個人情報の保護に関する法律案に対する意見書

はじめに

高度情報通信社会推進本部の個人情報保護検討部会が、１９９９年１１月に「我が国における個人情報保護システムの在り方について（中間報告）」（以下、「中間報告」という。）を取りまとめ、同推進本部の個人情報保護法制化専門委員会（以下、「専門委員会」という。）が２０００年６月に「個人情報保護基本法制に関する大綱案（中間整理）」（以下、「中間整理」という。）を、さらに同年１０月に「個人情報保護基本法制に関する大綱」（以下「大綱」という。）を取りまとめたが、これに対し、当連合会は、２０００年３月に「『我が国における個人情報保護システムの在り方について』（中間報告）に対する意見書」（以下、「中間報告日弁連意見書」という。）を、２０００年７月に「個人情報保護基本法制に関する大綱案（中間整理）に対する意見書」（以下、「中間整理日弁連意見書」という。）を、さらに２００１年２月に「『個人情報保護基本法制に関する大綱』に対する意見書」（以下、「大綱日弁連意見書」という）をそれぞれ専門委員会に提出してきたところである。　政府は、大綱をふまえて、「個人情報の保護に関する法律」案（以下、「本法案」又は「法案」という。）を国会に提案したが、日本弁護士連合会（以下、「日弁連」又は「当連合会」という。）は、中間報告、中間整理、及び大綱に対する当連合会の意見が必ずしも十分に検討されることなく法制化が進められた経緯をふまえて、以下のとおり、意見書を取りまとめる。

個人情報の保護に関する法律（案）に対する意見書

第１　意見の趣旨

１.

本法案については公的部門に対する規制を先送りしていること、すべての民間部門を規制対象とし、厳格な構成要件によらないままで両罰規定を伴う罰則規定を含むものとなっていること等にかんがみ、個人情報保護の名の下に民間の情報を国家がコントロールする民間規制法というべき極めて危険性の高い法案であり、公的部門個人情報保護法案及び個人信用情報、医療、電気通信事業、教育等の各分野における個人情報保護の個別法案との調整のうえでの抜本的修正がなされない限り、本法案については反対する。

その理由は、以下、各条ごとに述べる意見を総合して判断したものである。特に、大綱では検討されていない条項が随所にあり、この部分は、パブリックコメントも経ていないのであるから、拙速に審議可決されるべきではない。

２.

本法案について、弁護士、弁護士法人、弁護士会及び日弁連は、報道機関、学術研究機関、宗教団体及び政治団体についての法案５５条と同様に、個人情報取扱事業者の義務規定の適用除外とされるべきであり、または、特殊法人に準ずるものとして個人情報取扱事業者から除外されるべきである。そうでないとしても、主務大臣についての法案第３７条ないし５４条の規定の適用除外とされるべきである。

その理由は、以下、第７（適用除外）、第６の１７（報告の聴取等）、第６の１４（主務大臣）で述べるとおりである。

３.

電子政府の実現にあたり、公的部門を対象とした個人情報保護に関する法整備が優先的に策定されるべきであり、それまで改正住民基本台帳法は施行されるべきではない。また、個人信用情報、医療、電気通信事業、教育等の各分野における個人情報保護について、その特性を考慮したうえで、必要な限りで罰則を伴った個別法が速やかに制定されるべきである。

その理由については、大綱日弁連意見書第１（１～３頁）で述べたとおりである。特に、公的部門の個人情報保護について、当連合会が求めるのは、下記の原則を骨子とするものであり、その内容は１９９８年に発表した個人情報保護法大綱のとおりである。

記

１. 対象

個人情報を扱うすべての行政機関であり、電算機処理情報だけでなくマニュアル情報も含む。

２. 規制

個人情報の収集、利用等について、個人情報保護のための基本原則を徹底して適用する。。

３. 情報主体の権利

開示請求権、訂正請求権を権利として明記する。

４. 第三者機関の設置

個人情報保護のための独立行政委員会を設置する。

第２　目的について（第１条）

１.

第１条が、「個人の権利利益を保護すること」を主たる目的とし、個人情報の有用性に対する配慮と並立的に把えなかったことは否定しないが、さらに「個人のプライバシーその他の権利利益を保護すること」を明記すべきである。

その理由は、大綱日弁連意見書第２（３～４頁）で述べたとおりである。

２.

また、「国及び地方公共団体の責務を明らかにする」ことが明確にされたので、国及び地方公共団体は、直ちに個人情報保護制度を整備すべきである。

第３　定義について（第２条）

大綱においては、定義規定が独立して設けられていなかったが、法案で独立した条項とされたことは評価できる。

１. 個人情報

個人情報を「特定の個人を識別することをできるもの」とすることは妥当である。ただし、これを生存する個人に限定することが妥当かは、さらに検討の余地がある。

２. 個人情報データベース等

個人情報データベースの定義としては概ね妥当であり、電子計算機を用いなくても個人情報を容易に検索できるものは含まれることも賛成である。

３. 個人情報取扱事業者

1. 国の機関等が除外されているが、国の機関は、民間の事業者より厳しい個人情報保護の規定が適用されるべきである。国の機関等の個人情報保護制度がまず検討されなければならない。
2. 「個人情報保護取扱事業者」の定義については大綱日弁連意見書第３（４～５頁）と同様であるが、個人の権利利益を害するおそれが少ないか否かの判断を全て政令に委ねることは問題である。法律でその基準を明確にすべきである。

