資料４−２個人情報保護に関する論点整理【論点１】個人情報保護法において全ての個人情報を同様に取り扱うという体系についてどのように考えるか。【「主な検討課題」該当部分】・保護の対象について、ＯＥＣＤでは「識別される又は識別され得る個人（データ主体）に関するあらゆる情報」と定義しているように、国際的には広く捉えるのが一般的であるが、国際的な整合性の視点をどのように位置付けるか。・「個人情報の性質及び利用方法にかんがみ、個人の権利利益の一層の保護を図るため特にその適正な取扱いの厳格な実施を確保する必要がある個人情報」について、格別の措置が講じられたものと整理された分野もあるが、これをどのように考えるか。１．現状・個人情報保護法において「個人情報」とは、生存する個人に関する情報であって、特定の個人を識別することができるものとされており、プライバシーにかかわる情報、センシティブな情報など特別の性質等に基づく限定は加えていない。一方、公知の情報についても保護の対象から除外していない。・ＯＥＣＤでは「識別される又は識別され得る個人（データ主体）に関するあらゆる情報」と定義しているように、国際的には、我が国同様に広く捉えるのが一般的である。・「個人情報の性質及び利用方法にかんがみ、個人の権利利益の一層の保護を図るため特にその適正な取扱いの厳格な実施を確保する必要がある個人情報」（法第６条）について、各分野において、業法による守秘義務、規則やガイドラインによる厳格な安全管理措置等が規定されている。２．検討の方向性 (1)保護の対象保護の対象について、ＯＥＣＤでは「識別される又は識別され得る個人（データ主体）に関するあらゆる情報」と定義しているように、国際的には広く捉えるのが一般的であることから、「個人情報」の定義については、現行の整理が適当ではないか。（留意点）・事業者の保有する市販の名簿の管理や小規模事業者の取扱いについては、別途検討。 (2)格別の措置特に適正な取扱いを確保すべき個別分野については、国民の関心は高いが、既に業法による守秘義務、規則やガイドラインによる厳格な安全管理措置等により、格別の措置が講じられられていることから、引き続き現行の枠組の下、動向を注視することとしてはどうか。 1 ※ヒアリングにおける主な意見、関係省庁の取組等、パブリックコメントにおける主な意見については、便宜事務局で整理した。＜参考＞１．ヒアリングにおける主な意見 (1)保護の対象 ○日本弁護士連合会・「過剰反応」は個人情報保護法が情報の質等を問わず広く網をかけていることに起因しているため、個別の分野ごとに情報の質に応じた規制が必要である。・個人情報の定義について、ＯＥＣＤの定義に必ずしも拘泥する必要はない。 ○日本私立小学校連合会・法第２条の定義により、学校は個人が識別できるものは公開しないようになっている。 ○堀部委員・個人情報保護の検討にはグローバルな視点が重要である。 (2)格別の措置 ○日本弁護士連合会・特定三分野については個別法が必要だが、全ての分野について必要ということも言い切れない。・違った法規制が適用されている分野は、独立の法律での整理が必要ではないか。 ○全国消費者団体連絡会・医療、金融･信用、情報通信など特段の個人情報の保護が求められる分野については、ガイドラインだけではなく特別法を検討すべきである。２．関係省庁の取組等 ○経済産業省（個人遺伝情報を用いた事業分野）・個人遺伝情報を活用した事業については、格別な措置として、インフォームドコンセントの取得、個人遺伝情報取扱審査会の設置等を求めるガイドラインを策定した。 ○厚生労働省（医療分野）・医療分野における格別の措置としては、医療関係の資格者に、罰則付きの守秘義務が規定されている。また、15 年９月に「診療情報の提供等に関する指針」を策定し、患者や遺族からの診療記録の開示の求めに応じる取組を推進している。ガイドラインでは、医療情報の性格に鑑み、小規模事業者や死者の情報も対象としている。 ○金融庁（金融・信用分野）・格別の措置として、ガイドライン等に加え、銀行法施行規則等計 25 本の法令において、安全管理措置の実施、信用情報機関から提供された借入金返済能力情報の目的外利用の禁止、機微情報の目的外利用の禁止を明記した。 ○経済産業省（金融・信用分野）・格別の措置としては、ガイドラインの制定・拡充、業界の自主ルールの強化・拡充を行っている。 ○総務省（電気通信事業分野）・格別の措置としては、ガイドラインにおける厳格な措置のほか、電気通信事業法において、通信の秘密の漏えいに対する罰則や業務改善命令、漏えい発生時の報告義務等の厳格な規定がある。 ○総務省（放送分野） 2 ・格別の措置として、加入契約の締結により大量の個人情報を取り扱う特性を踏まえ、罰金刑のある放送関係法令等による標準契約約款を策定し、事業者に対してこれに基づく届出を求めている。３．パブリックコメントにおける主な意見・個人情報は、保護の必要性の高い分野における個別法によるのが相当であり、一律の規制は相当でない。(大阪弁護士会) ・一般に公表されている情報は義務を緩和するなど、情報の質・重要性に応じた保護のあり方の検討が必要。(全国銀行協会等) ・金融分野は、法の規制外の部分についてもガイドライン等で十分規制化された。((社) 生命保険協会) ４．世論調査結果（平成 18 年 9 月実施） ○他人に知られたくない個人情報（複数回答,上位２位）平成 15 年 9 月 ※ 74.3％・銀行口座番号、クレジッカード番号、取引履歴・年間収入、財産状態、納税額など平成 18 年 9 月 88.7％ 74.2％（複数回答） 0 銀行口座番号、クレジットカード番号、取引履歴 10 20 30 40 50 60 写真などの画家離現族住構婚成所、歴、結電婚な話歴番、ど 88.7 53.3 43.0 52.8 ※ 49.5 ※ （参考） 48.6 号 42.9 44.9 40.5 年金、生活保護などの公的扶助の受給の有無メールアドレ 42.5 ス 31.6 40.9 40.9 病歴、身体の障害など学生職団歴、年月種体加職日歴な、、地入の有年位無な 35.1 39.7 ど 34.7 齢 30.0 32.6 28.3 29.9 支持政党、宗教などの主義信条生地その他特にわかなら 19.3 19.2 0.1 0.2 5.0 いない今 11.5 0.1 1.0 婚歴・離婚続交通違反の記査（ N=1,811 人 ,M.T.=648.1%) 32.9 ※（参考） 20.9 25.3 録趣味・嗜好などの記録調 55.8 歴柄回平成15年 9月調査（N=2,126人,M.T.=588.5%) 家族、親族等家庭生活の状況結＊平成15年9月は「生年月日」 28.2 、ど出 90 74.2 74.3 像電話や電子メールなどの通信記録 (%) 80 ※ 年間収入、財産状態、納税額など顔 70 18.0 ※「他人に知られたくない個人情報」に関しては、財産関係のものが上位を占めているが、金融・信用分野においては、業法の施行規則やガイドラインによる厳格な安全管理措置等により、格別の措置が講じられている。また、行政機関についても、別途、法律及び条例が定められている。 3 ○個人情報の取扱いを特に気をつけてほしい分野（複数回答，上位５位）・銀行、消費者金融、クレジット会社、保険会社など（金融信用関連分野）・電話会社、インターネット接続会社、放送事業者など（情報通信関連分野）・病院、介護施設など（医療福祉関連分野）・国の行政機関、地方公共団体など・通信販売関連分野平成 18 年 9 月 87.5％ 55.5％ 47.0％ 45.6％ 43.0％（複数回答） 0 10 20 30 40 50 銀行，消費者金融，クレジット会社，保険会社など（金融信用関連分野）電話会社，インターネット接続会社，放送事業者など（情報通信関連分野） 43.0 38.7 27.1 宅配，運送関連分野学校，学習塾など（教育関連分野） 24.7 職業紹介，人材派遣関連分野 22.5 ホテル・旅館，旅行会社など（旅行・宿泊関連分野） 20.7 百貨店，量販店など（店舗型の小売関連分野） 20.6 17.9 電気，ガス，水道関連分野家電，自動車など（製造関連分野）わにかならないい (%) 45.6 不動産の取引，賃貸，管理など（不動産関連分野）特 90 47.0 通信販売関連分野他 80 55.5 国の行政機関，地方公共団体などの 70 87.5 病院，介護施設など（医療福祉関連分野）そ 60 総数（N=1,811人,M.T.=471.6%) 15.1 0.2 4.5 1.0 ※特に適正な取扱いを確保すべき個別３分野については、既に業法による守秘義務、規則やガイドラインによる厳格な安全管理措置等により、格別の措置が講じられている。また、行政機関についても、別途、法律及び条例が定められている。 4 ５．個人情報保護法の施行状況 ○主務大臣による権限行使の状況（法第 32 条∼第 34 条）（平成 17 年度）平成 17 年度においては、個人情報保護法に基づく勧告を１件、報告の徴収を 87 件実施する等により、事業者等に対する指導・監督を実施した。