国土交通省所管分野に係る個人情報保護に関するガイド
　ライン（仮称）（案）に関するご意見の募集の結果について

平成１６年１１月１５日

＜連絡先＞

総合政策局情報管理部

情報企画課

（内線28133）

電話：03-5253-8111（代表）

　

　国土交通省では、平成１６年９月２１日から平成１６年１０月２０日まで、国土交通省所管分野に係る個人情報保護に関するガイドラインについて、ホームページを通じてご意見を募集したところ、１４件のご意見が寄せられました。
　お寄せ頂いたご意見とそれに対する国土交通省の考え方について、以下のとおり公表をいたします。
　また、今回の募集にあたり、ご協力を頂きました方々へ厚くお礼申し上げます。

国土交通省所管分野に係る個人情報保護に関するガイドラインに関する意見と国土交通省の考え方

頂いた御意見
第３条（定義）１号
　法律で定められてるとおりの文面なので、修正不可と思われますが、なぜ「生存する」個人に関する情報のみを個人情報とし、「非生存者」に関する情報を適用除外としているのでしょうか？
　非生存者に関する個人情報も、不当に扱われ非生存者の相続人等の権利利益を犯すことも考えられ、法的保護が生存者同様必要になるのではないか。

国土交通省の考え方
　本ガイドラインでは、生存する個人に関する情報に限って対象としていますが、死者に関する情報が、同時に遺族等の生存する個人に関する情報である場合には当該生存する個人の情報としてガイドラインの対象となると考えます。例えば、死者の相続財産に関する情報に相続人の氏名が含まれる場合。

頂いた御意見
第３条（定義）２号
　紳士録等の情報(一般に公開された情報)を、Excel等に入力し直した時にも、個人情報となるのか？

第３条（定義）２号
意見および要望
　個人情報データベースの該当事例、該当しない事例を利用の仕方（『事業の用に供する』との語句の具体的事例）と共にご提示頂きたい。

理由
　多くの企業では外部刊行物の人名録、紳士録、卒業名簿といった類のデータベースを保有していますがこれらは氏名、住所、電話番号以外にもメールアドレス、生年月日、職業、勤務先職位、趣味等多くの情報が含まれており、個人情報データベースに該当するものと判断されます。
　一方これらデータベースに含まれる個人の数は膨大であり、ガイドライン第三条第三号にある『過去六ヶ月以内のいずれの日においても五千を超えない者』にいう『五千』をはるかに凌駕します。しかしながらこれらの利用頻度は『必要に応じて利用する』程度であり不特定多数を相手にダイレクトメールを発送するといった日常反復継続利用と比較すればかなり限定された利用にとどまります。
　個人情報取扱事業者に該当するか否かの判断の際、これら刊行物を個人データベースとして取り扱うべきか否か判断に迷うところであります。
　以上の理由によりガイドライン中に例示をしていただけると判断基準が明確になると思われます。

第３条（定義）第三号
　「…事業の用に供している者」について明確に定義していただきたい。

国土交通省の考え方
　一般に公開された情報を別の媒体などに転記、入力し、容易に検索ができるよう体系化した場合は個人情報データベースとなります。
　ご質問の紳士録等の名簿の情報を利用して事業を行えば利用頻度にかかわらず個人情報取扱事業者となり、利用目的の通知等の義務が発生します。例えば、紳士録を購入し、掲載されている人に商品販売の案内を行うというような場合。

頂いた御意見
第３条（定義）第三号ニ
　事業本部が分かれており、独立した個人情報管理システムがある場合は、それらを足し合わせた件数が、5, 000件を超えると、個人情報取扱事業者となるか？

国土交通省の考え方
　個人情報データの所在や事業分野が違ったとしても、その合計が５千を超える場合は個人情報取扱事業者となります。

頂いた御意見
第８条（データ内容の正確性の確保）
　「個人データを最新の内容に保つよう努めなければならない」と規定されているが、なぜこのような条文が必要なのでしょうか？

