金融審議会金融分科会特別部会（第４回）議事録

平成１３年５月１７日
金融庁総務企画局

○ 倉澤部会長

定刻を過ぎましたので、ただいまから金融審議会金融分科会特別部会の第４回目の会議を開催いたします。

本日は、皆様ご多忙のところご参集いただきまして、ありがとうございます。

本日は、村田吉隆副大臣にご出席いただく予定でございますが、国会等の公務の関係で遅れておいでになるとのことで、おいでになったところでご紹介させていただくということで、早速お手元の議事次第に従いまして議事を進めさせていただきます。

本日は、産業構造審議会の個人信用情報小委員会との合同会議も含め、これまでに当部会において行ってきた審議を踏まえて、事務局から今後の主要検討分野の案を提示していただき、自由討論を行っていただきたいと思います。これは金融に関する情報と一元的に見てまいりましたけれども、事務局から主要検討分野の案という形でご提案をいただき、自由討論を行っていただきたいと思います。

それでは、事務局よりご説明をお願いいたします。どうぞ。

○ 棚橋調査室長

それでは、ご説明をさせていただきます。

まずは、本日お配りいたしました資料のうち４－１の横Ａ４の資料をご覧いただきたいと存じます。この資料に沿ってご説明をさせていただきます。それで、これまでの合同会議も含めまして３回のご議論等を踏まえまして、私どもなりに、こういう点をこの特別部会でご検討いただいてはどうかということをこれから説明させていただきます。

まず、１ページ目でございますが、その前提となります個人向けの金融サービス、いわゆるリテールの金融ビジネスの今まさに起こっている構造変化、あるいはもう少し先を睨んだものがどうであるのか、それが特に当然のことながら個人情報保護という視点から眺めた場合にどういうことが考え得るのかということでございます。４点掲げてございます。

まず第１点に、総合的な金融サービスの提供ということでございます。すなわち、ビッグバンの金融制度改革以降、従来で言えば伝統的に銀行、保険、証券その他も含めて縦割りであったものが、現在はその垣根を超えたいわゆるフィナンシャルグループ化が進展を見ているわけでございます。

第２点といたしまして、昨年の金融審議会の第一部会でも審議テーマとなりました、金融以外の事業者、製造業であれ小売業であれ、あるいは商社であれ、そういったものが金融の世界、銀行に参入してくるという動きがあるわけでございます。さらに言えば、どういう言葉で言うのが正確なのかはわかりませんが、いわゆるバーチャルモールと申しますか、インターネットを使って、日本語風に訳すと仮想の商店街がございます。そこで個人顧客はいろいろな買い物、商品なりサービスの提供を受けるわけですが、当然それに対して対価としてお金を払わなければいけないわけです。そのお金を払うというのは、イコール決済ということでございますが、その決済サービスは当然銀行が担われている。そういう意味からいっても、バーチャルモールにおいて購買に係る情報と決済に係る情報は容易にリンクするような時代になってきつつあるということではないかと思うわけでございます。もちろん、バーチャルモールのある都市銀行さんの例を見ますと、その中で当然そういう一般の物品あるいはサービス、サービスといいますのは航空券の手配とかそういうことでございますが、それのみならず、そこには金融ポータルという部門があって、そこで多様な金融商品も提供するということも併せて行われているわけですが、そういう形態のビジネスモデルといいますか、そういうものが出てきている。そのことを個人情報という観点から見ますと、まさにそれは顧客基盤の共有であろうと思います。これをもっと戦略的にとらえれば、とりわけ富裕層だと思いますが、個人顧客を囲い込んでいくということが企業の戦略上あるいは企業グループとして重要ではないかということでございます。また、そういう形で顧客基盤を共有化するということは、すなわち個人情報に関するデータベースが大型化していくということを意味するのではないかということでございます。

３点目といたしまして、いわゆる金融機関の今後の戦略として、もちろん今日においては個々の銀行あるいはフィナンシャルグループによってとり得るべき経営戦略は当然違ってくるわけですが、一般論としてならして申し上げれば、リテール業務での営業体制の強化ということが、今我が国の金融界に求められておりますプロフィタビリティーの向上という観点からも重要であると一般に指摘されているところでございます。さて、その観点で見ますと、個人が金融機関と取引をする局面というのは、大きく分類すれば３つであろうと思います。すなわち、決済と資産運用と資金調達でございます。

まず、決済につきましては、申すまでもなくクレジットカード、あるいは最近で申し上げれば、即時に銀行口座から引き落とすというデビットカードの普及という現象が起きております。あるいは、先ほどちょっとバーチャルモールという例を申し上げましたが、いわゆるＢ to Ｃ、Business to Consumersの電子商取引の進展に伴います決済サービスの電子化ということでございます。この辺はまさにＩＴが生まれたがゆえに可能になってきた領域であろうと思いますが、そのＩＴを今現在の日本の金融機関がどこまで活用しているかというところについてはいろいろとご議論があるのかもしれませんが、将来を展望した場合には、折角のＩＴを活用してもっと潜在的なビジネスチャンスをつかんでいくということが、金融に限らずおよそ産業全般が求めているところであろうと思うわけですが、この局面、決済に関しまして申しますと、例えば購買履歴に関する情報、何を買ったかという情報と決済に係る情報を結びつけることも、やろうと思えば従来に比べればはるかに容易になってきているのではないかという気がいたしております。

次に、資産運用の面で申し上げますと、従来と違いまして、個々の個人顧客のニーズに適合した金融商品あるいはサービスの提供というものが金融機関には求められているということは申すまでもないわけでございます。また、個人の側からいたしましても、特に富裕層の方にとっては、単なる預金だけではなくて、商品が非常に多様化してきている中で最適な組み合わせ、しかもそのお１人お１人あるいは家族毎のライフプランというのは自ずと異なるわけでございます。したがって、例えばお子さんがいつごろ大学に行ってとか、つまり生涯で見たときにいつお金が必要で、逆に言えばいつお金がたまるかということを睨んだ意味で、最適に自らの金融資産というものを有利に運用していくということは大事なことでございます。そうなりますと、やはりコンサルティング機能の強化ということが今求められている。逆に言えば、これまでの日本の金融ビジネス、リテールにおいては、この辺が必ずしも進んでいない、あるいはそれだけのニーズがなかったということかもしれませんが、そういうことではないかと思います。ところが、コンサルティング機能の強化というのはまさにお１人お１人ということですので、個別の個人顧客の財務情報と申しますか、もっと広く個人にまつわる情報というものを活用しないことにはこれはなかなかうまくいかないということではないかと思うわけでございます。

それから、資金調達の面で申しますと、個人向けローン市場、とりわけ住宅ローン以外の一般の消費者ローンにおいて、新聞報道等を読んでおりますと、業態を超えた提携の動きが見られる。わかりやすく言えば、貸金業専業者の方と金融機関、銀行との提携の動きが見られるように思います。それから、その下の個人向けローンサービスのアンバンドリング化ということで、今国会に法案が出されておりますが、法務省の所管されているいわゆるサービサー法の中で今回一部改正がございまして、従来認められていなかった貸金業専業者の取り扱う債権についてもサービサーが取り扱うことができるという内容の法案が現在提出されております。そうなりますと、まさに個人向けの、言いかえれば消費者ローンのサービスというのは、お申し込みがあって審査をして契約を締結し、そしてその契約条件に従って返済がなされていって、最終的に全ての元本まで返すという一連のプロセスの中で、例えば審査、あるいは不良債権の回収といったそれぞれの業務がアンバンドリング化していく、ばらけていく。かつ、ばらけていくものを違う業者がおやりになるという動きがこれから出てくるのではないかと思うわけでございます。そういたしますと、資金調達という面で言えば、当然これは個人信用情報ということになるわけですが、この個人信用情報をこれまでご説明してきたとおり、今現に信用情報機関というものを業態別にお作りになって共同利用しているわけですけれども、その辺も今までのような業態毎の閉じられた共同利用システムよりもう少し進んだ形が今後展開し得るのではないかという気が私はいたしているわけでございます。

最後の第４点目は、これは何も金融に限った話ではなくて全ての産業に言い得ることでございますが、ＩＴの活用によって、効果的・効率的なマーケティング手法が発達する、あるいはそれをうまく活用していくのが、個別の企業毎にとらえればまさに生き残りの鍵であろうと思うわけでございます。ここで言う効果的・効率的なというのは、よく雑誌を拝見いたしておりますと、ワン・トゥ・ワン・マーケティングという言い方をいたしております。ワン・トゥ・ワンのトゥ・ワンのワンは明らかにワン・コンシューマーということであろうと思いますが、そのお１人お１人のお客様にマーケティングをするということであろうと思うわけでございます。こういうマーケティングをうまくやることによって、ビジネスサイドから見れば、今までは必ずしもうまく活用できていなかった個人情報をうまく使って収益機会を拡大できるでしょうし、逆に個人顧客の側からいっても、それによって利便性が向上するという側面が多々あろうと思われるわけでございます。

次に、２枚目にお移りいただきまして、ではこういった情勢の変化の中で金融取引における個人情報の価値とはどういうことが言い得るかということでございます。この点については、第１回特別部会におきまして５つの特性ということでご説明したことがございますが、それをもう少しモディファイといいますか、直したものでございます。ここでも４点挙げております。

まず第１点は、金融取引に伴い本人から収集する、あるいは金融取引というのは概ね口座を開いて継続的なものでございますので、その継続された一定の契約関係の下で発生する個人情報というのは、私生活をトータルにカバーしているということではないかと思います。特に、先ほどちょっと触れましたが、決済に関する情報というのは、今までは必ずしも銀行さんはそういう意味で有効に活用してこなかったのかもしれませんが、これからは活用しようと思えばできるのではないかということです。活用することが良いか悪いかはまた別の議論でございますが、そういう意味から言うと、単に資産運用あるいは資金調達という狭い意味の金融財務に係るものだけではなくて、日々の消費に関することも含めてトータルにカバーしているということではないか。そうなりますと、このことは独り金融ビジネスにとどまらずリテールビジネス全般にとってマーケティング目的での利用価値が大きいのではないかと思われます。このことは、私が読んだある業界誌の記事によりますと、ある方の見方ですと、なぜ異業種が銀行業に参入するのかということなんですが、異業種、例えば流通業は、リテーラーの方から見て、今までもＰＯＳによる商品の売れ筋管理といいますか、そういうことを小まめにやってこられたわけですが、さらに売り上げを伸ばすといいますか、ビジネスを拡大していくためには、やはり最後は決済情報ではないかという書かれ方がされております。そういう意味から言いましても、リテールビジネス全般にとって金融機関が取り扱っている情報というものの利用価値は大きいのではないかと思われるわけでございます。

