個人情報保護法改正の国会審議 第189回国会会議録から抜粋
(第三者提供に係る記録作成等義務関係部分)

平成27年3月10日

衆議院予算委員会第一分科会第1号



平成27年3月25日

衆議院内閣委員会第2号


○高井委員 維新の党の高井崇志でございます。


(略)


○高井委員 もう恐らく最後の質問だと思いますが、それでは、第三者提供に係る記録の作成の問題についてお聞きします。

 法律では、個人情報取扱事業者が個人データを第三者に提供したときは、委員会が定める規則にのっとってその記録を作成しなければならないとあります

 これは、通常、企業であれば、契約書を作成して、そしてそれを保管しているということで今対応していると思いますここで法律ができた新たに、別途何か記録を作成しなくてもこういった今企業で行われている契約書の項目があればそれでカバーされると理解していいでしょうか。これ以上の記録や保管を義務づけるというのは過剰規制だと思いますが、いかがですか。


○向井政府参考人 お答えいたします。

 トレーサビリティーの確保のためには、提供する者に対しまして、日時や提供先に関する記録の作成、保存の義務づけ等を行っているところでございますが、先生おっしゃるとおり、通常の契約書でございましたら、誰からどこに何が移ったかというのは通常契約書に書かれてございますので、これで十分だというふうに考えてございます。


○高井委員 また個人情報保護法の質疑のときに詳しくお聞きしたいと思います。

 ありがとうございました。


平成27年4月23日

衆議院本会議第19号



平成27年5月8日

衆議院内閣委員会第4号


○平井委員 おはようございます。自由民主党の平井たくやでございます。


(略)


○平井委員 これまで質問させていただいたものは、いずれも、個人情報を積極的に利活用できるようにして新たな産業やイノベーションを創出して経済成長につなげていくことを目的としたものであり、非常に重要な視点であると認識しています。

 一方で、個人情報をめぐっては、昨年夏に発覚した大手教育出版系企業における大量の個人情報の漏えい事案を契機にして、自分や子供の情報が不法に流出して転売されてしまうことへの不安が増大しているという問題が明らかになっています

 利活用を進めていく上でも、このような消費者の不安を取り除き、安心して個人情報を提供できるような環境を整えていくことが必要であり、適切な個人情報の保護を図ることの重要性はますます増大すると考えています。

 このような観点から、今回の改正案を見ると、個人情報を第三者に提供したり個人情報を第三者から受け取ったりする場合に、記録を作成することや取得の経緯について確認することが新たに義務づけられているようであるがこの趣旨、目的のためにこのような新たな義務を設けることとするのか、お答えいただきたいと思います。


○向井政府参考人 お答えいたします。

 昨年発覚いたしました個人情報の大量漏えい事件を契機といたしまして、個人情報が本人の知らないうちに複数のいわゆる名簿事業者を介在して転々流通することに対して、国民の不安が増大しているところでございます。

 この事案への対応に当たり、個人情報の流通経路を明らかにすることが困難であったほか、漏えいした情報を入手した事業者が提供元の事業者において適法に入手された個人情報か否かの確認が行われていないことが具体的な問題点として挙げられたところでございます。

 このため、このような事案が発生した場合に、個人情報の流通経路や適法に流通したものであるかを迅速に把握できるよう、トレーサビリティーの確保の観点から、第三者提供に係る記録の作成等や第三者提供を受ける際の確認等を個人情報取扱事業者の義務として新たに導入することとするものでございます。

 これらの措置により、事業者みずからが確認、記録を行うことによって個人データの不正な流通を抑制し、また、不正流通事案が発生した場合には、個人情報保護委員会等において被害拡大防止のために適切な対応が行われることを期待しておるところでございます。


○平井委員 先ほどの大手出版系企業の事案が発生した際に、複数の名簿事業者を介在して転々流通した個人情報の流通経路をたどることは警察の力をもってしても困難であったようであるし、トレーサビリティーを確保するためにこのようなルールを設けるということ自体は意義があると考えます。

 他方で、このような義務を課すことについては、義務を課される事業者の側から見ると負担が大きいのではないかという懸念があります。制度やその目的は意義があると思いますが、国民に義務を課すものである以上、目的を達成する以上に、過度の負担になっていないかという視点は重要だと思います。

 このような観点から、次のような事例で記録の作成義務がどのようにかかるのかを確認したい。

 まず、損害保険会社ではよく、一つの交通事故の事案について、同一の被保険者の情報を提供している修理会社等に何度か電話やファクスで連絡するということが行われているようでありますが、このような場合に、一回一回、どのような情報を提供したかということまで記録しなければならないのか。また、類似の状況として、クレジットカードや公共料金の引き落とし処理のために、クレジットカード会社や電力会社等が、銀行に対して毎月毎月その月の引き落とし額を伝えるというようなことが行われており、このような反復継続して個人情報を提供するような場合に、一回一回の提供の記録を作成する必要があるのか。そのあたりについて懸念している事業者は多いと思われることから、この運用がどのようになるか、明確に答弁をお願いしたいと思います。


○向井政府参考人 お答えいたします。

 まず、第三者への提供が委託や共同利用に当たる場合には、そもそも記録の作成、保存義務はございません。

 また、記録の作成が必要になる場合におきます具体的な記録の作成方法、記載事項につきましては個人情報保護委員会規則で定めることとしておりますが、この規則の策定に当たっては、事業者の負担に最大限配慮することが必要と考えているところでございます。

 例えば、御指摘の関連会社に対して同一の事案について複数回にわたって個人情報を送付したり、同一の会社間で反復継続して個人情報を提供したりするような場合は、一定の期間内に特定の事業者との間でどのような個人データを移転させたかを包括的に記載されるものとし、個々のやりとりに関する詳細な記録までは求めないこととすることを含め、具体的なあり方を検討する予定でございます。


○平井委員 事業者の懸念というのはやはりあるわけですから、できるだけ早くそういう話を皆様方に伝達したいなというふうに思います。そういう意味で質問をさせていただきました。


(略)


○井上委員長 次に、高井崇志君。


○高井委員 維新の党の高井崇志でございます


(略)


○高井委員 それでは、二十五条、第三者提供に係る記録の作成でございます。

 これは、オンラインで提供する場合は電子上の記録でいいのか、それとも、別途記録書面をつくらなければならないのか。

 また、電子上の記録の場合、サーバーログとかトレーサビリティーが確保できればよいと考えますけれども、いかがでしょうか。

 また、削除した場合に、消したものとか消したことに関するログまで残す必要があるんでしょうか


○向井政府参考人 お答えいたします。

 記録の作成方法及び記録すべき事項につきましては、個人情報保護委員会規則で定めることとしておりますが、その策定に当たりまして、事業者の負担に最大限配慮することが必要と考えております

 御指摘の、オンラインでの第三者提供において別途特別の記録を作成しなくてもよいとすることや、ログの分析や照合によって記録すべき事項がわかるようになっている場合にはそれで足りるというふうなことも十分考えられることでありますので、これらを含め、今後、事業者からの意見を踏まえつつ、具体的なあり方を検討する予定となっております。

 なお、本規律は、個人データの第三者提供に係る記録の作成、保存を義務づけるものでありますので、御指摘の個人情報を削除したことに関する記録の作成、保存は不要となっておるところでございます。


(略)


 これで終わります。ありがとうございました。


平成27年5月13日

衆議院内閣委員会第5号


○井上委員長 これより参考人に対する質疑に入ります。


(略)


○泉委員 続いて、名簿屋の対策であります。


 長田参考人そして坂本参考人からもお話がございましたが、当然不正な取得については問題だということでありますが、お二方から、双方あったのは、おかしな名簿屋についてしっかりと規制をかけることが大事であって、一般事業者に過度な負担になってはいけないとこれは恐らく寺田参考人も当然そういうお考えだと思いますし、ある意味、事業者への配慮と、大変重要であろうかなというふうに思います。

 そういう中で、長田参考人、先ほどお話しいただいた中で、具体的にどうこうというのは難しい部分もあるかもしれませんが、おかしな名簿屋だけをうまく取り出すということについては大変難しいところがあると思うんですが、何か現段階でお考えがあればお聞かせください

 そして、坂本参考人の方でありますけれども、同じように、名簿屋対策、一般の事業者に広がらないようにという話でありますが、これも何かお考えになられている手法があるかどうかというのをお聞かせいただきたいと思います。


○長田参考人 言っておきながら大変難しいお答えになるんですけれども。

 検討会のときからずっと申し上げておりますのは、先ほど申し上げました、オプトアウトで名簿をつくることができるというのがまずおかしいのではないかということが一つあります。それは、たとえ委員会に届け出たとしても、そこに我々が到達するということはなかなかできないし、名簿は買ってみないと自分が載っているかどうかわからないんですね。なので、そういう題名の名簿がつくられているということがあっても、それを我々普通の者が判断することができないということが一つなので、オプトアウトでそういう名簿が作成できること自体をまず規制すべきだというふうに考えています。

