金融審議会金融分科会特別部会（第14回）議事録

平成１６年９月２９日（水）

金融庁　総務企画局

○ 山下部会長

それでは定刻でございますので、ただいまから金融審議会金融分科会特別部会を開催させて頂きます。

本日はご多用のところお集まり頂きまして、誠にありがとうございます。

当特別部会では、金融分野における個人情報保護のあり方についてご議論頂いているところでございます。前回の会合では、金融分野における個人情報保護に関するガイドライン要綱をお示しし、各委員の皆様方より幅広くご意見をお聞かせ頂いたところでございます。本日の会合におきましては、事務局においてパブリックコメントに付す予定の金融分野における個人情報保護に関するガイドライン（案）をお示しした上で、各委員の皆様方のご意見を頂戴したいと存じております。また、本日は、今後審議することになる金融分野の個人情報取扱事業者の安全管理措置等のイメージにつきましても委員の方々にお示しし、安全管理措置の内容についての規定を策定していくに当たりまして必要なご意見を頂く予定でございます。金融分野における個人情報保護に関するガイドライン（案）の説明に先立ちまして、経済産業分野の信用分野でございます割賦販売業等における個人信用情報保護のガイドラインにつきまして、産業構造審議会割賦販売分科会個人信用情報小委員会で審議が行われておりますので、まず経済産業省商務情報政策局取引信用課の佐藤課長よりそこでの審議についてご紹介をお願いしたいと思います。

それでは、まず佐藤取引信用課長、よろしくお願いいたします。

○ 佐藤経済産業省取引信用課長

それでは、ご説明させて頂きます。お手元の資料の１－１と１－２が関係資料でございます。

先般９月９日に第７回の個人信用情報小委員会を開催いたしまして、その場におきましてこの資料１－１に配付させて頂いておりますガイドライン要綱案に基づいて議論を行ったところでございます。経済産業分野のうち信用分野における個人情報保護ガイドラインにつきましては、産業構造審議会の第８回の小委員会が明日予定されてございまして、９日段階の要綱以降、大分事務的な作業を進めてございます。したがいまして、明日審議会の方でまた審議を頂くわけでございますが、現段階のことということで、要綱案に若干それ以降の事務的な作業をあわせてご説明させて頂きたいと思っております。

資料１－１でございますが、まず要綱案の目的のところでございます。１の（２）のところに経済産業分野のガイドラインとの関係を示してございまして、経済産業分野の信用分野のガイドラインは、経済産業分野のガイドラインをベースとしまして、信用分野のところに特段の定めがない場合には、信用分野について経済産業分野のガイドラインが適用されるということを書いてございます。

それから、２のところで定義でございます。「個人情報」以下、定義の多くの部分は経済産業分野のガイドラインと同じものになってまいりますが、「個人情報取扱事業者」につきましては、個人情報の量が5,000人を超えるかどうかの算定に当たりまして、信用情報機関に加入している場合については、その情報を計算に加えるということを入れてございます。

それから、（４）としまして、「与信事業者」の定義といたしまして、物品又は役務の取引に係る信用供与を業として行う者というものがございます。といたしまして、個人情報の量が5,000人を超えない場合につきまして記述してございまして、本ガイドラインを遵守することが望ましいと要綱案でさせて頂いております。ちなみに、この「望ましい」という用語でございますが、この部分を含めまして全体として努力規定と位置づけるものにつきましては、９日の議論も踏まえまして、現段階では用語をより適切な観点からということで、「こととする」と記述する方向で作業を進めてございます。

それから、「信用情報機関」について（５）に定義を入れさせて頂いております。

（12）で「本人の同意」でございますが、次のページの、に、原則として書面での同意確認を行わなければならないということ、及びといたしまして、書面は契約条項とは独立したもの、分離するということ、及び記述をわかりやすくするということを要綱で記述してございます。

３といたしまして、利用目的の特定のところで、個人情報の項目と利用目的の項目との対応関係を示すことが望ましいと記述してございまして、さらに具体的な例示を入れるものでございますが、現段階の作業といたしましては、この利用目的の中で共同利用や第三者提供などについても記述していこうという方向で作業を進めてございます。

それから、利用目的による制限のところで、（１）のでございますが、ダイレクトメールの発送等の販売促進の目的で個人情報を利用することについて、これを本人が拒否した場合に、与信に係る契約の締結を拒否しないことが望ましいということを入れてございます。

（４）といたしまして、センシティブ情報についても記述する方向でございまして、例外事項につきましては、クレジット産業の実態に合わせて若干のものを設ける方向で作業を進めさせて頂いております。

６といたしまして、通知又は公表についても、原則として書面によるというのを（１）に入れさせて頂いております。

７でございますが、データ内容の正確性の確保ということで、期限を定めて、必要がなくなった場合には消去するということについて入れさせて頂いております。

８.安全管理措置につきましては、経済産業分野のガイドラインでかなり詳細な規定がございますので、それをベースにいたしまして、この要綱案では、〔かっこ〕に入っている部分が経済産業分野で既に定められているもので、〔かっこ〕に入っていない部分が追加的に記述する部分でございます。幾つかの項目について経済産業分野に追加的な内容を定める方向で記述してございます。それから、安全管理措置の関連では、類似のものとして信用情報機関による会員の管理の問題についても記述する方向で議論を進めてございます。また、個人情報データベースを構成する前の入力の帳票についても、安全管理措置あるいは従業者の監督あるいは委託先の監督のところについて類似の対応をする方向で議論を進めてございます。

それから、９の従業者の監督につきましては、安全管理を遵守させるようにモニタリングを実施し、問題があった場合にはこれを遵守させるよう指示・命令、こういったことを入れる方向でございます。

10でございますが、委託先の監督につきまして、あらかじめ定めた選定基準に基づいて個人データを適正に取り扱う者を選定し、あとは委託契約に内容を盛り込み、遵守されるよう確保するといったことを入れてございます。

第三者への提供のところでございますが、（１）原則といたしまして、個人データを提供する第三者については、原則として、その氏名又は名称を記載することにより特定する。それから、信用情報機関に対し個人データを提供する場合につきまして、信用情報機関及び当該信用情報機関と提携する信用情報機関並びにこれらの会員企業にも提供されることを記述した上で同意をとるということでございます。信用情報機関について、かっこの中で「名称及び性格も」と書いてございますが、この辺は信用情報機関の性格についてわかりやすくなるようにという方向で記述を設けて、例示をガイドラインの中に入れていく方向で作業を進めてございます。でございますが、加入資格に関する信用情報機関の規約等、信用情報機関及び当該信用情報機関と提携する信用情報機関に加入する会員企業のリストについて、容易に知り得る状態に置くこと。また、規約につきましては、といたしまして、加入資格のある企業の外延が明確になるよう、加入資格等々についてできるだけ具体的に記述するということ。といたしまして、第三者における利用目的はできるだけ具体的に記載するということ。といたしまして、提供される個人データの項目については、提供する第三者ごとに記載するということ。としまして、同意の取得は、署名・押印を求めるなど、上記書面に本人の同意の意思が記載される方式による。こういったことを第三者提供の関係で記載する方向で議論を進めてございます。

（２）といたしまして、オプトアウトでございます。これにつきましては、与信分野では、多重債務への対応等を図るという観点から好ましくないということで、本分野においてはオプトアウトを利用しないことが望ましいということを要綱案に入れさせて頂いております。このただし書きのところの「ただし、官報情報等の公開情報を第三者に提供する場合は例外」というところにつきましては、明日の議論に向けた調整の中では記載しない方向で検討を進めてございます。

（３）共同利用のところにつきまして、グループ企業において与信事業者が他の事業者と共同利用を行う際には、その範囲が明確になるように明示した上で、その構成企業リストは容易に知り得る状態に置くといたしまして、それに関連する事例などを盛り込む方向で進めてございます。「利用する者の利用目的」は、第三者提供に係る同意取得の場合と同様、できる限り具体的に記載ということでございます。

あと、12以降については、基本的に経済産業分野のガイドラインと同一の内容のものになりますが、17の開示等の求めに応じる手続につきましては、開示等の求めをする者が本人又は代理人であることの確認の方法を定めるに当たっては、十分かつ適切な確認手続とするよう留意するということ、また、その際、当該定めの中で、代理人による求めに対して、与信事業者が本人にのみ直接開示することも可能であるということを記述するよう、要綱案で記載しているところでございます。

こういった形で要綱案を作成いたしまして、９日にご議論頂いたところでございます。議論の内容につきましては、資料１－２の方に記載してございまして、ちょっと時間の関係で省略させて頂きますが、こちらの方で９日にさせて頂きました議論を踏まえて現在最終的なガイドライン案について事務的に作業を進めてございまして、明日の審議会においてご議論頂く方向でございます。

以上でございます。

○ 山下部会長

ありがとうございました。

それでは、本日の議事をこれから開始させて頂きます。まず、事務局の寺田調査室長より、金融分野における個人情報保護に関するガイドライン（案）につきまして、ご説明をお願いいたします。

○ 寺田企画課調査室長

それでは、ご説明いたします。まず資料２でございますが、これはご参考としておつけいたしておりますが、ガイドライン案につきましては、今後速やかにパブリックコメントに付したいと考えておりますので、その頭紙のようなものでございます。ご参考でございます。なお、その中で前回の部会でもご指摘がございました点について若干触れております。２の（１）として、ガイドラインの目的の項において、ガイドラインの目的が、とに分けておりますが、として、事業者が講ずべき措置の有効かつ適切な実施を図るための個人情報保護法の解釈指針を定めるという個人情報保護法第８条に基づく措置が含まれるとともに、といたしまして、金融分野における個人情報の特性及び利用方法にかんがみ、まさに閣議決定の基本方針に基づきまして、事業者において個人情報の取扱いに関して特に厳格な実施が求められる事項を定める個人情報保護法第６条に基づく措置を含むものと位置づけを明確にいたしております。

（２）は、ただいまのの金融分野の個人情報の特性及び利用方法に対応した措置がとられている旨を確認的に例示いたしているところでございますが、ここは省略させて頂きます。

（３）次のページでございますが、前回の部会でもご指摘がございましたように、今後の金融庁における個人情報保護に向けての施策と申しましょうか、講ずる措置の全体像を記載しているところでございます。以下の対応を進めますということで、として、個人情報の取扱いに関して講じられる安全管理措置につきましては、本ガイドライン案で第10条から第12条においてその基本的な措置事項を示したところでございますが、本ガイドラインとは別個に、情報処理技術の現状等を踏まえまして、事業者の安全管理の取組みとして求められる措置内容を示すこととし、引き続き検討を行うこととします。これは今後ご審議頂く内容でございます。なお、（注）でございますが、具体的な手法につきましては、各種団体などにおける手引きの作成等の自主的な取組みが重要と考えておりますので、これについて金融庁として支援を行ってまいりたいと考えております。

