寺田眞治
内閣委員会
寺田眞治の発言 (内閣委員会)
⚠️ コピーしたテキストを転載する際は、転載元URL(kokkai-data.com)および原典URL(kokkai.ndl.go.jp)を必ず残してください。発言内容の改変・出典削除は禁止です。 詳細は利用規約をご確認ください。
○寺田参考人 モバイル・コンテンツ・フォーラムの寺田と申します。
本日は、貴重な機会をいただきまして、まことにありがとうございます。
まず、モバイル・コンテンツ・フォーラム、略してMCFと申しますが、当団体について簡単に御説明させていただきます。
スマートフォン、皆さん、持っていらっしゃる方も非常に多いかと思いますが、この市場の拡大に伴って、三年で市場規模で二倍、今三兆余りになっている、非常に新しい業界で急激に伸びている、そういった団体になります。
その一方で、スマートフォン、これまでにも問題があったとおり、皆様の個人情報、いろいろ漏えいしたりとか勝手に取得したりといった問題が多くありましたので、それに対して三年前にガイドラインをつくり、プライバシーを守っていく、そういった活動を非常に重視している団体でもあります。
お手元の資料を参考に、順番にお話をさせていただきます。
四ページのところに要旨をまとめさせていただいております。グローバル化の対応、あるいは変化への対応の迅速化、それに、事業者だけではなく、官民挙げて、消費者も含めて、マルチステークホルダーでいろいろと考えていきましょうということで、今回の法案、私どもは非常に評価しております。
その一方で、まだ議論が十分ではない部分、あるいは、運用を間違えるとかえって規制になってしまうような部分、そういったところがあるのではないかというふうに危惧をしております。こういった部分に関しましても、マルチステークホルダーでバランスのとれた協議をしながら決めていけるような、そういった制度にしていただきたい、そういうふうに要望しております。
続きまして、具体的な内容になりますが、こちらの方はこれまでの審議の中でも随分さまざまなお話があって、明確になってきた部分もあるかと思います。ですので、重複する部分はあるのですが、改めて私どもとしましての要望等についても述べさせていただきます。
まず、個人情報の定義についてです。
こちらは、まだまだ決めなければいけない部分はたくさんあるかと思います。曖昧な部分、個人情報だけではなく、例えば要配慮個人情報、こういったところに関しても、具体的に何が該当するのかといったところに関してまだまだ議論が足りていないところがあるのではないかというふうに感じております。
こういったところで、実際に現在一般的に使われているようなもの、特に要配慮個人情報では、事業者サイドで気にしていることは、病状といったところで例えば風邪、身分に関しましても社会人とか学生とか、こういったものまで何らかの影響があるのではないかという心配を持っております。
そういったことが、あり得ないとは思うんですが、明確化するためにも、こういったところというのは、ぜひ、業界団体あるいは消費者の方々ともコンセンサスをとりながらしっかりとしたものをつくっていけるように、そういったことを期待しております。
続きまして、匿名加工情報につきましてです。ここは七ページになります。
匿名加工情報という言葉それから定義、こういったものが非常に新しいものになっております。本来は、安全に利活用できるようにするための仕組みとしてつくられたものだというふうに理解しておりますが、幾つか気になる点がございます。
一つ目の、復元できないようにしましょうという、こういった部分。当然のことながら、暗号化したものを総当たりで解いていくといった非現実的なこと、こういったことにはならないとは思いますが、やはりどこかできっちりと、一般的に見て簡単には復元できないといったような表現というのが必要ではないかなというふうに感じております。
大きな問題としては二つ目になります。
いわゆる匿名加工情報、何らかの個人情報を加工した場合に全て匿名加工情報になってしまいます、それによって新しい規制がかかってきますという部分に関しては幾つか問題がございます。
一つの企業の中で業務委託をする場合、安全管理措置として、不必要な情報というのはもう削ってしまいましょうといった形で委託先に出すことが多いんですが、これを匿名加工情報であると定義づけされてしまいますと、個人情報として扱っている、その上にさらに、匿名加工情報として公表しなければならないとか、一定の方法によらなければ加工することができないとか、こういった二重規制がかかってきてしまう、そういうおそれがあります。