 そして、いわゆるそういう名簿屋についての実態調査というのが実はされていないのだと思います。先ほど日弁連さんからもお話がありましたけれども、まず、ぜひしていただいて、何とかそこをくくる努力をしていただきたい。その上で、それを法的に規定して、そこに規制をかけるということをしていただきたいというふうに考えています。


○坂本参考人 これはまたなかなか難しいんですけれども、まず実態調査をきちっとしないとあかんというのはそう思いますし、本当は、名簿屋を規制するということであれば、ほかにも、例えば泥棒が盗んだ物を古物商に持ち込んで換金する、これは昔からたくさんあったので、古物商に関しては古物商を取り締まるための法律がありますよね、警察に届け出をさせるのを含めて。あるいは、消費者金融については、違法な高利貸しを取り締まるために、きちっと都道府県に登録を義務づける、こういう法律があります。

 そうしてみると、やはり、名簿屋を規制するんだったら、名簿業者はこういうものだというふうにきちっと規定して、名簿業者になるためには登録する等の要件を課す、そこにはきちっと指導する、それ以外で名簿屋みたいな取引をしているところについては禁止をする、あるいは何かの規制をかける、そういう形で名簿業者としての規制を図るべきだ、こういうふうに思います。


○泉委員 ありがとうございます。

 まさに、古物商のお話も出てきましたが、そこをどうできるかどうかというところが一つ焦点かと思います。保護法の十七条でも、一応、取扱事業者の不正取得の禁止というのはあるわけですけれども、個人情報取扱事業者ということでいえば、それは広範にわたってしまうわけですから、そこからどう切り出すかということであろうかと思います。

 私も何か方法はないかなと考えたときに、それが反復的に営業を、名簿の売買を通じて反復的な何か収益を上げているですとか、何かしら形をつくって切り出すということになろうと思いますけれども、まさに古物商のお話もありました。

 宇賀参考人、今のお二方の御意見を伺って、この名簿屋対策、考え得る切り出し方というものが何かありましたら、お答えください。


○宇賀参考人 この名簿屋の問題は非常に深刻で、名簿屋の販売している名簿、これが振り込め詐欺等の犯罪に使われているということも多々あるというふうに伺っております。

 したがって、今回、名簿屋対策として、トレーサビリティーの確保という観点から規制が設けられたということは、私は評価しているのでございますが、御指摘のように、本来、名簿業者の業としての規制ができれば一番望ましいと考えております。

 これまで主務大臣制でございましたので、名簿業者を監督する主務大臣がそもそも存在しなかった、そのために実態も把握できていないということが、名簿屋の業としての規制が現在困難になっている背景にございます。

 しかし、個人情報保護委員会が立ち上がれば、個人情報保護委員会は名簿屋に対しても監督権限を持つということになりますので、早急に名簿屋についての実態を調べていただいて、そして、行為規制にとどまらない、業としての規制ができるかどうか、それをぜひ早急に検討していただきたいと考えております。


○泉委員 今、各参考人から寄せていただいた実態調査については、共通の御意見ではないかなと思いますので、これはぜひ政府の方にも伝えていきたいというふうに思います。

 そして、長田参考人からお話があった、オプトアウトでの名簿作成の規制という一つの御提案ですけれども、ございました。これについて、宇賀参考人そして寺田参考人、お考えをいただければと思います。


○宇賀参考人 現在、名簿業者は、第三者への提供の際にオプトアウトの手続をとっている。しかし、実際には、このオプトアウトの手続が形骸化しているために、ベネッセの事件もそうでしたけれども、名簿業者を通じた個人情報の転売ということを全く本人が把握できていないということがございました。

 そこで、今回、このオプトアウト手続について、それを個人情報保護委員会に届け出をして、そして個人情報保護委員会の方でそれを公表するということで、これは一歩前進であるというふうに理解しております。

 本来、名簿業者に限ってそういう規制をするということができればいいわけですけれども一般の、名簿業者でない者も、個人データの第三者提供、それも反復して行うということは広く行われておりますので、なかなか名簿業者だけを切り出すということが現段階では困難なので、今回、こうした形で、一般的な形でオプトアウトについての形骸化を少しでも防止する方策が入ったということは、これは一歩前進というふうに評価しておりますが、最終的には、先ほどの繰り返しにはなりますが、名簿業者の登録制の導入などによる監督がぜひ必要ではないかと考えております。


○寺田参考人 オプトアウトによっていろいろな情報を収集する、これはネット上ではごくごく一般的な方法であります。ですので、一般法規制的な形でこういったものが規制されるというのは非常に影響が大きい。やはり、何がまずいことなのか、いけないことなのか。名簿屋といいましても、一般的に皆さんが意識する、リストになったりとか紙になっているようなものではなくて、ネット系の世界では、データブローカーあるいはデータエクスチェンジャー、それぞれ役割が複数にあって、どこからどこまでが問題を起こすところなのかといったところに関しても、まだまだ調査しなければいけない部分が多々あるかと思います。

 ですので、やはり構造をはっきりとさせた上で、必ずボトルネックとなる部分がありますので、そういったところを狙い撃ちにするような、そういった形をもって、一般的なオプトアウトのそういった規制につながっていかないようにというふうにぜひ考えていただきたいなと思っています。


○泉委員 ありがとうございます。大変参考になりました。


○井上委員長 次に、高井崇志君。


○高井委員 維新の党の高井崇志でございます。

 きょうは、四人の参考人の皆様、大変勉強になる示唆に富んだお話、御提言をいただきまして、まことにありがとうございます。

 それでは、早速質問に入らせていただきたいと思います。

 きょう、くしくも皆さんから御指摘もいただきました、そして、私が皆さんにぜひ問いたかったことは、名簿屋対策の話でございます

 私は、もちろん名簿屋対策、これはしっかりと規制を強化するというか、新たにつくる、データベース提供罪というものを今回設けるわけですけれども、一方で、法律の規定ぶりによっては、悪質な名簿事業者でもない、普通の事業者がいろいろな義務を負うのではないかという懸念が実はありまして、私も、これまで、きょうで個人情報保護の四回目の質問なんですが、実は気づいていなかった部分がございます。

 実は、宇賀先生はパーソナルデータ検討会の座長をされておられ、長田さんも委員をされておられ、私も関心があって、ずっと検討会の議論を見てまいりました。しかし、この名簿屋対策というのは、いわゆる昨年の大手出版社の名簿屋流出事件があって突然出てきた話で、余り検討会では議論されず、そして、多分最後の方、十二月、年末の検討会で骨子案というのが政府から出されて、そこで出てきた話

 しかも、そこでほとんど検討されず、今度法律が出て、法律が出た時点で皆さん初めて条文を読んで、えっ、これ大丈夫なのと。しかも、一見すると、すぐにはわからずに、私のところにも、実はつい先日、これはパーソナルデータ検討会の委員でもあったある法律の専門家の方から、これは問題ではないかということで御指摘がありましたので、四人の皆さんに、ちょっと細かい話かもしれませんが、法律の二十五条と二十六条のところなんです。

 二十五条、二十六条というのは、いわゆる名簿屋が個人情報を第三者に提供する場合に、八十三条で罰則というのを初めて設けて、これは画期的なこと、いいことだと思うんですが、実はその前段で、第三者に個人情報を提供する場合の義務が二十五条、それから提供を受ける場合の義務が二十六条なんです。

 ここで、そもそも最初の年末の骨子案では、個人データベース等という表現であったと。これはいわゆる名簿ですよね。個人データがたくさん集まった名簿を第三者に渡すときは、いろいろ、記録を作成しなさいとか、そういったことが決まっている。

 ところが、どうも法制局の議論などによって、これが、個人データベース等ではなくて、個人データという表現に変わったと。こうすると、名簿全体ではなくて、一個一個の個人データを提供する際に、一々、年月日とか氏名とか名称とかの記録を作成する必要があるというふうに読めてしまう

 これは具体的にどういうことかというと、例えば、長田さんが事務局次長を務めておられる地婦連の名簿があるとして、その名簿を、では誰かに、もちろん本人同意をとった上で、一人の人の住所とか連絡先を電話で伝える、口頭で伝えた、それだけでもこの義務がかかって、氏名、年月日の記録を作成したり。あるいは、実は、ちょっと細かい話ですけれども、二十五条でいくと、最後に、「年月日、当該第三者の氏名又は名称その他の」個人情報規則で定める、「その他の」と書いていますけれども、二十六条の提供を受ける方は、この委員会規則の縛りがないように読めてしまうという問題点がございます。