として、個人情報保護法に定める認定個人情報保護団体制度につきまして、当該団体認定の認定基準のあり方の検討、また当該団体に期待されるこの必要な業務につきましても、今後検討を進める必要があると認識しております。

でございますが、本部会でもご指摘がございましたように、金融分野における個人情報保護の実効性を確保するための事項に関しまして、法制上の措置が必要であるかを検討しつつ、各事業者の業法に基づく検査・監督上の対応等の検討を行うことといたしたいと思います。

またでは、本部会におきましても、個人情報保護に向けまして、金融分野のみならず、各分野に共通する、もしくは他分野の取組みに関連いたしまして、ご質問、ご確認等あったところでございます。そうしたことから、金融分野の個人情報保護の実効性を確保するため、検討し措置すべき事項がないかどうかを引き続き検討してまいりたいと考えております。これはご参考でございます。

それでは、ご審議事項でございます、金融分野における個人情報保護に関するガイドライン（案）につきましてご説明いたします。

１ページおめくり頂きまして、若干全体像につきまして一言敷衍させて頂きますと、ただいまお話にあった経済産業省産業構造審議会におかれましての信用分野に関するガイドライン案とは、先ほど経済産業省の方からご説明がございましたように、経済産業省のガイドライン案は、いわば基礎とおっしゃっておられましたが、ベースとしての経済産業分野全体における個人情報保護ガイドラインがありまして、それについてさらに経済産業分野における信用分野のいわば上乗せ的なガイドラインになっております。他方、当方のガイドラインは、いわば金融分野全体における個人情報保護に関するガイドライン、非常に雑駁な言い方をいたしますと、１階部分と２階部分、全部組み合わさった形になっております。したがいまして、ガイドライン案で対象として記載している内容の範囲等も若干異なっております。すなわち、経済産業分野における信用分野のガイドラインでは、経済産業分野の方で書かれている事項の省略等はございますが、その辺は当方は１階部分がございませんので、１階部分もすべて含んでおります。また、すべての金融分野に関するガイドラインでございますので、例示の内容等は特定の業種になるべく偏ることなく幅広く記載したところでございます。そのようなことから、例えば先ほどご説明のあった個人信用情報機関についての取扱い等は重複する内容になりますが、その点はご容赦頂きたいと思います。

それでは、第１条の方から、時間の関係がございますので、前回の要綱で、いわばかっこ書きになっておりましたり、例示等の内容が今後検討となっておりまして、前回の部会でのご審議を踏まえて具体的に今回書き下した部分を読み上げさせて頂くという形でご説明いたしたいと思います。

第１条の１でございます。このガイドラインは、「個人情報の保護に関する法律」、「個人情報の保護に関する法律施行令」及び「個人情報の保護に関する基本指針」を踏まえ、金融庁が所管する分野及び法第36条第１項により指定を受けた分野――これを金融分野と考えておりますが――における個人情報取扱事業者が個人情報の適切な取扱いの確保に関して行う活動を支援するため、金融分野における個人情報の性質及び利用方法にかんがみ、事業者が講ずべき措置の適切かつ有効な実施を図るための指針として定めるものである。

２は、各認定団体とか各事業者における自主的なルールの定めが重要であること、それから、当然のことながら、個人情報の適正な管理に関しての関係法令等の遵守を定めております。

３項でございます。金融分野において個人情報データベース等を事業の用に供している者のうち、法第２条第３項第５号の規定により「個人情報取扱事業者」から除かれる者においても、本ガイドラインの遵守に努めるものとする。これは、いわゆる保有されておられる個人情報が過去６カ月以内のいずれの日に5,000を超えることのない事業者におかれましては、個人情報保護法上はこの規定によりまして対象外となりますが、これらの事業者におかれましても、本ガイドラインの遵守に努めて頂くという趣旨を定めているものでございます。

なお、「この努めるものとする」という表現は、先ほどのいわゆる第６条の格別な措置として法律を超える努力措置になります。この点につきましては、先般の部会におきまして、努力措置の範囲を明らかにして頂きたいというご指摘がございました。これに対応いたしまして、（注）のところでございますが、この他、本ガイドラインにおいて、金融分野の個人情報の生活及び利用方法に基づき、個人情報の取扱いに関して、金融分野の個人情報取扱事業者等が特に厳格な措置が求められる事項（努力措置）を「こととする」「適切である」「望ましい」の表現により規定しているということでございます。

続きまして、第２条、定義等でございます。３ページでございます。定義等につきましては、前回この項目のみ挙げておりますが、基本的な内容は法令等に基づくものでございますので、若干敷衍する部分だけを読み上げさせて頂きます。

３項、施行令第２条に定める「個人情報の数」については、「その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数」で判断されることとされており、他者が管理している個人情報データベース等であっても、それを事業の用に供する場合には、当該個人情報データベース等を構成する特定の個人の数を「個人の数」に算入することとなる。これは、特定の業種を念頭に置いて書いているものではございませんので、金融分野全体としてこういう書きぶりになっておりますが、特にご議論のある、いわゆる個人信用情報機関の利用者におかれましては、利用者ご本人というか、利用者そのものの管理データが先ほどの過去６カ月以内のいずれの日においても5,000を超えないとしても、業としてお使いになっておられる個人信用情報機関のデータの数が5,000を超えますときは、この方は個人情報保護法の対象者となるという趣旨を明らかにするために、定義の中で確認的に記載しているものでございます。

次の４ページで、６項、「個人信用情報機関」とは、個人の返済能力に関する情報の収集及び与信事業を行う個人情報取扱事業者に対する当該情報の提供を業とする者をいう。経済産業分野におかれましての定義と整合的な定義を置いております。

７、前各項に定めるほか、本ガイドラインにおける用語は、他に特段の定めのない限り、法及び施行令の定義に従うということでございます。

若干おめくり頂きまして、７ページでございます。ちなみに、すべてこのガイドラインは、関連する条ごとに関連する法律及び施行令及び基本方針を利用者の利便の観点から添付いたしております。

第３条、利用目的の特定でございます。１、金融分野における個人情報取扱事業者は、法第15条に従い、個人情報の取扱いに当たっては、個人情報がどのような事業の用に供され、どのような目的で利用されるかを本人が合理的に予想できるようできるだけ特定しなければならない。具体的には、「自社の所要の目的で用いる」といった抽象的な利用目的は、「できるだけ特定したもの」とはならない。「利用目的は、提供する金融商品、サービスを示したうえで特定することが望ましく、以下の例が考えられる」ということで、例を掲示しているところでございます。

２、金融分野における個人情報取扱事業者は、特定の個人情報の利用目的が、法令等に基づき限定されている場合には、その旨を明示することとする。

３、金融分野における個人情報取扱事業者が、与信事業に際して、個人情報を取得する場合においては、利用目的について本人の同意を得ることが望ましく、契約書等における利用目的は他の契約条項等と明確に分離して記載することとする。この場合、事業者は取引上の優越的な地位を不当に利用し、与信の条件として、与信事業において取得した個人情報を与信業務以外の金融商品のダイレクトメールの発送に利用することを同意させる等の行為を行うべきでない。また、事業者が与信事業にあたり個人情報を個人信用情報機関に提供する場合には、その旨を利用目的に明示するという内容でございます。

続きまして、次の８ページでございます。４条の「同意」の形式につきましては、先ほど経済産業分野からまさにお話がございましたように、私どもも原則として書面という考え方になっているところでございます。なお、あらかじめ作成された同意書面を用いる場合には、確認欄を設け本人がチェックを行う等本人の意思の十分な確認を行うことが望ましい旨、記載しております。

９ページ、第５条、利用目的による制限につきましては、前回の要綱でお示ししました内容以外の点といたしましては、３項、、、の例示を加えたのみでございますので、読み上げは時間の関係上省略させて頂きます。

続きまして、11ページ、第６条、機微（センシティブ）情報についてでございます。１、金融分野における個人情報取扱事業者は、政治的見解、信教（宗教、思想及び信条をいう。）、労働組合への加盟、人種及び民族、門地及び本籍地、保健医療及び性生活、並びに犯罪歴に関する情報（以下「機微（センシティブ）情報」という。）については、次に掲げる場合を除くほか、取得、利用又は第三者提供を行わないこととする。

以下、例外事項が限定列挙されておりますが、この中で７項は、保険業その他金融分野の事業の適切な業務運営を確保する必要性から、本人の同意に基づき業務遂行上必要な範囲で機微（センシティブ）情報を取得、利用又は第三者提供をする場合でございます。

また、第８項でございますが、前回、前々回の部会でご指摘のあった生体認証情報についてでございますが、機微（センシティブ）情報に該当する生体認証情報を本人の同意に基づき、本人確認に用いる場合というのが例外事項でございます。これは逆に申し上げますと、本人確認以外には用いることはできないということでございます。

２、金融分野における個人情報取扱事業者は、機微（センシティブ）情報を、前項各号に定める事由により取得、利用又は第三者提供する場合には、各号の事由を逸脱した取得、利用又は第三者提供を行うことのないよう、特に慎重に取り扱うこととする。

続きまして、12ページでございます。第７条、適正な取得。こちらは、要綱段階では、この「偽りその他不正な手段により取得してはならない」という内容として、いわば第三者からの取得についての例示を行うこととしておりましたが、ガイドライン案におきましては、事業者は、第三者から個人情報を取得するに際しては、本人の利益の不当な侵害を行ってはならず、情報の不正取得等の不当な行為を行っている第三者から、当該情報が漏えいされた情報であること等を知った上で個人情報を取得すべきではないという例示を行っております。

続きまして、13ページの第８条でございます。第８条１項におきまして、通知し、又は公表しなければならないとされております。要綱の段階では、通知・公表の方法につきまして、例示といいますか、まだ限定的な書き方をしておりましたが、ここにつきましては、「通知」の方法については、金融分野における個人情報取扱事業者は、原則として、書面によることとする。また、「公表」の方法については、金融分野における個人情報取扱事業者は、自らの金融商品の販売方法等の事業の態様に応じ、インターネット上のホームページ等での公表、事業者の窓口等への書面の掲示・備付け等適切な方法によらなければならない旨記載しております。