第２点でございますが、これは前回第３回の特別部会と申しますか、合同会議の際にある委員からご指摘があった点とも絡んでまいりますが、金融機関が取り扱っている情報の中で、信用供与あるいは保険の引受といった一定の金融取引につきましては、個人情報を使うということがまさに適正な契約の締結のために不可欠なのでございます。わかりやすく言えば、信用情報を提供しなければ審査ができないですから、金が借りられないということだと思います。そういうことが特定の分野においては言えますねということです。したがって、よく個人情報保護というときに何をすべきかというと、本人の同意をとれということになります。現に、前回のご説明にもございましたとおり、信用情報機関に情報を登録する場合、あるいは既に登録されている情報を利用する場合には、利用することについてご本人の同意を得ているというプラクティスに現在なっておりますが、果たしてそこで言う同意とはどういう意味合いを持つのかということでございます。この点は後ほどさらにご説明を申し上げたいと存じます。

第３点といたしまして、金融機関等はその業務の性格上、業務遂行の過程で個人情報を継続的に知り得る立場にあるということでございます。すなわち、金融機関は本人から申し込みの際に収集する個人情報に留まらず、一例を挙げれば預金残高、あるいは私などもそうですが、給与の振込額を銀行は把握しているわけです。私は給与を全額キャッシュではなくて私の取引銀行に振り込んでもらっておりますので、そういう意味での給与振込額、あるいはいろいろな為替取引に伴う情報もございます。あるいは、証券会社で申し上げれば、どんな株を売り買いしたかということがわかります。そういう有価証券の取引履歴、あるいは借入金の返済状況等々、いわゆる契約履行に伴って発生、そして蓄積していく個人情報というものを放っておいたって金融機関は知っているわけでございます。もちろん、金融機関の立場に立って申し上げれば、こういった情報はあくまで契約の安全確実な履行ということが第一義的な利用目的であろうと思います。あるいは信用情報に関して言えば、その適正な審査ということであろうと思いますが、それ以外にもこれは多目的に活用し得る余地が多々あるという情報ではないかと思うわけでございます。そういう立場にあるのではないかということでございます。

第４点といたしまして、最近の動きということなんですが、特定の個人に係る金融取引に関する個人情報というものを複数の事業者が相互に持ち寄って加工処理することによって、それだけその特定の個人に対する情報の精度が高まるわけでございます。そのことはすなわち、その情報の持っている経済的価値、企業の資産としての情報の価値が高まりますし、一方、その漏洩等が起きますと、それは極めて社会的影響が大きいということが、今後従来以上に起きてくるのではないかと思われるわけでございます。

それでは、３枚目にお移りいただきます。以上は金融に関して特化した説明でございますが、ではこの金融審議会として、あるいは私ども金融庁として、金融の世界についてどうあるべきかということでこれから各論を考えていく際には、ここでもう一度原点に戻った方がいいのではないか、つまり個人情報保護というのはどういうことをすべきなのかということを整理したものが３枚目の紙でございます。この中身の説明に入ります前に、参考資料としておつけしたお手元の資料４－２をご覧いただきたいと存じます。

まず１ページをお開きいただきますと、図解がございます。この図解は、第１回目の特別部会でご説明させていただきました個人情報の保護に関する法律案の一部を整理したものでございます。もう一度復習の意味でご説明いたします。

左の方からご覧いただきますと、個人情報の取扱いに当たっては、利用目的を特定する義務があります。そして、その特定された利用目的の達成に必要な範囲内でのみ取り扱うということになります。ただし、相当の関連性を有すると認められる範囲内での利用目的の変更は許されております。

そして右の方にお移りいただきまして、個人とのつながりで申しますと、個人情報の取得の場面においては、利用目的を事前に公表しておくか、さもなければ事後的に速やかに本人に通知もしくは公表する義務があるわけでございます。一方、その特例といたしまして、本人から直接書面に記載された個人情報を取得する場合、例えば申込書に書いてもらう場合、契約書を締結する場合、こういった場合には事後ではだめだということで、事前に利用目的を明示する義務がかかってくるわけでございます。

次に、左に書いてあります特定された利用目的以外で事業者が使いたい場合には、事前に本人の同意が必要となります。

さらに、個人情報のうちのデータベース化されたもの、「個人データ」の第三者提供についても、事前に本人の同意が必要となっております。ただし、これについては以下の特例措置が認められておりまして、個人情報取扱事業者の選択に委ねられているわけですけれども、第１がオプトアウトを認めている場合でございます。オプトアウトを認めていれば、事前の本人同意は不要となります。第２として、そもそも第三者に該当しませんという場合、該当しないということはイコール同意が要らないということになります。それには３つの類型があって、（１）は委託の場合、これは金融機関の場合にも当然多々委託していると思います。（２）は事業承継に伴い提供される場合、合併その他の事由で事業承継が起きる場合でございます。そして、一番問題になりますのが、（３）のグループによる共同利用の場合でございます。ここにつきましては、本人の同意は要らないわけでございますが、要件といたしまして、そこに掲げてある５項目を事前に、すなわち共同利用するより前に、本人に通知又は本人が容易に知り得る状態に置くということを要件としております。ただし、一番下をご覧いただきますと、このうちの共同利用する個人データの項目と、共同利用する者の範囲につきましては、変更したければ、これはもうこの特例措置の枠の外に出てしまいますので、原則に戻って、本人の同意が必要ということになっているわけでございます。ここでわざと二重枠で囲った部分がございますが、私が申し上げたいのは、我が国における一般法たる法案の上で、本人の同意にかからしめているのは、この目的外利用と、一定の場合の第三者提供であるということをまず頭に置いていただきたいと存じます。

次に２ページにお移りいただきまして、先ほど申しましたように、これから各論、具体的な措置を検討していくに当たりもう一度原点に返りたいということで、ＯＥＣＤ８原則につきまして簡単にご紹介させていただきます。

まず、第１の収集制限の原則につきましては、２行目をご覧いただきますと、「適当な場合には、本人が認識し、又は同意した上で、取得されなければならない」ということになっております。すなわち、「常に」ではないということがポイントであろうと思いますし、「認識し、又は同意」ということで、「常に同意」ではないということがポイントであろうと思います。

１つ飛んでいただきまして、３つ目の目的明確化の原則でございます。ここでは、個人データの収集目的というものは、収集時よりも遅くない時点において明確化されなければならないと。そういたしますと、今ご説明した我が国一般法の法案によりますと、取得の目的は事後でもいいことになっているわけですが、ＯＥＣＤ８原則では「収集時よりも遅くない時点」という形になっているわけでございます。さらに、「その後におけるデータの利用は、当該収集目的の達成又は当該収集目的に相矛盾せず」と、これはなかなか訳しにくい言葉なんですが、英語で申しますとnot incompatibleであるということでございますが、「相矛盾せず、かつ、目的の変更の都度明確化された他の目的の達成に限定されなければならない」。この趣旨は、我が国一般法でも取り入れられて、条文化されているところかと思います。

次に、利用制限の原則ということで、上の「目的明確化の原則に従い明確化された目的以外の目的のために、開示され」、この「開示され」というのは、我が国の一般法のターミノロジーに即して言えば「提供され」ということかと存じますが、ディスクローズされる。それから、「利用可能な状態に置かれ、又はその他の形での使用に供されてはならない」と。ここでも、本人の同意がある場合には構いませんということになっているわけでございます。

１つ飛んでいただきまして、３ページの公開の原則でございます。ここでは、「個人データに係る進展」、この訳を私はちょっと悩んだのでございますが、だからわざと英語も書いてあるんですが、developments、practices、それからpolicies、これについては全般的に公開の政策がとられなければならない。つまり、ここで求めていることはtransparentでなければいけないということではないかと思います。さらに、その個人データの存否及び種類並びにその主たる利用目的のほか、データ取扱者、つまり事業者のアイデンティティ及び住所を明らかにするための手段が個人から見て容易に利用できるようにしなければならないとなっております。

次は、個人参加の原則、本人の関与の問題で、個人は以下の権利を有するものとするとして、４つ挙げております。

まず第１は、データ管理者が本人に関するデータを保有しているか否かについて、確認を得るということ、confirmationするということ。２点目として、本人に関するデータについて、合理的な期間内に、仮に必要とする場合でも、過度にならない手数料で、合理的な方法により、かつ、本人が容易に理解できる様式でと、ここは非常に大事なところであろうと私自身は思っております。本人が容易に理解できる様式で、本人が通報を受ける、コミュニケートされるということ。そして、この（ａ）及び（ｂ）の権利に基づく要求が事業者によって拒否された場合には、その理由が示されること及びそのような拒否に対して異議を申し立てることができること。最後に、本人に関するデータそのものに対して、データ内容に対して異議を申し立てること、及び、その異議が認められた場合には、削除、訂正、完全化、補正するということでございます。

最後の原則は、責任の原則と一般にはよく訳されておりますが、いわゆる責任という場合に、ここで私が強調したいのは、accountabilityの訳だということでございます。私は英語は不慣れでございまして、海外留学もいたしておりませんし、旧大蔵省の人間の中ではドメスティックな部類の者でございますが、accountabilityとは、強いて訳せば、その下にありますとおり、説明責任を負うということではないかと思っております。わかりやすい例を言えば、窓口の店員さん自身がきちんとお客様に説明できるのかどうかということが問われなければいけないのではないか。そういうことも含めて、つまり単なる不適正な取扱いがあったときの損害賠償責任とか、そういったリスポンシビリティーというよりももう少し広く、質問があったときに「手前どもとしてはこういう形でお客様の個人情報を扱っているのです」と、あるいは「お客様のこういう役に立つんです」ということを、店頭のカウンターに座っていらっしゃる店員の方とか、そういう末端の方まで説明できるのかどうかということも大事ではないかと私は思っております。

