金融審議会金融分科会特別部会(第12回)議事録

平成16年8月3日(月)

金融庁 総務企画局

○ 山下部会長

それでは定刻でございますので、ただいまから金融審議会金融分科会特別部会を開催させて頂きます。

本日はご多忙のところご出席頂きまして、誠にありがとうございます。会議に先立ちまして、一部の専門委員に交代がございましたので、ご紹介申し上げます。

まず、加藤委員にかわりまして専門委員をお引き受け頂くことになりました山本芳夫委員でございます。

○ 山本委員

山本です。よろしくお願いします。

○ 山下部会長

続きまして、西川委員にかわりまして、専門委員をお引き受け頂くことになりました鈴木久仁委員でいらっしゃいます。

○ 鈴木委員

鈴木でございます。よろしくお願いいたします。

○ 山下部会長

よろしくお願いいたします。

なお、日高委員におかれましては、この7月28日に急逝されました。当部会といたしましては、日高委員のこれまでのご貢献に対し深く感謝するとともに、謹んで哀悼の意を表したいと思います。

それでは、事務局の方でも若干の移動がございましたので、その点を細溝企画課長からご紹介頂きたいと思います。

○ 細溝企画課長

この7月で企画課長を拝命しました細溝でございます。よろしくお願いします。

それでは私から、この人事異動で新たに出席しております事務局の人間を紹介させて頂きたいと思います。皆さんから向かって左から一番向こうですが、CIO補佐官の岩丸補佐官でございます。

○ 岩丸CIO補佐官

岩丸でございます。

○ 細溝企画課長

同じくCIO補佐官の喜入補佐官でございます。

○ 喜入CIO補佐官

喜入です。よろしくお願いいたします。

○ 細溝企画課長

続きまして、総務企画局審議官の振角審議官でございます。

○ 振角審議官

振角です。よろしくお願いいたします。

○ 細溝企画課長

それから中江審議官でございます。

○ 中江審議官

中江です。よろしくお願いいたします。

○ 細溝企画課長

それから企画課の調査室長の寺田でございます。

○ 寺田企画課調査室長

寺田でございます。よろしくお願いいたします。

○ 細溝企画課長

それから監督局の総務課長、桑原でございます。

○ 桑原監督局総務課長

桑原でございます。よろしくお願いいたします。

○ 細溝企画課長

それから、財務省の信用機構課機構業務室長、牧田室長でございます。

○ 牧田信用機構課機構業務室長

牧田です。よろしくお願いいたします。

○ 細溝企画課長

以上です。

○ 山下部会長

どうもありがとうございました。

それでは、議事に移らせて頂きます。

当特別部会単独の会合では、金融分野における個人情報の保護のあり方についてご議論頂いているところでございます。前回の会合までは、各分野における個人情報の取扱いの現状を把握するため、事業者の方々などからヒアリングを行うこととさせて頂きました。本日の会合におきましては、金融分野に関するガイドラインの項目及び論点をお示しし、各委員より幅広く意見を聴取させて頂きたいと考えております。

なお、今回の議題に入ります前に、前回の会議において委員からご質問がありました件につきまして、鈴木委員及び山本委員よりご説明を頂くこととしたいと思います。

それでは、まず鈴木委員、よろしくお願いいたします。

○ 鈴木委員

鈴木でございます。

前回の特別部会におきまして、高橋委員からご質問いただいた3点につきまして私の方からご説明、ご報告を申し上げます。

1番目のご質問は、保険の基本問題に関するワーキンググループで、損保業界から提起させて頂いている損保会社の破たん処理スキーム案について、契約情報がどのように取り扱われているのかというものでございます。

損保業界の破たん処理スキーム案では、損保が破たんした場合、一定期間に限って保険金の支払いを100%保証し、その間に破たん会社の契約者が他の健全な会社の保険契約に切りかえて頂くということを想定しております。この契約切りかえの際に、破たん会社の契約情報がどのように取り扱われるのかという点が問題になります。前回、代理店の取扱いを中心にご説明させて頂きましたが、保険会社として負うべき責任も含め、補足説明をさせて頂きます。

まず、代理店の対応についてでございますが、代理店は契約者と直接の接点ということになります。代理店は所属保険会社が破たんした場合、その顧客に対して現在の保険契約に基づく保険金等が一定期間経過後は削減払いとなること、減額部分は契約者の自己負担となること、それを避けるためには他の保険会社に切りかえることが必要であることなどをご説明いたします。この場合、乗合代理店であれば、破たん会社以外の取引損保の商品をお勧めし、破たん会社専属の代理店であれば、新たに取引損保を定めて、代理店委託契約を締結した上で、当該損保の商品をお勧めすることになります。代理店が個人情報保護法の趣旨にのっとって、顧客に対してどのように説明するかについては、今後業界として検討してまいりたいというふうに考えております。

次に、保険会社が負っている顧客情報の安全管理義務等につきましてご説明申し上げます。

保険会社は、従来から顧客情報につきまして情報漏えいやプライバシー侵害が生じないよう努めてまいりましたし、このたび個人情報保護法により、その義務が明確化されました。この点につきましては、破たん会社といえども同様でございます。したがいまして、破たん時においても破たん会社は逸脱した利用を行ってはならず、顧客情報の適切かつ安全な管理を行う必要がございます。また、新たに代理店委託契約を締結した破たん会社以外の保険会社でも、代理店に対する教育管理等の責任を負うものと考えておるところでございます。

実際の損保会社の破たん処理においては、破たん会社が自立更生を目指す場合、スポンサー会社がつく場合、清算する場合等さまざまでございますが、損保業界の破たん処理スキーム案においては、一定期間外での保険の切りかえがスムーズに行われることが、顧客利益の確保につながること。一方、個人情報保護法の趣旨を十分に踏まえる必要があること等を勘案しなければならないことから、保険会社としての具体的な対応のあり方につき、金融審議会第二部会における、セーフティネット全体に関する検討状況も見ながら、業界として慎重に検討してまいりたいと考えております。

2点目のご質問は、住宅金融公庫の融資を繰上返済した特約火災保険の契約者に対して、銀行や他の保険会社が通常の火災保険を勧誘した事例があるようで、保険会社では繰上返済に関する情報がどのように取り扱われているのかというものでございます。

まず繰上返済した後の特約火災保険の取扱いですが、契約者は繰上返済とは別に保険契約を継続することも、繰上返済とともに保険契約を解約することもできます。また、保険契約を継続する場合には、その保険金請求権の上に住宅金融公庫が設定した質権を抹消することとなります。

特約火災保険の幹事会社でいらっしゃいます損保ジャパンさんに確認をいたしましたところ、質権が抹消されたことも、保険契約が解約されたことも、銀行や他の保険会社に通知することはないということだそうでございます。したがいまして、通常の事務手続に沿った処理が行われている限りは問題が生じません。実際にご質問のような事例があったとすれば、通常の手続から外れた形で繰上返済に関する情報が取り扱われた可能性がございます。損保業界といたしましては、本件を含めまして引き続き契約情報の適正な管理に努めたいと考えております。

最後、3点目のご質問でございますが、損害保険における情報交換制度についてでございます。

前回の特別部会で自動車保険に関する情報交換制度をご紹介いたしましたが、多種目の情報交換を含めて紹介せよということでございましたので、補足説明をさせて頂きます。

損保会社間で情報交換制度につきましては、保険の適正な引受、不正な保険金請求排除のため、必要不可欠な制度であるということを前回ご説明させて頂きましたが、保険引受に関しての情報交換制度として、自動車保険に関するもののほか、傷害保険分野で生保の制度に類似した契約内容登録制度がございます。不正な保険金請求排除の制度といたしましては、自動車保険事故にかかわるもののほか、火災新種保険分野でも重複契約、事故歴照会に係る制度がございます。いずれも複数のものを通算いたしますと、不当に高額な保険金を得られるような保険契約を洗い出すことで、保険犯罪を未然に防止し、不当・不正な保険金請求を排除することを目的としております。

なお、損害保険会社間の情報交換制度は、参加する会社がすべての登録情報を見ることができるというものではなく、あらかじめ定めた基準に適合する契約がある場合、照会した会社に対して当該契約の内容を開放するという形態をとっております。

私のご報告は以上でございます。

○ 山下部会長

ありがとうございました。

続きまして山本委員、お願いいたします。

○ 山本委員

それでは、山本からご報告申し上げます。

前回の特別部会において、原委員から生命保険会社が保険金、給付金のお支払いをするのに際して、医療機関からのお客様情報の収集について同意を得ているか、こういうご質問がございました。

まず、日生さんの回答からご報告申し上げますと、日本生命が医療機関からお客様の病名、症状等の情報を収集することについては、承諾書にお客様の同意を頂いております。ただし、非常にまれですが、お客様が同意を固辞され、かつ告知義務違反の懸念が極めて強いケースについては、弁護士法23条の2、報告の請求に基づき弁護士会を通じて医療機関に照会することもあります。これが日生さんから回答でございます。

若干、捕捉をさせて頂きますと、当社、明治安田生命の実務でございますが、前段のお客様の同意を頂いていると、これは同様でございますが、日本生命さんのように、弁護士会を通じて医療機関に照会することはございませんので、レアケースに関する詳細事務の取扱いについては、会社によって異なるところがあるかと存じます。

以上でございます。

○ 山下部会長

ありがとうございました。

今の回答について、何かありますか。

○ 原委員

申しわけありません。1点だけ論点で追加をさせて頂きたいのですが、事前に、このご説明というのは、昨日の段階でちょっと受けておりまして、私がお聞きしたかったのは2つありまして、1つは今のご回答なんですが、もう一つは、同意を得ていらっしゃるというところはいいんですが、その同意を得て医療機関、医師からもらわれた情報というものを、本人に開示なさるのかどうかということをお聞きしたかったというところで、それがもう一つの論点ということになると思います。これは本人の情報開示請求権との関係でどのように扱われるかということで、追加の論点としてお願いしたいと思います。

