金融審議会金融分科会特別部会（第６回）議事録

平成１３年１０月５日
金融庁　総務企画局

○ 倉沢部会長

大変お待たせいたしました。ただいまから金融審議会・金融分科会・特別部会の第６回目の会議を開催いたします。

皆様、ご多忙のところご参集いただきまして本当にありがとうございます。

まず、議事に入ります前に、事務局の方から７月に行われました人事異動についてご紹介をしていただきたいと思います。

○ 大森調査室長

それでは、新しく参りました者をご紹介させていただきます。

原口総務企画局長でございます。

佐藤総務企画局審議官でございます。

小手川財務省大臣官房参事官でございます。

谷口財務省大臣官房信用機構課長でございます。

そして私、調査室長の大森でございます。よろしくお願いいたします。

○ 倉沢部会長

それでは、早速お手元の議事次第に従いまして、議事を進めさせていただきます。

ことし７月11日から22日にかけて、堀部委員、高橋委員及び事務局の方々に金融分野における個人情報保護に係る海外現地調査（アメリカ、イギリス及びフランス）を行っていただきましたので、本日はその報告をしていただきたいと思います。まず、その概要を配布資料に沿って事務局に説明していただいた後、堀部委員、高橋委員には、海外調査に行かれてお感じになられたことや事務局説明を補足する点などについて後にコメントをいただければと思います。

それでは、まず事務局、よろしくお願いいたします。

○ 大森調査室長

それでは、お手元にお配りしております横長の資料に基づいて30分程度お時間をいただいて、まず事務局よりご説明させていただきます。

表紙に書いてございますように、訪問先、アメリカ、イギリス、フランスの監督当局、消費者団体、金融業界団体及び個別金融機関を順次往訪いたしまして、個人情報保護に関する制度運営の実情を調査するとともに、我が国へのアドバイスを含む意見交換を行ってまいりました。

私事になりますが、現職の発令を受けたのが７月10日で、もう11日には成田から飛んだということで、その飛行機の中で質問を確認するような状況でございましたが、もう両先生は権威でございますし、とりわけ堀部先生には訪問先への手土産まで用意していただきまして、全くもって私どもおんぶに抱っこの出張でございました。

堀部先生はもう外国の制度にも通じておられますので、主として運用の実情がどうなっているか、ヨーロッパからジョイントしていただきました高橋先生には、個人の権利が具体的にどう保護されているのかといった点について事情をお聞きしていただく、私は制度自体にあまり通じておりませんので、議会との関係、役所、業界、内外の力学といったようなことについて意見交換をしてまいりました。

この個人情報保護の問題は個人によってかなり感じ方、考え方が違うといいますか、例えば、私などは見知らぬダイレクトメールが届いてもあまり気にならないたちなのでございますが、中には非常に不安になられる方もおられます。そういったわけで、私の説明にかなり偏りがあるかもしれませんので、後ほど両先生にはある程度時間をとって出張中にお感じになったことなどをお聞かせいただければと思っております。また、訪問先の担当者のプレゼンもかなり個人的な見解が交じっておるかもしれませんが、それでもなお実際に出かけてみますとアメリカとヨーロッパの違いですとか、あるいはプライバシー先進国と言われておりますヨーロッパにおいても、文字どおりではない微妙なニュアンスも感じられまして、そういう意味で有意義であったかと考えております。

いきなり中身に入ります前に、１ページおめくりいただきまして、今回調査に参りました国の制度の概要をさっとおさらいした方が理解の助けになると思いますので、ご説明をさせていただきます。

大きな違いは、アメリカは基本的には1999年、ごく最近に金融機関の持っておる個人情報を対象に規制が始まったばかりと。それに対してヨーロッパは20年程度前からプライバシーが法的な権利として保障されております。95年のＥＵ指令を受けて、イギリスではもう必要な法改正を措置しておりまして、フランスでも、たまたま我々出張団が訪れました時に、ちょうど改正法案を閣議決定したという段階でございました。もちろん金融機関に限らず、すべての個人情報というものが保護の対象になっておるわけでございます。

アメリカの場合は、ここに書いてございますように、金融機関は取引開始時及びその後、少なくとも年１回、グループ内の企業、関連企業（affiliate）及びグループ外企業、非系列の第三者という訳語になっておりますが――に対する個人情報の提供、共有に関する方針（privacy policy) を顧客にノーティスをする義務がございます。グループ内の関連企業への情報提供とか共有は自由でございまして、グループの外の企業への情報提供、共有も、上記のノーティスに対しまして顧客から明示的に拒否をされない限りは可能だと、オプト・アウトということになっております。

この辺が非常に議論を呼んでおりまして、明示的な同意、オプト・インを求めるべきではないかといった意見が消費者団体等から寄せられておりまして、この点については後ほどご説明をさせていただきます。

イギリス、フランスは、金融に限らずすべての個人情報ということでございますので、規制機関も当然のことながら金融監督当局ではございませんで、イギリスではインフォメーション・コミッショナー、フランスではＣＮＩＬという個人情報の独立した保護機関がございます。制度の仕組みとしては、個人情報を取り扱うものは、すべからくその目的とか内容をこのインフォメーション・コミッショナーやＣＮＩＬに届け出るということになっております。

両国の制度はほぼ同じでございまして、原則として本人の同意がなければ個人情報を利用してはならないと。そして個人に対しては、みずからについてどういう情報を持っているのかアクセスをする権利、損害や苦痛を被った場合に中止を求める差し止め請求権のようなもの、特にイギリスの場合はダイレクトマーケティングの中止を求める権利というものが、恐らくは明確にするために別途規定をされております。そして、損害を被った場合に補償を受ける権利、イギリス、フランスほぼ同様の形で個人の権利が保障されておると。

それから、真ん中の一番下に書いてございますように、イギリスの場合は、98年に95年のＥＵ指令を受けて法改正をしておりますので、域外国において、個人情報の取扱いにつき適切な保護レベルに達していない場合には、当該国に個人情報を移転してはならないと。まさにこの規定があるためにアメリカとの関係がしばしば問題になっておるわけでございます。

以上、簡単ではございますが、３カ国の制度概要を前提に中身の説明に入らせていただきたいと存じます。３ページをおめくりいただけますでしょうか。

監督当局、消費者団体、金融業界団体、金融機関というふうに部門別にこの資料がつくってありまして、もとより監督当局は各国とも共通するメンタリティーがありますし、それは金融機関なり消費者団体も同様なんですけれども、今回はどちらかと言えば、これはまた後ほど両先生からご意見をいただきたいのですけれども、立場の違いというよりは国による違いの方が大きいような気がいたしましたので、大変お手数をかけて恐縮なんですが、ややこの資料を行ったり来たりしてご説明をさせていただければと思います。

アメリカの監督当局ＯＣＣでございますが、先ほど申し上げたようにオプト・イン、事前の同意までは求めていないという取扱いが金融機関と消費者の利害のバランスをとった妥協の産物であると。例えば定期預金が満期を迎えますと、グループ内の別の証券会社がセールスに来るという事態は金融システムとしては便利でありますが、資金がより大きなリスクにさらされるということへの懸念もございまして、なかなか明確な判断基準がない中でどうバランスをとっていくのか悩ましいようでございました。

従来からアメリカの監督当局としては、できる限り金融機関の自主規制に委ねたいという意向でございましたが、それではなかなか消費者団体あるいは議会の一部が納得をしないということで、監督当局としては立法を余儀なくされたという印象を受けました。法律でその金融機関への義務を設けますと、当然その義務の例外を規定しなければなりませんので、その例外が多いとまた非常にわかりにくい、実際個人に何が保障されているのかがわかりにくくなってしまう、それが国の内外から批判をされていることにやや困惑といいますか、消耗ぎみでありまして、この４番目のポツに書きましたように、とにかく日本で今後個人情報保護に関するルールをつくるのであれば、極力シンプルな仕組みにした方がいいですよということを何度も強調されたのが印象に残っております。

また、アメリカの制度、ＥＵに比べてカバーしていないという部分があることは当然認識をしておりまして、ただ、国内的な妥協の産物である以上は現状としてやむを得ないと。でき得れば、ヨーロッパ、日本も含めて各国共通の認識の枠組みが形成されることが望ましいが、現状はまだそういう段階ではないだろうというのがアメリカの監督当局でございます。

済みません、このままアメリカだけを続けさせていただきます。１ページめくっていただきまして、そういう妥協の産物という形でございますので、アメリカの消費者団体、代表的な消費者団体でございましたが現状にかなり不満を持っております。

