「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」が令和6年6月27日に公表されました。この中間整理は、個人情報保護法の次期改正のたたき台になるものと思われます。本稿では、当該中間整理の内容を確認していきたいと思います。
ポイント
骨子
- 「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」は、次のいわゆる3年ごと見直しの議論を踏まえた現時点における個人情報保護委員会の考え方をまとめたものです。
- 中間整理では、大きく分けて、「個人の権利利益のより実質的な保護の在り方」「実効性のある監視・監督の在り方」「データ利活用に向けた取組に対する支援等の在り方」の3つの観点から議論の整理がされています。
解説
中間整理の位置づけ
個人情報保護法の3年ごと見直し
個人情報保護法は、令和2年改正法律(令和2年法律第44号)の附則第10条において、下記のとおり、3年ごとに見直しを行うこととされています。
政府は、この法律の施行後三年ごとに、個人情報の保護に関する国際的動向、情報通信技術の進展、それに伴う個人情報を活用した新たな産業の創出及び発展の状況等を勘案し、新個人情報保護法の施行の状況について検討を加え、必要があると認めるときは、その結果に基づいて所要の措置を講ずるものとする。
個人情報保護委員会は、同規定を踏まえ、いわゆる3年ごと見直しに関する検討を行っており、本中間整理は、委員会におけるこれまでの議論や検討を踏まえた現時点における委員会の考え方をまとめたものであるとされています。
これまでの議論状況
| 令和5年(2023年)9月 | 第255回 | 令和2年改正法及び令和3年改正法の施行状況の確認 |
|---|---|---|
| 同年10月 | 第258回 | 令和2年改正法及び令和3年改正法の施行状況の確認 |
| 同年11月 | 第261回 | いわゆる3年ごと見直しに関する検討を開始 |
| 令和6年(2024年)2月 | 第273回 | 「個人情報保護法 いわゆる3年ごと見直し規定に基づく検討項目」を公表 |
| 以降 | 関係団体や有識者からのヒアリングを実施 |
なお、本中間整理は、パブリック・コメントに付されており、今後、パブリック・コメントで寄せられた意見を踏まえ、最終的な方向性のとりまとめを行う予定となっています。
中間整理の概要
中間整理では、大きく分けて、「個人の権利利益のより実質的な保護の在り方」「実効性のある監視・監督の在り方」「データ利活用に向けた取組に対する支援等の在り方」の3つの観点から議論の整理がされています。
その内容の概要は以下のとおりです。
1 個人の権利利益のより実質的な保護の在り方
- 個人情報等の適正な取扱いに関する規律の在り方
➢生成データの取扱い/「不適正な利用の禁止」・「適正な取得」の明確化 - 第三者提供規制の在り方(オプトアウト等)
- こどもの個人情報等に関する規律の在り方
- 個人の権利救済手段の在り方
2 実効性のある監視・監督の在り方
- 課徴金、勧告・命令等の行政上の監視・監督手段の在り方
- 刑事罰の在り方
- 漏えい等報告・本人通知の在り方
3 データ利活用に向けた取組に対する支援等の在り方
- 本人同意を要しないデータ利活用の在り方
- 民間における自主的な取組の促進
- PIA・個人データの取扱いに関する責任者
特に2の課徴金導入の議論が注目されていますが、それ以外にも、次回の改正の検討課題は多岐にわたっているといえます。
1 個人の権利利益のより実質的な保護の在り方
個人情報等の適正な取扱いに関する規律の在り方
(1) 生成データの取扱い
顔識別データなどのいわゆる生体データの取扱いについては、諸外国ではセンシティブ情報のカテゴリに入れられており、取扱いのための要件が加重されています(具体的には、例えば欧州のGDPR(一般データ保護規則)では、データ主体が明確な同意を与えた場合等、一定の場合を除き、取扱いが禁止されています(GDPR第9条)。)が、日本では、特に特別な取り扱いはなされていない状況です。中間整理では、特に要保護性が高いと考えられる生体データについて、実効性ある規律を設けることを、「検討する必要がある」、とされています。
具体的には、典型的には顔識別機能付きカメラシステムの運用などを想定されているものと思われ、利用目的の詳細な特定として、利用目的の特定において、「どのようなサービスやプロジェクトに利用するかを含めた形で利用目的を特定する」ことが考えられるとされています。
