金融審議会金融分科会特別部会（第13回）議事録

平成１６年９月６日（月）

金融庁 総務企画局

○ 山下部会長

それでは定刻でございますので、ただいまから金融審議会金融分科会特別部会を開催させていただきます。本日はご多用のところご出席いただきまして、まことにありがとうございます。

当特別部会では金融分野における個人情報の保護のあり方につきましてご議論いただいておりますが、前回の会合では、金融分野における個人情報保護に関するガイドラインの項目及び論点をお示しし、各委員より幅広くご意見をいただいたところでございます。

本日の会合におきましては、金融分野における個人情報保護に関するガイドラインの要綱をお示しした上で、委員の皆様方のご意見を頂戴したいと存じております。

ガイドラインの要綱の審議に先立ちまして、経済産業分野の信用分野である割賦販売業等における個人情報保護のガイドラインにつきまして、産業構造審議会割賦販売分科会個人信用情報小委員会で審議が行われておりますので、経済産業省商務情報政策局取引信用課の佐藤課長より、審議についてまずご紹介をお願いしたいと思います。

よろしくお願いいたします。

○ 佐藤経済産業省取引信用課長

佐藤でございます。よろしくお願いいたします。

お手元の資料１に基づきましてご説明をさせていただきたいと思います。

産業構造審議会の小委員会でございますが、第６回目の会合を先週31日に２時から４時まで２時間ほどやらせていただいたところでございます。

テーマといたしまして、全体２時間のうち、まず冒頭に簡単に経済産業分野全体のガイドラインの状況につきまして説明がございまして、その後、金融審議会での検討状況につき、ごく簡単に金融庁の寺田室長よりご説明をいただいております。その後１時間半ほどの時間を使いまして、経済産業分野の信用分野におけるガイドラインの主要な論点の説明及び論点ごとの自由審議ということで議論をしていただいております。

産業構造審議会の方での議論につきましても、先週31日の会合が内容に関します議論の最初の会合になりますので、論点をお示しする形にして、それで各委員からご議論をいただいたということでございます。

資料のうちの５のところでございますが、まず総論といたしまして、幾つかの論点を掲げてございます。ガイドラインの目的、それからそのガイドラインの対象の考え方でございますが、この点につきましては、割賦販売法の登録事業者だけでなく、個品あっせんや自社割賦なども対象とすべき、あるいは信用情報という観点に注目して議論を進めるべきといったご議論をいただいております。

それから、業界ルール及び金融分野ガイドラインとの調整に関してが論点として挙がってございまして、ガイドライン策定に当たっては業界の自主ルールを考慮すべき。金融分野ガイドラインと経済産業省の信用分野におけるガイドラインのレベルは同一のものとし、事業者にとってダブルスタンダードにならないようにするべき。自主ルールとガイドラインとのすり合わせをする際の考え方としては、ハードルの高い方に合わせていくべき。こういったご議論をいただいてございます。

それから、個人情報の取得・利用のあり方のところでございますが、書面による同意確認及び同意条項の分離というものが一つ論点として挙げさせていただいておりまして、同意条項と契約条項とは紙を別々にすべき。個人情報に関する事項について、消費者側の理解のためには口頭説明及び書面確認をした上での同意取得が望ましい。業界としては現行も書面確認とし、同意条項は別立てで区分して、同意取得しており、別立てという考え方自体に異論はない。契約の書面自体を別々とするには、同じ内容を二重に行うだけになってしまうので適当ではない。消費者にわかりやすく説明する工夫はさまざまな方法が考えられる。こういったご議論をいただいております。

個人情報の取扱いの同意拒否への対応のところにつきまして、信用情報機関への情報登録について、申込者が同意拒否する場合は事業者が契約拒否するのもやむを得ない。与信以外の目的については申込者が同意拒否できるようにすべき。こういった意見をいただいてございます。

第三者提供のあり方のところでございますが、競争関係にある信用情報機関に加盟する同業者全般を通じた情報の利用について共同利用と位置づけるのは不適当。第三者提供と位置づけるべき。信用情報機関を通じた情報の利用は割賦販売法及び貸金業法に基づくので、法23条第１項１号の「法令に基づく場合」との関係で第三者提供の同意は不要となるのではないか、ただし、この場合であっても本人が知り得るように通知・明示はすべき。信用情報の交換については、これまでの議論を踏まえ、同意を前提に利用できるようにすることも必要。こういった議論がございました。

また、同意確認の方法のところにつきましては、第三者提供の提供先について、個別企業の列挙が困難であるのもわかるが、消費者から具体的なイメージがわかるようにすべきという意見がございました。

信用情報機関間の情報交流のあり方のところにつきましては、多重債務問題及び適正与信の観点を中心に検討されるべき問題。業界内でもコンセンサスを得ておらず、今の段階では結論を出すのは難しい。こういった意見がございました。

また、共同利用のあり方についても論点として挙げさせていただいております。

それから、オプトアウトのあり方についても論点として挙げさせていただいておりまして、これについては、信用情報機関への情報提供は割賦販売法及び貸金業法に基づくものであり、オプトアウトは行わないという方向で検討すべきといったご意見をいただいております。

安全管理のあり方のところでございますが、組織的措置も重要だが、実効性を担保するためには人的措置としての従業員の教育・監督を重視すべき。違法行為を抑止するため、各企業内及び経済産業省内に公益通報のホットラインを設けられないか。安全管理措置の検討に当たっては、審議会の場においても、過去の情報漏えい事例をよく分析して対策を検討すべき。こういった意見をいただいてございます。

開示等の手続のあり方のところについては、開示等を求めることができる代理人の範囲というのを論点として挙げさせていただいてございます。これにつきましては、代理人の範囲については、開示手続の適用除外「個人の権利利益を害する場合」に該当する事例があるかどうか検討すべき。こういった意見をいただいております。

前回、先週火曜日の会合はこういった形でご議論をいただいてございまして、これに基づいて我々の事務局の方で次回の会合に向けて原案の要綱を策定すべく作業を進めてございます。次回につきましては、９月９日10時半から会合を開催するということで予定してございます。

以上でございます。

○ 山下部会長

どうもありがとうございました。

それでは、本日の議題を開始させていただきます。まず事務局の寺田調査室長により、金融分野における個人情報保護に関するガイドラインの要綱につきましてご説明をお願いいたします。

○ 寺田企画課調査室長

それではご説明申し上げます。

その前にまず配付資料の確認でございますが、資料の２として金融分野における個人情報保護に関するガイドライン要綱についてということでお配りさせていただいております。そのほかに資料の３、４、５ということで、ガイドラインはそれぞれの法律、施行令及び基本方針に基づきまして、各条項に関連いたしまして作成している関係上、法律及び施行令及び基本方針を配付させていただいております。

それでは、資料２のガイドライン要綱につきまして、読み上げつつ補足する形でご説明させていただきます。要綱案の形式でございますが、要綱案はガイドラインの最終的な各条として規定すべき事項につきまして、簡潔に記しているものでございます。従いまして、現段階において事務局として規定すべき事項について、本審議会におけるご意見を承るべきと考えております事項、また例示等、詳細にわたる事項につきましては、括弧書きで記載をしているところでございます。

それでは第１条でございます。目的でございます。

１．ガイドラインは、「個人情報の保護に関する法律」、「個人情報の保護に関する法律施行令」及び「個人情報の保護に関する基本方針」を踏まえ、「金融分野」における個人情報取扱事業者が講ずべき措置の適切かつ有効な実施を図るための指針として策定。

２．金融分野における個人情報取扱事業者等は、本ガイドライン等を踏まえ、各事業の実態等に応じたさらなる措置を自主的なルールとして策定。

なお、事業者は、個人情報の適正な管理に関し、関係法令等を踏まえて対応する必要。

３．法第２条第３項第４号の規定により「個人情報取扱事業者」から除かれる者においても、本ガイドラインの遵守に努める。

この点は若干補足いたしますと、法第２条第３項第５号の規定に基づきまして、施行令の第２条で個人情報取扱事業者から除かれる者といたしまして、「その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数の合計が過去六月以内のいずれの日においても五千を超えない者」とございます。この者について本ガイドラインの遵守に努めるという旨でございます。

続きまして、第２条は定義等でございます。

下記１から６の事項につきまして、法に基づき定義を記載したいと考えております。なお、各号、１号から６号に定めるほかの用語につきましては、他に特段の定めのない限り、法及び施行令の定義に従うこととなります。

続きまして第３条でございますが、利用目的の特定でございます。

１．金融分野における個人情報取扱事業者は、個人情報の取扱いに当たっては、個人情報の利用目的を本人が合理的に予想できるようできる限り特定。具体的には、「自社の所要の目的で用いる」といった抽象的な利用目的は、「できる限り特定したもの」とはならない。

括弧書きでございますが、利用目的の例示を記載してはどうかという風に考えております。例示の内容といたしましては、当社の預金の受け入れ、保険金・給付金の支払いといった事項を考えておりますが、このような例示を規定することについてどのように考えるかという論点でございます。

２．個人情報の利用目的が法令等に基づき限定されている場合はその旨の明示。

３．与信事業に際しては、利用目的については他の契約条項等と明確に分離して記載。また、個人情報を信用情報機関に提供する場合には、その旨を利用目的に明示。

このほか、与信業者における利用目的の特定につきまして、金融分野の個人情報取扱事業者に求められる事項という点を論点として掲げさせていただいております。与信関係の個人情報取得の対応等に鑑みまして、どのような点が求められるのかどうか、ご意見を賜りたいと考えております。

続きまして、第４条、同意の形式についてでございます。

金融分野における個人情報取扱事業者は、法第16条、これは目的外利用の制限に関する条項でございますが、及び法第23条、第三者提供に際しての本人同意でございますが、に定める本人の同意を得る場合には、原則として、書面（電子的方法等を含む。）によることといたします。