そもそもヨーロッパのように包括的な個人情報の保護法がないというのも問題だが、金融機関を対象とした現行法に限っても、先ほど申し上げましたようにグループ内企業であれば自由に情報が共有できますし、グループ外であってもオプト・アウトしか要求をしていないと。せめてすべてについてオプト・アウトを、センシティブ情報についてはオプト・インを義務づけるべきだという意見。

それから、先ほど制度のところで申し上げましたプライバシー・ポリシーの顧客への通知、ノーティス、この文章が非常にわかりにくいと。大学院を出た者でないと理解できないような文章になっておると。この辺はもっともっと工夫の余地があると。

それから、個別金融機関の苦情処理対応、監督当局の監督はいずれも不十分であると。この監督当局はＯＣＣのことでありまして、別途ＦＴＣ、公正取引局は信用できるけれどもＯＣＣは金融機関の手先ではないかというようなかなり激しいことを言っておられました。

その上で、消費者団体としては情報共有を全面的に否定しているわけではなくて、当初の目的ではない二次的な利用をしないように求めているに過ぎないというご意見でございました。

これに対して、またまためくっていただきまして恐縮でございますが、業界団体としてはそれなりに努力をしておると。American Bankers Association、アメリカ銀行協会でございますが、新しい仕組みができたので法令遵守、社員教育を含む顧客との信頼関係保持のために一生懸命活動しておりますと。

それから、ノーティスの表現などについてもわかりやすく顧客に伝えられるようにさまざまな取り組みをしておると。ただ、それはやはり事柄の性質上どうしても限界はあると。なかなか消費者団体の理解が得られないことにややいらだっているような印象がございました。

３番目に書きましたグループ外企業との情報共有、これは情報を共有することによりまして顧客にさまざまな商品とかサービスが、自分の持っていないものを提供できるという意味で、利益をもたらすものではありますけれどもあえて共有しないという、それがプライバシーを重視しているという意味において顧客へのアピールになると考えている金融機関もあるといった紹介がございました。

そして最後に、オプト・アウト権の行使が５％を超えないと、情報の共有を明示的に拒否する方が５％を超えないという実態からすれば、普通の人はあまり情報共有に関して心配していないのではないかという認識でございました。ただ、これは先ほどの消費者団体の方から言わせれば、そもそもノーティスの表現がわかりにくいのでどう反応していいのかわからないと、それが原因だということになろうかと思います。

最後に個別の金融機関、６ページでございますが、アメリカではシティバンクを訪問して参りましたが、個人情報保護の専門スタッフを設けてそれなりにといいますか、新しい法律に対応しておるように見受けられましたが、基本的にはプライバシーの保護というよりは、情報をグループ内で共有することによって顧客の多様なニーズに応じることが可能になるという意識の方が強いように見受けられました。

２番目のポツに書いてございますように、オプト・アウトの実態としては、情報共有そのものを問題にするというよりは、メールとかマーケティングのリストから名前を削除してほしいというものが多いとのことでございました。

冒頭申しましたように、アメリカではグループ内の情報共有は自由に認められておるわけですが、実際の運用としてはそれもオプト・アウトの対象にする、すなわちそうしてもよろしいかということを顧客にお聞きするということになっておりますが、嫌だと言われれば口座を解約して別の銀行に移ってもらうという対応もやむを得ないということでございました。

この99年の法律の施行に伴ってノーティスを発送したりいろんなコストがかかるわけですけれども、こういった個人情報保護のための法施行にかかるコストというのは当然ながら収益には貢献いたしませんで、銀行の利用者全員に転嫁をしてもらわなければならないということで、行き過ぎた規制には懐疑的でございました。

また、冒頭申し上げたＧＬＢ法という法律、金融制度改革の集大成のような法律でございまして、これ自体は評価するとしても、やはり金融業というのは規制されやすい業種なので、金融機関だけの義務づけになっているんではないかというやや被害者意識のようなコメント、あるいは金融業だけ規制することによって金融業の産業としての競争力という観点からどうなんだろうかといった意識がうかがえました。

総じて、アメリカでは、これは恐らくグラス・スティーガル法以来の伝統的な銀行の支配力への懸念が残っている中でビジネスの競争が非常に激しいと、その激しい競争を前にしてその情報をグループ企業内で共有するというニーズが非常に強いものですから、関係者間のコンセンサスの形成というのはまだまだ時間がかかるのではないかと感じてまいりました。

そこで、また資料をもとへ戻っていただいて恐縮ですが３ページ、ワシントン、ニューヨークと、それからロンドンに飛んだわけでございます。アメリカに対して、冒頭申しましたようにプライバシーが基本的人権として確立をしておりまして、金融に限らずすべての分野で個人情報が保護されることを前提に経済活動の自由が許容されておりますヨーロッパでは、関係者間の意見相違というのがはるかに小さいと感じました。

イギリスの監督当局、インフォメーション・コミッショナー、これはマンチェスターにあるものですから行くのに結構手間がかかりましたけれども、ここを訪れて印象的でございましたのは、アメリカでは当然のこととされている金融グループ内での情報共有は議論の余地があるといいますか、検討の余地がある、さっき申し上げたような定期預金が満期になったら証券会社が勧誘に来るというのは、議論の余地があるとしても、その金融グループを超えた利用というのは明示的に否定をしておると。

例えば、例として挙げておりましたのは、銀行取引をしておりますと、その相手の趣味みたいなものもわかってくるわけで、海外旅行が好きだからといっていきなり旅行会社が勧誘に来たりすると、それはあってはならないことだと。ただ、担当者いわく、自分は個人的にはそういうことをされても全然気にならないと。ダイレクトメールが来ても見たくなければ捨てればいいだけで気にならないんだけれども、みずからの情報をコントロールできないことに不安になるマイノリティーが存在する以上我々は規制をしていかなければならないと。いわば、この問題がマイノリティーの保護ということなんだという意識を明確に持っておるということでございました。

また、特にこの98年に改正法となりまして同意を求めるということが明確になったわけですが、これはオプト・インでもオプト・アウトでも構わないが、実際には下から２番目のポツに書いてありますように、同意を求めないだけの正当な利益があるかどうか。これは、例えば犯罪捜査に協力を求められたとか、税務調査に協力を求められたと、そういった正当な利益があるかが問題であって、あまり実際の同意の有無については重視していないということでございました。

我が国へのアドバイスとしては、アメリカのＯＣＣと全く同様にできるだけシンプルな仕組みにした方がいいと。その背景には、この98年の法改正がＥＵ指令を忠実に取り入れて既存の法律と組み合わせたものですからかなりわかりづらいものになっていると。そういう反省があって、なるだけシンプルな仕組みにすべきではないかということでございました。

次のページ、アメリカの消費者団体がかなりアグレッシブだというふうに申しましたけれども、イギリスは相当消費者団体も成熟しているという言い方がいいかどうかわかりませんが、現行の98年の改正法もインフォメーション・コミッショナーの活動実態も高く評価をしておると。むしろ旧来の、２番目のポツに書きましたように市民権としてのプライバシーを強調するあまり、グローバルな消費者としてよりより商品を得る機会が失われるのであればそれは懸念されると。とりわけ、今後電子商取引が進展する中で、正当なビジネスとしてオンラインで金融商品を提供できなくなるというと、これは消費者側にとっても問題でございますので、そういった事態にならないように検討しておるということでございました。

総じて、その情報の所有権が顧客にあって、そのことを認識して同意を得る活動を地道に続けていけば、中長期的にはそれは企業自身の利益にもなるはずだという哲学、意識が定着をしておりました。

やや細かい論点ですが、最後に書きましたオプト・インかオプト・アウトかという点については、顧客がコストを負担するかどうかによって判断されるべきだと。例えば、興味のないダイレクトメールが来ても捨てればいいだけですけれども、ファクスとか電子メールだと用紙代とか受信のコストがかかりますので、そういう場合はオプト・インが必要ではないかと。なかなかおもしろい意見ではないかと思いました。

イギリスの金融団体は、ちょっとバカンスの最中でおりませんでしたので６ページまで飛んでいただきまして、個別の銀行２行に行ってまいりました。アメリカのようにとまどいながら取り組んでいるというよりは、ずっと84年からやっていることですから、この個人情報の保護を含むそのコンプライアンスというのは、よい事業を展開するための基盤だという意識が定着をしております。インフォメーション・コミッショナー、規制当局との関係も大変良好だという話でございました。

