金融審議会金融分科会特別部会・産業構造審議会割賦販売分科会個人信用情報小委員会
合同会議議事録

平成１６年４月２６日

金融庁 総務企画局 企画課
経済産業省 商務情報政策局 取引信用課

○ 藤原小委員長

おはようございます。それでは、定刻になりましたので、ただいまから金融審議会金融分科会特別部会と産業構造審議会割賦販売分科会個人信用情報小委員会との合同会議を開催させていただきます。

本日はご多忙のところご出席いただきまして、誠にありがとうございます。

私は産業構造審議会個人信用情報小委員会の委員長を務めております藤原と申します。前回の合同会議では、金融審議会側に議事進行をお願いいたしましたので、今回の合同会議の議事は、産業構造審議会の側で務めさせていただきます。

まず、今回は合同会議でございますので、信用分野における個人情報の保護等のあり方についてご議論いただくこととしております。

なお、その他の金融分野における個人情報保護のあり方につきましては、金融審議会特別部会単独でご議論いただく予定にしております。

まず、本日の議事でございますが、信用分野につきまして、前回会合におけるご議論などを踏まえ、まずは与信業者等における個人情報の取扱いの実態について現状把握するため、事業者代表の方々からヒアリングを行うということを予定いたしております。ヒアリングにつきましては、後ほど行うことといたしますが、その前に、皆様方ご存じのように、今年４月２日に個人情報の保護に関する基本方針が閣議決定されておりますので、この基本方針につきまして、鶴巻内閣府国民生活局個人情報保護推進室長より、概要をご説明いただきたいと存じます。

それでは、鶴巻室長、ご説明をお願いいたします。

○ 鶴巻内閣府個人情報保護推進室長

ただいまご紹介いただきました内閣府の個人情報保護推進室長、鶴巻でございます。よろしくお願いいたします。

それでは、お手元の資料に即して説明させていただきたいと思います。お手元に、私どもの用意した資料といたしまして、資料１－１、基本方針の概要という資料と、資料１－２、基本方針、閣議決定されたもの本体の２つを配付させていただいておりますが、時間の関係もございますので、基本方針の概要に即して説明させていただきながら、随時、本体の方をご覧いただく形でやらせていただきたいと思います。

まず、この基本方針でございますけれども、ご案内のように、個人情報保護法が、昨年５月に成立いたしまして、施行期日が一部第１章から第３章まで、国の責務ですとか、基本理念、基本方針を定めるべきこと、こういった部分につきましては、公布即施行ということになっておりますが、第４章から第６章まで、具体的には個人情報取扱事業者の義務等にかかわる部分につきましては、来年17年４月１日からということになっております。この全面施行に向けまして、今回、国の具体的に講ずべき措置、これはもとよりでございますけれども地方公共団体、そして個人事業取扱事業者等に取り組んでいただくべきことということで、政府が具体的に国民あるいは事業者の一人一人に要請するという形で、今回、基本方針を閣議決定させていただいたところでございます。

その中身につきましては、大きく８本の柱で構成されております。一番最初に基本的な方向ということで定められております。第１番目の柱、そして、ちょっとはしょりますけれども、資料１－１の２ページ目をめくっていただきたいと思いますけれども、第７番目の苦情の処理、そして８番目のその他の事項、この３点につきましては、横断的な取りまとめになっておりますけれども、それ以外につきましては、基本的に取り組むべき主体ごとに、それぞれの取り組みの方向性を記述するという形になっております。

まず、その１番目、個人情報の保護に関する施策の推進に関する基本的な方向というところでございます。この部分は基本方針はもとより、個人情報保護法のシステム全体の理念、哲学を述べているところでございますが、この基本方針の策定に先立ちまして、国民生活審議会の個人情報保護部会というのを設置させていただきまして、その中で議論いただいてきました。その中で、いただいたご意見の大きなものといたしまして、今回の個人情報保護法制、国民にとって、あるいは事業者にとって初めてのルールの適用であるということで、単に具体的にこうしろ、ああしろというだけでなくて、どういう沿革で、こういうことになっているのか、その考え方はどうなのかということで、背景あるいは基本的な考え方、制度の考え方までさかのぼって書くべきであるというご意見を踏まえて、かなり詳述いたしております。

その柱といたしましては、１つは理念といたしまして、有用性に配慮しつつ、きちんと個人情報保護をするというのが、法の目的ではございますけれども、そのことを具体的に個人情報の保護に万全を期すこと、これこそが個人情報の利用に関する社会の信頼を高めるんだ、そして高度情報通信社会を実現するんだという、その基本的な哲学を書いております。

さらに、こういった個人情報の取扱いというものは、事業者だけではなくて、国、そして地方公共団体も全面的にバックアップしていく必要がございまして、そういった具体的なシステムの実効性を上げていくために、こういった各主体の連携協力が必要なんだということを書き込んでございます。

さらに国際的な話といたしまして、単にナショナルの制度ができた、国の制度ができたということでよしとするのではなくて、１つはこれが国際的な標準でありますＯＥＣＤの８原則を具現化したものなんだということをきちんと謳うということ、さらにＯＥＣＤの８原則のみならず、今後の国際的な制度に関する議論の動向、そういったものと協調しながらやっていくことが必要なんだ、ということを具体的に記述いたしております。

２番目に入りまして、国の措置でございます。国の措置は４つの柱になっておりますが、１つ目は自ら保有する個人情報の保護について、でございます。これは別に行政機関法という法律がございますので、これに則って法律の周知あるいは職員の研修等、具体的なものをやっていくということを記述いたしております。

その次以下が、特に民間部門にかかわるところでございまして、１つが制度の統一的な運用ということで、この個人情報保護法が主務大臣制で、それぞれ事業を所管する各大臣が所管するということになっていることの関連で、政府部内における制度の円滑な運用の仕組みを記述いたしております。

具体的には、１つ、個別の事案が発生した場合には、各省庁が迅速に第４章の規定に基づく措置等の検討を行う。もう一つが内閣府は、ただ単に個別の措置が講じられるというだけではなくて、関係省庁連絡会議というのを設けておりますが、そういったものを活用しながら、一つ一つの対応事例を蓄積して、具体の施策にフィードバックしていくということを記述いたしております。

さらに、国だけでの問題ではございません。地方公共団体との連携が必要である、あるいは事業者等の相談や苦情にも応じていかなければならないということで、各省庁にこの法律に関する窓口を明確化する、ということも記述いたしております。

大きな３番目、事業分野ごとの方針ということでございます。この法律自体がバックグラウンドといたしまして、各分野に共通する必要最小限のルールを定めるものであるという位置づけでございまして、これを踏まえまして、各事業等の分野ごとに、その実情に応じた、よりきめ細かな措置を定めていただく、具体的にはガイドライン等の策定を早急に各省庁は検討するということでございます。既にガイドライン等は、この法律の前から取り組まれているところでございますので、ないものについては、そこを定める、あるいは必要なところについては、この法律に即して見直していただくということを検討するということでございます。

さらに、国会議論の過程で附帯決議もいただいているところでございますが、その中でも、特に医療、金融・信用、情報通信の分野につきましては、個別の別途の措置が必要ではないかというご指摘がございまして、その点を踏まえ、政府といたしまして、早急に検討し、法の施行までに結論を得るということを記述いたしております。

４番目が広報、啓発でございまして、特に新しい制度でございますので、事業者はもとより、国民一人一人にきめ細かに普及啓発していくということを書いてございます。

３番目が、地方公共団体が構ずべき個人情報の保護に関する措置でございます。これも１つ目は国と同様でございまして、地方公共団体のそれぞれの機関が持つ個人情報の取扱いでございます。

次のページ、２ページ目に行っていただきまして、もう一つが民間あるいは住民、国民への支援策ということでございます。地方公共団体の取り組みといたしましては、実際の動きといたしましては、この法律の制定に先立ちまして、先進的な自治体を中心に条例あるいは規則という形で進められてきたという経緯がございます。こういった自主的な取り組みにつきましては、引き続き地域の実情に即した措置として、大変重要であるということを、法律にも書いてあるわけでございますけれども、改めて基本方針でも位置付けるということ。ただ、そうはいっても、事業者の活動、企業活動は全国あるいは国際的にも及んでいくものでございまして、そういったものに配慮して、各自治体の施策の実施に当たっては、きちんと法律あるいはガイドライン等と整合性に配慮するということを記述いたしております。

もう１点が、事業者等に新たに条例等で義務を課すという場合については、なかなか条例の制定権と国の法律の関係ということで、一概にここでどっちが優先するというのが非常に書きづらい、書けないということで、書けることといたしまして、実際にそういった規則、条例等を制定しようとする際には、住民、事業者等にきちんと地域の特性、そしてそれに応じた規則、条例の内容等説明しながら、理解を得ながら進めていくという観点を記述いたしております。

３点目が、具体的な中身というよりも、その進め方にかかわりますが、国と地方公共団体の連携ということで、国の各省庁には窓口を設けるということは、先ほど申し上げましたけれども、地方公共団体においても、特に住民、地元の事業者等の苦情や相談等に応じられるようにきちんと窓口を明確化する。そして、その窓口を活用いたしまして、十分に各省庁と具体の連携をやっていくべきということを記述いたしております。

さらに地方公共団体の権限、各省庁との関係もございます。そういったものにつきましても、この窓口を活用するということと、各省庁に対しましては、地方公共団体におりているということで、自らが引くのではなくて、十分に協議した上で、必要な場合には、自らが権限を行使するということも記述いたしております。

４番目が、独立行政法人等が構ずべき措置、５番目が、４月に法律が施行されましたけれども、地方独立行政法人が構ずべき措置でございます。これはそれぞれ国の独立行政法人につきましては法律が施行されておりますので、国に準じて措置を構ずるということ、地方独立行政法人につきましては、地方公共団体の措置に準じて、地方公共団体の方で条例を定め、適切な措置を構じていくということを具体に記述いたしております。

