平成23年度我が国情報経済社会における基盤整備

by user

on 28 марта 2017

Category: Documents

>> Downloads: 2

views

Report

Comments

Description

Download 平成23年度我が国情報経済社会における基盤整備

Transcript

平成23年度我が国情報経済社会における基盤整備

平成２３年度我が国情報経済社会における基盤整備
（経済産業分野を対象とする個人情報保護ガイドライン等の
見直し及び普及啓発に係る調査研究）
最終報告書
平成 24 年 3 月
株式会社野村総合研究所
1
目次
I. 本調査研究の背景・目的................................................................................ 4
II. ガイドライン等の見直し .............................................................................. 5
１. 実施概要 ................................................................................................ 5
(１)
(２)
(３)
実施目的 .......................................................................................... 5
実施方法 .......................................................................................... 5
検討成果 .......................................................................................... 9
新たな脅威に備えたセキュリティ対策のあり方.................................. 10
２.
(１)
(２)
実施目的 ........................................................................................ 10
実施概要 ........................................................................................ 10
大規模災害発生に際する個人情報共有のあり方.................................. 11
３.
(１)
(２)
背景 ............................................................................................... 11
実施概要 ........................................................................................ 11
４. 暗号を用いた情報保護 ......................................................................... 12
(１)
目的・背景..................................................................................... 12
(２)
実施概要 ........................................................................................ 12
５. いわゆる集合訴訟について.................................................................. 13
(１)
実施目的 ........................................................................................ 13
(２)
実施概要 ........................................................................................ 13
(３)
調査結果 ........................................................................................ 13
III. インターネットによる個人情報保護法等への取組状況の調査.................. 20
１. 調査目的 .............................................................................................. 21
２. 取組み実態調査の概要 ......................................................................... 21
(１)
調査の概要..................................................................................... 21
３. 調査結果 .............................................................................................. 22
(１)
調査結果の概要 ............................................................................. 22
(２)
調査結果の詳細 ............................................................................. 32
(３)
経年比較 ........................................................................................ 75
IV. 新しいサービスと保護法等の関係調査 ...................................................... 87
１. 調査実施概要 ....................................................................................... 88
(１)
調査目的 ........................................................................................ 88
2
(２)
調査対象 ........................................................................................ 88
２. クラウドコンピューティング .............................................................. 89
(１)
委託元の監督責任.......................................................................... 89
(２)
個人データの所在.......................................................................... 94
３. 位置情報サービス ................................................................................ 97
(１)
(２)
(３)
(４)
センシティビティ（機微情報性） ................................................. 97
本人通知と同意取得の方法............................................................ 99
位置情報の活用に係る取組（ビッグデータの項目と関連）........ 101
位置情報サービス（LBS）に係る紛争・係争事例...................... 103
ビッグデータサービス ....................................................................... 104
４.
(１)
(２)
ビッグデータビジネスにおける個人情報保護の取組み............... 104
複数のデータの組合せによる個人情報の生成と管理責任 ........... 108
ソーシャル・ネットワーキング・サービス....................................... 112
５.
(１)
(２)
(３)
情報公開の初期設定 .................................................................... 112
通知と同意の取得........................................................................ 115
情報の消去................................................................................... 117
V. 認定個人情報保護団体連絡会の開催 ......................................................... 124
１. 目的と背景......................................................................................... 125
２. 実施方法及び結果 .............................................................................. 125
(１)
実施方法 ...................................................................................... 125
(２)
平成２３年度認定個人情報保護団体連絡会の開催概要・結果 .... 126
(３)
調査・報告内容 ........................................................................... 128
3
I.本調査研究の背景・目的
「個人情報の保護に関する法律」（以下「個人情報保護法」という。）はその
全面施行から 6 年余が経過した。この間、個人情報保護制度に係る国民の意識
の高まりとともに、個々の事業者による個人情報保護の取り組みも進み、
「個人
情報の保護に関する法律についての経済産業分野を対象とするガイドライン」
（以下、
「ガイドライン」という）およびガイドライン等に関する Q&A（以下、
ガイドラインを合わせ、「ガイドライン等」という）も浸透してきた。
一方、依然として社会に多大な不安を与えうる個人情報漏洩事件は後を絶た
ず、あらためて安全管理措置のあり方が見直されているところである。
また、経済活動のグローバル化の進展や新たな IT 技術を用いたサービスの展
開により、個人情報保護法制が従前から想定していなかった問題が顕在化して
おり、個人情報に係る適正な取扱いの確保や有効活用のあり方が問われている。
以上から、本調査では、新たに創出されたサービスの内容や脅威に関する実
態を把握するとともに、諸外国における個人情報保護法制との関連性について
調査分析を実施した。また、国内事業者による個人情報保護の浸透状況につい
て調査を行うとともに、認定個人情報保護団体等のあり方や課題について検討
を行う。これらを通じて、ガイドライン等の見直しを行い、事業者による個人
情報の適正な取扱いや利活用推進を支援することを目的とした。
4
II.ガイドライン等の見直し
１.
実施概要
(１) 実施目的
個人情報保護法はその全面施行から 6 年余が経過した。この間、個人情報保
護制度に係る国民の意識の高まりとともに、個々の事業者による個人情報保護
の取り組みも進み、ガイドライン等も浸透してきた。
一方、依然として社会に多大な不安を与えうる個人情報漏えい事件は後を絶
たず、特に近年は、サイバー攻撃による大規模な漏えい事件が顕在化している。
また、経済活動のグローバル化の進展や新たな IT 技術を用いたサービスの展開
により、クラウドコンピューティングを活用したサービス、ソーシャルメディ
アや位置情報サービス、ビッグデータビジネスといった領域では、個人情報保
護法制が従前から想定していなかった問題が顕在化している。。
このような状況を踏まえ、事業者による個人情報の適正な取扱いや利活用推
進を支援することを目的とし、ガイドライン検討委員会およびガイドライン検
討作業部会を設置するとともに、調査・分析やガイドライン等の見直しを検討
した。
(２) 実施方法
① 検討内容
「（１）実施目的」を踏まえて設定した以下の項目について、文献調査、業界
団体ヒアリング、事業者ヒアリング、海外調査等を行い、現状、事業者等のニ
ーズの有無・内容、諸外国等における対応状況等を把握した上で、どのような
対応が考えられるかについて検討および情報共有を行うこととした。
5
上記検討項目は、下表に示す観点から検討を行った。
検討テーマ
検討のポイント
大規模災害発生に際・大規模自然災害発生時には、安否情報など個人情報
する個人情報共有の
の提供可否や提供主体について、一部事業者が判断
あり方についての検討
に迷う一方、ソーシャルメディアなどが主体的に安否情
報を提供し、情報伝達に貢献している事例が存在する。
・そこで、大規模災害発生に際して個人情報が適切に共
有されるための施策、特に第三者提供制限の例外規定
について、あらためて検討した。
新たな脅威に備えたセ・サイバー攻撃による大規模な個人情報漏えい事件を踏
キュリティ対策のあり
まえ、今後はどのような脅威が想定され、事業者は、ど
方
のような安全管理措置を講じることが考えられるかにつ
いて検討した。
・検討に際しては、セキュリティ政策室が実施した企業ア
ンケート結果および諸外国調査の調査結果を踏まえ
た。
・実質的な検討は、作業部会にて実施し、作業部会検討
結果を本検討委員会にて報告した。
新たな IT の発達と個・クラウドコンピューティング、位置情報サービス、ソーシ
人情報保護法制の関
ャルネットワーク、ビッグデータビジネスなど、新たな IT
係についての検討
の台頭とともに様々なサービス・ビジネスが輩出し、個
人情報保護法制が従前から想定していなかった問題が
顕在化している。
・そこで、新たな IT の発達に伴い出現するビジネスと個
人情報保護法制との関係を海外調査等により整理し、
課題と対応方策を検討した。
暗号を用いた情報保・暗号を用いた情報保護の促進の観点から、暗号を用い
護についての検討
た情報保護の考え方及び方策について、関係機関と協
力して検討した。
いわゆる集合訴訟の・欧米諸国では、集合訴訟制度の導入が検討されてお
可能性についての調
り、我が国においても議論が続いている。
査報告
・そこで、諸外国における集合訴訟の実態を調査し、検
討委員会にて報告した。
6
② 検討手法
本検討委員会では、検討委員会の下に「ガイドライン検討作業部会」を設置し、
「新たな脅威に備えたセキュリティ対策のあり方」についての検討を行った。
また、同テーマの検討に際しては、経済産業省商務情報政策局情報セキュリテ
ィ政策室が実施している「コンピュータセキュリティ早期警戒体制の整備事業
（企業等の技術的情報セキュリティ対策に係る調査研究）」の調査結果を適宜報
告、情報共有した。
なお、サブテーマについては、本検討委員会にて検討および情報共有を行った。
図表 1
ガイドライン検討委員会
各テーマに関する総合的検討
ガイドライン検討作業部会
中心テーマに関する集中検討
本検討委員会の構成
報告等
情報セキュリティ政策室
情報セキュリティ対策に関する
・アンケート調査
・諸外国調査
を実施
情報共有
③ 検討会委員
本検討委員会では、以下の方々に委員として就任していただき、議論をお願
いした。なお、委員長は、堀部政男一橋大学名誉教授に、作業部会主査は菊池
浩明東海大学教授に委嘱した。
１) ガイドライン検討委員会委員
＜委員＞
岩崎浩平
日本商工会議所情報化推進部長
小堤康史
一般社団法人電子情報技術産業協会
/日本電気株式会社経営システム本部
顧客情報セキュリティ室
金田英幸
社団法人日本クレジット協会
個人情報保護推進センターセンター長
菊池浩明
東海大学情報通信学部情報通信ネットワーク工学科
北川卓志
電気事業連合会情報通信部副部長
7
教授
小松
文子
佐藤
新保
関本
厚夫
史生
貢
高芝
高橋
続橋
西本
藤原
堀部
万場
利仁
昌行
聡
逸郎
靜雄
政男
徹
独立行政法人情報処理推進機構
セキュリティセンター情報セキュリティ分析ラボラトリー長
一般社団法人情報サービス産業協会審査業務部長
慶應義塾大学総合政策学部准教授
一般財団法人日本情報経済社会推進協会
プライバシーマーク推進センター副センター長
高芝法律事務所弁護士
日本百貨店協会企画開発部副部長
社団法人日本経済団体連合会産業技術本部長
株式会社ラック取締役/最高技術責任者
中央大学法科大学院教授
一橋大学名誉教授
社団法人日本通信販売協会理事事務局長
２) ガイドライン検討作業部会委員
相田秀司
日本情報システム・ユーザー協会
セキュリティセンター審査第二グループ長
影井良貴
NTT データ先端技術株式会社セキュリティ事業部
シニアコンサルタント
菊池浩明
東海大学情報通信学部情報通信ネットワーク工学科
小松文子
情報処理推進機構セキュリティセンター
情報セキュリティ分析ラボラトリー長
高木浩光
産業技術総合研究所
情報セキュリティ研究センター主任研究員
松尾正浩
株式会社三菱総合研究所
経営コンサルテイング本部主席研究員
（オブザーバー）
鈴木正朝
新潟大学大学院実務法学研究科教授
教授
※所属・役職は委嘱時のもの
8
④ 検討スケジュール
本検討委員会および作業部会は、下記の日程で実施した。
図表 2
検討スケジュール
会議名
第一回検討委員会
実施時期
2011 年 11 月 30 日
検討作業部会
（第一回）
2011 年 12 月 22 日
検討作業部会
（第二回）
2012 年 2 月 2 日
第二回検討委員会
2012 年 3 月 2 日
(３)
議事案
本検討委員会の趣旨、進め方
本検討委員会における検討・報告内
容
検討・報告内容に関する質疑
新たな脅威に備えたセキュリティ対策
のあり方について（検討の方向性確
認）
新たな脅威に備えたセキュリティ対策
のあり方について（検討結果取りまと
め）
作業部会における検討結果について
本検討委員会としての検討
検討成果
本検討委員会および検討作業部会の具体的検討内容および実施概要につい
ては、次節にて記載する。
9
２.
新たな脅威に備えたセキュリティ対策のあり方
(１) 実施目的
デジタル化・ネットワーク化の進展により、ゲーム機、車等の個別製品がネ
ットワークにつながり、各種サービス提供が行われる中、業態によっては、個
人情報を含む膨大な情報が集積。こうした中、日本企業へのサイバー攻撃によ
る大規模な個人情報漏えい事件が発生している。
このため、業態や規模等を踏まえつつ、求められるセキュリティ対策を一定
の技術基準として明確化し、個人情報保護ガイドラインに反映して事業者によ
るセキュリティ対策の強化を促すことが必要と考えられる。
(２) 実施概要
新たなセキュリティ対策のあり方については、経済産業分野のガイドライン
における「技術的安全管理措置」
（法第２０条）に例示される技術的安全管理措
置につき、「当該措置が一般に普及しているか（措置の普及率）」、「当該措置の
有効性が高いか（措置の有効性）」といった二つの観点から、対象とする安全管
理措置の射程を抽出した。
なお、
「措置の普及率」については、情報セキュリティ政策室が実施した「コ
ンピュータセキュリティ早期警戒体制の整備事業（企業等の技術的情報セキュ
リティ対策に係る調査研究）」におけるアンケート結果等を参照した。
また、
「措置の有効性」については、ガイドライン検討作業部会において、各
技術的安全管理措置の有効性を議論していただき、議論結果をもとに例示され
るべき措置を抽出した。
図表 3
対象とする安全管理措置の抽出イメージ
アンケート結果に基づく具体的に記載する事項の抽出イメージ
対象とする安全管理措置の射程
多くの事業者で
普及済みの事項
措置の有効性
全事業者
高
具体的内
容の記載
を検討
45%以上の
事業者が実施
措置A
措置B
措置C
措置D
50%以上の
事業者が実施
措置A
措置B
措置C
措置D
55%以上の
事業者が実施
措置A
措置B
措置C
ネット事業者
措置の普及率
45%以上の
事業者が実施
措置A
措置C
措置D
50%以上の
事業者が実施
措置A
措置C
措置D
措置A
措置B
このうち安全性の高い事
項を具体的に記載
ネット事業者で
ある程度普及した事項
%
60%以上の
事業者が実施
55%以上の
事業者が実施
措置A
措置C
60%以上の
事業者が実施
措置A
このうち安全性の高い事項
を具体的に記載
※回答数の閾値となる数値や対象事業者は仮の値。
10
３.
大規模災害発生に際する個人情報共有のあり方
(１) 背景
東日本大震災では、多くの国民が、生命、身体又は財産の危機にさらされる
事態にみまわれる中、本人同意のない個人情報の第三者提供が求められる場面
が数多く生じた。一部の事業者・団体では、個人情報の提供可否について判断
に迷い、業務に支障が生じた事例が報告されている。
個人情報保護法では、
「人の生命、身体又は財産の保護のために必要がある場
合であって、本人の同意を得ることが困難であるとき」（法 23 条 1 項 2 号）と
いう第三者提供制限の例外規定が定められており、本規定が適用できる場面で
は、各主体が判断して、個人情報を有効活用することが重要である。このため、
大規模災害発生に際する個人情報共有のあり方について、あらためて周知する
必要がある。
また、安否確認や物資の要請など、民間事業者によるソーシャルメディアが、
応急対応におわれて手の回らない行政機関の代替手段として、情報伝達に大き
な役割を果たしたが、その後どのように取り扱うべきかは課題としてきかれる。
個人情報保護法の観点から、大規模災害時の情報共有サービスのあり方につい
て整理することが必要である。
(２) 実施概要
下記の観点からヒアリング調査や公開情報調査等を実施した。
・東日本大震災のような大規模災害発生時に、個人情報が適切に共有されるた
めには、どのような施策を講じるべきか。
・経済産業分野ガイドライン、Q&A 等において、加えるべき内容は何か。
11
４.
(１)
暗号を用いた情報保護
目的・背景
暗号を用いた情報保護の促進の観点から、暗号を用いた情報保護の考え方及
び方策について、関係機関と協力して検討した。
(２) 実施概要
「暗号を用いた情報保護対応マニュアル検討会」にて検討がなされている「企
業等の個人情報暗号化マニュアル（仮題）」の骨子について独立行政法人情報
処理推進機構より報告を受けた。
12
５.
いわゆる集合訴訟について
(１) 実施目的
我が国においては、消費者被害の防止と円滑な被害回復の必要性から、消費
者団体訴訟制度が創設され、消費者被害の防止については一定の成果が収めら
れてきた。一方、被害救済の観点からは、消費者委員会等で消費者被害の特性
を踏まえたより実効的な集団的消費者被害救済制度の在り方が検討されてきた。
「集団的消費者被害救済制度専門調査会報告書」
（平成 23 年 8 月）によれば、
小額・同種という消費者被害の特性に合わせて、出来る限り多数の消費者の請
求権を束ねて訴訟を追行できる集団的消費者被害救済制度の創設が求められて
いる。
こうした状況の下、本調査においては各国の集合訴訟制度について調査を行
った。
(２) 実施概要
本調査では、台湾、韓国、カナダ、米国、英国、フランス、ドイツを対象と
し、集合訴訟制度の有無と個人上違法漏えい事案等への適用可能性について調
査した。
調査は、各国法令や文献など公開情報を中心に情報収集した。一方、英国に
ついては、集合訴訟制度の改正が検討されている状況を踏まえ、英国の消費者
保護団体にヒアリングを行う等、現地調査を実施した。
(３) 調査結果
① 台湾
台湾においては、個人情報保護に係る包括法である Personal Data Protection
Act (PDPA)が 2011 年に成立し、2012 年中に施行予定である。個人情報保護を
めぐる集合訴訟については、PDPA の 28 条から 40 条にかけて、
「損害賠償及び
集合訴訟」として規定がなされている。このため、個人情報保護法制において、
個人情報保護に係る集合訴訟が制度化されている。
② 韓国
韓国では、個人情報保護に係る包括法である The Data Protection Act (DPA)
が 2011 年 9 月に施行され、その 51 条から 57 条にかけて、集合訴訟に係る規
定がなされている。実際に、2011 年 7 月には SNS サイトから個人情報が漏え
13
いした事案につき、DPA に基づく集合訴訟が提訴されている。
③ カナダ
カナダの個人情報保護に係る連邦包括法は、Personal Information Protection
and Electric document Act (PIPEDA, 2000)であるが、PIPEDA には、集合訴
訟に係る規定はなされていない。従って、個人情報保護法制で、個人情報保護
に係る集合訴訟は制度化されていない。実際に個人情報漏えい事案が生じた場
合いは、プライバシーコミッショナーへの申し立て手続きがなされることとな
る。
一方、オンタリオ州やブリティッシュコロンビア州をはじめ、9 の州では、州
法において集合訴訟の規定がなされている。こうした州法においては、個人情
報に係る事案が集合訴訟の対象になるかは明示されていない。一方、オンタリ
オ州などでは個人情報漏えい事案に対して、州法の手続きに則った集合訴訟が
提訴されている。本件は、個人情報漏えい事案に対して州法に基づく集合訴訟
制度が適用可能かという論点を含んでいたものの、当事者間での和解が成立し
たため、司法判断までは至らなかった。
④ 米国
米国では連邦レベルでの包括的な個人情報保護法は制定されておらず、個別
分野ごとに個人情報保護に係る法令が策定されている。そのため、個人情報保
護に係る集合訴訟についても、一律に制度化されているわけではない。例えば、
Equal Credit Act など金融分野での個人情報に係る集合訴訟を規定した法令は
存在する。また、カリフォルニア州など一部の州においては、個人情報保護に
係る州法で集合訴訟が制度化されている。他の分野・地域については、連邦民
事訴訟規則（Federal Rules of Civil Procedure）第 23 条において、集合訴訟の
規定が明文化されているため、同条文を根拠とした集合訴訟の提訴が可能にな
っている。
⑤ 英国
英国における個人情報保護の包括法は、Data Protection Act であるが、同法
では集合訴訟についての言及はなされていない。そもそも、英国の場合には、
オプトアウト型で原告を募るようなクラスアクションとしての集合訴訟は成立
されておらず、同一案件に対して裁判所が一括で審議を行う Group Litigation
Orders (GLO、グループアクション)が中心である。GLO においては、個人情報
に係る係争も制度の対象であるが、GLO が交通機関の事故など経済的損害を算
出できる事案に焦点が当てられているため、精神的損害を中心とする個人情報
14
関連事案の実例は、2011 年段階では存在しない。また、GLO では、個別の原告
による訴訟内容に基づき、裁判所の判断で個別裁判とするか GLO とするかが決
まる。そのため、原告として参加した場合には敗訴時の裁判費用を負担する義
務等が生じ、小規模被害の場合には原告としての参加は躊躇われがちになる。
こうした状況を踏まえ、英国では複数の原告をオプトインで募集しつつ、原
告への負担を減らすことを目的にした新たな集合訴訟制度である Collective
Redress の導入が検討されている。Collective Redress においても、個人情報関
連事案を対象としつつも、経済的損害を算定できる事案が、制度の中心である。
そのため、消費者団体などでも個人情報に係る Collective Redress が生じる可
能性は高くないものと想定している。一方、GLO と違い、Collective Redress
においては原告団に加盟したとしても代表提訴人以外は裁判費用等の支払い義
務がないので、小規模な被害であっても原告団への参加に関する消費者の負担
は少ないものと見積もられている。
⑥ フランス
フランスにおいても、個人情報保護の包括法である Data Protection Act
(2004)で集合訴訟制度を規定しておらず、英国と同様にグループアクション制度
が消費者保護、証券金融サービス、環境保護等の分野で制度化されている。
一方、集合訴訟制度の整備が検討されており、2010 年 5 月には上院作業部会
集合訴訟に関する報告書を作成している。ただし、同報告書によれば、設立が
検討されている集合訴訟制度において個人情報保護関係の事案が適用対象にな
るかは、言及がなされていない。
⑦ ドイツ
ドイツにおいても、英国やフランスと同様に個人情報保護に係る包括法では
集合訴訟に言及しておらず、制度としても確率はしていない。主にグループア
クション制度によって被害者の事後救済を図る手法が用いられている。一方、
個別分野の観点からは、2005 年施行の KapMug(資本市場法上の訴訟における
ムスタ手続に関する法律)において、集合訴訟に類似した制度が証券分野向けに
試行的に導入されている。
15
図表 4
台湾
Personal Data
Protection Act (PDPA,
2011)(2012 年施行予定)
韓国
The Data Protection
Act(DPA, 2011)
個人情報保護
に係る法令
法形式
オムニバス
無
※PDPA は法務省が所
管
オムニバス（包括法導入
以前はセグメント方式）
個人情報保護委員会
各国の個人情報保護法制と集合訴訟制度の関係
カナダ
Personal
Information
Protection and
Electric document
Act (PIPEDA, 2000)
- The Privacy Act
(1983)
各州個人情報保護法令
セグメント
-
プライバシーコミッシ
ョナー
第三者機関
個人情報保護
に係る法令にお
ける集合訴訟の
規定
集合訴訟制度自
体の存在
-
米国
連邦レベルでの包括
法はなく、分野ごと
に個人情報保護法例
が存在
個人情報保護に係る
州法が存在
セクトラル
連邦取引委員会（FTC）
※アメリカには、個人情
報全般を所轄する統一
的な第三者機関は存在
しない。FTC は消費者の
プライバシー保護を任
務とする。
英国
Data Protection Act
(1998)
フランス
Data Protection Act
(1978)（2004 年改正法）
ドイツ
Federal Data
Protection Act (2001)
オムニバス
オムニバス
オムニバス
情報コミッショナー事
務局（ICO）
情報処理及び自由に関
する国家委員会（CNIL）
データ保護監察官及び
その事務局
※連邦制のため、連邦レ
ベルは連邦データ保護
監察官が、州レベルは州
データ保護監察官が監
督。
有
有
無
一部で有
無
無
無
有
有
有
有
無
無
無
9：PDPA (Article 28
-40)に規定
9：DPA (Articles 51-57)
に規定
△： PIPEDA には集合
訴訟に係る明示的な規
定がないが、州集合訴訟
法は存在
9：Equal Credit
Opportunity Act など集
合訴訟についての規定
がある分野がある。
×：ただしグループアク
ション制度（Group
Litigation Order: GLO）
は存在しており、全ての
法律に適用できる
×：ただし、個人情報保
護以外の分野では一部
で試行導入中
- Computer-Processed
Personal Data
Protection Act
(CPPDPA)から
PDPA への改正に伴
い、集合訴訟に係る規
定が新規に追加され
た。
- PDPA では、「損害賠
償及び集団訴訟」とし
て、集合訴訟は第四章
（28 条～40 条）に規
- 2011 年 9 月 30 日に
施行された DPA に集
合訴訟制度が導入さ
れた。
- DPA の集合訴訟制度
では、第 57 条民事訴
訟法の適用等で「この
法律に特別の規定が
ない場合は、"民事訴
訟法"を適用する」と
記載している。
- 集合訴訟制度につい
ては、オンタリオ州や
ブリティッシュコロ
ンビア州をはじめ、9
つの州で集合訴訟を
規定した州法が施行
されている。
- 一方、 PIPEDA およ
び The Privacy Act
には、集合訴訟に係る
明示的な規定はない。
- 現行の連邦民事訴訟
規則（Federal Rules
of Civil Procedure）
第 23 条において、集
合訴訟の規定が明文
化されている。州レベ
ルでは、州の民事訴訟
法において、連邦民事
訴訟規則を参考にし
た集合訴訟制度を有
しているケースが多
- イギリス政府は、2008
年 7 月の報告
書”Improving Access
to Justice through
Collective Actions”に
おいて、GLO への代
替手段として集合訴
訟を創設することを
提案している。
- GLO は、傷害事件や
商品等の瑕疵担保な
×：ただしグループアク
ション制度（actions en
représentation
conjointe）は存在してお
り、一部の分野（消費者
保護、証券金融サービ
ス、環境保護）で適用さ
れている
- フランスのグループ
アクション制度
（actions en
représentation
conjointe）の活用は、
①消費者保護分野、②
証券金融分野、③環境
保護分野に限定され
ている。
- 2010 年 5 月 28 日に上
院作業部会が取りま
集合訴訟制度の
個人情報保護法
制への適用可能
性
集合訴訟と個人
情報保護法制の
関係に係る政策
動向
-
16
- Federal Data
Protection Act を含
め、集合訴訟を明示的
に規定した法令は存在
しない。
- ただし、2005 年施行の
KapMug においては、
集合訴訟に類似した制
度が証券分野向けに試
行的に導入されてい
る。ただし、提訴を希
台湾
定されている。
- 法令抵触時の罰則に
ついては、 CPPDPA
では 4 万台湾ドル以
下の罰金ないしは 2
年以下の懲役であっ
たが、 PDPA では
100 万台湾ドル以下
の罰金ないしは 5 年
以下の懲役に引き上
げられた。
PDPA は施行前の段階
であるため、同法に基づ
く集合訴訟は発生して
いない。
韓国
-
-
集合訴訟の発生
動向
DPA の施行直後で
あるため、同法に基
づく集合訴訟が今
後、発生する可能性
がある。
2011 年 7 月に SK コ
ミュニケーションズ
のハッキングによっ
て約 3500 万会員の
個人情報が流出した
事件で、会員らが集
団訴訟を起こした。
（係争中）
カナダ
係争処理はプライバ
シーコミッショナー
及びインフォメーシ
ョンコミッショナー
への不服申立が中心
である。
- 現段階では、州法の集
合訴訟制度が個人情
報保護に適用可能か
否か、司法判断は下っ
ていない。
- ただし、州法の手続に
則り、個人情報保護を
対象とした集合訴訟
が発生している。
- 例えば、2004 年には
オンタリオ州の住民 2
名が原告代表となっ
て、カナダ政府に対し
て集合訴訟を提訴し
た。（当事者間での和
解成立）
- また、2011 年 6 月に
はホンダの顧客情報
流出を受けて集合訴
訟が発生している。
（係争中）
米国
いが、集合訴訟自体を
認めていない州もあ
る。
- カリフォルニア州な
どでは、個人情報保護
に係る州法で集合訴
訟を規定している。
英国
ど、様々な分野で適用
されているが、個人情
報保護分野での具体
例は見つかっていな
い。
Sony Computer
Entertainment
America に対して、米国
のユーザー３名が集団
訴訟を起こした。訴状は
カリフォルニア州北地
区の連邦地裁に提出さ
れた。（係争中）
- GLO は、過去 1 年間
で 74 件程度発生して
おり、傷害事件や商品
や薬剤の瑕疵担保、公
害（industrial
、事件や震
diseases）
災から発生したクレ
ーム、心身虐待、株主
訴訟、資金調達の助言
に関する訴訟、環境訴
訟など、様々な分野で
活用されている
- 個人情報保護分野で
GLO が活用された具
体例は見つかってい
ない。
17
フランス
とめた集合訴訟に関
する報告書案が完成
しており、次の法案の
基礎資料になると想
定されている。
- 同作業部会によれば、
集合訴訟制度は競争
法侵害に起因する紛
争や、金融証券法違反
等をも対象となる。ま
た、消費者契約に関す
る訴訟に限定して実
施することを検討さ
れている。しかし、個
人情報保護が対象に
なるかは不明である。
- 一方、集合訴訟制度の
導入について、2010
年 6 月 24 日に元老院
（上院）で審議された
が、採択には至ってい
ない。
集合訴訟制度が確立
していないため、個人
情報保護を争点とし
た集合訴訟は発生し
ていない。
なお、グループアクシ
ョン制度（actions en
représentation
conjointe）は 1992 年
から 2008 年の間で 6
回程度（いずれも消費
者団体からの提訴）し
か発生してない。
ドイツ
望した者のみが原告に
加われる方式であり、
匿名の集合体による提
訴は認めていない。
- KapMug による規定
は 2010 年までのサン
セット条項であった
が、2012 年までの延長
が決定されている。
- また、証券分野以外に
おいても集合訴訟に係
る規定を設置すべき
旨、法務省が見解を提
示している。
- 集合訴訟が制度的に確
立していない一方で、
多数の原告団の提訴に
よる訴訟は発生してい
る。
- 例えば、2007 年には、
German Telecoms
Data Retention Act の
違憲性をめぐり、
Meinhard Starostik
弁護士を代表人とする
約 34,000 人の原告団
が連邦憲法裁判所に憲
法訴訟を提訴してい
る。
図表 5
導入の
背景
対象事
案
個人
報関
事案
の適
状況
情
連
へ
用
提訴手
続
英国における”Collective Redress”
Group Litigation Orders(GLOs)
GLOs が導入された背景として
は、裁判所の訴訟処理の効率化を
求めたことにある。類似する個別
の訴訟を、裁判官の判断で 1 つに
まとめることで、１度に複数の案
件に対する法的判断を下すこと
が企図された。
この点で、消費者団体などの適
格団体が類似する案件に対して
リストを作成し、個々人に呼びか
けることで、Opt-out 型で原告を
募る、いわゆる”Group Action”と
GLOs は、似て非なるものである。
Collective Redress
GLOs では原告団への参加には
敗訴時の裁判扶養負担義務が生
じるため、被害金額が軽微である
場合、被害者の参加を促進するこ
とが困難であった。
また、米国におけるクラスアク
ション制度は、法律事務所による
大規模訴訟案件の確保としての
側面が懸念されており、被害者救
済の考え方に馴染みにくかった。
そこで、被害者の負担が GLOs
に比べて大幅に削減しつつ、被害
者救済の趣旨に照らした制度が
求められた。
特段の限定はなされていないが、特段の限定はなされていない。
GLOs が頻繁に活用されている分
野としては、
１) 電車衝突などの交通事故
２) 金融サービス
の２つが挙げられる。
個人情報の漏えい事件に関し
個人情報の漏えい事案につい
ては、制度の対象であるものの、ても、制度の対象として位置付け
GLOs の制度が確立した 2000 年られている。ただし、個人情報漏
以降１件も見られない。
えいによる経済的損失が明確で
ない事案には、制度適用が難しい
ものと想定される。
原告代表が共通の利害を有す ”Collective Redress”では、代表機
る原告を募集し、原告団を構成す関が Opt-in で被害者の許可を取
る。
ることが原則である。提訴手続き
その際、
としては、以下のような手順を踏
１) 提訴内容の概要
む
２) 受理済みの申立数とその概
１) 特定の事件に対し、１人の
要
被害者が特定の事件につい
３) 想定される原告数
て提訴する（裁判 A）。
４) 毀損された「同一の利益」
２) ”Collective Redress”を提起
の内容と根拠法規
する権利を持つ代表機関
５) 原告団の大規模性とその根
が、裁判 A について他の被
拠
害者の参加を募る。
が明示される必要がある。
３) 特定の期間中に参加表明し
18
Group Litigation Orders(GLOs)
Collective Redress
た被害者をまとめて原告と
原告団への参加は任意である
し、弁護士が裁判の準備を
が、原告団に参加しない場合には
行う。
勝訴時の損害賠償を受理するこ
とはできない。また、原告団に参
加した場合には、敗訴時の裁判費
用等の負担責任が発生する。
原告団敗訴時には裁判費用等の支払い敗訴時には原告団のうち代表機
関のみが裁判費用の支払い義務
参加者義務が生じる。
を負う。
の責務
GLOs が個人情報漏えい事件に
制度上
英国の消費者団体によれば、
の課題
適用されてこなかった理由とし Collective Redress についても、
ては、個人情報漏えい発生時の損個人情報漏えい事案における精
害の多くが精神的損害に留まる神的損害は実例として発生し難
点が指摘される。個人が感じる不いと認識されている。
安やストレス等の精神的損害は、
千差万別であり、同一の利益とは
みなされにくい。
また、仮に個人情報漏えいによ
る経済損失が計上されたとして
も、被害者一人当たりの損失金額
は軽微であり、敗訴時の裁判費用
の発生を勘案すると、訴えの利益
を欠くと考えられている。
19
III.インターネットによる個人情報保護法等への取組状況の調査
20
１.