国土交通省の考え方
　個人情報が不正確のまま利用されることにより、個人情報の本人に不測の権利利益侵害が生じないよう規定しています。

頂いた御意見
第５条（取得に際しての利用目的の通知等）２項
　契約書を作成した場合、そこで知りえた個人情報は「契約内容を遂行するため」という目的のために必要な情報であると思うのですが、それでもその目的を、あえて明示しなければならないのでしょうか。また、同条４項４号との関係はどう考えればいいのでしょうか。

国土交通省の考え方
　契約行為等により本人より記載されたデータは契約の為のみならず、その後にデータ化され事業活動に利用されることが考えられます。このようなことから、契約行為等において直接本人から個人から取得する場合に、あらかじめ本人に明示しなければならないと規定しました。
　また、第５条第４項四号は、例えば、家の修理を行う為に本人が修理を行う事業者に本人の住所を教えるといった場合、住所の情報は修理を行う事業者が修理に行くために必要な情報であることは明らかであるため、このような場合は本人に利用目的を伝える必要がないということを規定していますが、修理を行う事業者が取得した個人データを修理に行く以外の目的で利用することがあれば（例えば、後日ダイレクトメールを出すなど。）この規定により除外されることとはならず、利用目的の通知が必要となります。

頂いた御意見
第９条（安全管理措置）第３項
　安全管理措置に関する条項では、事業者が従業者と非開示契約を締結するように勧められています。文面では、この義務は、従業者が企業秘密又は個人情報にアクセスするか否かにかかわりなく、事業者のすべての従業者に適用されるべきものとなります。故に、かかる義務は事業者に対する重大な負担となる一方で、個人情報のセキュリティを高めるにはほとんど役に立たないでしょう。

国土交通省の考え方
　個人データの取扱によって発生する事故等は従業者によることも少なくないことから、個人データを保有する建物や部屋に入る可能性がある従業者についてはできる限り契約などを交わすことにより個人データの重要性について認識が高まることが期待されると考えます。

頂いた御意見
第１１条（委託先の監督）
　基本法の要請では、事業者は、個人データの取り扱いの全部又は一部を委託する場合は、委託先に対して、「必要かつ適切な監督」を行わなければなりません。この高レベルの義務は、適切であり、これで十分であると考えます。ところが、本ガイドラインの示唆するところでは、事業者は委託先として選定するための基準を設けること、また、かなり詳細な契約内容を含む契約を各委託先と締結することが必要とされています。
　本ガイドラインでは、関係する事業者によって、外部委託契約書は必要であることも必要でないこともあることを承認するべきです。例えば、ある事業者は、ルーティン化したサービスを提供している別の事業者と長期にわたるビジネス関係を確立していることがあり得ます。この場合、契約書は必要ないでしょう。このことは、事業者がその関連会社の一つに業務委託する場合にも当てはまるでしょう。さらに日本では、事業者双方が基本法に服するため、契約書は不要となるかも知れません。この理由で、本ガイドラインでは、契約書が必要であるか否かは事業者が自ら決めるべきことであり、これは、事業者と委託先との間のビジネス関係の文脈によって異なると認めるべきであると考えられます。

国土交通省の考え方
　個人情報取扱事業者が個人情報の取扱いを委託した場合、個人情報取扱事業者は監督義務が課されますが、委託先が委託元に対して第１１条第３項の事項について明確化に努めることにより、委託先での個人情報の取扱い範囲の明確化や意識の向上が図られるものと考えます。

頂いた御意見
第１２条（第三者提供の制限）２項
　文書が複雑で条項の意味が理解しがたい。
　「第三者への提供を停止していることとしている場合であって」なぜ、「当該個人データを第三者に提供することができる」のか？