現実的にそういうことが起こらないようにというのを今後皆様との間でしっかりとお話をしていかないといけないと思っていますが、こういった運用上気になるところというのがありますことをぜひ認識していただきたいと思っております。
八ページ目のところになりますが、これも同じような意味合いのところがございます。
項目を公表しましょう、どういった加工をしたのか、その加工の内容について公表しましょうといったような内容になってしまうのですが、これは、一律に決めてしまいますと、わざわざ、どういった加工をしたんですよというヒントを外部に漏らしてしまうことになります。せっかく安全のために加工したにもかかわらず、それを復元化しやすいような、そういった内容を公表するようなことになっては本末転倒でございますので、こういった点についてもしっかりと議論していただきたいと思っております。
九ページ目以降、私どもが最も今回お話ししたいところでございます。自主規制ルールの活用ということになります。
こちら、パーソナルデータの制度改正大綱では、民間の自主的な取り組みを活用とありまして、大きな柱の一つになっておりました。ところが、今回の法案の中には余りうまく表現されていないというふうに感じております。
個人情報保護委員会で非常に膨大な量を決めていかなければいけないというのは現実的にかなり無理があるだろうと思っています。それに関して、民間をしっかり使っていただきたいというのがあります。
どれぐらいこの後決めなければいけないことがあるかと申し上げますと、実は、後ろ二ページほど、参考資料として、今回の法案でまだ決まっていない内容というのがどれほどあるのか、それをどこで決めなければいけないのかということを簡単にまとめさせていただいております。これだけのものを決めていく、しかも、議論が非常に複雑なもの、高度なものがございます。こういったことに関しては、ぜひ民間をうまく使っていただきたいと考えております。
この部分に関して、運用上で何とかしましょうというお話もあるかとは思いますが、ぜひどこかで民間の使い方についても言及していただきたいなと。場所でいきますと、個人情報保護委員会が今後基本方針というのを策定されるかと思います。こういった中でぜひとも表現していただければいいのではないかというふうに考えております。
十ページ目、同じく活用についてなんですが、こちらの方で、指針について、認定個人情報団体にてマルチステークホルダーによる会議を経て決めましょう、そういった内容が書かれております。しかしながら、これに関して何らかのインセンティブというのがどこにもない状態になっています。
極端な話をしますと、民間で手間暇かけて指針をつくってください、それ以降に関しては全て委員会の方で権限を行使して執行いたしますというような読み方になります。投げられてしまった後、認定個人情報保護団体に、肝心の権利であったりとか何らかの執行をする、そういったものが持たされていない、インセンティブがないという状態に陥っています。
こういった部分に関しましても、ぜひとももう一度、今後の議論の中で、認定個人情報保護団体が何をすべきか、そのためには何を与えるべきか、そういったことについても検討していただきたいと思っています。
特に、問題が発生しましたといったようなときに、認定個人情報保護団体を通さずに直接企業さんの方に権限を行使するといった場合には、認定個人情報保護団体がすべき実際の仕事というのが失われてしまうことになります。
こういったことがないように、あるいは、せっかくマルチステークホルダープロセスでつくっていく非常に高度な内容、しかも消費者の方々との間でコンセンサスがとれたものになりますので、こういったものは委員会規則であったりそういったところにさらにフィードバックして反映させていただけるような仕組み、そういったものもぜひ考えていただきたいと思っています。
参考資料として十一ページ目、これは欧米の仕組みです。
こちらの方は、EUの方でも現在の規則案とかそういった中で表現されています。二月に発表されたアメリカの方のプライバシー法案のドラフトに関しても、明らかにここに書かれている内容そのものをベースとしたドラフト案となっております。こういったところをぜひ意識していただいたような、そういった内容で考えていただきたいと思っております。
