お客様の契約内容の再確認のためにデータを照会するケースがあるようですが、これまではパソコンで検索をしたり、書類を持参してチェックできたのでしょうけれども、今は難しくて、一旦会社に戻って、電話でお客様に連絡するといった対応などを取っていることが多いようでして、お客様に対する迅速なサービスという点が、過去に比べると難しくなったという事例に該当するということです。
 続きまして、7ページ目は主に誓約書や、同意書といったものが提出を求められているかと、求められている場合には、どういった内容かといったものを伺ったものを併せて記載してございます。
 なお、誓約書、同意書の内容につきまして、どういったものを聞いたかと申しますのが、左下に書いてありますマル1からマル3です。マル4はわからない、もしくは上記以外ということがありますので、マル1からマル3の内容が含まれているかどうかということを伺ったものになります。
 結果でございますが、誓約書、同意書の提出を求められておりますのが、全体の約35%です。ただ、金融分野と情報通信分野に関しましては、それぞれ85%前後ということで、非常に高い結果となっているということです。
 医療・介護分野において提出を求められている割合が非常に低くなってございます。こちらはいろいろなケースがあると思うのですが、1つ理由を伺いましたところ、やはり医療職ということで、公務員になるということです。公務員に関しましては、法律上、守秘義務が課されているということもございまして、それぞれの団体とかで別途誓約書や、同意書などの提出までは求めていないというような回答が幾つかございました。こうしたことも、この結果の要因の1つではないかと考えられるところです。
 提出が求められている割合が高い、金融・情報通信分野をご覧いただきたいのですが、提出を求められている内容としては、個人 情報保護を遵守するといった内容だけではなく、特に個人が損害賠償に応じる条項を含むものが多い結果となっております。
 また、損害賠償条項だけではなくて、その下に書いてございますマル1~マル3のすべてを含んでいるものも求められているところも幾つかございました。
 こうした状況から、一概にすべてそうだとは申し上げにくいところはございますが、働く従業員や組合員というものがやはり過度な精神的負担というのを感じている懸念もあるのではないかと感じているところです。
 資料には記載をしてございませんが、今回、このアンケート自体は労働組合に対して行ったアンケートですので、当然、誓約書や、同意書の提出、内容は、その労使の中で話し合って合意をし実施されているだろうということが期待はできると思います。
 ただ、やはり労働組合が結成されていない企業も非常に多いわけでして、こうしたところでは、何もわからないままに誓約書や同意書というものが提出を求められたり、管理が強化されたりという恐れもあるのではないかと感じております。
 やはり労働者というのは、一人ひとりで見ますと非常に弱い立場にございますので、そういった場面ではなかなか拒否しづらい面もありますし、労働組合があるかどうかや、機能しているかどうかというのも、1つ大きなポイントなのかと感じたところでございます。
 以上、アンケートの結果をご説明させていただきましたが、まとめとしまして記載してございますのが8ページの4点ということになります。
 まず、個人情報保護法でございますけれども、施行してから5年が経過してございますし、ガイドラインであるとか、取組みというのも非常に定着をして、多くの従業者、組合員といったところは、個人情報保護の実効性は確保できていると感じているということです。
 ただ、一方で、そのために日々の業務におきまして負担感であるとか、ストレスを感じながら働いている従業者や組合員も存在することも認識する必要があると思います。
 特に、お客様や患者様への適切な情報提供体制であるとか、社内、病院であったら病院になりますけれども、社内外での適切な情報連携体制というものがしづらくなっていることによるサービスの低下に対する危惧、懸念といったことや、日々の管理ルールに基づく業務量の増大といったことに対する声が非常に多く上がってきているという現状がございます。
 情報漏えいや悪質な使用を防止するといった観点から、やむを得ない面があるということは十分認識はしてございますけれども、その結果、例えば重大なミスや、サービスの低下、悪化というものが伴っては意味がないと思いますので、やはり個人情報の保護といったことと、お客様、患者様へのサービスの充実とのバランスというものが重要になってくると感じているところです。
 また、誓約書、同意書といったことにつきましても、提出を認められています約半数以上が損害賠償に応じる条項や、家族情報の提供、監視をすることに合意をする条項が含まれているという現状がございます。
 先ほども申し上げましたとおり、一部では、これらすべてが含まれているケースもございまして、こうしたところで働く従業者が過度な精神的負担を感じている懸念もあるのではないかと感じております。
 特に、労働組合のない企業につきましては、先ほども申し上げましたとおり、何もわからないままに、こうした誓約書、同意書の提出を求められたり、管理強化されるといった恐れもあるのではないかと感じるところがございます。
 個人情報の保護と、お客様、患者様へのサービスの充実のバランスということを図り、個人情報保護の取組み、実効性というのが、より一層高まっていくためには、やはり今一度、企業と従業者、労働組合員、それとお客様が個人情報保護法の目指すものや、内容を正しく理解することが必要なんだろうと思いますし、その周知を今一度図っていくことが重要になってくると感じたところです。
 非常に雑駁ではございますけれども、私からの説明は以上になります。

○長谷部座長 どうもありがとうございました。それでは、ただいまの岩井部長からの説明につきまして、ご質問、ご意見等がございましたら、よろしくお願いします。
 どうぞ。

○杉浦委員 大変わかりやすい説明をありがとうございました。労働者の立場でのアンケート結果ということで、興味深く聞いたんですが、2点ございまして、1点は7ページに関連しまして、マル1~マル3、特にマル2、マル3、更に特にマル3について同意を取るというか、取られるということについて、労働者の方々の理解度といいますか、納得されているのかどうか、同意さえ取ればいいんではないかというような一部の考え方がありますけれども、この点について、労働者の大方の意見はどういう意見かということを1点、お聞きしたいと思います。
 2点目は、もし、現在の法律のどこが問題となっているか、あるいはどこを直せば、そういった負担が軽減されるのかという2点につきまして、もし、教えていただけるところがあったらと思います。

○岩井部長 1点目でございますが、労働者の理解という部分に関しましては、私の実体験に基づきお話をさせていただきますけれども、基本的には誓約書や同意書または就業規則でこうした内容を盛り込む場合には、当然ですけれども、労使の交渉事項としているケースが多いと思います。私も労働組合の立場として会社から提案を受けまして、その内容について検討するということを取ってきてございます。
 会社から提案を受けた段階で、当然労働組合で検討いたしますが、組合員に対しまして、広報、それとオルグという説明会を通じまして理解を図った上で、最終判断を下して、提出をするであるとか、就業規則の見直しをするであるとか、そういった取組みをやってございます。
 ですので、他の労働組合においても、決める前段階で、労働組合を通じて、組合員に対して広報やオルグという説明会を通じて理解浸透・意見集約を図るということをやっていると感じております。
 2点目のご質問ですが、こちらはイメージとして、法律というよりは、どちらかというとガイドラインや社内のルールになるのかなと感じているところが正直ございます。実際、5年やってきている中で、例えばお客様と接する仕事をしている組合員などが非常に感じている点としては、先ほども少し申し上げましたけれども、お客様が本当に求めていることだろうかとか、お客様が望んでいないことまでやらなければいけない。 資料には書いていないところでご説明しましたが、取組みルール自体が複雑になっていて判断がつかないからやらないというふうに思っているケースが非常に多いと感じるところがございます。
 最後の方で申し上げましたが、必要と感じているのは、やはり企業だけではなく、従業員、お客様も含めて、個人情報保護法が目指すものというのは何なのかということを今一度理解をする必要があるだろうし、その理解を踏まえた上で、現状に照らし合わせてみて、必要なものがどれなのかといったところ、ルールになると思うのですが、そういったところを見直していく必要が出てくると感じております。

○長谷部座長 新保委員、お願いします。

○新保委員 慶應大学の新保と申します。ただいまの点につきまして、私からも質問をさせていただきたいと思います。こちらのアンケート調査で、同意書、誓約書を取る対象としてアンケートは従業員となっておりますが、それは雇用契約がある従業員としてアンケート対象事業者が理解した上で回答しているということでよろしいでしょうか。

○岩井部長 基本的には、それでよろしいと思います。

○新保委員 その上で、配付資料右側の括弧内に従業者と表記されておりますが、個人情報保護法では、従業員と従業者という概念を分けておりますので、この場合、従業者という用語を用いた場合には例えば派遣社員が含まれ、雇用関係にない従業者も含まれると一般に解されております。この点について、おそらく多くの事業者が従業員から誓約書、同意書を取るということと、従業者から誓約書、同意書を取ることの違いについて、どの程度理解をされているのかアンケート調査の結果からうかがい知ることはできませんけれども、おそらく理解をされている企業がどの程度あるかというところについて疑問に思っているところではあります。
 つまり、配付資料最終ページの8ページの3項目目に、誓約書、同意書を提出している約半数以上が、損害賠償に応じる条項や家族情報の提供、監視条項などが含まれているという記述がございますけれども、例えばこの点につきまして、当該誓約書において、損害賠償額を予定したり、違約金を定めるということについては、労働基準法16条との関係において問題となることが予想されます。したがって、損害賠償額の予定を定めたり、違約金を定めるということについては、労働基準法16条との関係でどういう問題があるかということを一般に企業が理解しているかというところが1つ疑問として思っているところであります。
 もう一つの疑問としては、従業者ということになりますと、派遣社員なども含まれますので、そうなりますと、雇用関係にない派遣社員、つまり指揮命令関係にしかない派遣社員と契約を結ぶということは二重契約になってしまうということになるかと思いますので、そうなりますと、法令順守のために行っている取組みが場合によっては法令に違反するということもあろうかと思います。
 この点につきまして、企業の側としては、個人情報保護の取組みのためによかれと思ってやっていることが、結果的にそのような形で法令に違反する可能性があるというところもあるわけでありますけれども、この調査の結果からは、その点については必ずしもうかがい知ることができないわけでありますが、一般にその点につきまして、一般の事業者の側または労働組合との関係において、どのように理解されているかというところについてご存知の点がありましたら、お答えいただければと思います。

