「個人情報保護ガイドライン」に対する意見

経済産業省「個人情報保護ガイドライン」に対する意見

2004年7月14日
中小企業家同友会全国協議会

私たち中小企業家同友会全国協議会(略称・中同協、46都道府県、中小企業経営者4万名で構成、http://www.doyu.jp/)は、1969年(昭和44年)設立以来、自助努力による経営の安定・発展と、中小企業をとりまく経営環境を是正することに取り組んで参りました。

●当会としての取り組み

1990年代後半から中小企業家同友会の会内や会員企業でインターネットの活用が進む中、2001年3月には積極的な活用を促進する一方、プライバシーの問題などを盛り込み、活用の際の注意点など考え方をまとめた「同友会活動におけるインターネット活用にあたっての考え方」(以下「考え方」)を発表。同年6月、情報化の促進および「考え方」の浸透を図るために、中同協幹事会(役員会)の諮問機関として「中同協情報化促進検討会」を設置。コンピューターウイルスや不正侵入に対応するため、2002年1月には上記「考え方」にセキュリティーに関する項を盛り込みました。

また、今年3月には、一部大手企業による大量の個人情報流出が問題になる中、「個人情報保護に関する指針」を独自に作成し、全同友会へこの問題に関する注意を喚起し、各同友会では具体的な検討を開始しています。

●情報公開と共有の流れの中で

インターネットが普及するに従い、全世界での情報公開とその共有が現実のものとなり、知的財産の共有が人類の健全な文明の発達を促す可能性をもたらしています。また、市民が行政などに知らされなかった情報を公開させるという権利を自覚するようになり、日本では2001年4月から実施された行政機関情報公開法により国民には行政文書の開示を請求する権利があること、また政府は国民に対して説明責任を果たすことが明らかになりました。
しかしながら、プライバシーやセキュリティーを保全することも一方の課題であり、今回のガイドラインの議論の中で、個人情報保護法の完全実施が、情報の公開と共有の流れを阻害するものであってはならないことを再確認するものです。

●ガイドラインの評価点と中小企業にとっての問題点

経済産業省からこのたび発表された「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」には、昨年成立した「個人情報の保護に関する法律」の精神を実効あるものにするための具体的内容を産業界に明示し、法律の全面実施前に各企業などが備えるべきポイントを明確にしている点で積極的に評価されるものです。
しかしながら現実的には、以下の8つの点で中小企業にとっては大変無理のある内容となっており、再考・修正を要望します。

1.「定義」の「(3)個人情報取扱事業者」では、個人情報の範囲を広く明記されていますが、名刺そのものを「個人情報データベース」の数に算入しないでください。

現在、社会問題となっているのは活用が容易な「電子媒体の個人情報データベース」です。中小企業は地域に根ざし、その交際範囲も広く、経営者などが各界とつながりを持っています。その際の名刺交換は、日本の慣習であり、それを整理して保存しておくことも当然です。名刺は本来自己PRのために相手に渡すもので、相手先に大いに活用してもらうことで、PRもできるものです。それが管理すべき内容になり、有効活用されないとしたら、ガイドライン自体が日本の商習慣にあわない内容といわざるをえません。また紙媒体で保持している一連の名刺を「個人情報データベース」の数に算入することで、無意識のうちに多くの中小企業が個人情報取扱事業者となってしまう事態となり、大きな混乱を招き、結果的には健全な産業形態を阻害する可能性があります。名刺そのものを「個人情報データベース」の数に算入しないでください。

2.法文では第15条第1項「利用の目的をできるだけ特定しなければならない」としていますが、ガイドラインでは「マーケティング活動に用いるため」や「事業活動に用いるため」「サービス向上のため」などの表記が、「特定していない」とされています。「特定している」範囲になることもあるので、これらを「特定している」範囲に入れてください。

地域経済にその基盤を持つ中小企業に市民が個人情報を提供することは、企業への信頼関係(リレーションシップ)のもとに行われるものです。次々新たなサービスを提供し、事業活動を多様に展開している中小企業にとって、その一つひとつを告知し、再度本人の確認を取って提供しなければならないなどは、新たな事業展開に重荷を課すことになり、事業展開を阻害することにもなりかねません。また、サービス業にはサービスやマーケティングが販売商品であり、サービスを提供することを商業目的とする会社も存在しています。【具体的に利用目的を特定していない事例】ですべての産業をひとまとめにしたような表現は適切ではありません。「特定している」範囲になることもあるので、これらを「特定している」範囲に入れてください。