 今、長田さんはうんうんとうなずいていただいていますし寺田さんもきょうの資料の中で二十五条については言及されておりますので、まずお二人に、この点は問題ではないのか。問題だとお二人は御指摘しているんですけれどもどういうふうにそれを改善する方法があるのかということをお聞きし、さらに、坂本弁護士と宇賀教授には、法律の専門家でございますので、これは法的に、法律が授権、委員会規則などでこれを手当てできるのかどうかといったことを順番にお聞きしたいと思います。


○長田参考人 ありがとうございます。

 法律の専門家でないので、この文言をどう変えれば私どもが心配している部分が排除されるのかというのを的確にお答えすることはできないのですが、少なくとも個人データとなったことによって私どもでも、会長の自宅も名簿としていただいておりますけれども、ほかの県の会長から、何々会長の住所や電話を教えてと言ってくることもありまして、お教えするときの記録をとらなければいけないということはそこの条文を読めば、その義務が課せられるんだなということはわかりましたのでそのことの、記録をとることの意味がどこにあるのかというのがちょっとよくわからない状況であります。

 本来の目的としている、先ほども申し上げました、悪質な名簿屋さんにも二タイプあると思っていまして、アダルトグッズをお買い物した人たち名簿みたいなものと、それから先ほどお話が出ましたカモリストのようなものの名簿屋対策に有効なトレーサビリティーの記録ができるというのがいいのではないかというふうに考えています。


○寺田参考人 この問題は、最終的には実効的なトレーサビリティーをどう確保するのか、極端な話をすれば、氏名とか住所、そういったものではなくて、ちゃんとそこに到達することができる、そういった代替するようなものというのが明確に見つかってトレーサビリティーを確保できれば、本来は足りる話だと思います。そういった一定の読みかえとか、実効的な部分でどこまでそういったところの実態に即せるのかというのが、これからの議論の部分になってくるんだろうとは思います。

 その一方で、御指摘いただきました二十六条のところ、受け入れ側のところは、明確に氏名であったりとか住所、こういったものが必須と。これは、現時点で名簿屋、紙ベースのものに関しては多分実効的であろうかと思うんですが、ネット上でいくと余り実効的ではない。特に、現在のネット上のサービスというのは、国内外問わず、データベースがそれぞれ利用規約にのっとってつながっていくような形になっています。こういった中で、海外の企業に対してそもそもこういったことをお願いすることが本当に現実的に可能なのかどうなのかということも含めて、やはりここは、もう少しぜひ詰めていただきたい。

 もちろん、この規定の中でそういったものにも対応可能であるという方法があるのであれば大丈夫だとは思いますけれども、現在、我々が対応しようと直観的に考えてやっている部分でいくと、ちょっと難しいのではないかというのが正直な感想です。


○坂本参考人 先生御指摘のとおり、個人データを第三者に提供した場合には記録義務、もらうときは確認義務が課されていますので、一件だけでも個人データに該当してしまうのですよね。ただし、悪質な業者を取り締まろうとすると、個人データにしておかないと、では、一件幾らでばら売りしたら規制はかからないということを考えてばら売りする業者が出てきたりすると、これはこれでまた問題ですので、そこは悩ましいところなのです。

 だから、そういう意味で、個人情報保護法の中に名簿業者を規制するための規制を入れるというのはそもそも難しくて、委員会規則の定め方でも、一般人に負担にならないようにそこを緩やかにしてしまうと、悪質な名簿業者がそれを利用して、そこをついて商売をしますよね。

 だから、やはりそこは限界があるのは、個人情報保護法の中に名簿業者規制を入れる限界だと思いますので、そこはあとは運用で、運用にも限界があると思うんですけれども、早急に実態調査をして、名簿屋規制を実効性のあるものを策定するというほかないのではないかというふうに思います。


○宇賀参考人 ここで個人データとなっているということは、個人データは個人情報データベース等を構成する個人情報でございますので、個人情報データベース等としたときに、脱法行為が懸念される。恐らく、このような個人情報データベース等とした場合には、その中のものを幾つか取り出して、その部分ですよということで、脱法的な行為が行われることを懸念して個人データということになったと思われます。非常に深刻な名簿屋の問題に対してトレーサビリティーを確保するという観点から、そのような脱法行為を許さないという観点からこういう規定になったというふうに理解しております。

 ただ、やはり私も、本来は名簿業者の実態を調査して、業として規制をする。なかなかその限界を明確に定めるというところが難しいかもしれませんけれども、早急に名簿屋の実態を調査して、業としての規制を導入することによって、この問題について解決していくということが望ましいと考えております。


○高井委員 ありがとうございます。

 法律の専門家のお二人は、やはりこの法律で規律することが難しい、別の業法なりをつくるというお考えで、私も、まさに法律の専門家がおっしゃった、脱法行為を防ぐ、恐らく法制局でもそういう議論になって入れたんだろうと思われます。

 しかし一方で、実は八十三条の罰則は、個人情報データベース等なんですね。ですから、罰則では名簿全体でかけていて、なぜここで一件一件なんだというところは相変わらず疑問があります。また、仮に脱法を防ぐんだということだとしても、脱法を防ぐという非常に限定的な理由のために、ありとあらゆる、もう本当に、八百屋さんとか一人事業主さんが例えば私の名刺をもらって、私の同意を得て、この人がこの間来たよみたいに渡しただけで記録を残さなきゃいけないのかということは、やはりちょっとおかしいんじゃないかなと思います。

 これは、今後また内閣委員会で質疑がございますので、しっかり詰めて、政省令で手当てできることなのかどうかということも含めて議論をさせていただきたいと思います。


(略)


 質問を終わります。


○井上委員長 次に、輿水恵一君。


○輿水委員 公明党の輿水恵一でございます。

 本日は、多岐にわたる貴重な御意見、まことにありがとうございます。


(略)


 そこで、皆様に確認をさせていただきたいんですけれども、今回の改正によりトレーサビリティーの確保が求められている、この改正についての見解をまずお一人お一人お聞かせ願えますでしょうか


○宇賀参考人 私は、今回の改正でトレーサビリティーの確保のためにこういう規定が設けられたということは、一般論として評価しております。

 先ほど、保有個人データの求めの対象にデータの入手元が入っていないということで、これは、諸外国の例では、こうしたものも入れている例がございます。

 どこからデータを入手したかということがわかりませんと、実は現在、個人情報の保護に関する法律で利用停止等の求めができることになっているわけですけれども、これは、不正な取得が行われたときとか、それから、目的外の利用が目的の正義に反して行われたときとか、あるいは、本来第三者に提供できないのに行われているという場合、こうした場合に限定して利用停止等の求めができることになっているんですけれども、この点のトレーサビリティーがそもそも確保されていませんと、不正な取得なのか、それから第三者への提供が適法に行われたかどうかということを確認できませんので、利用停止等の求めの規定が形骸化してしまうということになるわけです。

 ただ、委託元をこうした形で出すということについては、それが営業秘密に当たるのではないかというような御意見もございまして、ここは、そこを重視するか、あるいは個人情報の保護の方を重視するかという価値判断の問題が絡んでくるわけですけれども、そういうこともあって、今回、そこまでは踏み込まずに、しかし、そうしたデータの入手元についての記録等の作成を義務づけ、その保存を義務づけるということになりました。

 それから、特に、不正な取得だということを知りながら取得すると、これも不正な取得になるんですけれども、しかし、これまでの名簿屋の実態では、そもそも、どういう経緯で入手したかということが、怪しいと思っても聞かない、だから、不正な取得とはわからなかったということで全く規制を逃れてしまう。そこを是正するという意味で、そこの確認を求めるということは非常によいことではないかと考えております。


○長田参考人 トレーサビリティーの確保というのは重要だと思っています。

 ただ、その確保すべきものというのが何なのかをもう少し整理すべきで、脱法行為を防ぐために個人データとなったというその考え方はわかるのですけれども、そのことによって起こる、記録したりしなきゃいけない人たちが余りにも、非常に範囲が大きくなるということについては、先ほどから御指摘もございましたけれども、また別の枠組みでの規制とともに、あわせることによって何とか有効な、本当にトレーサビリティーを確保しなきゃいけない部分について確保させ、そして不必要であるところについてはそれが除外されるという工夫をぜひ法律の専門家の先生方にお考えいただきたいというふうに思っています。


○寺田参考人 トレーサビリティーにつきましては、非常に必要であるという部分と、もろ刃のやいばとなる部分があります。

 現在、問題を起こした場合、そういったものを発見するためにはトレーサビリティーがしっかりできていないとだめだということがありますので、ここに関して言えば、技術がどんどん進化していきますので、そういったものに合わせて柔軟に対応できるような形でのトレーサビリティー確保の方法というのはしっかり明記していく必要があるとは思います。

 その一方で、トレーサビリティーが明確になっていく、しっかりできるようになっていくということは、個人情報をどこまでも追いかけていくことができるという別の問題も発生いたします

