金融審議会金融分科会特別部会（第２回）議事録

平成１３年４月１１日
金融庁総務企画局

○ 倉澤部会長

それでは、定刻を回りましたので、ただいまから、金融審議会・金融分科会・特別部会の第２回目の会議を開かせていただきます。

本日は、皆様、ご多忙のところご参集いただきましてありがとうございました。

それでは、お手元の議事次第に従いまして、早速、議事を進めさせていただきます。前回は個人情報の保護に関する法律案の内容についてご説明いただいた後、金融分野において取り扱われる個人情報の特性、取り扱いの現状と問題の所在、そして、今後、検討を進めていくに当たっての基本的考え方について審議を行いましたが、本日は、もう少し具体的な検討を行いたいと思います。

そこで事務局に、個人情報保護法案により個人情報を取り扱う金融機関等に課される義務規定と、金融機関等における個人情報の取り扱いに関する現行の自主ルールとを比較していただき、それをもとに、今後、金融分野における個人情報保護等についてどのような規律が求められるのかということについて、自由討論を行っていただきたいと思います。

なお、お手元には前回配布いたしました資料、「金融分野における個人情報保護等の在り方・検討に当たっての視点」も配布しておりますので、自由討論の際には、前回に引き続き、今後検討を進めていく上での基本的考え方など、総論的な事項についてもご意見等をいただきたいと思っております。

それでは、まず事務局よりご説明をお願いいたします。

○ 棚橋調査室長

それでは、ご説明をさせていただきます。

今、部会長からもお話がありましたとおり、お手元には本日のこれからご説明に使わせていただきます２－１という資料番号の振ってありますＡ４横の表と、前回の１回目の部会で、ちょっと最後は駆け足になってしまいましたが、ご説明をさせていただきました１－４という資料をあわせて、さらに個人情報の保護に関する法律の法案を本日もお手元にご用意させていただいているところでございます。

それでは、ご説明を始めさせていただきます。本日は、いわゆる基本法と従来は言われておりましたこの法案の一個一個の義務とほぼ見合うものが現在の金融機関等においてどういう形で自主ルールで定められているかということを対比的に見ていただきたいと思っております。もちろん自主ルールというのはいろいろあるわけでございますが、一応、本日は、金融情報システムセンターがお作りになった「取扱指針」を１つの代表例として挙げさせていただきました。

それではまず１ページから始めさせていただきますが、まず最初に、個人情報取扱事業者というので、この法律上の実体的な義務がかかる対象事業者でございますが、前回もご説明いたしましたとおり、「ただし書き」のところにありますように、一言で言えば、小規模な事業者については義務がかからないというのがこの基本法案の特色であろうかと思われます。ただし、「注」にも書いてございますが、この個人情報取扱事業者から除外された小規模事業者も、あくまで第２章の基本原則の規定は適用になるわけでございます。

右の欄でございますが、ここでは、金融情報システムセンターの「取扱指針」の対象となる「金融機関等」とは何を指すかということが第２条の定義で書かれてございますので、そこをご覧いただければと思います。すなわち、一目でわかりますのは、いわゆる貸金業専業者の方については、前回の１－４の資料の３ページにも掲載しておきましたが、全国貸金業協会連合会の方で、別途、独自のガイドラインを定めていらっしゃるということでございます。

具体的な義務でございますが、まず第20条の「利用目的の特定」ということにつきましては、その利用目的をできる限り――可能な限り特定する義務を規定しております。ちなみに、［注１］にございますとおり、この法案上、「取扱い」という用語の意味は個人情報に関する一切の行為を含む概念でございますし、「利用目的」の「利用」というものには、もちろん自らが何らかのビジネス上の用途に使うというだけではなくて、ビジネスとして第三者に提供することも「利用」でございます。利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えてはいけないことになっております。

一方、現在のＦＩＳＣのガイドラインによりますと、第５条におきまして「業務上必要な範囲内で個人データを収集するものとする。」という規定が置かれておりまして、その説明が――明朝体で印字している部分でございますが、「業務上必要な範囲内」とは具体は具体的に言えばどういうことかというのがここに４つほど書かれているわけでございます。

(1) 顧客の申込み又は契約締結に当たり、商品又はサービスが個々の顧客に適合してるか判定する場合、

(2) 既に締結している契約を適切かつ安全に履行する場合、

(3) 顧客のニーズを把握し、それに適合した商品及びサービスを開発し、又は提案する場合、

(4) 法令の定める義務を履行する場合、

となっているわけでございまして、これは強いて言えば利用目的がこういう形で例示されているのではないかと思われるわけですが、これが今回の法案で言う「できる限り特定」という面から見たときにどうかということがあろうかと思われます。

２ページに行っていただきまして、３の「利用目的による制限」でございますが、「あらかじめ本人の同意を得ないで特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない」。逆を言えば、20条の義務に基づく特定された利用目的以外で利用したい場合には、その本人の同意が事前に必要であるということでございます。

ただし、あらかじめ本人の同意を得ないでもこの必要な範囲を超えて取り扱うことができる場合というのはその下の［適用除外事由］でございまして、

一 法令に基づく場合、

二 人の生命、身体又は財産の保護のために必要がある場合であって、かつ、本人の同意を得ることが困難であるとき、

三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき、

四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき、

この４つが挙げられているわけでございます。

一方、現在のＦＩＳＣのガイドラインでは、ここがやや違っておりまして、第６条第１項の［規定］の説明によりますと、「個人データの収集に際しましては、顧客の同意を得た利用又は提供の目的の範囲において、個人データを利用し又は提供するものとする。」となっておりまして、まさに顧客から個人データを収集するに際して同意が要ることになっております。一方、この個人情報保護法案の方は、個人情報取扱事業者が情報を取得するに当たっては何ら同意が必要ではございません、そこが違うところでございます。「前項の規定にかかわらず、次の各号のいずれかに該当するときは、個人データを利用し又は提供することができる。」という規定が第６条第２項でございまして、やはりここでも４つの場合を挙げておりまして、

一 顧客の同意を改めて得た場合、

二 法令の規定による場合、

三 顧客の利益のために必要である場合、

四 公共の利益のために必要である場合、

この４つの場合が掲げられております。

これだけですと抽象的ですので、それを説明の中では例示という形で、その下に(1)～(4)、それぞれ上の一号、二号、三号、四号に対応する形で例示が挙げられております。(2)～(4)はお読みいただければなるほどなという例であろうかと思いますが、ポイントは(1)の規定であろうと思います。顧客の同意をあらためて得た場合にはそれとは違う目的で使えるということなのでございますが、(1)を見ますと、「契約手続きの際に収集した個人データを、第三者に提供するため、あらためて同意を得た場合」という中で、グループ会社は第三者に当たらないという形に現在のＦＩＳＣのガイドラインはなっております。

３ページに行っていただきまして、「適正な取得」、第22条でございますが、これは現在のＦＩＳＣのガイドラインも同様の規定が置かれておりまして、具体例として、「収集目的を偽って」――うその目的を言って収集をした場合ですとか、「第三者から個人データを収集する場合に、その第三者が漏洩等の不当な行為をしていることを知った上で収集した」とか、こういうことが例として挙げられているわけでございます。

次に、５の「取得に際しての利用目的の通知等」でございますが、基本法案では、本人から直接書面に記載された当該本人の個人情報を取得する場合には、あらかじめその本人に対して利用目的を明示する義務がかかっておりますが、それ以外の場合、つまり第三者から取得する場合、あるいはパブリックな情報を取得する場合、あるいは契約の過程で自然に発生する情報取得する場合は――このゴシック体のところに当たりまして、あらかじめ利用目的を公表するか、あるいは、事後、速やかに本人に通知あるいは公表する義務がかかっております。

それから、利用目的を相当の関連性を有すると合理的に認められる範囲内で変更した場合には、それについても本人への通知又は公表の義務がかかっておりまして、［適用除外事由］で、ここに挙げられております第一号～第四号の場合がやはり挙げられております。すなわち、この第一号～第四号に該当する場合には、この利用目的の本人への通知もしくは公表の義務が免除されることになります。

これについての現在のＦＩＳＣの取扱いでございますが――先ほどとやや繰り返しになるところがあるかもしれませんが、「個人データの収集に際して、個人データの利用又は提供の目的を明確にし、顧客の同意を得るものとする。」となっております。ＦＩＳＣのガイドラインでは、この「利用」という言葉は提供を含まない概念でございますので、「利用」というのは自社内で使う場合、「提供」というのはほかの人にあげる場合ということであろうかと思いますが、いずれにしてもその目的を明確にした上で顧客の同意を得るというところがポイントであろうかと思います。

その説明によりますと、まず、「例えば」ということで、次のような場合には、明示的な方法による顧客の同意が要ると、つまり、収集に当たっても顧客の同意が必要だということでございます。第１は、後ほどご説明をいたします、個人信用情報機関等の情報を与信判断等に利用する場合及び個人信用情報を個人信用情報機関等へ提供する場合となっております。第２といたしまして、第三者に提供する場合。ただし、ここもグループ会社は除かれております。

では、明示的な方法とはどういう仕方かというのが(2)でございまして、申込書又は契約書等で収集する場合だったら書面により同意を得る、電話又は面談であれば口頭による、コンピューター等により収集する場合には本人確認を行った上で電子的手段により同意を得る、こういうふうになっているわけでございます。

さらに(3)をご覧いただきますと、「次の場合には、顧客が個人データの利用又は提供の目的について同意しているものとみることができる。」という、まことに微妙な書きぶりをしておりまして、私ども役人から見ますと、いわゆるみなし規定であろうと思っておりますが、同意があるものとみなせるという場合を規定してございます。まず、「利用又は提供の目的が一般的に明らかである場合で、顧客がその情報収集に応じるとき。」ということで、これはある意味で言いますと――ちょっと意味するところとは 違うんで 違うんですが、左の欄で言う［適用除外事由］の四に近いようなイメージで作られているのかなと思うわけでございますが、そういう場合でございます。具体例として、「契約書の表題等で、顧客が目的を理解している」と――その利用目的あるいは提供目的を理解していると判断される場合、あるいは、「市場調査又は統計処理等に利用する場合」となっております。

次に、、第２の類型として、「法令あるいは顧客によって公開された書類等からデータを収集する場合」ということで、いわゆるパブリックなインフォメーションを収集する場合。