次に、４ページに行っていただきます。もちろん、ＯＥＣＤ原則に従って、各国はいろいろな法制度をとっております。そこにはいろいろな差異がございますので、正直に申し上げて、私は担当者としてどこをモデルにしていいのかというのは、いまだに答えが出ておりませんで悩んでおりますが、一般的に今申しました原点に返るという意味で参考になるなと思ったのがこのＥＵ指令でございます。ちなみに、第２回の特別部会でご説明を申し上げましたＦＩＳＣのガイドラインも、このＥＵ指令ができ上がったことを基に改訂されたと承知いたしておりますが、ＥＵ指令について主だったところだけピックアップさせていただいております。

最初の２つは定義規定に関することでございまして、簡単に申しますと、processingという用語を使っておりますが、ここでは要は個人情報に関する一切のことを言っているということで、我が国の一般法に照らして言えば「取扱い」ということであろうと思っております。それから、「取得者」という言葉が後で出てまいりますが、「取得者」というのは、２行目にありますとおり、「第三者であるか否かを問わず、データを提供される（disclosed）者をいう」ということを押さえていただきたいと思います。

３つ目からでございますが、まずここで私が申し上げたいことなんですが、先ほどから同意ということを申し上げておりますが、ＥＵ指令上、「本人の同意とは」という定義が第２条の定義規定の中に置かれております。読み上げさせていただきますと、「自由意思で示された、特定の、かつ告知に基づく意思表示であって、それによって本人が自己に関する個人データが取り扱われることへの承諾を意味するものをいう」。キーワードをもう一度申しますと、「自由意思で示された」、"freely given consent"であるということ、そして"specific"であるということ、そしてinformされた上での意思表示であるということであろうと思っております。

次に、第７条の規定で、この取扱者が個人データを取り扱うことが正当、あるいは訳し方によっては合法と言ってもいいかもしれませんが、legitimateと認められる場合というのが（ａ）から（ｆ）まで掲げてあります。まず第１は、言うまでもなく、本人が明白な形で同意を与えている場合。ここで言う「明白な形で」というのをどう解すべきかということは、今後の我々の議論にとっても重要なことであろうと思います。第２点は、本人が契約当事者となっている契約を履行する上で必要である、又は契約締結以前に、つまり申し込みの段階で本人の要請に基づき取り計らう、あるいは措置を講ずるために必要な場合。３点目として、取扱者、ここでちょっと括弧書きをしておきましたのは、ＥＵ指令上のcontrollerというのは委託業者を除いた概念でございまして、あくまで単独又は共同で個人データの取扱いの目的及び方法を決定する権限を有している事業者のことでございます。その取扱者に課せられた法的義務を遵守するために必要な場合。４点目として、本人の重大な利益（vital interests ）を保護するために必要な場合。５点目といたしまして、公益目的又は取扱者若しくは個人データを提供される第三者が授権された公的権限の行使のために執行される職務の履行に必要な場合。最後が、取扱者又は個人データを提供される第三者が追求する、正当な利益が認められる目的の達成に必要な場合。ただし、第１条第１項の規定に基づき保護すべき、本人の基本的な権利（fundamental rights）及び自由に関する利益が当該事業者側の正当な利益に優先する場合は除かれます。

これをかいつまんで要約申し上げれば、事業者が個人データを取り扱う際には、もちろん同意があれば、それは一番はっきりしているわけですが、同意がなくても、例えば（ｂ）のように、契約の履行に必要な情報の活用というのは当たり前じゃないかということだと思うんです。あるいは（ｃ）のように、法的義務を遵守するために必要な場合ですとか、（ｅ）のように、より広い目的、公益目的あるいは公的権限に基づくといった場合は、当然使われてしかるべきでしょうし、（ｄ）のように、本人の重大な利益を保護するためであれば、当然それは使われてしかるべきであろうということだと思うんです。一番私自身がこれを読んだだけではよくわからなくて、本当はもう少し実態調査を直接ＥＵ加盟国の方に聞かないとわからないなと思っているのが（ｆ）でございます。ここで言っていることは、事業者の側に正当な利益が認められる目的の達成に必要であれば、個人情報を取り扱ったっていいわけでございます。ただし書きがポイントかと思いますが、その場合に比較考量という側面が出てきていて、本人の基本的な権利及び自由に関する利益が優先する場合は除かれてしまうわけです。この辺をどう考えるべきかということかと思います。

それでは、次のページにお移りいただきまして、先ほどのＯＥＣＤ８原則で言いますと公開の原則に対応する義務であろうと思いますが、本人に提供すべき情報という規定がございます。ＥＵ指令では……。

副大臣がお見えになりましたので、説明を中断させていただきます。

○ 倉澤部会長

ただいま、村田吉隆副大臣にご出席いただきました。ご紹介申し上げます。

○ 村田副大臣

どうも村田です。よろしくお願いします。

○ 棚橋調査室長

それでは、引き続き説明をさせていただきます。

本人に提供すべき情報というので、まず本人から直接データを収集する場合の義務でございます。まず（ａ）といたしまして、取扱者及びある場合にはその代理人のアイデンティティ、要するに名称とか住所とかということかと思います。（ｂ）といたしまして、その収集するデータの取扱いの目的でございます。この限り、（ａ）と（ｂ）に関して申し上げれば、もう一度１ページにお戻りいただきたいと思いますが、我が国の一般法の法案の図解に戻っていただきますと、左側の下の方をご覧いただきますと、我が国の法案では、保有個人データについて、以下の４項目を本人の知り得る状態に置くことが義務づけられております。すなわち、が事業者名、つまりアイデンティティです。そしてが利用目的となっているわけでございます。この限りにおいてはＥＵ指令と同じことでございます。

では、もう一度５ページにお戻りいただきますと、（ｃ）といたしまして、その他の情報ということで、例示が挙げられております。１つは、本人から収集するデータの取得者又は取得者の範囲（categories）で、先ほどちょっと触れましたとおり、定義規定によりますと、この取得者というのは、当該収集した事業者のみならず、提供先も含まれた概念でございます。第２点として、取扱者による質問への回答が義務的なものなのか、任意なものなのか。そして、回答しなかった場合に起こり得る、一応ここでは帰結と訳しましたが、consequences。３点目といたしまして、本人に関するデータについてアクセスする権利及び訂正する権利があること。こうなりますと、我が国の一般法の法案との比較で申しますと、（ｃ）のうちの前２者は我が国では義務づけられていない部分であるということがおわかりいただけるかと思います。ただし、お気をつけいただきたいのはその下でございまして、「（ｃ）については、データが収集される特定の局面を踏まえ、本人について公正な取扱いを保証するために必要な場合に限る。」ということで、一般ルールではないんだということです。ではどういう場面かというのは、それぞれの加盟国の法制に委ねられているということかと思われます。

次に、本人からデータを収集していない場合でございます。この場合には、「取扱者又はその代理人は、個人データの記録に着手する時又は第三者への提供を予定している場合には最初に第三者に提供する時よりも遅くない時点において」、つまり事前にということかと思いますが、（ａ）、（ｂ）は上と同じでございます。次に（ｃ）その他の情報ということで、本人に関係するデータの範囲、そして取得者又は取得者の範囲、それからアクセスする権利となっておりまして、さらにこれも必要な場合に限るとなっているわけでございます。

最後の６ページにお移りいただきまして、第12条のアクセス権のところでございます。これは、「全ての本人が取扱者から以下の事項を得るべき」という意味のアクセス権とご理解いただきたいと思います。

まず、合理的な間隔で制約なく、かつ、過度の遅滞や費用を伴うことなく、本人に関するデータが取り扱われているか否かの確認並びに少なくとも取扱いの目的、本人に関係するデータの種類及び当該データが提供される対象となる（データの）取得者又は取得者の範囲についての情報へのアクセスです。それから、取り扱われているデータ及び当該データの出所、インフォメーションのソースについての何らかの有用な、あるいはこれは訳し方が間違っているのかもしれませんが、もしかするとこれは取扱者が入手可能なということかもしれません。いずれにしても、available な情報についての、わかりやすい様式での本人に対する伝達。

次に（ｂ）に行っていただきまして、本指令の規定を遵守していないで取り扱われているデータの訂正、削除又は利用停止のいずれか適切な措置。特に、当該データが不備又は不正確であるとの理由による場合。

３点目として、当該データを既に提供した相手方である第三者に対して、（ｂ）の規定に基づき実施した訂正、削除又は利用停止について通知すること。ただし、当該通知が不可能であると証明された場合又は、これもちょっと訳しにくい言葉ですが、disproportionate、不相応な事務負担を必要とする場合は、この限りでない。そうしますと、ここも我が国の一般法の法案との比較で申しますと、ソースについての情報提供までＥＵ指令では求めているということが第１点。第２点として、我が国でも認められます、本人の要請に基づき訂正、削除、利用停止をした場合に、その提供先である第三者に対してその旨通知するということです。これは我が国の一般法では求めていない点であろうと思います。

最後に、本人の異議申立権でございます。第14条の規定でございますが、先ほど見ていただきました第７条の取扱いが正当と認められる場合（ａ）から（ｆ）のうちの少なくとも最後の（ｅ）と（ｆ）に規定されている場合においては、「本人に特有の置かれた状況に関して」、つまりお１人お１人の個別ケースでということですが、「抗しがたい正当な理由により」、ここもちょっと訳しにくいのですが、compellingであるということなんです。「抗しがたい正当な理由により、本人に関するデータの取扱いに対して、いつでも異議申立てをすることができる。正当な異議申立てがあった場合には、取扱者は当該データについてはその取扱いを続行してはならない。」原文で言えば、no longerです。

さらに（ｂ）では、これまでの３回のこの部会でのご議論でもかなりご意見が出た部分でございますが、ダイレクトマーケティングの問題でございます。「取扱者がダイレクトマーケティングの目的で取り扱うことを予定している、本人に関する個人データの当該取扱いに対し、無料で本人が申し込むことにより、異議申立てをすることができる。又は、第三者に初めて個人データが提供され、若しくは第三者に代わってダイレクトマーケティング目的で使用する以前に、取扱者は本人にその旨を告知し、当該第三者への提供若しくは使用に対し、無料で異議申立てする権利があることを明示しなければならない。」となっております。