４. 保有個人データ

大綱では、単に「個人データ」となっていたものを、定義し直したことは評価できるが、政令に委ねることとなる「公益その他の利益が害されるもの」「一年以内の期間」については大綱では何ら検討されておらず、その趣旨、目的が不明確であり、さらに検討すべき事項である。

第４　第２章　基本原則について（第３条～第８条）

本法案の条文を大綱と比較すると、第７条（安全性の確保）について、「漏えい、滅失又はき損の防止その他の安全管理のために必要かつ」が付け加えられ、第８条（透明性の確保）について、大綱では「必要な透明性が確保されること」となっていたのが、「配慮されなければならない」と変わっているが、内容についての影響はないと考えられるので、意見としては、大綱日弁連意見書第４（５～７頁）と同旨である。これを参照とされたい。

第５　第３章　国及び地方公共団体の責務等（第９条―第１１条）、第４章　個人情報の保護に関する施策等、第１節　個人情報の保護に関する基本方針（第１２条）、第２節　国の施策（第１３条―第１５条）、第３節　地方公共団体の施策（第１６条―第１８条）、第４節　国及び地方公共団体の協力（第１９条）

第１で述べたとおりの意見であり、また、これに関連する詳細は大綱日弁連意見書第６（１７～１９頁）、第７（２１～２２頁）で述べたとおりである。

第６　第５章　第１節　個人情報取扱事業者の義務等（第２０条～第２７条）

１. 第２０条（利用目的の特定）

大綱では、利用目的を「明確にする」となっていたが、条文では、「できるかぎり特定する」となっており、利用目的の変更の限界について、大綱の「一般的に合理的と考えられる範囲」に対し、条文は「相当の関連性を有すると合理的に認められる範囲」となっている。

前者については、利用目的を可能な限り具体化するという観点からは、意味的には大きな差異はなく、特段の問題はないと考えられる。

後者については、「一般的に」が「相当の関連性を有する」と修正されたことは、若干の前進であると思われるが、利用目的拘束性の観点からすると、かなり抽象的であることには変わりがない。この点は、大綱日弁連意見書第５、２（６頁）を参照されたい。

２. 第２１条（利用目的による制限）

大綱と比較すると、第２項、第３項１号、３号、４号が加わっている。また、本条の適用をしない場合の一つとして「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」が挙げられているが、ここは、大綱では「生命、身体又は財産の保護のために緊急に必要がある場合」となっていた。さらに、大綱では、「あらかじめ本人の同意がある場合」が適用除外の一場合とされていた。

最後の「あらかじめ本人の同意がある場合」の削除については、第１項に「あらかじめ本人の同意を得ないで」という文言が入ったので問題はない。

２番目の文言修正についても、趣旨としては大きな違いはないのであろう。しかし、後述する第２３条第２項ただし書において、「人の生命、身体又は財産の保護のために緊急に必要がある場合」となっていることから考えると、やはり違いがあると想定せざるを得ないのであって、どのような違いがあるのか明確にすべきである。仮に違いがないというのであれば、同じ文言にすべきである。

１番目の条項の追加についてであるが、第２項、第３項１号、３号については特段の問題はないと考えられる。第３項４号であるが、趣旨としては理解できるが、「当該事務の遂行に支障を及ぼすおそれがあるとき」というのは、情報公開法の非開示情報に係る規定の規定振りなどと同様、判断基準としてあいまいであるとの感は否めない。

３. 第２２条（適正な取得）

大綱では、単に「適法かつ適正な方法」であったのが、「偽りその他不正の手段により」と修正されている。一歩前進であるとは思うが、具体的内容に乏しいことには変わりがない。この点については、大綱日弁連意見書第５、２（８～９頁）を参照されたい。

４. 第２３条（取得に際しての利用目的の通知等）

取得に際しての利用目的の通知等に関して規定の追加・整備がなされている。

第２項ただし書の「緊急に必要がある場合」及び第４項３号の「当該事務の遂行に支障を及ぼすおそれ」の各文言については、上記２で言及したとおりである。

５. 第２４条（データ内容の正確性の確保）、第２５条（安全管理措置）、第２６条（従業員の監督）、第２７条（委託先の監督）

大綱とほとんど変わりなく、これらの点の問題点については、大綱日弁連意見書第５、３（９頁）を参照されたい。

６. 第２８条（第三者提供の制限）

(１)

法案が第２８条第１項において、「法令に基づく場合」を、あらかじめ本人の同意を得ないで個人データを第三者に提供できる場合として規定したのは、大綱日弁連意見書にしたがったものであり、妥当である。

ただし、同条第１項には、大綱にはなかったところの、

「三　公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。」

「四　国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。」が付加されている。

このうち「公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合」とは、医療現場において、病院や厚生労働省が意識不明の患者から臨床データを収集する必要性等を考慮したものと考えられるので、かかる例外規定自体はやむを得ないものといえるが、その運用は厳格に行われるべきである。