６番目が、個人情報取扱事業者が構ずべき措置でございます。この法律との関係で申しますと、法律が必要最小限の共通のルールを定めているという関係で、この部分、非常に大事なわけでございます。ただ、基本方針も各分野共通ということで、どこまで記述するのか、どこからガイドラインに委ねるのかというのが国民生活審議会の議論の上でも大きな論点となりました。その点につきまして、考え方を申し上げますと、基本的には共通的なことで、基本的に各事業者が直接実施していただくということはガイドラインの方にお任せするけれども、ひとつ、ＯＥＣＤの原則との関係で、法律の方が非常に抽象的あるいは記述が弱いというふうに考えられます責任の原則の部分に焦点を当て、かつ最近の企業等の情報の漏洩の問題の原因を探っていく上で、特に人的な側面、あるいは責任体制の明確化という問題が挙がってきておりますので、その点について、なるべく具体的に、かつ、こうしろという観点ではなくて、これが重要であるという記述の仕方で書かせていただいております。

その具体的な内容につきましては、本体の資料５の８ページをあわせてご覧いただきたいと思います。中身につきましては、からまでということで、事業者の措置の対外的明確化、そして責任体制の確保、従業者の啓発ということでございます。対外的な明確化という点につきましては、いわゆるプライバシーポリシーとか、プライバシーステートメントというもので、かなり普及しつつあると思われますけれども、そういったものを、今後とも広く策定公表していただき、積極的に自分たちの措置を明らかにする。さらに、今後、法律に基づいて、利用目的の公表、あるいは開示手続、訂正手続というものも実施していただかなければいけないわけですが、こういった手続に関するプロセスについても、あらかじめ対外的に明確化していただきたいということが１点。

それと、若干、個人情報保護法が安全に個人情報を適正に利用するというルールを定める点からはみ出すところでもあるんですが、仮に実際に個人情報が漏洩したという事案が発生した場合の措置といたしまして、二次被害の防止、あるいは類似事案の発生を回避する、そういった観点から、可能な限り事実関係を公表していただきたいということを記述いたしております。

２番目が、責任体制の確保でございます。この点につきましては、外部からの不正アクセス、こういったものの防御対策、こういったものに加えて、個人情報管理者の設置、あるいは内部関係者のアクセス管理、あるいは持ち出し防止策等の個人情報の安全管理策について、きちんと責任体制を確保するということを記述いたしております。

さらに、国民あるいは消費者等からのご意見の中で非常に不安な部分として、最近、官民を問わず進んでおりますアウトソーシング、こういったものにどういうふうに対応するのだという点、これは基本的には委託する事業者がきちんと監督管理するということが原則なわけですけれども、その点についても委託、そして再委託を含めましても、委託契約書の中できちんと明確にするということを書き込んでございます。

３番目が、制度や仕組み、技術を超えて一番大事になるということで、個人情報に実際にかかわる、取り扱うこととなる従業者の啓発の問題を書いてございます。具体的には教育、研修の実施等を通じて事業者の個人情報保護意識を徹底していく、ということが求められる旨、記述いたしております。

７番目が苦情の円滑な処理について、でございます。資料１－１に戻っていただきますと、この点、地方公共団体と国民生活センター、各省庁だけここでピックアップしておりますけれども、苦情の処理につきましては、各省庁、国・地方公共団体だけではなくて、まず第一義的に個人情報取扱事業者に、誠意を持ってきちんと対応していただかなければならないという、そういう努力義務が法律に記載されております。さらに、それを補完する位置付けの制度といたしまして、認定個人情報保護団体の制度についても書かれております。ここで、地方公共団体を取り上げておりますけれども、これは基本的に事業分野にかかわらない、かつ国民あるいは住民、消費者にとって最もなじみやすくて、わかりやすい最後の“苦情の砦”という意味で、地方公共団体の取り組みを特に取り上げてございます。

地方公共団体の取り組みといたしましては、これも地方公共団体の権限の関係で、どこまで具体的に国として書くべきなのかという議論がございまして、特に地方公共団体の組織、予算にかかわる話でございますので、なかなか書きづらいところではあったんですが、実際に制度がうまくいくためにはわかりやすくなければいけないということで、あくまでも要請という位置付けではございますけれども、既存の消費生活センター等を苦情の窓口に位置付ける。そして窓口だけでは個人情報の適正化、あるいは事業者対する支援というのも、あるいは監督というものも動きませんので、個々の地方公共団体において、各部局の連携をきちんと確保していただくということを記述いたしております。

そして、国民生活センター、各省庁といたしましては、まず国民生活センターがきちんと相談員の研修あるいはマニュアルの作成等によりまして、ナショナルスタンダードの確保を図るということ、それと、地方公共団体等に寄せられる苦情について、きちんと整理、分析いたしまして、かつ各省庁にも問題点あるいは新しい動き等フィードバックして、個々の事業分野ごとの施策にも反映するという仕組を記述いたしております。

８番目、最後でございますけれども、この個人情報の保護の分野、情報通信技術、あるいはそういったものを活用した新しいビジネスの創出等に応じて、大きな変化も見込まれるところでございますので、基本方針は、今後の変化に応じてきちんと見直していくんだということ、さらに、この法律に基づいて各内閣府が法の施行状況を取りまとめて報告することになっておりますが、あわせて国民生活審議会の方にもご報告し、フォローアップをお願いするということを定めているところでございます。

私の方からの基本方針につきましての説明は、以上でございます。

○ 藤原小委員長

どうもありがとうございました。

それでは、ただいまの基本方針のご説明につきまして、ご質問、ご意見等がございましたら、ご自由にご発言いただきたいと思います。いかがでしょうか。どうぞ、原委員。

○ 原特・委員

個人情報の関連は、国民生活審議会の方でも少しかかわっておりましたので、同じメンバーということで、ちょっと確認をさせていただきたいんですが、大綱ができるところからかかわってきていて、ここまでようやくたどり着いたという感じなんですが、最終的には個別の分野については、格別の措置を早急に検討し、一定の結論というふうになっているわけなんですが、たしか法律が国会に上がったときは、附帯決議としては、ともかく個別の分野については立法化というふうな話で進んでいたかと思うんですけれども、ここに来て、「格別の措置」というのと「一定の結論」というのは、何か意味があるのかどうか、どういう議論でこの言葉に落ちつかれたのかということを、少し経緯をご説明いただけたらと思います。

○ 鶴巻内閣府個人情報保護推進室長

格別の措置という意味と、個別の法律ということの点でございますけれども、確かに、附帯決議の方では個別法という法律で、ということが書かれておるわけでございますけれども、まさにこちらの金融審あるいは産構審の方でご議論いただいておりますとおり、まだ格別の措置の中身が政府として決まっていない。格別の措置の中身に応じて、それが法制的な法律の措置であるべきなのか、それともガイドラインで足りるのかというが、結局そこまで行かなければ判断できないわけでございまして、政府の出す表現といたしまして、法律ということを今の時点で判断できないという意味で、「個別法」という言葉は使っておりません。ただ、格別の措置というものの中身に応じて、当然、法的な措置、法的の制定あるいは改正とか、そういったものが必要であれば、それも含めてやっていただくという中身の意味でございます。

○ 藤原小委員長

よろしいでしょうか。

○ 原特・委員

こだわってもいけないんですけれども、国会ではああいう附帯決議と、それから今回、国民生活審議会で出された基本方針、これは政府側の考え方ということなんですが、これは並列をするような位置づけになってしまうんですか。どちらが優位ということはないわけなんですね。

○ 鶴巻内閣府個人情報保護推進室長

どちらが優位というものでもないんだと思うんですけれども、附帯決議の方は、あくまでも国会から政府に対していただいたものでございまして、今回の基本方針は、政府は政府として自分自らが決めたということでございます。我々、各役所といたしましては、直接的には閣議決定には拘束されますし、附帯決議はあえて言葉で言えば、尊重しなければならないものという整理だと思います。ただ、附帯決議も、当然、行政府と立法府の関係でございますので、優先するとか、しないとかという問題ではないのかなと、我々は受けとめております。

○ 居戸企画課長

事務局の企画課長でございます。ちょっと補足をさせていただきます。

今、鶴巻室長がご説明になったとおりなんでございますが、資料１－１をご覧いただきまして、基本方針の概要の２の４つ目の「○」の上のところに、「事業分野ごとの方針」とございます。国が講ずべき個人情報の保護のための措置に関する事項の事業分野ごとの方針を、２項目書いてあります。ここを金融の事業分野については、金融庁が、今後取り組んでいかなければいけない。「○」の１つ目が、ガイドライン等の策定、見直しを早急に検討ということで、これはどの省庁も、それぞれの事業分野について検討していくんだというのが１つです。もう一つが、特に適正な取扱いの厳格な実施を確保する必要がある分野については、格別の措置を医療、金融・信用、情報通信等の各分野ごとに早急に検討し、法の全面施行までに一定の結論ということで、ここのところが、今、原委員、お尋ねのところでございまして、ここのところは、まさにこの審議会でいろいろなこれまでの議論とか、ほかも含めたご議論も踏まえて、今後ご議論をいただいて結論を得きたいというふうに考えています。

○ 宮本個・委員

センシティブな４分野についてなんですが、金融・信用以外のほかの分野でも検討なさっているんでしょうか。その経過等、もしおわかりでしたら、どういう方針で検討なさっているか。

○ 藤原小委員長

室長の方からお願いいたします。

○ 鶴巻内閣府個人情報保護推進室長

具体的に格別の措置という形で、各省庁において何らかの措置が必要であるという位置づけで、実際に取り組んでいただいているのは、ここに挙がっております医療、金融・信用、情報通信の３分野でございます。ただ、それぞれガイドラインというのは策定なり、検討していただかなければならないというのは、１つ目の「○」の方でございますので、そちらの方ではきちんとそれぞれの分野ごとに検討していただいているというところでございます。やはり、この３分野は特別に各省庁の意識を持っていただいて検討している分野でございます。

○ 藤原小委員長

宮本委員、今のご説明でよろしゅうございますか。

○ 宮本個・委員

特別に、このような会議等を催されて、何らかの方針というか、進んでいるというふうに、ガイドラインというのは分かるんですが、それ以後の、今おっしゃったような……

○ 鶴巻内閣府個人情報保護推進室長

そういった格別の措置の検討という位置付けで行われているのは、この３分野だけでございます。

○ 藤原小委員長

ほかにご質問、ご意見ございますでしょうか。

もし、ないようでございましたら、それでは、次の議題に移りたいと思います。冒頭申し上げましたように、本日は与信業者等における個人情報の取扱いの実態について現状を把握するため、事業者代表からヒアリングを行いたいと思います。資料２をご覧ください。