主務大臣による権限行使の状況（平成 17 年度）主務大臣行使した権限金融庁長官（注１）報告の徴収勧告 83 件 1件厚生労働大臣報告の徴収 4件合計（注２）報告の徴収勧告根拠条文第 20 条（安全管理措置）第 21 条（従業者の監督）第 22 条（委託先の監督）第 20 条（安全管理措置）計 87 件計1件第 20 条第 21 条第 22 条 84 件 9件 19 件 4件計 88 件計 9件計 19 件 (注）１．法第 52 条及び施行令第 12 条に基づき、内閣総理大臣が金融庁長官に権限を委任している。２．共管の事案については、それぞれ計上している。 ○事業者からの個人情報漏えい事案の状況（平成 17 年度）府省名件数金融庁 607 国家公安委員会 1 総務省 104 法務省 3 外務省 1 財務省 6 文部科学省 13 厚生労働省 69 農林水産省 89 経済産業省 610 国土交通省 204 合計 (重複分除く) 1,556 5 ６．諸外国・国際機関の状況 ①保護の対象保護の対象については、アメリカを除き、我が国とほぼ同様。国・機関制度の内容イギリス (法律）「個人データ」は、「（a）当該データから、又は（b）データ管理者が保有し、又は保有することになる可能性のある当該データその他の情報から、識別できる生存する個人に関するデータであって、かつ、当該個人に関する意見の表明及び当該個人についてデータ管理者その他の者の意図の表示を含む」と定義されている。フランス (法律) 「個人情報」は、「自然人に関するあらゆる情報のうち、識別番号又は個人に固有の一若しくは複数の要素を参照することで、直接又は間接に個人を識別し又は識別可能なもの」と定義されている。なお、「個人を識別し得るか否かを判定するには、取扱責任者その他すべての人々が保有している手段、又は、アクセス可能な個人識別可能手段のすべてについて考慮すべき」とされている。ドイツ (連邦法) 「個人データ」は、「特定の又は特定され得る自然人（本人）の人的又は物的状況に関する個々の言明」と定義されている。アメリカ (連邦法) アメリカでは、特定の分野ごとにプライバシー法が制定されているため、分野ごとに固有の個人情報の定義がされている。金融サービス近代化法（GLBA）が対象とする個人情報は、「非公開個人情報」であり、「個人を識別でき、かつ、一般に入手可能でない金融情報全般」とされている。公正信用報告法（FCRA）が対象とする個人情報である「消費者報告」は、「消費者個人の信用度、信用に対する評価、信用枠、特性、社会的評判、身上事項、生活様式に関する消費者報告機関による情報の伝達であって、信用若しくは保険、雇用目的等のために、消費者の適格性を判断するに当たり用いられ又は収集されるもの」とされている。個人の健康情報に係るプライバシー規則（医療保険の相互運用性と説明責任に関する法律（HIPAA）プライバシールール）が対象とする個人情報は、「個人の識別が可能な医療情報」とされている。ＯＥＣＤ「個人データ」は、個人に関する情報であって、個人が識別され又は識別され得る情報のすべてとされている。OECD プラバイシー・ガイドラインが適用されるのは、個人データのうち、公的又は私的部門において、取扱方法又は性質若しくは利用状況からみて、プライバシーと個人の自由に対する危険を含んでいるものすべてとされている。 (ｶﾞｲﾄﾞﾗｲﾝ) ＥＵ (指令) 「個人データ」は、「識別された又は識別され得る自然人（データ主体）に関するすべての情報」とされている。識別され得る個人とは、「特に個人識別番号、又は肉体的、生理的、精神的、経済的、文化的若しくは社会的アイデンティティに特有な 1 つ又は 2 つ以上の要素を参照することによって、直接的又は間接的に識別され得る者」とされている。ＡＰＥＣ「個人情報」は、「個人が識別される、又は識別可能なすべての情報」とされている。 (ﾌﾚｰﾑﾜｰｸ) 6 ②センシティブ情報に関する規定センシティブ情報の対象・取扱いは、各国・機関でまちまち。国・機関制度の内容イギリス (法律）センシティブ情報は、「人種的・民族的出自、政治的意見、宗教的信条、労働組合への加入、健康状態、性生活、犯罪の前科・容疑、犯罪・容疑の手続・処分・判決」と定義されている。センシティブな個人データの取扱いに当たっては、少なくとも 10 の条件のうちの 1 つが満たされなければならず、そのうちの 1 つである「データ主体の同意」は、「明示の」同意でなければならないとされている。フランス (法律) センシティブ情報は、「人種・民族的起源、政治的、哲学的又は宗教的意見、労働組合への所属が直接又は間接的に明らかになる個人情報、又は、健康若しくは性生活に関する個人情報」と定義されている。センシティブ情報の収集・取扱いは、原則として禁止されているが、本人の明示的同意がある場合等は例外とされている。ドイツ (連邦法) 「特別な種類の個人データ」は、人種的及び民族的出自、政治的意見、宗教的又は哲学的な信条、労働組合への加入、健康又は性生活に関する事項とされている。「特別な種類の個人データ」が収集され、取り扱われ、又は利用される限り、同意は、さらに明示的に、当該データと関連付けられなければならないとされており、このような同意がない場合は、一定の例外を除き、データの収集等は許されていない。アメリカ (連邦法) 「消費者報告」（信用情報）のうち、被報告者の友人等に対する個人的な面接によって得られる、当該被報告者の性質等の情報を指す「消費者調査報告」については、特に要保護性の高い情報であると考えられることから、その開示が厳格に制限されている。医療情報は、原則として本人（患者）の同意がない限り利用・提供は許されない（保護された保険情報（PHI）の利用・提供は必要最小限のものに限られている）ほか、医精神科治療記録など特に配慮を要する情報については、特段の保護が図られている。ＯＥＣＤセンシティブ情報に関する規定は設けられていない。センシティブ情報の定義は多様であり、普遍的にセンシティブなデータと整理されるものを定義することは、不可能であろうとされている。 (ｶﾞｲﾄﾞﾗｲﾝ) ＥＵ指令構成国は、原則として、人種又は民族、政治的見解、宗教的又は思想的信条、労働組合への加入を明らかにする個人データの取扱い、及び健康又は性生活に関するデータの取扱いを禁止しなければならないとされている。ＡＰＥＣセンシティブ情報の定義及びその取扱いについての規定は設けられていない。ただし、情報の安全管理は、「情報のセンシティブ性の程度」に見合ったものでなければならないとされている。また、業務上の機密情報については、個人のアクセスが制限される場合があるとされている。 (ﾌﾚｰﾑﾜｰｸ) （参照）「諸外国等における個人情報保護制度の運用実態に関する検討委員会報告書」（平成 19 年 1 月） 7 ７．参照条文 (1)附帯決議 ○個人情報の保護に関する法律案に対する附帯決議（衆議院）(抄) 五医療、金融・信用、情報通信等、国民から高いレベルでの個人情報の保護が求められている分野について、特に適正な取扱いの厳格な実施を確保する必要がある個人情報を保護するための個別法を早急に検討すること。 ○個人情報の保護に関する法律案に対する附帯決議（参議院）(抄) 五医療（遺伝子治療等先端的医療技術の確立のため国民の協力が不可欠な分野についての研究・開発・利用を含む）、金融・信用、情報通信等、国民から高いレベルでの個人情報の保護が求められている分野について、特に適正な取扱いの厳格な実施を確保する必要がある個人情報を保護するための個別法を早急に検討し、本法の全面施行時には少なくとも一定の具体的結論を得ること。 (2)個人情報の保護に関する法律（平成 15 年法律第 57 号）(抄) （定義）第二条この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）をいう。２∼６（略）（法制上の措置等）第六条政府は、個人情報の性質及び利用方法にかんがみ、個人の権利利益の一層の保護を図るため特にその適正な取扱いの厳格な実施を確保する必要がある個人情報について、保護のための格別の措置が講じられるよう必要な法制上の措置その他の措置を講ずるものとする。 (3)個人情報の保護に関する基本方針（平成 16 年４月２日閣議決定）(抄) ２国が講ずべき個人情報の保護のための措置に関する事項 (3)分野ごとの個人情報の保護の推進に関する方針 ②特に適正な取扱いを確保すべき個別分野において講ずべき施策個人情報の性質や利用方法等から特に適正な取扱いの厳格な実施を確保する必要がある分野については、各省庁において、個人情報を保護するための格別の措置を各分野（医療、金融・信用、情報通信等）ごとに早急に検討し、法の全面施行までに、一定の結論を得るものとする。 8 【論点２】国際的な整合性についてどのように考えるか。【「主な検討課題」該当部分】・個人情報保護には世界共通のインフラが必要であることから、国際的な枠組み等のグローバルな視点も重要。・我が国の法律では、諸外国と異なり、国際的な情報の移転に関しルールが定められていないことについて、どのように考えるか。