国土交通省の考え方
　第三者に提供することを目的とした個人データベースについて、本人より提供の停止があればその提供を停止することにしている場合は、第１２条第２項一号〜四号の事項についてあらかじめ本人に通知し、又は本人が容易に知り得る状態に置いてあれば、同意を行わなくても第三者提供をできるという規定です。
　例えば、電話帳のように提供を目的としている個人データベースについて、「本人より掲載の停止があれば掲載をやめる。」と決めている場合であって、第１２条第２項一号〜四号についてあらかじめ本人に通知などを行っていれば、本人との第三者提供の同意が必要なくなります。

頂いた御意見
第１４条（開示）１号
　「本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合」は、本人からの保有個人データの開示を求められた場合でも、その全部または一部を開示しないことができる”と解されるが、本人がその害を承知で開示請求している場合は、開示しなければならないとすべきではないのか

国土交通省の考え方
　本規定は、開示を求められた保有個人データの中に当該本人以外の者が行った不利益な評価又は判断が含まれていたり、当該本人に関する情報に第三者の情報も含まれていて、開示することにより第三者にとって不利益になるような場合を想定しています。
　本人の害だけでなく他人への害も想定していることから、本人が承知しただけでは開示することはできないと考えます。

頂いた御意見
第１９条（手数料）
　本人から無償で個人情報を収集し、構築した個人情報データベースの開示を求められた場合には手数料を徴収すべきではないと考える。本人の情報開示を求めるのに手数料を徴収されるのは納得できない。有償で本人情報を提供した場合なら納得できるが。

国土交通省の考え方
　手数料の徴収は法律で「徴収することができる」と規定されているところである。

頂いた御意見
第２１条（漏えい等が発生した場合の対応）
　漏えい等により本人が被る権利利益の侵害に相当する金銭的補償を条項に盛り込む必要がある。

国土交通省の考え方
　漏洩等によって権利利益侵害があったとしても、必ずしも金銭での補償に繋がるとは限らないことから、必要ないと考えます。

頂いた御意見
　第9条において、「漏えい等」は漏えい、滅失又は毀損と定義されています。よって、現時点の草案では、第21条に定められている対応は、不注意によるデータの漏えいと不注意によるデータの毀損に対して、同様に適用されることになります。しかし、不注意によりデータが漏えいした場合の対応と、不注意によりデータが毀損した場合の対応はかなり異なります。よって、第21条の規定が、滅失又は毀損されたデータにではなく、漏えいされたデータにのみ適用されることをご提案させていただきます。

下記の修正をご提案させていただきます。

第２１条　個人情報取扱事業者は、個人データの重大な漏えいが発生した場合は、事実関係を本人に速やかに通知し、又は公表するものとする。
２　個人情報取扱事業者は、個人データの重大な漏えいが発生した場合は、二次被害の防止、類似事案の発生回避等の観点から、可能な限り事実関係等を公表するよう努めるものとする。
３　個人情報取扱事業者は、個人データの重大な漏えいが発生した場合は事実関係を国土交通省に直ちに報告するものとする。

国土交通省の考え方
　滅失やき損により当該個人に対し権利利益侵害をもたらす可能性もあることから事実関係の報告や公表は必要と考えます。。

頂いた御意見
第２３条（第三者への提供）
　グループ会社が持っている、個人情報も対象となるか？
　海外の子会社も対象となるか？

国土交通省の考え方
　グループ会社の持っている個人情報は対象とはなりません。しかし、グループ会社の持っている個人情報を共有するなどする場合は、第三者提供の同意が必要となります。
　海外の子会社については、頂いた質問ではどのような個人情報をどのように取扱っているのかが分からないので、対象となるかどうか具体な回答はできませんが、個人情報を取り扱っているのであれば、できる限り安全に管理できる措置を講ずべきと考えます。

頂いた御意見
　輸送業者が個人情報の輸送を委託される場合の社内規定とセキュリティ対策を持ち、どのような契約を締結すべきか、事故が起きた場合の責任をどう考えるべきか等について、明確に示して頂きたい。

国土交通省の考え方
　輸送業者と個人情報の取扱いの委託契約時に第１１条第３項に規定された事項の明確化に努めて下さい。

頂いた御意見
　具体的な対策例を提示していただきたい。更に最低限守るべき対策例を挙げていただきたい。(勧告や命令がある以上、最低限のレベルは提示していただきたい)

