2020.7.17
内閣委員会~個人情報保護法~(2020年6月4日)
第201回国会 参議院 内閣委員会 第13号 令和2年6月4日
○山田太郎君 自由民主党の山田太郎でございます。 本日の議案であります個人情報保護法は、個人に対しても事業者に対しても大変に非常に影響が大きいということなので、慎重な審議が必要ではないかと、こういうふうに思っております。 今回、個人の権利が強化されるということは非常に重要で大切なことではありますが、一方で、事業者の活動が過度に萎縮してはいけないと、こういう論点から少し議論させていただきたいと思います。一方でまた、個人の情報を強化することによって他の個人の権利も制限される可能性がある、こんな論点も今日ございますので、是非そういったバランスを取った法律にするべく審議させていただければと思っております。 まず一点目なんですが、メールアドレスの取扱いというところから少しお話しさせて、質疑させていただきたいと思っています。本人の氏名と組み合わされたメールアドレスを利用する場合には、個人情報保護法とそれから特定電子メール法との関係で、その利用をしていいかどうかと、保存等含めて判断が難しいというふうにも言われております。 そこで、幾つか御質問がございますが、電子メールアドレスの取得状況における適用利用の可否について、例えば個人情報保護法及び特定電子メール法において、従業員がどのように取得したメールアドレスであれば会社が適法に利用できるのかと。 例えば、勤務時間中に持ったものでしか駄目なのか、勤務外もオーケーなのか。よく名刺の議論なんというのもあるんですが、名刺を渡しました、名刺は個人情報なんだけれども、渡した人は、自分は何でも、宣伝とかなんとかが返ってくるということを意識して、理解していなくて渡して、その名刺が使われて宣伝メールとかが来ればこれはどうなのかとか、飲み屋で渡した場合はどうなのかとか。当然、会社で名刺交換をしたということについては、それは書面による交付という形でもって適用範囲になると思いますが、その他のケースもいろいろあると思います。 その辺の整理を、特に特定電子メール法と個人情報保護法、それぞれあると思いますので、御答弁いただければと思っています。
○政府参考人(其田真理君) 個人情報取扱事業者、事業者の従業員がその会社の従業員の立場で取得した個人情報につきましては、勤務時間内か否かにかかわらず、一般的に企業の業務のために取得したものと認識されますので、会社、すなわち個人情報取扱事業者によって取得した、済みません、取得されたものと解されますので、適法に利用できると考えております。 今御紹介をいただいたような本人からメールアドレスを取得した場合には、メールによる業務上の連絡に用いることなどは取得の状況から見て明らかな利用目的と考えられ、特段の手続なく利用できます。仮にそうでない場合は、利用目的を特定し、本人に通知、公表することによって、その範囲で個人情報を取り扱うことができると考えます。
○政府参考人(竹村晃一君) 特定電子メールの送信の適正化等に関する法律は、原則として事前に同意した者のみに特定電子メールと呼称される広告宣伝メールを送付することが可能とされております。この事前同意の原則の例外としまして、自己の電子メールアドレスを名刺などの書面、名刺などの書面により通知した者等については、事前の同意なくメールを送信することが可能となっております。 自己の電子メールアドレスを記載した名刺などの書面を提供した場合などを事前同意の例外としている理由についてでございますけれども、総務省と消費者庁が策定したガイドラインにおきましては、電子メールの送信が行われることについて一定の予測可能性があるためというふうにしてございます。 以上を踏まえまして、個別具体的な事案ごとに判断する必要はございますけれども、例えば名刺交換をして相手側から会社名付きの名刺を受け取る場合には、名刺を渡した者が所属する企業などから広告宣伝メールが送られている、送られてくることについて一定の予測可能性があるというふうに考えられるため、事前の同意なしにメールを送信することは可能というふうに考えてございます。
○山田太郎君 予測可能性ということなんですが、個人の付き合いで名刺を渡した場合に、これ、商売として使われてけしからぬという声もたくさんある中で、結局、名刺は書面での交付ということに一概にしてしまえば大きな問題を持っているんじゃないかなというふうにも思っておりますので、この辺り、いろんなケースをもってガイドラインにきちっと記載してもらいたいと思いますので、その方向性、その旨を是非、特に個人情報保護委員会さん、御答弁いただきたいのと。もう一つ、それにも関連するんですが、利用目的に宣伝メール等を送る趣旨の記載が例えばない場合でもこれメールアドレスに広告宣伝メールを送ってよいということなんですが、本当に、名刺をもらった場合に広告宣伝メールを送ってよいということについてガイドライン、これも明示していただきたいと思いますが、その辺り御答弁いただきたいと思います。
