金融審議会金融分科会特別部会(第17回)議事録

平成16年12月7日(火)

金融庁 総務企画局

○ 山下部会長

定刻でございますので、ただいまから金融審議会金融分科会特別部会を開催させて頂きます。本日もご多忙のところをご出席頂きまして、ありがとうございます。

本部会では、金融分野における個人情報保護のあり方についてご議論頂いておりますが、前回の部会でご審議頂きました、金融分野における個人情報保護に関するガイドラインにつきましては、お手元の資料1にございますとおり、昨日6日に告示された旨、事務局より報告を受けております。当該ガイドラインを踏まえまして、各業界団体等におきましては自主ルールの整備を進められており、また、財団法人金融情報システムセンターにおかれましても、安全対策基準の改定作業が行われております。

本日は、それらにつきまして、まずヒアリングを行いまして、その後に個人情報保護に関する検査・監督の現状と、今後のあり方及び法制上の措置の必要性について、ご議論頂きたいと考えております。

では、まず配布資料につきまして、事務局より確認をお願いいたします。

○ 寺田企画課調査室長

本日大変大部にわたっておりますので、若干確認をさせて頂きます。

資料1は、ただいまお話がございました「金融分野における個人情報保護に関するガイドライン」、平成16年12月6日に金融庁告示第67号として告示されております。

資料2-1と2-1は、全国銀行協会におかれます「個人情報の保護と利用に関する自主ルール(案)」の概要及び案でございます。

資料3-1及び3-2は、全国信用金庫協会におかれての「個人情報の保護と利用に関する自主ルール(案)」の概要及びルール案でございます。

資料4-1及び4-2は、日本証券業協会におかれての「個人情報の保護に関する指針」の概要及び指針(案)でございます。

資料5-1及び5-2は、社団法人全国貸金業協会連合会におかれての「個人情報保護に関する自主ガイドライン(案)」の概要及び本体でございます。

資料6-1及び6-2は、社団法人生命保険協会におかれての「生命保険業における個人情報保護に関する自主ルール」につきましての概要及び取り扱い指針でございます。

それから、資料7-1と7-2は、社団法人日本損害保険協会における「個人情報保護指針」の概要及び指針の案でございます。

資料8は、財団法人金融情報システムセンターにおかれての「金融機関等コンピューターシステムの安全対策基準の改訂状況」という資料でございます。

資料9は、経済産業の分野のうち信用分野における個人情報保護のガイドラインでございます。

それから、9の後ろには、番号は付ってございませんが、ガイドラインについてのパブリックコメントの概要の紙が入っております。

資料の10-1及び10-2は、平成16年の検査事務年度検査基本方針及び基本計画及び金融検査マニュアルにおける顧客情報の保護に関する検証項目でございます。

資料11-1及び11-2は、中小・地域金融機関向けの総合的な監督指針等及び資料11-2は、個人情報の情報管理の徹底についての事務連絡文書でございます。

最後に、資料12と資料13は、金融分野の個人情報保護に関する法制上の措置についての主なご意見と意見等を踏まえた主な論点でございます。

配布漏れ等はよろしゅうございましょうか。

それでは、一言、経済産業省の方から、資料9の経済産業分野のうち信用分野における個人情報保護ガイドラインの策定についてご紹介がございますので、よろしくお願いいたします。

○ 佐藤取引信用課長

資料9につきまして、一言だけご説明したいと思います。

これは経済産業分野のうち信用分野におけるガイドラインにつきましては、前回12月1日に産業構造審議会の小委員会を開催いたしまして、お手元の資料につきましてはそのときに配布させていただいたものでございます。資料9として2つついてございますが、本件につきましては、2つ目の資料の方にございますとおり、10月にパブリックコメントを付しまして、それにつきまして75件の意見をいただいております。それに基づきましてパブリックコメントにかけました案につきまして若干だけ微修正をさせて頂きまして、最終的に取りまとめをしてございます。それが資料9に配布させて頂いているものでございます。既に当省のホームページの方には掲載してございまして、12月中に告示を行う方向で作業を進めてございます。

以上でございます。

○ 山下部会長

それでは、業界団体における自主ルールの整備状況についてのヒアリングを行いたいと思います。本来であればすべての団体からご説明を頂くべきところですが、今般新たに個人情報の保護に関する自主ルールを策定された3つの団体から、本日はご説明頂くこととしたいと思います。

最初に、全国銀行協会業務委員長を務めていらっしゃる、株式会社三井住友銀行専務取締役月原専門委員及び全国銀行協会事務局長橋本様からお願いいたします。

○ 月原委員

三井住友銀行の月原でございます。全国銀行協会の業務委員長を務めております。

まずは、このような場で私ども銀行界におけます個人情報保護への自主的な取り組みについて申し述べる機会を頂戴したことに、深く感謝申し上げます。

従来より、銀行業界では個人情報を慎重に取り扱ってまいりましたが、個人情報の保護に関する法律を極めて重く受けとめておりまして、今後もこれまで以上に厳格な管理を行っていく所存でございます。全国銀行協会では、ご紹介にありましたように、現在、個人情報保護法及び先般示されました金融庁ガイドライン踏まえまして、自主ルールを策定しております。本日はその自主ルール(案)の概要につきまして、全国銀行協会橋本事務局長より御説明をさせて頂きます。

○ 橋本参考人

橋本でございます。よろしくお願いします。

本日お配り申し上げておりますのは2点でございまして、資料2-1と2-2でございます。2-1は自主ルールの概要、それから2-2は自主ルールの本体部分でございます。

本自主ルールでございますけれども、全国銀行協会の会員銀行が、個人情報保護法並びに金融庁のガイドラインを踏まえまして、個人情報の適切な保護と利用を図ることを目的とするルールでございまして、現在、全国銀行協会において内容の検討を行っているものでございます。

なお、銀行業界といたしましては、個人情報保護法第37条によります認定個人情報保護団体を設置することを、現在検討をいたしております。

個人情報保護法によりますと、認定保護団体は個人情報保護指針を作成し、公表するよう努めるということになってございます。銀行業界で認定保護団体を設置した後は、本自主ルールを認定保護団体の個人情報保護指針ということで、改めて位置づけたいと考えております。

それでは、資料に沿いまして、自主ルールの内容について、ご説明を申し上げます。

まず、資料の2-2の本体部分でございます。これをご覧頂きたいと思います。1枚目をあけて頂きますと、ページが打ってございます。1ページ、2ページ、これが目次でございまして、 I の総則から X の認定個人情報保護団体まで、全体で10項目の構成になってございます。

それから、次のページの3ページをご覧頂きますと、 I の総則が出てまいります。ここで1.の目的というところでございますけれども、四角で囲んだ部分がございまして、これが本体部分ということになっております。その四角の中の上の2行がいわば自主ルールの本文ということでございます。その下に(運用上の考え方)というのが出てまいります。これは、自主ルール本文自体は銀行が遵守すべき義務等がやや抽象的に書かれておりますことから、銀行実務上でどのように運用するか、できるだけ具体的なイメージを示す必要があろうということで工夫したものでございまして、いわばこの本文と、(運用上の考え方)、これがセットになって自主ルールを構成しているということでご理解賜りたいと存じます。

このほか、その四角で囲んだ部分の下でございますけれども、各項目に関連する金融庁ガイドラインでありますとか、法律等の関係の規定を参考までに掲げてございます。

これ以降は同じような形をとっております。

次に、自主ルールの内容でございます。資料の2-1の方に概要をお示ししてございますので、これをご覧頂きたいと思います。

本自主ルールにつきましては、基本的に法令でありますとか、金融庁ガイドラインを踏まえて作成しておるわけでございますが、字が小さくて申しわけございませんが、ここにアンダーラインを付した部分がございます。これらは金融庁ガイドラインに上乗せをして規定をしているということを、アンダーラインで示したものでございます。

以下、この資料2-1に沿いまして、ポイントだけご説明をさせて頂きたいと思います。

まず、 II の取得及び利用のところでございます。その1.の利用目的の特定でございます。これをご覧いただきますと、個人情報がどのような事業の用に供され、どのような目的で利用されるかを本人が合理的に予想できるよう、できる限り特定しなければならないといたしてございます。それで、具体的な利用目的の特定の仕方でございますが、恐縮でございますが、ここだけは資料2-2の本文をご覧頂きたいと思います。61ページ、最後のところでございます。雛型例示集というのをつけてございます。これをご覧頂きますと、その四角のところでございますけれども、銀行が行っている業務内容を列挙いたしました上で、利用目的を具体的に記載をいたしてございます。業務内容でございますけれども、預金、為替、両替、融資、外為、これらに付随する業務に始まりまして、投信販売、保険販売、証券仲介、こういうものを具体的に列挙いたしております。

それから、次の利用目的でございますけれども、これは金融庁のガイドラインでありますとか、本特別部会におきます議論を踏まえまして、お客様にわかりやすいよう、できるだけ詳しく書くということで、13の項目について記載をいたしてございます。お客様とのお取り引きを円滑に遂行、管理していくための利用目的でありますとか、お客様に対しよりよい金融サービスをお勧めするための利用目的、これを掲げておるわけでございます。業務内容や利用目的につきましては銀行によって若干差はあるとは思いますが、おおむねこの例示のような形になるものと考えております。

また、62ページの方に、利用目的をお客様に明示し、ご確認頂いた上で、お客様の署名を頂戴する場合、こういう場合も想定されますので、それの書式例を示してございます。

以上が利用目的の特定のところでございまして、恐縮ですが、また資料2-1の概要の方に戻って頂きたいと存じます。

II の2.でございますが、利用目的の通知・公表・明示のところでございます。ここでは、電子的方法を含めまして、お客様から直接書面によって記載された個人情報を取得する場合、あらかじめお客様に利用目的を明示することを定めてございます。また、与信事業におきましては、利用目的について本人の同意を得なければならないといたしておりまして、これは金融庁ガイドラインの方では努力措置と位置づけられておったわけでございますが、これを本自主ルールでは義務規定にいたしてございます。

それから、その同意を得る方法につきましては、書面上にお客様の署名や捺印をもらうということを原則といたしてございます。

次に、 II の3.のダイレクト・マーケティングの中止のところでございます。ここでは、ダイレクトメールの送付でありますとか、テレマーケティングの目的で個人情報を利用することにつきまして、お客様のお申し出がございますれば、中止するということを定めてございます。この点は本部会でも議論があったところでございますが、金融庁ガイドラインでは、与信事業において取得した個人情報について、ダイレクトメールの発送に係る利用目的を拒否することができるというふうにいたしてございますが、本自主ルールでは、与信事業に限定せずに、すべての個人情報に適用することにいたしております。また、利用目的について、同意した後も、いつでもお客様のお申し出によりダイレクトメールへの利用を拒否できる、こういう取り扱いにいたしてございます。

