金融審議会金融分科会特別部会（第16回）議事録

平成１６年１１月１９日（金）

金融庁　総務企画局

○ 山下部会長

それでは、定刻でございますので、ただいまから金融審議会金融分科会特別部会を開催させて頂きます。本日もご多用のところをご出席頂きまして、ありがとうございます。

会議に先立ちまして、一部の専門委員にご交代がございましたので、ご紹介申し上げます。

まず、松本委員にかわりまして、専門委員もお引き受け頂くことになりました月原紘一委員でいらっしゃいます。

○ 月原委員

月原でございます。どうぞよろしくお願いいたします。

○ 山下部会長

次に、７月末にご逝去された日高委員にかわりまして、専門委員をお引き受け頂くことになりました米澤潤一委員でいらっしゃいます。

○ 米澤委員

米澤でございます。よろしくお願いいたします。

○ 山下部会長

よろしくお願いいたします。

本部会では、金融分野における個人情報の保護のあり方についてご議論頂いておりますが、本日はパブリックコメントを踏まえた「金融分野における個人情報保護に関するガイドライン（案）」及び「金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針（案）」についてご議論頂きたいと存じます。

まず、金融分野における個人情報保護に関するガイドライン（案）につきましては、前々回の本部会の議論を踏まえまして、金融庁よりガイドライン案が10月１日より29日までパブリックコメントに付されました。このパブリックコメントで寄せられた意見の概要及び意見等を踏まえて改定されたガイドライン案につきまして、まず事務局より説明を頂きまして、次いで各委員にご質問、ご意見を頂きたいと存じております。

それでは、寺田調査室長の方から説明をお願いいたします。

○ 寺田企画課調査室長

それでは、ご説明申し上げます。

まず、資料の確認でございますが、ガイドライン案につきましては資料１、資料２、資料３でご説明させて頂きます。基本的に資料１を読みながら資料２と３を参照させて頂くという、そのような形でご説明させて頂きたいと思います。

それで、資料１の冒頭でございますが、ただいま部会長の方からお話ございましたように、「金融分野における個人情報の保護に関するガイドライン（案）」につきましては、10月１日から29日まで意見募集を行ったところでございます。意見受領件数は401件と大変多数に上りました。そのご意見につきまして、５つのカテゴリーにまとめまして、それに伴うガイドラインの修正案が資料３、それから資料２は、400件全部ちょっと掲げさせて頂きましても、お時間の関係等もございますので、中の大体15％ぐらい、60件程度を(1)から(5)のそれぞれのカテゴリー別におよそ全体の中の比率に合ったような形で抜粋させて頂いたものが資料２でございます。

それでは、資料１の(1)を読み上げるような形で説明させて頂きます。

まず、１番目のカテゴリーとしてはガイドラインの記述の明確化、趣旨の確認に関するご意見がございました。119件でございます。ガイドラインの各条の記載につきましては、趣旨を明確にした記述を求めるご意見、もしくは記述の趣旨を確認するご意見というものが寄せられております。趣旨の確認に関するご意見につきましては今後適切に回答を行わせて頂きますが、ご意見を踏まえまして趣旨を明確化するために、規定振りの変更を行う部分がございます。

それでは、まず資料２の１ページ目を見て頂きますと、その趣旨の確認に関する意見というのは、例えばどのようなご意見があったのかということでございますが、１ページ目、上から３個目、第１条第３項注についてのご質問でございます。努力義務措置に関し、「こととする」「適切である」「望ましい」という３つの表現を用いておりますが、このそれぞれを遵守しなかった場合にどのような措置がとられるのかと。また、証券取引法、銀行法及び保険業法等の各種業法に基づく、当庁の立入検査とか行政処分にどのような影響を与えるのかを明らかにしてくださいというようなご質問でございます。これにつきましては、本部会でもご質問が出ておりましたが、ガイドラインの努力措置につきましては、その規定振りによってその効果に関する相違はございません。それから、努力措置を遵守していないことのみをもって個人情報保護法の違反とならないものと解されておるわけでございます。

なお、個人情報保護法が全面施行されるに当たりまして、業法に基づく顧客情報の適正な管理につきましては、先般９月29日のときにも、今後の検討事項の中でご説明させて頂きましたが、検査及び監督のあり方も含めまして、今後検討を進めて、検討結果を明らかにしてまいるということをご回答する所存でございます。

そのような趣旨の明確化についてのご質問が大変多かったわけでございますが、資料１の方に戻りまして、その中で特に趣旨の明確化を踏まえますと、私どもの当初の案を修正すべきというふうに考えるものが幾つかございました。主な意見の対応ということで、読みながら資料３の条文の方も適宜ご紹介したいと思います。

主なご意見としては、まず最初として、第３条第３項に関しまして、本人がダイレクトメールの送付を拒否できることを明確にすべきである。これは資料３の７ページ、第３項でございます。第３項を若干読ませて頂きますと、「金融分野における個人情報取扱事業者が、与信事業に際して、個人情報を取得する場合においては、利用目的について本人の同意を得ることとし、契約書等における利用目的は他の契約条項等と明確に分離して記載することとする。この場合、事業者は取引上の優越的な地位を不当に利用し、与信の条件として、与信事業において取得した個人情報を与信業務以外の金融商品のダイレクトメールの発送に利用することを利用目的として同意させる等の行為を行うべきではなく」と、現在はなっておりますが、パブリックコメントに出させて頂きました段階では、ここは「行うべきではない」というところでとどまったわけでございます。これにつきまして資料１の方にございますように、ご意見としては、これについてはご本人が、ダイレクトメールの送付に係る利用目的というものを拒否することができるということを意味しているわけでございますので、ご意見は送付を拒否できることを明確にすべきであるということでございますが、ガイドラインといたしましては、「本人は当該ダイレクトメールの発送に係る利用目的を拒否することができる」という一文を加えさせて頂きまして、ご本人側の方々におかれても、ガイドラインの趣旨をご理解頂きやすいように修正してはどうかということでございます。

それから、続きまして、資料１のその次のコメントで、（旧）第３条第３項は、個人信用情報機関への提供を利用目的として明示することのみ規定しているが、当該利用目的の同意を得る必要があることを明確にすべきである。これは資料３で、今お開き頂いております７ページのちょうどその下のところでございます。ただいまのガイドライン案の新しいものでは、第４項冒頭、「金融分野における個人情報取扱事業者が、与信事業に際して、個人情報を個人信用情報機関に提供する場合には、その旨を利用目的に明示する」となっております。このご意見のご趣旨は、実はその与信事業についての利用目的につきましては、第３項で、これは本人の同意を得ることという努力措置がございます。したがいまして、当然のことながら、信用情報機関への提供というのは、与信事業に際しての利用目的でございますので、これは解釈上、本人の同意を得て頂くということになるわけでございますが、以前の案では解釈で理解されるということで、特段ガイドライン上の明示をしておりませんでした。しかしながら、この点については、さらにきちんと明記されたいというご意見でございますので、ただいまお示ししておりますように、その後にさらに「明示した利用目的について、本人の同意を得ることとする」という修正を行っているところでございます。

資料１を１ページおめくり頂きまして、２ページの冒頭はただいま申し上げたところでございまして、第３条第３項末文を別項立てにいたしました上で、かのように修正いたすということでございます。

続きまして、第４条についてのご意見でございます。資料３では、次の８ページでございます。第４条について、本人の意思の十分な確認では不明確であり、本人の意思が明確に反映できる方法により確認を行うとされたいというご意見でございます。これは８ページの４条の条文で申しますと、最後の文章でございますが、「または、あらかじめ作成された同意書面に確認欄を設け本人がチェックを行うこと等、本人の意思が」というところで、これが以前は「本人の意思の十分な確認を行うことが望ましい」というふうになっていたわけでございます。これにつきましては、確かに、当方の趣旨は、確認欄等を設けることによりまして、ご本人の意思がきちんと反映できる方法をお使い頂きたいということでございますので、ご意見を踏まえさせて頂きまして、「本人の意思が明確に反映できる方法により確認を行うことが望ましい」というふうに修正させて頂きたいと思います。

