個人情報保護法の論点 : 3年ごとの見直しの方向性とヒアリングで共有された課題

個人情報保護法見直し

はじめに

個人情報保護法では、3年ごとの見直し規定が設けられています。

平成27年改正法附則第12条の規定を踏まえて検討された「いわゆる3年ごと見直し」について、令和元年の「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱」では、以下のように定められています。

「個人情報の保護に関する国際的動向、情報通信技術の進展、それに伴う個人情報を活用した新たな産業の創出及び発展の状況等を勘案し、(中略)施行の状況について検討を加え、必要があると認めるときは、その結果に基づいて所要の措置を講ずるものとされている。」

個人情報保護法 いわゆる3年ごと見直し 制度改正大綱

この見直しについて、個人情報保護委員会では、昨年11月に「個人情報保護法いわゆる3年ごと見直し規定に基づく検討」を公表するとともに、関係団体へのヒアリングが実施され、2024年の春をめどに「中間整理」を公表する予定で進められています。

今回のブログでは、個人情報保護委員会の検討方針とともに、昨年12月15日に開催された新経済連盟(新経連)および日本IT団体連盟(IT連)のヒアリングにおいて委員会に共有された企業側の意見について紹介します。

個人情報保護委員会:検討の方向性

今回の見直しにあたり、個人情報保護委員会が公表している個人情報保護法 いわゆる3年ごと見直し規定に基づく検討 によると、以下3つの検討の方向性が挙げられています。以下では、そこで挙げられた3つの方向性とともに、それぞれの詳細について11月15日の第261回個人情報保護委員会 議事録 の内容を抜粋して紹介します。

検討の方向性① 個人の権利利益のより実質的な保護の在り方

情報通信技術等の高度化に伴い、大量の個人情報を取り扱うビジネス・サービス等が生まれる一方で、プライバシーを含む個人の権利利益が侵害されるリスクが広がっています。こうした中、破産者等情報のインターネット掲載事案や、犯罪者グループ等に名簿を提供する悪質な「名簿屋」事案等、個人情報が不適正に利用される事案も発生しており、こうした状況に鑑み、技術的な動向等を十分に踏まえた、実質的な個人の権利利益の保護の在り方を検討する必要があるのではないかということがポイントとなります。 例えば、技術発展に伴って、多様な場面で個人情報の利活用が進み、その有用性が認められる一方で、こうした技術による個人の権利利益の侵害を防ぐためには、どのような規律を設定すべきか。また、個人情報を取り扱う様々なサービス等が生まれる中、個人の権利利益の保護の観点から、本人関与の在り方を検討すべきではないか。その際、その年齢及び発達の程度に応じた配慮が必要なこども等の関与の在り方はどうあるべきか、併せて検討すべきではないか。加えて、個人の権利利益の保護のための手段を増やし、個々の事案の性質に応じて効果的な救済の在り方を検討すべきではないかといった点が検討の視点として考えられるかと思います。

引用:第261回個人情報保護委員会 議事録 議題2「いわゆる3年ごと見直し(検討の方向性)について」

検討の方向性② 実効性のある監視・監督の在り方

破産者等情報のインターネット掲載事案、犯罪者グループ等に名簿を提供する悪質な「名簿屋」事案、転職先へのデータベースのID・パスワードの不正提供事案等、個人情報が不適正に利用される事案や同一事業者が繰り返し漏えい等を起こしている事案が発生しております。こうした悪質・重大な事案に対する厳罰化、迅速な執行と実効性のある監視・監督の在り方を検討する必要があるのではないかということがポイントとなります。 例えば、ヒューマンエラーのような過失による漏えい等事案が多い一方で、非常に大規模な漏えい等事案等、重大な個人の権利利益の侵害につながるケースも発生しているところ、従来の指導を中心とした対応にとらわれない、より実効性のある監視・監督の在り方を検討すべきではないか。また、重大な事案や、故意犯による悪質な事案を抑止するための方策を検討すべきではないか。また、そのための関係省庁との連携の在り方を検討すべきではないか。加えて、個人の権利利益の保護のため、重大な漏えい等事案の状況をどのように把握し、適切な執行につなげていくべきか検討するべきではないかといった点が検討の視点として考えられるかと思います。

引用:第261回個人情報保護委員会 議事録 議題2「いわゆる3年ごと見直し(検討の方向性)について」

検討の方向性③ データ利活用に向けた取組に対する支援等の在り方

個々の事情や特性等に配慮した政策検討が進む等、健康・医療、教育、防災、こども等の準公共分野を中心に、機微姓の高い情報を含む個人情報等の利活用に係るニーズが強いと考えられます。こうした中、政策の企画・立案段階から関係府省庁とも連携した取組を進める等、個人の権利利益の保護を担保した上で、適正な個人情報等の利活用を促す方策を検討する必要があるのではないかということがポイントとなります。 例えば、公益性の高い各分野における個人情報の利活用において、どういったケースであれば公益性が高いと考えられるか、また、どのような個人情報の取扱いであれば安全性が担保できるか等の判断を、どのように行なっていくべきかを検討すべきではないか。また、あるべき関係府省庁との連携体制についても検討すべきではないか。また、我が国として、適切な個人の権利利益の保護を図った上で、国際的に、より円滑なデータの流通を実現するためには、どういった制度的課題があり、またどのような国際的な枠組みで議論を進めていくべきか。加えて、個人の権利利益の保護を担保した上での個人情報の利活用を促進するために、民間事業者等に取組を促す動機付けの仕組みや支援はどのようにあるべきかということがポイントと考えられます。