本日のヒアリングにつきましては、これは今後の作業上の仮説ではございますけれども、４つ「・」がございまして、まず最初に、個人情報の取得方法、利用の状況等、次に個人情報の第三者提供の方法等、それから個人情報の安全管理措置等、その他苦情処理でありますとか、本人の開示・訂正等の４つを主なヒアリングの項目とさせていただきました。これが今後の、この会議でも重要な論点になろうかと思ったからでございます。

本日のヒアリングの対象として、与信業者の集まりであります３つの団体にお願いをしております。それが資料２にございます３つの団体でございます。

それでは、関係業界の方々から順次ご説明をお願いしたいと思います。まず最初に、クレジット産業における個人信用情報保護・利用に関する自主ルール運営協議会事務局長の安楽様よりご説明をお願いいたします。

○ 安楽様

ただいまご紹介いただきました自主ルール運営協議会の事務局長の安楽でございます。よろしくお願いいたします。

自主ルール運営協議会は、クレジット業界の団体であります日本クレジット産業協会、全国信販協会、それから個人信用情報機関のシー・アイ・シーの３者で、設置しておりまして、その事務局長を私が務めさせていただいております。

本日は、私ども業界の個人情報保護のための取り組みとして、個人信用情報保護・利用に関する自主ルールについてご説明をさせていただきたいと思っております。

資料は、お手元に５つお配りしてございまして、資料３－１というのがございまして、その後ろの方に別添１、別添２、別添３と３点をお付けしております。それから、もう一つは資料３－２がございまして、全部で５点ございますが、一番上の資料３－１に基づいて、あと別添１、２、３を参照しながらご説明させていただきたいと思います。

早速ですが、お手元の資料３－１、「クレジット産業における個人信用情報保護・利用に関する自主ルールの概要について」をご覧下さい。

まず、１ページの自主ルール制定の経緯等からご説明申し上げます。(1)にありますように、クレジット業界におきましては、近年、特に社会的な要請が高まっております個人情報の保護等の考え方を受けまして、個人情報保護法の成立等に先駆け、クレジット産業全体をカバーする自主規制ルールとして、平成13年３月28日にクレジット産業における個人信用情報保護・利用に関する自主ルールを制定し、運用を始めました。

自主ルールの策定にあたりましては、平成10年６月に取りまとめられました通商産業省、大蔵省共同の個人信用情報保護・利用の在り方に関する懇談会の報告書にあります、「与信業者等は、できるだけ早期に自主ルールの一層の整備を図り、そのルールに則った対応を行っていくことが求められるとの提言の趣旨を受けまして、クレジット業界としての検討を行って参りました。

また自主ルール制定以前には、通商産業省から平成９年４月に出されました「民間部門における電子計算機処理に係る個人情報の保護について」の通達に基づきまして、個人情報保護に係るガイドラインを策定して、その保護に努めておりましたが、この自主ルールは、そのガイドラインの考え方なども踏まえつつ、クレジット業界全体として統一的に策定したものとなっております。

さらに、(3)にありますように、この自主ルールの策定にあたっては、ルールの実効性の確保をどのように図るのかという点が大変重要であると認識しております。この点につきましては、先ほど触れました通商産業省、大蔵省共同懇談会の報告書の中でも、業界ごとに明確な自主ルールとしてガイドラインをまとめる際には、実効性の確保が重要であるとのご指摘もありまして、これを踏まえて検討を行ってまいりました。

また、その実効性の確保の観点から、平成13年３月28日より自主ルールの遵守等につきまして、支援や監視などを行う自主ルール運営協議会を設置いたしまして活動を開始しているところでございます。

次に、２ページにあります、自主ルールの主な内容についてご説明いたします。自主ルールの全体像といたしましては、個人信用情報の保護や適正管理等のための措置として、与信業者と個人信用情報機関、私どもの場合は株式会社シー・アイ・シーでございますが、それぞれが遵守しなければならない内容を定めております。

自主ルールの条文につきましては、資料３－２を付けさせていただいておりますので、そちらをご覧いただきたいと存じますが、お時間の関係もございますので、その概要についてご説明させていただきます。

まず１の自主ルールの構成をご覧下さい。自主ルールは、表にまとめさせていただいておりますように、第１条から第38条までの５部で構成されております。第１部におきましては、自主ルールの目的と用語の定義等を定めております。

次にこの自主ルールは与信業者と個人信用情報機関についてのルールでありますことから、第２部におきましては、与信業者等に関する自主ルールを、第３部では、個人信用情報機関に関する自主ルールを定めております。第２部につきましては、与信業者等各社が取り組むべき個人信用情報保護・利用のための措置を規定しておりまして、収集範囲の制限、利用・提供の制限、情報主体からの同意の取得、開示・訂正・削除の請求への対応、情報の適正管理、個人信用情報管理責任者の設置、安全管理対策などの規定を設けてございます。

また、第３部の個人信用情報機関に関するルールにつきましては、与信業者と同様のルールが定められていると同時に、個人信用情報機関が取り組むべき個人信用情報保護・利用のための措置を規定しております。

さらに、第４部につきましては、自主ルールの実効性の確保として、先ほど申し上げました実効性確保の観点から、学識経験者等を中心として構成する自主ルール運営協議会を設置し、自主ルールの遵守等について支援・監視などの活動を行うことを規定しております。

最後に、第５部につきましては、その他として苦情処理体制の整備、自主ルールの改訂などについて規定しております。

続きまして、資料の３ページをお開き下さい。自主ルールの主なポイントについてご説明いたします。自主ルールにつきましては、先ほど申し上げましたように、与信業者に関する部分と、個人信用情報機関に関する部分がございまして、それぞれ、収集範囲の制限、利用・提供の制限、同意の取得、開示等への対応、情報の適正管理等、いろいろな項目が定められておりますが、与信業者と個人信用情報機関の両者において重要な項目である、収集範囲の制限及び利用・提供の制限、同意の取得、開示等の求めへの対応、安全管理措置、実効性の確保の５項目について、どのような内容が定められているのかご説明いたします。

まず、(1)の収集範囲の制限及び利用・提供の制限ですが、基本的な考えとして、個人信用情報の適法かつ適正な収集に努めるために、情報の収集に一定の制限を設けまして、明確化された目的以外での利用は行わないことを求めております。このような考え方を受けて、ルールの規定内容といたしましては、情報の収集は、与信業者等の販売信用取引等にかかる事業の範囲内に限定するとともに、その情報の利用・提供は、収集目的の範囲内とする旨を定めております。

また、原則として思想、信条などのハイリーセンシティブ情報の収集等は行わないこととしております。

次に、(2)の同意の取得につきましては、基本的な考え方として、クレジット業界としては、個人信用情報の収集・利用・提供に際しましては、情報主体が自己の情報の取り扱われ方を理解し、その取扱いに対する情報主体の意思を確認することが必要であると考えられております。こうした観点から、情報主体の明示的な同意を得ることを求めることとしております。ルールの規定内容といたしましては、情報主体から申込書等により、個人情報を収集する場合は、必要事項として、利用目的、個人信用情報機関への情報の登録と利用、第三者提供を行う場合の提供先、及び利用目的、開示等への対応などが記載された書面等をもちまして、明示的に同意を取得することを定めております。

また、与信業者等の販売信用取引等に係る事業の範囲を超えて利用・提供する場合につきましては、その利用について明確に記載した書面等をもって、明示的に同意を取得することとしております。

このため、自主ルール運営協議会といたしましては、平成15年６月に情報主体からの同意の取得についての基本的な考え方を取りまとめるとともに、その考え方を具体的にあらわした個人情報の収集・利用・提供に関する同意条項等のひな型を作成いたしまして、関係の与信業者等に提示し、対応を求めているところでございます。

その概要につきましては、別添１にまとめさせていただいておりますので、ちょっとそちらをご覧下さい。別添１の１ページの中ほどの2.に情報主体からの同意取得についての基本的な考え方について記述させていただいておりますが、情報主体からの同意の取得につきましては、下の四角枠の中の基本原則にございますように、明示的に同意を取得するために、クレジット申込約款、契約約款等とは別に、個人情報の収集・保有・利用・提供に関する同意内容をあらわした書面を提示して交付することとしておりまして、情報主体から同意を取得するための意思確認の方法といたしましては、情報主体の自署・捺印を取得することを原則としております。

また、情報主体に交付する同意内容をあらわした書面には、ご覧いただいております別添１の２ページに記載している条項を同意条項として、盛り込むこととしております。

以上のように、自主ルールにおける基本スタンスといたしましては、個人情報の収集・保有・利用・提供に当たりましては、原則、情報主体からの同意を取得することとしております。

個人情報保護法の考え方には、利用目的を超えて個人情報を取扱う場合や、個人情報を第三者に提供する場合には、同意を得ることが定められておりますが、自主ルールにおいてもいろいろ検討した結果、そのいずれの場合においても同意取得を原則として整理・検討を行ってまいりました。

続きまして、資料３－１に戻っていただいて、４ページをお開きください。(3)開示等の求めへの対応についてご説明いたします。基本的な考え方としては、情報主体からの開示等の求めに対しましては、適切に対応することが大切であると考えております。また、開示の結果、訂正や削除を求められた場合は、速やかに調査し、対応することとしております。具体的なルールの規定といたしましては、情報主体からの開示・訂正・削除の求めに対し、適切かつ迅速な処理に努めることとし、対応窓口の設置など、必要な体制整備に努めること等を定めております。なお、開示等の求めに対しましては、与信業者各社において十分に対応しなければならないことから、今後、自主ルール運営協議会として、開示請求への対応の手引きを策定いたしまして、各社に提示していくことを予定しております。

次に、(4)の安全管理措置について、でございます。昨今、さまざまな業種・業態において個人情報の紛失・漏洩等の事案が相次いで発生し、個人情報を取扱うすべての事業者における、個人情報の情報管理の徹底が求められているところでございますが、クレジット業界におきましても、従来から、情報管理の徹底の重要性につきましては、十分に認識して、その対応策について様々な検討を行ってまいったところでございます。この安全管理対策の基本的な考え方といたしましては、個人情報に係る安全管理措置につきましては、個人情報保護法の要求としたしましても個人情報全般の取扱いにおいて、すべての個人情報取扱事業者が、必要かつ適切な措置を講じなければならないことになっていることから、クレジット業界としても、個人情報の紛失や漏洩、棄損などがあった場合に、情報主体である個人に大変なご迷惑をかけることとなるという考え方に立って、各企業の対応が必要であると考えております。