それから、次の II の5.でございます。いわゆるセンシティブ情報の取り扱いのところでございます。センシティブ情報の取得・利用、第三者提供につきましては、金融庁ガイドラインで定められた一定の場合を除いて禁止をいたしてございます。その上で、やむを得ず取得するという場合でも、特に慎重に取り扱わなければならないということにいたしておりまして、金融庁ガイドラインよりは厳しい義務規定としてございます。

また、銀行業務におきましては、本人確認資料の写しを頂く場合がございます。その場合に、本籍地情報が記載されているなど、お客様から頂戴した書面に業務遂行上必要でないセンシティブ情報が記載されている場合がございます。そうした場合には銀行において該当部分を黒塗りして保存するなどの措置をとることといたしてございます。

次に、 IV の安全管理措置がございます。これは個人データの漏えい、滅失または毀損の防止、その他の個人データの安全管理のため、別途定める個人データの安全管理措置に関する指針に掲げる措置を講じなければならないといたしてございます。これは前回の本特別部会におきまして、金融庁の安全管理措置等についての実務指針案が示されたわけでございますが、全銀協ではそれを踏まえまして、さらに詳細な安全管理措置に関する指針を制定すべく、現在検討を行っております。その中では、特に建物への入退室、それの管理、コンピューターの記録媒体の取り扱い、こういったものについて具体例を示した形で規定を置いていくということを現在鋭意検討しているところでございます。

次に、この資料の裏面をご覧頂きたいと思いますが、 V の第三者提供の制限、 VI の開示等の手続、 VII の苦情処理体制の整備、それから VIII の漏えい事案への対応、このあたりにつきましては、法令でありますとか、金融庁のガイドラインを踏まえた規定にいたしてございます。

また、 IX の個人情報保護宣言の制定のところでございますが、個人情報の適切な保護と利用を図るための基本方針といたしまして、個人情報保護宣言を策定することにいたしてございまして、その具体的な内容については、金融庁ガイドラインよりは詳しく定めているところでございます。具体的には、関係法令等を遵守すること、個人情報を目的外に利用しないこと、個人データの安全管理措置を講じること、漏えい等の防止に努めること、苦情処理に適切に取り組むこと、継続的な改善に努めることなど、各銀行の取り組み方針を宣言するということにしてございます。

また、個人情報保護宣言の中で、個人情報の利用目的の通知・公表等の手続でございますとか、開示の手続などをお客様にわかりやすい形でご説明するということにいたしてございます。

最後に、 X でございます。認定個人情報保護団体のところでございます。本自主ルールの遵守のため必要な報告を銀行に求めることができること、また必要な指導・勧告、その他の措置をとることを定めてございます。

なお、この認定個人情報保護団体につきましては、先ほど申しましたように、今後、金融庁における認定基準でございますとか、業務内容の検討が行われると伺っておりますので、これを待って詳細を検討するという取り扱いを考えてございます。

私の説明は以上でございます。

○ 山下部会長

それでは、続きまして、社団法人全国信用金庫協会業務管理部長の三枝様より、ご説明をお願いいたします。

○ 三枝参考人

ただいまご紹介を頂きました全国信用金庫協会の三枝と申します。よろしくお願いをいたします。

それでは、これから私ども信用金庫業界の自主ルール案について、ご説明をさせて頂きます。資料をご用意させて頂きましたのは、概要として3-1、それから本体として資料3-2でございます。今日は資料3-1の概要の方でご説明をさせて頂きたいと思います。

資料3-1に、私どもの個人情報の保護と利用に関する自主ルール案の概要ということで、簡単に記載をさせて頂いております。これに沿ってご説明をさせて頂きます。

まず、最初にお断りでございますけれども、概要の1.構成と内容に書かせて頂きましたように、私どもの自主ルール案の検討に当たりましては、信用金庫は基本的に銀行と同様の業務を行っておりますことから、全国銀行協会さんの自主ルール案を参考に検討を進めさせて頂いております。したがって、全銀協さんの自主ルール案の構成と各規定内容がほぼ同一になっておりますことを、まずお断りさせて頂きたいと思います。

その中で、業界としての特徴点を幾つか申し上げたいというふうに思います。

2.の業界としての特徴点のところでございますけれども、1つは、信用金庫の制度的な特性から出てくるもので、信用金庫の出資者であります会員の情報を個人情報の対象としてございます。これは、運用上の考え方によるものでございますけれども、信用金庫は出資者である会員による協同組織金融機関でございますので、貸し付けについては原則会員を対象としております。信用金庫の会員は銀行の株主に該当するものといえようかと思いますけれども、貸し付けとの関係で、今、申し上げましたように、銀行の株主とは異なる存在でございますので、会員の情報を個人情報の対象としたということでございます。全銀協さんでは、銀行の株主の情報は個人情報の対象にしていないということでございますので、この点は銀行の株主とは異なる取り扱いということになっております。

蛇足でございますけれども、会員について少し補足をさせて頂きますと、私ども信用金庫の出資者である会員は、貸し付けを受けるために会員となるケースが非常に多うございます。したがって、会員はすなわちお客様という関係になっておりまして、会員の情報を個人情報の対象にした、こういうことでございます。

2つ目でございますけれども、個人データの安全管理措置に関する事項でございますが、安全管理措置については、本体の自主ルールとは別に指針を定めることにしておりまして、これについては現在検討中でございますので、資料としておつけをしてございません。しかし、重要な事項でございますので、信用金庫の特性を踏まえまして、私どもとして留意をしたい点を、3点ほどご説明をしたいというふうに思います。

1点目は、信用金庫の特徴であります渉外担当者の外訪等による営業活動に配慮した規定を設けていきたいということでございます。信用金庫の営業スタイルは、銀行さんと比べますと外訪活動による営業のウエートが高いところに特徴がございます。具体的に申し上げますと、渉外担当者が直接お客様のもとに訪問しまして、金融商品のセールスや集金活動等を行う営業スタイル、こういったところに特徴がございます。業界の特有の話で大変恐縮ですけれども、こうした渉外担当者は携帯用のハンディ端末というものを営業カバンの中に入れまして営業活動を行っているのが、私ども信用金庫の一般的な方式でございます。したがって、自主ルール等の策定に当たりましては、これらの機器の紛失等によって個人情報の漏えい等の事故が発生しないよう、安全管理措置について、特に留意することといたしまして、別に定める安全管理措置指針の中にそのための規定を設けていきたい、このように考えております。

2点目は、私ども業界は個々の信用金庫が共同して事業を実施する場合が非常に多うございます。ここに挙げましたのは一例でございますけれども、信用金庫が共同して事務センターを設けて、業務上のデータ処理等をそこに委託して行う場合、こういうケースが多うございますので、特に安全管理措置の観点から、業務委託の契約ですとか、委託先の監督等について、契約内容ですとか、諸規定等の整備に十分配慮していきたい、かように考えております。

それから、3点目でございますけれども、ここは職員の教育研修についてでございます。個人情報の保護と利用については、法令等の遵守は言うまでもないところでございますけれども、個人情報を取り扱うそれぞれの役職員が負っている責任等の認識が重要であるというふうに考えておりますので、教育研修の場をできるだけ設けるようにしたい、こういうふうに思っております。

先ほど申し上げましたように、私ども信用金庫は、お客様との対面による取り引きが多く、地域に密着した営業を行っておりますので、特に教育面が大切であるというふうに考えております。

以上が私どもの自主ルール案の中で業界の特性を考慮した主な点でございますけれども、最初に申し上げましたように、全体の構成と規定の内容は全国銀行協会さんとほぼ同様でございますので、私どもといたしましては、業界の自主ルールの運用に当たっては、信用金庫の特性を踏まえまして、その対応を十分に図るように徹底をいたし、個別信用金庫の諸規定等への反映に努めていきたい、こんなふうに考えております。

以上で、私ども自主ルール案についての説明を終わらせて頂きたいと思います。

○ 山下部会長

続きまして、日本証券業協会常務執行役の吉岡専門委員よりご説明をお願いいたします。

○ 吉岡委員

吉岡でございます。日本証券業協会の方からは、資料4-1の概要と4―2の指針、それから解説という形で資料を用意してございます。

4-2の方でございますが、左側には指針という形で、金融庁ガイドラインと同様の趣旨を協会のルールとして定めております。また、右側にはそれの解説といたしまして、会員にとっての具体的な記載事例というような点を掲げてございます。

それでは、資料4-1の概要の方でご説明をしたいと思います。まず、1.に制度の趣旨が書いてございます。①は当然のことでございますが、②といたしまして、この指針は協会の理事会決議として定めるということになっておりまして、証券業協会に所属するすべての会員を対象としております。つまり、個人情報が少ない会員も、すべてこの指針を守らなければ、協会の定款上の処分もしくは勧告の対象となる、こういう位置づけになっております。ここは他の団体さんとは少し違うところかなと思っております。

中身につきましては各団体さんとほぼ同様の規定だと思います。定義から個人情報の利用目的の特定、これも証券業特有の具体的な事業の内容とその具体例というものを示しております。

2ページ目でございますが、与信事業の利用目的、これは証券の場合、与信という事業はあまりないんですが、しいて言えば、信用取引や保護預り有価証券の担保貸付業務が該当するのかということで、例示として挙げてございます。同意方法については、原則として書面で同意を得るということにしております。

それから、(4)目的外利用又は第三者提供の場合における同意の方法も同様でございます。例外的に認められる目的外利用・第三者提供の具体例についても例示しております。証券業の場合、証券取引等監視委員会等への資料提出というものがございますので、そういったものは例外的に認められるものとしております。

また、機微情報の取り扱いについても、原則行わないように努めるという形にしております。

それから、(9)でございますが、データ内容の正確性の確保というところで、具体例を明示しておりますが、取引報告書、取引残高報告書、ホームページにおいて、顧客の氏名、住所変更手続について周知する等としております。以前この部会で高橋委員からご指摘のありました、定期的に顧客へ顧客カード等の情報を通知して内容の確認を求めるというような点も、概要には入っておりませんが、本文の方には例示として入っております。

それから、(10)の安全管理措置等のところでございますが、会員の規模、業務内容等に応じた具体的な措置については別途定めるということで、まだ個別具体的な検討にこれから入ります。ここは少し遅れております。

それから、(13)で、本協会への漏えい事案の報告等ということで、漏えい事案等が発生したときは本協会へ報告するとともに、本協会はこの指針の遵守状況等に関し報告を求めるとしております。これは先ほどの処分との関係もございますので、協会の方に報告を頂いて、内容をチェックするということにいたしております。従来からも証券の場合は秘密の漏えいという禁止行為がございますので、そこでも行っていたところでございます。

最後に、概要の II にございますが、日証協も認定個人情報保護団体として、認定申請を行う予定でございますが、そのため、苦情処理や会員に対する情報提供等を行うため、必要な体制の整備を図るとしております。

以上につきましては、ワーキンググループで先週末までに中間報告として取りまとめたもので、日証協の会員に中間報告として示しているところでございまして、内容についてはまだ決定しておりません。できれば1月中には決定したい、このように考えております。