また、２項の第１パラグラフの第２文でございますが、書面による明示に際しましても、金融分野における個人情報取扱事業者は、与信事業においては、利用目的を明示する書面に確認欄を設けること等により、利用目的について本人の同意をとることが望ましい旨記載しております。

また、３項で、「取得の状況から見て利用目的が明らかであると認められる場合」の例示を行う旨、要綱段階では示しておりましたが、例示といたしましては、電話等での資料請求に対して、請求者が提供した住所、氏名に関する情報を請求された資料の送付のみに利用する場合が考えられる。これはまさに送付に住所、氏名が必要であるということから定められた例示でございます。

続きましては、２ページほどおめくり頂きました15ページの第９条でございます。第９条、データ内容の正確性の確保、これはまさに、利用目的に応じて保存期間を定めて、保存期間経過後の消去ということで、要綱案の考え方に沿った記載をいたしているところでございます。

続きまして16ページ、第10条、安全管理措置でございます。これは先ほど最初に申し上げましたように、安全管理措置につきましては、特に最近の情報処理技術、それから本部会で特にご指摘のございました生体認証情報の取扱いのような、新たな技術的な問題に対応するために、本ガイドラインにおきましては、安全管理措置の基本的な枠組み及び措置事項の項目を掲げるということにいたしまして、それらの措置事項として求められる内容につきましては別途今後ご審議を賜りまして、安全管理措置についての基準をつくりたいと考えております。そうした考え方に基づきまして、第10条は基本的な枠組みを規定しているところでございます。時間の関係もございますので、読み上げは省略させて頂きますが、１にございますように、安全管理のために、基本方針・取扱規程の整備、また実施体制の整備等の必要かつ適切な措置を講じなければならない。その措置につきましては、組織的、人的、技術的なものを含むということで、前回の要綱では、例えば５項の組織的安全管理措置の（１）の規程等の整備、また（２）の各管理段階における安全管理に係る取扱規程の中身というか、項目は掲げておりませんが、このようにそれぞれの事項を整備もしくはそれぞれの段階において規程を整備することとしてはどうかと考えております。また、６項の次のページの組織的安全管理措置及び人的安全管理措置、技術的安全管理措置の措置項目につきましても、前回は掲げてございませんでしたが、それぞれ以下のような事項をそれぞれの措置として行うことといたしてはどうかと考えております。

続きまして、その次の18ページでございます。第11条、従業者の監督。こちらも、要綱段階では、３項の「必要かつ適切な監督」の内容につきましては、今後検討となっておりましたが、１項、２項、３項ということで、いわゆる守秘義務契約の締結、もしくは安全管理義務の周知徹底、教育・訓練、それから点検・監査制度等が基本的に必要ではないかということで、今後この管理措置について求められる内容をご審議頂きたいと思っております。

その次の19ページの委託先の監督も、同様の考え方でございます。３項で、個人データの安全管理のための措置を委託先においても確保することが必要であるということで、その具体的な内容といたしまして、で、いわゆる委託者選定基準の策定及び見直し、で、その委託者に対して求められる安全管理措置の内容等を今後定めることとしてはどうかと考えております。なお、注でございますが、二段階以上の委託が行われた場合には、委託先の事業者が再委託先等の事業者に対して十分な監督を行っているかについても監督を行わなければならないということを規定しております。

続きまして、２ページおめくり頂きまして21ページ、第13条、第三者提供の制限でございます。１項なお書き、第三者提供の同意の取得に際しましては、原則として書面によることとし、当該書面における記載を通じて、個人データを提供する第三者、提供を受けた第三者における利用内容、それから第三者に提供される情報の内容を本人に認識させたうえで同意を得ることとするということを規定しております。

３項の個人信用情報機関に対する提供につきましては、基本的な考え方は、先ほど経済産業省の方からご説明があったところでございますので、かなり重複がございますので、読み上げは省略させて頂きますが、個人信用情報機関に対する提供につきましては、本人の同意の取得、またその次のパラグラフにございますように、同意書面における会員企業への提供もしくは会員企業者の表示。会員企業者の表示につきましては、第３パラグラフにございますように、名称の記載のほか、その会員企業名等を常時公表しているホームページのアドレスの記載等によりまして、いずれにいたしましても、本人が同意の可否を判断するに足る具体性をもって示すこととするべきであると考えております。また、次のページにいきまして、信用情報機関の規約等におきまして、信用情報機関の安全管理措置や加入資格等がきちんとご本人に示されるような記載を求めております。なお書きでございますが、当然のことでございますが、信用情報機関から得たこの返済能力に関する情報につきましては、当該者の返済能力の調査以外の目的に使用することのないよう、慎重に取り扱うこととするといたしております。

５項の法第23条第２項の適用につきましては、先ほどの経済産業省のご説明と整合的でございまして、当方としてもオプトアウトは個人信用情報機関への提供に際しては行わないということにいたしたいと思っております。

６項の共同利用の範囲の掲示につきましては、事業者による「共同して利用する者の範囲」につきまして、第２パラグラフで、個別列挙が望ましいわけでございますが、共同利用者が大変多数にわたる場合には、物理的にも、また利用者の利便としてもむしろ不便であるという場合もあるかと思いますので、共同利用者の外延を示すということもあるわけでございますが、その場合にも、本人が容易に理解できるよう「共同して利用する者」を具体的に特定する必要があると考えておりまして、その具体例として、当社及び有価証券報告書等に記載されている当社の子会社といったものを掲げております。

その次のページでございますが、７の経過措置は、法附則３条におきまして、法施行後において、法施行前の同意が相当するとみなし得る場合には、引き続き第三者提供を行うことができるとされているところでございますが、この金融分野の個人信用情報機関への提供につきましては、先ほど申し上げましたように、従前の同意では、同意の際に加入資格に関する規約とか会員企業名を本人の方が十分認識していない可能性がございますので、それらにつきましては、当然のことながら、法の施行前にきちんと本人の方が認識できる状況に置くということが附則第３条の適用上必要であるということを確認的に示しているところでございます。

２ページおめくり頂きまして、25ページ、第14条、保有個人データに関する事項の公表等でございます。こちらでは、要綱上、「本人の知り得る状態」の定めについてはかっこ書きとなっておりましたが、これは継続的な公表として、例えば、第23条に定める「個人情報保護宣言」と一体としてインターネットのホームページでの常時掲載を行うこと、又は事務所の窓口等での常時掲示・備付けを行うことを例示いたしているところでございます。

２ページおめくり頂きまして、第15条、開示でございます。前回部会でもご質問のあった、いわゆる「開示しないことができる」の、当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼす場合につきまして、その下でございますが、例示として示してございます。例えば、与信審査内容等の個人情報取扱事業者が付加した情報の開示請求を受けた場合又は保有個人データを開示することにより評価・試験等の適正な実施が妨げられる場合が考えられますが、先般もご質疑の中にございましたが、開示すべき個人データの量が多いことのみではこれに該当しないということを確認的に示しております。なお、最後のパラグラフの最後のところでございますが、開示しないという場合には、その決定の理由について、根拠とした法の条文及び判断の基準となる事実を示して遅滞なく説明を行うことを求めております。

続きまして、第16条、訂正等でございます。こちらにつきましては、基本的な考え方は変更ございません。こちらも、最後のパラグラフで、なお書きで、訂正等を行わない場合には、訂正を行わない根拠及びその根拠となる事実を示してその理由を説明することといたしたいと思っております。

その次のページ、第17条、利用停止等につきましては、要綱案と特段の変更はございませんので、読み上げを省略させて頂きます。

続きまして、31ページ、理由の説明でございます。要綱案にもございましたとおり、いわゆる本人のお求めの措置をとらないという場合もしくは異なる措置を行われる場合には、本人に対しまして、措置をとらない又は異なる措置をとることとした判断の根拠及び根拠となる事実を示して、その理由を説明することといたしたいと考えております。

続きまして、第19条、開示等の求めに応じる手続でございます。こちらは、第１項で、いわゆる掲示・備付けの努力義務を定めるとともに、第２項におきまして、なお、施行令第８条第２号の代理人による開示等の求めに対して、事業者が本人にのみ直接開示等することは妨げられないということで、こちらは信用情報の経済産業省の考え方と同様に、私どもといたしましても、必要と認められる場合には事業者が直接本人に対して開示されるということは、必要な対応ではないかと考えております。

２ページおめくり頂きまして、第20条、手数料につきましては、合理的な手数料額について例示すると要綱で書いていたわけでございますが、手数料を徴収する場合には、同様の内容の開示等手続の平均的実費の予測に基づいて合理的な手数料額を算定するといった方法を例示いたしております。

その次の35ページ、第21条でございます。苦情処理につきましては、要綱に定めておりますように、適切かつ迅速な処理に努めなければならないわけでございますが、２項として、その必要な体制の整備といたしまして、事業者は、苦情処理手順の策定、苦情受付窓口の設置、苦情処理に当たる従業者への十分な教育・研修といったことが必要であることを規定しております。

続きまして36ページ、第22条でございます。こちらは、基本方針に定めておりますとおり、事故発生時には、監督当局へ直ちに報告し、漏えい等の事実関係及び再発防止策等の早急な公表、またご本人への速やかな事実関係等の通知を行うことを要綱で定めたとおりに規定しております。

第23条、個人情報保護宣言の策定につきましては、個人情報保護宣言に盛り込むべき事項として、、、、それぞれ、取組み方針の宣言でございますとか、手続についての説明もしくは苦情処理窓口等がどこにあるか等を個人情報保護宣言においてきちんと明示することを求めております。

いずれにいたしましても、今後告示を行う際には、この内容につきまして告示としての様式に向けての技術的な修正等もあると思いますが、現段階における当方の案は以上でございます。

なお、別添として、資料４として、ただいまのガイドライン案につきまして、一般の方がわかりやすいような説明資料をつけておりますが、これは全くのご参考でございます。

以上でございます。

○ 山下部会長

ありがとうございました。

ただいまのご説明を受けまして、各委員の皆様方よりご意見を頂戴いたしたいと存じますが、今回も大部のものでございますので、議事の整理の関係で、案を２つの部分に分けまして、順にご意見を伺えればと思います。

最初に、第１条から第12条まで、したがいまして資料３の20ページまで、そして後半で13条からそれ以降ということといたしまして、各20分ぐらいの予定でご議論頂ければと思います。