また、仮に漏洩などの事案が発生した場合におきましても、その被害を最小限に押さえるために、さまざまな対応が必要であると考えております。

このため、具体的なルールの規定といたしましては、与信業者等の個人情報の安全管理に関する措置として、管理責任者を設置し、個人情報の適正管理、漏洩等の防止に関する管理体制、責任体制を確立するとともに、業務委託先の監督、従業者に対する教育、研修活動を実施することなどを定めております。

なお、与信業者が個人情報の安全管理措置を講じるにあたっての指針といたしまして、与信業者等における個人情報の安全管理対策指針を別途策定して、自主ルール運営協議会として関係与信業者等に提示し、対応を図るよう求めております。

安全管理対策指針の概要につきましては、別添２にまとめておりますので、そちらをご覧下さい。別添２の1.として策定の背景等にございますように、クレジット業界では平成13年11月に、与信業者等における個人信用情報保護・利用のための安全対策の考え方を取りまとめましたが、その後、15年５月に個人情報保護法が成立し、安全管理措置、従業者の監督、委託先の監督などについての個人情報取扱事業者の義務が定められたことに加え、昨年の８月には、経済産業省から個人情報の安全管理の徹底についての要請を受けたことから、従来ありました、与信業者等における個人信用情報保護・利用のための安全対策の考え方の内容をより詳細にし、具体的な対応方法等を盛り込んだ新たな与信業者等における個人情報の安全管理対策指針を、平成15年11月に策定いたしました。

その策定にあたっては、自主ルールの内容をさらに深掘りし、より細かく、かつ明確に具体的な措置を規定することを目指して検討を行うこととし、経済産業大臣告示、営業秘密管理指針、日本工業標準のＪＩＳＸ5080、情報セキュリティマネジメントの実践のための規範、ＩＳＭＳ（情報セキュリティマネジメントシステム）適合性評価制度などを参考として、個人情報の安全管理措置として必要な考え方を示すとともに、考え方を実践するに当たっての望ましい目標を提示することを目指しております。

内容といたしましては、２ページ目以降にございますように、安全管理措置、従業者の監督、委託先の監督、危機管理及び危機対応手順、遵守状況の監査の大きく５項目について書かれております。なお、個人情報保護法の条項の内容を勘案して、法の第20条の安全管理措置、第21条、従業者の監督、第22条、委託先の監督により規定されていることを踏まえ、具体的な対応について整理いたしました。それぞれの内容のポイントを申し上げますと、1.安全管理措置といたしましては、与信業者等における個人情報の安全管理のための組織対応、体制整備、個人情報の安全管理のための規定整備、物理的な安全管理措置、技術的な安全管理措置、人的な安全管理措置、法令等の遵守から構成されておりまして、個人情報の安全管理において必要となります措置内容について、具体的に記述しております。

2.従業者の監督につきましては、与信業者等の従業員の監督に係る措置といたしまして個人情報の安全管理措置を周知・徹底するための教育・研修の実施、雇用・雇用契約の管理、事故・違反等への対処に関する必要な措置を講じまして、従業者を適切に監督することについて記述しております。

3.委託先の監督では、与信業者等の委託先の監督に係る措置といたしまして、安全管理確保の観点からの委託先の選定、責任範囲の明確化のための契約の整備等、必要な監督手段としての報告徴収・立入検査等、再委託の取扱いなどの事項に関しまして、必要かつ適切な措置を講じることについて記述しております。

4.危機管理及び危機対応手順につきましては、与信業者等におきまして個人情報の漏洩等が生じた場合に、早急に安全管理対策を見直して再発防止を図るとともに、被害拡大防止のための措置を講じることについて記述しております。

5.基準の遵守状況の監査につきましては、与信業者等が個人情報の安全管理対策に関する監査を実施することによりまして、安全管理対策にかかる内部規定の内容の問題や、内部規定の実施における問題を明らかにして、業務の実態や措置の実施状況を踏まえて、継続的に安全管理対策の見直しを行うことにつきまして記述しております。

次に、資料３－１に戻っていただき、５ページをお開きの上、(5)の実効性確保についてご覧下さい。先ほど申し上げましたように、基本的な考え方として、業界が定める自主ルールの最も重要な点といたしまして、ルールが遵守され、実効性のあるものとすることが必要であると考えております。このため自主ルールでは、その仕組を構築いたしまして実施しております。ルールの規定といたしましては、自主ルールの実効性確保のための具体的な措置として、学識経験者、消費者代表等を中心として構成する自主ルール運営協議会を設置いたしまして、与信業者と個人信用情報機関に対し、中立的な立場から自主ルールの遵守等を支援、監視し、実効性の確保を図ることとしております。

具体的には、与信業者と個人信用情報機関に対し、ルールの遵守状況等に関する報告を求めることや、モニタリングを実施すること、個人情報の取扱いに関する問題等が発生した場合の事実関係や対応策等についての確認を行うことなどがございます。

また、この自主ルール運営協議会といたしまして、「与信業者等における個人信用情報保護・利用のためのコンプライアンス・プログラムの手引き」を作成して、関係の与信業者等に提示し、与信業者及び個人信用情報機関が自主ルールの要求事項を満たしたコンプライアンス・プログラムを策定することを通じて、ルールの実効性の確保が図られるよう求めております。

なお、このコンプライアンス・プログラムの手引きにつきましては、別添３に、その概要をまとめさせていただいております。お時間の関係もございますので、内容のご説明は控えさせていただきまが、後ほどご覧いただければと思います。

最後になりますが、自主ルールとしての個人情報の保護に関する法律への対応について述べさせていただきます。この自主ルールの制定・実施は、平成13年３月28日となっておりますが、個人情報保護法の成立を踏まえまして、平成15年５月に条文の一部追加・修正を行っております。また、今後、個人情報保護法の全面施行に向けまして、必要な自主ルールの条文の一部追加・修正等の検討を行うこととしております。

私の方から説明は以上でございます。どうもありがとうございました。

○ 藤原小委員長

どうもありがとうございました。

それでは、時間の都合もございますので、ご質問等は後で一括して受けさせていただくこととしまして、次に社団法人全国貸金業協会連合会副会長の松阪様より、ご説明をお願い申し上げます。

○ 松阪特・委員

ただいまご紹介にあずかりました松阪でございます。貸金業における個人情報の取扱いの現状等についてご説明させていただきます。私は社団法人全国貸金業連合会の副会長を務めております。個人情報の取扱いのご説明の前に、全国貸金業協会連合会の概要について簡単にご紹介させていただきます。

当連合会の沿革につきましては、お手元に配付させていただきました全金連のご案内の２ページの沿革のところをご覧いただきたいと思います。そこにありますように、貸金業者の自主規制の助長に関する法律によって、昭和48年に設立された社団法人全国庶民金融業協会連合会を前身といたしまして、昭和59年、貸金業規制法と民法に基づいて公益法人として社団法人全国貸金業協会連合会が設立され、現在に至っております。

当連合会の目的でございますが、これは各貸金業協会に関する連絡や調整や指導を行い、その適正な活動を促進することにより、その業務の適正な運営を確保し、もって貸金業界の健全な発展と資金需要者等の利益の保護に当たるとともに、国民経済の適切な運営に資することと定款に定めてございます。

貸金業界における個人情報の取扱いでございますが、残念ながら、この業界におきましても、過去に顧客の個人データが流出し、ご迷惑をおかけしたことがございました。そのような不祥事を深く反省し、再発防止のために努力しているとろでございます。

それでは、お手元の資料をご覧いただきながら、貸金業界における個人情報の取扱いの現状につきましてご説明申し上げます。資料４－１でございます。

まず、個人情報の取得方法でございますが、これは資料の１ページの１の(1)をご覧いただきたいと思います。ここでは、直接的な取得と、間接的な取得に分けてご説明いたします。ここで直接的な取得としておりますのは、業者が顧客から直接に個人情報をお預かりする場合のことでございます。貸付が過剰にならないようにすることは、貸金業規制法や事務ガイドラインにも定められておるところでございますが、利用者が借入の申込を受けた場合、与信審査を行うために、また過剰貸付とならないようにするために、借入申込書の書類に必要な情報を記載していただくのが、個人情報取得の基本的な方法でございます。また、運転免許証や健康保険証など、本人確認のための書類からも、一定の事項について情報を取得することになります。

次に、間接的な取得でございますが、ご案内のように、貸金業界におきまして過剰貸付の防止の観点から、また地域的な面から、全国33の信用情報センターが設けられております。そこでは、貸金業者からの信用情報の報告に基づいて登録し、集中管理されております。信用情報センターに入会するには、原則として貸金業協会に加入していることが条件とされておりまして、この会員となった業者は、そのデータベースにアクセスし、顧客の情報を利用できる仕組みでございます。具体的には、オンラインまたは磁気媒体によって照会し、当該顧客の信用情報を取得するということになります。

次に、利用の状況でございますが、これは資料１ページの１の(2)でございます。主な利用目的は１の(2)のイに挙げたようなものでございまして、まず、与信の判断として利用することが第１の目的でございます。また、与信後には債権回収のための資料としても利用させていただくことになります。

また、先ほど触れました信用情報センターの会員業者であれば、顧客の情報は信用情報センターへ報告し、そこに登録されることになります。また、貸金業者としては、事務の代行を第三者に委託したり、貸金債権を譲渡したり、また、担保を設定したりすることがございます。これらの利用につきましては、契約書の規約に明記した上、契約の際に顧客に理解をしていただく、こういうことになっております。

次に、個人情報を第三者に提供する場合の方法についてご説明いたします。資料１ページの２でございます。第三者への提供は、先ほど申し述べました個人信用情報センターへの報告が主なものでございます。信用情報センターの会員業者は、顧客の同意を得た上で借入申込時、または契約後において、その顧客の氏名、生年月日、住所、借入内容、経済状況、延滞などの情報を取得いたしますが、これをオンラインまたは磁気媒体によって登録しております。

次に、個人情報の安全管理措置等でございますが、これは資料１ページの３でございます。ご説明申し上げます。ここに書いてございますのは、主に大手業者の取り組み例でございまして、システム面でのセキュリティ対策や、また、組織的な対応として統括部所や管理責任者を明確化することなどを実施しております。まず、社員ＩＤやパスワード管理を厳格に行い、個人データにアクセスできるものを制限しております。また、データ取得時においてもログ管理を行い、コンピュータを通した通信記録や操作記録を残すようにしております。例えば、社員のＩＤカードを差し込むことによって、コンピュータの操作が可能となり、また操作の記録が残るようなシステムをつくっているところもあります。