それで、ただ、若干感じましたのが３番目のポツに書いてございますように、冒頭申し上げたように、顧客はその銀行に対して自分についてどういう情報を持っているかということを知らされる権利がございます。実際に権利行使があればそれに応じているわけなんですが、どちらかと言うとマニア的という言葉は不穏当かもしれませんが、マニア的に請求をしてくる、それに対してなかなか銀行内で協力が得られないこともあるという愚痴のような話、あるいは苦情を申し出る権利も制度的にきちんと保障されているわけですが、法律上の権利というよりは何か言えば金銭的なメリットがあるんではないかと、そういう期待のもとに苦情を言ってこられることが多いというようなお話がございました。

ただ、繰り返しになりますが、98年改正法の要求水準、一番上のポツに書いてございますように、要求水準は高いが既に80年代から取り組んできたことなので負担はさほど大きくないと。ただ、逆に何もやっていないところから現行法のその対応をしようと思うと、これは非常に大変なコスト負担になっただろうというお話が印象に残っております。

それと、若干細かい話かもしれませんが、これはたしか高橋委員がご質問をされる中で、この銀行と提携しているオンラインショッピング会社の取引情報、ポータルサイトを銀行の顧客のクレジット判断に使っていないのかどうかというようなご質問を高橋さんがされましたら、直接は使っていないけれども取引情報を見てクレジットリミットを確認したり、新たにそのリミットを設定したりすることはありますとやや言いにくそうに説明されたのには、やはりプライバシー先進国といってもこの問題の、文字どおりやっているとなかなか困ることもあるというのか、本音と建前という言い方がよろしいのかどうかわかりませんが、そんな性質をうかがわせることだったかなという気がいたします。イギリスがそんなところでございます。

最後にフランスでございますが、また３ページまで戻っていただきまして、プライバシーの保護法自体は78年からありまして、イギリスより５年も前から整備をされております。総じて、この国では銀行すら一時国有化されていたぐらいですから、ビジネスの自由という観念よりは、そのプライバシー保護のための規制というのはイギリス以上に厳しい、意識としてもそういう意識ではないかという印象を受けてまいりました。

このフランスの監督当局でございますＣＮＩＬは、イギリスのインフォメーション・コミッショナー以上に徹底して、どういう社会が住みよい社会かということがその個人情報をどこまで保護するかの判断基準としているような印象を少なくとも私個人は受けてまいりました。情報の漏えいなどは論外でございますが、そもそもどういう情報を蓄積するかということも当局が指図をすると。情報の蓄積というのは民間が勝手に判断していいことではないという意識が、これは官民ともにございます。

２番目のポツに書きましたように、延滞等の顧客の事故情報を蓄積することは認めると。ただ、もちろん本人に通知する義務がございますし、この事故情報とほかの情報をマッチングして、この顧客がどういう財務状況にあるんだろうかということを把握してはならないと。

また、下から２番目に書きましたように、顧客の口座管理ファイルに、この客は例えばうるさいとか性格が悪いとか、そういうことを記載するだけで発覚すれば注意をすると。客観的情報しか記載してはならないと。まして、この客はアラブ人だとかユダヤ人だとか記載するのは、これは当然のように不当なことだと考えられておりまして、これも銀行が顧客を国籍で差別しないのが住みよいいい社会なんだという判断のあらわれではないかと思います。ただ、こういった取扱いがほかの国より我々は厳しいですというのは監督当局としても意識をしておりまして、今後スタンスが変わっていく可能性はあるでしょうということでございました。

消費者団体はややアメリカに近いですが、たまたま行った時に相手の代表者が病気になって寝込んでしまったものですから後ほど文章で回答をもらったものでして、特にご紹介すべき内容がないので飛ばさせていただきます。

最後にフランスの業界団体及び銀行でございますが、業界団体、フランス銀行協会は、先ほど来総論的に申し上げておりますように規制当局との関係も良好であり、やや興味深いと思いましたのは、真ん中のポツに書いてございますように、小切手発行の権利を失った個人、延滞を起こした個人のデータベースというのは中央銀行が直接管理をして、個別金融機関は必ず閲覧をしておかなければならないという義務があると。

また、その一番下に書いてございますように、中央銀行が銀行協会と消費者団体の対話の場を設けた、最初はあまり両方とも気が進まなかったけれども中央銀行が仲立ちをしてくれたことによって関係が改善したといったあたり、業界団体としての自主規制というよりは、政府当局による介入主義というのがフランスのカルチャーとしてあるような気がいたしました。

最後に個別金融機関でございますが、Societe Generalに行ってまいりましたけれども、やはり相当慣れてきたと。この法律に沿った取り組みによってバッドプラクティスが淘汰されて規制当局とも良好な関係でやっていますと。閣議決定された改正法では、このＣＮＩＬが立入検査とか行政罰を新たに付与されることになっておりまして、こういうのは当然規制強化ですから嫌だとか困ったとかという反応なのかと思いましたら、割と本心からこれは制度として改善だと言っているようなあたりがやや日本と感覚が違うのかなという感じがいたしました。

もとより、若干商売をやっておるわけですからすべてその規制当局と認識が一致しておるというわけではありませんが、相当日本やアメリカとＥＵの感覚の違いというのはあるのではないかという感じがいたしました。

以上が報告でございますが、この程度の報告だったら帰ってきて直ちにできたのではないかと今委員の皆様は思っておられると思いますが、私もそう思っているんですけれども、重要なのは、こういう海外の実態を踏まえて我が国でどういう仕組みにしていくべきかということではないかと思います。私も金融の仕事をここ７年ぐらいやっておりまして、大抵の問題というのはしばらく考えているとあるべき方向感みたいなものが少なくとも私の頭の中には浮かんでくるんですけれども、この問題は非常に微妙で難しい、ある意味で哲学的な問題でございまして、なかなか善悪正邪の判断がつかないところがございます。

最後のページにメモと言えない程度のものをおつけしておりますが、この一番上の個人向け金融サービスの構造変化というのは、既に５月の部会で前任者よりご説明をさせていただいたことでございますが、こういった変化の中で、今後金融業が情報産業として付加価値を高めて競争をしていかねばならない中で、その活動の自由と個人の権利保護という両者のバランスというとらえ方だと、なかなかいつまでたっても議論が平行線というのがこの３年ぐらいの実情だったのではないかという気がしております。

先ほどイギリスの消費者団体に関連して申し上げましたが、そのグループ内の金融業者が顧客のニーズに応じた多様な商品を競争しながら提供するということは、逆に顧客から言えば多様なサービスを受けることによって利便性が向上するということであって、当然そこでその情報が乱用されると顧客が被害を被る可能性があるわけでございますが、業者と個人というそのバランスというよりは、これは言葉を言いかえただけかもしれませんけれども、顧客全員にとってどの程度の仕組みを講じていくことが望ましいのか、あるいは資産を運用するとかお金を借りるというのは、その限りにおいて金融システムを利用されているわけですから、その利用に応じてみずからの情報がその金融システムに流れるということをどこまで許容するのかといった観点から、今後ともご審議をお願いしたいなという感じがしております。

大変雑駁でございましたが、私からは以上でございます。

○ 倉沢部会長

どうもありがとうございました。

それでは、まずは堀部委員からコメントをお願いいたします。

○ 堀部委員

ただいまの大森調査室長の説明で、調査の概要はよくまとめられていましたので、後ほどご質問をいただきまして、具体的な問題などについては知り得たことをお話したいと思いますが、少し違った観点からお話したいと思います。

９月23日の夜のレセプションから始まりまして24、25、26と３日間、今ここに出てまいりましたＣＮＩＬ、フランスの個人情報保護の監視機関、監督機関主催で第23回のデータ保護コミッショナー会議がパリで開かれました。そこに出席しまして、26日の午前の最後のセッションで日本の状況についてスピーチをしました。この会議の会場やレセプションの時などに非常に多くの人たちと話す機会がありまして、そういう中で見てきたことなども踏まえまして申し上げてみたいと思います。