○岩井部長 申し訳ございません。私も従業者と従業員という言葉の区別を明確につけない形で資料を記載している部分が若干あるかもしれないですが、その点は、ご了承いただけたらと思います。
 その点でございますけれども、これは5年前もこの場で、私ども連合が、その時のアンケートと取り組んでいることをご説明させていただく機会がございまして、その場でも申し上げたのですが、個人情報保護法が施行される段階で、労働組合としても、どういった形でコンプライアンスの遵守といいますか、そういったことができるかということを考えまして、「個人情報保護のための労働組合の手引き」というものを作成いたしました。今日はお持ちしていませんが、そういったものを作成しまして、加盟の労働組合に対して、勉強会や学習会というものを開催もいたしましたし、その手引に基づきまして、会社が出してくるようなものに関して対応していただきたいということで、徹底を図ったということがございます。
 何分、それから時間が経っていることもございますので、若干変わっている可能性がありますが、基本的にはそのような形で労働組合としてしっかりと理解をした上で対応をしていこうと取り組んでいる現状があるというところでございます。
 先ほど、2つ目の質問にございましたが、派遣社員の皆さん等に対する対応というところは、今回のアンケートでは、なかなか聞けなかったと申しますか、わからない部分がございますので、やはり今後、私どももその辺を注意しながら現状を把握していきたいというのが、正直なところです。

○新保委員 それともう一点、監視条項との関係においてであります。こちらは質問ではなく、私からの意見ということにさせていただきたいと思います。家庭内におけるパソコンの利用について、最近は、例えばファイル交換ソフトを用いた個人データの漏えい事案の多くは、当該社員または従業員本人が起こしたものではなく、家庭内のパソコンで、本人が家庭内にデータを持ち帰って、結果的に本人が知らないところで、家族がファイル交換ソフトを利用していて漏えいするといったような事案が発生しております。
 そういう事案が発生しているのは事実ですが、このような事案を受けて、一部の事業者においては、家庭内におけるパソコンのファイル交換ソフトの利用状況を会社側からリモートで監視するといったことも現に行われているわけであります。この点について、従業員本人は、当然雇用関係があって、個人情報の取扱いについて適正に取り扱うことを義務づけられているわけでありますので、社内におけるモニタリングについても、判例におきましても、電子メールのモニタリングに関するフィッシャー社Z事業部事件といったような事例がございますが、この点について、プライバシーとの関係においては、従業員の職務専念義務との関係において、従業員は監視を受けてもやむを得ないという判断がなされているわけです。
 その一方で、最近、やはり気になるところといたしましては、家庭内におけるパソコンの利用状況までをも監視するということについては、やはり家族のプライバシーというものがございますので、この点について、やはり労働組合におきましても、従業員のプライバシーについては、職務専念義務や企業秩序の維持のためには不可欠であるということで認めてきているわけでありますけれども、その一方で、近時、家庭内におけるパソコンの利用状況も含めて監視をするといったようなことについては、やはりかなり行き過ぎではないかと。特に家庭内におけるプライバシー保護との関係において問題が生じているというところも厳然としてあるというところもございますので、この点につきまして、やはり労働組合等においても、従業員の個人情報の保護への取組みだけではなく、家庭内におけるそういった問題についても、やはり認識をしていただきたいと思っております。

○長谷部座長 それでは、関連して藤原代理お願いします。

○藤原座長代理 今までの質疑応答で、ちょっと気づいたことがありますので、1つ意見というか、質問をしたいのですけれども、本日のご報告のお話は2つあって、1つは個人情報保護法の施行による従業者への負担感という問題であるわけですけれども、もう一つが、今、話題になっている、従業者自身の個人情報保護の問題だと思います。プライバシーも含んでですけれども、ワーカーズプライバシーというお話ですけれども、それについて、先ほど、多分法律の問題ではなくてガイドライン等の問題であって、この法律とは直接関係ないというお答えでした。私も現行法の直接の問題ではないと思うのですけれども、従業者等については、監視の問題等を含めて、雇用管理に関する個人情報の適正な取扱いについての厚労省のガイドラインがあるわけですけれども、その厚労省のガイドラインも、含んだ形でアンケートをなさっておられるのか、個人情報保護法の問題に限ってのアンケートだったのでしょうか。

○岩井部長 厚労省のガイドラインですね。このアンケート自体では厚労省のガイドラインの遵守などについて把握はできません。ただ、私が労働組合が機能しているかどうかがポイントと申し上げたのは、先ほどの手引であるとか、厚労省や経産省のガイドラインについて労働組合にも連絡をし、認識を図っております。
 こうしたことも踏まえて、誓約書なり同意書というものを出すか、出さないかというところに関し、労働組合としてのチェック機能は働いていることが期待できるということを申し上げたところです。
 ですので、ちょっとご質問の回答になっているかどうかわかりませんが、そういった前提で、現状では厚労省や経産省のガイドラインということも踏まえて、労働組合として取り組んでいることが期待できると思っているところでございます。

○藤原座長代理 ありがとうございました。

○長谷部座長 では、臼井委員、お願いします。

○臼井委員 結論のところで書かれている個人情報保護とサービスの充実というバランスを図るために、今一度、法律の目指すものを理解することが必要だというのは、そのとおりだと思うんです。
 それを踏まえた上で、例えば医療介護分野で、施設の内外で患者家族への情報提供や情報共有がしにくいことを解消するために、具体的にどういうふうにすればいいかというのは、何かお考えでしょうか。

○岩井部長 すみません。具体的な対応のところまでは、まだ行っていないのが正直なところですが、声として上がっているページをご覧いただいたら、幾つか記載しているとおりでして、やはり医療などの分野ですと、チーム医療というのをやっていますので、当然そこでは情報共有できるのでしょうが、一方で、事務方部門などとの情報連携がうまくできないといった声が上がってきているところがあります。
 ただ、問題なのは、それが各施設まちまちという声が記載していたと思いますが、それが例えばある病院ではうまくいっているけれども、ある病院では全くできていないという現状があるのと感じています。
 そういった点を直していく上では、やはり今一度企業側と、働く人間たちが、やはりそれぞれ正しい内容を理解し、それをそれぞれの施設、いろんなところがすべて共有できるという環境をつくっていくことが、まず、必要ではないかということです。

○臼井委員 その正しい内容は何かというのが、なかなかむずかしい。例えば病院と従業者が話しても、何が正しいのかということが明確にならないのではないでしょうか。

○岩井部長 そこは、確かに個人がどう受けとるかによって左右される部分もあるとは思います。ただ、そこを何か明確なもの、1つ柱みたいなものがあればやりやすいでしょうし、我々、労働組合の立場としても、そういったところまで、今一度徹底、理解を図っていく必要があると感じたのが正直なところです。

○臼井委員 具体的に組合として何かこういうことをされているということはあるのでしょうか。

○岩井部長 それは、先ほど申し上げましたとおり、5年前に手引というものをつくりまして、基本的には、それに基づいて各労働組合が、経営側と申しますか、そことも話をし進めていっていただきたいということでやってございます。
 ただ、現状は、改めて学習会だとか、勉強会まではできていないので、もう一度どういうことができるかは検討していく必要があるかなとは率直に感じてございます。

○臼井委員 ありがとうございます。

○長谷部座長 それでは、三宅委員、お願いします。

○三宅委員 ちょっと声が出ませんので済みませんが、今の点にも関わるところですけれども、患者の名前を大きな声で呼べないとか、それから外来で名前の呼び出しができないというアンケートの結果が出ていますが、これはガイドラインなり、病院内のルールがおかしいのか、それが正しいけれども、仕事に差し障りがあるということなのか、それとも法律との関係で何か変えなければいけない部分があるのか、その辺り、どういうふうにご判断されているのでしょうか。

○岩井部長 法律ではないのかなと、正直思うところがございまして、そこは、やはりそれぞれの取組みルールなどがメインになってくると思っています。
 声として記載をしてございますけれども、やはり現状として、例えば高齢の方に対応する時には、「何番の方」といってもわからないという声が上がってきているんです。ですから、ある病院では、実際にお客様のお名前を呼ぶけれども、やり方を工夫しながらやっているという声もございましたので、やはりそれぞれのルールなのだろうと思いますし、それぞれの病院などが改善をしていく内容もあると思います。

○長谷部座長 それでは、杉浦委員、お願いします。

○杉浦委員 杉浦です。先ほどの臼井委員のことに関連するかもしれませんけれども、労働者側と経営者側という表現を使ってしまいますが、例えば労働者に対する監視の問題について、労働者側と経営者側で、そこまではやり過ぎではないかとか、そういうふうに意見が分かれる場合があると思いますけれども、そういう場合に、ガイドラインだけでは価値観の相違がありますので、ガイドラインだけでは解決できない部分が実際には出てくると思います。もし、そういう事態が発生した場合に、連合の方としてはどういう、例えば第三者に対して何か意見を求めたりとか、現に求めているとか、そういうような事例がありましたでしょうか。