○政府参考人(其田真理君) ただいま御指摘いただきましたように、個人情報取扱事業者が個人情報を取得する場合、取得の状況から見て利用目的が明らかであると認める場合であれば利用目的の通知や公表は必要ございません。 現在の個人情報保護法のガイドラインにおきましては、参考事例として、従業員が取得した名刺に記載のメールアドレス宛てにダイレクトメール等を送るような場合には、取得の状況に照らして利用目的として明らかとは言えない場合も想定されるというふうに解説がございます。この点につきましては、企業の方から、名刺に関しまして、どのような場合に取得の状況から見て利用目的が明らかなのかといったお問合せをよくいただいております。 近年のビジネスの実態等を踏まえますと、会社の従業員として交換した名刺のメルアドに広告宣伝のメールを送付することについては、多くの場合、利用目的として一般的になっているというふうに認識をしてございます。したがいまして、現在、このガイドラインの記載ぶりについて見直しを検討しているところでございます。
○山田太郎君 会社としては、もらった方は怖くて名刺情報使えないと、渡した側はけしからぬと。結局、これじゃ問題解決しないので、是非ガイドラインの充実はお願いしたいと思います。 一方で、技術というのはなかなか進歩していまして、名刺の渡し方も最近は変わってきたんですね。いわゆるオンライン名刺というのが出てきまして、例えば具体的な個社名を言わせていただきますと、Sansanさんなんかは最近、名刺情報をオンラインでもらって、それでオンライン上で名刺を交換すると。 こうすると、現行法だと、オンライン名刺を受け取った場合はオプトアウト方式なので広告宣伝メールを送れないと、こういうことになっちゃうんですが、実態からすると、これは書面の交付と同じような、実名刺を交換したのとほぼ同じなんではないかと、予見もいわゆる明白であるというふうに思いますが、この辺り、特に特定電子メール法の施行規則を改正すべきなんじゃないかと、技術に即してしっかり検討していただきたいんですが、いかがでしょうか。
○政府参考人(竹村晃一君) 委員御指摘のとおり、今般の新型コロナウイルスの感染拡大などによるオンライン会議などの普及を背景にしまして、オンラインでの名刺交換も普及が見込まれているということは認識をしてございます。 オンライン名刺など、書面以外で電子メールアドレスの通知を受ける場合も事前同意の例外として扱うかどうかにつきましては、こうしたビジネス環境の変化なども踏まえて適切に対応していきたいというふうに考えてございます。
○山田太郎君 ありがとうございました。 結構問題がいろいろ多くて、二十五問ぐらい用意しちゃったので、時間に収まらないのでちょっといろいろ飛ばしていきますので、質問通告、番号は、時間があれば戻ってきますので、四番の外国にある第三者への提供制限という辺りで御答弁いただきたいと思うんですけれども。 今回、外国にある第三者への制限ということで、改正法の二十四条に当たる部分でありますが、新設されまして、外国にある第三者に個人データを提供する場合に本人からの同意を得る際、本人への参考となるべき情報の提供義務が課されたということなんですが、これも具体的にどのような参考情報の提供義務が発生するか、非常に不明だと思うんですね。 本人に提供しなければならない参考情報の基準とか具体例ですとか提供の方法、それから外国の個人情報保護法の条文を伝えるだけで足りるのかどうかとか、一律に日本語での情報提供でなければならないのか。例えば、被害を受けた人は母国語が英語とかフランス語だった場合に、その人たちに対しては、相手が分かるようにというふうなことがありますので、英語やフランス語で伝えなければならないのか。 企業実務としては非常に問題は大きいと思いますが、この辺り教えていただければと思います。
○政府参考人(其田真理君) 外国にある第三者への個人データの提供を認める旨の本人の同意を得ようとするときには、個人情報取扱事業者が当該本人に提供しなければならない情報や提供の方法については委員会規則で定めることとしておりますけれども、現時点では、例えば提供すべき情報としては、第三者の所在する外国の国名、それから個人情報保護制度などを想定しております。 また、提供の方法につきましては、電磁的な記録の提供や書面の交付による方法、基本的には日本語又は本人が内容を理解できる言語というふうに考えておりますけれども、こういった方法を想定をしてございます。