それでは、まず１条から12条の関係につきまして、ご意見、ご質問がございましたら、どうぞ。

○ 山本委員

それでは、第６条に関連しまして、ちょっと意見を申し述べさせて頂きたいと思います。

生命保険事業におきましては、保険集団全体の公正性、公平性を確保する観点から、保険の引き受け、保険金等の支払い判断、あるいは保険制度の不正利用の排除のためにセンシティブ情報を利用することが考えられるわけでございますけれども、これらはいずれもここのガイドラインの第６条第１項の７号における「適切な業務運営」の範囲に該当すると考えております。また、センシティブ情報の利用におきましては、個人情報保護法に則した適切な取扱いを行うことはもちろんでございますけれども、保険金詐欺等の犯罪行為を排除する目的で利用する場合におきましては、すべての場合においてその都度ご本人から明示的な同意を得ることが困難なケースも想定されます。そうした保険事業の持つ公共性、公益性の観点からのご配慮もお願い申し上げたいと存じております。

以上でございます。

○ 山下部会長

森﨑委員、どうぞ。

○ 森﨑委員

前回確認して頂いておりますけれども、まず第１条の注のところです。努力目標、努力措置ということで、その表現の仕方が３つありますが、「こととする」「適切である」「望ましい」ということなのですけれども、この表現につきまして、どうしてこのように３つに分けてあるのかというのが一つあります。それから、このような表現の中で、今後、行政指導なり金融検査の場面におきまして規定違反ということにならないような、そういう確認を頂きたいと思っております。したがいまして、「こととする」「適切である」「望ましい」を一本にして、文脈としておかしいかどうかというのは後で見て頂ければよろしいんですが、「望ましい」という表現がいいのではないか。先ほど経済産業省の方からご説明がありまして、これは「こととする」ということに変えるのだというお話もありましたけれども、これは「望ましい」が最も望ましいと思っております。

それから、今ちょっと生保の方からお話がございましたセンシティブ情報の問題、６条でございます。第６条第１項のに「本人の同意に基づき」となっているのですが、これはどうしても本人の同意が必要かどうかということです。センシティブ情報であるから、なおさら同意が必要だということもありますけれども、先ほどのご説明にもございましたように、なかなか同意が得られないのではないかということになりますと、こういう情報を活用せざるを得ない業種にとりましては、問題があるのではないかと思います。これは、先ほどの開示のところで、最後の方ですけれども……。

○ 山下部会長

開示については後半の方にありますので、後ほどお願いいたします。

○ 森﨑委員

いや、それとちょっと関連しているところがあるかと思いますので、ここのところもちょっとご配慮頂きたいと思っております。

以上でございます。

○ 寺田企画課調査室長

実は、ガイドライン案で努力措置の語尾が３つあるということにつきましては、どうしても主語の関係などによりまして、「望ましい」がいい場合と「こととする」の方がぴったりする場合で書き分けておりますが、今後パブリックコメント等で、ただいまの森﨑委員のご意見のように、どれかに統一すべきではないかというご意見がございました場合とか、またこれを告示形式にする場合に非常にわかりにくいといったことがあった場合には、私どももこの表現については柔軟に考えさせて頂きたいと思っております。ただ、実は部内の監督部局等はまさに非常にこのガイドラインの位置づけについては十分いろいろな意味で注意を払っているところでございまして、この３つの中でどれか強いものと弱いものとがあるのかというご質問がありましたが、それは全くございません。努力措置ということで、同じでございます。ただいまのご指摘につきましては、今後パブリックコメントや告示形式への修正の中で、ご意見を踏まえてまた検討してまいりたいと思っております。

ただ、経済産業分野との整合性につきましては、特に信用情報につきまして、どちらかの基準が何か表現が違うことで妙な誤解を受けてもこれはあまり好ましくないと思いますので、その点は事務的にいろいろと調整してまいりたいと思っております。

それから、センシティブ情報の第１項７号の話でございますが、こちらは私どもとしては、センシティブ情報については国際的な動向を十分認識すべきであるといったこの部会でのご指摘を踏まえて、センシティブ情報について、いわば国ベースで明確に規定しているEU指令の例をいろいろと勉強しておりますが、やはりEU指令の中でも明示の同意を与えられたときというのがきちんと除外事項になっております。そのほかの内容としては、ここにございます１号から６号のような場合、例えばEU指令におきましても、いわゆる雇用管理、こちらのガイドラインの５項でいうところの団体の事務を遂行される源泉徴収でございますとか、会費徴収とかおありになると思います。また、１項とか２項に該当するような、いわゆる公共の利益等に該当する場合というのは、これは国際的に見ても同意不要と考えられますが、そうした観点から、７号の部分については同意が必要ではないかと考えております。

なお、先ほどのいわゆる犯罪の抑止でございますとか、そうした公共的な問題につきましては、今後１項もしくは２項もしくは４項として、国の機関等の協力という部分もあろうかと思いますので、むしろ、それに該当しないようなものということになりますと、やはり本人の同意を国際的にもきちんと受けて頂いて取得されるべきではないかと考えております。

以上でございます。

○ 山下部会長

原委員、どうぞ。

○ 原委員

ちょっと関連してというところなので、お願いしたいと思います。こちらの保険情報の本人の同意に基づきというのは、実務上も既に本人の同意に基づいておやりになっていらっしゃると私は認識しているのですが、ちょっと生保の方からのご意見はあるかもしれませんけれども、問題は、本人の同意に基づいてとられたものを、先ほどそれは後半ですからと言われましたが、第15条での開示についての請求権と絡むと思っておりまして、第15条ののところで、業務の適正な実施に著しい支障を及ぼす場合には開示しないとなって、例えばの例示が挙げられているわけです。ここに特に保険の話が出てはいないのですけれども、これまで私、多分２回ぐらい発言をここの分野についてはしているかと思いますが、本人同意で、もちろん情報は病院側からとられたにしても、本人が開示請求したときにどうなるかというところの問題が残っているのだと感じております。それが一つ。

それから、進め方なんですけれども、パブリックコメントをとられた後、もう一度この会議を開いて、どういうガイドラインにするということの検討の場が設けられるのか、それとももう設けられないのかによってもちょっと発言の内容が違ってくるようなところがあるんですが、そこを教えておいて頂けたらと思います。

○ 寺田企画課調査室長

医療情報の取扱いにつきましては、まさにご指摘のような点がございます。それから、最初の前文のところでも申し上げましたように、先般お話のあった債権譲渡のように、民法上の手続の取扱いということになりますと、金融分野について閣議決定で求められておりますのは、金融情報の特性及び利用方法に基づいて、格別の措置でございますので、債権譲渡というのは金融のみの話ではございません。それから、医療情報の特性及び利用方法ということになりますと、こちらの方で医療情報の特性に応じて何らかの取扱いを求めていくわけにはまいりません。そうしたことから、ただいまのご指摘を、私どもとしては関係審議会でございますとか、個人情報保護法そのものの考え方の中でどのように考えるべきかという点につきましては、また部会長等とご相談の上、きちんと関係省庁等に、もしくは個人情報保護法の解釈当局に問題提起をしていく必要があると認識いたしております。それは誠にご指摘のとおりでございまして、私どものペーパーの最初のに書いたのはその趣旨でございます。

パブリックコメントのご報告でございますが、これは当然のことながらいたしたいと思っておりますが、何分経済産業省もしくは総務省におかれましては、数百のオーダーでパブリックコメントが来ていると承っておりますので、迅速に処理してご報告いたしたいと思っております。

○ 堀部委員

経済産業省は510件、電気通信事業分野は11件でした。

○ 原委員

報告はあると思うのですけれども、それに基づいてガイドライン案を再度検討する場が設けられるかどうかということです。

○ 寺田企画課調査室長

もちろんご審議を頂くということでございます。

○ 山下部会長

ご意見があれば、早めに言っておいて頂きたいと思います。いろいろな段取りもあろうかと思いますから。

はい。

○ 今松委員

若干意見というか、６条のセンシティブ情報の２、「金融分野における個人情報取扱事業者」云々で、最後のところで、「各号の事由を逸脱した取得、利用又は第三者提供を行うことのないよう、特に慎重に取り扱うこととする」という表現になっているのですけれども、これは基本的な発想として、慎重に扱うのは当たり前ですが、ここはより強い表現の方がいいのではないかというのが、一つ、意見です。

それと、次の７条の適正な取得のところです。これは最後のところもそうですけれども、そういう不正取得等々の行為をした場合、そういう行為については、「取得すべきではない」。これは禁止条項と読んでよろしいんでしょうか。禁止であるとするならば、「してはならない」とか、その方がより明確になるという気がするんですけれども。

この２点です。

○ 寺田企画課調査室長

まさに、今の今松委員のご指摘は本ガイドラインの構造にかかわる問題でございますが、センシティブ情報の禁止というのは、法の措置を超えた金融情報の特性及び利用方法に基づく措置でございます。したがいまして、法的に「しなければならない」というサンクションのかかるような書き方にはなっておりません。ただ、「慎重な取扱い」という言い方が適切かどうかというのは、今後パブリックコメント等を踏まえて対応すべきと思っておりますが、いずれにいたしましても、この取扱いは具体的には、例えば安全管理措置の中で、特にセンシティブな情報は取扱者をきちんと限定しなければならないとか、一層のガードをかけないといけないといった措置を求めることで、かなりの程度果たされるものと考えます。それらの安全管理措置違反ということになりますと、こちらは法律上は義務づけ規定でございますので、かなり強い措置を講じることができる。ただ、法律の立て方として、個人情報保護法はほかの分野ではセンシティブ情報については何らの規制も行っていない。そうしたことから、このセンシティブ情報の書き方としてはそのような限度がありますが、実際の取扱いの厳正化を求める過程においては、個人情報保護法のいわゆる強行規定というか、強制規定に基づいて、私どもとしてもきちんとした監督・検査上の措置ができるようなガイドラインを考えていきたいと思っています。

なお、第７条の適正取得の件は、第７条の適正取得は法律上の禁止規定でございます。したがいまして、このガイドラインでも明確に禁止であるということをお示しすると同時に、その下のパラグラフに書いてありますように、第三者からお取りになる場合についても、特にこのガイドラインでは、金融情報の広範な利用が行われるという観点から、確認的にそういうこともいけないということを規定しているという問題でございます。

