ITをめぐる法律問題について考える このページをアンテナに追加 RSSフィード

2016-11-21

行政機関個人情報保護法改正に関する国会答弁の重要部分まとめ

個人的メモです。

行政機関個人情報保護法改正に関する国会答弁の重要部分をまとめます。

第190回国会 総務委員会 第14号(平成28年4月19日(火曜日))

  • 安全確保のためにどのような措置を講じているか?(大臣答弁)
    • 行政機関非識別加工情報の作成に当たりまして、行政機関及び行政機関から作成の委託を受けた民間事業者には、行政機関非識別加工情報やその加工の方法などについて、個人情報保護委員会規則で定める基準に従い、情報漏えいを防止するための安全措置を講ずる義務を課すこととしております。具体的には、情報を取り扱う端末のセキュリティー対策や情報へのアクセス制限、取扱者に対する教育といったことが想定されます。
      • (水町注)第44条の10第2項のみではない。同項は、委員会規則で定める基準に従う加工義務である。これ以外に、44条15、16を適用する。なお、6条2項からは、非識別加工情報と削除情報は除外。
    • また、委託先の民間事業者を含め行政機関職員などが個人の秘密に属する事項が記録された個人情報ファイルを不正に他者に提供した場合には、罰則、二年以下の懲役または百万円以下の罰金を科すこととしています。
    • さらに、行政機関非識別加工情報の提供を受けた民間事業者は、加工の方法などを入手したり、当該情報を他の情報と照合することが法律上禁じられておりますとともに、個人情報保護委員会による監督が行われることになっており、適正な取り扱いが行われるように措置しています。