○山田太郎君 もう一つ、外国における個人情報保護制度を情報提供する件については、その事業者が独自に外国における個人情報の保護に関する制度等の情報を調査して提供しなきゃいけないとなっているんですけど、これもまた企業にとっては大変重たい状況だと思います。 これらの情報については、多分、できれば個人情報保護委員会さんが外国の制度を調査してウエブで例えば公表すると、その公表されたものを各事業者として、委員会が公表したからということでその情報を提供するというような、少し便宜というか図ってあげないと、個社が個々の外国法制に対して全て調べていくということはほぼ難しいし、同じようなことを社会でもってみんながそれぞれ調べ合うというのもどうかと思いますので、その辺りの便宜ということは図っていただけないでしょうか。
○政府参考人(其田真理君) 今回の改正は、越境移転を行う事業者において移転先の環境を認識していただくという趣旨もございまして、企業が自らの取組をお願いしたいというのが基本でございますけれども、委員会といたしましても、外国の個人情報保護制度につきまして、参考となる情報を提供してまいりたいと考えております。
○山田太郎君 ありがとうございます。前向きにありがとうございます。 次に、五番というところに行きたいと思いますが、個人情報関連の第三者提供の制限と。法律だと二十六条の二に当たる部分について少し質疑させていただきたいと思います。 今回の改正案は、発端はリクナビさんの例の内定辞退率の販売問題というのを受けてだと思いますが、それによって二十六条の二というのが新設されまして、個人情報の第三者提供への制限がされたと、こういうことだと思います。ただ、これに定義される個人情報の内容が、個人関連情報の内容が不明確な点が多いと思っていまして、ちょっと具体的にこの辺りについても質疑させていただきたいんですが。 まず最初に、大綱と今回の法案の文言の違いで、大綱ではですね、昨年出ました大綱では、提供先において個人データになることが明らかな場合に法規制をすると、こうなっていたんですが、今回の法文では、個人データになることが想定されるという形に、ややもすると広く解釈されるような形に変わりました。 法文で文言が修正されている趣旨というのは何なのか、規制を広げるということを狙っているのか、その辺り御答弁ください。
○政府参考人(其田真理君) 法案にあります第三者が個人関連情報を個人データとして取得することが想定されるときとの文言は、大綱における明らかなときを法文で表したものでございまして、その意味する内容に違いはございません。このため、委員御指摘の大綱の記載から規制対象を広げるという趣旨はございません。
○山田太郎君 もう一つ、今回の法文の個人関連情報ということなんですが、その具体例として、これもメディアで話題になりましたが、クッキーとか位置情報というのは該当するのかどうか、あるいは単純な統計情報等も該当するのかどうか、その辺りも御答弁ください。
○政府参考人(其田真理君) 個人関連情報とは、法案上は、生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものとされております。具体例を挙げますと、氏名と結び付いていないインターネットの閲覧履歴、位置情報、クッキー等なども含まれます。また、いわゆる統計情報は、特定の個人との対応がない限りにおいては個人関連情報には該当いたしません。
○山田太郎君 ここも非常に議論があるところで、いわゆるクッキーとか位置情報も当たるという御答弁でありまして、結構この辺りは企業も気にしています。ガイドライン等を含めて周知徹底と、どういう場合が当たるのか、詳細はしっかり明らかにさせて、していただければと思っています。 それから、個人データとなることが想定されるというところでもあるんですが、例えばその基準とか具体例ですよね、想定されるというのは何なのかと。分かりにくいんですが、その辺りも御答弁いただけないでしょうか。
○政府参考人(其田真理君) 御指摘の個人データとなることが想定される場面としては、まず、提供先が個人データとして取得することを提供元の事業者が想定している場合が考えられます。例えば、事前に個人関連情報を受領した後に、他の情報と照合して個人データにするといった旨を告げられている場合でございます。 次に、取引状況等の客観的に事情に照らして、個人データとして取得することが一般人の認識を基準として想定できる場合が考えられます。例えば、プラットフォーマーなどに対し個人関連情報を提供する際、提供先のプラットフォーマーが当該個人関連情報を氏名等でひも付けて利用することを想定しつつ、そのために用いる固有ID等を併せて提供する場合などが考えられます。 具体的な事例でありますとか判断の仕方については、ガイドラインなどにおいてなるべく分かりやすく明確化してまいりたいと思います。