個人情報を取り扱う部屋の入退出管理を厳重に行い、またあわせて個人データにアクセスする社員に対する制限を行い、管理を徹底しております。さらに、個人情報管理に関する規定やマニュアルなどの整備を行い、漏洩の防止を図っております。

次に個人情報の取扱委託及び従業員の監督についてご説明申し上げます。資料２ページの３の(2)でございます。システム開発など実務におきまして個人情報を扱う事務を外部に委託する必要が生じる場合、次のような対策をとっております。まず、委託先の監督につきましては、業者の選択の段階から注意を払い、個人情報の保護水準を確保できる業者を選定することを契約の条件とし、守秘義務や再委託に関する事項、また委託先への立入調査の権利を盛り込んだ、こういった契約を締結することとしております。

従業員の監督につきましては、従業員の人事、教育面や物理面、体制面での整備に努力をいたしております。人事面としましては、例えば機密保持に関する契約書を従業員からとり、また入社時や入社後も個人情報の重要性や業務の安全管理業務について担当業務別、階層別に指導いたしております。また、管理職の全員が法令遵守のため、業務の指導を専門とした社団法人の数カ月にわたる研修を受け、その検定試験を受験し、資格を取得しております。

システムのセキュリティの面におきましては、個々の例を申し上げますと、電子メール送信記録を残すことにより、不正に対する牽制を行い、流出の予防といたしております。また、情報端末機を離れるときは、装置をロックし、他人が操作できないようにするなどの対策をとっております。コンピュータの秘密情報をコピーして外部に持ち出す行為への対策といたしましては、顧客情報のフロッピーディスクへの書き込みを不可能にする措置をとっております。また、携帯電話、パソコン、カメラなどを用いて情報を盗み出すことも考えられますので、個人情報を取り扱う部屋では、これらのものの持ち込みを禁止いたしております。

このほかに、いろいろな面で管理を厳しくいたしております。文書やコピーやファクスを利用した流出にも対策を立てております。コピー機については、使用履歴を管理し、また、外部へのファクス送信については送信先を固定し、送信履歴を管理しております。組織面でも、コンプライアンス違反や情報漏洩などの疑いのある事実についての報告を受けるための社内ホットラインを設立したり、情報管理を含めたコンプライアンスを統括する部所を設置したりするなどの対策をとっております。

次に、資料２ページの４でございますが、その他情報の開示・訂正等につきましては、本人または一定の代理人からの請求に基づき、個別に対応しておりますが、さらにフリーダイヤルやお客様相談室などを設置することにより、個人情報の開示や苦情などにつきましても気軽に相談ができるよう配慮いたしております。

以上、簡単に貸金業における個人情報の取扱いの現状についてご説明いたしました。

皆様に配付いたしました資料の中に、「貸金業にかかわる個人データ保護のためのガイドライン」というのがございます。これはＯＥＣＤの理事会勧告及びＥＵの指令に基づきまして、信用情報を取り扱う貸金業界としての指針を、平成11年に定めたものでございますが、今般定められた個人情報保護法に準じたルールづくりを行うために、現在のところ検討会を当連合会に設置し、活動を始めたところでございます。

以上が貸金業における個人情報の取扱いの現状でございます。これをもって私の説明を終らせていただきます。

○ 藤原小委員長

どうもありがとうございました。

それでは、全国銀行協会業務委員長、佐々様の方からご説明をお願いいたします。

○ 佐々特・委員

ＵＦＪ銀行の佐々でございます。本日より、みずほ銀行、渡辺氏に代わりまして当部会の委員となりました。銀行業界に籍を置く者として金融機関の実務上の観点から意見を述べさせていただきたいと考えております。どうぞよろしくお願いいたします。

本日は、早速、特別部会の場で、銀行界の実情等につき申し述べる機会を頂戴し、まことにありがとうございました。お手元の資料に従いまして、銀行における個人情報、とりわけ与信業務における個人情報の取扱いの現状等につきまして、ご説明を申し上げます。

本題に入ります前に、若干お断り申し上げます。本日はローンなど貸出に関連した取扱いを中心にご説明申し上げますが、私ども銀行は、皆様はよくご存じのとおり、預金をお預かりして貸出を行い、また、預金口座を通じて各種の資金決済も行っております。これらの業務は相互に関連し、密接不可分の関係にございます。個々のお客様と銀行の関係についてみましても、預金、貸出など多様なお取引を一体的に行っておりますため、貸出における関係のみでは論じ切れないところがございます。したがいまして、貸出だけでなく、預金等の業務にも触れざるを得ない点を、あらかじめお断り申し上げます。

また、各銀行における具体的な取扱いは必ずしも一様ではございません。本日はＵＦＪ銀行という個別行の事例を用いましてご説明してまいります。どうぞよろしくお願い申し上げます。

さて、初めに個人情報の取得の実情についてご説明いたします。貸出業務において個人情報を取得する手段や方法は、大きく分けて５つございます。申込書や契約書など、お客様ご本人に書面等にご記入いただく方法、２つ目が申し込み時の面談などで行員がお客様からお聞きする方法、３つ目が運転免許証など個人情報が記載された資料や、そのコピーなどをお客様からご提出いただく方法、４つ目、登記簿謄本の閲覧など第三者からの情報を取得する方法、さらに例えば、いついつに返済のための入金があった、といった各種の取引情報も入手しております。

例えば、個人のお客様へのローンの審査に際して取得する情報は、お手元の資料に、弊行の住宅ローンの一例をお配りしております。ご参照いただきたいと思います。住所、氏名から始まりまして、購入物件の明細や年収など、審査を行うに必要な情報をご本人から取得しております。第三者からの情報では、登記簿謄本、住宅地図などの公開されている資料を入手しております。そのほか、貸出業務に関連する第三者情報として、信用情報機関に登録されている個人信用情報がございます。最近は専らローンの保証会社が情報を取得し、銀行は保証諾否の回答だけを保証会社から受領する方法が主流でございます。このため、銀行が自ら個人信用情報を取得するケースは少なくなってきております。

取引情報につきましては、初めに申し上げましたように、銀行は預金・貸出業務を一体的に行っております。具体的には、同じ顧客番号のもとで預金も貸出も管理しております。この顧客番号をカスタマー・インフォメーション・ファイルを略しまして、ＣＩＦ番号と呼んでおりますが、あるＣＩＦの残高や最近の取引はどうかを見にいけば、預金も貸出もあわせて閲覧できるような仕組みになっておりますので、すべての取引情報を取得できます。

次に、情報の利用の実情についてご説明いたします。ローンに関連した情報は申込段階での審査、契約後の日常の管理、返済手続、延滞等の場合の回収業務、他の商品のご案内、マーケティングのための分析などに利用しております。

まず、審査の段階でございますが、ローンの申込に際しましては、申込書に審査に必要な項目を記入していただき、情報を取得しております。ただし、個々の情報をどのように利用するか、例えば、ある数値が幾らであったら審査にはどう影響するのかといった審査基準の詳細は公開しておりません。これらの基準は与信ノウハウそのものだからでございます。実際の審査におきましては、従来は、お客様の収入から予想される返済余力と、月々の返済額との比率を見て妥当性を判断するといった手法がございました。現在では統計的な手法も用いております。例えば、過去の融資実績から、さまざまな属性情報等を用いてグループ分けをし、そのグループごとの延滞発生率を算出しておき、今回、お申込のお客様のデータと比較してみるといった審査手法でございます。

次に、ご契約後の管理業務です。貸出と預金は同じＣＩＦのもとで一体管理しており、ご返済は預金口座で行います。したがいまして、定例の返済、住所等の変更手続など、通常時の業務は、すべて一体的に情報を利用しながら行っております。また、返済が遅れた場合の督促に際しても、入金状況を確認の上で行いますし、例えば契約期限の到来したカードローンの継続審査にも、入金状況や残高などの預金情報を利用しております。

また、ローン関連情報は、預金等の業務のセールスにも利用しております。例えば住宅ローンをお申込みのお客様は、新生活を始められるに際して、電気・ガスなどの公共料金の自動引落のニーズもおありのはずです。そこで、住宅ローンのご契約後には、同じ預金口座で自動引落ができることをご案内しております。あるいは、ローンを完済されたお客様の場合には、それまで月々のご返済に充当していた金額のゆとりがあるはずなので、例えばお子様の結婚費用など、目的を決めた積立預金はいかがですか、とお勧めするような場合もございます。

総合金融サービスの一環としまして、各種サービスに関するダイレクトメールなどによるセールスも幅広く行っております。ダイレクトメールをわずらわしいと受けとられるお客様もおられますので、弊行では従来からダイレクトメールの中止のお申出を店頭窓口、フリーダイヤル、インターネットで受け付けており、お申出のあった方へは、以後ダイレクトメール等を送らないようにしております。

以上のように、個人情報に関しては、適切な取得と利用に努めております。これまでは利用の目的の明示は一部でしか行っておりませんでした。ただ、取得した情報は預金、貸出を含めた銀行業務にしか利用しておりませんし、そのように銀行業務でのみ利用することにつきましては、お客様にも十分ご理解いただいてきたものと存じております。例えば申込書記入等に際しまして、利用の目的は何であるかという趣旨のお問い合わせを受けたことは、これまでほとんどございません。逆に、まだまだ銀行のサービスのレベルについては不満やお叱りを頂戴することも多いのが実情でございます。むしろ取引している銀行には、さまざまな情報があることを前提として、最適の商品、サービスをきめ細かく幅広い分野で、かつタイムリーに提案することを求められておるものと認識しております。ワンストップ化を目指して規制緩和が進められてきていますが、お客様をよく理解し、お客様の状況にあわせて、最適のサービスを提供していくことが大切であると考えております。こうした現状認識をベースに、利用目的の明示については検討をしていきたいと考えております。