  • 自治体はちゃんと対応できますか。
    • (水町注)おおさか維新の会足立委員質問。
    • 足立委員 これは私、私見ですけれども、前もこの委員会で申し上げました。私は、平成の大合併は失敗した、こう勝手に言っているわけですが、やはり小さな町、村もたくさん残っています。そういうところも含めて、こういう大変高度な制度インフラ。国は、こうして総務省が、あるいは内閣府が、保護委員会が一生懸命やります。専門家も集まってきます。委員会でもこうやって審議します。しかし、本当に個々の自治体でそれにちゃんとついていけるのか、私は課題があると思っています。これは、そもそも地方自治の本旨とよく言われている、役割分担ですね、国の役割と地方自治体の役割分担。これに、何でもかんでも自治体のことは自治体でやってくれということ自体に若干無理が出てきているんじゃないかなと思いますが、これはまた別の機会に譲りたいと思います。
    • 梅村委員 地方公共団体は、この法案のもとでは、今後、匿名加工情報の作成も含めた作業も必要になっていくんじゃないかというふうに思うんですけれども、そういった体制がそもそもあるのか、セキュリティーは大丈夫なのか、また、自治体の新たな財政負担は生まれないのか、この点はいかがでしょうか。
    • 原田政府参考人 繰り返しになりますけれども、いずれにいたしましても、地方公共団体は、今回の法案改正個人情報保護法の趣旨を踏まえて、地域の特性に応じて必要な措置を検討することになります。今後、今回、国の公的部門における匿名加工情報制度の仕組み、こういうものの詳細が決まってまいることとなろうと思っておりますし、運用なども出てくると思われますので、そういうことについても地方公共団体に対しまして逐次丁寧に情報提供してまいることで、地方公共団体の理解を深め、その中で検討していただくことになろうと思います。
  • 非識別加工情報と匿名加工情報、なぜ名称が違うのか、どういう違いがあるのか?
    • (水町注)公明党濱村委員質問。与党
    • 匿名加工情報と非識別加工情報は、双方とも、特定の個人を識別できず、もとの個人情報を復元できないように加工したものである、こういう点では共通するものでありますけれども、個人情報保護法適用される民間事業者におきましては、この作成者それから需要者ともに、識別行為の禁止義務、これは三十六条五項及び三十八条で課せられています。したがいまして、匿名加工情報は、いずれにおきましても個人情報の該当性が否定されるものでございます。
    • 他方、行政機関におきましては、非識別加工情報の作成後におきましても、もとの個人情報のデータを保有するところ、民間事業者に課せられる識別行為の禁止義務に相当する規定を設けておりません。そのことから、理論上、非識別加工情報は、その作成のもととなったデータと照合することが可能であるために、基本的にこの非識別加工情報は個人情報に該当することになります。
    • このように、個人情報保護法適用される民間事業者行政機関個人情報保護法適用される行政機関とでは、加工後の情報が個人情報に該当するか否かという点で法律上の位置づけが異なるわけでございます。このような法律上の位置づけを踏まえまして、名称を変えているということでございます。
    • 濱村委員 一方で、民間と行政で名称が違うということがわかりにくいということをおっしゃる方もおられるわけでございますけれども、私は、そんなことはない。行政が非識別加工情報をつくり、そしてそれを民間に渡した、民間に渡した瞬間、匿名加工情報になるわけですね。民間は一貫して匿名加工情報しか扱いません。
    • (奥野委員への答弁も追加)匿名加工情報といい、非識別加工情報ともいいますけれども、双方とも、特定の個人を識別できず、また、もとの個人情報を復元できないように加工したものである点では共通するものでございますので、非識別加工情報の提供を受けた民間事業者におきましては、個人情報保護法に基づき、匿名加工情報として適正な取り扱いが求められることになります。
  • 行政ではなぜ照合が禁止されないのか?
    • 濱村委員 非識別加工情報を今後作成していきながら、匿名加工情報として民間に提供されてビッグデータとなって、いろいろな情報が付与されたり情報が集約されたり、それで情報に傾向性が見られるというようなこと、あるいはある種の仮説が成り立ちますねというようなことが想定されていくことになります。そうなれば、その結果として、特定の製品についてふぐあい情報が見つかるというようなことも想定されるわけでございます。そうなった場合に、行政機関としては、当然するべきことを考えるならば、行政指導を行うべきかどうか適切に判断しなければいけません。その際に、そうするべきかどうかということについては調査をしなければいけませんので、製品の所有者等を見つけて、ふぐあいについて分析をするということになりますが、所有者を見つけるためにはどうするかというと、もととなる個人情報と照合するというような必要性が出てくるわけでございます。だから、行政機関においては、照合する必要性がある。これは極めて限られたときに必要であるということでありますが、こうした背景を考えたときに、もともとこれは法案を作成したときから想定されていた業務であって、そのような活用も考えられるというふうに想定していたと考えてよいのか、確認したいと思います。
    • (水町注)公明党濱村委員質問。与党
    • 上村政府参考人 今回の法案は、一義的には、行政機関が作成した非識別加工情報を民間事業者において活用されることを想定したものではございますが、ただ、今委員御指摘いただきましたように、行政機関から提供された非識別加工情報を民間事業者が活用している中で、製品事故情報のような情報が発見されることもあり得ます。そのような情報が行政機関フィードバックされたような場合には、行政機関側で行政指導など適切な対応を行うため、もとの個人情報との照合が必要な場合もあり得るところだと考えております。このように、行政機関におきましては、行政としての責務を果たすために照合しなければならない場面があり得ることから、照合禁止義務に係る規定を設けていないところでございます。
  • 民間と比べると、行政への規制は緩いのではないか?
    • (水町注)公明党濱村委員質問。与党
    • 法案第四十四条の十六におきまして、行政機関非識別加工情報等につきまして、その取り扱いに従事する行政機関職員等に対し、その業務に関して知り得た行政機関非識別加工情報等について、不当な目的で利用してはならない、こういうことを定めております。行政機関職員が、今委員が御指摘になりましたように、業務上の必要性と関係なく照合することがあるといたしますと、今申し上げました条項の行政機関非識別加工情報を不当な目的に利用する、これに該当するということでございますので、本規定によりましてそのような行為は明確に禁止をされている、こういうことになります。
  • 目的規定を読む限りは、情報保護法ではなくて情報利活用法ではないか?
    • (水町注)民進党逢坂委員質問。
    • いわゆるビッグデータの活用、中でもパーソナルデータをいかに活用していくかということは、民間のみならず、官民を通じた重要な課題であるというふうに認識をしているところでございます。 そういう意味では、昨年に提出されまして成立した個人情報保護法につきましても、今委員が御指摘になりましたような、適正かつ効果的な活用のための改正というものがなされたわけでございます。これを踏まえまして、官の方におきましても、行政機関保有する個人情報につきまして、あくまでも個人の権利利益の保護に支障を生じない、そういうことを前提とした上で有効な活用の仕組みを設けるということにして、この改正案をお諮りしているわけでございます。 御指摘の法の目的規定でございますけれども、こうした改正内容、経緯も含めまして、こうした改正内容に的確に対応する条文といたしておりまして、今御指摘をいただきましたような、新たな産業の創出ですとか活力ある経済社会、それから豊かな国民生活の実現、これは民間の方の個人情報保護法の規定にあるものを引いておりまして、そうしたものの有用性に配慮をする、こういうふうなことを書いております。
    • ただ、書いておりますが、あくまでも最終的な法律の目的は個人の権利利益の保護を図ること、こういうふうにしているということでございまして、適切な内容になっているものと考えております。
    • (水町注)規定ぶりに沿った至極妥当な答弁。
  • 行政保有する個人情報を民間企業がビジネスに使うということについて、国民の皆様はどう思われるか、これで理解が得られるのか。何か、行政が持っている情報を商売のために使う、本当にいいんですか?
    • (水町注)民進党逢坂委員質問。
    • いわゆるビッグデータの活用によりまして、いろいろ御指摘いただいています新たな産業の創出等々の目的に資するものでありますので、適切な規律のもとに、民間事業者提案を受けて非識別加工情報を提供する仕組みというふうなことにしているところでございます。したがいまして、今般の改正の法目的に照らしますと、イノベーションを実現する、こうしたものは、事業活動を担う、そういう意味ではビジネスを行っている民間事業者が利用するものでございますので、そうした意味におきましても、民間事業者の利用であっても非識別加工情報を提供することとしたものでございます。なお、申し添えますと、この非識別加工情報というのは、もととなった個人情報とは違いまして、誰のものかはわからない、それから、個人の権利利益の侵害のおそれがないように、対象となる個人情報の範囲自体限定をしておりますし、加工基準も、個人情報保護委員会が定めます基準に従った適切なものになるようにこれを審査していく。幾重にも安全管理その他適切性を確保したものというふうにしてございますので、御理解を得られる仕組みであるというふうに考えております。
  • 一回利活用していいよと言われた民間事業者は、別の企業にその情報を提供することは可能なんですか?
    • (水町注)民進党逢坂委員質問。
    • 一旦提供を受けた事業者から仮にほかの事業者へ移すということが予定されているのであれば、そういうことにつきまして、これは実際、契約の中でそういうことを決めていただくということになるかと思います。基本的には、その提供、審査を受けて、そういう意味では、審査を通過された方に提供されるものだと思います。したがって、そこでとまるものだと思いますが、契約の中身によりましては、その提供を受けた事業者と関連のある事業者さんですとか、そちらの方が安全が確保できるとか、そういうことが担保できるのであれば、それはよく審査した上での、あるいは契約条項を見た上でありますけれども、必ずしも現時点で全て排除されるものでもないのかなというふうに思ってございます。
    • (水町注)戸籍、住基についても質問があったが、事前通告していなかった模様。