といたしまして、「口座情報又は取引履歴等、契約締結に伴い収集したか、あるいは契約履行の結果自然に生じた個人データを業務上な必要な範囲内で利用する場合」、この場合も顧客の同意があったものをみることができることになっております。例として、「顧客に適合した商品及びサービスを開発し、又は提案する場合」、それから、「普通預金残高等既に収集済みの情報を与信判断の参考とする場合」となっております。

次に、、第４の類型といたしまして、「収集した個人データを金融機関等又はそのグループ会社が、ダイレクトマーケティング――ＤＭの目的で利用する場合」となっております。

さらに(5)で、「申込書又は契約書の契約手続きの際に、契約締結又は契約履行に必ずしも必要とは言えない個人データをあわせて収集する場合」があるわけでございますが、その場合には、この部分についてはあくまで「その収集は任意であることを顧客が理解できるよう努めるものとする。」とされております。前回の部会の際に、原委員からだったと記憶いたしておりますが、消費者にお尋ねになると、不必要と思われる情報も取られているという意見があるということをこの前ご発言があったと記憶いたしておりますが、その辺の問題はこの(5)のルールがどこまで守られているかということとも絡んでくるのではないかと思っております。

最後に(6)で、「個人データの収集に際して、顧客が同意の拒絶又は反対の意思を表明した場合には、それに対する金融機関等の対応について説明を行う。」というふうになっているわけでございます。

さらに、第５条第５項によりますと、「個人データを第三者から収集するに当たっては、顧客の利益を不当に侵害しないようにするものとする。」とされているわけでございます。

それでは５ページに行っていただきまして、６の「データ内容の正確性の確保」につきましては、現在のＦＩＳＣのガイドラインも同趣旨の規定が置かれているところでございます。

次に、７の「安全管理措置」でございますが、個人情報保護法案では、抽象的に、「安全管理のために必要かつ適切な措置を講じなければならない。」という義務を課しているわけですが、ＦＩＳＣのガイドラインでは、第７条におきまして、「業務上必要な期間を経過した後は、個人データの廃棄その他の処理を行うものとする。」となっておりまして、その説明によりますと、「廃棄その他の処理」とは、廃棄すること、削除すること、又は一人一人の個人が識別できない状態にしてしまうことを言うとされております。すなわち、この基本法案では、業務上必要でなくなった個人データについて死蔵する――そのまま保管しておくと――死蔵しておくことは何ら問題がないんですね、それは認められているといいますか、死蔵していること自体は問題にはならないということかと思うんですが、ＦＩＳＣのガイドラインでは、必ず期間を定めて、期限が来たら一定の廃棄処分をしろということになっているわけでございます。

あと、第８条は、この法案と同趣旨の規定を置いたものでございますし、さらに、ＦＩＳＣにおいては、この安全管理措置については、別途、別の指針を定めているところでございます。

それでは６ページに行っていただきまして、「従業者の監督」でございます。ここにつきましては、ＦＩＳＣのガイドラインでは、第11条におきまして「管理体制の整備に努めるものとする。」となっておりまして、その説明によりますと、「金融機関等は、収集した個人データ」――その個人データには外部委託先及びグループ会社が管理している個人データも含む、となっております。そこも含めた取扱いについて、あくまで金融機関等が責任を負うんだとなっております。「個人データを保護するために、個人データの保護に関するルールの作成や、これに沿う形での事務の取扱い等に関するルールの作成に努めるものとする。」ということで、各社ごとに――事業者ごとに――いわゆるプライバシーポリシーを定めること、あるいは、それに基づく具体的な事務取扱い上のマニュアルみたいなものを定めろということであろうと思いますが、そういう規定が置かれております。さらに、「内部監査、従業員への教育に努めるものとする。」となっているわけでございます。

次に、９の「委託先の監督」でございますが、ＦＩＳＣのガイドラインでは、外部委託先、これは［コンピューター処理会社又はメール発送業者等］ということでございますが、この「外部委託先との委託契約を締結するに当たって、金融機関等と同等の個人データの保護に関する事項について定めるものとする。」と第９条で規定されておりまして、その説明によりますと、「委託契約において、外部委託先がその従業員も含め、受託により知り得た個人データを金融機関等の指示又は法令の規定に基づいてのみ利用し、かつ、当該個人データを当該受託業務以外の業務のために利用しないことを定めるものとする。」となっております。

次に、10の「第三者提供の制限」でございます。基本法案第28条では、まず原則としますと、「あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。」ということでございまして、第三者に提供する場合には事前に本人の同意が必要となりますが、その下の［適用除外事由］の場合には本人の同意なく第三者提供が許されるわけでございまして、

一 法令に基づく場合、

二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき、

７ページに移っていただきまして、

三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき、

四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき、

となっているわけでございます。

さらに法案では、オプトアウトを認めている場合には特例措置が置かれておりまして、そこに掲げております第一号～第四号の４つの事項をあらかじめ本人に通知し、又は本人が容易に知り得る状態に置いているときには、当該個人データを第三者に提供できるということでございます。特にポイントとなりますのはまさに第四号のところでございまして、「本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止します。」ということを本人が容易に知り得る状態に置いてあるということでございます。

最後に、［第三者に該当しないものとする場合］というのを３つ定めてございまして、

一 委託をする場合、

二 事業承継に伴って個人データが移転する場合、提供される場合、

三 特定の者との間で共同して利用する場合

――この場合も、その旨、すなわち特定 ち の者との間で共同利用する旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的、個人データの管理責任者名、これだけのものについてあらかじめ本人に通知するか、本人が容易に知り得る状態に置いておけば同意が要らないということでございます。それから、利用する者の利用目的と管理責任者名については事後的な変更が認められておりますので、事後的に変更する場合は、変更より前にあらかじめその旨を本人に通知するか、本人が容易に知り得る状態に置くということになっております。

一方、６ページの方にお戻りいただきまして、ＦＩＳＣのガイドラインでは、この第三者提供についてはどういう規定を置いているかと申しますと、先ほどと同じ条文になってしまうわけですが、第５条第２項で、「個人データの収集に際して、個人データの利用又は提供の目的を明確にし、顧客の同意を得るものとする。」ということになっております。ただし、「グループ会社」――これはその説明によりますと、「連結財務諸表の対象となる親会社、子会社及び関連会社」ですが、これを――第三者から除外をしており、かつ、「次の場合には、顧客が個人データの提供の目的について同意しているものとみることができる。」という、そういう意味では先ほどご説明したところと同じことをもう一度ここで掲げてございます。

提供の目的が一般的に明らかである場合、

公開された書類等で収集する場合、

ダイレクトマーケティング、

グループ会社間で個人データを提供する場合、

顧客との契約を履行するために必要な範囲で個人データを提供する場合、

保険契約等において契約内容に関する個人データを代理店に提供する場合。

こういった類型の場合には、提供の目的について同意しているものとみることができるとなっているわけでございます。

ただし、そのうちの、、すなわち、ダイレクトマーケティング目的で利用する場合、あるいは、グループ会社間で個人データを提供する場合につきましては、そこにありますとおり、パンフレットあるいはダイレクトメール等へ以下の内容を掲載しなければならないとなっておりまして、利用又は提供について顧客が中止を請求できること、中止請求する場合の方法及び連絡先、それから、の場合ですが、個人データを提供するグループ会社の名称及びその業務内容、ということでございまして、まさしくＤＭ目的で使うかグループ会社間で使う場合は、当初の段階では必ずしも同意を要しないわけでございます、同意しているものとみることができるわけですが、事後的に当該顧客に中止してくれと言われれば中止せざるを得ないという決まりになっております。

それから、基本法との対比で申しますと、共同利用の場合に、基本法案では、「共同利用する者の範囲」を、本人に通知するか、本人が容易に知り得る状態に置かなければならないわけですが、その場合はあくまで「範囲」でございますので、個別の会社名を挙げる必要はないのでございます。範囲というのは外縁がはっきりすればいいということですので、この会社なら入っているけれども、ほかの会社は入っていないということがわかる程度であればよろしいということになっておりますが、このＦＩＳＣのガイドラインでは、あくまでグループ会社の名称、さらにその業務内容まで本人が容易に知り得る状態に置くことになっているわけでございます。

さらに、［参考］といたしまして、この第三者提供の制限に関しましては、府令等で、私ども金融庁の方で幾つか定めているものがございますので、ご参考にご紹介をいたします。

まず１つが、昨年の８月に出しました、「異業種による銀行業参入等新たな形態の銀行業に対する免許審査・監督上の対応（運用上の指針）」というガイドラインでございますが、そこの中で、「顧客情報の相互利用を行う場合には、最低限、事前に、利用する業者の範囲」――ここは「範囲」にしております――「利用目的、利用方法等を明確にした上で、顧客本人の明示的な同意を得るということを必要とする運用体制となっているかどうかを確認する。」ということで、まさに異業種の親会社と子銀行が個人情報をやりとりする場合にはこういうことをしろということにガイドライン上はなっているわけでございます。

次に、府令でございますが、まず、証券会社の行為規制等に関する内閣府令の第12条では、弊害防止措置の一環といたしまして、ここでは証取法の第45条で言う、親法人等又は子法人等と証券会社との間でのやってはいけない行為の類型を府令で定めているわけですが、その第７号によりますと、「証券会社又はその取締役、監査役若しくは使用人が発行者又は顧客に関する非公開情報」――「非公開情報」とは何かというのがその 後の括 後の括弧書きでございまして、「当該証券会社……が職務上知り得た顧客の有価証券の売買等に係る注文の動向その他の特別の情報をいう。」となっておりまして、これがここで言う非公開情報でございます――これを「その親法人等若しくは子法人等から受領し、又はその親法人等若しくは子法人等に提供すること。」は禁止する。ただし、括弧書きで、その「提供につき事前に当該顧客の書面による同意がある場合を除く。」でございますので、同意があれば提供若しくは受領しても差し支えないということでございます。

次に、保険業法施行規則第53条の６によりますと、特定関係者に該当する金融機関の顧客に関する非公開情報の取り扱いというものが規定されておりまして、「保険会社は、 その特定関係者に該当する金融機関の顧客に関する非公開情報」――この「非公開情 報 報」とは何かがやはり括弧書きで規定してございまして、そのすぐ下の行、「職務上知り得た顧客の預金、為替取引、資金の借入れ等に係る情報その他の特別の情報をいう。」とされております――この「非公開情報が当該保険会社が引き受ける保険に係る保険募集に利用されないことを確保するための措置を講じなければならない。」とされています。これも括弧書きで、その「非公開情報が保険募集に利用されることにつき事前に当該顧客の書面による同意がある場合を除く。」となっております。ちなみに、この「特定関係者」とは、当該保険会社の子会社、あるいは、同一持株会社の傘下にある子会社ということですから、兄弟会社、その他の会社となっているわけでございます。