続きまして、十二ページ目、第三者提供に係る確認及び記録の作成についてになります。
こちらは、先ほど長田様の方からもお話がございましたとおり、煩雑な記録、必要以上の記録をとらなければいけない、確認をとらなければいけないということになること、これを一番危惧しております。
特に、内容の多少細かい部分になるんですが、こちらはもともとデータベース、いわゆる名簿を意識したようなものとしてつくられたものであったんですが、例えばデータベースを一件一件に分けてしまって出していくような形になると、潜脱行為的なところ、脱法的なことになるということで、データベースではなく個人データという書き方に変わっております。これによって脱法行為的なものは抑えられることになりましたが、そのかわりの副作用というのが非常に大きく出てきてしまっております。
SNSであるとかブログ、こういったものを閲覧するとか、これが第三者提供に当たるのか当たらないのか、ここはまだまだ議論が尽くされていないところはあるんですが、こういったものまで第三者提供に当たるということになってしまいますと、違法な書き込みがあるのでそこを確認してくださいといって事業者が見に行った場合、その瞬間に第三者提供になりますということになると、一件一件全て記録をしていかないといけない。しかも、その記録の内容が、受ける側、受領する側には、氏名または名称、それから住所というものが既に法律の中で必須事項のように書かれてしまっています。
本来、ネット系の世界では、IPアドレスであったりとか通信ログ、まあIPアドレスは住所に当たるものですけれども、こういったものを使うことでトレーサビリティーというのが確保されているにもかかわらず、住所といったようなものが加わってしまうというのは非常に、そういった運用になってしまった場合には、現実的にやることができるのかといえば不可能に近い状態に陥ってしまいます。こういった点につきましても、ぜひとも議論していただきたいというふうに考えております。
最後、十三ページ目、十四ページ目、こちらはこれまでにも委員会の中で何度もお話があったことかと思いますが、簡単にざっとまとめさせていただいております。グローバル対応です。
最も私どもが危惧しておりますのは、日本だけが特別な形になってしまいました、であればサーバー群は海外に置いた方がいい、さらに、海外から日本に進出しようとしている企業も、日本の中にサーバーを置いたりとか日本の中に事業所を置くことはせずにオフショアから全てコントロールするような、そういったことが起きないように、日本が不利な立場に置かれないようにということをぜひ今後とも詰めていただきたいと思っております。
それから、個人データの遅滞なく消去ということで、集めたデータは必要がなくなれば消去してくださいということなんですが、これは必要がなくなった段階というのが非常に難しい判断を求められるところがあります。こういったところにつきましても、一定程度は我々事業者を信頼していただく形で、それについては指針でしっかりと手当てをしていくという形で考えていただければと思っております。
安全管理措置、こちらにつきましても、現在、さまざまな民間団体による認定基準というのが存在します。プライバシーマークもそうですし、ISMSとかさまざまなものがございますので、こういったものを民間団体と連携しながらうまく活用していただければというふうに思っています。
それから、認定個人情報保護団体、こちらは今後非常に重要な立場になってくるかと思います。とはいえ、簡単に民間のところからどんどん立ち上がってこられるのかといえば、そう簡単なものでもございません。
団体を認定する基準といったものがどういうものであるのかというものも含め、手続等、この法律が施行されてからさあ立ち上がりますという状態でやると、いつまでたっても具体的に業界の中で規律を守っていくことができないということになりますので、できるだけ早い段階からぜひ政府として支援をしていただきたい、そういったことを考えております。
さらに、専門委員、こちらの方も、委員会の中あるいは各団体からもお話があったかと思いますけれども、特に我々新興の業界団体、こういったものというのは、なかなか、政府の皆様との関係というのは多くございません。委員会、専門委員とかをつくられた際に、委員として選ばれる可能性というのが非常に低い、そういったところがございますので、ぜひ、そういったことに関しても、今後、業界が広がっていく、そういった中で検討していただければというふうに思っております。