調査目的
経済産業省において、経済産業分野を中心とした事業者における個人情報保
護法への対応状況を把握し、今後の個人情報保護に係る施策の支援活動等に資
することを目的とする。
２.
取組み実態調査の概要
(１) 調査の概要
① 実施期間
2011 年 12 月 14 日（水）～2012 年 1 月 27 日（月）
② 実施方法
Web 回答画面等を作成し、調査対象企業等への周知・回答への協力依頼メー
ル等の配信（Web 等へのリンク先の掲示含む）を行った。
回収に際しては、有効回答サンプルを高める目的から、適宜回収の督促を行
った。
回収後のデータは、単純集計を行い、グラフ化した。なお、集計時に、論理
的な矛盾または不適切と判断された回答は「無効回答」とし、集計結果から除
外した。
③ 調査対象
全国の企業約 1,000 社以上
④ 実施内容
経済産業分野の事業者における個人情報の保護に関する取組みの実態につい
ての設問を設定した。
⑤ 有効回答サンプル数
1,393 サンプル
⑥ 調査結果
本アンケート調査結果の概要は、「３．（１）調査結果の要約」に示し、詳細
結果は「３．（２）調査結果の詳細」、過年度調査との比較分析結果について
は「３．（３）経年比較」に示す。
21
３.
(１)
調査結果
調査結果の概要
Ⅰ．概要
アンケートの回答した業種のうち比率の高かったものは、「サービス業（他
に分類されないもの）」
（21.4％）、
「情報通信業」
（19.8%）、
「製造業」
（14.8％）
であった。（Q1）
回答者の資本規模としては、「１千万円以上～５千万円未満」が最も多く
31.2%を占め、次いで「～1 千万円未満」が 25.4%を占めた。資本金 5 千万
円以上の企業の合計は、43.4％であった。（Q2-1）
回答者の従業員規模としては、
「～20 人未満」が最も多く 37.9%、次いで「300
人以上～」で 29.6%を占めた。（Q2-2）
「個人情報は取り扱っていない」との回答は 12.9%であった。その中で、業
務上利用している個人情報（顧客情報等）の件数については、
「1 千件未満」
が最も多く 39.8%を占め、次いで「1 千件以上～5 千件未満」が 10.4%を占
めた。5 千件以上の個人情報を取り扱う事業者は、全体の 36.9%であった。
（Q3）
個人情報の取得方法（複数回答可）については、回答者の「取引情報として
蓄積」が 72.9%を占めた。他の方法としては、
「商品購入者の登録」が 30.6%、
「業務受託のために取引先から預かる」が 21.4%であった。（Q4）
Ⅱ．取組み状況
Ⅱ―１. 取組みに対する意識の変化
個人情報保護法施行後から現在までに、回答者による個人情報保護施策の位
置づけは「重要性がますます高まっている」と「重要性が高いまま維持され
ている」がいずれも最も多く 40.8%であった。
「あまり関心がないままであ
る」という回答は 14.1%であり、「対策の位置付けが低下している」という
回答は、2.1%に留まった（Q5）
「重要性が高いまま維持されている」ないしは「重要性がますます高まって
いる」と回答した理由（複数回答可）としては「個人情報保護法が施行され
ているため」という理由が 81.8%に上った。また、
「新たな IT 技術を用いた
製品・サービス（スマートフォン、クラウドコンピューティング等）の導入
に伴い、取り組み強化が必要になったため」という理由は、15.0％であり、
「社内トップの方針が明確で、トップが積極的に啓発に努めているため」
22
（28.3%）、
「他社で個人情報漏えい事案が発生したため」
（28.2%）、
「社員教
育を実施した為」（23.0%）に下回った。（Q6）
「対策の位置付けが低下している」ないしは「あまり関心がないままである」
と回答した主な理由（複数回答可）は、「個人情報保護に関する取組みを特
に行っていないため」（57.0%）、「社内で個人情報漏えい事案が発生してい
ないため」（42.1%）、
「本人からの自己情報の開示等の求めがない（又は少
ない）ため」（30.3%）であった。（Q7）
個人情報保護法施行による情報の利活用への影響については、
「（個人情報の
保護に対する意識の高まり等により）個人情報が利用しにくくなった」とい
う回答が 76.6%を占めた。（Q8）
Ⅱ―２.
社内体制の整備
個人情報保護に関する社内規定類の整備状況については、「整備して、運用
している」が最も多く 58.8%を占めており、「整備していない（必要性を感
「必要性は感じているが未着手」
（10.8%）などの回
じていない）」
（11.5%）、
答に 40％ポイント以上の差をつけた。（Q9）
社内規定類の整備状況について、
「必要性は感じているが未着手」または「整
備していない（必要性を感じていない）」と回答した者のうち、最も多かっ
た理由は「取り扱っている個人情報が少ないため」（55.3%）であり、次い
で「特段の理由はない」（26.2%）が多かった。（Q10）
個人情報保護指針（プライバシーポリシー）の策定・公表状況については、
「策定し、公表している」が最も多く 54.7%を占めた。一方、「策定してい
ない（必要性を感じていない）」も 14.4%と依然として多く、
「必要性は感じ
ているが未着手」という回答も 9.1％存在した。（Q11）
個人情報の管理に関する組織体制（複数回答可）としては、「個人情報保護
管理者（いわゆるチーフ・プライバシー・オフィサー）を設置している」が
最も多く、40.2%を占めた。次いで、「個人情報保護担当部署を設置してい
る」
（26.2%）や「部門ごとの管理者を設置して部門管理している」
（25.7％）
が多かった。一方、
「特に整備していない（必要性を感じていない）」という
回答も 23.7%存在した。（Q12）
社内規定等の運用に関する定期点検については、
「点検していない」
（32.4%）
という回答が約半数を占めた。定期点検をしている回答者のうち、その頻度
については、
「7 か月～1 年に 1 回程度」が 18.2％と最も多く、
「月 1 回程度」
（13.7%）、
「4～6 ヶ月に 1 回程度」
（12.9%）の順で多くの回答を得た。
（Q13）
23
社内規定等の見直し状況については、
「見直しをしていない」
（37.6%）が最
も多く、見直しをしている回答者の見直し頻度については、「7 ヶ月～１年
に１回程度」（23.2%）が最も多かった。（Q14）
Ⅱ―３.
個人情報保護に関する第三者認定
個人情報保護に関する認証制度による付与認定については、40.1%が「受け
ていない（必要性を感じない）」と回答した。付与認定を受けている回答者
は 26.8%に留まったが、
「必要性は感じているが具体的な検討はしていない」
という回答も 20.2%であった。（Q15）
個人情報保護に関する認証制度による付与認定について、「必要性は感じて
いるが具体的な検討はしていない」ないしは「受けていない（必要性を感じ
ない）」と回答した者のうち、認定を受けない理由（複数回答可）について
は、
「体制整備等の準備が大変」
（47.4%）が最も多かった。その他の理由に
ついては、
「認証の維持コストが高い」
（35.4%）、
「申請料及び審査料が高い」
「体制整備等のコストが高い」
（24.9%）の順に回答比率が高かっ
（25.3%）、
た。（Q16）
個人情報の取扱いの委託先や取引先を選定する際の、個人情報保護に関する
認証制度による認定の有無については、「一定の考慮事項としている」が最
も多く、27.8%であった。また、
「委託先選定基準や取引条件を含んでいる」
も 19.6％の回答比率であった。一方、
「ほとんど考慮しない」
（22.8%）や「全
く考慮しない」（12.2%）という回答も一定程度存在した。（Q17）
Ⅱ―４. 個人情報の漏えい対策
個人情報保護法の全面施行後の個人情報の漏えい事案については、「ない」
という回答が 90.7%を占めた。（Q18）
業務用パソコンの紛失・盗難により個人データの漏えい等を防止する対策
（複数回答可）としては、「データの暗号化、パスワードの設定」が最も多
く、61.3%であった。次いで、
「業務用パソコンの社外持ち出し禁止」も 45.8％
と高い回答比率であった。一方、「何も講じていない」という回答も 14.2%
を占めた。（Q19）
個人所有パソコンから業務用個人データの漏えい等を防止する対策（複数回
答可）としては、
「個人所有パソコンでの業務禁止」
（63.0%）が最も多かっ
た。一方、「何も講じていない」という回答も 15.8%を占めた。（Q20）
USB メモリー等、携帯用のメモリー機器等の安全管理対策（複数回答可）
としては、「個人情報の保存を禁止している」（36.7%）、「データの暗号化、
パスワードの設定をしている」（36.6%）、「メモリー危機の使用または個人
24
情報の保存について上司の了解を必須としている」
（31.5%）が多かった。
「何
も講じていない」という回答は 20.1%であった。（Q21）
ウェブサイトのぜい弱性（外部サイトからの攻撃に対する弱さ）の対策（複
数回答可）としては、「ウェブサイトで個人情報を取り扱っていない」が
63.6%と最も多かった。（Q22）
個人情報の安全管理対策として、特に重要な対策としては、「従業者に対す
る教育・訓練の実施等の人的な安全管理対策」（38.1%）、「個人情報の取扱
いに関する社内規定や体制の整備等の組織的な安全管理対策」
（33.1%）、
「情
報システムへのアクセス制御やデータ移送時の対策等の技術的な安全管理
対策」（19.6%）など回答比率が高かった。（Q23）
個人情報の安全管理対策として、特に対策が遅れている対策としては、「情
報システムへのアクセス制御やデータ移送時の対策等の技術的な安全管理
対策」（26.3%）、「個人情報の取扱いに関する社内規定や体制の整備等の組
織的な安全管理対策」（25.3%）、「従業者に対する教育・訓練の実施等の人
的な安全管理対策」（25.2%）などで回答比率が高かった。（Q24）
Ⅱ―５. 従業者教育
従業員教育の方法（複数回答可）としては、
「内部研修会・セミナーの開催」
が最も多く、44.4%の回答比率であった。その他、
「社内報でのお知らせ等」
(32.6%)、
「ｅラーニング（情報技術を用いて行う学習）の実施」(26.9%)、
「外
部研修会・セミナーへの参加」(19.2%)、「冊子等の配布」(22.3%)の順で回
答が多かった。（Q25）
ｅラーニングの実施の実施頻度については、「年一度行っている」（34.2%）
が最も多く、頻度が上がるごとに回答比率は低下し、「月一度以上行ってい
る」との回答比率は 9.4%となった。（Q25-1）
研修会・セミナーへの参加頻度については、「年一度行っている」（33.5%）
が最も多く、頻度が上がるごとに回答比率は低下し、「月一度以上行ってい
る」との回答比率は 4.9%となった。また、
「過去一度だけ行った」という回
答も 14.0%を占めた。
（Q25-2）
社内報・冊子等でのお知らせ等についても、「年一度行っている」（19.6%）
が最も多く、次いで「行っている（年一度未満の周期で、二度以上行ってい
る）」（18.7％）が多く回答された。また、「月一度以上行っている」との回
答比率は 14.8%であった。（Q25-3）
冊子などの配布については、「一度だけ行った」が最も多く、33.1%を占め
た。次いで、
「年一度行っている」
（27.3%）が多かった。
「6～11 カ月に一度
25
行っている」
（9.6%）、
「2～5 カ月に一度行っている」
（6.1%）、
「月一度以上
行っている」（6.1%）はいずれも 10%を下回った。
従業員教育の対象者については、「正社員及び役員に加え、派遣社員・出向
者、パート・アルバイト等」が最も多く、39.0%であった。次いで「正社員
及び役員」
（25.0%）、
「正社員のみ（役員を含まない）」
（16.2%）の順に回答
が多かった。（Q26）
従業員教育の理解度測定の実施状況については、「実施していない」との回
答が 55%を占めた。（Q27）
26
Ⅱ―６.
委託先の監督
委託先の監督の措置（複数回答可）としては、「委託処理終了後の個人情報
の取り扱い等を明確にした契約書を交わしている」が最も多く、34.1%を占
めた。一方、「いずれの措置も講じていない」という回答も 33.1%と多かっ
た。また「委託先の保護水準を判断する基準を定め選定している」
（26.9%）
や「基準を定めたり、契約書を交わしたりしているが、委託先への訪問や監
査は実施していない」
（20.2%）という回答が多かった。なお、
「定期的に委
託先を訪問してチェックしている」
（9.4%）や「委託先に対する監査を定期
的に実施している」（9.7%）は 10％未満に留まった。（Q28）
委託元から不当な負担を強いられていると感じた経験については、「ある」
との回答比率が 10％に達した。（Q29）
委託元から不当な負担を強いられていると感じた経験がある回答者のうち、
不当な負担として想定された内容（複数回答可）は、「受託した個人データ
の性質等にかかわらず、必要以上に厳しく安全管理を求められること」
（60.3％）が最も多かった。次いで「個人情報漏えい等事故が発生した場合
に、受託者の責任の有無にかかわらず、損害賠償が求められること」
（39.7％）
や「個人情報漏えい等事故が発生した場合に、対応を受託者に委ねるよう求
められること」（31.2%）という回答が多かった。（Q30）
Ⅱ―７. 第三者への提供
個人情報の他社への提供状況（複数回答可）については、
「提供していない」
（65.2％）が最も多かった。提供している者のうち、最も多かったのは、
「本
人の同意を得て第三者（他社）に提供している」
（20.2％）であった。
（Q31）
Ⅱ―８. 本人からの保有個人データの開示等（開示・訂正・利用停止等）の求
めへの対応
開示等のための窓口設置状況については、「対応策を検討中である」が最も
多く、26.7%であった。次に「開示等の手続き選任ではないが担当者を決め
て対応している」
（25.2%）という回答が多かった。
「開示等の手続き選任の
問合せ窓口を設けて、公表している」という回答も 21.2%存在した。
（Q32）
開示等のための措置としては、「講じている」（39.9％）、「検討中である」
（19.2％）、
「講じていない」
（40.8％）であり、
「講じている」と「講じてい
ない」の回答比率はほぼ同程度であった。（Q33）
平成 22 年（2010 年）1 月 1 日から回答時点までにおける、保有個人データ
の開示等の求めの状況については、88.4％が「0 件」と回答した。（Q34）
27
Ⅱ―９.
苦情処理関係
苦情処理のための措置（複数回答可）については、
「対応策を検討中である」
との回答が 32.2％と最も多かった。措置を講じている者については、「お客
様相談窓口で対応する」（27.9%）、「個人情報保護専用の苦情処理窓口を設
けている」
（26.7%）、
「苦情処理のルールを定めた」
（15.6％）などの回答比
率が高かった。（Q35）
Ⅱ―１０.
その他
個人情報保護の観点から、この 1 年間に新たなリスクとして認識される製
品・サービスの利用について「特になし」（49.9％）が約半数を占めた。一
方。リスクとして認識されている製品・サービスとしては、「スマートフォ
ンの利用」
（35.8%）、
「タブレット端末の利用」
（22.1％）、
「クラウドコンピ
ューティングの利用」（18.8％）、「ソーシャル・ネットワーキング・サービ
ス（SNS）の利用」
（17.8％）、
「VPN 接続等の事業所外からの社内情報への
アクセスサービスの利用」（10.4％）の順に回答が多かった。（Q36）
平成 23 年 3 月 11 日の東日本大震災発生後に、従業員や取引先職員の安否
情報の開示・提供に関し、課題となったこととしては、「課題となったこと
は特にない」（79.0％）が最も多く回答された。一方、具体的な課題を挙げ
ている回答としては「どのような手法・媒体ならば、安否情報を開示・提供
して良いか、判断が困難であった」
（9.5％）、
「どの時点までならば、安否情
報の開示・提供を続けて良いか、判断が困難だった」
（8.7％）、
「どのような
手法・媒体ならば、安否情報を開示・提供して良いか、判断が困難であった」
（8.3％）の順で回答数が多かったが、いずれも 10％未満に留まった（Q37）
個人情報保護の取り組みに関して、なんらかの課題・問題点等に直面してい
るかを尋ねる設問については、「無」（直面していない）が 69.7％を占めた。
（Q38）
28
Q38 に関し、個人情報保護の取組みに関して自社が抱えている課題・問題点
等（自由回答）について主なものを下記に示す。
区分
社内理解・体
制の欠如
記述内容
＜従業員意識の低迷・末端社員まで教育することの困難さ＞
従業員教育は定期的に行っているが、意識の低下は否めない。
Ｐマーク取得後６年を経過し、個人情報取扱上の注意・事故防止に対する緊
張感にゆるみが見られる。
アルバイトや外国人が多いため、理解をさせるのが難しい。
個人情報保護法の施行から期間が経過したが、末端社員まで遵法意識を浸
透させることが難しい。同法に対する視聴覚教材等の製作配布が望まれる。
個人情報管理簿を部署別に作成することとしているが、個人情報の洗い出し
に、部門間で差異がある。
個人情報の重要性について社員が法律施行後、高まったことは事実だが、
個々のレベルに関しては個々のモラルに属するところが高く、教育（研修会、
内部監査、社内通達）だけでは向上する事が非常に困難である。
＜中小企業の体制構築の困難さ＞
弱小企業は狙われたら（強盗、泥棒、盗難）対策できない。個人情報を価値
のない（売れない）物にしなければいけない。会社のメールや FAX を公開し
ていると中国や韓国から個人情報の販売依頼がくる。
経営者の意識
の低さ
コストの負担
＜担当者の後継者不足＞
個人情報管理責任者として積極的に行っていた人間が２人も退職してしま
い、今現在手探りの状態で２度目の更新審査を迎えようとしている。
プライバシーマークの付与認定を受けている。通販会社との取引があるため
今後も維持して行きたいが、マネジメントシステムを運用できる後継者が不
足している。
＜経営層の意識改革の必要性＞
経営者が個人情報保護にまったく無関心であり、危険な状態である。
役員が個人情報保護に対して全く関心がない。
経営層の正しい理解と取り組みが重要である。
役員からトップダウンの徹底がさらに必要になる。
＜内部に入り込むコンサルタントの意識改革の必要性＞
個人情報保護を役員、コンサルタントが理解していない。
コンサルタントが平気で個人情報についてのメールを CC で自分の取引先に
送っている。
＜認定取得の費用負担＞
プライバシーマーク取得に向けて検討しているが、安価で取得する方法は無
いものか知りたい。
プライバシーマークを取得していないだけで、一律に仕事を断られる。その
取得・維持には年間１００万近くかかることになり、零細企業には取得・維持
が不可能、またはとても困難である。
規模が小さいので最先端等の技術対応やＩＳＯ等の認証が困難。
＜対策実施費用の負担＞
29
区分
地域社会全体
の理解の欠如
情報の不足
記述内容
取引先（委託元）からの個人情報提供のやり取りで人件費等の費用が発生
しているが、請求することが難しい。
セキュリティに膨大なコストがかかることが、これからの克服の課題になると
思う。
地域や学校では、過度な対応や一切個人情報を出さないのが法律で認めら
れていると考えている方がいる。
企業より一般消費者の意識が低く、同意書記入を面倒がられる。
特段問題等は発生していないが、社会全般に個人情報保護の取り組みが、
一部の業界（印刷業界、ソフトウェア開発業界など）に限定されているように
感じている。一般の事業者間では個人情報保護法の施行時に比べて、ほと
んど意識がないように思える。政府が主体となって何らかの対策を早急に打
っていただきたい。一部の限定された業界だけでは、あまりにもお粗末すぎ
ると痛感している。
＜新たな IT 技術に対する対応に関する情報の必要性＞
新しい IT に対する対応
スマートフォンなどモバイル型情報通信端末の発達が著しく、制度が現実に
追いついていない。むやみに利用するのは許されないが、適切なルールを
策定し、新しい機能(サービス)のメリットを享受する仕組みが必要。
＜法制度・認証制度に関する情報の必要性＞
規則類をどんどん修正しているため、複雑化している気がする
第三者認証取得に向けての情報が乏しい。
業界や他社の取り組みの程度が分からないので自社での対応が過ぎている
のか、足りないのかが分からない。詳細な取り組み事例ごとに導入率を調査
する機関があるとよい。
個人情報保護法、及び JIPDEC などの各種ガイドラインいずれも言葉遣いが
難解な部分があり本質を捉えにくい。この難解性が個人情報保護に関する
拒否反応と過剰反応を起こさせている。取扱う個人情報の範囲に応じた、も
っと親しみやすいルール作りが個別に必要と感じている。
保護ラインが難しいです。
業務への支障
＜他社事例の共有の必要性＞
会社が個人情報保護問題に取り組んでいるのにも関わらず、ツイッターなど
で個人情報としてネットに流すのは、モラルの問題ではないのか？他社では
このような問題にどう取り組んでいるのか知りたい。
もともと個人情報保護は当たり前なのですが、同規模の同業他社で、どれく
らいの取り組みが平均的なのか、どれくらいはやっておかなくてはならない
のかがわからない。
＜情報取得コストの増大＞
以前、容易に入手できていた情報（土地の大きさや形状）が、個人情報保護
法の施行後、情報提供を得る事が困難になった。その結果、1 件ごとに法務
局に情報閲覧する必要が生じたが、遠隔地のため１件の調査に往復３時間
程度かかり、業務に影響が出ている。
＜顧客の過剰反応・クレーマー化＞
法令順守の対応が、逆に顧客の感情を逆なでし、対応に困る事がある。
行き過ぎた個人情報保護を理由に仕事が無くなった。
30
区分
運用方法の改
善の必要性
他社との関係
記述内容
過剰な個人情報保護は、サービス行における顧客のクレーマー化を加速さ
せる材料になっていると感じる。このままではいずれサービス業は滅びるの
ではないかと危惧している。
＜法令・認証制度の運用改善＞
法律を作るよりも、人間を教育する事で善し悪しを覚えさせれば、つまらない
事に時間をかけずに済むと考えられる。
プライバシーマークを取得した結果、従業者の意識改善の効果を得られた
が、運用の効率化については課題を残す状況にある。
認証取得後に、数人で活動を継続し維持に努めていくことに疑問を感じてい
る。認証の維持とそれにかかるコスト及びマンパワーとのバランスを考える
と、認証無しで事業活動をやっていけないものかと悩む場面も多々ある。
プライバシーマーク審査機関は審査を執り行うだけで経済活動に何ら寄与し
ていない。もっと経済活動を念頭にした取組みを視野に運営してもらいたい。
プライバシーマークを維持しているが、マークが要求している事項が実際の
リスク管理とずれていると感じることが多々ある。情報漏れ事故防止の一定
の歯止めになっているとは思うが、何期も更新認定されている企業が、対外
的に万全な対策をうたっていても、初歩的なミスで簡単に漏洩事故を起こし
てしまう構造にも疑問を感じる。
＜既存の枠組みで解決されない課題への対応の必要性＞
メールの誤送信であるといったセキュリティ事故が終息しない
人為的ミスによる情報漏洩に対する措置
＜委託先との関係＞
協力会社が多く人の入れ替わりも激しいため教育が大変
業界の請負体制が良くない（３次受け、４次受け等があたりまえのようにあ
る）ため、個人情報についての教育・管理が行き届かない場合が多い
個人情報の漏洩時の対応をどのようにすべきか、対個人、会社、派遣との間
の協議が進んでいません。また、事件化した場合の費用がどの程度は見え
ていない。
個人情報保護法施行後、保護のみが先行しすぎて、何でもかんでも保護し
なければいけない風潮が見られる。取引先から、過度な保護対策を求めら
れる傾向がある。
31
(２) 調査結果の詳細
Ⅰ．概要
Q1. 貴社の業種を以下から選んでお答えください。
回答項目
農業
林業
漁業
鉱業
建設業
製造業
電気・ガス・熱供給・水道業
情報通信業
運輸業
卸売・小売業
金融・保険業
不動産業
飲食店、宿泊業
医療、福祉
教育、学習支援業
複合サービス業
サービス業（他に分類されないもの）
公務（他に分類されないもの）
その他
回答者数
回答数
2
0
1
0
123
206
16
276
25
156
36
62
9
44
26
29
298
18
66
1,393
比率%
0.1%
0.0%
0.1%
0.0%
8.8%
14.8%
1.1%
19.8%
1.8%
11.2%
2.6%
4.5%
0.6%
3.2%
1.9%
2.1%
21.4%
1.3%
4.7%
100.0%
70%
90%
Q1. [SA] N=1,393
農業
林業
漁業
鉱業
建設業
製造業
電気・ガス・熱供給・水道業
情報通信業
運輸業
卸売・小売業
金融・保険業
不動産業
飲食店、宿泊業
医療、福祉
教育、学習支援業
複合サービス業
サービス業（他に分類されないもの）
公務（他に分類されないもの）
その他
0.1%
0.0%
0.1%
0.0%
8.8%
14.8%
1.1%
19.8%
1.8%
11.2%
2.6%
4.5%
0.6%
3.2%
1.9%
2.1%
21.4%
1.3%
4.7%
0%
10%
20%
30%
32
40%
50%
60%
80%
100%
Q2-1. 貴社の資本金についてお答えください。
回答項目
～1 千万円未満
1 千万円以上～5 千万円未満
5 千万円以上～1 億円未満
1 億円以上～3 億円未満
3 億円以上～
回答総数
回答数
354
434
139
159
307
比率%
25.4%
31.2%
10.0%
11.4%
22.0%
1,393
100.0%
Q2. [SA] N=1,393
22%
25%
～1千万円未満
1千万円以上～5千万円未満
5千万円以上～1億円未満
12%
1億円以上～3億円未満
10%
3億円以上～
31%
33
Q2-2. 貴社の従業員数についてお答えください。
回答項目
～20 人未満
20 人以上～100 人未満
100 人以上～300 人未満
300 人以上～
回答総数
回答数
528
266
187
412
比率%
37.9%
19.1%
13.4%
29.6%
1,393
100.0%
Q2-2. [SA] N=1,393
30%
38%
～20人未満
20人以上～100人未満
100人以上～300人未満
300人以上～
13%
19%
34
Q3. 業務上利用している個人情報（顧客情報等）のおおよその件数についてお答えくださ
い。
回答項目
1 千件未満
1 千件以上～5 千件未満
5 千件以上～1 万件未満
1 万件以上～5 万件未満
5 万件以上～10 万件未満
10 万件以上～100 万件未満
100 万件以上
個人情報は取り扱っていない
回答総数
回答数
554
145
96
110
78
97
133
180
比率%
39.8%
10.4%
6.9%
7.9%
5.6%
7.0%
9.5%
12.9%
1,393
100.0%
Q3. [SA] N=1,393
1千件未満
13%
1千件以上～5千件未満
9%
5千件以上～1万件未満
40%
1万件以上～5万件未満
7%
5万件以上～10万件未満
10万件以上～100万件未満
6%
100万件以上
8%
7%
個人情報は取り扱っていない
10%
35
Q4. 個人情報収集はどのような方法で行っていますか。
（複数回答可）
回答項目
取引情報として蓄積
イベントへの参加者登録
商品購入者の登録
アンケート
グループ会社から提供を受ける
キャンペーン（懸賞ハガキ等の応募）
他社から購入する
業務受託のために取引先から預かる
専門の名簿業者から購入
ホームページへのアクセス
その他(具体的に)
回答数
比率%
72.9%
17.8%
30.6%
15.0%
9.4%
6.4%
1.8%
21.4%
1.5%
14.5%
6.6%
884
216
371
182
114
78
22
259
18
176
80
1,213
回答者数
-
Q4. [MA] N=1,213
取引情報として蓄積
72.9%
イベントへの参加者登録
17.8%
商品購入者の登録
30.6%
アンケート
15.0%
グループ会社から提供を受ける
9.4%
キャンペーン（懸賞ハガキ等の応募）
6.4%
他社から購入する
1.8%
業務受託のために取引先から預かる
21.4%
専門の名簿業者から購入
1.5%
ホームページへのアクセス
14.5%
その他(具体的に)
6.6%
0%
10%
20%
36
30%
40%
50%
60%
70%
80%
90%
100%
Ⅱ
取組み状況
Ⅱ―１. 取組みに対する意識の変化
Q5. 貴社における個人情報保護対策の位置付けは、個人情報保護法が施行後、現在まで
にどのように変化していますか。
回答項目
重要性がますます高まっている
重要性が高いまま維持されている
対策の位置づけが低下している
あまり関心がないままである
その他
回答数
568
568
31
197
29
比率%
40.8%
40.8%
2.2%
14.1%
2.1%
1,393
100.0%
回答総数
Q5. [SA] N=1,393
2%
2%
重要性がますます高まっている
14%
41%
重要性が高いまま維持されている
対策の位置づけが低下している
あまり関心がないままである
41%
その他
37
Q6. 〈Q5〉で「1. 重要性がますます高まっている」又は「2. 重要性が高いまま維持されてい
る」と回答した方にお尋ねします。その理由は何であると考えますか。
回答項目
個人情報保護法が施行されているため
貴社で個人情報漏えい事案が発生したため
他社で個人情報漏えい事案が発生したため
社員教育を実施したため
社内トップの方針が明確で、トップが積極的に啓発に努めてい
るため
新たな IT 技術を用いた製品・サービス（スマートフォン、クラ
ウドコンピューティング等）の導入に伴い、取組強化が必要に
なったため
その他（具体的に）
（複数回答可）
回答数
929
81
320
261
比率%
81.8%
7.1%
28.2%
23.0%
321
28.3%
170
15.0%
49
4.3%
1,136
回答者数
－
Q6. [MA] N=1,136
個人情報保護法が施行されているため
81.8%
貴社で個人情報漏えい事案が発生したため
7.1%
他社で個人情報漏えい事案が発生したため
28.2%
社員教育を実施したため
23.0%