3.「(3)―2)安全管理措置」の項では組織的、物理的、技術的各安全管理措置に関して他の項には見られない詳細な記述がありますが、ガイドラインとしては行政指導の対象となるような部分のみ必要最低限のものとしてまとめていただくことを強く要望します。また、「望まれること」をガイドラインとは切り離して、小規模な事業所、業界ごとにも分かりやすい「手引書」などとしてまとめてください。

「(3)―2)安全管理措置」の項で「望むこと」とされている内容は、人的にも財政的にも切り詰めて経営している中小企業にとって実現困難なものが多くあります。個人情報保護が社会問題化している今、これらを兼ね備えた特定業者のみが情報を管理することになるなど、情報の集中化を招くことにもなりかねず、強い危機感を覚えます。
ここまでの内容は「個人情報取扱事業者」となる企業にとって、本ガイドラインの「目的及び適用範囲」にある「個人情報の適正な取扱いの確保に関する活動を支援」するという範囲を超えています。

ガイドラインである以上、「望まれること」の表記は、すなわち「実現すべき内容」となり、「参考程度」のレベルとは思われません。ここまでの内容を「望むこと」として要求されるのは中小企業にとって現実的ではありませんので、ガイドラインとしては行政指導の対象となるような部分のみ必要最低限のものとしてまとめていただくことを強く要望します。
また、「望まれること」をガイドラインとは切り離して、小規模な事業所、業界ごとにも分かりやすい「手引書」などとしてまとめてください。

4.法第2条第5項関連の「保有個人データ」で「[2].その個人データの存否が明らかになることで、違法又は不当な行為を助長し、又は誘発するおそれがあるもの」の事例2で不審者やクレーマーの個人データは「保有個人データ」ではないと表記されています。企業側に誤解を招くことがないよう、これを事例からはずしてください。

不審者やクレーマーの個人データの情報は取り扱いに慎重を要する情報であり、対応や運用によっては、その産業界から特定の個人を阻害してしまうことになり、人権侵害として訴訟対象となりうる可能性があります。中小企業においてそのような事態に陥れば企業生命を絶たれてしまいますので、企業側に誤解を招くことがないよう、これを事例からはずしてください。

5.法第16条第3項第1号関連で「一方、刑事訴訟法197条第2項(捜査と必要な取調べ)等のような、個人情報の提供が任意協力の場合についても対象となり得ると考えられるが、個別の判断が必要とされる」となっています。損害賠償の判例も出ているので、中小企業がそうならないためにも明確なコメントを要望します。

「個人情報の提供が任意協力の場合についても対象となり得ると考えられるが、個別の判断が必要とされる」となっていますが、警視庁の要請により個人情報を開示したことによる損害賠償の判例も出ているので、中小企業がそうならないためにも明確なコメントを要望します。

6.ガイドライン全般について
ガイドラインの存在を広く知らせてください。

当会会員経営者に本ガイドラインについて広く意見を求めたところ、本ガイドラインが発表されていることすら、一般の経営者に周知されていないことが明らかになりました。上記意見の内容をもとに再考・修正いただいた後、ガイドラインの存在を広く知らせてください。

7.ガイドライン全般について
読みやすいものとしていただくよう、平易な言い回しにするなど更なる工夫をしてください。

当会には意欲的に学ぼうとしている経営者が多くいると自負しておりますが、記述・表現が「大変難しい」「読みづらい」との声が多く寄せられています。本ガイドラインに具体的事例を多く盛り込むなど、工夫のあとはみられますが、日々経営に追われる中小企業経営者にも読みやすいものとしていただくよう、平易な言い回しにするなど更なる工夫をしてください。

8.本ガイドラインと直接的な関係はありませんが、特に検討いただきたいこととして、官公需の入札条件となりつつある「プライバシーマーク」取得の問題があります。「プライバシーマーク」の取得を条件にせずに、「プライバシーマーク」の取得をしていなくても、「個人情報に関するコンプライアンスプログラム」や「プライバシーポリシー」を企業内で作成して運用していることを評価するよう関係省庁に働きかけてください。

「プライバシーマーク」の取得を、国や地方自治体の官公需の入札条件にされているところが出てきていますが、現段階では「プライバシーマーク」そのものの存在が一般に広く知られておらず、本マークの審査機関であるJIPDEC(財団法人日本情報処理開発協会)によれば、2004年7月1日現在で814社が取得しているに過ぎません。またその取得では、申請が立て込んでいるため、半年近い審査待ちの状態となっています。現状のままマークの取得を入札条件にすることにより、多くの地元中小企業が排除されることは明白です。「プライバシーマーク」の取得を条件にせずに、「プライバシーマーク」の取得をしていなくても、「個人情報に関するコンプライアンスプログラム」や「プライバシーポリシー」を企業内で作成して運用していることを評価するよう関係省庁に働きかけてください。