なお、電子的方法としては電子的な方法以外にも磁気的な方式、その他暗号化ファイル等、人の知覚によっては認識することのできない方式でつくるものが含まれるものではないかと考えております。

続きまして、第５条でございます。利用目的による制限。

金融分野における個人情報取扱事業者は、あらかじめ本人の同意を得ないで、特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱うことを禁止する。

２．合併等による事業の承継に伴って個人情報を取得した場合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えての取扱いを禁止。

３．前２項の規定は、次に掲げる場合については、適用しない。

法令に基づく場合。

人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。

公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。

国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

これら上記、１項から４項の具体例を明示することとしてはどうかと考えております。

続きまして、第６条、機微（センシティブ）情報についてでございます。

１．「機微（センシティブ）情報」（政治的見解、信教（宗教、思想及び信条をいう。）、労働組合への加盟、人種及び民族、門地及び本籍地、保健医療及び性生活、並びに犯罪歴に関する情報）の取得、利用等は行わない。

しかしながら、これについては例外事項を定めてはどうかというふうに考えております。法令に基づく場合、それから人の生命、身体または財産の保護のために必要がある場合、また保険業の適切な業務運営に用いる場合等となっておりますが、それ以外にも金融部門の個人情報取扱事業者の適切な業務運営等の観点から必要な場合はあるかと存じますので、このような事項としてどのような事項を定めるべきかご意見を賜りたいと思っております。

生体認証情報の取扱いでございます。

前回の部会での審議におきまして、生体認証情報につきまして、本人確認以外の目的での使用を行わないよう、もしくは流出等を招かないよう、厳格な取扱いが求められる旨、ご意見がありましたが、このような生体認証情報の性質に基づきまして、これを機微（センシティブ）情報との関係におきまして、どのように整理するかという点でございます。この点についてもご意見を賜りたいと考えております。

２．機微（センシティブ）情報を例外的に取得、利用等する場合の慎重な取扱い。

これは各例外事項に基づいて取得、利用等される場合に、例外事項に基づいて慎重な取扱いを求めるというものでございます。

続きまして、第７条、適正な取得でございます。

金融分野における個人情報取扱事業者は、偽りその他不正の手段による個人情報取得の禁止。第三者からの取得に際しての本人利益の不当侵害の禁止でございます。

続きまして、第８条でございます。取得に際しての利用目的の通知等。

個人情報取扱事業者は、個人情報を取得した場合、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を本人に通知し、または公表。

金融分野の個人情報取扱事業者においては、「通知」の方法については原則として、書面（電子的方式等を含む。）による。「公表」の方法については、インターネット上のホームページ等での公表、事業者の窓口等への書面の掲示・備えつけ等適切な方法による必要。

２．個人情報取扱事業者は、本人との間で、契約を締結することに伴って契約書等に記載された個人情報を取得する場合は、あらかじめ利用目的を明示。金融分野の個人情報取扱事業者は、与信事業の場合には、利用目的を明示する書面に確認欄を設ける。

「取得の状況から見て利用目的が明らかであると認められる場合」には、通知または公表は適用除外。これは法第18条第４項第４号の規定に基づきまして適用が除外されますが、論点といたしまして、この「取得の状況から見て利用目的が明らかであると認められる場合」につきましては、例示を記載することとしてはどうかと考えております。

続きまして、第９条、データの内容の正確性の確保でございます。

金融分野における個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つ必要。

このため、事業者は、法令等に基づく保存期間の定めがある場合を除き、保有個人データの利用目的に応じ保存期間を定め、当該期間経過後の個人情報を消去。

続きまして、第10条、安全管理措置でございます。

あらかじめ申し上げますが、安全管理措置につきましては、これまでの他分野のガイドライン等の案、もしくは当庁におきます金融もしくは技術的な専門家との議論の中から、ガイドラインベースにおきましては、以下掲げておりますような求められる措置の基本的な事項を掲げ、さらに詳細にわたる部分については、形式についてはまた事務局からお諮りいたしたいと思いますが、別冊もしくは実務的な別途の指針という形で作成してはどうかと考えております。したがいまして、括弧書きがある部分は、それぞれの規定の作成もしくはそれぞれの措置につきまして、求められる基本的な事項の項目でございます。

それでは読ませていただきます。

第10条安全管理措置。

１．金融分野における個人情報取扱事業者は、安全管理に係る基本方針・取扱規程等の策定及び組織体制の整備等の必要かつ適切な措置を講じる必要。必要かつ適切な措置は、個人情報の収集・利用・送付等の各段階に応じた「組織的安全管理措置」、「人的安全管理措置」及び「技術的安全管理措置」を含む。

２．「組織的安全管理措置」、個人情報取扱事業者の体制整備及び実施措置。

３．「人的安全管理措置」、個人データの安全管理が図られるように従業者を監督。

４．「技術的安全管理措置」、個人データに対する技術的な措置。

５．安全管理に係る基本方針・取扱規程等の整備として、以下の「組織的安全管理措置」。

（組織的安全管理措置）

（１）規程の策定。

安全管理に係る基本方針、取扱規程等の策定、その他求められる規程を記載。

（２）管理手順の明確化。

具体的な手順を明示。

６．個人情報の安全管理に関する組織体制の整備として、以下の「組織的安全管理措置」、「人的安全管理措置」及び「技術的安全管理措置」。

（組織的安全管理措置）

個人情報の管理責任者の設置、雇用・雇用契約における安全管理措置等、求められる措置を記載。

（人的安全管理措置）

従業者との個人情報非開示契約の締結、従業者への安全管理措置の周知徹底、教育及び訓練等求められる措置を記載。

（技術的安全管理措置）

個人データ利用者の識別と認証、個人データへのアクセス権限の管理、個人データへのアクセス記録と分析、個人データを取り扱う情報システムの稼働状況の記録と分析等求められる措置を記載。

続きまして、第11条、従業者の監督でございます。こちらも考え方は第10条と同じでございます。

１．金融分野における個人情報取扱事業者は、適切な内部管理体制を構築し、その従業者に対する必要かつ適切な監督を行う必要。

２．「従業者」とは、個人情報取扱事業者の組織内にあって直接または間接に事業者の指揮監督を受けて事業者の業務に従事している者。

具体的な監督内容の記載といたしましては、従業者等の守秘義務等の確認等、従業者への安全管理措置の周知徹底、教育及び訓練等、社内での安全管理措置の運用状況等の確認や従業者の個人情報保護に対する点検・監査制度の整備等ということがあるのではないかと考えられます。

続きまして、第12条、委託先の監督、これも第10条、第11条と同じような考え方の規定でございます。

１．金融分野における個人情報取扱事業者は、個人データの取扱いの全部または一部を委託する場合は、委託を受けた者に対する必要かつ適切な監督を行う必要。

「委託」とは、契約の形態や種類を問わず、金融分野における個人情報取扱事業者が他の者に個人データの取扱いの全部または一部を行わせることを内容とする契約ということで、契約の形式ではなくて、これらの内容に基づいて判断するということでございます。

３．金融分野における個人情報取扱事業者は、個人データを適正に取り扱っていると認められる者を選定し委託。当該個人情報取扱事業者は、個人情報の安全管理のための措置を委任先（再委任先を含む）においても確保することが必要。

具体的な監督内容の記載といたしましては、委託先基準の内容や委託契約の内容等があるものと考えられます。

続きまして第13条、第三者提供の制限でございます。

１．金融分野における個人情報取扱事業者は、法第23条に従い、次に掲げる場合を除くほか、あらかじめ本人に同意を得ることなく、個人データを第三者に提供することを禁止。

法令に基づく場合。

人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。

公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。

国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

具体例につきましては、第５条３項からの箇所で例示を記載しておるわけでございます。

なお、第三者への提供の同意を得る際には、原則として書面（電子的方式等を含む。）によるということいたしたいと思っています。

同意書面の記載事項についても記載することとしてはどうかと考えております。記載事項としては、第三者の氏名、名称や第三者の利用目的、さらに提供される情報内容といったものが考えられるのではないかと思われます。

個人信用情報機関に対する提供について。

個人信用情報機関に対して個人データが提供される場合には、本人の同意を取得。

この信用情報機関への提供について、同意を得る書面において特に求められる記載内容につきましてご意見を賜りたいと存じますが、この記載内容としてはどのようなものがあるかということでございます。信用情報機関は会員企業間での個人信用情報の提供を目的としていることに鑑みまして、どのような事項が求められるのかご意見を賜りたいと考えております。

金融分野の個人情報取扱事業者は、資金需要者の返済能力に関する情報については、慎重に取り扱う必要。

４．法第23条第２項について。

法第23条第２項においては、個人情報取扱事業者が、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、同項各号に掲げる事項について、あらかじめ、本人に通知し、または本人が容易に知り得る状態に置いているときは、当該個人データを第三者に提供することが可能。

この際の「本人が容易に知り得る状態」とは、本人が知ろうと思えば、時間的にもその手段においても容易に知ることができる状態でございますが、この本人が知り得る状態の例示を記載してはどうかと考えられます。

５．与信事業における法第23条第２項の適用についてでございます。

返済能力に不安のある個人が個人信用情報機関への提供の停止を求めた場合についてご審議を賜りたいと思っております。これは返済能力に不安のある個人が信用情報機関への自らの情報の提供の停止を求めた場合には、多重債務問題への適切な対応が困難となるおそれがあるのではないかといった問題に留意して、どのような措置が求められるかという点でございます。

６．法第23条第４項第３号について。

個人データを特定の者との間で共同して利用する場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名または名称について、あらかじめ、本人に通知し、または本人が容易に知り得る状態に置いているときは、第三者に当たらない。金融分野の個人情報取扱事業者においては、この場合の「通知」は、書面（電子的方式等を含む。）による。