また、現状では、本人による利用停止の請求は、個人情報が法に違反して利用されている場合にのみ認められています(法35条)が、生体データに関しては、本人による事後的な利用停止を他の保有個人データ以上に柔軟に可能とすることが考えられるとされています。
(2) 不適正な利用の禁止、適正な取得の明確化
現行法上、法第19条に「不適正な利用の禁止」が、法第20条1項に「適正な取得」が規定されています。
法第19条
個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。
法第20条(第1項)
1 個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。
これらの規定に基づいて、これまで、新破産者マップ事案(官報に掲載されている破産手続開始決定を受けた個人の氏名や住所等の個人データを地図と紐づく形でインターネット上に公表した事案)などが、個人情報保護委員会による行政上の措置の対象となってきましたが、条文を読んでいただくとお分かりのとおり、既定の内容が抽象的であり、どういった場合に適用されるのか分かりにくいという状況にあったと言えます。
こういった問題点を踏まえて、中間整理では、「事業者による予測可能性を高める観点から、適用される範囲等の具体化・類型化を図る必要がある。具体化・類型化に際しては、これまでに問題とされた事例等を踏まえて検討することが必要である。」とされています。
また、個人情報保護法の建前は、本人の同意について、「本人が自らの個人情報の提供等について、自ら判断し、選択できる状況にあることが前提となっている」はずですが、一方で、デジタル・プラットフォーム事業者や、雇用関係にある会社と従業員、学校と学生など、個人情報取扱事業者の提供する商品やサービスが本人にとって代替困難であることから、本人が同意せざるを得ない状況にあると言えます。
こういった事実上同意や個人情報の取得を強制される場面について、独占禁止法や金融分野における個人情報保護に関するガイドライン等の国内の他法令等においては一部触れられているものの、個人情報保護法においては、正面から規律されていません。なお、GDPRにおいては、同意は任意性が要件となっており(4条)、同意の撤回権(7条3項)が認められています。
そこで、「個人情報取扱事業者と本人との関係によっては、本人にそのような選択を行うことが期待できない場合」について、本人が形式的には同意している場合であっても、「本人との関係に照らして当然認められるべき利用目的以外の利用目的で個人情報を取得・利用することや、当然認められるべき利用目的の達成に真に必要な範囲を越えて個人情報を取得・利用する」場合に、上記の不正取得や不適正利用等の規律を適用すべきか、「継続的に検討する必要がある」と考えられます。
また、特定の個人を識別できず、個人情報に該当しない情報であっても、電話番号、メールアドレス、Cookie IDなど、個人に対する連絡が可能ないわゆる個人関連情報を有している場合には、個人情報と同様に深刻なプライバシー侵害が発生する蓋然性が認められるといえます。
具体的には、身近な例でいえば電話番号の晒し行為や、宅配便業者や通信事業者になりすましたSMS送信などが典型例です。
そのため、中間整理では、こういった連絡先情報の利用についても、上記の不正取得や不適正利用等の規律を適用して対応することについて、「検討する必要がある」とされています。
第三者提供規制の在り方(オプトアウト等)
現行法では、個人情報取扱事業者は、個人データの第三者への提供にあたり、原則として、あらかじめ本人の同意を得ないで提供してはならないこととされています(法27条1項)。
ただし、オプトアウトの手続きを取った場合、具体的には、「一定の事項について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たとき」には、本人の同意を得ることなく、第三者に提供することが可能となります(法27条2項)。
第27条 (略)
2 個人情報取扱事業者は、(略)次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。(略)
現行法では、オプトアウト事業者が個人データを提供する場面において、提供先の利用目的や身元等を積極的に確認する義務は課せられていないことから、気づかずに犯罪グループに名簿を販売してしまうことがあり得ます。そこで、中間整理においては、一定の場合に提供先の利用目的や身元等を特に確認する義務を課すことについて「検討が必要である」となっています。