○岩井部長 それは、従業員監視の事例に関して意見が分かれた場合にということですか。

○杉浦委員 例えばですね。もっと広くても、私の知らないケースでも全然構いませんけれども、一番わかりやすいのはそれだろうと思って例示したのですが、やはり経営者側の労働者に対する個人情報の管理とか把握とか監視まで行く。それは、やり過ぎではないかというふうに労働者の方々が思って意見が対立すると。労使交渉で解決するということも実際にはあるとは思いますが、本来は労使交渉という世界ではなくて、やはり人権の問題であるとか、労働者の権利の問題であるとかいうところまで高いレベルになっていくと思いますけれども、もし、そういう対立が発生した場合に、何か別の機関、中立的な公正な別の機関に申出をしたケースあるいは申出が必要であると感じられたことはありましたでしょうか。

○岩井部長 今、お話しいただいたような事例は、私は認識してございません。
 ただお話しましたとおり、例えばどこに監視カメラを設置するであるとか、そういうことは、労働組合の方には当然「職場環境の改善」というのが、1つ大きな目的としてございますので、当然、労使交渉の議題になると考えます。私の労働組合も、監視カメラではないでが誓約書や就業規則の見直しなどを行う場合には当然ですけれども打診がありますし、職場環境の改善についても組合側から申し入れることもありながら、労使で話し合いベストなものをつくっていくという形を取っていますので、おっしゃった事例も基本的には労使で話し合って進めることが重要だろうと感じております。

○杉浦委員 仮にという質問は変かもしれませんが、それは決裂した場合に、合意に至らなかった場合に、何か別の機関に申立てをしたいとか、そういう必要性というのは感じないんですか。

○岩井部長 そういった事例に実際にまだ接していないところがございますので、そこは検討させていただきたいと思います。

○杉浦委員 わかりました。

○長谷部座長 それでは、岡本委員、お願いします。

○岡本委員 私も労働組合の立場で、今の話に少し絡みたいと思います。1つには、厚生労働省、経産省のガイドラインも、いわゆる努力義務なわけですね。労使できちんと従業員と議論をしていくことが望ましいということですから、やはりそこのところは、もう一歩踏み込んだ形での義務化的なことをやっていく必要もあるのかなと思います。、勿論、労働組合がないところもありますが、労働者代表との議論をきちんとするということがまず必要だと思います。
 それから、プライバシー権の問題は、先ほど藤原先生もおっしゃっていましたように、ずっと議論をしながらも、どうも個人情報保護法との関係で、余り深い議論ができなかったのかなと、私は感じております。例えばその人が個人情報を受け取る場、接触する個人情報の度合いによって、この方はここまでのモニタリングは仕方がないとか、そういうような段階みたいなものも、実は余り議論されていないんではないかと思います。多くの企業で従業員または従業者の誓約書はいわゆる一本化しているのではないでしょうか。本来で言えば、その人が関わる内容によって誓約書の内容もやはり変わっていくべきではないかと思っていますけれども、そういったところが、今、ガイドラインなどでも書かれておりませんし、もう少しそういったことの議論というものは必要なのかなと思います。
 それから、企業がどこまで従業員のチェックをしているのかということも、従業者は弱い立場にありますから、そのことに何か不満があっても、どこかそれを訴える場所というのは、やはり労働組合しかないわけです。しかし、労働組合がすべてそれを受けとめられるかどうかということも一方であるかと思いますので、チェックが行き過ぎているのかどうかという事を客観的に検証する第三者機関のようなもの、そういったものをきちんとつくるということも必要なのかなと思います。
 今のところは、多分、こういう問題が起こっても労働組合の中で議論して、解決するしかない。しかし、労働組合がきちんとあるところは別ですけれども、そうではないところは強制的にやってしまうというような状況がやはり多いのではないかと思います。プライバシーの議論というのは、物すごく大事だなと思いました。

(2) 個人情報取扱事業者の状況について(株式会社日本総合研究所)

○長谷部座長 ほかには、いかがでございましょうか。一応、議論は収まったということでございましたら、日本労働組合総連合会の岩井部長、どうもありがとうございました。
 そういたしますと、次の案件に移ってまいりますが、引き続きまして、これは個人情報取扱事業者の状況につきましても、まず、株式会社日本総合研究所、続きまして、ヤフー株式会社からそれぞれ20分程度でご説明をちょうだいしたいと存じます。
 それでは、最初に、株式会社日本総合研究所の法務部長、大谷委員、よろしくお願い申し上げます。