社内トップの方針が明確で、トップが積極的に啓発に努めているため
28.3%
新たなIT技術を用いた製品・サービス（スマートフォン、クラウドコン
ピューティング等）の導入に伴い、取組強化が必要になったため
15.0%
その他（具体的に）
4.3%
0%
38
10%
20%
30%
40%
50%
60%
70%
80%
90% 100%
Q7. 〈Q5〉で「3. 対策の位置付けが低下している」又は「4. あまり関心がないままである」と
回答した方にお尋ねします。その理由は何であると考えますか。
回答項目
貴社での個人情報保護の取組み体制が一通り整備できたため
本人からの自己情報の開示等の求めがない（又は少ない）ため
社内で個人情報漏えい事案が発生していないため
他の法律等への対応へ意識がシフトしているため
個人情報保護に関する取組みを特に行っていないため
その他（具体的に）
（複数回答可）
回答数
21
69
96
7
130
11
比率%
9.2%
30.3%
42.1%
3.1%
57.0%
4.8%
228
-
回答者数
Q7. [MA] N=228
貴社での個人情報保護の取組み体制が一通り整備できたため
9.2%
本人からの自己情報の開示等の求めがない（又は少ない）ため
30.3%
社内で個人情報漏えい事案が発生していないため
42.1%
他の法律等への対応へ意識がシフトしているため
3.1%
個人情報保護に関する取組みを特に行っていないため
57.0%
その他（具体的に）
4.8%
0%
39
10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Q8. 個人情報保護法が施行されたことで、個人情報の利用がしやすくなったと感じますか。
回答項目
（個人情報の保護に取り組んだこと等により）個人情報が利
用しやすくなった
（個人情報の保護に対する意識の高まり等により）個人情報
が利用しにくくなった
その他（具体的に）
回答総数
回答数
比率%
227
16.3%
1,067
76.6%
99
1,393
7.1%
100.0%
Q8. [SA] N=1,393
7%
16%
（個人情報の保護に取り組んだこと等に
より）個人情報が利用しやすくなった
（個人情報の保護に対する意識の高まり
等により）個人情報が利用しにくくなった
その他（具体的に）
77%
40
Ⅱ―２. 社内体制の整備
Q9. 貴社は、個人情報保護に関する社内規定類の整備を行っていますか。
回答項目
整備して、運用している
整備したが運用していない
現在整備作業を進めている
整備について検討中である
必要性は感じているが未着手
整備していない（必要性を感じていない）
その他（具体的に）
回答総数
回答数
819
38
113
96
160
151
16
比率%
58.8%
2.7%
8.1%
6.9%
11.5%
10.8%
1.1%
1,393
100.0%
Q9. [SA] N=1,393
1%
整備して、運用している
11%
整備したが運用していない
11%
現在整備作業を進めている
整備について検討中である
7%
59%
8%
必要性は感じているが未着手
整備していない（必要性を感じていない）
その他（具体的に）
3%
41
Q10. 〈Q9〉で「5.必要性は感じているが未着手」または「6.整備していない（必要性を感じてい
ない）」と回答した方にお尋ねします。その主な理由は次のうちのいずれですか。
回答項目
取り扱っている個人情報が少ないため
業務量が増え、通常の業務の遂行が妨げられるため
新たな対応コストが発生するため
特段の理由はない
その他（具体的に）
回答総数
回答数
172
19
24
83
13
比率%
55.3%
6.1%
7.7%
26.7%
4.2%
311
100.0%
Q.10 [SA] N=311
4%
取り扱っている個人情報が少ないため
27%
業務量が増え、通常の業務の遂行が
妨げられるため
新たな対応コストが発生するため
55%
特段の理由はない
その他（具体的に）
8%
6%
42
Q11. 〈Q9〉で「その他（具体的に）」以外に回答した方にお尋ねします。貴社は、「個人情報保
護指針」（プライバシーポリシー）を策定、公表していますか。
回答項目
策定し、公表している
策定しているが、公表していない
策定作業を進めている
策定について検討中である
必要性は感じているが未着手
策定していない（必要性を感じていない）
その他（具体的に）
回答総数
回答数
753
150
61
85
125
198
5
1,377
比率%
54.7%
10.9%
4.4%
6.2%
9.1%
14.4%
0.4%
100.0%
Q11. [SA] N=1,377
0%
策定し、公表している
14%
策定しているが、公表していない
策定作業を進めている
9%
策定について検討中である
6%
55%
必要性は感じているが未着手
5%
策定していない（必要性を感じていない）
11%
その他（具体的に）
43
Q12. 貴社の個人情報の管理に関する組織体制は、次のいずれですか。
回答項目
個人情報保護管理者（いわゆるチーフ･プライバシー･オフィ
サー）を設置している
個人情報保護担当部署を設置している
部門ごとに管理者を設置して部門管理している
部門の代表者等で構成する委員会を設置している
何らかの体制構築に向けて検討中である
特に整備していない（必要性を感じていない）
その他（具体的に）
無効回答
回答者数
（複数回答可）
回答数
比率%
555
40.2%
362
355
191
174
327
20
11
26.2%
25.7%
13.8%
12.6%
23.7%
1.4%
1,382
-
Q12. [MA] N=1,382
個人情報保護管理者（いわゆるチーフ･プライバ
シー･オフィサー）を設置している
40.2%
個人情報保護担当部署を設置している
26.2%
部門ごとに管理者を設置して部門管理している
25.7%
部門の代表者等で構成する委員会を設置している
13.8%
何らかの体制構築に向けて検討中である
12.6%
特に整備していない（必要性を感じていない）
その他（具体的に）
23.7%
1.4%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
44
Q13. 貴社は、個人情報保護のための社内規程等が適切に運用されていることを定期的に
点検していますか。
回答項目
点検している（月１回以上）
点検している（2～3 ヶ月に 1 回程度）
点検している（4～6 ヶ月に 1 回程度）
点検している（7 ヶ月～1 年に 1 回程度）
点検している（上記以外）
点検していない
回答総数
回答数
191
159
180
253
159
451
比率%
13.7%
11.4%
12.9%
18.2%
11.4%
32.4%
1,393
100.0%
Q.13 [SA] N=1,393
14%
点検している（月１回以上）
32%
点検している（2～3ヶ月に1回程度）
12%
点検している（4～6ヶ月に1回程度）
点検している（7ヶ月～1年に1回程度）
13%
11%
点検している（上記以外）
点検していない
18%
45
Q14. 貴社は、個人情報保護のための社内規程等の見直しをしていますか。
回答項目
見直しをしている（月 1 回以上）
見直しをしている（2～3 ヶ月に１回程度）
見直しをしている（4～6 ヶ月に１回程度）
見直しをしている（7 ヶ月～１年に１回程度）
見直しをしている（上記以外）
見直しをしていない
回答総数
回答数
58
93
143
323
252
524
1,393
比率%
4.2%
6.7%
10.3%
23.2%
18.1%
37.6%
100.0%
Q.14 [SA] N=1,393
4%
7%
見直しをしている（月1回以上）
10%
38%
見直しをしている（2～3ヶ月に１回程度）
見直しをしている（4～6ヶ月に１回程度）
見直しをしている（7ヶ月～１年に１回程度）
23%
見直しをしている（上記以外）
見直しをしていない
18%
46
Ⅱ―３. 個人情報保護に関する第三者認定
Q15. 個人情報保護に関する認証制度による付与認定を受けていますか。
回答項目
付与認定を受けている
付与認定申請中である
付与認定に向けて検討又は準備中である
必要性は感じているが具体的な検討はしていない
受けていない（必要性を感じない）
その他（具体的に）
回答数
374
25
115
282
559
38
比率%
26.8%
1.8%
8.3%
20.2%
40.1%
2.7%
1,393
100.0%
回答総数
Q.15 [SA] N=1,393
3%
付与認定を受けている
27%
付与認定申請中である
付与認定に向けて検討又は準備中である
40%
2%
必要性は感じているが具体的な検討はしていない
受けていない（必要性を感じない）
8%
その他（具体的に）
20%
47
Q16. 〈Q15〉で「4.必要性は感じているが具体的な検討はしていない」または「5.受けていない
（必要性を感じていない）」と回答した方にお尋ねします。個人情報保護に関する第三者認証
を受けない理由は何ですか。
（複数回答可）
回答項目
体制整備等の準備が大変
体制整備等のコストが高い
申請料及び審査料が高い
認証の維持コストが高い
その他（具体的に）
回答者数
回答数
399
209
213
298
196
841
比率%
47.4%
24.9%
25.3%
35.4%
23.3%
-
Q.16 [MA] N=841
体制整備等の準備が大変
47.4%
体制整備等のコストが高い
24.9%
申請料及び審査料が高い
25.3%
認証の維持コストが高い
35.4%
その他（具体的に）
23.3%
0%
10%
20%
30%
48
40%
50%
60%
70%
80%
90%
100%
Q17. 個人情報の取扱いの委託先や取引先を選定する際、個人情報保護に関する第三者認
証の有無を考慮しますか。
回答項目
委託先選定基準や取引条件に含んでいる
選定の際の重要な考慮事項としている
一定の考慮事項としている
ほとんど考慮しない
全く考慮しない
回答数
273
246
387
317
170
比率%
19.6%
17.7%
27.8%
22.8%
12.2%
1,393
100.0%
回答総数
Q.17[SA] N=1,393
12%
19%
委託先選定基準や取引条件に含んでいる
選定の際の重要な考慮事項としている
23%
一定の考慮事項としている
18%
ほとんど考慮しない
全く考慮しない
28%
49
Ⅱ―４. 個人情報の漏えい対策
Q18. 個人情報保護法の全面施行（平成１７年４月１日）後に貴社で個人情報の漏えい事案
はありましたか。
回答項目
ある
ない
回答数
130
1,263
1,393
回答総数
比率%
9.3%
90.7%
100.0%
Q.18 [SA] N=1,393
9%
ある
ない
91%
50
Q19. 業務用パソコンの紛失・盗難により個人データの漏えい等を防止する対策としてどのよ
うな措置を講じていますか。
（複数回答可）
回答項目
業務用パソコンの社外持ち出し禁止
業務用パソコンの社外持ち出しルールを規定
パソコンを社外に持ち出す（搬送する）際に身体から離すこと
を禁止
パソコンを社外に持ち出した（搬送した）際に車内に放置する
ことを禁止
データの暗号化、パスワードの設定
何も講じていない
その他（具体的に）
無効回答
回答数
635
539
比率%
45.8%
38.9%
296
21.4%
319
23.0%
850
197
33
7
61.3%
14.2%
2.4%
-
1,386
-
回答者数
Q.19 [MA] N=1,386
業務用パソコンの社外持ち出し禁止
45.8%
業務用パソコンの社外持ち出しルールを規定
38.9%
パソコンを社外に持ち出す（搬送する）際に身体から離すことを禁止
21.4%
パソコンを社外に持ち出した（搬送した）際に車内に放置することを禁止
23.0%
データの暗号化、パスワードの設定
61.3%
何も講じていない
14.2%
その他（具体的に）
2.4%
0%
51
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
Q20. 個人所有パソコンから業務用個人データの漏えい等を防止する対策としてどのような
措置を講じていますか。
（複数回答可）
回答項目
個人所有パソコンでの業務禁止
個人所有パソコンを業務に用いる場合、ファイル交換ソフ
トのインストールの禁止
個人所有パソコンを業務で使用し、そのパソコンを自宅
外・社外に持ち出す際に、パソコンを身体から離すことを
禁止
個人所有パソコンを業務に使用し、そのパソコンを自宅
外・社外に持ち出す際に、パソコンを車内に放置すること
を禁止
データの暗号化、パスワードの設定
何も講じていない
その他（具体的に）
無効回答
回答者数
回答数
875
比率%
63.0%
321
23.1%
146
10.5%
154
11.1%
438
219
26
4
31.5%
15.8%
1.9%
1,389
-
Q.20 [MA] N=1,389
個人所有パソコンでの業務禁止
63.0%
個人所有パソコンを業務に用いる場合、ファイル交換ソフト
のインストールの禁止
23.1%
個人所有パソコンを業務で使用し、そのパソコンを自宅外・
社外に持ち出す際に、パソコンを身体から離すことを禁止
10.5%
個人所有パソコンを業務に使用し、そのパソコンを自宅外・
社外に持ち出す際に、パソコンを車内に放置することを禁止
11.1%
データの暗号化、パスワードの設定
31.5%
何も講じていない
15.8%
その他（具体的に）
1.9%
0%
52
10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Q21. ＵＳＢメモリー等、携帯用のメモリー機器等の安全管理対策としてどのような措置を講じ
ていますか。
（複数回答可）
回答項目
個人情報の保存を禁止している
メモリー機器の使用又は個人情報の保存について上司の了
解を必須としている
物理的に紛失しないような措置を実施している
データの暗号化、パスワードの設定をしている
USB メモリー等、携帯用のメモリー機器等の利用を禁止し、
他の手段を講じている
何も講じていない
その他（具体的に）
無効回答
回答数
510
比率%
36.7%
437
31.5%
215
508
15.5%
36.6%
287
20.7%
279
31
5
20.1%
2.2%
-
1,388
-
回答者数
Q.21 [MA] N=1,388
個人情報の保存を禁止している
36.7%
メモリー機器の使用又は個人情報の保存について上司
の了解を必須としている
31.5%
物理的に紛失しないような措置を実施している
15.5%
データの暗号化、パスワードの設定をしている
36.6%
USBメモリー等、携帯用のメモリー機器等の利用を禁止
し、他の手段を講じている
20.7%
何も講じていない
20.1%
その他（具体的に）
2.2%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
53
Q22. ウェブサイトのぜい弱性（外部サイトからの攻撃に対する弱さ）の対策をどのように講じ
ていますか。
（複数回答可）
回答項目
ウェブサイトで個人情報を取り扱っていない
ウェブ上のアプリケーションの開発または管理を委託等
している会社に一任
ウェブ上のアプリケーションの開発または管理を委託等
している会社に対して、具体的なぜい弱性対策を指示
自社でウェブ上のアプリケーションを開発または管理
し、ぜい弱性対策を徹底
その他（具体的に）
無効回答
回答数
842
比率%
63.6%
216
16.3%
95
7.2%
194
14.7%
40
70
3.0%
-
1,323
回答者数
Q.22 [MA] N=1,323
ウェブサイトで個人情報を取り扱っていない
63.6%
ウェブ上のアプリケーションの開発または管理を委託等
している会社に一任
16.3%
ウェブ上のアプリケーションの開発または管理を委託等
している会社に対して、具体的なぜい弱性対策を指示
7.2%
自社でウェブ上のアプリケーションを開発または管理し、
ぜい弱性対策を徹底
14.7%
その他
3.0%
0%
54
10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Q23. 個人情報の安全管理対策として、特に重要なのはどのような対策であると思います
か。
回答項目
個人情報の取扱いに関する社内規定や体制の整備等の組織
的な安全管理対策
従業者に対する教育・訓練の実施等の人的な安全管理対策
入退室の管理や盗難の防止等の物理的な安全管理対策
情報システムへのアクセス制御やデータ移送時の対策等の
技術的な安全管理対策
その他（具体的に）
回答総数
回答数
比率%
461
33.1%
531
91
38.1%
6.5%
273
19.6%
37
1,393
2.7%
100.0%
Q.23 [SA] N=1,393
3%
個人情報の取扱いに関する社内規定や体制
の整備等の組織的な安全管理対策
20%
33%
従業者に対する教育・訓練の実施等の人的
な安全管理対策
入退室の管理や盗難の防止等の物理的な
安全管理対策
6%
情報システムへのアクセス制御やデータ移
送時の対策等の技術的な安全管理対策
38%
その他（具体的に）
55
Q24. 個人情報の安全管理対策として、特に対策が遅れているのはどの対策ですか。
回答項目
回答数
比率%
個人情報の取扱いに関する社内規定や体制の整備等の組織
353
25.3%
的な安全管理対策
351
25.2%
従業者に対する教育・訓練の実施等の人的な安全管理対策
208
14.9%
入退室の管理や盗難の防止等の物理的な安全管理対策
情報システムへのアクセス制御やデータ移送時の対策等の
367
26.3%
技術的な安全管理対策
114
8.2%
その他（具体的に）
1,393
100.0%
回答総数
Q.24[SA] N=1,393
個人情報の取扱いに関する社内規定や
体制の整備等の組織的な安全管理対策
8%
従業者に対する教育・訓練の実施等の人
的な安全管理対策
25%
27%
入退室の管理や盗難の防止等の物理的
な安全管理対策
情報システムへのアクセス制御やデータ
移送時の対策等の技術的な安全管理対
策
25%
15%
その他（具体的に）
56
Ⅱ―５. 従業者教育
Q25. 従業員教育はどのように行っていますか。（複数回答可）
回答項目
回答数
375
ｅラーニング（情報技術を用いて行う学習）の実施
267
外部研修会・セミナーへの参加
619
内部研修会・セミナーの開催
454
社内報でのお知らせ等
311
冊子等の配布
168
その他（具体的に）
回答者数
1,393
比率%
26.9%
19.2%
44.4%
32.6%
22.3%
12.1%
-
Q.25 [MA] N=1,393
ｅラーニング（情報技術を用いて行う学習）の実施
26.9%
外部研修会・セミナーへの参加
19.2%
内部研修会・セミナーの開催
44.4%
社内報でのお知らせ等
32.6%
冊子等の配布
22.3%
その他（具体的に）
12.1%
0%
10%
57
20%
30%
40%
50%
60%
70%
80%
90% 100%
Q25 ｰ①. 「ｅラーニングの実施」
回答項目
月一度以上行っている
2～5 ヶ月に一度行っている
6～11 ヶ月に一度行っている
年一度行っている
一度だけ行った
行っている（上記以外）
回答総数
回答数
35
75
84
128
26
26
比率%
9.4%
20.1%
22.5%
34.2%
7.0%
7.0%
374
100.0%
Q.25-①[SA] N=374
7%
9%
7%
月一度以上行っている
20%
2～5ヶ月に一度行っている
6～11ヶ月に一度行っている
年一度行っている
一度だけ行った
34%
行っている（上記以外）
23%
58
Q25 ｰ②. 「研修会・セミナーへの参加」
回答項目
月一度以上行っている
2～5 ヶ月に一度行っている
6～11 ヶ月に一度行っている
年一度行っている
一度だけ行った
行っている（上記以外）
回答総数
回答数
37
96
133
253
106
130
比率%
4.9%
12.7%
17.6%
33.5%
14.0%
17.2%
755
100.0%
Q25-②[SA] N=755
5%
17%
13%
月一度以上行っている
2～5ヶ月に一度行っている
6～11ヶ月に一度行っている
14%
18%
年一度行っている
一度だけ行った
行っている（上記以外）
33%
59
Q25 ｰ③. 「社内報・冊子等でのお知らせ等」
回答項目
月一度以上行っている
2～5 ヶ月に一度行っている
6～11 ヶ月に一度行っている
年一度行っている
一度だけ行った
行っている（上記以外）
回答総数
回答数
67
65
67
89
81
85
比率%
14.8%
14.3%
14.8%
19.6%
17.8%
18.7%
454
100.0%
Q25-③ [SA] N=454
15%
19%
月一度以上行っている
2～5ヶ月に一度行っている
14%
6～11ヶ月に一度行っている
年一度行っている
18%
一度だけ行った
15%
19%
60
行っている（上記以外）
Q25 ｰ④. 「冊子等の配布」
回答項目
月一度以上行っている
2～5 ヶ月に一度行っている
6～11 ヶ月に一度行っている
年一度行っている
一度だけ行った
行っている（上記以外）
回答総数
回答数
19
19
30
85
103
55
比率%
6.1%
6.1%
9.6%
27.3%
33.1%
17.7%
311
100.0%
Q.25-④[SA] N=311
N=311
6%
18%
6%
10%
月一度以上行っている
2～5ヶ月に一度行っている
6～11ヶ月に一度行っている
年一度行っている
一度だけ行った
33%
27%
61
行っている（上記以外）
Q26. 従業員教育の対象者は誰ですか。
回答項目
正社員のみ（役員を含まない）
正社員及び役員
正社員及び役員に加え、派遣社員・出向者も対象
正社員及び役員に加え、派遣社員・出向者、パート・アルバイト
等
その他（具体的に）
回答総数
回答数
226
348
211
比率%
16.2%
25.0%
15.1%
543
39.0%
65
4.7%
1,393
100.0%
Q.26 [SA] N=1,393
正社員のみ（役員を含まない）
5%
16%
正社員及び役員
正社員及び役員に加え、派遣社
員・出向者も対象
39%
25%
正社員及び役員に加え、派遣社
員・出向者、パート・アルバイト等
その他（具体的に）
15%
62
Q27. 従業員教育の理解度測定は実施していますか。
回答項目
実施している
実施していない
回答総数
（複数回答可）
回答数
620
773
1,393
比率%
44.5%
55.5%
100.0%
Q.27 [SA] N=1,393
45%
実施している
実施していない
55%
63
Ⅱ―６. 委託先の監督
Q28. 委託先の監督の措置としてどのような措置を講じていますか。
回答項目
委託先の保護水準を判断する基準を定め選定している
委託処理終了後の個人情報の取扱い等を明確にした契約書を
交わしている
定期的に委託先を訪問してチェックしている
委託先に対する監査を定期的に実施している
基準を定めたり、契約書を交わしたりしているが、委託先への
訪問や監査は実施していない
いずれの措置も講じていない
その他（具体的に）
無効回答
回答者数
（複数回答可）
回答数
373
比率%
26.9%
474
34.1%
130
134
9.4%
9.7%
280
20.2%
460
70
5
33.1%
5.0%
1,388
-
Q.28[MA] N=1,388
委託先の保護水準を判断する基準を定め選定している
26.9%
委託処理終了後の個人情報の取扱い等を明確にした
契約書を交わしている
34.1%
定期的に委託先を訪問してチェックしている
9.4%
委託先に対する監査を定期的に実施している
9.7%
基準を定めたり、契約書を交わしたりしているが、委託
先への訪問や監査は実施していない
20.2%
いずれの措置も講じていない
33.1%
その他（具体的に）
5.0%
0%
64
10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Q29. 委託元から不当な負担を強いられていると感じたことがありますか。
回答項目
ある
ない
回答数
141
1,252
比率%
10.1%
89.9%
回答総数
1,393
100.0%
Q.29 [SA] N=1,393
10%
ある
ない
90%
65
Q30. 〈Q29〉で「1.ある」と回答した方にお尋ねします。委託元から負担を強いられていると感
じたのは具体的に何ですか。
（複数回答可）
回答項目
個人情報漏えい等事故が発生した場合に、受託者の責任の
有無にかかわらず、損害賠償が求められること
個人情報漏えい等事故が発生した場合に、対応を受託者に
委ねるよう求められること
受託した個人データの性質等にかかわらず、必要以上に厳
しく安全管理を求められること
その他（具体的に）
回答数
回答者数
比率%
56
39.7%
44
31.2%
85
60.3%
9
6.4%
141
-
Q.30 [MA] N=141
個人情報漏えい等事故が発生した場合に、受託者の
責任の有無にかかわらず、損害賠償が求められること
39.7%
個人情報漏えい等事故が発生した場合に、対応を受
託者に委ねるよう求めらること
31.2%
受託した個人データの性質等にかかわらず、必要以上
に厳しく安全管理を求められること
60.3%
その他（具体的に）
6.4%
0%
66
10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Ⅱ―７. 第三者への提供
Q31. 個人情報を他社に提供していますか。
（複数回答可）
回答項目
本人の同意を得て第三者（他社）に提供している
委託により第三者（他社）に提供している
共同利用により第三者（他社）に提供している
オプトアウトの措置を講じることにより第三者（他社）に提供
している
提供していない
上記以外の方法で提供している場合
無効回答
回答者数
回答数
290
187
76
比率%
20.9%
13.5%
5.5%
66
4.8%
906
28
4
65.2%
2.0%
-
1,389
-
Q.31[MA] N=1,389
本人の同意を得て第三者（他社）に提供している
20.9%
委託により第三者（他社）に提供している
13.5%
共同利用により第三者（他社）に提供している
5.5%
オプトアウトの措置を講じることにより第三者（他社）に
提供している
4.8%
提供していない
65.2%
上記以外の方法で提供している場合
2.0%
0%
67
10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Ⅱ―８. 本人からの保有個人データの開示等（開示・訂正・利用停止等）の求めへの
対応
Q32. 開示等のための窓口を設けていますか。
回答項目
開示等の手続き専任の問い合わせ窓口を設けて、公表してい
る
開示等の手続き専任ではないが担当者を決めて対応している
お客様相談窓口で対応する
対応策を検討中である
その他（具体的に）
回答総数
回答数
比率%
296
21.2%
351
221
372
153
25.2%
15.9%
26.7%
11.0%
1,393
100.0%
Q.32[SA] N=1,393
開示等の手続き専任の問い合わせ
窓口を設けて、公表している
11%
21%
開示等の手続き専任ではないが担
当者を決めて対応している
お客様相談窓口で対応する
27%
25%
対応策を検討中である
その他（具体的に）
16%
68
Q33. 開示等のための措置を講じていますか。
回答項目
講じている
検討中である
講じていない
回答総数
回答数
556
268
569
比率%
39.9%
19.2%
40.8%
1,393
100.0%
Q.33[SA] N=1,393
40%
41%
講じている
検討中である
講じていない
19%
69
Q34. 平成２２年（２０１０年）１月 1 日から現在まで、保有個人データの開示等の求めはありま
したか。
回答項目
0件
1件
2 件以上～10 件以下
11 件以上～100 件以下
101 件以上～
回答総数
回答数
1,231
16
85
29
32
比率%
88.4%
1.1%
6.1%
2.1%
2.3%
1,393
100.0%
Q.34[SA] N=1,393
2% 2%
1%
6%
0件
1件
2件以上～10件以下
11件以上～100件以下
101件以上～
89%
70
Ⅱ―９. 苦情処理関係
Q35. 苦情処理のための措置を講じていますか。（複数回答可）
回答項目
個人情報保護専用の苦情処理窓口を設けている
苦情処理の専門家（消費生活アドバイザー等）を採用し対応し
ている
苦情処理のルールを定めた
お客様相談窓口で対応する
認定個人情報保護団体の会員になった
対応策を検討中である
その他（具体的に）
回答者数
回答数
372
比率%
26.7%
60
4.3%
217
388
69
448
150
15.6%
27.9%
5.0%
32.2%
10.8%
1,393
-
Q.35[MA] N=1,393
個人情報保護専用の苦情処理窓口を設けている
26.7%
苦情処理の専門家（消費生活アドバイザー等）を採用
し対応している
4.3%
苦情処理のルールを定めた
15.6%
お客様相談窓口で対応する
27.9%
認定個人情報保護団体の会員になった
5.0%
対応策を検討中である
32.2%
その他（具体的に）
10.8%
0%
71
10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Ⅱ―１０. その他
Q36. 新たな IT 技術を用いた製品・サービスの導入に伴う対応についてお伺いします。個人
情報保護の観点からは、どのような製品・サービスの利用が、この 1 年間に新たなリスクとし
て認識されるようになりましたか。（複数回答可）
回答項目
スマートフォンの利用
タブレット端末の利用
VPN 接続等の事業所外からの社内情報へのアクセスサ
ービスの利用
ソーシャル・ネットワーキング・サービス（SNS）の利
用
クラウドコンピューティングの利用
特になし
その他（具体的に）
無効回答
回答数
498
308
比率%
35.8%
22.1%
145
10.4%
248
17.8%
262
695
8
2
18.8%
49.9%
0.6%
－
1,391
－
回答者数
Q.36 [MA] N=1,391