ただいまの大森室長の説明にもありましたように、アメリカは1999年のＧＬＢ法で金融機関の保有する個人情報の保護について規定を設けました。その前からコモンロー上の保護措置なども講じてはいますけれども、立法的に明確にしたのがこの法律であります。それに対しましてヨーロッパの方は、個人情報保護の一般法が70年代からできてきまして、フランスは1978年に法律を制定しました。イギリスは1984年に法律をつくっております。ここには法についてのアメリカとヨーロッパの考え方の違い、イギリスの場合は、むしろ法系的にはアメリカの母法にもなりますので、従来、フランス、ドイツなどの大陸法とは大分違った考え方をとってきていますが、最近ではむしろヨーロッパの中の１つの国として大陸法に近い考え方をとる面も出てきています。

国際機関などで議論をしてきていますと、ヨーロッパ的な立法の方式をオムニバス方式と呼んだりしますが、１つの法律で公的部門も民間部門もすべてカバーする、そういう包括的な保護法を制定する方式があります。イギリスも、従来個別に保護措置を講じてきた部分もありますけれども、1984年に包括法を制定するということになりました。アメリカではそれに対しまして個別分野ごとに法を制定していく、これをセクトラルアプローチなどと言っておりますけれども、金融に関するＧＬＢ法はその１つの例であります。ほかにも個別の分野で多くの法律ができております。

そういうように世界の保護方式の違いがあります。改めて言うまでもなく、大陸法の場合には、今の日本の六法のもとになっているドイツ、フランスの法律のように一般的に法典化を図っていくという特色があるのに対して、アメリカの場合には個別に法的対応をしていく、その違いが非常に明確に出ています。ヨーロッパでは、ヨーロピアン・ユニオン、ＥＵ内部で同じような法的措置を講じていこうということになっていまして、個人データ保護については、1990年に最初の指令提案が出まして95年に採択されて、 98年の10月24日までに構成国はそのディレクティブに従って法律のないところは新しくつくるし、法律を既に制定しているところは改正するようにということになりました。その結果が、イギリスでは98年の現行法になっておりますし、フランスは対応がおくれまして、先ほど大森室長が言われましたように、ちょうど我々が行きました時に新たな法案が閣議決定されたという状況にあります。

金融情報についても、今日では一国内にとどまらずに瞬時に地球を駆けめぐるような時代になっていますので、何らかのハーモナイゼーションというのは必要ではないかという議論がずっとなされてきていまして、ヨーロッパではＥＵの内部でほぼ同じようなレベルの保護措置を講じる、ＥＵの側からしますと、ＥＵ以外の国、それを第三国、サードカントリーなどと呼んでおりますが、そこがadequate level of protectionをとっていないとそこには情報を送ってはならない、移転してはならない、こういう法律をＥＵ15カ国の中のそれぞれの国でつくることを義務づけ、実際にそういう形で法律ができてきております。

アメリカはＥＵに対して独自の立場を主張しました。アメリカ内部にもＥＵ方式、オムニバス方式でいくべきだという意見が、先ほども出てまいりましたアメリカの消費者団体、Public Interest Research Group、あるいはほかのＮＧＯなどにありますが、アメリカ政府、それから議会の多数は個別の分野で対応するという方法をとっています。

そういう中でアメリカの商務省は、取引中心については、セーフハーバー・プライバシー・プリンシプルズというのを出しまして、ＥＵとの間で相当激しいやりとりがあった末に昨年７月に合意に達しました。しかし、金融は除かれています。金融については独自に個別の法律を設けるということで先ほどから出ておりますＧＬＢ法ができました。

そのようにヨーロッパとアメリカの違いがあるわけでありますけれども、もう１つ大きな違いがあります。アメリカの場合、ここで監督機関として Office of the Comptroller of the Currencyを挙げていますが、これは独立の行政委員会ではないのです。先ほど、市民団体からするとＦＴＣとさっき挙げていましたですか、Federal Trade Commissionのような独立行政機関ではないということでこのＯＣＣのやり方に対して批判的なわけですが、フランスは先ほどから出ていますＣＮＩＬがあり、イギリスは時期的にはフランスより後ですが、最初はデータ・プロテクション・レジストラーという独立の監督機関を設けられました。その後昨年情報公開法、情報自由法も成立しまして、その運用にこのデータ・プロテクション・レジストラー、98年法でデータ・プロテクション・コミッショナーに変わり、ことしの１月にインフォメーション・コミッショナーという名称になりました。

ＣＮＩＬの場合には職員数も約60名ぐらいいまして、非常に充実した機関になっております。イギリスのインフォメーション・コミッショナーのところは、情報公開の担当が今後どの程度ふえてくるか、そこはまだ確認しておりませんけれども、データ・プロテクションの側面だけでも約 100人ぐらいのスタッフがいて、金融に限らずすべての分野にわたって監視をしているということになっています。

そのような違いのもとで、各国とも個別分野でどういうように対応していくのかということでいろいろ工夫をしてきているところでして、今度の調査でかなり具体的な質問などもしてきましたが、共通していることは、ヨーロッパ側にも法律がありアメリカ側にも法律はありますけれども、アメリカの場合、どちらかと言うとヨーロッパに比べるとフレキシブルなものになっていまして、そのもとで金融機関と消費者の間の契約をかなり重視していく。別の言い方をすれば、顧客本人が最初の段階で同意する、あるいは途中の段階でもそうですが、一定のデータ利用について同意すればそれを中心に考えていくというようなことで、アメリカですと、例えばシティバンクの場合もタームズ・アンド・コンディションズという一種の契約条項を書いたものを本人に渡しまして、本人がそれに基づいて自分はどういう選択をするのかということで対応をしていくということになっております。

ヨーロッパの場合には、先ほど出てきたことですが、既に法律があってそのもとで金融機関も事業を展開していますので、こういうルールのもとで個人情報を取り扱っています。しかし、そこでも顧客がどのような意向を持っているのかということを確認しながら対応していっているということがあるわけであります。

個別にまたいろいろご質問などに応じてお答えいたしますが、そういうようなことで、いわば消費者、顧客の自律性をかなり重視している、それを支えるものとして制度があるということになろうかと思います。

先ほど言いました９月に開かれた国際会議などいろいろな議論がありましたけれども、１つは、私が出ました最後のセッションでは、セッションのタイトルはワンワールド・ワンプライバシーとなっていました。これは昨年イタリアのベニスで開いた第22回のデータ保護コミッショナー会議の時のモットーとして掲げたものだそうですが、昨年は、スピーカーとして招聘されましたけれども、ちょうど昨年は９月に個人情報保護法制化専門委員会の最後のまとめの段階でしたので出られませんでした。今年もスピーチをしてほしいということで依頼を受けまして、今度は出席しました。

私が出ましたセッションは、イタリアで昨年開催した時の考え方として、１つの世界に１つのプライバシーということで、いわばどこに行っても同じようにプライバシーが保護されるようにというような趣旨であると思いますが、最初にアルゼンチンの女性の検察官の方が南米の状況についてスピーチしました。それから、アメリカからはFederal Trade Commissionのコミッショナーが来まして、先ほど触れましたセーフハーバーの問題にも触れていましたが、アメリカの場合には、Federal Trade Commission Actで、法的措置を講じている。プライバシーノーティスやプライバシーポリシーを明確に出しますと、それに違反する行為はFederal Trade Commission Actで処罰の対象になる、金融の方は別になりますけれども、一般的には取引関係ですとそれで担保されているということなどにも触れていました。

それとともに、アメリカの場合には個別の分野でそれぞれ保護措置がある、実際に挙げていましたのは、信用情報機関に関するものですけれども、1970年のFair Credit Reporting Act 、公正信用報告法というのがありまして、それなどを個別の分野で非常に早い時期に保護措置を講じたものであるということも言っておりました。

次にカナダの連邦のプライバシー・コミッショナーが話をしました。カナダでは昨年法律をつくりまして、今年から、連邦が所管している民間部門についての法律が運用されている状況を明らかにしました。その後私が日本の状況をスピーチしまして、最後がＥＵのＤＧ15、第15総局の局長の方がスピーチをして、アメリカとのセーフハーバーでのやりとりなどにも触れていました。そこでは、できるだけどこに行っても同じようにプライバシーの保護措置が講じられるように、しかしその方式はそれぞれの国の法のつくり方もありますし、考え方もあり違いはあるというのはお互いに認識し合ったと言えるかと思います。

それとともに、他のセッションで出て印象に残っていることを１つだけ言いますと、このデータ保護、個人情報保護の議論の際に、データがどこかに蓄積されて濫用されたりするということは危険であるという面と、しかし、また全く特定の個人についてデータがない、あるいは不十分なデータしかないということもその顧客については正当な判断ができないということで、データというのは必要ではないかという面が議論になっていました。“Data is dangerous, but lack of data is dangerous.”というような言い方をしていた人もいました。