○大谷委員 大谷でございます。お手元の資料の資料2で「ITベンダにおける個人情報保護の取組例」ということをご紹介させていただきたいと思います。
 ITベンダとしておりますのは、BtoBで事業者間取引の当事者であるITベンダという意味で用いております。BtoC、対消費者については、恐らくこの後、別所委員の方からご報告がいただけると思いますので、そういう違いがあるということを念頭に置いてお聞きいただけるとありがたいと思います。
 まず、私どもの会社では、どのような形で個人情報を取り扱っているかについてご説明をしてまいりたいと思います。会社概要からご説明申し上げます。弊社は、三井住友フィナンシャルグループの傘下にございますITベンダでございまして、グループ企業の中には、三井住友銀行、それから三井住友カード、あとはリース会社、証券会社といった企業が連ねている金融コングロマリットの一角を占めているITベンダであり、シンクタンクということになります。
 事業に関する各種登録の中で、特に個人情報に関わりの深いものとしては、1ページ目の一番下に書いてありますように、プライバシーマークの使用許諾事業者認定を1998年にいただいておりまして、7回目の更新に至っております。
 それで、私どもが扱っている個人情報でございますが、2ページになります。どのような事業があるかと言いますと、調査研究、シンクタンクでございますので、さまざまな調査をしておりましたり、コンサルティングを行ったりして、そのアンケートを取りましたり、それから出版物の発行に対しては、申し込みをいただいたりしております。
 それ以外にもインハウス情報がたくさんございます。主に情報量の大きな部分を占めているのが、この2ページの一番下のSI関連サービス、情報処理業務の受託と書いておりまして、受託に伴う情報です。具体的な数字については、やはりここで申し上げることも難しいものでございますが、例えば平成23年版の金融情報システム白書などでは、3メガ銀行を含む、都銀5行で、例えばキャッシュカードの発行枚数が約3億5,000万枚、例えばその一角を占めている三井住友銀行のシステム関係は、全部私どもが担当しております。
 それから、同じく金融情報システム白書の銀行系クレジットカードの発行枚数は1億枚を超えておりますけれども、その中でも大部分を占めているVISAカード関係の業務は、すべて私どもが実施しているというようなことで、多数の個人情報を取り扱う立場にあり、また、それが一旦漏れると、多大な二次被害が懸念される業務を担っているということを推察いただけるのではないかと思います。
 そこで、3ページにまいりまして、受託業務に伴う個人データ等の取扱いということで、2つばかり例を挙げさせていただいております。
 左側が、弊社のホームページに掲載されている情報でございまして、非常に字が細かくて恐縮ですけれども、Vpassと申しまして、三井住友カードの会員専用サイトの開発運用業務のご紹介でございます。
 ここで各カード会員がご覧になれるのは利用明細であったり、それからポイントの紹介であったり、あるいは支払方法を変更するため、例えば一旦お買い物をされてから、それをリボ払いにしたいとかというような手続を取ることのできるサイトを私どもが管理しております。
 それから、右側、人事評価制度と書いておりますけれども、企業の最適な人事制度を立案するために、各企業の従業員の方たちのプロフィールなども全部いただいて、センシティブな情報もいただきながら、その企業の資格、等級制度のあるべき姿、人事評価制度のあるべき姿などについて提言していくと、そういった経営コンサルティング的な業務もございます。このような過程で個人データを取り扱っていくことになります。
 このような企業といたしまして、個人情報保護については、従来より留意しておりますので、その概略についてご紹介させていただきます。
 右下4ページ、ここから私どもの個人情報保護、それから情報セキュリティーへの取組みでございます。
 まず、右下4ページは、個人情報保護方針、プライバシーポリシー、それから法律に基づく公表事項等のホームページの一部でございます。
 このようなものを年に2回ずつくらい更新しながら、常に最新の情報を反映させて維持しております。
 次に右下5ページでは、どのような形式で個人情報の取得を行っているのかの例になります。こちらも弊社ホームページの転載でございます。極めて少ないといっても数万件に及びますけれども、私ども独自で保有個人データとして持っている個人データの取得の例です。
 左側は、私どもの例えば企画するセミナーやイベントに参加するお申込み画面のウェブ画面のページとなっております。
 このような画面を設計するに当たっては、一つひとつの情報ごとに、個人情報の所管部署に対して、伺いを出していただきまして、どういう情報をだれが取り扱うか、その保管期間はどのくらいのものかといった幾つか決まったアンケートフォームに答えるような形で審議を経て、決裁を得ますと、こういったホームページが開設できる仕組みとなっております。
 また、それと同時に、その個人情報を取り扱うことのできるサーバー上のワークスペースができ上がりまして、そこにアクセス権限を持つ必要のある方についても特定して、権限設定がなされるというような仕組みになっております。
 右側が、いわゆるインハウス情報でして、私どもに就職したいという学生の方たちがアクセスしていただきます。それに際して、個人情報では当社ではどのように取り扱われるかということをご紹介したページとなっております。
 このようなページにつきましても、これを開設する前に、個人情報所管部署が個人情報保護法、それから各種ガイドライン等に照らして、適切な情報提供ができているか、告知ができているかということを点検して、同じような手続、つまり一般のセミナーの申し込みなどと同じような手続を経て、実際にそれを取り扱う方々を特定して、こういった業務の取扱いをスタートさせるということになります。
 では、安全管理の措置ですけれども、右下6ページに並べて雑駁な書き方となっておりますが、一般の企業さんでどこでもやられているような内容ばかり並んでおります。
 この中で、少し補足説明が必要かなと思っておりますのが、マル5の自宅パソコンにおける電子文書取扱状況の点検を年に1回以上行っているということです。全役員・従業員・派遣スタッフが対象となっておりまして、先ほど新保委員の方からご質問があったような項目に該当にするものとしては、ファイル交換ソフトのインストール状況といったものも点検対象となっております。
 なぜかといいますと、自宅パソコンでの仕事は、基本的に認めてはおりませんけれども、例外的に、所定の手続を経て許可をすることがございまして、その場合に自宅パソコン内にそれが残っていないかとか、それを業務に使った自宅パソコンに問題のソフトがインストールされていないかということを各自、自主的に点検して、その結果、問題なかったということを報告してもらう、そんな点検になっております。
 それから、少し従業員の方にはご負担をかけていると思いますが、勿論、役員から従業者、当社のシステム環境を使う方すべてに適用されているものですが、マル6のところのメール査閲の仕組みでございます。パスワードのない添付ファイルは、基本的に送ることができませんし、パスワードのある添付ファイルについては、すべてメール査閲の仕組みの中に投入されまして、その内容を上司が点検して送信を指示しない限り社外には送れないという仕組みになっております。
 また、普通に添付ファイルがないようなメールにつきましても、一定の頻度でサンプル的に抽出して、個人情報等が記載されていないか、個人データの許可がない持ち出しが行われていないかということはチェックされる仕組みとなっております。
 また、パソコンあるいはサーバーからデータを引き出して、例えばCD-Rに焼き付けて持ち出したりということができないようにするために、可搬性記憶媒体への書き込み制限ツールが導入されておりまして、上司が許可したファイル単位でしか書き込めないという仕組みも導入されております。
 なお、メールについては、公益者通報制度の対象となっている内部通報については、査閲の対象外としております。
 そのほかにも、例えば社外で仕事をされる方のためにシンクライアントの機器を一定数用意し、あとはどうしても移動中に利用する方のためには、シンクライアントというわけにはいきませんので、高セキュリティーのファットクライアントを整備しているというような状況にあります。
 次に7ページにまいりまして、従業者の監督の在り方、委託先の監督の在り方について簡単に触れたいと思います。
 従業者の監督の一環としましては、社内規定ルールの再徹底、注意喚起ということを定期的に行っておりまして、現在のところ、年に1回の勉強会を開催しております。
 そして、年に1回誓約書の提出、いわゆる非開示契約でございますが、全従業者対象ということで、個人情報の取扱いを実際に行っている者に限らず、行う可能性のあるすべての方に対して実施しております。
 ただ、内容はそれぞれに異なっております委託先の場合には、その職務、それから派遣スタッフの方についてもその職務に応じた内容に限定しております。
 次に委託先の監督ですけれども、やはり大規模なシステムを運用しておりますと、多数のパートナー企業のお手伝いをいただかないと仕事が成り立たないという状況にございまして、どのような委託先を選定するかに、まず、神経をとがらせるところでございます。
 新規先からはパートナー登録カードというものを提出していただいておりまして、委託先選定の基礎資料としております。例えばプライバシーマークを取得されているかとか、ISMSは取られているかというようなことから、少し細かいことまでお尋ねして、一定の基準を満たした場合にのみ、委託を開始するという仕組みでございます。
 また、その内容を維持していただいているかどうかをモニタリングは年に1回行っております。
 また、やはり情報管理態勢が一部不能であるというような情報がございますと、一定の基準で抽出した先に対しては、実際に会社での情報の取扱状況を見させていただくという実査も行っております。
 そのほか、必要と思われる契約、これはガイドラインに書かれている必要な事項を網羅したものと言えますが、情報管理に関する覚書等を締結しているということでございます。
 右下8ページにまいりまして、教育の状況でございますが、集合研修とe-learningを組み合わせた体制を取っております。
 それだけではなくて、やはり教育内容の形骸化といったことを避けるためにも、できるだけ精度の高い情報を提供し、他社の例なども他山の石として活用ができるように、常に研修テキストなどをブラッシュアップしているという状況にございます。
 そして、実際に個人情報の取扱いについての意識強化に役に立っていると思われるのが、自主点検と監査でございます。その詳細については、ご説明するお時間がございませんが、これも定期的に実施しております。
 そのような結果を踏まえて、全社で1回経営も含めて、個人情報保護マネジメントシステムの運用をいたしておりまして、定期的な見直しを実施しているところです。
 ここで言う個人情報保護マネジメントシステムというのは、冒頭に申し上げましたように、プライバシーマークを取得していることから、JISQ15001の2006年版、個人情報保護マネジメントシステム要求事項に見合った形で実施しているということでございます。
 右下9ページは、私どもが取得しているセンターのISMSの認定状況でございます。
 右下10ページですが、私どもの個人情報保護マネジメントシステムを運営するための全社的な組織図を載せさせていただきました。ここで経営陣の在り方は、一般的な企業と同等だと思いますが、各部室の中にそれぞれ責任者が置かれておりまして、右下11ページに、それぞれ部室の中の担当者の状況が書かれております。
 まず、セキュリティー・オフィサーがございます。部門内で運用ルールの制定とか、部員への意識づけを行ったり、それから定期点検を行ったり、メールサーチをしたりという役割を担っております。
 また、プロジェクトのリーダーが個人情報取扱責任者を担っておりまして、実際に特定されている従事者の方の状況を監督していただくという責務を担っていただいております。
 そして、右下12ページ、緊急時対応の流れでございますが、万一のことがあったときに、速やかに対応が取れるように、緊急時対応のための連絡網を整備しております。
 私自身が、その第一報を受ける担当者となっておりまして、それが起こった場合には、速やかに社内の必要な部署を招集する役割も担っております。
 このような体制ですが、やはり一旦構築しても陳腐化したり、また、それが形骸化したりというリスクがありますので、定期的な見直しを行っております。
 定期的な見直しのトリガーとしておりますのが、右下13ページのものでございます。全部で12項目ありますけれども、先ほど申し上げた監査報告、そのほかリスク分析などをトリガーにしております。
 細かい内容については、なかなか時間もないところでございますので、右下14ページ゛が、例えば最近、法令諸規則がどのように変わったか、それに伴って、私どもとして何か新しい対応を取らなければいけないかということの点検に使ったリストの方の一部でございます。
 右下15ページの方は、社会情勢の変化を受けて、当社として新たな取組みの何が必要かということを見直したものの1つでございまして、この中で、特に他山の石としたいのが、例えば証券会社の元管理職員がユーザーIDを窃用したケース、それから、最近、ガンブラーなどのホームページ改ざんによる個人情報の取得の事例が相次いでいるということ。
 それから、弊社としては法令改正の直接な影響を受けるものではありませんが、割賦販売法の改正等を受けて、顧客企業の負担が大きくなっていることへの対応をどうするかといったことについて、それなりの分析をしまして、とりまとめて報告するというような体制を取っております。
 最後のページになります。16ページ、このような内部の取組みをやはり第三者的な目で見ていただくことが必要だと考えておりまして、第三者による検証としましては、株主が定めているグループ会社の統一基準に基づく社内諸制度のモニタリングの報告を行っております。
 また、プライバシーマークの2年に1回の更新、それに基づく審査ということも第三者の目で見ていただく貴重な機会と認識しております。
 それと同時に、私どももグループ会社が国内外に幾つもございますので、その国内外の会社の個人情報保護体制の強化の支援も行っております。
 また、シンクタンクといたしましても、この情報セキュリティー、それから個人情報、プライバシーの保護の在り方などについて、積極的に情報発信をしたり、他社のコンサルティングをしたりということも私どもの役割と考えております。
 ここの資料には書いてございませんけれども、今後の課題として私どもが認識していることを2つばかり挙げさせていただきたいと思います。
 1つは、情報システムにおけるクラウド利用の影響に対して、どのように対応していくかという問題でございます。
 現在、どこにその個人情報があるのか認識ができないということで、金融機関などにおけるクラウド利用ということについては、まだ、検討段階にしかございませんけれども、今後、どのように対応していくのか、少し知恵を絞りたいところでございます。
 2番目が、去年、新型インフルエンザの騒ぎがありまして、やはり緊急に個人情報の取得が必要になるケース、緊急時対応についての十分な準備、それから事業継続体制の整備と個人情報保護をどういうふうに両立させるのかということについて、平時からその認識を高めておかなければいけないと、この2点でございます。

(3) 個人情報取扱事業者の状況について(ヤフー株式会社)

○長谷部座長 どうもありがとうございました。
 それでは、引き続きまして、ヤフー株式会社の最高コンプライアンス責任者兼本部長である別所委員からご説明をお願いできればと思います。よろしくお願いいたします。