そして、「加盟国は、」これは言うまでもなくＥＵ加盟国ですが、「加盟国は、（ｂ）の前段に規定する権利があることを本人が確実に認識できるようにするための所要の措置を講じなければならない。」となっているわけでございます。

以上、外国の事例のご紹介を終わらせていただきまして、もう一度資料４－１の３枚目の「個人情報保護等に対する規律」というところにお戻りいただきたいと思います。

私なりに整理させていただきますと、１つは「自己の情報の流れをコントロールする」という考え方を尊重しなければならないわけですが、それには２つあろうと思います。(１)は、事業者による利用あるいは第三者提供に対する、その事前の段階での本人の認識又は同意の問題でございます。先ほどちょっと触れましたが、ただしこの同意というものについては、本人の同意が真に有効なものであると言えるための前提条件がなければいけないのではないかと思うわけでございます。すなわち、先ほどご紹介したＥＵ指令上の本人の同意の定義によれば、同意を求めるということは、逆に言えば、個人顧客は同意しない自由がなければいけないはずなんです。つまり、事実上同意するしかないときに同意をとるというのは、もちろんそれ自体は私は何ら否定いたしませんが、本来同意というのは、同意するしないの自由があった上でのことではないか、つまり自由な意思に基づくという局面で最も有効な保護措置ではないかと思うわけでございます。

第２点は、ＥＵ指令でありましたinformedの問題でございます。すなわち、利用・提供の目的、あるいはその使われ方というか態様、さらには当該利用・提供の結果将来生じ得る本人への影響、consequencesについて、その本人が社会通念上客観的に認識できる状態にまず置かれなければいけない。そういう状態に置かれた上で、同意すべきか否かの可否を合理的に判断できなければいけない。そういうことがないと、単に約款に書いてあって、よくわからなくて署名捺印しましたということでは、ＥＵ指令で言う精神に反すると思います。ただ、お断りしておきますが、あくまでこれは条文の上でこう書いてあるというだけであって、ではＥＵ加盟国の金融機関がどこまでやっているかは、正直言って今の段階では私はわかりません。これはもうちょっと実態調査をしてみないと、本当にどういうプラクティスでこの辺のＥＵ指令に則したことをやっているのかは、今私は答えを持ち合わせておりませんが、少なくとも理念的に言えばそういうことではないかということでございます。

(２)は、「予期せざる不都合な事態に対処するための本人の異議申立て」という問題です。すなわち、利用・提供の前の段階で同意をします。でもそれはあくまでも、今申しましたとおり、事業者が利用・提供した結果将来本人にはね返ってくる影響をその時点で説明を受けて認識したとしても、それでもなおかつ予期せざる不都合な事態というのは、世の中のことですから起こるんじゃないかと思うんです。そのときにどういう形で本人がそれにクレームをつけるのかということが、もう一つの柱ではないかなと思います。ただし、その下に「異議申立ての仕組みを設ける場合に斟酌すべき問題」と書きましたのは、先ほどのＥＵ指令の第７条においても、取扱いが正当と認められる場合の一つに、事業者が持っている業務上の正当な利益というのは尊重されているわけです。したがって、事業者側の正当な利益というのは当然そこでは尊重しなければなりません。かつ、特に一旦同意をしたということになりますと、この同意自体も契約の一部であるはずです。今の運用上も、申込書とかそういうものの約款の一部に同意条項が書いてあって、一括して署名捺印していると私は認識しておりますが、そういう意味ではまさに契約の一部なわけですから、それがフリーに全く無制限に本人が事後的にオブジェクトされたのでは、契約の安定性という観点もあろうかと思いますので、この辺はもう少しよく検討しなければなりませんが、いずれにしても、何か異議申立て。もちろん、これは我が国の一般法の法案上、苦情処理が義務づけられておりますし、それから認定団体の主要業務とされておりますが、私の認識では、ここで言う異議申立て、ＯＥＣＤ８原則でも書かれており、ＥＵ指令でも書かれている異議申立てという概念には、もちろん苦情処理も含まれますが、もう少しアクティブなといいますか、自己の情報をコントロールするという観点からの事後的な関与というものがあり得るのではないかと。もちろん、日本の風土、国情に照らしたものでなければならないわけですけれども、そういうものがあるのではないかという気がいたしております。

もう一つは、事業者の業務遂行上の正当な利益が認められる利用目的での取扱いというものを、これから考え出していくルールが不当に妨げてはいけないんだと思います。個人情報の保護を考える場合に当たっては、やはり有効な適切な利用という側面を決して忘れてはいけないのではないかと私は思っているところでございます。

ということで、説明が長くなりましたが、一番最後のページをお開きいただきますと、以上つらつら考えますに、私としては、今後この部会においてご検討いただく分野として、あくまで「主要」ということですので、これ以外を排除するつもりでは決してございませんが、主要検討分野といたしましては、第１に、「金融取引に係る個人情報の同一企業内での多目的な利用」、マルチパーパスな利用、「及び同一グループ内での複数企業による共同利用に関するルール」ということでございます。

もう少し補足させていただきますと、まずこの同一企業内での、すなわちある銀行内でのとかということですが、その多目的利用というのは、私の持っているイメージは、銀行の中でも当然事業部門が分かれていて、個人向けの金融ビジネスの中でも、例えば融資する部門と、預金を取り扱う部門と、あるいは投信を売る部門、保険を売る部門、それぞれあるはずだと思いますが、そのデパートメント間での情報の共有の問題でございます。

もう一つは、まさしく本来契約開始時に収集する情報なり、その後の契約履行の過程で発生する情報の本来的な目的というのは、その契約の安全確実な履行という先ほど申し上げた点だと思うのですが、それ以外にも、先ほど最初に１ページでご説明しました通り、これからのワン・トゥ・ワン・マーケティングを考えた場合には、当然そういうマーケティングに積極的に活用していくということがあって然るべきだと思いますが、そういった意味での別の目的での利用でございます。そういった点をイメージしたつもりでございます。

それから、後段の「同一グループ」といったときのグループの持っている意味合いでございます。これは、たしか第２回の際に原委員からご質問が出された点かと思いますが、確かにＦＩＳＣの現在のガイドラインでは、財務諸表上の親会社、子会社、関連会社をいうとなっていますが、私はここでのグループというのはそういう意味に限定しておりません。もちろん、そういう意味の資本系列にあるものは当然含まれますが、よしんば資本系列になくても、業務提携をして、つまり一定の契約に基づいて恒常的に情報をやりとりする、共有する、そういう意味でグループという言葉をここでは使わせていただきたいと思っております。ただし、さらに敷衍申し上げれば、では例えば今のグループというのもいろいろな形態があり得るわけですけれども、私の考えているのは、そのグループについて何か一律のルールを当てはめるということまで思っているわけではございません。いろいろなグループの形態があって、その形態をもう少しよく検討した上でそれにふさわしいルールを考えればいいということであって、資本系列にあろうがなかろうが、およそグループだったら一つのルールをビシッと当てはめるという趣旨ではございませんので、お願いします。

第２点は、信用情報機関及び会員事業者による個人信用情報の共同利用システムに関するルールの問題でございます。これはもう多言を要しないと存じます。これまでも資料の形でご説明してきたところでございます。

さらに、この２つの主要検討分野について補足説明をさせていただきますと、ちょっとまだ深く思いが至っておりませんが、この１と２の分野は、一応こうやって分けますが、一部オーバーラップする局面が出てくるような気がいたしております。すなわち、わかりやすい例を言いますと、信用情報機関に登録すべき情報というのは決まっていますね。信用情報機関と加盟する会員事業者との間でこういう情報を登録しましょうという決め事がありますが、その情報はもともと加盟事業者のものですから、それをグループで利用するということも当然あり得るわけです。もちろん、今の自主ルール上、信用情報機関が持っている情報は与信判断以外に使うなというルールになっていることは私も百も承知しておりますが、そういうことを言っているのではなくて、もともと信用情報機関に登録する情報というのは、その銀行なりの情報ですね。それを別途何か別の目的でグループで利用する、あるいはここで言う同一企業内で多目的に利用するという局面も想定し得ると思いますので、そういう意味でオーバーラップする部分があるのではないかということ。

第２点として、この１と２の中間形態のものがあると私は思っております。それは何かというと、既にこれまでの部会でご説明があったところですが、保険会社さんが契約内容等について同業者間で情報を共有されておられるというご説明がございました。私の理解では、保険会社の契約内容の情報というのは信用情報ではないんだと思うんです。いわゆる与信供与ではないですので。ただ、やはりそれはそのときのご説明によればモラルリスクの排除のためにやっているわけですから、もちろん現在のプラクティスでご本人の同意をとっているやに伺っておりますが、いずれにしてもその情報というのは私に言わせれば公益目的がある。つまり、先ほどのＥＵ指令の第７条で言えば（ｅ）に当たる利用目的であろうと思うわけです。したがって、一般の情報といいますか、マーケティング目的で使うということとは分けて考えるべきだと思いますが、中間形態としてはそういうものも視野に入れなければいけないのではないかと思います。

そして、この主要検討分野（案）のうち、１についてはこの部会単独でご議論をお願いし、２については合同会議においてご議論をお願いできればというつもりでおります。

では、かなり時間が押してまいりましたが、最後に資料４－３をご覧いただきたいと存じます。ここではあくまで、今ご提示を申し上げた主要検討分野（案）のうちの１に関しての検討事項でございます。

まず第１に、何がしかの措置を講ずることの意義あるいは目的ということでございまして、この基本線がまずは確立しませんと、あとのルールの中身がぶれてくるような気がいたしますが、その場合には、個人顧客から見た視点、それから事業者から見た視点、そしてマーケットから見た視点があろうかと思われます。

２として、具体的なルール整備の在り方ということで、ルールの中身です。これは、分類整理をいたしますと、まず第１は、本人の認識に資するための周知活動の問題でございます。第２は、まさにお１人お１人の個人顧客との関係の問題ですが、その個人情報を収集するに当たってどういう点に留意すべきかということ。第３点として、ここが最も眼目になるかもしれませんが、その利用目的、あるいは共同利用する者などなど、その利用の態様に応じた同意取得の方法ということ。４点目として、本人が個人情報を使われた後の事後的な関与の在り方の問題。そして、その他何かあればその他ということでございます。