スマートフォンの利用
35.8%
タブレット端末の利用
22.1%
VPN接続等の事業所外からの社内情報へのアクセス
サービスの利用
10.4%
ソーシャル・ネットワーキング・サービス（SNS）の利用
17.8%
クラウドコンピューティングの利用
18.8%
特になし
49.9%
その他（具体的に）
0.6%
0%
72
10%
20%
30%
40%
50%
60%
70%
80%
90% 100%
Q37. 平成 23 年 3 月 11 日の東日本大震災発生後に、従業員や取引先職員の安否情報の開
示・提供※に関し、課題となったことはありますか。（複数回答可）
回答項目
回答数
誰に対してならば、安否情報を開示・提供してよいか、
115
判断が困難であった
どのような手法・媒体ならば、安否情報を開示・提供し
133
てよいか、判断が困難であった
どの時点までならば、安否情報の開示・提供を続けてよ
121
いか、判断が困難だった
1,100
課題となったことは特にない
15
その他（具体的に）
4
無効回答
1,389
回答者数
比率%
8.3%
9.5%
8.7%
79.0%
1.1%
－
－
Q.37 [MA] N=1,389
誰に対してならば、安否情報を開示・提供してよいか、判
断が困難であった
8.3%
どのような手法・媒体ならば、安否情報を開示・提供してよ
いか、判断が困難であった
9.5%
どの時点までならば、安否情報の開示・提供を続けてよい
か、判断が困難だった
8.7%
課題となったことは特にない
79.0%
その他（具体的に）
1.1%
0%
73
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
Q38. 個人情報保護の取組みに関して、貴社はなんらかの課題・問題点等に直面しています
か。
回答項目
回答「有り」
回答「無」
回答総数
回答数
422
971
1,393
比率%
30.3%
69.7%
100.0%
Q.38[SA] N=1,393
30%
回答「有り」
回答「無」
70%
74
(３) 経年比較
平成 21 年度実施調査（N=3,195）、平成 22 年度調査（N=1,019）と平成 23
年度調査（N=1,393）を比較し、共通の選択肢を用いた設問への回答状況の比較
を下記に示す。
Ⅰ. 概要
Q1. 貴社の業種を以下から選んでお答えください。
回答項目
農業
林業
漁業
鉱業
建設業
製造業
電気・ガス・熱供給・水道業
情報通信業
運輸業
卸売・小売業
金融・保険業
不動産業
飲食店、宿泊業
医療、福祉
教育、学習支援業
複合サービス業
サービス業（他に分類されないもの）
公務（他に分類されないもの）
その他
回答総数
Q2-1. 貴社の資本金についてお答えください。
回答項目
～1 千万円未満
1 千万円以上～5 千万円未満
5 千万円以上～1 億円未満
1 億円以上～3 億円未満
3 億円以上～
回答総数
H21
0.0%
0.0%
0.0%
0.0%
0.5%
4.5%
0.0%
29.9%
1.4%
3.9%
2.2%
0.8%
0.2%
1.3%
1.2%
3.2%
45.3%
0.1%
5.4%
100.0%
H21
－
－
－
－
－
－
Q2-2. 貴社の従業員数についてお答えください。
回答項目
～20 人未満
20 人以上～100 人未満
75
H21
-
H22
0.4%
0.0%
0.1%
0.0%
13.6%
18.8%
2.6%
7.7%
1.9%
11.1%
3.4%
4.9%
1.2%
5.3%
3.7%
1.8%
14.7%
2.3%
6.6%
100.0%
SA
H23
0.1%
0.0%
0.1%
0.0%
8.8%
14.8%
1.1%
19.8%
1.8%
11.2%
2.6%
4.5%
0.6%
3.2%
1.9%
2.1%
21.4%
1.3%
4.7%
100.0%
H22
36.1%
34.3%
7.1%
6.2%
16.3%
100.0%
SA
H23
25.4%
31.2%
10.0%
11.4%
22.0%
100.0%
H22
53.6%
18.4%
SA
H23
37.9%
19.1%
100 人以上～300 人未満
300 人以上～
回答総数
-
Q3. 業務上利用している個人情報（顧客情報等）のおおよその件
数についてお答えください。
回答項目
1 千件未満
1 千件以上～5 千件未満
5 千件以上～1 万件未満
1 万件以上～5 万件未満
5 万件以上～10 万件未満
10 万件以上～100 万件未満
100 万件以上～
個人情報は取り扱っていない〈Q5 へ〉
回答総数
Q4. 個人情報収集はどのような方法で行っていますか。
回答可）
回答項目
取引情報として蓄積
イベントへの参加者登録
商品購入者の登録
アンケート
グループ会社から提供を受ける
キャンペーン（懸賞ハガキ等の応募）
他社から購入する
業務受託のために取引先から預かる
専門の名簿業者から購入
ホームページへのアクセス
その他
7.7% 13.4%
20.3% 29.6%
100.0% 100.0%
SA
H21
29.4%
12.2%
9.8%
12.0%
7.6%
16.3%
12.0%
0.8%
100.0%
H22
H23
49.8% 39.8%
12.1% 10.4%
4.8%
6.9%
5.0%
7.9%
2.4%
5.6%
4.9%
7.0%
4.6%
9.5%
16.5% 12.9%
100.0% 100.0%
（複数
MA
H21
24.9%
8.0%
7.9%
7.7%
3.7%
3.6%
0.2%
24.5%
0.4%
11.6%
7.5%
H22
73.1%
14.5%
24.7%
10.5%
6.0%
3.8%
1.6%
16.8%
1.2%
10.1%
8.7%
H23
72.9%
17.8%
30.6%
15.0%
9.4%
6.4%
1.8%
21.4%
1.5%
14.5%
6.6%
Ⅱ. 取組み状況
Ⅱ―１. 取組みに対する意識の変化
Q5. 貴社における個人情報保護対策の位置付けは、個人情報保
護法が施行後、現在までにどのように変化していますか。
回答項目
重要性がますます高まっている〈Q6 へ〉
重要性が高いまま維持されている〈Q6 へ〉
対策の位置付けが低下している〈Q7 へ〉
あまり関心がないままである〈Q7 へ〉
76
SA
H21
35.7%
59.1%
3.5%
1.2%
H22
35.0%
38.0%
3.4%
21.4%
H23
40.8%
40.8%
2.2%
14.1%
0.5%
100.0%
その他〈Q8 へ〉
回答総数
Q6. 〈Q5〉で「1. 重要性がますます高まっている」又は「2. 重要
性が高いまま維持されている」と回答した方にお尋ねします。その
理由は何であると考えますか。（複数回答可）
回答項目
個人情報保護法が施行されているため
貴社で個人情報漏えい事案が発生したため
社員教育を実施したため
社内トップの方針が明確で、トップが積極的に啓発に努めて
いるため
新たな IT 技術を用いた製品・サービス（スマートフォン、クラ
ウドコンピューティング等）の導入に伴い、取組強化が必要
になったため
その他
Q7. 〈Q5〉で「3. 対策の位置付けが低下している」又は「4. あま
り関心がないままである」と回答した方にお尋ねします。その理由
は何であると考えますか。（複数回答可）
回答項目
貴社での個人情報保護の取組み体制が一通り整備できた
ため
本人からの自己情報の開示等の求めがない（又は少ない）
ため
社内で個人情報漏えい事案が発生していないため
他の法律等への対応へ意識がシフトしているため
個人情報保護に関する取組みを特に行っていないため
その他
Q8. 個人情報保護法が施行されたことで、個人情報の利用がし
やすくなったと感じますか。
回答項目
（個人情報の保護に取り組んだこと等により）個人情報が利
用しやすくなった
（個人情報の保護に対する意識の高まり等により）個人情報
が利用しにくくなった
その他
回答総数
Ⅱ―２. 社内体制の整備
Q9. 貴社は、個人情報保護に関する社内規定類の整備を行って
いますか。
回答項目
整備して、運用している〈Q11 へ〉
整備したが運用していない〈Q11 へ〉
77
2.2%
2.1%
100.0% 100.0%
MA
H21
60.5%
5.0%
52.4%
H22
84.5%
7.5%
19.8%
H23
81.8%
7.1%
28.2%
52.1%
23.8%
23.0%
－
－
28.3%
13.6%
6.9%
15.0%
MA
H21
H22
H23
63.4%
7.1%
9.2%
45.7%
25.7%
30.3%
56.1%
7.9%
1.8%
8.5%
40.3%
4.0%
59.7%
4.7%
42.1%
3.1%
57.0%
4.8%
SA
H21
H22
H23
20.7%
11.3%
16.3%
70.5%
79.3%
76.6%
8.8%
100.0%
9.4%
100.0%
7.1%
100%
SA
H21
98.2%
0.6%
H22
43.5%
1.8%
H23
58.8%
2.7%
現在整備作業を進めている〈Q11 へ〉
整備について検討中である〈Q11 へ〉
必要性は感じているが未着手〈Q10 へ〉
整備していない（必要性を感じていない）〈Q10 へ〉
その他〈Q12 へ〉
回答総数
0.7%
0.1%
0.1%
0.1%
0.1%
100.0%
8.2%
8.1%
8.0%
6.9%
17.8%
11.5%
19.1% 10.8%
1.6%
1.1%
100.0% 100.0%
Q10. 〈Q9〉で「5.必要性は感じているが未着手」または「6.整備し
ていない（必要性を感じていない）」と回答した方にお尋ねします。
その主な理由は次のうちのいずれですか。
回答項目
SA
H21
取り扱っている個人情報が少ないため
業務量が増え、通常の業務の遂行が妨げられるため
新たな対応コストが発生するため
特段の理由はない
その他
回答総数
Q11. 貴社は、「個人情報保護指針」（プライバシーポリシー）を策
定、公表していますか。
回答項目
策定し、公表している
策定しているが、公表していない
策定作業を進めている
策定について検討中である
必要性は感じているが未着手
策定していない（必要性を感じていない）
その他
回答総数
Q12. 貴社の個人情報の管理に関する組織体制は、次のいずれ
ですか。（複数回答可）
回答項目
個人情報保護管理者（いわゆるチーフ･プライバシー･オフィ
サー）
個人情報保護担当部署を設置している
部門ごとに管理者を設置して部門管理している
部門の代表者等で構成する委員会を設置している
何らかの体制構築に向けて検討中である
特に整備していない（必要性を感じていない）
その他
無効回答
Q13. 貴社は、個人情報保護のための社内規程等が適切に運用
されていることを定期的に点検していますか。
回答項目
78
57.1%
14.3%
14.3%
14.3%
0.0%
100.0%
H22
H23
55.3% 55.3%
6.1%
6.1%
6.6%
7.7%
26.9% 26.7%
5.1%
4.2%
100.0% 100.0%
SA
H21
99.5%
0.2%
0.0%
0.0%
0.1%
0.0%
0.1%
100.0%
H22
H23
39.5% 54.7%
10.2% 10.9%
4.7%
4.4%
7.1%
6.2%
15.5%
9.1%
22.2% 14.4%
0.9%
0.4%
100.0% 100.0%
MA
H21
H22
H23
95.2%
25.4%
40.2%
33.6%
53.5%
36.5%
0.5%
0.2%
0.4%
-
16.7%
18.0%
7.9%
15.6%
37.1%
2.6%
-
26.2%
25.7%
13.8%
12.6%
23.7%
1.4%
SA
H21
H22
H23
26.7%
15.9%
20.1%
35.0%
1.7%
0.6%
100.0%
点検している（月 1 回程度）
点検している（2～3 ヶ月に 1 回程度）
点検している（4～6 ヶ月に 1 回程度）
点検している（7 ヶ月～1 年に 1 回程度）
点検している（上記以外）
点検していない
回答総数
Q14. 貴社は、個人情報保護のための社内規程等の見直しをし
ていますか。
回答項目
見直しをしている（月 1 回以上）
見直しをしている（2～3 ヶ月に１回程度）
見直しをしている（4～6 ヶ月に１回程度）
見直しをしている（7 ヶ月～１年に１回程度）
見直しをしている（上記以外）
見直しをしていない
回答総数
Ⅱ―３. 個人情報保護に関する第三者認定
Q15. 個人情報保護に関する認証制度による付与認定を受けて
いますか。
回答項目
付与認定を受けている〈Q17 へ〉
付与認定申請中である〈Q17 へ〉
付与認定に向けて検討又は準備中である〈Q17 へ〉
必要性は感じているが具体的な検討はしていない〈Q16 へ〉
受けていない（必要性を感じない）〈Q16 へ〉
その他〈Q17 へ〉
回答総数
Q16. 〈Q15〉で「4.必要性は感じているが具体的な検討はしていな
い」または「5.受けていない（必要性を感じていない）」と回答した方
にお尋ねします。ぷ個人情報保護に関する第三者認証を受けな
い理由は何ですか。（複数回答可）
回答項目
体制整備等の準備が大変
体制整備等のコストが高い
申請料及び審査料が高い
認証の維持コストが高い
その他
Q17. 個人情報の取扱いの委託先や取引先を選定する際、第三
者認証の有無を考慮しますか。
回答項目
委託先選定基準や取引条件に含んでいる
選定の際の重要な考慮事項としている
79
10.4% 13.7%
7.7%
11.4%
8.3% 12.9%
11.9% 18.2%
13.2%
11.4%
48.5% 32.4%
100.0% 100.0%
SA
H21
3.1%
7.6%
19.1%
62.1%
6.9%
1.1%
100.0%
H22
H23
3.9%
4.2%
4.5%
6.7%
7.9% 10.3%
12.9% 23.2%
16.4% 18.1%
54.5% 37.6%
100.0% 100.0%
SA
H21
－
－
－
－
－
－
－
H22
H23
－ 26.8%
－
1.8%
－
8.3%
－ 20.2%
－ 40.1%
－
2.7%
－ 100.0%
MA
H21
H22
-
-
H23
47.4%
24.9%
25.3%
35.4%
23.3%
SA
H21
H22
-
-
H23
19.6%
17.7%
一定の考慮事項としている
ほとんど考慮しない
全く考慮しない
回答総数
-
Ⅱ―４. 個人情報の漏えい対策
Q18. 個人情報保護法の全面施行（平成１７年４月１日）後に貴社
で個人情報の漏えい事案はありましたか。
回答項目
ある
ない
回答総数
Q19. 業務用パソコンの紛失・盗難により個人データの漏えい等
を防止する対策としてどのような措置を講じていますか。（複数
回答可）
回答項目
業務用パソコンの社外持ち出し禁止
業務用パソコンの社外持ち出しルールを規定
パソコンを社外に持ち出す（搬送する）際に身体から離すこ
とを禁
パソコンを社外に持ち出した（搬送した）際に車内に放置す
ること
データの暗号化、パスワードの設定
何も講じていない
その他
無効回答
Q20. 個人所有パソコンから業務用個人データの漏えい等を防止
する対策としてどのような措置を講じていますか。（複数回答
可）
回答項目
個人所有パソコンでの業務禁止
個人所有パソコンを業務に用いる場合、ファイル交換ソフト
のインストールの禁止
個人所有パソコンを業務で使用し、そのパソコンを自宅外・
社外に持ち出す際に、パソコンを身体から離すことを禁止
個人所有パソコンを業務に使用し、そのパソコンを自宅外・
社外に持ち出す際に、パソコンを車内に放置することを禁止
データの暗号化、パスワードの設定
何も講じていない
その他
無効回答
80
- 27.8%
- 22.8%
- 12.2%
- 100.0%
SA
H21
16.1%
83.9%
100.0%
H22
H23
7.3%
9.3%
92.7% 90.7%
100.0% 100.0%
MA
H21
41.3%
67.7%
H22
42.5%
25.5%
H23
45.8%
38.9%
31.2%
13.1%
21.4%
32.0%
15.8%
23.0%
78.8%
0.1%
4.3%
-
44.9%
26.2%
4.6%
-
61.3%
14.2%
2.4%
-
MA
H21
86.2%
H22
31.4%
H23
63.0%
20.6%
12.7%
23.1%
6.2%
4.6%
10.5%
7.4%
5.1%
11.1%
23.7%
0.4%
3.5%
-
17.2%
22.6%
2.1%
-
31.5%
15.8%
1.9%
-
Q21. ＵＳＢメモリー等、携帯用のメモリー機器等の安全管理対策
としてどのような措置を講じていますか。（複数回答可）
回答項目
個人情報の保存を禁止している
メモリー機器の使用又は個人情報の保存について上司の
了解を必須としている
物理的に紛失しないような措置を実施している
データの暗号化、パスワードの設定をしている
USB メモリー等、携帯用のメモリー機器等の利用を禁止し、
他の手段を講じている
何も講じていない
その他
無効回答
Q22. ウェブサイトのぜい弱性（外部サイトからの攻撃に対する弱
さ）の対策をどのように講じていますか。（複数回答可）
回答項目
ウェブサイトで個人情報を取り扱っていない
ウェブ上のアプリケーションの開発または管理を委託等して
いる会社に一任
ウェブ上のアプリケーションの開発または管理を委託等して
いる会社に対して、具体的なぜい弱性対策を指示
自社でウェブ上のアプリケーションを開発または管理し、ぜ
い弱性対策を徹底
その他
無効回答
Q23. 個人情報の安全管理対策として、特に重要なのはどのよう
な対策であると思いますか。
回答項目
個人情報の取扱いに関する社内規定や体制の整備等の組
織的な安全管理対策
従業者に対する教育・訓練の実施等の人的な安全管理対
策
入退室の管理や盗難の防止等の物理的な安全管理対策
情報システムへのアクセス制御やデータ移送時の対策等の
技術的な安全管理対策
その他
回答総数
Q24. 個人情報の安全管理対策として、特に対策が遅れているの
はどの対策ですか。
回答項目
個人情報の取扱いに関する社内規定や体制の整備等の組
織的な安全管理対策
従業者に対する教育・訓練の実施等の人的な安全管理対
81
MA
H21
34.0%
H22
32.3%
H23
36.7%
44.4%
20.9%
31.5%
18.7%
51.9%
14.3%
24.0%
15.5%
36.6%
0.7%
14.1%
20.7%
14.6%
6.7%
-
33.5%
2.0%
-
20.1%
2.2%
MA
H21
44.4%
H22
71.8%
H23
63.6%
19.9%
12.3%
16.3%
14.9%
4.8%
7.2%
25.8%
10.1%
14.7%
3.3%
-
3.4%
-
3.0%
SA
H21
H22
H23
24.6%
30.9%
33.1%
62.6%
37.8%
38.1%
3.2%
6.7%
6.5%
8.2%
20.0%
19.6%
1.4%
100.0%
4.6%
2.7%
100.0% 100.0%
SA
H21
H22
H23
4.2%
28.5%
25.3%
26.6%
22.9%
25.2%
策
入退室の管理や盗難の防止等の物理的な安全管理対策
情報システムへのアクセス制御やデータ移送時の対策等の
技術的な安全管理対策
その他
回答総数
Ⅱ―５. 従業者教育
Q25. 従業員教育はどのように行っていますか。（複数回答
可）
回答項目
ｅラーニング（情報技術を用いて行う学習）の実施
外部研修会・セミナーへの参加
内部研修会・セミナーの開催
社内報でのお知らせ等
冊子等の配布
その他
Q25 ｰ①. 「ｅラーニングの実施」
回答項目
月一度以上行っている
2～5 ヶ月に一度行っている
6～11 ヶ月に一度行っている
年一度行っている
一度だけ行った
行っている（上記以外）
回答総数
Q25 ｰ②. 「研修会・セミナーへの参加」
回答項目
月一度以上行っている
2～5 ヶ月に一度行っている
6～11 ヶ月に一度行っている
年一度行っている
一度だけ行った
行っている（上記以外）
回答総数
Q25 ｰ③. 「社内報・冊子等でのお知らせ等」
回答項目
月一度以上行っている
2～5 ヶ月に一度行っている
6～11 ヶ月に一度行っている
年一度行っている
10.9%
15.5%
14.9%
41.2%
24.9%
26.3%
17.1%
100.0%
MA
H21
33.6%
38.4%
88.2%
48.5%
46.5%
9.2%
H22
17.7%
19.2%
38.0%
25.9%
21.9%
21.9%
H23
26.9%
19.2%
44.4%
32.6%
22.3%
12.1%
H21
2.3%
8.9%
16.8%
60.4%
11.5%
－
100.0%
SA
H22
H23
12.8%
9.4%
22.2% 20.1%
25.0% 22.5%
28.9% 34.2%
11.1%
7.0%
－
7.0%
100.0% 100.0%
H21
0.5%
10.9%
22.4%
43.7%
22.5%
－
100.0%
H22
6.3%
15.8%
15.2%
36.6%
26.1%
－
100.0%
SA
H23
4.9%
12.7%
17.6%
33.5%
14.0%
17.2%
100.0%
H22
9.9%
13.2%
15.6%
25.2%
SA
H23
14.8%
14.3%
14.8%
19.6%
H21
-
82
8.2%
8.2%
100.0% 100.0%
一度だけ行った
行っている（上記以外）
回答総数
-
Q25 ｰ④. 「冊子等の配布」
回答項目
月一度以上行っている
2～5 ヶ月に一度行っている
6～11 ヶ月に一度行っている
年一度行っている
一度だけ行った
行っている（上記以外）
回答総数
-
SA
H23
6.1%
6.1%
9.6%
27.3%
33.1%
17.7%
100.0%
H21
0.8%
8.3%
11.4%
H22
17.1%
29.7%
13.0%
SA
H23
16.2%
25.0%
15.1%
78.2%
32.1%
39.0%
H21
H22
-
Q26. 従業員教育の対象者は誰ですか。
回答項目
正社員のみ（役員を含まない）
正社員および役員
正社員及び役員に加え、派遣社員・出向者も対象
正社員及び役員に加え、派遣社員・出向者、パート・アルバ
イト等
その他
回答総数
Q27. 従業員教育の理解度測定は実施していますか。
回答項目
実施している
実施していない
回答総数
Ⅱ―６. 委託先の監督
Q28. 委託先の監督の措置としてどのような措置を講じています
か。（複数回答可）
回答項目
委託先の保護水準を判断する基準を定め選定している
委託処理終了後の個人情報の取扱い等を明確にした契約
書を交わしている
定期的に委託先を訪問してチェックしている
委託先に対する監査を定期的に実施している
基準を定めたり、契約書を交わしたりしているが、委託先へ
の訪問や監査は実施していない
いずれの措置も講じていない
その他
無効回答
83
36.1% 17.8%
- 18.7%
100.0% 100.0%
1.3%
100.0%
H21
-
8.1%
4.7%
100.0% 100.0%
SA
H22
H23
- 44.5%
- 55.5%
- 100.0%
MA
H21
81.5%
H22
15.1%
H23
26.9%
69.4%
18.1%
34.1%
17.7%
25.1%
5.7%
7.1%
9.4%
9.7%
21.9%
16.7%
20.2%
0.7%
3.5%
47.4%
9.4%
33.1%
5.0%
Q29. 委託元から不当な負担を強いられていると感じたことがあり
ますか。
回答項目
ある
ない
回答総数
Q30. 〈Q29〉で「1.ある」と回答した方にお尋ねします。委託元から
負担を強いられていると感じたのは具体的に何ですか。（複数
回答可）
回答項目
個人情報漏えい等事故が発生した場合に、受託者の責任
の有無にかかわらず、損害賠償が求められること
個人情報漏えい等事故が発生した場合に、対応を受託者に
委ねるよう求めらること
受託した個人データの性質等にかかわらず、必要以上に厳
しく安全管理を求められること
その他
Ⅱ―７. 第三者への提供
Q31. 個人情報を他社に提供していますか。（複数回答可）
回答項目
本人の同意を得て第三者（他社）に提供している
委託により第三者（他社）に提供している
共同利用により第三者（他社）に提供している
オプトアウト※の措置を講じることにより第三者（他社）に提
供している
提供していない
上記以外の方法で提供している場合
無効回答
Ⅱ―８. 本人からの保有個人データの開示等（開示・訂正・利用
停止等）の求めへの対応
Q32. 開示等のための窓口を設けていますか。
回答項目
開示等の手続き専任の問い合わせ窓口を設けて、公表して
いる
開示等の手続き専任ではないが担当者を決めて対応してい
る
お客様相談窓口で対応する
対応策を検討中である
その他
回答総数
Q33. 開示等のための措置を講じていますか。
SA
H21
8.8%
91.2%
100.0%
H22
H23
8.2% 10.1%
91.8% 89.9%
100.0% 100.0%
MA
H21
H22
H23
34.9%
76.2%
39.7%
17.1%
32.1%
31.2%
71.2%
65.5%
60.3%
14.0%
8.3%
6.4%
H21
46.4%
27.3%
9.3%
H22
14.4%
6.7%
4.0%
MA
H23
20.9%
13.5%
5.5%
2.1%
2.5%
4.8%
37.8%
1.0%
75.8%
1.2%
65.2%
2.0%
H21
H22
SA
H23
71.9%
13.9%
21.2%
15.9%
18.7%
25.2%
11.6%
0.4%
0.3%
100.0%
13.6% 15.9%
32.9% 26.7%
20.8%
11.0%
100.0% 100.0%
SA
84
回答項目
講じている
検討中である
講じていない
回答総数
H21
-
Q34. 平成２２年（２０１０年）１月 1 日から現在まで、保有個人デー
タの開示等の求めはありましたか。
回答項目
0件
1件
2 件以上～10 件以下
11 件以上～100 件以下
101 件以上～
回答総数
Ⅱ―９. 苦情処理関係
Q35. 苦情処理のための措置を講じていますか。（複数回答
可）
回答項目
個人情報保護専用の苦情処理窓口を設けている
苦情処理の専門家（消費生活アドバイザー等）を採用し対
応している
苦情処理のルールを定めた
お客様相談窓口で対応する
認定個人情報保護団体の会員になった
対応策を検討中である
その他
Q36. 新たな IT 技術を用いた製品・サービスの導入に伴う対応に
ついてお伺いします。個人情報保護の観点からは、どのような製
品・サービスの利用が、この 1 年間に新たなリスクとして認識され
るようになりましたか。（複数回答可）
回答項目
スマートフォンの利用
タブレット端末の利用
VPN 接続等の事業所外からの社内情報へのアクセスサー
ビスの利用
ソーシャル・ネットワーキング・サービス（SNS）の利用
クラウドコンピューティングの利用
特になし
その他（具体的に）
無効回答
Q37. 平成 23 年 3 月 11 日の東日本大震災発生後に、従業員や
85
H22
H23
25.2% 39.9%
19.0% 19.2%
55.7% 40.8%
100.0% 100.0%
SA
H21
－
－
－
－
－
－
H22
H23
－ 88.4%
－
1.1%
－
6.1%
－
2.1%
－
2.3%
－ 100.0%
MA
H21
82.2%
H22
15.4%
H23
26.7%
0.5%
3.2%
4.3%
40.8%
20.8%
19.0%
0.7%
0.5%
14.6%
20.6%
1.3%
36.3%
21.3%
15.6%
27.9%
5.0%
32.2%
10.8%
MA
H21
－
－
H22
－
－
H23
35.8%
22.1%
－
－
10.4%
－
－
－
－
－
－
－
－
－
－
17.8%
18.8%
49.9%
0.6%
－
MA
取引先職員の安否情報の開示・提供※に関し、課題となったこと
はありますか。（複数回答可）
回答項目
誰に対してならば、安否情報を開示・提供してよいか、判断
が困難であった
どのような手法・媒体ならば、安否情報を開示・提供してよ
いか、判断が困難であった
どの時点までならば、安否情報の開示・提供を続けてよい
か、判断が困難だった
課題となったことは特にない
その他（具体的に）
無効回答
Q38. 個人情報保護の取組みに関して、貴社はなんらかの課題・
問題点等に直面していますか。
回答項目
回答「有り」
回答「無」
86
H21
H22
H23
－
－
8.3%
－
－
9.5%
－
－
8.7%
－
－
－
－
－
－
79.0%
1.1%
8.3%
FA
H21
－
－
H22
－
－
H23
30.3%
69.7%
IV.新しいサービスと保護法等の関係調査
87
１.
調査実施概要
(１) 調査目的
クラウドコンピューティング、位置情報サービス、ビッグデータ、ソーシャ
ル・ネットワーキング・サービスなど、新たな IT 技術の台頭とともに様々なサ
ービスやビジネスが輩出し、個人情報保護法制が従前から想定していなかった
問題が顕在化している。そこで、新たな IT の発達に伴い出現するビジネスと個
人情報保護法制との関係を調査した。
(２) 調査対象
① 日本国内調査
我が国事業者や有識者が新たな IT 技術に対してどのような可能性を感じてお
り、どのような点で個人情報保護上の課題を感じているのか、ヒアリング調査
を通じて情報の整理を行った。ヒアリング先としては、グローバルなシステム
ベンダー、国内システムベンダー、携帯電話キャリア事業者、有識者等から 15
社程度を選定した。
② 欧州・米国現地調査
本調査では、新たな IT 技術に関する諸外国の個人情報保護法制の動向を把
握するため、イギリス、フランス、ドイツ、米国において現地調査を実施した。
現地調査における訪問先としては、第三者機関、有識者、法律事務所、民間
事業者といった分類を設け、欧州、米国調査においては 14 回のヒアリングセッ
ションを実施した1。なお、ヒアリングで得られたコメントは、個人としての見
解も含まれており、必ずしも組織としての公式見解ではない。
1
同一機関の異なる担当者に対して複数回実施したヒアリングについては、ヒアリング回数
を当該回数分だけ複数計上している。
88
２.