次に、保険業法施行規則第211条で、銀行等が生命保険募集人として保険募集を行うことのできる場合という規定がございまして、これはこの４月１日から施行になった新たな規定でございまして、いわゆる銀行が保険商品の窓販をするに当たっての規制でございます。「法第275条第1項第1号に規定する内閣府令で定める場合は、次の各号に掲げる要件のいずれにも該当する場合とする。」となっていて、その第２号で、「銀行 等が、次に掲げる措置――「非公開情報保護措置」――を講じていること。」という ことで時間の ことで――時間の関係がありますので飛ばしますが、同趣旨のことがここでもイとロで規定されておりまして、同じく第211条の２で、損害保険代理店の場合、第211条の３で、保険仲立人の場合について、全く同趣旨の規制をかけているわけでございます。

次に10ページに移らせていただきまして、11の「保有個人データに関する事項の公表等」でございますが、基本法案上はあくまでこの保有個人データという限られた個人データ――一定の範囲の個人データに限り一定の事項を公表する義務がかかるわけでございますが、それは、第一号で事業者名、第二号で利用目的、第三号で開示等の求めに応じる手続、第四号でいずれ政令で定める何がしかのこととなっているわけですが、これについて現在のＦＩＳＣのガイドラインではどうなっているかというのが右でございます。

「個人データの取扱いについて顧客へ周知するものとする。」と第３条で規定してございます。そして、その説明によりますと、「周知の内容については、顧客が理解しやすく、かつ、読みやすいものとし」となっております。「例えば、次のようなものを含むものとする。」となっていて、「個人データが主としてどのような目的のために収集若しくは利用されるか、又はどのような業務を行ってる者に提供されるかについての説明」。そういう意味では、これは左欄の第二号よりは周知すべき内容が広くなっているということが言えようかと思います。具体例としてその下に３つほど書いてあるわけでございます。は、基本法でいう第三号に相当するところであろうと思いますが、開示請求又は訂正請求を行う方法。といたしまして、個人データに関する質問又は苦情を受け付ける部署名及び連絡先、となっているわけでございます。

11ページに行っていただきまして、「開示」でございますが、開示については、開示しなくてもいい場合が法案上は３つあるわけです。

第一号は、本人又は第三者の生命、身体、財産、その他の権利利益を害するおそれがある場合、第二号は、当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合、

第三号は、他の法令に違反することとなる場合、

この３つの場合は開示に応じなくてもよろしいわけです。

一方、ＦＩＳＣのガイドラインでは、「応じることができない場合」の例示として４つ挙げています。

として、「終了した取引に関する個人データ等、顧客の現に得ている利益と関連性に乏しい、又は顧客へもたらされる利益は極めて小さいと考えられる場合」、

として、「データが保有期限経過後又はコンピュータにより処理される以前のため検索不能な場合」、

として、「他の顧客の個人データが含まれている場合」、

として、「金融機関等の企業秘密等を侵害するおそれがある場合」、

こうなっているわけでございます。

次に、「訂正等」でございますが、ＦＩＳＣのガイドラインをご覧いただきますと、その10条の説明によりますと、「顧客から合理的な間隔をあけて、開示した個人データの訂正又は変更を行うように請求があった場合」ということで、あくまで開示した個人データという限定が付してあるわけですが、今回の基本法案上は開示したという限定が付してございませんので、この左の方の、「当該本人が識別される保有個人データ」というのは、開示されたものであろうがなかろうが、そこはどちらでもよろしいという解釈になっているわけでございます。

それから、ＦＩＳＣのガイドラインでは、「利用の目的に照らして必要と判断したときは」という限定が付してあるわけですが、これは今回の基本法案で言う「利用目的の達成に必要な範囲内において」とほぼ同義であろうと思われます。

次に、14の「利用停止等」でございますが、この第32条の規定というのは、本人から、当該本人が識別される保有個人データが第21条違反という理由、又は第22条違反という理由でしか請求がまずできないわけです。それから、この当該保有個人データの利用の停止又は消去が求められた場合に事業者がやらなければいけない措置というのは、あくまで違反を是正するために必要な限度でやらなければいけないわけですので、例えば第21条違反というのは、わかりやすい例を言えば、本人の同意がないのに特定された利用目的――通知・公表している利用目的――以外で使ってしまった場合が第21条違反になるわけですが、その場合に求めがあったときに何をしなければいけないかというと、その違反されている状態を直せばよろしいわけです。だから、同じ保有個人データについて特定された利用目的の範囲内で使う分には何ら構わない、ということでございます。

同じようなことが第28条違反についても第32条第２項で規定してございまして、これもあくまで第三者提供の制限に違反したという理由で、その違反を是正する限りにおいて第三者提供の停止をする義務がかかるにとどまるわけです。ですから、同じ保有個人データでも、本人の同意を得ないで提供してしまった場合に、まさに本人が同意していない第三者への提供を止めればいいのであって、同意を得ているものについては止めようがないわけでございます、というか、止める義務がかからないということでございます。

一方、ＦＩＳＣのガイドラインで、11ページに戻っていただきまして、第10条の説明によりますと、こちらでは「中止」という言葉を使っております。「「中止」とは、金融機関等が、個人データのダイレクトマーケティング目的での利用、又はグループ会社への提供を行わないことをいう。」ということで、あくまでこの２つの場合に限っております。その場合に、次のページに行っていただきまして、それについての中止請求があった場合には、「既に当該顧客の同意を得ている場合を含め中止する。」と、つまりこの場合は基本法と違いまして、「同意を得ている場合を含め」ということは、同意を撤回することが可能な規定にこれはなっているわけでございます。

以下、15の「理由の説明」、16の「苦情の処理」につきましては、特段ご説明をすることはないと思うわけでございます。

それでは、次に14ページにお移りいただきまして、大きな・といたしまして、信用情報機関に関してご説明をいたします。

まず、「現状」でございますが、現在、業態別に貸金業者系の全国信用情報センター連合会、略称「全情連」と言っておりますが、この機関、それから、全国銀行個人信用情報センター（ＫＳＣ）という銀行系、それから、ＣＩＣという信販会社系の業態別３機関があるほかに、会員資格上、業態横断的な会員資格を定めておりますＣＣＢという会社がございます。さらに、ほとんどの方はご案内かと思いますが、昨年12月にテラネットという新たな信用情報機関が稼動開始いたしました。

この各信用情報機関に加入する会員たる与信業者は、顧客本人の同意を得て、当該顧客に係る一定の個人信用情報項目を当該機関に登録するとともに、顧客の与信審査に活用するため、当該顧客に係る信用情報機関に蓄積されているところの登録情報を利用していると、まさにこれは共同利用の最たる形態でございます。

この上記業態別の３機関は、昭和62年３月より、延滞等の事故情報に限り、これを３機関同士で相互に交流をしております。このシステムのことをＣＲＩＮと言っております、Credit Information Networkの頭文字を取ってＣＲＩＮと言っているわけでございます。

前回の１－４、きょうもお手元にお配りしている１－４の資料で、「金融取引における個人情報の取扱いの特性」ということを５点ほどご説明させていただきましたが、ここではこの信用情報機関及び会員事業者による共同利用システムならではの特性をその下に掲げてございます。

まず第１に、信用情報機関は会員事業者が登録する情報をはじめ大量の個人データを収集・蓄積をしており、専ら会員事業者が特定の個人顧客への与信判断に利用するという、このシングルな、単一の利用目的のために保有する個人データを提供することを業としているわけでございます。そういう意味で、これは金融業というよりはデータバンク業になるわけでございます。

次に第２点として、顧客への与信判断の材料となる個人情報について、与信業者は、まずは個々の顧客から直接取得しているものの、とりわけ顧客本人にとって不利な情報、債務残高ですとか、延滞等の事実などについては、本人から正確な情報を入手することが必ずしも期待できないわけでございます。この辺の記述は、前回の部会の際にヒストリーでご説明した、かつての通産省との共同の懇談会の報告書にこの旨の記述があるわけですが、特に多重債務者の場合は、正直に申告をしますと絶対に金を貸してくれないわけですね、だから、多重債務者ほど自分の債務残高とかそういうものは隠したがるものだ、というか、隠すのが合理的と言ってはなんですが自然ではないかと思うわけでございます。このため、多数の与信業者は信用情報機関への加入によって、特定顧客に係る個人情報を共有すると、そして相互に活用することで適正与信、言い換えれば、過剰貸付の防止を図っているんだと。そういう意味で、個人向け信用供与市場、個人向けのローンの市場が円滑に機能する上でこの信用情報機関を中核とするシステムというのは極めて重要な役割を担っているわけでございます。

第３点として、この共同利用システムによりまして、個々の与信業者にとっては、個人顧客の信用力調査に係るコストが当然低減される、１社で単独で調べるよりは共同で利用できた方が当然コストが低減されるとともに、適正与信が図られるとすれば貸倒等の信用リスクの低減にも資するわけでございますが、一方、それは消費者にとっては、与信業者のもろもろのコスト合理化によって商品の値段である貸出金利の低下が期待できるというメリットがあるわけでございます。また、懇談会以来の議論でずっと議論されている問題ですが、いわゆる多重債務問題、あるいは自己破産者の累増問題、こういったことを考えた場合には、この信用情報機関というものを作って業者で共同利用すると、信用情報というものを共同利用するというシステムは一事業者の私益、プライベートな利益を超えた社会的な意義があると指摘されているところでございます。

最後に、大量に蓄積され、かつ、一個人当たりの情報が集積されているこのデータベースが漏洩をしたり、あるいは本人の認識していない他の利用目的で不正に利用――この場合の利用には当然第三者提供が含まれるわけですが――された場合には、多数の個人のプライバシーや権利利益が侵害される恐れがあるわけでして、この共同利用システムに対する国民の信頼を大きく損ねます。この信頼が損なわれますと、この共同利用システムというのは個人向けローンに不可欠な存在ですので、それに対する信頼がなくなってしまえば、延いてはこのマーケットの、信用供与市場の健全な発展の阻害要因となるのではないかと思われるわけでございます。