○別所委員 別所でございます。では、私の方から、お手元の資料に基づきましてご説明させていただきたいと思います。
 資料3は、2つからになっていまして、別添の方は、私どものプライバシーポリシーをそのまま抜き書きしたものでございますので、後ほどご覧いただければと思います。
 私の方からは、Yahoo!JAPANにおける顧客個人情報の取扱いということで、BtoCの取引におけるC側からお預かりしている情報の管理について主にお話しさせていただければというところでございます。
 めくっていただいて2ページ目ですけれども、顧客個人情報の取得に関して、私ども、これは従来からですけれども、基本的には必要な情報は持たないということを不文律にしてやってきております。
 これは、個人情報保護法に該当する個人情報以外の情報についても取得はしているのですけれども、そういう情報も含めて不要なものは持たないと、それが最もお客様の安全を守ることですし、企業を守ることになるというふうに考えているというところです。
 2ページ目の下の左側を見ていただくとおわかりですけれども、Yahoo!JAPANIDというのをお取りいただいてお使いいただくサービスが幾つかあるんですけれども、そちらのIDの登録は、見ていただくとおわかりのように、いわゆる個人を識別できるような情報はいただいてはおりません。
 右側、ウォレットと書いてありますけれども、これはヤフーに何らかの形でサービスの対価をお支払いいただくお客様用の登録の画面です。ここの画面をお使いいただくお客様については、初めてですけれども、氏名とか住所とか、それから決済に関する情報をいただくというようなことになっております。
 左側と右側はイコールではないので、Yahoo!JAPANIDしかお持ちではないお客様もいますし、更に進んで、ウォレットの登録をいただいているお客様もいるというところです。
 勿論、全くご登録いただかないでお使いいただいているお客様もたくさんいるというところですので、お客様については、そのお客様が選択したサービスに応じて必要な情報をご登録いただくという形になっているところであります。
 3ページ目、そういったお客様との間で、プライバシーポリシーというのを定めております。
 プライバシーポリシーですけれども、個人情報保護指針よりも、イコールの意味ではありますけれども、私どもとしては、個人情報保護指針として公表するという形ではなくて、これを利用規約の中に入れ込んでしまいます。つまり、約款の一部に、私どもはプライバシーポリシーをしてあります。
 ご存知だと思いますけれども、アメリカでプライバシーポリシー、FTCが推奨して入れておりますけれども、あのアメリカの場合のプライバシーポリシーは、契約ではないけれども、プロビスになっておりまして、そのプロビス違反はFTCの方が、いろいろな行政上の措置を作動できるトリガーになっています。
 そういう意味でいうと、単なる表示以上の意味を持っていて、日本的に言うと、契約的な性格に近いのではないうかというところもあって、私どもとしては、プライバシーポリシーに関しては、そこまで踏み込んでみようということで、こういう位置づけをしております。
 ここは、ほかの会社さんと、もしかすると、考え方が若干違うところなのかなというふうには思っておりますけれども、今はこういう考え方でやっております。
 4ページ目に移っていただきますけれども、先ほど言いましたような不文律をきちんと守っていくというために、社内的には、新しく、個人情報には限らないのですけれども、情報を取得するときには、その都度、取扱いの是非とか、どういう取得方法を取るかということが、社内ルールで手順が決まっております。その中で、個人情報に該当するものについては、セキュリティー委員会というところにかけられて、どういう取得方法で、どういう表示をして、どういうところに保管をして、どういう人たちがアクセスできるのかということが検討されて、そこを通らないと、新しいサービスにそういうものを組み込むことができないというような形になっております。
 かなり厳しく見ているつもりではおります。例えばお客様の年齢が必要なときには、年齢しかいただきませんし、生年月日がほしいといっても、生年月日が必要な理由がなければ、年齢だけをもらうというようなことで、社内的にはいろいろ議論している。生年月日をもらっておけば便利ではないですかと言われるんですけれども、いやいや、そうではなくて、生年月日までもらわなければならない具体的な、ちゃんとした理由がなければ、それは必要な情報に限りましょうということで検討を進めているというところであります。
 これも幸い、ヤフーがプライバシーに関する情報を取得して以来の社内のやり方になってきていますので、そこは社内的に新しいルールをつくって始めたというところとは違って、大分周知徹底されていると考えております。
 5ページ目をご覧いただくとおわかりのように、プライバシーポリシーでは、このように利用の目的を決めておりますし、この利用の目的の範囲内で利用しますということを徹底してきております。それで、できるだけ詳しく、具体的に利用目的を書くように努めております。
 個別のサービスごとに言うと、本当に細かく説明できているかというと、なかなかそうではなくて、約款の一部にしている関係もあって、抽象的にならざるを得ないところはありますけれども、とはいえ、きちんと読んでいただければ、こういう範囲で利用されるのだろうなということが、お客様がおわかりいただける程度にまでは具体化しているつもりでつくっております。
 6ページ目ですけれども、あと、個人情報の利用については、共同利用は、今のところ行っておりません。これは、別に社内的に絶対に行わないと決めているわけではないのですけれども、現時点では、やはり共同利用の形にしてしまうと、責任を負う主体とか、利用する主体がお客様から見にくくなるんではないかなということを懸念して、今のところ、こういうことはしておりません。
 それから、第三者提供を行う場合は、基本的に必ず個別同意を取得するというルールになっております。
 これは、インターネットを使っているサービスの特徴でもありますけれども、個別の同意が画面の整理の中で非常に取りやすいので、こういうデータをここに渡しますというのを表示した上で同意いただくというステップを取っているということを徹底してきております。これが、個人情報の第三者提供です。
 こういうことをやっている裏側で、社内でどういう安全管理体制を取っているかというと、7ページ目以下に書いてあります。
 基本的な発想は、性悪説に立つと社内では説明しておりますけれども、性悪説に立って、だれかが悪いことをしようとしたとしても、それを防ぐ体制を取っておきたいということでつくっております。
 従業員の方々にも、そういう趣旨でも説明しておりますし、逆にそういうシステムになっているので、何か問題が起きたとしても、従業員がきちんと守ることができると、うっかりして、何かをやらかしてしまうということがないような仕組みになっているということで、説明をさせていただいております。
 7ページ目は、情報漏えい一般に関する措置になります。これは個人情報だけではないのですけれども、ということで、従業員の行動を常時監視しております。基本的には、社内にあるすべてのパソコンについてのログを集めていますし、常時監視をしております。
 それで、ログを解析して問題があれば、直ちに上長にリアルタイムに報告が行って、上長がその行動内容を精査できるというようなことをやっているというところです。
 見ている画面のログもそうですけれども、メールについても監視下に置いておりますので、不要なメールが社外に大量に送られていたりすると、監視で見つかって、どういう理由で送るんですかということが上長からのヒアリングが行われるというような体制になっておりますし、個人情報の漏えいもそうですし、社内情報の漏えいもそうですけれども、自分の使っている携帯メールとかを踏み台にするケースがあるので、社内から個人の従業員の携帯メールあてに送られるようなものは、かなり厳しく監視をしているというようなところです。
 それから、監視の中には、ここの監視項目にも書いてありますけれども、社外の掲示板等への書き込みというものも監視をしているという状況にあります。
 8ページ目、個人情報の管理のログ以外にデータベースがありますので、データベースのアクセスをやはり監視しています。勿論、アクセスすることができる人間は限られておりますし、だれがアクセスしているのかということはきちんと把握しておりますけれども、とはいえ、どういう状況で使われているのかということをデータベースのアクセス状況を監視しているということも並行してやっているというところです。
 ここのところを防いでおかないと、結果的には尻抜けされてしまうということで、監視は2種類あって、ネットワークの監視とデータベースの監視と二本立てでやっているというのが私どもの現状であります。
 監視をしているチームは、私の配下にあります。法務本部の中に担当のチームがつくってあるという形で位置づけをしております。
 9ページ目、セキュアオフィスによる情報保護というのが書いてありますけれども、これは主にカスタマーサポートをしているところとお考えいただければと思っています。お客様の個人情報を多数取り扱う部門は、ほかの部署とは独立した別のオフィスに入居しております。
 基本的に、そのロケーションというのは社外には公表しておりません。この建物に関しては、死角が生じないように、勤務している場所については監視カメラを設置して、警備員によって常時モニター監視をしております。
 同じセキュアオフィスと呼ばれているオフィス内でも一般のエリアとより機密性の高いと考えている個人情報を取り扱う特定のエリアは区分してセキュリティーのレベルを変えているというところであります。
 私どもが言う、機密性が高い個人情報というのは、特に決済関連の情報が入っているところです。個人の名前、住所、それから決済に関連する、例えばクレジットカードのナンバーですとか、引き落としの銀行口座の番号が入っているようなところ、そういうものを見ることができるところは、一段と機密性が高いレベルのエリアにしているというところであります。
 10ページ目が、少し具体的にどんなふうになっているかということをご説明させていただいているところです。
 今、申し上げましたように、セキュリティーエリア内でも取り扱う個人情報の種類とか、取扱方法によってエリアが細分化されておりますし、そのエリアごとに、やはり適用しているセキュリティーのルールを変えております。
 それから、特定のセキュリティーエリアでは、従業員のパソコンのところは、指紋認証で操作者が特定できるようにしてあります。そのエリアの中では、社外に通じるメールと、それからメッセンジャーというのは、インスタントメッセージング機能を持っているやりとりをする道具で、日本では、まだ余り普及はしていないですけれども、アメリカとかでは、かなりメールの代わりに使われていて、リアルタイムでいろんなメッセージの交換ができる機能であります。
 社内では、ほかの部署では、かなりメッセージャーでメールに代えてやりとりをしているのですけれども、このセキュアオフィスに関して言うと、メッセージャーの使用を禁止しているというところであります。
 それから、当然ですけれども、そのエリアには個人のパソコン、携帯電話、ゲーム機、それからiPodみたいな音楽再生機能等の機器を持ち込むことは禁止しておりますし、メモ用紙等、手帳等の持ち出しができないように、その持ち出しも禁止しております。
 それから、一段と機密性が高いレベルの情報を取り扱うエリアは、そのエリアの中でメモを取る行為も禁止していて、どうしても取らざるを得ない、業務上の必要があるときには、隣に警備員が立って、肉眼で監視をしているところでメモを取ってもらうというようなことをやっております。
 プリントアウトについても、一番厳しいエリアでは、そのエリアに近接したプリンターがある部屋が別にあって、その部屋に必ず2人以上で行って印刷をして確認する。4つの目で確認するという体制を取っております。
 それから、外部との交信で、電話等で個人情報が漏らされてしまうと困るので、社内で連絡をするための電話はありますけれども、社外に直接通じる電話機というのは、そこには置いていないというところであります。かなり厳重にやっております。
 入口の図をお示ししたのが11ページになります。これは、改装前なので、改装後は若干違っていますけれども、機能としては、こういうものがすべて付いております。金属探知機のゲートがあって、その外側にロッカーがあるんですけれども、ここのロッカーに自分で持ってきた携帯電話とか、先ほど持ち込み禁止のものを全部入れてもらいます。筆記用具とかもです。ここに預けた上で、前後に警備員がいるのですけれども、この間の金属探知機のゲートをくぐっていただいて、設備の中に入っていくというようなところです。
 今は、エリアごとに色分けをした専用のベストを着ていただくことになっていて、セキュリティーのレベルが違う部屋は、違う色のベストなので、違うエリアにほかの人が入ってくると、目視で一目瞭然に入ってはいけないエリアに入っているというのがわかるようにできております。
 入るべき許可を特別にもらっている人たちは、ちょっと面倒くさいんですけれども、かなり大きいタグを首からかけていただいて、それがセキュリティーエリアごとに分かれていると。3か所入らなければいけない人は、3枚タグが首からかかっている状態で、動き回るには、非常に動きまわりづらいんですけれども、いろんな意味で監視を強化するということで、そういう体制を取っているというところであります。
 次の12ページが、安全管理に関する意識づけに関してです。当然ですけれども、研修をしております。四半期に一度ずつ、全社員を対象にe-learningによるコンプライアンス研修、「こんぷラーニング」と社内では呼んでいるのですけれども、それを実施しています。
 そのうち、年1回を必ず個人情報保護のための研修に当てています。私ども四半期ごとに決算を公表していますので、すべてのスケジュールが四半期単位で進んでいくのですけれども、第1四半期、4月に始まって6月に終わる最初の四半期のe-learningを必ず個人情報保護に関するe-learningにしていて、そのe-learningが終わった後で、必ず誓約書を出していただく、これは年1回必ず出していただくということでやっております。
 それから、常勤で勤務する業務委託の人と派遣社員からは業務の開始前に誓約書をいただくということでやっております。
 社員の誓約書について言うと、エリア限らず、一応、一種類でやっております。誓約書が仮になくても、労働契約に基づく基本的な忠実義務というのはあると理解しておりますけれども、むしろ義務を強化するというよりも、リマインドとして1年に1回差し入れていただくということをやっている、忘れないでくださいという意味と従業員には説明をしております。
 それから、業務委託さんと派遣社員には、勿論ですけれども、社員とは違うひな形を使っているというところであります。
 次の13ページ目が第三者に委託をする場合の安全管理措置です。基本的に業務委託先の選定基準というのがありまして、その選定基準に合ったところだけに業務委託ができますとなっています。
 更に、業務委託に関しては、業務委託契約書とは別に個人情報の取扱いに関する覚書、これは会社でひな形を決めてあるんですけれども、このひな形どおりの契約を並行して締結いただいて、そういうところに業務委託をしているというところであります。
 年1回、業務委託先における情報管理体制についての監査を実施するというような条件が個別の覚書の中に定められているというところであります。
 最後が14ページ目になりますけれども、個人情報漏えい等が起きたときにどうなるかということですけれども、漏えい事故への対応ですけれども、私どもには事故報告という制度が社内にあります。これはありとあらゆる事故が事故報告の対象になっておりますので、個人情報漏えいに限らず、サービスに関するあらゆる事故が上がってきます。
 この事故報告をきちんと見ていて、個人情報の漏えいの事故に該当するということになると、対応の部署にヒアリングをかけて報告をまとめて、並行して関連する省庁への報告、第一報は入れた上で報告をするというような体制を取っております。
 事故報告ですけれども、システムに入力するとメールが関連するところに飛ぶようになっているのですけれども、そのメールを全数事故報告で報告対象のものがないかどうかというのを、これも私の配下にある担当のチームが常時見ていて、見つけると対応を始めるというような体制を取っているところであります。
 非常に簡単ですけれども、今、私どもがやっている顧客個人情報の取扱いについての説明は、以上のとおりでございます。
 私どものやっていることが典型的なものなのかどうかというのは、ちょっとわかりかねるところがありますし、インターネットでサービスをいろいろ提供しているというところで、お客様からの個人情報保護に関する強いご期待もあるので、そのご期待に応えるために、かなりできるところはやろうということでやってきておりますので、コスト的にも相当のものを費やしてはおります。
 ただ、こういうものをやっていくことが、今の時点では、多分、社会からの期待に応えることにつながるんだろうなと、会社としては判断しているというところでございます。
 以上でございます。