１．現状・個人情報保護における国際的な取組としては、1980 年の OECD プライバシーガイドラインにおいて示されているいわゆる８原則が、以降の国際的な取組や各国における取組の基本となっている。・「個人情報の保護に関する基本方針」においても、個人情報保護の取組を推進するに当たっては、OECD、APEC、EU 等で進められている国際的な取組を踏まえ、国際的な協調を図っていくとともに、併せて我が国の法制度についても国際的な理解を求めていくことが重要であるとされている。・OECD では、同ガイドラインに沿った取組を推進しており、最近では、プライバシー法執行の越境的な課題の検討を行っている。・APEC では、APEC プライバシーフレームワークを 2005 年 11 月に策定し、越境的なプライバシールールの構築等、異なる検討等を行っている。・EU 諸国においては、原則として、個人データの第三国への移転は、EU データ保護指令の国際的な情報の移転に関する規定に準じた十分な水準の保護措置を確保している場合に限り、行うことができるとされている。・2006 年１月現在、EU から十分な保護水準を確保していると認められた国・地域は、5 つである。２．検討の方向性国際的な取組として、 ① OECD において、プライバシー法執行の越境的な課題が検討されていること ② APEC において、ｱ)越境的なプライバシールールの構築、ｲ)情報共有や調査・執行の越境協力に向けた検討が行われていること ③ EU との関係において、ｱ)アメリカがデータ移転に関する協定を EU と締結した、ｲ)オーストラリアが EU から保護水準が不十分とされた、という状況が見られること等から、これらの動向を踏まえて対応する必要がある。（留意点）・OECD や APEC、EU 等で進められている国際的な取組に十分留意する必要。 9 ※ヒアリングにおける主な意見、関係省庁の取組等、パブリックコメントにおける主な意見については、便宜事務局で整理した。＜参考＞１．ヒアリングにおける主な意見 ○全国銀行個人情報保護協議会・海外との法制度の違いについては、国際的な業務を行う銀行からも、不便を感じたという声は聞いていない。 ○堀部委員・個人情報保護の検討にはグローバルな視点が重要である。２．パブリックコメントにおける主な意見・国際的な情報移転に関するルールは必要。(日本弁護士連合会等) ３．諸外国・国際機関の状況 ①国際的な枠組様々な場で個人情報保護の国際的な取組が進められている。国・機関制度の内容ＯＥＣＤプライバシー保護と個人データの国際流通についてのガイドラインに関する (ｶﾞｲﾄﾞﾗｲﾝ) OECD 理事会勧告（OECD プライバシー・ガイドライン、1980 年 9 月 23 日採択。）目的：加盟国間の情報の自由な流通を促進すること、及び、加盟国間の経済的社会的関係の発展に対する不当な障害の創設を回避すること。対象：OECD 加盟国拘束の程度：OECD 加盟国は、OECD 理事会からガイドラインに準じた対応を採ることが勧告されるが、その遵守を義務付けられてはない。最近の取組：1998 年の電子商取引に関する OECD 閣僚会議では、同ガイドラインに沿って、開かれたグローバルネットワークを構築すべきことを確認した、「グローバルネットワークでのプライバシー保護に関する宣言」が採択された。最近では、2006 年 7 月 24 日に「プラバシーに関する通知文の簡素化-OECD による報告及び勧告-」が公表されたほか、プライバシー法執行の越境的な課題を検討するため、同年 10 月 26 日、「プライバシー法の越境的な執行協力に関する報告書」が公表された。ＥＵ個人データの取扱いに係る個人の保護及び当該データの自由な移動に関す (指令) る欧州議会及び理事会の指令（EU データ保護指令、1995 年 10 月 24 日指令。）目的：個人データの取扱いに対する自然人の基本的権利及び自由、特にプライバシー権の保護。対象：EU 構成国。ただし、第三国への個人データの移転を規制する、いわゆる第三国条項を通じて、EU 構成国以外の国にも大きな影響を与える。拘束の程度：EU 構成国は、指令を国内法化する義務を負う。最近の取組：2006 年 1 月現在、EU から十分な保護水準を確保していると認められた国・地域は、スイス、カナダ、アルゼンチン、ガンジー島、マン島の 5 つである。なお、カナダは、連邦政府部門対象の法律、民間部門対象の法律、州政府対象の州法等、複数の法律を組み合わせることにより、ほぼすべての機関を対象とした法的枠組みを形成し、十分性を認められた。また、アメリカ、オーストラリアの EU データ保護指令への対応状況 10 ＡＰＥＣ (ﾌﾚｰﾑﾜｰｸ) は以下のとおり。 ① アメリカ：包括法がないため、特定の認証基準を設け、その認証を受けた企業ごとに十分性を付与するセーフハーバー協定を 2000 年に EU と締結。 ② オーストラリア：包括法である「プライバシー修正法」を 2000 年に施行したが、ｱ)小規模事業者が規制対象外、ｲ)一般に利用可能なデータが規制対象外、ｳ)データの第三国移転が規制対象外等の理由により、保護水準が不十分とされた。 APEC プライバシーフレームワーク（APEC フレームワーク、2004 年 10 月 29 日採択。国際的実施の部分は 2005 年 11 月 16 日承認。）目的：APEC 加盟エコノミーにおける整合性のある個人情報保護への取組を促進し、情報流通に対する不要な障害を取り除くこと。対象国：APEC 加盟エコノミー拘束の程度：APEC 加盟エコノミーに対して適用を推奨。適用に際しては、加盟エコノミーにおける個別事情を考慮すべきであるとされている。最近の取組：APEC 電子商取引運営グループ（ECSG）では、APEC フレームワークの適用に関するセミナーの開催や会議を通じ、域内諸国の多様な実情を考慮しつつ、①各国における APEC フレームワークの適用、②越境的なプライバシールールの構築、③情報共有や調査・執行の越境協力に向けた検討等を行っている。 ②国際的な情報移転に関する規定 EU 諸国では、個人データの第三国への移転を制限している。国・機関制度の内容イギリス 1998 年データ保護法では、原則として、十分な保護水準を確保していない第 (法律) 三国へのデータ移転が制限されている。具体的には、「個人データは、ヨーロッパ経済地域以外の国又は地域が個人データの取扱いに関しデータ主体の権利及び自由について十分な水準の保護を確保している場合を除き、その国又は地域に移転してはならない」との原則が規定されている。フランス情報処理、情報ファイル及び自由に関する法律では、情報取扱責任者が EU (法律) 非加盟国に個人情報を移転できる場合は、原則として、対象国が、個人情報の取扱いに関し、プライバシーや基本的権利に対する十分な水準の保護を確保している場合に限定されている。ドイツ連邦データ保護法では、欧州共同体法の適用を受ける活動の枠内において、 (連邦法) 他の EU 構成国内にある機関等以外の機関に個人情報を提供することは、当該機関に適切なデータ保護水準が存在しないときであっても、例外的に許される場合があるとされている。アメリカ個人の健康情報に係るプライバシー規則（医療保険の相互運用性と説明責任 (連邦法) に関する法律（HIPAA）プライバシールール）や金融サービス近代化法（GLBA）など、法律によっては、海外の事業者に情報が提供される場合に、国内法の規定が適用されることを明示するものがある。また、EU データ保護指令の第三国移転条項への対応として、2000 年に EU とセーフハーバー協定を締結したことにより、商務省がプライバシー原則に基づき認証した企業については、十分性を付与されることとなった（2006 年 11 月 11 時点で認証を受けている企業は 1,045 社）。【セーフハーバー協定の概要】適用範囲：セーフハーバーに加入した事業者が EU の事業者と通商や情報の流通を行う際に適用される。加入は任意である。監督制度：事業者がセーフハーバー原則に違反している場合、商務省から告知を受ける。違反行為等については、連邦取引委員会（FTC）により調査や停止命令、民事罰等の制裁措置が行われる。ＯＥＣＤ OECD プライバシー・ガイドラインでは、国際的な情報移転について、加盟国 (ｶﾞｲﾄﾞﾗｲﾝ) は、①他の加盟国に及ぼす影響について配慮すべきこと、②国際流通が阻害されることなく、安全になされることを確保するための手段を講ずべきこと、③ 他の加盟国による本ガイドラインの未遵守等の場合を除き、国際流通の制限を控えるべきこと、④国際流通の障害となる必要以上の法律や政策、運用を回避すべきことが規定されている。ＥＵ EU データ保護指令では、構成国は、個人データの第三国への移転は、当該第 (指令) 三国が十分なレベルの保護措置を確保している場合に限って、行うことができることを定めなければならないとされている。