○ 山下部会長

山本委員、その点いかがでしょうか。

○ 山本委員

お答えいたしたいと思います。これは当社の例でございますが、診断書等に医師が患者様へ告知していない内容が含まれることなどから、当社の場合には、開示請求には応じておりません。なお、個人情報保護法では、本人または第三者の生命、身体、財産その他の権利利益を害するおそれがある場合などを、開示しないことができる場合として定めておりますけれども、法施行後には、そのような法令の解釈に応じた対応する必要がありまして、実務対応については、今検討を進めているところでございます。

以上でございます。

○ 原委員

やはり、論点としては残っているということになるのではないかというふうに思います。

○ 山下部会長

それでは、また本件のことも検討されると思いますので、そのとき忘れずに議論したいと思います。

それでは、本日の議題の方へ移りまして、まず事務局の寺田調査室長より金融分野に関するガイドラインの項目及び論点についてご説明をお願いいたします。

○ 寺田企画課調査室長

寺田でございます。

それでは、まず資料の確認ですが、資料の1として金融分野における個人情報保護のガイドライン等についてという1枚紙がございます。これをメインペーパーにいたしまして、後ろに添付いたしておりますのが、資料2は個人情報の保護に関する法律、資料3は同法施行令、資料4は、内閣府の名前で閣議決定として出ておりますが、個人情報の保護に関する基本方針でございます。

資料1の論点を資料2、3、4等を参照しながらご説明いたします。

まず、最初の項目は目的等でございますが、このガイドライン等の目的につきましては、資料2の個人情報保護法におきましては、1ページ目、第1条としてこの法律の目的が書いてございます。

「この法律は、高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることにかんがみ、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにするとともに、個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする」。

この同法の目的を踏まえまして、ガイドラインの考えといたしましては、3ページに第8条がございますが、「国は、」若干省略しますと、地方公共団体云々の後、「国民又は事業者等が個人情報の適正な取扱いの確保に関して行う活動を支援するため、情報の提供、事業者等が講ずべき措置の適切かつ有効な実施を図るための指針の策定その他の必要な措置を講ずるものとする」。

こうした規定に基づきまして、金融分野における個人情報取扱事業者──これはなかんずく内閣総理大臣の委任を受けた金融庁長官が、法の主務大臣として監督する者が対象となるものと考えますが──に対するガイドラインを定めることになるものと考えられます。

また、その目的等の「等」といたしましては、法は第2条、1ページから2ページ目にかけまして、個人情報、個人情報データベース等の定義を定めております。ガイドライン等におきましても、これを踏まえますとともに、金融分野の個人情報取扱事業者に対するガイドラインとして追加する必要がある定義、すなわちその対象になる金融機関等の定義等を定めることになるものと考えております。

続きまして、次の項目は個人情報の利用目的でございます。

法の規定といたしましては、4ページ、第15条でございます。15条は「個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的をできる限り特定しなければならない」。

「個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない」というふうに定めております。

第1項におきまして、利用目的の特定については、法律上は「できる限り」と定められておりますが、金融部門の個人情報取扱事業者のガイドライン等におきましては、この「特定」のあり方等につきまして記載していくことになるのではないかというふうに考えております。

続きましての項目は、個人情報の取扱いでございます。

法は4ページ、第16条でございますが、第16条は「個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない」。

2項で、これは合併その他の事由による承継事務規定がございます。

さらに3項では、第1項における利用目的の達成に必要な範囲を超えて取り扱ってはならないという規定を適用しない事項といたしまして、「法令に基づく場合」、それから「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」。3号が「公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき」。4号は、国の機関等の事務の遂行に支障を及ぼすおそれがあるときでございますが、この利用目的の達成に必要な範囲を超えた取扱いというのが、基本的に禁止されたことを踏まえまして、例外的に取扱いを認められる場合等につきまして、具体的にどのような場合が例外事項として取り扱うことになるのかといった点につきまして、指針をガイドライン等において定めることになるのではないかというふうに考えております。

その次の項目は、適正な取得でございます。

適正な取得につきましては、法は4ページ、第17条でございます。「個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない」と定められております。ガイドライン等におきましては、この「偽りその他不正取得」というものの例示等を行い、金融部門の個人情報取扱事業者のこの条に関しまして、遵守すべき具体的な取扱いを明らかにすることになるものと考えております。

次の項目は、事業者の利用目的の通知でございます。

法は5ページの第18条でございます。第18条は「個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない」。

さらに2項におきまして、その「前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面」この書面は電子的な方式等でつくられた記録を含むわけでございますが「に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合には、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のための緊急に必要がある場合は、この限りでない。」というふうになっております。

またさらに3項におきまして、この目的の変更に際しましては、変更された利用目的を本人に通知し、公表するということになっております。

第4項は、この前3項を適用しない場合としての例外措置でございます。

ガイドラインにおきましては、この第1項におきまして、あらかじめ公表している場合を除きまして、事業者は本人に通知又は公表しなければならないと定められておりますが、この通知や公表の具体的な対応につきまして、またその第2項で文書において明示することとなっておりますが、具体的に文書において明示する、その文書の記載事項、態様等につきましてガイドライン等の記載事項になるものというふうに考えております。

続きまして、データの正確性、最新性の確保につきましては、法は5ページの第19条でございます。

「個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つよう努めなければならない」と定めております。金融部門の個人情報取扱事業者において、このデータの正確性、最新性を確保するために求められる具体的な対応等につきまして、ガイドライン等で定めることになるものと考えております。

さらに、安全管理措置の項目でございます。

安全管理措置は、法は5ページの第20条、「個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない」と定めておりますが、さらに資料の4でお配りしております基本方針の8ページでございますが、6として「個人情報取扱事業者等が講ずべき個人情報の保護のための措置」というのがございます。この事項の(1)のマル2、「個人情報取扱事業者の責任体制の確保」といたしまして、「事業運営において個人情報の保護を適切に位置づける観点から、外部からの不正アクセスの防御対策のほか、個人情報保護管理者の設置、内部関係者のアクセス管理や持ち出し防止策等、個人情報の安全管理について、事業者の内部における責任体制を確保するための仕組みを整備することが重要である」というふうになっております。

したがいまして、ガイドラインにおきましては、組織面、それから技術面等における事業者の措置について、具体的に遵守されるべき事項を定めることになろうと思います。

その際、日進月歩である金融部門における、もしくは全体的な情報通信技術への進歩への適切な対応という観点から、ガイドラインに記載すべき事項の範囲をどの程度とするかということが論点になろうかと考えております。

次に、従業者、委託先の監督についてでございます。

法は資料2の5ページ、第21条でございますが、第21条で法律は「個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図れるよう、当該従業者に対する必要かつ適切な監督を行わなければならない」と定めております。

また、同じ箇所でございますが、基本方針の8ページにおきましても、(1)のマル3といたしまして、個人情報取扱事業者における従業者の啓発という事項として、以下のように記載されております。「事業者において、個人情報の漏えい等の防止等、その取り扱う個人情報の適切な保護が確保されるためには、教育研修の実施等を通じて、個人情報を実際に業務で取り扱うこととなる従業者の啓発を図ることにより、従業者の個人情報保護意識を徹底することが重要である」との定めでございます。

したがいまして、金融部門の個人情報取扱事業者において、この必要かつ適切な監督としてどのような事項を定めるのかということをガイドライン等で明らかにすることになるものと考えております。

それから委託先の監督でございますが、こちらは法律は5ページの22条で「個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理を図られるよう、委託を受けた者に対する必要かつ適切を監督を行わなければならない」と定めております。

さらに、同じく基本方針の8ページ、やはり(1)、マル2の後段で、「個人情報取扱事業者の責任体制の確保の内容」といたしまして、さらに細かく定めておりまして、「個人情報の取扱いを外部に委託することとなる際には、委託契約の中で、個人情報の流出防止をはじめとする保護のための措置が委託先において確保されるよう、委託元と委託先のそれぞれの責任等を明確に定めることにより、再委託される場合も含めて実効的な監督体制を確保することが重要である」との定めでございます。

この委託先の必要かつ適切な監督として、具体的に事業者に求められる事項につきまして、基本方針にもありますとおり、再委託先の監督も含めて定めることになるのではないかと考えられます。この場合の一つの論点としては、委託契約におきましてどのような事項を盛り込むべきかということがガイドラインにおいて、一つの論点となるものと考えております。

続きまして、第三者提供でございます。

法律は6ページ、第23条でございます。「個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない」。1号から4号は省略いたしますが、法令に基づく場合、それから生命、身体の保護のため必要な場合等でございますが、この第三者提供については、したがいまして基本的に本人の同意を定めております。この本人の同意取得のあり方につきまして、同意取得時に明示すべき内容等と必要な事項について、ガイドラインで定めることになるというふうに考えております。

続きまして第2項は、いわゆるオプトアウトと言われる規定でございますが、「個人情報取扱事業者は、第三者に提供される個人データについて、本人の定めに応じて、当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる」と。

1号から4号ございますが、一つのポイントとしましては4号で「本人の求めに応じて当該本人が識別される個人データの提供を停止する」という部分がございます。したがいまして、このオプトアウトにつきましては、その適用が望ましくない場合があるのかどうか、金融部門の個人情報取扱事業者の扱いといたしまして、望ましくない場合があるのかどうか、また本人が容易に知り得る状態に置くことの内容として、事業者が行うべき事項等をガイドラインにおいて明らかにすることとなるものと考えております。