以上でございます。

○ 山下部会長

ただいままでで3つのご報告を頂いておりますが、ご意見・ご質問については、次のご説明・ご報告とあわせて時間をとりたいと思います。そこで、財団法人金融情報システムセンター理事長の米澤専門委員より、引き続きご説明をお願いいたします。

○ 米澤委員

米澤でございます。個人情報保護法施行に向けての当センター、以下FISCと略させて頂きたいと存じますが、その金融機関等コンピューターシステムの安全対策基準の改訂状況につきまして、ご報告申し上げます。お手元の資料8に沿ってご説明いたしたいと存じます。

まず初めに、当該安全対策基準のあるものが、いかなる位置づけのものであって、どのような内容を含んでいるかというところからお話ししたいと存じます。

そもそも、当センターFISCとはいかなる組織かと申しますと、資料8の1.にありますように、昭和59年、当時の大蔵省の許可を受けて、金融機関その他の出捐により設立された財団でありまして、金融情報システムに関する諸問題につき、総合的な調査研究と、金融情報システムに係る安全性確保のための施策を推進することを目的としております。その主要業務として、金融情報システムの安全基準の策定などによる安全対策の推進があるわけでございます。

設立の背景といたしましては、当時情報システムの高度化と、それを活用した新たなサービスが展開された時期でありまして、その安全性確保の重要性が認識され、当時の大蔵省の研究会の報告書で、安全対策推進のため、ある程度公的な性格を持った中立的な機関の設立が提言されたということがあると聞いております。

そうして設立されたFISCの、いわば最初の成果物として、2.にあります金融機関等コンピューターシステムの安全対策基準がございます。これは、その制定の経緯にございますように、金融機関のコンピューターシステムが高い公共性及び広汎性を有しており、業界の標準となるべき安全対策基準の必要性が認識されたことから、会員金融機関が取り入れるべきコンピューターシステムの安全基準を取りまとめ、会員の代表者による審議を経まして、設立翌年の昭和60年12月に初版を発刊いたしました。各金融機関は、この安全基準を参照しつつ、自社のコンピューターシステムの安全対策を実施することが期待されているわけでございます。その後継続的に見直しを行って、昨年10月に第6版が発刊されております。

なお、金融庁の検査マニュアルにおきましても、システムリスク管理体制の確認検査において、必要と認められる場合には、検査官はFISC安全対策基準等に基づき行うものとされております。

次のページでございますが、対象領域といたしましては、金融機関がサービスを提供するのに必要なコンピューターシステム全般でございまして、具体的には、顧客にオンラインサービスを提供するシステム、他の金融機関との決済業務に使用するシステム、顧客データを扱うコンピューターシステムなどでございまして、これらのコンピューターシステムについての安全対策、設備面で138項目、運用面で109項目、技術面で52項目、計299項目を網羅した、これが現物でございます、このように非常に膨大なものでございます。

内容的には、何を実施するか。例えば、データ保護に関しましては、暗証番号、パスワード等は他人に知られないための対策を講ずることというのが何を実施するかということですけれども、それに加えて、これをどのように実施するかという、実現手段、今の例で申し上げますと、パスワードに有効期間を設定し、有効期限近接時には事前に変更要求を行う機能とか、パスワードを変更する際、前回もしくは以前と同一のパスワードの使用を認めない機能とか、初回利用時に初期設定されたパスワードからユーザー自身のパスワードを強制的に変更を促す機能などの機能が挙げられているという、そういうイメージでございます。

これまでの改訂状況でございますけれども、制度変更や技術革新を反映して改訂してきておりますが、最近は大体2年に一度の改訂でございます。ここにありますとおりの改訂状況でございます。

次にまいりまして、改訂のための手順でございますけれども、金融機関やメーカー等の会員の代表者及び学識経験者から構成する安全対策専門委員会というのがございますが、その委員会と、その下部組織としての実務担当者からなる安全対策基準検討部会というところで審議いたしております。

そこで、本題の個人情報保護法施行に向けての取り組みの現状でございますけれども、4ページからでございますが、金融分野での個人情報保護のための法制上の体系を、本部会でのご審議に即して整理いたしますと、(1)の図のようになっております。ガイドラインがあって、そのうちの10条、11条、12条に関して安全管理措置等についての実務指針があり、これを受けて、事業者みずから、もしくは関係団体が自主的に示す安全対策基準等がある、こういうことでございます。この実務指針を受けて、関係団体が自主的に示す安全対策基準というものが、当安全対策基準でございます。

そういうものであるべきでありますから、情報システムに関連した個人情報保護の管理手法としての必要事項はすべて網羅すべきものであります。そして、万一網羅されていない場合には、情報の種類によって新たな対策が必要というような場合でございますけれども、それを追加するということでありまして、こうした基本認識のもと、4.にございますように、現行基準を見直しております。

その改訂状況でございますけれども、作業としては、まず金融庁ガイドライン実務指針とFISC安全対策基準とを対比いたしまして、ガイドライン、実務指針の要求事項を分析して、既存のFISC安全対策基準が網羅しているかどうかを検討いたしました。それから、その検討の結果、FISC安全対策基準に追加改訂するべき必要な箇所を抽出しております。はっきりしておりますのは、機微情報、特に生体認証情報の管理については規定がございませんので、これについて追加改訂が必要と考え、作業に入っております。

最後のページでございますけれども、その機微情報、特に生体認証情報の管理についての追加改訂でございますけれども、検討に当たりましては、去る10月15日の当部会で、早稲田大学の小松教授からご紹介がありましたANSI X9.84、これはアメリカの基準でございますけれども、これと安全対策基準との対比表を作成して、必要事項を抽出しております。また、その際、同日もご説明ございましたけれども、バイオビジョンの内容も参照いたしまして、必要に応じ、この抽出の中に加えております。

それから、勉強でございますけれども、生体認証の研究者や関連団体に現状をヒアリングいたしまして、こうしたものを踏まえまして、11月25日に安全対策検討部会を開催し、一応私どもの事務局案を提示いたしました。これをもとに部会で意見を集約してご審議頂きまして、あと最低2回はかかると思っておりますけれども、ご審議頂いて、改訂案を作成し、そこで固まったところで、2月上旬に、その上部機関であります安全対策専門委員会に改訂案をかけまして確定して頂き、2月下旬に改訂版を発刊したいという手順を考えております。

主な追加改訂内容の例でございますけれども、まず生体認証情報の取得入力から、保存、消去、廃棄までの、ライフサイクルの各段階における管理方法を定めるということがございます。例えば、取得段階であれば、顧客の同意、厳正な本人確認の実施、入力段階であれば、テンプレートへの登録、顧客への通知、サンプルデータの消去といったようなものがあろうかと思います。

それから、そうした管理方法に加えまして、生体認証を導入する場合に留意すべき技術的事項があります。例えば、認証の精密さの度合い、認証精度と言っておりますけれども、どのくらいの精密度に設定するか。緩ければ役に立ちませんし、きつ過ぎるとしょっちゅうエラーが出てきてしまうというようなことで、その認証精度をどの辺にするかというのは、技術的にはかなり難しい問題であります。

それから、働かなかったときの代替措置の手続とか、なりすましの防止とか、テンプレートの保護技術であるとか、そういった技術的事項を追加しようとしております。

今後の対応でございますけれども、これができましたところで、普及・啓蒙活動を実施する。それから、その普及・啓蒙活動は、つけ加えた部分だけではなくて、金融庁ガイドライン、実務指針にございます、情報システムに関連した要求事項と、既存のFISC安全対策基準で定めているものとを対比して、わかりやすくお示しするというのが一つあります。それから、つけ加えた生体認証情報の、今、申し上げましたような管理方法、技術事項といったものにつきまして、普及・啓蒙活動を実施いたします。

その具体的なスケジュールですけれども、まず1つは、金融庁ガイドライン、実務指針と当方の安全対策基準との対比表というのを公開しようとしております。これももちろん部会の審議を経てからでございますが、イメージ的にはこのぐらいの分量になりますけれども、こうした対比表を公開しまして、それから説明会を実施するということで、これは金融庁ご当局のご協力も得まして、1月下旬から2月にかけて、東京と地方市数カ所で説明会を実施したいと思っております。

それから、さらに会員サービスといたしまして、この金融庁の実務指針、ガイドライン等との対比ができるような、CD-ROMでの検索ソフト、これを掲載して配布する。ここにありますようなFISCガイドライン、検索ソフトというものを提供したいというふうに考えております。

もう一つ、最後につけ加えさせていただきますと、去る6月21日の当部会で、当センターから、「金融機関等における個人データ保護の取扱指針」、いわゆるFISC指針というものをご説明申し上げました。これとの関係について一言申し上げます。この同指針は、我が国で個人情報保護に関する法制が存在していない状況下で先駆けて作成されまして、各金融機関等における個人情報の取扱の指針として使われてきたものであります。その内容は、今般個人情報保護法が制定され、これに基づく金融庁のガイドライン、実務指針等の法的措置が整備されていく段階で、これらに盛り込まれてお役に立ったと思っております。しかし、そういうことでございますので、指針自体はこれでめでたくその先駆的役割を完了いたしまして、個人情報保護法等に基づく新しい体系にその役割を譲って、いわば歴史的存在になるというふうに考えております。

以上でございます。

○ 山下部会長

ただいままでの4団体からのご説明と、それからご説明を本日は受けておりませんが、お手元の資料で配布されている幾つかの団体の自主ルールも含めまして、この各業界団体の自主ルール等につきまして、ご意見・ご質問等がございましたら、頂きたいと思いますが、いかがでしょうか。

原委員、どうぞ。

○ 原委員

申しわけありません。途中で退席をいたしますので、後半の議論になるかとも思いますけれども、資料12、13あたりで出されています、今後の論点というところについて、感想と意見ということで述べさせて頂きたいと思います。

大変短い間に、金融庁の事務方と、それからそれぞれの業界団体と、大変な努力をして頂いた点というのは、感謝申し上げたいというふうに思っております。

私自身は、個人情報保護法の法律策定をする、一番最初の段階、大綱づくりというのを98年からスタートをしていたわけですけれども、今日、堀部先生はご欠席ですけれども、大綱づくりから参画をしていた者として、感想と意見ということで述べさせて頂きたいと思います。

実際に、金融それから信用情報分野というのは、大綱づくりのときから論点としては意識して検討をしておりまして、非常に利用度が高い情報であるということと、それからセンシティブな情報であるという、そういう意味では個人、消費者にとっても非常に関心が高い分野の情報であったということで、特に利用度が高いという意味では、悪意の場合では犯罪に利用されるというようなことも、最近の事例を見てもはっきりしておりまして、最も厳しいルールというものが適用されるべきであろうというふうに考えております。