次に、15ページ以下は、先ほどと同じように、基本法案上の義務に対応する自主ルールがどうなっているかということで、ここでは99年３月に三者協議会、すなわちＣＲＩＮを構成する３つの信用情報機関の協議の場なんですが、この三者協議会が定めた指針を列挙してございます。利用目的の特定に関しましては第６条で、「収集・登録する個人信用情報の範囲は、次に掲げるものとする。」ということで、(1)加盟会員が情報主体から収集し、信用情報機関に提出する情報、(2)公的な記録、(3)手形交換所の情報、この３つに収集範囲を絞っております。

［参考］として、法律上の問題なんですが、今申し上げた特性のところと絡んでくるわけですが、貸金業法の第13条では、「貸金業者は、資金需要者である顧客又は保証人となろうとする者の資力又は信用、借入れの状況、返済計画等について調査し、その者の返済能力を超えると認められる貸付けの契約を締結してはならない。」という、過剰貸付を禁止する規定が置かれております。

これを受けまして第30条第１項で、信用情報機関を設けるか、あるいは指定することによって、返済能力を超えると認められる貸付けの契約を締結しないよう、貸金業協会が協会員たる個々の業者に指導しなければならない、という規定が置かれているわけでございます。

駆け足で恐縮ですが、16ページに行っていただきまして、割賦販売法第42条の３は、今と同趣旨の規定がやはり割賦販売法でも置かれているということでございます。

次に、２の「利用目的による制限」のところでございますが、第５条をご覧いただきますと、「情報主体の返済能力、支払能力を判断するために必要最小限のものでなければならず、かつ、客観的な事実に基づくものでなければならない」。すなわち、信用情報機関に登録する情報は、主観の入ったものは入れるな、あるいは、不確かな情報ですね。だから、例えばお客さんがお金を借りに行ったときに申込書に年収を書かされるんですが、本人が申告する年収というのは本当かどうかわからないんですね。だから、年収なんかは信用情報機関には登録されておりません。あくまで、契約に関する客観的な事実でございます。

次に、第14条で「目的外利用の防止」ということで、「信用情報機関は、加盟会員が信用情報機関から提供を受けた個人信用情報を返済能力あるいは支払能力の調査以外の目的に使用することを防止するため、適切な措置を講じなければならない」ということで、具体的に言えば、信用情報機関は会員たる与信業者に対してモニタリングをしております、変な使い方をしていないかどうかモニタリングをしております。

［参考］として、貸金業法の第30条第２項では、法律上もこの目的外使用を禁止しているわけでございます。

17ページに行っていただきまして、割賦販売法第42条の４はやはり同趣旨の規定を置いております。

次に、「データ内容の正確性の確保」は、法案と同趣旨のことが第８条で規定されております。

それから、「安全管理措置」につきましては、先ほどＦＩＳＣのガイドラインでもご説明いたしましたが、この三者協議会の自主ルールでも、「登録及び提供の期間を定めなければならない。」ということで、一旦登録したものを無期限に登録しっぱなしということはございません、必ず一定期間に限られて登録されているということでございます。

あと、第10条、第11条あたりは、特にご説明は要しないと思います。

次に、５の「従業者の監督」のところでも、教育・研修を実施しろということが規定してございますし、18ページの、「委託先の監督」、第27条に関しては、やはり自主ルールでは第12条で、「委託契約において、処理に関する委託先の権限及び責任を明確にしなければならない。」となっております。

それから、７の「第三者提供の制限」に関することですが、第７条で、「信用情報機関が加盟会員から収集・登録する個人信用情報は、加盟会員が信用情報機関の定めた一定の同意文言ひな形に基づき、同意を得たものでなければならない。」となっておりますし、第13条で、「信用情報機関は、次に定める場合を除いては情報を提供してはならない。」となっておりまして、

(1) は、加盟会員への回答、あるいは情報主体からの問い合わせに対する回答、

(2) は、ＣＲＩＮのようなパターンで、提携する他の信用情報機関の加盟会員が行う調査に対する回答、

(3) は、ご本人の開示請求に応じる場合、

(4) は、法律の定めに基づく場合、

こうなっているわけでございます。

19ページに行っていただきまして、８の「公表等」に関しては、第17条で、「その業務内容及び情報主体の保護に関する措置等の周知に努めなければならない。」ということで、法案の第29条の義務よりは周知内容が広くなっているわけでございます。

次に、「開示、訂正等」でございますが、第16条は信用情報機関ならではの規定でございまして、「信用情報機関は、個人信用情報に係る情報主体の正当な利益を保護するため必要と認められる場合には、情報主体の個人信用情報に一定の申立事項を付加することができるよう手続を整備しなければならない。」となっておりまして、具体的には、後日、信用情報機関からのヒアリングを予定しておりますので、その際にお尋ねいただければと思いますが、信用情報機関が登録している情報の中に、ご本人自身の申告に基づくコメントといったものがあるのでございます。本人からこういうのをちゃんと登録して下さいと請求があった場合は、それを登録しておくというシステムがあるということでございます。

10につきましては「苦情の処理」の関係で、第18条、「問合せ窓口の設置」というような規定が置かれているわけでございます。

そのほか、この個人情報保護法案の義務に必ずしもうまく１対１対応しないものが第２条以下でして、まず第２条で、「自主ルールの整備・充実に努めなければならない。」ということ、第３条で、「加盟会員と締結する契約等の整備・充実に努めなければならない。」ということ、第４条で、「会員資格の取得及び喪失に関する事項」をま ず定めなければならない――いわゆる資格制限ですね。さらに定めた上で、「加盟時の 審査のみ みならず、加盟後もきちんと会員資格の適正な審査を行わなければならない。」となっているわけでございます。そして最後に第20条で、「遵守すべき事項及び違反に対する措置を定め、厳格に適用しなければならない」ということで、契約等に違反した加盟業者に対しては、一定期間信用情報機関のデータを使わせなくする処分ですとか、最悪、最も重い場合は除名の処分ですとか、そういう制裁措置を規約で定めているわけでございます。

以上でございます。

○ 倉澤部会長

どうもありがとうございました。

個人情報の中でも特に金融に関する個人情報について、その特性と取扱いの現状から我々は重層的な規制というものについてどういう規律が必要かを考えていかなければならないわけですが、本日はそういった点でかなり具体的なご説明をいただきました。

ただいまのご説明を踏まえまして、ご意見、ご質問等がございましたら、ご自由にご発言をいただきたいと思います。

森崎委員、どうぞ。

○ 森崎委員

今、ご説明がございました基本法案と自主ルールとの対比の問題の前に、この第５章第２節で、「民間団体による個人情報の保護の推進」というのがありますけれども、これは法律案としては、こういう団体を構成するということを進めている、勧奨しているということなのか、それが１つ。

それから、もう１つは、「個人情報の適切な取扱いの確保を目的として……」とございますが、主務大臣の認可を受けることができるということですから、受けないでもいいということなんでしょうけれども、受けることと、受けないでこういう自主規制団体等をつくるということの差ですね、この辺はどういうふうになっているのかということをご説明いただければと思うんですが。

○ 棚橋調査室長

済みません、ちょっとお声が遠くて聞こえなかったんですが、認定団体の申請のところでございますね。

○ 森崎委員

「民間団体による個人情報の保護の推進」という第５章第２節がございます

ね、これは法律案としては、こういう団体をつくるべしということを進めているのか、その辺が１つ。

それから、もう１つは、その団体につきましては、主務大臣の認可を受けるということになりまして、その条件等がその後の条文に書かれておりますけれども、これは認定を受けるということと、認定を受けないでこういう自主規制団体等を持つということはどういう差があるのか、その２つを。

○ 棚橋調査室長

重ねてご発言を求めて恐縮でございます。

それでは、今２点お尋ねがございましたが、まず第１点は趣旨論をお尋ねかと思いますが、私が内閣官房からの説明で承知している限りは、この認定団体制度という第２節の規定は、まさにこの法案に基づく措置、法律に基づく措置というのは、必要最低限度の規律を定めたものなので、自主的に業界団体においてそれ以上の措置、あるいはそれ以上でなくてもよろしいんですが、まさにこの法律の目指す目的である個人の権利利益の保護というものについて自主的にやることを奨励しているということで、おっしゃるとおりかと思います。

それから、第２点のお尋ねは、第42条第１項の条文の読み方であろうと思います。確かに、「主務大臣の認定を受けることができる。」となっているわけでして、第２項で、「前項の認定を受けようとする者は、主務大臣に申請しなければならない。」となっているわけです。

まず、認定を受けることができるとはどういうことかと申しますと、この第一号～第三号に掲げられる業務は、認定を受けなければできないという意味ではないということです。例えば、銀行業をやろうと思ったら、免許を受けなければいけないという意味の義務ではないということです。したがって、認定を受ける効果とは何か、メリットは何かというと、まさに主務大臣が第44条の認定の基準に従って審査をした結果認定をするわけでございますので、ある意味の品質保証をされているということで、一般国民からすると、認定団体に対して一定の信頼性を確保できると、そういうメリットがあるということであろうと思います。

以上のお答えでよろしいでしょうか。

○ 倉澤部会長

この法案の26ページの42条の１項で、「主務大臣の認定を受けることができる」というのは確かにそういうことになりますが、何か１項一号～三号までの人たちに認定を受ける権限があるという規定のようにも読めるんですけどね。解釈の問題があろうかと思いますが。

どうぞ、原委員。

○ 原委員

ちょっと別の話になってしまって恐縮なんですけれども、２点あります。

１つは、きょう、このＦＩＳＣの自主ルールと信用情報機関と呼ばれているその分野と両方並べてみますと随分つくり方が違う。自主ルールの方は、これは商品を販売するときの適合性を見るとか、ＤＭを送ったりするという、そういうところで使うためという形でつくられていて、信用情報機関でつくられているものというのは、与信判断が適正に行われるかどうかということで策定されているので、ねらいがやはり違いますよね。今回ここで個人信用情報の法律案をつくろうというときに、この辺の整合性とか、同じものでつくっていくのか、条文で流していくのか、それとも、分野を分けるような形にするのかどうかという、その辺の基本的な……。こちらとしては同じ情報、例えば銀行の残高情報があるにしても、どちらで使われるかで全く違ってくると思うんですけれども、その辺をどう考えたらいいのかというのが１点です。