クラウドコンピューティング
(１) 委託元の監督責任
① 問題意識
・サービスがブラックボックス化しており、セキュリティ対策の状況を掌握し
づらい。ベンダーによっては、機密保持等の理由によって、外部監査を受け
入れないことがある。
・委託先のベンダーが、国内外にデータセンターを有している場合、物理的に
監査をすることが困難な場合がある。
・クラウドサービスの個人情報保護への対策実態を十分に理解できない状況
であっても、現行制度では、委託先に対する監督責任が課されている。
・委託元は、委託先のベンダーにセキュリティ対策を一任することが多い。結
果として、監督が行き届かず、事故の一因となっている。
・一方、クラウドサービス事業者（ベンダー）の視点では、クラウドサービス
を提供しようとしても、「データセンター内部の監査を認めないと委託しな
い」という事業者がおり、そのことが阻害要因になってビジネスが不成立に
なることがある。この点で、情報セキュリティの基準に基づいて、業者を認
定してもらえるスキームがあると良いという意見もある。
② 我が国における状況
クラウドにおける個人情報の取扱いは、サービス形態や業務の契約形態によ
って異なっている。
３) クラウド事業者 A 社の事例
・ A 社では、クラウドサービスの提供に際し、サービス利用企業と「利用契約」
を締結しており業務委託契約は結んでいない。
・業務委託契約では、サービス利用企業がクラウドで利用するサーバー等を所
有するという意味合いに近い。一方、利用契約においては、クラウドで利用
するサーバー等をサービスとして利用者が利用しているに過ぎないとの位
置づけである。
・従って、当社では利用者がどのような情報を管理しているのか把握していな
い。
４) IT ベンダーB 社の事例
・ B 社では、クラウド事業者とユーザーの責任分解点はサービス内容や契約形
態によって異なると認識している。例えば、パブリッククラウドの分野にお
89
いて、契約形態は、業務請負契約、ライセンス契約、準委任契約の 3 種があ
る。
・ライセンス契約の場合には、B 社のサービス等を顧客が用いたとしても、ど
のような情報が管理されているのか把握していない。また、業務請負契約の
場合であっても、第三者のクラウドサービスを受けている顧客については、
B 社がシステム運用のみを請け負っているような状況では、どのような情報
が管理されているのか把握していない。
・上記のように、クラウドの管理責任については、ケースバイケースであるも
のの、B 社がハードウェアの資源提供のみを行う場合には、データの管理責
任は顧客企業に帰属するものと考えている。また、顧客がどのようなデータ
を取り扱うのか確認しない。一方、アプリケーションの基盤を B 社が提供
する場合には、B 社にも一定の責任が生じると想定し、契約約款の中で定め
ることにしている。
・なお、SLA については、定型のものを策定しているが、サービスによって
若干カスタマイズする。個人情報のみを特別視した SLA ではないが、全て
のデータに対して一定のセキュリティを担保し、機微情報を格納しないよう
顧客に注意喚起をしている。
５) 有識者（弁護士）のコメント
・クラウドコンピューティングを通じた個人情報保護をめぐる係争事案につ
いては、現時点では報告がされていない。仮に、クラウドコンピューティン
グの利用に際して、委任契約が締結されていた際、民法第 400 条の善管注意
義務を委託元が負い、賠償請求を受ける可能性がある。
・係争発生時には、本人から委託元に対して賠償請求がなされ、委託元から履
行補助者であるクラウド事業者に求償がなされる可能性がある。ただし、既
存の判例に基づけば、多くの場合には委託元が負う責任が大きい。
・実際には、契約約款の中で賠償金額の上限を定めておくなどの措置も講じら
れているが、損害賠償の対象は直接かつ通常の損害に限定されており、逸失
利益は除外されるのが一般的だろう。
90
６) 優良なクラウド事業者を認定する制度の有無に関する主な見解
クラウド事業者の適切性を認定する制度の必要性については、否定的な見解が
多かった。
・個人情報保護をめぐっては、既にいくつもの認定制度等が制定されており、
現況以上に認定制度を創設すると、事業者にとっては混乱の材料となってし
まわないか。（クラウド事業者 C 社）
・認証制度の設計如何であろうが、認証を受けている事業者であっても 100％
の安全性を保障するものではない。最終的には契約をどのように遵守するか
という点であり、認証の実績に依存する傾向が生じるのは望ましくない。
（ク
ラウド事業者 A 社）
・日本独自の制度があっても、グローバル企業にとっては意義が希薄である。
国際的に合意された制度でなければ、賛同はできない。（クラウド事業者 B
社）
③ EU 諸国における状況
クラウドサービスに特定した個人情報の取扱いの規定はなく、他のサービス
と同様に、EU データ保護指令及び各国の個人情報保護法制に基づき、委託元の
データ管理者が個人情報の保護責任をすべて負う。
一方で、委託先のクラウド事業者にも一定の責任を課すべきという議論もあ
る。
１) 英国
・英国では、クラウドコンピューティングに関する法令上の規定は策定されて
いない。データ処理事業者への個人データの提供は、データ保護法（the Data
Protection Act 1998）に基づき、データ管理者に保護責任がある。（ICO）
・委託しているクラウド事業者の過失によりデータ漏えいが生じた場合であ
っても、データ保護法上は、委託元に管理責任が問われる。クラウド事業者
の責任が問えないことについては英国内でも議論があり、EU の新しいデー
タ保護法案では、委託先のデータ処理事業者にも責任を課す内容となってい
る。（ICO）
・クラウドコンピューティングの安全管理については、ISO27001 に準拠して
行われているのが実情である。個人情報の漏えい事案の大半は、人為ミスに
よるものであるので、何よりも職員の研修や教育が重要であろう。（法律事
務所）
91
２) フランス
・クラウドコンピューティングにおける個人情報漏えいの問題については、新
規性のある議論とは認識されておらず、EU データ保護指令における第三者
提供の一環として位置付けられている。従って、CNIL ではクラウドコンピ
ューティングが普及し始める前から同問題について検討を進めてきたが、ク
ラウドコンピューティング向けにガイドライン等を策定しているわけでは
ない。（CNIL）
・現行法制では、個人情報の保護責任はデータ管理者（data controller）に帰
属する。一方、データ管理者は、実際にクラウドを利用するにあたり、結果
として自分たちのデータがどこに保管されるのか等について情報を十分に
持っていない。一方で、データ処理事業者（data processor）の方がどのよ
うなサービスを使用するかをデータ管理者に提示し、実際にクラウドを運営
していく。以上から、CNIL はデータ処理事業者が一定の責任を有するべき
と考えている。（CNIL）
・しかし、データ処理事業者とデータ管理者の境界は曖昧であるため、クラウ
ドコンピューティングにおける個人情報漏えいを予防する責任の所在は、ケ
ースバイケースで検討されるべきである。（CNIL）
３) ドイツ
・ドイツにおいても、通常の第三者提供と同様に、連邦データ保護法第 11 条
（Section 11 で、データ管理者が技術的安全管理措置・組織的安全管理措置
を満たすべきものと規定されている。仮にクラウドサービスを利用したい企
業 A がクラウドサービスを提供する企業 B にサービスの提供を要請し、企
業 B がそのサービス提供をアウトソーシングした場合にも、
（アウトソーシ
ングの情報を企業 B が最も有していたとしても）企業 C の情報を含めて、
企業 A が責任を持つことになる。（BfDI）
④ 米国における状況
クラウドコンピューティングに特化した法令上の規定は策定されていないが、ガ
イドラインは策定されている。
・ガイドラインとして、国立標準技術研究所（NIST）のガイドライン”NIST SP
800-144: Guidelines on Security and Privacy in Public Cloud Computing”
が策定されている。NIST のガイドラインは連邦政府向けであるが、連邦政
府はベンダーにとって、非常に大きな顧客でもあるため、連邦政府の規制に
92
遵守した製品/サービスが生み出され、結果的に民間分野において普及する
という流れがある。（有識者（弁護士））
一般の委託と同様に、委託元が情報保護の責任を負うことが原則。
・クラウドの利用有無にかかわらず、顧客から同意を得て個人情報を取得して
いる委託元が、全ての管理責任を負うのが原則である。（FTC）
SLA が交渉可能な場合と交渉不可の場合がある。
・パブリッククラウドには、
交渉可能なサービスの方が利用料金は高くなる。委託元が、管理すべきデー
タの機微度及び求められるセキュリティ水準と、そのためのコストとのバラ
ンスを衡量して判断することが重要である。（NIST）
責任の所在については、個別契約の約款において明記する等の対応がなされて
いる。
・クラウドであっても、特別な規制があるわけではなく、責任の所在は一般的
に、契約書上の問題として処理されている。そのため、クラウド事業者を採
用する場合、セキュリティやプライバシー対策がとられているか、事前に十
分なチェック（Due Diligence）が必要である。はやり、情報漏えいがあっ
た場合、委託元の管理責任が問われる。（有識者（弁護士））
・クラウドサービスが、複数の事業者で構成されている場合、トラブルが生じ
た際に、責任の所在が不明瞭となるケースがあり得る。例えば、大手 IT ベ
ンダーはクラウドサービスの提供に際して外部事業者を用いることはない
が、SaaS 層と PaaS 層とで事業者が異なっている事例は多々存在する。
（NIST）
93
(２)
個人データの所在
① 問題意識
・クラウドコンピューティングでは、国外のデータセンターにデータ保存され
ていたり、秘密分散管理技術等によって、不特定多数の場所に分散して管理
されていたりする。このため、個人データの所在を把握することが困難な場
合がある。
・国外に個人データが保存されている場合は、漏えい事件等の発生時に、国内
法をどこまで適用し、執行することができるのか問題となる場合もある。
② 我が国における状況
クラウドサービスの利用者が、データセンターの所在地を選択できるように
配慮することで、日本国内のデータセンターのみを志向する利用者にも対応し
ている事業者もある。
・ B 社では、データセンターの所在地について、利用者に選択の余地を与える
とともに、契約書の中でも言及をしてきた。その際、利用者から日本国内の
データセンターのみを利用する旨要求されることがある。しかし、B 社では
世界各地にデータセンターを保有しているが、B 社のグローバルな安全管理
基準でセキュリティ対策が講じられていることから、日本国内だからといっ
て特別の基準に基づく安全管理措置が講じられているわけではない。
（IT ベ
ンダーB 社）
・一方、東日本大震災以降、データセンターの所在地について契約書で明記し
ない傾向が高まっている。これは、特定のデータセンターが自然災害等でダ
ウンした際、他のデータセンターを用いて迅速にサービスの継続をできるよ
うにするためである。そもそも、いくつかのグローバル企業では、データを
自動的に複数のデータセンターでバックアップ管理している。一つのデータ
セットを分散させることで、リスクヘッジを行うことも有用である。
（IT ベ
ンダーB 社）
・ A 社が利用するサーバーの場所は全て海外に所在しているが、利用者がデー
タセンターの場所を選択できる契約形態もある。基本的に、国際移転の場合
の責任も個人データの保護責任は利用者に帰属するものと認識している。日
本に所在するデータセンターを志向する利用者もいるであろうが、日本国内
に閉じてしまうと、クラウドサービスの価格が高く設定されてしまう。また、
日本独自のスタンダードが出来上がり、日本企業が海外進出する上でも障壁
となりかねないと危惧している。（クラウド事業者 A 社）
94
・行政機関や地方銀行を中心に、
「国内のデータセンター」を重視する顧客は
多い。一方、国内重視の傾向が過度になると、日本におけるクラウドサービ
ス市場が閉鎖的だと海外から見られる恐れがあるため、注意が必要である。
（クラウド事業者 D 社）
③ EU 諸国における状況
データセンターの所在国は、問題として認識されていない。
１) 英国
・データセンターの所在に関する苦情はほとんどない。プライバシーよりも、
愛国者法のような、国家によるアクセスについて懸念する傾向がみられる。
（ICO）
・データセンターの所在をめぐる規定は定められておらず、係争も発生してい
ない。データの保管先を ICO で定めていない以上、事業者が各自判断すべき
ことであるが、他国の第三者機関と歩調を合わせて判断していくべきと考え
ている。（有識者（弁護士））
２) フランス
・ EU データ保護指令に基づき、データの保護責任を委託元に帰属させている
ので、データセンターの所在地は大きな争点にはなっていない。（CNIL）
・一方、データの国際移転の問題そのものは、CNIL のみでは対処が困難なグ
ローバルイシューとして強く認識している。現況では、データの国際移転に
係るグローバルスタンダードとして、拘束的企業準則（BCR）や APEC の
CBPR などが整備されつつあるが、こうした枠組みに互換性を持たせていく
ことが望ましいと考えている。技術的なグローバルスタンダードであれば、
既に ISO27000 シリーズが存在するが、法的拘束力は有さないところに課題
がある。クラウドに関しては各国が事例を共有しながら、さらに検討を進め
ていく必要があるとの認識をしている。（CNIL）
３) ドイツ
・データセンターの所在地について法令上の規定はなされていない。しかし、
BfDI では適切な法制度が整っている国に本社（head office）のある企業のク
ラウドサービスを利用することが望ましいと認識している。適切な法制度が
整っている国としては、EU 諸国に加え、イスラエルやアルゼンチン等が考
えられる。（BfDI）
95
・ただし、データセンターの所在地が明確化されない点については、透明性の
担保の観点から、問題視する声もある。実際は、クラウドサービスの提供契
約において、データセンターの所在地などを明記することなどを通じ、今後
も対処していく見込みである。（BfDI）
④ 米国における状況
クラウドの場合、データセンターの所在を特定できず、法令遵守の観点から
課題になることがある。国外に設置する場合、特定の司法の管轄区域であるこ
とを確実にすることが重要とされている。
・個人データを管理するデータセンターの所在がどこの国にあろうと、委託元
が米国に所在するのであれば、米国の法令に従って処理されるものである。
（FTC）
・法令遵守の観点から、データの所在は、越境移転にかかわらず、クラウドサ
ービスにおける一般的な課題である。クラウドサービスは、通常のコンピュ
ーティングよりも、システムの複雑度が高く、データがどこに所在している
のか不明なことが多い。クラウド事業者もデータの所在に係る情報を開示し
ないことがある。このため、既存の規制に「データセンターは、洪水の可能
性のあるエリアから十分離れていること」、とあっても、実際には確認でき
ない事態の生じることがある。（NIST）
・また、クラウド事業者は、国外にデータセンターを設置する場合、特定の司
法の管轄区域内にあることを確実にすることが重要である。（NIST）
96
３.
①
・
・
・
位置情報サービス
(１)
センシティビティ（機微情報性）
問題意識
本人の地理的な行動履歴を継続的に蓄積したデータからは、私生活（プライ
バシー）が明らかになるリスクがある。昨今、GPS 機能を搭載したスマート
フォンが急速に普及しつつあり、リスクが顕在化しつつある。
スマートフォンや位置情報サービスが普及する米国では、位置情報を機微情
報として取り扱うべきであるとするかどうか、連邦取引委員会（FTC）等で
活発に議論されている。
本人の位置情報は、その近傍にいる者にとっては目に見えており、これまで
我が国の個人情報保護法では保護する対象としては明確に位置付けられて
いない。 ※通信サービス上は、GPS 情報も「通信の秘密」に含められ、秘
匿対象とされている。
② 我が国における状況
位置情報の機微度は各事業者が任意に判断している。そもそも位置情報が個人
情報に該当するかも曖昧である。
・位置情報が個人情報に該当するか、またそのセンシティビティは検討を要す
るし、技術・サービスが進展している段階であるため、なかなか収斂しない
だろう。（IT ベンダー）
・位置情報が個人情報に該当するかについて、現時点での明確な答えはないが、
位置情報の精度が益々良くなっているので、位置がより鮮明に分かるように
なる。過去から、過去 50 メートル以内にいる等の位置や通話履歴は分かっ
ている。（クラウド事業者）
・位置情報については、プライバシーに係る情報と認識されてはいるものの、
個人情報保護法で明確に個人情報と位置付けられているわけではない。日本
においては、立法段階で「プライバシー」と「個人情報」を区別している。
実際には、「グレー」の領域にもビジネスに踏み込む企業と、踏み込みを躊
躇する企業とがある。実際に、いくつかの企業にとっては、こうしたグレー
の領域が存在していること自体がビジネスの阻害要因になっているのでは
ないか。（IT ベンダー）
・位置情報については、これまで存在していなかった分野の機微情報が急に出
現した感がある。機微情報であれば、より入念な対策が講じられるべきであ
る。（有識者（弁護士））
97
・そもそも個人情報に該当するかどうかが論点。位置情報単体では個人情報に
ならない場合も多い。しかし、位置情報を継続的に追っていくと、自宅や職
場の場所が分かる。この場合は個人情報になる。位置情報を、短時間でとる
のか、継続的にとるのかで該当性は変わってくる。（学識経験者）
③ EU 諸国における状況
位置情報は EU データ保護指令における個人情報として扱われている。
位置情報は、EU データ保護指令の規定に包含されるものとして、特段のガ
イドライン等を定めているわけではない。（CNIL）
位置情報の活用については、統計目的での利用は行われているものの、機微
情報を含む位置情報の利活用については、認められていない。（CNIL）
位置情報とされるものについては、次の 2 種に大別される：（１）テレ
コムがサービスを行う際に収集する位置情報（”classical location data”）、
（２）スマートフォンにより収集される位置情報（GPS 情報）、である。
いずれにせよ、位置情報向けのガイドラインは策定していない。
（BfDI）
最近はワイヤレスランの位置情報が個人情報にあたるか否か、という議論
がある。一部のインターネット検索サービスを提供している事業者は情報を
たどって新たな情報を収集している可能性があるため、問題視されていた。
内部の意見としては、個人情報であると考えているが、明確な基準に基づい
て判断しているわけではない。また、判例が出ていないため、議論は継続中
である。（BfDI）
④ 米国における状況
位置情報は状況によって機微度が異なると認識されている。またスマートフォ
ンの普及により機微度の高まりが懸念されている。
ある場合に取得する位置情報と、継続的に取得する位置情報とで、機微度が
異なるといった区別はしていない。ある場合に取得する位置情報であっても、
それが病院であった場合、機微度が高いものと判断される。位置情報の機微
度は、状況に応じた判断が求められる。（FTC）
スマートフォン及び位置情報の取扱いは、プライバシーの問題として現在最
もホットなテーマの一つ。議会では、関連する 18 種類の法案が検討されて
いる。（有識者（弁護士））
2011 年の秋に、FTC がモバイルアプリに、FTC 法 5 条「欺瞞と不正に関す
る取り締まり」を適用することを表明したことで、プライバシー保護の認識
98
が急速に高まっている。（有識者（弁護士））
(２) 本人通知と同意取得の方法
① 問題意識
・スマートフォンと共に急速に普及している位置情報サービス（LBS）では、
本人の位置情報をスポット的に活用するアプリケーション、継続的に本人の
位置情報を追跡するアプリケーションが混在しており、本人への通知や同意
の取得方法も各サービス事業者が任意に定めている。
・継続的に本人の位置情報を追跡するアプリケーションで収集された情報は、
プライバシー性が高い。またスポット的に本人の位置情報を活用するサービ
スであっても、一定以上の期間の情報を集約するとプライバシー性が高くな
るリスクがある。
② 我が国における状況
位置情報はオプトインによる同意取得の重要性が認識されている。一方、スマ
ートフォン上のアプリではコントロールの難しい状況にある。
・フィーチャーフォンでは、キャリアが仕様をコントロールすることになって
いるため、現在の標準的な仕様でも、利用者を守る視点で面倒だと感じる程、
同意取得の確認画面が掲載されるようになっている。一方、スマートフォン
の場合は、キャリアの知らないところでもアプリを作成出来てしまう為、キ
ャリア側で個人情報の保護レベルを担保することが困難である。（携帯キャ
リア）
・同意取得のあり方については、一度限りの情報取得と継続的な情報取得とで
は異なるだろう。一度限りのものは、本人がその都度同意しているのであれ
ば問題は生じない。一方、継続的な情報取得については、個人情報の利用目
的や利用期間などについて疑問が残る。本人通知や利用規約などについては、
より分かりやすく本人に提示することが望ましい。（有識者（弁護士）
・業界のルールなどはあったほうが良いだろうが、現在はないし、大枠を決め
ることも容易ではないだろう。利用規約は殆どの場合、読まれていない。た
だし、利用規約の提示手法や質については、向上が図られるべきである。過
度に縛るのはよくないが、野放しにしていると悪質な利用規約が蔓延する可
能性も否定し難い。（有識者（弁護士））
③ EU 諸国における状況
事前の同意取得、特に追跡系の自動収集サービスにおける同意取得の重要性が
99
認識されている。
EU29 条作業部会では、位置情報の処理には事前同意が必要とされており、
フランスも同じ見解に立っている。特に追跡系の位置情報サービスでは重要
である。（ICO）
スマートフォンによる位置情報の自動収集については、問題視されており、
引き続き技術面での調査を行っている。（CNIL）
位置情報の利活用に関する同意は、term of use(利用規約)等を用いて取得し
ていることになっている。しかし、フランスで実施された調査によれば、利
用者の 70％以上が term of use を読んでおらず、かつ読んだ利用者の大半が
内容を理解していないとの結果が出ている。（CNIL）
④ 米国における状況
業界団体が通知と同意取得に係る位置情報サービスのガイドライン・ベストプ
ラクティス集を策定し、広く普及している。しかし、スマートフォンの急速な
普及に伴って、不適切なモバイルアプリが急増しており、その規制が課題とな
っている。民間プライバシー保護団体は規制強化を要請している。特に、子供
のオンラインプライバシー保護法違反が顕著で、保護者の同意を確実にするた
めの方策検討が急務となっている。
スマートフォンは PC に比べて画面が小さいため、ポイントを絞って通知す
ることが必要である。トレンドは、コンパクトに分かりやすいものを、とい
うこと。都度（ジャストインタイム）の通知による同意取得が原則である。
（有識者（弁護士））
CTIA では、位置情報サービスの台頭を予見して、2010 年 3 月に、“Best
Practices and Guidelines for Location-Based Services”の第二版を策定し
た。同ガイドラインでは、本人への通知と同意の取得を中心に、LBS 事業
者が留意すべき事項とベストプラクティスが、簡潔に、かつ具体的にとりま
とめられており、多くの LBS 事業者に参照されている。（業界団体）
消費者サイドの視点からは、民間団体 CDT(Center for Democracy and
Technology)と The Future of Privacy Forum とが、2011 年 12 月に、” Best
Practices for Mobile Applications Developers”のドラフトを公表している。
これはモバイルアプリ開発者が、プライバシーの重要性を十分に認識してい
なく、また法律家を雇用する余裕もないという背景に基づき、開発者へベス
トプラクティスに基づき、プライバシー保護の実装方法を具体的に開設して
プライバシー保護の向上を図ろうという取組である。（有識者（弁護士））
100
FTC では、13 歳未満の子供のプライバシー保護を最優先課題の一つにして
いる。スマートフォンの普及に伴って利用の拡大しているモバイルアプリの
うち、子供を対象としたものについて評価したところ、大多数に問題があり、
産業界に早急の見直しを図ることを要請した。（FTC）
(３) 位置情報の活用に係る取組（ビッグデータの項目と関連）
① 問題意識
・位置情報は、統計化したり、匿名化したりすることで政策立案やマーケティ
ング等、様々な有効活用が考えられる。しかし、具体的な取扱い方法が定め
られていないため、活用を躊躇している機関・事業者が多い。
② 我が国における状況
位置情報活用の有効性が認識されつつも、そのビッグデータ的利用については
慎重である。
位置情報などのライフログを活用したサービス開発にも取組んでいるが、法
令上の問題よりもユーザーの感情面の問題のほうが大きいだろう。ライフロ
グの活用によって顧客のプライバシー懸念を高める可能性がある。（クラウ
ド事業者）
現在の社内規程等でも「目的外利用しない」ことを明確に定めて、透明性を
高めている。自動車メーカーの一部が位置情報を渋滞情報に活用しているこ
とから分かるように、位置情報は使い方によっては非常に便利なものである。
位置情報を活用できないようにするのではなく、ユーザーと合意した目的以
外の利用をしないということが一番重要である。（クラウド事業者）
モバイルによる位置情報の統計データの分析プロジェクトを実施したこと
はあるが、顧客からクレームが来たことはない。しかし、その統計をビジネ
ス目的で展開した場合には、顧客からクレームが来る可能性がある。（携帯
キャリア）
③ EU 諸国における状況
本人同意の取得等、個人情報と同等の取扱い義務を負うものと考えられている。
EU29 条作業部会では、個人情報取扱い事業者でなくても、位置情報を用い
てタグ付けする SNS や広告サービスはデータ保護の義務を負うという見解
を示している。（有識者（弁護士））
位置情報の活用については、統計目的での利用は行われているものの、機微
101
情報を含む位置情報の利活用については、認められていない。（CNIL）
どのようなサービスにおいて、位置情報の収集・利活用が認められるかとい
う点については、IT 技術に関するメールマガジンを発行し、その中で具体
的なケースに触れつつ、紹介をしている。（CNIL）
④ 米国における状況
位置情報に係るビッグデータビジネスが生まれてきている。一方、位置情報に
より匿名化データからの特定個人の識別可能性が高まる懸念が認識されてい
る。
匿名化をしても特定の個人を識別できる可能性がある。（FTC）
顔認識データと位置情報データを組み合わせれば、特定個人を識別すること
は容易となるなど、ビッグデータ活用にあたっては、個人情報やプライバシ
ーの課題があると認識している。（NIST）
これまでは、事業者は Web に伴うクッキーや Beacon を使って個人の行動
履歴を集め、広告やサービスの提供を行ってきた。これに GPS をはじめと
する位置情報が加えることで、顧客に対して、より精度が高く、かつリアル
タイムのニーズに沿ったサービス提供や広告表示をすることができるよう
になる。（有識者（弁護士））
信用報告機関は、個人のクレジットスコアや履歴を提供している。あわせて
ある程度地域ごとに集約したデータも提供している。“Zip + 4”と呼ばれる郵
便番号に 4 桁加えた詳細なレベル（数街区レベル）のエリアデータとなると、
匿名化されていてもある程度の地域が特定できると、マーケティングなどに
非常に有用なデータとなる。（有識者（弁護士））
102
(４) 位置情報サービス（LBS）に係る紛争・係争事例
① 問題意識
・近年、必ずしも適切とは言えない LBS が出現し始めている。
② 我が国における状況
本調査におけるヒアリングにおいては、位置情報サービスをめぐり係争に発
展した事例は確認されなかった。
③ EU 諸国における状況
本調査におけるヒアリングにおいては、位置情報サービスをめぐり係争に発
展した事例は確認されなかった。
④ 米国における状況
本調査におけるヒアリングにおいては、位置情報サービスをめぐり係争に発
展した事例は確認されなかった。
103
４.
ビッグデータサービス
(１) ビッグデータビジネスにおける個人情報保護の取組み
① 問題意識
・非構造・多様、高頻度、高解像度の特徴を持つビッグデータは、その特徴か
ら結果的に「ビッグ」（大容量）のデータを総称する用語であるが、実際の
存在形態が多様かつ今後も更に新たな形態が現れる可能性があり、多くの企
業によって、その活用方法が検討され始めている。
・ 2000 年代に入って発展したテキストマイニング（音声情報をテキストデー
タ化・分析する方法）や音声や位置情報などの多様な情報を用いて過去の個
人の行動を分析するライフログもビッグデータの一種として位置づけられ
る。
・各事業会社は、社内に①非構造・多様、②高頻度、③高解像度な情報を保管
しており、それらの情報を分析し、マーケティングや業務改善のために活用
できる可能性がある。
・一方、企業が保管する個人情報は、特定目的にのみ活用するよう同意を得て、
顧客から提供されたものである。そのため、ビッグデータとしての利活用は
特定した利用目的の内容次第によっては問題があるおそれがあるが、その点
に関して企業が明確な基準を持たないまま積極的にビッグデータを分析・活
用する可能性がある。
・また、個々人についてより詳細な分析を加えられることで機微情報が生成さ
れる可能性もあり、プライバシーの観点から懸念が寄せられている。
② 我が国における状況
IT ベンダー/クラウド事業者では、ビッグデータビジネスを、個人情報保護法を
意識しつつ検討している。
・クラウドサービスでは、ビッグデータの分析基盤をユーザー企業に提供して
いる。ビッグデータ分析は、大量のアクセスログやユーザーの属性情報など
を元に分析を行い、経営に活用できる示唆を出すことが目的であるため、個
人を特定できる情報は不要である。（クラウド事業者）
・ビックデータビジネスを積極的に展開していきたいと考えている社員もい
る。具体的には、データを顧客から提供してもらい、自社で解析を実施し、
分析結果を顧客に返す形である。但し、こうしたビジネスについて、法務部
としては利用目的の範囲外に該当してしまうリスクがあると考えており、慎
104
重に対処することを要請している。まずは実証実験レベルで、ビックデータ
ビジネスに関する顧客のニーズを探っていきたいと考えている。
（IT ベンダ
ー）
・ビッグデータビジネスを積極的に推進している。ただし、ビッグデータでの
利用を目的として個人情報を収集しているわけではない。顧客の保有する個
人情報を分析するためのビッグデータ活用技術を開発し、サービス提供する
ことが、主眼である。顧客企業がビッグデータ向けに個人情報を取得する際、
利用目的については企業ごとに異なるものの、総じて「マーケティングのた
め」など簡素な書き方で提示することが多いと感じている。（IT ベンダー）
・病院のサーバーに格納されている医療データ（レントゲンの写真、人間ドッ
クのデータなど）についてクラウドサービスを利用することや、解析を行う
ことについては、米国では議論が進んでいる。米国で個々人のデータを患者
本人が利用するというサービスを利用している。このサービスの目的は、個
人と医者間のコミュニケーションを促進することにあるが、情報が漏えいす
れば、保険の勧誘等に用いられるなどの危険性も孕む。（クラウド事業者）
・ビッグデータビジネス展開の検討が進んでいる。特に顧客基盤のある事業で
検討が行われているが、（１）個人情報の取扱いについて法律上グレーの箇
所があること、（２）取得データを自社利用するのではなく、提供者へのサ
ービスの一環として還元する場合には、サービスコストの折り合いがついて
いないこと、の 2 点から、慎重にならざるを得ない。
・匿名化したデータを自社利用に留める場合には、本人同意の取得は困難では
ないが、第三者へ提供する場合には、第三者の利用使途等を限定することが
実質的に困難であろう。
・過去の実証実験では、取得処理や K 匿名化などの項目も含めて、データの
取り扱いについてのガイドラインを策定している。（携帯キャリア）
・同意取得の際には、消費者に対してそれぞれの個人情報の持つ価値を提示し
ていなければ、意味がない。ユーザーが実際にどのように利用されるかイメ
ージを持っていなければ、ユーザーが想定していない形で個人情報が活用さ
れてしまう恐れがあるからである。ある事業者のプライバシーポリシーのよ
うに、何でも掲載して同意取得を予め取っておくことは、本当の意味で「プ
ライバシーの侵害」の予防になるとは思えない。これは、各企業の単なる自
己防衛に過ぎない。（有識者（コンサルタント））
105
・ビッグデータというバズワードが出てくる前から、行動ターゲティングを実
施する為に購買履歴や会員情報（性別、会員情報、住所など）を解析し、グ
ループ分け（場合によっては画面を出し分け）してきた。過去には死蔵して
きたデータもあったが、Hadoop で解析できるようになっているからは、死
蔵が少なくなっている。（EC 事業者）
③ EU 諸国における状況
ビッグデータに対する定義付けはなく、法令での規制もなされていない。第三
者機関は注視している状況。
１) 英国
・ビッグデータに対する特定の法的規制を定めておらず、個人データ処理の方
法が、データ保護法に準拠しているかどうかを確認するレベルに留めている。
(ICO)
・ビッグデータの定義が定まっていないためビッグデータに対する明確な規
制をすることは困難である。しかし、既存の法令が写真や生体情報等をカバ
ーしている為、全く手つかずの領域という訳ではない（法律事務所）
２) フランス
・ビッグデータの定義は不明確であり、法令やガイドラインで規制する取組み
は行われていない。ビッグデータビジネスに個人情報を利用する際には、情
報収集の際に、データの利用目的と利用期間等を明示し、透明性のあるプロ
セスの下で本人同意を取得しなければならない。（CNIL）
３) ドイツ
・ビッグデータに明確な定義が存在しない。BfDI はビッグデータを新たな問
題として捉えているが、既存の法令やガイドラインではカバーできない為、
連邦データ保護法における規定（例えば、データ収集時にデータ収集目的と
データ保持期間を通知し、本人同意を取得すること、等）で規制する。
（BfDI）
106
④ 米国における状況
ビッグデータの定義、計測方法、セキュリティやプライバシーに関する対処に
係るガイドラインが政府内部で検討されている。
企業グループ間やサービス間でポリシーを簡素化・統合するのとあわせて、グ
ループ横断的、サービス横断的に個人情報を共有する動きがみられる。
・ビッグデータに関するガイドラインを作成すべく、現在プロジェクトが進行
しているところ。近々、草案が発表される見込み。ビッグデータの定義から、
計測方法、セキュリティやプライバシーに関する対処についてとりまとめら
れる予定。（NIST）
・一部の事業者において、サービス間のプライバシーポリシーを統合し、それ
までサービス間で隔離されていた個人データを統合して活用する動きが見
られる。過去の事例ではユーザーは歓迎したこともあったが、民間団体はプ
ライバシー侵害の懸念を表明している。（法律事務所）
・ Wall Street Journal（WSJ）は、一年以上前から”What They Know”という
特集を連載しており、GPS やクッキーを通じて事業者が個人情報を吸い上
げて展開しているビジネスについて報じている。あわせて、WSJ は、こう
いったビジネスに伴うプライバシー侵害のリスクについても問題提起して
いる。（法律事務所）
107
(２) 複数のデータの組合せによる個人情報の生成と管理責任
① 問題意識
・ビッグデータは映像や音声情報、ログ等、その形態が様々であり、その組合
せにより新たなデータを生成することが可能である。例えば、特定の場所の
映像と携帯電話についている GPS の位置情報を組合せて、映像内の人を特
定する、等が考えられる。
・データの組合せによって、個人情報が生成された場合には個人情報の取得・
保護の問題が生じる。このように、本人が意図せずに個人情報が生成される
場合、個人情報の取得に係る本人同意の問題につき、懸念が生じる。
② 我が国における状況
ビッグデータの分析によって、特定個人の識別につながることが、クラウド事
業者、IT ベンダー、EC 事業者それぞれにおいて認知されている。
・ビッグデータを分析することにより、結果的に個人を特定できる可能性もあ
るので、分析担当者の管理は必要である。また、ゲノムや遺伝子のビッグデ
ータ分析によって重大な因子が判明した場合、その遺伝子を持つ個人に通知
をする必要がある。その場合は、個人を特定する必要があると考える。（ク
ラウド事業者）
・他のデータとの突合による個人情報の生成してしまうことへの推測は、社内
で個人情報として特定できるのか、当該第三者で特定できるのかによって異
なる。社内で個人情報として特定できるものについては、第三者提供するべ
きではない。一方、当該第三者側で個人情報が生成される懸念がないとの判
断を受けた場合には、第三者提供しても良いと考えている。個人情報生成の
推論可能性については、一般人の基準によって考えざるを得ない。発生確率
は低いと考えている。（IT ベンダー）
・事業統合の際に、各事業で収集した顧客情報を共同利用する場合、顧客に対
する同意の取得は、データを利用する事業者がその責任を負うべきである。
ただ、規制に規制を重ねることは、今後のビッグデータビジネスの発展の阻
害要素となり得る。（クラウド事業者）
・クラウド事業者として、ユーザー企業から、サービス毎に分かれていたデー
タを統合して管理・分析できるような改変の依頼を受けることはよくある。
ただし、ユーザーが事前に個人に同意を取得しているかは関知していない。
（クラウド事業者）
108
・複数データから個人が特定される可能性については、データベースの推論制
御に類似した問題である。例えば、統計情報しか分からないデータベースで
あっても、一人に限られるようなデータの提供はしない等のルールを定める
ことがある。ただし、いくつかのデータ抽出を繰り返すことで、一人に限定
されるデータが抽出されてしまう場合がある。これは法律的には未整備の分
野である。（有識者（弁護士））
・結合可能性については、会員 ID の会員氏名と紐づければ全て個人情報とな
るが、権限のある人が特定の目的の場合にしか確認していない。結合可能性
については、閲覧履歴と会員 ID を紐づけることは可能だが、紐づかせてい
ない。母集団が少なく、結果として個人が特定されてしまう例がある等の、
匿名化に関する議論は社内でも行っている。（EC 事業者）
③ EU 諸国における状況
第三者機関では、個人情報が生成される可能性がある場合、本人に利用目的と
利用期間等を通知し、同意を取得する必要があると認識している。
１) 英国
・特定の情報それ自体が個人を特定していない場合でも、データの受領者の手
に渡った際に他の情報と紐付けられ、個人を特定する情報となれば、既存の
データ保護法の適用範囲に含まれる。（ICO）
・情報の組合せによって個人情報が生成されてしまう可能性についての判例
としては、小児白血病事例に関する情報の提供を Collie 氏が公共サービス機
関に問合せた事例がある2。同事例に係る判決で示されたのが、仮に個人が識
別される恐れがあれば、同情報はその時にデータ保護法の適用範囲に含まれ
るとデータ保護法を解釈することで個人情報を保護するという考え方であ
った。（ICO）
２) フランス
・ビッグデータ分析の結果、匿名化技術を用いて個人を特定できないようにし
た場合においても、情報の再結合による個人の特定可能性は残存する。デー
タ同士の結合は、データ保有者や第一分析者に留まるものではなく、複数の
2008 年 7 月 4 日 House of Lords 判決。 “House of Lords”は当時の UK における最高裁
判所にあたる。＜http://www.bailii.org/uk/cases/UKHL/2008/47.html＞（アクセス：2012
年 2 月 23 日）
2
109
IT 技術の併用によって再結合が生じることもある。（CNIL）
・個人情報が後に生成される危険性も含めて、ビッグデータとして分析を行い、
どのように利用するかについての同意をデータ取得時に本人から取得して
おく必要がある。（CNIL）
３) ドイツ
・匿名データが非個人情報などのデータと突合されることにより、個人情報が
生成されることに懸念を示している。一方、現時点で、ビッグデータに関す
る具体的な規制手法は講じられていない。（BfDI）
・
④ 米国における状況
プロファイリングやパーソナルデータの流通ビジネスが輩出。大手メディアで
特集が組まれるなど、プライバシー侵害の懸念が大きくなっている。
・個人識別情報は、持続的な識別子であることが判断基準となっている。この
考え方は、現在でも有効である。このため、携帯電話のような機器に付随す
る情報であっても、持続的に個人を識別できる場合は、個人識別情報（PII）
に該当する。既存事例の中には、匿名化をしても特定個人を識別できる可能
性がある場合があった。（FTC）
・最近、目立って懸念が示されているのは、個人データの集約サービスである。
ネット上に偏在する個人情報をかき集めて提供するというもので、現在たく
さんのサービスが提供されている。（業界団体）
・複数のデータを組み合わせて行われる Profiling への懸念が持ち上がってい
る。PII の考え方に影響がある。匿名化も大きなディベートが行われている。
民間団体 CDT は、匿名化データは実質的に匿名ではないと主張している。
（法
律事務所）
・ある信用報告機関は、個人のクレジットスコアや履歴を提供している。また、
ある程度地域ごとに集約したデータも提供している。“Zip + 4”と呼ばれる郵
便番号に 4 桁加えた詳細なレベル（数街区レベル）のエリアデータとなると、
匿名化されていてもある程度の地域が特定できると、マーケティングなどに
非常に有用なデータとなる。（法律事務所）
・ビッグデータビジネスで用いられる匿名情報は、事業者の内部で利用する場
合と、外部に提供する場合とでは状況が異なる。内部で利用する場合は、一
110
定のセキュリティをかけることによって再結合による特定個人の識別を防
ぐことができる。一方、外部に提供する場合は、再結合される可能性はゼロ
にすることは困難である。（学識経験者）
111
５.
