個人情報保護検討部会座長私案

政府の個人情報保護検討部会が1999年10月20日に発表した部会座長私案

1999年10月20日に民間部門を対象にした個人情報保護法の法制化を検討してきた政府の高度情報通信社会推進本部(本部長・小渕首相)の個人情報保護検討部会は、堀部政男座長私案として、「包括的基本法」制定を提言するとともに、「個人情報の保護について」を発表した。国民全体に影響することであり、今後、この私案を巡って多くの検討が必要であると考えるため、ここに全文を掲載する。詳細情報はURL(http://www.kantei.go.jp/jp/it/index.html)で知ることができる。首相官邸のホームページでは、「個人情報の保護に関する法律案」に関するQ&Aが公開されている。詳細情報はURL(http://www.kantei.go.jp/jp/it/privacy/houseika/hourituan/qa-law.html)で知ることができる。個人情報保護関連5法は2003年5月23日に、参院本会議で可決し、成立した。日本経済団体連合会は2003年5月23日に、「個人情報保護法成立に関する奥田会長コメント」を公開した。詳細情報はURL(http://www.keidanren.or.jp/japanese/speech/comment/2003/com0523.html)で知ることができる。総務省総合通信基盤局は2004年3月12日に、個人情報の情報管理の徹底に係る放送業界及び電気通信業界への要請を公開した。詳細情報はURL(http://www.soumu.go.jp/s-news/2004/040312_5.html)で知ることができる。民間企業と行政機関に個人情報の適正な取り扱いを義務づける、個人情報保護法関連5法の一部が2003年5月末に公布と同時に施行され、事業者の義務や罰則の施行は、公布から2年以内に政令で定められる。罰則規定は、6か月以下の懲役または、30万円以下の罰金となる。経済産業省商務情報政策局情報経済課は2004年6月16日に、2005年4月1日の個人情報保護法の施行に向けて、経済産業分野を対象とした企業が具体的にどのような対応を行えばよいのかを例示した、個人情報保護法の適用をまとめたガイドラインを策定し、公開した。詳細情報はURL(http://www.meti.go.jp/policy/it_policy/press/0005321/index.html)で知ることができる。経済産業省商務情報政策局情報経済課は2004年6月16日に、2005年4月1日の個人情報保護法の施行に向けて、経済産業分野を対象とした企業が具体的にどのような対応を行えばよいのかを例示した、個人情報保護法の適用をまとめたガイドラインを策定し、公開した。詳細情報はURL(http://www.meti.go.jp/policy/it_policy/press/0005321/index.html)で知ることができる。総務省は2004年6月28日に、電気通信事業者が個人情報を利用する際の注意事項などをまとめた「電気通信事業における個人情報保護に関するガイドライン」の改訂案を公表した。詳細情報はURL(http://www.soumu.go.jp/s-news/2004/040628_1.html)で知ることができる。米国のGAO(General Accounting Office/米国連邦会計監査院)は2004年7月28日に、情報保護に関してオペレーションのためにAuthorizingシステムズの一貫したプロセスを実行する必要性を訴えたレポート「Information Security: Agencies Need to Implement Consistent Processes in Authorizing Systems for Operation. GAO-04-376」を公開した。詳細情報はURL(http://www.gao.gov/cgi-bin/getrpt?GAO-04-376)で知ることができる。経済産業省は2004年7月29日に、外郭団体である独立行政法人情報処理推進機構(IPA)が2004年7月28日に、韓国情報保護振興院(略称:KISA)と、情報セキュリティに関する協力関係を締結したと報告した。詳細情報はURL(http://www.meti.go.jp/policy/it_policy/press/0005450/index.html)で知ることができる。経済産業省は2004年10月26日に、2003年5月に公布された「個人情報の保護に関する法律」が2005年4月に本格実施されることを踏まえ、経済産業省の産業構造審議会化学・バイオ部会個人遺伝情報保護小委員会において、「経済産業分野のうち個人遺伝情報を用いた事業分野における個人情報保護ガイドライン(案)」(以下「本ガイドライン」という。)の内容がまとまったことを受けて、意見募集(パブリック・コメント)を開始した。詳細情報はURL(http://www.meti.go.jp/press/0005733/index.html)で知ることができる。経済産業省は2004年12月20日に、平成15年5月に公布された「個人情報の保護に関する法律」が平成17年4月に全面施行されることから、産業構造審議会化学・バイオ部会個人遺伝情報保護小委員会で、個人遺伝情報の取り扱いに係る円滑な実施を図るための対応について審議し、その結果として、「経済産業分野のうち個人遺伝情報を用いた事業分野における個人情報保護ガイドライン」を告示した。詳細情報はURL(http://www.meti.go.jp/press/20041217010/20041217010.html)で知ることができる。厚生労働省は2005年4月2日に、医療情報ネットワーク基盤検討会が審議してきた「医療情報システムの安全管理に関するガイドライン」を公開した。詳細情報はURL(http://www.mhlw.go.jp/shingi/2005/03/s0331-8.html)で知ることができる。米国のGAO(General Accounting Office/米国連邦会計監査院)は2006年7月26日に、情報再販業者に対するプライバシー法における個人情報保護に対するレポート「Personal Information: Key Federal Privacy Laws Do Not Require Information Resellers to Safeguard All Sensitive Data. GAO-06-674」を公開した。詳細情報はURL(http://www.gao.gov/cgi-bin/getrpt?GAO-06-674)で知ることができる。