そういう意味で言うと、個人情報保護法の中での枠組みの中でのサンクションというのは非常に弱いというふうに思っておりまして、行政の命令に従わなかった場合科料というんでしょうか、こういった形になっていて、直罰規定にはなっていないということになります。そのサンクションとして弱い部分をどういうふうに金融・信用情報分野では補強していくのかということが、法律が制定されたときの実際に附帯決議としてつけられた経緯だというふうに思っております。

そのサンクションの工夫ということなんですが、なぜ直罰規定とか、サンクションにこだわっているかというと、本来はやはり実効性確保ということが念頭にあるわけで、実際に実効性が確保される仕組みとして仕上がっているかどうかということが、大きなポイントなんだろうというふうに思っております。

私自身としては、今日資料の13で出ている部分で、まだご説明がないところで大変恐縮なんですけれども、ここに、特にガイドライン及び行政措置の実効性が求められる分野というふうに書かれている部分が、大変大きなポイントであろうというふうに思っているわけですけれども、まず基本的に目的外利用は、これはだめであるということですね。それから、不正取得、それから売買のようなものもだめであるというふうに思っております。それから、漏えい自体がどうかということなんですが、漏えいした場合がその直罰かというところは、ちょっと私も判断が難しいところがあって、漏えいプラス損害発生ということでの直罰ということも考えられるのですが、損害発生ということが特定できるかというと、つい先日国会に上げられた300件の事例の分析を見てもわかるとおり、損害が発生したかどうかということは非常に特定しにくいというところがありまして、損害発生を見て、何か損害賠償請求とか、直罰をかけるのはすぐには難しい。そうすると、漏えいをしたということだけでかけるかというふうになると、これも非常に厳しいものがあるというふうに思っております。

安全管理措置、岩村先生や西村先生がよくおっしゃられる部分ですけれども、安全管理対策とか措置というものが本来かけられておくべき情報分野でかけられていなかったような場合ということです。センシティブな情報でそういうような措置がかけられていなかったような場合というのが、直罰か、もっと厳しい規定がかけられるのではないかというふうに思っております。最低、今、3つのことについては、少なくとも業務停止命令がかけられるという措置はとるべきだというふうに考えております。

その次の段階として、刑罰を伴う立法の必要性という部分についてなんですが、今、申し上げた3点については、私自身としては刑罰を伴う立法の必要性というのを考えておりまして、ちょっと4つの点を思っているんです。業務停止命令も含めて、それぞれの業法の中でできることは何かということの検討を進めて頂きたいというのが、1つです。それから、これは第1部会の方で今、投資サービス法の検討を進めておりますけれども、次のステップとしては金融サービス法の検討を進めて頂きたいというふうに考えておりますが、こういった金融サービス法の中で、それから統一消費者信用法の中で、ぜひ、これは割販も含めてですけれども、個人情報の保護についての規定を盛り込んで頂きたいというのが、2つ目です。

それから、3つ目なんですが、悪意をもって詐取した場合、個人をどう罰するかということも、これも大きな論点だというふうに思っておりますので、金融庁の場だけではなくて、全省庁になりますけれども、検討は尽くして頂きたいとは思っております。ただ、私自身としては、個人の犯罪だけに落としめてしまうと、事業者の努力義務を怠った点についてが弱いというふうになると、バランスをどういうふうにとるかということもあろうかと思いますけれども、これは決して事業者の義務を弱めるものであってはならないというふうに思っております。

それから、4点目なんですが、信用情報分野なんですが、これは、今、個人情報保護の論点の検討の中で整理をしてきておりますけれども、貸金業の規制法などを見てもわかるように、過剰与信の防止というような、またちょっと違う視点というものも含んでおりますので、この分野については、今日、経済産業省の方もお見えですけれども、割販も含めて、信用情報全体でどのように規制をかけていくのかということを、この刑罰の規定も含めて考えて頂きたいというふうに思っております。

実際に大綱づくりのときは98年でしたから既に6年がたっているんですけれども、全体の状況を見ると、非常に大きな変化というのを感じております。1つは、銀行の業態を見ると、銀行が貸金業をやったり、それから保険とか、それから投資信託、証券仲介業も始まりましたけれども、業務の範囲が非常に広がっているというのは、6年前とはもう格段に違うことですね。

それから、ネット取り引きの増加ということです。このネット取り引きも、株式とか、それから預金、決済、このあたりでも非常に使われているようになりまして、これも6年ぐらい前からすると大きな差になっております。

それから、適合性の原則の徹底ということも、金融商品販売法の制定の議論をしているときには、勧誘方針の策定公表ということにゆだねましたけれども、今回、投資サービス法が制定されていく過程では、適合性の原則の徹底ということも十分考えられていきますので、そうすると個人情報というものの保護の重みというものが従前より大変増すというようなことも、この5、6年の大きな変化だというふうに思っております。

私、今から退室して大学の授業へ向かうわけですけれども、情報通信分野を教えているものですから、前回の授業のときに若い人たちに聞いてみたんですが、情報通信分野が進展していく中で、不安な部分というのは、個人情報保護とそれから漏えいの部分が断トツに多かったということです。特に、金融とか信用分野について多かったということは、これから若い人たちが市場に出てくるときに、やはりここの規定がしっかりしていないと、特にネット取引などでの懸念が彼らたちは大きかったわけですけれども、私としては、この刑罰を伴う立法の必要性については、まだ検討の必要があるというふうに考えておりますので、たつ鳥跡を濁すという感じになってしまうのですけれども、ぜひ後段の議論を尽くして頂きたいと思います。

それから、自主ルールについて一言だけ感想なんですけれども、大変きめ細かく丁寧に書かれていると思うんですが、全体を見て感じるところは、やはり従業員の方、働いている方とか、役職員含めて、教育と研修の徹底です。やはりこれはぜひ盛り込んで頂きたいというふうに、信用金庫の方からのご発言の中にはありましたけれども、私自身が個人情報保護の関連で第三者認証の業務に携わっております。その中で感じている部分は、ハードの部分はもちろんなんですけれども、ソフトの部分、人の研修とか、それから教育という、意識の問題も大変大きいというふうに考えておりますので、ぜひ自主ルールの中に皆様全体として取り組んで頂きたいというふうに思っております。

大変長くなりまして恐縮ですけれども、意見を述べさせて頂きました。

○ 山下部会長

それでは、立法の必要性についてのご発言は後ほどの議論でまた盛り込んでいきたいと思います。それから、教育のようなことは、ガイドラインとか、安全管理実務指針の中では出てくるということですね。

○ 寺田企画課調査室長

金融庁としても、当然ガイドラインにも、それから安全管理実務指針の中にも、従業者に対する教育という規定がございますので、それを踏まえて自主ルール及び教育啓蒙活動はきちんとやって頂きたいと思います。また、先ほど財団法人金融情報システムセンターの方からお話がございましたが、当方といたしましても、そうした公的団体等が行われる教育啓蒙活動には積極的に参加してまいりたいと思っておりますので、よろしくお願いします。

○ 山下部会長

何か補足がございましたら。

○ 橋本参考人

従業員の教育研修につきましては、大変重要なファクターだと思っておりますので、当然検討の視野には入っております。先ほどもご説明申し上げましたように、安全管理措置について現在検討中でございますので、そういうものを含めて、検討を進めていきたいというふうに考えております。

○ 山下部会長

ほかにいかがでしょうか。

高橋委員、どうぞ。

○ 高橋委員

銀行協会の方にご質問をさせて頂きたいと思います。

先ほどご説明頂いた点ですが、率直に申し上げまして、雛形等を拝見する限り、業務内容と利用目的を列挙することによって、かなり幅広く利用を承諾せざるを得ない――利用目的の特定等に関してそのような感想を持ちました。

細かいところに言及しますので恐縮ですけれども、利用者の視点ということでご容赦頂き、またこの分厚い資料全部は読めなかったものですから、どこかに書いてあるということであればご指摘頂きたいと思います。

まず、この雛形を例にお話をさせて頂きたいのですが、私自身は、業務内容といったときに、銀行であれば、プライベートバンキングと言わないまでも、総合的な資産運用サービスにするのか、個々のサービス利用者には利用目的を個別に限定するなどの書きぶりをなさると思っていましたが、これを拝見しますと、利用目的をどんどん列挙することができるというようにも読めます。そこのところは具体的にどのような扱いになるのか、教えて頂きたいと思います。

そして、利用目的が例示で13個並んでいるんですね。この数も多いし、それの中に何々等という表現が非常にたくさん使われておりまして、提携会社等の商品やサービスの各種ご提案となると、これはもう何かわからないというのが、利用者から見ての感想です。もっと個別に突っ込んで特定するのは不可能なのでしょうか。

この確認書を見ますと、列挙された利用目的を承諾する形になっているんですけれども、この事項に関してはいいけれども、この事項は嫌ですというときに、該当項目の抹消の求めに応じるような形でこの確認書を生かすということができるのだろうかということをお伺いしたいと思います。

それともう一つ質問なんですが、そもそも自分が提供したどの情報が何に使われるのかというのが、この形式ではわからないわけなのですけれども、開示請求の方を見ますと、氏名とか、住所とか、メールアドレスとか、所得、家族構成等々、請求のときには細かくそれを出すようになっています。そもそも自分がどこまで個人情報を与えているのかというのがわからない可能性があります、確認書を取る以上は、どういう個人情報を収集しているのか、それとその内容に関して写しを渡すなり、きちんと整理したものを渡して初めて確認ができるのです。その辺を業界や各銀行がどう扱うのか、それに対して自主ルールはどういう役割を果たすのかに関して、お伺いしたいと思います。

それから、さらに細かくて恐縮ですが、データの正確性の確保に関して、先ほど証券業協会の方からは、以前私がご質問したこと等について答えて頂きまして、個人情報の保護に関する指針の方にも、定期的に顧客カード等の情報を顧客本人に通知し、内容の確認を求めるというふうな解説が案として書かれております。一方、銀行の方はここのところが非常に漠とした書きぶりになっておりまして、やはりわからない。情報を扱っている者として、それはきちんとしていくような形を検討しないのかということです。現在書いてあるのは25ページで、顧客に対して正確かつ最新のデータ提供を働きかける方法、という書き方ですが、どうやって働きかけられるのかわからないので、ご説明いただけたらと思います。

それから、保存期間とか、利用期間です。こうしたものを明示した方がいいようにも読めるんですけれども、具体的にどのように顧客に知らせるのかということを教えてください。

それから、ぜひ確認させて頂きたいのは、この確認書の雛形が、実際にどういうふうに使われるかということです。自主ルールの場合に、こういう雛形というのは、最低限これはやって、個々の金融機関がそれ以上のものをもって個人情報を慎重かつ厳格に取り扱っていることで顧客の信頼性を得ていく態度が、必要だと私は思うのですけれども、こういう雛型が出てしまいますと、思い出しますのは、以前に金融商品販売法のときの販売勧誘ルールです。ほとんど同じものがずらずらと出てきて、それよりも上をいく競争がほとんどなかった。こういう雛形を示す限りは、かなり細かくお出しになるのであれば、それなりに、先ほど申し上げたようなことを満たしたものでなければいけませんし、そうでなければ逆にこういうものを出すことが弊害になってしまうのではないかと、私は思います。