○ 山下部会長

よろしいでしょうか。和仁委員、どうぞ。

○ 和仁委員

私は技術的なご質問で、レベルが低いかもしれませんが、８ページの４条のところで、同意の形式について、書面によるというのが原則ですということを書いていらっしゃるのですが、この書面というのは、要するに本人が作成した書面という趣旨なんでしょうか。例えば、これはパブリックコメントで多分質問が飛んでくるんだろうと思うんですが、テープレコーディングをしていて、それを例えば文書化して磁気媒体に落としているとか、そういうことは結構あるわけです。結局、書面というのをわざわざ要求しているのは、何をしたいのか。記録がきちんと残っているということだけを目的として書面ということを原則にしていらっしゃるのか。あるいは、検査の関係上、やはりそれは本人が作成に関与した形の記録になっていないといけないということなのか。ちょっとそのご趣旨をはっきりして頂ければと思います。

○ 寺田企画課調査室長

同意の原則として書面によるという趣旨でございますが、ここで書面によるということで求めておりますのは、16条の目的外利用の同意のところと、23条の第三者提供の同意でございます。この目的外利用の同意というのは、つまりどういうことかと申しますと、金融分野の個人情報取扱事業者については、利用目的の特定について、特に提供する金融商品を示して特定して頂きたいと求めているわけでございます。ということになりますと、本人の方が目的外利用に同意するときに、では一体そもそも利用目的についてはどのように認識されて同意されたのかということは他の分野以上に明確である必要があるだろう。また、第三者提供の同意につきましても、先ほど来ご質疑がありましたように、信用情報機関といったものもしくはそれ以外にも金融分野の個人情報は広範に利用される。そういたしますと、本人の方が第三者提供の同意というときに、一体、その第三者の範囲とか、第三者はだれなんだということについてどのような認識の上に同意されたのかということが、金融分野はほかの分野以上に明確でなければならない。こうした観点から、そのご本人の同意を得る上での認識を最も明確に示すベストプラクティスとしては文書であろうと考えている趣旨でございます。したがいまして、ご本人がつくった文書でなくても、きちんと示された文書に署名・押印されるとか、確認欄に確認されるといった方法でもいいと考えているのは、そのような趣旨でございます。

なお、ただいまご質問がありましたので、若干まだ部内検討中の話ではございますが、では音声はどうなのかという問題でございます。確かに、利用者サービスの観点からは、音声で迅速に金融商品やサービスの提供を求める場合はあるものと思います。こうした場合におきましても、先ほどのような趣旨からすれば、本人の同意に当たっての認識について明確であったか否かが事後的にも検証できる方法、例えば確認内容を同意のもとに録音されるといった方法であれば、これは私どもとしては現段階ではその趣旨にかんがみて排除するものではないのではないかと考えておりますが、なお、そのようなパブリックコメント等で具体的な手法についてご質問があった場合には、その点を明確にしていく必要があるかと思っております。

○ 山下部会長

高橋委員、どうぞ。

○ 高橋委員

ただいまのご意見に関連してなんですが、同意を得る上での認識ということではベストプラクティスは文書であるということは明確に書かれているわけですが、その文書につきまして、例えば「明示する」といった表現ではなく、もう少し踏み込んだ方がいいのではないかと私は思っております。と申しますのは、わかりやすく正しい認識に基づいて同意なり同意拒否が行われなければいけないので、例えば経済産業省の方のガイドラインでは、「文字の大きさ」ですとか「わかりやすさ」といった表現が入れられるようですけれども、同じ金融分野でございますので、「文字の大きさ」であるとか、「文章量」、「わかりやすさ」などある程度大枠で結構ですので、そういうことに配慮するということきちんとうたって頂きたいと思います。それで、事業者が個々のガイドラインのところでそれを個別具体的に表現して頂ければ、消費者としては非常に信頼できると思います。

以上です。

○ 寺田企画課調査室長

私どもとしても、経済産業分野との整合性には十分留意してまいりたいと思っておりますので、パブリックコメントに付す際に、本日のご審議を踏まえて、また経済産業省におかれましては、私が経済産業省の予定を言うのはあれなんですけれども、明日ご審議が行われると承っておりますので、事務的に調整して、ご趣旨を踏まえて調整したいと思っております。

○ 山下部会長

それでは、２つに分けました後半の方についてのご意見を頂ければと思いますが、こちらの方はいかがでしょうか。13条以降です。森﨑委員、どうぞ。

○ 森﨑委員

第22条でございますけれども、ここで１項、２項、３項につきまして、「個人情報の漏えい等」と「等」という表現が使われております。「等」というのは、便利な表現ではありますけれども、ややあいまいでございまして、何でも入るということになりますので、この「等」をもう少し整理して頂けないかと。例えば、「個人情報の漏えいの事故」でありますとか、表現はお任せいたしますけれども、「等」はちょっと問題があると考えます。

それからもう一つ、２項で「公表すること」となっておりますけれども、公表するというのはそれぞれの事業体の経営判断ということではないかなと。したがって、ガイドラインで決めるという性格ではないんじゃないかと考えます。もしそのように書きたいということであれば、「公表することが望ましい」といった表現に直す方が望ましいと思います。（笑）

○ 寺田企画課調査室長

今の「漏えい等」の内容については、私どもとしても、この「等」で何でも読むというつもりは、当然のことですが、ございません。ただ、現在既に告示として出ております電気通信事業のガイドラインにおきましても「漏えい等」という表現を事実関係の公表の項では使っております。これにつきましては、２番目のご質問へのお答えでもございますが、閣議決定されました個人情報保護についての基本方針において、この漏えい等の事故の発生についての事実関係等の公表が求められているわけでございますが、その「等」の解釈としては、私は解釈当局ではないんですが、滅失・毀損が該当すると考えておりますので、この点は、他のガイドラインも「等」となっておりますが、明確にするということであれば、パブリックコメントもしくは解釈ご当局との調整の上、明確にする必要については認識いたします。

なお、ご指摘の２項の事実関係等の公表はガイドラインに記載すべきではないのではないかというご指摘でございますが、恐縮でございますが、前回ほかの委員の方からもご指摘がございましたが、閣議決定の基本方針に基づきまして、事実関係等の公表は求められておりまして、既に情報通信、それから放送においても、同趣旨の規定がございます。これは後の安全措置に関連するかもしれませんが、現実に金融機関の場合に、漏えいの事実の公表が若干遅れたことによって被害が拡大したのではないかという事例も現在報告されているやに聞いておりますので、この点につきましてはやはりガイドライン上明確化していく必要があるのではないかと私どもとしては認識しております。

○ 森﨑委員

そうしますと、例えば漏えいの件数ですが、たとえ１件でも公表することにするのか、100件とか、1,000件とか、その辺の程度の問題というものもあるのではないかと思いますが、いかがでしょうか。

○ 寺田企画課調査室長

それぞれの事業体の持っておられる個人データの数ですとか、漏えいした個人情報の性質によっても違いがあると思いますので、本席において事務局としてどの程度ということはなかなか申し上げがたいことはご理解頂きたいと思います。ただ、確かに可及的速やかな対応が求められますので、まずもって事業者においてこれを公表するかということの判断はなされるということは確かに事実であると思いますが、私どもとして申し上げたいのは、事業者において公表が不要であると判断された事案で、現実に二次被害とか類似事案が発生する可能性があるという場合には、これは私どもとしてきちんと助言なり勧告等をする必要性があるのではないかと認識しております。そういう意味では、ここで今後ガイドライン上どのぐらいの件数で公表を求めるとするのか、それは一次的には事業者の方のご判断であるけれども、そういう二次被害の可能性がある場合に、こちらの方がご指導するのか、その辺については今後検討すべきことかと思います。

○ 山下部会長

原委員、どうぞ。

○ 原委員

２点なんですが、１点は今の公表に関連してです。やはり私としては、ガイドライン案としては、第22条、漏えい事案への対応は、「早急に公表」という言葉で出して頂きたいと思っております。今、消費者センターには不当請求と架空請求の被害が大変、国民生活センターのパイオネットで消費者被害を収集しておりますけれども、去年80万件でしたのが今年は今140万件になっていて、その上乗せされた60万件は不当請求、架空請求ということで、ここは漏えいされた個人情報が使われているということになりますので、ぜひ本人に知らせる、公表するということは、今一番求められていると思っております。それが１点です。

それから、また別のところなんですが、第13条で第三者提供の制限が書かれているわけですけれども、21ページですが、３のところで、個人信用情報機関に対する提供についてという部分です。これは、例えば貸金業ですとか、そういったところに提出する個人信用情報がどう扱われるかということが書かれているわけですけども、第三者提供について同意を得るという方式になっていて、そして22ページに入って、なお書きで３行ほど入っていて、「返済能力の調査以外の目的に使用することのないよう、慎重に取り扱うこととする」となっているのですが、私としてはここは大変弱いと考えていて、個人信用情報の特殊性、特に財産権というより人格権に非常に抵触するというところも考えておりますので、この部分については、パブリックコメントをとられる中でも意見は出てくると思っておりますけれども、特別な立法の必要性ということを考えております。

それで、文章についてなんですが、先ほど「慎重に取り扱うこととする」という表現は、センシティブ情報の場合は、EU指令に基づいているけれども、法律にないので、そういうものについての項目を設けるときにこの言葉を使ったということなんですけれども、恐らくこの３行については、貸金業規制法の第30条の過剰貸付けの禁止のところを持ってこられたと思うんですが、過剰貸付けの禁止のところでは、会員は、「資金需要者の返済能力の調査以外の目的のために使用してはならない」という言葉で使われていますので、「使用してはならない」となっていると、「慎重に取り扱うこととする」というのは別に法的規制はないというお話でしたけれども、「なお」で始まる、この「慎重に取り扱うこととする」という表現はちょっと妥当ではなくて、「使用してはならない」という表現に置きかえるべきではないかと考えます。

以上２点です。

○ 寺田企画課調査室長

最初の22条に関する御意見につきましては、そのように認識させて頂きたいと思います。

それから、いわゆる信用情報機関への提供の話でございますが、私どもとしては、この同意を得るというプロセスが、上乗せ措置としては、個人情報保護法の枠組みから考えて、非常に整合的ではないかと思っています。と申しますのは、いろいろご意見はございますが、法律上、これは同意を得なくてもいいという解釈がございます。仮にこれが同意を得ないでいいということになりますと、先ほど申し上げましたように、信用情報機関への提供というのは、非常に広範な方に利用されます。その広範に利用された方のお名前が、同意を得ないでいいということになりますと、本人は認識できないことになります。そうしますと、金融情報の特性として、特に返済能力情報というのは何よりも正確性、最新性が大事だ思います。１つの信用情報機関だけではなくて、何千という信用情報機関に仮に行ったときに、そこで取り扱われている自分の返済情報がすべて正確でないといけないはずです。そうすると、同意を得るというプロセスで、どこに自分の情報が行っているのかがおわかりになれれば、まさに個人情報保護法の目的の一つである、本人がその事業者に適切に関与して訂正等を求めることができるという権限を行使することができるわけでございます。そのような観点から、金融分野の個人情報保護のガイドラインといたしましては、やはり本人に認識して頂く、そして同意を頂くというプロセスが大事ではないかと思っております。また、その個別法の必要性については、別途年内の結論の部分かと思います。