　特に国土交通省が作成すべきガイドラインとは思えない。法律のオオム返しでは、意味が無いのではないか。もっと具体的でなければガイドラインではないと考える。国土空間に関しては２〜３年ほど前に個人情報保護に関して議論していたと思うが、その後どうなったのか不明となっている。もう一度議論してもよろしのではないか。
　その他にも検討すべき具体的な課題（例えば旧運輸系：車検関係の個人情報とか。）

1. 意見
   　ガイドラインの中身を、所管分野に係る具体的な事例を示しながら掲載する等、もう少し分かりやすい内容にして欲しい。

2. 運輸業界における具体的な検討事例

   　利用運送事業者として委託先の管理方法
   　傭車、取次店等に対する管理責任の範囲を示して欲しい。

   　個人情報を含んだ荷物を受託した際の責任範囲
   　定額サービスのなかでどこまで責任を負うべきなのか事例を示して欲しい。
   　運送保険で個人情報の賠償を付保させたらどうか？

   　送り状の管理方法
   　送り状そのもののが「個人情報保護法」の対象と判断すべきなのかどうか事例を示して欲しい。
   　「個人情報」としての送り状（取次店での控え等含む）の取扱方法について事例を示して欲しい。

   　想定されるクレームへの対応
   　誤配・近所預け・玄関先放置、お客様が意図しないで転居先へ荷物が転送された…等、事例を示して欲しい。

   　情報開示請求
   　問合せ・判取り時の本人確認方法について事例を示して欲しい。

　総体的にガイドラインは条文でまとめられており、保護法自体の条項とは一致しないため、あわせての理解がしにくい。ガイドラインは章立てにして、保護法のどの条項を指すのか、明示していただけるとわかりやすい。
　総体的に具体例が少ない。違反となること、適法であることの具体例および対応策の推奨事項は、経産省ガイドラインに準じるものと考えてよいか。たとえば、貴ガイドライン第９条安全管理第２項では、"努める”事項として５つの措置が記載されているが、最終の経産省ガイドラインでは”ＭＵＳＴ”に訂正されている。
　具体例の一類として貴省管轄では車検証コピーなどの取り扱い例が明示されているとわかりやすい。たとえば、登録に関わる顧客関連様式の情報主体からの取得は貴ガイドライン第５条（利用目的の通知）の例外として４−四の利用目的が明らか、同１２条（第三者提供）の例外、一項法令に基づくといった場合に相当するのか否か。
　同第１２条４−三、共同利用の定義として自動車業界のような製造元（輸入販売元）と販売代理店（ディーラー）が新車販売・登録時に取得した個人情報をそのあとの車両の安全性を維持するためのサービス活動に双方が利用する、といった形態はあてはまるのか否かのガイド。
　法第１７条適正取得に対するガイドラインがない。違法的な取得は論外であるが、本人から直接取得しない個人情報で適法な例の例示。
　例：行政機関が発行するデータ（住基台帳写し、登記、現在証明、高額納税者名簿など）および特定の団体が発行する名簿などの活用時の注意事項。

　本ガイドラインは全体として「個人情報の保護に関する法律」の内容とほぼ同じで、具体的な解釈や適用範囲の考え方が明示されていないので、事業者にとっては講ずべき措置が不明確になるおそれがあると思われます。具体的な解釈について、例えば経済産業省が発表した「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」と同程度の指針策定をお願いいたします。

国土交通省の考え方
　国土交通省の所管する事業分野は大変広く、ガイドラインに各事業分野ごとの具体例を示すのは困難であることから、具体の取扱については各事業所管部局へご相談下さい。

頂いた御意見

1. ガイドライン全般
   　他省庁でもガイドライン策定しているようであるが、特段の違いはないように見受けられるが、国土交通省所管分野のガイドラインの特徴はあるか（複数の省庁のガイドラインが適用される事業者は、そこがわからないと対応が困難である。）。