  • 直観ですごく気持ち悪いんですよね。これがあるということは、識別ができてしまうということですよね。復元はできないにしても、識別はできてしまう。要するに、特定の個人がわかってしまう。特定の個人がわかってしまうような情報を民間に渡してしまう。まさに個人情報を民間に渡すということになるわけですね。渡した瞬間にこれは名前が変わると言っていますが、しかし、個人情報ですよね。個人情報を民間に渡してしまう気持ち悪さというのがあると思うんですよ。そもそも、やはり個人情報の定義についても、行政の方が広い。それは理解はできるんですよ。権力を使って情報を集めるわけですから。それについてはなるべく丁寧に扱っていこう、保護していこうということで、個人情報の範囲を広げていくというのは、民間より広いというのはわからないではないです。ただ、それを今度使いましょうという話になると、結構おかしなことになってくる。
    • 奥野委員質問。
    • 政府参考人答弁は一般論にとどまり、若干かみ合わない感があるが、これに対して私が答えるなら次の通り。
    • 公的機関の責任として、民間事業者よりも個人情報保護を厳格に行っていこうと、個人情報の定義が民より官の方が広いのは委員ご指摘の通り。持っている個人情報を国民生活のために活用していこうとして匿名加工したのが、匿名加工情報と非識別加工情報。非識別加工情報も民間に渡した時点では、民間では個人は特定できず、個人情報ではない。行政においても、その民間に渡した情報のみでは個人は特定できず個人情報ではない。しかし民間に渡した情報を、もともと持っている他の個人情報と組み合わせれば、個人が特定できるようになってしまう。したがって個人情報である。しかしそれは行政の中ではプライバシー権侵害の問題は生起しないものと考えられる。なぜなら、元々例えば、事業開業届を国税庁が持っている場合を想定すると、そこから個人を特定できる情報をカットして、仮に、こういう時期にこういう事業が開業されているというデータとして、民間で活用したいとなって、民間に提供するとする。民間ではその情報からは個人を特定できないので、個人情報ではありませんね、匿名加工情報ですね、となる。一方、国税庁では、その情報だけでは個人を特定できないものの、元の事業改行届というバリバリの個人情報を持っているので、民間に渡した情報を後で行政で照合して、元に戻そうとすれば、できてしまう。しかしそれはもともとバリバリの個人情報を持っていて、そこから加工した情報がさらに行政の手元に残るということであり、照合しちゃいけないという義務をかけるほどのプライバシーリスクが生起されるのかどうかというと、そうではないと思われる。それよりも、民間から何か「これはどういうことか?」といった問い合わせがあった時に、元のバリバリの個人情報と照合できないと、対応できず、それが上記の答弁にもあったが、公務をちゃんとやるという意味で、支障が生じるおそれがある。プライバシーリスクを十分鑑みた上で、行政においては照合禁止はかかわらない。なぜならもともと持っているから。一方、民間はもともと持っていない情報を、個人を特定しない形で行政からもらうから、そこは、照合が禁止されないと、個人が特定できてしまう形でもともと持っていない情報を行政からもらえることになりおかしい。
    • もっとも、改正個情報36条5項は、元々の個人情報取扱事業者に対しても、自ら作成して自ら匿名加工情報を取り扱う際にも照合禁止義務を課している。官と民の公務性の違いが理由とするべきか。
  • 加工基準は?
    • 奥野委員質問。
    • 個人情報保護委員会事務局長答弁 匿名加工情報の加工方法につきましては、個人情報保護法改正案の法案審議のときに政府側からも御答弁申し上げておりますけれども、委員会規則におきまして、匿名加工情報を作成する事業者全てに共通する一般的な加工手法、その他最低限の規律を定めることを想定しております。こうした上で、このような個人情報保護委員会規則に加えまして、事業特性でありますとか取り扱うデータの内容に応じた詳細なルールにつきましては、民間の場合には、認定個人情報保護団体が定める個人情報保護指針等の事業者の自主的なルールに委ねることも想定をしてございます
    • 奥野委員 そうすると、ばらつきが生じないか。ちょっと若干奇異に思うのは、まず民間が決まってしまって、民間の方に引っ張られる形で国が決まる、公立が決まるということになると思うんですが、これは統一的に運用しなきゃいけないと思うんですね。
    • (水町注)加工基準を一律に作成するのは極めて困難。しかしこの指摘は至極当然である。
  • 外国はどうなっているのか?
    • 奥野委員質問。
    • EUの場合でございますけれども、今回の非識別加工情報に類似するものということでございますと、例えば、データ主体が識別できないような方法で匿名化されて、個人とひもつく可能性のない匿名データ。それからもう一つは、仮名化されたデータというカテゴリーがございまして、情報の安全保護のために仮名化、仮の名前の措置を施すものですが、これは多少、個人が識別される見込みがあるものということになってございます。 こうしたカテゴリーについての記述はございますが、我が国の今御提案申し上げているような非識別加工情報のような提供の仕組みは見られない、また、実際の事例は承知していないというところでございます。
    • それから、米国でございますが、これはもうよく御承知のとおりと思いますが、民間部門につきましては、連邦取引委員会、FTC、これはFTC三条件とかというものを決めまして、匿名化された個人情報の取り扱いに関する指針を示しているところでございます。ただ、行政機関保有する個人情報民間事業者が利用している事例というのは、必ずしも承知をしてはおりません。
    • その他、スウェーデン等ではそういう事例は多少はあるということは承知をしております。
    • 奥野委員 だから、今言ったように、税務情報みたいな強制的に取り扱うものは厳しく保護していく、一方で、任意で提供しているような情報については、私ども、照合禁止義務もかけて、完全に個人情報じゃなくしてしまって利活用してもらう、こういう仕組み、しかも、こういったものについては、統一的な法制で、行政機関等の法律、民間の法律というんじゃなくて、統一的な視点でまとめていくべきだと思います。
  • EUの十分性認定はクリアできるんでしょうか?
    • 共産党田村委員質問。
    • 非識別加工情報というものが行政機関等から民間事業者に提供されるというものでございますので、国の行政部門、それから民間部門の監視、監督、これを同じ機関が行うということが合理的であろうという観点から、そうしたものを個人情報保護委員会に一元化するということにしてございます。他方、この法案では、それ以外の個人情報の取り扱い、行政機関等が保有するものでございますけれども、何ら変更することとはいたしておりませんので、その取り扱いは、引き続き総務大臣が所管するということにしているものでございます。また、EUの十分性認定についてのお尋ねがございましたけれども、その基準というものにつきましては、まだ明確に示されたものというのは存在しないというふうに承知をしております。今後、EU側とその十分性認定取得等に向けまして取り組んでいく中で、そうしたものは明らかになっていくものであろうかと思っております。なお、日本の個人情報保護制度につきまして、EUの関心事項であると推測される諸点に関しましては、例えば、今回、これは昨年の個人情報保護法でも同じでございますけれども、要配慮個人情報の規定を設ける、こうした対応は一方で図っているというところでございます。
    • 田村(貴)委員 個人情報保護委員会は、行政個人情報の取り扱いはしませんよね。そうすると、EUの基準には達しないという理解でよろしいですか。もう一度答えてください。
    • 上村政府参考人 繰り返しの答弁になりますけれども、十分性認定が、官民一体の委員会がなくてはならないのかどうか、そういった基準についてはまだ明確に示されたものはないと承知しております。
    • 梅村委員 しっかりと個人情報保護委員会の方で行っていくという点、なぜしなかったのか
    • 古賀大臣政務官 今回の改正は、非識別加工情報が行政機関等から民間事業者に提供されるものでありまして、国の行政部門と民間部門の監視、監督を同じ機関が行うことが合理的であるという判断で、個人情報保護委員会に一元化したものであります。一方、行政機関等における個人情報の取り扱いにつきましては、今回の改正は、法の基本的な構造を変更するものでないことから、現行の体制を変更することとはしていないところであります。なお、個人情報の保護に関する法制のあり方につきまして、今回の改正法の施行状況等を踏まえて検討することとなっておりまして、監督体制についてもこの検討を踏まえて対応していくことになる、そのように承知しております。
  • 具体的なニーズがあるのか?
    • 共産党梅村委員質問。
    • 本制度でございますけれども、この法案の成立をいただきましたならば、その後に、各行政機関等におきまして、提案募集の対象となる個人情報ファイルをまず特定いたしまして、それから募集をするということでございますので、現時点で、民間事業者等から具体的なデータ等の名称を挙げて要望をいただくということが困難であるということは御理解をいただければと思います。ただ、先ほど申し上げました有識者研究会におきます経済団体からのヒアリングにおきましては、非常に信頼性が高い基礎データでありますところの公共データ、これを民間で活用することについての期待は非常に高いということが述べられますとともに、行政機関等が保有いたしますパーソナルデータの適正な利用を促進するため、利用可能なパーソナルデータに関するデータカタログといったようなものを整備することについて要望は示されているところでございます。
    • 吉川(元)委員 今回の立法措置ですけれども、立法事実というのが本当にあるのかというのは私も疑問に感じざるを得ません。
  • 膨大な個人情報ファイル簿のうち、匿名加工情報の提供可能性のあるファイル簿は、どのような範囲で、どれぐらいあるのか?
    • 共産党梅村委員質問。
    • 類型といたしましては、私が先ほどから申し上げているようなことでございまして、個々の個人情報ファイル簿、これがまず公表されているかどうかということ。それから、繰り返しになりますけれども、情報公開請求等があったならば、部分開示がされ得るものであるかどうか。それともう一つ、行政機関等に過大な負担が起きないかどうか。そういったことを勘案いたしまして、各省庁がこれを特定していく、法案の成立をいただきましたならばそういうことをしていくということになりますので、現時点ではどのぐらいの数になるかということは、ちょっとお答えするのは難しいと思います。