いろいろ申し上げたいことはたくさんありますが、また質問等をしていただきましてわかるところはお答えしたいと思います。

○ 倉沢部会長

ありがとうございました。

それでは、高橋委員からコメントをお願いいたします。

○ 高橋委員

私はヨーロッパから調査に加わらせていただきました。主にその顧客と金融機関との関係、個人情報がどういうふうに取り扱われているのか、現在その問題視しているのは何かというような観点から調査・取材を試みました。簡単に感想を述べさせていただきます。

まず全体的な感想なのですが、ヨーロッパではイギリス、フランスの２カ国に行ったわけですけれども、個人情報というのは個人に帰属するものであると。だから個人にコントロール権があるんだと、こういう基本的な原則に沿って法整備がされ、実効性が確保されているというふうに感じました。

また、国内法のそれぞれの実施細則に関しては、業界団体等の自主規制機関が行動基準、あるいは倫理綱領をつくってそれを重視していると、この辺も日本が見習うべきことだなというふうに思いました。

ただ、非常にうまくいっているように見えるんですけれども、これがうまくいっているのは法制度もきっちりしていますけれども、実効性を確保するために個人情報の登録制度と監督制度というのがしっかりしているということではないかと思います。つまり単一の機関、つまり専門機関があるわけで、制裁措置も含めてきちんとして、一般の消費者にもそういう機関があることで自分の個人情報の扱いに関して大変わかりやすくなっているというふうに思いました。

日本の方は、基本法という形でそれぞれ主務大臣のもとで個別にというやり方なのですけれども、費用の観点とかからいくと、金融だけで個別にやるよりは、本来は個人情報全体でその金融とそうでないものを区別せずにやった方が効率的なのではないのかなと、ヨーロッパの例を見て感じたわけでございます。

それから、個人情報の登録、監督というのは、やはり単一機関、同じところでやらないと改善指示が出しにくいというふうにも感じましたので、日本もそういう方向性で検討していったらどうかなというふうに思いました。

それから、そういう法律がしっかりしていることで、個人にとってその苦情を申し立てたりアクセスしたりするということが非常にやりやすいようになっていると。ただ、全体的な個人情報、自分がどういうふうに登録されているかということを全部知ろうとすると費用がかかったり日にちがかかったりしますけれども、私どもが取材した金融機関ではかなりそういうことに関して前向きで、費用がかからないでここまで出ますよと、それで満足いかないなら費用をかけて調査をしますということでコンプライアンス体制が各社ともしっかりしているし、それを守らないとやはりそういう監督機関の方から改善是正のようなものが出ますし、一般の消費者がそういうインフォメーション・コミッショナーとかそういうところに言っていけるというところが１つのいい点だなというふうに思いました。

先ほどの資料の中に、イギリスの方ではダイレクトマーケティングですね、ダイレクトメールの拒否というのができるというのがありましたけれども、これもそのＭＰＳ、ＴＰＳ、ＦPＳというメール・プリファレンスサービス、それからテレホン、ファクスということで、それぞれ受けたくなければそれを届け出ることによって受けなくていいというのも非常に明確であるのではないかと思います。この間も日本の消費者団体の方とお話しても、やはりダイレクトメールに関するアレルギーといいますか、心配というのが非常に強いようなので、この辺なども参考になりました。

それから、消費者団体の意向及びそれに事業者団体なり金融機関というのがどういうふうに対応しているのか、あるいは消費者団体でなく個人のそのアクセスに関してどういうふうに対応しているのかという点について申し上げたいと思います。

まずイギリスは、私どもは消費者団体としてはＣＡというイギリス最大の消費者組織に行ったわけです。ここはスタッフだけでも 500人もいるような組織で、かなり消費者にそういう活動が定着しているということが言えると思います。

グループ内の情報共有についても、消費者の利益とビジネスのバランスを重視するということで、現在の法律に満足しているしこれ以上厳格化する必要がないと、先ほど室長の方から成熟したというようなお話がありましたけれどもそういうような意見をお聞きしました。むしろ、その消費者の意識を高めることに対して消費者活動をやっていくということで、例えばＣＡの場合はwhichという雑誌が有名ですけれども、Health Whichhというところでは、医療関係の個人情報に関しての取扱い、それを個人にいろいろ注意を喚起するような基準を出したりということをしているということでございました。

それから、事業者の方はＨＳＢＣとバークレイズに行ったんですが、個社によって結構違いがあるなと思ったのは、ＨＳＢＣの方が実はすごくしっかりしていて、バークレイズの方は先ほどお話があったように、言っていることを少し詰めていくといい加減というか弾力的なところがあるなというふうに思いました。

ＨＳＢＣ、法人カンパニーですけれども、こちらの方は、消費者のアクセスに関して非常にコンプライアンス体制のスタッフがよく対応しているなというふうに思いました。消費者と金融機関との契約の書類の中に、必ずアクセスできるんだということを契約書類には全部明記すると。それが郵送であったり電話ならこうだと、Ｅメールならこういう方法があるというふうなことをきちんと明記していて、全部必要な場合にはそういう料金がかかることも言っていますし、ただ、現実にはそういう料金をとってまでというところまでいくケースというのはほとんどないということでした。

それから、それを受け付ける窓口はすべて支店であるということを明記していると。この辺も参考になることなのかなと思いました。

それからもう１つのバークレイズの方は、それなりにやはりコンプライアンス体制は組んでいるようなんですけれども、そのグループ内の共有というところで先ほどご紹介のありましたオンラインショッピングの件なんですけれども、インターネットのサイトでオンラインショッピングをした場合にバークレイズのカードで大金が引き落とされるわけなんですけれども、それによって得ている情報をどういうふうに使っているかというと、やはりクレジットのラインであるとか、いわゆる貸し出しの部分に活用しているということでございました。

日本でもクレディセゾンとオリックス信託が、これは同じ企業ではございませんけれども、セゾンのカードの履歴によってオンライン銀行であるオリックスさんのような金利の優遇とか、ローンの金利の優遇とかというのをやっているわけなんですが、これは約款でそういうふうに利用しますよというふうに書いてあって、個人はそれを承知して契約したんですねという形になっているわけなんですけれども、こうしたことがグループ内で今後行われた時に同意をどういうふうにとっていくのかというのが１つの検討テーマではないかなと思いました。

それからフランスについてなんですが、同じく消費者団体の方からお話したいと思うんですが、どうも銀行協会にお会いした感想では、消費者団体とはうまくいっているという言い方をしていたんですが、私どもが取材という形でお願いしたところは、実は銀行協会が非常に嫌っている消費者団体であそこはよくないというふうに言われたんですね。銀行業界が定例的に情報交流を行っている消費者団体とはうまくいっているということらしくて、私どもがいろいろお伺いすることになったＡＦＵＢというのは銀行ユーザーズ協会といって、言ってみたら、こちらの原委員のところの金融オンブズネットのように金融に特化した消費者団体ということで金融に非常に詳しいので、銀行に関しても個別の銀行あるいは銀行協会に対しても大変厳しいご意見を持っていたと、そういうところの差が出たのかなというふうに思います。

その消費者団体ＡＦＵＢからの回答によりますと、ここは、実は私どもが会う日に会う方が急病でお倒れになって、文章で後で回答していただいたという経緯があるのですけれども、ＣＮＩＬに登録するという法制度になっているんだけれども、苦情の申し出、あるいはアクセスをするとその法律の抜け道というのがいろいろわかってきて、秘密ファイルというのが存在していて届けていないものが結構あるじゃないのというようなことを指摘しているわけです。その届けていないファイルの中には、主観的評価を持ったファイルが非常に多くて、例えば顧客に関して成長が見られないとか、享楽的な態度であるとか、いらだつ主婦だとか、そういうような評価のようなものが書かれているものは当然ながら個人が見れない情報で、でも実はそういう情報によっていろいろ貸し出しですとか、パーソナル性とかいろんなものが判断されていくわけなので、その辺は問題であるということが指摘されておりました。