それから、２点目は、内容に入ってしまうのですが、ＦＩＳＣの自主ルールの中に出てきている言葉で、２つなんですが、１つは「同意」という言葉の使い方です。これは２ページのあたりからも「同意」という言葉が出てきて、ＦＩＳＣの自主ルールだと第６条で、「顧客の同意を得た利用」とか、ここに「同意」という言葉が出てきますし、３ページのところにも、第５条で、「利用又は提供の目的を明確にし、顧客の同意を得る」と、「同意としては、例えば……」というふうな形で書いてあるんですけれども、その「同意」のとり方というのはどのようにしていらっしゃるのかということを自主ルールの場合はお聞きしたい。それから、個人信用情報機関の方も「同意」という言葉が出てきているんですけれども、それもどういう形で実際には行われているかをお聞きしたいと思います。

それから、「グループ会社」という言葉も何度も出てきておりまして、２ページに、「例えば」のところの・に、第三者のところで、括弧して「グループ会社を除く」という書き方が入っておりますし、それはずっと３ページもありますし、４ページのところでも・として、「グループ会社がＤＭに使う場合」ということで、たくさんこの「グループ会社」という言葉が出てくるんですが、これはＦＩＳＣの場合どういうものをグループ会社というふうに規定していらっしゃるのかということを、まず質問としてお聞きしたいと思います。

○ 棚橋調査室長

３点あったかと思うんですね。

まず最初の点は、ある意味でご意見に当たる部分もあるのかなと思いますが、まさしく今の原委員のご発言の中に、同じ情報を、例えば預金残高なら預金残高という１つの個人情報あるいは個人データと言ってもよろしいんですが、これをいろいろな目的で使っているんだよと、それをどういうふうに考えるかというのは、まさしく私どもとしてご審議をお願いしたい事項でして。

前回使わせていただいた１－４のところの４ページをお開きいただきますと、４．「基本的な考え方」というところの、「例えば」以下の中の３つ目の白丸のところで、保護の必要性、言いかえれば、侵害のリスクの度合に見合った、過大でもなく、過少でもなく、最適な規制を課す上でその度合は、例えばＤＭ目的で使う場合と、与信判断に使う場合というのは明らかに違うはずなんですね、一例を挙げれば。そういった場合に、特にこれは何が何でもきちんと保護を図る必要があると、したがって、かなりきつい規制をかける必要があるというものとそうでないものをどういうふうにこの金融の中で整理をしていくべきかということが、まさにここでご審議をお願いしたい点だということでございます。そういう意味で、事務局の考えはどうかと言われれば、私個人の私見はもちろんございますが、それはこの場で、今のタイミングで申し上げることは差し控えた方がよろしいかと思います。

それから、第２点の「同意」についてのお尋ねですが、正直申し上げて、これはむしろ本日ご出席の専門委員の方からその業界の実情をご説明いただいた方がよろしいかと思います。私は必ずしも実務に携わっておりませんので、事前にアンケート調査もお願いいたしておりますが、むしろせっかくの機会ですので、本日ご出席の業界の方から、業界全般というよりも、まさに個々の会社で微妙に違うんでございましょうが、そこはご説明をいただければと思っております。

それから第３点の「グループ会社」というのは、資料で申しますと６ページのところをご覧いただきますと、一番下の枠、10の「第三者提供の制限」の第28条に関連する右側の第５条のところの明朝体で書いてある部分なんですが、「グループ会社（連結財務諸表の対象となる親会社、子会社及び関連会社）」というのがあくまでＦＩＳＣ上のルールなんですね。

かつ、次の７ページのところで先ほどもご説明しましたが、個人データを提供する先であるグループ会社については名称及び業務内容をパンフレット、ダイレクトメール等へ掲載しろというのが一応ＦＩＳＣのルールなんですね。本当はこれも手元に何か具体例があるとお回しできるんですが、実務についてはまさに本日ご出席の特別委員からご説明になっていただければと。

○ 倉澤部会長

今の原委員の第１点ですけれども、この会の運営の仕方にも関係がありま すので私から申し上げますが、沿革的に言いますと、金融審議会の第二部会で、きょうも話題に出ましたけれども、個人の信用情報というものが、その利用が多重債務の防止とかいったような一種の公益性とプライバシーの侵害という、非常にそこに情報が集約していっているからその度合もまた高いということがあって、この個人情報について利用と保護という形で議論を進めてまいりました。その間に個人情報全部についての基本法ができましたときに、一体それで個人信用情報についての適切な規律の在り方というものが決まり得るだろうかという問題を持ったときに、委員の中から、信用情報に限らず金融に関する情報というものを横断的に基本法に対して特殊性を見ていくべきではないかという形でこういう特別部会というのが構成されました。原委員のご指摘のように、実は金融に関する情報の中でも規律の在り方が変わり得るかもしれませんし、変わり得ないかもしれないんですが、それをぜひご審議いただきたいということでございます。第１点ですが、よろしゅうございますでしょうか。

○ 原委員

３番目の質問で、ちょっと補足的に追加の質問でお願いしたいのですが、９ペ ージのところに確かに「グループ会社」で括弧書きで書いてあって、この「関連会社」が何かなんですね。それから、７ページにわたっていくときに、・、・、・で書かれているあたりなんですけれども、ＤＭがやはり随分いろいろなところから来るんですね。金融機関から出ているかははっきりしないんですけれども、きょうも消費者団体側のアンケートというのを短い時間だったので24人分しか届けることができなかったんですけれども、やはり随分このＤＭのところで、皆さんは、どこから情報が流れているんだろうかというのがありまして、この・とか・、・のところ、このあたりが大変気になっていて、関連会社とのかかわりで、こうなっていることも含めて、きょういらっしゃっている委員の方からお話をいただけたらと思いますが。

済みません、補足の質問です。

○ 中尾委員

その「同意」のとり方ですが。

○ 倉澤部会長

中尾委員、どうかお願いいたします。

○ 中尾委員

中尾でございます。

「同意」につきましては、通常、銀行から消費者ローンを借りるとか、あるいは住宅ローンを借りるというときに契約書がございますね、その契約書に「個人信用情報センターへ登録して、加盟の会員が取引上の判断のために利用いたしますというようなことに同意します」ということは記載されております。そういう記載がされていることによって借りる方の同意をいただくということでございます。

それから、「グループ会社」については、通常、銀行なんかであるのはカード会社とかが典型的でありますけれども、あとは、ローンを借りる場合に保証会社があって、その場合も、ローンの申込書類を銀行と保証会社の連名にしてもらうことによって、お客様にその情報を共有するんですよということが明確にわかるようにいたしております。

以上です。

○ 倉澤部会長

西川委員、どうぞ。

○ 西川委員

西川でございます。

損害保険の場合の例でご説明申し上げますと、あらかじめ保険契約の申込書に、例えば自動車保険の例で申し上げれば、前契約の適用等級、保険事故の有無等及び事故発生の際に関係する損害保険に関する事項について、損害保険会社等の間で確認されることに同意しますと、このような文言をあらかじめ記載しているという形で同意をいただいているというような処理をさせていただいております。

○ 倉澤部会長

広井委員、どうぞ。

○ 広井委員

クレジット会社の例で申し上げますと、各社によって若干の違いはございま すが、基本的に会員規約の中におきまして、先ほどの資料にもございましたような、信用情報機関への登録につきましては、この登録及び利用について同意していただきますという文言を入れまして、この上で同意をいただいているということでございます。

○ 倉澤部会長

鶴岡委員、お願いします。

○ 鶴岡委員

生命保険会社なんですけれども、生命保険会社の場合には、ご契約内容登録 制度というのがありまして、これはどちらかというとモラルリスク対応でして、１人の人が非常に複数の保険会社に多数入りました、そうすることによって、その結果、契約の引き受け等、死亡保険金等の支払いの際に、保険制度の健全性維持の観点から、入られた方の氏名とか、契約者の名前、被保険者の契約者名、保険金、入院給付金等についてを生命保険協会に登録しておりますが、それについては申込書の上にそれについて同意しますという文言がきちんと書いてあります。そこに判を押してもらうということで納得していただいた上で、その契約内容登録制度を運用しています。

以上です。

○ 倉澤部会長

白井委員、どうぞ。

○ 白井委員

私の方は信用金庫の業界なんですけれども、今、中尾委員が言われましたこ ととほぼ同じでございますが、ローンの申込みを受けた顧客から、ローンの審査に当たって、信用情報機関のあなたの情報を検索させていただきますということの同意と、実行いたしましたときには、実行したローンの内容をその情報機関に登録するということについて、一人ずつ申込みのときに判こをいただきまして、それはローンの申込みと保証の申込みはセットでいただいているという形になりまして、その控えをご本人が契約内容について持っているという状態を維持しております。ですから、これは銀行さんも大体みんな同じだと思います。

○ 倉澤部会長

岩井委員、ご発言ください。

○ 岩井委員

私どもの方は、規模的に、店と呼んでいいのか企業と呼んでいいのかいろい ろありますけれども、参加会員の中で、いわゆる申込書の中に、口述で話をして、契約書に同意文言を入れております。

○ 倉澤部会長

今度は他の点で、ご自由に、何か委員からございますか。

原委員、どうぞ。

○ 原委員

そうしますと、今の「同意」という話をまとめると、実際に同意しますという 文章があって、それに判を押す形で取られている場面と、それから、書面に書かれてい て私から見ると通知のような感じがするんですけれども、それで同意というふうに言われている場面とがあるという形の整理でよろしいわけでしょうか。

感じとしては、ローンとか、与信のところでのお話が保険はちょっと違いますけれども、多かったように思うんですが、その場面ということでの整理でもよろしいわけですね。ちょっと全体の整理がそのようなことでよろしかったかどうかを。

○ 倉澤部会長

今後、我々が考えていくときに、きょうの室長のご説明の中にも、こうい う場合には同意があるものと見ることができるというような規制があったりとかいろいろあるわけですけれども、そのときに我々として、例えばあるべき規律としてとる、あるいは立法なら立法というようなときに、一体同意というものをどうしていかなければならないかということはこの審議会のトップかなと。現在のこの実務の在り方というものと、それから、例えば現実にそれから漏れているものがあるかないかとかいうようなことは、多くの問題が我々にとってのあるべき規律を考える上での素材といいますか、そういうことになるんだと思います。そんなことでよろしゅうございますか。

○ 鶴岡委員

追加ですけれども、今の生命保険で、契約内容登録制度について同意をする 件なんですが、そういう制度自体があるということにつきましては、単に申込書だけではなくて、営業職員が持って歩いております「ご契約のしおり」という、そういう中にもそういう契約内容登録制度について解説しているということで、申込書以外にそういうものにも書いてあるということも補足して説明させています。