以上、私からの意見になります。どうもありがとうございました。(拍手)
本日は、貴重な機会をいただきまして、まことにありがとうございます。
まず、モバイル・コンテンツ・フォーラム、略してMCFと申しますが、当団体について簡単に御説明させていただきます。
スマートフォン、皆さん、持っていらっしゃる方も非常に多いかと思いますが、この市場の拡大に伴って、三年で市場規模で二倍、今三兆余りになっている、非常に新しい業界で急激に伸びている、そういった団体になります。
その一方で、スマートフォン、これまでにも問題があったとおり、皆様の個人情報、いろいろ漏えいしたりとか勝手に取得したりといった問題が多くありましたので、それに対して三年前にガイドラインをつくり、プライバシーを守っていく、そういった活動を非常に重視している団体でもあります。
お手元の資料を参考に、順番にお話をさせていただきます。
四ページのところに要旨をまとめさせていただいております。グローバル化の対応、あるいは変化への対応の迅速化、それに、事業者だけではなく、官民挙げて、消費者も含めて、マルチステークホルダーでいろいろと考えていきましょうということで、今回の法案、私どもは非常に評価しております。
その一方で、まだ議論が十分ではない部分、あるいは、運用を間違えるとかえって規制になってしまうような部分、そういったところがあるのではないかというふうに危惧をしております。こういった部分に関しましても、マルチステークホルダーでバランスのとれた協議をしながら決めていけるような、そういった制度にしていただきたい、そういうふうに要望しております。
続きまして、具体的な内容になりますが、こちらの方はこれまでの審議の中でも随分さまざまなお話があって、明確になってきた部分もあるかと思います。ですので、重複する部分はあるのですが、改めて私どもとしましての要望等についても述べさせていただきます。
まず、個人情報の定義についてです。
こちらは、まだまだ決めなければいけない部分はたくさんあるかと思います。曖昧な部分、個人情報だけではなく、例えば要配慮個人情報、こういったところに関しても、具体的に何が該当するのかといったところに関してまだまだ議論が足りていないところがあるのではないかというふうに感じております。
こういったところで、実際に現在一般的に使われているようなもの、特に要配慮個人情報では、事業者サイドで気にしていることは、病状といったところで例えば風邪、身分に関しましても社会人とか学生とか、こういったものまで何らかの影響があるのではないかという心配を持っております。
そういったことが、あり得ないとは思うんですが、明確化するためにも、こういったところというのは、ぜひ、業界団体あるいは消費者の方々ともコンセンサスをとりながらしっかりとしたものをつくっていけるように、そういったことを期待しております。
続きまして、匿名加工情報につきましてです。ここは七ページになります。
匿名加工情報という言葉それから定義、こういったものが非常に新しいものになっております。本来は、安全に利活用できるようにするための仕組みとしてつくられたものだというふうに理解しておりますが、幾つか気になる点がございます。
一つ目の、復元できないようにしましょうという、こういった部分。当然のことながら、暗号化したものを総当たりで解いていくといった非現実的なこと、こういったことにはならないとは思いますが、やはりどこかできっちりと、一般的に見て簡単には復元できないといったような表現というのが必要ではないかなというふうに感じております。
大きな問題としては二つ目になります。
いわゆる匿名加工情報、何らかの個人情報を加工した場合に全て匿名加工情報になってしまいます、それによって新しい規制がかかってきますという部分に関しては幾つか問題がございます。
一つの企業の中で業務委託をする場合、安全管理措置として、不必要な情報というのはもう削ってしまいましょうといった形で委託先に出すことが多いんですが、これを匿名加工情報であると定義づけされてしまいますと、個人情報として扱っている、その上にさらに、匿名加工情報として公表しなければならないとか、一定の方法によらなければ加工することができないとか、こういった二重規制がかかってきてしまう、そういうおそれがあります。
現実的にそういうことが起こらないようにというのを今後皆様との間でしっかりとお話をしていかないといけないと思っていますが、こういった運用上気になるところというのがありますことをぜひ認識していただきたいと思っております。