 ですので、このあたりというのは、単純にトレーサビリティーをしっかりと確保しましょうではなくて、それによるマイナス部分というのもしっかり念頭に入れながら検討していく必要があるだろうというふうに思っています。


○坂本参考人 トレーサビリティーの確保に関する規定が個人情報保護法に入ったことによって、今回の漏えい事件のような、あれにかかわった名簿屋あるいは最後のエンドユーザーになった大手企業に対する一定の規律はできたと考えてはいるのです。

 ただ、翻って考えますと、現行の個人情報保護法の中にも適正に取得しなければならないという規定は既にありまして、その適正に取得するという中には、不正なものを取得しない、不正なものを不正に入手されたと知って取得しない、さらに言うと、これはどうやって入手してきたんですかというのを確認する。あんな、子供の生年月日とか住所、名前が入った大量のデータを、普通に考えれば、違法じゃないの、こういうことは気づけよというような規定は入っているのです。

 そういう意味では、ベネッセから盗み出した従業員の人、それから間の名簿屋さん、最後のエンドユーザーになった大手企業、名簿屋さんたちと最後のエンドユーザーの大手企業の人たちがきちっと現行の個人情報保護法、適正取得の規制を守っていれば起こらなかったはずなのです。

 なので、今回、個人情報保護法の中にトレーサビリティーに関する規定を追加したとしても、間の名簿屋さんとかエンドユーザーになったところできちっと確認をしなければ、やはり事件は起こるときは起こるのではないか。そういう意味では、やはり名簿屋に特化した規制が必要じゃないか、こう思うのであります。


○輿水委員 どうもありがとうございました。

 全体としては、トレーサビリティー、かつてからそういったことはやって当たり前だ、しかし、記録をしていくということによってそれがより明確になるという部分ではある程度の歯どめもきいてくる上で、やはり、本当に必要なものは何か、そういった視点も持ちながら適切に進めていく必要がある、そういうふうに理解をさせていただいたんです。

 ここで、名簿屋の対策について、一方で、今回の改正で、大量の個人情報を取り扱う名簿屋の対策というよりも、個人情報の規模が五千以下の小さい事業者も含めたトレーサビリティーの確保が求められる、そういった状況でございます。トレーサビリティー確保のための負担については、先ほども若干触れていましたけれども、特に小規模事業者あるいは地域の皆様にとっては大変配慮が必要なのかなというふうに感じるわけでございますが、そこで、まず、事業者の立場からの意見を寺田参考人に伺いたいと思います。

 先ほど来ありましたとおり、二十五条、二十六条の問題なんですけれども、第三者提供のときの記録、保管義務の事業者への負担について、今の法案をそのまま読みますと、個人データを提供するとき、つまり、個人情報を一つでも提供すれば記録が義務づけられるということになるわけでございます。この点について、これはどうなのかという、事業者の立場での見解をちょっとお聞かせ願えますでしょうか


○寺田参考人 ここは範囲の問題というのが出てくるんですが、例えば、SNSとかブログとか、こういったものに関しても、それは第三者提供に当たりますというくくりになってしまいますと、個人のデータって一日にどれぐらい出ていますでしょうか。それに対して、小企業のところでも、例えば、いわゆるキュレーションといいまして、情報をいろいろなところから集めて一つのコンテンツにつくっていくような、こういった場合のときは、一体、一日に幾つ見て、その中でいいものを持っていくわけですけれども、見ただけで第三者提供になってしまうわけですから、見るごとに全部書いていくって現実的に可能ですかと聞かれると、不可能としか言いようがなくなってしまいます。

 厳密にこれを運用してくださいと言われますと、今やっているビジネスの相当多くがそんなことに対応できませんという答えになってしまう、それが現実的な回答になってしまうと思います。

 ですので、ここはやはり、もう少し深く考えていただきたいなというところはあります。


○輿水委員 どうもありがとうございます。

 まさに、昨年の十二月の骨子案の中では、個人データではなくて、個人情報データベース等、そういうある程度の固まり、そういった中での処理ということで考えられていたんですけれども、まさに、管理監督あるいは記録、保存をする上でも、どちらかというとやはり固まりという形でないと現実的に不可能な問題であるのかなということは、確かにおっしゃるとおりだと思います

 そういった中で、今、SNS関係で、ちょっとしたデータを提供して、見る、それでもこれに値する可能性がある、そういった御指摘の中で、こういった問題については、ちょっと丁寧に対策を打っていかないと混乱をする、そういったことを認識させていただきました。

 ここで一点、もし、寺田参考人、御存じであれば事業者として教えていただきたいんですけれども、このようなトレーサビリティーの義務というものが諸外国ではあるのかないのか、また、どのようになっているのかについて、お聞かせ願えますでしょうか。


○寺田参考人 私の方では、そういった明確な義務がある国というのは存じ上げておりません。

 全てのものを見ているわけではありませんが、確認をしなさいとか、そういったところまでは義務化されているところはあるんですが、それを記録しなさいというところまでの義務というのは、恐らく、多分、今回、日本が先進国では初めての規定になるのではないかと思いますし、現実的に、海外でこれを記録しなさいという形になっていないのは、データ量が多くなり過ぎて無理だからというのがある意味明らかというところがありますので、そこまでは求めていない、そういう判断なんだろうというふうに思っています。


○輿水委員 ありがとうございます。まさに、これをやり出したら日本だけが苦労してしまうみたいな、そういったことも予測されるということがわかりました

 次に、同じ課題で、このトレーサビリティー確保のための記録、保管義務について、消費者団体として御意見をお聞かせ願えますでしょうか。


○長田参考人 何度か申し上げていますけれども、この義務がもしかかることになれば、本当に、全て、非常に幅広い人たちに義務がかかるということになります。

 先ほど、マイナンバーの周知ができていないという話が出ていましたけれども、それと同じように、義務がかかったことを知らない、任意の団体も含め、小さい規模の会社、いろいろな人たちも出てくると思いますので、非常に混乱はするだろうというふうに考えておりますし、日々の業務への影響はあるだろうと。

 何が必要で何が不要なのかというところをぜひ整理していただければいいと思いますし、先ほどお話も出ていました、八十三条の方の提供罪というんですか、それが個人情報データベース等となっているのであれば、そこにそろえるということも一つの案ではないかというふうに思っています。


○輿水委員 どうもありがとうございます。

 まさにそういった一つ一つ丁寧な対応が必要なのと、坂本先生がおっしゃられた、本来は不正なデータを活用して何かをするということはあり得ないわけで、記録とか保存されているからとかないとかではなくて、きちっと適切に運用される、そういったことも大事なのかなと。そういった中で、規制というものをどこにどういう形ではめ込みながら一番いい状態でその運用をしていくのか、そういったことは今後もしっかり検討課題として受けとめさせていただきたいと思います。

 次に、似たような御指摘をいただいて、私もはっとしたことがあるんですけれども、先ほどの寺田参考人の資料の七ページ、「匿名加工情報について」ということで、ここで、法案上は復元できないという表現があると。確かに、これをそのまま読んでしまうと、簡単に復元できないということにこだわり過ぎると、どこまでもこの取り組みというか、その重みが増してくるその辺のあんばいというか、その辺をどのような形で今後捉えながら整理をする必要があるかということなんですけれども、宇賀参考人と坂本参考人にも、この件についての見解についてお聞かせ願えますでしょうか。


○宇賀参考人 私、かつて、内閣府の統計委員会の委員をしておりましたときに、匿名データ部会に所属しておりました。

 統計法では、匿名データを作成する場合に統計委員会の意見を聞くということが義務づけられておりまして、そのときに、匿名データをつくるときに、一方で、個人が識別されないようにするという必要がございます。他方で、余りにもそのためにさまざまなデータを削除していきますと、今度はそれが統計情報として役に立たないという問題が出てくるわけです。

 そこで、その部会では、統計学者の方々の御意見を聞きながら、ここまでやらないと危ないしかし、逆にここまでやってしまうともう統計上のデータとして研究に役立たない、そういったことを両方をバランスをとりながら、ではどの程度どういうやり方で匿名データを作成しているかということをそこで判断してきました。

 同じ問題がこの匿名加工情報にもあるというふうに思っておりますので一方で社会通念から見て復元できないような形に持っていく必要がありますけれども逆に匿名加工情報としての利用価値ということも考慮に入れて、適切なバランスをとっていくということが必要かと思います。


○坂本参考人 今、宇賀先生もおっしゃられたとおりなんですけれども、何でもかんでも消してしまえばいいかというと、そうでもないんですね。その必要もないし、それでは役に立たなくなる。

 しかも、匿名加工情報というのは個人情報の中から識別できるようなものを取り除くという作業なのできょう私が配付しているレジュメの私の名前をマジックで消したら、匿名加工情報をつくったのではないかこれは技術基準に適合しているのではないか適合していないのではないかこんなばかげたことを心配しなくていいように、きちっと適切に個人情報保護委員会なり何なりで明確に定めてほしいというふうに思います。