次に４号の「本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき」とは極めて曖昧かつ抽象的な規定であり、かかる判断を第一次的には当該事務を行う「国の機関若しくは地方公共団体又はその委託を受けた者」が行うとすれば、事実上、恣意的な運用が行われる危険性があり、かかる抽象的な例外規定は妥当ではない。加えて、かかる例外規定に基づき、個人データが「国の機関若しくは地方公共団体又はその委託を受けた者」に提供される場合でも、かかる個人データの提供を受けた第三者のうち、現時点では国の機関のみが「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」の適用を受けるだけであり、しかもその内容はファイル単位の個人情報の保護であって、本法の立法趣旨に全く合致していないことに加え、その余の第三者については、全く本法の個人情報取扱事業者としての具体的な義務を負担しない可能性があるので、第三者として個人データの提供を受けた者に対する個人情報保護義務を大至急立法化すべきである。

(２)

加えて、法案第２８条第２項では、「第三者に提供される個人データ」に関しては、一定の要件の基にこれを許容しているが、そもそも、第三者に提供することを前提とした個人情報の取得を認めて良いのかは疑問のあるところであり、その理由は大綱日弁連意見書第５、４（１１頁）で述べた。　

また、仮にかかる要件の基に個人データが第三者に提供される場合でも、提供を受けた第三者は、個人情報取扱事業者として本法に基づく義務を当然に負担するべきであり、例外はあってはならない。

更に、実際問題として、「本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること」を「本人が容易に知りえる状態に置いているとき」でも、本人がこれに気づかない可能性があることに加え、本人が第三者への提供の停止を希望したにもかかわらず、個人情報取扱事業者がこれを無視した場合はどうなるのか。

同条第２項の解釈としては、かかる取扱いを行う個人情報取扱事業者は、そもそも第２項の定める「本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合」に該当しないことになるので、同条第１項に違反することになり、法案第３２条第２項に基づき、個人情報取扱事業者は第三者への提供を停止する義務を負うことになると解釈されるが、規定の上では極めてわかりにくいと言わざるを得ない。

(３)

次に第４項では、第三者提供の例外が定められているが、条文の形式上は、第４項に基づき個人データの提供を受ける者は、そもそも個人データの提供を受ける「第三者」には該当しないとしている。しかし、第三者ではないのであれば、当然に個人情報取扱事業者として、本法に基づく各種義務を負担すべきであるが、かかる明文の規定がないのは不十分である。

なお、第１号の「個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託する場合」とは、個人データを第三者に委託する場合の要件を定めたものであるが、大綱日弁連意見書第５、４（１０、１１頁）で指摘したとおり、委託を受けた者に対する提供者側の管理責任が明記されていないのは不十分である。

第３号の「個人データを特定の者との間で共同して利用する場合」であるが、大綱の定めていた要件より、具体的な要件がより明確になったこと、及び大綱の定めていた「公表」の要件から、「本人が容易に知り得る状態に置いているとき」の要件に変更されたことは評価されるが、本人がかかる要件に基づく個人データの提供を知った後に、これを停止することを希望した場合でも、個人情報取扱事業者側で、かかる個人データの提供を停止する義務が明記されていないのは不十分である。

７. 第２９条（保有データの公表）

本条は、大綱３（４）を概ね条文化したものであり、本条に関する意見は、意見書第５、５（１２頁）に述べたとおりである。

加えて、本条では、第１項第４号にいう「保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの」として具体的に何が想定されているのかはっきりしないが、保有個人データの原則的な取得方法、とられている通知・公表の方法、第三者提供や第三者へのデータ取扱い委託の状況、保有個人データの保有期間に定めがあるときはその期間、苦情処理窓口といった事項が公表等されるべきである。

なお、他の条文にもまたがる問題であるが、本条では「本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含む）」と想定しているところ、通知公表事項に変更があった場合の対応につき、第三者提供に関する第２８条第３項では「本人に通知し、又は本人が容易に知り得る状態に置かなければならない」とし、利用目的の変更に関する第２３条第３項では「本人に通知し、又は公表しなければならない」とされ、規定の文言が異なるが、一貫性のある合理的なものか疑問があるし、具体的に何をすればよいのかも、はっきりしていない。書面の備置、主務官庁への届出等、具体的に規定すべきである。

８. 第３０条（開示）、第３１条（訂正等）、第３２条（利用停止等）について

(１)

法案が大綱の記述を承継している部分について、

1. 開示等の原則の適用除外規定が広きに失して不当であること、
2. 事業者が情報主体たる本人との信頼関係を破壊する行為を行った場合に、予めなした個人情報利用についての同意を取消し、その利用を差止め、これを削除させる権利を保障すべきであること、

については、大綱日弁連意見書第５、６（１３～１６頁）で述べたとおりである。

(２)