[全文]
個人情報の保護について(骨子・座長私案)
平成11年10月20日

1 はじめに

(1) 検討部会の設置と検討経過
(2) 個人情報保護を巡る内外の状況
(3) 個人情報を保護するに当たっての考慮すべき視点
 1 保護の必要性と利用面等の有用性のバランス
 2 技術革新の進展や商取引の高度化、社会システムの高度化・複雑化等による個人情報の利用分野の拡大
 3 グローバルスタンダードとの整合性
(4) 個人情報保護制度の速やかな整備の必要性

2 個人情報保護制度の基本的考え方

 1 個人情報保護の目的
(1) 個人情報の保護は、個人の尊厳が重んじられるという人権の一部に由来しており、とりわけ、急速にネットワーク化が進む現代社会の中においては、個人情報は、個人の人格の一部として適切な保護が図られることが重要である。
(2) 一方、適切な保護のルールの下、個人情報の利用、提供、流通等を図っていくことは、現代のネットワーク社会の中において利便性の高い豊かな国民生活を実現していくために必要となる社会的基盤である。また、その適切な利用等を通じて、様々な社会システムの公正さを確保し、一層の公平性、透明性の向上を図っていくことも必要である。

 2 保護すべき個人情報の範囲
(個人情報の定義)
 案の1 自動処理される個人情報
 案の2 ファイリング等により検索可能な個人情報
 案の3 すべての個人情報
  (いずれの場合も、私的目的のために私的に収集、管理されるものを除く。)