3項は、変更事項の通知でございますので省略いたしまして、第4項も論点の一つと考えておりますが、第4項は、この第三者提供において、本人の同意を得るということでございますが、第三者に該当しない場合として、具体的には本人同意を要しない場合というのが定められております。4項、「次に掲げる場合において、当該個人データの提供を受ける者は、前3項の規定の適用については、第三者に該当しないものとする」。

1号が委託の場合、2号が合併その他事業の承継の場合、3号が「個人データを特定の者との間で共同して利用する場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき」ということでございます。

この第3号が、特定共同利用と言われるものでございますが、この共同利用者の範囲やデータの内容等を通知もしくは本人が容易に知り得る状態に置く必要がありますので、この利用者範囲の明示の仕方、あり方等につきまして、具体的にガイドライン等で定めることとなるものと考えております。

続きましての事項は、保有個人データ項目等の公表でございます。

法律は7ページ、24条でございますが、「個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態に置かなければならない」ということで、1号から4号の内容を置かなければならないというふうに書いてございます。

ちなみに、第4号でそのほか「政令で定めるもの」となっておりますが、これは後でご参照頂いても結構でございますが、施行令の第5条で具体的にこの事項といたしましては、苦情の申し入れ先でありますとか、当該認定個人情報保護団体の名称とか、苦情の解決の申し出先がこの事項に当たるものというふうに考えられております。したがいまして、本項目のガイドラインの内容といたしましては、これらの事項を本人の知り得る状態に置くということは、どういう状態に置くことが必要になるかということを具体的に定める必要があるものと考えております。

続きまして、開示、訂正、利用停止及び理由の説明でございます。

これらは一体として個人情報に対する適切な本人からの関与の仕組みを構成するものでございます。法は、第25条から28条までの間に規定がございます。細かいところは省略いたしますが、25条で、個人情報取扱事業者は、本人から求めがあったときには、政令で定める方法で、次の各号のいずれかの場合に該当する場合は、基本的に個人データを開示しなければならないということでございます。

ただ、2項は重要な規定でございますが、「個人情報取扱事業者は、前項の規定に基づき求められた保有個人データの全部又は一部について開示しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない」ということでございます。この通知しない場合というのは、第1項のただし書きに該当する場合は該当するわけでございます。例えば、1号でございますが、2号で「当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合」ということが書いてあります。

また、訂正等、26条等もそうでございますが、26条の2項も「訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない」。

それから利用停止も基本的に申し入れに対して、理由があることが判明したときは、27条で、違反を是正するために必要な限度で停止を行わなければならないわけでございますが、第1項ただし書きにおきまして、「ただし、保有個人データの利用停止等に多額の費用を要する場合その他の利用停止を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない」という規定がございます。

これら規定を受けまして、第28条で理由の説明については、このような「本人から求められた措置の全部又は一部について、その措置をとらない旨を通知をする場合又はその措置と異なる措置をとる旨を通知する場合は、本人に対し、その理由を説明するよう努めなければならない」となっております。

金融部門の個人情報取扱事業者においては、この一連の本人確認手続において、金融情報の正確性、最新性を確保する観点から、特に対応すべき事項があるのかどうかということで、その事項を定める必要があるというふうに考えております。

続きまして、開示の求めに応じる手続といたしましては、9ページで、法律は第29条でございます。「個人情報取扱事業者は、」この法律に定める事項につきましては、本人は法に基づいて「開示等の求めを行わなければならない」と。開示等の求めにつきまして、2項、3項、4項の規定がございます。

さらに、手続の手数料につきましては9ページで、「個人情報取扱事業者は、」手数料は、「当該措置の実施に関し、手数料を徴収することができ」ますが、2項でこの手数料につきましては「実費を勘案して合理的であると認められる範囲内において、その額を定めなければならない」というふうになっております。

したがいまして、この一連の手続及び手数料の定めに関して、事業者において想定すべき水準等につきまして、ガイドライン等で定めることになるものと考えております。

最後に苦情処理の項目でございます。

事業者の苦情処理に関しましては、法は9ページの第31条で「個人情報取扱事業者は、個人情報の取扱いに関する苦情の適正かつ迅速な処理に努めなければならない」。また2項におきまして、この「前項の目的を達成するために必要な体制の整備に努めなければならない」と定めております。具体的には、恐らく窓口の設置など、事業者において対応すべき事項をガイドラインで具体的に明らかにするということになるものと考えております。

私の方からのご説明は以上でございます。

○ 山下部会長

ありがとうございました。

それでは、ただいまのご説明を受けまして、各委員からご自由にご意見を頂きたいと思います。項目がたくさんありましたが、全体のどの点からでも結構かと思いますので、よろしくお願いいたします。

○ 堀部委員

私は、関係省庁でのガイドラインづくりなどにも随分かかわってきています。そういう経験から、ただいま寺田室長からご説明頂きました金融分野における個人情報保護のガイドライン等の項目は、おおむね妥当であろうというふうに思います。

幾つか申し上げたいことがありますが、今度できた個人情報保護法、これをどういう法律にするかということについて、高度情報通信社会推進本部の個人情報保護検討部会の座長としてまとめまして今日、こういう形でいろいろなところで議論されるようになったということは、大変喜ばしいことだと思っております。この法律について、4月2日に閣議決定されました個人情報の保護に関する基本方針、これも先ほど寺田室長から部分的に説明のあったところですが、2ページにこのような形でまとめてみております。

2ページの(2)の「個人情報保護法の理念と制度の考え方」のマル2の「各事業者の自律的な取組と各主体の連携」で、「このため、法は、個人情報を事業の用に供する者を広く対象として、個人情報の取扱いに関して共通する必要最小限のルールを定めるとともに、個人情報を取り扱う者において、それぞれの事業等の分野の実情に応じて、自律的に個人情報の保護に万全が期されることを期待している」とまとめ、ミニマムスタンダードのものを定めたということを明らかにしています。

別の観点も見てみます。山下部会長のお話では、日高金融情報システムセンター理事長、お亡くなりになられたそうですが、金融情報システムセンター(FISC)におきまして、随分長い間、「金融機関等における個人データ保護のための取扱指針」について、ずっと検討してまいりました。早くは、西暦で申しますと1987年に最初のものをつくりました。その後、改定もしまして、1999年に改正版を出して、それが現行のものになっております。

それをまとめる座長も務めてきたことから見まして、ただいま寺田室長から説明になりました項目のうち、こういうものについてどうするのか。つまり、法はミニマムスタンダードを定めているものですので、事業者においてできるだけ自主的に対応する、そのための指針を金融庁として示す、こういうことになると思いますので、いろいろありますが、とりあえず今のお話を伺って気がついたところで言いますと、適正な取得、これは法の17条ですが、そこにセンシティブ情報といいますか、特に慎重な取扱いを要する情報についてFISC指針では第5条の第3項で、「金融機関等は、政治的見解、信教(宗教、思想及び信条をいう。)、労働組合への加盟、人種及び民族、門地及び本籍地、保健医療及び性生活、並びに犯罪歴に関する個人データについては、収集し、利用し又は提供してはならない。ただし、顧客の同意を得た場合、及び法令の規定による場合はこの限りではない」ということで、この議論をした際には、EU(欧州連合)の指令が1995年10月に採択されまして、EU域内はもちろんですが、他の国も日本のような第三国が、アディクエイト・レベル・オブ・プロテクション(十分なレベルの保護)を講じない場合には、そういう国に個人データをトランスファーして(送って)はならないということを、それぞれの国の法律で定めるべきだ、こういうこともありまして、金融の国際性ということにもかんがみて、EUのディレクティブにあります規定、日本側には法律ではないので、そこをどう見られるのかというのはありますが、事業者側として自主的にこういうことを講ずるのだということを明確に示す必要があるだろう、そういうことで一つここに設けました。

そういう点がただいまの寺田室長の説明にはありませんでしたが、そういうところをどうするのかということも、ぜひ検討して頂きたいと思います。

それからもう一つ気がつきました点で言いますと、データの正確性、最新性の確保を法19条のところでは明確には規定されていませんが、FISC指針でいいますと第7条の個人データの適正管理──今の法律とは必ずしも表現は同じではないのですが──その中の第2項で、「金融機関等は、業務上必要な期間を経過した後は、個人データの廃棄その他の処理を行うものとする」ということで、これもEUのディレクティブの考え方に沿った規定を設けました。そういうあたりどうするのかということをぜひ、ご議論を頂きたいと思います。

ほかにもいろいろありますが、とりあえず今ご説明を伺って気がついた主要な点を申し上げました。

○ 山下部会長

ありがとうございます。

○ 岩村委員

お話を伺っていて、それから個人情報保護法とOECDとの文脈ということについては、いつも個人的に教えて頂いていたんですが。

○ 堀部委員

OECDとEU指令ですね。

○ 岩村委員

それは本当にそのとおりだと思います。

ただ、私が思いますのは、昨今の個人情報保護論議というののいわば起こってきているものというのは、OECD8原則やEUディレクティブとの国際的な整合性という件のほかに、現実に個人情報漏えい事件というのが頻発しているという事情があるだろうと思います。

やはり、もちろん現在の個人情報の保護に関する法律でも、第20条に取扱い個人データの漏えい、滅失がないように適切な措置を講じなければいけないという規定があるということは事実ですけれども、考え方としては、個人情報保護に関する法律や、特にOECDの文脈からする個人情報保護の議論というのは、正当に入手された情報の管理権問題だというふうに理解されるわけです。正当に入手された情報をだれがコントロールすべきかという問題だと思うんです。