○山田太郎君 何か、済みません、とんとんとレクのときの回答例をそのまま答えていただいているような感じで、スムーズにいくのも気持ち悪いんですけれども。 一方で、ちょっと御答弁の中でプラットフォーマー、プラットフォーマーなどがターゲティングマーケットをしている場合なんかはこれ当たるのかどうかということについても御答弁いただけないですか。
○政府参考人(其田真理君) これは、今答弁の中ではプラットフォーマーというのを事例で引きましたけれども、プラットフォーマーであるかに、でないかにかかわらず、個人の情報とひも付けて利用する場合には当たるというふうに考えております。
○山田太郎君 今度は提供元への調査義務を課すか否かということに関して、これも改正法の二十六条の二では、提供先において個人データになるかどうかの調査義務を提供元に課すものなのかどうかという辺りも御答弁いただけますか。
○政府参考人(其田真理君) お尋ねのケースというのは、先ほど申し述べた例のうちの、取引状況等の客観的状況に照らして、個人データとして提供先が取得をすることが一般人の認識を基準として想定できる場合をお尋ねかというふうに思います。 ここは、あくまで一般人の認識を基準として想定できる場合というふうに考えておりますので、提供先において個人データとして取得される可能性が高くない場合を含めてまで調査義務を課すものではございません。
○山田太郎君 答弁を聞いていると非常に曖昧模糊としていて、一般人の基準だったりとか、逆に提供先で個人データになる可能性が低い場合は要らないとかいう形で、これも極めて分かりにくいというか、いわゆる個人情報の扱いに関して極めて萎縮しがちであるというふうに思いますので、是非これもガイドライン等を含めて豊富なケースですよね、それを明示していただきたいと思います。 それから、もう一つ大きいのが同意の問題なんですけれども、提供先において本人の同意を取得する際の基準等についてもお伺いしたいと思うんですが、このいわゆる個人関連情報を第三者に提供する場合には、提供元において本人の同意を取得しなきゃならないというふうにされています。 その同意の取得基準とか具体例、そして第三者提供を受ける場合があることがこれは記されていれば、提供先に対して記されていればそれで事足りるのかどうか、この辺りも御答弁いただけますか。
○政府参考人(其田真理君) 同意の取得方法としてはいろいろな方法が考えられると思いますけれども、例えば、本人から同意をする旨を示した書面、電子メールを受領する方法、確認欄へのチェックなどが考えられます。 例えば、ウエブサイトで同意を取得する場合に、今御指摘いただいたように、単に記載されているということでは足りないというふうに考えておりまして、そのサイト上のボタンをクリックするなどのアクションが必要ではないかというふうに思っております。 いずれにいたしましても、具体的な様々な事例について、ガイドラインなどでお示しをしていきたいと思っています。
○山田太郎君 今のところは非常に重要でありまして、周知徹底としては、利用規約に書かれてあるだけでは駄目なんだと、きちっとそれに対して同意をアクションしたと、チェックボックスみたいなものでもあると思いますし、逆に言うと、深いところに書いてあって、見せていたはずだということは同意に当たらないということについては極めて重要なポイントだと思いますので、是非周知徹底をお願いしたいと思います。 それから、この同意の取得に関する調査義務なんですけれども、提供先はこれ同意を取得したと主張している場合には、その言葉だけで、口頭だけの確認でいいのかどうかと、何らかの調査しなくていいのかと。仮に、いわゆる提供先が同意を取っていると言っていたが虚偽だった場合、提供元が何か責任を負う可能性というのはあるのかどうかと。 今回、リクルートを発端に非常に大きな社会問題にもなりましたので、この辺りの対応、対処についても御答弁ください。
○政府参考人(其田真理君) 提供元が確認する方法については、委員会規則で定めることとしておりますけれども、個人関連情報の提供先から報告を受ける、申告を受ける方法を想定しております。この場合、提供元は提供先のその申告内容を一般的な注意力を持って確認すれば足りるというふうに考えておりまして、特段の事情のない限り、真正性や正確性まで独自に調査をすることは求めないというふうに考えてございます。