以上、ご質問と意見ですが、よろしくお願いします。

○ 山下部会長

それでは、月原委員か橋本参考人、いかがですか。

○ 橋本参考人

では、橋本の方からご説明します。

今、大分いろいろご指摘を頂いたわけでございますけれども、利用目的についてどこまで詳しく出すかということで、もちろん銀行の中でも相当いろいろ議論をしたわけでございますけれども、やはりそこはお客様の方にイメージ的にある程度予想される範囲を明らかに示す必要があるであろう、また、できるだけ具体的な形でお示しをした方がよろしいであろうということで、だんだん議論していくうちに、やはりこういうものも必要だということで、13項目ということになったわけでございます。この辺は、では、もっと抽象的な方がよろしいのかどうかということがございますけれども、私どもとしては、この特別部会でのご議論も踏まえまして、できるだけ具体的な形でお示ししようということで、こういう結論になったということでございます。

それから、25ページのご指摘頂いたところのデータの正確性の確保のところでございますが、これは、先ほど高橋委員の方からもご指摘頂いたように、私どもは、顧客に対して正確かつ最新のデータ提供を働きかける方法ということでお示ししてございますので、具体的に個別の銀行がお客様ごとにどういう形でビジネスを進めていくかということについては、これはやはり個別の銀行の判断にお任せするのがよろしいだろうということで考えたわけでございます。

それから、保存期間の問題でございますが、この辺につきましては、安全管理措置とか、そういうところも検討してございますので、その辺で検討の中に入ってくる話ではないかというふうに思っております。

それから、ひな形の位置づけでございますけれども、これはあくまでもひな形ということでございますので、多分これは、高橋委員もおっしゃったように、プライベートバンキングということで、相当力を入れておられる銀行も最近ありますので、そういう個々の銀行の戦略の中で、やはりお客様ごとにいろいろな形のバリエーションを考えていかれるということになろうかと思いますので、業界としては網羅的と申しますか、そういうものでひな形を示させて頂いて、これをもとに個別の銀行の判断で対応をして頂くということが一番よろしいのではないかというふうに考えているわけでございます。

以上でございます。

○ 山下部会長

重要なテーマが残っておりますので、ごく簡単に一言ずつお願いしたいと思いますが、上柳委員、どうぞ。

○ 上柳委員

いろいろ言いたいことがありまして、今、高橋さんがおっしゃるとおりなんですけれども、一つだけ、さらに銀行協会に伺いたいんですけれども、例えば61ページのひな形で言いますと、例えば資料2-2の61ページの下から4つ目の○のところですけれども、これはダイレクトメールのことについて云々されているんですけれども、これはやはり今、案として出ているガイドラインからいえば、例えばこのダイレクトメールであるとか、それからその幾つか上にあります信用情報機関については、特別に確認欄をつくって、そこにチェックを頂くというのが、ガイドラインの第3条の趣旨ではないかというふうに思うんですけれども、このあたりの検討はどうされたのか、もしわかれば、後からでも結構ですけれども。

○ 橋本参考人

ダイレクトメールにつきましては、先ほどもご説明申し上げましたけれども、この確認を頂いた後で、お客様がこれはもう要らないということでありますと、そういうことで拒否できるような仕組みを考えております。

○ 山下部会長

後で拒否するよりも、最初から設けた方がいいんじゃないかということですか。

○ 上柳委員

というふうな趣旨なのではないでしょうか。この第3条の3にわざわざ書いてあるんですから。それから、与信の問題、信用情報機関の方は、明らかにそのような趣旨だと思うんですけれども、ご検討頂きたいと思います。

○ 山下部会長

重要な問題ではあるんですけれども、細かい話なので、一応今日のところはそういう問題指摘があったというご発言を頂いたということで、次へ進めさせて頂きたいと思います。

○ 高橋委員

ご回答頂けていなかった部分なんですが、細かくどういう情報を収集したかということに関して、個人に写しを渡すのか、お伺いしたいと思います。と申しますのは、この雛形そのものへの回答も不満です。以前に廃止になりました住宅ローン等の雛形のときと非常に似ておりまして、あのときも住宅ローン契約書を銀行だけが持っていて、消費者が持っていないということが問題にされましたし、その内容に関しても横並びということで問題になった経緯があります。何か同じことのような気がしまして、お答え頂きたいと思います。

○ 橋本参考人

これは銀行とお取り引きのあるということが前提になっておりますので、当然個人の方はお客様でございますので、銀行とどういうお取り引きをされているかということは、ご承知をされているというふうに思っております。

それから、銀行のいろいろなサービスの中で、銀行とお客様の関係で銀行の方からいろいろな情報をお送りするという形での還元というのはあり得るかと思いますが、一律でそういうものをこのために還元するということまでは検討はいたしておりません。

○ 山下部会長

いろいろご疑問はおありかと思いますが、なおご質問がございましたら事務局を通じてなさって頂ければそこでまたお答え頂けると思いますので、そういうことでよろしくお願いいたします。

それでは、次へ進めさせて頂きます。つきましては、個人情報保護に関する検査監督の現状及び今後のあり方につきまして、金融庁の監督局及び検査局からまずご説明を頂きたいと思います。

まず、監督局の総務課桑原課長よりご説明をお願いします。

○ 桑原監督局総務課長

監督局総務課長の桑原でございます。お手元の資料11-1と11-2を使ってご説明させて頂きたいと思います。

個人情報保護に関する金融機関の監督の現状及び今後の監督上の対応方針についてのご説明でございます。時間も押しているようでございますので、主に預金取扱い金融機関に対する監督について、ごくかいつまんでご説明をいたしたいと存じます。

個人情報に関する金融機関の監督の現状についてでございますが、顧客に関する情報は、金融取引の基礎をなすものでございますので、その適切な管理が確保されることは、金融機関の業務の健全かつ適切な運用を確保するという、金融関係の業法の観点からも極めて重要でございます。このため、金融機関の監督にあたりましては、顧客情報保護の適切性についての着眼点を、内部通達でございます事務ガイドライン等の中で定めているところでございます。

お手元に配布させて頂いております資料11-1をご覧頂けますでしょうか。11-1は、財務局及び当庁の監督担当課室向けの通達であります、「中小・地域金融機関向けの総合的な監督指針」及び「事務ガイドライン」の抜粋でございます。

まず、「中小・地域金融機関向けの総合的な監督指針」についてでございますけれども、同指針におきましては、監督上の評価項目として、「顧客保護等」を挙げております。規定内容を簡単にご紹介いたしますと、この II -3-4-3、「顧客情報管理」というところでございますが、(1)意義のところで、「顧客に関する情報は金融取引の基礎をなすものである。したがって、その適切な管理が確保されることが極めて重要であり、顧客情報の適切な取扱いが確保される必要がある」ということを述べた上で、具体的な着眼点といたしまして、(2)の①のところでございますけれども、「顧客に関する情報の管理について、具体的な取扱基準を定めた上で役職員に周知徹底しているか」、「②顧客情報へのアクセス管理の徹底、内部関係者による顧客情報の持ち出しの防止に係る対策、外部からの不正アクセスの防御等情報管理システムの堅牢化などの対策を含め、顧客に関する情報の管理が適切に行なわれているかを検証できる体制となっているか」、「③個人顧客に関する情報の伝達については、原則として、事前に書面等により当該顧客の同意を得ることとしているか」、「④顧客情報が漏えいした場合に、当局への報告が迅速かつ適切に行われる態勢が整備されているか」といった点に着眼することといたしております。

また、 II -3-4-5、「銀行の事務の外部委託」との関係では、「顧客保護の観点」からの「態勢整備」といたしまして、ハのところでございますが、「委託先における目的外使用の禁止も含めて顧客情報管理が整備されており、委託先に守秘義務が課せられているか」というようなこと、また、次の2ページ目でございますが、 II -3-4-6、「保険募集」との関係では、「保険募集に関する」「顧客情報の取扱等について、マニュアルを策定して研修を実施するとともに内部検査を行うなど、適切な保険募集体制が確保されているか、また、 II -6-1、「銀行持株会社等」につきましては、「グループ内において顧客情報を共有する場合、その取扱い方針を明確に規定しているか」等の点が、主な着眼点として記されているところでございます。

以上が事務ガイドライン等に規定している監督上の着眼点の概要でございますが、さらに、個人情報の漏えい事案が多数発生していることを踏まえまして、お手元の11-2の資料にございますように、各業界団体等に対しまして、本年3月以降、事務連絡文書を発出し、個人情報の適切な管理の徹底を求めているところでございます。

このような監督上の態勢のもと、金融機関の顧客情報の管理体制につきまして、検査結果及び不祥事件等により問題があると認められた場合には、必要に応じ、銀行法で申しますと24条に基づき報告を求め、さらに重大な問題があると認められる場合には、銀行法26条に基づきまして業務改善命令を発出するなどの対応を行うこととしております。

このように、現状におきましても、金融機関の顧客情報保護につきましては、業法上の監督権限に基づき厳正に対応をしているところでございますけれども、「個人情報保護法」や「金融分野における個人情報保護に関するガイドライン」が全面施行されますと、これらの規定が金融機関において遵守されますよう、個人情報保護法等に基づく監督を行っていく必要があると考えております。

また、個人情報保護法等に盛り込まれた規定のうち、金融機関の業務の健全かつ適切な運営を確保するという、業法の観点から重要と認められるものにつきましては、必要に応じ事務ガイドライン等の整備を行っていく必要があると考えております。

以上、簡単ではございますけれども、個人情報保護に関する監督の現状及び今後の監督上の対応方針について、ご説明させて頂きました。

○ 山下部会長

続きまして、検査局総務課の居戸課長よりご説明をお願いいたします。

○ 居戸検査局総務課長

検査局の総務課長をしております居戸でございます。よろしくお願いいたします。

実は、私昨年企画課長をしておりまして、昨年の今ごろ、部会長とご相談して、先生方を回らせて頂いて、17年4月に向けてこの部会を再開するというお願いに上がって、1年後に、ガイドライン等、大分具体的な各論のルールが整ってきたなと、大変感激をしておりまして、委員の先生方に深く敬意を表させて頂きます。

本題に入らせて頂いて、検査でどういうふうにしているか、あるいは今後どうしていくかという御説明をさせて頂きたいと思います。

検査といいますのは、今、桑原課長から説明があった広い意味での監督の一環として法令あるいは監督上のルールが、銀行等金融機関においてきちんと守られているかどうかということを、チェックをさせて頂くわけでございます。

個人情報保護に関しましては、現状におきましても、顧客情報管理の観点から、法令等に基づいて検査をしているところでございます。検査に当たっては、資料の10-2をご覧頂きたいのですが、そういう検査官用のマニュアル、これは公表して、金融機関の方もチェックに使って頂いているんですけれども、こういうマニュアルをつくって、これに基づいて検査をさせて頂いているところでございます。今のマニュアルでは、この事務リスク管理態勢というのと、システムリスク管理態勢の2つの項目のところで、個人情報を含む顧客情報管理についてのチェックポイントを設けて、検査をさせて頂いているところでございます。