○輿水委員 どうもありがとうございました。


(略)


 以上で質問を終わらせていただきます。


平成27年5月15日

衆議院内閣委員会第6号


○高木(美)委員 おはようございます。公明党の高木美智代でございます。


(略)


 この名簿屋対策の一環として盛り込まれたトレーサビリティー確保のための記録作成義務について確認をしたいと思います。

 これまでの委員会における質疑におきまして、事業者にとって不必要に重い負担がかかるのではないかという問題意識が共有されております。

 参考人からは、負担を回避するためには、対象を個人情報データベース等とすべきではないかという御意見もいただいております本人同意があっても記録をとる、保存することとされていますが、それに伴う過度な負担が懸念されるところです。そのような対応を求めているのはほかの国にあるかと質問したところ、どうも日本だけではないかという参考人の答えもありました。

 事業者の不安を取り除くためにどのような対応をされるのか、その点についてまず伺いたいと思いますが、ずっと個人情報データベース等にするのか個人データにするのかというさまざまな議論もあり、この際、丁寧に向井審議官から説明をお願いしたいと思います。


○向井政府参考人 お答えいたします。

 記録作成等の義務の対象を個人情報データベース等でなく個人データとしておりますのは、現在のインターネット社会におきましては、漏えいした個人情報が瞬時に広範囲に拡散してしまうおそれも高く、たとえ一人分の個人データであっても保護する必要があるということで、現行法も、基本的に保護対象を個人データとしております

 また、個人情報データベース等に該当しないような形にして不正に流出させる脱法行為を防止し、トレーサビリティーを確保する必要もあると思います。

 一方で、個人情報データベース等に仮にしたとしても、事業者の負担が、個人データとすることと比べてそれほど変わらないのではないかというふうに考えられることもございます。

 一方で、先生御指摘のとおり、日常的に大量の個人データの第三者提供を行う事業者、あるいは、提供先や提供の年月日に関する記録を特別に作成しなければならないとした場合の負担に対する配慮については十分認識しているところでございます。

 例えば、記録事項について、関連会社に対して同一の事案について複数回にわたって個人情報を送付したり、同一の会社との間で反復継続して個人情報を提供したりするような場合には、一定の期間内に特定の事業者との間でどのような個人データを移転させたかを包括的に記載されるものとし、個々のやりとりに関する詳細な記録までは求めないとすることや記録の作成方法について、記録すべき事項が、ログやIPアドレス等、一定の情報を分析したり、複数の情報を照合したりすることによって明らかになる場合には、その状態を保存しておけば足りることとすることを含めまして、事業者の意見も丁寧に聴取しながら検討させていただきたいと考えております。


○高木(美)委員 向井審議官、今おっしゃった個々の細かい記録は求めないというお話ですが、それはどういう場合に該当するのか、もう少し詳しくお願いできますか。


○向井政府参考人 お答えいたします。

 一定の個人情報を同一社との間で複数回行うような場合に、一度一度それぞれの情報を記録するのではなくて、いつからいつまでの間に何回ぐらいこういう情報をやりとりしたというふうな記録で間に合うということでございます。


○高木(美)委員 わかりました。

 では、もう一つちょっと問題提起、関連します。今度は、第三者提供をする側についての疑念について確認したいと思います。

 たしか寺田参考人とのやりとりの中でも、例えば、SNSやフェイスブックなど、第三者提供をした場合、本人同意があるにもかかわらず記録を残さなければならないのか、果たしてそれが必要なのか、こうした問題提起もありました。

 参考人のお一人と、終了後、懇談した際には、規則を定める際に除外規定を設けて、そういう個々の細かいことについては、特段の権利侵害に当たらない場合は除くということを規則に盛り込んでいただくことも対応としてあり得るのではないかという示唆をいただいたところです。

 具体的な対応をどのようにされるのか、今度は提供する側についても答弁を求めます


○向井政府参考人 御指摘の場合、例えば本人がフェイスブック等にアップする場合に、基本的に大体そのまま載るようになってございますので、そういう、載るものを本人が全てコントロールできるようなものについては、そもそも提供に当たるのかという問題もあろうかと思います

 実際に、そのような場合に、例えば本人、あるいはフェイスブック等の、そういうSNSを運用している会社に全てそれを義務づけるのはやや無理があると考えられますので、それらにつきましては基本的に必要のない方向で検討してまいりたいと思っております。


○高木(美)委員 わかりました。ありがとうございます。

 最後に、大臣に伺います。


(略)


 以上で終わります。


○井上委員長 次に、泉健太君。


○泉委員 民主党の泉健太でございます。


(略)


 さて、続いて、いわゆる名簿屋対策であります。

 この名簿屋の問題については、この委員会でも再三取り上げられました。やはり難しいですね。誰しも名簿を持っております。我々も名簿を持っておりますし、誰しも名簿を持っている時代、不法に取得をした名簿を売買する、あるいは不法に統合した名簿を売買する、そういった悪徳業者というものもあるでしょうし、一般的には顧客名簿を当然抱えている普通の事業者がおりますので、そういったところ、普通の事業者については過度な負担が求められるようなことがあってはならないということで、一つ一つ配慮をこれからしていただかなければいけない、それがまず基本的にあると思います。

 そこでなんですけれども、参考人質疑でも、やはり何とかしてこの名簿屋対策はしていただきたいという御意見が数多く出されました。そういった意味では、いろいろと、法律の中でどう仕組みをつくっていくのかというのはありますが、例えば古物商なんかは、別法で古物商として法律がかかっていますねという話。要は、流通するものが名簿なのか、それとも古物なのかという違いなんだから、そういったこともうまく使って名簿屋対策を、切り出しができるんじゃないかという御意見もございました。

 そういう中で、この名簿屋対策について、まず、基本的に大臣がどのようにお考えになられているかをお聞かせください。


○山口国務大臣 いわゆる名簿屋対策でありますが、御指摘のとおり、大変大きな問題でございまして、国民の皆さん方の関心も非常に高い。

 今回、個人情報保護法の改正で、御案内のとおり、トレーサビリティーの確保等のさまざまな規定も設けることにしております。これによって、やはり、いわゆるそういう名簿事業者に対して、相当なある意味での対応にもなってくるのではなかろうか。そういった中で、名簿事業者の皆さん方がどういうふうなことになっていくんだろうかというふうなことも、しっかり注視をしていかなくてはいけないんだろうと思っております。

 これは確かに、お話しのとおり、一般論としては、特定の事業を行う事業者に対して、特別の法令等を設けていわゆる業規制を行う、これは可能であろうかと思います。ただ、もうこれも御存じのとおりで、多くの事業者が何らかの形で名簿を取り扱っておるというふうなことが考えられるわけで、しかも、その量も全く違ってくるんだろう、この範囲の切り出しというのが非常に難しいなと。適切な事業を行っておる方にまで過度な規制がかかってしまうというふうな問題もあろうかと思います。

 今、実は、政府部内においても、関係省庁と相談をしながら、関係省庁連絡会というふうな中でさまざまに検討しておるわけでございますが、どうか議会の方としても、ある意味、これは議員立法というふうなことも視野に置きながら御検討賜ればと思う次第でございます。


○泉委員 大臣から御示唆もいただいたところでありますけれども、議員立法を促す御発言もございましたので、田村筆頭そして高木筆頭とよくよく話をして、我々も前向きに対処してまいりたいというふうに思います。

 まさに今、その業規制、確かに、例えば普通の企業でも、派遣労働者が随分とふえるようになってからは、各企業ごとに派遣会社を持つケースだとかも出てくる。そういう意味では、新しく各企業に広く法律がかかってくるということもあったりするわけでありまして、そういった意味では、私は全く不可能ではないんだろうなと。

 こういった古物商を例にとりながら、業として、反復性ですとか継続性ですとか、当然一定の要件はあると思いますけれども、一般的な名簿の流通とはまた違う、一定の規模で行うものについては、やはり業として行うものということのくくりが何らかできるのではないのかなと思っておりますので、ぜひ、まずここは議員立法かもしれませんが、その連絡会の議論の進捗も教えていただきながら、いい形をつくっていきたいというふうに思います。

 一方で、どんどんこの個人情報の法案の審議、そして、今後法案ができ上がってくれば、当然ながらさまざま細かな点も決まっていくわけですので、やはり私は、今、連絡会もあるということですが、この名簿屋の実態調査、これはぜひ行っていただきたいというふうに思います。

 そしてまた、実態調査をしていただけるということであれば、その上での、どんなポイントについて調査を行うのかということについても、この場で御説明いただきたいと思いますが、いかがでしょうか。