続きまして、個人情報の第三者への提供についてご説明を申し上げます。貸出で取得した個人情報は、あらかじめ同意を得た上で、業務上必要な情報を第三者に提供をしております。具体的な提供先は保証委託をしている信用保証会社、ローンの提携企業、生命保険会社、損害保険会社などでございます。なぜ提供の必要があるのかと申しますと、信用保証会社については、当然ではございますが保証業務に必要であること、提携企業については、利子補給等の事務を行う上で必要であること、生命保険会社、損害保険会社については団体信用生命保険や、所得補償保険の保険金請求に必要であることなどが、それぞれの提供の理由でございます。お客様からの同意の取得は、これら第三者へ情報提供すること、及びその目的を明示した申込書等へ記名・押印をいただくことなどで行っております。

このように、第三者提供につきましても、適切に行うように努めておりますが、今後、法律施行までに詳細を再確認していく必要があると考えております。

なお、銀行が持株会社による組織形態に変わったことなどから、お客様からは時々グループ内で同意なく情報を利用しているのではないか、との問い合わせをいただくことがございます。ＵＦＪ銀行で口座を開設したら、グループ会社であるＵＦＪつばさ証券からダイレクトメールが届くのではないか、といった趣旨のお問い合わせでございます。しかし、金融持株会社及び傘下子会社の間であっても、お客様の同意なく個人の情報をやり取りすることはございませんので、念のため申し上げておきます。

続きまして、個人情報の安全管理措置についてご説明申し上げます。第１に情報漏洩防止の実情について申し上げます。業務上入手した個人情報は、すべて社内限りでの扱いとすることを基本ルールとし、情報漏洩の防止に努めております。やむを得ない事情により個人情報が記載された用紙などを社外へ持ち出す場合は、管理者の事前承認の上で、記録簿に記録をした上で持ち出すなどのルールを制定しております。お借入残高などの主要な顧客情報、特に勘定にかかわる部分については、社内のオンライン専用端末でしか参照できない仕組みになっております。また、オンラインの専用端末や行員が利用するパソコンは利用が必要な者にのみ、データベースへのアクセス権限を付与するとともに、ＩＤ・パスワードにより、使用者を特定できるようにしており、第三者による不正アクセスを防止しております。

また、個人情報がフロッピーディスクなどの媒体を通じて外部へ持ち出されることを防止するため、フロッピーディスク、ＣＤ-Ｒなどの媒体の使用については原則禁止としております。業務上、真にやむを得ない場合には、パスワードなどでロックして作成の上で管理簿に記入し、管理者が事前承認したものに限り、使用可能としております。

さらに、インターネットメールを通じた情報の外部漏洩を防止するため、個人情報をインターネットメールで外部に送信することは厳禁としております。疑わしいメールについては、送信時にブロックがかけられ、各セクションに配置されている管理者の了解を得られなければ、ブロックが解除されない仕組みになっております。すべてのメールが記録・保存され、管理者による事後チェックが可能となっております。

これら一連の情報管理については、社内の各部店ごとに管理責任者を任命し、管理ルールが個々の拠点において徹底される体制を整備しております。

次に、外部委託についての実情を申し上げます。業務の一部を外部委託する場合、一般に社内で行う場合に比べて、オペレーショナルリスクの管理が難しくなります。リスクが増大することを認識した上で、外部業務委託にかかる管理基準を設け、厳格に運用しております。具体的には、まず外部委託先の選定に当たって、委託先企業が弊行の管理基準を充足するレベルで業務を運営することが可能であるかどうかを、事前に調査の上、選定いたします。業務委託開始後も委託先の健全性や信用力などを定期的に確認しております。業務委託に関する契約書には、守秘義務の規定のほか、委託先による監査結果を当行が把握し得ることを盛り込むこととしており、常に委託先の業務運営状況を確認できるよう、契約上の手当を行うことに努めております。

また、業務の委託元である社内の担当部には、定期的に委託先を訪問するなどして、業務の実態を把握し、社内の管理部門に報告することを義務づけております。

続きまして、従業員の管理・研修の体制についてご説明申し上げます。まず、体制面では、各部店にセキュリティ管理者、情報・文書管理責任者といった各種責任者を任命しております。現場でのルール遵守を徹底する役割を担う、これらの責任者には、本部管理部門による定期的な研修を実施することで、責任者としての役割の認識と具体的管理手順の浸透を図っております。

個々の行員につきましては、派遣社員等も含めて、入行時にコンプライアンスマニュアルなどにより、守秘義務の重要性について研修を受けます。また、半年ごとに、通達により管理ルールの再徹底を図っているほか、半年に一度以上あるコンプライアンス研修でも、最近の他社での情報漏洩事例などを用いて研修を行っております。さらに、随時、本部からセキュリティ管理に関する注意喚起のメール・ニュース配信などを通じて、セキュリティに関する知識の習得と、遵守すべきルールの徹底を図っております。

これまでも、社内のルールに基づいて情報の管理が適正に行われるよう努めてまいりましたが、にもかかわらず、まことに残念ではございますが、行員の不注意などにより、情報が外部に漏洩した事例が皆無ではございません。銀行ではそのようなことはあってはならないと認識しておりますが、今後とも研修などを通じて、行員一人一人の情報管理意識のさらなる向上を図り、ルールを徹底していく所存でございます。

最後に、開示・訂正及び苦情処理についてご説明申し上げます。まず開示でございます。個人情報全般を開示するということは、これまで行っておりません。しかし、銀行では伝統的に、預金の残高証明書や住宅ローンの年末残高証明書など、各種証明書の発行業務を従来から行っております。これもお客様ご本人からの請求に応じて、お客様の情報を書面でお渡しするという点で、一種の顧客情報の開示でございます。残高証明の発行を例にとりますと、開示する情報が正確であること、開示を本人に対して行うことが何よりも大切であると考えております。例えば、何年も前の取引データが必要な場合には、当初の伝票を倉庫から取り寄せるなど、開示までに時間がかかるケースもございますが、その点については、お客様もご納得いただけるケースが多く、スピードよりも正確性、決して間違えないという慎重さが大切であると考えております。

情報の訂正については、銀行が誤った情報を取得するというよりは、オペレーションミスで誤って登録してしまった情報を発見して訂正するという事例が、まずあります。当然、発見の都度、速やかに訂正しております。訂正で最も多いのは、住所変更の類いでございます。お客様には転居の都度、速やかに届出をいただくようお願いをしておりますが、特に預金取引においては、お客様側も特にご不便を感じないということから、届出が長期間、出されないというケースも少なからずございます。訂正においても、ご本人からの申し出であるかどうか、正しい内容であるのかの確認が何よりも大切であり、決して他人からの変更を受理してしまうようなことがないように努めております。

以上のように、銀行は残高証明や住所変更といった事務手続を従来から行ってきております。今後についても、従来からの事務手続を工夫することで、本人からのお申出に対応した正しい開示や訂正ができるのではないかと考えております。

ただ、このたびの法令では、代理人からの開示請求に応じなければならないこととされました。過去には、預金残高の情報を代理と称する方も含め、例えば親族など、ご本人以外の方に開示し、トラブルに発展したケースもございました。このため、残高等の開示は、原則ご本人様のみに対して行ってきておりました。正直なところ、今後の対応には苦慮しているところでございます。本人確認は非常に大切ですので、申出人が正当な代理人かどうか、本人の意向はどうかなどについて、どうやって確認して開示するかなど、実務的には詰めなければならない点があると考えております。

苦情処理につきましては、通常は、まず苦情を受け付けた支店で対応いたします。その後、本部に苦情やトラブルの情報を一元的に管理する専門部署がございますので、そちらに必要な情報を集約して対応しております。今後の個人情報全般に対する苦情等につきましても、同様に本部の専門部署にて対応をしていく体制を継続していく予定であります。

以上、銀行での個人情報の取扱いの現状について、ＵＦＪ銀行の一例をご説明申し上げましたが、最後に銀行界としての個人情報保護に関する、これまでの取り組みと今後についての考え方について、一言申し添えさせていただきます。銀行業の特徴として、個人情報保護法の制定以前から守秘義務を強く意識した取扱いを行ってきた経緯・伝統がございます。昨今のＩＴ技術の進展などにより、銀行界としてもセキュリティのレベルをこれまで以上に向上させ、個人情報の保護に取り組む必要があることは言うまでもございません。銀行は、これまでも自主的に工夫を重ねて、情報の保護に努めてまいった経緯もあり、これまでの取り組みをベースに、今までのやり方を再確認することが、今後の対応の中心になると考えております。

一方、守秘義務とは少し観点の異なる開示などの新しい論点については、今後、具体的な検討が必要になってくると考えております。今後につきましては、個人情報保護の重要性に鑑み、法律の遵守はもちろんのこと、『業界自主ルール』の策定など、銀行界としての自主的な対応にも注力するなど、個人情報保護に対して前向きな取り組みを促進していく所存でございます。その中でも冒頭に申し上げましたとおり、銀行取引は預金・貸出・為替などが相互に密接に関連して成り立っているものでございまして、貸出のみをくくり出して議論することは、顧客利便性を失う結果にもなりかねません。個人情報の保護と活用のバランスをとっていくことが大切であると考えております。

また、現在は、持株会社傘下の企業間では、明示的な同意なしには顧客情報の相互提供は行っておりません。ただ、米国の事例によりますと、総合金融サービスを提供するというメリットをより重視し、情報の共有に関し、一定の柔軟性が確保されております。金融制度の国際的な整合性という視点からも、検討が必要な点ではないかと考えます。

プライバシーの保護を含めた個人の権利・利益の適正な保護を十分に意識しながら、顧客サービスの質の向上とのバランスを考慮した議論を行ってまいりたいと考えております。

ご清聴ありがとうございました。

○ 藤原小委員長

ありがとうございました。

それでは、ただいまの３人の業界関係者の方からのご説明につきまして、ご質問、ご意見等がございましたら、ご自由にご発言いただきたいと思います。どなたからでも、どうぞ。

○ 池本個・委員

池本と申します。

それぞれのところで何点かあるのですが、まず、クレジット産業分野で、平成13年から自主ルールの策定と運営協議会を設置されたということで、ちょうど２年たつことになります。その運営協議会では、いわばこの自主ルールの運用状況の監視も行うというふうになっているようですが、この２年間で具体的な苦情がどのくらい上がり、その中でいわゆる漏洩、あるいは目的外利用という問題ではないかというふうに把握されたものが、どのくらいの件数にのぼるのか。あるいはそういうものを調査して、どういう部分が課題なのか、いわば自主ルールの徹底状況のウイークポイントというのですか、そういうところはどういうふうに議論されておられるのか、という点をお伺いしたいと思います。