○長谷部座長 どうもありがとうございました。それでは、ただいまの大谷委員、そして別所委員からのご説明につきまして、ご質問あるいはご意見等がございましたら、よろしくお願いいたします。
 臼井委員、お願いします。

○臼井委員 大谷さんが最後におっしゃった今後の問題のところで、2番目の新型インフルエンザで個人情報を取得する必要がある場合を考えるとおっしゃったのですが、それは日本総研としてはどういうケースですか。

○大谷委員 新型インフルエンザの感染が始まったときには、かなり重篤な症状が懸念されておりました。そこで、感染拡大期には海外渡航経験、例えば過去1週間以内にアメリカとかメキシコでしたでしょうか、海外に渡航した方については、家族の渡航者も含めて情報を収集して、万一家族から感染して休まなければいけないというような社員が出た場合の代替策を講じる必要が生じました。そうでないと、金融機関のセンターが止まってしまうという状態にもなりますので、緊急性が高いと思いまして、勿論、任意ですけれども、家族の情報も含めて個人情報のご提供をいただきました。つまり、過去の海外渡航経験ですとか、それから、現在の健康状態などについての情報を急に取得するというような状態になりました。感染初期の段階では、それを想定した準備がなされていなかったので、今後は、そのための準備もして、そういったケースでの情報の取得の在り方、管理の在り方といったことについては検討していかなければいけないと、その問題意識をお伝えしたということでございます。

○臼井委員 基本的には、従業員とその家族の個人情報ということですね。

○大谷委員 はい、委託先も含めてですので、相当数の方が対象になっていたと思います。

○臼井委員 わかりました。

○長谷部座長 ほかには、いかがでしょうか。
 新保委員、お願いします。

○新保委員 慶應大学の新保です。両委員に表示についてお伺いしたいと思いますけれども、日本総研とヤフーの両者とも、個人情報保護方針、プライバシーポリシーの表示につきましては適正に行われております。多くの事業者が個人情報保護方針を他の事業者が公表しているものをそのままコピーして掲載しているような場合が散見される現状において、業務に即して、非常に高度な個人情報保護方針、プライバシーポリシーを策定されていると考えられます。しかし、現行の法制度において、個人情報保護だけではなく、特定商取引法、景品表示法を始めとして、その他の法令においても表示義務が義務づけられているところであります。
 この点につきましてお伺いしたいところは、法定公表事項として、個人情報保護方針、それから情報セキュリティーの対策なども含めて公表を行っているというところが現状でありますけれども、その一方で、他の法令においても定められている表示義務があったり、また、情報セキュリティー対策で、どこまで表示をすべきか、または、消費者との関係でどのような内容の表示を行うかということについては、多くの事業者が非常に頭を悩ませている点でありますけれども、この点につきまして、公表文書の作成と、それから公表の方法について、今までご苦労されてきた点、または問題点として認識されている点がありましたら、その点についてお伺いしたいと思います。

○大谷委員 確かに各種法令に基づく表示規制への対応というのは、頭を悩ませているところでございまして、ただ、実際には直接表示規制が適用されるケースは、私どもの事業ではなかなかないというのが実情でございます。ただ、この個人情報保護ポリシー、それからその他幾つか実際に掲示させていただいているポリシーについては、すべて経営会議の決裁事項となっておりまして、かなり私どもで実際に手を動かして起案をいたしまして、その内容について他社の事例なども踏まえて検討し、必要に応じてリーガルオピニオンも得つつというところでございます。一番頭を悩ませておりますのは、やはり海外の子会社などについての表示でございまして、なかなかそれが現地の法令に即して適切なものになっているかといったことに確認するのにちょっと手間取って、事実先行になってしまうようなケースも間々あるのが実態でございます。先ほど別所委員の方から、どちらかというと、米国のFTCのご指導とか、そういった枠組みに従った枠組みを使用されているということをお伺いできましたので、私も同じような質問をさせていただきたいと思っていたところでございます。