ところが、個人情報の漏えい問題というのは、不正入手を──不正と言っていいかどうかわからないですね。不正入手罪というのがないですから不正入手と言っていいかどうかわからないんですが、少なくとも一般の倫理観に照らして不正と考えられるような入手、あるいは個人情報保護法の文脈で言えば20条に反するような入手ですね──が行われたときに、どのように対応するかとか、あるいはそれをどのように処罰するか、あるいは防止するかという問題で、やはり正当入手された情報の管理権問題と不正入手対応問題というのは、混同するわけにはいかないと思うんです。要するに区別して考えておいた方がいいと思います。

もちろん、一つの法律にのせるときの法律技術として相乗りさせるということを考えることを考えることはあるかもしれませんし、一つのガイドラインがそれを扱うということはあるかもしれませんが、そもそもの問題としては、異なった側面を持つ問題だということは認識しなければいけないと。

本日、ご説明のあったガイドラインなんですが、私の認識では、やはりガイドラインというのは、正当入手された情報の管理権問題については、適切な対応であるという意見は多かろうと思うのですが、不正入手された情報や不正取得への対応問題というときに、ガイドラインがどのような効果を持つのかということについては、相当の覚悟が要るだろうと思うんですね。

なぜそういうことを考えるかというと、適切に個人情報保護の漏えい防止のための措置を行っていない事業者というのを見つけた場合にどう対応するのかという問題は、個人情報を不正に盗み出してきてどう対応するかという問題とのバランスで、バランスもあるので、位置づけとしてはっきりさせていなければいけない。例えばガイドラインに反したら、どのような意味での監督上の措置がなされるのか、処分がなされるのかというのは、よく議論されてしかるべきだと思うんですね。

個人情報保護に関する法律でも、第34条以下に勧告から命令に至る法強制の手続が記載されていますけれども、これによるのか。あるいは、私は銀行法の26条というのは、何か財産状態とか財務のことについていろいろ書いてあるので、そういうものかと思っていたんですが、これも出て来得るのかと。例えばみずほフィナンシャルグループのシステムダウン事件については、たしか銀行法26条の改善命令が出てきたことがあったような記憶があるので、26条の改善命令というのもかなり広いんだとすると、それによるのか。

いずれにしても、ガイドラインというものを金融監督当局である金融庁がみずからつくるという以上は、ガイドラインですよと、何か道徳の教科書のようなものとして守りなさいというのではなくて、やはり行政上どのような効果があるのかということを明示しなければいけない。違反したら何をするか、あるいはもう少し、特に漏えい事件という点で問題になるのは、ガイドラインを守っているにもかかわらず情報漏えいが発生してしまったときに、どのような効果を持つのか。ガイドラインを守っているからという理由で改善命令とか、業務停止命令の対象にならないと考えるとなるのか。感覚的に言うと、ガイドラインをせっかく守っているんだから、ガイドラインの効果がなきゃいけなそうですので、ガイドラインを守っていれば、行政措置を講じなくてもいいじゃないですかという気もしますけれども、いわゆる世論とか政治というのがそれで納得するのかどうかということについては、いわば厳しい値踏みが要ると思うんですね。

私はガイドラインが情報漏えいの防止問題に役に立たないと思っているわけではないんですね。よく技術状況を理解して、時代についていっているガイドラインであれば、やはり漏えい防止には有効なはずでしょうから。例えば個人情報窃取罪とか不正取得罪とかがなくたって、ガイドラインは意義があると思いますが、ただそれはあくまでもガイドラインの内容は精神的なものではなくて、具体的、技術的で実効のあるものでなければいけないと思うんですね。守っていさえすれば、まずほとんどのケースでは情報漏えいは防止されるという程度のものでなければいけないし、あるいは重大な情報漏えいと、そうでない情報漏えいというものについて、はっきりとした規範的な立場がとられていなければいけないと思います。でも、これは言うは易くて、非常に難しいことだろうと思うんですね。

例えば、これは例えばですので、例えばと思って聞いて頂きたいんですが、最近、話題の技術として、生体認証技術というのがあります。これは手の静脈のパターンとか、指紋とか、虹彩、網膜、耳介とか、こういった体の情報を使って本人確認をするという技術なんですが、例えばこんな情報をどのような各意味での個人情報に位置づけて、それにほぼ規範性を与えるかということは、今まであまり意識されていなかったと。人間の体の情報というのは、医療機関が医療のために持つというふうに考えているのが普通で、金融機関がお客さんを確認するために持つというのは、あまり考えてはいなかったと思うんです。しかし、これだけデータファイルとして流出なんかしたら、これは──品のいい言葉ではないですが──ただじゃ済まないというふうに思います。

というのは、こういう生体認証情報、生体情報というのはリセットできないんですね。通常のパスワードとか、名前なんていうのは、本当にまずければ名前を変えればいい、パスワードを変えればいいんですが、静脈のパターンを漏えいしてしまったからといって、変えるというわけにはいかないわけです。しかも、そういう生体情報というのは個人のルーツですね、その出身とか血統とか、そういうことについて本人が思っている以上に重大な情報を持ってキャリーしている可能性があるわけなので、とても重大なものなんですが、それをどのように管理するかというのは、すぐ問題になる話だと思います。

センターで管理するというのは、なかなか危険な方法で、例えばICカードなりデバイスに入れて出さないとか、それなら大分緩和されると思いますが、私が言いたいのは、生体認証情報を使うなという話ではないんですね。適切に整理、管理を義務づけるようなガイドラインをつくるんだったら、やっぱり必要だろうと思うんですが。そういった状況に耐えられるようなガイドラインというものを、いわば維持管理する体制がガイドラインを設置するんであれば、ガイドラインを設置する側に必要だろうと思います。それが非常に難しいというのであれば、やはりこういう情報に無理やりアプローチする人の行為を処罰するということも、要するにずっとヒアリングでも何遍か出ていた点ですが、個人情報を管理する側を処罰するだけではなくて、盗み出した側を処罰しないのはおかしいと。僕はおかしいというのは単純には賛成できないんですが、ただ、そういうことを幾ら考えてもほかに方法がないんだったら、やはり最後はそのような対応も考えなければいけない。

ここまで考えますと、やはり技術的、具体的にガイドラインを書くことができるのかどうかということ。それがとても重大な問題で、そこまで踏まえてこのガイドラインを遵守していたら何が起こるかと。遵守していなかったら何が起こるのか。ついでに言うと、遵守しているにもかかわらず、非難されるような事象が起こってしまったら何が起こるのかということについては、審議会として議論するのであれば、相当の踏み込んだいわば決断が要るだろうと思います。

以上です。

○ 山下部会長

ありがとうございます。

○ 高橋委員

私も大きな枠組みのお話から入らせて頂きます。

今回、検討を行うガイドラインに従うべき事業者の範囲につきまして、当局のスタンスをお伺いしたいと思います。本日提示されました議題は、資料1の表題にあります「金融分野における個人情報保護のガイドライン等について」とあります。この金融分野におけるという点なのですけれども、この金融分野というのは、どのぐらいの範囲であるのかということに関しての検討が必要だと思います。

と申しますのは、他の省庁のガイドラインを例に挙げますと、経済産業省は「個人情報保護に関する法律についての経済産業分野を対象とするガイドライン」という表題になっております。それから総務省の方は、「電気通信事業における個人情報保護に関するガイドライン」というふうになっているわけですね。

総務省の方は非常に明快でございまして、電気通信事業者はという書きぶりで徹底しているわけで、これは非常にわかりやすいんですけれども、多分、金融庁は経済産業省の方と似通ってくるのではないかというふうに思われます。経済産業省の場合は、その対象とするものに対して、経済産業省が所管する分野及び法第36条第1項による指定を受けた分野というふうになっているわけで、法36条第1項の指定となると、事業を所管するということで、非常に明快なわけなんですが、経済産業省が所管する分野というものも入っているので、多分、こういう表題がついたのかなというふうに類推をいたしました。

金融に関しても、現在、例えば金融審議会では金融庁が事業を所管する事業者ではない、例えば無認可共済とか、こういうところの検討も行ってきているわけでございますし、そもそもこの個人情報では、コングロマリット化ということで、金融機関以外が金融の分野で取得した個人情報をどう取り扱うかということが非常に大きな課題になっているわけでございますので、「金融分野における」という、この表現につきまして、ある程度明確な範囲を示す必要があるのではないかと私は思います。現在、もう規定があるのであれば教えて頂きたいですし、そうでなければ、これについて当審議会でご検討をお願いしたいと思います。

ここがはっきりしないと、開示とか訂正とか利用停止とか、そういう細かい規定に関しての検討が非常に難しいと思います。

以上でございます。

○ 寺田企画課調査室長

基本的に本日は論点というか、項目をご提示させて頂いている段階でございますので、私どもが申し述べることにつきまして、また審議会でのご議論を踏まえて、今後、早急に固めていかないといけない論点だと思っておりますが、基本的には個人情報保護法は主務大臣制を、先ほど委員のご発言がありましたように、ひいております。主務大臣でありませんと、先ほどの実効性の観点からいきますと、助言、勧告等の行政処分を行うことができません。したがいまして、まず基本的なラインとしては、金融庁所管法人ということになるのではないかというふうに考えております。所管法人という場合に、民間団体のみならず、公益法人等も含まれることになります。