なお、貸金業規制法の規定と合わせるべきではないかというご指摘でございますが、当然のことながら、私どもは貸金業規制法は認識しておりますが、これは金融分野の個人情報取扱事業者全体の規定でございます。現段階ではこのような規定になっております。しかしながら、これはいつも議論になる分野でございますが、当然、他の業法できちんと規制されている部分については、監督・検査上、その業法に基づく検査・監督措置等が行われるはずでございますので、個人情報保護法の世界といたしますと、この一つの法律のみをもって金融分野の事業者のガイドラインとしてはこのような表現ではないかと思っておりますが、なお検討させて頂きたいと思っております。

○ 原委員

ちょっと誤解があったらいけないんですけれども、同意を得るというところについては、私も当然そのように考えておりますので。

それから、もう一つなんですが、そうしますと、今ここで書かれている、なお、慎重にという部分については、消費者金融が個人信用情報機関に情報を提供していらっしゃる部分と、それから、例えば銀行が貸金をやっていて、その情報等を交流している、そこの全体を見るのでこういう書き方にしたという認識でとらえてよろしいんでしょうか。

○ 寺田企画課調査室長

金融分野の個人情報取扱事業者と称する方はすべからく慎重に取り扱って頂きたいということでございます。ただ、この部分は、まさに今後年内の議論として、業法上の規制との関係で、より実効性のある体系をどのように構築するかという部分で、非常にご示唆に富むご意見だと思いますので、今後、金融審議会でのご審議に向けて、事務的にも十分検討してまいりたいと思っております。

○ 山下部会長

今の問題に関連したご発言はございますか。

○ 堀部委員

全般の話になって恐縮ですが、「慎重に取り扱う」というのは、個人情報保護法の３条に、基本理念として、「個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであることにかんがみ、その適正な取扱いが図らなければならない」と、個人情報保護法に規定されています。ここに「特に」と入れているのが、センシティブ情報についての意味であると理解するといいかと思います。

それと、６条に関係して、センシティブというのも「機微」という訳をしたのが、通産省時代の1997年の３月４日に官報告示した現行のガイドラインにおいてです。何と訳すのか非常に困って「機微」と言ったのですけれども、いまだに機微という言葉でいいのかどうか。例えば、「機微」というのは、「人情の機微に触れる」とかというので、何かここで別の表現でいいものがあれば、ぜひ考えて頂きたい。あるいはもう「センシティブ」と言ってもいいのではとも思ったりもしていますので、さらに検討して頂ければと思います。

○ 山下部会長

ありがとうございました。

それでは、岩村委員、どうぞ。

○ 岩村委員

実は前回もちょっと発言した点なんですが、ガイドラインの書き方の問題よりは、個人情報保護法の解釈そのものの問題なのかなという気もしますので、ちょうど鶴巻内閣府個人情報保護推進室長さんがいらっしゃっていますので伺いたいと思います。気になっておりますのは、今の金融の方向感として、ちょっと古びた言葉ですが、アンバンドリングということを申します。要するに債権譲渡とか、あるいは取立委任というのが、セキュリタイゼーションとか、ファクタリングというかたちで、一般の金融の実務の中にもはや完全に根をおろしているという状態にあるのが現状だと思います。そうした場合においては、第三者にと言うべきかどうか。例えば債権譲渡の場合だと、債権と情報が一体をなすのだと考えると第三者ではないのかもしれないんですが、しかし取立委任などだとやはり第三者と考えた方がよさそうなケースもある。それも含めて、例えば金融機関がもともと持っている個人情報や、あるいは個人事業主に対する情報というのが、金融機関外すなわち第三者に移転されるというケースがあると思うんです。そういったケースというのは、もともと個人情報保護法において、本人の同意があると考えているのか、それとも改めてとる必要があると考えているのか、そこをむしろ伺っておきたいと思っておりますが、いかがでしょうか。

○ 山下部会長

鶴巻さん、いかがでしょうか。

○ 鶴巻内閣府個人情報保護推進室長

ちょっと私もその実情を存じ上げないものですから、お答えになるかどうかわからないんですが、その前に、債権譲渡について第三者提供を前提としているのかというご質問と理解してよろしいんでしょうか。それとも、それ以外の含みというか、周辺のものが何かご質問の趣旨にあるんでしょうか。

○ 岩村委員

債権譲渡だけの話ではないわけですけれども、金融に関する、個人に対する債権、個人にとっては債務ですけれども、その実質的な管理者が移転するというケースは、根っこになる法律関係が債権譲渡であるケースと、ないケースとあろうと思いますけれども、金融実務の中では、比較的普通に起こっていることだと思うんです。そういうケースのときに、例えば取立を委任された業者であるとか、あるいはセキュリタイゼーションの場合ですと、セキュリタイゼーションを実行するオペレーターというところに委任される、あるいは移送されるケースがあると思うんです。そういうケースについては、一言で言えば個人情報保護法上の第23条による第三者への提供としての同意が要るのかどうかという点です。もともと同意推定されているということなのか、改めて同意が要るということなのかということでございます。

○ 山下部会長

鶴巻さん、お願いします。

○ 鶴巻内閣府個人情報保護推進室長

非常に幅広い事例を包含しておりますので、一言で言うのは難しいとは思うんですけれども、基本的には個人情報の取扱いだけに着目しているのが個人情報保護法でございますので、原則としてそういった場合についても第三者提供が別途必要となる。当然のごとく推定しているものではないとご理解頂きたいと思います。

○ 堀部委員

ちょっと一言。このあたりはいろいろなところで議論になるのですけれども、個人情報と個人データとをこの法律では分けています。23条の場合は、１項は「個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない」となっていまして、個人データというのは、個人情報データベース等を構成する個人情報です。そうしますと、債権譲渡の場合はどのようになっているのかよくわかりませんが、個人情報データベース等を構成する個人情報でなければ、23条の問題は直接には生じてこないと、法的には解釈できると思います。鶴巻室長がどう考えられるかですが、私はそういう解釈も可能なのではないかなと思っています。

○ 岩村委員

堀部先生の解釈は、大岡裁きのような解釈なのかもしれません。（笑）しかし、実務としては、やはり個人情報データベース等を構成するデータベースの中の一定の要件を満たすセットが移転されるということはあるであろうし、また、ないと、実際のいわゆるセキュリタイゼーションという業務が少なくとも現状と同じように円滑にはいかない。新しいコストと障壁が発生する。あるいは、個別に同意拒否されたり、本人と連絡がとれないといったときに、できないということがあり得るだろうと思います。ですから、堀部先生からは、多分実務者にとってはありがたい大岡裁きの一つを提示されたという感じはあると思いますけれども、その点はもう少し厳密に議論させて頂いた方がいいと思います。あえて鶴巻室長さんのお話に言えば、これはちょっと伝聞なのではっきりしないのですが、個人情報保護法制定の過程では、債権譲渡に伴う移転は推定の範囲内であるというように、起案されていた内閣府さんが解釈が示されたやに聞いておりました。でも、本当にそうかなという気がしたのであえてご質問したわけですが、本日は、当然のごとく推定されるわけではないとのお答えです。これは私が仄聞していたのと随分違う話です。どう理解したらいいでしょうか。

○ 鶴巻内閣府個人情報保護推進室長

私もちょっと繰り返し奥歯に物が挟まったような言い方になってしまいましたけれども、債権譲渡の場合は、確かに個人情報の移転を伴わずに債権譲渡というのがあり得るのかというところで、法律上のコンフリクトも生じ得るので、そのような解釈がその時点で示されたことと思います。ただいま私が申し上げたのは、業務が非常に多様になって広がってきているという中で、債権の取扱いが一部外に出るということと、情報を外に出さなければいけないことを分けて考えることができるのではないだろうかと、分けて考えるべきではないのだろうかということで、当然のごとく推定はされないと申し上げました。ある意味、債権譲渡と全く同じで、あらゆる場合そういうことだということであれば、同じに考えられるのかもしれませんけれども、今の時点で、私の頭の整理がちょっと悪いのかもしれませんけれども、当然すべて推定されますとはちょっと言えないということでございます。

○ 山下部会長

この点は、かなり重大な解釈問題にかかわってきますので、ここで議論してもなかなか適切な解決がすぐ出てくるわけではありませんので、なお関係の方面でこれを詰めて頂くということでよろしいでしょうか。

○ 松本委員

すみません。今の問題ですけれども、銀行としても、債権とかM＆Aとかはもう本当に日常のビジネスとしてやっておりますので、同意の推定という解釈をしているわけですけれども、ここのところはぜひ非常に慎重にご検討賜りたいと思います。

○ 岩村委員

では、この先は座長と事務局と、それから内閣府とでまず詰めて頂きたいと思います。特に、今の鶴巻室長さんのご発言についてコメントすれば、当然のごとく解釈されるのではないという議論は、では当然のごとくという線はだれが引くのかということを重要な問題として認識することになるだろうと思います。それが個人情報保護法の解釈問題として引かれるのか、それとも銀行業務や金融業務の実務への理解として引かれるのかということも、私は重要な問題だと思うんです。それは、内閣府さんが決めることですか、金融庁さんが決めることですかということにもなりますので、そこも含めて、ぜひ前向きな整理をお願いしたいと思います。

それから、債権譲渡にのみ話を限定するのではなく、これからの金融取引ということを考えると、単純な債権譲渡でない、あるいは債権譲渡ではないが、一定の業務を委託するということも当然あり得るだろうと思いますし、日本の金融機関がそれについて特にできないという事情が起こるというのは、不自由が大きいように思います。そこについてもぜひ整理をお願いしたいと思います。