その次は、第11条第３項第１号についてのご意見ございまして、資料３ですと18ページでございます。ご意見は、11条第３項第１号は、従業者及び退職者が採用時等に非開示義務を締結すると規定しているが、退職後も非開示義務契約を締結することを求める趣旨か。そうとすれば非現実的ではないかというご意見でございます。これは、その第11条３項第１号というところがございますが、直った文章ですと若干イメージがわかないわけでございますが、直す前のものは、実は、従業者及びその職を退いた者がその業務に関して知り得た個人データを第三者に知らせ、または利用目的外に使用しないことの契約等を採用時等に締結するといったイメージでございました。

趣旨といたしましては、職を退かれた後におかれましても、そのような非開示ということを守って頂きたいという趣旨でございますが、ご指摘のように、退職された方が退職後に事業者の方に契約でございますとか、その他の書面をお出しになるということは非常に非現実的なことになりますので、趣旨を明確にする意味でもこれを修正いたしまして、現在お示ししている文章、「従業者が在職中及びその職を退いた後において、その業務に関して知り得た個人データを」というふうに修正させて頂きたいと思います。

それから、第13条についてのご意見でございます。これは、こちらの資料ですと、４ページおめくり頂きまして22ページでございます。第13条においては、個人情報の保護に関する法律第23条第４項に定める「第三者に該当しない場合」のうち、第３号についてのみ規定があるが、第１号及び第２号を認めない趣旨か、そうでなければ規定を置かれたいということで、これもちょっと現状の条文では若干理解しがたいのでございますが、以前のものは、５項の後、６項がございませんで、現在の７項、法第23条第４項第３号についてのガイドラインの規定があったわけでございます。当方といたしましては、この６号をご覧頂ければと思いますが、「この23条４項に従い、次に掲げる場合において、当該個人データの提供を受ける者は、第三者に該当しない」というもののうち、第１項及び第２項につきましては、特段私どもとしてガイドライン上解釈し、もしくは格別な措置について述べることがないということから、当然法に基づきまして、この第１項の方々と第２項の方々は第三者に該当しないという趣旨でございましたが、この点明確にされたいということでございますので、私どもとしても第６項に改めまして、第23条第４項についてということで１号、２号をつけ加えているところでございます。

なお、資料１の最後のコメントでございますが、この資料３の同じページで、ちょうど上になりますけれども、第13条第５項はオプトアウトの使用を認めない趣旨と受け止めているが、規定振りが分かりにくいというご指摘でございます。

これも、その原文では以前の文章のイメージが出ないかもしれませんが、以前の文章の文末は、「法第23条第２項に基づく個人信用情報機関への提供を行わないこととする」ということで、23条２項の適用、つまりオプトアウト条項を使わないということを言っているわけでございますが、これは結局のところ、本条第３項に従い本人の同意を得ることとなるわけでございますので、最終的にその事業者におかれましては何が必要なのかということが、ガイドラインの規定としては非常に分かりにくいというご指摘でございますので、それを踏まえまして、ここにございますように、文末といたしましては「法第23条第２項を用いないこととし、本条第３項に従い本人の同意を得ることとする」というふうにいたしたわけでございます。

なお、このほか若干数はございますが、ガイドラインにつきまして用語の全体としての統一もしくは法律用語との統一等を図るなど、所要の修正を行わせて頂いたところでございます。

それでは、資料１の(2)、その次のカテゴリーに移らせて頂きます。個別事案に関するガイドライン上の解釈を求める意見171件、うち個人情報の保護に関する法律の解釈に関する意見が89件でございます。事業者等における個別事案に関しましては、ガイドライン各条違反となるか否か等の解釈を求めるご意見が寄せられております。特に、ガイドライン固有の問題ではなく、個人情報の保護に関する法律各条の解釈に関しまして判断等を求めるご意見が多数寄せられました。これにつきましては、ちょっと本日はご欠席でございますが、同法解釈当局としての内閣府国民生活局と調整の上、適切に回答させて頂きます。

なお、それらのご意見のうち、同法の解釈上、個別の事案ごとの比較衡量、総合判断による必要があるものにつきましては、その旨回答させて頂くことになります。ちなみにということで、意見の例でございますが、最初のポツにございますのは、日本証券業協会が……すみません、固有の業界の名前が出ておりますが、ちょっとそれを書かないと分からないものですから。日本証券業協会が、証券取引法に基づき金融庁長官から委任を受けて行う外務員登録事務のため、外務員の欠格要件である証券取引法令違反処分の有無を会員の照会に対して回答することは、第５条第３項の「法令に基づく場合」と解してよいかということでございまして、これはご意見のとおりであるというふうに考えられます。

他方、ガイドラインレベルの問題というよりも、さきの表書きにも書かせて頂きましたが、個人情報保護法の解釈上、個別事案ごとの条文に基づく個々の事象の比較衡量、総合判断による必要があるような点に関するご質問もございました。その例としては、その下でございますが、融資業務書類は返済満了後に倉庫等で保存しているため開示請求等に対して検索等に時間を要する場合には、第15条に定める業務運営に著しい支障がある場合として開示を拒むことは可能かというご質問でございます。これはガイドライン15条個人情報保護法に関する法律の第25条に基づくものでございまして、同法第25条は「著しい支障」とは、支障の重大性、原状回復の困難性等によって、個別に適切に判断されるべきである旨ということでございます。

また、その解釈として、単に事務量が多いのみでは該当しないというふうなことでございます。したがいまして、私どもといたしましては、これに該当するかしないかということは、そのご質問の中で申し上げますと、結局この開示請求に応じないということで、どのような支障があるのか、それから、それによって実際にどのような回復困難性があるのかといった個別事象に関するものでございますので、このような回答になるわけでございます。

なお、お時間の関係もございますので、あまりたくさんはご紹介できませんが、この(2)のカテゴリーは大変多かったわけでございますので、ちなみにということで、このような開示に関する個別事案のご照会がたくさんあったので、若干紹介させて頂きます。

資料２の方の７ページでございます。開示についてはたくさんございましたが、そのうち３つを挙げさせて頂いております。ちなみに下から２つ目が、ただいま読み上げさせて頂いたものと同一のものでございますが、例えば下から３つ目でございますが、保有個人データの全部または大量な開示依頼があった場合には、開示すべき個人データの量が多いことを理由に開示拒否できないことが実際上予想される場合、本人より目的などを聴取して制限的に開示することが可能かという問いでございますが、これもガイドラインで特段解釈を示しているという問題というよりは、回答欄に書きましたように、そもそも法第25条におきましては、ご高承のとおり、開示の目的によって開示請求について制限するという趣旨でございません。したがいまして、この目的を制限して、目的に基いて制限的な開示というのは、これは法律レベルとして困難であるという問題でございます。

それから、一番下のものでございますが、開示等の求めに応じる手続ということで、すべての支店または販売所で開示の請求に応ずる手段を定めるかわりに、ガイドラインにおいて、１カ所または非常に限られた場所だけ開示場所を設置することを許可すべきであるというご意見でございますが、これもその右にございますが、この開示の求めに関する手続のもともとの法律の規定、法律第29条第４項では、開示等の求めに応じる手続を定めるに当たりましては、本人に過重な負担を課すものとならないよう配慮しなければならないというふうな定めでございます。

したがいまして、これはガイドラインの問題と申しますよりは、開示等の求めが行える場所の数等は、まさにこの法律の規定の趣旨に基づきまして、本人の負担を配慮して定める必要があるということでございまして、これでガイドラインにおきますと、例えば１カ所でいいとか２カ所でいいとか何メートル以内でいいとか、そういうことにはならないということでございます。

ちなみに本席におきまして、本来個別事案に関連するものとして大変たくさんの方から債権譲渡についての債務者情報の扱いについてご質問がございました。これにつきましては、現在法解釈当局に対して照会中でございまして、確固たる回答内容が固まった段階で、パブリックコメントにおいて明らかにしてまいりたいと考えております。

