経済産業省
文字サイズ変更

パーソナル情報研究会(第3回)-議事要旨

日時:平成20年3月26日(水)14:00~16:00
場所:経済産業省別館1014会議室

議題

  1. 医療情報受託ガイドラインについて
  2. パーソナル情報を巡る論点について
  3. 自由討議

議事概要

医療情報受託ガイドラインについて

  • 「7.8人的安全対策」の下線部分に「派遣従業員については、派遣元業者に対し、情報処理事業者に対する秘密保持契約あるいは守秘義務契約への署名を承諾することを条件に選定、派遣することを求めること」とあるが、直接に情報処理事業者が派遣従業員と契約を結ぶということではないということはよく読めばわかると思うが、そういう解釈で間違いは無いのか。

    (事務局)何かあったときにどう責任を取るか、ということである。実際上は、派遣事業者が直接に情報処理事業者に対して責任は取れないので、派遣元事業者が責任を取ることになるはずである。文面上は派遣事業者、というようになっているが、情報処理事業者と派遣元事業者の間の契約の問題になると思う。この文章についてはもう少し詳細に記載しないと誤解を招く可能性があるので再検討したい。

  • 秘密保持または守秘義務にかかる契約だけではなく、個人情報の保護に関する契約も派遣元と情報処理事業者との間に契約を結ぶように明示した方がよいのではないか。必ずしも機密情報ではなくても個人情報であるものはある。そのような情報についてはどうするのか、という点についても詳細に説明を追加すべきではないか。
  • 今後いろいろな議論をしていくにあたり、守るべき情報とバランスを取るべきである。
    医療情報について、コストとのバランスを考えて良いのか。守る必要が無い情報については、自由にコストとのバランスを取れた方が良いが、そうでない機微な情報については、一定の基準を作った上でコストとのバランスを取るようにすべきではないか。
    今後様々なものを検討していくに当たっては、「現状そうだから」という理由で認めてしまわないようにお願いしたい。医師などは法令で守秘義務が課せられているのであり、外部委託先の管理が甘くならないようにバランスを考えていただきたい。
  • 本ガイドラインの原則は、医療情報を初めて外部に委託するということで、内容的にはかなり厳しいものだと感じる。そうだとすると、最後の部分で管理が甘くなっても、バランスを欠くのではないかと感じる。
    また、「正規職員」となっているが、雇用形態が多様になっているので「今日の雇用形態に鑑みて」ということで、書いた方がよい。コストの観点からとすると、議論が弱まってしまう。
  • 本ガイドラインについては、医療情報の委託側のリスク認識に応じたリスク対策が実現できるのが本筋だろう。もともと法的な責任が明確にされている人が扱っている情報を、法的な責任が明確にされていない人たちが扱っても良いようにしようというものなので、ガイドライン案に記載してある内容について、法的な責任が明確にされている人たちと同じようにリスクが低減できるかどうかが問題であろう。
    リスクが低減されることが担保されなければ、外部委託には問題があることになる。具体的に委託先ができる業務の範囲やどういう業務であれば委託できる、ということについて細分化して記載しないと、あまりにも一般的になりすぎるのではないかという印象を持った。
    あくまで思い付きであるが、例えば「バックアップするにしても暗号化された情報だけ扱う」とか、「全体の指揮をする人は正規職員だが、それ以外の職員はこういうことはしても良い」という記載であれば良いのではないか。
  • 派遣職員等に触れたのはコストの面よりも、最近の雇用形態に鑑みて、正職員と異ならない派遣もあり得るということであり、対応の遅れで情報のアベイラビリティが失われることとのトレードオフの関係を考えて記載している。決して、セキュリティレベルを下げても良いということではない。
    本来利用側から要求している安全レベル、守秘レベルを実現できるような形に変えていきたいと考えている。
     

パーソナル情報を巡る論点について

  • ホームページ上のプライバシーポリシーについては、一個の企業が掲げているものではあるが、個別ではないと感じている。「個別」というのは、企業の中に複数の事業部があり、その事業部によって共同利用先などが異なってくるような場合を想定している。プライバシーポリシーで共同利用を掲げている場合、個別具体的に「この事業で共同利用する個人情報については」という書き方をしないと、個人情報の提供側としてはわかりにくいのではないかと感じる。
    全社としては、企業で一つのプライバシーポリシーを掲げていることになるが、事業部ごとにホームページを持っているような場合で、あるサービスや商品購入の際に提供される個人情報がそれぞれどう取り扱われるのか、ということについて、個別に消費者が判断できるような形の掲示が必要であるのではないか。