水町注:議事録を見ていて気付いたが、N参事官内閣府政府参考人としてご出席。私、この国会随行しなかったんだなあ。随行してたら、お会いできたのでは。お懐かしい。


第190回国会 総務委員会 第15号(平成28年4月21日(木曜日))

  • 改正等今後の予定は?
    • 高井委員 非識別加工情報という言葉に途中から変わった。私が調べたところでは、法制局から閣議決定の一週間ほど前に指摘をされて変わった。そして、そのことがいろいろこの法律の矛盾が出てきてしまっている原因になっているということを何度も指摘してまいりました。大臣にぜひお聞きいたしたいんですが、この法律の施行状況とか、あるいは、今回、ビッグデータ、オープンデータに資する法律でありますので、私は、趣旨としてはぜひ賛成をしたいわけでありますけれども、そうしたメリットを受ける民間事業者の声も聞いていただいて、今回、法律がかなり急ごしらえでできた印象もあります。また、個人情報保護法制との整合性ということも、参考人質疑で随分意見が出ました。こういったことを踏まえて、近い将来、この法律上の文言を統一するということも検討すべきだと思いますけれども、総務省において、この施行状況とか、あるいはそういったニーズの把握、そして法改正も含めて、今後見直しを行うという考えはあるかどうか、お聞かせください。
    • 高市国務大臣 昨年の通常国会個人情報保護法、民間部門改正、それ以降、約一年かけて議論をしてきた結果でございます。この改正案につきましては、政府として、文言も含めて十分考え、問題がないものという認識のもと、御審議をお願いしております。非識別加工情報に係る法の施行状況の把握というものにつきましては、本法案の成立をいただきましたら、個人情報保護委員会において行うこととなってまいります。非識別加工情報の利用者であられる民間事業者の方々やまた国民の皆様の声をしっかりと聞いて、本制度について不断の検討を加え、また、技術の革新というのも出てきます、そういった課題もあるでしょうから、常に不断に検討を加えて、よりよいものとしていくということは当然の政府の責務だと考えております。
  • 足立委員 今御答弁いただいたのは、厚生省でいうと官房なんですよ、多分。官房ですよね、官房。こういう一般的な質問をすると、官房がお答えになるんですよ。いいですよ、全然。それで、本当は、大事なのは、医療の保険者たちが情報を持っているわけです。保険者の質問をしようと思うんだけれども、保険局はなかなか、現場を持っていて、答えられないんですよ、重たくて。だから、僕は、本当に今、行政というのは難しい時代ですけれども、保険局と官房、官房の思いを、原局である保険局とかとちゃんと連携して、現場が重たいのはわかるし、医師会とか、いろいろ四の五の言ってくるところはあると思いますが、大体、医療等IDをつくったのも合理性はないんですよ。医師会の肩をもむためにつくったんですよ。まあいいけれども、とにかく合理的にやってください。
  • 個人識別符号
    • 吉川(元)委員 一般社団法人インターネット広告推進協議会、JIAAというところが、これは内閣府の方ですか、パーソナルデータに関する検討会の中で資料として出しているものを見せていただきました。その中では、「個人情報以外の情報も含めてガイドラインの対象とする」。その中で、インフォマティブデータを定義するというふうになっております。このインフォマティブデータというものの中には、今ほども言いましたID、それ以外にも、メールアドレスやIPアドレス、クッキー情報、こうしたものがインフォマティブデータに含まれるとした上で、「単体では個人識別性を有しないが他の情報と容易に照合し、個人識別性を獲得する場合があり、個人情報に準ずる扱いとすべきである。」こういうガイドラインを策定しております。ですから、端末IDについては、これも十分に個人識別符号に含まれる、業界がそういうふうにガイドラインをつくっているにもかかわらず、そうではないというのは、これはおかしいんじゃないでしょうか。この点、いかがですか。
    • 其田政府参考人 個人情報保護法は、営利非営利、業種、取り扱う個人の情報の種類を問わず、民間部門個人情報を用いて事業活動を行う事業者にひとしく適用される法律でございますが、業界の特性に応じてより細やかな自主的なルールが定められることについては、個人情報消費者の安心につながるものというふうに認識をしてございます。こうした自主的なルールにつきましては、より適切な扱いを行うためのものとして、これは、法令という共通のルールを前提とした上で、さらに適切な取り扱いを行うということでございますが、あくまで業界の特性に応じたルールであるというふうに認識をしてございます。
    • 吉川(元)委員 はっきりと個人が識別できるというふうにJIAAは言っているわけですよ。これは大丈夫なんだ、それは業界によってそれぞれやってくれというのは、おかしな話ではないかというふうに私は言わざるを得ません。私の知る限り、端末IDについては、EUそれから米国ともに、一部個人情報保護の対象としていると聞いております。過去ですけれども、政府自身も、携帯番号については個人情報に含めるというふうな説明を一時していた報道もあり、そうすると、当初はそう考えていたんだけれども、いろいろなところから声を聞いたところ、恐らく経済界等々からだと思いますが、規制が緩くなってしまったのではないかというふうにも思います。そこで、尋ねますけれども、端末IDも含めて、個人情報保護の対象範囲、日本とEU、米国との間でどういった差異があるのか、簡単に教えてください。
    • 其田政府参考人 EUにおきましては、保護対象として、個人データというもので規定をしてございます。個人データとは、識別されたまたは識別され得る自然人に関する全ての情報をいい、識別され得る個人情報とは、特に個人識別番号、または肉体的、生理的、精神的、経済的、文化的並びに社会的アイデンティティー等に特有な一つまたはそれ以上の要素を参照することによって直接的または間接的に識別されるものをいうというふうにされております。米国におきましては、平成二十七年二月に大統領府が公表いたしました消費者プライバシー権利章典法案というものがございますが、こちらはまだ成立をしておりませんので、日本の個人情報保護法に相当する包括的な法体系はないというふうに承知をしてございます。我が国の現行の個人情報保護法におきまして、個人情報とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの、他の情報と容易に照合することができることとなるものを含むというふうに規定をしておりまして、改正後もこの部分は変更がございませんで、委員会が検討しております政令における個人識別符号の定めにかかわらず、事業者の内部において容易に照合ができて、特定の個人を識別することができるものは個人情報に該当することとなります。このように、諸外国の定義を単純に比較することはできませんけれども、保護されるべき個人情報の範囲の概念は大きく変わっていないのではないかというふうに認識をしております。
    • 吉川(元)委員 明らかにEUとは基準が私は違うと思います。これは後ほど大臣にお聞きをしようと思っていますので、また戻ってまいりますけれども、EUの基準と日本の基準、正直、今のお話を伺っても、やはりEUの方が厳しい、より厳しい基準になっている。ということは、後々、EUとの十分性の問題、私はこれも出てくるのではないかということを指摘させていただきます。
  • 業務の運営に支障を来すとは?
    • 吉川(元)委員 今回、行政機関保有する個人情報ファイルから、個人の特定ができず、なおかつデータを復元できないように加工した情報を提供できるというふうになっております。ただし、法案の第二条九項三号では、行政の適正かつ円滑な運営に支障を来さない範囲で非識別加工情報を作成することができるものと規定をしております。ということは、行政の適正かつ円滑な運営に支障を来す情報については非識別加工情報にはできないということになると考えます。そこで、業務の運営に支障を来すものとして、加工が不可能な個人情報、情報ファイルがあって、なおかつ、一部または全部が情報公開によって開示されているにもかかわらず業務の運営に支障を来すというものは、一体具体的にどういうものを想定されているのか、尋ねます。