この場合の共同利用者の外延を示す場合において、本人が容易に理解できるよう、「共同して利用する者」を具体的に特定する望ましい示し方について、ガイドラインに記載してはどうかと考えております。

７．経過措置。

これは法附則第３条の関連で、法施行前において、個人信用情報機関への提供の同意を本人から得ている場合も、加入資格に関する当該機関の規約及び会員企業名の公表は法の施行前に実施されることが適当であるということでございます。

続きまして、第14条でございます。保有個人データに関する事項の公表等。

金融分野における個人情報取扱事業者は、保有個人データに関し、利用目的、開示等の手続等法第24条第１項に定める事項を本人の知り得る状態に置く必要。

「本人の知り得る状態」とは、本人が知ろうと思えば知ることができる状態でございますが、この「本人の知り得る状態」につきまして、望ましい状態の例示等を記載してはどうかと考えております。

第15条開示。

金融分野における個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの開示を求められたときは、本人に対し、遅滞なく、保有個人データを開示しなければならない。ただし、次の各号のいずれかに該当する場合には、その全部または一部を開示しないことができる。

本人または第三者の生命、身体、財産その他の権利利益を害する場合。

当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼす場合。

他の法令に違反することとなる場合。

このうちにつきましては、実際にこの業務の適正な実施に著しい支障ということにつきまして、具体例を記載してはどうかと考えております。

金融分野における個人情報取扱事業者が開示しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知する必要。決定の理由について、根拠とした法の条文及び判断の基準となる事実を示して説明。

第16条訂正等。

金融分野における個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの内容が事実でないという理由によって当該保有個人データの内容の訂正等を求められた場合には、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容を訂正等する。

訂正等を行った場合、または訂正等を行わないこととした場合は、本人に対し、遅滞なくその旨を通知。

なお、事業者が訂正等を行わない場合は、訂正を行わない根拠及びその根拠となる事実を示し、その理由を説明。

第17条利用停止等。

１．金融分野における個人情報取扱事業者は、当該保有個人データの利用停止等または第三者提供の停止等を求められた場合であって、その求めに理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行う必要。ただし、当該保有個人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれにかわるべき措置をとるときは、この限りでない。

２．金融分野における個人情報取扱事業者は、利用停止等を行ったときもしくは利用停止等を行わない旨の決定をしたとき、第三者への提供を停止したときもしくは第三者への提供を停止しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知する必要。

第18条理由の説明。

金融分野における個人情報取扱事業者は、ただいま述べてまいりました本人から求められた開示・訂正・利用停止等の全部または一部について、その措置をとらない旨を通知する場合またはその措置と異なる措置をとる旨を通知する場合は、本人に対し、判断の根拠及び根拠となる事実を示し、その理由を説明。

第19条開示等の求めに応じる手続。

１．金融分野における個人情報取扱事業者は、開示等の求めを受け付ける方法を定めた場合には、「個人情報保護宣言」、これは後に出てまいりますが、と一体としてインターネットのホームページに常時掲載もしくは事務所の窓口等に掲示・備えつけ。

２．開示等の求めをする者が本人または代理人であることの確認の方法を定めるに当たっては、十分かつ適切な確認手続とするよう留意。

なお施行令第８条第２項の代理人、これは委任状等によります任意代理人のことでございますが、による求めに対して、事業者が本人にのみ直接開示することも可。

第20条手数料でございます。

金融分野における個人情報取扱事業者は、同様の内容の開示等の手続の平均的な実費を予測し、合理的な手数料額を算定する等の方法で、実費を勘案して合理的な範囲内で手数料を徴収。

第21条個人情報取扱事業者による苦情の処理。

１．金融分野における個人情報取扱事業者は、個人情報に関する苦情を受けたときは、その内容について調査し、適切かつ迅速に処理。

２．金融分野における個人情報取扱事業者は、適切かつ迅速な苦情処理のために、必要な体制を整備。

この必要な体制の整備につきましては、具体的に求められる措置を記載してはどうかと考えております。

第22条漏えい事案への対応。

金融分野における個人情報取扱事業者は、個人情報の漏えい等、これは滅失、毀損の場合を含むという趣旨でございますが、の事故が発生した場合には、監督当局に直ちに報告、漏えい等の事実関係及び再発防止策等を早急に公表、漏えい等の対象となった本人に速やかに漏えい等の事実関係等の通知。

第23条先ほども出てまいりましたが、個人情報保護宣言の策定でございます。

金融分野における個人情報取扱事業者は、事業者の個人情報保護に関する考え方や方針に関する宣言、いわゆるプライバシーポリシー、プライバシーステートメント等、以下、「個人情報保護宣言」というふうにこのガイドラインでは称するつもりでございますが、を策定、公表「個人情報保護宣言」に規定されるべき事項を記載してはどうかと考えております。

以上でございます。

○ 山下部会長

どうもありがとうございました。

ただいまのご説明を受けまして、各委員よりご意見を頂戴したいと存じますが、要綱の形がかなり具体的なものとなっておりますので、本日はあらかじめこの要綱を３つの部分に分けまして、順にご意見を伺うという方法によりたいと思っております。具体的には、最初に第１条から第６条までの部分、次に第７条から第13条までの部分、最後に第14条から第23条までの部分といたしまして、それぞれ20分程度の時間を割いてご議論いただきたいと思います。

まず、それでは第１条の目的から第６条、機微（センシティブ）情報についての部分につきまして、ご意見、ご質問をご自由にお願いいたします。はい、森崎委員。

○ 森崎委員

まず、第１条でございますけれども、「金融分野」における個人情報取扱事業者が講ずべき措置の適切かつ有効な実施を図るための指針として策定と、こういうふうに書かれておりますけれども、一般的に事務ガイドラインは、私どもの理解といたしましては、行政が恣意的にならないように、行政執行者の指針としてつくるというのが事務ガイドラインだと思いますけれども、このガイドラインはそうではなくて、いわば法律がありまして、政令、省令、その下により具体的な有効な実施を図るための指針としてつくるという、いわばある程度強制力を持つという、そういう考え方でつくられているガイドラインなのかどうかということにつきまして確認をいたしたいと思います。

○ 寺田企画課調査室長

ただいま、ガイドラインの位置づけについてご質問がございました。

本ガイドラインは、金融分野における個人情報の性質、それから利用の方法を踏まえまして、金融分野における個人情報利用取扱事業者に対しまして、今まさに委員の方からご指摘がございました個人情報保護法の解釈を示す規定の部分と、事業者におきまして、実施の努力が期待される措置の部分、すなわちベスト・プラクティスを示す規定の両方が盛り込まれたものとしてはどうかというふうに考えております。

したがいまして、強制力があるのかという点につきましては、前者の解釈規定のうち、例えば法の定めるところで第三者提供につきまして、本人の同意をとらないといけないというのは、本人の同意をとりませんと、これは行政命令に対する違反には罰則が課せられる場合がございます。そういたしますと、その規定についての解釈規定としてガイドラインを定めたものにつきましては、そのガイドラインの考え方に違反した場合には、当該行為はただいまの具体例で申しますと、法第23条第１項違反ということで、報告徴収、勧告、命令といった行政処分の対象になるとともに、当該処分に従わない場合は法第56条に基づく罰則の適用対象になると、そのようなものになると考えております。

なお、この要綱は、ガイドラインに規定すべき内容を簡潔に規定しておりますので、最終的な語尾を明示しておりません。前者の解釈規定につきましては、これこれが必要であるというような規定になりますし、後者のベスト・プラクティスについては、これこれが期待される、努めることが求められるといった規定振りになるものと考えております。

○ 山下部会長

松本委員。

○ 松本委員

６条のセンシティブ情報についてですけども、先ほどのご説明の中で、例外事項の定めで、ここにお示しいただいている３例以外でも、適切な事項はあるのではないかというようなお話がありました。

例えば銀行でありますとですね、本人確認で運転免許証というものがあります。これは本籍地が記載されているということで、これは銀行に限らず運転免許証で本人確認するケースというのは他の業界でも多々あると思いますが、こういったものに対する対応というのは非常に、これを抑えてしまうことによっていろいろ問題があるのではないかと思っていることとか、例えば銀行の例でいいますと、宗教団体とか政治団体の提携ローンなんかがございまして、そういったローンを取り組むことだけで、どの宗教に属しているかがわかってしまうというようなこともございます。したがいまして、この例外については、よくよく深く検討していただきたいなというのが要望でございます。

○ 山下部会長

松阪委員。

○ 松阪委員

貸金業界として要望がございます。貸金業界では貸し付けの多くは無担保で行われているため、債権の回収には債務者の所在地を把握しておかなければなりません。このため、ほとんどの業者の契約条項には期限の利益喪失条項の中に、債務者の所在が不明になった場合、期限の利益を喪失するという条項を入れております。つまり債権者に無断で転居し、住所を知らせない場合は、期限の利益を喪失し、残債も一括で支払っていただくということでございます。

無担保貸し付けにおいては、本人は債務を負ったまま所在不明になった場合、戸籍の附票を手がかりに所在を調査する必要がございます。附票とは、戸籍の記載されている人の現在の住所と住所移転の経歴が記載されておるものでございまして、このような支払いが停止して、かつ所在が不明な連絡がない場合、この債権はほとんどが償却の対象となってしまいます。従いまして、所在を判明させるために契約時に申告されている現住所の役所に赴きまして、住民票の写しを請求し、新たな転居先での調査を行っておりますけれども、償却においてもこの調査が不十分であると償却が認められないということもございます。それで、この附票はぜひ必要であるということでございます。