法案において新たに付加された部分について、

1. 法案第３２条第１、２項は、利用停止等の措置について、新たな適用除外事項として、「ただし、当該保有個人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。」と定めている。
2. しかしながら、
   1. 本人が個人データの利用停止等を求めうる場合というのは、本人の人格権であるところの、自己情報の管理権限が侵害を受けている場合にほかならない。
   2. 個人データの利用停止等について、「多額の費用を要する場合」という事態は－少なくとも、個人の人格権侵害の回復という反対利益と比較しても「多額」と言いうる事態は－想定しがたい。
   3. また、「その他の利用停止等を行うことが困難な場合」というのも、（この文言に先立つ例示があまりにも貧弱なこともあって）ほとんどそのような事態を想定することができない。
   4. 「本人の権利利益を保護するため必要なこれに代わるべき措置」という規定は、あまりにも不明瞭である。
3. 結局のところ、本ただし書きによって事業者は、本人になにがしかの代償金を支払うことによって本来利用できないはずの個人データの利用を継続することを許される結果となるものと考えられる。このような規定は、個人の自己情報管理権をないがしろにし、本立法の趣旨そのものを没却するものであって、許容できない。

９. 第３４条（開示等の求めに応じる手続）

(１)

同条は、ア　本人が開示等の求めを行う方法について事業者が定めることができ、本人は事業者の指定に従わなければならないものとし、イ　事業者が本人の求めに対して、「その対象となる保有個人データを特定するに足りる事項の提示」を求めうるものとしている。

(２)

しかるに、アは、運用によっては本人の権利行使を妨げることになるおそれが大であり、イについては、本法案の「事業者」の定義が、個人データを個人情報ファイルの形で管理しているものとしている以上、本人の特定ができさえすれば、それ以上に「その対象となる保有個人データを特定するに足りる事項の提示」を求めなければならない理由を想定することはできない。

この規定も、運用によっては本人の権利行使を妨げることになるおそれが大である。

(３)

法案は、同条４項において、事業者に、「本人に過重な負担を課するものとならないよう配慮しなければならない」との規定を設けているが、この規定は単なる訓示規定と解釈されるおそれが大きく、本人の権利行使に対する妨害を排除するための規定としては甚だ不十分である。

(４)

情報主体である個人本人の権利は、その権利の行使が容易であることによってはじめて実質的に保障される。法案の姿勢は、事業者の利便に傾きすぎていて、情報主体である個人の権利行使をあやうくするものである。

開示等を求める方法については、政令によって定める範囲内において、一次的に本人に選択権を与えるべきであり、法案はこの点において不当である。

10. 第３５条（手数料）について

(１)

法案は、

1. 開示等を求める本人から事業者が「手数料」を徴収することを許し、
2. 当該手数料について、「実費を勘案して合理的と認められる範囲内において」とのみ限定をしている。

(２)

この規定では、事業者の運用の如何によっては、本人に権利行使をためらわせるような手数料額が設定されるおそれがある。特に、手数料額が明確に実費の範囲内に制限されていないので、その危険はきわめて大きい。

この規定は、第３４条とあいまって、情報主体である個人が開示等を求めるについて大きな障害となりうる。

そもそも、個人データの管理権限は、情報主体である個人自身にある。他方、事業者が営利事業者である場合には、自己の営利の目的で、他者の個人データを蓄積してこれを利用しているものである。

そうである以上、営利事業者は、利用されている個人データの主体である本人からの開示等の求めを受けることは、個人データ利用に要するコストとして甘受すべきものである。また、営利事業者は、それに要するコストを自己の商品の価格に上乗せすることができるのであるから、このコストを営利事業者に負担させても何ら不当な結果にはならない。

(３)

したがって、

1. 開示等の求めに要する費用は、原則として事業者の負担とすべきであり、
2. 仮に本人の負担とすることがやむをえないものであるならば、手数料の額は、本人からの求めに応じるために要する直接費用の範囲内に限定されなければならない。

11. 第３６条（個人情報取扱事業者による苦情の処理）

苦情の処理の体制について、大綱日弁連意見書第５、７（１６、１７頁）では、事業者内部での個人情報を保護するための管理体制があって機能することを指摘し、「個人情報安全管理者」の配置など具体的な安全管理体制を法律に盛り込むべきであるとした。

確かに法案では、必要な体制の整備をしなければならないとしている。しかし、それは苦情処理の窓口を設けるといった程度のものでしかない。事業者内部での安全管理については結局のところなんら規定を設けなかったと言って良い。

少なくとも、安全管理のための体制整備の内容を政令等によって具体化すべきである。

12. 第３７条（主務大臣の報告の徴収）、第３８条（助言）、第３９条（勧告及び命令）

それぞれの規定は、いずれも大綱を、そのまま法律の形にしたものである。

日弁連が中間整理日弁連意見書や大綱日弁連意見書第６、４（２１頁）などで指摘したように、権利侵害の救済機関としての機能を持つ独立行政委員会を設置すべきである。それは、政府機関から独立したものであって、かつ事後救済機関としての機能を保有すべきである。

行政機関の保有する個人情報の保護のための法整備が先送りされた現状を鑑みると、主務大臣に上記の権限を付与すること自体も、過度に政府機関に個人情報が集中し危険である。

13. 第４０条（配慮義務）

主務大臣が個人情報取扱事業者に対し報告の徴収、助言、勧告又は命令を行う場合において配慮しなければならない義務は、表現の自由、学問の自由、信教の自由及び政治活動の自由にとどまらない。

そもそも、当連合会が、基本法大綱の策定にあたり、くり返し指摘してきたとおり、民間部門が保有する個人情報の保護については、私的自治の原則との調整、調和も考慮されなければならない（大綱日弁連意見書４頁）。