    • 上村政府参考人 行政の適正かつ円滑な運営に支障を及ぼす場合でございますが、例えば、行政機関の人員等の制約から電算処理されていないようなファイル、これはいわゆるマニュアルファイルと申しますが、紙ベースの情報が大量にある場合、これを加工してビッグデータの形にしていくということは多大な作業が必要となりますので、こうしたものは一例となろうと思っております。それから、電子計算機処理されているものでありましても、電子計算機の仕様上、情報を加工するためには一旦稼働中のシステムを運用停止させてデータを引き出す等々、それをやることによりまして日常運用されています円滑な業務運営に支障が生じる場合、こうした場合も考えられます。それから、これはもう少し厳しいケースになりますが、システム外への情報持ち出しが仕様上できないというふうな、これは事実上対応困難でございますので、こういったケースは代表的事例に当たろうかと思っております。
    • 吉川(元)委員 ちょっと関連してお伺いしたいんですけれども、いわゆる加工が不適当といいますか、今の二条九項三号の規定によって、これはだめですよ、できませんよというその認定というのはどなたが行うものなんでしょうか。所管する行政機関の長なのか、それとも個人情報保護委員会が判断をするのか、この点についてはいかがでしょうか。
    • 上村政府参考人 それは行政機関の長になります。
    • 吉川(元)委員 では、その判断が適正なものなのかどうなのかというのは、長が判断をして、これはだめだということでその判断をされるわけですけれども、それについて、いや、そんなことはないでしょうということ、異議申し立てといいますか、そういうことはできるのか、また、できるとすれば、それは誰にすればよろしいんでしょうか。
    • 上村政府参考人 一つは、各行政機関におきまして非識別加工情報の取り扱いに関する苦情の体制を整備することにしておりますので、そこに申し出ていただくということはあると思います。それから、もう委員も御指摘になりました個人情報保護委員会でございますが、これは成立をいただきましたら、各行政機関におきます非識別加工情報の取り扱いの施行状況、この報告徴収その他をすることになってございます。そういう方面からのチェックあるいは指導というのも考えられると思っております。
  • 定期的な提案の募集とは?
    • 上村政府参考人 御指摘のとおり、御提案しております法案第四十四条の四におきましては、定期的に実施することとしているところでございます。これから詳細は決定していくことになると思いますが、毎年度募集を行うというようなことを考えておりまして、年度ごとに募集期間を設定する、こういうことが制度の円滑な運営に資するということだろうと思っております。具体的には、繰り返しになりますけれども、法律の成立をいただきましてから検討しますけれども、毎年度一カ月から二カ月程度、こうした募集期間を設定するということを想定しております。
    • 吉川(元)委員 もう一つ、関連なんですが、その募集期間というのは、全ての省庁そろってやるということでよろしいんでしょうか。
    • 上村政府参考人 その点につきましては、今後検討の課題になってくると思っております。
  • 契約における利用期間とは?
    • 吉川(元)委員 行政機関非識別加工情報を取り扱う提案が許可されて、契約を結んだ、情報を受けた民間業者というのは、四十四条の七の第一項五号において、その利用期間は個人情報保護委員会で定める期間を超えないものとされております。この利用期間、おおむねどのぐらいの期間を想定されているのかということが一点目。それから、利用期間が終了した際、民間事業者には匿名加工情報としてあるわけですけれども、この情報はどのようにその後処理をされることになるのか。また、当然、利用期間が終われば利用してはいけないということになろうかと思うんですけれども、利用期間後も利用してしまった場合、それを防止する手だてというのは講じられているんでしょうか。
    • 上村政府参考人 まず、利用できる期間でございますけれども、具体的には、提案者のニーズそれから適正管理の面、こうしたものを踏まえまして行政機関提案者との間で利用契約を締結するわけでありますが、その契約の中でそれぞれ定めることになろうと思っております。
    • 上村政府参考人 それから、その利用期間を超えてしまった場合、行政機関非識別加工情報をどうするかということでございますが、この取り扱いも基本的には契約において定めることとなると思いますが、具体的には、それは廃棄ないしは返却ということを定めるということになるんだろうと思っております。その契約条項を守らなかった場合どうするかということでございますけれども、行政機関といたしましては、契約、一旦結びましたものの履行状況を適切にフォローアップしてまいりますし、法律上も、例えば、偽りその他不正な手段により契約を締結した、それから、契約事項について重大な違反があったというときには当然契約を解除することができますし、その段階で利用は停止になります。解除に際しましては、民間事業者に対しまして、提供された情報の廃棄義務を課すことも考えられるわけでございます。 こうした契約に違反をいたしますと、当然契約解除になりますが、その先、また、この法律の欠格条項に該当いたしまして、新たな提案もできなくなるというようなことになっております。
    • 吉川(元)委員 今、ちょっと答弁の中で一点気になる言葉があったんですが、利用期間が終わった非識別加工情報については廃棄または返却ということですけれども、これは、民間の事業者にある間は非識別加工情報じゃないんじゃないですか。匿名加工情報じゃないんですか。
    • 上村政府参考人 おっしゃるとおり、それは匿名加工情報でございます。
    • 吉川(元)委員 もう局長からして、非識別加工情報と匿名加工情報、答弁で混乱しちゃっているじゃないですか。
    • 上村政府参考人 大変不適切な答弁だったかと思いますが、私が申し上げたかったのは、要するに契約をした側の行政機関から見れば非識別加工情報、それをフォローアップする、解除するということでございまして、これは民間事業者から見たらどうなるのかというふうな御質問でございましたので、それは民間事業者から見れば匿名加工情報であるとお答えをしたということでございます。
  • 委託は大丈夫?
    • 吉川(元)委員 次に、加工作業業務委託ということですけれども、四十四条の十の一項、二項において、個人情報保護委員会の規則でその基準というのが定められるというふうになっております。読みますと、情報加工を委託できるというふうにも書かれております。外部委託、生データを渡すわけですから、漏れると大変なことになるわけで、具体的には情報加工の委託を請け負う事業者について何らかの基準を設けているのか。また、具体的にはどのような事業者を想定しているのか。
    • 上村政府参考人 個人情報の取り扱いに係る業務を外部に委託する場合でございますが、既に現行制度のもとで、個人情報そのものの委託に関しまして、行政機関保有する個人情報の適切な管理のための措置に関する指針という指針を定めております。この中で幾つか要件を定めておりますが、主なものといたしましては、個人情報の適切な管理を行う能力を有しない者を委託業者に選定することがないよう必要な措置を講ずること、あるいは、契約書に秘密保持義務、複製制限、情報漏えい時の措置等を明記すること、それから、委託する個人情報の内容等に応じまして個人情報の管理状況につきまして年一回以上定期検査等により確認することなどとしているところでございます。今回の行政機関非識別加工情報の加工に係る委託につきましても、この指針などを踏まえまして、問題が生じないように対処してまいりたいと思っております。