それから、人の姓は結婚、離婚、養子縁組などで変わりますけれども、これを悪用して別人として借り入れを繰り返すと、こういった状況がございます。このような場合でも住民票の写しだけでは調査は困難でございます。附票及び謄本を請求することで、この本人が判明するということがございますので、このように本籍地の情報は貸金の業務に必要なものでございますので、貸金業における債権保全を目的とする場合、センシティブ情報の例外事由に含めていただきたいと、そういうふうに思うわけでございます。

それから、これは質問ということになるんですが、２つばかり申し上げます。医療情報とはどういうことを意味するのか、はっきり教示願いたいと思います。カルテの情報や病歴など、医師から得られた情報を意味すると理解してよろしいのかどうかということでございます。

それから、我々の業界では借り入れの際に申し込みがあった場合、資金需要者と面談の際に顔色を見て健康状態を尋ねるような場合がございます。これが本人から直接こういったことを聞くということが医療情報に当たるのかどうか、保健医療には含まれないと理解してよろしいのかどうか、こういったこと２点ばかりお聞きしたいと思います。なぜこのようなことをお聞きするかといいますと、債務者の健康状態は貸し金の返済能力に影響して、与信判断の資料として必要であること、これをご理解いただきたいと思うわけでございます。

以上でございます。

○ 寺田企画課調査室長

ただいまのご質問の件でございますが、健康情報というときには、第一義的には確かに医療機関による治療情報というものが該当するものと考えております。

ご質問の中で、これは私どもとしてもむしろ本席での先生方のご意見も賜りたいなと思っておりますが、いわゆるその日常会話の中で本人が元気だよとか、もしくは一時入院していたけど治ったよという情報が、いわゆるＥＵ指令とかで考えておりますセンシティブデータというものに該当するのかどうかと。つまり本人自らがいわばご自分の意思で説明しているということを考えますと、これはＥＵ指令ではデータ自体が公にされている、もしくは同意のある場合には除外になりますので、そういった意味でこれは除外されることがあり得るのではないかというふうにも考えられるのではないかと思っております。

さらにもう一点は、ただいまのお話の中で日常会話的な要因等とは別にもう一つの要因として、ご本人は告知しておられないけれども、担当者の方が、この方はちょっと顔色が悪そうだというふうに評価された。ご自分の評価、担当者の評価に関する情報というのを、これをどのように考えるかと。これは評価情報、もしくは審査情報としてつけ加えた情報は開示や訂正等の対象ではございません。これをまさにセンシティブ情報の枠内のものとして議論すべきなのかどうかということはぜひご議論賜りたいと思っております。

○ 山下部会長

ほかにいかがでしょうか。堀部委員。

○ 堀部委員

かなり具体的なご意見が出てきていますが、その前提としまして、幾つか申し上げておきたいと思います。

まず第１に、第１条の目的のところは、こういう書き方になると思うのですが、これは全体にもわたるのですけれども、この第１条目的、第２条定義等はそのまま法律の規定のようになっていって、それについての解説みたいなものというのは別途つくるのかつくらないのか。先ほど何かつくるようなニュアンスの言い方もしていたように思うのですが・・・例えば第１条について個人情報保護法の現行の規定でいうと６条３項で、格別の措置が講じられるよう必要な法制上の措置、法制上の措置をどうするかは今後の課題ですけれども、その他の措置としてこれを講ずる、これをこのガイドラインの目的にするということもありますし、もう一つ、第８条の地方公共団体等への支援として、この金融庁ガイドラインをもとに、各事業者あるいは事業者団体がガイドラインをつくる際の指針にするということもあるわけですね。そうしたことは、第１条の目的にいちいち書くというのは大変だと思いますが、何かこれ以外にそういう趣旨をどこかに踏まえて書くのかどうか。

それと関連して、第２に、そうしますと例えば第３条の利用目的の特定のところに、ここで括弧の中に入っています例示、こういう例示をしていくのはわかりやすいという側面があるのですけれども、他方においてその例示に入らないものについてどうするのか、こういうようなことも出てくるかと思います。ほかのところでガイドラインづくりにずっとかかわってまいりましてそういう議論をしています。今度の法律は主務大臣制をとっていますので、それぞれの主務官庁のいろいろ審議会等で議論をして、その事業分野にふさわしいものをつくるということでよろしいわけですが、例えば経済産業分野につきましては、法律の解説的なところがかなり重視され、既に経済産業分野も従来からガイドラインはあるのですが、法律ができたところで全面的に別のものにしていくということですし、他方、電気通信分野ですと、これまでガイドラインがあったものを新しい法律に基づいて改定していく、こういうことで従来の方法を踏襲しているというところもあるわけですね。これまで金融庁ガイドラインというのは個人情報保護についてはありませんでしたので、例示などどういうふうにしていくのかという問題もあるかと思います。

第３に、第２条のところで、法律に規定のあるものについては法の規定に従うということで、例えば「本人」というのがここにないわけですけれども、その本人というのは法律に規定があるからここには規定しないのか、それともここにも本人というのをもう一度掲げるのかということなどもあろうかと思います。今の段階ではいろんなご意見が出てくる中でどういうものがベストかということで考えていけばいいと思いますけれども、そういった点が伺っていて感じたところです。

個別にはいろいろございますけども、１条から６条までにも関連してそういった点が一般的にはあるのではないかと思いました。

○ 寺田企画課調査室長

お時間の関係もございますが、基本的なところのみ簡潔に申し上げます。

まず、先ほど来出ております本ガイドラインの性格として、個人情報保護法では、ただいま堀部委員からのご指摘もございました法８条の「事業者等が講ずべき措置の適切かつ有効な実施を図るための指針」という部分も策定義務がございますし、６条３項に基づきまして、「個人情報の性質及び利用方法にかんがみ、個人の権利利益の一層の保護を図るため特にその適正な取扱いの厳格な実施を確保する必要がある個人情報について、国において講じる法制上の措置その他の措置」も、これも国において措置をすることが求められているわけでございます。

このガイドラインはまさにご指摘のとおりでございまして、これまで金融分野のガイドラインというものを告示等の形式で示しておらなかったことを踏まえますと、今回のガイドラインは基本的にまず個人情報保護法の解釈を示すという基本的な部分につきましては、第８条の指針に該当するものというふうに考えております。

さらに、先ほど来ご指摘がございました法の定めを上回る努力措置につきましては、これは６条３項の「法制上の措置その他の措置」に該当するものと考えております。この旨等を解説というふうにつくるのかどうかというのは、これはまた今後、委員各位からのご意見等も踏まえまして検討いたしますが、先ほどの利用目的の例示の点につきましても、他の省庁もお世話になっている関係で堀部委員からのご指摘もありましたが、例示が多いのは必ずしもいいわけではないという見方もある。もしくは解説が多ければ多いほど逆に、これは実はこういう場合が当たりますというふうに書けば書くほど、ではこれはどうなんだというようなことでかなりパブリックコメントの段階でかえって多くのパブリックコメントといいますか、ご疑念を招いている例もあるようでございますので、いずれにしましても本件、パブリックコメントに付すことを考えますと、例示の程度、それから若干の評釈等をつけるかどうかにつきましては、今後検討してまいりたいと思いますが、基本的にはパブリックコメント等である程度お答えする方が望ましいのではないかなというふうに考えておりますけれども、ここはまだ事務的な検討段階でございます。

また、法８条のガイドラインというのが基本的な性格でございますので、まさにご指摘のように、定義のところ等におきましては、法律で明確に規定されているおり、さらに解釈を示す必要のないものについては、あえてガイドラインで解釈を示す必要がないものというふうに理解をいたしております。

まだちょっと要綱という形でございますので、若干何か奥歯に物が挟まったというか、何かシャドーが１枚かかったような話で議論をしていますので若干不明確なんですが、私どもの方で定義として出そうとしておりますのは法の解釈以上に具体的に何らか解釈を付すべきもののみ定義事項で記載してはどうかというふうに考えております。そのような次第でございます。

○ 山下部会長

よろしいでしょうか。上柳委員。続いて原委員。先にすみません、上柳委員から。

○ 上柳委員

３点ありまして、１つはこのガイドラインの性格ですけれども、先ほど来からお話ありますように、やはり今までの金融庁がつくられてきたガイドラインと若干性格を異にする面があるのではないかというふうに思っております。そういう意味で、事業者の人たち、あるいは消費者にとっても大変身近なものに、今までのもの以上に身近なものになるのではないかなと思っております。それが一点です。

それから、２つ目ですけれども、多分３条とかあるいは６条にかかわるのかもわかりませんけれども、確かに例示を詳しくすればするほど、すること自体が大変だということと、すればするほど問題が起こるとか、あるいはそこに載っていないものが落ちてしまうという問題点があるのだと思うんですけれども、なるべく欲張って、豊富なものにしていただきたいなという希望を持っています。特に金融分野といってもいろんなサービスの局面といいますか、側面がありますわけで、これ、従来のように銀行分野というふうに分けるのか、決済分野とかあるいは証券の分野とかに分けるのか、分け方わかりませんけれども、ある程度、サービスの種類に応じた目的の整理なり、あるいはセンシティブ条項の整理があるのではないかと思います。それが２点目です。

それから３点目は特にこの第６条の２項のところにかかわると思うんですけれども、センシティブ情報について一定の例外は認めざるを得ないことは、これは仕方がないと私も思うのですけれども、その上で、そのセンシティブ情報、例えば社内の中でも人的にあるいは物理的にもかもわかりませんけれども、より慎重にあるいはアクセスをしにくいように保管するというのか、管理するということが、ここがやっぱり一番ポイントだと思いまして、このガイドラインの段階で、それこそきちんと例示することは難しい面もあることは想像ができますけれども、ここのところをぜひ示していただいて、パブリックコメントにさらしていただきたいなというふうに思います。