2. 適用範囲について
   （１）「国土交通省所管分野」について
   　「所管分野」の定義があいまいなのではないでしょうか。

   （２）他省庁のガイドライドラインとの住み分けについて
   　１事業者に複数の省庁のガイドラインが適用される場合は、事業者はどう対応すればよいか。また、１業種にも複数のガイドラインが適用されているのではないか（例えば、国土交通省と経済産業省）。

3. 個人情報取扱事業者について
   　事業者自身が、個人情報取扱事業者かどうか判断して、このガイドラインが適用されるか判断するのか（そうであれば、それを判断するのは困難ではないか。）。
   　また、個人情報取扱事業者でなければ、このガイドラインは適用されないのか。

国土交通省の考え方
　どの省庁の所管分野の適用を受けるのか分からない事業があるようでしたら、別途具体にご相談下さい。
　また、複数の事業を行っている事業者はその事業分野ごとにガイドラインが適用となります。例えば、鉄道事業と電気通信事業を行っていれば、鉄道事業については国土交通省、電気通信事業について総務省のガイドラインが適用となります。

頂いた御意見
第１２条（第三者提供の制限）１項四号
　第三者提供制限の適用除外要件を満たせば、各種業法の守秘義務を充足したと考えられるかどうかをガイドラインにおいて明確に示して頂きたい。
　宅地建物取引業法やマンションの管理の適正化の推進に関する法律などにおいては、業者として、守秘義務が規定されております。
　この業法上の守秘義務は税務調査や裁判上の証人、強制捜査等への対応といった、「協力しなければ当該事業者が処罰をうけるもの」に限り適用除外となる（つまり対応、回答しなければならない）と認識しておりますが、ガイドラインの規定は、これより低いレベル、つまり税務署からの任意の照会や警察署からの捜査事項照会（刑訴法１９７条２項）などを想定していると思われます。
　もし、上記考え方が正しいとすれば、本ガイドラインに則、かつ公共の安全、居住者の安全・利益等に資するとの趣旨で当該機関に開示した後に、後日、本人からの守秘義務違反の追及の可能性が残ることとなるため、本ガイドラインの条項を満たせば業法の守秘義務も充足したと考えられるのかどうかを明確にしていただくこと（もしくは、業法で別に規定がある場合にはそちらが優先し、ガイドラインに則して対応することが免責事由になるわけではないこと）を強く希望するものであります。

国土交通省の考え方
　個人情報保護法第２３条第１項各号は、同意を取得する義務を免除する場合を定める規定であり、個人情報を積極的に提供することを義務付けるものではありません。
　個人情報の保護に関する法律上の「法令」と各事業法における守秘義務との適用関係については、それぞれのケースによって異なるので、所管する部局へご確認願います。

頂いた御意見
　法第２条第３項に関連して経済産業省のガイドラインでは、いまのところ、「倉庫業、データーセンター（ハウジング、ホスティング）等の事業において、当該情報が個人情報に該当するかどうかを認識することなく預かっている場合に、その情報中に含まれる個人情報」については「特定の個人の数」には参入しないという指針がありますが、倉庫業者は内容を関知しない貨物を取り扱うケースが頻繁にあり、国土交通省が策定するガイドラインにおいては、内容を関知しない貨物について、「特定の個人の数」には算入しないという指針とともに、「個人情報の保護に関する法律」上の特別な取扱いは不要との指針も明示していただきたい。

国土交通省の考え方
　事業者が個人情報データベース等の内容に触れることなく、他の有体物と全く同様に保管、輸送、販売等を行う場合においては、記録されたデータに関知するものではないため、法第２条第３項にいう「個人情報データベース等を事業の用に供している」こととはならず、したがって、保管、輸送、販売等に係る個人情報データベース等を構成する個人情報については、施行令第２条の算定のための個人情報には含まれないものと考えます。

---

　

All Rights Reserved, Copyright (C) 2004, Ministry of Land, Infrastructure and Transport