 3 個人情報保護のために確立すべき原則
 (個人情報保有者の責務)
(1) 個人情報の収集
 ア 収集目的の明確化
 イ 適法かつ公正な手段による収集
 ウ 収集目的の本人による確認
 エ 本人以外からの収集の制限(本人の利益保護)
(2) 個人情報の利用等
 ア 明確化された目的以外の利用・提供の制限
 イ 目的外利用・提供の場合の本人同意及び本人の利益保護
(3) 個人情報の管理等
 ア データ内容の適正化、最新化
 イ 漏洩防止等の適正管理(処理の外部委託の場合等の保護措置を含む)
(4) 本人情報の開示等
 ア 個人情報の保有状況の公開
 (個人情報保護の要請が強い分野等にあっては、個別法において届出制、登録制等を検討する必要がある。)
 イ 本人からの開示、訂正の求め
 ウ 本人からの自己情報の利用・提供拒否の求め
(イ・ウ共通)
 ・原則として応じなければならない。
 ・期間、費用、方法
 ・拒否できる場合
 ・拒否の際のその旨及び理由の提示
(5) 管理責任及び苦情処理
 ア 管理責任及び責任者の明確化
 イ 苦情処理・相談窓口の設置及びその適正な処理
※1 (1)から(5)の個人情報保有者に適用される原則について、次のような一定の分野に関しては、その適用関係に関し、憲法上の考え方についてさらに検討する必要がある。
(例)
・報道・出版(第21条:言論、出版その他一切の表現の自由)
・学術・研究(第23条:学問の自由)など
  また、次のような分野に関しては、(1)から(5)の原則の全部または一部について、その適用関係に関する法制的な検討が必要である。
・国の安全、外交、犯罪捜査、その他(参考:国の行政機関の個人情報保護法)
※2 (4)の原則(本人からの開示、訂正、利用・提供の拒否の求め)について、特に立法化をする場合にあっては、これらの求めを法律上の「請求権」として構成するか、または事業者(個人情報保有者)の行為規範とするかについて、法制的な検討が必要である。
※3 未成年者等が当事者となる場合について、一定の配慮を要することに関し、さらに検討する必要がある。
(国民の責務)
(6) 国民の果たすべき役割と責務
(国の責務)
(7) 国の果たすべき役割と責務
 ア 必要な施策を講ずる責務
・法律上の措置
・自主規制等の行政指導(実効性担保措置を含む。)
 イ 所管業界について、各行政庁における苦情処理・相談窓口の設置
(地方公共団体の責務)
(8) 地方公共団体の果たすべき役割と責務 国の施策・制度の趣旨にのっとった施策、地域の特性に応じた施策
・条例上の措置
・自主規制等の行政指導(実効性担保措置を含む。)
・苦情処理・相談窓口の設置

3 個人情報システムのあり方

 1 基本的考え方
・法律の整備を図るとともに、民間における業界や事業者等の自主的取り組みを促進し、全体としてこれらを組み合わせて最適なシステムとして構築することを基本とする。
 案の1
・全体を包括する「指針」(閣議決定等)の策定
・各分野ごとの個別法の整備(規制又はガイドライン)
・各分野ごとの業界、事業者等の自主規制等の促進
メリット
・法形式ではないので、包括的な一般指針の策定について迅速な対応が可能
・官民を通じた幅広い各分野について、分野ごとの柔軟な対応が可能
デメリット
・法形式ではないので、実効性担保の不安が指摘されやすい。
 案の2
・全体を包括する「指針」(閣議決定等)の策定
・各分野ごとの個別法の整備(規制又はガイドライン)
・各分野ごとの業界、事業者等の自主規制等の促進
メリット
・原則等が法形式として明確になる。
・各分野ごとの取り組みの促進が期待される。
デメリット
・法の制定に際してはさらなる法制的な検討が不可欠であり、今後一定の検討期間が必要となる。
・法の適用を除外する必要のある分野等について、さらに突っ込んだ議論と詳細な検討が不可欠となる。
※1 監督機関について
・EUにおける「データ保護庁」のような監督機関の創設は、行政改革や規制緩和の流れに反し、困難である。
※2 登録・届出制度について
・民間の全分野を通じて漏れなく登録・届出の義務を課すことは、民間事業者に対して、本来自由であるべき事業活動を大幅に制約するとともに、大きな負担を課すこととなり、個人情報保護の重要性を考慮したとしてもなお問題が多く、また、行政コストも大幅に増大するので、我が国の現状に鑑みると現実的ではない。
※3 罰則、規制措置等について
・そもそも罰則の創設には謙抑的であるべきであり、他の手段によって実効性担保が全く期待できない場合に限り、その創設を検討することが適切と考えられること。
・分野を問わず一律に罰則等の規制措置を設けることについては、構成要件の明確化の観点から、前提として全分野を通じた登録制度や届出制度の創設が必要となる可能性が高いこと。
・登録・届出制度を前提とせず、広く薄く適用する罰則を創設した場合は、その抑止効果には限界があり、特に、違法承知のアウトサイダーに対しては十分な効果が期待できず、全体としての実効性は必ずしも高くないこと。
・一般多数の事業者にとっては自由な事業活動の阻害要因となるなど、他の保護されるべき権利・利益が損なわれる恐れがあること。
 以上のように、罰則、規制措置等の創設については問題が多く、慎重に考えざるをえない。