○山口国務大臣 これは今回の改正法もあるわけでありますけれども、その状況も見ながらというふうなことになろうかと思いますが、御指摘の実態調査、この実施につきましては、名簿や名簿事業者の具体的な対象範囲とその実態の把握方法、これも含めて、今回の措置の実施による効果、これも踏まえながら、今後、先ほど申し上げましたいろいろな機会の中で検討を進めてまいりたいし、その中でまた、今申し上げたどういうふうな形で実態調査をやっていくかということも検討を進めていきたいと思います。


○泉委員 これは、かつて私も、探偵業法という法律を立法したことがあります。自民党は葉梨先生と一緒にさせていただきましたけれども、これも、考えてみると、探偵、中にはよからぬ方法で身辺調査をしている人たちもたくさんいる中で、業法をつくるということはそれを一定認めるということにもなるじゃないかという議論が随分ありましたが、しかし、その探偵業法をつくることがやはりできたわけですね。

 そういった意味では、登録制みたいなことになるんだと思いますが、やはりこういうものは十分可能であろうというふうに思います。しかし、まずはこの実態調査、これをぜひお願いしたいというふうに思います。

 そして、もう一つ、これは名簿屋ということではないんですが、まさに先ほどお話をしたように、一般の事業者にトレーサビリティーの確保ということについての過度な負担があってはならない。特に小規模事業者においてはそれは大変重要な影響を及ぼすというふうに思います。

 そういった意味では、ぜひ法施行後に、事業者、特に小規模事業者への実態調査をしていただきたいというふうに思っておりますが、いかがお考えでしょうか。


○山口国務大臣 確かに御指摘のとおりなんだろうと思います。

 この規律の導入、これによりまして、事業者にとって、とりわけ小規模事業者に過度な負担になるというふうな懸念も示されております。具体的な記録の作成方法とか記載事項について定める個人情報保護委員会規則の策定に当たりましては、事業者の負担に最大限配慮をして、事業者の方々の御意見、これも丁寧に聴取をしながら検討することがぜひとも必要であろうと思っております。

 さらに、法施行後も、その実態について適宜ヒアリングを行う等、適切な運用のあり方を検討していくということは大変重要であろうと認識をしておりまして、その際には、特に御指摘の小規模な事業者にどのような影響が出ておるかという点についても丁寧に聴取をしてまいりたいと考えております。


○泉委員 ぜひ、名簿屋の実態調査、ヒアリング、そして一般事業者、特に小規模事業者へのヒアリングや実態調査、これをお願いしたいというふうに思います。


(略)


○井上委員長 次に、高井崇志君。


○高井委員 それでは、私からは、先日の参考人質疑で大変有益な貴重な提言がありましたので、それに関連しての基本的には大臣のお考えなり対処方針を御質問させていただきたいと思います。

 その前に、午前中の質疑で泉委員から、個人情報保護委員会の委員にIT技術に詳しい民間企業の出身者をぜひ強く要望したいという話がありましたけれども、私も同じ思いでございますので、加えて私からも強く要望させていただきたいと思います。

 それでは、先日の参考人質疑で、私の質疑に対していろいろお答えいただいた中で、最も時間も割いてお聞きをした、そして、きょうの午前中に高木委員それから泉委員からも同様の指摘があった問題で、名簿屋対策、条文でいうと二十五条、二十六条、それから罰則が八十三条というところがございます。

 ここが、大臣にもう一度、私からも御説明したいんですが、もともとは、大綱といいましょうかパーソナルデータ検討会の段階では、個人データベース等という定義は、要するに個人データの集積ですから、いわゆる名簿、たくさん集まった名簿を第三者に提供するときには記録をとりなさいとか、そういう義務があったしかし、法制局で恐らく議論があって、答弁の中にもありましたけれども、脱法的に一個一個を抜き出して第三者提供する場合であったって、それはやはり問題が生じるんじゃないかということで、もともと名簿だったものが、一個一個の個人データを一個提供するだけでも記録をとらなければならないという問題が生じるのは、これは規制が行き過ぎじゃないか、過剰規制じゃないかということを私は問いました。

 四人の参考人からは、それぞれ、長田参考人は、例えばこういうことを言っています。

 長田さんは地婦連という連合会の事務局次長ですけれども、例えば、いろいろな県の連合体ですから、県の会長の住所を教えてくださいという問い合わせが誰かからあったときに、その住所を教えただけで、例えば口頭であるいは電話で連絡先を教えただけで、それでも記録をとらなきゃいけない、誰に教えたのか、いつ教えたのかとか、そういった記録をとらなければならないというのは、これはちょっと行き過ぎじゃないか、よくわからない状況だというようなお答えがありました。

 あるいは、IT企業の寺田参考人からは、やはりこういったものが、ネット上のサービスというのが、海外の企業に対してそういったことが現実的に可能かどうか、そういったこともぜひ詰めてほしいという話がありました。

 それから、宇賀参考人と坂本参考人、お二人は法律の専門家でございますが、お二人からは、そもそも個人情報保護法の中で名簿業者を規制するというのは難しいんじゃないかと。ですから、しっかりとまずは実態調査をして、名簿屋規制そのもの、業として規制することを検討してほしい、そういうお答えがございました。

 この四人のお答えを聞いて、大臣としてどのようにお考えになり、そしてどのような対処をされるおつもりか、お聞かせください。


○山口国務大臣 私も、ざっとではありますが、参考人の皆さん方のお話の議事録も拝見しております。

 今、高井先生からお話がございました参考人の方々の御意見でありますが、トレーサビリティーの確保の必要性についてはそれぞれ御賛同いただいておるということだろうと思うんですが、その対象が、個人情報データベース等ではなくて、個人の個人データとしておるために事業者に過度な負担がかかるのではないかというふうな御懸念であろうと思うわけです。

 ただ、これはもう先生も御案内のとおりで、現在のインターネットの社会におきましては、漏えいした個人情報、これがもう瞬時に広範囲に拡散をしてしまう。そして、非常に取り返しのつかないようなことになってしまうというふうなことで、たとえ一人分の個人データであっても保護する必要があり、現行法も、基本的には保護対象を個人データというふうにしておるところでございます。

 いわゆる名簿屋等に関しましても、個人情報データベース等に該当しないような形にして、いわば小出しですよね、そういった格好で流出をさせるような脱法行為も防止をして、しっかりとトレーサビリティーを確保する必要があることから、適切な保護を図るために個人データというものを対象にする必要があろうと考えておるわけであります。

 また、これは事業者への過重な負担になるのではないかというふうな御懸念もごもっともでありますので、これは丁寧に対応していくということなんだろうと思います。例えば、具体的には、記録の作成が必要になる場合における具体的な記録の作成の方法とか記載事項につきましては、これは個人情報保護委員会の規則で定めるというふうなことにしておりますが、この規則の策定に当たりまして、事業者の負担にはもう最大限に配慮していって、事業者の意見もしっかり丁寧に聴取をしながら検討していく必要があるんだろうと思っております。


○高井委員 個人データにした法の趣旨というのは理解はできるんですが、しかし、法律を厳密に突き詰める余りに過剰な規制、過剰な負担になってはいけない。それは、事業者というと、皆さん、企業を思い浮かべるかも、中小企業とか零細企業が大変なのかなと思うかもしれませんけれども、これはもう、例えば町内会とか、あるいは一人の個人商店、八百屋さんとか、そういう人であったってやはり対象になるわけでございます。

 長田さんだって、連合会の中の名簿、連合会も対象になり、その名簿を誰かに一人だけでも教えただけで記録を残すということは、それはやはり幾ら何でも行き過ぎじゃないかということなので、政省令でそれを配慮するという大臣の御答弁は理解しますが、しかし、本当に具体的にそれはどうやって配慮できるのか、もうちょっと具体的にお聞きかせいただかないとちょっと不安な面が多いので、これは向井審議官で結構ですので、お答えください。


○向井政府参考人 お答えいたします。

 具体的な作成法、記録すべき事項等は、個人情報保護委員会規則で定めるということになってございます。

 これらについて定めるに当たりましては、当然、関係する事業者からの意見を踏まえて内容を精査する必要がございます。例えばでございますが、記録の作成方法につきましては、書面または電子データのいずれでもよいものとし、さらに、別途特別に紙ファイルやデータベースを作成しなくても、年月日、提供の相手方等の記録すべき事項がログやIPアドレス等の一定の情報を分析することによって明らかになる場合には、その状態を保存すれば足りること。あるいは記録事項につきましても、年月日の記録につきましては、一定の期間内に特定の事業者との間でどのような個人データの移転をさせていたかを包括的に記載されるものとしまして、個々のやりとりに関する詳細な記録までは求めないとすることなどが考えられます。