それでは、資料１の(3)のところでございます。３番目のカテゴリーでございますが、ガイドラインにおいて個人情報の保護に関する法律の解釈上認められない措置を求める意見が25件寄せられております。ガイドライン各条に関して、各条のもととする個人情報の保護に関する法律の該当条項の解釈上認められない措置をガイドラインに置いて規定もしくは解釈上許容することを求める意見が寄せられております。本ガイドラインは、申すまでもございませんが、その法律を踏まえまして、金融分野における事業者の個人情報の適正な取扱いの確保に関して行う活動を支援することを目的として作成されているものでございます。同法の解釈を逸脱した規定の記載でございますとか解釈は行えないということを回答させて頂かざるを得ないと思っております。ちなみに意見の例でございますが、ガイドラインの個人情報の定義において、公的に入手可能な情報は除外すべきである。これは法律におきまして、公的入手可能な情報でございましても個人情報と定義されておりますという回答でございます。

それから、委託先における個人情報の取扱いについて、委託者に監督を義務付けるべきではないというご意見がございますが、これも法律第22条におきまして、委託を受けた者に対する必要かつ適切な監督を行わなければならないという規定でございますので、これも困難でございます。

その次のものでございますが、これは本部会で実際に議論になった点でもございますので掲げさせて頂いておりますが、就職希望者や雇用者の信用調査等のための開示請求は、これを拒むことができるとガイドライン上明記もしくは法的措置をとられたいということでございます。本件につきまして、先ほど申し上げましたように、本部会におかれましても、そもそも個人情報保護法の制定過程におきまして、こういう人格権に係るものについて、代理のような開示請求を認めることによって、代理であると称して、ご本人が望まないものをとっていかれるということについては、そもそも財産的な代理請求の考え方との関係で非常に難しい問題であったのではないかというふうなご指摘があったところでございます。そうしたことから、この本部会のご意見を踏まえまして、この開示請求そのものを請求理由によって拒むことはできないわけでございますが、ガイドラインでは、本人に対してのみ開示を行うことができるという規定を示しているところでございます。

また、この回答にもございますが、例えば同法第21条第１項ただし書きの中には、本人または第三者の生命、身体、財産、その他の権利・利益を害するおそれのある場合というのがございます。したがって、例えば脅迫でありますとか、何か心身に危険の伴うような脅迫に基づいて開示請求をさせられているような場合には、こういうものに該当して開示をしないということが可能かとは思いますが、これをガイドラインで、一義的にこういう場合はというわけにはまいりませんので、これらの点につきましては、今後、認定個人情報保護団体への苦情請求等の中で個別に事案が積み上げられていくことが期待されるところでございます。

最後の例でございますが、本人からの開示、訂正等の請求は、事業者において妥当な請求と認める者に開示することとすべきでございますが、これは法律において、応じないことが認められる場合以外は義務付けられておるわけでございますので、この旨回答させて頂きます。

(4)ガイドラインの位置付け等に関する意見が26件ございました。ガイドラインが個人情報の保護に関する法律の解釈に関する指針以外に努力措置を含む点など、本ガイドラインの位置付けに関する意見のほか、安全管理措置につきまして本日お示しさせて頂きます実務指針についてのご意見が寄せられているところでございます。

意見の例といたしましては、ガイドラインにおいては、個人情報の保護に関する法律の解釈指針としての義務規定のみを規定すべきであり、努力措置は規定すべきでないというようなご意見がございましたが、これは個人情報の保護に関する基本方針に基づきまして、金融分野は、個人情報の性質や利用方法などから、特に適正な取扱いの厳格な実施を確保する必要がある分野として格別な措置を求められておるところでございますので、こうした観点に基づいて努力措置を定めているわけでございます。

それから、機微（センシティブ）情報につきまして、取得、利用また第三者提供の原則禁止規定を設けるべきではないというご意見がございました。これにつきましては、もう本審議会でご議論を踏まえての規定でございますので、繰り返しになりますが、この機微（センシティブ）情報につきましては、個人情報の中でも、特にプライバシー保護の観点から厳正な取扱いを規定する必要があるということで、取得等の原則禁止をするものでございます。

それから、安全管理措置の実務指針におきまして、事業者に画一的な対応を求めるものとならないようにすべきと、これは本日お示しするものでございますので、まだこの段階では、このような回答になりますが、実務指針におきましては、その規程でございますとか運用体制整備に盛り込まれることが必要な事項ということを定めておるわけでございますが、その具体的な対応方法、例えばどのようなコンピューターのガードを使うかとか、そういうような対応方法につきましては各事業者の自主的な取組みを求めるものでございまして、何か画一的にこれこれの手法とならなくてはいけないというふうなことを定めるものではないわけでございます。この内容につきましては、後刻ご説明し、ご審議をお願いしたいと思います。

最後に(5)として、ガイドライン等の範囲ではなくて、そのほか金融分野における個人情報の保護に関するご意見が60件ございまして、うち法制上の措置に関するご意見が49件ございました。法制上の措置につきましては、個別法の必要性について多数のご意見がありました。また、省庁をまたがる分野についての調整等を求めるご意見も寄せられているところでございます。

ちなみに、これはちょっと簡単にしか要約しておりませんが、資料２の10ページ、11ページに、おおむねこのようなご意見であったというふうな要約になっております方を掲げさせて頂いております。お時間の関係がございますので、読み上げそのものは資料１の方に基づいて行わせて頂きますが、本ガイドラインの制定により、金融分野の個人情報保護施策は十分実施され、他の分野よりも厳格な個人情報の取扱いを求めることになるため、個別法は不要であるというご意見。また、監督、検査等を通じてガイドラインの徹底を図ることが可能であり、個別法を制定する必要はないというご意見。それから努力措置を含むガイドラインの検査・監督措置については、検査・監督上の評価すべき点等を明確にすべきであるというご意見。それから、個人信用分野については事業者により高度な注意義務を課し、罰則規定を持つ特別法の立法を図るべきであると。別途不正な手段で個人情報を取得した者、利用した者を罰する法律も必要であると。委託先となる配送事業者等における安全管理措置について、約款等の行政レベルの検討を求めるといったご意見そのようなご意見がございます。本席においてご紹介しなかったご意見もたくさんございますが、お時間の関係でこのような紹介とさせて頂きます。

以上でございます。

○ 山下部会長

ありがとうございました。

それでは、ただいまのご説明につきまして、ご質問、ご意見等ございましたら、どの点からでも結構です。お願いいたします。

上柳委員、どうぞ。

○ 上柳委員

もうちょっと後の方がいいかも分かりません、一番最後の点なんですけれども、意見ということになるのかも分かりませんが、要するに個別法を求める意見が出ておりまして、私の意見もありますけれども、それではなくて、回答ということでお考えになっているのが、多分この資料２の最後の２枚ぐらいだと思うんですけれども、これはやっぱりこういう質問があるというのは、この時期にまだガイドラインのみが示されて、個人情報保護、特に金融分野のものについての個別法についての行く末が見えないから、不安があって出ているんだと思うんですね。それで、これはいろいろ特に消費者側から求めていることは間違いないんですけれども、それだけではなくて、国会の方で、特にこの分野については個別法を制定せよというような趣旨のものが出ていますので、もう少し回答には、国会の附帯決議のことも踏まえてとか、何か前向きの回答をして頂きたいなというふうに思います。これは意見です。

以上です。

○ 山下部会長

原委員、どうぞ。

○ 原委員

私は委員でしたけれども、まだいろいろと意見がありましたので、パブリックコメントの方も提出をさせて頂きました。かなりのところ取り入れて頂いたように思いますので、その点は感謝したいというふうに思います。

ただ、ちょっと３点ぐらい持っておりまして、１つは、全体的なパブリックコメントを出されたものを見ての感想なんですが、まず理解不足ということを非常に感じまして、何か基本的なところで理解されていない。個人情報は保護すべきだということについては、世の中全般非常に今皆さんの意識も高くて、その概念自体の否定はないんですけれども、では、具体的にどういうことを考えるべきかというところについては、寄せられた意見を見るとちょっと心もとなさを感じて、また具体化を図っていく上では理念だけでは到底やり切れないわけですから、そのあたりについてＰＲと、それから今回も質問に対して回答という形で出されていますけれども、しばらくは寄せられた質問を掲示するというんでしょうか、金融庁のホームページでも掲示して、参考になるような情報を共有できるような形で考えて頂けたらということが１点です。