行政機関等の保有する個人情報の適正かつ効果的な活用による新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するための関係法律の整備に関する法律案に対する附帯決議(案)

  政府は、本法の施行に当たっては、本法が個人情報有用性に配慮しつつ、個人の権利利益の保護を目的としていることを踏まえ、行政の適正かつ円滑な運営を図りながら、個人情報の適正かつ効果的な利活用が進み、活力ある経済社会及び豊かな国民生活の実現に資するよう、特に次の諸点につき適切な措置を講ずべきである。

 一 個人情報の定義等を政令等で定めるに当たっては、国民及び事業者等に分かりやすいものとなるよう、これらの者から幅広く丁寧に意見を聴取するとともに、保護対象を可能な限り明確化すること。

 二 非識別加工情報の規定の趣旨が個人情報の利活用を促進するものであることに鑑み、行政機関非識別加工情報等を活用する者が個人情報保護法に基づく匿名加工情報と同様に取り扱うことができることについて、十分な周知を行うこと。

 三 個人情報保護委員会は、行政機関非識別加工情報等の作成に係る基準を策定するに当たっては、行政機関及び独立行政法人等の保有する個人情報の特質に十分に配慮するとともに、情報通信分野において日々進展する技術革新に伴って、特定の個人を識別される危険性を排除するために、当該基準に関し、適宜必要な見直しを行うこと。

 四 個人情報保護委員会は、本法を含む個人情報保護法制及び個人情報保護委員会規則の適切な運用に努めるとともに、事業者や関係団体に対し、利活用に資する情報を提供する等、必要な支援を行うこと。

   また、そのために、個人情報保護委員会委員、専門委員及び事務局においては、行政機関及び独立行政法人等における個人情報保護制度及び民間における個人情報の利活用の実務について十分な知見を有する者のほか、個人情報が収集され、提供される国民の権利利益の保護に精通する者などを適切に登用すること。

 五 今後、各地方公共団体において、地方公共団体が策定し、又は実施する個人情報の保護に関する施策見直しに向けた検討が行われることが想定されることから、その円滑な検討に資するよう、速やかに相談窓口を設け、必要な情報提供を行うなど国が地方公共団体に対して協力を行うための体制整備に努めること。

 六 我が国の個人情報の保護水準が国際的に十分なものであることを、行政機関非識別加工情報等の制度的な導入も含め、諸外国に積極的に周知し、相互理解を十分に深めること。

 七 行政機関等の保有する個人情報には、当該個人情報の取得プロセスにおける義務性・権力性が高いものや、本人にとって秘匿性が高いものが多いことに鑑み、行政に対する国民の信頼を確保する観点から、行政機関等は、保有する個人情報の保護に係る実効性ある情報セキュリティ対策の在り方について不断の検討を行い、必要な対策を遺漏なく確実に実施すること。

 八 行政機関及び独立行政法人等においては、非識別加工情報が行政機関等の内部においては個人情報に該当することを十分に認識し、個人情報を取り扱う業務従事する者のICTの知識モラルの向上、法令・情報セキュリティポリシーの遵守の徹底を図るための研修実施など、継続的な人材育成に必要な措置を講ずるとともに、非識別加工情報と他の情報との照合は、所掌事務の遂行に必要であり、かつ、人の生命、身体又は財産の保護のために緊急に必要がある場合に限る等、個人情報の保護に万全の体制を構築すること。

 九 本法の適正な運用を確保するため、責任者を定めて責任の所在を明確にするなどの管理体制の整備、指針の作成、研修の実施等による指導の徹底を図ること。

 十 教育、広報その他の継続的な活動を通じて、個人情報及び非識別加工情報の適正な取扱いの下での利活用の推進に関する国民の理解と信頼を深めるよう努めること。

 十一 附則第四条に規定する「個人情報の一体的な利用の促進のための措置」を講ずるに際しては、「法制上の措置」も含めて検討するなど、以上の諸点を踏まえ、必要な見直しを行うこと。

  右決議する。

総務委員会名簿はここ

なお、参議院未済。会議録はここ

2016-11-17

ピューロランドに久々に行ってきました

f:id:cyberlawissues:20161117123255j:image:leftf:id:cyberlawissues:20161117123254j:image:leftf:id:cyberlawissues:20161117123253j:image:leftピューロランドに半年ぶりぐらいに行ってきました。

実は今年は、ふるさと納税して、ピューロランドの年間パスポートをゲットしているので、半年ぶりでも久々です。

フードコートのメニューが新しくなっていて、かわいさ満点のプリンラーメンと、ピアノカレーがありました。マイメロカフェもとってもかわいいメニューが盛りだくさんでした。以前は、キティ饅頭とかキティドーナツしかなくて、かわいいメニューが少なかったですが、最近はいい感じです。