ソーシャル・ネットワーキング・サービス
(１) 情報公開の初期設定
① 問題意識
SNS では、ユーザーが個人情報の公開設定（プライバシー設定）を詳細に
設定できる。しかし、SNS の初期設定の多くは、登録する情報の大半が公
開される設定となっている。このため、本人が無意識のうちに個人情報をイ
ンターネット上に露出してしまう事例が多発している。
例えば、米国の大手 SNS では、当初ユーザーのプロフィールページへのア
クセスを、友人のほかに同じ学校や職場等に所属するユーザー間に限定して
いたが、2007 年には同 SNS 上での活動に基づき広告を配信する Beacon プ
ログラムをオプトアウトで実装した。この Beacon プログラムに対しては米
国で 2 度の集団訴訟が提起された。同 SNS は、2009 年にはプライバシー設
定の初期設定をオープンにし、検索エンジンの検索結果にも表示されるよう
変更を行った。
個人情報保護の観点では、初期設定では原則非公開になっているべきであり、
本人が自分で公開するかどうかを選択する「オプトイン方式」が望ましい。
しかし、公開を前提とする SNS の方が、情報がより多く共有され、新たな
ユーザー獲得に有利である場合があり、競争の激しいビジネスとしてはジレ
ンマがある。
② 我が国における状況
初期設定の問題点は広く認識されている。
大手 SNS 事業者のサービスはことごとくオープンになっているため、社内
でも随分と気をつけた。気をつけたという事例を実際に作っていくことで、
社内でも危険性に対する認知が広がる。「規制」より普及・啓発が有効との
認識。セキュリティ対策はできるが、スマートフォンを使われてしまうと、
規制できない。（IT ベンダー）
・初期設定は重要な問題である。ある団体ではメーリングリストを用いた情報
交換が行われており、メーリングリストへの投稿自体は当該団体に限定され
ていた。しかし、ウェブサイト上では、誰でも投稿内容を閲覧できる初期設
定のままであった。（有識者（弁護士））
112
③ EU 諸国における状況
第三者機関には、初期設定について多くの様々な苦情が寄せられている。
１) 英国
SNS の初期設定に対する苦情は、メールアドレスが公開になっていたり、
顔認識が自動的に為されるようになっていたりと、サービスに応じて多岐に
わたっている。非常に多くの苦情が寄せられている。（ICO）
一般に、サービスの利用をオプトイン方式にすると、サービス利用の普及が
低下するという傾向があることは認知している。（ICO）
ユーザーからの主な苦情としては、写真の共有や、行動履歴に応じた広告ク
ッキーなどである。また、特定の状況下において、他のユーザーのプロフィ
ールと自動でマッチングをするシステムについては、オプトアウトで対応が
なされる場合、苦情を呈するユーザーもいるだろう。（法律事務所）
初期設定に関する規制については、E-Privacy 指令（2002/58/EC）5 条（3）
において、特定のクッキーのオプトインを求めている。ウェブサイトのクッ
キーを用いてオンラインマーケティングを行っている事業者に対し、初期設
定に関する義務を定めたものに該当するだろう。（法律事務所）
２) ドイツ
・初期設定は、SNS をめぐる重要な論点である。ユーザーの意識啓発が進んで
いない現状にかんがみれば、個人情報の公開設定については全て”opt-in”で
あることが望ましい。ただし、SNS 企業は個人情報を可能な限り公開するこ
とでビジネス拡大の機会を見出しているので、一義的に規制してしまうこと
は難しいのではないか。（BfDI）
④ 米国における状況
FTC では、SNS 事業者の初期設定に係る通知と同意の取得について、欺瞞や不正
行為がみられると判断し改善を命じた事件がある。
・ SNS の場合、初回だけでなく、継続的に、本人のソーシャルグラフの変化や
新しい機能の登場に伴って、同意取得をする仕掛けを実現することが極めて
重要である。SNS の利用者は、半年経てば友人の数も増え、また参照された
り引用されたりすることも変動する。問題は、SNS 事業者が公開設定につい
て本人同意を取得したとしても、時間が経つにつれて状況が大きく変化し、
113
本人が想定してなかった形で利用される可能性があることである。また、顔
認識機能など、新たなサービスが加わることで、友人に引用されている画像
情報の共有方法、利用方法を制御できなくなることもリスクとしてある。
（学
識経験者）
・ NIST では、SNS の取扱いに係るガイドライン等の公式な文書は未だ作成し
ていない。具体的な計画も把握していない。技術的な観点から、SNS につ
いて文書を出すことはないだろう。（NIST）
A 社はソーシャルメディア機能を有しており、友人やベンダーを勧誘して、
ネットワークを構築することができる。勧誘する仕組みは一般の SNS と同
じである。ただし自己情報コントロールの原則に則り、初期設定ではすべて
非公開の設定にしている。このため、本人から招待された者だけが、指定さ
れた個人情報にアクセスすることができる。（SNS 事業者）
114
(２) 通知と同意の取得
① 問題意識
SNS は、日進月歩で進化しており、便利で高度な機能が次々に登場してい
る。これに伴って、個人情報の利用目的や共有の範囲が、ユーザーに分かり
づらい状況にある。
個人情報の取扱いは基本的に事業者のプライバシーポリシーに書かれた内
容に従う。しかし、複雑なプライバシーポリシーの内容を、ユーザーが把握
することは困難である。
② 我が国における状況
A 社のソーシャルメディアでは、個人情報の取得は基本的にオプトインであ
るが、中には個人情報の取得について認知していないユーザーも存在してい
るので、オプトインの際に確認画面を経由させることで念を押している。ソ
ーシャルメディアの中には、利用規約を頻繁に変更するサービスも存在して
いるので、ユーザーのリテラシーを高めることも重要である。（クラウド事
業者）
③ EU 諸国における状況
・本人同意については、term of use(利用規約)などで規定している一方で、18
歳以下の若年層に対する注意喚起を行うことは必要であるし、本来は教育機
関で教育の機会を提供すべきである。
交通マナー順守のために道路標識が設置されているように、個人情報の保護
の観点から注意喚起のアイコンをウェブサイトに掲載することも一考では
ないか。（法律事務所）
④ 米国における状況
当局は、SNS 事業者による通知と同意の取得に関する行為に対して改善を命じ
た事件がある。
・ FTC では、SNS 事業者の通知と同意の取得について、欺瞞や不正行為がみ
られると判断し改善を命じた事件がある。（FTC）
（Google Buzz 事件）
FTC5 条の欺瞞行為（Deception）に該当する事件。
Google は、Gmail で収集した情報を、Gmail のみに用いるという利用目的を提示
して、
他の目的に利用する場合は事前に同意を取得するというポリシーを掲げてい
115
た。しかし、Google Buzz では、事前同意なく利用した。
FTC は Google に次の義務を課すことで合意：
・今後 20 年間、総合的なプライバシー保護プログラムを実施し、隔年で第三者
に監査をしてもらうこと
・ US/EU のセーフ・ハーバー協定に準拠した消費者のプライバシー保護に違反
する行為を禁止。
（Facebook 事件）
FTC5 条の不正行為（Unfairness）に該当する事件。
プライバシー設定のデータアクセス制限、及びデータを使用するアプリにおける利
用制限をしていたものを、事後承諾で公開設定に変更した。
FTC は Facebook に対して次の義務を課すことを提示している：
・ユーザーが情報を消去又はアカウントを停止した場合は、Facebook による制
御によって、
適切な期間のうちに第三者から秘匿された情報へアクセスできな
くする手段を講じること。
・プライバシープログラムの実施、
及び独立した第三者によって隔年監査をして
もらうこと。
利用者がきちんと条件を読んで、同意をするような状況にないのが問題であ
る。現実的に、数十ページに及び利用約款を各人が理解することは不可能で
ある。通知内容を、図化したり、条件を数段階にわけて表示するなど、イン
ターフェースをシンプルにわかりやすくする取組が必要ではないか。（業界
団体）
116
(３) 情報の消去
① 問題意識
SNS で登録される情報は、多くの友人・知人に引用・転載され、共有され
ている。このため、本人が後から自分のサイトの情報を消去しても、既に引
用・転載されている場合は、SNS 内に残ってしまうことがある。これは文
章だけでなく、写真などの画像情報も含まれる。
このため、本人が知られたくない過去の情報などが、継続的に SNS 上で公
開されてしまうおそれがある。
上述の状況に対し、EU では、
「忘れてもらう権利（Right to be forgotten）」
を提唱する動きが見られる。ただし、技術的に実現が困難であるという指摘
もされている。
② 我が国における状況
「忘れてもらう権利」（Right to be forgotten）は、抽象論としては正しいが
実現が困難という意見が多い。
「忘れてもらう権利」については、「人間が脳で記憶した情報は消去できな
い」という前提に立っているため、B 社としては現実的でないと考えている。
例えば、特定のプロジェクトのために顧客から伝達された情報は、社員が覚
えてしまえば消せない。この前提の背景として、技術者が様々なプロジェク
ト経験を通じて幅広い研究を行えるよう、技術者保護を行っていたことがあ
る。現在でも、顧客との契約でも残留情報について承諾をとっている。この
ため、「忘れてもらう権利」を主張されても、B 社としてはこれを認めるこ
とはできない。（IT ベンダー）
ヨーロッパで「忘れてもらう権利」という考え方があるが、一度掲載したら
瞬時に広まるため、WEB にアップされた関連情報を全て Delete することは
困難だという認識を最初から持つべきである。一方、「なりすまし」につい
ては、特にマイナス情報が残るにも関わらず、訂正できない。（クラウド事
業者）
A 社のソーシャルメディア内の情報が、外部サイトから収集されたり引用・
転載されたりすることについては、ある程度、技術的に把握することが可能
である。「忘れてもらう権利」については、コピーされたインターネット上
の情報を消去することは難しいため、事実上、体現が困難だろう。（クラウ
ド事業者）
117
忘れてもらう権利については、名誉棄損にあたらないけれどプライバシーと
しては微妙な領域の情報についての論点だろう。例えば、30 年前に逮捕さ
れた経験のある者が、特段の理由なく現在になって逮捕の事実を喧伝された
場合、「忘れてもらいたい事実」と本人は認識するだろう。プロバイダー責
任制限法 3 条によれば、公開されている情報を削除する場合、本人の権利が
侵害されていることを示す必要がある。人格権の侵害であっても良い。今の
法制ではここまでが限界であろう。（有識者（弁護士））
本人以外にとって「個人の特定は不可能」と思われる情報であっても、本人
にとっては「本人の特定が可能な情報」とみなされる場合もある。この場合
において、同情報に基づき本人の行動が抑制されてしまうのであれば、基本
的人権の侵害としてみなされることもあるのではないか。
（有識者（弁護士））
・ EU は理想を先走る傾向にある。忘れてもらう権利は、抽象論としてはただ
しいが、実装については疑問である。直接書き込んだ内容を消去できるのは
自己情報コントロール権の範囲にあって、事業者に要求できるレベル。しか
し、ネット上に拡散した情報まで対象とするのは、実質的に不可能である。
（学識経験者）
・事業者が、ユーザーの要求に従って、情報を確実に消したかどうかは、フォ
レンジックの問題となる。サーバーのどこにも残っていないことをユーザー
に証明するのは仕組みが必要となる。技術の専門家に聞くべき話だろう。
（学
識経験者）
・ユーザーは、
「一度公開された情報は消去・収集できない」という Web の性
質を理解することが必要である。一方で、予め“closed”にセットしておくこ
とも有用である。（有識者（コンサルタント））
・また、予めリスクをケーススタディとして共有することも意味がない。リス
クをユーザーに提示しても、自分のこととして置き換えないので、意味がな
い。大切なことは、リスクが顕在化した際に、ユーザーが救われる手立てを
考え、手を差し伸べられるようにすることである。
（有識者（コンサルタン
ト））
③ EU 諸国における状況
「忘れてもらう権利」は、実現に難があるものの重要な権利として認識されて
いる。
118
３) 英国
・データ保護法において、個人は情報の消去を、データ保有事業者へ要求する
権利を有する。ただし、消去を強制できるのは、不当な被害を受けた場合だ
けである。（ICO）
・現実的には、ネットに公開された情報を完全に消去することはできない。第
三者機関としては、事業者にデータ保護法を遵守し適切な取扱いを促すよう、
強制的な行動を撮る必要がある。（ICO）
・ SNS 事業者が保有する個人情報を、本人の求めに応じて消去することは困
難である。一方、本人は個人情報の処理や掲載するよう要求することはでき
る。また、「忘れてもらう権利」の観点からは、本人が自己情報の消去をで
きるような権限の付与が EU 内で検討されている。（法律事務所）
・「忘れてもらう権利」の観点からは強固なデータマネジメントシステムが必
要であり、これなしには確実にデータの消去がなされたか否か、確認できな
い。また、複数の場所でのデータ保管は、最低限にとどめるべきだろう。デ
ータ消去時のリテンション期間も必要であるし、複数のプラットフォーム上
にデータが分散していることを示すことも必要であろう。
（英国法律事務所）
２）ドイツ
近年、欧州委員会は、「忘れてもらう権利」の重要性を提唱している。この
権利の実行は、サービス・プロバイダーに要求されるものである。具体例と
して、とある大学では、情報の消去についてブラウザーに明確に示し、時間
の経過に従い、情報の消去を行っている。一方、一旦 SNS 上に掲載されて
しまった情報については、他のウェブサイトに転載される可能性があるため、
完全に「忘れてもらう」ことは不可能である。もし、SNS の情報がコピー
ないしは転載不可能なのであれば、
「忘れてもらう権利」は実現するだろう。
（BfDI）
「忘れてもらう権利」は重要なコンセプトである。しかし、ユーザーに対
して目的と共に指定した期間の経過後に、企業側が保有データを消去するよ
うデザインすることには、限界がある。例えば、多くの SNS は、企業側が
情報を掲載しているのではなく、ユーザー側が掲載しているので、仮に一度
消去しても、ユーザーの意識が変わらなければ、まだ同じ情報がサイト上に
掲載されるだけである。「忘れてもらう権利」の観点でも、ユーザー側の教
育が重要である。（ドイツ・セキュリティ事業者）
119
④ 米国における状況
忘れてもらう権利は、技術的に実現することは非常に難しいとの認識がある。
事業者は、ベストエフォートで個人データを削除するしかなく、本人に係る情
報をインターネット上から消去したことを証明することはできない。
・ A 社のサービスは、いつでも、本人はサービス利用をやめることができ、デ
ータも全て消去することができる。なおサービスを停止する際は、本人が同
サービスからデータをエクスポートすることができる。EU の提唱する「忘
れてもらう権利」は、A 社のサービスであれば、容易に実現することができ
る。（SNS 事業者）
120
図表 6
クラウドコンピューティング
我が国
新たな IT 技術の発達と個人情報保護に係る調査
各国における対応状況（ヒアリング結果）
EU 諸国
調査から得られた示唆（NRI 考察）
米国
・クラウドにおける個人情報の取扱い・クラウドサービスに特定した個人情報・
は、サービス形態や業務の契約形態に
よって異なっている。
・クラウド事業者の適切性を認定する制
度の必要性については、否定的な見解
が多かった。
の取扱いの規定はない。
・他のサービスと同様に、EU データ保護
指令及び各国の個人情報保護法制に基
づき、委託元のデータ管理者が個人情
報の保護責任をすべて負う。
調査まとめ
・
クラウドコンピューティングに特化し
た法令上の規定は策定されていない
が、ガイドラインは策定されている。
欧州においては、既存の保護法制の中
での対応がなされており、我が国にお
いても民間事業者が契約形態の中で
一定の責任分解点を提示している。こ
うした、委託元と委託先間での係争
は、今のところ問題化していない。
・
一方、我が国中小事業者の中には、ク
ラウドコンピューティング等に関す
る契約約款の策定のノウハウがない
事業者がいることも想定される。こう
した事業者を対象として、クラウドコ
ンピューティングに関する「手引き」
を作成していくことは有益であると
考えられる。
・
欧米と同じく、我が国でもスマートフ
ォンの急速な普及に伴って、位置情報
の取扱い及びモバイルアプリのあり
方が大きな課題となりつつある。
・
現段階では深刻な係争までは至って
いないものの、位置情報の個人情報該
当性、又はセンシティビティについて
注意喚起が必要。
・
さらに、通知や同意の取得、モバイル
アプリならではの留意点などについ
て、行政機関又は業界団体によるガイ
ドラインやベストプラクティス集の
一般の委託と同様に、委託元が情報保
護の責任を負うことが原則。
・一方、委託先のクラウド事業者にも一
定の責任を課すべきという議論もある
・クラウドサービスの利用者が、データ・データセンターの所在国は、問題とし・
センターの所在地を選択できるように
配慮することで、日本国内のデータセ
ンターのみを志向する利用者にも対応
している事業者もある。
位置情報サービス（
・
て認識されていない。
・位置情報の機微度は各事業者が任意に・位置情報は
判断している。そもそも位置情報が個
人情報に該当するかも曖昧である。
EU データ保護指令におい
て、個人情報として扱われている。
）
LBS
121
クラウドの場合、データセンターの所
在を特定できず、法令遵守の観点から
課題になることがある。
・
国外に設置する場合、特定の司法の管
轄区域であることを確実にすることが
重要とされている。
・
位置情報は状況によって機微度が異な
ると認識されている。またスマートフ
ォンの普及により機微度の高まりが懸
念されている。
我が国
各国における対応状況（ヒアリング結果）
EU 諸国
調査から得られた示唆（NRI 考察）
米国
・位置情報はオプトインによる同意取得・事前の同意取得、特に追跡系の自動収・
業界団体が通知と同意取得に係る位置
情報サービスのガイドライン・ベスト
プラクティス集を策定し、広く普及し
ている。
作成が有用。
・
子供のモバイルアプリ利用について
は、保護者の同意取得の仕組みを検討
することも一考。
ビッグデータの定義、計測方法、セキ
ュリティやプライバシーに関する対処
に係るガイドラインが政府内部で検討
されている。
・
ビッグデータによる分析を行う主体
に対して、ユーザーへの一定の配慮
（利用目的等の通知・同意など）を示
すべき旨、周知していくことが重要。
・
企業グループ間やサービス間でポリシ
ーを簡素化・統合するのと合わせて、
グループ・サービス横断的に個人情報
を共有する動きがみられる。
・
特に、分析結果が外部提供される場合
については、分析の目的等につき、デ
ータ取得時に本人に対して通知する
などの措置が求められる。
・ビッグデータの分析によって、特定個・第三者機関では、個人情報が生成され・
プロファイリングやパーソナルデータ
の流通ビジネスが輩出。大手メディア
で特集が組まれるなど、プライバシー
侵害の懸念が大きくなっている。
・
一方、ビッグデータを用いたビジネス
の促進という観点からは、一定の匿名
化措置等を講じた場合において、企業
グループ内でデータの共同利用をで
きるようにすることも一考。
の重要性が認識されている。
・一方、スマートフォン上のアプリケー
ションについてはコントロールの難し
い状況にある。
集サービスにおける同意取得の重要性
が認識されている。
・本人同意の取得等、個人情報と同等の
・
しかし、スマートフォンの急速な普及
に伴って、不適切なモバイルアプリが
急増しており、その規制が課題となっ
ている。民間プライバシー保護団体は
規制強化を要請している。
・
特に、子供のオンラインプライバシー
保護法違反が顕著で、保護者の同意を
確実にするための方策検討が急務とな
っている。
・
位置情報に係るビッグデータビジネス
が生まれている。一方、位置情報デー
タにより匿名化データからの特定個人
の識別可能性が高まる懸念が認識され
ている。
・本調査におけるヒアリングにおいて・本調査におけるヒアリングにおいて・
本調査におけるヒアリングにおいて
は、位置情報サービスをめぐり係争に
発展した事例は確認されなかった。
・位置情報活用の有効性が認識されつつ・
取扱い義務を負うものと考えられてい
る。
－
も、そのビッグデータとしての利用に
ついては慎重である。
は、位置情報サービスをめぐり係争に
発展した事例は確認されなかった。
は、位置情報サービスをめぐり係争に
発展した事例は確認されなかった。
ビッグデータ
・ IT ベンダー/クラウド事業者では、ビッ・ビッグデータに対する定義付けはな・
グデータビジネスを、個人情報保護法
制を意識しつつ検討している。
人の識別につながることが、クラウド
事業者、IT ベンダー、EC 事業者それ
ぞれにおいて認知されている。
く、法令での規制もなされていない。
第三者機関は注視している状況。
る可能性がある場合、本人に利用目的
と利用期間等を通知し、同意を取得す
る必要があると認識している。
122
ソーシャル・ネットワーキング・サー
ビス（ SNS
）
我が国
各国における対応状況（ヒアリング結果）
EU 諸国
調査から得られた示唆（NRI 考察）
米国
・初期設定の問題点は広く認識されてい・第三者機関には、初期設定について多・
る。
くの様々な苦情が寄せられている。
・
・「忘れてもらう権利」（ Right
to be
forgotten）は、抽象論としては正しい
が実現が困難という意見が多い。
・「忘れてもらう権利」は、実現に難が・
あるものの重要な権利として認識され
ている。
その他
・ 2012 年 1 月 25 日、欧州委員会は EU
データ保護指令（EC/95/46）の改正案
を公表。
・改正案では、同意取得の方法を「明示
的で、文書または明確で積極的な同意
（opt-in）によるもの」と規定。
・ SNS や LBS の利用については、13 歳
未満の子供に関し、親権者の同意を要
する旨規定。
・漏えい事案発生時における、可能な限
り 24 時間以内の第三者機関への報告す
ることを義務付けている。
・民間事業者に対する罰則のうち、上限
を「全世界売上高の 2％」と規定してい
るものがある
123
・
FTC では、SNS 事業者の初期設定に係
る通知と同意の取得について、欺瞞や
不正行為がみられると判断し改善を命
じた事件がある。
当局は、SNS 事業者による通知と同意
の取得に関する行為に対して改善を命
じた事件がある。
忘れてもらう権利は、技術的に実現す
ることは非常に難しいとの認識。
事業者は、ベストエフォートで個人デ
ータを削除するしかなく、本人に係る
情報をインターネット上から消去した
ことを証明することはできない。
・
初期設定については、「個人情報保護
レベル（高、中、低）
」等、SNS に不
慣れなユーザーであっても、自らの意
思で選択できるよう、より分かりやす
く透明性のあるプロセスを担保して
いくことが重要。
・
ユーザーの年齢等の特性に応じ、ユー
ザーの意識啓発のツール等を整備す
ることも一考。
V.認定個人情報保護団体連絡会の開催
124
１.
目的と背景
平成 17 年 4 月の個人情報保護法の全面施行後に発生した個人情報取扱事業者
と本人との間での紛争に関しては、同法に基づく認定個人情報保護団体がその
役割を担っている。実際に同団体としての活動を推進するに当たっては、同法
を理解した苦情処理担当者の確保が難しいこと、団体の性格上、会員企業との
関係において独立性の確保が困難な場合があること、複数の団体に所属する会
員企業に関す紛争解決の対応が異なることによる問題発生の可能性がある等の
懸念がある。
認定個人情報保護団体としての在り方について、経済産業分野を中心とした
事業者における保護法への対応状況を把握し、今後の支援活動に生かすために、
経済産業省の所轄の認定個人情報保護団体の連絡会を開催した。
２.