 2 個別法のあり方
(1) 個別法の整備が望まれる分野
 ア 機密性が高く、かつ、漏洩の場合の被害の大きい分野については、法規制などの公的関与が十分検討されるべきであり、そのための個別法の整備について、早急に取り組んでいく必要がある。
(例)
・信用情報分野
・医療情報分野
・電気通信分野など
 イ 各分野の個別法等について、2-3-(1)から(5)の「原則」との整合性を図るため、必要に応じて、改正等を行う必要がある。
(例)
・国の行政機関の個人情報保護法など
(2) 望ましい個別法のあり方(内容、水準、実効性担保措置等)
 ア 内容
・「原則」を踏まえる必要がある。
・保護の必要性と利用面等の有用性のバランスに配慮する必要がある。
・技術革新の進展や商取引の高度化による個人情報の利用分野の拡大を考慮する必要がある。
・グローバルスタンダードとの整合性を図る必要がある。
・当該分野における個人情報の内容や収集・利用・流通の方法など、その実態に応じた公的関与のあり方を検討する必要がある。
 イ 水準
・当該分野におけるこれまでの実績等を踏まえ、可能な限り高いレベルでの個人情報の保護を図る必要がある。
 ウ 実効性担保措置
・必要に応じて、刑罰、行政罰、行政処分等の規制措置を検討する必要がある。

 3 自主規制
(1) 自主的な取り組みの促進
・法的規制については、その性質上、最低限の規範、規制を定めざるを得ないことに対し、自主規制にあっては、当該分野の保護の水準を反映した規制が可能であることに加え、先進的な取り組みを標準化することも期待できるものであることから、各分野において、保護の水準向上を目指した積極的な取り組みを促進していくことが必要である。
(2) 望ましい自主規制のあり方(内容、水準、実効性担保措置など)
 ア ガイドライン
・行政機関が示すガイドラインの充実等を図る必要がある。
・また、ガイドラインを受けて、各業界及び各事業者が自らの課題として、積極的に個人情報保護対策に取り組むよう、その促進のための施策を講じる必要がある。
 イ 認証制度
・JIS等の民間認証制度の一層の活用を図る必要がある。
・プライバシーマーク等の国及び地方団体が実施している認証制度は、個人情報保護の水準の向上に大きく寄与するものであり、その充実と一層の活用を図る必要がある。
 ウ 民間における紛争処理機関(NPO、ADR)の活用
・事後救済制度としては、原則中の各事業者における苦情・相談窓口の設置義務に加え、各業界等における自主的な紛争処理の仕組みの整備が望まれるところであり、これらを推奨するなどその促進のための取り組みが必要である。

4 今後の進め方など

 1 複層的な救済システムのあり方の検討
・個人情報の保護に係る苦情等に関しては、事業者の苦情処理・窓口による対応、民間における紛争処理機関の活用等を経て、それでも解決できない場合は、各省庁又は地方団体の苦情処理・相談窓口に申出られ、指導、勧告、公表などの措置が講じられることとなるが、最終的に国においてこれらを受け付け、公正・客観的な立場から処理する統一的かつ第3者的な窓口の設置の検討を含め、実効性担保のための複層的な救済システムのあり方について、今後、検討を進めていく必要がある。
 2 悪質な不適正処理等を行った者に対する制裁措置の検討
・「原則」に反したことのみをもって刑事罰等の制裁措置を加えることについては、慎重に考えざるを得ないところであり、今回、具体的に提言することは困難であるが、権利侵害の程度が著しく、かつ、原則違反の行為の形態等を横断的に捉えることが可能な場合等については、別途、刑事罰等の制裁措置を検討し得る可能性もあることから、将来において、検討していく必要がある。
 3 法制的、専門的な検討のための「専門部会」の設置及び「担当室」の設置
 4 パブリックコメントの収集