したがって、配慮義務規定（第４０条）は、民間部門における私的自治の原則との調整をはかる旨の確認規定であり、配慮義務の対象は、表現の自由、学問の自由、信教の自由及び政治活動の自由にとどまらないが、これらの自由が特に重要であることに鑑み、明示的に確認したものであることが明らかにされるべきである。

14. 第４１条（主務大臣）

(１)

主務大臣が個人情報取扱事業者に対し報告の徴収、助言、勧告又は命令を行う場合において、第４１条は個人情報取扱事業者が行う個人情報の取扱いのうち雇用管理に関するものは厚生労働大臣（船員の雇用管理に関するものについては国土交通大臣）及び当該個人情報取扱事業者が行う事業を所管する大臣等であり、それ以外のものについては当該個人情報取扱事業者が行う事業を所管する大臣等とされ、内閣総理大臣が、この節（第５章第１節－個人情報取扱事業者の義務）の規定の円滑な実施のため必要があると認める場合は、個人情報取扱事業者が行う個人情報の取扱いのうち特定のものについて主務大臣を指定することができる旨規定している。

しかし、従前、事業を所管する大臣が存在しない業界に対してまで、すべて主務大臣を指定することは、私的自治の原則が貫かれるべき民間部門における個人情報の国家的統制という点からいきすぎである。

(２)

また、弁護士、弁護士法人、弁護士会、当連合会の業務に対しては、所管大臣はその業務の性質上存在しないことから、主務大臣についての第３７条ないし第５４条特に第４１条の規定の適用を除外すべきである。

弁護士法においては、弁護士、弁護士会及び日弁連について、主務大臣は規定されていない。このことは、労働組合に主務大臣が規定されていないことや、予備学校についても主務大臣を定める規定がないことと同様であると考えられるが、さらに弁護士自治の確保の趣旨によるものであることに留意しなければならない。法務大臣が弁護士、弁護士会及び日弁連の主務大臣という関係にないことは、個人情報保護法と弁護士自治との関係についても、その前提とされるべきところである。

(３)

そもそも、今日にいたるまで、百年をこえるわが国弁護士制度の歴史には、人権擁護の使命をはたし、「弁護士自治」の維持をめざすための、先人たちの苦難の歩みが深く刻みこまれている。明治から戦前の暗黒時代までの間、わが国における人権の歴史は、まさに抑圧の歴史であり、先人たちによる人権擁護活動も、ときに消長があり、挫折を余儀なくされたこともあった。

その故にこそ、戦後、民主主義と基本的人権の尊重を理念とする日本国憲法のもとにおいては、現行弁護士法による弁護士自治の確立が必要とされたのである。しかし、この現行弁護士法も、容易には成立しなかった。１９４５年１０月、早くも、現行弁護士法とほぼ同一趣旨の東京三弁護士会案が作成されたものの直ちにはその実現をみず、弁護士会側の各方面に対する道理を尽くしたねばり強い説得活動によって、１９４９年５月３０日に漸く現行弁護士法が成立し、６月１０日公布、９月１日施行となったのである。

こうして獲得された、弁護士自治は、弁護士が国民の側に立ち、国家権力の違法・不当な行使による人権侵害に対しては毅然として争うために不可欠なものである。

弁護士自治は、国民及び刑事被告人の裁判を受ける権利（憲法３２条、３７条）のための制度的保障であり、弁護士自治の否定は、弁護士と弁護士会による人権擁護と社会正義実現のための諸活動を抑圧する結果を生ずるものであり、国民の権利を奪うものであるといわなければならない。弁護士と弁護士会は、その国民に対する社会的責任を一層明確に認識し、法廷その他多方面の活動分野においても、あくまでも国民に対して襟を正しつつ、弁護士自治をいっそう発展させ、国民のための弁護士自治をまもりぬいていかなければならない。

もともと、弁護士という職業的・専門的な資格は、国民の権利擁護と社会正義実現のために認められたものであり、弁護士自治の確立も、そのことに根ざして、国民から付託されたものである。弁護士自治は、国民の支持がない限り確立できないのである。弁護士と弁護士会の諸活動は、常に、国民の正当な批判に耐えうるものであり、ひろく国民の支持を得ることのできるものでなければならない。そのために、弁護士と弁護士会は、自らの力で、たえず弁護士自治のあり方を自覚し、磨き上げていかなければならない。自治には重い責任が伴うことは当然である。弁護士と弁護士会の取扱う個人情報の保護についても、その正しい在り方を追求し、その努力によって弁護士自治の実質を高め、豊富なものとする法政策が実現されなければならない。

本法案は、個人情報取扱事業者の義務等の規定の施行に関し、必要があると認めるときに、報告を求め、助言・改善を指示し、改善・中止命令を行い、命令違反に罰則を設ける。その主体を主務大臣とするものであるが、そもそも弁護士自治の観点から、弁護士、弁護士法人、弁護士会及び日弁連については主務大臣は存在しないのであるから、第３７条ないし第５４条の規定は、そもそも適用がないものと解せられるべきである。

しかるに、政府が、少なくとも個人情報取扱事業者の義務等の規定の施行に関して、これに該当する弁護士、弁護士法人、弁護士会及び日弁連について、法務大臣を主務大臣とするとの考え方をとるのであれば、当連合会は、この取扱いについては、弁護士自治の確保の観点から反対する。