○山田太郎君 ちょっとそれは非常に分かりにくい感じで、まあ全体が、何か今回個人情報保護法が不透明な部分とか分かりにくいところがあるので、これは守られる側にも情報を活用する側にもいろいろ問題大きいと思いますので、しっかりやっていただきたいと思いますが。 次、結構大きい問題は、利用停止ですね。これ、衆議院側の質疑でも相当議論になっていたところでありますが、改正法三十条の話であります。 今回、改正三十条が改正されまして、利用等の請求権の要件というのは緩和されたということであります。ただ、どんな場合に利用停止ができるのかということは明確じゃなくて、特に事業者の活動の支障を来す可能性があると思いますので、そんな論点から少し質疑させていただきたいと思いますが、まず、これ、代理人や個人による利用停止の請求権というのはこれあるのかどうか、その可否について御答弁ください。
○政府参考人(其田真理君) お尋ねの点につきましては、現行法の規定によりまして、開示等の請求等は本人又は代理人によって行うことができることとなっておりまして、個人情報取扱事業者は代理人であることの確認方法を定めることができます。例えば、委任状によって確認するというようなことが想定をされます。例えば、団体の会員などについて請求が行われた場合には、個々の代理権を確認することになるというふうに思います。
○山田太郎君 もう一つ、これはなかなか、個人にとっても重要な、分かりにくいことというか、周知徹底が必要だと思うのが、例の電子メールのファイルが利用停止の対象となるかどうかということでありまして、メーラー等が、ソフトウエアで体系的に管理されている電子メールファイルが利用停止の対象となるかどうか、これがはっきりさせないと、企業としては電子メールをお客さんとやり取りして持っていて、それを個人情報だという形でもって削除してもらいたいという場合には非常に大きな問題、支障を来す可能性高いと思っておりますが、これも御答弁いただけますか。
○政府参考人(其田真理君) 御質問の趣旨としましては、送受信を行っているそのメールアドレスの保有者に、メーラーで送受信を行っているメールアドレスの保有者に対して、その保有者にメールを送信した者、あるいは保有者からメールを受信した者が利用停止等を請求できるかというお尋ねというふうに理解をいたしました。 法律上、そういうことができる保有個人データの定義に該当いたしますのは、特定の個人情報を検索することができるように体系的に構成していること、それから請求等に応じる権限を有するものでございます。 このようなメールソフトは、一般的にメールファイルについて送信元や送信先といった特定の個人を検索できるように体系的に構成されたものではないこと、それから、事業者がメールの内容の訂正、追加に応じることができないことといった点から、個々の電子メールファイルは保有個人データには当たらないことが多いのではないかと考えております。したがって、メールの送信元や送信先に当たる本人が利用停止等を請求できない場合が多いのではないかと考えております。
○山田太郎君 今の答えちょっと分かりにくかったんですが、もう一度確認したいんですが、一番多分重要なのは、電子メールのアドレス帳はデータの削除対象になるのかどうかということなんですが、これが結構対象になると実務上管理がすごく大変だと思いますが、まず、そこを改めてお聞きしたいと思います。
○政府参考人(其田真理君) そのソフトに保管されておりますメールアドレス帳については、メールアドレスと氏名を組み合わせた情報を入力している場合があるかと思いますが、そういった場合には、特定の個人を検索できるように体系的に構成されたものでありますので、保有個人データの該当になりまして請求の対象になることがあると思います。
○山田太郎君 これは実は結構大変なことなんですよ。 後で質問しますけど、前取りしますと、これは事業者とか、私、元々これ始める前は、法人とか利益を供与している者とか、こんな人たちが対象かと思ったら、手芸クラブとか個人のサークルも対象なんですね、今回の個情法の対象というのは。 となると、結構、いわゆる停止要件というのはこれ結構きちっとやらなきゃいけないということと、嫌がらせとまでは言いませんけれども、そういった形でもって、いわゆる、まあ個人の情報を守るということは大事だと思うし、私も知らない人にもし持っていかれて気持ち悪いものは消してほしいって気持ちも分かりますが、一方で、バランスの問題として実務が回るのかということも心配しておりますので、これの対処をしっかり今後やっていただきたい、こんなふうに思っております。 さて、次なんですけれども、朝、今自民党の方でもネット中傷のPTやっていまして、私もそこの事務局次長に就任させていただきまして、実務を、特に表現の自由という論点から一生懸命やっていて、バランスを取って議論をしているのですが、そんな中で、実は保有データのログを管理すると。