資料の10-1でございますが、本事務年度の検査の重点課題として、顧客情報管理態勢の検証ということを上げまして、本年度の重点的な検査項目として検査をさせて頂いているところでございます。

今後、特に来年4月以降、法律、ガイドライン等が施行された後どうするかということでございますが、1つは、そういう法律、ガイドライン、あるいはその他監督上のいろいろなルール整備を踏まえまして、検査マニュアルをそれにあわせて改訂

をして、それに基づいて適切な検査を行っていきたい、こういうふうに考えているところでございます。せっかくルールがつくられましても、先ほどから御議論のあるように、実効性が保たれない、あるいは絵にかいた餅になるといけないわけでございまして、その実効性担保の一つの手段として、検査の面からも適切に対応をしていきたいというふうに考えているところでございます。

以上でございます。

○ 山下部会長

ただいまのお二方のご報告についてもご質問あろうかと思いますが、これまた後ほど事務局を通じて出して頂ければと思います。

続きまして、次へ進めさせて頂きまして、まず寺田調査室長より、法制上の措置の必要性に関しまして、ご説明をお願いいたします。

○ 寺田企画課調査室長

ご説明させて頂きます。

法制上の措置につきましては、議題として単独で取り上げるのは今回が初めてでございますが、実は本特別部会におきましては、従来よりいろいろな形で既にご議論が行われております。また、パブリックコメントでも極めて多数の法制上措置についてのご意見を頂戴いたしております。従いまして、資料12、13で今までのご議論をまとめさせて頂きまして、いわば、そこまである意味で議論しているわけでございますので、それを踏まえて、必要性についてさらにご議論頂ければと思います。資料12と13を横に並べて置いて頂ければと思いますが、時間の関係がございますので、資料13をメーンにしながら、資料12を参照させて頂きます。

資料12は、そういうわけで、ただいままでの部会もしくはパブリックコメントでお出し頂きました法制上の措置についての主なご意見のポイントを、基本的にそのままの文章で書いております。その論点といたしましては、資料12で申し上げますと、上から3つのご意見、つまり資料13でいいますと最初の○のところがございますが、一つの視点といたしましては、個人情報の漏えい等防止のための行政措置について、実効性及び透明性を確保する必要があるのではないか、これについて、この法制上の措置との関係でどう考えるかという論点をお出し頂いていると思っております。

基本的な論点といたしましては、13の最初の・にございますように、主務大臣の権限行使の根拠をどう考えるか。これは個人情報保護法につきましては明確でございます。改善命令に対して違反があった場合に間接罰ということになっているわけでございますが、ただいまの検査局、監督局からのご説明にもございましたように、これまでも、検査監督上は、顧客情報管理を厳正に行うような措置を行ってきたわけでございますが、さらに個人情報保護法の施行を踏まえまして、この業法上の観点からも権限行使の根拠を明確化もしくは透明性を確保すべきではないかというご意見がございます。

また、それについては、その次の・にございますように、そもそも各業法の法規上におきましても個人情報漏えい等防止の必要性が非常に高いということを踏まえて、これをどのように考えるかというご議論が出ております。

そういたしますと、では、具体的にこれまでの部会もしくはパブリックコメントの中で、いわゆるガイドラインもしくは自主ルール等のみでは不安でおありになるとか、もしくはさらにその分野について実効性を確保すべきだというふうに、特にご意見があった分野というのは、どのような分野があるかでございますが、これは主なご意見を、3つ目の下、4つ目以降、少し行をあけたところから記載しております。1つは、やはり日進月歩の技術の進歩、特に生体認証情報などの新たな技術進歩に対応いたしまして、安全管理措置の厳正な遵守を確保すべきではないかというご意見。

それから、信用情報につきまして、先ほど来出ておりますように、目的外の利用を厳正に禁止すべきではないか。それから、それらの目的外利用禁止に関連いたしまして、信用情報の安全管理等では特に高度の守秘義務が必要なのではないか。また、その信用情報機関からの情報提供につきましては、特に厳正に管理すべきではないかというご意見、それから、センシティブ情報の原則取得、利用、第三者提供禁止については、個別法も含めて議論すべきではないかというご意見で、この部分についてどのような考え方をするかということでございます。

また、資料12で申しますと、下から2つ目以降、ガイドラインもしくは自主ルール以上にこの分野につきまして規制を行うことは過剰な規制であるというふうなご意見も、パブリックコメント等では多数頂いております。

続きまして、資料の12で見ていきますと、ひっくり返したところでございますが、2行あけた上から2つ目の○以降は、具体的に、では、立法というフェーズにおきましてどのような立法が必要かというご意見を列挙いたしております。これは基本的には立法をお求めになっておられるご意見は、刑罰を含めて制裁措置を科すべきであるというご意見のように承ります。特に、最初の○にございますように、人格権に関する問題として、刑罰を伴う立法が必要ではないかというご意見がございます。

他方、個人情報保護法に基づきまして、法益といいますか、個人情報保護法の法目的は、情報の有効利用と個人の権利益の保護の両方を掲げてございます。いわば、利益衡量という部分があるわけでございますので、この点からして、刑罰を伴う立法の必要性について否定的なご意見がございます。

また、現行法制との関係、例えば現在の貸金業規制法等でもきちんと情報管理等定められているわけでございますが、それを踏まえてさらに新たな刑罰を伴う立法が必要かどうかというご意見、また、刑罰法規の、いわば執行という観点から、個別分野において刑罰法規を定めることについてどのように考えるか。括弧の中に書いてございますが、金融分野の方が使われると刑罰が処せられるけれども、その同じ情報をほかの分野の方が使ったときには刑罰が科せられないということをどう考えるか。また、「等」の中身として、パブリックコメント等では、金融以外の事業も兼業されている事業者に対して刑罰法規を金融分野について個別法として科すことについてどのように考えるかというご意見でございます。

また、それを反映いたしまして、先ほど来、意見が出ておりましたが、資料12でいうと下から3つ目から下全部という感じでございますが、やはり業横断的もしくは統一的な規制のあり方との関係で本件は議論すべきではないかというご意見、そのようなふうに分かれているのではないかと思います。

以上、簡単でございますが、ご説明しました。

○ 山下部会長

ただいま室長より、これまでのこの部会の審議の中で、法制上の措置に関して出てきた意見と、それを踏まえた主な検討すべき論点をご説明頂きましたが、この点につきましてご自由にご発言頂きたいと思います。いかがでしょうか。

関委員、どうぞ。

○ 関委員

個人情報保護に関する基本法を受けて、金融分野でガイドラインができましたし、それでさらに安全管理措置については実務指針までできた。今日、お話を伺いますと、金融関係の業界の皆さんで自主ルールもできた、こういうことなんです。それで、問題提起のあります個別法、特に刑罰を伴う個別法をどう考えるかということになるわけですけれども、私なりに整理をしてものを考えて、一体どういうことになるのか、どういうふうな検討になるのかなということなんですけれども。これだけのガイドラインあるいは実務指針、あるいは自主管理ルールまでつくって、本当にこれの実効性が担保できないのか。つまり、刑罰を伴う立法をしないと実効性が担保できないのかどうか。つまり、これではやはり不十分だということなのかどうか。不十分だとすると、何が一体不十分なのかということを、やはりスペシフィックに議論しなければいけないんじゃないのか。

それから、その上で、果たして、では刑罰を伴う立法をすればそれは本当に有効な措置、有効な手段たり得るのかということを、私はきちんと議論しなければいけないと思うんです。

それで、議論した上でどういう結論になるかはともかくですが、私は金融機関にいるわけではありませんが、実業界におりまして、実業界の健全な常識というか、率直な感覚で言えば、原さんがいらっしゃらなくなって非常に残念なんですけれども、どうしても刑罰を伴う立法をしないとこの実効性が担保できないということになるのかなというのは、実業界の実感としては率直に言ってよくわからない。

個人情報が漏えいするとか、不正取得があるというようなことがもしあれば、これは立法やガイドラインはともかく、社会的制裁というのはすごいわけです。そういう議論にならなくても、我々事業をやっているものというのは、きちんとこういうものをやっていくというのは会社の基本的な使命でありまして、会社の根幹にかかわる問題ですから、こういうことをきちんとやるというのは、どういう措置をとろうと当たり前のことだという認識が定着してきております。もし事件が起こったときの社会的制裁というのは、実は相当なものなんです。そういうものとして、実業をやっている、事業をやっている者は認識しているということです。

しかしながら、そういう立派な会社ばかりではないということに、多分なるんだろうと思うんですけれども、そうした場合に本当に何の刑罰もなくて大丈夫かという議論になると思いますが、現実には先ほど金融庁の監督行政あるいは検査行政の一環として、実はこれはそういうことをこれからお詰めになると思いますけれども、本当に事業者としての努力義務を怠った場合には、やはり業法の中で業務停止命令というところまでいくということが現実としては一方あるわけです。

そういうことを踏まえた場合に、本当に刑罰を伴う立法の必要性があるのかどうか。私は大変疑問だと思っておりまして、そういう意味では、今まで我々がやってきたこれが一体どこが不十分なのか、それから本当にそういう立法が有効な手段なのかということをぜひ議論して頂きたいと思います。

私は、先ほど寺田さんがおっしゃったような、この紙を見ますと、金融取引分野だけを特別に扱うということは、やはり非常に難しいというご議論がありますから、むしろ個人情報保護法の刑としての個別法ではなくて、仮に、何か措置の必要があるとすると、やはり個別業法上の、監督検査行政の一環としてどこまでやるかということをきちんと明確にするということが、一番大事なことなのでないかというふうに思っております。

以上です。

○ 山下部会長

今松委員、どうぞ。

○ 今松委員

今、関委員の、議論するという、このことについてはまさにそのとおりだと思います。個別法にするかどうするか別にしましても、いずれにしてもやはり消費者あるいは実際、業をやっている方等々の側から当然こういうガイドラインが出ている、そういうものを含めて、どこまでそれが実効性があるものかどうなのか。これまでの議論というものが、十分にそれが生かされた形で、なおかつ保護の実が上がれば、それはそれでよろしいんだろうと思います。ただ、問題点として、資料12でいろいろ上げて頂いているこの中で、やはりどうしても最後のところにあるのは、先ほどの全銀協等のガイドラインでもありますけれども、極めて包括的な形で情報についての利用が消費者の側あるいは利用者の側がどうした場合の、ではその後どういう形での、本当に保護措置がとられるのかどうなのか、保護はきちんとした形でやるという、そういう仕組みにはなっているわけですけれども、そういう点についてのところ、特に例えばこれから先、もちろん個人情報保護法の中ではより有効な情報の利用・活用というのはあります。ただ、そこが、例えばこれから先、銀行持株会社、金融持株会社等々になった場合、全体として使われるということ、それがどこまでというところについての、恐らく、一般論としてのああいう形で同意をとった場合にはいろいろな問題が出てくるだろうと思います。