したがいまして、いわゆる銀行、保険、証券というようなイメージ以外にも、例えば抵当証券でありますとか、貸金でありますとか、投資顧問でありますとか、かなり広い範囲にわたるものと考えております。さらに指定業種として金融庁が所管する業ということになりますと、これは指定行為の範囲がどこまでになるのかということになると思いますので、そこは内閣府等とも議論しないといけないと思いますが、他方で先ほどのご指摘のような、何といいましょうか、本ガイドラインの実効性をどこに求めるかという場合には、基本線は内閣府の国民生活審議会等からのご指摘を踏まえますと、所管事業者ということになるのではないかと思います。

○ 上柳委員

私自身も夏休みで、しかも人事面でも変わったというのもあって、対面される方の顔ぶれも変わったので、何となくぼーっとしているところなんですけれども、本来、ぼーっとしていてはいけない時期なのではないかというふうに思うんですね。来年の4月から法律は始まるわけですし、それから何といっても、この金融分野というのは業態といいますか、業界の状況が変わっておりますので、大変な時期にあるのではないかというふうに思います。

それで、偉そうな言い方かもわかりませんが、資料1に書いてある、確かにこのとおりで、こういう項目についてそれぞれきちんと実務的に検討を深めていくというのはそのとおりなので、事務局の作業には敬意を表するんですが、本当にこれは何を守ろうとしているのか、金融分野として何を大事にしようとして、ここだけは不退転の決意で頑張るぞということが、やっぱりもう出てこないと、大変きついのではないかということで、ちょっと心配といいますか、私自身も気持ちを入れかえないといけないなと思いました。

今日の発言を見ても、堀部先生、それから岩村先生が大変危機感を持ってお話になられたように、例えば何をセンシティブ情報と考えるのか、金融分野ではこれは守るぞということであるとか、あるいは金融機関に情報を預けた場合には、ミスとか、あるいはほかに犯罪者がいた場合でも、これは出ないようにするというふうな、何かコアのところがないと、やっぱり国民が安心して金融を利用できないのではないかと思います。岩村先生は例を挙げられましたので、例えば生体認証技術についても、これもやっぱり私の考えだと、ガイドライン程度でゆっくりやっていくのであれば、やっぱり金融機関に生体認証技術なり情報を渡してはいけないというふうになってしまうと思うんですよね。

だけど、やっぱり一方では、これからすぐにとは言いませんが、何年か中にはセキュリティがきっちりすれば、一定の信頼できる金融機関にはそのような情報を預けてもいいということになるんだと思うので、そこの流れに対応できるような、どこがコアなのか、少なくとも私の知見で言えばセンシティブ情報をきちんとすること。

それから原則は取得しないとしても、例えば保険分野ですと、これは健康情報を預けたのではないわけですので、これは一定預けた上で、だけどそれはそのほかの業態の、あるいはサービス分野には流れないぞと。ですから、あるいは同じことが書かれていますが、決済情報というのは大変重要なので、そういうのについては金融機関の中でも閉じ込めてしまうとか、そういうあたりのポリシーを今の時点で打ち出さないといけないのではないかと思います。

それで、これまた持論で申しわけありませんけれども、そういうことを考えると、本当にガイドラインで十分なのか、センシティブ情報で一定の情報の取得を禁止するということは、これはやっぱり法律事項ではないかと一方で思いますし、それから特に罰則、直罰論も含めてということを考えると、やっぱり法律の制定も、この時点ではありますけれども、もう一回念頭に置いて、この夏休み検討する必要があるのではないかと。

以上です。

○ 山下部会長

非常に課題が大きいものがあって、それに対応する対策というのもいろいろ考えなくてはいけないということであります。それはそのとおりなんですが、現在のところはこのガイドラインというものを秋口というふうに言われていて、そこまでにつくらなくてはいけないわけでございます。

8月に入った中で、急遽お集まり頂いているわけで、やはり今日のところはガイドラインに具体的にこういうことを盛り込んで頂きたいというご意見がありましたら、ぜひ頂いておきたいと思います。

○ 岩村委員

私も、具体的にというのは賛成なんですが、ただ、私がまずやっぱり考えておくべきことは、ガイドラインの性格なんですね。つまり、いわばお手本のようなものとして盛り込むものなのか。これに反したら罰則が来るという性格のものなのか。あるいは守っていれば、通常罰則のところを免れるという意味でのセーフハーバーのようなものなのか、そのぐらいは整理されないと、具体的なものの論点というのの議論のしようがないとまでは突き放しませんけれども、議論は非常に困難になると思いますが、それはどうでしょうか。

○ 山下部会長

この点、このガイドラインを各官庁でつくるということは、政府の方針に基づいていることですが、そのあたり堀部先生いかがでしょうか。

○ 堀部委員

先ほど岩村委員からもありましたように、法律上は主務大臣が報告の聴取から始まって勧告、命令まで出していくということで間接的強制なのですけれども、ほかのところ、例えば経済産業分野で議論していますと、事業者からすると、どういうふうにしておけば主務大臣の権限は行使されないのか、どこまでのことをやっていればいいのかということを明確に示してくれないと、事業者としては大変なことになるということもありました。

特に、勧告・命令が出るということになり、法律にはありませんが、公表ということになると事業者としては信用を失うということにもなるので、それは避けたいということもあります。この経済産業分野では、「しなければならない」というところはきちんと守ってほしい、「望ましい」というところは、法律違反ということにならないけれども、できるだけそうしてほしいということで区別をしまして、そういう書き方もしています。

もう少しガイドライン案の具体的な内容が出てきたところでどうするかと、いろいろな立場でご意見があろうかと思いますので、そういう形で出して頂くのがよいと思います。そうすることによって、ガイドラインで法律を解釈をして、あるいは法律の具体的な適用を示して、主務大臣が権限行使をどこまでするか、しないか、こういう形でガイドラインの実効性を上げるということも考えられると思います。

今後、また議論していくわけですが、とりあえずは経済産業分野については、そういう考え方も踏まえてまとめています。

○ 岩村委員

ということは、個人情報保護に関する法律の第34条以下のプロセスとの関係で議論しているのであって、例えば銀行法26条の監督ということはないということでいいんですか。そこはやっぱり確認した方がいいと思います。

○ 寺田企画課調査室長

岩村委員と堀部委員からのご指摘は、ある意味では両方ともごもっともなご指摘でございまして、今回策定する金融部門における個人情報保護のガイドラインは、個人情報保護法に基づいて、第一義的には金融機関等が個人情報を適切に取り扱うことを確保するために、まさに先ほどの1条及び8条に基づいて、同法の解釈指針とその金融機関等において望まれる組織面や技術面の措置を規定するものでございます。

したがって、先ほど堀部先生がおっしゃったように、当該ガイドラインは金融機関における不適切な個人情報の取扱い、具体的には不適正取得、それから第三者に対して違法に個人情報を提供したという場合には、これは個人情報保護法に基づく主務大臣としては内閣総理大臣、そしてその委任を受けた金融庁長官の勧告及び行政命令を行う場合の指針となりますので、それらの行政命令で金融機関等の適切な個人情報管理が図られて、先ほども岩村先生からいろいろご指摘ありましたが、個人情報の漏えい抑止に資するという部分はあると思います。

他方におきまして、金融機関につきましては現在でも各業法におきまして、各業法の個々の法益の保護という観点から、主務大臣の監督権が定められております。その監督権のよって立つ法益の問題として、従来から金融機関の業務の健全かつ適切な運用を確保するという点は、法益の中の一つにあるわけでございますから、顧客情報管理のための体制の整備やマニュアル化等は、監督行政の指針の内容として、現在までも必要に応じて報告聴取等の監督上の措置はとっております。

岩村先生のご指摘につきましては、まさに個人情報保護法が施行されましたので、今回、定める金融分野の個人情報保護ガイドラインの内容が、監督行政上の顧客情報管理なりのあり方として、どう取り入れていくかという部分ではないかと思います。この取扱いの問題については、私どももこれを今の段階で取り入れないとか、そういうふうに決めているわけではなくて、これはガイドラインの策定過程において、並行してその位置づけは明らかにしていく必要があると考えております。

○ 山下部会長

要するに、個人情報保護法に直接は対応するということで、ガイドラインをつくっているけれども、それでは個人情報保護法だけを視野に置いて物事を考えればいいかというわけではなくて、背後に金融監督諸法があり、それらにおいて不適正な行為があった場合にどのような意味をもってくるのか、そのあたりも広い目で考えて、いろいろ対応しておかないといけないというわけです。

○ 岩村委員

私は、クラリファイしたいなと思ったのは、銀行法26条の監督というのは、銀行の業務もしくは財産の状況に照らして、健全かつ適切な運営を確保すると。財産だけとは言っていないけれども、やはり財務的な健全性ということにかなり比重を置いた印象はあると思うんですね。

ただ、みずほフィナンシャルグループの監督命令のような例を見ると、それ以外のものも確かにありそうな気がするので、この辺が考え方ですね。特に、個人情報保護と漏えい抑止という文脈ですと、つまりOECDの8原則との関係で言えば、何度も言いますように正当入手された情報の管理権問題ですから、それなりにすっきりするんですが、漏えい防止というのは、やはり個人情報主体の人権問題だという感じがするので、少なくともその印象で皆さんは議論されていると思うので、そうすると、そもそも銀行法の監督命令で考える性質のものなのかどうかと。

しかし、一方では個人情報保護法というのは、勧告があって、勧告に従わなければ強制措置という手順をとってくるわけですから、実際にその事例が出てきたときに、何度も言うのは、世論とか政治の感覚に合わないんじゃないかなと。少なくとも合わないおそれがあるなという気がするので、そういう問題はあるということは確認しなくてはいけないし、かつそのリスクを行政の実施に当たる人は、各引き受けなければいけないだろうなという気がするものですから、つい言いました。すみません。