○長谷部座長 どうぞ。

○別所委員 各種業法での表示規制というのは、当然、私ども幾つかのサービスについては関連するところがあって、どの表示規制についてもできるだけわかりやすくしたいということでは取り組んできております。
 プライバシーポリシーに関して言うと、もともとのヤフーのプライバシーポリシーをアメリカのヤフーインクのものをひな形に始めたというところもあって、やはりアメリカの状況というのは、大分参考にしてきております。
 もう一つは、ようやくプライバシーポリシーという名前を変えたのですけれども、実は、皆さん、全然覚えていらっしゃらないと思いますけれども、Yahoo!JAPANは、最初にプライバシーポリシーという字を使わずに、プライバシーの考え方という表示をずっと伝統的にしてきておりました。
 今でも本来的には、プライバシーの考え方という方が、プライバシーのポリシーとそのまま使うより正しいんではないかという議論もあって、そこは建付けをどう考えていくのかということと併せて、何をお客様に伝えたいのかということをよりわかりやすく説明したいという姿勢だと認識しております。
 約款組み入れのところは、これは法務担当の部署の中で検討したところですけれども、基本的には、お客様にできるだけわかりやすくするのと同時に、やはり会社としての意識をきちんと高めたいということもあって、約款の中に組み入れてみるということで、今、やっているというところです。
 この形が、本当にいいのかどうかというのは、ほかの会社さんがどう考えて、今後どうしていくかということにもつながっていくと思いますけれども、やはりお客様の目から見たときに、単純に制限されているわけではなくて、そのとおりに取り扱われているということが、会社が単純に約束している以上のものなんだとご理解をいただける体制をつくっていくことが重要ではないかと考えている次第です。

○長谷部座長 ほかには、いかがでございましょうか。
 三宅委員、お願いします。

○三宅委員 別所さんにお伺いしたいのですが、先ほど大谷さんの方からクラウドの利用に関してどういうふうに対応していいのかよくわからないという話がありまして、先ほどのご説明によると、クラウドを利用するような場合の個人情報というのは、どこで保護されているのかということ、あるいはそれは対象外なのかということ。
 それから、Yahoo!JAPANの利用規則の第1編の第2章の4というので、資料3の別添の2枚目の表の4にありますが、一番下の(1)で、裁判所から、法令に基づく開示を命じる判決もしくは命令を受けた場合または警察など公的機関から、正式な照会を受けた場合というのがありますが、ここには裁判所からの文書の送付嘱託とか、家庭裁判所からの調査の依頼とか、弁護士会からの照会請求とか、こういうのは入っているのかどうか。あるいはこれは4の(4)のその他、個人情報保護法上許容される場合に当たるのかどうか。ちょっとお聞き苦しくて申し訳ないんですが、そこに該当するのかどうかコメントをいただければと思います。

○別所委員 最初のクラウドの件ですけれども、現状、私どもの提供するサービスのためにつくっているものを想定して考えていて、私どもがクラウドと呼んで提供しているものは、私ともがサーバーの所在地を全部わかっておって、今、何か所かに分散していますけれども、すべて国内にありますので、現実的には、今のところ第三者のクラウドを私どもが使って、所在がどこにあるかわからないところに個人情報とかプライバシー情報を放り込むつもりがないので、今のところまだ未検討だというのが正直なところです。将来的には、いろいろ検討する必要が勿論あると思っておりますし、サーバーの管理コストというか、データセンターのコストを考えたときに、国内事業者もこのまま国内にデータセンターを置ける時代が続くのかどうかというと、ちょっとわからないと思っていますので、課題としては意識しています。
 2つ目のご質問ですけれども、ここには基本的には、例えば弁護士会からの照会とかというのも入ってきていると、私どもとしては理解して運用しておりますけれども、実態を申しますと、私ども弁護士会からいただく照会に回答したことは一度もないです。照会書をもらえば、自動的に出しているわけではなくて、照会書の中身を見させていただいた上で、中身がきちんとわかって出せるものであれば出しますけれども、残念ですけれども、弁護士会からいただく照会で出せるだけのきちんとした説明がされているものがなくて、出せていないというのが実情でございます。

○長谷部座長 臼井委員、お願いします。

○臼井委員 その関連でいうと、大谷さんのところは、第三者提供というのは、何か規定を持っていているのでしょうか、第三者提供をするケースというのはどういうことを想定されているのでしょうか。

○大谷委員 私どもの場合、保有個人データと、それからそれ以外のデータと区別しておりまして、保有個人データの場合は、勿論、第三者提供が想定されるのですけれども、やはり別所さんのところと同じで、個別に同意を得た場合が基本でございます。それ以外の場合は、法令に基づく場合で、弁護士会からの照会に対しても、まだ照会をいただいたことはないですけれども、照会をいただいた場合に、何をどう判断してご回答に応じられるのかといったことについてのマニュアルは別途整備しております。
 それ以外は、大体、別所さんのところに書かれているものとほぼ同文なのかなと思います。何をどこから聞かれるかによって対応の仕方が微妙に違ってきますので、個別のマニュアルを整備して、担当者が迷わないような仕組みを整備しているといったところが、各社見えないところで一生懸命やっている部分かなと思います。

○長谷部座長 では、別所委員、お願いします。

○別所委員 若干補足しますけれども、今、弁護士会の例だけ申し上げましたけれども、捜査関係事項照会書をもらうこともかなりありますけれども、その照会をいただいたときも自動的に出しているわけではなくて、照会に足りるものがちゃんとあるのかどうかというところで、めったにないですけれども、たまに形式的に照会書で出ているのですけれども、これは本当に照会権限があるのかというものがあったりしますので、そこは個別に捜査機関と相談させていただいて、出せないものは出せませんというふうにやっております。

○長谷部座長 岡本委員、お願いします。

○岡本委員 別所委員にお伺いしたいのですが、正直、すごく厳しい安全管理をされているなと、うかがって感じたんですけれども、先ほど連合とのやりとりの中にもありましたように、従業員の方への個々の同意というものは、どのような形でとらえて、多分、労働組合はなかったような気がするので、どのようにとらえているのかなということ。
 それから、やはりプライバシーの問題として見た場合に、これだけの管理をされるということに対して、先ほど性悪説に立つというお話もありましたけれども、どういうふうにお考えになっていらっしゃるのか。
 それから、こういったことに対して違反をされたときの従業員の処罰といいましょうか、対応というものは、具体的にはどういうようなことがあったのか、またはあるのかということをお伺いしたいと思います。

○別所委員 おっしゃるように、私ども会社には組合がありませんので、従業員との話し合いは非常に重要だと思っています。
 これは、今の仕組みを導入するときに、どういうセキュリティーの区分けをして、どういう形でやればいいのかというのは、実は社内でだれかが勝手に決めたわけではなくて、担当のセクションの人たちも集まったプロジェクトで決めております。そこの中で、当時いた人たちがいろんな意見を吸い上げた上で、今の形を決めているというところですので、その当時は、きちんと合意をいただいて、この範囲であればということでスタートしていると思っています。
 ただ、もうその仕組みができ上がって長いので、今はやはり新しく入ってくる方々に、こういうことで、こういう監視がされますけれどもという前提をご理解いただいた上で、労働契約を締結していただくというようなことに、今はなっているというところです。
 それで、当初決めた形から、ほぼ変更はしておりませんので、大幅な変更は、数年前にこういう形を導入して以来、そのままの形を維持しておりますので、もし、また何か大幅な変更があることがあれば、何らかの形で、現場の人たちの声をきちんと吸い上げることをしていかないと、ご理解をいただけないのかなと思っています。
 もう一つは、どう説明しているかというと、先ほど言いましたように、これは会社だけではなくて、働いている人たちを守るための措置でもありますので、何かあったときに全然関係ない人に責任がいってしまうようなことがないように、きちんとした監視措置をさせていただいているという説明は、させていただいています。
 それで、もし、違反が見つかれば、軽いものは単純な注意ですけれども、悪質だったりすると、就業規則の懲戒事由に該当するかというのを、賞罰委員会というのがちゃんとありますので、事情を調べた上で、賞罰委員会を開いて、本人からの事情聴取とか、言い訳を聞いた上で、最終的に懲戒処分にするかどうかを決定しているということをやっております。

○長谷部座長 ほかには、いかがでございましょうか。
 長田委員、お願いします。

○長田委員 別所さんに質問というか、お聞きしたいのですけれども、この利用規約の中に、プライバシーポリシーを入れ込むと、その考え方というのはよくわかったのですけれども、その結果、利用者がプライバシーポリシーを読む機会が減るのではないかという懸念もあるのではないかと思います。
 どうやってプライバシーポリシーというか、全体の利用規約を読んでもらう工夫、読むのは当たり前だけれども、なかなか全部きちんと読めないで、プライバシーポリシーがこの中に入っていることというのはどう知らせているか。
 また、その中でここから、例えばターゲッティング広告のことは、またこちらをと飛んでいくものを、ずっと読ませていくというのは、ある程度工夫がないと難しいではないかと思うのですが、どのくらい利用者が読んでいらっしゃる、きちんと理解していると思っていらっしゃるかを教えてください。

○別所委員 利用規約全般に関しても、できるだけきちんと読んで、全部に目を通していただくのが一番うれしいと思っています。
 つい最近、利用規約のつくり立てを大分変えました。前は、ただ単に順番に書いていただけなんですけれども、それを章立てにきちんと分けて、まず、章立てがわかるようなものを最初のページにもってきて、わかりやすくしましたというような改編を行っています。
 もう一つは、ほかの会社さんもそうですけれども、慣行的には、どこの会社さんもどのページのフッターからも利用規約とかプライバシーポリシーには飛べるようになっていますけれども、そのつくり立ては変えておらず、利用規約をクリックしていただくと、利用規約のトップに飛びますけれども、プライバシーポリシーをクリックしていただくと、利用規約のプライバシーポリシーの頭のところに飛ぶというようなことをやっていて、プライバシーポリシーだけが早く見たい人は、そういう形で誘導しているというところです。
 おっしゃるとおり、わかりやすさもそうですけれども、見つけやすさと、見やすさは確保しなければいけないと思っていますので、いろいろなご意見もいただいておりますので、そういうのを参考にしながらできるだけそういう体制を取っていきたいと思っております。