○ 倉澤部会長

この「同意」の問題は、きょうのご説明にもありましたように、同意を取 るべきものを取っていないときにどうかという問題と、同意をしたものを超えたというような場合にはどうかとか、どういう場合にこれは同意と見られるかとかいったような問題はたくさんあると思います。

上柳委員、どうぞ。

○ 上柳委員

ほかにご発言がないようなので、今の討論から少し感じたことなんですけれ ども。

「同意」のとり方とか、あるいは同意の範囲は後からどのように解釈するのかというのが今の基本的な考え方でしょうし、これからもこの会もそうなるのかなというふうに思うんですが。ただ、感想的に言いますと、同意といっても、例えばローンの申込みをするときとか、あるいは保険契約に入らせていただくときに、なかなか、同意なんかしたくないから入らないとか、もちろんどこまで同意した場合に契約締結をしていただけるのか、一部分については情報提供をしなくても契約締結はできるでしょうけれども、逆に、そうでなければうちの会社とはご契約できませんよというふうになるのかもわかりませんし、そういう理由で、同意ということを消費者側がしないで済ますことがなかなかできない場合も結構あると。

それから、あるいは、これはまた表現は不適切ですけれども、不注意な消費者というかばかな消費者というか、入るときにはどうでもいいと思って、後からしまったというように思う人も私も含めてたくさんおるわけで、そういう意味で言うと、何が言いたい

のかというと、特にこのＦＩＳＣの考え方というのはやはりこれまた失礼な言い方ですが、ある意味では民間といいますか、法律でやっているわけではないですから、やはりあくまでも私人間の契約ということで、お客様から同意を得なければ何もできないと、あるいは逆に言うと、同意がみなせれば何でもできるというふうなそういう構成をとっているんだろうと思うんですね。ですから、そういう構成でやるのもいいんですけれども、特に法律でどこまで決めるかどうかを決める場合には、同意がとられにくい、あるいは同意の範囲がはっきりしにくいものについてどこまで法律でやるのかということを決めなければいけないのではないかなというふうに思ったんです。多分、法律学者の先生方からいろいろご意見はあるんだとは思うんですが、そう思いました。

ついでに言いますと、発言が長くなって申しわけないんですけれども、やはり伝統的には、今まで話があったように、信用情報で、ある意味では前科歴がいつまで残るのかどうかと、前科歴が間違っていたときに、ある別のところから融資を拒否されたようなときはどうなるのかという問題。それから、ダイレクトメール、クレジットカードで決済をしたり、あるいは、極端に言うと、これから銀行でデビットカードでやっただけで後からダイレクトメールがたくさん来るというようなことはどうするのかということが基本的には問題だとは思うんです。

これからはグループ会社でどんどん広くなるので、グループ内でのいわゆるバーチャルモール的なものも考えなければいけないというふうになっていくと元に戻りますけれども、事前に、例えば保険の単体契約に入るとき、あるいは銀行の総合口座をやるときに、消費者側にとっては、どこまでそれが広がっていくとか、同意をすることのリスクがどこまで広がっていくかということは本当に大変難しい状況なので、やはりそれなりに法律で決める必要があるのではないかというふうに思います。問題はどこまで決めるかなんですけれども……、感想でした。

○ 倉澤部会長

上柳委員にぜひまたお考えいただいて、この特別部会でもご意見を伺いた いと思うんですけれども。

保険契約それ自体を考えたら、そんな情報利用の同意というようなものが保険契約の内容であるわけはないんですけれども、例えば信用情報における多重債務の防止だとか、例えば多額の複数の保険契約なんかによる保険金殺人みたいなことがあるときに、一体規範的に同意というようなものを商品の特性に含めなければならないというものなのか、それとも、それは本来は個別の契約の相対の情報というのはそこ止まりで、利用するためにはまた別途の意志が要ると。恐らく、先ほど原委員が冒頭にもお話しになったように、この信用情報とか、あるいは金融に関する情報の中に、そういうことが商品の初めにはなっているはずはないんですけれども、規範的な属性みたいになっているものがありはしないかということもぜひお考えいただいてご意見を賜りたいと思うんですね。

原委員、どうぞ。

○ 原委員

たびたびで済みません。

私の質問の３点目の「グループ会社」なんですが、これがちょっとまだ明解な回答を事業者の方からいただいていないように思うんですけれども。６ページから７ページに書かれている同じことで申しわけないんですけれども、「関連会社」と書かれているのがありますよね。

それで、きょうお持ちした消費者側のアンケートなんですが、皆さんが一番嫌だというふうに思われているのが、どこから情報を入手したかわからない、自分の住所とか名前を入手したかわからないのに、ダイレクトメールが来るというところなんですよね。ここを見ると、関連会社であれば特に同意を得ずにダイレクトメールが出せるような形に見えてしまうんですが。

例えば、今、銀行や何かでも、非常に顧客の囲い込みだと思うんですけれども、こういうクラブに入りませんかと、そのクラブに入るとこのスポーツジムがこれぐらいの割引で使えますとか、ホテルが使えますとか、いろいろな形のサービスを提供して、それがサービスの範囲も物すごく広がっているんですよね。そうすると、そういったところでも私の情報を共有しているのかなというふうに思ってしまったりするんですけれども、そういうことは行われてはいないんでしょうか、どうでしょうか。それが、例えば、その銀行の関連する旅行会社もホテルもお花屋さんみたいなグループだとかというのがどんどん広がっていっていくような感じもするんですけれども、実態としてはここはどうなんでしょうか。

それで、先週、個人情報保護法の担当をしていらっしゃるセクションの方に３人来ていただいてお話をお伺いしたんですけれども、そのときもちょっと違和感を感じたのは、説明にいらっしゃりながら、ダイレクトメールで実際に顧客の獲得をすると、数を10分の１にできるというか、焦点を絞ることができるので、顧客の獲得の精度が10倍上がるということなのでダイレクトメールは非常に有効だと、そういうための利用もあるみたいなふうなお話をちょっとなさっていて、そういう意味では事業者からすれば非常に魅力的な手段だろうというふうに思うんですけれども、この辺の実態もぜひ聞かせておいていただけると来週のヒアリングのときのこちらの意見としてもまとめられるというふうな感じがしております。

○ 倉澤部会長

中尾委員、どうぞ。

○ 中尾委員

中尾でございます。

グループ会社という場合に、旅行会社とか保険とかは、取引先として親しいとか、若干場合によっては出資をしている場合もあり得ると思いますけれども、そういう取引にかかわるようなものであって、あくまで関連会社として定義されているものは、ほとんど金融に絡むもの、先ほど言いましたように、クレジットカード会社であるとか、保証会社とか、そういったものですね。そして、ダイレクトメールが出るのは、私どもがどれぐらい出しているかとかそういうことはちょっとこの場ではわかりませんが、そういうものも一般的に言いまして、金融サービス、金融にかかわるものだけに限りませんが、もののサービスをもっと総合的に高めようというようなことで出しているというものは十分あります。

それで、そういうダイレクトメールについても、個人の方の受け止め方で、非常に煩わしいと私も思うことがあります。煩わしいと受け止める同じものでもそういうケースと、これは非常に役に立つというふうに受け止められるケースと両方あると思うんですね。したがいまして、恐らくここで今後議論しなければいけないことというのは、そういう有効なものを残していって、有効でないと言いましょうか、害を及ぼすようなものをどうやって排除していくか。ですから、こういう信用情報についても、グループ会社で共有するということは、例えば多重債務を防ぐとか、あるいはよりいいサービスを提供するという方向に使っていく以上は必要なものだと思うんですね。ですから、そのマイナス面をいかに排除するか。その場合も、個人によってマイナスと感じるかプラスと感じるかはケース・バイ・ケースであり得るということですから、そういうふうにプラスとマイナスの両方を考えていく必要があるのではないかと思います。したがって、同意を得るということも、常に、同意をするとまずいものに使われるということではなくて、そういうプラスの面を考えて同意ということはなされているというふうに考えるのではないかというふうに思っております。

○ 原委員

ちょっと誤解があるようなので一言だけなんですが、煩わしいとか有効だとかということが問題ではないんですね。私なんかもダイレクトメールをいただきますけれども、非常に有効だと思っています、情報収集の１つの仕方として。ただ、どこから私の住所を知ったかしらというところがわからないのが嫌だということです。

○ 倉澤部会長

鶴岡委員、どうぞ。

○ 鶴岡委員

生命保険業界の先ほど言いました契約内容登録制度というのは、保険金殺人等と結ばれてモラルリスク対応でやっているわけですが、先ほども説明しましたけれども、加入者の名前、保険金、入院給付金の金額等、これは何のためかというと、あくまでも保険契約を引き受けるときに、１人の人が複数、10社も20社も保険に入ることで多額の保険金を受けるいわゆる保険金殺人とかそういうことが起きたと、そこの防止を、二度とないように再発防止のために設けられたものです。あるいは入院給付金なんかでも、例えば１社１万円ずつ入ってもそれこそ20社あれば20万ですから、毎日20万の入院給付金なんて異常な事態なので、そういうことがないように、あくまでもそれは保険制度の健全性を守るためにできた制度なんです。

この制度は生命保険協会に加入している保険会社がその保険を引き受けるか、それともう１つは支払うか、そういう観点だけに使っていて、それ以外に、先ほど、関連会社が、例えばカード会社が何か業務をやるとか、そういう面でこういう情報を使うことは一切ありません。

それでよろしいですか。

○ 倉澤部会長

上柳委員、どうぞ。

○ 上柳委員

今の鶴岡さんにご説明いただいたのは私もわかっているつもりなんですけれども、多分、あえて懸念を見ますと、現行はそれで私はいいと思うんですね、それは、例外はあるかもわかりませんけれども、大きな問題があるというふうには私自身は認識していないんですけれども。ただ、これからグループ化とか、あるいは、それこそ金融以外の異業種の方もこの業界に参加されてきて、今、政府の方が決めているこの法律案の方だと、何となくグループ間だとそのまま利用できるような可能性もなきにしもあらずというときに、では、自主規制だけに任せておいていいのかなというところが何となく気にしているところなんです。多分、そんな行儀の悪いことはないというふうにお集まりの方はおっしゃるとは思いますけれども、可能性としてある場合に何となく心配だということを申し上げたいということです。