これ管理しないと、発信者情報開示制度でもって開示しようと思ったら消されていましたと、こういうふうになりかねない。これは実は、個人情報保護法は個人の権利を守ると同時に、一方で被害者の権利を守るためにもログ情報の保存というのは極めて重要な論点だというふうに思っております。 ただ、実際のこれ民事で発信者請求開示制度をやろうと思いますと、コンテンツプロバイダーに対する発信者情報開示をするには、実際開示決定まで一か月から二か月掛かってしまう。挙げ句の果て、消去の仮処分の申請は最低でも九十日必要、いわゆるアクセスプロバイダーに対しても開示まで六か月から一年掛かってしまうということで、これ逆に言うと、会社に対して、私の何か中傷を書いたと、私はもうこのネットのサービスをやめたいから消してくださいと、それ言うと、個人情報保護法によっては、必要がないものは直ちに消さなければならないと、こんなような立て付けでもってやって消されてしまうと、結局被害者が何かやられたときに実際に訴えることもできない。持っていないんですということで、泣き寝入りしてしまうということもあると思っています。 そういう意味で、私は、例えば刑事訴訟法の百九十七条の三項だと保全要請も最大九十日まで可能だということも定められていますし、一方で、総務省の電気通信事業における個人情報保護に関するガイドラインというところでも、接続認証ログに関しては一般的に六か月程度の保存は認められると、こういうふうになっていますので、これバランスを持ってやってもらいたいと思いますけれども、こんな中でもどういうふうに考えていけばいいのか。 現代の非常に個人対個人の権利もバランスを取らなきゃいけない重要な問題だと思っておりますので、御答弁いただけますでしょうか。
○政府参考人(其田真理君) 御指摘の論点について、個人情報保護法上の観点からの整理をお答え申し上げます。 コンテンツプロバイダーの保有する掲示板への書き込み等に関するログ情報につきましては、個人が特定できないケースが多いこと、また内容の訂正、追加、削除ができないことといったことから、消去等の請求対象となる保有個人データに該当しないケースが多いと考えられます。 一方で、インターネットサービスプロバイダーが保有する住所、氏名、IPアドレスなどは、一般的には保有個人データに該当する場合もございます。ただし、インターネットサービスプロバイダーがこうした情報を保有し続けることが本人の権利又は正当な利益が害される場合に該当するケースが一般的には想定できないので、消去等の請求の対象とならないことが多いのではないかと考えられます。 御指摘の点につきまして、プロバイダー責任制限法の受信者、発信者情報開示についての制度趣旨が損なわれないように配慮、運用してまいりたいと思います。
○山田太郎君 これは是非、重要なんで。 確かに、コンテンツプロバイダーの場合にはIP等で個人情報ではないという解釈だと思いますが、確かに、アクセスプロバイダー、ここに至るまでの仮処分を取るまででも半年以上掛かっちゃうということなので、これはしっかり保管期間に関するルールを、これ個人情報保護法だけ議論していても駄目だと思うんですよね。その他の法律との整合性、それから、その他の人たちの権利を守るということの整合性も含めた上で指針をやっぱりきちっと出していただいて、どういう場合については個人の正当な権利として消せるのか、あるいは、本来残さなければならないものなのか、これを慎重に検討を進めていただきたいというふうに思っています。 さてもう一つ、この利用停止等の請求の拒否というところに関しても触れていきたいと思いますが、三十条の五項で、理由がある、請求に理由がある場合には利用停止を拒めないのかどうか。それから、料金請求に支障があるような場合でも本当に拒めないのかどうか。係争になった場合に不利益を被るような場合であっても拒めないのか。 今のちょっと関連にもなると思いますが、是非そういうケースもあるんだということで御答弁いただけますか。
○政府参考人(其田真理君) お尋ねの利用停止等の請求が認められるのは、本人の権利又は正当の利益が前提となります。したがいまして、例えば料金の支払を免れるという目的でありますとか、係争となったときに本人に不利な証拠を消去するといった目的などは正当な利益には当たらず、利用停止、消去等の請求の対象にはならないと考えられます。 また、改正法三十条第六項ただし書の規定は、一定の代替措置をとることを条件に利用停止の請求に応じないことを例外的に許容しておりますけれども、いろいろなパターンにつきましての適用についてガイドラインやQアンドAで解説をしていきたいというふうに思います。