以上です。

○ 山下部会長

原委員。

○ 原委員

２点あります。１点は堀部先生の方でお話しなさったところと重なりますので、簡単にですけれども、こちらの個人情報保護法、検討する一番最初からかかわっておりまして、そのときに大変意識したのが金融と信用の情報の分野でありました。ですから本体の法律の方で第６条、この法制上の措置等というふうに書かれている部分というのは金融と信用分野というのを非常に意識してここに規定が条文が入っているというふうに考えておりますので、作業手順はちょっとお示しにならなかったんですけれども、９月、多分もう一回ぐらい検討があって、それで10月にパブリックコメントをとられるのではないかなというふうに思いますけれども、ガイドラインについてのパブリックコメントだけではなくて、その法制化についても合わせてパブリックコメントを付す形にしていただきたいというのが１点です。

それから、２点目は第１条の目的の３項のところに除かれるものとして、5,000人以下のお話がありまして、5,000人以下の事業者についても遵守に努めるという書きぶりになっています。気になっておりますのは、貸金の事業者でそれほど大きくない事業者がかなり多数ございます。こういうところがこの「努める」という規定の中に入ってくると、先ほどの金融庁、ローン側のご説明としては、これは期待されるというような意味のところになるというふうなお話になるわけですけれども、そうすると、まだ条文としてはずっと先になりますけれども、個人信用情報機関の中で、第13条の３項ですね、個人信用情報機関に関する提供、そしてその中で与信業務の範囲内でそれぞれの情報が、どこで借りているかとか、どれだけ返済が滞っているかということを交流というんでしょうか、お互いにチェックをなさると思うんですけれども、一方はガイドラインでかなりきつくかかって一方はこの遵守に努めるというようなことになって、レベルの差があるというような状況が出てくるわけですけれども、そのあたりについてはどのようにお考えになっていらっしゃるのかということが２点目でお聞きしたいところです。

○ 寺田企画課調査室長

第１点目の作業手順につきましては、まだ本日のご審議を踏まえてのことでございますので、タイムスケジュールというわけではございませんが、今私どもとして、唯一はっきり申し上げられますのは、先ほど上柳委員の方からお話もございましたし、各委員もしくは技術的な専門家と議論をしている中で常に指摘を受けますのは、やはり技術的な部分もしくは人的な安全管理措置も含めました安全管理措置の部分というのは、やはりこのガイドラインのレベルよりも、より金融分野の情報の取扱状況に応じて、実態に合ったものをつくるべきではないかというご議論、特に先ほどの生体認証情報のように、前回のご審議でもございましたが、まだ技術的にもいろいろと議論が残っている分野の扱いということになりますと、これはやはり金融分野として、ひとつ腰の据えた議論が必要ではないかと考えておりますので、その部分につきましてはパブリックコメントに付している一月程度の間、その間にはその技術的な部分等の先ほど申し上げました別冊のようなもののご審議を賜ってはどうかというふうに考えております。これはまた部会のご総意を踏まえてご指示いただければと思っておりますが、事務方としてはそのようなものをご提示いたしまして、場合によっては専門家からの実態のご説明でありますとかを踏まえて議論をしていってはどうかというふうに考えております。

その後につきましては、若干繰り返しの答弁になりますが、年内の間にその法的な措置の必要姓につきましてもということでございますので、ガイドラインのパブリックコメントを踏まえた全体像、それからそうした技術的な安全管理措置の全体像等を含めまして、全体的なご審議を賜る必要は当然のことながら私どもとして必要というふうに理解をいたしております。

それから、5,000人以下というようなレベルでございますが、具体的にちょっと数字等はともかくといたしまして、確かに貸金業者、それ以外にも若干、ほかの業種でも個人情報を特定できる個人情報の数が5,000を下回るという業者、あり得るものと考えております。確かに貸金業者の場合、都道府県登録ということで、都道府県の方で関係条例を制定されて、それに基づいて監督がされるような業態もあると思いますが、これにつきましては、法の８条に基づいて私どもが定める趣旨というのは、やはり地方公共団体の方でもこの実施する個人情報の保護に関する施策というものをつくっていくということが法８条にございますので、一つは今後私どもとしては、関係条例の制定や見直しやもしくは条例に基づく事業者の自主的施策の策定等の際に、このガイドラインの内容を十分情報提供して、整合性のある各地方公共団体レベルでの個人情報保護の取扱いがなされるよう確保すべく努めるというのは当然のことではないかというふうに考えております。ちょっとそれ以上のことは、ちょっと事務局としては現段階の個人情報保護法の枠組みとしてはそのようなことになるのではないかと考えておる次第でございます。

○ 山下部会長

松阪委員。どうぞ。

○ 松阪委員

ただいまの問題でございますが、法規制の対象の分かれ目である顧客数5,000人の問題について申し上げます。

これについては貸金業界の信用情報機関である全情連ですね、ここではそのデータベースの事業の用に供するため、データベースにつながっているということで、業者の規模をかまわず、個人情報取扱事業者として法の規制を受けるものと認識しております。しかしながら、その数におきましては、全金連会員の約３割でございます。全金連は約9,000の業者がございまして、この5,000の線で引きますと、そのぐらいの数しか、業者しか網にひっかかりません。変な表現でございますけれども、私どもの方では業者の規模にかかわらず個人情報取扱事業者として法の規制を受けるものと考えまして、自主的な規制をつくっております。貸金業者は大手から小さいところまで、その事業者規模に大きな開きがありますけれども、個人情報保護の重要性にかんがみまして、すべての業者を視野に入れております。すなわち貸金業者の登録業者全員、協会員、協会員外問わず、全員が我々の自主ルールの対象であるということで、現在その方向でもって自主ガイドライン及びその実効性について策定中でございます。

○ 山下部会長

関委員。

○ 関委員

これは物の考え方というような次元の話に若干なるのかもわかりませんけれども、最初の基本的な目的だとか定義だとかいうようなことですから若干触れておきたいと思います。

先ほど上柳委員から例示のようなものは豊富にした方がいいというご意見がございましたけれども、私は産業界といいますか、経済界にいる人間としてこの問題をどう受けとめるかということなんですけれども、私は個人情報というものがどのようにして保護されて、漏えいしなくなるということが一番大事なことでございまして、そういう観点からいうと、やはり事業者そのものが自主管理をするというか、自主点検をするというか、本当に責任を持って、きちっとやるということが、打ち込まれるということが一番大事なことなんですね。限界的な部分の事柄についてあれこれいろんな規定を設けたって、それはほとんど意味のないことでありまして、徹底して法の精神を含めて自主管理を守っていくと、そして自主点検していくということがあくまでも基本だということは、今後の議論についてもよく踏まえていただきたいなと思うんですね。細かくすれば細かくするほど実効が上がるということではこれは全くないわけでありまして、そういう意味では例外事項のようなものは、特にベスト・プラクティスといったようなことから言うと、これは事業環境によって刻々変わりますし、技術の状況も刻々変わっていくものだと思うんですね。そういう意味では、この要綱のようなものと分けて、それはきちっと先ほどちょっと調査室長がおっしゃいましたけれども、メンテしていくとかいうように考えて、そういう基本精神をきちっとこの要綱の中で打ち込むということに徹していただきたいということを、事業の実感からちょっと申し上げておきたいと思います。

○ 山下部会長

ほかに、第１のパート、何かないでしょうか。

上柳委員。

○ 上柳委員

今、ご指摘があった点に一言だけなんですけども、細かくすればするほど効果があるというふうに思っているわけではないんですけれども、むしろある程度例示があった方が事業者側にとっても親切なのではないかと思っていることが一つと、それから後半の方、おっしゃったことは私は大事だと思って、これは３つ目のパートにかかわることかもわかりませんけれども、やはりこのガイドラインでこうしろ、ああしろということだけではなくて、むしろ各業者さんがそれぞれ、事業者がそれぞれ大事だと思っておられることは何なのかと。そのためにこういう施策をとっているということを、それこそ自主的な計画をつくっていただいて、それを消費者にもわかりやすいように開示していくと。その履行状況を見ていくというんですか、いずれにしてもこれ難しい技術的なコンピュータの進展も含めてありますし、一方情報は難しいですので、やはりその業態、あるいはその業者さんに応じた履行確保方法というのがありますので、そういうことを育てるような手法がもう１項目ぐらいあってもいいのではないかという感じは持ちましたので、ついでに言わせていただきます。

○ 山下部会長

高橋委員。

○ 高橋委員

金融機関の個人情報の管理と利用につきましては、消費者がかなりの不安を抱いているという現状があると思います。その意味では今回のガイドラインの要綱案は他分野、金融分野以外と比べるとやや厳しめになっているというのは評価できると思います。

今後、括弧書きでの例示とか検討に関しては、事業者は消費者の信頼を得るべく努力していただけるようなことを期待しております。そういう内容を盛り込んでいくべきだというふうに思っています。

例えば第３条に関しては、的確な例示をぜひしていただきたい。利用者から見て、自分の情報を渡すことで何が得られるのかということがわかることが必要だと思います。現在の事業者の例示で見ますと、例えば総合的な金融サービスのためとか、高度な金融サービス提供のためとか、マーケティングのためとか、やはりこういうのは困るというわけで、今回少し書いてありますが、預金の受け入れとか、かなり細かく書くという認識を金融機関の方に持っていただけるような例示が必要だと思います。

１項のお話をしましたが、３項につきましても、利用目的の特定について求められる事項としては、やはり同意をきっちりとるということで、その内容として例えば与信は受けるけれども、預金、証券、保険などのダイレクトメールサービスは受けたくないということであれば、それはきちっと消費者の方が拒否できるような形というのを考えていただきたいと思っております。

それから、２点目は第４、５、６条にかかわる部分なんですが、個人情報はやはり消費者個人のものであると。事業者から見ると取得かもしれませんけれど、消費者から見ると貸しているんだと。事業者は預かっているんだ、借りているんだという認識で管理その他していただきたいというふうに常々思っております。ですので、第４条の同意に関しては原則書面という形に関しては賛成でございます。