また、オプトアウト届出事業者が個人情報を収集する場面においては、不正な持ち出しを行った者から名簿等を購入してしまうリスクがあることから、取得元における取得の経緯や取得元の身元等の確認について、下記のとおり、オプトアウト届出事業者に対し義務付けることにつき、「検討が必要」とされています。
具体的には、一定の場合には取得元の身元や取得の適法性を示す資料等を特に確認する義務を課すことについて検討する必要がある。その際、確認義務の要件や対象の類型化についての検討が必要である。
その他、本人が自らの個人情報がオプトアウトによる提供の対象となっていることを認識できていない場合もあり得ることから、本人のオプトアウト権行使の実効性を高めるための措置について、「継続して検討する必要がある」とされています。
こどもの個人情報等に関する規律の在り方
現行の個人情報保護法上、こどもの個人情報の取扱い等に係る明文の規定はなく、個人情報の保護に関する法律についてのガイドライン(通則編)及び「個人情報の保護に関する法律についてのガイドライン」に関するQ&Aにおいて、本人同意が必要な場面において、個別判断を前提に、「一般的には12歳から15歳までの年齢以下の子どもについて、法定代理人等から同意を得る必要がある」と記載されているにとどまります。
一方で、こどもが大人よりも脆弱であることやデジタル環境においてデータの収集に同意することによる長期的な影響を理解できず、プライバシーのリスクにさらされていること等を背景に、主要各国の個人情報保護法制においては、こどもの個人情報等に係る規律が設けられていることから、「規律の在り方の検討を深める必要がある」とされています。
具体的に議論されているのは以下の内容です。
①法定代理人の関与
本人同意の場面において法定代理人の同意を取得すべきことについては、現状、上述のとおり、ガイドライン等に記載があるのみですが、この点を法令の規定上明確化すること、及び、本人通知の場面において、法定代理人に情報提供すべきことを明文化することを「検討する必要がある」とされています。
②利用停止等請求権の拡張
上記でも見た通り、現行法上、利用停止等の請求を行える場面は限定的ですが、こどもを本人とする保有個人データについては、他の保有個人データ以上に柔軟に事後的な利用停止を認めることについて「検討する必要がある」とされています。
③安全管理措置義務の強化
こどもの個人データについて安全管理措置義務を強化することが「あり得る」と」されています。
④責務規定
こどもの個人情報等の取扱いについては、こどもの最善の利益を優先し特別な配慮を行うべき等、事業者等が留意すべき責務を定める規定を設けることを「検討する必要がある」とされています。
⑤年齢基準
Q&Aの記載が12~15歳について法定代理人の同意を要求していることやGDPRの規定の例(16歳未満については親権者の同意を要求)などを踏まえ、こどもの個人情報等の取扱いに係る年齢基準については、16歳未満とすることについて「検討を行う」とされています。
個人の権利救済手段の在り方
個人情報が法に違反して利用されている場合、利用停止等の請求が認められています(法35条)。
もっとも、この制度は、下記のとおり、あまり利用されていないようです。
令和2年(2020年)2月から3月に実施されたアンケート調査では、「保有個人データの利用停止・消去又は第三者提供の停止に関する請求を過去一年間で約何件受けましたか?」との質問に対して、回答のあった事業者(全158社)のうち47%が「10件未満」と回答した。
そこで、消費者被害について消費者契約法において導入されている制度である、適格消費者団体による差止請求を、違法な個人情報の取扱い事案についても、適格消費者団体を念頭に置いた、団体による差止請求制度について、「継続して検討する」こととされ、また被害回復の枠組みの導入について、「さらに慎重な検討が必要である」とされています。
もっとも、、団体による差止請求や被害回復の枠組みについては、については、関係団体からのヒアリングにおいて反対が大きかった点であり、「その導入の必要性を含めて多角的な検討を行っていく必要がある」とされ、今後の議論が待たれるところです。
2 実効性のある監視・監督の在り方
課徴金、勧告・命令等の行政上の監視・監督手段の在り方
(1) 課徴金制度の導入の必要性の検討
現行法では、個人情報保護委員会の命令に違反した場合、法第178条により罰則の対象とされています。178条の罰則は両罰規定があり、法人等については、両罰規定により1億円以下の罰金刑があります。