○山田太郎君 ほとんどの質疑の回答は、ガイドラインで検討するということがほとんどでありまして、逆に言わせると、かなり生煮えなんではないかと思われるようなところもあると思っているんですが。 もう一つ、これ、三十条も強行法規なのか任意法規なのかって大事な問題もありまして、これ何かというと、民間の方で利用規約がありますと、この個人情報保護法と民間の規約がぶつかった場合ですよね。例えば、民間の方ではどれぐらい、さっきの話の逆ですけど、取っておきますということを決めた、でも個人情報保護法の要請から即時消すに当たるだろう、こんなようなことがあった場合にどういうふうに考えればいいのか、その辺りも御答弁いただけますか。
○政府参考人(其田真理君) 先ほどから御指摘をいただいておりますとおり、個人情報取扱事業者が利用停止等の請求に応じることは個人情報保護法上の義務でございます。今お尋ねいただきましたその民民で、当事者間の利用規約において利用停止の請求に応じない旨を定めた場合でありましても、そのような合意は無効でございまして、個人情報保護法上の義務に違反した場合は委員会からの勧告、命令等の執行権限の対象となり得るものと考えております。
○山田太郎君 ということなので、これも会社の法務としてはすごく重要なことになってくると思いますので、お願いします。 それともう一つ、先ほどのちょっとことをもう一度確認ということでこれ質問しておきたいんですが、利用停止等を請求を受ける個人の事業、個人事業取扱事業者ということの範囲なんですけれども、これさっき言ったように、私は、法人とか商売を行っている事業者、こんなものが対象なのかなと当初は思っていたんですが、どうも町内会とか個人的手芸サークル、宗教法人あるいは政治団体等も利用停止の請求の対象になるのかどうか、具体的に御答弁いただきたいと思います。
○政府参考人(其田真理君) この個人情報保護法上の個人情報取扱事業者とは、個人情報データベース等を事業の用に供している者のうち、国の機関等を除外した者でございます。ここで言う事業とは、一定の目的を持って反復継続して遂行される行為でございますので、社会通念上事業と認められるものを指しまして、営利、非営利の別は問わないとされております。御指摘のようなサークルなども含めてその対象となります。 この点につきましては、前回の個人情報保護法改正以降、個人情報保護委員会でも全国で説明会を行いまして、例えば自治会における名簿の作り方といったようなパンフレットも作りまして周知、広報に努めているところでございます。
○山田太郎君 これはほとんどの国民が知らないと思うんですよ。結構これ、私も本当に会社ぐらいの、大企業の話なのかと当初思った。もうこれ、中小企業でもそうです。中小企業どころか普通の任意のサークルも、事業者と書いてあるから何となくいわゆる利益の団体なのかなと思ったら、そうじゃないと、単なる任意の集まりに対しても対象だということになると、その人たちまでこのいわゆる個情法を周知徹底して、守っていかなきゃいけない。その請求、かなり、さっきもお話ししたんですが、ガイドラインがこれから相当細かく具体的かつ、でもそれを本当に個人にきちっと、個々の個人、国民全員に周知徹底させられるのか、相当不安なところもありますので、もうこれは頑張っていただきたいとしか言いようがないんですけれども、お願いしたいと思います。 さて、時間も限られてきましたのでちょっと、ずっと飛ばしまして、十番の開示ですね、改正法二十八条の件に関して少し行きたいというふうに思っています。(発言する者あり)いやいや、まだまだあって、半分行くかどうかなんですけど。 開示のですね、改正法二十八条なんですけれども、今回の改正法だと二十八条が改正されまして、保有個人データの開示方法について、電子記録の提供とかも含めて本人が提供できるようになるということにはなったんですね。ただ、具体的にどんな開示方法が認められているかということは多分明らかになっていないと思っています。 そこで、電磁的開示の提供による方法の具体的ケース、それはどうなっているのか、御答弁いただけますか。
○政府参考人(其田真理君) 委員会規則で定めることにつきましては、現時点では、書面の交付、電磁的記録といったような粒度での規定を想定をしております。どのような電磁的記録ということかということにつきましては、一般的なそのメールでありますとか電子媒体であるというようなことを、こちらもガイドラインなどで、またちょっとお叱りを受けそうですけれども、示してまいりたいというふうに思います。