また、その十分性は、データの性質、取扱いの目的・期間、発信国・最終目的国、当該第三国の一般的及び分野別の法規範並びに専門的規範及び安全保護対策措置等、データ移転に関するあらゆる状況にかんがみて、評価されなければならないとされている。さらに、構成国は、十分なレベルの保護を保障しない第三国に対する移転が例外的に可能な場合を定めなければならないとされている。このため、構成国は第三国移転の例外事由を設けており、これに基づき、本人が明確に同意した場合のほか、①拘束力のある企業ルールを定め、監督機関に申請して認証を得た場合、②EU の定めた標準契約条項を利用する場合、③セーフハーバー原則による場合等は移転が可能になっている。ＡＰＥＣ APEC フレームワークでは、個人情報管理者が個人情報を第三者に提供する場 (ﾌﾚｰﾑﾜｰｸ) 合、国内・国外を問わず、個人から同意を得るか、又は提供先が当該情報を同フレームワークに則って保護することを確認できる手続を踏まなければならないとされている。（参照）「諸外国等における個人情報保護制度の運用実態に関する検討委員会報告書」（平成 19 年 1 月）４．参照条文 (1)個人情報の保護に関する法律（平成 15 年法律第 57 号）(抄) （第三者提供の制限）第二十三条個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。一法令に基づく場合二人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。三公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、 12 本人の同意を得ることが困難であるとき。四国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。２∼５（略） (2)個人情報の保護に関する基本方針（平成 16 年４月２日閣議決定）(抄) １個人情報の保護に関する施策の推進に関する基本的な方向 (1)個人情報保護法制定の背景（前略）国際的には、１９７０年代から、欧米諸国において、個人情報保護に関する法制の整備が進められ、１９８０年には、各国の規制の内容の調和を図る観点から、経済協力開発機構（ＯＥＣＤ）理事会勧告において、「プライバシー保護と個人データの国際流通についてのガイドライン」が示された。以降、各国で急速に個人情報保護法制の整備が進められ、既にＯＥＣＤ加盟国の大多数が公的部門及び民間部門の双方を対象に個人情報保護法制を有するに至っている。企業活動等のグローバル化が進む中、我が国としても国際的に整合性を保った法制の整備と運用が求められている。（後略） (3)国際的な協調個人情報保護における国際的な取組としては、１９８０年のＯＥＣＤプライバシーガイドラインにおいて、いわゆる８原則※が示されており、その原則が以降の国際的な取組や各国における取組の基本となっている。ＯＥＣＤプライバシーガイドラインにおいては、８原則の各国国内での実施に当たっての詳細は各国に委ねられているが、個人情報取扱事業者の義務に関する法第４章の規定は、我が国の実情に照らして８原則を具体化したものであり、今後、法及び基本方針に基づく取組により、その実効性が確保されることが重要である。また、法のルール及び基本方針に基づいて個人情報保護の取組を推進するに当たっては、ＯＥＣＤをはじめとして、アジア太平洋経済協力（ＡＰＥＣ）、欧州連合（ＥＵ）等様々な場で進められている国際的な取組を踏まえ、国際的な協調を図っていくとともに、併せて我が国の法制度についても国際的な理解を求めていくことが重要である。 ※ ８原則：「プライバシー保護と個人データの国際流通についてのガイドライン（Guidelines governing the Protection of Privacy and Transborder Flows of Personal Data）」における、 ① 収集制限の原則 (Collection Limitation Principle) 、 ② データ内容の原則 (Data Quality Principle)、③目的明確化の原則(Purpose Specification Principle)、④利用制限の原則(Use Limitation Principle)、⑤安全保護の原則(Security Safeguards Principle)、⑥公開の原則 (Openness Principle)、⑦個人参加の原則(Individual Participation Principle)、⑧責任の原則 (Accountability Principle)を指す。 13 【論点３】第三者機関の意義についてどのように考えるか。【「主な検討課題」該当部分】・現行法の主務大臣制と異なる、諸外国に見られるような中立的な第三者機関は必要か。１．現状・個人情報保護法では、法第４章の個人情報取扱事業者の義務は、事業の用に供している個人情報を対象としていることから、各事業等を所管する大臣が、主務大臣として、当該事業における個人情報の適正な取扱いについて、行政責任と権限を有している。・平成19年１月31日現在、事業等を所管する各省庁により、22分野について35のガイドラインが策定され、主務大臣制の下、事業者等に対する指導・監督が実施されてきている。・平成19年１月31日現在、個人情報保護法第37条の規定に基づき、主務大臣が認定個人情報保護団体として認定した団体は、計32団体である。２．検討の方向性我が国では、 ① 個人情報の取扱いは民間事業者の事業活動の一環として行われ、当該事業活動と不可分なものであるとともに、業種・業態に応じた様々な特性を有していることから、個人情報の適正な取扱いを十分に確保するためには、事業ごとのきめ細かい判断が不可欠であり、また、当該事業活動に関する事務と一体的に遂行することが合理的かつ実効的であること ② 新たな第三者機関を設けるとすれば、地方組織を含む大規模な行政組織が必要となり、行政改革の流れに反するとともに、事業所管大臣との間に二重行政が生ずるなど、現実性・実効性の観点から問題が多いと考えられること ③ 現状において、主務大臣制による特段の支障は生じていないと考えられることから、主務大臣制を維持することが適切ではないか。 14 ※ヒアリングにおける主な意見、関係省庁の取組等、パブリックコメントにおける主な意見については、便宜事務局で整理した。＜参考＞１．ヒアリングにおける主な意見 ○日本弁護士連合会・個別事案の利益衡量の仕組みとして、法律にも、個人情報保護条例における審議会のような仕組みが必要ではないか。２．パブリックコメントにおける主な意見・国の行政機関における個人情報の取扱いに関しては、ことに独立した第三者機関による監視制度を早期に導入すべき。(日本弁護士連合会等) ３．個人情報保護法の施行状況 ○事業等分野ごとのガイドラインの策定の状況（法第8条）平成19年１月31日現在、事業等を所管する各省庁により、22分野について35のガイドラインが策定されている。（別添１参照） ○認定個人情報保護団体の認定の状況（法第37条）平成19年１月31日現在、個人情報保護法第37条の規定に基づき、主務大臣が認定個人情報保護団体として認定した団体は、計32団体である。（別添２参照）４．法案審議時における議論【政府案関係】 ○第156回国会衆議院個人情報の保護に関する特別委員会(平成15年４月15日)会議録（抄）（砂田委員）（前略）続いて、政府案と野党案で意見が分かれているものの第二点目として、個人情報取扱事業者の義務の実効性を確保するに当たっての考え方についてお伺いをいたします。政府提出の個人情報保護法案においては、各事業の個人情報の取り扱いについては、各事業所管大臣が主務大臣として必要最小限度の関与をする仕組みとなっていると承知しております。一方、野党案を拝見しますと、個人情報保護委員会という第三者機関を設置し、すべての個人情報取扱事業者を監督する仕組みとなっております。野党の先生の先日の本会議での御意見も拝聴いたしますと、第三者機関であれば何の問題もないかのような御説明がなされておりました。果たして本当にそうなのでありましょうか。実際、事業者の方々が取り扱っている個人情報というのは、与信、金融機関であれば預金口座や債務残高、学校であれば児童生徒の個人情報、病院であれば医療情報といったように、個々の事業活動とは切り離せないものがあり、またその使い方も、業態に応じて多種多様であります。私は、政府案のように、個々の事業における個人情報の取り扱いを熟知している事業所管大臣が監督する方がより効果的な制度となると考えるものであります。そこで、細田大臣及び野党提案者にお伺いをいたしますが、個人情報保護法制の実効性 15 確保の観点から、第三者機関を設置することの是非についてお答えをいただきたいと思います。（米田副大臣）お答えをいたします。民間における個人情報の取り扱いは、砂田先生のお説のとおり、その事業実施と一体として行われるものであります。また、その適正な取り扱いの具体的な内容も、当然ながら、業種、業態によってさまざまな形になるわけでございますので、事業ごとに判断することが不可欠であるというふうに考えております。