こういったルールについて、その実効性を担保するためにはどうしたらいいかということで、それは大きく言えば２つです。１つは、ルールの遵守のためにどういうことをすればいいか。そして、違反した場合にはそれを是正するためにどうすればいいかということがあろうと思います。

ちょっと時間が押しましたので、最後の検討事項の説明についてはこの程度で止めさせていただきます。以上でございます。

○ 倉澤部会長

どうもありがとうございました。

ご案内のように、この個人情報の保護に関する一般法、あるいは普通法といいますか、としての法案は既に閣議決定後国会に提出されているという段階で、我々としては、金融取引に係る個人情報について、その利用と保護との兼ね合いについて、特別なルールの設定が必要なのではないかということで今まで見てまいりましたけれども、その中で主要な検討分野として、この４ページにありますように、これを検討の主要な対象となる分野として設定すべきではないかという提案があったわけでございます。

ただいまのご説明、それからご提案に関しましてご質問なり、ご意見なり、どうぞご自由にご発言いただきたいと思います。どなたからでもどうぞ。菅野委員。

○ 菅野委員

１番の最初の部分の「同一企業内での多目的利用」というところがちょっと私は余りよくわからなかったものですから、どういうことなのか、もう少しご説明をいただきたいと思います。

○ 棚橋調査室長

はい。では、もう一度といいますか、ご説明いたします。先ほどの資料４－１の「個人情報保護等に対する規律」というところに戻っていただきたいのでございますが、ここの【参考】のところで、一般法の法案では、目的外利用については同意が要るということになっております。問題は、結局この「目的外」の目的とは何かと言えば、特定された目的ですね。その特定の度合いともこれは絡んでくるんです。広く当行として、○○銀行としてお客様のためにという利用目的だったら、この目的外利用に当たりません。そういう理解でよろしいですね。それでいいのかどうかということなんです。つまり、金融機関に当てはめた場合に、多目的な利用というのは言葉をかえれば目的外利用だということです。さらに言えば、その目的を事細かにすればするほど、それ以外は目的外になります。そういう趣旨です。

それからもう１点申しますと、第２回特別部会の際に対比表をご説明申し上げました。あの中で実は、本日はお手元にお配りいたしておりませんが、既に保険業法施行規則の中では、銀行による保険窓販の場合に、非公開情報については本人の書面その他の適切な方法による同意がない限り使えないというルールが定まっているわけです。これなどはまさに目的外利用ということです。

そういうイメージでおとりいただければと思いますが、以上の説明でご理解いただけましたでしょうか。

○ 菅野委員

はい、わかりました。

○ 倉澤部会長

僕の全く個人的な考えでは、多目的利用、つまりいろいろな他業種の人が金融に参入してきたり、それから金融業が他業種へ出ていったりするときに、いろいろな取引でおのずから情報というものが入ってくるというときに、その利用が多目的利用なのか、目的外利用なのかということも、そもそも議論の対象になりそうな感じもするんです。したがって、今、室長からお話があったように、そのときの目的として、いわゆる本来の目的というものの特定の度合いみたいなことがこれから一番の問題になってくるのかもしれません。

原委員、どうぞ。

○ 原委員

棚橋さんの方でとてもよく整理してくださったと思うので、棚橋さんの頭はかなりクリアになったという感じなんですが、追いついていくのがちょっと大変で、整理しながらなんですが、幾つかあります。

その前に一つちょっと訂正ということでお願いしたいんですけれども、前回のときに合同の会でヒアリングということで、私ども消費者団体の方からもヒアリング要請ということでちょっと発言させていただいたんですが、その後大変気になる、ちょっと誤解を与えたかな、誤認を与えたかなというような発言とかやりとりがありましたので、ちょっとその修正だけお願いしておきたいと思うんです。一応、個人信用情報の判断の場合、こちら側が提供するものとして、与信判断の場合、これは消費者金融ですとか、それからローンを組むときというものと、それから銀行に預金をするということに分けてちょっとお話し申し上げたときに、与信とか信用という言葉なんですが、これをちょっと一般名称的に使いまして発言したときに、例えば投資信託商品を買うようなときにも、私どもはかなり細かな情報を提供いたしますけれども、それも与信判断と考えて、それは個人信用情報保護法という特別な立法が必要だと発言したつもりだったんですが、どうも切り分けの仕方が、ここで発言をしたときに、消費者金融とかローンのところだけに特別な法が必要だというふうにちょっと誤認を与えたようで、私も確認したんですけれども、投資信託商品を買うようなときに適合性の原則のために取られるような、私どもが提供する個人情報というのは、その場合は信用情報、与信判断というふうに少し大ぐくりに考えて発言して、その部分も含めた形できちんとした立法が必要だということの発言でしたので、少し私の方からの訂正というのはあれなんですけれども、補足と訂正とをさせていただきたいと思います。それが第１点です。

それから、きょうのお話を聞きながら、私も事前にこういうことを発言しようかなと思ってきた部分と、それからご説明を聞いてまたちょっと変わったようなところがあったので、うまく言い尽くせるかどうかわからないんですが、お聞きしている範囲の中でまず、特別部会４－１の資料の一番最後のところで、主要検討分野ということで１と２とに分けますと。１は基本的には自由に選択ができる中で同意をとるという情報の交流の流れの中での規制と、それから２のところが消費者金融とかそういったところの話になって、ここを切り分けて、そして２のところは合同部会でやりましょうという話になって、この間で落ちるようなところが、今生命保険の事例を出されたんですが、それだけかなと思っていて、例えばクレジット履歴などがありますね。そういうものも入ってきたりとかすると、さっき異業種参入の話も出ておりましたけれども、何かもっとこの１と２の間でダブってくるような分野があるのではないかなと思っておりまして、それをもう少し整理してみる必要があると思っております。

それから、４－３で検討事項ということで整理していただいているんですが、２の「具体的なルール整備の在り方」のところで、ＯＥＣＤの８原則の中に説明責任の話が入っているんですけれども、（２）と（３）の間に説明責任というようなことが入るのではないかなと思います。

それから（４）のところも、「本人の事後的関与」という書き方になっていて、これは個人情報保護法の本体の話でも、ＯＥＣＤの８原則を５原則にして、透明性の確保ということで文章が入っている部分なんですが、透明性の確保というのは本来であれば私どもとしては本人からのアクセス権とコントロール権ときちんと明文化していただかったんですけれども、ちょっと曖昧模糊とした表現になっていて、今回の場合も「本人の事後的関与」という、関与できますよというだけの抽象的な表現にとどまっていますけれども、内容的にはやはりアクセス権とかコントロール権で構成していただきたいと思います。

それと、一番問題なのは（３）のところなんですが、（３）ですべてのことを一つの中に盛り込み過ぎているかなと思っていて、一つは利用目的。今、利用目的は変更とか多目的とかいろいろありましたけれども、ここの部分はかなりいろいろな場合があると思うんです。だから、利用目的の変更とか、どういう利用の仕方、共同利用のところにもありますけれども、そういう情報がどう流れるかというんでしょうか、利用されるかということのくくりの話と、それから業態間とかのいろいろな形で、どこまでをグループとするかとか、どこまでを共同利用という範囲にするのかという、そのグルーピングの話と、それから同意取得の方法、この在り方の話と、３つぐらいの話が本当は中に入っているんじゃないかと思って、ちょっと無理して一つの中に入れ過ぎているように思って、ここをもうちょっと整理して、それぞれ論点を出してみた方がいいのではないかなと思っております。

またあと気がつくことがありましたら……。

○ 倉澤部会長

どうぞ、室長。

○ 棚橋調査室長

では、今のご意見を承っていて私なりに感じたことを申し上げます。

まず、冒頭の消費者団体からの意見陳述の訂正の件なのでございますが、先ほどはちょっと触れませんでしたが、いわゆる信用情報というものの定義が、というのはこの分野についてはもう何年もやってきているんですが、いまだに信用情報とは何ぞやというのが難しいんです。かつての作業部会の中間整理などを読んでも、そこがはっきりしないということがあります。このことは、それこそ最終的に法律にするということを考えた場合には、致命的なんですね。つまり、法律というのは定義ができなければ、およそ第１条 目的の後には第２条 定義規定があるわけでして、問題なんですが、私の理解では要するに信用供与の判断に使われる情報というのが一番わかりやすいのではないかと。そういう意味で、先ほどちょっと触れましたが、保険の引受というのはやっぱりちょっと信用の供与とは違うような気がするんですけれども、何が共通しているかというと、一定のリスクを排除するために、保険の場合であれば、この前のご説明によるとモラルリスクの排除だと。それから、信用供与で言えば、まさに貸し倒れリスクの排除です。とにかくそのリスクをミニマイズするというのは、ＥＵ指令で言う事業者の正当な利益だと思うわけです。そのために情報を使うことは不可欠だということをこの２枚目の「個人情報の価値」というところで私は述べたつもりです。不可欠だということを個人の側からすれば強制性があるということに言葉を換えているだけの問題でございます。

それから、まさしく今の意見陳述のところでもう少し広くとらえたというのは私なりによくわかるなと思いますのは、これも実は私はヨーロッパでしか勤務経験がないのでアメリカの実態は知らないんですが、いろいろな本を読んだり人の話を聞きますと、アメリカのいわゆるクレジットビューロー、信用情報機関というのは、日本の信用情報機関みたいに業者が集まったクローズドな組織ではないんです。つまり、まさに信用情報を集めてリポートを作って、法律に定められた目的に適合していれば、誰に売ってもいいんです。そういう意味でオープンな一つのビジネスなわけです。そのアメリカの公正信用報告法によれば、それを雇用の判断に使うということがちゃんと謳ってあって、現に実際にも企業が人を雇うときに、本当にこの人は信用できるかどうかというときに、結構この消費者報告というのですか、そのリポートを活用している実態にあると、私はたまたまある私の知り合いのアメリカ人から聞きました。そういうことから言うと、いわゆる信用情報というのは、日本においては、信用供与の判断のために使う。言葉を換えれば、その支払い能力あるいは返済能力の判断のためにというのが狭い意味です。これは強いて英語を使えばcreditworthinessということだと思うんです。クレジットするに値するかどうか。ところが、日本語の信用という言葉はもうちょっと広い概念で、英語で言えば trustworthinessというもう一つ別の単語があるんです。トラストできるかどうか。まさに雇用判断に使うというのはそういうことですね。この人を雇って本当に大丈夫か、trustworthyかどうかということなんです。私の申し上げたいのは、したがって合同会議で検討すべき２のテーマについて言えば、確かに今現在は、融資なりクレジットカードの発行のために使う、あるいは逆にそれ以外にはそれを使ってはいけないということになっているわけです。だけれども、アメリカの実態に照らせば、そういう意味でもっとtrustworthinessを判断するために活用し得る情報だということだと思うんです。だから、信用情報というか、まさに信用という言葉の受け取り方が人によって異なるのはむべなるかなという気がいたします。