本意見書第１の３で述べたとおり、電子政府の実現にあたり、公的部門を対象とした個人情報保護に関する法整備が優先的に策定されるべきであるのに、この具体化にはふれずに、民間部門に一律に情報通信技術について改善・中止命令と罰則をもって権限を行使する主務大臣を定める方針は、個人情報の国家的統制という極めて重大な問題をはらんでいるといわざるをえない。この点は、大綱日弁連意見書２１頁で、「主務大臣の指示等により、過度に各行政機関に個人情報が集中する危険性が高く、行政機関の保有する個人情報の保護の法整備が極めて不十分な現状に鑑みれば、一層その問題は深刻である」と述べたところである。

したがって、当連合会としては、個人情報の取扱いに関する個人情報取扱事業者の法的義務の規定中の主務大臣の助言・改善の指示、改善・中止命令及び罰則等についての第３７条ないし第５４条及び第６１条ないし第６４条の適用除外を求める（但し、この場合主務大臣を日本弁護士連合会会長と読みかえたうえでの、日弁連会長による助言・改善の指示、改善・中止命令は検討に値する）。

また、第４１条の「この節の規定の円滑な実施のため必要があると認める場合」は、「特に必要があると認める場合」に修正されるべきである。

15. 第４２条（認定）、第４３条（欠格条項）、第４４条（規定の基準）、第４５条（廃止の届出）、第４６条（対象事業者）、第４７条（苦情の処理）

大綱の方針を踏襲し、本法案では個人情報取扱事業者に関する苦情処理等を行なう団体について、認定の申請を行なうか否かを各団体の自主的な判断に委ねている（法案第４２条）。認定を受けるか否かを任意に選択できる制度としたことは、各業界団体の個人情報保護についての自主規制を尊重するものであり、また苦情処理手続を通じての個人情報の主務大臣によるコントロールを避けるうえでも評価してよいと考える。但し、任意選択を通じて個人情報取扱事業者の選別、排除にならないよう運用されるべきである。

また、認可は主務大臣が行なうこととされているが、当連合会としては、大綱日弁連意見書第５、８（１７頁）で述べたとおり、個人情報保護のための独立行政委員会を設置すべきであり、認可はその行政委員会が行なうべきであると考える。

当連合会としては、上記意見の枠組みを変更するものではなく上記意見に沿った法案の変更を希望するが、以下では、本法案に即しての意見を述べる。

法案では、認定手続に関連して、認定の対象となる団体が行なう業務（法案第４２条）、認可を受けるにあたっての欠格条項（同第４３条）、認定の基準（同第４４条）、廃止の届出義務（同第４５条）、対象事業者（同第４６条）、苦情の処理（同第４７条）についての規定が具体化された。

認定を受けた団体（「認定個人情報保護団体」）は、個人情報保護のために重要な役割を担うと考えられる。このことに鑑みると、認定の基準において、欠格条項に該当しなければ認可するという構成ではなく、一定の要件に「適合していると認めるときでなければ、その認定をしてはならない」という構成を法案がとり、安易な認定を認めない方針を採用した点は基本的に評価できる。しかしながら、問題はその基準の内容にある。法案第４６条に掲げられた基準は、「業務を適正かつ確実に行なうに必要な業務の実施の方法が定められていること」あるいは「業務が不公正になるおそれがない」等いずれも極めて抽象的である。いかなる場合に認定が受けられ、あるいは受けられないのかが不明確であり、認定機関の恣意的な判断の余地を残している。ことに、当連合会の主張どおり認定機関を個人情報保護に関する統一的な独立行政委員会にするのではなく、各主務官庁にする場合、判断基準が主務官庁ごとに異なったものになることも予想される。

また、認定を受けるか否かを自主的に判断できるとする場合、認定への申請を促すため、認定個人情報保護団体を設けた場合にいかなる利点が得られるのかが予め申請を検討する個人情報保護事業者に理解されていることが重要である。しかしながら、法案からは認定個人情報保護団体を設けることによっていかなる利点が得られるのかが明らかではない。おそらく想定されている利点の中心は、政府の認定を受けた認定個人情報保護団体の構成員であることを表示することで、自己が個人情報保護に十分配慮している業者であることを、各事業者が消費者等の顧客にアピールできる効果があるという点であろう。しかし、そのような表示がなされた場合、消費者等の顧客側は、政府の認定を受けた個人情報保護に関するガイドラインをかかる業者が遵守しているものと考えるのではないであろうか。そうだとすると、政府から承認を受けたガイドラインを、認定個人情報保護団体が策定していることが必須になるはずである。しかし、法案は、ガイドライン（個人情報保護指針）の策定を、認定個人情報保護団体の義務とはせず、単なる努力目標としているに過ぎない（同第４８条）。この点で、認定個人情報保護団体制度は、極端な場合には、消費者等の誤信を悪用する個人情報保護事業者の活動を助長する制度にもなりかねないのではないかと考えられる。

16. 第４８条（個人情報保護指針）、第４９条（目的外利用の禁止）、第５０条（名称の使用制限）

第４８条の「個人情報保護指針」とはガイドラインのことであり、いわゆる業界団体がこれを作成し、公表する努力義務を課すこと等は、本法案の実効性を高めるという意味においては評価できる。