それから、２つ目は、回答の中に入っていなかったように思うのですが、医療情報の扱いについてなのですが、生命保険の告知義務違反に問われたときですね。そのことについて一応告知義務違反が問われるときには、生命保険会社の方が医療機関に照会をして、個人情報をとられると。それはご本人の了解を得ているという仕組みにはなっていますが、ご本人が疑義を感じられた場合、ご本人なり代理人なり家族ですけれども、どういう情報を医療機関から得たのかと、その開示請求をかけたときに、当事者に見せてもらえるのかどうかというところが、これは厚生労働省の医療の方のガイドラインとのちょうど接点になるようなところで、厚生労働省の方の見解、ガイドラインがどう出てくるかを聞きたいというのは、たしか前回ぐらいまでのご回答だったと思うのですが、それは一体どのようになっているのかということが２点目です。

それから、３点目は、今上柳委員がおっしゃったとおりの、この金融信用情報分野についての特別法ということの必要性ということで、これについてはやはり個人情報保護法がオプトアウト方式での第三者提供という枠組みで構成されているので、これまで例えばクレジットなり貸金業で考えられてきた個人情報の取扱い、それとやっぱりちょっと基本的な枠組みが違うのではないかというふうに思います。ですから、特別立法の必要性というのは、消費者側というか利用者側からとしては大きく感じております。仕組み自体が違うという感じがしております。そのあたりについては貸金業規制法なり割販法なりの規定はあるのですけれども、あれだけを例えば改正強化するという方向もあるかとは思うんですけれども、それも具体化してこないと、特別法を検討しなくてもいいよということにはならないというふうに感じております。

それから、私自身としては、統一消費者信用法というようなものが制定されて、本来であればその中で貸金業とか、それからクレジットとかも含めた形での、この分野の保護措置がかけられるのが一番ベストではないかなというふうに思っているのですけれども、回答を見ると検討中ということだけで、今の段階でまだ見解が示されないとなると、やはり説明不足ということになるのではないかというふうに思っております。

それから、もう１点補足なんですけれども、ホワイト情報との交流の話があるのですけれども、ホワイト情報の交流については、本当に過剰与信の防止に効果があるのかどうかというところでは、まだきちんとした現状を申されているわけではないのですけれども、１つ気がかりなのは、逆の方向というのがちょっと出ておりまして、これは今の銀行がかなり個人にお金を貸すという、個人向けのローンをおやりになっていらっしゃるんですけれども、ここでかなり過剰与信ということが今起きてきていて、消費者センターや何かにも相談が入ってき始めているというようなところですね。これまでは貸金業だけに絞って、その中での過剰与信とかヤミ金に流れるとかという話をしておりましたけれども、銀行の貸金の部分、ローンの部分についても、ちょっと気になる相談というのが目立ち始めてきているということも考慮して頂きたいと思います。

○ 山下部会長

質問にわたる部分のご説明をお願いします。

○ 寺田企画課調査室長

まず、最初の周知不足ではないかというご指摘でございまして、一担当者として若干率直に申し上げさせて頂きますが、たしかパブリックコメントは約400件ちょうだいいたしましたが、個別事案のものが約３割で、そのうち100件近くが、正直申し上げまして、私どものガイドラインというよりは法律そのものの読み方に関する部分というところで、担当としましても、どうなっているんだろうというのが正直な感想でございます。私どものパブリックコメントの公表の仕方につきましては、ただいまのご指摘も踏まえさせて頂きまして、なるべく消費者の方々とか事業者の方々もお分かり頂けるような方法でやっていきたいと思います。

また、徐々にではございますが、事業者の方々の団体の方からも今後の認定個人情報保護団体への動きも含めて、当庁に対しまして説明の機会を設けるようにというご依頼もございますので、そのような形で周知徹底を一生懸命図ってまいりたいと思っております。

それから、医療情報でございますが、これは確かに前回、原委員からご質問があったときにも申し上げましたので、その点は若干繰り返しになるんですが、厚生労働省の方の現在の指針におかれましては、法25条１項の各号のいずれかに該当する場合として、その全部または一部開示しないことができるというものの例として、症状ですとか予防、治療経過等について、患者に関して十分な説明をしたとしても、患者本人に重大な心理的影響を与えて、その後の治療効果等に悪影響を及ぼす場合というものが示されているわけでございますが、さらに厚生労働省におかれましては、今後ガイドラインの中身として、そういうことでもう先見的に開示できないというふうになるのか、個々の事例の適用について、個別具体的な判断というのがあり得るのかということを現在ご検討されておられるということで、私どもとしても、このガイドライン案が間もなくパブリックコメントに付されるというふうには聞いておりますが、現段階ではまだちょっと付されておりませんので、その結果、仮に厚生労働省のお考えで、例えば今お話のあったご本人の方から、保険会社さんの方とかに医療情報の開示の請求があったと。保険会社さんの方が、いわば第２取得者ですので、第１取得者である医療機関の方に開示の可否についてご質問された場合に、当然第２取得者と第１取得者の開示の可否の判断に不統一があるというわけにまいりませんから、それで医療機関の方が、ただいま申し上げたような考え方から、一律に不開示であるというふうにされるのか、個々の事例ごとに開示があり得るというご判断なのかは、ちょっと厚生労働省のガイドラインのパブリックコメントを踏まえて、私どもとしても注視してまいりたいと思っております。

それから、ちょっと３番の話は先ほどと同じように、ご意見にわたる部分があると思いますが、ホワイト情報の話につきましては、確かにパブリックコメントとしてもちょうだいいたしております。ただ、やはり今委員の方からご指摘がございましたが、そもそも交流のあり方について、多重債務防止に役立っているのかの精査のもとに、これについての情報としての個人情報保護法との関係等も議論すべき必要性があるのではないかというご指摘でございますので、ちょっと私どもの方では本部会において、まずもって多重債務防止の観点からの精査ということになりますと、ちょっと私どもの部会の射程との関係でどうなのかと。超えているというか、まずもって多重債務防止の観点からのご検討があって、その上でそれらの情報について、今後の個人情報保護法との関係でというご議論があるのかもしれませんが、これは私どもの部会の方から、まずもってこれをどうあるべきかというふうにガイドライン等で位置づけたり規定するというのは、ちょっと行いがたい状況ではないかなと思います。

○ 原委員

本体の方の質問の回答が、ホワイト情報の方は私も補足でというふうに申し上げたので、やはり特別立法の検討というふうなことは。今回も金融庁は単独で開いておりますけれども、産業構造審議会の方での検討というのも、どのような状況になっているのかということも併せてお聞きしたいと思います。

○ 寺田企画課調査室長

個別法につきましては、私どもといたしましては、本審議会でたくさんご意見もちょうだいいたしましたし、パブリックコメントでもちょうだいしている中で、やはり検査・監督でありますとか、自主的ガイドラインでありますとか、それらも踏まえて個別法は不要ではないかというようなご意見、もしくはご意見の中にも、他の分野と比べて個別法を制定するのはバランスを失しているのではないかというようなご意見も踏まえますと、私どものガイドラインが定式化されまして、それから実務指針も定式化されまして、さらに事業者側における自主的な措置及び私ども当庁における検査・監督当局においてどのような考え方でこのガイドライン……ガイドラインというよりは、個人情報保護法を踏まえまして検査・監督を行っていくかという考え方をご提示してご審議して頂く必要があるというふうに思いますので、その点については私どものガイドラインが、本日最終的な案をお出ししている段階でございますので、その段階で、事務局としては、いただいたご意見に対して一義的というか、こういう方向ではないかというのはちょっとお答えしがたいかなというふうに事務局としては思っております。

○ 原委員

そうしますと、もう一度このことについては検討がされる、今日は経済産業省の方がお見えになっていないような感じがするんですが、ちょっと座席表を見ましたらいらっしゃっていないんですけれども、それからご回答の中にありました他分野との整合性の話なんですが、これは私もパブリックコメントで最後のところには書いておきましたけれども、国会で附帯決議がつけられたのは、もちろん他分野との整合性ということは根底にありながら、それであっても、例えば医療と情報通信と金融信用分野については特別な手当が必要であろうというふうに書かれたところの趣旨をぜひ生かして、今日はガイドラインということではありますけれども、検討の場を設けて頂きたいと思います。