○ 山下部会長

西村委員、どうぞ。

○ 西村委員

同じく13条なんですが、少し違った観点ですが、これはセンシティブ情報を含めて非常に重要な点なんですが、例えば同じような意味で非常にセンシティブ情報を含んでいるものとしては、国勢調査のデータがあります。国勢調査は統計法で、利用に関してはいろいろな意味で制限がかかっているわけです。それとの整合性というものも考える必要があるのではないかと思います。その点で１点、特に、国勢調査等であれば、目的外使用、つまりこの場合は第三者の方になるのかもしれませんが、例えば経済分析とか、マーケット分析をするといったときに、こういう情報を使うということに関して、ガイドラインでは実際にはどのようなお考えなのかというのをお聞きしたい。これはどうしてお聞きするかといいますと、情報というのは、１人１人にはセンシティブな情報ですが、全体としてみれば非常に重要な経済の情報なんです。この情報を使ってさまざまな形でいろいろな商品の開発などをするということは十分考えられるわけです。それと、もちろん個人情報保護との関係がありますけれども、例えば個人情報の保護にすれば、アメリカでやっているような、国勢調査に関してはリサンプリングを行うとか、そういう形で匿名性を確保するということは可能なわけで、そういったこともここで最初から閉ざすようなことがあってはならないと考えますので、その点についてお聞きしたいと思います。

○ 寺田企画課調査室長

これも、どこまで匿名化されれば個人情報の範囲に入らなくなるのかという問題のように思います。先般の国民生活審議会でも、関係省庁の中で、医療関係の研究関係のガイドラインで、匿名化のレベルをある段階まですれば、これは個人情報ではないのではないかというガイドラインに対して、国民生活審議会の委員の中からは、それではまだ匿名化のレベルが足りないので、それは個人情報に当たるといったご議論がございました。他方、私どもとしても、いわゆる歴史的なとか、ヒストリカル分析とか、そういった意味で匿名化したデータが必要なものはあると思っております。個別に金融機関のそういう匿名化のレベルについて、これが個人情報に該当するか、しないかというのは、また金融審議会として、場合によっては解釈を求めつつ、先ほどの岩村先生のお話ではございませんが、金融実務の範囲で解決できる話であれば、そこで解決するということになるのではないかと思います。

○ 山下部会長

堀部委員、どうぞ。

○ 堀部委員

今の点に関してですが、国勢調査のデータというのは多分例として挙げられたのだと思うのですけれども、国勢調査のデータは、現在の「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」で、統計法に基づくものは適用除外になっています。「電子計算機処理に係る」というのは、来年４月１日施行の「行政機関の保有する個人情報の保護に関する法律」ではなくなりますが、新法でも、統計については一定の部分を適用除外にしています。このあたりの考え方は、今、寺田室長が言われたように、どこまでのところで匿名化されたと見るのかというのはなかなか難しいところでして、個人情報保護法の定義からしますと、容易に照合できるかどうかという解釈の問題にもなってくるかと思います。その程度によってどうなるのか。これは今、厚生労働省とか文部科学省とか、あるいは経済産業省でいろいろ遺伝情報なども含めて検討していますけれども、その場合でも、本人から遺伝情報をとるわけですが、どういう段階で匿名化されるのか、またそれは連結可能なのか、不可能なのかということでも違ってくるとか、このあたりは金融情報の場合はどうするのか、ぜひここで検討して頂くといいと思います。そういういろいろな議論があるというところを紹介させて頂きました。

○ 山下部会長

ありがとうございました。

とりあえず西村委員、よろしいでしょうか。

では、高橋委員、どうぞ。

○ 高橋委員

第20条から23条あたりの部分について、質問と意見を申し述べたいと思います。

まず質問ですけれども、20条で手数料を徴収する場合に合理的な金額ということがあり、21条の方で苦情の処理に関しまして合理的な期間内にということがあるんですが、この合理的な内容、金額なり期間につきましては、あらかじめ利用者に知らされると読めるのでしょうかと、これが質問でございます。私は何か読めないような気がして、不安に思っております。

それから意見ですけれども、そういう質問を申し上げるのは一つ懸念があるからなんですが、このような規定ぶりですと、手数料を取るということについて、事業者の側が、書いてあるから何でも取っていいのだととられてしまうと困るというところがございます。信用情報機関などでも今、開示に対して手数料を取るようになっているのですが、どういうケースは取れて、どういうケースは取れないのかということは、私はやはりあるのだと思うんです。事業者の側に落ち度があって開示を請求せざるを得ないケースとか、事業者の側としてもこの程度はサービスの範囲内で手数料は取らないといったこともあっていいのではないかと思っております。ですので、個別の事業者がきちんと利用者に対して説明されるのが望ましいので、規定ぶりとして、利用者にわかるように定めておかなければいけないとか、何か工夫がほしいと思っております。

以前、金融審議会の方から堀部先生と海外調査に行かせて頂きました。そのときに個別の金融機関を英国とフランスで取材させて頂いたんですが、やはり手数料に対しては個別の金融機関にちゃんとした定めがあるのですけれども、ではそれをそのとおり取っているのですかという質問に対しましては、おおむね善意の消費者といいますか、自分たちの顧客に対しては、一般的には書いてあるけれども、取らないんだというお返事を頂いております。ですから、取るケース、取らないケースがあると。それから、合理的な処理期間につきましても、やはり期間を定めているということで、例えばガイドラインを事業者、業界団体などでつくる場合でも、それぞれの業の特性の中で、こういうものに関しては１週間ぐらいで答えられるとか、こういう段階までいったら２週間ぐらいだろうという水準というのがあると思いますので、そのあたりまで利用者としては知りたいです。いつ結果が戻ってくるのかわからない、標準処理期間のようなものがわからないと不安でございますので、そういうものも事前に示して頂く形を私は要望したいと思っております。

それから、23条の宣言のところなんですが、私は、このガイドラインの努力措置というのは事業者が最低到達すべきスタンダードであって、それ以上のものをそれぞれが競ってくださることを期待しております。ですので、この23条の規定ぶりに関しましてなんですけれども、最初に「金融分野における個人情報取扱事業者は、個人情報に対する取組み方針を、あらかじめ分かりやすく説明することの重要性にかんがみ」とあるんですが、要望としては、「個人情報に対する取組み方針の水準を」という「の水準を」という４文字を入れて頂きますと、これがそれ以上のものをそれぞれの事業者が目指すんだと、まさに宣言なのだととれるのではないかと思っています。ガイドラインが出た場合、事業者は、それだけ守っていればいいというふうにまさか皆さん考えないとは思うんですが、今までのケースですとそういうことが多かったものですから、特にこの重要な個人情報につきましては、何らかのそういう措置がとられることを期待しております。

もう一つ、13条に関連してなのですが、第三者提供というのも、事業者としては必要に応じて、事業者のニーズに応じておやりになると思うんですが、それが利用者、消費者の方のニーズに基づくものかというと、必ずしもそうでない場合も結構あると思います。アメリカのケースでは、クリントン政権のころから、第三者提供がオプトアウトであるということに関してずっと消費者運動が起きているわけでして、そういうものに対して事業者が何をしているかと言えば、第三者提供をしませんということをまさに個人情報保護の水準の高さとしてアピールしている企業がありますし、消費者団体もそういう調査をしています。そういう企業のリストが載っているホームページも実際にあるので、その辺も勘案して、水準の高さを競うというところにこの個人情報保護の目標を持っていくようなガイドラインにして頂きたいという要望でございます。

以上です。

○ 寺田企画課調査室長

実は大変お答えしにくい部分がございますが、合理的な範囲内の手数料というのは、まさにこちらで定めているわけでございますが、法律では、手数料を取ることを求めているわけではごさいません。ガイドラインの第20条のところの関連条文で、30条で、個人情報取扱事業者は「手数料を徴収することができる」ということでございまして、法律上も、しないこともできるわけでございます。では、ガイドラインは何を定めているのかといいますと、２項におきまして、「実費を勘案して」、ここで「合理的」という言葉が出てくるわけでございますが、「合理的であると認められる範囲内において」と書いておりますので、その例示を行ったのみでございまして、この部分についてまさに事業者において競われるということで、取らないということも可能かと思います。

それに関連いたしまして、苦情の処理とか手数料について、ある意味では業界で統一的な考え方を示した方がいいのではないかというご指摘でございます。これは、例えば手数料については、そこにも書いてございますように、解釈上もいわゆる平均的実費等を推測することになりますので、同一業態では手続の共通性が高いことから、統一的水準を定めることも否定されないと思います。また、苦情処理の合理的な期間につきましても、これは仮にでございますが、仮に業界で認定個人情報保護団体を設置された場合には、この団体が事業者に対して苦情の迅速な処理等を求めるという業務があるわけでございますので、その団体において迅速な処理を求めるに当たって業界としての自主的なルールをお定めになるということも考えられると思います。これは全く否定するものではございませんが、ただ、こちらとしてもそれをお勧めするかということに関しましては、手数料の水準が仮に業界として平均的な実費を定めたとしても、当該事業者単体では非常に利潤を生むようなことであると、これは手数料の過大な徴収ということで主務大臣としては是正を求めないといけないわけでございますので、ここは若干メリット・デメリットはあるかと思います。

それから、個人情報保護宣言の策定でございますが、基本方針とか他のガイドラインでは「方針を」と書いておりまして、金融だけ「水準」ということになりますと、方針そのものは重要ではないのかということになりまして、ここはなかなか難しいところだなと思いまして、また今後パブリックコメントを踏まえて考えてまいりたいと思っております。ただ、「取組み方針を策定する」と書くべきものを書くという規定にすることの一つのメリットといたしましては、～にある、例えば項の開示の手続等の分かりやすい説明といった内容を書くんだということにいたしますと、先ほどの手数料の水準でございますとか、苦情処理の標準的処理期間とか、そういうものをお書きになるということも示せる部分はございますので、ちょっとそこは水準が適切かどうかというのは引き続き検討してまいりたいと思います。ただ、事務局として単に何か作ればいいと申し上げているわけではございません。私どもとしては、性善説に立ちたいと思っております。

○ 山下部会長

堀部委員、どうぞ。

○ 堀部委員

今、高橋委員が言われた点に関係してですが、イギリスの例を話せばきりがないのですけれども、イギリスなどの外国でも手数料問題についてはいろいろ議論があって、例えば、今まで銀行の残高を照会するという場合は無料で幾らですと言っているのが、法律に基づいて開示請求すると手数料を取るというのはおかしいという議論もありまして、銀行側としても、一応は定めてもそれは取らないということになるので、このあたりも日本でもどうするのか。20条は「手数料を徴収する場合には」ということなので、ここは法律の30条の１項、２項にかかわっているのですが、ただ、この最後の語尾ですが、「実費を勘案して合理的な範囲内で手数料を徴収する」というのが、この法律でいくと、むしろ額を定める方にこの言葉が使われているので、「合理的な範囲内で手数料の額を定めるものとする」とか、そういう方がよろしいのかなと、今もう一度読み直してみて思いました。