○ 倉澤部会長

たびたび繰り返しますけれども、今、我々は、個人情報保護法案のもとで 金融に関する個人情報の規律の在り方を考えていくわけで、優良な企業はその規律に引っかからないようにやっているのは当たり前なわけなんですけれども、規律の在り方という点では、そういう問題意識は、実際の有無にかかわらず、可能性としても問題にはなるということは上柳委員のおっしゃるとおりだと思います。

有吉企画課長、どうぞ。

○ 有吉企画課長

今の上柳先生のお話というのは、要は、目的外利用みたいなところが何 か……、多分今のお話ですと、要は目的外の利用ということを心配されているわけですよね。要は、そこのところが今ので大丈夫かというご指摘なんでしょうか。また、ちょっと第三者提供と目的外利用が混在しながら議論が進んでいるような感じがちょっとするんですけれども、そこはどんな感じなんでしょうか。

○ 上柳委員

混在して、頭の中で整理ができていないのですが、両方あると思います。第 三者利用ということである意味で極端な場合もありますし、それから、そうではなくて、目的外利用の範囲が、私の感じだと、いわゆるグループ化なり持株会社なりということを通じて広がっていくように思うんですね。ですので、例えば、両方とも行儀のいい業態を例に挙げると問題があるのかもわかりませんが、例えば保険契約での提供した情報が、融資のときに、保険契約にたくさん入っておられる方は融資がかえってしやすいのかわかりませんけれども、普通はしにくいというふうに、例えば危険信号の人として扱 われることが適切なのかどうかと今のでやると何となく適切のような感じもしたりしますけれども、そのようなことも心配しております。

○ 倉澤部会長

きょうの資料の６ページのＦＩＳＣの自主規制のガイドラインで、グルー プ会社の括弧で、「連結財務諸表の対象となる親会社、子会社……」と始まると、これが何か目的が多様であり得るわけで、資本関係みたいな方が主たる点というふうになるんですけれども、そういった点で、例えば金融に関する個人情報というものは、金融取引及びそれに関連するというような目的の範囲内というような前提をつける必要があるかないかというようなことも、ぜひご検討いただきたいと思うわけです。

岩村委員、どうぞ。

○ 岩村委員

今、原委員や上柳委員のお話を聞いていて、この理解でいいんですかという 感じなんですけれども、まず、金融機関からであれ、個人情報を取得してそれを事業の用に、例えばダイレクトメールを発送するのに使ったり、例えば取引先の勧誘に使ったりというのがありますね。それは、この個人情報保護基本法によると、個人情報データベース等を事業の用に供するわけですから、個人情報取扱事業者に相当するわけですよね。個人情報取扱事業者に該当すれば、第20条以下の規制にかかるわけですから、当然その利用目的は公表しなければいけないし、目的外のデータを取得した場合には遅滞なく本人に通知しなければいけない、以下、さまざまな規制があるわけで、それはそうなんですよね。

ただ、問題は、葬儀屋さんとか不動産屋の勧誘屋さんが個人情報取扱事業者に大体は買えばもう既になるわけなんだと思うんですが、それの行為規制が必ずしも十分ではない。しかも、それが金融を取り締まるという観点での主務大臣の方からは及びにくい区域に入っているということが私はあると思うんですね。

どうしてあんなにいろいろなダイレクトメールが来たり、日曜日ののんびりしている時間に電話がかかってきたりするのかというのをちょっと聞いてみたことが昔あるんですが、非常に多くの場合は大学の名簿なんだと、岩村さんは某大学の卒業生で名簿が載っていて、次いでに早稲田大学の教職員名簿に載っているから、Ｒで始まる評判の業者から電話がしょっちゅうかかってくるのは当たり前だというふうに言われるんですが、結局そういう業者の方をどうするかと。ぎりぎりの議論をすれば、これは特に金融に関するもので取得した情報ですということを個々の業者が利用の際に開示しろと。これはそういうふうにできていないんですが、ダイレクトメールを送るときに、ダイレクトメールの中に、これはどこそこの取引とか、あなたが同意したことに基づいて発送されたダイレクトメールですというのを書きなさいということを……。

ここでどうもちょっと気になるのは、個人信用情報ではなくて、金融に関するになってしまって、主務大臣が業者毎となっている制約はあるとは思うんですが、そういうものをつくると原委員がおっしゃっているような不快感とか不安感というのが随分克服され得ると思うんですよ、法律的にできるかどうかは少し気になるところがあるんですが。

私たちは金融に関する個人情報の保護というと、金融機関に対する規律に重視する。きょうも、別に事務局さんに文句を言うわけでもないんですが、ＦＩＳＣさんの規制と個人情報保護法と並べてしまうとそちらに目が行ってしまうわけなんですが。私の感じで言うと、確かに少しずつでこぼこあるなと。だけど、この対照表がつくれるというのは、大きな食い違いはないんですね。では、何か見落としがないだろうかと。しかも、この業界規制が十分に例えば消費者団体の方の問題意識にこたえているだろうかという話は、みんな何でもやっているわけだし、既に今週ずっといらしたわけなんですが、食い違ってしまうのであれば、また別のやつを考えることがあってもいいと思うんですよ。

今回のこの個人情報保護に関する法律というのには随分文句をつけたい部分があるんですが、出てくるとそれを生かすことを考えたくなるわけなんですが、この「個人情報取扱事業者は個人情報データベースを事業の用に供している者をいう」というのは、使い方によってはなかなか強力な規定ではないかという気がするんですね。そういう方向からの措置というものが考えられないかどうかという意味で知恵を出してみるというのも、きょうと言ったら怒られますから、議論するに値すると思います。

○ 白井委員

ちょっと話があちらこちらになって申しわけないんですけれども、今回の個 人情報の基本法の主たる目的、内容というのは、個人情報の保護というのが中心になっていますね。実際にこの基本法で、今おっしゃられましたように、金融機関等もこの取扱事業者というのに入るというのは、受け止めによってはかなりプレッシャーのかかる感じには受け止められると思います、各業態とも。

さらに、今回、非常に特徴的なのは、認定個人情報保護団体というのを別途業界ごとに立ち上げるということですが、１点質問は、金融庁の監督下にあるセクションについては、これはいつごろどのようにされるというのは何かあるんでしょうか、具体的なスケジュールというのは。これはどういうふうにそれぞれがつくればいいのかというのは、何かあるんでしょうか。

○ 棚橋調査室長

今の点にお答えをさせていただきます。

42条、条文で申しますと26ページから始まるいわゆる認定個人情報保護団体の問題なのでございますが、これについてのまずスケジュールという点から言うと、この第２節を含めたところの第５章の規定は、附則の第１条の施行期日の規定によりますと、公布日から起算して２年を超えない範囲で政令で定める日から施行になると、２年間あるわけですね。

そういたしますと、それまでに認定基準の細目を各主務大臣ははっきりさせないといけないんだと思っております。それで、７ページの第12条をご覧いただきますと、前回、簡単にご説明いたしましたが、政府を挙げて１つの基本方針というものを定めます。これは法令そのものではないんですが、８ページの第３項をご覧いただきますと、そこで「閣議の決定を求めなければならない。」とされていますので、この基本方針は閣議決定文書となります。その中身なんですが、第２項の中に各号列挙されておりますが、８ページの冒頭の５号をご覧いただきますと、「個人情報取扱事業者及び認定個人情報保護団体が講ずべき個人情報の保護のための措置に関する基本的な事項」というのが入っているわけです。

したがいまして、流れからいいますと、まず、政府全体としてこの基本方針を固めないといけないと思うんですね。その基本方針が固まりますと、では、主務大臣ごとにどういう、先ほど見ていただいた認定基準に当てはめた場合に、どういうことを具体的な細目としての基準にするかの検討に入るということだと思うんですけれども。

ただ、もちろん……、先ほどもちょっとご質問が出ましたが、認定団体というのは奨励されているものであって、マストではないんですね、必ず業界ごとに１個設立しなければならないというものではないということです。

○ 白井委員

という流れで、要するに、その事業者に対するある種のコンプライアンスと 申しますか、いろいろな保護に当たった事業営業という形が否応なく求められるというのが目前に迫ってきているような感じがするんですね、それで、それを踏まえてここで今回この義務規定をどうするかという話なんだと思うんですけれども。

ちょっと視点が別の角度で申しわけないんですが、例の個人信用情報機関のＣＲＩＮの部分というのはまだ完全的な交流になっていないのですが、これが将来完全なものになるとまた見直しをするということなのか、それと今回のこととは全く関係なく、ＣＲＩＮが完全になろうとなるまいと関係なく、この義務規定を考えようということですか。

というのは、何でそういうことを申し上げるかと申しますと、要するに、金融取引における例えばローン・クレジットの分野においては、多重債務、自己破産の問題もあって、個人のローンによる利便性もさることながら、社会的にそれをできるだけ防止しようという側面がある中で、そこの完全交流がされていないことによって起きている部分も当然のことながらあるわけですね。したがって、完全交流するとちょっと違う社会がまたある部分では出るんだと思うんですよ。与信規制がもう少し適正与信の方にさらに進むということになると思いますので、そことその義務規定というのは全く切り離して今回は議論をすればいいのかということ。要するに、完全交流をしたときと現時点で議論することとは全く違う観点で議論をするのか、それは全く関係ありませんということで議論するべき内容なのかということをちょっと聞きたいのですが。

○ 棚橋調査室長

それについては、いろいろ考え方があろうかと思いますが、あくまで私 個人の意見を述べさせていただきますと、多重債務問題を解決する、言葉を変えれば、先ほどご紹介いたしましたが、貸金業規制法で言えば第13条に適正与信の義務がかかっているわけですね。これはいわゆる公法上の規制、公益的な規制なわけですが、そういう意味では、その要請を満たすためには個人信用情報というのは不可欠であろうと思っております、信用力を調査するという意味では。だけども、一方で、信用情報に限らず、まさしくこの法案があらゆる事業者を対象としていることからわかりますとおり、今のご時世では幾ら事業上必要だからと言って事業者の側が勝手に個人情報を、パーソナル・インフォメーションを取扱うのはもう許されない時代になったと、こういうことだと思うんです。

したがって、前回もちょっと触れましたが、まさにそれぞれの事業といいますか、ここでは金融という大きな枠組みでとらえているわけですが、そのビジネスの特性、個人情報の取扱いの特性を踏まえた上で、そういった権利利益の保護という要請と、信用情報に関して言えば、そういった過剰与信防止という、これは法律に基づく規制ですから、一種の公益的なニュアンスが強いんだと思いますが、そこをいかにバランスをとったシステムというか仕組みとするかということだと思うんですね。これが基本的な考え方だと思います。