○長谷部座長 臼井委員、お願いいたします。

○臼井委員 プライバシーポリシーの中に履歴情報の項目がありますね。個人情報と履歴情報と分けられています。履歴情報というのは、どういうふうに使いますよということは書かれているのでしょうか。あるいはそこはどういうお考えですか。履歴情報というのは、Yahoo!JAPANとすれば、自由に使えるとお考えでしょうか。

○別所委員 履歴情報と特性情報という書き方をさせていただいておりますけれども、こちらについても利用目的をきちんと書かせていただいていますので、この利用目的の範囲で使わせていただくということで考えております。
 一番端的なのは、クッキーと呼ばれている情報ですけれども、個人の方を識別できないクッキーであっても、セッション管理のためには必要なものなので、基本的には、そのセッション管理をするため、あるいはセッション管理を超えて、例えばショッピングカートに入れたお客様が、そのショッピングカートがどなたかと結び付くかというのは、クッキーしか手がかりがないので、そのクッキーで結び付けをしたりとか、それから、一部行動ターゲティング広告にそういう情報を使うことがありますので、そういうような使い方ができるようにしているということを表示してあります。
 行動ターゲティング広告については、ここに書き切れなかったので、こちらということで、インターネット上はリンクしているのですけれども、遷移していただくと、オプトアウトができる形にもなっております。

○臼井委員 履歴情報というのは、今後のいろんなビジネスに使えると思うのですが、別所さんのお考えでは、これは個人情報ではないから、いろんな形でどういうふうに使ってもいいものだというふうにお考えでしょうか。

○別所委員 どういうふうに使ってもいいかどうかというのは、かなり難しいと思います。やはり、使っていただくために便利なので使っていただこうと思っているのですけれども、その便利さを超えて、例えばお客様が気持ち悪いなと思われたら、多分、そのサービスは使われなくなりますね。ですから、やはり使っていただく方の気持ちも考えた上で、どこまでだったら許容されるのかということを確認しつつだと思っていますので、無制限に何でも使うことができるというふうには全く考えていません。
 逆に言うと、ビジネスはその辺で、どういう使い方がどこまでできるのかと、今、模索中だという理解でおりますので、模索中のときに、極端な会社が登場して、めちゃくちゃをやらなければいいなというふうには願っております。

○臼井委員 わかりました。

○長谷部座長 いかがでございましょうか。三木委員、お願いします。

○三木委員 お二人への質問なんですが、先ほどの連合の方からのアンケート調査のご報告をいただいたときに、社内ルールが複雑化して判断が非常に難しいというような場面があると。それは、法律よりもむしろガイドラインの課題ではないかというお話があったと思うんですが、それぞれ社内での取組みの中で、そういった課題とか問題意識というのはあるのでしょうか。

○大谷委員 ご質問ありがとうございます。実は、e-learningをした後のアンケートで、社内規程がいつも複雑なので何とかシンプルにしてもらえないかという意見が必ず数名から寄せられて、そのたびごとにそういった方たちとも意見交換して、わかりやすさというのを心がけてはおります。法令とか、ガイドラインの内容というよりは、むしろ、私どもが多数の顧客のニーズに沿って仕事をしていることが社内規程を複雑にしている一因ではないかと思います。例えば銀行の仕事をしていることからすれば、銀行は銀行法に基づく金融庁の監督下にありますし、他方でカード会社の仕事をしていることからすれば、カード会社の仕事については、また、違う行政の関与があったりということで、それぞれの顧客の要請に沿って対応を進めていくと、どうしても取扱情報も多岐にわたりまして、その情報の特性ごとに、その企業の求めるセキュリティー基準というのも多様化してくるということで、それを1つの規程に収めようとすると、どうしても複雑になってくるという事情があるかと思っております。過去にガイドラインの共通化ということについて、少なくとも統一できる部分については、統一していただく試みを、こういった場でも取り上げていただいたことがございまして、現在、各行政機関のまとめられているガイドライン共通事項と、それからその事業特性に応じて異なる部分についてのわかりやすい使い分けというか、示し方が出されてきておりますので、それを反映させて、その社内規定の複雑さとか、形骸化といったことからは、少しでもよりよい方向へ改善できる方向になっているのではないかと実感しております。
 以上です。

○長谷部座長 どうぞ。

○別所委員 社内ルールがかなり複雑でわかりにくいという声は、私どもの社内にもあって、教育をしたり、あるいはその規定の一部を変えたりするたびに、そういう声を聞くことになります。そこは大谷委員がおっしゃったように、社内的にはいろいろな工夫をして、できるだけわかりやすくするように努めているというところです。
 それから、社内規定だけではなくて、先ほど少しご説明し忘れましたけれども、カスタマーサポートの方々が使うツールがかなり細かく分かれています。個人情報の漏えいを防ぐために、これも昔からですけれども、1つの画面に1人のデータしか出ないという構成を取っています。あらゆるデータを1つの画面に出してしまうと、それも漏えいにつながりますので、作業ごとにかなり細かくツールを区分していて、この作業にはこのツールを見ないと、そのデータは見られません。この作業にはこのツールを見ないと、ということなので、ツールの使い分けという日常の業務にも非常に煩雑さが伴っているというのが実情であります。
 それで、一覧の表を見せないのは簡単で、一覧のまま持ち出されたら一番困るから見せないということですけれども、それもやはり複数の利用者からの問い合わせを同時に処理したいという要望にはなかなか応えられないというのが実態でありますし、いろんなレファレンスを取りにくいというのもあります。そこは作業上の負担になっているという実態はありますけれども、基本的には、漏えいを防ぐためにできることはきちんとしておきたいというところです。
 これは、ガイドラインとか法律というよりも、万一漏えいとかということがあった場合の、会社としてのレピュテーションのリスクをどの程度考えることができるかということなので、ガイドラインを守っていましたということが、多分エクスキューズにはならないのではないかとは、かなり思っています。
 やはり個人情報の漏えいのことが、大分メディアで騒がれたときの状況を見ますと、法律を守っていましたとか、法律で定められたガイドラインを守っていましたということだけで、世の中の方々にご安心いただいたり、ご納得いただいたりできるような状況では、現在でもなかなかないのではないかというところは意識しております。
 これが、正しい言い方かはわからないですけれども、ほかの場所でも言っているので言いますけれども、メディアリスクというのがあるのではないかと思っていて、そこをカバーできない限りは、やはり多少煩雑になっても、ある程度の対応を先んじてやって行かざるを得ないのかなというのが、今、考えているところでございます。

○長谷部座長 臼井委員、お願いいたします。

○臼井委員 別所委員にお願いします。6ページに共同利用を行っていないと書かれています。ここで言う共同利用というのは、どういうことを想定して行っていないとおっしゃっているのでしょうか。つまり、共同利用というのは、ヤフーの場合だと、どういうことが考えられるのかという質問でもあります。

○別所委員 逆に言うと、個人情報保護法で言う共同利用という形態を取らなければいけないものが今のビジネスで言うと、ほとんどないのではないかと思っていて、採用していないという実態もあります。
 それから、勿論、1回取得したデータを子会社とかと一緒に使いたいという場面がないわけではないですけれども、その場合も、子会社に情報を渡していいかどうかというのを、今の時点では個別の同意をいただいてやっています。すべてのデータを同時に共同利用するような必要性までは、まだないと思っているためであります。

○臼井委員 わかりました。

○長谷部座長 そういたしますと、そろそろ時間がほどよいころ合いでございますので、なお、ご質問等、ご意見があるかもしれませんが、この程度で、株式会社日本総合研究所、そしてヤフー株式会社に関する質疑を終わらせていただければと思います。
 大谷委員、そして別所委員、どうもありがとうございました。
 それでは、最後に、事務局の方から次回の日程等につきましてご連絡をお願いできればと思いますが、よろしくお願いいたします。

≪3.閉会≫

○原事務局長 どうもヒアリング、ありがとうございました。次回、第5回の専門調査会は、3月15日火曜日の午後1時から行いたいと思います。次回は、関係省庁からのヒアリングに移りたいと思っております。
 事務局からは、以上です。

○長谷部座長 臼井委員、お願いいたします。

○臼井委員 今後のヒアリングの日程というのは、大体決まっているのでしょうか。つまり、どういうところから聞くのかということです。ぼくが属していたメディアでいうと、当然、新聞、テレビ、雑誌からはきちんと聞いていただきたい。つまり、その3者ですね。メディアというふうにひとくくりにしないで、新聞、テレビ、雑誌とそれぞれ違いますので、個々に聞いていただきたいというのを要望しておきます。
 ですから、これまで決まっていれば、どういうものが今後行われるかお聞かせください。

○長谷部座長 決まっているようでしたらということでお願いします。

○原事務局長 当初、ヒアリングを実施するということで、個人情報保護法の検証というところで、当初、予定をしていたところを、今、進めているというところで、関係省庁のところまでがまとまっているというところで、今、メディアからのご要望があったというところ、それから、弁護士会からもご要望をいただいたりしておりますので、今後については、検討させていただきたいと思います。

○長谷部座長 どうもありがとうございます。ひょっとすると、更にご要望があるかもしれませんが、可能な限り対応できればと思います。
 それでは、本日は、これにて閉会とさせていただければと思います。お忙しいところ、どうもありがとうございました。

(以上)