○ 和仁委員

ただ、岩村先生の足を引っ張るつもりではないですけれども、銀行法1条には、銀行は公益的な存在であるということが書いてありますから、個人情報保護法と銀行法との規制を区別するというような議論を私はする必要はないと思います。規制される銀行側の弁護士としては、どっちにしろ業務改善命令が来るということで、同じレベルの話になりますから、こんなところで議論して頂いても、あまり問題はなくて、問題はセーフハーバールールをつくっていただけるかどうか、そちらの方が大切だということをまず申し上げたい。

即ち、不正取得をした情報を使ってはいけないのは、もうはっきりしているわけであって、銀行が普通問題にしているのは、企業がどんどんグループ化していく、その中で、一体銀行の顧客情報をどうやってシェアしていくのかというものが非常に難しくなってきていくということです。

殊に一つの銀行持株会社の下に信託銀行とか普通銀行が2つできるような話もありますけれども、現実に業務分野として結構重なっている、あるいは銀行と信託銀行が同じようなことをやっている場合に、その個人情報をどういうふうにグループとしてまとめていくのかということで、非常に難しい問題です。今のところは、いわゆる個人情報ではないようにマスクをかけるということを我々は言っているんですけれども、どこまで情報を隠したらマスクがかかっているというふうに言えるのかということについて、非常に判断で迷う場合が出てきます。

それからもう一つは、今言いました企業グループの場合、上の方に情報を集中して企業グループとしての方針をつくっていかなくてはいけないんですけれども、その場合に、ではどこで情報の漏えいとか混入とかを防げるのか。実際に、グループの中から情報は出ていかないんですよね。ただ、グループ会社の中での別の会社を、第三者と言わざるを得ないとすると、そこで情報が漏れたら、それこそ業務改善命令が出てくるかという話になるわけですね。ここのところをどう考えたらいいのか。

実際には、今、下にある子銀行をどうするかは、上にある法人カンパニーで兼任という形で、皆さん上の法人カンパニーで情報に基づいていろいろ議論をしようとされているんですけれども、そうすると、兼任者同士がお話をしていたら絶対情報漏れるんじゃないかなということは誰でも想像します。第三者というのは、一体何なんでしょうかねということを、もう少しガイドラインの中ではっきりさせていただかないといけないのではないかなと思っています。そこのところ、もし考えて頂くんだったら、喜んでお手伝いしたいと思います。

○ 岩村委員

今、和仁先生に足を引っ張られたから引っ張り返すわけではないんですがと、そういうことではありません。

第2条で──というのは、理解としては結構な理解だと思うんですが、ただ、私が気にしているのは、和仁先生がおっしゃっているように、不正利用された情報を使ってやってはいけないとか、情報を不正に金融機関が使ってはいけないという点がはっきりしているということについては、私も全くそのとおりです。その場合は、銀行法であろうと、個人情報保護法であろうと、あるいはそれが重畳的であろうと、それは当然あり得るだろうと思っています。

ただ、その話ではなくて、銀行なり金融機関が少なくともガイドラインに沿って管理している情報が不正に流出してしまったときに、監督命令の対象になるんだろうかと。監督あるいは処分の対象になるんだろうかということを、多分その業界においても最も気にしている点であろうし、また、そこの部分をどうするかということは、ガイドラインの効果に非常に大きな影響を与えるだろうという気がいたしますので、そこを繰り返して指摘しているわけです。

○ 原委員

随分前からこの問題にかかわっていて、それでぱっと思い立っての意見というのはなかったんですが、考えれば考えるほど非常に複雑な仕組みになってきているというふうに思っておりまして、先ほど岩村委員の方から出ましたガイドラインの性格というところが、どうしても把握しにくいというところが一番の大きな問題点として、整理をしておく必要が、私はどうしてもあるというふうに考えております。

いろいろなやりとりの中で、堀部先生の方からも、セーフハーバーであると、漏えい防止にも資するであろうというようなことで、このガイドラインは各省庁とも進めているというお話なんですけれども、もう一方に、この法律ができたときに、国会で附帯決議をつけて、3つの分野については金融を含めてですけれども、一定の特段の措置を考えるべきではないだろうかというふうにつけたのは、セーフハーバーとしてのガイドラインの話だけをしていたわけではなくて、先ほど上柳委員の方からも出ましたように、センシティブ情報なんかも含まれているので、やっぱり広げた意味での人権問題というとらえ方をしておりました。

だから、事業者の方が何を守ればいいんだろうかという、もう少し具体化してほしいようということだけではなかったというのが、この附帯決議の意味だというふうに思っておりますので、その意味からすると、私は、もう少しガイドラインの位置づけというのは広いし、深みがあるものではないのかというふうな考えを持っております。

ですから、このガイドラインを策定することで、事業者にとっては一つの目安になるのかもしれませんけれども、ここでとどまるのではなくて、一体どの範囲までを含めて、どの程度の深みを持ってということを考えたときには、法律制定とかということもあり得るんだというようなことも考えて、検討を進めていくべきではないかというふうに考えております。

あとは、内容的なところでは、今、和仁委員がおっしゃられたようなところを、私もちょっと危惧をしておりまして、今度はちょっと具体的なところでというふうに思うのですが、一つは和仁委員がおっしゃったのと、ほとんど同じようなことを考えております。

第三者提供ということが、これは金融分野、これから非常に進んでいくというふうに思っておりまして、その場合、あらかじめ公表とか、それから本人にも通知をしてあるとか、そういう文言が幾つも法律の中では出てくるのですけれども、これが消費者側との食い違いというのが私は生じているように思っていて、この部分については、すごく具体的に決めていくというふうに先ほどご説明の中でもありましたけれども、食い違いが生じないような方法、やり方ということをちょっと精緻に詰めていきたいというふうに思っております。

それから2つ目、同じ関連なんですけれども、銀行の中で保険商品が買えるというようなこととか、証券の仲介業とかというふうになりまして、銀行業も非常に膨らんでいくというふうに思っておりまして、そういう中でこれまで銀行が取り扱っていなかった、例えば医療情報とか、そういうようなものも扱われるようになると、その正確性は一体どこが責任を持って担当することになるのか、それから保管はどうかとか、最新性については一体どこが責任を持つことになるのかというあたりも、詰めていく必要があるのではないかなというふうに思っております。

それから3つ目なんですが、先ほどご回答がありました医療情報、病院側が持つ情報ですけれども、それも本人には今のところ開示はしていない、求めに応じてはいないということなんですけれども、それは論点として残りますという話をしたんですが。もう一つ、今、医師の診査や告知がなくても入れるタイプの保険も大変出てきておりまして、これはもちろん既往症については自己申告ということになっているんですけれども。これはトラブルになった場合、やはりこれも実際には医療機関側への問い合わせということもあるのではないかというふうに思っておりまして、その場合の本人の医療情報というものは、本人にも開示をされる性質のものになるのかどうかというようなあたりも、3点目としては残っているというふうに思います。

それから4つ目なんですけれども、苦情の処理とか、それから認定個人情報保護団体、それもどのようにやっていかれるおつもりなのか。苦情処理も個別に金融機関が自分たちで窓口で設けられるものと、それから金融庁でも当然設けなければいけないだろうと思うのですが、そのあたりのリンクというようなものをどのように考えられるのか。それから認定個人情報保護団体というものを、どのようなものを考えてつくっていくべきだというふうに思っていらっしゃるのかということが、個別にはちょっと気になっています。

あとはもう一つあるんですけれども、また後ほど。

○ 森崎委員

まず初歩的なところで1つお伺いしたいんですけれども、今日、寺田室長からご説明がありましたのは、いわゆる金融分野全体にわたるガイドラインの概要ということかと思いますけれども、金融庁で所管をしております銀行、証券等、その他ございますけれども、こういうところにつきまして、やはり業態ごとに、このガイドラインをさらに詳細にしたものをつくるという、そういう計画があるのかどうかということを伺いたいと思います。

もう一つは、各業態では自主的にガイドラインをつくっておりますけれども、こういうガイドラインにつきまして、行政としまして、一定のチェックをするといいますか、行政としてのガイドラインに合わせた形でチェックをしていくというようなことも考えておられるのかどうかということでございます。

それから3番目に、ガイドラインの性格というのが一点議論されておりますけれども、私の判断としましては、ガイドラインには法的な拘束力はないというふうに思っておりますが。ただ、行政としてはガイドラインに沿って、その業務を執行しておりますので、そこで明らかな法令違反があると発見された場合には、それぞれ適切な措置をとるということになりますし、検査権がありますので、ガイドラインに沿った検査をするというようなこともありますから、ガイドラインの方からないというか、少ないというようなことにはならないんじゃないか。

したがいまして、ガイドラインでかなりきめ細かく詳細を決めておくということが、やはり必要なのではないかというふうに思います。

以上でございます。

○ 寺田企画課調査室長

ご質問の業態ごとのガイドラインを当庁において検討するかということにつきましては、先ほどの話のように、個人情報保護法及び基本方針において求められておりますのは、各省所管の業及びその所管業者についてのガイドラインでございますので、当然のことながら私どもは、その全体としてのガイドラインはつくらせて頂きますが、業態というふうに、業態というのは極めてあいまいな言葉ですので、若干そこは正確に定義をして言っているわけではございませんが、何かそれぞれの業ごとに対応の違うガイドラインをつくるということではなくて、それは各業界の業態ごとの情報の特性とか、情報に応じて自主的なものを定めて頂くべきではないかというふうに、それは基本方針等でも定められているところでございます。