第４９条、第５０条は、当然必要な規定である。

17. 第５１条（報告の徴収）、第５２条（命令）、第５３条（認定の取消）、第５４条（主務大臣）

日弁連は、大綱日弁連意見書第６、４（２０～２１頁）などで従来から指摘しているように、事業の内容ごとに定められる主務大臣が個人情報保護のための監督機関となることについて反対である。

個人情報保護のための施策は、統一性の確保が重要であり、しかも監督機関は政府機関から独立したものでなければならない。法案の内容では、個人情報が政府機関に集中し、警察国家となる危険性さえ指摘せざるをえない。

仮に、上記のような独立の機関が設置されず、主務大臣による監督制度が定められたとしても、日弁連、弁護士会、弁護士法人、弁護士（以下、「日弁連等」という）は主務大臣の監督に服すべきではない。

日弁連等は、後記第７で述べるとおり、個人情報取扱事業者の義務規定から適用除外されるべきである。また、日弁連等は、法案第２条３項４の特殊法人に準ずるものとして取り扱われるべきであり、そうでなくても、同条同項５にある「その取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ないもの」に該当するものとして、取り扱われるべきである。

しからざるとも、日弁連等の業務に関しては、主務大臣はその業務の性質上存在しないことから、法案第３７条ないし第５４条の規定は適用がないものとして、主務大臣による様々な関与の規定の対象とはならないとされるべきである。

それは、弁護士自治の原則に基礎を置くものである。

すなわち、弁護士は基本的人権の擁護と社会正義の実現という使命を有する。そして、それは、具体的には、刑事手続きにおいては、国家の役割である「刑事訴追」に対立する利益を追求し、民事訴訟では、個人の利益の代理を引き受け、国家によって規制された手続きを準備しそれを実施し、さらに、行政手続きに関しては、まさに国家行為の再検討をすることによって、その役割を果たしているものである。このような活動は、国家が適法に自ら引き受けることができるものではない。

弁護士には、国家機関が国民の基本的人権を侵害するおそれのある場合には、国家機関と鋭く対立することも求められている。そのような使命を有するのが弁護士であり、そしてその職能集団が弁護士会、日弁連である。

弁護士の職務に対する国家機関の監督を排除することによってこそ、その使命を果たすことができ、また国民の信頼を確保することができる。そのような背景があって弁護士自治の原則は確立されてきた。

弁護士の職務の独立性が確保されず、主務大臣の監督に服することになれば、行政権や立法権と独立した司法権を認めた三権分立の原則は全く無意味なものとなり、ひいては国民の裁判を受ける権利を奪うことになる。司法の独立は、国家機関から独立した弁護士があってはじめて成立することを確認する必要がある。

そしてまた、強制加入団体としての弁護士会、日弁連は、厳しい資格要件を備えた自治能力も培われてきた。主務大臣の監督に服すべき必要性もない。

第７　第６章　雑則（第５５条―６０条）

第５５条（個人情報取扱事業者の義務等の適用除外）

日弁連、弁護士会、弁護士法人、弁護士（日弁連等）については、弁護士法に定める業務の用に供する目的による場合には、報道機関等と同様、個人情報取扱事業者の義務等の適用除外とされたい。

弁護士、弁護士法人の取得、管理する「個人情報」には、依頼者、紹介者、依頼者の関係者、相手方、相手方関係者、担当裁判官、担当検察官、証人その他の事件関係者等が含まれる。その数は事務所によっては１万件を超えると予想される。これらの情報の取得及び管理は、一般的に高度な倫理規定を有する弁護士と依頼者、国民との信頼関係を基礎に成立している。

日弁連、弁護士会の取得・管理する「個人情報」には会員の詳細な経歴等が含まれることはもちろんのこと、人権救済申立人の名簿、法律相談センター相談者の個人情報等との一般的に弁護士自治団体以外が関与しないとする相互の信頼関係を基礎にして、その取得・管理が成立している。また、弁護士会は、法律相談情報の他弁護士会照会制度による回答を名簿にして電子計算機等に入力をしている場合があるのであるが、入力された個人データは、いずれも係争している事実に関するものであり、弁護士が業務として保管している個人データと重要性は何ら変わらないのである。

これらの信頼が維持されることは、国民のすべてが有する憲法上の裁判を受ける権利を実質的に保証するための基礎である。これは行政との関係においてその支配を受けないとする国民の司法に対する信頼の基礎でもある。

ところで、これらの日弁連等の取得・管理する個人情報については、本法案の目的とする、「個人の権利利益」の保護の立場から、基本原則の適用がなければならないことは当然であり、かつまた日弁連等が、その情報の取得・管理にあたって、義務規定と同様の準則に依って規律されるべきことは、肯認すべきものであることは、論を待たない。しかし一方、合わせてその義務規定と同様の準則による規律は、主務大臣等の行政の関与によって行われるものではなく、その情報の、取得源との信頼関係の特殊性（依頼者の場合）は、その守秘義務の高度性、さらには司法の独立性、弁護士職務の独立性等から、あくまでその団体等の内部規律により、その取得・管理の適正化がはかられるべきである。仮に日弁連等の個人情報の取得・管理について、義務規定が適用され、「主務大臣」の関与が認められるならば、その情報がまさに弁護士業務の根幹に関わっていることから、国民に付託された人権擁護や社会正義の実現という、弁護士業務に対する信頼は一気に喪失し、司法の機能は変質せざるをえない。それはまた、憲法によって保障された国民の裁判を受ける権利を否定することにもなりかねないものである。