館のレストランもかわいいメニューをいっぱい出すか、キャラクターを常時いさせればいいのに、と思います。


このところ、事務所にいらしてくださった方に、「お忙しいそうなので、お仕事をお引き受けいただけないかと思いました」といわれることが何回かあって、あまりブログに「〆切が・・・」とかって書くのもよくないなと反省しました。

〆切ラッシュは9月に終わって、10月は規程や契約書などの通常業務が結構あったのですが、11月はそこそこ普通な仕事量な感じです。土日も休めてピューロランドにも行けてます。

2016-11-16

きゅんた

f:id:cyberlawissues:20161116151509j:image

f:id:cyberlawissues:20161116151541j:image

大好きなきゅんたに初めて会えました。あと、きゅんたの飴ももらいました。

2016-11-14

講演のお知らせ

今後の講演のお知らせです。

2016-11-10

サンタにサンリオグッズを持ってきてほしい

このところ毎年、サンタに、「なんかいいものくれ」と言っていますが、一向にいいものが届きません。

今年こそ、サンタさんにサンリオグッズを持ってきてほしいものです。

サンリオオンラインショップを見ていたら、とてもいいものを見つけました。

ボディソープなのですが、なんとケースがスノーグローブ風。サンタがこれを持ってきてくれますように。っていうか、クリスマスの前にサンリオショップにいってしまったら、自分で買ってしまいそうです(笑)

あと、普通のスノーグローブもかなりかわいいです。別にスノーグローブ好きじゃないんですが、今年のサンリオのスノーグローブはかわいいと思いました。

私は誕生日が12月なので、子供のころからクリスマスプレゼントをカットされることが多く、クリスマスというと、なんとなく残念な印象です。そうそう、お客様がカレンダーをくださるそうなのですが、誕生月の絵をバースデーイメージにしてくださるそうで、楽しみです。

個人情報保護法ガイドラインへの意見

パブコメ中だった個人情報保護法ガイドラインへ、弁護士有志で意見を出しましたので、ブログにも貼っておきます。ガイドラインは4個のガイドラインから構成されていてすべてのガイドラインに意見を出しましたが、ブログには通則編のみとりあえず貼っておきます。

弁護士20人連名で意見を出しました。20人連名って結構すごいですよね。意見書の最初のページの結構な部分が名前で埋まってしまいます。

あと思ったのですが、実務を踏まえたガイドラインがすごく重要だと思うのですよね。私も内閣官房委員会にいた時代は、さまざまな実務の方がいらして、いろんな状況をお話になるのですが、役所にいらっしゃる方というのも社会の平均像でなかったりして、そうするとなかなか実務がそこまで見えてこず。それがここ1、2年前よりご縁に恵まれまして、さまざまな方がさまざまな現場の状況を具体的に教えてくださいます。本当に勉強になります。具体的な現場の状況を踏まえ、現場に過度な負担なく個人情報保護を行っていただくこと。そして、現実の社会を見て、個人情報についていったいどのような問題が生起しているのか、大きな問題からまずは改善していく、国際的潮流を掴む、現場との齟齬がないようにする、こういうことを踏まえてガイドラインをブラッシュアップしていくべきだなと思うところです。とはいえ、なかなかきれいごとを言うのは簡単で、「そういうガイドライン作れ」と言われてもなかなか難しい話なのですが、現場と理想の乖離を少しでもなくせるよう、個人情報をめぐるゆゆしき問題を解決できるよう、微力ながら私にできることを今後とも頑張って行きたいなと思っているところです。

最近思うのは、消費者問題で、キャッチセールスとかの問題が一時ひどかったときに、規制法などができて、本当にそういうキャッチが道から消えて、ああいう社会問題を少しでも解決する方向の規制法って良いなと思うところです。個人情報をめぐっては、なんだかとかく誤解も多いし、過剰反応と放置反応の二極化が見られるところですが、現場と理念がもっと無理なく寄り添えるように、今後とも考えていきたいと思っています。

以下、パブコメで出した意見です。


第1 通則編について

(該当箇所)

通則編の9~11ページ

(御意見)

「認証することを目的とした装置やソフトウェアにより…本人を認証することができるようにしたもの」という記載を改めるべきである。

(理由)

法令では「識別するに足りるもの」という規定ぶりなのに,なぜガイドラインではこのような限定を設けているのか。法・政令・規則と整合せず,妥当でない。

(該当箇所)

通則編の18ページ 2−5の下から2行目

(御意見)

権利能力のない社団任意団体)又は個人」の記載を改めるべきである。

(理由)

権利能力のない社団に該当しないが,個人でもないものも存在するため(例えば,法律事務所)。

(該当箇所)

通則編の26ページ 3−1−1

(御意見)

利用目的をどのように特定すればよいのか,事業者に具体的ガイドを与えるよう,記載を改めるべきである。

(理由)

ガイドライン案は経済産業省ガイドラインをベースにして作成されているが,利用目的の特定に係る記載は,経済産業省ガイドラインよりも記述が薄くなってしまっている。利用目的の特定をどうすればよいのかは事業者にとっても消費者にとっても大変重要な事柄であり,法律の規律の要でもある。利用目的をどう特定すれば法15条1項に沿ったものとなるのか,事業者に具体的ガイドを与えるよう,記載を改めるべきである。

(該当箇所)

通則編の26ページ 6~8行目

(御意見)

利用目的に第三者提供を含めていなかった場合の帰趨がわかるよう,記載を改めるべきである。

(理由)

第三者提供があらかじめ想定されていなかったが,事後的に第三者提供をすることになった場合は,利用目的の変更が必ず必要なのか。49ページの3−4−2−1※5を見ると,必ず必要なように見えるが,そのような解釈は個人情報取扱事業者にとって,遵守が事実上困難ではないか。そうすると第三者提供が想定されていないにもかかわらず,利用目的にすべて「第三者提供を含む」とする例も多くなるおそれもあるのではないか。

(該当箇所)

通則編の27ページ 3−1−2

(御意見)

利用目的を変更できる基準を明記すべきである。

(理由)

改正された条項であるにもかかわらず,ガイドラインでは法改正で何が可能となったかがわからない。法改正前の経済産業省ガイドラインと類似か,はたまたそれよりも厳し目の記載ぶりとなっている。利用目的変更にかかる国会答弁よりも後退した記載ぶりであり,どのような利用目的の変更が可能かの基準や,具体例を明記すべきである。

(該当箇所)

通則編の29ページ 3−1−5(1)

(御意見)

個人データの提供義務がない法令に基づく場合でも提供できるのか明記すべきである。

(理由)