このため、政府案の第三十六条では、それぞれの事業を所管する大臣を主務大臣とし、当該事業における個人情報の適正な取り扱いについて行政責任と権限を規定しております。野党案のように、新たな第三者機関を設けるとすれば、地方組織を含む大規模な行政組織が必要となるわけでございまして、行政改革の流れに反するとともに、事業を所管する大臣との間に二重行政が生ずるおそれがあるなど、現実性、実効性の観点から大変問題が多いというふうに考えております。【政府案への対案関係】 ○第156回国会衆議院個人情報の保護に関する特別委員会(平成15年４月８日)会議録（抄）（細野議員）民主党・無所属クラブ、自由党、日本共産党、社会民主党・市民連合を代表して、ただいま議題となりました個人情報保護法案並びに関連法案の趣旨を説明いたします。（中略）また、個人情報保護における主務大臣の恣意的な運用を避けるために、いわゆる三条委員会である個人情報保護委員会を内閣府の外局に設置することといたしました。すなわち、個人情報の適正な取り扱いのために必要な監督、苦情の処理等の役割をこの個人情報保護委員会に与えることとしております。（後略） ○第156回国会衆議院個人情報の保護に関する特別委員会(平成15年４月15日)会議録（抄）（細野議員）まず第三者機関に関しては、小泉総理の方からは二重行政という御批判がございましたけれども、特にこの問題に関しては、主務大臣という、午前中の答弁の中でもありましたけれども、一体担当者がだれかわからない、しかも、非常に権限が強い形で個人情報という形で関与されるんじゃないか、さまざまな面で弊害が多い、むしろ、第三者機関をつくって、きちっとそこで担保していった方が客観的でいいんじゃないかという判断を我々はいたしました。行政改革についての考え方は、これは当然、不必要なものを削る、そのかわり必要なところはきちっと担保していく、それは制度としてつくっていく、そういう考え方でこの機関については設置をしたいと考えております。規模といたしましては、第三者機関の代表的な例である公正取引委員会を例にとりますと、大体その三分の一程度を想定しております。 16 組織体制につきましては、これは個人情報に関しても全国各地でさまざまなケースが考えられるわけでございますので、大体全国を八か九のブロックに分けまして、本部の事務局は当然東京に置くということを想定しております。本部や、必要であれば一部の地方事務所については、調査機能を持たせることを検討しております。以上でございます。（参照）衆議院ホームページ【URL】http://www.shugiin.go.jp/index.nsf/html/index.htm ５．諸外国・国際機関の状況第三者機関を設置している国が多い。国・機関制度の内容イギリス (法律) 官民双方を監督する独立した監督機関として、情報コミッショナーが設置されている。2005∼2006 年度における全職員数は、245 人である（データ保護以外の担当者を含む）。同コミッショナーの機能は、①情報の適切な取扱いの推進、②データ保護に関する啓発、③データ管理者の行動規範の作成・承認、④ 情報の届出の管理、⑤法令遵守の調査、⑥法令違反に対する通知の発出、⑦犯罪の起訴、⑧議会への報告等を行うことである。フランス (法律) 官民双方を監督する独立行政委員会として、情報処理及び自由に関する国家委員会（CNIL）が設置されている。同委員会は 17 名の委員で構成されており、 2006 年 12 月現在の職員数は 85 人である。同委員会の機能は、①情報の取扱いの届出・許可の管理、②義務違反に対する制裁、③苦情処理、④助言、⑤違法行為の告発、⑥調査及び物件収集、⑦政府及び民間団体への助言、⑧重大・急迫時の裁判所への安全保護措置の命令要求等を行うことであり、強力な規制権限を有している点が特色である。ドイツ (連邦法) ドイツでは、以下の監督体制をとっている（左は監督機関名、右は監督対象）。 ① 連邦データ保護監察官：連邦の公的機関及び民営化された一部事業者 ② 州のデータ保護監察官：州の公的部門 ③ 州のデータ保護監察官又は内務省の下の監督官庁：一般の民間事業者民間部門についての監督機関の機能は、①法律違反についての本人への通知、訴追又は告発、②データ処理の届出の管理、③事業者に対する情報開示請求、④立入検査の実施、⑤技術的・組織的措置の実施命令等を行うことである。アメリカ (連邦法) 連邦取引委員会（FTC）は、諸外国の監督機関ほど政府から独立しているわけではないが、消費者及び事業者の啓発に当たっている。FTC の機能は、①連邦取引委員会法に基づく、企業の個人情報の取扱いに関する不正・欺瞞の監視、 ②金融サービス近代化法に基づく、ｱ)金融のプライバシー通知に関する規則の実施、ｲ)個人情報の事務的、技術的及び物理的保護、ｳ)詐欺に対する執行、③ 公正信用報告法及びこどもオンラインプライバシー保護法に基づく、消費者のプライバシー保護を行うことである。なお、信用情報については、違反行為者を被告とする民事訴訟の提起権限を有する。医療情報については、厚生省（HHS）の公民権室（OCR）で苦情を受け付けている。ＯＥＣＤ OECD プライバシー・ガイドラインでは、監督機関に関する特段の規定は設けられていない。採るべき実効性担保の仕組みは、各国の法体系等によって変わ (ｶﾞｲﾄﾞﾗｲﾝ) 17 り得るため、監督機関の設置等は各国の判断に委ねられている。ＥＵ (指令) EU データ保護指令では、各構成国は、各国の規定の適用に関し、完全に独立して監督する公的機関を定めなければならないとされている。監督機関の機能は、①調査、②介入、③法的手続の開始、違反の司法機関への通知、④個人の主張の聴取、⑤定期的な活動報告書の作成を行うこととされている。ＡＰＥＣ APEC フレームワークでは、監督機関に関する特段の規定は設けられていない。損害防止のため、制度の実施の仕組みを整備すべきとされている。 (ﾌﾚｰﾑﾜｰｸ) （参照）「諸外国等における個人情報保護制度の運用実態に関する検討委員会報告書」（平成 19 年 1 月）６．参照条文 (1)附帯決議 ○個人情報の保護に関する法律案に対する附帯決議（衆議院）（抄）六第三者機関の意義について交わされた議論等さまざまな国会における議論を踏まえ、全面施行後三年を目途として、本法の施行状況について検討を加え、その結果に基づいて必要な措置を講ずること。 ○個人情報の保護に関する法律案に対する附帯決議（参議院）（抄）六第三者機関の意義や死者に関する個人情報の保護の在り方等について交わされた議論等これまでの国会における議論を踏まえ、全面施行後三年を目途として、本法の施行状況について検討を加え、その結果に基づいて必要な措置を講ずること。 (2)個人情報の保護に関する法律（平成 15 年法律第 57 号）（抄）（地方公共団体等への支援）第八条国は、地方公共団体が策定し、又は実施する個人情報の保護に関する施策及び国民又は事業者等が個人情報の適正な取扱いの確保に関して行う活動を支援するため、情報の提供、事業者等が講ずべき措置の適切かつ有効な実施を図るための指針の策定その他の必要な措置を講ずるものとする。（主務大臣）第三十六条この節の規定における主務大臣は、次のとおりとする。ただし、内閣総理大臣は、この節の規定の円滑な実施のため必要があると認める場合は、個人情報取扱事業者が行う個人情報の取扱いのうち特定のものについて、特定の大臣又は国家公安委員会（以下「大臣等」という。）を主務大臣に指定することができる。一個人情報取扱事業者が行う個人情報の取扱いのうち雇用管理に関するものについては、厚生労働大臣（船員の雇用管理に関するものについては、国土交通大臣）及び当該個人情報取扱事業者が行う事業を所管する大臣等 18 二個人情報取扱事業者が行う個人情報の取扱いのうち前号に掲げるもの以外のものについては、当該個人情報取扱事業者が行う事業を所管する大臣等２（略）３各主務大臣は、この節の規定の施行に当たっては、相互に緊密に連絡し、及び協力しなければならない。（主務大臣）第四十九条この節の規定における主務大臣は、次のとおりとする。ただし、内閣総理大臣は、この節の規定の円滑な実施のため必要があると認める場合は、第三十七条第一項の認定を受けようとする者のうち特定のものについて、特定の大臣等を主務大臣に指定することができる。一設立について許可又は認可を受けている認定個人情報保護団体（第三十七条第一項の認定を受けようとする者を含む。次号において同じ。）については、その設立の許可又は認可をした大臣等二前号に掲げるもの以外の認定個人情報保護団体については、当該認定個人情報保護団体の対象事業者が行う事業を所管する大臣等２（略）（連絡及び協力）第五十四条内閣総理大臣及びこの法律の施行に関係する行政機関の長は、相互に緊密に連絡し、及び協力しなければならない。 