八ページ目のところになりますが、これも同じような意味合いのところがございます。
項目を公表しましょう、どういった加工をしたのか、その加工の内容について公表しましょうといったような内容になってしまうのですが、これは、一律に決めてしまいますと、わざわざ、どういった加工をしたんですよというヒントを外部に漏らしてしまうことになります。せっかく安全のために加工したにもかかわらず、それを復元化しやすいような、そういった内容を公表するようなことになっては本末転倒でございますので、こういった点についてもしっかりと議論していただきたいと思っております。
九ページ目以降、私どもが最も今回お話ししたいところでございます。自主規制ルールの活用ということになります。
こちら、パーソナルデータの制度改正大綱では、民間の自主的な取り組みを活用とありまして、大きな柱の一つになっておりました。ところが、今回の法案の中には余りうまく表現されていないというふうに感じております。
個人情報保護委員会で非常に膨大な量を決めていかなければいけないというのは現実的にかなり無理があるだろうと思っています。それに関して、民間をしっかり使っていただきたいというのがあります。
どれぐらいこの後決めなければいけないことがあるかと申し上げますと、実は、後ろ二ページほど、参考資料として、今回の法案でまだ決まっていない内容というのがどれほどあるのか、それをどこで決めなければいけないのかということを簡単にまとめさせていただいております。これだけのものを決めていく、しかも、議論が非常に複雑なもの、高度なものがございます。こういったことに関しては、ぜひ民間をうまく使っていただきたいと考えております。
この部分に関して、運用上で何とかしましょうというお話もあるかとは思いますが、ぜひどこかで民間の使い方についても言及していただきたいなと。場所でいきますと、個人情報保護委員会が今後基本方針というのを策定されるかと思います。こういった中でぜひとも表現していただければいいのではないかというふうに考えております。
十ページ目、同じく活用についてなんですが、こちらの方で、指針について、認定個人情報団体にてマルチステークホルダーによる会議を経て決めましょう、そういった内容が書かれております。しかしながら、これに関して何らかのインセンティブというのがどこにもない状態になっています。
極端な話をしますと、民間で手間暇かけて指針をつくってください、それ以降に関しては全て委員会の方で権限を行使して執行いたしますというような読み方になります。投げられてしまった後、認定個人情報保護団体に、肝心の権利であったりとか何らかの執行をする、そういったものが持たされていない、インセンティブがないという状態に陥っています。
こういった部分に関しましても、ぜひとももう一度、今後の議論の中で、認定個人情報保護団体が何をすべきか、そのためには何を与えるべきか、そういったことについても検討していただきたいと思っています。
特に、問題が発生しましたといったようなときに、認定個人情報保護団体を通さずに直接企業さんの方に権限を行使するといった場合には、認定個人情報保護団体がすべき実際の仕事というのが失われてしまうことになります。
こういったことがないように、あるいは、せっかくマルチステークホルダープロセスでつくっていく非常に高度な内容、しかも消費者の方々との間でコンセンサスがとれたものになりますので、こういったものは委員会規則であったりそういったところにさらにフィードバックして反映させていただけるような仕組み、そういったものもぜひ考えていただきたいと思っています。
参考資料として十一ページ目、これは欧米の仕組みです。
こちらの方は、EUの方でも現在の規則案とかそういった中で表現されています。二月に発表されたアメリカの方のプライバシー法案のドラフトに関しても、明らかにここに書かれている内容そのものをベースとしたドラフト案となっております。こういったところをぜひ意識していただいたような、そういった内容で考えていただきたいと思っております。
続きまして、十二ページ目、第三者提供に係る確認及び記録の作成についてになります。
こちらは、先ほど長田様の方からもお話がございましたとおり、煩雑な記録、必要以上の記録をとらなければいけない、確認をとらなければいけないということになること、これを一番危惧しております。
