「個人信用情報保護・利用の在り方に関する懇談会」報告書の概要 1.問題意識と当報告書の立場 ・ 消費者向け信用供与は、年々拡大を続け、国民生活に深く関わるものとなっている。個人 信用情報保護・利用の在り方に関する懇談会は、与信判断の要である個人信用情報について、 第一に、最近の与信業者や信用情報機関による情報漏洩問題等を踏まえ、個人信用情報の保 護の制度的枠組みの強化、構築が不可欠であり、その際、EU諸国をはじめとする世界的な 個人情報保護との整合性を図る必要がある、第二に、本人の同意や安全保護措置等を適切に 講じることを前提に、個人信用情報の適正な利用を積極的に容認し、健全な与信システムの 確立を目指す必要がある、との問題意識のもとに検討を行い、今般、報告書を取りまとめた。 ・ 情報の保護・利用のためのルールは、個人情報一般の保護法で措置するべきであるとの考 え方、あるいは消費者が与信を受ける場合の消費者の権利等を一般的に規定する法律で措置 するべきであるとの考え方もあり得るが、当懇談会としては、問題の重要性、緊急性にかん がみ、個人信用情報を対象とする保護・利用のための法的措置をできるだけ早期に講じるこ とが望ましいと考えるものである。その場合には、この報告書の中で示された種々のルール についての考え方が立法作業の出発点になろう。また、法的措置と併せて業界の自助努力と しての自主ルール、約款等が相互に補い、役割分担を行うような重層的な制度整備を図るべ きである。 ・ このようなことから、この報告書が今後、学界、関係業界、消費者保護団体、関係省庁等 幅広い主体によって、新法整備の方向性を念頭に置きつつ、各業法、刑事法、民事法との関 係等の法律面のみならず情報システムの開発・改善等の技術面、民間における自主ルール等 を含めた多様な観点から検討が行われることを期待したい。法的措置のタイミングなどにか かわらず、新たに関係者からなる研究会などを設け、検討していくことが必要であろう。 2.個人信用情報の保護・利用に関する現状 ・ 与信業者(金融機関、貸金業者、クレジット業者等)は、与信に当たって、顧客(「情報 主体」)の資産、負債、収入、過去の債務の返済状況など返済能力・支払能力を判断するた めの「個人信用情報」を収集し、金融機関、貸金業者、クレジット業者の各業態ごとに設け られている「信用情報機関」を通じて情報交換を行っている。一方、個人信用情報は、販売 加盟店、電算処理等の受託業者、保証会社又はグループ企業等幅広い者の間でもやり取りさ れ、個人信用情報が情報主体の知らないところで蓄積され、あるいは流通している。 ・ 個人情報の売買や漏洩事件が社会問題となっているほか、身に覚えのない延滞等のネガテ ィブ情報による与信拒否、与信を受けた業者ではない業者からの多数のダイレクトメール等 個人信用情報の利用のされ方に対する不安感も高まっている。 ・ 国際的には個人情報保護強化の流れにあり、EU諸国の個人情報全般を対象とした保護法 制の整備、米国の分野ごとの個別法(公正信用報告法、金融プライバシー法等)による保護、 さらにはアジア太平洋地域でも多くの国で何らかの個人情報保護法制が整備されている。 ・ これに対し、我が国では行政機関の保有する電子計算機処理に係る個人情報の保護につい ては立法措置がなされているものの、民間が利用する個人情報の保護については、基本的に 立法措置が講じられていないのが現状である。また、通産省による関係業界のためのガイド ライン、金融情報システムセンターによる金融機関等における個人データ保護のためのガイ ドラインも設けられ、民間の自主ルールに基づく努力が行われているが、ガイドラインの性 格上限界がある。 ・ 一方、自己破産の急増に象徴される多重債務問題の解決のためには、信用情報機関を通じ た情報交流が必要であるとの指摘がある。しかし、現実には信用情報機関は業態別縦割りに なっており、また、与信業者の全てが信用情報機関に加盟しているわけではなく、加盟して いても、情報の登録や照会が徹底されていない場合もある。 3.基本的考え方 (1) 個人信用情報保護の必要性 ・ プライバシー権は「私生活の平穏の保護」という従来の捉え方に加え、情報が大量かつ広 範に流通する現代においては、情報の流通を前提に「自己に関する情報の流れをコントロー ルする権利」と捉える考え方が主流になってきており、個人信用情報の保護に当たっても、 このようなプライバシー権の考え方を基本に必要な措置を考えていく必要がある。 ・ 個人信用情報の漏洩が相次いで社会問題となっていることに加え、個人信用情報は、○与 信時に半ば強制的に提供を求められ、○その内容も個人の信用力を判断するため、個人生活 に関わる詳細な、かつセンシティブな情報が中心であり、○与信業者のみが信用情報機関を 通じて登録された情報を利用することができ、与信業者間で共有されることが多いほか、○ 情報の持つ経済的な価値が大きいため、実際に情報の不正入手・目的外利用の事件が発生し ている、といったことから、他の個人情報に先駆けて措置する可能性を含め、個人信用情報 についての立法をできるだけ早期に図るべきであると考えられる。 (2) 適正与信のための個人信用情報利用の促進の必要性 ・ 信用情報機関を通じた情報の共有システムは適正与信の実施のためには不可欠な社会的イ ンフラとして位置づけられるものである。 ・ 我が国の現状を踏まえると、適正与信や多重債務防止の観点からは、信用情報機関への情 報の登録の促進、信用情報機関をまたがる情報の交流の促進を含め、積極的に個人信用情報 の利用、交流を促進するべきであるとの意見が大勢であった。 ・ 個人信用情報の保護の強化を図るあまり、情報の適正な利用が妨げられてしまうことにな らないよう留意すべきである。 4.個人信用情報の保護のための措置 (1) 保護の対象となる個人信用情報の範囲 ・ 保護の対象となる個人信用情報の定義の一つの考え方として「与信との関連で収集・保有 ・利用される情報で返済能力・支払能力を判断するための情報」とすることが考えられる。 具体的には、与信との関連で本人識別情報(氏名、年令、住所、生年月日等)とともに収集 される、○個人の経済状況に関する情報で信用判断に直結する情報(個人の資産、負債、収 入、支出及び過去の債務の返済状況などこれらに関する重要な取引情報等)、○間接的に個 人の経済状況を推認させる情報(勤務先、家族構成、住居状況等)、○当該与信契約そのも のに係る情報(与信額、取引口座名、当該債務の返済状況等)が含まれる。 ・ アクセス権の重要性、与信業者の業務の現状や漏洩のリスク等も考えると、与信業者の過 重な事務負担とならないよう配慮しつつ、電算情報だけでなくマニュアル情報(電算に入っ ていない情報)も保護の対象とすべきである。 ・ 販売信用の与信などに伴う購入商品に関する情報については、商品や金額によってプライ バシーに深く関わるものであり、与信の場合に収集されやすいことなどからやはり保護の対 象とすべきとの意見があった。一方、現金による購入の場合には保護の対象とならないこと とのバランスなどから慎重論もあった。 ・ 保護の対象とする情報の質という点からすれば、証券取引や金融商品の販売等に際して得 られる情報も問題となり得る。このような金融取引に係る情報についても、今後の収集・利 用の状況によっては保護を検討していくことが考えられる。この場合、ここで検討されてい る個人信用情報の保護基準が当てはまると思われる。 (2) 行為規制の対象者の範囲 ・ 行為規制の対象は、行為として与信という領域の中で情報の集積・交換を行うという特殊 な性格を有する信用情報機関及びこれら機関と情報交流を行う与信業者に限定すべきとの意 見もあったが、漏洩等の実態からより広く、業務として個人信用情報を組織的に取り扱うも のを一般的に取り込むべきとの考え方が大勢であった。 ・ その場合、行為規制の対象は、信用情報機関、業として与信を行う与信業者(銀行・保険 会社等の金融機関、貸金業者、クレジット業者等)、及び保証会社、債権回収代行組合等が 考えられる。また、信用情報機関、与信業者から情報提供を受けるもの(業務委託先、その 他債権譲渡先、グループ企業等)等に対しても、一定の行為規制の対象とする必要がある。 (3) 情報主体への説明と同意、ハイリーセンシティブ情報の収集制限 ・ 情報主体に対し、利用目的、管理責任者名、情報主体の権利、第三者に提供する場合の提 供先・提供目的等を説明しなければならない。 ・ 情報収集に当たって、情報主体の明示の同意を要する。 ・ また、○同意は文書によること、○与信申込み時に与信判断に関係しない情報等の提供は、 任意である旨の説明を行わなければならないこと、○与信判断目的以外の利用については、 自己情報の利用提供を拒絶できること、といった措置が必要である。 ・ ハイリーセンシティブ情報(国籍、信教、政治的見解、保健医療、犯歴等個人の機微に深 く関わる情報)や本人識別情報でプライバシーの侵害のおそれがある情報(戸籍等)の収集、 蓄積、利用、提供を原則として禁止する。 (4) 情報主体の権利 ・ 情報主体の権利として、○開示請求権(自己の情報を保有しているかどうかについて確認 を求めるとともに、保有されている情報に関して開示するよう求める権利)、○誤情報の訂 正の請求権(保有されている自己の情報の誤りの訂正等を求める権利)、○異議申立権(本 人の意思に反して情報が利用等されることに対しての異議申立を行う権利)を認める。 ・ 情報の開示対象は原則本人のみであるが、多重債務問題の現状にかんがみ、一定の場合に は、連帯保証人、家族への開示も認めるべきという意見もあった。 (5) 情報の適正管理 ・ 情報の漏洩、目的外利用等を防止するため、管理責任者の設置、社内教育の徹底及び従業 員の守秘義務を就業規則に定めること、内部監査を実施すること等の管理面の保護措置とと もに、アクセスにはIDカード等を要することとし、アクセスに当たっての暗号(パスワー ド)を適切に管理しなければならないこととする等の技術面での保護措置を講じる必要があ る。 ・ 与信業者が多様な分野に事業展開を行っている場合には、同一企業内における他部門の利 用を制限するなど、情報の適正管理のための措置が特に重要である。 ・ コンピューターやネットワークを介する場合、データへのアクセス記録を残すなどの措置 も必要である。 ・ 古い情報は誤情報となるおそれが大きいことも踏まえ、情報の最新性・正確性を確保する 観点から、信用情報機関、与信業者が情報を保有する期間を限定すべきである。 ・ コンピューター処理や書類の破棄等について外部委託が行われることが多い今日、実務上 の便宜を考えると独立して情報を利用しない委託先への情報の提供は同意を要しないとする こともやむを得ないが、一方で与信業者等一次的な情報収集者は委託先の守秘義務、再提供 ・不正蓄積・目的外利用の禁止、事故時の責任分担などを委託先との契約に定めるとともに、 情報主体との契約等により外部委託に伴う委託者の責任も明確にしなければならない。 ・ その他の第三者への提供は、書面等による同意の範囲内での提供に限られる。情報の拡散 により漏洩等の危険性が拡大することや情報主体のコントロールが及ばなくなることから、 情報提供を受けた委託先を含む第三者からの再提供は行わないこととすべきである。 (6) 個人信用情報漏洩等の早期発見とその抑止 ・ 情報主体としては、不必要な情報を提供しないことや、提供した情報がどのように取り扱 われているか契約書をチェックする等慎重な対応が必要であり、適切に開示を求め、誤った 情報は直ちに訂正させるなど、自己防衛する姿勢も重要である。 ・ 情報主体の情報保護に関する認識や情報主体の権利やその権利行使の重要性については、 消費者教育等を通じ、啓発を図っていくべきである。 ・ 本人が容易にアクセス権を行使することができるようにするため、誰がどのような情報を 保有し、どのように使っているのかについて誰でも閲覧できるようにしておく必要がある。 与信業者等が保有する個人信用情報の項目等を行政機関へ届け出ることとするなど一般閲覧 に供することも一案である。 (7) 民事訴訟手続きによる救済 ・ 不法行為に対して、損害賠償のほか、情報の利用・提供の差止等の原状回復措置が必要で ある。 (8) 行政機関による監督 ・ 行政機関が消費者に代わって個人信用情報の漏洩等の防止と救済を図ることも有効である と考えられる。具体的には、○与信業者等の行為規制対象者に情報収集項目等の届出をさせ ること、○立入検査・報告徴収を行うこと、○漏洩、不正使用、情報の不開示や情報利用の 拒絶に応じないといった行為義務違反への処分、○不正取得や不正使用・蓄積を行っている 者への行為の中止命令、さらには○ID、暗号(パスワード)によるアクセス管理を怠るな ど不適切な情報管理を行っている業者への是正命令や勧告等も考えられる。 ・ 諸外国では、データ保護を担当する専門の機関(例えば英国のデータ保護登録官)を設け ている例もみられることから、将来的には、専門の機関についても検討してはどうかとの意 見があった。 (9) 刑罰の適用等 ・ 個人信用情報の漏洩事件が数多く発生していることや契約によるコントロールができない 外部のものの侵害行為を完全には防止することができないことから、刑罰の適用により個人 信用情報の不正取得等の防止を図ることが必要である。ただし、刑罰適用は、ハイリーセン シティブ情報や信用判断に直結する情報等重要な情報に限定すべきであるとも考えられる。 ・ 刑罰の対象となる行為としては、情報保有者による情報の不正提供や不正利用、信用情報 機関の内部の者やネットワークに侵入した外部の者によるデータの改ざん、外部のものによ る窃取、詐欺、強迫その他不正の手段による情報の取得、また、情報の不正な流通を防止す るため、不正取得又は不正提供された情報であると知りつつ情報を入手し、その利用・提供 を行うこと等が考えられる。 (10) 自主規制による対応 ・ 個人信用情報の保護利用のためのルールは、法的措置のほかに自主ルール等において重層 的に手当することが望ましく、個人情報全般を対象に、できるだけ早期に自主ルールの一層 の整備を図り、そのルールに則った対応を行っていくことが求められる。 ・ ガイドライン遵守の実効性を図る観点から、ガイドラインを遵守する企業に対してマーク を付与する等も考えられる。 (11) 地方公共団体の役割 ・ 近年民間部門の保有する個人情報も含めて条例等による保護の対象とする地方公共団体が 増加している。また、地方公共団体は、一都道府県内のみで営業する貸金業者など業者を監 督する立場にもあり、地方公共団体に個人信用情報保護の監督機関としての役割を今後一層 求めていくことも考えられる。 5.個人信用情報の利用促進のための措置 (1) 情報提供の重要性 ・ 顧客への与信判断に当たって、特に残高や延滞等の債務に関する情報については、借手本 人から正確な情報を入手することが困難であることから、信用情報機関を通じた情報共有が 求められる。顧客はこれらの与信判断目的の収集・利用・提供を拒むことによって与信を拒 絶されてもやむを得ないものと考えられる。 ・ 消費者に対しては、個人信用情報の保護に関する消費者の権利とともに、適正な与信を受 けるためには個人信用情報の提供が不可欠であることについて周知させることが重要であり、 啓発活動に努めるべきである。 ・ ブラックリストを公表すると脅すことにより債権取立てを行うことや、信用情報機関の利 用による適正与信システムを悪用したケースとして、ほかからの与信により自己への返済を 確保するため故意に誤情報登録や情報未登録とすることなどは禁止すべきである。 (2) 信用情報機関への情報の全件登録・全件照会とポジティブ情報の交流の促進 ・ 信用情報機関への与信業者による個人信用情報の登録については、加盟規約等で全件登録 を義務づけることが好ましいが、法律で義務づけることは困難との意見が大勢であった。 ・ 各信用情報機関をまたぐ情報交流の推進の観点からは、現行のようなネガティブ情報だけ でなく、消費者のプライバシー保護に配慮しつつ、ポジティブ情報(残高情報等)の交流ま で拡張することが望ましく、引き続き検討を行っていくべきである。 ・ 各信用情報機関をまたぐ情報交流の推進に当たって、各信用情報機関の有する情報の質の 違いやシステム導入に多額の投資を要すること等解決すべき多くの問題を抱えている。情報 の一元化に向けた当面の対応として、与信業者の複数の信用情報機関への加盟促進などによ り、信用情報機関同士の競争を導入し、事実上の残高情報の交流を進めることも考えられる。 (3) 信用情報機関の在り方 ・ 信用情報機関は、業として、加盟している与信業者から個人信用情報を収集し、加盟業者 のために利用又は提供を行うものと定義することができる。 ・ 信用情報機関は適正な与信システムの維持に重要な役割を果たしており、消費者保護、情 報交換システムの健全性のための役割を明確にすべきである。また、名簿業者を含む不当に 個人信用情報を収集しているところを排除するため、適切な安全保護措置を設け、加盟与信 業者へのモニタリング機能を具備しているなど適正な運営を行いうる機関に限定し、登録制、 認可制等とすべきであるとの意見があった。 ・ 登録制等にするか否かにかかわらず、機関の業務内容等のディスクロージャーを図る措置 とともに、情報登録項目、安全保護措置、情報登録・利用状況等について監督官庁に届出さ せ、一般閲覧させることも必要である。 (4) 個人信用情報の与信目的外利用の在り方 ・ 個人信用情報の保護を前提に、与信判断以外の目的への利用も肯定されるものと考えられ る。例えば、債権管理への利用、同意を前提としたダイレクトメールの送付などがあり得る。 ・ ダイレクトメールの送付については、情報主体が中止を求める場合には、直ちにそのため の措置を講じなければならない。 ・ 個人のプライバシーへの配慮といった情報保護の基盤が十分には確立しているとはいえな い現状では、信用情報機関や加盟業者が信用情報機関の保有する情報を利用することについ ては、与信判断、債権管理に当面は限定することが適当である。
ご意見等の募集 この報告書についてのご意見等があれば、下記問い合わせ先までお寄せください。 記 大 蔵 省 03-3581-4111(代) 金融企画局企画課 (内線)6125 @ http://www.mof.go.jp 通商産業省 03-3501-1511(代) 産業政策局商政課取引信用室 (内線)2941 @ http://www.miti.go.jp |