それから、最後に感想を書いてくださったんですけれども、柔軟性のある法律に関しては悪用しないことを望みますねということなんですけれども、我が国の金融機関の倫理観はどうなのかなと思いつつ帰ってまりました。あちらにいらっしゃる有吉企画課長のところで、原さんと私は金融トラブル連絡調整協議会という会議で金融のトラブルをやっているんですけれども、イギリスとかフランスで自主規制団体として業界団体をきちんとやっているとか、あるいは個社がコンプライアンス体制をやっていると、取材ではそういうふうに感じたわけなんですけれども、日本の場合はその自主規制という考え方が業界団体も非常に薄いのかなという印象であったり、個社もこの顧客に向けての取り組みという点では大分差があるなというふうに感じてまいりました。

個社に関してはSociete General さんをお訪ねしたんですが、こちらはやはり目的との整合性の原則ということで、情報の収集とか利用に関して社内にきちんとしたコンプライアンス体制を引いておられるようで、グループ内利用に関しても、営業の際に使われることをきちんと顧客に伝えるとか、広告宣伝に関するその情報提供はグループ内にとどめるとか、そういうことはきちんと同意を得ているのだというふうに説明されておりました。

簡単ではございますけれども、イギリスとフランスを見てきていいなという感じがいたしまして、日本も見習うべきところがたくさんがあるというふうに思います。

以上でございます。

○ 倉沢部会長

どうもありがとうございました。

それでは、残りました時間で、ただいまの事務局の報告及び両委員のコメントを踏まえまして、ご質問、ご意見等を含めご自由にご発言をいただきたいと思います。

ただ、大変皆様に恐縮でございますけれども、きょう17時までお時間をちょうだいしておりますが、あと個人情報保護法案の動きについて最後の15分ぐらい事務局から委員の皆様に情報を差し上げたいと思っておりますので、そういう残りました時間の範囲内でお願いいたします。どなたからでも結構でございます。原委員、どうぞ。

○ 原委員

ご報告ありがとうございました。何点か質問ということでお願いしたいんです

けれども、１つはアメリカの状況なんですけれども、アメリカ側の99年のこの法律ということは聞いていて、この時の消費者団体とか消費者グループの反応というのはいま一つ私つかめていなかったのが、３人の方の発言から大体わかりまして感謝しております。

それで、アメリカの情勢についてなんですけれども、この消費者グループはかなり問題があるというふうに、今でもまだちょっと問題が残っているというふうに感じていらっしゃるということなんですけれども、そういう問題がありながら何か見切り発車的にスタートしてしまったのか、そのあたりですね。まだ消費者から問題があるという点については何らかの見直しみたいなことも考えられようとしているのかどうかというところをもうちょっと説明をお聞きできたらと思います。

それから関連なんですけれども、監督当局のＯＣＣについて結構、ここがやっているからということでの批判ということだったんですけれども、日本も例えば法律ができたにしても一体どこが自主的に運用していくのかとか、そのコンプライアンスに対してどうしていくのかというふうになる時に、どこがその辺のリーダーシップをとっていくのかということになる時に、このＯＣＣへの批判というのがどういうところにあるのかというのももう少し詳しく聞かせていただきたいと思います。

それから２つ目なんですけれども、アメリカもイギリスも日本へのアドバイスとして、できるだけシンプルなものをというふうにアドバイスをしてくださっているんですけれども、これは、自分たちのところがシンプルだからこの程度のものというふうにおっしゃっているのか、自分たちのところでも問題があるのでもうちょっとシンプルにできるのではないかということで、何を指してのシンプルというご発言をなさったのかということをお聞きしたいというふうに思います。

それともう１つが全体的なことなんですけれども、個人情報の取扱いということで言葉をくくられましたけれども、日本で考えている個人情報、こちら側の提出をする個人情報とアメリカ、イギリスでとられる個人情報との違いはなかったのかという、何か日本は非常に不要にたくさんとられる情報があるというような、ローンとかそういう関係はやむを得ないんですけれども、クレジット関係でも結構書きますし、その辺のごく基本的なものしかとっていらっしゃらないのか、それともかなりとっていて、それの流用というようなことで考えていらっしゃるのかどうかというところをもうちょっと聞かせていただけたらというふうに思います。

以上の３点です。

○ 大森調査室長

不十分な点があれば両先生から補足をしていただきたいと思うのですが、最初のご質問は、消費者グループの意向を踏まえ今後どうなるのかという点については、どこまでお答えになっているかわかりませんけれども、ちょうど堀部先生とワシントンに着いたその日にこの消費者団体を訪れたわけですが、たった今現在自分の同僚が議会でまさにネットプライバシーについて意見を言っていると。翌朝のワシントンポストを見ますと、デモクラットが議会でオンラインプライバシーの必要性について主張したというような記事が出ておりまして、その後訪れたＯＣＣからも、議会の一部なり消費者団体の声を聞いて、当面のその妥協案として現行制度というものをつくったということでございましたから、まだその事態はかなり流動的なのではないかという印象でございますが受けて帰ってまいりました。

先ほど紹介は省略しましたけれども、実はアメリカ銀行協会のロイヤーを訪れました時には、午後から消費者団体の代表と討論番組があるんだと言うものですから、堀部先生がだれですかと言ったら、昨日会った人だったりしてですね、あるいはフランスの銀行協会に行きました時は、国際会議から国際部長さんが帰ってきたところで、我々にとって当たり前のことをアメリカのバンカーはプライバシー、プライバシーと言って大騒ぎしておったなんてことからすると、かなりアメリカの金融界にとってホットなイシューになっておりまして、そういう意味で、それだけ定着していないということでしょうから、特に新しい金融の動きも踏まえた変化というのは今後あっても不思議でないような印象論でございますが、感じを持って帰ってまいりました。

それから、ＯＣＣへの批判というのは、これはある意味で金融庁、我々もそうですけれども金融業界だけを監督しておりますと、どうしても我々と公取委や検査院とパラレルに論じるのがいいのかどうかわかりませんけれども、金融監督行政をやっている以上金融機関に甘いんではないかと。そうではない取引というところに注目して見ている方が信頼できるというような発想というのは、やはりどうしても出てきてしまうものではないかという気がいたします。当然金融を担当している行政ですから、それでアメリカの金融はどの程度の規制をするのが妥当か、それが産業の競争力という観点から過剰にならないのかどうかというそのバランスをとりながら考えておられるんだと思いますが、それが消費者団体側からすれば業界寄りというような受けとめられ方をするのではないかと思います。

それから、できるだけシンプルという点については、まさに原委員のおっしゃった後者でございまして、原則を書いて例外を書いてきっちり書かなきゃいけませんから、例外をどんどん場合分けなんかをして書いていきますと、結果として自分にどんな権利があるのかかえってわかりにくくなってしまうと。イギリスも法改正によって95年のＥＵ指令をそのまま取り入れたので、自らの制度が複雑であるがゆえにわかりにくく、その点が内外から批判されてせっかく苦労してつくったのに報われないと。そうであれば、もっとわかりやすい制度に、新しくつくるのであればすべきであるという文脈であったかと思います。

最後の個人情報そのものの違いというのは、あまり突っ込んでは聞いてまいりませんでしたけれども、特にアメリカの場合は、それはいろんなことを聞いておいた方が、それはお客様のニーズということですのでお客様のニーズに対応できるという意識は間違いなくあったと思いますし、例えばバンカーが証券や保険の免許を持っているというようなことがあるわけですけれども、自分を切り分けることができないんでなるべくいろんな情報を求めておいた方が、それが顧客にとっての多様なサービスを提供することにつながるんだというようなことを言っておりましたので、私個人は特に日本と違いがあるというふうには感じませんでした。ただ、堀部先生、別の印象があればお願いします。

○ 倉沢部会長

では、堀部委員、お願いいたします。

○ 堀部委員

原委員が言われたものの幾つかについて申しますと、まずアメリカの法律についてですが、アメリカの場合には、大統領が法案を提出してということではなくて議会で議員がみずから法案を提出する、こういうやり方になっていますので、議会のヒアリングの機会に消費者団体の意見等も広く聞いて、議員がこれならばいいということで多数の賛成があれば法律として成立していくということですので、何か行政、例えばＯＣＣがこれでいくということではないわけですから、ＯＣＣとして消費者団体の意向も踏まえずに見切り発車したとか、そういう形にはならないと言えます。

アメリカのＧＬＢ法についても、他の議員からはこれでは不十分だということで、もっと厳しい法案を現に用意しているというような状況もありますので今後さらに議論は進むかと思いますが、アメリカの場合はかなりロビイングが盛んですので、金融機関側がこのあたりならば自分たちとしてはいいけれども、これより厳しいものでは困るということであれば、そういう新しい法案に対して反対をしていくということになると思います。アメリカ議会、それから世論の動向との関係で見ていかなければならないところではないかと思います。