次に、貸金業の分野については、資料の中で、資料４の……

○ 藤原小委員長

申しわけございません、１点ずつ切っていただけますか。

○ 池本個・委員

わかりました。

○ 藤原小委員長

まず、クレジット産業の方に、自主ルール２年間の苦情処理運用の実績を中心にしたご質問だったと思いますが。

○ 安楽様

今、ご質問ございましたような点について二、三申し上げますけれども、自主ルールは平成13年の策定から、ちょうど３年強たっておるわけでございますけれども、その間、いろいろ事例があるわけでございますが、一言申し上げますと、平成13年３月にスタート以来、まだそこで 100％は実は完成していなくて、細部について、さらに補完して、完成するというところを目がけてやっているというプロセスでもあったわけでございます。しかし、その間も活動期間ということで、自主ルール運営協議会で、いろいろフォローはしてきております。それで、一応、新聞情報その他を通じまして把握した件で、漏洩事件的なもの、それから当業界に関係があるものというので大体勘定してみますと17件という数字がございまして、完全にこれがすべてを網羅しているということではないのですが、そういうものを把握して、そういうものにつきましては、その事案に関係した企業の方から、すぐに連絡あるいはご報告などもありまして、ご当局の方にも当然あると思いますけれども、自主ルール運営協議会の方にもご報告をいただいて、それについての原因分析とか、あるいはいろいろなアドバイスができれば事務局でやっているということでございます。そしてまた、その中から問題点というか、そういうものが特にあるというものについては、運営協議会の方の会合におきましても議論して、どういうふうに対応をしていくかということをやっているところでございます。

今までのところ、実効性の確保ということで、ちょうど、今、それを積み上げて形をつくり上げつつあるところでございまして、これができ上がりますと、きちんとした形で、すべてが、どこをどうしていくかということにはなっていくわけでございますけれども、現時点では今のような状況でございます。

○ 藤原小委員長

では、池本委員、続いてどうぞ。

○ 池本個・委員

恐れ入ります。それでは、次に貸金業の分野で、資料４－１の第３項で、安全管理措置等というところの説明で、主に大手業者についてということで説明をいただいたのですが、貸金業協会の加盟業者数というのは 9,000余りあるというふうに資料に書いてありますが、こういった安全管理措置を、ある程度、設定されていると思われるのがその中で、何社くらい、あるいはどのくらいの割合を占めるというふうに受けとめればいいのかという点が第１点。

それから、２点目は、先ほどのクレジット業界分野と同じような質問ですが、この間、全金連で、そういった苦情の申し出や漏洩、目的外利用だということで把握しておられるものがどのくらいあり、それを原因の調査、検討ということで、どういうふうになさっておられるのかというあたりの実情をお伺いしたいと思います。

○ 藤原小委員長

どうぞ。

○ 松阪特・委員

安全管理の件について、でございますが、これは主に大手業者についてのご報告をいたしました。しかし、業者ごとに、いろいろ異なりますので、後日、よく確認いたしまして、まとめましてご報告をいたしたいと思います。

それから、各業者についての苦情でございますが、これは専ら各協会、47都道府県に１つずつの協会がございますが、そこでもって苦情処理委員会というのがございまして、その窓口がございます。そこで受け付けておりますが、これも全国的にどの程度あるかということは、本日のところ資料を持っておりませんので、集計いたしまして確実な資料を後日提出したいと、このように思っております。

○ 藤原小委員長

どうもありがとうございました。

今の点に関連してですけれども、割合だけでも、数字だけでもわかればお教えいただきたいのですが、 9,000のうち大手とご認識されているのはどのくらいの数でしょうか。

○ 松阪特・委員

大手業者でございますか。

○ 藤原小委員長

はい。

○ 松阪特・委員

大手業者というのは６社でございます。これも、その下側のところに準大手、中堅というような形で、業界内では区別されておりまして、どこで線引きして、大手というのは一番トップクラスで６社ということでご認識いただければと思います。

○ 藤原小委員長

ありがとうございます。

池本委員、銀行業界について、簡潔にお願いいたします。

○ 池本個・委員

恐れ入ります。銀行業界については、ＵＦＪ銀行での例ということでご紹介いただいたのですが、実は、先ほど、２業界と同じような質問をしたいわけなんですが、個々の銀行としての苦情受付や、そういう対処ということとは別に、それを銀行業界全体としてどういう問題がある、どういう漏洩事件の問題があり、そういう事案を把握して調査をするというような体制があるのかどうか。もしあるとすればそれで、ここ数年でどのくらい件数があるというような把握をされているのか、ということをお伺いしたいと思います。

○ 佐々特・委員

個別行としては、どのくらいの苦情があるのかというのは当然つかんでおるわけですけれども、銀行協会としては、各地に銀行よろず相談所というのがございまして、そこで受け付けております。ただ、個別行を集計するということではなくて、個々の拠点で受け付けているのがどのくらいかという数字はもちろんございますけれども、個々を足したら幾つになるかというのは、手元にはございません。

○ 関特・部会長代理

個別のことではないので、今、お話を伺っていて、こういうふうにやっているというお話があって、よくわかったんですけれども、業界委員からの問題点というか、論点というものをどんなふうにご認識いただいているのかというプレゼンテーションは、若干の佐々さんのお話はあったと思いますけれども、全くなかったので、こういう問題について業界自身がこういうふうにやっている、それで十分だというならそれでいいんですけれども、自己評価のようなものを含めて、どういう問題点や論点をご認識されているのか、ぜひプレゼンテーションいただきたいなと思ったわけであります。

○ 藤原小委員長

わかりました。ひとまずご意見として承っておきます。

今松委員。

○ 今松特・委員

時間がありませんので１点だけにしておきます。銀行業界、ＵＦＪ銀行の実情については、これでいろいろわかったわけですけれども、ではガイドライン等々含めてこれから業界としてどうしていくかというのは、当然のことながら重要な問題になってくると思うわけです。そこで「おわりに」というところで全体的なお話としてはされたわけですけれども、例えば信用情報の取得利用とか、これについて一定のルール的なもの、つまり、先ほど明示的なものを銀行としてつくりたいというお話は伺いましたが、そういうところについての検討、あるいはいろいろな意味で、そこから先、２、３、４、５と、これについて、今、全銀協なりとして検討されているのかどうなのか、そこをほかの業界の場合は業界としての話ということでされたわけなので、そこについて、今も検討されているのかどうなのかということだけ、ちょっと教えていただければと思います。

○ 佐々特・委員

全銀協として、当然この問題については検討しておるところでございます。

○ 藤原小委員長

それでは、まず原委員からということでお願いします。

○ 原特・委員

２点なんですけれども、今、今松委員の方から発言が出たのと、多分重なるんだと思いますが、１つは銀行協会に対してなんですけれども、先ほど通帳の預金の残高とそれからローンの残高を同じ顧客番号で管理をしています、というふうにおっしゃられて、確かに、私、住宅ローンを借りていて残高不足をしたら、すぐにもう一方の方から個人ローンをお借りになりませんか、というのが来まして、ものすごく連動しているんだなというのがわかって、びっくりしたんですけれども、例えばローンのところはそうであったにしても、今、すごく個人ローンを手がけようというふうになさっていらっしゃる。それから、銀行では、保険の窓口販売が始まろうとしているということで、銀行の業務自体は非常に大きく変わろうとしている中で、現状でのご説明だけではなくて、これからについて、どういうふうにお考えになっていらっしゃるのか、ということもお聞きしたかったということで、今松委員がご発言なさったとおりにちょっと思っておりまして、もう少し、今、検討されている状況も、また改めてお聞きしたいと思います。

それから２点目は、貸金業、それからクレジット産業、両方にかかわると思いますが、４年ぐらい前に、テラネットの話をしておりました。テラネットで、これは個人信用情報機関になりますけれども、ホワイト情報との交流ということで、残高ですとか、それからクレジットの利用高ですとか、こういったホワイト情報的なものも信用を供与するときに、参考のためにということで流通をさせるべきかどうかというような検討を、４年ぐらい前ですか、大きな問題になりました。ここについては、今、テラネットはもちろん稼働しておりますけれども、どのように考えていらっしゃるのか、お聞きしたいと思います。

○ 藤原小委員長

先ほどの関委員や今松委員とも共通する問題意識であると思いますが、答えられる範囲ということで結構でございますので、個別の論点は、また今後ということもございますでしょうから、お願いしたいと思います。

○ 松阪特・委員

テラネットについて申し上げます。現在のところ、引き続いて、そういったことを、今、検討中でございます。今日はその資料を持ち合わせておりませんので、聞くところによりますと、後日、情報センターのヒアリングがあるとか聞いておりますので、その場で詳しくご返答いたしたいと、そのように考えますが、よろしゅうございますか。

○ 藤原小委員長

原委員よろしいでしょうか。

○ 原特・委員

はい。

○ 藤原小委員長

それでは、森崎委員、お願いいたします。

○ 森崎特・委員

２点ございます。まず１点は、安楽さんのご説明の中で、情報主体からの同意取得のご説明で、「原則として」ということを何回かおっしゃっているんですが、原則としてということになりますと、原則から外れるものがあるのかどうかということです。配付されました資料３－２の自主ルールをざっと見ましたところ、そういう言葉はないんですけれども、原則としてというご説明をされたご趣旨はどういうことなのか教えていただきたい。

それから、２点目は、佐々さんに対してお伺いしたいんですが、現在、銀行等による保険商品の販売に関連いたしまして、弊害防止措置として非公開情報保護措置というのがございますが、これは保険についてのみの特別措置ということと理解をしております。この措置につきまして、銀行の方々からいろいろ伺いますと、保険販売は障害になっている、しかも過剰規制ではないかということと、それから、個人情報保護法の施行に伴いまして“屋上屋”ということになるのではないか、というようなご意見を聞いておりますけれども、もし、この場で何かご意見をお聞かせいただければ、していただきたいというふうに思います。以上、２点です。

○ 藤原小委員長

まず第１点は、たしかオンラインのところでも言われましたけれども、「原則として」という言葉が規定との関係でどうなっているかというご質問です。いかがでしょうか。

○ 安楽様

「原則として」という言葉が出ていますけれども、その考え方は、要するに書面主義で、きちっとした同意をとるということが基本的な考え方になっておりまして、そういう意味で、「原則として」という言葉を入れております。しかし、例えば電子商取引など特殊なものといいますか、そういうものについては書面で同意をとるというのはちょっと違ってきますので、そのあたりについてはどういう形でとるかということを、今、いろいろ工夫をしつつあるわけでございますけれども、書面主義に若干、例外というほどではないのですけれども工夫が要る部分があるわけでございます。しかし、同意ついては、常に取得するという意味でございます。