    (事務局)事業部ごとにそれぞれにどういう形で情報の利活用を行うのか、ということについて消費者が見やすい形を示すことが望ましい、という趣旨の指摘だと考えるが、その示し方として対応がどこまで可能なのか、ということについても加味しながら望ましいものとして加えられるものであれば参考にさせていただきたいと考える。

  • 共同利用について、自社の実態を説明すると、自社では共同利用は原則として行っていないようにしている。共同目的がそもそもあまりなくて、授受が必要であれば、第三者提供を基本に行っている。
    プライバシーポリシーと共同利用との関係をどのように整理するか、ということであるが、一点気になっていることがある。昨年Yahoo!BBの個人情報の漏えいに関する裁判で判決が出たが、全く別々なDBで管理していて、約款も別々という形になっていたが、それでも不法行為上の使用者責任があると判示された。共同利用は無かったが、裁判所は「セキュリティポリシーに“グループ会社を含めて管理する"ということを掲げてある以上は、ちゃんと管理しろ。」ということが理由になったようだ。
    提携先と共同利用、ということを書いたばかりに不法行為責任まで追及されかねないのが現在の実態ではないか。裁判所が企業側の責任を認めることにかなり踏み込んできているので、その点を考えると共同利用を進めてよいのか、どのようにプライバシーポリシーに記載しておけば、ハンドリングできる範囲での管理責任に収まるのか、ということが問題として存在していることを紹介させていただきたい。
    判決については大阪高裁の判決である。一人6,000円程度の責任が認められた。
  • 今の話であるが、共同利用の議論をやってきたときに、事務局から説明があった資料7の「共同利用」の部分で責任の話が書いてあり、回答としては記載してあるとおりで良いと考えられるが、共同利用が使いにくい、ということが実務から言われるのは2点で、一つは「出入りの管理をどうするか」という点であり、もう一つは「責任の範囲がどこまでか不明確」ということも問題であろう。
    この点について資料6の考え方はそれで結構だと思うが、補足的に記載しておくことが必要なのは、「どこかで事故が起きたときに、自分の会社はどうなるか」というところであり、そこをはっきりさせれば、ある程度のことを言ってあげれば済むと考えられる。極端な事業者からは「共同不法行為になるのか」ということを問われることもある。
    もっとも、Yahoo!BBの話は「一体的な関係がある」というところから指摘がされているのであるので、全く関係の無いグループ会社の話からスタートしているわけではないと考えられる。問題は非常に大きなグループ企業の話であり、その中で今回のYahoo!の判決のようなケースが及ぶのかは不明である。この点はやや対応が異なるかもしれないことに留意が必要だろう。
  • Yahoo!BBの漏えい事件が発生したのは個人情報保護法の施行前であったと記憶しているが、どうなのか。
  • 施行前であったが、影響はあったのだろう。
    別々に個人情報が管理されている、ということについては事実認定が正しくなされていた。その意味で、責任について一体的に認められたのは、個人的には踏み込みすぎているのではないかと感じたということである。
    別々に管理しているか、独立しているか、ということだけで裁判所が納得してくれるのかということは分からないというのが実態であると感じている。(一体性の判断について)一つ感じているのは、名称が同じなので利用者としては同じだと感じたのではないか、と言う事である。
  • 自社の場合は共同利用については個人情報保護指針上ではグループの各社が含まれる。利用目的としては特段限定せずに、指針で掲げている内容を対象としている。

    (事務局)
    提携企業の範囲をどう書くか、ということで、提携事業者の範囲を変更する規定が存在しないので、一度書くとまたゼロからプライバシーポリシーをやり直さなければならないという事があり、負担が大きいので、提携企業についてはプライバシーポリシーとは別のところで規定して、リンクで飛ばす方式をとってもらえたらどうか、と考えている。方便かもしれないが、これで良ければ情報の活用流通のためには望ましいのではないか。これについてご了解いただければと言う事が1つであった。
    もう一点については、共同利用については要件がはっきりしないということが言われており、「要件を明確化して欲しい」という意見もあれば、「目的を広めに書くことで対応している」という対応があるようだ。今の国民生活審議会における議論からすると、内閣府からは「利用目的を明確に書くこと」の方針が示されることになるだろう。経済産業分野ガイドラインとしても、「利用目的はできるだけ具体的に書かなければならない」という示し方をせざるを得ず、結果として事業者に判断が委ねられ、一層不明確になるという可能性もあると考えられる。
    そこで、共同利用の目的については、法律上、後から変更できるという規定もあるので、考え方としては限定的に目的を書いてもらい、ビジネスモデルの変化に伴い、利用目的の変更が生じたらその度に追加・修正してもらう、ということで対応できるのではないかと考える。結局、「具体的に書く」ということと「後から修正する」という2つについて、事業者の選択的対応を求めることになるがどうだろうか。