19 （別添１）民間事業者に対するガイドライン等一覧平成19年1月31日現在分野所管省庁一般厚生労働省文部科学省厚生労働省経済産業省医療ガイドラインの名称 ①医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン（局長通達） ②健康保険組合等における個人情報の適切な取扱いのためのガイドライン（局長通達） ③医療情報システムの安全管理に関するガイドライン（局長通達） ④国民健康保険組合における個人情報の適切な取扱いのためのガイドライン（局長通達）策定・見直し時期平成16年12月24日平成18年4月21日（見直し）平成16年12月27日平成17年3月31日平成17年4月1日 ①ヒトゲノム・遺伝子解析研究に関する倫理指針（告示） ②疫学研究に関する倫理指針（告示） ③遺伝子治療臨床研究に関する指針（告示）平成16年12月28日臨床研究に関する倫理指針（告示）平成16年12月28日 ○「厚生科学審議会科学技術部会医学研究における個人情報の取扱いの在り方に関する専門委員会」 ○パブリックコメント平成16年10月29日∼11月19日ヒト幹細胞を用いる臨床研究に関する指針（告示）平成18年7月3日 ○「厚生科学審議会科学技術部会ヒト幹細胞を用いた臨床研究の在り方に関する専門委員会」 ○パブリックコメント平成18年3月9日∼平成18年4月7日 ①金融分野における個人情報保護に関するガイドライン（告示）平成16年12月6日 ②金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針（告示）平成17年1月6日厚生労働省金融庁金融・信用信用電気通信経済産業省総務省経済産業分野のうち信用分野における個人情報保護ガイドライン（告平成16年12月17日示）平成18年10月16日(見直し) 電気通信事業における個人情報保護に関するガイドライン（告示）総務省放送受信者等の個人情報の保護に関する指針（告示） ○「産業構造審議会割賦販売分科会個人信用情報小委員会」 ○国民生活審議会個人情報保護部会への報告（平成16年9月13日） ○パブリックコメント平成16年10月1日∼10月29日平成18年9月7日∼10月6日（見直し時） ○「電気通信事業分野におけるプライバシー情報に関する懇談会」 ○国民生活審議会個人情報保護部会への報告（平成16年7月23日） ○パブリックコメント平成16年6月28日∼7月27日平成17年8月8日∼平成17年9月8日（見直し時）平成16年8月31日 ○「放送分野における個人情報保護及びＩＴ時代の衛星放送に関する検討会」 ○国民生活審議会個人情報保護部会への報告（平成16年7月23日） ○パブリックコメント平成16年7月2日∼7月30日 ○「衛星放送の将来像に関する研究会」 ○パブリックコメント平成18年7月21日∼8月31日、平成19年2月6日∼3月7日(見直し時）個人情報の保護に関する法律についての経済産業分野を対象とする平成16年10月22日ガイドライン（告示）事業全般 ○「金融審議会金融分科会特別部会」 ○国民生活審議会個人情報保護部会への報告（平成16年9月13日） ○パブリックコメント ①について平成16年10月1日∼10月29日 ②について平成16年11月19日∼12月3日平成16年8月31日平成17年10月17日（見直し）情報通信放送 ○「医療機関等における個人情報保護のあり方に関する検討会」 ○国民生活審議会個人情報保護部会への報告（平成16年9月13日） ○パブリックコメント ①について平成16年10月29日∼11月30日平成18年3月23日∼4月5日（見直し時） ②について平成16年12月9日∼12月22日 ③について平成17年3月1日∼3月14日（文部科学省）「科学技術・学術審議会生命倫理・安全部会ライフサイエンス研究におけるヒト遺伝情報の取扱い等に関する小委員会」（厚生労働省）「厚生科学審議会科学技術部会医学研究における個人情報の取扱いの在り方に関する専門委員会」（経済産業省）「産業構造審議会化学バイオ部会個人遺伝情報保護小委員会」 ○国民生活審議会個人情報保護部会への報告（平成16年9月13日） ○パブリックコメント ①について平成16年10月22日∼11月19日 ②∼③について平成16年10月29日∼11月19日研究金融検討の経過経済産業省経済産業分野のうち個人遺伝情報を用いた事業分野における個人情平成16年12月17日報保護ガイドライン（告示） 20 ○「ガイドライン検討委員会」 ○国民生活審議会個人情報保護部会への報告（平成16年7月23日） ○パブリックコメント平成16年6月15日∼7月14日 ○パブリックコメント平成16年10月25日∼11月19日分野雇用管理雇用管理警察防衛法務所管省庁一般船員ガイドラインの名称策定・見直し時期雇用管理に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置に関する指針（告示）平成16年7月1日 ○国民生活審議会個人情報保護部会への報告（平成16年7月23日） ○パブリックコメント平成16年6月15日∼6月29日雇用管理に関する個人情報のうち健康情報を取り扱うに当たっての留意事項について（局長通達）平成16年10月29日 ○「労働者の健康情報の保護に関する検討会」 ○国民生活審議会個人情報保護部会への報告（平成16年10月25日） ○パブリックコメント平成16年10月15日∼10月28日船員の雇用管理に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置に関する指針（告示）平成16年9月29日 ○パブリックコメント平成16年8月10日∼8月23日国家公安委員会が所管する事業を行う者等が講ずべき個人情報の保護のための措置に関する指針（告示）平成16年10月29日 ○国民生活審議会個人情報保護部会への報告（平成16年10月25日） ○パブリックコメント平成16年9月17日∼10月7日厚生労働省国土交通省検討の経過警察庁警察共済組合が講ずべき個人情報の保護のための措置に関する指平成17年3月29日針について（局長通達） ○部内において検討防衛省防衛省関係事業者が取り扱う個人情報の保護に関する指針（告示） ○パブリックコメント平成18年3月30日∼平成18年4月28日法務省法務省が所管する分野における事業者等が取り扱う個人情報の保護平成16年10月29日に関するガイドライン（告示）債権管理回収業分野における個人情報の保護に関するガイドライン平成16年12月16日（課長通知）平成18年1月11日（見直し）平成18年5月25日 ○国民生活審議会個人情報保護部会への報告（平成16年10月25日） ○パブリックコメント平成16年9月29日∼10月20日 ○パブリックコメント平成16年11月9日∼11月30日 ○部内において検討（見直し時）外務外務省外務省が所管する事業を行う事業者等が取り扱う個人情報の保護に平成17年3月25日関するガイドライン（告示） ○パブリックコメント平成17年3月1日∼3月21日財務財務省財務省所管分野における事業者が講ずべき個人情報の保護に関す平成16年11月25日る指針（告示） ○国民生活審議会個人情報保護部会への報告（平成16年9月13日） ○パブリックコメント平成16年9月30日∼10月29日教育文部科学省学校における生徒等に関する個人情報の適正な取扱いを確保するた平成16年11月11日めに事業者が講ずべき措置に関する指針（告示） ○国民生活審議会個人情報保護部会への報告（平成16年10月25日） ○パブリックコメント平成16年10月25日∼11月4日福祉厚生労働省福祉関係事業者における個人情報の適正な取扱いのためのガイドラ平成16年11月30日イン（局長通達） ○国民生活審議会個人情報保護部会への報告（平成16年10月25日） ○パブリックコメント平成16年9月30日∼10月15日職業紹介等厚生労働省職業紹介事業者、労働者の募集を行う者、募集受託者、労働者供給事業者等が均等待遇、労働条件等の明示、求職者等の個人情報の平成16年11月4日取扱い、職業紹介事業者の責務、募集内容の的確な表示等に関して適切に対処するための指針（告示） ○「労働政策審議会労働力需給制度部会」 ○国民生活審議会個人情報保護部会への報告（平成16年10月25日） ○パブリックコメント平成16年10月1日∼10月22日労働者派遣厚生労働省派遣元事業主が講ずべき措置に関する指針（告示）平成16年11月4日 ○「労働政策審議会労働力需給制度部会」 ○国民生活審議会個人情報保護部会への報告（平成16年10月25日） ○パブリックコメント平成16年10月1日∼10月22日労働組合厚生労働省個人情報の適正な取扱いを確保するために労働組合が講ずべき措置に関する指針（告示）平成17年3月25日 ○パブリックコメント平成17年3月1日∼3月14日企業年金厚生労働省企業年金等に関する個人情報の取扱いについて（局長通達）平成16年10月1日 ○部内において検討国土交通農林水産国土交通省農林水産省国土交通省所管分野における個人情報保護に関するガイドライン（告平成16年12月2日示） ○「国土交通省情報化政策委員会」 ○国民生活審議会個人情報保護部会への報告（平成16年10月25日） ○パブリックコメント平成16年9月21日∼10月20日不動産流通業における個人情報保護法の適用の考え方（課長通知）平成17年1月14日 ○「不動産業における個人情報保護のあり方に関する研究会」個人情報の適正な取扱いを確保するために農林水産分野における事平成16年11月9日業者が講ずべき措置に関するガイドライン（告示） ○「農林水産省個人情報安全管理連絡会議」 ○国民生活審議会個人情報保護部会への報告（平成16年10月25日） ○パブリックコメント平成16年9月3日∼9月30日合計２２分野（注）この他、金融庁においては、個人情報保護について格別の措置を講ずるため、関連する業法施行規則の改正を行った。