1999年12月5日のE-Commerceランキング
2000年2月と3月の電子商取引分野別比較
2000年2月と3月の電子商取引総合比較
2000年から2003年に変化する米国とその他の地域の電子商取引
Webショップのプライバシーに対する情報掲載
テネシー大学のDonald Bruce助教授の1979〜2003年個人税収計算
E-Commerceによる価格と税収の変化
E-Commerceの発達による税収の変化
インターネットを活用した収入額別の割合
インターネット・ショップの継続年数と全体の割合
E-Commerceの形態と経験年数の比較
NCLのプライバシー問題報告
CSLRが公表した日本人のオンライン・プライバシー楽観主義
米国の14〜17歳の子供が大人向けサイトを訪ねる割合
経団連の規制改革3カ年計画実現状況
米国のNPRCの個人情報アーカイブ構築タイムライン
Harris Interactiveが公開したプライバシーとプロテクション情報
GAOは2001年10月31日に公開した「Brain Fingerprinting」に関する調査報告
CYBER SECURITY RESEARCH AND DEVELOPMENT ACT
行政機関及び独立行政法人等の保有する個人情報の保護に関する法律案概要・参考
行政機関の保有する個人情報の保護に関する法律案
独立行政法人等の保有する個人情報の保護に関する法律案
情報公開・個人情報保護審査会設置法案
行政機関の保有する個人情報の保護に伴う関係法律の整備等に関する法律案
GAOによる代理店が扱う個人情報の情報管理レポート
FTCが2003年9月3日に公開した他人のIDを使用した事件
GAOが2003年12月17日に公開した、タイムリーで確実な個人情報管理に関するレポート
総務省総合通信基盤局の個人情報の情報管理の徹底に係る放送業界及び電気通信業界への要請
個人情報の保護に関する法律(平成十五年法律第五十七号)
OECDが2004年4月28日に公開したバイオメトリックス報告書
経済産業分野を対象とした個人情報の保護に関する法律ガイドライン
総務省は2004年6月28日に公開したガイドライン改訂の考え方について
「電気通信事業における個人情報保護に関するガイドライン」の改訂案
GAOが2004年7月28日に訴えた、情報保護とAuthorizingシステムズのレポート
IPAがKISAと情報セキュリティに関する協力関係を締結した報告
経済産業分野のうち個人遺伝情報を用いた事業分野における個人情報保護ガイドライン(案)に対する意見募集
経済産業分野のうち個人遺伝情報を用いた事業分野における個人情報保護ガイドライン(案)
個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン
ヒトゲノム・遺伝子解析研究に関する倫理指針
ヒトゲノム・遺伝子解析研究に関する倫理指針」の見直しの内容に係る意見募集
経済産業分野のうち個人遺伝情報を用いた事業分野における個人情報保護ガイドライン
Illustrirte Zeitung1856年1月26日に掲載された化学者Justus von Liebig
ミュンヘンのJustus von Liebig研究所
Justus von Liebigの階段教室
厚生労働省が205年4月2日に公開した医療情報システムの安全管理に関するガイドライン
医学研究における個人情報の取扱いの在り方に関する専門委員会議事録
外務省が2004年4月8日に公開した事業者等が取り扱う個人情報保護ガイドライン
GAOが2006年7月26日に公開した、情報再販業者に対するプライバシー法における個人情報保護に対するレポート