○ 山下部会長

いずれにしても検討するということは、もちろんそれは当然でありますので、今後ご意見を頂ければと思います。

ほかにいかがでしょうか。どうぞ、山本委員。

○ 山本委員

細かい点で大変申しわけないんですけれども、これは確認なんですが、ガイドラインの21ページの第13条第１項の中ほどの注のに関してでございますけれども、第三者提供を行う際の書面による同意に関しまして、で、提供を受けた第三者の、前は利用内容が利用目的というふうに変更されていると認識しておりますけれども、第三者提供に当たりまして、提供先である第三者における利用目的を、第三者以外の者が漏れなく示すことは事実上不可能ではないかというふうに考えられますけれども、この条項は、第三者における利用目的を正確に示し切れなくても、第三者提供を行う者に対する責任を問う趣旨ではないと、こういうふうに理解させて頂いてよろしゅうございますでしょうかという質問でございます。

○ 寺田企画課調査室長

まず本条の趣旨は、ご審議頂いている中でもご説明いたしましたが、やはり金融信用分野におきましては、第三者の提供に際して、このような注に書いたような事項を本人に対してご理解を頂いて、第三者の同意を得る必要があると、そういうふうな趣旨でございます。したがいまして、法律で定められております各事業者の取得時の利用目的の明示というものでなく、第三者提供に対して、ご本人の可否の同意がきちんとできるような形で利用内容をお示しするべきだということで、従前は「利用内容」というふうな言葉とさせて頂いたわけでございます。

これに対しましてパブリックコメントで、その「利用内容」というのは何ですかと。法律上は、その「利用目的」を出すことになっているはずではないですかと。したがって、何か異なる内容を本人に説明するのですかというふうなご指摘がございまして、これはこれで大変誤解を招く表現であるということから、あくまでも法律で定められたとおり、利用目的をお示しして頂ければいいのですが、ただ、今委員ご指摘のように、そもそも提供する側が、第三者の方の全ての利用目的が分かるわけではございませんので、趣旨は、私どもとしては本人が同意の可否が判断できるように想定される利用目的を開示することで、別途取得された第三者におかれては、当然、法律に基づいて自らがお使いになられる利用目的はすべて開示しないといけないわけでございますので、ご本人の方でその提供された第三者の利用目的等でいろいろとございますれば、それは開示でございますとか利用停止とか、そういうふうな手続があるわけでございますので、ご趣旨のとおり、必ず網羅的にホームページ等で第三者の利用目的を全部調べて全部書けというご趣旨ではございません。

○ 山本委員

分かりました。ありがとうございました。

○ 山下部会長

吉岡委員、どうぞ。

○ 吉岡委員

前のこの特別部会の議論でもほかの委員から出たところなんですが、資料２の５ページのセンシティブ情報の中で、下から２番目の６条１項の部分でございますが、事業者が本人確認のために取得する書面に記載されたセンシティブ情報を速やかに黒塗りして保管する場合は、センシティブ情報の取得に該当しないと考えてよいか。こういう質問に対して、そのとおりですとなっております。これは、つまり本人確認法等に基づき、本人から免許証の写し等が送られてきたときに、免許証には本籍地が入っているので、多分それを黒塗りすれば本籍の取得に当たらないということだと思うんですが、本人確認法や税法等で、本人確認のために認められている免許証等の書類は、本人が同意して、それを提出してきたということになります。６条１項の保険業その他で、本人の同意に基づき業務遂行上必要な範囲でセンシティブ情報を取得、利用または第三者提供する場合は、例外的に認めるという規定がありますが、本籍地については、特に業務上必要だということはないので、この例外規定にはあたらないという解釈かもしれませんが、それでも送られてきてしまう。そうしますと、黒塗りしなければいけない。黒塗りを忘れたら取得に当たってしまうという話にもなってきます。それを利用したり第三者提供することがまずいので、取得は仕方がない部分もあるのではないかと思います。これは何か手当ができないのかなというふうに思うんですが、塗りつぶせばいいということは、あまり現実的ではないのかなと思っておるんですが。

○ 寺田企画課調査室長

まず、私どももセンシティブ情報の格別の措置というのは、他方で金融分野での情報の有用性にも配慮する必要があると思いますので、その点はこの格別の措置においても十分に考慮すべきことだと思っております。他方、６条１項をもう一回見直して考えますと、第７号というのは、保険業その他金融分野の事業の適切な業務運営を遂行するのに必要な限りにおいてという話でございますので、そこの点は委員おっしゃったと思いますが、そもそもすべて同意なしにとれる、例えば第１号などの法令等に基づく場合のことを考えますと、本人確認法は、もうこれは委員各位は専門家でいらっしゃいますので、改めて申すまでもございませんが、運転免許証を提示して、では何を確認するのかというと、それは氏名、住所等でございまして、現在も本人確認法のもとで、出された免許証をコピーして本人確認をされた後で、ご本人の方から、私の本籍情報は本人確認法に基づいて取得していないのだから、黒塗りしてほしいと言われたときには、これは法律上は断ることができないという解釈に立っているわけでございます。

したがいまして、さらにセンシティブ情報という枠内で考えますと、現行の本人確認法上の、はっきり申し上げれば黒塗りせざるを得ないものを、センシティブ情報の取得に際して、あえてついでで入ってきたからいいというふうにするのは、確かに業務の煩雑さという点ではおっしゃるとおりですが、現行の本人確認法に基づいても、同じ手続を義務付けられるわけでございますので、黒塗りはやむを得ないかと思います。

なお、取得だけ認めてはどうかというご意見でございますが、そうしますと、今後取得されたものをではどうするんだろうということで、その利用や第三者提供しないでひたすら保管しておられるだけだと、要はこれを逆に漏えいしたり毀損した場合に、むしろ行政上も何か言わないといけないような局面もあるわけでございます。そうなると現行法との平仄、それから実務的にも金融情報システムセンターの基準等におかれましても、現在も本籍地等はセンシティブ情報に入っておりますので、私どもとしてはこのような規定が適切ではないかと思っている次第でございます。

○ 山下部会長

よろしいでしょうか。煩雑だというのは確かだと思うんですけれども、そういう理屈ですので。

○ 吉岡委員

そうしますと、今度は免許証等の本人確認書類から本籍地を外してほしいという要望がほかから出てくるのではないかと思います。

○ 山下部会長

ほかにいかがでしょうか。どうぞ、鈴木委員。

○ 鈴木委員

また、細かいお話になるかとも思うんですが、当局のご回答に関して念のため確認させて頂きたいという趣旨なんですけれども、資料２のパブリックコメントの３ページの一番上のガイドライン13条、第三者提供への情報提供の制限についての１項のなお書きについてなんですが、当局がご回答されている内容の趣旨、意味するところということですが、これはガイドラインの13条第１項なお書きの対応を行っていれば、法附則第３条の規定に当然該当すると理解されるという趣旨でよろしいんでしょうか。そのご確認なんですけれども。

○ 寺田企画課調査室長

ガイドラインの13条１項の注書きで言っておりますのは、従前の同意について法附則は、要は本人の同意に相当する同意があった場合ということでございまして、このガイドラインですと、例えば第三者提供については、努力措置として注にあるような事項をやって頂きたいというふうに申し上げているわけでございますので、それらの事項が行われた場合には、当然のことながら相当するもの、つまりガイドライン上の求められる部分のレベルにおいてもきちんと相当するものであるというふうに理解される趣旨でございます。表現等ちょっと分かりにくい部分がございましたら、また後刻ご相談させて頂きたいと思います。

○ 山下部会長

ほかにいかがでしょうか。よろしゅうございましょうか。

それでは、特にございませんようでしたら、事務局におきましては今日頂いたご意見を踏まえて、ガイドライン（案）を早急に告示として確定して、公表して頂くということになるかと思います。

それでは、続きまして、次の議題の方でございますが、ガイドライン第10条から第12条に定められております安全管理措置等につきましては、別途その内容について検討することとなっておりまして、事務局より前々回の本部会におきまして、金融分野の個人情報取扱事業者の安全管理措置等についての資料に基づきまして、安全管理措置等の内容の概要についてご説明を頂きました。また前回の本部会におきましては、安全管理措置の対象の１つでございます生体認証情報に関する取扱いの現状につきまして、専門家の皆さん方からヒアリングを実施いたしました。本日はそれらを踏まえまして事務局より、「金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針（案）」というのが示されておりますので、これも、まず事務局によりまして概要をご説明して頂いた後、各委員にご意見、ご質問をちょうだいいたしたいと存じます。