なおかつ、もう一つは直罰の問題、つまり詐取した側をどうするかという問題、これも当然これから先入れた形での議論が必要だと。そうなってきますと、やはり全体としての統一した消費者信用法であるとか、その中での罰則の規定の問題は、これはいろいろ検討する必要があるだろうと思います。つまり、例えば金融分野のみとほかとのバランス等々、こういうのはどうするかは、当然これから検討が必要だろうと思いますけれども、やはりこの今の仕組みだけで果たして十分に効果が上がるのかどうなのかについては、恐らく、情報を収集される側からすると、これで全く安全だというわけにはこれはいかないだろうと思います。

一方で、使う側、利用される業をやっている側からすれば、より自由なところが当然あるわけですから、そのバランスの中で、果たして今の全体の仕組み、つまり法律から始まってガイドライン、各社ごとのところがどうなのか、私自身はやはりちょっとそれだけでは不十分ではないかというふうに思っております。

○ 山下部会長

上柳委員、どうぞ。

○ 上柳委員

もちろん議論を尽くさなければいけないと思うんですけれども、今まで、それこそ個人情報保護法の議論が始まって以来、かなりの議論がなされてきて、その中でも、特に金融分野あるいは医療の分野、そのほかについては、特別な措置が必要なのではないかということで、基本方針なりあるいは国会の決議があったのではないかというふうに思っているんです。

ちょっと戻りますけれども、先ほど監督あるいは検査の担当の方々からお話がありまして、居戸さんを懐かしく拝見したんですけれども、確かに、今まで、個社もそうですし、それから当局の方も、情報の管理、特に顧客情報についてはきちんとやってこられたんだと思うんです。ただ、来年の4月からは、これが個人情報保護法という新しい法律ができて、そこで、特に情報が大事なものだということが位置付けられるわけですから、やはりそれに見合った、ふさわしい体制、手間もかかるでしょうし、お金もかかるかもわかりませんけれども、必要なんだと思うんです。そういう意味で、金融庁としては、特に独立の項目を立てて、個人情報保護法をどういうふうに遵守させるかということで、監督なり検査の必要があると思いますし、それにふさわしい権限を持って頂いて、不足であれば、これは明確にして頂いて、業務停止そのほかの実効性ある措置がとれるように、これはぜひともしなければいけない。そのために新しい法律ができたのだというふうに思っているんです。

それから、次になるんですけれども、関さんの方からは、どこが足りないのかというようなお話がありましたけれども、これはどうなんでしょうか。各事業者の方がきちんとやれればいい。あるいはきちんとやるためにある程度の刑罰をもって制裁が必要なんだというふうに、私一方で思っておりますけれども、一つは、やはり企業だけの努力ではなかなか防ぎ切れない不正取得であるとか、もっと言えば盗んでいってしまうとか、特にその企業に対して悪意を持った第三者からの攻撃を守るためには、やはりきちんとやっておられる企業こそが刑罰法規を求められている部分もあるのではないかというふうに私は認識しているんです。そういう意味で、何もかも罰するということではなくて、私も一応、人権擁護を標榜する弁護士ですので、そういうめちゃくちゃなことを言うとまたしかられるんですけれども、特にそのような、他の措置では防ぎ切れないようなもの、それから情報でも何でもかんでもというのではなくて、多分センシティブ情報とそれの周辺ということで、重要な法益の高い情報について、その侵害を防止するという意味での立法は、やはり必要なのではないかというふうに思います。

以上です。

○ 月原委員

個別立法が、必要がどうかという議論をお伺いしておりますと、現状で果たしてこのガイドラインの実効性が担保されるのかどうかというご指摘、極論しますとその一点に最終的には尽きるのではないかと思います。受けてたちます我々金融機関の立場から申し上げますと、個人情報保護法及びそれに基づくガイドラインというのは、大変な拘束力を実態的に非常に持っております。これは私ども銀行だけではなくて、ほかの、他業態の金融機関さんも恐らく同じに考えでおられると思います。先ほど監督局の総務課長さん、検査局の総務課長さんからもご指摘がございましたが、銀行というのは、あるいは金融機関というのは、ある意味では社会的信用が揺らぎますと、現実のビジネス面で多大な影響を被ります。現実にこれまでも起きています。金融庁のガイドラインというのは、当然個人情報保護法に準拠してつくられているわけですから、このガイドラインを守らないということは、重大なものは直ちに保護法違反に直結して参ります。法34条、56条で罰則規定まで盛り込まれているにもかかわらず、これを直罰規定がないから実効性が担保されないというのは非常に極論であって、我々は直罰規定がなくても、これは本当に真剣に守らなければいけない。また、守らなければ影響が非常に大きく起きるという考えで受けとめております。

ガイドラインの中身そのものにつきましても、いろいろご指摘はありますが、個別具体的に細部細目まで、ここまでガイドラインを決めておられるというのは、相当重い意味合いがありまして、ほかの種類のガイドラインに比べましても、格段に掘り下げの深いものになっております。これに基づいて検査まで行われる。違反があれば業務改善命令に直ちにつながっていく。これまたレピュテーション面でも非常に大きなリスクを背負っております。皆さんで、この本委員会で、真剣に議論をされてこのガイドラインを決めてきたわけですから、まずもって一定期間はこのガイドラインがどのように遵守されるか、これを見極めて頂きたい。銀行にとりましても、実務的には大変な負担がかかります。この点は銀行の業務の実態を直接ご存じない方も負担の大きさは想像に難くないと思います。この個人情報保護法及びガイドラインに基づいてどういうふうに実務展開をしていくか。システム対応、人の教育、あるいは契約書も全部差しかえる、大変な負担があります。負担は当然のことと受けとめて参りますが、やはりこうやって決めて頂いたガイドラインが、どういうふうにワークするかというのを一定期間見きわめて頂いて、その上で、やはり不十分だというのであれば個別立法の議論に移るというのであればわかりますが、いきなり直ちに不十分だから個別立法にしろという議論には、どうしても組みできないと、私は思います。

今の段階で個別立法につなげていくというのは、明確に反対をさせて頂きたいというふうに思います。

○ 山本委員

今の月原委員と同趣旨でございまして、各省庁のガイドライン、特に安全管理措置等実務指針を拝見しますと、かなり詳細・厳格な規定でございまして、これによって適正な取扱は確保されるんだというふうに思っています。

それと、議論の趨勢にもよるんでしょうけれども、かなり実務対応はデッドラインに近く来ていると思います。4月まで、先ほどの月原委員のお話ではないですけれども、諸準備、当然想定しながらやっている部分もあるんですけれども、これがさらに延びるということになれば、実務的にも大変対応自体が厳しくなるという状況ですので、ぜひ年内には結論を出して頂きたいというお願いでございます。

○ 和仁委員

今、いろいろ、個人情報保護法についてもっと個別立法で、なおかつ刑罰規定を伴ったものをつくれというふうなご意見、最初からそういうふうな意見があったんですけれども、また金融業界からこれだけのことを守るのも大変だというふうなご意見もあったんですけれども、もう一回振り返ってみますと、個人情報保護法が出てくる前の金融業界というのは、お客さんと金融機関との間で守秘義務があるという、何かよくわからないけれども、その守秘義務に基づいて個人情報は漏らしてはいけないんだということで、どこからどこまで使っていいのか、どこから漏らしてはいけないのか、その辺もはっきりしてなかったわけです。それがある程度セーフハーバーという形ででき始めたということなわけですが、ということになると、要するに個人情報保護法ができたから厳しく、新しい何か義務が発生したとか、そういうふうなことではなくて、今まで我々がもやもやとした中で、やはり守らなければいけないというふうに言っていたものが、具体的にこういうふうに見えるものになってきましたというふうにとらえるべきではないんでしょうか。

その上で、刑罰法規がないとというふうなことをおっしゃる気持ちはわかるんですけれども、刑罰法規がないと絶対に個人情報保護が達成できないということではないと思います。

逆に、刑罰法規を、今、個別立法で設けるということになると、何で金融のところだけそうなるのかという、要するにほかの労働関係の情報とか、その辺のところもどうするのかという話が出てきてしまって、アンバランスな問題が起こる。

それから、もう一つは、刑罰法規に関しては、私は金融関係の案件しか存じませんけれども、やはりだれを告発するかとか、そういうふうな話の方へマスコミが話をもっていきやすい。問題の本質が非常にぼやけしてしまうということになってしまって、あまりにも個人責任の話のところへもっていく。もちろん法人に対する両罰規定を設けることになるんでしょうけれども、やはり法人の方は刑罰に関してはあまりこたえない。むしろ彼らとしては業務改善命令の方が厳しくこたえるということを考えると、効率的にこの個人情報保護法の目標を達成するときには、どういうふうなエンフォースメントのやり方を考えればいいのかということを念頭に置いて議論すべきなんだろうなと思います。

その上で、もう時間がないというお話もございましたけれども、やってみて、うまくいっていない、あるいはどうしようもないものができたということが出てくれば、そこで考えればいいんじゃないでしょうか。いろいろ、有価証券届出書のことで、とんでもないようなことをやっている大会社が幾つかこの間出てきましたけれども、あれだって、やはりそういうことが出てきたら、ではどう対応しましょうか。規定はあったんだけれども、動いていなかったということであるわけですから、同じような考え方をして、段階的に問題点を詰めていく。やはり、刑罰法規を設けたからすべてが解決しそうな気がするというところになぜか力点を置くのは、私はちょっと危ないんじゃないかなと思います。

○ 岩村委員

法規制をすべきだという議論について、私が思っておりますことを申し上げますと、議論の立て方としてややバランスを欠いているというふうに思います。やはり、法制度というのはバランスが大事で、現在既に存在している法律体系は大事にしなければいけないと思います。

その観点から見ますと、ここでの議論というのは、正当に取得された情報がだれのものであるか、だれの管理に服するべきものであるかという問題と、これはOECDの8原則で非常に強く議論されている点でありますが、正当取得情報の管理権の問題と、それから、恐らく多くの人々にとっては不当だと考えているという意味で「不当」なのですが、個人情報を不当取得されることをいかに阻止するか、あるいは処罰するかという問題があると思います。

前段の正当取得情報の管理権の問題については、問題点は多々あるとは思いますけれども、やはり何よりもこのような新しい権利関係をつくり出すということは、実行することが大事ですので、やはりここまで整理された論点を大事にすべきだろうと思います。