 なお、先生の御指摘の、電話で一個だけ情報を漏らした場合というのは、提供したその態様、目的等によって、ちょっとケース・バイ・ケースかなとは思いますけれども、典型的におっしゃったようなことにつきましては、そういうことがあるとかというふうな感じの記載でも可とするようなことも考えられるのではないかというふうに思いますので、定性的にそういうことを書くことも考えられますので、その辺につきましても、基本的には事業者からよくヒアリングして、困るというものの中で合理的なものについては、できるだけ耳を傾けて定めていくことが肝要であるというふうに思っております。


○高井委員 もう一度向井審議官にお聞きしたいんですけれども、確認なんですけれども、これはやはり、そういった悪質な名簿事業者のような方を取り締まるというか摘発するというか、防止するということが本意であって、今言った、長田参考人がおっしゃっているように、ある県の会長から地婦連の会長の連絡先を教えてくれと電話が来た、それに対して電話で答えたということの記録を残せというのは、それはそこまでは求めないそういう政省令を書くということでよろしいんですか


○向井政府参考人 それがいわゆる個人情報の第三者提供の範囲に当たり得る場合とない場合もあろうかとは思うんですが基本的には、そういう場合に記録を残すというふうなことまで求めることはないのではないかと。例えば今の事例ですと、地婦連の中で地連とのやりとりが一年に数回ありますということの記録があればいいのではないかというふうな感じがいたします。


○高井委員 なるほど。

 前段でおっしゃった、ログなんかでオンライン、ネット上はいいよというのは非常にありがたい、IT企業の皆さんなんかは、もうそれで安心して、喜んでいるわけですが、まさに長田さんのような個人のケースで、そこは本当に、一件一件報告を求めるなんというのはナンセンスだし年間何回あったかとかいうのも、一回だけ聞かれて一回だけ答えるというケースもあるんじゃないかと思うので私は非常に、ちょっと法律的にどうなのかな私だけじゃなくて、法律の専門家の方からもそういう指摘をいただいているんですけれども

 ここはぜひ、政省令でしっかりやるというふうにおっしゃっていただいて、大臣もちょっとよくここを、本当に大きな問題だと、この個人情報保護法をずっと検討してきたパーソナルデータ検討会の専門の委員であった法律学の専門家の方から何人か御指摘いただいている点で泉委員も、それから高木委員も心配して、何度も確認している点でございますので、ぜひここはしっかりと対応していただきたいと思います。

 それでは続いて、同じ参考人質疑の中で、寺田参考人から、マルチステークホルダープロセス、いろいろな方の意見を聞いて、しっかり政省令をつくってくださいという指摘の中で、私からの問いかけに対して、マルチステークホルダープロセスの自主規制ルールの枠組みの創設ということを提案されていたので、では、具体的にどんな枠組みだったり、どんな政府からのサポートが欲しいんですかという問いをしたところ、いろいろ答えられたんですけれども、まず一つは、やはりマルチステークホルダーで考えていく指針というものを、その上位に来る委員会規則の中にどんどん組み入れていく、そういうことをぜひやってほしいということ。

 それから、委員会が本来行うべきことの一部を、認定個人情報保護団体にもそういった一定の権限を持たせてほしいということ。

 あるいは、いろいろな課題が発生したときに、いきなりその企業、事業者に対して個人情報保護委員会が直接指導するのではなくて、認定個人情報保護団体というのをせっかくつくるわけですから、そこを介して対応する。これは、欧米なんかでもそういう仕組みがあるそうでして、逆にそういったことがないと、認定個人情報保護団体なんて誰もならないんじゃないか。今四十一あるのを、ふえていくと思うんですけれども、そういうインセンティブもないんじゃないかという話。

 あるいは、支援という点については、消費者団体の中で、こういうICTの知識にたけた方が少ないので、そういった方を育てていくような支援というものもぜひやってほしい。

 こういったことを言われたんですけれども、こういった点について、大臣のお考えや対処の方針をお聞かせください。


○山口国務大臣 その前に、先ほど御指摘いただいた、ある同じ会の会長さんの名前を教えたら、これは記録しなきゃいけないのかというお話は、若干、向井さんの答弁にも入っておったんですが、恐らく、個人情報の第三者提供には当たらないのではないか恐らく、公的な立場の方々のリストというのは、本人の同意のもとに結構出ていますから、そこら辺はそういった点でクリアできるのかなと思いますが、いずれにしても、個々対応とは申しませんが、しっかり丁寧にやっていく必要があろうかと思います。

 今の、指針を作成するインセンティブ、これに関しましては、今回の法案におきましては、


(略)


○高井委員 以上で終わります。ありがとうございました。


平成27年5月20日

衆議院内閣委員会第7号


○緒方委員 民主党、緒方林太郎でございます。


(略)


 では、質問を少しかえたいと思います。

 今回の個人情報保護法の中で、事業者さんにとって結構重い義務だなと思うものの中に、確認、記録義務がございます。これについては、個人データの第三者提供について、本人の同意があったとしても、それを出す側も受け取る側も、一定の義務が課せられるということになります。これは高井議員の方からも以前質問がありましたけれども、個人情報データベースではなくて、個人情報データであります

 個人情報データというのは、本当に個人それぞれの情報なわけですけれども、一個一個の個人データを本人の同意があるにもかかわらず第三者提供した場合にまで確認、記録義務があるということになりますと、例えば、よくインターネットで、何か新しいサービスを受けようとすると、あなたの電話番号と幾つかの情報をいただいて、こっちに転送しますみたいな、そういう表示が出て、それをぱっと押すと、その情報がそこを通じて別のところに共有されていくとかいうことがございます。

 これは別に、私からすると、この業者に自分の携帯番号が入ると仮定するときに、そういう番号が行くことは、まあいいだろう、そういうことというのはインターネット上で物すごく頻繁に行われていることだと思うんです、今いろいろなサービスが連携していますので。

 それで、一人の個人データを、そういう感じで、インターネットのシステム上、私が同意した上で第三者提供しているにもかかわらず、その記録を全部ログで残していくということになると、物すごい義務がかかっているようにも見えるわけでありますが、向井審議官、これはいかがでございますか。


○向井政府参考人 先生御指摘のとおり、ブログとか、あるいは自動的に転送されるようなサービスというのは多数ございまして、形態もさまざまであろうと思います。

 ただ、一般的なブログにつきましては、個人が書き込んだ情報の公開については、当該個人が書き込んだ内容を誰が閲覧できるかを、当該個人自身が公開範囲として指定していることから、公開範囲について事業者の裁量の余地はないというふうに考えられます。

 仮に、これを事業者が第三者に提供するものであると捉えますと、例えば、ブログに個人が友人等の写真とあわせて情報を書き込むような場合には、事業者は当該友人の同意を得ずに第三者に提供することとなり、違法状態が生ずることになるんですけれども、それは国内におきましてもそういうような整理がなされていない要するに第三者提供とは捉えられていないというふうなことだと思います。

 したがいまして、そういうふうな、本人が、例えばブログに出したものがほかのところにも自動的に出されるようなことを意識しておる場合には、それはむしろ、本人の提供というふうに捉えるべき場合もあるのではないかというふうに考えます。

 これらにつきまして、やはり、どういうふうな形態があるかについて、不必要な場合にまで第三者提供と捉えて解釈する必要はないのではないかということが一つあるのではないか

 一方では、第三者提供と捉えられる場合におきましても、そのような半分自動に近いような場合につきましては、包括的にこういうことが行われているというふうな書き方というのもあり得るのではないかというふうに思っておりまして、仮に第三者提供と捉えるべき場合におきましても、個人情報のトレースをする場合においてほとんど支障が生じない場合につきましては、できるだけ簡易な方法というのも考えられるのではないかというふうに考えております。

 これらにつきましては、いずれにしても、よく事業者に聞く必要があるのではないかと思っております。


○緒方委員 今の答弁を聞いて、恐らく事業者の方は、あるかもしれないとか、自動性が高いものについては第三者提供ではなくて本人提供だ、そうみなすこともできるのではないかとかいう御答弁でありましたけれども、結構、今の答弁では、自分たちのサービスは大丈夫かという不安を持たれた方が多いと思います。

 ここを払拭していくのは、最終的には法律が通った後のさまざまな協議の中でやっていくわけでありますが今の答弁ですと、自分たちはどうなるんだろうということについてよくわからなかったという方が多いだろうということだけ指摘をさせていただいて、あとは頑張ってくださいということを申し上げたいと思います。

 質問を移したいと思います。

 これはもう何度も話が出ていますが、個人情報取扱事業者について、いわゆる五千要件の廃止が行われるということで、ただ、それに対して附則のところで配慮規定を定めているということなんですが、よくわからないのは、例えば、二十件だけ顧客名簿を持っている八百屋のおばちゃんとかが、そのうちの一人の分を隣の魚屋さんに、このお客さんはお魚が欲しそうだったから、この人に連絡してみるといいよということで渡したら、これはいろいろ配慮とかなんとかがあるんですけれども、これ自体は義務違反を構成しているということですか、向井さん。