（平成17年3月） 21 （別添２）認定個人情報保護団体の認定の状況平成19年1月31日現在対象事業等分野所管府省名称認定年月日対象事業者数証券業金融庁認定法人日本証券業協会平成17年4月1日 508 保険業金融庁社団法人生命保険協会平成17年4月1日 38 保険業金融庁社団法人日本損害保険協会平成17年4月1日 24(2) 銀行業金融庁全国銀行個人情報保護協議会平成17年4月15日 247 信託業金融庁社団法人信託協会平成17年4月15日 52 (2) 投資信託委託業金融庁社団法人投資信託協会平成17年7月1日 114 証券投資顧問業金融庁社団法人日本証券投資顧問業協会平成17年7月1日 250 信用情報機関金融庁全国信用情報センター連合会平成17年10月24日 36 保険業金融庁有限責任中間法人外国損害保険協会平成18年11月30日 21 放送総務省財団法人放送セキュリティセンター平成17年4月12日 548（244）電気通信事業総務省経済産業省財団法人日本データ通信協会平成17年4月12日 145（145）事業全般総務省経済産業省財団法人日本情報処理開発協会平成17年6月27日 2,819(2,819) 製薬業厚生労働省日本製薬団体連合会平成17年10月20日 1,064 介護・福祉厚生労働省社会福祉法人沖縄県社会福祉協議会平成18年2月2日介護・福祉厚生労働省社会福祉法人岐阜県社会福祉協議会平成18年3月30日医療厚生労働省社団法人全日本病院協会平成18年2月13日 2150 医療・介護厚生労働省特定非営利活動法人医療ネットワーク支援センター平成18年3月24日 25(17) 医療・介護・福祉厚生労働省特定非営利活動法人患者の権利オンブズマン平成18年3月24日 13 手技療法（柔道整復・はり・きゅう・あんまマッサージ指圧・整厚生労働省体・カイロプラティックス・リラク経済産業省ゼーション等）特定非営利活動法人日本手技療法協会平成18年3月31日 135 ギフト用品に関する事業経済産業省社団法人全日本ギフト用品協会平成17年5月13日 86 葬祭業経済産業省ＪＥＣＩＡ個人情報保護協会平成17年5月13日 120 クレジット事業経済産業省クレジット個人情報保護推進協議会平成17年5月30日 860 印刷・グラフィックサービス工業経済産業省社団法人東京グラフィックサービス工業会平成17年12月7日 473 小売業経済産業省社団法人日本専門店協会平成17年12月7日 249 経済産業分野経済産業省平成18年2月10日 26 経済産業分野経済産業省平成18年2月13日 9(9) 経済産業分野経済産業省長野県個人情報保護協会平成18年8月4日 13(13) 結婚情報サービス業経済産業省結婚情報サービス協議会平成18年3月9日 4 新聞販売業経済産業省大阪毎日新聞販売店事業協同組合平成18年3月9日 625 葬祭業経済産業省全国こころの会葬祭事業協同組合平成18年3月31日 3 自動車販売業経済産業省国土交通省社団法人日本自動車販売協会連合会平成17年5月19日 1,714 自動車登録番号交付代行業国土交通省社団法人全国自動車標板協議会平成17年12月27日 57（57）特定非営利活動法人日本個人・医療情報管理協会社団法人日本消費生活アドバイザー・コンサルタント協会計32団体 ※対象事業者数の（　）は、認定業務の対象となることについて同意を得た事業者の数。 22 707 290 【論点４】死者に関する個人情報の保護の在り方についてどのように考えるか。【「主な検討課題」該当部分】・現行法は生存する個人に関する情報のみを保護の対象としていることについて、どのように考えるか。１．現状・個人情報保護法は、個人情報の本人を対象として、本人の権利利益の侵害を未然に防止することを目的としており、死者に関する情報の保護によって、遺族等の第三者の権利利益を保護することまで意図するものではないことから、現行法では、「個人情報」を生存する個人に関する情報に限っている。したがって、死者に関する情報については、同時に遺族等の生存する個人に関する情報でもある場合のみ、当該生存する個人に関する情報として保護される。・「医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン」では、患者・利用者が死亡した後においても、医療・介護関係事業者が当該患者・利用者の情報を保存している場合には、漏えい、滅失又はき損等の防止のため、生存する個人に関する情報と同等の安全管理措置を講ずるものとすることとされている。・「診療情報の提供等に関する指針」では、 ① 医療従事者等は、患者が死亡した際には遅滞なく、遺族に対して、死亡に至るまでの診療経過、死亡原因等についての診療情報を提供しなければならない ② 診療記録については、遺族（患者の配偶者、子、父母及びこれに準ずる者）からの開示の求めも対象とする ③ 遺族に対する診療情報の提供に当たっては、患者本人の生前の意思、名誉等を十分に尊重することとされている。２．検討の方向性死者に関する個人情報の保護については、 ① 医療・介護分野のガイドラインにおいて、死亡した患者等の情報を保存している場合には、生存する個人の情報と同等の安全管理措置を講じるよう求められていること ② 「診療情報の提供等に関する指針」において、遺族からの診療記録の求めも対象としていること等、所要の措置が講じられていることから、その運用を注視していくことが適当ではないか。 23 ※ヒアリングにおける主な意見、関係省庁の取組等、パブリックコメントにおける主な意見については、便宜事務局で整理した。＜参考＞１．ヒアリングにおける主な意見 ○慶應義塾・物故者の情報は保護の対象ではないが、血縁者への配慮が必要である。２．関係省庁の取組等 ○厚生労働省（医療分野）・死者の情報の取扱いについては、ガイドラインにおいて、遺族からの開示の求めも対象としているほか、死亡した患者の情報を保存している場合には、生存する個人の情報と同等の安全管理措置を講じるよう求めている。３．パブリックコメントにおける主な意見・医療情報などをはじめとして、死者の個人情報を保護の対象から外す理由はない。(日本弁護士連合会等) ・死者の情報を保護の対象とする場合には、誰にどのような権利を付与するかについて慎重な検討が必要。(在日米国商工会議所) ４．法案審議時における議論 ○第156回国会参議院個人情報の保護に関する特別委員会(平成15年５月13日)会議録（抄）（内藤正光君）次は、第二条の定義についてお尋ねしたいんですが、第二条の定義で、個人情報とは生存する個人に関するものだというふうに明言されております。そこでちょっとお尋ねしたいのは、いわゆる死者に関する個人情報というものをあえて外した理由は何なんでしょうか。（国務大臣（細田博之君））やはり本来、個人が自ら、その権利利益の侵害に対して、それを未然に防止することも含めてその法律の対象として保護すべきであるという意味で、保護法益を生存する個人ということにしたわけでございまして、遺族などの第三者の権利利益を保護することまで意図したものではございません。ただ、これもこれまでの御審議でも明らかにしておりますが、その死者に関する情報が同時に遺族などの生存する個人に関する情報であると、例えば遺伝子情報とかいろんな例があるかもしれませんが、正に自分に関する情報であるという場合にはこれは法案の対象となると。しかし、そこまでが限度であって、例えばお亡くなりになった方について、親が亡くなったと、どうも医療において過誤があったんじゃないか、そのカルテを見せろというような問題はまた別の問題であって、個人情報保護法というのはやっぱり生ける個人の権利を保護する、権利利益を保護するという立場で割り切っております。（参照）参議院ホームページ【URL】http://www.sangiin.go.jp/index.htm 24 ５．諸外国・国際機関の状況死者に関する個人情報の保護個人情報保護法制上、死者に関する個人情報について規定している国・機関は少ない。国・機関制度の内容イギリス 1998 年データ保護法では、「生存する個人」という概念が使われているため、 (法律) 本法上、死者は何の権利も認められていないといえる。 1990 年保健記録法では、死者の保健記録に関するアクセス権について規定されている。同規定では、患者が死亡した場合、その患者の遺言執行者や遺産管理人等は、保健記録の保有者に対してアクセスを請求することができるとされている。