個人情報の項目等につきましては、日本とそれほど変わらないといいますか、つまりある目的で必要なものを、アメリカばかりではなくてほかの国もそうですけれども、その目的に応じてとってきますのでそこに限定される。フランスの場合などですと、例えば国籍を聞かないようにというようなことは、別の法律でそうなっています。アメリカの場合にもさまざまな法律がありまして、そういうもので、例えば肌の色はどうかとか、そういうことをどこまでとれるかというような問題はありますので、この個人情報保護の問題だけではなくて、その国の全体のポリシーと関わっている部分があります。個人情報保護法の側面だけで判断するというのはなかなか難しいのではないかと思います。

○ 倉沢部会長

ありがとうございました。ほかに何か。森崎委員、お願いいたします。

○ 森崎委員

監督当局につきましてもう少し教えていただきたいんですが、先ほど堀部先生の方からイギリスがスタッフで約 100名、ＣＮＩＬが60名程度という話がありましたけれども、このＯＣＣの方がどの程度の人数でやっているのかということと、それぞれの監督当局が個人情報に関する監督だけをやっているのかということですね。

それからもう１つは、仮に今の法案が通るということになった場合に、国に関して金融庁としてはどの程度のスタッフを考えているのかと、その辺お話をいただきたいと思います。

○ 大森調査室長

ＯＣＣの体制につきましては、済みません、ちょっと今情報を持ち合わせておりませんので、後ほど調べまして回答をさせていただきたいと思っております。

ただ、当然のことながら、私も日本の行政官としてこのＧＬＢ法施行に伴ってＯＣＣとしてその体制を強化したのかとか、そういった質問はした次第でございますが、殊さらこのために監督当局としての体制を変えたわけではないというご返事でございました。残余の点については、後ほど調べましてご返事をさせていただきます。

○ 有吉企画課長

まだ法律が通っていない状況なんですが、一応予算要求ベースということでありますと、来年の分にその企画部門でこういうことが必要なんでそこは人を増員してくださいというお願いはいたしております。それでもし法律ができてどういうことが具体的に必要になるかということになれば、また全体としてどれだけの事務量になるかというのを積算していろいろとお願いするということになりますが、結構いろんな厳しい、なかなかそう簡単にホイというぐあいには、少なくとも60人、100人単位ではくれないんではないかなという気がいたします。

○ 倉沢部会長

堀部委員、何か。

○ 堀部委員

ＯＣＣは明確に言っていませんでしたけれども、ＧＬＢ法施行に伴って新た

な体制強化は行っていないような趣旨のことは言っていましたので、これまでの体制で対応するということではないかと思います。

○ 倉沢部会長

ほかに何かご意見、ご質問等ございますか。

○ 蝋山分科会長

個人情報を一番初めに識別するベースは何ですか。私なら私がイギリス人だとして、どこかインフォメーション・コミッショナーのもとに私のファイルがあるわけですね。それはないんですか。

○ 堀部委員

インフォメーション・コミッショナーのところにはないのです。

○ 蝋山分科会長

どこかにあるわけですね。

○ 堀部委員

それは、例えば先ほどのようなバークレイ銀行にはありますけれども、インフォメーション・コミッショナーのところにはどういう個人データの種類とか、どういう目的のものを保有しているかということをノーティファイする、それだけですので、どこの銀行がどういう種類の情報を持っているかという個人個人の情報がそこにいっているわけではありません。

○ 蝋山分科会長

そうですか。

○ 堀部委員

ええ。どこの金融機関がこういう目的の個人データを持っているということを公示はしますというか、今はインターネットで見られますので、それを見て自分の情報が果たしてどういうふうになっているか、自らの情報にアクセスする、こういうことが行われています。

○ 蝋山分科会長

そうですか、わかりました。それでは、ジョージ・オーウェル的世界ではないわけですね。それで、いわゆる背番号制、ソーシャルセキュリティナンバー(SSN)とか、そういうものとの関連はどういうふうになっていますか。

○ 堀部委員

アメリカの場合には、ＳＳＮがありますから、実際の貸し出しの時なども、本人を確認するためにＳＳＮの開示を要求するというようなことになります。そうすると、個別の金融機関は特定の人のＳＳＮと銀行が顧客から集めたデータ等を一緒に保管しているということになります。

イギリスは明確な形では背番号制をとっていませんが、フランスは前から、個人個人に番号がついていまして、以前は紙のカードに番号と氏名、住所などを書いたものを持っていまして、最近はそれはプラスチックになっているそうです。それを発行する公的機関はだれにどういう番号が付与されているかということはもちろん全部把握していますので、そこをジョージ・オーウェル的と言えば言えるかとは思いますけれども、フランスの監視機関に全体のものがあるということではありません。

○ 高橋委員

イギリスの件を少し補足しましょうか。

○ 蝋山分科会長

イギリスの社会保障ナンバーを僕はとっていましたから。

○ 高橋委員

とったということなんですが、イギリスで私が聞いてきた手元のメモでは、昔はその住所をベースに情報の整理をしていたんだけれども、住所だけだと正確ではないということだったんですね。それから名前を加えたんだけれども同姓同名がいたりしてこれもだめだということで、現在は識別だけではなくてフルネーム、フルアドレス、それに郵便番号をつけるような改善をしているということです。この信用情報の中で誕生日までの情報を持つことは反対されているのでやっていないのではないかと。それからナショナルアイデンティファイナンバーですね、国民識別番号は使っていないということでした。

○ 倉沢部会長

ほかにご意見、ご質問はございますか。山下委員、どうぞ。

○ 山下委員

一般に私どもの知識としては、ヨーロッパではいわゆるオプト・インの範囲が非常に広い。アメリカではそれが非常に狭くて、オプト・アウトが原則であるというような認識でおったのですが、今日のイギリスのコンシューマーズアソシエーションのご報告を見ると、必ずしもこれはオプト・インにそうこだわっていないようなご報告だったかと思いますけれども、そのあたりのヨーロッパの感覚というのはどういうものなのかなということをどなたかにお聞きできればありがたいのですが。従来ヨーロッパでは同意が厳格に要求されているというイメージが割とあったと思いますけれども。

○ 大森調査室長

私どもが出かけたところがたまたまそうだったのかもしれませんので、むしろ堀部先生に教えていただいた方がよろしいと思うんですが、先生、いかがでしょうか。

○ 堀部委員

アメリカの場合、情報を集める段階で本人の同意を得てそれをその範囲内ではできるだけ自由に使うということになりまして、一々どの情報をどこまで使うかということを明確にしていないという点でオプト・インではないということが言えるわけですね。むしろ最初の段階では比較的緩やかにしておいて、あとは自分で目的外と考えたり、あるいはここまでは使われたくないということであればオプト・アウトを要求する、こういうことでむしろオプト・アウト中心だと言えると思います。

ヨーロッパの場合には、それぞれの国の法律で目的を明確にしていかなければならないことが義務づけられていますから、それをこのコンテキストでいえばオプト・インというふうにとらえることができます。アメリカの場合には、金融の場合にはこういうふうになっていますけれどもいろんな分野で議論がありまして、できるだけオプト・インにしていくべきだというのが、議論としては出てきております。

○ 原委員

私の方で追加で質問になってしまって申しわけないんですが、今の山下先生の方でおっしゃったのは、きょうのイギリスの消費者団体のＣＡのところの一番最後の締めくくりのところに、今堀部先生がおっしゃったようなことを私どもはそういうふうに理解しているんですが、同意のあり方がオプト・インかオプト・アウトかは、顧客にコストを負担させるか否かによって判断されるべきというふうなコメントでまとめられてあったんですよ。だから、そのコスト論みたいことを、コストを消費者が負担をするかしないかでオプト・インかオプト・アウトかみたいな話もあるのかということがちょっと聞きたかったということなんですが。

○ 大森調査室長

その制度を前提として、ファクスが来るとかメールが来るとか、封筒に入ってくるダイレクトメール以外のいろんな形で勧誘されるのを一々どう判断していくのかというところまでは恐らくはっきりしていない点があって、ただ捨てればいいものと自分の受話器のファクスの紙を使っちゃったとか、その受信料がかかっちゃったという場合で区別をしていけばいいのではないかというこのＣＡの担当者の私見、恐らくはそういうものであったかと思うんですが、それがなかなか興味深いなと思ったものですからあえて書かせていただいたいと、そういう程度の位置づけのものだとご理解いただけますでしょうか。