以上により、司法機能の一端を担う日弁連等に対して、主務大臣等の監督機関が設置されることはなじまないものである。

第５５条は、報道機関について報道の用に供する目的、学術研究機関について学術研究の用に供する目的、宗教団体について宗教活動（これに付随する活動を含む）の用に供する目的、政治団体について政治活動（これに付随する活動を含む）の用に供する目的で個人情報を取り扱う場合は、個人情報取扱事業者の義務等の適用除外とするものとして、その範囲はきわめて広いものであるが、これと同等あるいはそれ以上に、弁護士、弁護士法人、弁護士会及び日弁連については、これと同等の適用除外とされるべきである。

なお、日弁連は、義務規定と同様な機能を果たす準則を自主的に準備するなどの検討をすでに開始している。

第８　第７章　罰則（第６１条―第６４条）

大綱に対しては、罰則について、「主務大臣の改善・中止命令違反に対する罰則を設ける」という内容には一定の評価を加えた上、命令が威嚇的効果を生むことに懸念を表明した。

この段階では、「主務大臣」を、個人情報保護を包括的に担当する大臣を念頭において意見を述べたが、法案では、この「主務大臣」が、「個人情報取扱事業者が行なう事業を所管する大臣」（法案４１条１項２号）とされ、この「主務大臣」が、個人情報の取り扱いについて「報告の徴収」「助言」「勧告および命令」ができることとされたうえ、その命令に違反したときは６月以下の懲役または３０万円以下の罰金、報告義務違反や虚偽報告についても３０万円以下の罰金が定められている。

もともと、個人情報保護も、自由な情報の流通を規制するものであるだけに、言論・表現の自由や学問の自由などとは矛盾･対立する場合があるため、そのあり方については慎重な配慮と適切なバランスが求められるところであり、とくに刑罰の適用については慎重な配慮が不可欠である。

ところが、本法案の規定では、「事業を所管する大臣」が刑罰の制裁を背景に、日常的な個人事業者の運営にまで広汎に関与・介入することに道を開くおそれがある。

当連合会が個人情報の保護のための法律の制定を求め、刑罰の制裁の必要性も承認してきたのは、営利目的から個人情報を集積したり漏洩したりして被害を与えている消費者金融業界や個人信用情報収集業界、医療情報などセンシティブな情報の漏洩などの発生や、公共の名のもとに多様な個人情報を大量に集積している公共部門において対価を得て情報を漏洩するケース等、現行法では必ずしもまかないきれない現状があることから、刑罰をもって規制するべき領域･違法類型に対象を絞り込んで立法化するよう求めてきたのである。

しかし、法案の内容では、そのような絞りをかけないままで、刑罰の威嚇を背景に、社会の隅々に至るまで広く網をかけ、国家権力（主務大臣）が介入することに道を開くことになるおそれがある。

したがって、法案のような形での刑罰の制裁には反対であり、再度、現行法ではまかないきれない事例をもとに、保護法益を検討し、その保護法益を守るためにどのような行為を処罰する必要があるかを明確すべきである。

以下、詳細は大綱日弁連意見書第８（２３、２４頁）の意見が参考とされるべきである。

第９　附則　第１条～第８条

１.

付則第１条では、この法律は公布の日から施行するとなっているが、第５章から第７章までと付則第２条から第６条までの規定は、公布の日から起算して２年を超えない範囲内において政令で定める日から施行するとなっている。

本法案の核心部分が公布の日から２年を超えない範囲内で施行することになっているのに、定義や基本原則の部分だけを先に施行する意味が不明である。法案の施行は同一日にすべきである。

２.

付則第２、３条は、本人の同意に関する経過規定である。第２条が目的外利用、第３条が第三者提供に関する同意のみなし規定である。法２０条、２８条の同意に関する規定の施行は付則第１条により、公布の日から２年を超えない範囲内という猶予期間があるため、この間に、みなし規定により、目的外利用や第三者提供が同意したものとされてしまい、同意規定の濳脱となりかねないものとして、疑問がある。

３.

付則第４、５条は、通知等に関する経過規定である。付則第４条は、個人情報の第三者への提供の通知等のみなし規定であり、付則第５条は個人情報の共同利用の通知等のみなし規定である。法２８条の通知等に関する規定の施行は付則第１条により、公布の日から２年を超えない範囲内という猶予期間があるので、この間に、みなし規定により、通知等があったことになってしまい、通知などの規定の濳脱となりかねないものとして疑問がある。

４.

付則第７条では、この法律の公布後１年も目途として、国の保有する個人情報保護の法制上の措置を講ずるものとなっているが、この法律の核心部分は、付則第１条により施行が公布の日から起算して２年を超えない範囲内で政令が定める日になるのであるから、まず、国の保有する個人情報保護法を制定し、その上で、本法案は、国の保有する個人情報保護法制定後に同時に施行すべきである。

（※全文はPDFファイルをご覧ください）