○向井政府参考人 お答えいたします。

 御指摘の件につきましては、どういう同意をとっているかとかそういうものもあろうかと思いますが、その義務違反に当たる可能性もあるのではないかと考えます。


○緒方委員 そうなんですね。

 すごい限界事例を今私が言っていることはよくよくわかっているわけでありますが、五千件を下回る業者さんも入ってくるということで、本当に軽微なもの、社会通念上どう見てもこれはさすがに何か問題が生じるということはないだろうということも、法律の法文上においてはこれが義務違反を構成する。義務違反を構成しているというその事実自体は動かないわけであります。

 これに対して配慮をするということが定められてありますが、この配慮というのは、義務違反をしているんだけれども目をこぼすよということなのかそれとも、何かそれ以外のことなのか。配慮というのが、五千件を下回る業者さんからすると、自分は義務違反を構成しているんだけれども何をしてくれるんだろうか、お目こぼししてくれるのか、法律違反じゃないようにしてくれるのか、何なのかということが非常に疑問になるわけでありますが、向井審議官、どうでしょう。


○向井政府参考人 お答えいたします。

 一般的に、小規模の事業者に配慮するという場合によくあり得るのは、多分、安全管理措置義務だと思います。これらにつきましては、大企業とは情報量も違いますし、実際の事業も違いますので、そういう小規模の事業者の実際の利用形態に応じた運用という形で緩和されるというふうなイメージかと思います。

 一方で、例えば、同意を得ないで情報を出すというのは、やはりそこのところはちょっとさすがに、先生のおっしゃる、違反になるものをお目こぼしする、そういうふうなことはガイドラインでは書けないだろうと。ただ一方で、仮にそういうことがあったとして、仮にそういうことが公になったとして、そういうときに委員会が指導する際には、やはり丁寧な指導をするといいますか、その小規模事業者がちゃんと個人情報保護法に沿った運用ができるような指導をしていくというふうなことになろうかと思います。


○緒方委員 結局、この結果として何が生じるかというと、少し法律に詳しい方でも、これまでは五千件以上のデータベースを持っておられる方が対象だったけれども、これからはそういうのがなくなっちゃったから我々もこの個人情報保護法にひっかかるのよねというふうに思い、そして、その方々が、いや、だからもううちの顧客名簿からは何も教えられないのということになって、それがさらに曲解をされ、その結果として、何となく息苦しい世の中と呼んでいいかどうかわかりませんけれども、それに輪をかけてしまうんじゃないかということがございます。

 今、限界事例ではありましたけれども、五千件未満のところでいろいろな業者さんがおられて、そこに過剰反応が生じないように、くれぐれもこれからよろしくお願いをいたします。


(略)


○井上委員長 次に、高井崇志君。


○高井委員 きょうがいよいよもう最後の質疑ということで、私は、この個人情報保護法については、法案審議で四回質問に立たせていただきました。あと、その前の一般質疑、それから予算委員会ではほかに三回、計七回、山口大臣にはかなり細かいことまでお聞きをいたしまして、きょうが最後でございますので、締めくくりでお聞きをしたいと思います。

 まず最初に、先週、五月十五日の私の質問に対して、山口大臣から、二十五条、第三者提供の記録義務のところでありますけれども、本人同意のある場合は二十五条の規定の対象外じゃないかというように受け取れる趣旨の御答弁があったと思うんですけれども、ちょっと、それはその発言の趣旨のとおりでいいのかどうか、もう一度確認させてください。


○山口国務大臣 御指摘いただきました答弁については、時間の関係でかなりはしょってお話を申し上げたので、若干、趣旨がわかりにくかったのではないかなと思います。

 公的な立場にある方々のリストの中から名前等を第三者に提供するときの記録の作成義務に関する考え方を申し上げたものでございまして、若干お話をさせていただきますと、まず、御指摘の本人同意の場合は記録作成義務の対象外というふうなことについては、公的な立場の方々の名簿は市販をされていることがあります。しかし、これらの取り扱いについては、今回の法律におきまして、市販の名簿等、これは本人の同意などがある上に、利用方法から見て個人の権利利益を害するおそれが少ないというふうなことから、個人情報データベース等の定義から除外をするというふうにしておりますので、そもそも法規制の対象から除外をされるというふうな考え方を申し上げたものでございます。

 さらに、先日の答弁でありますが、公的な立場の方々の名簿であっても市販されていない場合の取り扱いにつきましては、個人情報データベース等から除外をされずに、記録の作成義務の対象となる場合がございます。そのために、事業者への負担に関する懸念も踏まえまして、規則の策定に当たっては、事業者の御意見というのも丁寧に聴取をさせていただきながら対応することが必要であろうというふうなことで申し上げたわけでございます。


○高井委員 私の質問も、長田さんという参考人、地域婦人連合会の事務局次長さんで、その長田さんの通称地婦連と呼んでいるところに、誰かから会長の名前あるいは住所を教えてくださいと言われたときにどうなるのかという例で、ちょっとわかりにくくしてしまったので、もっと単純化して。

 午前中に緒方委員も同じような質問をしましたけれども、私も思っているのは、八百屋さん、一人でやっている八百屋さんが、顧客名簿というほどのものでもないでしょう、自分の携帯電話の中にお客さんの名前が何人か入っていてそれで、隣の魚屋さんが、あれ、いつも買いに来ているのは高井さんですよね、私も高井さんをよく知っているんですよだけれども連絡先を知らないので、あなたは連絡先を知っているかと言われて、ああ、知っておる、知っておると。ここでいきなり教えてしまうと、本人同意をとっていませんから、私に確認するなり、あるいは私が八百屋に行ったときに、高井さん、隣の魚屋さんが連絡先を教えてほしいと言っているんだけれども教えていいかな、いいですよと同意するわけです

 同意した、それで教える、よくあることというか、何の問題もないと思いますがしかし、この二十五条を法文上解釈すると、一件教えただけでも記録を残さなければならないというふうに読めるんですが、そういうケースについてはできるだけ政省令で緩和しましょうと向井審議官は答弁していただいていますが本当にそれはどうやって、どういう政省令で今言ったようなケースが除かれるのか、何度も聞いていますけれども、もう一度明確にお答えください


○向井政府参考人 お答えいたします。

 高井先生とのやりとりの間にもいろいろ考えたりいたしますがやり方は何通りかあるのかなと思います。

 今おっしゃられた例の場合、例えば本人から八百屋さんが委託を受けて教えたというふうにもとれますので、そういう解釈で、そもそも第三者提供でないというふうな言い方もできるのかなと。

 そうでなくて、例えば八百屋さんがもしそうなったら教えますよというのを事前に本当にとっていたとするならば、そういう個々の場合に、では、こういうものを本当にトレースする必要が法の趣旨から見てあるのかという解釈論でこういうものは法の趣旨から見て必要ないというふうな規則のつくり方も考えられますしやや法文を逸脱するというのであるならばこういう顧客名簿をつくっているけれども、同意をとっているということは、多分、一部の人じゃなくてみんなの同意をとっているわけでしょうからこういうことをしているというふうなことだけ、事実のみを書くというふうな最も簡易な方法もあり得るのかなというふうに考えます。


○高井委員 この問題は何度も聞いて、実は私だけじゃなくて、泉委員や、あるいは与党の高木委員や輿水委員も聞かれましたし、あと、午前中、緒方委員も聞かれた。そして、もともとパーソナルデータ検討会に参加していた法学者の先生たちも非常に心配をしている。

 個人データベース等としておけばよかったのが個人データになったことによってこういう心配が起こるのではないかという懸念がありますので、これはもうこれ以上聞きません、ぜひ大臣も明確に御認識いただいて、しっかりそういった例は、さすがに一件一件記録を、たった一件ですよ、年間何件もあるのなら、それは地婦連がこういう場合がありますとかいう規定を置いておくみたいな答弁もされましたけれども、八百屋さんが一件教えるということまで記録をとるというのは明らかにおかしいと思いますのでぜひ、そこは政省令、私もどうやって規定するのか難しいと思うんですけれども、しっかりと考えていただきたいと思います。

 それでは、次の質問です。四十条の個人情報保護委員会の立入検査についてお伺いします。


(略)


    ―――――――――――――


○井上委員長 これより採決に入ります。

 内閣提出、個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律案について採決いたします。

 本案に賛成の諸君の起立を求めます。


    〔賛成者起立〕


○井上委員長 起立多数。よって、本案は原案のとおり可決すべきものと決しました。


平成27年5月28日

参議院内閣委員会第10号



平成27年6月2日

参議院内閣委員会、財政金融委員会連合審査会第1号



平成27年6月2日

参議院内閣委員会第11号



平成27年6月4日

参議院内閣委員会第12号