○ 高橋委員

恐れ入ります。少し質問させていただきます。

ここは私がちょっとしつこく質問をして、実際にオプト・インという原則どおりにやっていくとかなりコストがかかると思うんですけれどもどうなんですかということに関して、とにかく同意というものが必要なのであって、その同意の取り方に関しては考慮の余地があるのではないかというのがＣＡのその担当者の見解です。ＣＡという、先ほど言った 500人スタッフがいて、イギリスに３カ所も事務所があるというようなこの組織というのは、実は出版活動とかいろんな営業をやっていて、自らも個人情報を扱っていて、インフォメーション・コミッショナーに届出もしている団体で、どうもこの感覚が日本の消費者団体と同じような感覚ではなくて、事業者団体の一つにも近いようなところもあって、自分たちも個人情報の漏えいのようなことで今まで損害賠償をしたことがあるというふうな話もしていまして、そういうことも考えていた時に、やはりビジネスという感覚からすると、不必要なコストはかけない方がよいという感覚がどうもおありだったようでございます。それなので、消費者がコストを負担するかどうかというところを自分たちはオプト・インかオプト・アウトかの判断基準にしたいというふうに答えられました。

以上です。

○ 倉沢部会長

これはなかなかまとめるのが大変だったと思うんですけれども、制度の評価の問題と、それから立法論というかあるべき論というようなものといろいろ書き分けるのが難しいんだと思いますけれども。

それでは、まだいろいろとご質問、ご意見等おありかと思いますけれども、先ほど申し上げましたように、大変恐縮ですけれどもこれでご意見を一通りいただいたということにさせていただきまして、ここで今臨時国会で審議される予定になっている個人情報保護法案に関して、国会の動きや反対運動等の情報などについて事務局より説明していただきたいと思います。よろしくお願いいたします。

○ 大森調査室長

それでは、承知しておりますことをごく簡単に申し上げます。

個人情報保護法案は、ご承知のとおり通常国会で継続審議になりまして現在に至っておりまして、国会内では、与党三党は成立に向けて基本的に認識は一致をしておりますが、野党は個人情報の保護法案というものが必要であること自体は否定していないわけですけれども、この継続審議となっているこの法案には反対の姿勢を明確にしております。

どこが反対かと言うと、まず１つは全体の理念といいますか、自己の情報をコントロールする権利であるというところが明確になっていないという点。それから、主務官庁が規制をするという仕組みになっている点は、やはりイギリスあるいはフランス、ＥＵのような形で独立性を持った個人情報保護委員会のような、そういう仕組みの方が望ましいと。

３つ目は、これはやや視点は異なりますけれども、適用除外の明確化という点でございます。その適用除外という点については、ジャーナリストの方、あるいはルポライター、作家の方々がさまざまな反対集会を開催しておりまして、これは以前基本法のご説明を申し上げた時には割愛させていただいたかと思うんですけれども、その適用除外規定がございまして、何かと申しますと、報道機関が報道目的で個人情報を取り扱う場合はこの法律の適用を除外すると。報道機関という言葉を使っているんでございます。そうなりますと、個人でやっておられる方は、自分は機関ではないんではないかということで、この法律によって規制されてしまうのではないかと。情報統制、言論統制ではないかという趣旨からその反対運動をされておられるわけですが、ただ、政府の考え方というのは非常に国会等で明確に説明をされておりまして、たとえ１人であってもその報道を業として行っておられる者は報道機関に該当すると。したがって、その主務大臣のもとでのその義務規定の適用除外になるんだということをはっきり言っております。

もちろん、何人にもその法律の最初の方に書いてあります基本原則というものは努力義務として求められるわけですけれども、主務大臣の関与もなく、これは努力義務規定に過ぎませんから、ジャーナリストの方、ルポライターの方などがその取材等をされる上で何ら制約にならないのではないかと。今やっております臨時国会の冒頭の代表質問でも総理が明確にそう答弁しておりましたが、なかなかご理解をいただけないようでございます。

したがって、この法案は重要法案ではございますが、与野党対決という構図になっておりまして、かつマスコミの方の一部の方からもかなり根強い反対の声が上がっているという中で、私どももその政府の一員としてその規制がどうなるか現在注視をしておるというところでございます。

以上でございます。

○ 倉沢部会長

ただいまのご説明につきまして、何かご質問はございましょうか。堀部委員、どうぞ。

○ 堀部委員

いつごろ審議入りしそうな状況なのでしょうか。反対があることはわかっておりますけれども、今後どういう日程で審議されようとしているのか、もしおわかりでしたら。

○ 大森調査室長

あまりよそ様のことを言うのはどうかと思うんですが、その与野党対決と申し上げまして、それでこの内閣委員会というところでこの法案はまず審議をされることになっておりますが、野党の方が委員長になっておられまして、少なくとも直ちにやらなくてもというようなご意向であることは漏れ承っておりますが、それ以上のことは承知はしておりません。

○ 倉沢部会長

原委員、どうぞ。

○ 原委員

私も個人情報保護のその本体の方にちょっと関わって、大綱づくりのところまではかかわっておりましたので大変行方としては気にしているのですけれども、ちょっと私もこの法律の方はおっしゃられたような状況のとおりだというふうには理解をしております。ただ、閣議了解までいったもので通らない法律というのはそれほどない、何かそこがちょっとよくわからないんですけれども、修正をした形で通るのかなとか、ちょっとよくわからないところがあるんですが、そちらはそちらでも消費者団体で今熱心に取り組んでいるところなのでやらなければいけないんですが、一方ここの議論というのはそこを待ってやるわけではなくて、もう先行した形ででも立法ということは目指されるということの了解でよろしいんでしょうかということをちょっと確認をしておきたいと思うんですが。

○ 倉沢部会長

これはいきさつ的に言えば、初め個人信用情報というものが先駆けとして通産省の２つの審議会と共同で作業を立ち上げて、それである方向みたいなものを見ていったわけですが、その後で個人情報保護の基本法というようなものを内閣として考えるということがありますと、個人情報保護の基本法というものができればそこに基本理念と基本的な方向といったようなこと、あるいは国の責務といったようなことも出てくるものとの整合性が問題になるということでちょっと休んでいたところが、出てきた案が各論まで含んで罰則まで含むという形になりまして、その時に今日の議論にちょうどありましたように一般法か個別セクターの法かというようなことで、その法律ができた時にそれじゃあ金融に関する個人情報の保護というものがこの一般法だけで足りるか足りないかという判断をしようではないかというところまで、この夏の前の段階では考えてきたわけでございます。

ですから、やはりこれはどうも全く基本の根っこからまたもう一度このところで独自にやるという、少なくともいきさつではないということだと私は考えておりますけれども。

○ 原委員

だから、先行はできないけれども同時並行…。

○ 倉沢部会長

それはあり得るでしょうね。ただ、それが同時並行という時に並行する相手の姿が見えないと並行ができないというそういう話でございますので。それでよろしゅうございますか、今の私の発言で。

○ 大森調査室長

はい。

○ 倉沢部会長

何か、例えば医療とか何とかという個別法規についての法律がストップしているという時にこっちがやるということはありますけれども、基本理念とか基本的施策とかというようなことを総論に書いてある法律を個別法で先行するということは、私個人としてはちょっとそれは何か後で結局はやり直さなきゃならないといったような無駄が生じるのではないかと、そんな感じを私個人としては持っているということでございます。

それでは、お約束の時間も近づいてまいりましたので、これで本日の審議を終了させていただきたいと思います。

大変駆け足で、しかも実りのある調査をしてきたお２人の委員と事務局の方には心からの敬意を表させていただきます。また、皆様にはいろいろ本日もご質問、ご意見等をいただきありがとうございました。

なお、この後記者会見を行いまして、本日の当部会の模様につき、私の方からお話をさせていただきます。

最後になりましたが、事務局の方から連絡等ございましたらお願いいたします。

○ 大森調査室長

特にはございませんが、次回以降の部会の日程につきましては、ただいま出ておりました前提となる動きなどもにらみながらまた追って連絡、ご調整をさせていただきたいと思いますので、よろしくお願いいたします。

○ 倉沢部会長

ありがとうございました。

今の次回以降の部会の日程は、また追って連絡させていただきますということでご了解をいただきたいと思います。

それでは、以上をもちまして本日の会議を終了させていただきます。どうもありがとうございました。

（以上）