ただ、1点申し上げますと、それは必ずしも金融機関が取り扱われる情報がいろいろな情報ございます。先ほど来、出ておられます信用情報、それからセンシティブ情報等の情報の特性によって、事業者が遵守すべき事項に何らかの配慮もしくは差異があるかどうかということは、それはまた別な話でございまして、対象というか、射程といたしましては、金融庁のガイドラインはあくまでも金融庁の所管事業者及びその所管事業ということになるかと思います。

行政としてのチェックというのはもちろん、これも先ほど来ご議論のあるところで、私どもとしても、個人情報保護法の主務大臣としての関与、当然、報告聴取権や勧告等の体制づくり、他方で先ほど来お話のある、現在の業法等との関係において、どのようなチェック体制、もしくはその反映を行うかというのは、またそれは別途考えていかないといけないと思っておりますが、当然、その個人情報保護法に基づく執行体制、それから先ほどの原委員からのご指摘のあった、認定個人情報保護団体の指導指針等は、私どもできちんと施行までに整理しないといけない、かような認識でございます。

○ 松本委員

私は、銀行実務上から3点。

1点目は、「格別の措置」について、それからあと2点については、今日提示を頂いた「盛り込むべき事項及び論点」の中の「共同利用」とそれから「開示」について意見を言わせて頂きたいと思います。

「格別の措置」ですが、4月に閣議決定された政府の基本方針において、金融信用分野の「格別の措置」を検討する必要性があるということですが、我々銀行側からすると、そもそも個人の信用にかかわる情報を取り扱ってきた銀行としては、従来から非常に守秘義務は強く意識をして適切に取り扱ってきたというか、そもそもそういう歴史がございます。

加えて、今、銀行界では来年4月の法の前面施行に備えて、自主的な取組みとして「自主ルール」の策定中であります。その中では、基本法の規定から一歩踏み込んで、より厳正に個人情報を取り扱うことを定めるなど、さらに適切な個人情報の取扱いを全金融機関に求めるということにしております。

基本法の遵守はもちろん、主務官庁である金融庁からも、いずれ示されるガイドラインに加えて、この「自主ルール」を各銀行が遵守するということで、個人情報の必要かつ十分な保護が可能であるというふうに考えております。したがって、「格別の措置」としての個別法の制定は必要ない、というふうに考えているというのが1点でございます。

2つ目でございますが、個人情報の共同利用についてであります。既にこの部会でも、いろいろとご説明はさせて頂いておりますが、現在は、グループ内であっても、別会社であれば、お客様の同意なく情報をやりとりするということはありません。ただ、金融サービスがどんどん進んでいく中で、ワンストップ化というのは大きな流れであると思うんです。実際、昨今の規制緩和によって、金融機関が本体で取り扱えるサービスは非常に多様化しているということでございます。この方向は、さらに進展すると考えています。

こういった状況を展望すると、例えば専門的な分野において、銀行本体が取り扱えるものであっても、これを人材確保や業務の高度化等の観点で、別会社として運営するとか、そういったケースもこれからは考えられる、と思っています。

したがって、そういった「実態的に同一企業」であるグループ企業間での情報の共同利用に関しては、全く別の第三者とははっきりと峻別した上で、柔軟に対応できることとすべきではないか、と考えております。

また、情報の利用に関しては、銀行内での多目的利用については、既にこの部会の場でもご説明したとおり、銀行の預金・貸出をはじめとする各業務は不可分な関係にあるということで、利用の目的を明確にした上で、同じ銀行内で多様な情報を適切に利用して、サービスを提供するということは、やはりお客様の利便性に資するものということです。また、店頭をはじめ、今いろいろなチャネルを通じて一元的な対応がなされている、ということも考えると、お客様もそういったサービスは望んでおられるという認識をしておりますので、個人情報の「保護」についても非常に重要ではありますが、「利用とのバランス」ということは、ぜひ配慮して頂きたいと考えております。

3点目でございますが、開示についてであります。実務上の個別の論点ではありますが、先月の国民生活審議会でも取り上げられた内容に関連するものでもあり、実務上の影響が大変大きいと考えるのであえて意見を述べさせて頂きます。

このたびの法令では、代理人からの開示請求に応じなければならない、とされておりますけれども、過去には、預金残高の情報を「代理人」と称する方も含めて、例えば「親族」等、「ご本人以外の方」に開示をして、大変なトラブルになった、こういったケースも多々ございます。このために、残高等の開示は「原則ご本人様のみ」ということで対応してきたのが実情であります。

したがって、正直なところ今後の対応については非常に苦慮しているというのが現状でございます。「申し出人は正当な代理人か」とか、「本人の意向はどうか」などについて、どうやって確認して開示するか、等といった実務への影響は少なくないと考えております。むしろこの点については、「本人が開示請求することが困難な場合には、代理人からの開示請求を認めるとしても、開示先は本人に限定する」とか、そういった措置をぜひ検討頂きたいということであります。

以上、3点提案させて頂きます。

○ 山下部会長

具体的な論点としては、先ほどからセンシティブ情報の取得、利用の問題、それから今の松本委員がご提示されましたグループ内での情報の提供、利用、こういうあたりがやはり非常に関心を呼ぶ、重要なこのガイドラインの目玉になる論点かと思いますが、そのあたりについて具体的に何かご意見ございましたら、頂いておければと思いますが、いかがでしょうか。

今の松本委員のご意見というのは、グループ内での保護と利用のバランスをとって、グループ内では割合緩やかに認めるべきではないかというご意見でございます。先ほど和仁委員のご意見というのは、そういう問題があって、それに対してこの規制のあり方としてはどういうふうに考えかということですね。

○ 和仁委員

今、松本委員がおっしゃったのと同じだと思いますけれども、私がやりたいのは第三者というのは具体的に何を言うのかということで、ガイドラインに示しておくのは、それで少し緩めた形になるのかもしれないけれども、むだなことでみんなエネルギーを使わないで済むかなという、極めてその場当たり的な解決です。

○ 原委員

今のお話は、堀部先生よくご存じのとおりなんですけれども、この個人情報保護を検討する、一番最初に大綱づくりというのを99年にやったんですけれども、第1回目のときの大議論が今のお話でした。

あのときは、生保会社の方と経団連から利便性の話が出されて、それで消費者側の委員からは、利便性ということではなくて権利だということで、それは法律の目的第1条に、そのまま残っているということになります。第1条、最後のところに、「個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする」という、この条文になったということになります。最初から最後まで、出口のところまでをこの論点が今、一番大きいんだろうというふうな感じがしております。

確かにおっしゃられるように、お客さんの利便性に資する点があるというのは、確かにそのとおりだというふうに思ってはいるんですけれども、ただ、やはりそれは本人の同意ということが前提、それも正確な理解のもとでの同意ということを大前提にして頂きたいというふうに思っておりまして、事業者側の方で一方的に、このグループ範囲内であればということとか、それから通知してあるからいいではないかと。その通知がいろいろな約款の中に紛れて読み取れないとか、小さい字で読み取れないとかということで、本人に届いていないというようなことも大いにあり得ることで、やはり別紙にするとか、きちんと正確に理解できるような形で、本人が必ずそのことについて同意をしたということが取れるような形になっていないといけないというふうに考えております。

○ 山本委員

生保業界もいろいろな情報を長期に取り扱わせて頂いて、それなりに今もそうですし、業界でも指針を考えております。また、このガイドラインを見ながら進化させていくというか、ブラッシュアップしていくという、そういう方向になっておりますし、協会として認定団体にもなろうという検討も進めております。

そういう中で、生保事業の一つの情報の特徴は、いわゆるセンシティブ情報といいますか健康情報、これを取り扱っているというのが、他業態とは少し色合いが違うのかなという感じはいたしますけれども、これについても今までも厳格な管理、対応をとっております。

ただ、その中でやはり生保事業の健全性ですとか、契約者間の公平性を確保するためには、どうしてもモラル・リスク対応といいますか、保険金の不正請求ですとか、給付金の不正請求、これはやはり一方で、対応が必要だということになりますので、先ほど原先生から、開示すべきというお話もございましたが、もちろん、そういう前提の中で健康情報の取扱いについては、特別な取扱いが必要という部分もご理解頂きたいなというのが本音のところでございます。

○ 高橋委員

消費者、利用者の立場から申し上げたいと思います。

このガイドラインというのは、金融商品、金融サービスの利用者の個人情報をどう守るのか、その個人情報の中でも被害が拡大されると大変な情報、しかも回収、回復不可能な情報をどう扱うかという観点に立って、やはりどう守るかという点を一番重視した検討であるべきだというふうに思います。間違っても、事業者がこれだけ守っていれば免責になるというような観点からの検討にならないことを祈っております。

具体的には、1点目は金融機関が収集する個人情報のうち、健康情報、それから信用情報などのハイリーセンシティブな情報については、罰則を伴うような厳しいものであってほしいというふうに願っております。

今回はガイドラインの検討だということですが、私は以前から特別法の制定が必要であるという考えでございまして、これも同時並行的に進めて頂きたいというふうに思っております。

2点目は、ワンストップ化に関することなんですけれども、一個人、一消費者としては、この流れを必ずしも歓迎してはおりませんで、百歩譲って、ワンストップ化ということを受け入れるにしましても、やはり第三者提供、それからグループ内利用に関しましては、かなりきめの細かいガイドラインをつくるべきだと考えております。

今日は新しい体制での第1回目ですので、具体的なというところには踏み込みませんけれども、とにかくかなり具体的なものを要望していると申し上げたいと思います。

以上です。

○ 上柳委員

ちょっと繰り返すかもわかりませんけれども、やっぱり共同利用については、慎重にやるべきだと思います。やっぱりまだまだ法人を異にするというのは、極めて明確というのか、一つの案としてわかりやすいので、法人を超えての流用というのはできないというふうに、今の時点で割り切った方がいいのではないかと思っています。