それでは、まず寺田室長の方からご説明をお願いします。

○ 寺田企画課調査室長

ご説明いたします。

長い名前で恐縮でございますが、「金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針」でございます。資料４と５、４を左に置いて頂いて、５を見て頂くというようなイメージでご説明させて頂きます。

まず、確認的に申し上げますが、この資料４で言いますと、一番下の左で申し上げますと、基本方針の整備、取扱規程の整備、それから点検・監査規程の整備、外部委託規程の整備という、いわゆる基本方針とか取扱規程の整備に関する事項、それから真ん中のゾーンの一番下の欄、安全管理措置に係る実施体制の整備として、組織的安全管理措置、人的安全管理措置、これは同時に、従業者に対する措置になるわけでございますが、それから技術的安全管理措置といった事項を行う必要があること。また右のゾーンでございますが、委託先の監督において、委託先選定基準の策定を行うと同時に、委託契約に盛り込む安全管理措置を定めて頂く必要があるということは、まさにこのタイトルの名前で示しておりますように、ガイドラインの第10条、第11条、第12条におきまして基本的な内容が定められているわけでございます。したがいまして、この実務指針は、まさにその10条、11条、12条において書かれました基本的事項につきまして、どのようなことを行うべきかということを定めているわけでございます。

したがいまして、ちょっと資料５を開けて頂きますと、まず最初に、ざくっと全体構造を申し上げますと、１ページ目から７ページ目までが、ただいまの一番下の下段、個人情報保護法の10条から12条に係る措置の実施内容を基本的な事項として定めているわけでございます。

それから、次のカテゴリーが、資料４で申し上げますと２段目でございますが、管理段階ごとの安全管理に係る取扱規程というゾーンがございます。これは前々回の部会でご説明させて頂きましたが、この安全管理措置というのは、究極的にはやはり個人情報の漏えい、毀損等を防止するために、事業者において行う必要があるわけでございます。そういたしますと、そのときの資料でもご説明いたしましたが、例えば誤入力でありますとか誤送信でありますとか、それから最近大変遺憾なことに多いわけでございますが、利用・加工の一端として、管理区域外に持ち出した際に紛失するとか、それぞれの場合で求められる安全管理措置もしくは行われるべき役割・責任の設定等は異なるわけでございますので、やはり現下の状況を考えまして漏えい・毀損防止を図る観点から、各段階ごとにそうした事故要因に対応した漏えい防止措置を効果的に実施するためには、各段階ごとの取扱規程を定めていく必要があるということでご説明した内容でございます。この部分は、いわば安全管理措置のさらなる規程ということで、この本体の資料ですと、別添１ということで、各管理段階における安全管理に係る取扱規程についてということで、８ページ目から10ページ目にかけて規定があるわけでございます。この取得・入力、利用・加工、保管・保存等々の各段階ごとの規定がございます。

それから、資料４で申し上げますと、３段目と４段目のところでございますが、これは金融分野の格別の措置として、なかんずくセンシティブ情報に該当する生体認証情報というカテゴリーもあるわけでございますが、これにつきましては格別の措置として、これの取得・利用、第三者提供等について規定を置いているわけでございますので、特に求められる安全管理措置の内容については、そうした格別な措置を踏まえた内容にすべきではないかということで、いわば特別の規定を置いているわけでございます。その部分が別添２として11ページ目から12ページ目に全体構造としてございます。これは言葉を返しますと、センシティブ情報をお取り扱いになられない、もしくは生体認証情報をお使いになられない場合には、これらの措置は要らないということでございます。

それから、その右端にちょっと出っ張っておりますが、最後のカテゴリーとして信用情報機関につきましては、会員管理について特別の措置を求めるものでございます。これはその最後のページでございまして、別添３といたしまして13ページにございます。すなわち構造といたしましては、本体の方もこの絵と同じように、全体としての指針、それから管理段階ごとの取扱い、そして特別の情報をお取り扱いになられる場合、それから特に信用情報機関については特別の措置がなされているという、こういう全体構造になっております。

それでは、若干技術的な流れでございますが、簡単にご説明いたします。

まず、本体の１ページ目をあけて頂きますと、１ページ目の１が、この資料４でいいますと一番左の箱に入るわけでございまして、基本方針の整備、それから取扱規程の整備、点検・監査に係る規程の整備、それから外部委託に係る規程の整備として掲げ、それらの基本方針等において規定すべき事項を記載しております。

その中で１点付言いたしますと、１－２というところの本文のなお書きでございます。先ほど申し上げましたように、この取扱規程は、その「なお」の前に書いてございますが、各管理段階ごとに取扱規程の内容を定めて頂きまして、管理段階ごとの従業者というか取り扱われる方が、それぞれご自分は何をしないといけないのかということを明確にするために、そのような内容にするということでございます。なお書きの趣旨でございますが、私どもはやはり実態として考えますと、すべての管理段階を同一人が行う小規模事業者、つまりお一人が全部やっておられるというような場合には、これは管理段階ごとというわけではございませんし、管理段階ごとに定める理由というのは、先ほど申し上げましたように、私はこの段階のことをやっているんだからこれを気を付けないといけない、もしくは漏えいしたときに、この段階のこのことをしなかったんだからなということを明確にするためにやっているわけでございまして、お一人の方が全部やっているのであれば、恐縮な言い方ですが、はっきりしているわけでございますので、ここについては全管理段階を通じた安全管理規程におきまして、まさに自らの役割、責任でございますとか、実際ご自分が行われるそれぞれの段階で、どのようなことを行われるかということを定めるべきものでございます。実態を勘案して、そこはつくることになるということでございます。

それから、１ページめくって頂きまして、２ページは、その組織的安全管理措置のカテゴリーでございます。組織的安全管理措置としては、ここに書いてございます管理責任者等の設置、それから管理責任者の設置、それから一番下段の２－２ですと、就業規則等における安全管理措置の整備、おめくり頂きますと、それら取扱規程に従った運用、そして確認できる手段の整備、点検・監査等というふうになっていくわけでございます。これらの内容は、かなり現在の事業者に比べても行われている内容と存じますが、中で一つ重要な事項としては２－６でございますが、やはり金融分野の個人情報の特性の中でのガイドラインとして対応しないといけない問題として、やはり経済的価値が高くて漏えいのリスクが高いということでございますので、漏えい事案等に対応する体制というのはきちんと整備して頂くということでございます。対応部署、それから漏えい事案等の影響等に対する調査体制、すなわち影響等の「等」としては、どうしてこういうことが起きたんだろうとか、その影響というのはあまりいい言葉ではないのかもしれませんが、その後二次被害が起きていないのだろうかとか、そうしたことをきちんと分析された上で、の再発防止策・事後対策を検討して頂き報告するといった体制は、きちんと整備して頂きたいということでございます。

それから、さらに次のページでございますが、２－６－１として、そういうわけでございますで、行政当局等への通報とかをして頂きたいということでございます。

その次は、人的安全管理措置でございまして、人的安全管理措置といたしましては、先ほどちょっとガイドラインでも出ました３－１の非開示契約等の締結、これは採用時等に締結して頂くということでございますが、この「採用時等」というのは、採用されたときには、例えば、これは別に具体例として絶対にそうであるいうわけではございませんが、データ管理部門にいらっしゃったと。20年ぐらいされて、今度は地方の全く違うことを扱われる部署に行かれたと。そうしますと、そもそも扱っておられるデータでありますとか、一体自分が何を非開示にしないといけないかというのは随分変わるわけでございます。そういう場合には改めて、「あなたはこのデータの管理責任があり開示してはいけない」ということで、もう一度契約とか誓約書だとか、きちんとした形で確認をして頂くべきではないかということで、このような規定を置いております。

そのほか、従業者の役割、責任等の明確化、それから安全管理措置の周知徹底、教育及び訓練、それから遵守状況を確認して頂くということになります。

３の実施体制の整備に関する技術的安全管理措置が５ページ以降でございます。これは、実務的に議論している中で多かったご質問ですので、あらかじめお答えいたしますが、まれにというか、そういう場合もあるわけでございまして、全くもって紙だけで、パソコンは全く使わないで個人情報を管理しておられるという場合には、当然のことながらこの技術的安全管理措置というものは必要になりません。この技術的管理措置は、こうした情報システムの利用の際の措置といたしまして、以下の１から７を定めているわけでございます。