○ 寺田企画課調査室長

いましばらく時間はございますし、経済産業省の例でも最終的な語尾は特に調整せよというご意見をうけたまわっているということでございますので、事務的に調整してパブリックコメントの段階で考えたいと思っております。

○ 山下部会長

まだご意見はあろうかと思いますが、本日は最初に申し上げましたように、もう１件別の議題もございますので、とりあえずこのガイドライン案に関する審議は以上で終了したいと思います。

堀部委員、どうぞ。

○ 堀部委員

詳しくは申しませんが、用語の不統一がまだ見られるところもあります。「同意を得る」、それから「同意を取得する」というところもあるし、「同意をとる」というところもあります。法律は「同意を得る」となっています。このあたり、全体を通して、部会長と事務局にお任せしますので、統一をぜひお願いします。幾つか気がつきましたので、また機会があったら申し上げます。

○ 山下部会長

そういうことも含めまして、事務局におきまして本日のご意見を踏まえましてガイドライン案を早急にパブリックコメントに付しまして、このパブリックコメントを踏まえた修正案を再度この部会に報告するという扱いとさせて頂きたいと思います。

それでは続きまして、寺田調査室長より、金融分野の個人情報取扱事業者の安全管理措置等についてご説明をお願いいたします。

○ 寺田企画課調査室長

それでは、お時間の都合がございますので、簡単に資料５をご説明いたします。

金融分野の個人情報取扱事業者の安全管理措置等につきましてですが、基本的にこの１枚目のイメージを今日はご説明して、それ以下の部分につきましてはまた別途ご審議の中でご指摘頂ければと思います。

本日お示ししました安全管理措置につきましては、ガイドラインでは10条、11条、12条が該当いたします。これらは、安全管理措置等の基本的な枠組みと措置事項の明示をいたしております。例えば、右の具体例のところでございますが、「技術的安全管理措置」の措置事項として「個人データ利用者の識別及び認証」というものを定めております。これは当然のことながら、データを利用される方のIDとかパスワードとかはないといけない、ほかの人が使えないようにしないといけないということを定めているわけでございます。ただ、これは先ほどの話ではございませんが、定めればいいのかということになりますと、実務指針のレベルで、求められる措置内容としては何なのかということは、私どものガイドラインのベースとしてイメージしていってはどうかと考えております。具体的には、まだこれは検討中でございますが、例えば識別及び認証の内容として、本人確認に関する情報が他人に知られないための対策を講ずることなどは必要ではないか。パスワードを人に知られてしまって使われるとか、そういうことはいけないということを定めたいと考えております。ただ、例えば他人に知られないための対策といたしまして、具体例の一番下の欄にございますが、財団法人金融情報システムセンターの、「金融機関等コンピュータシステムの安全対策基準・解説書」では、この方法として現段階ではこのような具体的な手法を書いておられます。この段階のことについて、金融庁のガイドライン等で、これこれのけた数にすべきだとか、それからこれこれの有効期間にすべきだとか、もしくはこの方法がいいというふうに定めますと、逆にそれをとればいいのかということになりますので、この情報処理技術の日進月歩の中、その部分につきましては、むしろ事業者自らもしくは財団法人金融情報システムセンター等の方でいろいろとご議論し、具体的な管理手法を定めて頂くべきではないかと。ただし、それにつきまして当庁として、もしくはこの審議会の方からご支援等をお願いするということにしてはどうかと思っております。

簡単に、めくらせて頂きますと、本日はイメージだけでございますが、１の規程等の整備で、この資料の性格として、紗になっているところがガイドラインで書いているところでございます。例えば、規程等の整備では、このガイドライン案では（１）、（２）、（３）、（４）のものを整備すると書いてございますが、具体的には今後整備としては、このような事項を定め、さらに公表し、見直すといったロールプレイをすべきではないかという考え方。それから、若干大事なことなので申し上げますが、２点ございまして、１つは、一番下にアンダーラインがございますが、生体認証情報等高度な管理が必要な情報につきましては、全体を通した問題として、どのような技術的もしくは組織的な安全管理措置の上乗せが必要なのかということは、別途検討しお示ししてはどうかと。それから、経済産業省の方からお話がございましたように、個人信用情報機関におきましては、会員管理といった若干普通の安全管理とは違った側面のものがごさいます。そこらは、さらに厳正な管理としてどのような措置が求められるかを議論してはどうかと思っております。

それから、（２）ののところにございます「各管理段階毎に規程を策定」と、ここだけ申し上げます。次のページを見て頂きますと、ほかの分野のガイドラインでは、基本的に、先ほどガイドラインで申し上げましたように、組織・人・技術などの安全管理措置のカテゴリー別に安全管理措置を定めておられますが、実際の漏えい・き損等を見ますと、従業者等の方は、私は今組織的なことをしているのか、もしくは技術的なことをしているのかではなく、私は今どの過程のことをしているのだろうかと、それぞれごとにまさに従事し、情報を管理しておられるわけでございます。この段階ごとにそれらの組織・人・技術の内容からしてどのような管理が求められるかという規程をつくって頂くこととしてはどうかと考えております。すなわち、その下に書いておりますように、現実の情報漏えいやき損事案は、各管理段階ごとにきちんと分別しますと、必要だと考えられる措置というのはむしろ浮かび上がってきて、その防止・抑止に効果的ではないかと考えられるわけでございます。一例としては、利用・加工の中の利用持ち出し時の紛失、従業者の方が顧客情報の入ったかばんを帰宅中に忘れてしまったといったものであれば、利用持ち出しのデータを限定し、それから持ち出しや利用そのものの承認申請等の手続を行うといったところが必要な事項でございましょうし、例えば、４ののメール・ファクス等の誤送信で個人情報が漏えいしてしまったといった話であれば、組織的安全管理措置及び技術的安全管理措置としての移送・送信時の照合や確認手続といったものが必要な手続になろうかと思いますので、そのような工夫を金融分野においては行っていってはどうかと考えております。

なお、以下はちょっと省略いたしますが、それぞれの安全管理措置ごとに、紗で示した内容について、そのような内容を定める方向でご議論頂きたいと思います。ただし、生体管理情報等の取扱いにつきましては、別途有識者からヒアリングする機会を設けてはどうかということで、今後、部会長等とご相談したいと思っております。

○ 山下部会長

ありがとうございました。

この問題は、今後引き続き議論していくことになるかと思いますが、ただいまのご説明を伺ったところで何かご意見、ご質問等ございましたら、いかがでしょうか。角委員、どうぞ。

○ 角委員

非常に基礎的なことを伺うんですけれども、資料５にあります安全管理措置等についての、これから議論することの位置づけというものを教えて頂きたいのですけれども。

○ 寺田企画課調査室長

ガイドラインにおいて、事業者は安全管理上の措置、例えば漏えいを防ぐために、これこれの情報は利用者を限定しなければならないとか、そのようなことを措置することを求められております。したがいまして、今後この措置の内容として、どのような規程を定めるべきなのか、それから従業者との関係で、例えばどのような非開示の契約を結ぶべきなのかといった内容を定める。その定めた内容、例えば委託をするときに、委託者に対してきちんとした管理措置を定めた契約をするとか、そういうことをしていない場合には、これは個人情報保護法上の主務大臣の助言・勧告もしくは是正命令等を課すことができます。したがいまして、ある意味ではこの情報漏えいの防止・抑止の上で、一種ポイントというか、へそというか、これをしていないと行政上の制裁が課せられるという基準として、安全管理面ではどのような措置が事業者において求められるのかという内容でございます。

ただ、ここについては若干二律背反でございまして、行政の側で定めた内容が満たされていればそれで終わりということになってはいけませんので、情報技術の日進月歩にかんがみて、どの水準まで定めるかということも一つご議論が必要な部分で、あまり細かく定めてしまうと、先ほど申し上げましたように、その措置を使っていれば安全管理措置を満たしたことになる、しかしその措置はもう技術的には古いものになって非常に効果的でないということもございますので、どの水準まで定め、何を事業者においてお求めすれば、個人情報の漏えいの抑止・防止につながるのかといったことをぜひご議論頂きたいということでございます。

○ 山下部会長

よろしいでしょうか。

ほかに特にございませんでしょうか。松本委員、どうぞ。

○ 松本委員

本題とは外れるんですが、よろしいですか。個別法の件でございまして、国民生活審議会の場でもその話が出たと聞きましたので、改めて意見を申し上げたいと思うのですが、今日お示し頂いた金融庁のガイドラインも、そういう点では相当個人情報は厳格な取扱い規定をされているということもありますし、また業界も各自主ルールで相当漏えいしたときの対応をきちんと決めようという動きの中で、またあえて個別法かという思いは強くございまして、改めてこの場で、いま一度個別法の必要はないという観点で意見を述べさせて頂きたいということであります。

○ 山下部会長

ただいま意見は伺ったということで、これはまたいずれ議論があると思うんですが。上柳委員。

○ 上柳委員

遅れて来たのに申しわけありません。今の関係ですけれども、個別法については、これから議論があると私は認識しております。今日も既にご指摘があったかと思いますけれども、特に信用情報についての第三者への提供については、私は少なくとも理屈的にも実際的にも同意で構成するのはなかなか難しくて、これはむしろ法律で、特別の目的のためには第三者提供があり得るのだと。逆に、その第三者なり、あるいは信用情報を管理される機関については、一定のコントロールがかかるという体制の方がいいのではないかと思っておりまして、それも含めて、個別法の必要性についてはさらに議論されるということで認識しておりますので、よろしくお願いいたします。

○ 山下部会長

資料５の方につきまして、ほかにございませんでしょうか。

それでは、この件はまた引き続きご議論頂くということで、今日はこのぐらいにしたいと思います。

それでは、一応本日予定しておりました議事は以上でございますが、事務局から連絡がございます。

○ 寺田企画課調査室長

次回の審議日程につきましては、今後皆様のご予定を踏まえて検討したいと思っております。次回以降、安全管理措置の内容について審議させて頂きますので、生体認証情報の専門家からのヒアリング等を考えております。以上でございます。

○ 山下部会長

以上でございます。

それでは、本日はこれで終了させて頂きます。どうもありがとうございました。

―了―