(１)
実施方法及び結果
実施方法
経済産業省所轄の認定個人情報保護団体連絡会を平成 24 年 2 月 23 日に経
済産業省にて開催し、活動状況等について検討を行った。
図表 7
経済産業省所轄の認定個人情報保護団体
団体名
認定日
財団法人日本データ通信協会
平成１７年
４月１２日
社団法人全日本ギフト用品協会
平成１７年
５月１３日
ＪＥＣＩＡ個人情報保護協会
平成１７年
５月１３日
一般社団法人日本自動車販売協会連合会
平成１７年
５月１９日
社団法人日本クレジット協会
平成２１年
７月
一般財団法人
平成１７年
６月２７日
日本情報経済社会推進協会
１日
社団法人日本専門店協会
平成１７年１２月
社団法人東京グラフィックサービス工業会
特定非営利活動法人日本個人・医療情報管理協会
公益社団法人日本消費生活アドバイザー・コンサルタント協会
大阪毎日新聞販売店事業協同組合
全国こころの会葬祭事業協同組合
特定非営利活動法人日本手技療法協会
長野県個人情報保護協会
平成１７年１２月７日
平成１８年２月１０日
平成１８年２月１３日
平成１８年３月９日
平成１８年３月３１日
平成１８年３月３１日
平成１８年８月４日
一般社団法人結婚相談業サポート協会
平成２０年
結婚相手紹介サービス協会
平成２０年１２月１５日
125
７月
７日
７日
株式会社ＩＢＪ（結婚相談所連盟）
平成２１年
４月２０日
ナノライセンス結婚専科システム協議会
平成２２年
２月２４日
一般社団法人
平成２３年
８月１０日
日本個人情報管理協会
(２) 平成２３年度認定個人情報保護団体連絡会の開催概要・結果
① 開催日時
平成 24 年 2 月 23 日（木）13 時 00 分～15 時 00 分
② 開催場所
経済産業省本館 2 階西 3 共用会議室
③ 出席者
・以下の 18 団体の代表者・担当者が出席した。
財団法人日本データ通信協会、一般社団法人日本自動車販売協会連合
会、社団法人全日本ギフト用品協会、社団法人日本専門店協会、ＪＥ
ＣＩＡ個人情報保護協会、社団法人日本クレジット協会、社団法人東京
グラフィックサービス工業会、社団法人日本消費生活アドバイザー・コ
ンサルタント協会、大阪毎日新聞販売店事業協同組合、全国こころの会
葬祭事業協同組合、特定非営利活動法人日本個人・医療情報管理協会、
一般財団法人日本情報経済社会推進協会、特定非営利活動法人日本手
技療法協会、一般社団法人結婚相談業サポート協会、結婚相手紹介サー
ビス協会、株式会社ＩＢＪ（結婚相談所連盟）、ナノライセンス結婚専科
システム協議会、一般社団法人日本個人情報管理協会
・事務局
竹田
高田
篠原
八代
伊藤
奥見
御眞木（経済産業省情報経済課課長補佐）
真利絵（経済産業省情報経済課係長）
治美（経済産業省情報経済課法執行専門職員）
拓（株式会社野村総合研究所副主任研究員）
智久（株式会社野村総合研究所研究員）
紗和子（株式会社野村総合研究所研究員）
126
④ 議事
・本連絡会は以下のような議事で進行した。
15：00
開会
15：10～
14：10
講演：個人情報保護を巡る最近の動向について
14：10～
15：00
意見交換：
１）認定個人情報保護団体の活動状況等のご報告
２）その他
15:00
閉会
⑤ 配布資料
資料１
資料２
資料３
資料４
資料５
議事次第
認定個人情報保護団体連絡会名簿
個人情報保護を巡る最近の動向について
平成２３年度認定個人情報保護団体報告書
集計表
⑥ 主な内容
連絡会では、高芝法律事務所の高芝利仁弁護士による講演および認定個人情
報保護団体による活動状況等の報告がなされた。
＜高芝利仁弁護士の講演内容について＞
以下の資料の概要について解説された。
・平成 23 年 8 月消費者庁「平成 22 年度個人情報の保護に関する法律
施行状況の概要」（抄）について
・ 2011/06/30 政府・与党社会保障改革検討本部「社会保障・税番号大
綱～主権者たる国民に立った番号制度の構築N」（抄）について
・平成 23 年 7 月消費者委員会個人情報保護専門調査会
「個人情報保護
専門調査会報告書～個人情報保護法及びその運用に関する主な検討
課題～」（抄）
127
(３)
調査・報告内容
① 個人情報保護法第３７条第１項第２号に規定する対象事業者に対する情
報提供の実績（平成２３年１月から１２月末まで）
１) 財団法人日本データ通信協会
項目
内容
冊子、パンフレッ１内容
電気通信個人情報保護推進センターのご案
ト等、啓発資料
内（改定はない）
作成数
（約 800 部を配布）
２内容
作成数
情報の提供実績
１発出日
適宜
内容等
電気通信個人情報保護推進センターのホー
ムページによる情報提供：
①対象事業者からの質問と回答事例集（改
正版）
②特集記事（3 件）、③苦情相談受付状況
（毎月）、④漏えい事案（四半期毎）
２発出日
平成 23 年 4 月
内容等
個人情報の取扱い等に関するアンケート調
査結果
（約 280 部）
３発出日
適宜
内容等
メールマガジンの発行（8 回）
研修会･セミナー１実施期日平成 23 年 5 月～7 月
等実施実績
会場
全国 6 都市（札幌：5/19、東京：6/24、名
古屋：6/7、
大阪：6/22、広島：7/8、福岡：5/26）
対象者
電気通信事業者
参加者数合計 412 名
目的･趣旨・個人情報保護への啓発活動
・認定個人情報保護団体活動紹介
実施内容/ プログラム及び講師は以下のとおり
講師等
①「電気通信事業者における個人情報保護
への取組と課題」（全会場）
講師：電気通信個人情報保護推進センター
業務企画委員会委員長
②「認定個人情報保護団体に寄せられた苦
情相談の概要等」（東京、大阪会場）
講師：電気通信個人情報保護推進セ
128
項
目
内
容
ンター所長
③「電気通信分野における個人情報保護」
（福岡会場）
講師：総務省消費者行政課
④「電気通信事業紛争処理委員会の紹介」
（札幌、東京、広島、福岡会場）
講師：総務省電気通信事業紛争処理
委員会事務局
④「身近なＩＣＴによる防災・減災の可能
性」（名古屋会場）
講師：(独)情報通信研究機構
技術移転推進室
⑤「ｅネットキャラバンの取組状況」（大
阪会場）
講師：(財)マルチメディア振興セン
ター
レジメ資料
配付資料/
テキスト
等
特記事項情報通信月間行事として開催
等
２実施期日
会場
対象者
参加者数
目的･趣旨
実施内容/
講師等
配付資料/
テキスト
等
特記事項
等
129
２) 一般社団法人
冊子、パンフレッ１
ト等、啓発資料
２
情報の提供実績
１
２
研修会･セミナー１
等実施実績
２
日本自動車販売協会連合会
項目
内容
内容
作成数
内容
作成数
発出日
毎月 1 回（上旬）。
内容等
前月分の漏えい報告事例をまとめて会員
に周知。
発出日
内容等
7～10 月
実施期日
会場
全国 14 会場
対象者
当団体会員の自動車販売会社
参加者数
約 1,000 人
目的･趣旨個人情報保護法施行後の状況について報
告
実施内容/ 直近及び過去 3 年分の漏えい状況を説明
講師等
し、安全管理措置の徹底について注意喚起
／自販連事務局職員
配付資料/ 平成 20 年 4 月以降の類型別漏えい状況を
テキスト集計した資料を配布。
等
特記事項
等
実施期日
会場
対象者
参加者数
目的･趣旨
実施内容/
講師等
配付資料/
テキスト
等
特記事項
等
130
３) 社団法人
全日本ギフト用品協会
項目
内容
冊子、パンフレッ１内容
『カタログギフトガイドライン』を 6 月
ト等、啓発資料
発行
100
作成数
２内容
作成数
情報の提供実績
１発出日
内容等
２発出日
内容等
2011 年 6 月 3 日
研修会･セミナー１実施期日
等実施実績
会場
都立台東区民会館
対象者
本会員企業
40 名
参加者数
目的･趣旨講習会
実施内容/ 『カタログギフトガイドライン』発行に
講師等
当り、改めて個人情報の重要性を訴える。
配付資料/ 『カタログギフトガイドライン』講師は
テキスト本協会の渡辺事務局長、南川・情報化委員
等
長
特記事項
等
２実施期日
会場
対象者
参加者数
目的･趣旨
実施内容/
講師等
配付資料/
テキスト
等
特記事項
等
131
４) 社団法人
日本専門店協会
項目
冊子、パンフレッ１内容
ト等、啓発資料
作成数
２内容
作成数
情報の提供実績
１発出日
内容等
２発出日
内容等
研修会･セミナー１実施期日
等実施実績
会場
対象者
参加者数
目的･趣旨
実施内容/
講師等
配付資料/
テキスト
等
特記事項
等
２実施期日
会場
対象者
参加者数
目的･趣旨
実施内容/
講師等
配付資料/
テキスト
等
特記事項
等
内
容
特にありません
なし
2011 年 8 月 23 日（火）
協会会議室
個人情報担当者
8社
情報の交換
132
５) JECIA 個人情報保護協会
項目
冊子、パンフレッ１内容
ト等、啓発資料
作成数
２内容
作成数
情報の提供実績
１発出日
内容等
２発出日
内容等
研修会･セミナー１実施期日
等実施実績
会場
対象者
参加者数
目的･趣旨
実施内容/講師
等
配付資料/
テキスト等
特記事項等
２実施期日
会場
対象者
参加者数
目的･趣旨
内
容
随時：会員事業者の評価格付訪問時
主として、会員事業者の本社事務所・ホ
ール等
会員事業主、幹部社員、委託先経営者他
1 回につき 2 名～30 名程度（年間：50
社、200 名）
１.認定個人情報保護団体の業務内容の
解説
２.個人情報に関する事件・事故の実例を
基に、その対応策と予防措置、安全管
理対策
・同上・当協会の職員
訪問先会員事業者向けの
「個人情報保護安全管理対策」
参加者へ「研修修了書」交付
実施内容/講師
等
配付資料/
テキスト等
特記事項等
133
６) 社団法人
日本クレジット協会
項目
内容
冊子、パンフレッ１内容
個人情報保護指針、個人情報保護指針附属
ト等、啓発資料
規程集
作成数
各 1,000 部
２内容
作成数
情報の提供実績
１発出日
内容等
２発出日
内容等
研修会･セミナー１実施期日
平成 23 年 10 月～11 月
等実施実績
会場
札幌、東京、大阪、福岡
対象者
対象事業者の個人情報管理責任者等
441 名
参加者数
目的･趣旨個人情報管理責任者研修
個人情報保護法令および個人情報保護
指針に関する知識の習得
実施内容/ ①「割賦販売法の改正と個人信用情報保護
講師等
を巡る動向について」
経済産業省担当官
②「反社会的勢力等への個人情報に係る対
応における個人情報管理責任者の役割
について」
弁護士
③「クレジット業界における個人情報保護
への取組みについて」
事務局
④習熟度測定
配付資料/ ・「個人情報保護指針」、「指針の附属規
テキスト程集」
等
・講師作成講義用資料
・事務局説明資料
特記事項 ※ 習熟度測定を実施し、受験者に修了証
等
を発行。
２実施期日
平成 24 年 3 月（予定）
会場
札幌、東京、大阪、福岡
対象者
個人情報の取扱いに関する相談・苦情処理
業務担当者
参加者数
約 430 名（予定）
目的･趣旨個人情報に関する相談担当者研修
134
項
目
内容
個人情報の取扱いに関する相談・苦情処
理業務において必要となる知識の習得
実施内容/ ①「個人情報を巡る最近の動向と苦情・相
談への対応上の留意点について」
講師等
弁護士
②「認定個人情報保護団体の活動と個人情
報に関する苦情・相談への対応につい
て」
事務局
配付資料/ ・「個人情報保護指針」、「指針の附属規
テキスト程集」
・講師作成講義用資料
等
・事務局説明資料
特記事項 ※習熟度測定を実施し、受験者に修了証を
発行。
等
135
７) 社団法人
東京グラフィックサービス工業会
項目
内容
N
冊子、パンフレッ１内容
ト等、啓発資料
作成数
２内容
作成数
N
情報の提供実績
１発出日
内容等
２発出日
内容等
研修会･セミナー１実施期日
平成 23 年 10 月 11 日
等実施実績
会場
ニッケイビル
対象者
全会員
40 名
参加者数
目的･趣旨近年多発している個人情報漏洩事故、会員
内で発生したネット上の大量流失に伴う
苦情と対応、電子メール法違反と認識し、
警察が動いて状況、被害者らへの謝罪と弁
償を知らしめることによるリスクの紹介
と防止方法を提示する目的。
実施内容/ 実際に発生した２件の事故をつぶさに報
講師等
告、リスク管理と事故を防止するための安
全対策、プライバシーマークの有用性と
JIS Q15001 解説部分の変更の紹介
講師：斎藤成・社団法人東京グラフィック
サービス工業会専務理事、JIPDEC プライバシ
ーマーク主任審査員
配付資料/ 事故を起こした 2 社が公表した資料を基に
テキスト事故の背景、ネット上の安全対策、苦情対
等
応、警察への被害届け等をコピーして使
用。テキストとしては、当会が作成したパ
ンフレット 2 種類（個人情報保護ガイドブ
ック、個人情報漏洩などをなくすために）
特記事項実際に発生し、当事者が同業者であること
等
と、犯罪がからんでいたことで参加者の関
心は高かった。講師が事故対応に当たって
きたことから、現実的な教訓を伝えること
ができ、危機感を共有できた。
２実施期日
会場
対象者
136
項目
参加者数
目的･趣旨
実施内容/
講師等
配付資料/
テキスト
等
特記事項
等
８) 公益社団法人
冊子、パンフレッ１
ト等、啓発資料
２
情報の提供実績
１
２
研修会･セミナー１
等実施実績
２
内
容
日本消費生活アドバイザー・コンサルタント協会
項目
内容
内容
作成数
内容
作成数
2011 年 11 月 9 日（木）
発出日
内容等
企業の個人情報保護活動事例
発出日
内容等
2011 年 11 月 9 日（木）
実施期日
会場
中央大学駿河台記念館
対象者
対象事業者・nacs 賛助会員・懇話会員・一
般企業
17 名
参加者数
目的･趣旨事業者の個人情報保護活動の推進
実施内容/ 個人情報保護遵守の重要性と企業行動を
講師等
考える
CP デザインコンサルティング㈱鈴木靖氏
配付資料/ 講師講演レジュメ
テキスト Nacs 個人情報保護ハンドブック（08 年 2
等
月作成）
特記事項参加者による事故事例対応研究
等
実施期日
会場
対象者
参加者数
目的･趣旨
137
項目
実施内容/
講師等
配付資料/
テキスト
等
特記事項
等
内
容
９) 大阪毎日新聞販売店事業協同組合
項目
内容
冊子、パンフレッ１内容
ト等、啓発資料
作成数
２内容
作成数
情報の提供実績
１発出日
平成 23 年 7 月
内容等
経済産業省作成の個人情報パンフレット
２発出日
新規組合加入時に随時提供
内容等
パンフレットにて情報提供。個人情報漏え
い対応保険の加入促進に引き続き取組ん
でいる。
研修会･セミナー１実施期日
平成 23 年 2 月 10 日
等実施実績
会場
中央電気倶楽部
対象者
組合員
参加者数
約 100 名
目的･趣旨経営者を対象とした読者との個人情報関
係
実施内容/
講師等
配付資料/
テキスト
等
特記事項
等
２実施期日
会場
対象者
参加者数
目的･趣旨
実施内容/
138
項目
講師等
配付資料/
テキスト
等
特記事項
等
内
容
１０)
全国こころの会葬祭事業協同組合
項目
内容
冊子、パンフレッ１内容
ト等、啓発資料
作成数
２内容
作成数
情報の提供実績
１発出日
平成 23 年 6 月 4 日
(1) 「個人情報の保護に関する法律についての
内容等
経済分野を対象とするガイドライン
(2) 「個人情報の保護に関する法律についての
経済産業分野を対象とするガイドライン」等に関す
るＱ＆Ａ（平成22年4月1日）
２発出日
内容等
研修会･セミナー１実施期日
等実施実績
会場
対象者
参加者数
目的･趣旨
実施内容/
講師等
平成 23 年 8 月 22 日
中小企業に必須な情報セキュリティ対策
平成 23 年 10 月 21 日（金）
L2 会議室会議室
オフィス東京
会員代表者及び個人情報管理責任者
38 名
個人情報保護体制のさらなる強化と意識向上を
図るとともにコンプライアンスを実践できる内部体
制を確立し、消費者から信頼される企業体の構築
を目的に代表者及び個人情報責任者を対象に実
施した。
講師：小杉史郎
（株式会社横浜ＩＴサポート代表取締役）
実施内容：
１．コンプライアンスと個人情報保護
２．個人情報の安全管理（情報セキュリティ）
３．中小企業に必須な情報セキュリティ対策
４．組織に最低限必要な情報セキュリティ対策と
自社の情報セキュリティレベルを診断
５．個人情報管理者のスキルアップと組織のレベ
ルアップ
139
項
目
内
容
６．定期的な自己チェック・監査
配付資料/ テキスト
テキスト（１）個人情報保護と情報セキュリティ
（２） 5 分でできる自社診断シート
等
特記事項加盟各社の担当者が個人情報保護士の資格を
取得するための第一歩と考えている。
等
２実施期日
会場
対象者
参加者数
目的･趣旨
実施内容/
講師等
配付資料/
テキスト
等
特記事項
等
140
１１)
特定非営利活動法人日本個人・医療情報管理協会
項目
内容
冊子、パンフレッ１内容
個人報保護に関する世界の歴史及び日本国
ト等、啓発資料
内の法整備、ガイドライン等の細かい解説
資料
20 冊
作成数
２内容
経済産業省発行個人情報パンフレット」
200 冊
作成数
情報の提供実績
１発出日
月に 1 度
内容等
個人情報漏えい事件の事例解説
2010 年 1,2,3,4,6,8,11 月（32 部）
２発出日
内容等
「個人情報の保護に関する法律についての
経済産業分野を対象とするガイドライン」
の新旧対照表を、手渡し。
研修会･セミナー１実施期日 1 月 29 日 ( 土 ) ～30 日 ( 日 )
2 月 12 日 ( 土 ) ～13 日 ( 日 )
等実施実績
3 月 19 日 ( 土 ) ～20 日 ( 日 )
4 月 23 日 ( 土 ) ～24 日 ( 日 )
6 月 25 日 ( 土 ) ～26 日 ( 日 )
8 月 13 日 ( 土 ) ～14 日 ( 日 )
11 月 5 日 ( 土 ) ～6 日 ( 日 )
会場
岡山県、東京都セミナー会場
対象者
個人情報保護に係る第三者認証の審査員と
なる希望者
参加者数 32 名
目的･趣旨個人情報保護に精通した人員を養成するこ
とを目的とした研修会
実施内容/ 個人情報保護法、経済産業省ガイドライン
講師等
にについて／当協会理事
配付資料/ パワーポイント資料
テキスト
等
特記事項
等
２実施期日 4 月 27 日（水）
会場
シスコシステムズ東京本社
対象者
シスコシステムズパートナー企業
参加者数 45 社
目的･趣旨 IT 企業における個人情報保護の重要性及
び注意点について研修
実施内容/ 個人情報保護の重要性に関するセミナー講
141
項目
内
講師等
義／当協会理事
配付資料/ パワーポイント資料
テキスト
等
特記事項
等
容
１２)
一般財団法人日本情報経済社会推進協会
項目
内容
冊子、パンフレッ１内容
ト等、啓発資料
作成数
２内容
作成数
情報の提供実績
１発出日
＜Web サイトでの情報提供＞
内容等
「相談事例」や「個人情報の取扱いに関す
る事故を発生させないためのヒント」等の
情報を継続的に発信している。
２発出日
内容等
研修会･セミナー１実施期日平成 23 年 6 月～8 月
等実施実績
会場
全国 3 都市 5 会場（東京・大阪・福岡）
対象者
認定個人情報保護団体対象事業者：7,810
社
（H23 年 5 月末時点）
参加者数認定個人情報保護団体対象事業者：1,401
名
（1,114 社）
「平成 23 年度
配付資料/
研修会」資料
テキスト
等
特記事項
等
２実施期日平成 23 年 3 月
※「消費者相談担当者向け研修会」
会場
対象者
全国 2 都市 2 会場（東京・大阪）
認定個人情報保護団体対象事業者：7,646
社
142
項
目
参加者数
内
容
（ H23
年 1 月末時点）
認定個人情報保護団体対象事業者：339 名
配付資料/ 「平成 22 年度
テキスト修会」資料
等
特記事項
等
消費者相談担当者向け研
１３)
特定非営利活動法人日本手技療法協会
項目
内
冊子、パンフレッ１内容
なし
ト等、啓発資料
作成数
２内容
作成数
情報の提供実績
１発出日
適宜
内容等
２発出日
内容等
研修会･セミナー１実施期日
別紙
等実施実績
会場
対象者
参加者数
目的･趣旨
実施内容/
講師等
配付資料/
テキスト
等
特記事項
等
２実施期日
会場
対象者
参加者数
目的･趣旨
実施内容/
講師等
143
容
項目
配付資料/
テキスト
等
特記事項
等
内
144
容
（参考）23 年度個人情報保護に関するセミナー実施報告書
23 年度個人情報保護に関するセミナー実施報告書
特定非営利活動法人日本手技療法協会
理事長佐藤吉隆
目的
個人情報保護の基礎知識治療院の個人情報
主催
ＮＰＯ法人日本手技療法協会
共催
なし
協賛
なし
日時
平成 23 年 4 月 23 日（土）
平成 23 年 5 月 14 日（土）
平成 23 年 5 月 22 日（日）
平成 23 年 6 月 18 日（土）
平成 23 年 7 月 23 日（土）
平成 23 年 8 月 20 日（土）
平成 23 年 9 月 17 日（土）
平成 23 年 10 月 22 日（土）
平成 23 年 11 月 19 日（土）
17：00～18：00
17：00～18：00
平成 23 年 12 月 7 日（土）
17：00～18：00
14：00～15：30
17：00～18：00
17：00～18：00 参
17：00～18：00 加
17：00～18：00 者
17：00～18：00
17：00～18：00
0名
1名
10 名
0名
1名
1名
0名
0名
2名
0名
合計 15 名
費用
￥0
会場
ＢＢＡボディバランスアカデミー教室（東京）
東京都千代田区淡路町 1-1-1 3Ｆ
145
内容
個人情報の基礎知識
治療院の個人情報
講師 NPO 法人日本手技療法協会個人情報保護推進センター
武井俊憲
第1部
個人情報保護の基礎知識
・個人情報とは何か
・個人情報流出を起こさないために
・個人情報保護対策のポイント
第2部
・個人情報保護に取り組むべき理由
・個人情報保護法の基礎知識
・認定個人情報保護団体の活動
・治療院の個人情報保護対策
146
１４)
長野県個人情報保護協会
項目
内容
冊子、パンフレッ１内容
ト等、啓発資料
作成数
２内容
作成数
情報の提供実績
１発出日
内容等
２発出日
内容等
研修会･セミナー１実施期日
平成 23 年 3 月 25 日
等実施実績
会場
ミップス長野パソコンスクール
対象者
職業訓練者及び就職希望者
24 人
参加者数
目的･趣旨個人情報保護を実施する企業選びと重要
性を伝える
実施内容/ 個人情報保護を実施する企業の印（P マー
講師等
ク等の HP 掲載をチェックする）講師/小林
尚貴
配付資料/
テキスト
等
特記事項
等
２実施期日
平成 23 年 7 月 30 日
会場
オフィスリンク
対象者
協会員＋非会員
32 人
参加者数
目的･趣旨個人情報保護に対する重要性を伝える
実施内容/ 個人情報保護体制構築についての企業対
講師等
応について
講師/宮原資芳
配付資料/
テキスト
等
特記事項
等
147
１５)
一般社団法人結婚相談業サポート協会
項目
内容
冊子、パンフレッ１内容
ト等、啓発資料
作成数
２内容
作成数
2011/5/31
2011/8/1
情報の提供実績
１発出日
(MCSA マガジン)相談所へ寄せられる相談
内容等
について
2011/10/7
2011/12/12
２発出日
(MCSA マガジン)表記方法、個人情報保護
内容等
について
研修会･セミナー１実施期日 2011/7/19
等実施実績
BIZ 新宿
会場
対象者
協会員
参加者数 10 名
目的･趣旨個人情報保護について、苦情相談について
実施内容/ 入会面談・契約の進め方について
講師等
結婚相手紹介サービス協会事務局
配付資料/ 苦情・クレームを生まない入会面談の進め
テキスト方について
等
特記事項
等
２実施期日 2011/8/25
会場
大阪駅前第２ビル
対象者
協会員
参加者数 13 名
目的･趣旨個人情報保護について、苦情相談について
実施内容/ 個人情報保護の講習
講師等
三木秀夫弁護士
配付資料/ 結婚相談業における個人情報保護について
テキスト
等
特記事項
等
148
１６)
結婚相手紹介サービス協会
項目
内容
冊子、パンフレッ１内容
ご存知ですか？結婚相手紹介サービス協会
ト等、啓発資料
3 万部
作成数
２内容
作成数
情報の提供実績
１発出日
内容等
２発出日
内容等
研修会･セミナー１実施期日平成 23 年 1 月 25 日
等実施実績
会場
結婚相手紹介サービス協会会議室
対象者
加盟代表者、委員、職員他
参加者数 7 名
目的･趣個人情報保護、自主規制基準等の遵守徹底
旨
について
実施内容/ 業界の信用性・認知度を高めるためにも、
講師等
内部から信用を失墜させることのないよ
う、自主規制基準の遵守徹底をし、事案発
生時は迅速解決へ運ぶべく、改めてガイド
ライン策定も視野に入れる、等要請と意見
交換。
配付資料/
テキスト
等
特記事項
等
２実施期日平成 23 年 6 月 7 日
会場
財）麻布研修センター会議室
対象者
役員、委員他
参加者数 8 名
目的･趣 METI 連絡会内容報告、内部監査報告と遵
旨
守内容周知
実施内容/ 認定個人情報保護団体連絡会配布資料を参
講師等
考にした、事故報告の傾向からみられる取
扱事業者としての注意点問題点を中心に、
遵守意識を喚起。
当講習内容について、各事業者内での情報
共有と周知徹底を図るよう要請
配付資料/ METI 認定個人情報保護団体連絡会配布資
テキスト料他、内部監査報告書、
149
項目
等
特記事項
等
研修会･セミナー３実施期日
等実施実績
会場
対象者
参加者数
目的･趣
旨
実施内容/
講師等
内
容
3 月開催予定が震災のため延期となり 23 年
度開催
平成 23 年 9 月 27 日
財）麻布研修センター
加盟代表者、委員他
8名
内閣府報告書内容の情報提供と周知徹底
公表された報告書によれば、METI 関連の
「漏洩」は、事業者・従業員の「不注意」
によるものが６割以上との数値あり、個人
情報の保護管理運用は適切かつ慎重に行う
よう、特に人的安全管理につき強く要請し
た。
配付資料/ 内閣府消費者委員会「個人情報保護専門調
テキスト査会報告書」他
等
特記事項
等
研修会･セミナー４実施期日平成 23 年 12 月 6 日
等実施実績
会場
財）麻布研修センター
対象者
加盟代表者、委員他
8名
参加者数
目的･趣情報セキュリティ対応の強化、自主規制基
旨
準の遵守
実施内容/ 情報セキュリティ事案と対策について情報
講師等
提供、自主規制基準と、社会事案、動向を
踏まえた情報交換
配付資料/ METI 情報セキュリティ対策強化説明会
テキスト資料・IPA
等
参考資料
特記事項
等
150
１７)
株式会社 IBJ（日本結婚相談所連盟）
項目
内容
冊子、パンフレッ１内容
セミナー用資料、チェックテスト、市販の
ト等、啓発資料
啓蒙 DVD
作成数
セミナー出席人数分（DVD は閲覧のみ）
２内容
名刺ｻｲｽﾞの啓蒙ｶｰﾄﾞ、
作成数
約 1,000 枚
情報の提供実績
１発出日
下記研修会の各実施日
内容等
２発出日
内容等
2011 年 5 月、7 月、9 月
研修会･セミナー１実施期日
等実施実績
会場
東京：株式会社グロービス会議室
対象者
定例研修会参加者（加盟相談所）
参加者数
各回 30～50 名
目的･趣旨加盟相談所への啓蒙、業務改善のアドバイ
ス
実施内容/ 日常業務に潜むリスク、具体的事例、個人
講師等
情報のライフサイクル、チェックテスト
配付資料/ 個人情報保護指針テキスト
テキストおよび別添資料
等
特記事項
等
2011 年 3 月、5 月、9 月
２実施期日
会場
大阪：大阪駅前第三ビル 33F 貸し会議室
対象者
定例研修会参加者（加盟相談所）
参加者数
各回 60～80 名
目的･趣旨加盟相談所への啓蒙、業務改善のアドバイ
ス
実施内容/ 日常業務に潜むリスク、具体的事例、個人
講師等
情報のライフサイクル、チェックテスト
配付資料/ 個人情報保護指針テキスト
テキストおよび別添資料
等
特記事項
等
2011 年 7 月
３実施期日
会場
名古屋：TKP 名古屋（名駅前会議室）
対象者
定例研修会参加者（加盟相談所）
151
項目
参加者数
目的･趣旨
内
容
各回 30～40 名
加盟相談所への啓蒙、業務改善のアドバイ
ス
実施内容/ 日常業務に潜むリスク、具体的事例、個人
情報のライフサイクル、チェックテスト
講師等
配付資料/ 個人情報保護指針テキスト
テキストおよび別添資料
等
特記事項
等
１８)
ナノライセンス結婚専科システム協議会
項目
内容
冊子、パンフレッ１内容
経済産業省「事業者の皆さん」パンフレッ
ト等、啓発資料
トと解説
50 部
作成数
SOCIO マニュアル「プライバシーポリシ
２内容
ー」
20 部
作成数
2011 年 8 月 2 日・3 日
情報の提供実績
１発出日
内容等
内部事故０の為、予想されるケーススタデ
ィ
2012 年 2 月 2 日・3 日
２発出日
内容等
内部事故０の為、予想されるケーススタデ
ィ
2011 年 8 月 2 日・3 日
研修会･セミナー１実施期日
等実施実績
会場
京都私学会館
ナノライセンス結婚専科システム協議会々員
対象者
社従業員
参加者数
目的･趣旨
実施内容/
講師等
30 人
特に初心者に重点を置き、同法の知識習
得・ケーススタディ
厚生労働省・経済産業省告示第２号解説
NLB 協議会理事長鈴木雅夫・弁護士加古尊温
氏
配付資料/ 経済産業省「事業者の皆さん」パンフレッ
テキストト
等
経済産業省ガイドライン
特記事項
等
152
項目
２実施期日
会場
対象者
参加者数
目的･趣旨
実施内容/
講師等
内
2011 年 11 月 15 日
丸の内ホテル
容
ナノライセンス結婚専科システム協議会関東
会員社従業員
10 人
顧客の心理にキメ細かく対応と、従業員の
漏洩防止
ケーススタディ研修により理解を深める
ナノライセンス結婚専科システム協議会理事
長鈴木雅夫
配付資料/ 経済産業省「事業者の皆さん」パンフレッ
テキストト
SOCIO マニュアル「プライバシーポリシ
等
ー」
特記事項
等
153
１９)
一般社団法人日本個人情報管理協会
項目
内容
冊子、パンフレッ１内容
当協会の案内、個人情報保護のメリット、
ト等、啓発資料
3,000 部
作成数
２内容
同上
3,000 部
作成数
2012.12.20
情報の提供実績
１発出日
内容等
活動内容（苦情や事故の事例等の報告）
２発出日
内容等
研修会･セミナー１実施期日 2012.2.10
等実施実績
会場
社会文化会館
対象者
社内情報セキュリティ担当者
参加者数 22 名
目的･趣旨社内における個人情報保護管理者の育成
実施内容/ 個人情報保護法と JIS15001、社内での構
講師等
築・運用方法
配付資料/ 個人情報保護法の理解、マネジメントシス
テキストテム構築と運用、マネジメントシステムの
等
点検・見直し、他
講師：須賀弘、坪井晋一
特記事項
等
２
特記事項
等
154
② 苦情処理の集計結果等
１) 指針第３条第１項第１号に規定する苦情処理の集計結果
(ア) 苦情処理件数（受付、解決、未済の状況等）
・各認定個人情報保護団体からの苦情処理の集計結果を取りまとめると以
下の通りである。
・平成 23 年 1 月から 12 月末までの間において苦情受付実績があるのは、