第５条の利用目的の制限に関しては、やはり先ほど第３条の１項と同じように具体的な例示をしていただきたいと思います。

第６条のセンシティブ情報につきましては、例外事項の定めというのをきちんとやるということはもちろんですが、生体認証情報の取扱いについては、やはり生体認証情報として、とっていいもの悪いものが多分あるのではないかというふうに思うのですけれども、そこの辺をきちんと精査していただくということと、事業者がこれをとるということはまさに個人情報の究極なものをとっているんだという認識でその管理に当たっていただく。その辺をきちんと書き込んでいただきたいと思います。

以上でございます。

○ 山下部会長

堀部委員。

○ 堀部委員

先ほど一般的なことを申し上げましたが、１点具体的なところで、先ほど寺田室長の方から今後どうするかということで、生体認証情報の取扱いがありました。これは第６条のセンシティブ情報のところに出ています。このセンシティブ情報をどうするのかというのはグローバルスタンダードにもかかわるところでして、個人情報保護そのものがグローバルスタンダードでどうするのかというのもありますし、ほかのいろんな分野で現在ではグローバルスタンダードとの関係で論じていかなければならないというところがあります。

個人情報保護の分野では、1970年代にこのセンシティブ条項をどうするのかというのが非常に大きな問題になりまして、1980年のＯＥＣＤのガイドラインをつくる際にも相当議論になりました。ＯＥＣＤガイドラインではセンシティブ情報というのは明確には上げておりません。その後、ほかでもいろいろ議論はあるのですけども、今日のＥＵの1990年の最初の提案がありましたときに議論になり、ヨーロッパでは大体これを入れてきています。1995年10月24日にこのＥＵ指令が採択されています。今から見ますともう９年前ということになります。そのときのセンシティブ情報の項目がここにあるものでして、その後、新しい技術の開発に基づいてできたこのバイオメトリックスに関するものなどをどうするのかというのは、ＥＵでも、あるいはほかの国でも非常に大きな、多くの議論があるところです。一方で生体認証は本人確認のためには非常に有効な手段でもあるということもあって、これをどう利用するのかがあると思うのですね。しかし利用する際にはそれなりのルールを定めて原則的にはそういうものは取り扱ってはならないとして例外的に認めていくのか等々、ここは恐らくほかのところでは明確には議論していないところですので、金融分野における本人認証との関係で特色にもなると思います。ＥＵ指令も95年採択ですのでもう９年前だということで、その後のいろいろな動きがあってこれをどうするのかというのはＥＵ内部でも議論があって、むしろ取扱いについて制限する方向であると理解していておいた方がいいかもしれません。

もう一つ、つけ加えますと、グローバルスタンダードという点でいいますと、アメリカとＥＵとが非常に多くの議論をしまして、今の95年のＥＵディレクティブに対して、アメリカはアメリカ独自の方法でということで、大変激しい交渉をしまして、2000年の７月にセーフハーバー・プリンシプルズで合意に達しました。このセーフハーバー・プリンシプルズは７つの原則を掲げていますが、それを理解するものとしてフリークエントリー・アスクト・クエスチョンズというのが15項目ぐらい上がっていまして、その最初にこのセンシティブデータを取り上げています。その中身の詳細は申しませんが、そのくらいにこのセンシティブデータをどう扱うのかというのは非常に大きな議論に国際的にもなっているところですし、グローバルスタンダードを特に必要とする金融分野におきましては、ぜひこのあたりはきちんと対応していただきたいと思います。

○ 山下部会長

そのあたりはこれから十分時間をかけて検討されるんだろうと思いますので、またよろしくお願いいたします。

まだご意見あろうかと思いますが、全体の議論をしなくてはいけないものですから、第１のパートにつきましては、とりあえずこのぐらいにしまして、続きまして、第７条、適正な取得から第13条の第三者提供の制限の部分につきましてご意見いただきたいと思いますが、いかがでしょうか。

では、まず森崎委員。

○ 森崎委員

まず、第10条の安全管理措置でございますけれども、第１のパートで若干の議論は出ておりましたが、先ほどの寺田室長の方からご説明がありましたように、ベスト・プラクティスを求めるということで、努力規定というのが６条を根拠にしてつくると、こういうお話なんですが、この中でこの10条の安全管理措置につきましては、かなり細かいことを別冊で作成するという、そういうお話がありましたけれども、この部分につきましては、余り細かいことをガイドラインで決めるというのは、各事業者の実態を反映しないということになるのではないかと思います。やはりこの辺は各事業者の自主的な判断に基づいてつくらせるということが至当でありまして、別冊をつくって細かくやるのがかつての大蔵行政ではありませんけれども、箸の上げ下ろしというところまで見るということになるんで、私どもとしましては余り関心しないというふうに考えております。

○ 山下部会長

松本委員。

○ 松本委員

先ほどの４条ともかかわることなんですが、13条でございます。

原則書面ということでございますが、同意についてですね。原則書面というのはよくわかるところでありますが、例外的などうにもならないものもあるというのをちょっとご認識いただきたいと思います。例えば手形の流通でございますが、振出人から裏書人にずっと流れていくというのは、当初想定しなかった第三者にその情報が渡るというのが必然的にあるとか、例えばよく金融機関である債権譲渡であるとか、こういった法に定められた取引の中でこういった問題ってあるので、原則書面というのはよく理解するところでありますが、そういったものをよく踏まえた上でのということであります。

それから、もう一つは先ほどオプトアウトの５条についての意見があればということなんですが、全く多重債務防止の観点から望ましくないと。この５条でございますが、したがってローンにおいて個人信用情報への照会、登録については同意をとっているものでありますので、オプトアウトの権利を与える必要はないという、多重債務防止の観点から意見を述べさせていただきました。

以上でございます。

○ 山下部会長

原委員。

○ 原委員

第三者提供と多重債務はちょっとまた別途にして、第８条と９条のあたりで確認というか、質問をさせていただきたいと思いますが、実際に、私が例えばある銀行で取引に入っているとしますね。それで一応その同意をして、その特定の目的で利用をされていると。ですけれども、ある段階でまた違う目的で利用したいというふうに金融機関側が、銀行が思われた場合は、この第８条に照らし合わせると、必ず本人に通知。あるいは公表ということになるわけでしょうかというのが一つ。

それから第９条でデータ内容の正確性の確保ということが書かれているんですけれども、銀行の窓口販売で投資信託を買った場合、そのとき実際に最初買うときには必ずこの正確性というところを販売された銀行の方でも見られるというふうに思うのですけれども、ずっと継続をして投資信託とか、そういうものを保持していると、そのうちに、例えば今まで勤務していたけれども退職をしてしまったと。自分の状況が変わると。そうすると、こういったものの場合、適合性の原則の話がありますけれども、適合性が例えば５年とか10年たったときに変わっていってしまう、本人がですね。そういう場合に責任というんでしょうか、やっぱりそれは自分が申し出るということになるのか、それとも販売をした銀行なのか、それとも証券会社から委託をしての投資信託というんだったら証券会社がこの正確性の確保というところを担保するというようなことになるのかというところが、何かちょっと考えられてのこの条文になっているのか、まずそこまでの検討でないのかというところがお聞きしたいというふうに思います。

○ 寺田企画課調査室長

第１点目のその利用目的の変更でございますが、これは先ほど申し上げたガイドラインの性格上、特に解釈を示す必要性がない場合にはガイドラインに書いておりませんが、法そのものに戻っていただきますと、資料の３に入れております個人情報保護法そのものの第18条３項の問題になろうかと思います。第18条第３項は５ページでございますが、５ページの中ほどやや上に「個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない」となっておりますので、これは私どものガイドラインの問題というよりはまさにこの法律の解釈もしくはこの法律に基づく運用が求められるという性格のものではないかと思っております。

続きまして、投資信託の例えば残高ですとかもしくは運用状況とか、そういうデータを正確かつ最新に保つとともに、取得者のデータを正確に保つということにつきましては、これは一つは利用目的の達成に必要な範囲内においてというところの恐らく解釈になるんだと思いますが、若干これは私どもも一般論で恐縮ですけれども、利用目的によって最新時点の情報が必要なものについては当然事業者は最新時点の情報を更新しなければならない。他方、過去の一時点の情報が必要なものについては、その過去の一時点の情報が最新であればいいということで、ちょっと投資信託の個別の内容についてどうかというのは、私もまだ確固たる準備をいたしておりませんですけれども、その金融商品の状況とその利用目的の達成に必要な範囲でその利用目的に応じて必要な更新を行う必要があるということではないかと思っています。

○ 山下部会長

すっきりしませんか。

○ 原委員

また後からお聞きいたします。全体を見て、取得時についてはかなり配慮された規定になっていますけれども、ずっと取引っていうのは継続するし、その経過段階で必ずうまくチェックというんでしょうか、それがかかるようになっているかどうかというところで再点検をお願いしたいという意味です。

○ 山下部会長

ほかにいかがでしょうか。

上柳委員。

○ 上柳委員

13条の後半の方にかかわることかもわかりませんが、いわゆる信用情報、与信情報の関係で、これはきょう、資料の１でもいただいている産構審の方でも議論されているようなんですけれども、やっぱりいわゆる信用情報といいますか、どこの貸金業者から幾ら借りていてというような情報というのは特殊性のある情報だというふうに考えた方がすっきりするのではないかと、私は考えております。例えばきょういただいたものの13条の５でしょうか、返済能力に不安のある個人が信用情報機関への提供の停止を求めた場合には、これはその方には与信を失いといいますか、貸し金の提供をしないということで割り切った方がいいのではないかと思っています。ただその場合でも、それ以上の個人情報の扱いについてはこの個人情報保護法の原則に戻ってという整理がすっきりするのではないかと私は思っているんですれけれども、多分これ産構審の方でかなり議論されていると思いますので、そことのすり合わせが必要ではないかと思います。