私としては、この問題については、この特別部会の開始のときにも伺ったような気がします。つまり、個人情報保護法の枠内で議論するんですか。枠内で議論をすれば業者規定になりますから、業者規定になる以上は、過剰規制なのか、それとも今出ている規定にむしろレピュテーションのための競争をどのように促進するかということについて一定の問題点が生じることは明らかであったと思いますが、そのときの議論でも、事務局も、座長も、個人情報保護法の枠内で考えましょうという考えを示されましたし、委員の皆様も賛成されていたというふうに私は理解しておりますので、その範囲内でそのゆがみの少ないガイドラインづくりということについての努力がなされたということは、素直に尊重すべきだし、また認めるべきだと思うわけであります。

第2段、後段の、不当取得された、通常不当と考えられるような、しかし犯罪にはならない。個人情報の詐取という言葉が今松委員から出されまして、誠に当を得た言葉だと思いますが、詐取についてどう考えるかということについては、やはり一般論的に言えば、詐取した側を罰せずして、詐取された側を罰するということについてのバランスを欠いているという感覚は重視しなければいけないと思います。

詐取しようとした、あるいは詐取をした場合を罰するということについては、いろいろな詐取をしそうな人というのはあるわけでありまして、名簿業者であるとか、詐欺師であるとか、それから規則に反したやり方で情報を収集するということだけについて見れば、興信所であるとか、報道機関だってその可能性はあるわけであります。その問題があるから、個人情報の詐取ということを一概に罰することは難しいだろうというふうに理解を私はしております。だとすると、後段の不当取得情報、あるいは詐取問題ということについて、それを詐取しようとした人を罰する、あるいは詐取された側の管理不十分を問うという問題については、まだまだ詐取の問題、詐取とはどのような意味で犯罪であるかということについて、私は現在の日本ではコンセンサスは形成されていないと思いますので、形成されていない状態で詐取された側を罰するという法律を求めるということについては、私は反対でございます。

以上です。

○ 山下部会長

ほかにいかがでしょうか。

角委員、どうぞ。

○ 角委員

先にご発言なさいました、和仁、今村両委員のご発言に屋上屋を重ねることになってしまうことになりますけれども、私も刑罰を伴う個別立法ということについては、反対でございます。

特に、刑罰ということについて焦点を当ててお話をしたいと思いますけれども、やはり刑法というのは、国家が刑罰権の発動というのは非常に謙抑的でなければならないと思います。その観点が1点と、あと、もしも刑罰をかけるとすると、やはり法制度の中のバランスということから考えますと、例えば一体どれだけの刑罰を科せられるかということを考えますと、それよりもやはり企業のレピュテーションリスクとか、あるいは業務停止とか、そちらの方が個人情報を保護するという上においては効率的なのではないかと思います。

先ほど、和仁委員もおっしゃいましたように、両罰規定をかけたとしても、結局はやった本人が罰せられるということに注目を浴びますから、結局ある種のトカゲのしっぽ切りということになるかもしれません。

個人というもの、それも真っ当なサラリーマンが、サラリーマンとは限りませんけれども、勤め人が刑罰を科せられるということは、その人間の一生を全部だめにする。果たしてそこまでのことをやって、一人の人生をぼろぼろにして、ではそれでどれだけのプラスが得られるかということを考えた場合には、やはり刑罰ということについては、私は反対でございます。

○ 上柳委員

諸先生方の議論の上で何となくあれなんですけれども、先ほども言いましたように、私も何もかも刑罰をかけるべきだというふうに考えているわけではないんです。ただ、今、角先生おっしゃった関係で言いますと、確かに企業のシステムとして管理して、業務改善なりあるいは業務停止をバックに持った検査・監督によって構築されるシステム防御というのは、これはあるべきだと思いますし、それはそれできちんとやる必要があると思っているんです。ただし、かなり、あるいは相当程度システムが完備したとしても、やはり特に故意的に動く人がいるわけで、この人たちにとっては、やはり単なる守秘義務を労働契約上課するということだけではなくて、国家が刑罰をもって対処をする。最後のとりでといいますか、サンクションということで、個々の個人の自覚を促すということも必要なのではないか。そういう分野が残っているのではないかと私は思っています。

それから、金融分野だけが突出するというふうなご議論もあるんですけれども、これももちろんどういう行為をどういう程度の罰をもって臨むかということのバランスの問題だとも思いますけれども、やはりこれは国会なり閣議決定で特に名指しされたということ、それから特にそういう誘惑が多い分野、あるいは法益としても重要な分野ということで、私はあり得るのではないかと思っています。兼業規制の問題とか、いろいろあるかもわかりませんが、例えばコンビニの従業員の方でも、金融サービスを扱う場合は、それは金融の世界のルールに従ってもらう必要があるわけで、何ら過剰規制ではない。必要かつ十分な刑罰をもって臨むということでいいのではないかというふうに、やはり考えております。

以上です。

○ 岩村委員

今の上柳委員の中で、悪意を持ってという言葉がありました。悪意を持っていたから詐取の問題でありますが、それは例えば従業員であっても、銀行の従業員が、銀行のデータシステムから情報を盗むというのは、これはこの個人情報保護法のこの世界で考えていた話ではなくて、情報を詐取する側を罰する話であります。ただ、詐取する側を罰するということについては、私は、コンセンサスはもっと深めた方がいいとは思いますが、今、個人情報を取りに行くというのは、個人情報を取って、例えば脅迫してやろうという趣旨で取ることもあるかもしれませんが、例えば上柳委員が被告人の立場を弁護するためお取りになることもあると思うんです。そのときに、例えば銀行の情報を捜査当局が取るときには刑事訴訟法によって取れるが、弁護士さんがそれを聞きにいったときには、個人情報保護法によって拒絶されるという事態もあろうということで、皆さんなかなか結論が出せないんだろうと私は思うんです。そこの部分についての結論を出すことの重要さは、これはみんなでこれから考えていかなければいけないんじゃないでしょうか。

○ 山下部会長

予定していた会議の時刻に大体来ておりますが、重要な問題ですから若干延長しますが、そろそろご発言は打ち切りたいと思いますが、どなたかございますか。

西村委員、どうぞ。

○ 西村委員

非常に高邁な話になっていますので、若干もっと具体的な話にもっていきたいと思います。特に今刑罰の話に専らなっているんですが、上の部分、実効性及び透明性の確保、この部分の方がはるかに重要だと私は思います。

その中で、特に技術進歩等に対応した安全管理措置というのは、これは非常に重要な論点と思います。そもそも情報の管理ということから考えるならば、情報の利用の履歴、それを本来管理すべきであろうと私は思います。ただしこのような膨大なものをいきなり管理するというのは大変だということで、今回はそういうことは入っておりませんが、技術進歩等があった場合、今後こういったことはやはり考えていくべきではないかというふうに思っております。

そういう意味で、ガイドラインとして一旦決めるとそのガイドラインが固定化されて、化石のようになってしまう可能性があります。そのようにならないように担保するような、ガイドラインのサンシャインクローズみたいなものをやはり考えてみる。このサンシャインクローズというのは、ほかのものと違って、非常に技術進歩が早いですから、比較的短くしなければいけない。そのときに、やはり実用性の問題、それからコストの問題も変わりますから、それを再検討する場を何らかの形で運営上考えて頂きたいということが1点です。

それから、私も刑罰に関しての意見があります。そもそもこの審議会で最初に情報保護法の下の中での話という形になった時点で、逆に言えばもう結論が見えてしまっています。逆に言えば、さっき言った個人情報の詐取のような問題というようなものに関して、我々は法施行型ですから、決められたことしかやってはいけないといえばそれまでなのでしょうが、それを越えて、何らかの意味で考えるべきだということは、やはり声を上げるべきではないかというふうに思っております。

特に、今、盗む、盗まないという話があったんですが、情報というのは非常に恐ろしいものでありまして、例えば盗んだものを、盗品を売買するというのは、当然これは犯罪の対象になりますが、情報というものが盗品であったとしても、これが情報としてなっている場合、盗品か盗品でないかというのは、わからないわけです。消したと言っても消していなくて、恐らくいろいろなところに回っているわけですから、そういうようなものをどうするかというものを含めて、やはり根本的な問題を考えなければいけないというふうに思います。

私は、その時点で、例えば金融なら金融関係の、その業法の範囲ではなくて、その内容の範囲で、例えば金融なら金融に関する情報に関しては、何らかの意味での詐取に対して刑罰を与えるというような、そういうような限定型の立法なり、何なりはすべきだというふうに、私個人としては思っております。

以上です。

○ 山下部会長

大体時間も参りましたので、少し私の方で整理させて頂きますと、まず、法制上の措置の要否に関するただ今の、委員の皆様方のご議論を踏まえますと、個別法を立法して、金融分野に限定した刑罰規定等を導入することについては、必要性があるというご意見もございましたが、刑罰規定を伴う個別分野に限定した立法というものについては、刑罰の謙抑性でありますとか、個人情報保護法の枠組みとの関係、一般法との関係などのさまざまな問題があって、個人情報保護法の来年の施行をにらんだ現在において何か考えるというのは、適切でないというご意見が多数述べられたというのが、今日の議論ではなかったかと思います。

他方で、金融分野における個人情報の保護に関するガイドラインに定められたさまざまな点のうち、今日の資料13でしたでしょうか、ここに、とりわけガイドラインの実効性が求められる分野として、安全管理措置の遵守、それから信用情報の管理、センシティブ情報の取得等に伴う行為規制というふうなものに関連しては、やはり現在ある業法で、先ほどご報告ありましたように、さまざまな検査、監督が行われているにしても、さらに実効性と透明性を高めていくことの必要性があるということにつきましては、どの委員も一致してご支持いただけたのではないかと思っております。

そこで、今後の議論でございますが、以上のような議論の状況を踏まえますと、まず、個人情報保護法の制定、施行に伴って、それとの関連で必要となる業法の実効性確保のための整理、特に法制上の措置に関しまして、まずは事務局において検討して頂いて、それを年内にご報告頂いた上で、それを踏まえて、さらに全体的な法制上の措置の必要性についての、この部会としての考え方を最終的に取りまとめてはいかがかというふうに考えますが、いかがでございましょうか。

よろしゅうございましょうか。

それでは、今日のところはそういう議論の取りまとめということで、今後事務局においてなおご検討を頂きたいと思います。

それでは、以上を、まとめといたしまして、事務局からも一言お願いします。

○ 寺田企画課調査室長

ありがとうございました。ただいまのご指示を踏まえますと、各業法上におきまして、いろいろと監督上の措置がきちんと実行できるかどうかについて整理をして、必要な場合には、業法体系上の措置を行うという方針だと思いますので、年内、次回に業法措置をご報告したいと思っております。

ただいま西村委員や、また原委員からもお話がございましたので、対象としては、安全管理措置の遵守、それから信用情報、センシティブ情報の目的外利用等の遵守といったあたりについて、事務局として検討を進めたいと思っております。

次回の部会の日程につきましては、また私どもの報告内容について準備させて頂いた上で、最終的に日程調整したいと思います。

よろしくお願いします。

○ 山下部会長

それでは、今日は予定の時間を超過して失礼いたしました。これで終了いたします。

サイトマップ

ページの先頭に戻る