GDPRをはじめ諸外国では、多額の制裁金が導入されているのに対し、現行の個人情報保護法においては、上記のとおり、命令違反の場合にはじめて罰金刑が課される形のみであり、違反行為により得た利益は、事業者の元に残ることとなってしまいます。これでは、事業者による個人の権利利益の侵害を効果的に抑止できないことから、事業者の得た利益を吐き出させる必要性があるとして、課徴金の導入が、これまでの改正時においても議論されてきました。
さらに、破産者マップ事案のような明らかに違法なサイトが出現しているほか、個人情報保護委員会が行政上の対応をしたいくつかの重大な事案が発生しており、より強力な抑止力が必要ではないかとの考え方もあり得るところです。
そこで、今回の中間整理においては、「課徴金の導入の必要性を含めて検討する必要がある」とされており、課徴金の対象となる具体的な違法行為の類型としては、以下のような類型が検討されています。
① 個人データの違法な第三者提供等の違反行為によって不当な利得を得ている場合
② 個人データの漏えい等が発生している可能性を認識したにもかかわらず、適切な措置を講じることを怠る等の悪質な違反行為により、本来なすべき支払を免れた場合
また、課徴金の算定方法、最低額、加減算等についても、併せて議論が必要とされています。具体的には、①の場合には、販売による売上に着目した算定が、②の場合には、当該事業活動から得られる利益に着目した算定が考えられるとされています。
ただし、課徴金の導入については、関係団体からのヒアリングで強い反対意見が示されているところであり、今後の議論が注目されるところかと思います。
(2) 勧告、命令等の在り方
現行法では、個人情報取扱事業者に義務違反行為があった場合、基本的にまず指導・助言や勧告が行われ、正当な理由なく勧告に従わない場合にはじめて命令が発令されることとなっており(法148条2項)、例外的に、「個人の重大な権利利益の侵害が切迫していると認めるとき」に限り、勧告を前置せずに緊急命令を発することができることになっています(法148条3項)。実際に、新破産者マップ事案については、半年を要して勧告、命令、告発という順次の対応に至っています。
中間整理では、このいわゆる勧告前置を見直し、「個人の権利利益の侵害が差し迫っている場合」にただちに命令を出すことの「必要性」について「検討すべき」であるとされています。
そのほか、勧告・命令は、義務違反行為の直接の当事者に対してのみ発することが可能となっていますが、当事者でなくとも、関与する第三者(法に違反する個人情報の取扱いを第三者に委託している場合や、法に違反して個人情報を取り扱うに当たって第三者の提供するサービスを利用している場合の第三者)に対しても措置をとる「必要性」についても「検討すべき」とされています。
また、勧告・命令において、法に違反する個人情報等の取扱いの中止のほかに個人の権利利益の保護に向けた措置を求めることの「必要性の有無や手続保障」についても、「検討すべき」こととなっています。
刑事罰の在り方
現行法においては、個人情報の取扱いにかかる直罰規定として、民間の個人情報取扱事業者に適用されるものとしては、個人データベース等不正提供等罪(法179条)及び法人両罰規定(法184条1項1号)が規定されています。
最近では、勤務先の名刺情報管理システムのログイン情報を不正に提供した事案や、学習塾の塾講師が児童の個人情報をSNSに投稿した事例で個人情報データベース等不正提供等罪等により有罪が確定しています。このように、近時、内部的な不正行為が多く発生していることから、発生した個人情報の不正取得の事例について、現状の直罰規定でカバーできているかどうか等について、検討することとされました。
また、行政機関が実施する調査をかたって個人情報等を詐取する事例も発生していることから、こうした行為を直罰規定の対象に含めるべきかについても「検討する必要がある」とされています。
漏えい等報告・本人通知の在り方
個人データが漏えい等した場合、個人情報取扱事業者は、個人情報保護委員会に報告等を行う必要があります(法26条1項)。この漏えい等報告については、2022年の改正により義務化されて以降、増加傾向にありますが、概ね3~5日以内に速報を行うことが求められるうえ、例えば、要配慮個人情報を含むデータが流出した場合には、漏えい等した個人データに係る本人の数が1人であっても報告が必要とされており、事業者にとっては負担が大きい面もあるとの意見があります。