その中で、例えば４－１ですと、本人確認、個人データの利用者の識別及び認証。お使いになっておられる方が本人であるかどうかを確認し、その本人確認に関する情報が不正使用されないために防止をしないといけないと。これは非常に一般的に言えば、現在私どもも一般的に、ＩＤでありますとかパスワードでありますとか使っているわけでございます。さらに、ここに書いてございますような不正使用を防止するとか、他人に知られないためにするということとしては、例えばＩＤの最低桁数を設定するとか、アクセスを何回も何回も断られた場合には、これは自動的に使用停止にしてしまうとか、いろいろ考えられると思います。ここにつきましては、従前、財団法人金融情報システムセンターにおかれまして、いわゆる技術的安全対策措置等をおつくりになっておられて、各事業者においても、それをもとにいろいろと管理しておられると思いますが、この内容としてどのような手法があるかとか、どのような手法が好ましいかとか効果的であるかというのは、技術の状況、それからそうした民間でのさまざまな実例等を踏まえてご検討頂くべきことでございますので、あくまでもこのガイドラインに基づく実務指針は、こうした内容を整備して頂きたいということを申し上げているわけでございます。

したがいまして、その下の管理区分の設定及びアクセス制御の内容、ここも当然のことながら、技術的にどのようなアクセス制限を設定するかとか、制御措置としてどのような措置を行うか、これはいろいろございます。これらについては、繰り返しになりますが、このガイドラインでは、そうした措置を行って頂くことを求めているわけでございますので、何か特定の手法を念頭に置いているわけではございません。それから、個人データへのアクセス権限の管理、それから漏えい・毀損防止策等を定めております。

ページをめくって頂きますと、アクセスの記録及び分析と、また稼働状況の記録及び分析ということで、やはり漏えい等がシステムから起こった場合に、このアクセスを記録し分析することが、何よりも再発防止策等を策定し調査をする上では、まさにベースになるものでございますので、これらについては行って頂きたいということでございます。

II が従業者に対する監督措置でございます。これは、先ほどの人的安全管理措置と同一でございます。

III が、委託先の監督でございます。委託先の監督としては、委託先の選定の基準として、６ページから７ページにわたる事項を定めて頂くと同時に、実際に５－１－１においては、１から４の事項を整備して頂くわけでございますが、これはまさにどこかで見た事項だなということでございまして、非常に簡単に申し上げれば、委託先においては、委託者と同等の安全管理措置体制等を整備して頂きたいということを求めている基準をつくって頂きたいということでございます。したがいまして、５－１－１、５－１－２の内容はそのような趣旨のものでございます。

５－３は、委託契約において盛り込むべき安全措置に関する内容として、委託者の監督・監査・報告徴収、それから漏えい、盗用等の禁止、再委託に関する条件、それから委託先の責任等を定めるべきであるということでございます。

それでは、その次の８ページ以降の細かいことでございますが、１点申し上げますと、８ページの下の方に６－２－１－１とございます。私ども当然取得・入力、利用・加工、保管・保存、移送・送信、消去・廃棄、漏えい、それぞれ必要な事項あると思いますが、特に利用加工段階において管理区域外に持ち出されたときに、窃盗に遭われるとか、もしくは置き忘れたとか、非常に遺憾ながら多いわけでございます。したがいまして、この利用・加工段階の中でも、やはり管理区域外に持ち出される場合には、きちんと取扱者を最小限に限定して頂くとか、やはり持ち出すわけですから、持ち出しの対象になるものは本当に必要なものに限って頂くとか、これらの点はきちんとして頂きたいというふうに考えているわけでございます。この点は、各段階ごとの管理規程の中でも特に定めて頂きたいと思っております。

それから、飛びまして11ページでございますが、センシティブ情報、それから生体認証情報についての措置としてはどのようなことが考えられるかということでございます。まず、７－１－１、センシティブ情報の取扱いについてででございますが、やはり取得・入力段階は、ガイドラインで先ほど申し上げたような定める場合のみ取得することになっておりますので、本当にそういう場合について取得しているんだろうかということを確認して取得して頂く。ある意味では当たり前のことでございますが、それから、やはりそういう取扱いをなされる方は、１月から６月のヒアリングの中でも、実際に現状もこうした情報は必要最小限の方に限っているんだというふうなご説明がありましたが、引き続き、だれでも触れるということではないようにして頂きたいということでございますし、もまさにガイドラインの趣旨からすると、取得段階での本人同意の取得とか、説明事項をクリアしていないのに取得してしまったというようなことでは、これはそもそもいけないわけでございますので、こういうことをして頂きたいということでございます。

そういう意味で７－１－１－１は、ではそのとき生体認証情報の場合はどうなんだろうということでございますが、これはさらに、この間の実際の実例でもございましたように、どなたかがなりすまして登録することを防止するとか、それからやはり本人確認は本当に最小限の必要なものをお採り頂くと。それから、あの際に東京三菱銀行からはお話がございましたが、実際には画像データをお採りになった後、その画像は速やかに消去して管理しておられるということでございますので、やはりその本人確認のみに使うということからは、こうした措置が必要ではないかと考えております。

７－１－２は、利用・加工段階においてでございますが、当然センシティブ情報でございますので、同様に所要の目的のみによる利用・加工でないといけませんし、取扱者は必要最小限になるべきだと思いますし、以下ということでございます。

７－１－２－１は、さらに生体認証情報の利用段階でございますが、これは若干専門的な用語で分かりにくい部分があるかもしれませんが、例えばで言っているのは、聞けばなるほどという話でございまして、合成された生体認証情報というのは簡単に申し上げますと、顔に覆面をしてその顔の特徴をつくってしまうとか、合成指紋を張り付けると。恐縮ですが、そういう用語として「合成された」ということになっているわけでございます。これはアメリカとかＥＵの規定の中でこのような用語を使っているので、仮にこれが国際的に見たときにも、平仄をとる意味で「合成された」と言っておりますが、要はそういう偽造をしたもので生体を不正認証するということを防止するというものをやって頂きたいということでございます。それから、登録されたものを不正利用するのを防止する。それから先ほどの話でございますが、残存したものの消去。は若干分かりにくい部分もあるかもしれませんが、認証精度設定等の適切性の確認というのは、これをあまりよっぽどぴっちり合っていないとだめだというふうにすると、今度は本人でも通らなくなるというようなこともございますし、あまり緩くすると問題だということで、これはどのような精度になっているのかということを確認して、きちんとこの精度だよということをご提示頂くということでございます。

それから、は、生体認証手続が何らかの事情やトラブル等でできなかったときには、別途の手段で本人確認をされるわけでございますが、このときにはなぜかルーズだというわけにはまいりませんので、そこは厳格にお願いしたいというところでございます。

７－１－３は、センシティブ情報の保管・保存でございますので、同様に必要最小限であると同時に、アクセス権限等もそのように実施していきたいということでございます。

７－１－３－１は、これは保存段階の生体認証情報でございます。やはりあの際にもご質問がございましたが、当然暗号化を含まなければならない。ただ、その暗号化のレベル等、確かにいろいろございますでしょうが、今回のガイドラインとしては暗号化を含まなければならないと。その具体的なレベルにつきましては技術の進歩等を踏まえて、自主的なご努力に期待されるところでございます。また、サーバー等において分別管理が行われるということになるわけでございます。

それから、７－１－４は移送・送信ということで、７－１－５は廃棄・消去と。７－１－５－１として、当然のことですが、消去段階でも生体認証情報は必要がなくなった場合には速やかに消去しないといけないということは、今までのご説明で当然のこととご理解頂けると思います。

それから、７－２でございますが、やはり非常にシステムの中の部分、それから先ほど申し上げましたなりすましでございますとか、果たしてそういうものを防止できる措置になっているんだろうかというふうに考えますと、これは生体認証情報についてはぜひ外部監査を行って頂くべきではないかと。また、その他のセンシティブ情報の取扱いにつきましても、必要最小限のアクセス制限の設定等がございますので、必要に応じて外部監査の実施が求められるところでございます。