○ 山下部会長

はい。

○ 原委員

産構審の方に私、傍聴で出席をさせていただきました。特に信用情報に絞って議論をなさっていたので、ここの第三者提供のあり方、この与信情報についてはかなり活発な議論をなさっていて、私が話すより堀部先生が話された方がいいようには思うんですけれども、産構審のきょうの報告、資料１で出されているのですけれども、２ページのところに、（３）第三者提供のあり方として、一番最初のポツのところに、共同利用というところでの位置づけでの与信情報の利用というんでしょうか、与信情報を利用して貸し付けをするかしないかというのをすべきではなくて、やはり第三者提供と位置づけるべきだろうというような意見が出ておりました。

それで、きょう出された金融庁の方のガイドラインを見ますと、第13条の３項のところに、個人信用情報機関に対する提供についてということで、ここは第13条が第三者提供の制限というふうになっておりますので、金融庁の側では、こういったものを第三者提供の方に位置づけて今回は提示をされているということになると思うんですが、産構審での議論はもう一歩ちょっと進んでおりまして、共同利用ということにはそれぞれの例えば貸金事業者がそれぞれやはり競争しているわけですね。貸し付けに対して競争しているわけなので、そこでの共同利用という概念はあり得ないだろうと、なじまないだろうということで、第三者提供というふうに言われて、その上はまたもう一歩進められて、そういう特殊性を持つからこそ個別法を信用情報分野については考えたらいいのではないかというようなご意見ですとか、それからこの二つ目の白丸のところに信用情報機関間の情報交流のあり方というところも、これも意見が出されておりまして、なかなか業界内でもどのようにするのかということが今の段階では結論を出すのは難しいというようなご意見なんかも出ておりましたので、ぜひこの部分については経済産業省ともそれぞれの主務官庁別にはなっておりますけれども、平仄を合わせてしっかりした結論が出るような検討で進めていただきたいというふうに考えております。

○ 山下部会長

堀部委員。

○ 堀部委員

今、原委員言われたので少し言いますが、私は議論をしていた方でして、むしろ客観的に聞いていていただいて要約していただき、大変よくまとまっていましたので、その方が理解しやすいかと思いますが、この第三者提供に関する法第23条、これは今まで信用情報機関の個人情報、個人信用情報というのをどういうものとして位置づけるのかというのは歴史的にも随分議論をしてきまして、法がない状況で本人の同意を原則とするというのは私が80年前後から主張してきて、むしろそれが一般にプラクティスとして出てきたという状況があります。それが今度、23条という形で、第三者提供なのか第三者提供に当たらない共同利用なのか、ここはぜひここでもきちんと議論していただいて、どういうものとして位置づけるのかということがあると思います。経済産業分野のガイドラインの中で、特に共同利用につきまして、ガイドライン検討委員会でいろいろ議論したのですが、経済産業分野では各共同利用の適切な例というのが思い浮かばないということもあり、また信用情報分野についても、国会での審議の際にも信用情報機関の信用情報の交流などは共同利用に当たるような趣旨の説明なども政府もしていたと思いますが、後になって議論をしていきますと、むしろ本人の同意を得て利用しているものですから、本人同意にかかわらしめているではないか、そうすると第三者提供するときの本人同意であって、きょうのガイドライン案で出てきます13条６項の23条４項３号にはあたらないのではないかと、こういう議論などもあって、このあたりははっきりこれだという基準がなかなか示されないところがあります。

経済産業分野では一つ上げている、先ほどの具体例をどれだけ例示を挙げるのかということにもかかわってくるんですけれども、今手元に資料がないのですが、グループ企業とか親子兄弟企業間のものを、それから外国企業との例も挙げているのですけれども、それでいきますと、この前の産構審の個人信用情報小委員会における発言の中には、その例からするとこの信用情報機関のものはこれにあたらないではないか、全然別の会社、競争関係にもある会社ですから、それに当たらないではないか、だからこれは共同利用というふうにはとるべきではない、こういう意見がありました。しかしここは特定のものとの間の共同利用になりますので、法の解釈としてそれでいけるのかどうかということもあって、経済産業省の方でも議論はしますが、ここでもぜひそのあたりは性格づけを議論していただきたいと思います。

それに関連して、この共同利用の例というのはほかにもいろいろ今後考えられると思います。先ほどのセンシティブ情報のところで、保険業の適切な業務運営に用いる場合というのがありますが、これは前から国民生活審議会の個人情報保護検討委員会で1980年代からずっと議論になってきているところで、例えば損保におきましてもいろいろ情報交換をしている、それはどう見るべきなのか。それから生保においてもいろいろ入院特約などについて議論があるということも伺っております。そういうものを共同利用ということでとらえることが法的には可能なように思いますけれども、このあたりをどういうものとしてここで位置づけるのか。それから例示をここで入れるのか入れないのか、それによって関係業界におきましては今後どういうふうにシステムを構築していくのかということとも非常に大きくかかわるところだろうと思いますので、そういうことが産構審の方の議論とも関連していろいろ出てくるということを申し上げておきます。

○ 山下部会長

岩村委員。

○ 岩村委員

第三者提供、13条の話ですね。このあたりというのはやはり定義とかこれは何かということを明確にするような努力がかなり要るだろうなという気がします。例えばですけれども、セキュリタイゼーションの目的で債権の譲渡が行われたというようなときには、だれが第三者であってだれが個人情報取扱業者なのかなんていうのは、かなり考える必要がある問題だろうと思うんですね。私の感じではこのケースぐらいだと、債権譲渡を受けた者は個人情報を引き継がないで、例えば最初のいわゆるオリジネーターが引き続き債務者管理をしているのであれば、個人情報取扱事業者は最初のオリジネーターであって、債権譲渡に関しては個人情報は引き継がれていないというケースもあるだろうし、そうでないケースもあるだろうと思うんですね。その場合それぞれについて同意が要るのか要らないのかと。

例えば個人情報取扱事業者の地位が変わっていなければ同意は要らなそうな気がするんですけれども、そうであるケースとないケースというのを細かく分けていくと、第三者とは個人データを提供しようとする個人情報取扱事業者及び当該個人データに係る本人のいずれにも該当しない者という定義だけでは、先ほども今度は債権譲渡といっても、セキュリタイゼーションのような目的ではない、例えば手形の譲渡とか、特に手形の譲渡でも銀行業なんかの実務だと取り立てのために必要な手形の譲渡というのも指示があるわけでして、そのときに個人情報データの提供であるということを条件にされると、多分決済そのものはうまくいかないかもしれないと。いろんなケースが出てくると思うので、そのケースそれぞれについては実務が混乱しないような整理が、ガイドラインというものの性格上、特に必要であろうという気がいたしますのでよろしくお願いいたします。

○ 山下部会長

原委員。

○ 原委員

１点だけ補足で、岩村先生のお話のとおりと思っておりまして、特に第13条の６項のところの、これ法第23条第４項第３号についての部分を引用してらっしゃるわけですけれども、この特定のものとの間での共同ということで、特定のものというのは法律の文章をそのまま持ってきていらっしゃるんですが、ここはやはり明確にちょっとしていただかないと、パブリックコメントをとられたときもちょっと意見が出しにくいので、すみません、岩村先生の発言に追加でお願いしたいと思います。

○ 山下部会長

どうぞ。

○ 白井委員

信用情報機関について、産構審の方でも議論があったという説明をいただきましたが、実際に信用情報機関を利用する立場として、まずは、信用情報機関が複数になっているために不便が生じていることとか、１件の与信情報が複数で保有され正確性が損なわれることがあります。そのことは結果として消費者の個人情報保護にならないので、多重債務者の抑制であるとか、適正与信という観点から、別のところで議論すべきことではないかと。したがって信用情報機関についての金融庁のガイドラインとしては、基本的な条項の内容にとどめていただきたいと思います。

それから、この部分は銀行協会の個信センターでも自主ガイドラインを出されておられますし、いずれ見直されるのではないかと思いますので、できるだけそういう観点で整理していただきたいと考えています。

以上です。

○ 山下部会長

今松委員。

○ 今松委員

10条の安全管理措置のところに関連してなんですけれども、こういう形でこれが当初の説明ですと別冊と考えておられることに対していろいろ議論が幾つか出たんですけれども、やはりこの10条、後の方にいけば22条の漏えいのところありますけれども、この問題に関していえばやはり個人金融情報についてのかなり特殊性といいますか、いろんな意味で影響が大きいということを考えたら、やはり10条という形、これが適切にこの趣旨のとおりにやられた場合にはそれで十分に目的達することも考えられると思うわけですけれども、やはりある意味少し、今、議論、既に長年やられている中では、個別法等々の中でどのようにこれに対応していくかということをやはり含んだ上で考えていく必要があるんではないか。特に22条等々の漏えいのところも一般論として、当然現法には罰則規定あるわけですけど、よりそこのところというのは突っ込んだものが必要ではないかというふうに考えております。そういうあたりも議論お願いしたいと思います。

○ 山下部会長

それではまた時間もございますので、第２のパートはこれぐらいにいたしまして、最後、第３のパート、第14条の保有個人データに関する事項の公表等から第23条の個人情報保護宣言の策定までの部分につきましてのご意見をお願いしたいと思います。

原委員。

○ 原委員

何度も質問していて、なかなか明確な回答が出てこないところで大変恐縮なんですが、第15条の開示のところで、今回、として具体的に「当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼす場合」という文言が入ってきております。これは個人情報保護法のもともと大綱を検討したときの第１回目のときの議論もこの話で相当な時間を費やしたというふうに記憶をしているわけなんですけれども、具体的にどのようなことかということですね。一つ、私が前回も前々回も少し事例として出させていただいているのが、生命保険の場合の医療情報、カルテ情報ですね。これは先ほど冒頭のところでも実際に不正な請求がないのかどうかとか、そういう意味ではカルテとか、そういうものをごらんになるという、多分医師法との関係を整理されているんだろうというふうに思うんですけれども、そのときに本人が疑義があるというふうに感じ、考えられたときに、生命保険会社に対して本人開示の要求、請求をなさった場合、これはやはりこのに該当をして開示されないということになるのかどうかというようなことですね。