認定個人情報保護団体 19 団体のうち 12 団体であり、残りの 7 団体は 0
件である。そのうち 6 団体は、相談・問合せ等を含めて 0 件である。
・平成 23 年 1 月から 12 月末までの間における 19 団体（事実上 12 団体）
の苦情受付件数の合計は 338 件である。そのうち 335 件は平成 23 年 12
月末時点において既に解決されている。
・また、相談・問合せ等件数の合計は 2,511 件であり、苦情受付件数と合
わせると合計 2,849 件である。
図表 8
苦情処理件数（受付、解決、未済の状況等）
苦情処理件数（平成23年12月末時点）
(単位：件)
苦情受付
件数
解決件数
財団法人　日本データ通信協会
169
一般社団法人　日本自動車販売協会連合会
0
社団法人　全日本ギフト用品協会
1
社団法人　日本専門店協会
1
JECIA個人情報保護協会
0
社団法人　日本クレジット協会
7
社団法人　東京グラフィックサービス工業会
2
公益社団法人　日本消費生活アドバイザー・コンサルタント協会
0
大阪毎日新聞販売店事業協同組合
0
全国こころの会葬祭事業協同組合
0
特定非営利活動法人日本個人・医療情報管理協会
6
一般財団法人　日本情報経済社会推進協会
102
特定非営利活動法人日本手技療法協会
0
長野県個人情報保護協会
2
一般社団法人結婚相談業サポート協会
3
結婚相手紹介サービス協会
2
株式会社IBJ (日本結婚相談所連盟)
40
ナノライセンス結婚専科システム協議会
0
一般社団法人　日本個人情報管理協会
3
合計
338
〔設問〕
○苦情受付件数：平成23年1月～12月までの受付件数
○解決件数：苦情受付件数のうち解決済みの件数
○未済件数：苦情受付件数のうち未済の件数（連絡不可・打切り含む)
○前年度未済件数：平成22年における未済の件数
○平成23年12月末時点未解決分：前年未済件数のうち同時点で未解決分の件数
○未済総件数：平成23年12月末時点の未済件数
苦情/相談・
相談・問合せ
問合せ等総
等件数
件数
未済件数
169
0
1
1
0
7
2
0
0
0
6
101
0
2
3
1
40
0
2
335
155
0
0
0
0
0
0
0
0
0
0
0
1
0
0
0
1
0
0
1
3
195
0
1
2
0
424
10
0
1
0
43
1,824
0
2
9
0
0
0
0
2,511
364
0
2
3
0
431
12
0
1
0
49
1,926
0
4
12
2
40
0
3
2,849
平成23年
12月末時点
未解決分
前年度
未済件数
3
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
3
未済総件数
0
0
0
0
0
0
0
0
0
0
0
1
0
0
0
0
0
0
0
1
0
0
0
0
0
0
0
0
0
0
0
2
0
0
0
1
0
0
1
4
(イ) 受付経路別の苦情受付件数
・平成 23 年 1 月から 12 月末における苦情受付件数について、受付経路別
の件数の内訳は下表の通りである。
・E メール等インターネット利用も少なくないが、ほとんどは、「その他」
(電話)に分類されている。
図表 9
受付経路別の苦情受付件数
本年度受付受付ツール別内訳(平成23年12月末時点)
受付ツール別件数
(単位：件)
苦情受付
件数
来訪
郵便
FAX
Eメール等
インター
ネット利用
364
0
1
0
(169)
一般社団法人　日本自動車販売協会連合会
0
0
0
0
社団法人　全日本ギフト用品協会
1
0
0
0
社団法人　日本専門店協会
1
0
0
1
JECIA個人情報保護協会
0
0
0
0
7
0
0
0
社団法人　日本クレジット協会
社団法人　東京グラフィックサービス工業会
2
0
0
0
公益社団法人　日本消費生活アドバイザー・コンサルタント協会
0
0
0
0
大阪毎日新聞販売店事業協同組合
0
0
0
0
全国こころの会葬祭事業協同組合
0
0
0
0
特定非営利活動法人日本個人・医療情報管理協会
6
0
0
0
一般財団法人　日本情報経済社会推進協会
102
0
0
0
特定非営利活動法人日本手技療法協会
0
0
0
0
長野県個人情報保護協会
2
0
0
0
一般社団法人結婚相談業サポート協会
3
0
0
0
結婚相手紹介サービス協会
2
0
0
0
株式会社IBJ (日本結婚相談所連盟)
40
0
0
0
ナノライセンス結婚専科システム協議会
0
0
0
0
一般社団法人　日本個人情報管理協会
3
0
0
0
合計( 参考値)
169
0
0
1
(財)日本データ通信協会を含む合計
533
0
1
1
※財団法人日本データ通信協会については苦情処理、相談・問合せ総件数364件の内訳。
※社団法人東京グラフィックサービス工業会について、Eメールインターネットを利用した当該事業者への苦情は8,000件を超える。
※合計欄に示しているのは(財)日本データ通信協会の件数を除外した合計値。
財団法人　日本データ通信協会
156
その他
（電話）
69
294
0
0
0
0
0
0
0
0
0
0
0
0
0
0
1
37
0
0
38
107
0
1
0
0
7
2
0
0
0
6
102
0
2
3
1
3
0
3
130
424
(ウ) 受付経路別の苦情受付件数
・平成 23 年 1 月から 12 月末における苦情受付件数について、苦情内容別
（関係条項別）の件数（複数項目にまたがる事案は該当項目全てにカウ
ント）は下表の通りである。
・苦情受付のべ件数合計 338 件のうち最も多いのは「その他」
（176 件）で
ある。このほか、
「安全管理措置（法第 20 条～第 22 条）関係」
（59 件）、
「保有個人データに関する事項の公表等（法第 24～第 27 条）関係」
（58
件）、
「第三者提供の制限（法第 23 条）関係」
（35 件）、
「データ内容の正
確性の確保（法第 19 条）関係」（31 件）が多い。
図表 10
苦情内容別（関係条項別）の苦情受付件数
本年度受付苦情内容別内訳(平成23年12月末時点)
苦情内容別件数
(単位：件)
苦情受付
件数
取得に際して
苦情内容別利用目的の利用目的に適正な取得
の利用目的
(関係条項別) 特定(法第15 よる制限(法 (法第17条)関
の通知等(法
延べ総件数条)関係
第16条)関係係
第18条)関係
財団法人　日本データ通信協会
169
一般社団法人　日本自動車販売協会連合会
0
社団法人　全日本ギフト用品協会
1
社団法人　日本専門店協会
1
JECIA個人情報保護協会
0
社団法人　日本クレジット協会
7
社団法人　東京グラフィックサービス工業会
2
公益社団法人　日本消費生活アドバイザー・コンサルタント協会
0
大阪毎日新聞販売店事業協同組合
0
全国こころの会葬祭事業協同組合
0
特定非営利活動法人日本個人・医療情報管理協会
6
一般財団法人　日本情報経済社会推進協会
102
特定非営利活動法人日本手技療法協会
0
長野県個人情報保護協会
2
一般社団法人結婚相談業サポート協会
3
結婚相手紹介サービス協会
2
株式会社IBJ (日本結婚相談所連盟)
40
ナノライセンス結婚専科システム協議会
0
一般社団法人　日本個人情報管理協会
3
合計
338
※苦情内容(関係条項)について複数項目にまたがる苦情事案は該当項目全てにカウント
※苦情内容別(関係条項別)延べ総件数はこれを積算した合計
※斜線部分は無回答
データ内容
安全管理措第三者提供
の正確性の
置(法第20条の制限(法23
確保(法第19
～22条)関係条)関係
条)関係
保有個人
データに関
する事項の
その他
公表等(法第
24条～第27
条)関係
169
0
0
0
4
0
2
0
1
0
3
0
10
0
23
0
34
0
92
0
1
0
15
3
0
0
0
6
137
0
2
15
2
40
0
3
393
0
0
1
0
0
0
0
0
1
0
0
0
0
3
0
0
5
0
0
1
1
0
0
0
0
6
0
0
0
0
0
0
1
13
0
0
0
1
0
0
0
0
8
0
1
1
0
0
0
1
14
0
0
1
0
0
0
0
0
0
0
0
0
0
0
0
0
2
0
0
0
0
0
0
0
0
0
0
0
0
0
28
0
0
31
1
0
3
1
0
0
0
0
36
0
0
0
1
7
0
0
59
0
0
1
0
0
0
0
0
6
0
1
2
0
2
0
0
35
0
0
7
0
0
0
0
0
16
0
0
0
0
0
0
1
58
0
0
1
0
0
0
0
6
64
0
0
12
1
0
0
0
176
157
(エ) 苦情解決方法
・平成 23 年 12 月末時点で解決済みの件数（平成 23 年 1 月から 12 月末受
付分）について、解決方法別の内訳は下表の通りである。
・団体により解決方法の傾向は異なる。
図表 11
苦情解決方法
苦情解決方法(平成23年12月末時点)
解決方法別件数
(単位：件)
団体自身の
調査により
解決
解決件数
財団法人　日本データ通信協会
一般社団法人　日本自動車販売協会連合会
社団法人　全日本ギフト用品協会
社団法人　日本専門店協会
JECIA個人情報保護協会
社団法人　日本クレジット協会
社団法人　東京グラフィックサービス工業会
公益社団法人　日本消費生活アドバイザー・コンサルタント協会
大阪毎日新聞販売店事業協同組合
全国こころの会葬祭事業協同組合
特定非営利活動法人日本個人・医療情報管理協会
一般財団法人　日本情報経済社会推進協会
特定非営利活動法人日本手技療法協会
長野県個人情報保護協会
一般社団法人結婚相談業サポート協会
結婚相手紹介サービス協会
株式会社IBJ (日本結婚相談所連盟)
ナノライセンス結婚専科システム協議会
一般社団法人　日本個人情報管理協会
合計
169
0
1
1
0
7
2
0
0
0
6
101
0
2
3
1
40
0
2
335
158
0
0
1
1
0
0
0
0
0
0
0
43
0
1
1
0
18
0
1
66
指導・助言：
その他
(例)自主交渉
情報提供
のアドバイス
他機関を
紹介
0
0
0
0
0
0
1
0
0
0
0
0
0
0
0
1
0
0
0
2
0
0
0
1
0
7
2
0
0
0
0
35
0
1
2
1
22
0
2
73
その他
0
0
0
0
0
0
0
0
0
0
0
22
0
0
0
0
0
0
0
22
169
0
0
0
0
0
0
0
0
0
6
1
0
0
0
0
0
0
0
176
２) 苦情処理業務において他の団体の参考になる取組、事案、及び情報共有
したい事項等
・苦情処理業務において他の団体の参考になる取組、事案、及び情報共有
したい事項等について、各認定個人情報保護団体からの報告は下表の通
りである。
図表 12
苦情処理業務において他の団体の参考になる取り組み、事案、及び情報共有した
い事項等
他の団体と情報共有したい事項
財団法人　日本データ通信協会
一般社団法人　日本自動車販売協会連合会
社団法人　全日本ギフト用品協会
他の団体と情報共有したい事項
―
―
広島のＡさん(女性)から電話相談(8月8日)が入りました。極めて珍しい相内容です。
相談の大要は下記の通りです。
広島在住のＡ子さんは7月1日、家(広島市)からある店舗のWebサイトで静岡の知人Ｙ子さんに中元を贈った。注文書
の記入欄である送り人欄には「店舗名」、住所欄には「Ａ子より」と記した。
これまでもこのような方式で店舗から贈り物をしていた。今回も同じ方式での注文書をメールで送信した。その後、店
舗からは「了解」の返信が入った。
だが、8月上旬、中元を戴いたＹ子さんから「ありがとう、お返しに広島に贈るね」との電話が入った。
Ａ子は不思議に思った。Ａ子は「どうして私の住所が判ったの」と聞いた、Y子は応えた。「送り状に住所氏名が書いて
あったわ。どうして今回は住所を記してきたのかしら、と思ったわ」、と返事。
このことにより、
店舗が約束事を破って「私の住所を記入したことが判った」。早速、店に確認したところ「注文を受け承った者が約束
事を失念してしまいました。誠に申し訳ありませんでした」と謝罪の電話がＡ子さんに入った。「謝りに東京(店舗)から
広島(Ａ子さん宅)まで来る」と言ったが私は断った。
「謝れても私の住所が判明した事実に変わりはないのだから。正式に抗議文を店に出すつもりでいるが、個人情報
やギフト流通において法的な問題はないのですか？」
―
―
個人情報保護法43条2項に規定されている「個人情報保護指針を遵守させるため必要な指導、勧告その他の措置」
社団法人　日本クレジット協会
についての解釈と具体的に何かを行っているのかを教えていただきたい。
社団法人　東京グラフィックサービス工業会
―
公益社団法人　日本消費生活アドバイザー・コンサルタント協会 ―
大阪毎日新聞販売店事業協同組合
―
全国こころの会葬祭事業協同組合
各団体におけるクレーム内容とその対応事例。
特定非営利活動法人日本個人・医療情報管理協会
―
一般財団法人　日本情報経済社会推進協会
―
特定非営利活動法人日本手技療法協会
―
長野県個人情報保護協会
―
一般社団法人結婚相談業サポート協会
―
結婚相手紹介サービス協会
―
・事業者のｻｰﾋﾞｽに対する不満を、個人情報問題にすりかえられたクレームが散見されること。
・心の病と思われる方からの苦情が解決しにくく苦しむ。
・認定個人情報保護団体への理解不足から「認定個人情報保護団体として、当該事業者を罰せよ」「お前ら（弊社の
株式会社IBJ (日本結婚相談所連盟)
こと）が謝れ」等のクレームが引き続きあること。
⇒上記の解決で事例があればお聞かせいただきたい。
社団法人　日本専門店協会
JECIA個人情報保護協会
ナノライセンス結婚専科システム協議会
一般社団法人　日本個人情報管理協会
お蔭様で、当団体は、苦情発生０です。しかし、事故発生の、ケーススタディを、沢山、情報として、頂戴し、未然に発
生を防止したい。
個人情報漏えい事例。
159
③ 認定個人情報保護団体の対象事業者であることの公表状況
・認定個人情報保護団体の対象事業者数、対象事業者における自社ホームペ
ージの有無、自社ホームページにおける対象事業者であることの公表状況
について、各団体からの報告を取りまとめると下表の通りである。
・経済産業大臣が認定した認定個人情報保護団体の対象事業者の総数は、平
成 24 年 1 月 1 日現在、13,881 社である。そのうち 11,196 社が自社ホーム
ページを有している。
図表 13
認定個人情報保護団体の対象事業者であることの公表状況等
認定個人情報保護団体の対象事業者であることの公表状況(平成24年1月1日現在)
(単位：件)
対象事業者
数
自社ホーム
ページあり
対象事業者対象事業者
自社ホーム
であることをであることを
ページなし
非公表
公表
財団法人　日本データ通信協会
138
138
0
134
4
一般社団法人　日本自動車販売協会連合会
1,537
1,537
1,400
140
0
社団法人　全日本ギフト用品協会
70
70
0
70
0
社団法人　日本専門店協会
209
180
29
JECIA個人情報保護協会
140
136
46
90
4
社団法人　日本クレジット協会
911
300
社団法人　東京グラフィックサービス工業会
356
246
80
270
110
公益社団法人　日本消費生活アドバイザー・コンサルタント協会
6
6
0
6
0
大阪毎日新聞販売店事業協同組合
489
75
0
75
414
全国こころの会葬祭事業協同組合
18
14
10
4
4
特定非営利活動法人日本個人・医療情報管理協会
121
71
62
9
50
一般財団法人　日本情報経済社会推進協会
8,151
7,784
多数
不明
367
特定非営利活動法人日本手技療法協会
519
180
0
519
340
長野県個人情報保護協会
8
5
5
3
3
一般社団法人結婚相談業サポート協会
357
218
125
93
139
結婚相手紹介サービス協会
6
6
6
0
0
株式会社IBJ (日本結婚相談所連盟)
803
500
200
600
300
ナノライセンス結婚専科システム協議会
11
5
5
6
6
一般社団法人　日本個人情報管理協会
31
25
10
15
6
合計( 参考値)
13,881
11,196
1,949
2,334
1,776
〔設問〕
○自社ホームページあり：自社ホームページを開設している事業者数
○対象事業者であることを公表：自社ホームページにおいて当団体(センター等)の対象事業者であることを公表している事業者数
○対象事業者であることを非公表：自社ホームページにおいて当団体(センター等)の対象事業者であることを公表していない事業者数
○自社ホームページなし：自社ホームページを開設していない事業者数
※一般社団法人日本自動車販売協会連合会の公表・非公表件数は、約数。
※社団法人日本クレジット協会の公表事業者数は、平成23年11月実施の一部会員（対象社数：350社）への調査結果による。
※社団法人日本クレジット協会の斜線部分は、データを保有していない。
※社団法人東京グラフィックサービス工業会の公表・非公表件数は、約数。
※一般財団法人日本情報経済社会推進協会の数値は、平成24年2月14日時点。
※一般財団法人日本情報経済社会推進協会の公表・非公表件数は、対象事業者が多く全件調査が困難である。
※日本手技療法協会のホームページ開設・非開設数は、約数。
※株式会社IBJ(日本結婚相談所連盟)のホームページ開設・非開設社数および公表・非公表件数は、約数。
※斜線部分は無回答
160
④ 認定個人情報保護団体を運営する上での弊害、課題等
１) 活動内容に関する課題等
・各認定個人情報保護団体からの「苦情処理業務に関する課題」及び「団体
運営、構成事業者への情報提供業務に関する課題」についての報告を取り
まとめる下表の通りである。
・苦情処理業務に関する課題として挙げられているのは、
「担当者の資質向上
による信頼性向上」や、
「個人情報の問題と別の問題の切り分けの判断」や、
「問い合わせと苦情・相談の見極め」や、
「対応コストの削減」などである。
・情報提供業務に関する課題として挙げられているのは、
「情報提供に対する
質・量、方法の充実の必要性」や、
「対象事業者の関心を喚起できる、新た
な情報提供の必要性」や、
「個人情報保護団体の関心や認知度の向上」など
である。
図表 14
認定個人情報保護団体の活動内容に関する課題等
団体運営、構成事業者への
情報提供業務に関する課題
苦情処理業務に関する課題
財団法人　日本データ通信協会
内容
① 担当者の資質の向上に ―
よる相談者及び対象事業者
からの信頼性の確保。
意見等
社団法人　日本専門店協会
―
今年度(H23.4～24.3)の事業
者からの漏えい報告件数
は、前年度に比べると減少
しているが、昨年に引き続
き、平成21年度以前より多
い傾向にある。
―
―
―
―
―
―
―
―
―
―
葬祭業界の事件・事故の具 ―
体的実例の簡便な収集方
法。
他の問題と個人情報の問題
が複合している場合も多く、
処理範囲や対応の判断が
難しいこともある。
個人情報の苦情相談に関
するマニュアルやＱ＆Ａ等
を作成して、ホームページ
で公表してもらえるとありが
たい。
当該会員と被害者の関係ま
た経済産業省及び警察との
関係があり、顧問弁護士、
情報セキュリティ会社等、関
連機関との調整も課題であ
る。
ただ、当該事業者がプライ
バシーマーク許諾事業者で
あったために、苦情、緊急
時対応にルールがあったこ
とは幸いであった。
構成事業者の業種、業態が
多岐にわたるため、情報提
供が広く、浅くになりやす
い。
経済産業分野ガイドライン
等において、認定団体の役
割（特に会員への啓発等）を
より明確にしていただきた
い。
構成事業者にとって有効な自社サーバ以外で情報管
情報提供は事故事例の共理する時代となり、また震災
有化、Webをはじめ安全管等でデータ保管の重要性が
理に関する情報。とりわけ認識されていることから、個
人情報の安全な取扱いへ
今後、クラウドコンピュー
ティング、スマートフォン等、指針を示す時期でもある。
新しいシステムへの対応が
課題となる。
―
―
対象事業者への情報提供
が少ない。
―
―
―
―
―
―
JECIA個人情報保護協会
社団法人　日本クレジット協会
社団法人　東京グラフィックサービス工業会
昨年の事案は個人情報の
流失が犯罪に絡みマスコミ
報道がされる事件であった
だけに認定個人情報保護団
体並びにプライバシーマー
ク審査機関としての対応は
重い責任を感じた。
公益社団法人　日本消費生活アドバイザー・コンサルタント協会
大阪毎日新聞販売店事業協同組合
意見等
―
一般社団法人　日本自動車販売協会連合会
社団法人　全日本ギフト用品協会
内容
① ホームページ及び会員 ―
ページの充実
② 個人情報保護に関する
情報提供内容の充実による
対象事業者の加入メリット
の訴求。
全国こころの会葬祭事業協同組合
161
書類の紛失や、FAX番号を
誤り、書類を誤送信するな
ど、法施行から7年目を迎
え、事業者に気の緩みや慣
れがあるのかもしれない。
参考となる事故事例や解決
事例があまり見当たらな
い。
―
―
団体運営、構成事業者への
情報提供業務に関する課題
苦情処理業務に関する課題
内容
意見等
―
―
―
―
―
―
内容
意見等
「個人情報保護団体」という団体の存在に関する告知、
団体の認知度が低い。
情報展開などを行って頂き
たいです。
特定非営利活動法人日本個人・医療情報管理協会
一般財団法人　日本情報経済社会推進協会
特定非営利活動法人日本手技療法協会
対象事業者が多いため、対 ―
象事業者向けの効果的か
つ、継続的な情報発信の仕
組みの確立が課題である。
研修会の実施方法、メーリ
ングリスト、認定個人情報保
護団体のホームページの活
用等による情報提供につい
て、引き続き検討中である。
個人情報保護や認定団体 ―
に対する関心が薄れている
のかセミナーへの参加者が
少ない。
長野県個人情報保護協会
メールなどよりも電話受付 ―
があったので受付体制を変
更する。
一般社団法人結婚相談業サポート協会
問合せなのか苦情・相談なありとあらゆる事柄を個人個人情報保護についての講行政からも個人情報の取扱
のかをきちんと見極める事情報や契約成立に結びつけ習会を行うが、参加者が少い・問題等についての具体
が必要。
ない。
的な資料を発表されると望
る相談者に気をつける。
ましい。
結婚相手紹介サービス協会
株式会社IBJ (日本結婚相談所連盟)
ナノライセンス結婚専科システム協議会
一般社団法人　日本個人情報管理協会
事業運営資金の構築に問 ―
題があり、専属スタッフや常
駐スタッフの雇用が難しい。
―
―
対応コスト。連盟事業の責認定個人情報保護団体の
務として追加費用は徴収せ認知度アップ。
ず、業界底上げと割り切っ
てはいるが、コスト負担がか
かる割に対象事業者からは
感謝されていない。
―
マンネリ化。
―
定期的に配布資料など
(PDFで結構です)もらえると
ありがたい。
―
苦情及び相談内容が、ク
レーマーの見極めが非常に
判断しにくい。
―
事業者からの回答と苦情相
談人との事実関係の食い違
い事実関係確認に時間が
かかる。
―
左記課題解決のための、本
協会の担当者のヒアリング
能力向上のための研修を計
画してほしい。
―
単なるクレーマーに振り回さ
れない為のガイドラインを策
定してほしい。
２) 個人情報保護制度及び認定個人情報保護団体制度に関する課題等
・各認定個人情報保護団体からの「認定個人情報保護団体制度に関する課題」
及び「個人情報保護法等、個人情報保護制度一般に関する課題」について
の報告を取りまとめると下表の通りである。
・認定個人情報保護団体制度に関する課題として挙げられているのは、
「認定
個人情報保護団体や当該制度そのものの一般への周知不足」や、
「運営基盤
の確立」や、「団体業務の範囲の明確化」や、「従業者教育」などである。
・個人情報保護制度一般に関する課題として挙げられているのは、
「国民に対
する個人情報保護法等の認識を深める対策（過剰反応対策）」や、「個人情
報取扱事業者の定義と義務の具体化」などである。
162
図表 15
個人情報保護制度及び認定個人情報保護団体制度に関する課題等
その他、認定個人情報保護制度に関する課題
財団法人　日本データ通信協会
一般社団法人　日本自動車販売協会連合会
社団法人　全日本ギフト用品協会
社団法人　日本専門店協会
JECIA個人情報保護協会
社団法人　日本クレジット協会
内容
① 対象事業者の減少傾向 ―
の下、運用コストを削減して
安定した運営基盤の確保。
意見等
―
個人情報保護法等、
個人情報保護制度一般に関する課題
内容
意見等
―
―
―
―
認定個人情報保護団体の
対象事業者であることのメ
リットを如何に認識させる
か。
―
―
―
―
―
―
―
―
―
―
―
―
事業の多様化に関連し、主
務大臣や加盟する認定個
人情報団体が複数ある事業
者も多く、個人情報保護指
針や団体として取り扱う苦
情・相談や漏えい報告の受
付の範囲等の選別が困難
な場合がある。
本制度の国民への認知に
もっとＰＲに腐心されたい。
認定個人情報保護団体とし
て取り扱う苦情や個人情報
漏えい事案の範囲につい
て、一定の考え方を示して
ほしい。
対象事業者からの法律やガ
イドラインの運用や解釈に
ついての質問も多く、認定
団体の担当者の知識向上
が求められている。
認定団体の担当者を対象と
した法律や経済産業分野ガ
イドラインの勉強会等を開
催してほしい。
一般的に認知度が低い。
―
消費者の認知度が薄い。
認定個人情報保護団体連 ―
絡会及び経済産業省で足
並みを揃えた認知活動がで
きないか。
―
―
―
・各事業者が実際に取り組
まなければいけない内容が
具体的ではない。
・個人情報取扱事業者の定
義と義務について。
・経済産業分野における、よ
り具体的な取り組みを示し
て頂きたいです。
・SOHO事業者など、小規模
事業者及び個人事業主に
関しての具体的取り組みの
明確化。
―
―
―
―
―
―
―
―
情報保護に対する企業の認
識が低く、情報漏えいに対
する不安意識が薄い。
―
―
地方の中小零細企業やお
店の意識改革を促進する全
国的な動きが重要と思われ
る。
・個人情報保護団体自体の
認知度が低い。
・協会員が使う経済産業大
臣認定個人情報保護団体
の表記方法に指導が必要。
・個人情報について相談所個人情報について正しい知個人情報について過剰に
と会員の間に温度差がある識の周知徹底。
なっているお客様が多いの
ので、きちんと定期的に研
で、取扱いについて正しく説
修、指導を行う必要がある。
明するよう指導していく。
・協会員であるという表記へ
の指導徹底が必要。
―
認知度アップ。
―
―
―
―
そもそも個人情報の有効利 ―
用を目的とした法律と理解し
ているが、過敏な消費者の
過剰な権利意識を助長して
いるのが実情。
健全な事業運営の足かせ
になることも。
―
―
―
政府広報、公共広告機構等法律の名称、概念は国民に災害時等で個人情報の利
を通じて一般への周知を願浸透してきたが、過剰保護用が必要な局面も出てきて
いたい。
という困った状況もある。
いる。ケースバイケースで
社団法人　東京グラフィックサービス工業会
柔軟な対応がなされるよう
に関係機関に周知された
い。
・対象事業者となるメリット対象事業者となっていない個人情報保護法の改正内行政情報が欲しい。
のPR不足（対象企業が増え企業へのPRが必要。
容や時期が不明。
公益社団法人　日本消費生活アドバイザー・コンサルタント協会ない）。
・業界団体の対象事業者が
多い。
大阪毎日新聞販売店事業協同組合
全国こころの会葬祭事業協同組合
特定非営利活動法人日本個人・医療情報管理協会
一般財団法人　日本情報経済社会推進協会
特定非営利活動法人日本手技療法協会
長野県個人情報保護協会
一般社団法人結婚相談業サポート協会
結婚相手紹介サービス協会
株式会社IBJ (日本結婚相談所連盟)
販売店（組合員）と顧客との ―
関係に影響。
顧客からのＴカード関連（Ｔ
ポイント付与・Ｔカード新規
登録・住所変更・Ｔカード紛
失他）の問合せで、個人情
報の関係上、販売店からは
直接関連企業（CCCｱﾗｲｱﾝ
ｽ）に問合せや申込み・変更
ができず、顧客自身で直接
関連企業（CCCｱﾗｲｱﾝｽ）に
してもらうため、顧客に手間
をかけさせてしまう。
ナノライセンス結婚専科システム協議会
日頃から、最悪を、意識して
ケーススタディを作成、研修
すれば、全く事故は起こら
ない。
一般社団法人　日本個人情報管理協会
従業者個々の意識と自覚を政府広報等を通じて、認定ナーバスに成りすぎてる企著作権制度と同様に国民一
どのように持たせるか　教育個人情報保護団体の活用業と無頓着の企業と両極端般に個人情報保護の意識
な感じを受ける。
が低いので、学校教育の教
が重要だが従業員教育に方法を公告してほしい。
育課程に盛り込んでほし
もっと力を入れるべきです。
い。
163
図表一覧
図表 1
図表 2
図表 3
図表 4
図表 5
図表 6
図表 7
図表 8
図表 9
図表 10
図表 11
図表 12
本検討委員会の構成 ..................................................................... 7
検討スケジュール ......................................................................... 9
対象とする安全管理措置の抽出イメージ ................................... 10
各国の個人情報保護法制と集合訴訟制度の関係......................... 16
英国における”Collective Redress” ............................................. 18
新たな IT 技術の発達と個人情報保護に係る調査調査まとめ 121
経済産業省所轄の認定個人情報保護団体 ................................. 125
苦情処理件数（受付、解決、未済の状況等） .......................... 155
受付経路別の苦情受付件数 ....................................................... 156
苦情内容別（関係条項別）の苦情受付件数 ............................ 157
苦情解決方法 .......................................................................... 158
苦情処理業務において他の団体の参考になる取り組み、事案、及
び情報共有したい事項等 .................................................................. 159
図表 13 認定個人情報保護団体の対象事業者であることの公表状況等 160
図表 14 認定個人情報保護団体の活動内容に関する課題等 ................. 161
図表 15 個人情報保護制度及び認定個人情報保護団体制度に関する課題
等 ..................................................................................................... 163
164