この記述では,わからないため。

(該当箇所)

通則編の31ページ 3−2−1

(御意見)

事例に,個人情報を本人の知らない間にアプリその他を用いて抜き取る例,適法に取得されたものではないと疑われるにもかかわらず提供を受けた場合の例を追加すべきである。

(理由)

‐綉のような具体的事案も登場しているため。

第三者提供時の確認・記録義務編のみに記載するのでは,見落とす可能性があるため,読者の利便性のために通則編にも記載すべきである。

(該当箇所)

通則編の32ページ 3−2−1 ※1

(御意見)

「転記等」の意味がわかるよう記載を改めるべきである。

(理由)

※1の記載が何を説明しているのかがわからないため。転記等とは何をどうすることを指しているのか。

(該当箇所)

通則編の42ページ 3−3−4 

(御意見)

事業者が委託先の監督責任を果たす具体的ガイドとなるよう,記載を充実させるべきである。

(理由)

改正前の経済産業省ガイドラインより記述が薄い。地位を利用した委託先いじめなどの記載が落ちているのはなぜか。また,委託先の選定については,安全管理措置を引用するのでよくても,契約内容など,もっと具体的に記載すべきではないか。さらに事例がすべて漏えい事例になっているが,目的外利用などの不正事例も記載すべきではないか。

(該当箇所)

通則編の52ページ 3−4−3(3)

(御意見)

共同利用について法の予定する正当な運用がなされるよう,具体的ガイドとなるよう,記載を充実させるべきである。

(理由)

共同利用は本人関与がない分,法律の定める要件を厳格に解釈し,恣意的な運用がなされるおそれをできる限り排除する必要がある。パーソナルデータ検討会第4回でも指摘があった点である。共同利用の脱法的利用を防止する観点から,共同利用が認められるべき要件,共同利用が認められる事例について,もっと踏み込んで記載すべきである。共同利用の条項は改正されたにもかかわらず,その点に関する解説もない。

(該当箇所)

通則編の72ページ 3−5−6※5

(御意見)

経済産業省ガイドラインに記載されているID/PWD,コールバックなどの事例が落ちているが,これらは適切ではないという判断から記載を落としたのか,説明願いたい。

(理由)

かつて記載のあったものについての記載がなくなると、事業者に対し誤解を与えかねないため。

(該当箇所)

通則編の87ページ 8−1

(御意見)

基本方針の意義や求められる基本方針の内容について明記すべきである。

(理由)

特定個人情報等についても基本方針の作成をガイドラインで求めていたが,これに基づき,きわめて形式的な基本方針が多数作成されている現状がある。例えば,事業者名,法令等の遵守,窓口を記載したうえで,「しっかりと安全管理措置を講じていきます」とのみ記載されていたり,「組織的,人的,物理的,技術的安全管理措置を講じます」とのみ記載されているようなものである。このような画一的形式的な基本方針を作成しても,作成する手間がかかるのに対し,「個人データの適正な取扱いの確保について組織として取り組む」ことに資するとは考えられない。対外的な信頼を確保するために,本人への説明責任を果たすために,当該事業者が講ずる対応の要点を明らかにすることなどを求めるべきである。

(該当箇所)

通則編の87ページ 8−2

(御意見)

取扱に係る規律の意義や求められる内容についてより具体的に明記すべきである。

(理由)

基本方針同様,特定個人情報等に関しては,きわめて形式的な取扱規程が多数作成されている現状がある。例えば,インターネット上で無料の取扱規程ひな形が公表されており,これをそのままコピー&ペーストしただけのもの(法律的な誤りもコピー&ペーストされてしまったりしている)や,多少アレンジしていても,安全管理措置の具体的内容がほぼ記載されていないものが多数散見される。個人データに関してこのような事態が繰り返されないよう,形式的に規程を整備することよりも,当該事業者における個人データの取扱いにかかる具体的な内容を明記することが重要であることを,ガイドライン上で明記すべきである。より理想的には,規律の一部でもよいので,サンプルや例をガイドライン上で掲示することが望まれる。

(該当箇所)

通則編の94ページ中小規模事業者における手法の例示(1)

(御意見)

具体的手法を明記すべきである。

(理由)

この記述では,具体的に何をすべきなのかがわからないため。

(該当箇所)

通則編の94ページ手法の例示・中小規模事業者における手法の例示(2)1~3行目

(御意見)

「従業者不在時等に盗難等がなされないような措置を講じる」に変更すべきである。

(理由)

個人データが記載された書類等の量が多いものの事務スペースが狭い場合,すべての書類等を施錠できるスペースに保管することは,実務上困難である。特に中小規模事業者は,困難である。必ずしも施錠できるキャビネット書庫へ保管する必要はないのではないか。例えば,事務スペースに保管しつつ,従業者不在時・退社時には,事務スペースの扉を施錠すること等でも足りるのではないか。

(該当箇所)

通則編の94ページ手法の例示・中小規模事業者における手法の例示(2)4~6行目

(御意見)

「従業者不在時等に盗難等がなされないような措置を講じる」に変更すべきである。

(理由)

事務スペースの狭さ・レイアウトの関係等から,固定できない場合も多い。特定個人情報等とは異なり,個人データの場合,ほぼすべてのPC等で取り扱われる可能性があり,そうすると,限定された機器等ではなく,ほぼすべての機器等をセキュリティワイヤー等で固定することは困難な場合も十分あり得る。

(該当箇所)

通則編の98ページ中小規模事業者における手法の例示(1)1~2行目

(御意見)

削除すべきである。

(理由)

中小規模事業者では,コスト等の関係から,OSアップグレードを行わない例もみられる。さらに,リリースされた直後のOSは,安定性を欠く場合もあるので,「最新」の状態に常に置くことは適切でないことも十分考えられ,妥当でない。必ずしもOSを最新の状態に保持する必要はないのではないか。

(該当箇所)

通則編の98ページ中小規模事業者における手法の例示(4)1~3行目

(御意見)

必ずしもパスワード設定は必要はないのではないか。

(理由)

ガイドライン86ページに「必ずしも次に掲げる例示の内容のすべてを講じなければならないわけではない」とあるものの,手法の例示でパスワード設定を求めても,個人データの含まれるファイルをメール送付する際に必ずパスワード設定することは,中小規模事業者の業務に著しい支障を生じることも考えられ,妥当ではない。

(該当箇所)

(御意見)

今般示されたガイドライン以外のガイドラインが示されるべき分野を明示すべきである。

(理由)

医療,電気通信,金融のみ,今般示されたガイドライン以外のガイドラインが示されると考えればよいのかが不明であり,事業者にとっては改正法施行にむけて,どのようなスケジュール感でどのような準備をすればよいかがわからないため。