フランス情報処理、情報ファイル及び自由に関する法律では、死亡原因を証明するた (法律) めに作成された情報を含め、死者に関する情報は、当該個人が、生前に書面で拒否した場合を除き、情報処理の対象となり得るとされている。また、訂正請求の一環として、死者の相続人は、死者に関する情報の更新をするよう情報取扱責任者に請求することができ、この請求があった場合、情報取扱責任者は、必要な措置をとったことを無料で請求者に証明しなければならないとされている。基本的人権は生存する人間だけに適用されるため、死者の情報は保護の対象外である（現地での聞き取り調査による）。ドイツ連邦データ保護法には、死者の個人情報に関する規定は設けられていない。 (連邦法) 死者の個人情報については、民法上の人格権を根拠に遺族が保護を求めることができるようである。また、憲法裁判所においても、死者の人格権は死後も保護されるべきである旨の判決がある（現地での聞き取り調査による）。また、カルテの第三者への開示については、開示先が遺族の場合には、民法上の解釈により開示でき、開示先が遺族以外の第三者の場合には、刑法上の医者の守秘義務との関係で、原則として開示できない（現地での聞き取り調査による）。アメリカ個人の健康情報に係るプライバシー規則（医療保険の相互運用性と説明責任 (連邦法) に関する法律（HIPAA）プライバシールール）は、死者の個人情報についても適用されることを明示的に規定している。具体的には、死者の情報の取扱いについて、・対象機関は、検死官又は医療検査官に対し、死者の同定、死因の決定等の義務を履行することを目的として、医療情報を提供することができる・対象機関が、検死官又は医療検査官の義務をも同時に履行している場合、定められた目的のために自ら医療情報を利用することができる・対象機関は、葬儀施主に対し、その業務に必要な限りにおいて、法に定めるところにより情報を提供することができるといった規定がある。ＯＥＣＤ OECD プライバシー・ガイドラインでは、死者に関する個人情報の保護に関す (ｶﾞｲﾄﾞﾗｲﾝ) る規定は設けられていない。ＥＵ EU データ保護指令は、死者のデータについてはあえて言及していないという (指令) のが関係者の一致した解釈である。閣僚理事会、EU 委員会とも、｢個人情報｣に死者のデータを含めるか否かは、加盟各国の立法政策に委ねるということで合意している。ＡＰＥＣ APEC プライバシーフレームワークでは、死者の個人情報については特段記述 (ﾌﾚｰﾑﾜｰｸ) されていない。（参照）「諸外国等における個人情報保護制度の運用実態に関する検討委員会報告書」（平成 19 年 1 月） 25 ６．参照条文 (1)附帯決議 ○個人情報の保護に関する法律案に対する附帯決議（参議院）（抄）六第三者機関の意義や死者に関する個人情報の保護の在り方等について交わされた議論等これまでの国会における議論を踏まえ、全面施行後三年を目途として、本法の施行状況について検討を加え、その結果に基づいて必要な措置を講ずること。 (2)個人情報の保護に関する法律（平成15年法律第57号）（抄）（定義）第二条この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）をいう。２∼６（略） (3) 医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン（平成16 年12月24日（平成18年４月21日改正）厚生労働省）（抄） Ⅰ 本ガイドラインの趣旨、目的、基本的考え方４．本ガイドラインの対象となる「個人情報」の範囲法令上「個人情報」とは、生存する個人に関する情報であり、個人情報取扱事業者の義務等の対象となるのは、生存する個人に関する情報に限定されている。本ガイドラインは、医療・介護関係事業者が保有する生存する個人に関する情報のうち、医療・介護関係の情報を対象とするものであり、また、診療録等の形態に整理されていない場合でも個人情報に該当する。なお、当該患者・利用者が死亡した後においても、医療・介護関係事業者が当該患者・利用者の情報を保存している場合には、漏えい、滅失又はき損等の防止のため、個人情報と同等の安全管理措置を講ずるものとする。８．遺族への診療情報の提供の取扱い法は、ＯＥＣＤ８原則の趣旨を踏まえ、生存する個人の情報を適用対象とし、個人情報の目的外利用や第三者提供に当たっては本人の同意を得ることを原則としており、死者の情報は原則として個人情報とならないことから、法及び本ガイドラインの対象とはならない。しかし、患者・利用者が死亡した際に、遺族から診療経過、診療情報や介護関係の諸記録について照会が行われた場合、医療・介護関係事業者は、患者・利用者本人の生前の意思、名誉等を十分に尊重しつつ、特段の配慮が求められる。このため、患者・利用者が死亡した際の遺族に対する診療情報の提供については、「診療情報の提供等に関する指針」（「診療情報の提供等に関する指針の策定について」（平成15 年９月12日医政発第0912001 号））の９において定められている取扱いに従って、医療・介護関係事業者は、同指針の規定により遺族に対して診療情報・介護関係の記録の提供を行うものとする。 (4) 診療情報の提供等に関する指針（「診療情報の提供等に関する指針の策定について」（平成15年９月12日医政発第0912001号）（抄）３診療情報の提供に関する一般原則 ○ 医療従事者等は、患者等にとって理解を得やすいように、懇切丁寧に診療情報を提供 26 ○ するよう努めなければならない。診療情報の提供は、①口頭による説明、②説明文書の交付、③診療記録の開示等具体的な状況に即した適切な方法により行われなければならない。７診療記録の開示（１）診療記録の開示に関する原則 ○ 医療従事者等は、患者等が患者の診療記録の開示を求めた場合には、原則としてこれに応じなければならない。 ○ 診療記録の開示の際、患者等が補足的な説明を求めたときは、医療従事者等は、できる限り速やかにこれに応じなければならない。この場合にあっては、担当の医師等が説明を行うことが望ましい。（３）診療記録の開示に関する手続 ○ 医療機関の管理者は、以下を参考にして、診療記録の開示手続を定めなければならない。 ① 診療記録の開示を求めようとする者は、医療機関の管理者が定めた方式に従って、医療機関の管理者に対して申し立てる。なお、申立ての方式は書面による申立てとすることが望ましいが、患者等の自由な申立てを阻害しないため、申立ての理由の記載を要求することは不適切である。 ② 申立人は、自己が診療記録の開示を求め得る者であることを証明する。 ③ 医療機関の管理者は、担当の医師等の意見を聴いた上で、速やかに診療記録の開示をするか否か等を決定し、これを申立人に通知する。医療機関の管理者は、診療記録の開示を認める場合には、日常診療への影響を考慮して、日時、場所、方法等を指定することができる。なお、診療記録についての開示の可否については、医療機関内に設置する検討委員会等において検討した上で決定することが望ましい。（４）診療記録の開示に要する費用 ○ 医療機関の管理者は、申立人から、診療記録の開示に要する費用を徴収することができる。８診療情報の提供を拒み得る場合医療従事者等は、診療情報の提供が次に掲げる事由に該当する場合には、診療情報の提供の全部又は一部を提供しないことができる。 ① 診療情報の提供が、第三者の利益を害するおそれがあるとき ② 診療情報の提供が、患者本人の心身の状況を著しく損なうおそれがあるとき＜①に該当することが想定され得る事例＞・患者の状況等について、家族や患者の関係者が医療従事者に情報提供を行っている場合に、これらの者の同意を得ずに患者自身に当該情報を提供することにより、患者と家族や患者の関係者との人間関係が悪化するなど、これらの者の利益を害するおそれがある場合＜②に該当することが想定され得る事例＞・症状や予後、治療経過等について患者に対して十分な説明をしたとしても、患者本人に重大な心理的影響を与え、その後の治療効果等に悪影響を及ぼす場合 ※ 個々の事例への適用については個別具体的に慎重に判断することが必要である。 ○ ○ 医療従事者等は、診療記録の開示の申立ての全部又は一部を拒む場合には、原則として、申立人に対して文書によりその理由を示さなければならない。また、苦情処理の体制についても併せて説明しなければならない。 27 ９遺族に対する診療情報の提供医療従事者等は、患者が死亡した際には遅滞なく、遺族に対して、死亡に至るまでの診療経過、死亡原因等についての診療情報を提供しなければならない。 ○ 遺族に対する診療情報の提供に当たっては、３、７の（１）、（３）及び（４）並びに８の定めを準用する。ただし、診療記録の開示を求め得る者の範囲は、患者の配偶者、子、父母及びこれに準ずる者（これらの者に法定代理人がいる場合の法定代理人を含む。）とする。 ○ 遺族に対する診療情報の提供に当たっては、患者本人の生前の意思、名誉等を十分に尊重することが必要である。 ○ 28