その次のことでございますが、第２点として、クレジット履歴というのは、もう少し詳しく言うとどういうことでございましょうか。

○ 原委員

どこで買い物をどのぐらいしたかという……。

○ 棚橋調査室長

いわゆる購買履歴のことでございますね。

○ 原委員

ごめんなさい。購買履歴のことです。

○ 棚橋調査室長

それは、まさにこの１枚目の構造変化のところでご説明したとおり、これからの時代はＩＴを活用すればそういうことは容易になるんだと思うんです。それを活用するかどうかは企業の判断なんです、あくまで。少なくとも今までのところ、そんなに銀行さんがそれを活用していることはないんじゃないかなと私は見ているんですけれども、それなどはまさにここで言う１のテーマに該当することじゃないのかなと思うんです。というのは、もちろん銀行さんは銀行法上他業禁止がかかっていますから、一般物販業はできないんです。だけれども、さっき言いましたとおり、ある都市銀行の例を見れば、そのバーチャルモール、電子商店街にインターネット専業支店を置いて、決済サービスも提供するようにしているわけです。そこでまさに、決済というのはもちろん幾らを引き落とすというだけのことなんですが、それとおっしゃった購買履歴というものを結合しようと思えば、容易にできる時代だと。そういう意味ではまさに１じゃないかなと思います。だからこそ、同一グループといったときのグループというのは、確かにＦＩＳＣのルールを作った当時はこんなことを想定していなかったはずなんです。狭い意味の、伝統的な意味の銀行と、その銀行法上許されている業務をやらせる子会社、関連会社と、その範囲でのグループ会社ということでよかったんだと思うんです、逆に言えばその当時は。だけれども、今、それから21世紀のこれからを睨んだ場合には、そういった言ってみれば小売業と銀行業が融合していく可能性のある時代を前提に議論してみてはどうですかということでございます。

その他、ダブるものがあるかどうかは、さらに頭を使います。何せ、申し訳ないんですが、これはなかなか諸外国のモデルがないし、あったとしても、法律を調べただけではなかなかわからなくて、すべて私の頭の中で考え出していることなので、またさらに時間をかけてそこは整理させていただきます。

○ 倉澤部会長

ちょっといいですか。原委員のさきにおっしゃった訂正のことですけれども、沿革的に言うと、この省庁改編以前の旧金融審議会の第二部会のワーキンググループで、通産省の割賦販売審議会と合同で始めたというときの信用という言葉は非常に限定的な意味で、まさに与信という意味で、あそこでは結局プライバシーの保護と多重債務による家庭経済の破壊を防止するという公益性とが対立するという形で使われておりましたから、今後、室長が言うように、この主要検討分野の２の信用というのはどういう意味づけをするかは、これからの部会の内容になりますけれども、少なくとも今までの信用という言葉はそういう非常に限定された意味だったわけで、議事録あるいは議事要旨にこの訂正の趣旨を載せさせていただきますのは、おっしゃるのは、そういうものに限定される意味ではないということとして承ります。

○ 原委員

はい、そうです。

○ 倉澤部会長

それから、多目的利用ということが既に初めから問題になっておりますけれども、金融取引に係るというその係り方がまた問題なんでして、あの人はすごく高い美術品を買ったなどということがグループ企業などだと銀行に入ってくるなどというのは、一体金融取引に係るものかどうか（笑）というようなことが非常に問題になると思うんです。ですから、ここであらかじめ金融取引に係る個人情報の多目的利用ということが、今の状況で、今までのように金融取引情報というのがみんなで暗黙の合意ができていたものが壊されちゃったというのが、きょうのこの提案の一つの意味だと私は思うんです。

はい、どうぞ。では、続けてください。途中で割って入って済みません。

○ 棚橋調査室長

いえいえ。

それから、第３点としてご指摘いただいたのは、説明責任、ＯＥＣＤ８原則の最後の８番目の原則がこの検討事項としてあるのではないかということなんですが、私としては、「個人情報の収集に当たっての留意事項」の一つとして、収集の際にまさに個人顧客が先ほど申しましたようなこれに同意した結果、同意はあってもなくてもよろしいんですが、私は必ず同意という主義では必ずしもありませんので、とにかく将来利用・提供されるのは、誰が何のために使うのか、その結果自分にどうはね返ってくるか、コンセクエンスとして、その辺を本人が認識した上で同意するなら同意すべきじゃないかというのが私の考えなんです。そういう意味で、収集に当たっての留意事項の一つは、今言った説明の問題があると思います。ただ、ＯＥＣＤ８原則で言うアカウンタビリティーのプリンシプルというのは、もっと取扱い全般についてのアカウンタビリティーということだろうと思います、もちろん、当たり前ですけれども。だから、例えば単に収集の局面だけではなくて、それを管理、加工、あるいは委託に出すとか、そういった取扱い全般についての説明責任というか、もっと言えば、ＯＥＣＤ８原則では、ルールを遵守していることのアカウンタビリティーですね。だから、そのルールというのは、法律であろうが、自主ルールであろうが、何だってよろしいわけですが、とにかく一定のルールに基づいてちゃんとやっていますと。あるいはもっと言えば、その金融機関毎のプライバシーポリシーですね。この前高橋委員が外国の金融機関もお調べになったという、私は敬服いたしておるわけでございますが、そういうものもあろうかと思いますけれども、いずれにしてもそういうことです。ただ、収集の際の説明責任ということで言えば、この「留意事項」に含まれるのではないかと思っております。

それから、アクセス権として構成してもらいたいということは、本日のところはちょっとご意見として頂戴いたしておきたいと存じます。

最後におっしゃられたのは、理解が足りなくて恐縮なんですが、グルーピングと同意取得と、何か３つぐらいに整理してとかとおっしゃっていましたが、済みません。

○ 原委員

だから、一番最後にご説明になった４－３の検討事項の案がありますね。この２の具体的なルールのところの（３）が余りにも盛り込み過ぎてあって、一つは、利用目的とか共同利用とか、利用目的の変更ですとか、そこに注目しての論点の抽出と、それからもう一つは、今まで言っていた第三者提供は制限されているけれども、グループ内はオーケーと言っていますね。だから、そのグループというのが何を指すのかというところの論点の抽出と、それから３番目にこの同意取得の方法というのはいろいろあるわけですから、これも一つの論点になるわけなので、（３）の中に全部入れ込まずに、もうちょっと整理して出してみたらいかがでしょうと。

○ 棚橋調査室長

わかりました。では、私がこれを書いた趣旨をご説明しておきます。

要は、特に同意するしないの自由がある局面、もっと言えば同意しないことによって不利益を被らない局面という、まさにフリー、拒否する自由があるわけです。原則論として言えば、そういうことが同意になじむということかと思うんです。ただ、先ほどちょっと触れましたが、グループ利用だったら常に例えばオプトインでなければいけないとか、そういう単純なルールじゃないでしょうと。やっぱりそこは、あくまでここで言う利用目的、共同利用する者というのは例示にすぎなくて、何かきちんとした物差しをこの審議会で議論していただいて、こういう物差しに照らして重要なものはより厳重な同意が必要でしょうし、そうでないものはそんなに同意はぎちぎち必要ないんじゃないかと。いずれにしても、そういう意味でまさに一般法の法案の第28条第１項で言っている「本人の同意を得ないで」の解釈適用問題として、いろいろな場面があるんじゃないですかと。それから、今お触れになったとおり、今現在のＦＩＳＣの自主ルールでもそこは差異化している。一律ではないということです。そういう趣旨です。

○ 倉澤部会長

今問題になっている４－３の２の（３）の書き方で、（３）のねらいは、同意取得の方法がルール整備の対象になっているのだけれども、その同意取得の方法にもし差別があり得るとすればその基準は何かということで、「利用の態様に応じて」というのが、この後ろに「等」が入って「利用の態様等に応じた」とか、そうなるかもしれないんですね。

○ 棚橋調査室長

済みません。

○ 原委員

趣旨はわかりました。考え方は。

○ 棚橋調査室長

何か、たった一つのルールじゃないんじゃないかということです。

○ 倉澤部会長

ほかに、どなたでも結構でございますが。どうぞ、森崎委員、お願いいたします。

○ 森崎委員

先ほどの同一グループのお話の中で、ＦＩＳＣよりも広い概念で考えているんだというお話があって、その後原委員からのご質問に答えられる形で、銀行業と小売業の融合というようなこともおっしゃっておられましたけれども、グループというのをどの程度の範囲でお考えになっていらっしゃるのか。室長の個人的なお考えでも結構ですから、お聞かせいただければと思います。

○ 棚橋調査室長

そこは、まず先に結論を言ってしまえば、オープンクエスチョンでございまして、まさにこの場でご議論いただければと思いますが、あえて私見をということでございますので、私見を述べさせていただきますと、私の問題意識は、要はとにかく一般法の法案との整合性が大事ですから、私どもは特定分野だけやるわけですから、そうすると、先ほどから再々ご説明しているとおり、一般法の法案上、本人の同意というのは事業者からすると最も大変な作業です。同意をいただくというのは、まさに「うん」と言わせる、首を縦に振らせるということですから、それを求めているのは第三者提供か目的外利用しかないんです。それはよろしいですね。これは必ずしもグローバル・スタンダードであるとは思えないんですけれども、たまたま我が国の一般法案は第三者提供についてはとにかく同意をとれということになっているわけです。それと整合的に考えると、ではそれを今のフィナンシャルグループ化とか、いろいろな異業種の参入とか、それから先ほど申し上げたようなバーチャルモールですとか、そういう今私が乏しい知識で知っている限りの実態に当てはめて言えば、そういった形で独り銀行なら銀行という金融機関が情報をインハウスで留めているのではなくて、何らかの業務上の目的で、特定の個人が識別可能な、あくまで個人情報ですから、アイデンティファイアブルな個人情報を複数の事業者間で、たまたまではなく、一定の契約に基づき恒常的に利用しているととらえるのが一番広いとらえ方ではないかなと。