私はさらに仮に法人格が一緒であっても、繰り返しかもわかりませんけれども、いわゆる決済データ、それからあるいは特に保険なりに関係するんでしょうけれども、健康に関するようなデータについては、その部門のみ、あるいはそれを本当に必要としている担当者のみの使用に限るということが正しいのではないかと思っております。

ただし、これは百歩か全然違う観点ですけれども、やはり大きくグループ化されるというのは、いろいろなノウハウの相互利用とかいうことがあると思いますので、例えば一つのヒントになるのは、先ほど和仁委員の方からお話しありました、個人データをそのまま個人が特定されるような形で利用するのは、これは絶対だめですけれども、そうではなくて、一定の標本というんでしょうか、いわゆる匿名データにして、それを営業戦力なり、いろいろなことを考えられるのに使われるというのは、これは少なくても将来あり得るのかなと思っていまして、場合によっては、今の時点からどのようにマスクをかければ個人データでなくなるのか、多分、統計学なんかの方では研究が進んでいるんだと思うので、そういうことでの対処を進めるべきで、個人特定データをそのまま使うべきではないというふうに思います。

○ 鈴木委員

先ほど生保の山本委員がおっしゃった趣旨とやや似通ったことなんですけれども、損害保険業もご存じのとおり、万が一の損害を保障するという社会公共性の高い事業ということで、先ほど生保さんのおっしゃったことに加えて、損害保険を共同保険あるいは再保険という特殊な保険技術に基づくものがございます。

そういう意味から、この個人情報の適正な活用というのは、もちろん大前提ではありますけれども、実務的になかなか難しい面があるということについて、ぜひともご理解を頂きたい。先ほど銀行さんの方からワンストップというふうなことがありますけれども、それ以前に、非常に我々としてはこの公共的な使命を果たすためにも、技術的に難しい問題があるということをご理解頂きたいと、このように思います。

○ 高橋委員

苦情処理体制に関しての意見を申し上げたいと思います。

苦情処理に対しましては、安易に考えてしまいますと、現在の事業者の団体、業界団体の苦情・紛争処理の窓口を個人情報保護に関する苦情処理にも利用するというふうに考えられがちなんですが、私自身はこのやり方に関しては反対でございます。金融分野が非常に入り組んで、金融の規制緩和によって相互参入がどんどん進んでいる中で、個人情報保護以外でも、今、いろいろな問題が吹き出ていて、既存の業界団体のネットワークでやることが非常に困難な案件がたくさん出てきております。

それからしますと、センシティブ情報を含む個人情報に関しましては、私は金融分野を横断する一元的な苦情処理機関というものを立ち上げるということが必要だというふうに感じます。ガイドライン以外の話だと思いますけれども、意見として申し上げたいと思います。

以上です。

○ 原委員

今の苦情処理について高橋委員と同意見ですが、もう一つだけ追加でお願いしたいのが、今、第18条で利用目的の通知、それから第23条で第三者提供が書かれているわけですけれども、第18条では2行目のところで「あらかじめその利用目的を公表している場合を除き」というような言い方、それから第23条の第三者提供の制限では、2項で3行目から5行目にかけて、「あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているときは」と書かれていて、オプトアウトということを方式としてとっているわけで、先ほどの事務局からのご説明もオプトアウトの除外をどういうふうに考えていったらいいのかというようなお話で提示があったんですけれども、私はやはりこういった金融分野、信用情報分野というのは、オプトインを原則にしておくべきではないかと考えていて、オプトインを原則にして、いや、それでもオプトアウトでもいいよとなるのかどうかというふうな組み立て方にして頂きたいと考えております。

それからもう時間がありませんので、私の方はもう1点なんですけれども、今日は金融分野だけに限って検討しておりますけれども、信用情報分野というのがありますので、このガイドラインを策定するときに、そこは含んだ形にするのか、それとも信用情報分野については、また別途なガイドラインをおつくりになるおつもりなのかというところ、そこは今後の議論のためにも聞かせておいていただけたらというふうに思います。

○ 寺田企画課調査室長

まさにそこは、今まで信用分野ということで経済産業省の割賦の方とも合同部会を行ってまいりましたが、先ほど来出ておりますガイドラインの実効性という観点からは、主務大臣ごとにその事業者について定めて、それを勧告、行政命令、さらには間接罰という形で、実効性を確保しております。

そういう意味で言うと、ガイドラインのつくり方としては、金融庁の所管法人で、経済産業省の所管法人ということになるんですが、さはさりながら委員おっしゃっておりますように、確かにこれまでの状況を見ますと、割賦が他の金融関係の業態を兼務しておられたり、特に信用情報機関を通じた情報の共有という意味では、いわばネットワークの一環であるということを考えますと、情報の取扱いについての求められる水準、管理の水準、厳正な取扱いの水準というものは、これは具体的には調整をしないといけないというふうに考えております。

ただ、取り扱う水準は調整するとして、具体的にガイドラインの射程として、何か主務大臣がかぶったような形のものになるのか、主務大臣は主務大臣なんだけれども、内容が同一で、ある部分の内容は、ちゃんと整合性がとれた形にするのか、そこはちょっと今後、私どもも検討してまいりますし、また、この審議会でのご指摘も賜りたいと思います。

この点は、本席にいらっしゃいます堀部先生も委員でいらっしゃいます国民生活審議会でも、多少各省のガイドラインで、主務大臣制がいいのかどうかというご議論は、ひょっとすると委員の各位からあるかもしれませんが、少なくとも個人情報保護法の立て方は、主務大臣制があるのに重複したりするようなケースが若干ありまして、それは内閣府の方でガイドラインの立て方について検討することになっておりますので、そうした統一的な中で、重畳的なものがあるのか、ないのか。もしくは、そういうふうにきちんとしていたときに、抜けている分野がないようにするということも含めて、生保全体の中での検討と、軌を一にしてきちんとそのようにしてまいりたいと思っております。

○ 原委員

もう経済産業省の方は、かなりガイドラインという形は本体の方はできているので、何か経済産業省は信用情報分野については追いかけて、また検討を進められるということになっているわけでしょうか。

○ 寺田企画課調査室長

私もここで経済産業省の現段階としてコメントはしがたいんですが、事務的には今申し上げたように、割賦販売業という経済産業省の所管分野において、信用情報を取り扱うということから、その部分については金融分野と平仄の合ったものをつくろうとしているという、それを信用という形で別途くくり出したものにするのか、金融庁、経済産業省の所管なんだけれども、内容において信用情報の分野においては整合性がとれたものにするかという、非常に形式的な話については、今、政府部内の個人情報保護法のガイドラインのつくり方という意味で調整が行われている、そういうことでございます。

○ 山下部会長

実質において信用分野における個人情報保護のあり方として、望ましいところを検討していくということははっきりしているわけですね。ただ、それができたときの形式がこちらの方はこちらで、あちらはあちらとなるのか、それとはまた違ったものになるのかという、そのあたりを詰めておられると、そういう感じでよろしいでしょうか。

○ 寺田企画課調査室長

はい、そうです。

○ 原委員

金融は何しろ、この夏の暑いときにも集まってやっていますよね。同じように、信用分野のこの間来ていただいた産構審のメンバーの方々は、やっていらっしゃるんでしょうかって。

○ 寺田企画課調査室長

いずれにしましても、最終的に秋口までにガイドラインを含めました政府としてできる措置、それから年末に向けての法制度上の措置の可否も加えて、これは金融信用分野という形で、制度全体として決まっておるものでございますので、スピードとか調整内容において、そごがあるということがないと思っております。最終的なでき上がりにして。

○ 堀部委員

たしか8月31日に合同の会議を開く予定。まだそれもわからないですか。

○ 寺田企画課調査室長

ちょっとそれはまだ。

○ 堀部委員

両方かかわっていますので、いろいろ調整の連絡があるものですから、まだわからないですか。

○ 寺田企画課調査室長

はい。

○ 松本委員

先ほどから罰則の話が出ておりまして、それについて意見を申し上げたいと思うんですけれども。漏らした人に対する罰則が厳しいということについては異論はありませんけれども、そもそも今、罰則は何もないのかといったら、現行法令上でも、銀行に対して罰則規定がありますし、もちろん社内規程でも厳しく処分をするという罰則規定はあるわけで、最悪の場合は刑事告発とか、いろいろ手段もあるという中で、個別法で例えば金融界に対する罰則規定を設けた場合、例えば持ち出した人間と、今度それを活用する人間とか、他とのバランスというのはやはり重要だと思いますので、そのあたりはよく留意すべきだと思います。

○ 山下部会長

罰則の点はいずれ本格的に議論しなくてはいけないと思いますが、今日のところはご発言を承っておくということにしたいと思います。

ほかにいかがでしょうか。

それでは、今日はいろいろご意見伺ったところをもとに、ガイドラインの案の方を事務局の方で詰めて頂いて、また原案ができたところでこの委員会にお諮りするということになるということですが、そういうことでよろしゅうございましょうか。

それでは、本日の予定した時間、若干残っておりますが、今日はこれぐらいにしておきたいと思います。

事務局からご連絡があります。

○ 寺田企画課調査室長

先ほど来、議論になっておりました日程でございますが、追ってご連絡いたしますし、金融、信用一体としてきちんと期限までに間に合わせるということは、お誓い申し上げますので、日程については後刻ご連絡いたしますので、よろしくお願い申し上げます。

○ 山下部会長

それでは連絡があるかと思いますので、よろしくお願いいたします。

それでは本日はこれで終了します。どうもありがとうございました。

サイトマップ

ページの先頭に戻る