  • 共同利用については、「範囲」の問題と「責任」の問題があるが、今の説明は「範囲」についてのものかと思う。実際上は、共同利用は使っていない、慎重な事業者が多いのではないかと感じている。グループで共同利用しているところもあるが、それはリスクが高いのではないかと個人的に感じている。
    利用を進めるためにはトレードオフの関係なので、「利用目的を明確に書く」ということか、「利用目的を制限的に書く」とすべきか、という議論があったが、絞っても良いから個人情報を利用させる方向で良いのではないかと考える。そのときに責任が明確に書いていないとまずいのではないか、というのが先ほどの発言の意図であった。
  • 大学にいるときに、卒業生名簿を同窓会が持ち、在学生名簿については生協が持っており、共同利用をしたいという話があったが、これだけでも文部科学省まで巻き込んだ大変な議論になった。この論点は話し始めると非常に議論になることだと思う。
  • 本来は第三者提供として委託先の監督責任があるにもかかわらず、個人データの共同利用として委託先の監督責任逃れに共同利用の仕組みが使われてしまうことがある。共同利用の範囲が固定されているのと同様に、個人データの提供先である委託先事業者が固定されている場合であっても、委託先との関係は、共同利用となるわけではなく、委託先の監督義務を免れるわけでもない。個人データがどのように共同利用されているのか、いかに分かりやすく示すかが適正な共同利用に求められているのではないか。
    共同利用の仕組みそのものは複雑ではないので、脱法的な方法によらない共同利用については、どのように個人データが共同利用されているのか「分かりやすい表示」にかかってくるのではないか。
  • 一点、考慮いただきたい部分がある。「子どもからの個人情報の取得」の部分であるが、ビジネスの上で、子どもの定期や記名式ICカードが販売されているが、これについて保護者の同意を完全に得ることは困難である。子どもからの個人情報の取得の際の利用目的についても、考慮していただきたいと考えている。
    自社で共同利用を行っているのが、他社のICカードとの子どもの個人情報に関する共同利用である。一人で二枚持つことが無いように共同利用している。本日は共同利用についてもかなり議論になっており、自社のビジネス上はこの2つの問題が重なって難しくなっているところである。その点も加味していただきたい。
  • 子どもから個人情報を取得する際の親からの同意取得という要件については、わが国の個人情報保護法制上は、経済産業分野ガイドラインにおいて、個人情報の取扱いに関して同意したことによって生ずる結果について、子どもが判断能力を有していないなどの場合は、法定代理人等から同意を得る必要があるとしているにすぎない。つまり、親からの同意取得が必要なのは“目的外利用"と“第三者提供"の際に限られる。一方、米国では子どもから個人情報を取得する際には親からの同意取得を要件としているが、わが国はそのような仕組みになっていない。そのような観点からすると事業者は「(共同利用については)同意は不要である」、ということは分かっているが、より保護者に信頼・理解してもらう上で何が必要かという考え方で検討することが必要であろう。
  • 「子どもの個人情報」についてこの研究会で考えないといけないのは、子どものことを考える際には、「人格権」の観点と「財産権」の観点で話は異なるという原理原則を踏まえることであろう。この原理原則を踏まえていれば、この問題は整理できるのではないかと考える。
    事務局作成の論点整理について、論点1(2)については、「デューデリジェンス」と類似の話が他にもあるのではないか。他の類似の話とも比較した方が良いのではないかと感じた。類似の話とは、具体的には、「会計上、顧客の情報の提供が必要な場合にどうするか」、ということや、「企業価値の算定の話としては、顧客の情報だけではなく、従業員の情報の提供が必要な場合にどうするか」ということである。
    実務として、(従業員情報をもらう場合と顧客情報をもらう場合の)どちらが多いのかということについて議論されていたこともあるので、その点は横並びで考えて良いのではないか。

以上

(問い合わせ先)
商務情報政策局情報経済課
TEL:03-3501-0397

 
 
最終更新日:2008年5月14日
経済産業省 〒100-8901 東京都千代田区霞が関1-3-1 代表電話 03-3501-1511
Copyright Ministry of Economy, Trade and Industry. All Rights Reserved.