その際に、では、今お触れになられたＣＲＩＮが一部の情報にとどまっているということと、それを全体に及ぼしたときで何が違うかというと、そういう目から見た場合には違いがないのではないかと、むしろ公益上の規制というものと全く個人の、このプライバシーのこと、全く私的な、インディビジュアルな利益の保護ですから、そこをどう調整を図っていくかというのがまさに信用情報ならではの世界の問題ではないかなというふうに私は理解しています。あくまでも私の意見です。

○ 有吉企画課長

白井委員は、やはりそこは何か、本質的なところでかなり違うという印象がおありなんですか。もしそうだとするとすれば、どの辺のあたりが……。

○ 白井委員

もう少し端的に言いますと、民間金融機関の場合、一般の個人のお客さんか らのローンの申込みを受けて審査をする場合に、現実にはすべての信用情報はとれないものですから、そこのところが非常に微妙な判断を要するために、結果として腰が引けているという部分が出るんですね。これは、完全に交流するかどうかは別として、仮にした場合を想定すると、かなり違った審査体制をとれるという可能性は若干はある。

それから、もう１点は、そうなりますと、この個人情報というものは、あらゆる角度から、例えば取引情報とかそれ以外の情報を一生懸命見なくてももう少しシンプルに判断できる、イエス、ノーを判断できるという時代が来るように思うんですよ、アメリカから来ているようなその手法をとれれば。そこのところが今のところないものですから、余り民間側の事業者に、これもだめ、あれもだめということをどんどんどんどん決められますと、今の時代では非常にその対応が難しいということもありまして、将来変わることがあるのかという質問をさせていただいたということです。

○ 倉澤部会長

お話はやはり個人信用情報の基本法に対する特性のお話だろうと思うんで すね。そういう場合に、金融機関として与えられた社会的責務を果たそうとすれば、そういうネットワークが必要だということになるとすればそれなりに対応しなければならないわけですけれども、この我々が今考えているそういう特性に基づく保護と利用との在り方というのは、今、具体的に固有名詞が挙がっているネットワークの成否とかそういうものとは関係なくお考えいただきたいと私は思うんですけれども。

○ 白井委員

現実は現実として理解しておりますので、それはそれでいいと思います。

○ 倉澤部会長

予定の時間も迫ってきてしまいましたが、では、高橋委員、お願いします 。

○ 高橋委員

団体認定の細目基準づくりということに寄せて何点か申し上げたいと思います。

１点目は、ＣＲＩＮとか生命保険の契約内容登録制度のように、本人がどうしても同意せざるを得ないと、例えばお金が借りられないとか、保険に入れないとか、入りたいし借りたいから言うわけですから、そういう情報提供に関しましては、同意した本人に対して必ず報告義務というのを定めてほしいということです。この報告義務というのはどういうことかといいますと、どのような情報を提供しているのかというのを適宜、適宜というのは例えば登録時等、登録しなくても毎年最低１回とか、それが必ず必要ではないかと思います。それはなぜかというと、その登録内容が間違っていたり、古いものが残っていたりということに対して消費者は不安を感じているわけですから、自分がどういう登録をされているのかということを、自分が聞いてわかるのではなくて、同意した以上、同意をとりつけた以上といいますか、そちらの方から消費者に、契約者に対して知らせる義務があるのではないかと、この点のご検討をお願いしたいということが１点です。

２点目は、ＦＩＳＣの規定を背景にしまして問題点といいますのは、やはり市場規律の活用による個人情報の保護を進めるのであれば、やはり解釈に幅の出る表現というのは消費者にとって不利なことが非常に多いなということを感じたわけなんです。ですから、例えば業務上必要な範囲とか、顧客の契約を履行する前に必要な範囲とか、利用を提供の目的の一般的なとか、この辺というのはどういう判断をするかで違ってしまいます。そうすると、やはり事業者の方は事業者に有利な判断というのをされてしまうわけですから、こういうものというのはかなりもう少し細かく規定させるような方向にしてほしいということなんですね。

３点目は、そういう例えばＦＩＳＣの基準なんかを意識してつくられたと思われますその各金融機関のプライバシーポリシーとか、個人情報保護方針とか、こういうのを今チェックしているんですけれども、今のところまだインターネットでしかチェックしておりませんが、その辺を見ているとまだまだ少ないなというのが１点なんですけれども。出ているところを見ていっても、同じ業界でも書きぶりというのがかなり違っているんですね。それから、同じ業界でも国内社同士でも違っていますし、海外の外資と比べるとかなり書きぶりが違うということに気がつきました。それから、業界を超えますと、これをちゃんと書こうというような業界と、そうではないところというのも明らかに あるなというふうに申し上げたいとどこがというふうには申し上げないんですが、この辺を見ていきますと、やはりそういう認定団体をつくるからには、そういうプライバシーポリシーなんかを公表するに当たってはやはり標準化をしていただきたいということなんですね。一つ一つ見たって、細かいカテゴリーでここで引っかかっちゃったというふうなことがあるとやはり消費者は困るわけですので、その辺の標準化を前提にした指針ということが必要なのかと思います。

４点目、最後ですけれども、そのプライバシーポリシーを見ていて一番違いましたのは、やはり外資と国内での違いなんですが、グループ会社に関しての記述なんですね。日本の場合は、グループ会社に対しても特段の記述というのは認められないんですが、海外のものでいきますと、例えば「弊社及び弊社グループ会社、提携会社」、提携会社ですと個別列挙になっていたりするわけなんですけれども、それが日本の会社ですと、 その会社名でないグループととれるような個別名で言って申しわけないんですが、「日本生命」ではなくて「ニッセイ」というふうにカタカナで書いてあると、グループ全体を示すのかなと思うんですが。それは個人情報保護方針自体はいいんだけれども、そこを見ていった場合に、それがどういうふうに収集して使われるかというところについて、「当社」と書いてあるところもあるんですけれども、「当社」という書き方をしていないところに関しては非常に幅の広い利用をされるのかなというような感じがしてしまうわけなんです。

ですから、グループ会社等々の規定で気がつきましたけれども、そこから入ってきますと、それを入れればいいというものではなくて、私自身は、今の現状あるいはアメリカで起こっていることなどを見ていきますと、やはりグループ会社に関してはかなり厳しい規定といいますか、私はそのような方向で行った方がよいのではないかというふうに思っています。

日本の中でもいろいろな動きがありますけれども、例えば海外で言うと、アカウント・アプリゲーション・サービスと言うんだそうですけれども、アメリカの大手の銀行とか証券は、個人が複数の金融機関に対する個人情報をネット上で集約して表示するサービスなんていうのが始まっていて、個人はコンサルティングを受けたくて自分の情報を、１社の情報だけではなくて、いろいろな銀行とか保険とか証券の情報を入れると。それに対して、確かに、あなたはこういう部分が例えば足りないのではないかとか、そういうアドバイスを受けられるのはいいんですけれども、それがグループ会社になっていると当然ながらそちらの会社の方に個人情報が出ていくわけなんですね。それは、それをとることを目的にどうもつくられているらしいものがかなり出てきていると、この辺はやはり意識しなくてはいけないのかなと。アメリカの場合はグループ会社に関しての規定というのは非常に甘いようですので、そこを利用して、いろいろ消費者にとっては危ないとは申し上げませんけれども、かなり個人情報がいろいろな形で利用される危険性というのが出てきているのかなというふうに思います。そこら辺はお詳しい先生方もいろいろいらっしゃると思いますので、グループ会社についてはかなり細かい表現を出していただきたいと思います。

以上です。

○ 倉澤部会長

予定した時間が到来しましたけれども、この際、特にということがありま したら、お一人ずつ短くお願いいたします。

○ 原委員

岩村委員からの発言であれなんですけれども、ずっと私は個人信用情報の議論 にかかわってきていつも暗礁に乗り上げてしまうのが、ここの、個人信用情報機関同士のＣＲＩＮですね。過剰与信を防ぐという意味で、本当は延滞情報をもうちょっと交流すればいいんだけれども、それができていなくて、ホワイト情報の交流という話になって、そうするとそれぞれの組織の思惑というんでしょうか、それが出てきて、いつも暗礁に乗り上げてきているというのがこの数年間なんですが。

今回はそれも含めてもっと広くということでの議論になるんですけれども、やはりそこの部分についてどう考えていくのかということも、次回のヒアリングのたしか対象におなりになっていらっしゃると思うので、実態と今後をもう少し丁寧にそのときにご説明いただけたらというふうに思います。

○ 倉澤部会長

ありがとうございました。

私の不手際でまだ腹膨れぬ先生方も大勢おられるかと思いますけれども、本日はこの辺で打ち切らせていただいてよろしゅうございましょうか。

（「異議なし」の声あり）

○ 倉澤部会長

ありがとうございます。

それでは、これで本日の自由討論を終了いたします。いろいろと貴重なご意見をいただきありがとうございました。

本日は、今後、検討を進めていく上での基本的考え方について新たなご提言や、さらに金融分野における個人情報保護等についてどのような規律が求められるのかということについて、ご審議をいただきました。

事務局におかれましては、前回及び本日の審議を踏まえ、当部会における具体的な検討項目について整理していただくようお願いしたいと思いますが。その前に、次回には、割賦販売分科会個人信用情報小委員会との合同会議において、信用情報機関と消費者団体の方々から個人情報の取扱いの現状や問題点、また、当部会で検討すべき事項についてのご意見をお伺いしてから自由討論を行うことといたしておりますので、そこでの議論もその検討項目に反映させていただきたいと思います。どうぞよろしくお願いいたします。

それでは、本日の審議を終了させていただきたいと思いますが、この後、記者会見を行いまして、本日の当部会の模様につき私からお話をさせていただきます。

最後に、事務局の方からご連絡をお願いいたします。

○ 棚橋調査室長

それでは、次回の部会の日程でございますが、４月16日（月）、15時から。次回は例外的に３時間コースを予定いたしておりますので、お含みおきください。すなわち、午後３時～６時までの３時間の予定でこの会議室で開かせていただきますので、よろしくお願いいたします。

以上でございます。

○ 倉澤部会長

ありがとうございました。

それでは、以上をもちまして、本日の会議を終了させていただきます。

どうもありがとうございました。

（以上）