実際にも、個人情報保護委員会の調査によると、漏えい等した個人データに係る本人の数が1人の事案が全体の84.0%を占めているところですが、こういった事案については、本人通知が的確になされていえれば、速報を提出する必要性が比較的小さいものといえます。
また、漏えい等が発生した場合の体制・手順が整備されている(認定個人情報保護団体などの第三者の確認を受けている)と考えられる事業者については、一定程度自主的な取組に委ねることも考えられることも考えられます。
そこで、体制・手順が整備されている事業者については、速報については、一定の範囲でこれを免除し、さらに、1人事案の場合については、確報について一定期間ごとの取りまとめ報告を許容するなど、漏えい等報告や本人通知の範囲・内容の合理化を「検討すべき」であるとされています。
また、現行法では、漏えい等が実際に発生した場合のみならず、その「おそれ」がある場合についても、報告等が必要となっています。しかし、例えばサイバー攻撃の場面など、いかなる場合にこの「おそれ」に該当するかについては、実際に判断するのは難しく、また、調査をきちんと行うほど「おそれ」に該当する場面が増えるという面もあるところです。
そこで、今回の中間整理では、この「おそれ」要件について、現実の事例に応じて精査する「必要がある」、とされており、「おそれ」該当性の要件の明確化が「必要」とされています。
また、現行法においては、事業者が個人データを違法に第三者に提供した場合については漏えいに該当せず、個人情報保護委員会に対する報告義務及び本人通知義務はないとされていますが、事業者の意図に基づく提供であっても、違法な第三者提供については、報告等の対象とすべきであることから、報告等の必要性や報告等の対象となる範囲を「検討する必要がある」こととされています。
3 データ利活用に向けた取組に対する支援等の在り方
本人同意を要しないデータ利活用の在り方
個人情報保護法は、利用目的の目的外利用(法第18条)、要配慮個人情報の取得(法第20条)、個人データの第三者提供(法第27条)の場面について、原則としてあらかじめ本人同意を取得することを求めています。
上記については、例外規定として、学術研究例外や、公衆衛生例外などの例外は存在し、個人情報の保護に関する法律についてのガイドラインに関するQ&Aで明確化が図られてきたところではありますが、生成AIなどにおける取り扱いは対象とはなっておらず、また、医療機関における研究活動においても、これらの例外規定の取扱いについては、実際にはあてはめが難しい面がありました。
そこで、中間整理では、①「社会にとって有益であり、公益性が高いと考えられる技術やサービス」について、例外規定を設けるための「検討が必要」であること、及び、②医療機関等における研究活動等に係る利活用について、例えば例外規定の適用に関し、ガイドラインの記載等を「議論する場の設定に向けて検討する必要がある」ことなどが課題として挙げられています。
民間における自主的な取組の促進
(1) PIA(Privacy Impact Assessment)について
PIA(Privacy Impact Assessment)とは、事業の開始の段階において、当該事業が個人情報保護の観点からどの程度のリスクがあるかをあらかじめ評価するものです。
中間整理では、下記のように定義づけられています。
PIAは、個人情報等の収集を伴う事業の開始や変更の際に、プライバシー等の個人の権利利益の侵害リスクを低減・回避するために、事前に影響を評価するリスク管理手法を指すものである。
GDPRにおいては一定の場合に義務化されていますが、日本法においては、現状個人情報保護法上の義務とはなっていません。
中間整理では、PIAについて、民間における自主的な取組という現状の枠組みを維持しつつ、取組を一層促進させるための方策について、PIAの出発点となり得るデータマッピング(事業者が取り扱うデータを事業者全体で整理して、取扱状況等を可視化すること)を活用していくことを含め、「検討を進める必要がある」とされています。
(2) 個人データの取扱いに関する責任者
GDPRにおいては、一定の場合にDPO(Data Protection Officer)を選任する義務が生じます(GDPR第37条第1項)。日本法では、ガイドラインにおける「組織体制の整備」の例として、責任者の設置といった記載があるにとどまりますが、これを超えた措置について、資格要件や対象事業者の範囲等も含めて、「現実的な方向性を検討する必要がある」こととされています。
本記事に関するお問い合わせはこちらから。
(文責・秦野)
- 投稿タグ
- 個人情報保護法