それから、先ほど貸金業の方でもかなりセンシティブな情報も扱われるということになりますけれども、そういうようなものもここに入ってくるというようなことになるのかということを確認させていただきたいと思います。

それから、第17条で利用停止というのがありますが、これが２点目の質問なんですが、４行目のところに「多額の費用を要する場合」という文言が入ってきております。この多額の費用を要する場合というのがほかの分野のガイドラインでもこのように入っているのかどうか、それから実際にこの多額の費用というのはどのあたりを考えてこの文言というのが扱われているのかということの２点をお聞きしたいと思います。

○ 寺田企画課調査室長

１点目のご質問でございますが、まだ私どものガイドラインを正確に個々の事象にどのように適用するかということは、まだこれ要綱の段階でございますので、あくまでも事務局の現段階でのイメージというふうにご理解いただければ結構なんですが、２の「当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼす場合」と申しますのは、例えば与信審査内容などの事業者が付加した情報の、つまり取得した個人情報に加えて付加した情報の開示請求を受けた場合とか、保有個人データを開示することで、試験の実施とか評価の適正な実施が妨げられる場合というようなものを考えておりまして、例えばその開示すべきデータの量が多いとか、そういうことのみでこれに該当するものではないのではないかというふうに考えております。

ご指摘の保険会社に対して医療情報で疑義があるというふうなお話があったときにこれをどう考えるかということでございますが、前回のご審議の中で部会の専門委員の方からは、これは第１号該当ではないかというようなご指摘があったところでございます。これにつきましては、現在、厚生労働省の方の診療情報の提供に関する指針では、診療記録の開示を拒み得る場合の考え方として、診療情報の提供が患者本人の心身の状況を著しく損なうおそれがあるときについては、このご本人に対しての診療情報の開示を拒み得る場合というふうにお考えのようでございます。そういう意味では、本件は医療情報として医療機関が保険会社さんにお出しになられた、そのときの考え方、つまり医療情報としての考え方と平仄のあった取扱いにしませんと、これは全体として個人情報の取扱いとして適切なものになりませんので、現在検討しております医療分野のガイドラインにおいて、この拒み得る場合の考え方がただいまのような考え方になって、それがこの15条１項のものとある意味では平仄がとれているのかどうかというようなご議論になるのではないかというふうに思っております。そういう意味では若干、この部会での議論のみならず、そうした側面があることはぜひご理解賜りたいと思っております。

「多額の費用を要する場合」でございますが、これは恐縮でございますが、法律にある言葉でございまして、先ほどと同じように、資料の第３としてお配りしております法律をごらんいただきたいと思うのですが、８ページの法の27条のところでございます。８ページの第１項の中ほどのただし書き、「ただし、当該保有個人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって」ということを受けております。したがいまして、ほかのガイドラインも事務局の知る限りでは同じような考え方を使っているわけでございます。ただ、これは多額の費用が必要であればすべて利用停止をしなくていいという意味ではないと私どもは理解しておりまして、内閣府の方でおつくりになっておられる、本件の内閣府の個人情報保護法をつくられた当時の事務局の方が中心になってつくられた研究会から出ているコメンタールによりますと、例えば個人情報取扱事業者が保有個人データ中に不正手段により取得した個人データが含まれているものを印刷物等の資料の形態で大量に配付してしまい、その回収、刷り直し等に多額の費用等が必要な場合に、その事業者が利用停止等を行うことに替えて修正資料を別途配付する等で権利利益を図ることが考えられると、そのような解釈と承っております。

○ 山下部会長

よろしいでしょうか。

○ 原委員

法律の中にあるということで、ほかのガイドラインにも入るということですけれども、できれば金融庁が出されるガイドラインではもう少し明確な、せっかくそれぞれの分野で出されるわけですから、明確なラインというものも必要かなというふうに感じております。

○ 山下部会長

ほかにいかがでしょうか。上柳委員。

○ 上柳委員

１つは若干細かいことになるかもわかりませんが、19条２項のなお書きの代理人による開示のところなんですけれども、代理人にもいろいろあるというようなことが何となく想像はつくんですけれども、これは施行令の方は代理人による開示を認めている場合というのは、やはりご本人が代理人に開示を委任しているという場合ですので、何かこのなお書きというのは妙なような気がしております。本当にご本人が代理人に委任したかどうかを確かめるということは当然かもわかりませんけれども、ちょっと違和感を感じました。

それから、22条の漏えい事案への対応というところが、これがなかなかまたこれも具体的な工夫が難しいのかもわかりませんけれども、関心が高いところです。利用者なり個人の方、一般からとらえますと、漏えいした場合にはなるべくそれこそたくさんの豊富な事実を早急に公表してほしいというのはあるんですけれども、一方多分事業者の側にとっては、余り公表し過ぎるとその後のいろいろな処分との関係でどうなるのかという心配があったり、あるいは当該個人にしてみれば、余り世間に発表されるのは困ってしまうとか、その方のプライバシーがそこで侵害されても本末転倒ですので、ここはすごく工夫が必要なところで、注文をつけているだけで具体策を出せないのがもどかしいですけれども、よくよく考える必要があると思います。

ただ、の漏えい等の対象となった本人に速やかに漏えい等の事実関係を通知すると、これはもう絶対必要ですので、速やかにという形に修文していただくぐらいのことで対処していただきたいと思うんですが、ここはこれから具体的にはどういうふうに考えていくんでしょうか。この程度でパブリックコメントにかけるということになるんでしょうか。

○ 寺田企画課調査室長

パブリックコメントにかける際には一度また、この審議会でのご意見を踏まえて、さらにパブリックコメントで幅広く意見を賜って、またその幅広く賜った意見をまた審議会でご説明するという、そういう手続になりますので、ちょっとパブリックコメントにかける段階でのイメージからまた最終的な議論というのがまたあるのかもしれませんが、今の段階で考えておりますこととしては、今、上柳委員おっしゃったとおりで、及びとというのはちょっと性質が違うのかなというのは事務方としても認識はしております。いろいろな他の分野のガイドラインでありますとか実務的な取扱いを見ましても、というのはやはり二次被害の防止や類似案の発生回避等の観点から、ある意味ではそれに適切なようにお出しするということではないかと思っています。そういう意味で、他のガイドラインには明記していないところもございますが、事実関係のみならず再発防止策を早急に公表するというのは、まさにそういう今後の被害防止の観点からという観点では、事実関係もさることながら、今後このような形で防止をするんだということをご公表していただくことが重要なのではないか、そういう問題意識でございますので、ご指摘はごもっともでございます。文章の点でどのくらい工夫できるのかというのはまたご審議賜ると同時に、そうしたパブリックコメント等のご意見も踏まえて考えてまいることかと思っております。

○ 山下部会長

どうぞ。

○ 堀部委員

今の点はこの基本方針に書いてあるのがここに来ているのではないかと理解しましたけれども、ほかの省庁ではできるだけこういう形で対応してほしい。具体的な個人名を出すわけではなくて、こういう事案があったということですので、そこでプライバシー侵害ということは起こらないだろうと思います。

それから代理人の申請、これはまたよく議論があるところで、この前の産構審でも議論したのですが、そもそも論で言うと、個人の人格権にかかわる分野に財産権にかかわる代理人の概念を借用してきているところから議論が出てきます。日本の場合には昭和63年、1988年の行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律で法定代理人による請求を認めたものですから、その後、この代理請求というのが入ってきました。果たしてそれでいいのかということは現場では非常に大きな問題になっていまして、東京都においては、例を挙げればきりがないほどあるのですけれども、例えば都立高校の生徒と親との関係、親というのは法定代理人ですから、自分の子供に関するものについて何でも開示請求できる。そうなった場合に、親子関係の問題にいろいろありまして、大変だということで、東京都も随分議論しました。そうなりますと、そこで今言った財産権に関する代理人の概念を人格権に関する分野に入れてきていいのかというようなところまで議論をしているところでして、このあたりは東京都からしますと、内閣府にはパブリックコメントで、政令案のときにも意見を言っているのですけれども、全く省みられなかったというようなことで、実際に担当している方は非常に残念がっているというところもあり、議論していただかなくてはならない論点です。またそれを受けて、情報は代理人に開示することになじむのか、あるいは本人にしか開示すべきではないのではないか。たまたまこの開示請求を代理人にやってもらって本人に開示するということもあり得るのではないか。そうするとここの原案に出でいるような考え方もあるかと思いますし、前回も例えば預金残高についてもどうなのかということがありますので、そのあたりはぜひここでもきちっと議論をしてまとめていただく。それはまた一つの指針として非常に重要な意味を持つと思います。

○ 山下部会長

ほかにいかがでしょうか。

もしございませんようでしたら、若干時間ありますから、全体を通してなおご意見ございましたらいただければと思いますが、よろしいでしょうか。

それでは、これ以上特にないようでございますから、以上をもちまして本日の議事を終了させていただきたいと思います。それで今日の議論を踏まえてなおこの要綱、ガイドラインの要綱を今後詰めていただくことになると思います。

それでは事務局からご連絡などありましたらお願いします。

○ 寺田企画課調査室長

それでは、次回の金融審議会特別部会の日程等につきましては、追ってご相談の上、ご連絡させていただきますので、何とぞよろしくお願いいたします。

○ 山下部会長

それでは、本日はこれで終了いたします。どうもありがとうございました。

―了―