ただ、繰り返しますが、それについて、例えばそれは一律にオプトインでなければいけないとか、そんなことは私は考えておりません。というのは、第１回特別部会の際の資料の中で基本的な考え方みたいなことをちょっと簡単に触れさせていただきましたが、この問題を考えるときには、もちろんご本人個人の自己情報に対する適切なコントロールの確保も大事なんですけれども、ではそのためのルールを作ったときに、そのルールを事業者がちゃんとできる、つまりワーカブルなものでなければ意味ないんです。まさに、先ほどのＥＵ指令の中でも、「ただし」というのがあって、ディスプロポーショニットなエフォートを要する場合にはその限りでないと言っているのはまさにそのことなんです。つまり、それだけのルールがばしっと決まって、そうしたらもうむちゃむちゃお金をかけてでもとにかくそれを提供しなければいかんとなったら、もう事業者はたまったものじゃないですよね。だから、そこにはやっぱり比較考量がＥＵ指令でも働いているということだと私は解釈しているんです、このＥＵ指令を。そういうことですが、よろしいですか、今のご説明で。

○ 倉澤部会長

過渡期にいろいろなことが全部問題になってきてしまって、一つは、この１の前半が「同一企業内での多目的利用」、それから「及び」でつながっている後半が「複数企業による共同利用」というと、本来は概念的には２つの別の事柄なんですけれども、これが今の時代に、例えば合併をすると同一企業になってしまうけれども、持ち株会社のもとにぶら下がると同一企業ではないとかというと、一体実態としてはそれは異ならないものではないかという状況に今あるんですね。ですから、これが何か２つの事柄に分けて、１の１、同一企業の多目的利用、１の２、複数企業の共同利用というふうにこれが切れるかどうかも今はわからないような状況ということだと思うんです。それが逆に言えば主要な検討分野たるゆえんなのかもしれないんですけれども、これはあるいは、私が全く個人的に室長の考えをより狭くしているのかもしれませんけれども、何か情報の共同利用だけのために提携するというようなものを同一グループと呼ぶのか、それとも初めに同一グループという企業のくくりがあって、そこでの共同利用と考えるかというと、問題としては、「同一企業内での多目的利用及び同一グループ内での複数企業による共同利用」というと、やっぱり同一グループというカテゴリーは情報以前に決まっている問題のような気もしないでもないんですけれども、その辺もこれは全くの私の個人的意見となりますけれども。

○ 棚橋調査室長

あともう少し今の部会長のご発言について私の意見を述べさせていただきますと、先ほど見ていただいたとおり、一般法の法案上、第三者提供については原則本人同意なんですが、特例の中でグループ利用というのがあります。グループ利用は同意が要らないということになっているわけです。逆の問いかけをすれば、問題の設定をすれば、では金融庁が所管している金融の世界で、個人情報保護の観点から見て、すなわち先ほどの金融取引における個人情報の価値に照らして、どういう場合だったら同意がなくていいですかということなんです。同意がなくていいとなれば、私どもは特別な措置を講ずる必要はないわけです。だから、もし皆さんのこれからのご議論の結果、このグループ利用というものはあくまで一般法の法案に則ればいいじゃないかという結論なら、それはそれで一つの結論だと私は思うわけです。ということですが、それでよろしいでしょうか。

ただ、グループという言葉、本当に難しいんですが、こういう形で提示しますとワーディングがひとり歩きして困るんですが、ここで言っているグループというのは、そういう意味で敢えて、少なくとも本日の議論の出発点においては、ＦＩＳＣの自主ルールに言うような資本系列にわざと限る必要もないんじゃないかということで、それはなぜならば、言い換えれば、後段の「及び」以下の部分は一般法の第28条で言っている第三者提供には同意が要ると。第三者への提供が、他の企業への情報の提供がたまたま起きたのではなくて、一定の契約に基づいて恒常的に行われているものとまずはとらえて、議論をスタートしてはどうですかということなんですけれども。

○ 倉澤部会長

僕の素朴な頭では、事業として格別にグループを組んでいない人が情報の利用に関してグループを組むということを第三者提供と言うんだと思うんですけれども。だから、主要検討分野の同一グループというのは、それはもう第三者提供の原則でいきなさいと。ここで特別な利用と保護との手当てをすべきだというものの、同一グループというのは既に企業自体がグループを組んでいる場合という感じが私はちょっとするわけなんです。

どうぞ、上柳委員、お願いいたします。

○ 上柳委員

一つなんですけれども、４－１の横長の資料の３枚目の個人情報保護等に対する規律の最も大きな考え方ということで、これはちょっと要らぬ心配というか、挙げ足取りなのかもわかりませんけれども、「『自己の情報の流れをコントロールする』という考え方」と、大きな○で「業務遂行上の正当な利益が認められる利用目的での取扱いを妨げないこと」とがここに並列に書いてあるんですけれども、ちょっと気になったのは、私の理解では、例えばＥＵ指令でも、今度は４－２の縦長の資料の４枚目の一番下のところになるんでしょうか、いわゆる正当な利益なり、「正当な利益が認められる、目的の達成に必要な場合」というんですけれども、少なくともこのＥＵ指令の７条（ｆ）の考え方は、それよりもいわゆるプライバシーの権利というか、あるいは自己情報をコントロールする権利が優先するという考え方が出ているんだと思うんです。挙げ足取りだというのはわかりながら聞いているんですが、それこそひとり歩きするとあれだと思いますので念のために申し上げているんですが、コントロールするという考え方が基本で、だけどそれは取扱いを妨げてはいけないということではないんでしょうねという点です。

○ 棚橋調査室長

済みません、ちょっとお時間をとって。今のご懸念というか、ご質問については、こういうことだと思います。まず、確かに資料上第１条第１項の規定を掲げておりませんのでいけないんだと思いますが、ちょっと読み上げさせていただますと、第１条 「指令の目的」の条項によりますと、「構成国は」、すなわち加盟国ですが、「この指令に従って、個人データの処理に関して、自然人の基本的な権利及び自由、特にそのプライバシーの権利を保護しなければならない」。第２項として、「構成国は、第１項に基づいて与えられる保護」、個人に対する保護ですが、「を理由として、構成国の間の個人データの自由な流通を制限し、または禁止してはならない。」となっているわけです。私も正直申し上げて、本日のために原文に即して理解を深める意味もあって、この調査室仮訳というのは私が訳しているのですが、そういう意味では堀部先生に申しわけないなと思っておりますが、そういう意味で、私はこれ以上のことはちょっとわからないんです。だから、もうちょっとその実態を調べませんと、まさに大事なことは、理念ももちろん基本的考え方として大事なので、本日は特に問題提起の１回目なので、敢えてＥＵ指令にまで遡りましたが、これからこの審議会で具体的な中身を考えていくに当たってはプラクティスが大事だと私は思うんです。

例えば、イギリスならイギリスの銀行は、もちろんイギリスもこのＥＵ指令に基づいて一般法としてのデータ保護法というものを持っているんです。当然、イギリスの銀行はそれに従う義務があるわけです。では問題は、それでどういうふうにやっているのかということなんです。まさに今ご質問の（ｆ）のような場合について、では銀行はどういう場合ならこの目的達成に必要な場合で、かつただし書きにも該当しないような場合なのかというのは、もうちょっと時間をかけて調査いたしませんとわからないと思うんです。ただ、おっしゃるとおりで、あくまでこの指令の目的というのは、もう一度繰り返しますが、自然人の基本的な権利及び自由、特にそのプライバシーの権利の保護だということは、言わずもがなであろうと思います。

○ 上柳委員

くどいかもわかりませんが、多分、１条に言っている情報のフローというんですか、いわゆる情報の公開なり、あるいは情報の社会における有効な利用という理念はまさにそのとおりなんですけれども、ちょっと言葉の使い方なのかもわかりませんが、「業務遂行上の正当な利益」というのはもう少し狭いというのか、個々の企業の、例えば銀行が決済サービスをされるときに、過去何年何月に幾ら預かって幾ら支払いをしたのかというデータは、通帳をなくす人もいっぱいいるわけですから、保存しておかなければいけないとか、何かそういうことではないかと、それは言葉の使い方の問題なのかもしれませんが、そう思ってちょっと懸念しただけです。ということがあったので、それで結構です。

○ 棚橋調査室長

済みません。ではよろしいですか。

○ 倉澤部会長

はい。

○ 棚橋調査室長

だから、おっしゃるとおりで、上柳先生のご指摘は私も理解できますといいますか、よくわかるつもりです。ただ、私がここで申し上げたかったことは、このプライバシー保護の議論をする際にはややもしますと、とにかく保護だと。保護のために一番いいのは、もう何でもかんでも同意なんですと。つまり、一々必ず、この目的で使うのならいいですか、あるいはＡ株式会社に提供するのはいいですか、もっと言えば、Ａ株式会社がＡ'という目的で利用する場合はいいですか、Ｂ株式会社がＢ'という目的で利用する場合はいいですかというのが一番究極の同意のとり方だと思うんです。ただ、私は決してプライバシーの保護を軽視するつもりは毛頭ないんでございますが、もしそうだとしたら、私はこの仕事の担当者として失格なんでございますが、やはり議論する際には、一方で事業者側の業務遂行上の正当な利益というのはあるんじゃないのかなと。

では、一つだけ例を申します。これはあくまでも私見とお取りいただきたいんですが、信用情報機関に情報が登録されます。これは勿論間違っているのを訂正するのは当たり前のことなんですが、事後的に私の情報を消してくれと、これは一種のオブジェクトなんです、異議申立て。それを認めるべきかという議論なんです。信用情報機関に登録された情報というのはあくまで、少なくとも我が国においては、与信判断の目的にのみ使っているわけです。その登録されている情報を消してしまうことに一番利益がある人は誰かと言えば、本来なら借りられないはずの人です。いわゆる多重債務者です。では、多重債務者のプライバシーの保護上、その多重債務者の請求があったら、信用情報機関はその情報を消してしまう、あるいはＥＵ指令で言うブロッキングということかもしれませんが、とにかく消さなくてもいいけれども、使えない状態にしてしまうということが果たしていいでしょうかというのが私の問題意識です。要するに、その場合には私の意見は、金を貸す側の、与信をする側の業者がその情報を、ましてや多重債務者ほどよくよく、でき得る限りの情報を活用して、慎重に、プルーデントに金を貸すべきではないかと。それがまさに正当な利益ではないかと。その程度の趣旨です。