○山田太郎君 それはきちっと定めてほしくて、PDFが該当するのかとかメールは該当するのかとか、さっぱり分からないんですね。そういう意味で、ちょっとそういうところについてもまたガイドラインということなんですけれども、是非しっかり書き込んで周知徹底をお願いしたいというふうに思っています。 それから、開示請求に応じる際の手数料の徴収という問題に関しても少し触れていきたい、質疑させていただきたいんですが、今回の改正後、電子メール等の実費が掛からない方法による開示を行う場合でも、事業者は手数料の徴取が可能なのかどうかという辺り、これも御答弁いただけますか。
○政府参考人(其田真理君) 現行法上も、個人情報取扱事業者は、実費を勘案して合理的であると認められる範囲内において、手数料の額を定めなければならないとなっております。実費という概念につきましては、郵送料だけではなくて、対象情報の検索、内容の確認、通知等の事務等々の費用についても勘案することができると解されております。 したがいまして、電子メールによって開示を行う場合であっても、合理的であると認められる範囲内において手数料を徴収することは可能であると考えております。
○山田太郎君 私は、ヨーロッパの、例えばGDPRなんかでは原則としてデータ管理者が個人データの提供に手数料を課すことは禁じているんですね。私もそこはちょっと慎重に本来議論をするべきだというふうに思っていまして、というのは、このデータがどんどん逆に売買されてしまうかもしれないと。もちろんデータ銀行なんという構想もあったりするんですが、それを個情保さんとしてはやっぱり、ヨーロッパなんかは、先進国、個人情報データ管理の先進国であるヨーロッパを倣って、その辺りの手数料に関してどうあるべきなのか、そうでないと趣旨からして真逆のことを誘発してしまうというふうにも思っております。 改めてその辺り御検討いただきたいと思いますが、いかがですか。
○政府参考人(其田真理君) これは、慣行ということもございますし、それから実際に企業の負担であったりとか、あるいはどのぐらいの請求が来るかということもありますので、実際にその実態を見ながらまた考えてまいりたいというふうに思います。
○山田太郎君 これもまた実態で考えるということなんですけれども、ちょっと済みません、時間が少しありました。一問だけ行けるかなと。二番に戻ります。 不適切な利用の禁止、これ改正法の十六条の二なんですけれども、この文言も、不当な行為を助長し、又は誘発するおそれがある場合ということで、ただ、この文言もやっぱり抽象的なんですね。違法行為についてということであれば分かりやすいんですが、不当となってしまうと幅広く取られる可能性があるというふうに思っています。 これも萎縮につながらないようにガイドラインの記載を充実すべきだと思いますが、その点を含めて、具体的にどんな基準、どんなものが当たるのか、これも御答弁いただけますでしょうか。
○政府参考人(其田真理君) お尋ねの不当な行為を助長し、又は誘発するおそれのある方法による個人情報の利用の具体的な例、今想定されるものといたしましては、暴力団員や総会屋に該当する人物の情報や、不当な要求による被害を防止するための業務を行う責任者、担当者の名簿等をみだりに開示したりその存在を明らかにすることといったようなことが想定をされます。
○山田太郎君 もうほぼ時間がないのでまとめたいと思うんですが、まだまだ聞きたいこといろいろあって、半分ぐらいやっと行ったんですが、また個別にも、今後重要だと思いますので、これは直接もういろいろやらせていただきたいと思いますが。 ただ、いずれにしても、今日質疑の中ではっきりしたことは、かなり不明瞭な点が多いということが一点、それをガイドラインというんですが、そんなガイドラインを商売やっている人や個人が本当に読むのかなというのはすごく心配であります。そういう意味で、ガイドラインの充実を図ると同時に、特に周知徹底をどうやるのか。 私は、今回の質疑の中で特に問題だと思っていたのは、企業よりも、先ほど申し上げた個人の団体ですよね、こういったところにまで今回すごく影響を及ぼすんだという辺り、多分ほとんどの国民は知らないというふうに思っています。そこで個人情報保護法違反じゃないか、こう言われたって、知らなかったよということでこの法律がきちっと回らなくなるということも問題が多いと思っておりますので、その辺りを含めてしっかり、今後、個人情報保護委員会、それから特定電子メールの方もありますので、総務省さんも協力をしていただいてやっていただきたいと思っています。 結論としては、個人情報を守っていくということは当然大事なことですから、総論は賛成しておりますけど、個別には大きな問題があるということだけ付け加えさせていただいて、私の質問を終わらせていただきたいと思います。 ありがとうございました。