個人情報保護法
1998年7月21日にOPAが公開した個人情報保護の施策
個人情報保護マーク
プライバシーマーク制度
個人情報保護マーク
ネットワーク上のプライバシー侵害問題
FTCのインターネット・プライバシーに関する提案
1998年5月14日のゴア副大統領(当時)の講演
U.S. Consumer Gateway
P3プロジェクト
P3 Project Overview
W3C
OPS
電子商取引
電子印鑑
電子印鑑証明書
ICカード・インターネット認証システム
オンライン・サインアップ
CAFIS
クリッパー・チップ計画
ネットワーク上のプライバシー侵害問題
Vチップ
シークレット・キー方式
パブリック・キー方式
RSA方式
デジタル・キャッシュ
PGP
ゼロ知識証明
ネットワーク・セキュリティ・サービス
DES(Data Encryption Standard)
AES
偽造・変造犯罪
サイファー・パンク
S-HTTP
SSL
MISTY
ブロック暗号
デジタル署名
デジタルIDセンター
MY-ELLTY
電子取引法制に関する研究会
怪文書/BRUTE-FORCE CRYPTANALYTIC ATTACKS
SECE
サイバー・テロ
キー・リカバリー方式
OM-Transact
Web Marketing Solution
SecureBuy Service
認証実用化実験協議会
ICカード取引システム研究開発事業組合
EMV
SET
カオスインフォガード
JapanNet
KES
フィルタリング機能の検討案
PICS(the Platform for Internet Content Selection)
Safety-Net
RSACi
Actra OrderExpert System
性とメディア
Cyber Patrol Coporate
vPOS Merchant Software
バーチャル・アイデンティティ
バーチャル・セックス
仮想現実タレント
デザイナー・リアリティ
米国の電子暗号化技術国外輸出
電子署名法
多目的ICカード
Infoket
ネットパス
CA
MULTI
CAM(Content Access Manager)
クレジットカード決済システム
ICカード・インターネット認証システム
暗号技術
Crypto card
フィルタリング・システム
RC
バイオメトリックス
メリーランド州のネットハラスメント防止法案
サイバートラスト
非接触型フリーパス乗車システム
クレジットカード不正使用問題
国際暗号協定
MilliCent
IOTP
CPS
サイバー法
電子取引法制の中間報告書
インターネット・ビジネス専用保険
Manhattan Cyber Project
個人情報の保護に関するガイドライン
電子サミット
GROUP OF SEVEN STATEMENT ON ECONOMIC
デンヴァー・サミット7ヵ国声明
Pandesic
米国のRating Ruleに関するガイド
Privacy Assured
電子商取引等検討部会
電子商取引等検討部会の中間とりまとめ
FBI長官の不安と願望
NCSA(National Computer Security Association)
消費者取引研究会
モデム・ハイジャック
フューチャーネットワーク
レイティング・データベースの稼働
レイティング・データを知るための方法
米国の過激な学校のフィルタリング規制法案
BAPI
FCCのVチップ規則
プライバシーマーク制度
PGML
EPOC(Efficient PrObabilistiC public-key encryption)
NSAFER
トリプルDES
キー・リカバリーなしのトリプルDES輸出認可
ebase
メール脅迫者
データベース保護法案
D-Jet
シングル・サインオン
SecureVision
B to C
通産省のマルチメディア・コンテンツの公募
プライバシー保護研究会
オールインワン
Open Platform Users Group
VISA Open Platform
50ドル・ルール
1998年6月4日にFTCが公開したプライバシーの報告書
富士通ネットワーク監視センター
Online Privacy Alliance
バンダル
ネットワーク上の人格
米政府の暗号輸出規制緩和
プライベート・ドアベル方式
企業間電子商取引推進機構
鍵長
全数探索法
差分解読法
安全性評価指標
E2
スクラッチカードタイプの決済システム
Microsoft Money
e-ticketカード
都営交通キャッシュレス実験
Cyberspace Electronic Security Act
暗号技術
エンクリプション・プログラム
デジタルミー
JIS Q 15001
電子署名・認証法
Java Card
個人情報保護法制化専門委員会
個人情報保護基本法制に関する大綱案
2000年10月2日にNISTが発表したAESリリース
電子メール・アドレス・リスト売ります
The safe harbour data protection
個人情報保護法案除外規定
ENIAC-on-a-Chip Project
万能自動計算機
日本経済の再生シナリオ/目次
日本経済の再生シナリオ/基本方針
日本経済の再生シナリオ/第1章
日本経済の再生シナリオ/第2章
日本経済の再生シナリオ/第3章
日本経済の再生シナリオ/第4章
日本経済の再生シナリオ/第5章
日本経済の再生シナリオ/第6章
Identrus
iPROVE
Digital Pearl Harbor
2001年9月11日以降の世界のデータ規制
バイオメトリクスセキュリティコンソーシアム
なりすまし被害
認定個人情報保護団体
EDPS(European Data Protection Supervisor)
巨額なオンライン・プライバシーに関する方針
暗号の2010年問題