○ 倉澤部会長

ちょっと済みません。実は上柳委員がお申し出の際に、ただ表現の挙げ足取りかという問題の出し方をしましたので、そのディメンジョンに話をちょっと戻しまして、中身以前に、資料４－２の４ページのＥＵ指令の（ｆ）は、正当な利益については取扱いが認められると言って、ただし大原理であるプライバシーの保護は害しませんよという文章になっているんですが、それと対比して、資料４－１の３ページで、その例外というものを逆に書いたのかというものではありませんで、この○は２つ別のことと、そういうふうにお考えください。この上の方の自己情報のコントロール権というものについて、ただし事業者の正当な利益の取扱いを妨げることは認めないぞという、こっちが優先的価値として後ろに書いてあるという意味ではないとおとりいただければそれでいいんじゃないかと思うんですが。

○ 上柳委員

了解しました。

○ 倉澤部会長

岩村委員、どうぞ。

○ 岩村委員

今までの議論とはちょっと違う観点になってしまって、中身についての特定の意見ではないんですが、この主要検討分野の切り出し方なんです。「金融取引に係る個人情報の同一企業内での多目的利用及び同一グループ内での複数企業による共同利用に関するルール」と書いてあって、一方で、個人情報の保護に関する法律案、基本法案ですが、私は前々回に出たときもちょっと気になりますということは申し上げたと思うんですが、基本法の考え方というのは、プライバシーに関する理念とか、あるいは基本的な考え方を提示しているというのが一つと、ただそれについてのエンフォースメントに関しては、主務大臣が個々の産業を見張るという考え方ででき上がっているわけです。また、それを前提に主務大臣から勧告が出て、勧告に従わなければ罰則を持つと。なぜ直罰にならないんですかということも気にはなりますけれども、法律案として存在するので、仕方ないです。仕方ないと言ってはいけないですね。ですが、その目でもう一度今度は主要検討分野を見ると、きょうは主に１のお話ということですけれども、１で「金融取引に係る個人情報」となるんですが、これは実際には、検討を進めていくと主務大臣の考え方と背馳するだろうと私は思うんです。というのは、これはやっぱり「金融取引に係る個人情報」で、情報の方に色をつけて考えている。同一企業内でというのであれば、この同一企業というのは一般的には金融機関で、金融庁の所管に入る。農林金融機関であれば農林水産省の所管に入るのかもしれませんが、ほとんどは金融庁ですから、これはよろしいですが、同一グループ内というと、ほかの主務大臣を持つ企業がむしろ当然に想定される。銀行、証券、保険の３業種であればよろしいですが、逆に言えば、その３業種であれば、もともと金融サービスという観点から言えば一つのプロファイルのサービスをいろいろな側面から提供していると考えてよろしいだろうと思うので、むしろ同じようにおやりなさい、同じように利用しなさいと。たまたま３つの企業という形に分かれているんだから、実質的には守るべきことはまとめて顧客に対しての利益を守ればいいと。これでよろしいと思うんですけれども、それで実際エンフォースメントも可能だと。だけれども、同一グループ内での複数企業の中に金融機関でないものが入ってきたときに、基本法の39条以下のエンフォースメントに関する規定はどうするんでしょうか。

○ 倉澤部会長

今我々が問題にしているのは、基本法では11条の１項です。立法の問題はこの11条の方です。

○ 岩村委員

11条の……。

○ 倉澤部会長

１項だと思いますが、６ページになりますけれども。

○ 岩村委員

そうすると、これは金融庁の所轄ではなくて……。

○ 堀部委員

11条の３項ではないですか。

○ 岩村委員

要するに、政府一般の措置としての話であって……。

○ 倉澤部会長

ごめんなさい。11条の３項ですね。

○ 岩村委員

いや、それをむしろ伺いたかったんですが、つまり法の実施ということを考えると、39条が登場する。39条は、主務大臣の考え方に沿って主務大臣が勧告し、勧告に従わなかったら罰則だぞという形で業者を規定する。

○ 倉澤部会長

わかりました。私の方が何か先走って口を入れまして、申しわけありません。

○ 岩村委員

それで、11条は政府全体での規定を言っているので、私は、11条の規定の延長の中で、金融に関する個人情報というので、扱うものが金融機関であろうとなかろうと同じように制御し、あるいはルールに違反することに関してはものによっては罰則によって対応するということがあり得てよいし、その方がよいと思いますが、ただ、実際に検討を進める過程の中で、39条の範囲の中からやっていくのだとすると、この「金融取引に係る個人情報」ということは、できる相手もあるけれども、できない相手もあるということになろうかと思うのです。すぐにはなかなか答えられない話だと思うんですが、政府内での調整も必要になるのではないでしょうか。

○ 棚橋調査室長

今の岩村委員のご指摘は誠にポイントをついておられると思います。おっしゃられるとおり、この一般法のつくりというのは、監督の面では縦割り主義をとっているわけです。まだ○○フィナンシャルグループぐらいですと私どものアームの中にあるのかもしれませんが、私がさっき例に出しましたバーチャルモールのように一般の個人向けの商品・サービスを提供する業者との間で決済情報などをやりとりするとなってきますと、おっしゃるとおりで、例えば旅行会社がそのサイトの中にあるとしたときに、旅行会社にうちが口を出せるかといったら出せないわけでございます。したがって、その辺についてはもう少し深く検討させていただきたいと思います。

したがって、常にこの問題を論じるときに難しいのは、確かに、先ほどありました第11条第３項によると、「個人情報の性質及び利用方法にかんがみ」とか何かそういう表現になっているのですが、個人情報の性質と言った途端に、ある色づけをした個人情報を常に一大臣が所管している業者の中で完結しないという問題があるんです。それはもう本当にご指摘の……。

○ 倉澤部会長

完結しなくなっているという……。

○ 棚橋調査室長

ええ。しかも、どんどん完結しなくなっているということだと思うんです。だから、その辺はまさによくよくまた考えさせていただきたいと思います。

○ 堀部委員

よろしいですか、今のに関連しまして。

○ 倉澤部会長

では、お願いいたします。

○ 堀部委員

おくれて来まして、申しわけありません。今の議論ですと、これは41条の３項の読み方にもなると思うのですが、共管の場合もあり得るということを想定しているのだろうと思います。複数の主務大臣がこの規定の執行に当たっては相互に緊密に連絡し合い協力しなければならないということになりますので、一応何らかの形で対応できるようには法案としてはつくってあると私は理解しております。それには異論があるようでありますが、とりあえずはそういうことで。

○ 棚橋調査室長

では、お先にどうぞ。岩村先生の後で私のところに。

○ 倉澤部会長

予定の時間も過ぎましたので、どうか簡潔にお願いいたします。

○ 岩村委員

共管というのはあり得るとは思います。ただ、例えば保険証を返してということを考えれば、当然厚生労働省との共管と。しかし、そうすると、そもそもそれは金融に関する個人情報なのでしょうかという議論もさらに出てくるわけです。私は、その共管という考え方でいけるのかどうかというのは、もう少し個別的、具体的に詰めていただく必要があろうかと思います。

棚橋さんの答えを先取りしましたか。

○ 倉澤部会長

済みません。先に承りました。はい。

○ 棚橋調査室長

済みません。もう時間も超過していますのであれですが、おっしゃるとおりでございまして、もちろん共管は排除しておりません。というのは、例えば個人信用情報については現に経済産業省と共同でやるわけでして、もし法律が必要なら共管法になりますが、問題は、バーチャルモールみたいな場合ですと、下手をすると霞ヶ関中の大臣が寄ってたかって共管になって、これは一般法と何が違うのかということにもなりかねないなという気はいたしております。

○ 倉澤部会長

ほかにもいろいろご意見がおありかと思いますけれども、この提案に従って、まずは主要検討分野として議論を進めていって、ご議論の中にありましたように、実はこの分野そのものがもう既に問題をはらんでいる形ですけれども、それも議論の中で検討の対象にしていくということで、ご了解いただいてよろしゅうございましょうか。

ありがとうございます。それでは、今後はこの主要検討分野をもとに審議を深めていくということにいたしたいと思います。

不手際で時間をやや過ぎてしまいましたけれども、これで本日の審議を終了させていただきたいと思います。

なお、この後記者会見を行いまして、本日の当部会の模様につき、私からお話をさせていただきます。最後に事務局の方から。

○ 棚橋調査室長

それで、第５回、次回の部会の日程でございますが、他の金融審絡みの他のところもいろいろあって錯綜しておりまして、なるべく多くの方がご参集できる日を選びたいと思っておりますが、ただちょっとこれはまた部内の事務当局で検討した上でございますが、できれば、本日これでご了承いただいた特に１の方、つまり共同でやらない方、単独でやる方について今後審議を当面やらせていただければなと思います。というのは、きょうもいろいろご質問、ご意見も出ましたとおり、正直申し上げて、この分野は余り今まで審議会で深くといいますか取り扱ってきていない分野でございますので、この辺をやらせていただきたいのですが、その際に進め方として、事業者サイドからよく実態等を一度ご披露いただいた方がいいのかなと。というのは、先ほどもちょっと説明の過程で触れましたが、私も所詮このビルの狭苦しい部屋に座っていろいろな雑誌を読んだり、たまにご意見を聞くぐらいで、どういう形で本日申し上げた１のテーマ、グループなり多目的利用がなされているのか、あるいはその際にどういう形でご本人に対して同意を求めていらっしゃるのかというのは、正直言って私は全貌がまだよくわかっていないところがございますので、その辺もちょっと考えた上で、次回の日程及び内容については追ってご連絡させていただきたいと存じます。

○ 倉澤部会長

それでは、以上をもちまして本日の会議を終了させていただきます。

どうもありがとうございました。

（以上）