○ 藤原小委員長

よろしいでしょうか。

○ 森崎特・委員

はい。

○ 佐々特・委員

保険につきましては、現在やっているのは極めて限られた保険をやっているわけでございまして、これにつきましては、お客様の同意をとった上で販売している。保険も売りたいんですよ、というのを明確に意思表示をしてやっている、ということでございます。銀行業界の方から、現在の規制が過剰規制ではないかという部分というのは、もちろんあるんですけれども、この場で言うのは、部会が違うような気がしますので差し控えさせていただきます。

○ 藤原小委員長

そのほかに……

○ 和仁特・委員

すみません、これは３つの業態全部に共通する話ですが、まとめて佐々さんに伺いたいんですけれども、先ほど銀行持ち株会社といえども個人情報に関しては情報の移転に関して同意をとる、とおっしゃっていますけれども、銀行持ち株会社は経営管理しかしないのが普通なんですが、その関係でも必ず同意をとるべきだというふうなお考えなんでしょうか。要するに皆さんのほかの業態では 100％親会社に一体どうやって情報を出していいのだという、そういう話なんですけれども、しかも、要するにリスク管理とかそういうふうないろいろな問題が出てくると思うんですが、その関係においても、要するに単なる第三者と、それから親会社あるいは持ち株会社、それとの間での情報の出し方に関して、何らかの区別を設ける必要はないか、あるいはそういうふうな、いや、それはみんな第三者全部、軒並み同じに同様のベースで行くのだというお考えなのか、その辺をちょっとお聞かせいただけますか。

○ 佐々特・委員

それではお答え申し上げます。当然、持株会社に対する情報というのは、経営管理上必要な情報は、当然上げますけれども、個人情報そのものについて上げるということは、現行はやっていませんし、今後も持株会社そのものに上げるということは、まずないと思うんですけれども、ただ、先ほども申し上げましたとおり、今は、むしろ私どもの現状は、厳格にその同意がないものは子会社間であってもファイアウォールをつくって、きちっと遮断をしておるわけですけれども、今後については、海外の事例等を見ると、もう少し柔軟にやってもいいのではないかという気が、現在はしておるということでございます。ただ、この辺については、世の中の考え方とか、いろいろなことと兼ね合いがありますから、単独で勝手にやるということはあり得ないというふうに考えています。

○ 藤原小委員長

よろしいでしょうか。

○ 和仁特・委員

はい。

○ 宮本個・委員

別にお３人の方に意見を聞きたいというわけじゃないんですが、私の意見として、お３人の方のいろいろな現状をお話しいただいて、これは何かこれから個人情報の漏洩などあり得ないような、すごくすばらしいガイドラインをおつくりになったというふうに思うんですが、ただ、２点だけ、私は異議を唱えたい。

１点は、その業界としてガイドラインに違反した、あるいは法律に違反したときの厳罰な罰則を考えていただきたい。犯罪抑止というのは、協議会をつくって、それでオーケーというんじゃないんじゃないかというのが１点です。

もう１点は、明示的同意というのを皆さんおっしゃいましたけれども、果たしてそれが本当に個々の人の同意であるかというのは疑問ではないか、というふうに思います。もう少し工夫していただいて、約款と同じようなものを見せられて、これで署名してくださいとか言われた場合は、一応は約款と同じように署名はしますけれども、後でいろいろ問題が出てくるのではないか。そういう面において、これから同意がただ単に書面の同意だけでオーケーというのではなくて、やはり工夫をしていただきたいというのが私の意見です。

○ 藤原小委員長

どうもありがとうございました。

ただいまの宮本委員のご意見に、業界関係の方から何かございますか。

○ 佐々特・委員

確かにおっしゃるとおり、わかりやすくする、これのことでとっているなということがわかりやすくするということが必要なことだと、私どもも認識しておりまして、その部分は色を変えるとか、大きな字体で書くとか、こういったことは現状も、私ども、申込書などに、例えば保険会社にこういう情報を出しますよ、という同意をとるところは大きく書くというのはやっておりますけれども、今後、いろいろな同意をとる局面というのはあると思いますから、今後いろいろなものも含めて検討をしていきたいと思います。

○ 藤原小委員長

ほかにはございませんでしょうか。どうぞ。

○ 高橋特・委員

３つの業界にお伺いしたいんですけれども、個人情報の漏洩がいろいろ問題になっております。今までのところは、ソフトバンクＢＢのような大きな漏洩があっても、信用情報は入っていないという説明で、一般の方々が安心してきているところがあると思うんですけれど、今日、出席している組織は、まさに信用情報そのものを取り扱っておられる。また漏洩というのが電子データの持ち出しとか、非常に巧妙かつわかりにくくなっているんですが、例えばクレジット業界も非常に細かい規定を設けておられます。でも、実際に事件が起ってしまったときにその安全管理規定を守っていたから想定外の事件、と言える状況なのかが非常に気になっております。というのは、今までの漏洩事件のときにも、管理がずさんであったのか、ずさんでなかったのかということの基準がはっきりしていなくて、どの程度やっていれば不可抗力に近いのかわからない。外部業者への委託契約のケースも多く、派遣社員を雇った場合には派遣社員にまではいろんなことを直接命令できないわけですから、そこの辺の細かい基準というのをおつくりになる予定があるのかどうか、お伺いしたいと思います。

それともう一つ、そういう電子データも含めてなんですけれども、インターネット上でいろいろやれることも出てきていると思います。例えば貸金業者のホームページを見ると、貸金業協会のマークが出ているところが多いです。マークの色がいろいろ使われているので、どうなっているのかなと思うんですけれど、こういうマークが出てきて一応団体に加盟している業者というところまではわかるんですけれども、先ほどおっしゃたような個人情報保護に関する業界ガイドラインのお話は、主に大手の話ということでした。そうであれば、ガイドラインに準拠している業者なのかどうなのかを一般の人が貸金業者のホームページなどでわかるようにする必要があると思います。いわゆる標準化したようなものをお持ちなのであれば、業界基準に近いとか、近づいていないとかを知りたい。認証とまではいかないまでも、マーク化というようなものを考えておられるのかどうかを教えてください。

○ 藤原小委員長

時間の関係もございますので、両業界ともセキュリティ基準等を今後どうしていくかということと、貸金業協会の方にはマーク化等のご予定がどうなっているか、それだけ。

○ 松阪特・委員

まず第１点目の情報の持ち出し、これはいかに厳しくやっても、人間のやることは押さえ切れません。我々の考えておるのは罰則の強化です。現在、情報が漏れても、とられたところが罰則されるだけで、それをとった者、また、それをとることによって利益を受けた者、この罰則が、今現在の法律にはございません。この場所で申し上げますが、ぜひとも持ち出した者に対する罰則、これが一番の抑止力になるのではないかと、このように考えております。

まだまだ申し上げることはありますが、時間がございませんので。

それから、適正な貸金業者かどうか、これは貸金業規制法の規定によりまして、店頭に必ず、玄関を入る前に目につくような協会員であるか、協会員でないか、登録しているか、していないか、これがわかるような明示が義務づけられております。全金連としましては、各貸金業協会を通じて、それの趣旨徹底を会員に呼びかけておりまして、ほぼ 100％近くは、それは店頭に表示されておるものと、私どもは考えておりますが、まだ詳しくは、よく調べまして、後日、ご報告いたしたいと、そのように考えます。

○ 高橋特・委員

お伺いしたかったのは加盟業者が、個人情報の保護に関して、その業界のルール的なガイドラインの水準に、かなり高いところまで達しているか、達していないかというふうなことの認証といいますか、区別というものを考えておられるかどうかです。

○ 松阪特・委員

その点につきまして、いろいろ考えておりますが、何しろこの業界は小さいところから大きなところまで千差万別でございまして、一律にということはちょっと難しゅうございます。しかし、今後、できるだけ同じような線で並ぶように連合会としても考えております。

○ 藤原小委員長

ありがとうございました。

それでは、最後に一言だけお願いいたします。先ほどのセキュリティーの問題について。

○ 安楽様

まだまだ、決して安全対策は完全だなどということはないわけでございますけれども、私どもといたしましては、13年に安全対策の考え方というのを作って、各関係企業に全て送って、いろいろお願いしてきたということがあります。そして、先ほど申しましたように、去年、また少し事案が増えたりしました。そういう状況の中で、ご当局のご指導などもあって、去年11月に安全管理対策指針という新しいものを急遽さらに充実しまして、それを各関係企業にお配りして、それで対応してくださいと、こういうふうにやっているわけです。しかし、事案がすぐにゼロになることはないわけでございますから、事案が発生した場合については、それをさらに、それから学びとらないといけないということで、再発防止の観点から、業界の有識者とか、あるいは外部の個人情報の安全管理に対して非常に見識のある専門家もおられますので、そういう方々も入っていただいて、この事案の発生原因について分析を行ったり、そういうことによって、同様の事案が再発しないように安全管理対策指針、先ほど申しました去年11月に新しく策定したのですが、これをさらに追加・修正していくということで、一層レベルを高めていきたいというふうに考えております。

○ 藤原小委員長

ありがとうございました。

それでは、予定の時間を若干オーバーしましたけれども、本日の議論はこの辺で終了とさせていただきたいと思います。

最後に、事務局の方からご連絡などございましたらお願いいたします。

○ 櫻井取引信用課長

本日は長時間にわたりまして、ご議論、ご検討をいただきましてどうもありがとうございました。

次回、金融審議会特別部会、産業構造審議会個人信用情報小委員会、この日程につきましては、また今日のご議論等を踏まえまして、追ってご連絡をさせていただきたいと思いますので、よろしくお願いいたします。

私からは以上でございます。

○ 藤原小委員長

ありがとうございました。

本日は業界関係者の皆様におかれましては、ご多忙のところご出席いただきまして、改めて御礼申し上げます。ありがとうございました。

それでは、本日の会議はこれにて終了いたします。委員の皆様には、ご多忙の中、お集りいただきありがとうございました。お疲れさまでした。