特に、内容の多少細かい部分になるんですが、こちらはもともとデータベース、いわゆる名簿を意識したようなものとしてつくられたものであったんですが、例えばデータベースを一件一件に分けてしまって出していくような形になると、潜脱行為的なところ、脱法的なことになるということで、データベースではなく個人データという書き方に変わっております。これによって脱法行為的なものは抑えられることになりましたが、そのかわりの副作用というのが非常に大きく出てきてしまっております。
SNSであるとかブログ、こういったものを閲覧するとか、これが第三者提供に当たるのか当たらないのか、ここはまだまだ議論が尽くされていないところはあるんですが、こういったものまで第三者提供に当たるということになってしまいますと、違法な書き込みがあるのでそこを確認してくださいといって事業者が見に行った場合、その瞬間に第三者提供になりますということになると、一件一件全て記録をしていかないといけない。しかも、その記録の内容が、受ける側、受領する側には、氏名または名称、それから住所というものが既に法律の中で必須事項のように書かれてしまっています。
本来、ネット系の世界では、IPアドレスであったりとか通信ログ、まあIPアドレスは住所に当たるものですけれども、こういったものを使うことでトレーサビリティーというのが確保されているにもかかわらず、住所といったようなものが加わってしまうというのは非常に、そういった運用になってしまった場合には、現実的にやることができるのかといえば不可能に近い状態に陥ってしまいます。こういった点につきましても、ぜひとも議論していただきたいというふうに考えております。
最後、十三ページ目、十四ページ目、こちらはこれまでにも委員会の中で何度もお話があったことかと思いますが、簡単にざっとまとめさせていただいております。グローバル対応です。
最も私どもが危惧しておりますのは、日本だけが特別な形になってしまいました、であればサーバー群は海外に置いた方がいい、さらに、海外から日本に進出しようとしている企業も、日本の中にサーバーを置いたりとか日本の中に事業所を置くことはせずにオフショアから全てコントロールするような、そういったことが起きないように、日本が不利な立場に置かれないようにということをぜひ今後とも詰めていただきたいと思っております。
それから、個人データの遅滞なく消去ということで、集めたデータは必要がなくなれば消去してくださいということなんですが、これは必要がなくなった段階というのが非常に難しい判断を求められるところがあります。こういったところにつきましても、一定程度は我々事業者を信頼していただく形で、それについては指針でしっかりと手当てをしていくという形で考えていただければと思っております。
安全管理措置、こちらにつきましても、現在、さまざまな民間団体による認定基準というのが存在します。プライバシーマークもそうですし、ISMSとかさまざまなものがございますので、こういったものを民間団体と連携しながらうまく活用していただければというふうに思っています。
それから、認定個人情報保護団体、こちらは今後非常に重要な立場になってくるかと思います。とはいえ、簡単に民間のところからどんどん立ち上がってこられるのかといえば、そう簡単なものでもございません。
団体を認定する基準といったものがどういうものであるのかというものも含め、手続等、この法律が施行されてからさあ立ち上がりますという状態でやると、いつまでたっても具体的に業界の中で規律を守っていくことができないということになりますので、できるだけ早い段階からぜひ政府として支援をしていただきたい、そういったことを考えております。
さらに、専門委員、こちらの方も、委員会の中あるいは各団体からもお話があったかと思いますけれども、特に我々新興の業界団体、こういったものというのは、なかなか、政府の皆様との関係というのは多くございません。委員会、専門委員とかをつくられた際に、委員として選ばれる可能性というのが非常に低い、そういったところがございますので、ぜひ、そういったことに関しても、今後、業界が広がっていく、そういった中で検討していただければというふうに思っております。
以上、私からの意見になります。どうもありがとうございました。(拍手)
発言情報
speech_id: 118904889X00520150513_006
発言者: 寺田眞治
speaker_id: 27338
日付: 2015-05-13
院: 衆議院
会議名: 内閣委員会