最後の、個人信用情報機関における会員管理につきましては、これは金融信用分野全体といたしまして、会員管理については、このような事項を行って頂きたいと思います。まず、資格審査でございますが、適正な事業者のみが会員となるよう、当然のことながら厳正な入会審査が行われるべきでございます。それから、当然入会時だけではだめでございまして、本当にその後も返済能力の調査以外の目的のために使用していないのかどうか、適切かつ継続的なモニタリングを行って頂く必要があるわけでございます。

それから、不適正使用についての処分、これについても、そのような場合にはきちんと利用停止、退会等の処分が実施される必要があるとともに、それだけでなく、その方がおやめになっただけということではなく、場合によっては資格審査やモニタリングのやり方も含めまして、再発防止策をきちんと講じて頂く必要があるわけでございます。

最後に、個人信用情報機関におかれては、非常に膨大な個人情報を管理しておられることから、外部監査を受けて頂きたいと、かような条項でございます。

最後にでございますが、このような内容を想定しているわけでございますが、正直申し上げまして先ほどの生体認証情報などは、国際的にもデファクトスタンダードづくりが進んでいたり、さらにさまざまな技術の進歩があるわけでございますので、この内容については、今後とも民間の有識者の方々、あるいは専門家の方々、それからこれはガイドラインができた後としましては、当庁といたしましても、むしろ検査・監督当局も含めまして、必要に応じてこれを改訂を検討するような場をつくる必要があるのではないかと思っております。その際には、先ほど申し上げました金融情報システムセンターのご協力等も仰ぎながら、機動的に改訂ができるような形にしてまいりたいと思っております。

以上でございます。

○ 山下部会長

どうもありがとうございました。

それでは、ただいまの実務指針案のご説明につきまして、また質問、ご意見等頂ければと思いますが、いかがでしょうか。

原委員、どうぞ。

○ 原委員

前回のヒアリングのときに欠席いたしましたので、少し質疑が進んでいたら大変恐縮なんですが、２点なんですが、１つは外部監査についてなんですけれども、外部監査についての規程はこの４段階のランクの上２つのところに入っているのですけれども、これだけで十分かなというふうに思っておりまして、外部監査についての規程をこの２つだけにとどめられたのか。そうでなくて、もちろん一番下の段階でもやろうと思えばやれるわけではありますけれども、どういう整理の仕方をなさったのかということが１点。

それから、３ページの２－６のところで、漏えい事案等に対応する体制の整備ということが書かれているんですが、数多くの漏えい事例というのがありまして、からを見たときに、のところになると思うんですけれども、原因究明についての何か調査体制というような文言が入っていない。もちろん原因究明は当然各社ともおやりになると思うんですけれども、文言として入っていないように思うのですが、いかがでしょうか。実際に私は300ぐらいの事例、国会で問題になった部分を見させて頂いたんですが、ほとんど原因は特定できていなかったんですね。大変難しいんだろうというふうに思ってはいるんですが、こう書かれた理由をお聞きしたいと思います。

○ 寺田企画課調査室長

まず外部監査についてですが、ではそもそも全体についてはどうなっているのかということでございまして、このガイドラインの規程の中の２－５でございますので、場所としては３ページ目でございますが、２－５で、全体については、私ども当然点検・監査というものを義務付けなければならないということで、そこに書いてございますように、データの取扱部署が自ら点検を行うということのみならず、点検部署以外の者が監査体制を整備して、監査を実施しなければならないというふうにいたしております。したがいまして、そもそも金融分野の業者におかれましては、自主的な監査というのは行わなければならないわけでございます。さらに、外部監査ということになりますと、これは一つは、果たして外部の方に見て頂くような取扱いの難しい情報管理の状況なのかということ。それから個人情報の取扱いといった場合に、極めて膨大な数がございますので、もちろん扱いとして外部監査を行われるところもあるとは思いますが、完全に悉皆的に義務付けるところまでは必要ないのではないかというふうに考えております。他分野のガイドラインにおかれましては、経済産業分野の信用分野におかれまして、個人信用情報機関の会員管理のみ外部監査を義務付けておられますが、恐縮ですが、他の分野のガイドラインでは、センシティブ情報に該当する生体認証情報の規定がございませんので、そもそも外部監査を義務付けている領域はないのではないかというふうに理解しておりますので、その点は当分野の方が格段に厳しいというふうに理解をいたしております。

それから、原因究明という言葉を含めるべきではないかということなのでございますが、当然のことながら原因究明を含んでいるわけでございます。「影響等」というふうに書きましたのは、ここは今後パブリックコメントにかけさせて頂きますので、まさに先ほどのガイドラインでもございましたように、分かりにくいとかというのは、私どもは直す義務があるわけでございますので、むしろ原因究明と書いた方がいいのかもしれませんが、なぜこうしたかと言いますと、原因究明もなんですが、とにかく漏えいが起きたときには、まず求められるのは一体今どうなっているんだという状況を把握して対応を立てる必要があるということから、まず「影響等」と書かせて頂きましたが、当然のことながら、「等」の中に原因究明が入っております。ただ、やはりこの場合に求められるのは、即時に被害を最小限に抑えて再発させないということが第一でございますので、まずは「影響」ということでございます。ご趣旨は当然のことと受け止めております。

○ 山下部会長

上柳委員、どうぞ。

○ 上柳委員

今度は単純な質問なんですけれども、11ページの７－１－２－１のです。この合成された生体認証情報、私の先ほどの理解では、例えば私が堀部先生の顔写真を使って、それで登場するとかということと受け止めたんですが、これはもとの英語はどういう言葉ですか。いかにも分かりにくいので、工夫して頂けるといいなという趣旨で、私が英語を聞いても分からないのかも分かりませんが。あるいはパブリックコメントのときには少し解説をつけるなり、訳文を工夫されるのがよろしいのではないかという趣旨です。

○ 寺田企画課調査室長

実際のところ、私どものこの生体認証情報については、前回に早稲田大学の小松教授の方からお話がございましたように、これ自身はいろいろとＩＤの窃盗でございますとか、いろいろなものを防止する上で非常に有用なものでございまして、これは言い方によってちょっと語弊があるとあれですけれども、角を矯めて牛を殺すことになってはいけませんので、やっぱりこれの有効利用というのはきちんと図られないといけないと。他方でその場合のヒアリングにもございましたが、究極の個人情報ですので、それがほかの目的に利用されたりするということは、やはりこれもきちんと防止しないといけないという、そういう２面があるわけでございます。

したがいまして、この基準は、基本的にアメリカのANSI X9.84という、アメリカにおいて金融機関に対して求められている生体認証情報の自主的な要件といいましょうか、規格、それからあの席で早稲田の先生の方からご意見もありましたが、欧州の方でありますバイオビジョンというような勧告、それらに書かれていることの中から必要なことを書いているわけであります。ちなみに合成された生体認証情報等による不正認証の防止というのは、ANSI X9.84、アメリカの方で使っている言葉を基に規定しているものでございますので、ちょっとこの場に英語はございませんが、そのような考え方と平仄をとって、国際的にも当然求められることは求められるし、かといって、これを使いにくくするようなことでは、かえってむしろ必要な被害の防止にはなりませんので、そこら辺は十分考えていきたいと思います。

○ 山下部会長

ほかにいかがでしょうか。

○ 寺田企画課調査室長

先ほどの「合成された生体認証情報」の基とした英語ですが、規定上はフロード・サスセプビリティ・ウィズイン・データ・コレクション・シンセティック・アタックということで、シンセティック・アタックですから、偽造のとか合成のアタック、攻撃ということでございます。また、そこら辺は必要に応じて解説させて頂きます。

○ 山下部会長

かなり技術的で細かい話でございますが、何かご質問とかございませんでしょうか。もしございませんようでしたら、質疑はこのぐらいにいたしまして、事務局においては、本日頂いたご意見等も踏まえて、この実務指針についてもパブリックコメントに付して頂くという運びになります。

それでは、以上をもちまして本日の議題は終了したということでございます。

事務局から連絡事項をお願いいたします。

○ 寺田企画課調査室長

本日のご審議にもございましたように、引き続きご審議頂く事項がございますので、次回のご審議につきましては、部会長とご相談の上決めさせて頂きたいと思います。よろしくお願いいたします。

○ 山下部会長

それでは、今日は早めですが、これで終了いたします。

どうもありがとうございました。