引用:第261回個人情報保護委員会 議事録 議題2「いわゆる3年ごと見直し(検討の方向性)について」

検討の方向性に関する委員の意見

上記の方向性について、委員から出された意見をまとめましたので紹介します。(※「検討の方向性③ データ利活用に向けた取組に対する支援等の在り方」に関して言及している箇所は議事概要からは見つけられなかったため、以下では検討の方向性①と②に関してのみ記載しています。)

アジェンダ委員の意見
(全体)

ヒアリングの際の論点とその後の検討方針
実効的な個人の権利利益の保護を担保し、個人情報の利活用を行っていくにあたって、以下の3つの論点で各団体の所属企業が課題に対してどう取り組んでいるかをヒアリングし、実際の企業のビジネス形態の実情を踏まえ、個人情報取扱事業者が実施すべき安全管理措置の在り方を検討していくべき。
<3つの論点>
・委託先の事業者や派遣社員を含めた安全管理体制の整備
・システム設計や運用を含めたヒューマンエラーの防止策
・不正アクセス対策
①個人の権利利益のより実質的な保護の在り方

こどもの権利利益の保護
SNSの普及等による、こどもを取り巻く環境の変化を踏まえれば、こどもの権利利益の保護は喫緊の課題と考えている。例えば同意取得の在り方等、諸外国の議論の動向も考慮しつつ、実質的な保護の在り方を十分に検討すべきであると思う
生成AI等の技術進歩の中で個人情報保護法上の『不適正利用』をどのように考えていくか生成AI等の技術進歩を踏まえると、利活用の手法次第でこれまで想定されなかった形での個人の権利やプライバシーの侵害が生じる可能性もある。
個人情報保護法上の不適正利用の考え方についても、技術動向、社会動向を踏まえ、実質的に個人の権利利益を担保できるものとなるよう、改めてその考え方を検討すべきではないか?
罰則強化だけでなく、事前の仕組みづくりも重要昨今発生している大規模な漏えい事案を見ると、事業者による個人情報の管理が形式化していて、内部規程は作成しているものの実効的に機能していない事業者が、規模の大小を問わず多いのではないかと感じる。
個人の権利利益の実効的な保護のためには、罰則を強化する等の事後的な規制を強めるという考え方も検討すべきだが、他方で、役員等の意識向上も含めて事前の仕組みを作っていくことも重要
②実効性のある監視・監督の在り方
海外事例等を踏まえた実効性のある監視監督の在り方個人の権利利益のより実質的な保護の在り方』はもちろん重要だが、『個人情報保護に係る主要課題に関する海外・国内の動向調査 概要資料』にある海外事例なども参考にしながら、罰則の水準の引上げや、課徴金の導入等を検討すべきではないか
ペナルティ強化に関してバランスを考慮すべき悪質な事案への抑止策を検討する際には、ペナルティの強化による企業の個人データ利活用委縮効果なども視野に入れ、悪質な事案に限った対応、引上げ幅については萎縮効果を踏まえた慎重な対応、など、様々な要素や対応策のバランスを考慮に入れるべき。
子供のプライバシーと同意管理

EU やアメリカをはじめとした国や地域における子供の個人データを収集する際の同意に関するルールを紹介するとともに、それらを適切に取得したことを証明してくれるOneTru…

経済団体へのヒアリング

以下は個人情報保護委員会のサイトで公開されている12月15日に開催された新経済連盟へのヒアリングについて「議事概要」の内容を抜粋し、まとめたものです。

テーマ個人情報保護委員会新経済連盟
オプトアウト事業者への厳罰化我が国において、個人情報の不適正利用事案や、個人情報データベース等の不正提供等事案が発生しているところ、諸外国における直近の執行状況も踏まえると、実効的な個人の権利救済を行っていくためには、罰則の水準の引上げや直罰化、課徴金制度の導入を検討すべきと考える。 この点に関連して、貴団体は不適正利用の規定に抵触する内容を明らかにすべきとして、オプトアウト事業者の事例を挙げているが、オプトアウト制度そのものに御意見があれば聞かせていただきたい。オプトアウト制度を活用している事業者からすると、やりにくいという意見もあるため、線引きをして、少なくとも誰の目から見ても不適正であると分かるものについては明確化しておき、段階を追って、法執行してはよいのではないかと思う
プロファイリングについてプロファイリングなどの行為が、結果的に不適正利用に当たる場合もあると考える。こうした可能性を含めた個人の権利利益の侵害をどのように排除することができると考えるか。 また、不適正利用の例として、ほかに想定される事例があれば教えていただきたい。 さらに、『注意喚起にとどまらず、適切な執行が必要』という御説明があったが、具体的にはどのようなイメージを持っているか聞かせていただきたい。プロファイリングについては、結局、不適正利用であると判断すべきケースもあれば、不適正利用とまではいえないと判断されるケースもあると思う。そのような意味で、不適正であるかどうかの基準は、非常に曖昧であるため、その線引きについては、ガイドライン等で示していただくのが良いのではないかと思う。
罰則について『注意喚起にとどまらず、適切な執行が必要』という御説明があったが、具体的にはどのようなイメージを持っているか聞かせていただきたい。注意喚起にとどまらず是正を求めることにより、より効果的に問題を解決する仕組みが考えられないか等、そういったものを検討した方が良いではないか?
個人情報の分類が分かりにくい欧米の保護当局では、指導が中心である日本と異なり、制裁金等を含めた処分を行っており、それが規律の理解や遵守のインセンティブになっている」との指摘を挙げ、日本ではそうした要素がない中で「インセンティブや周知活動として、どのようなものが有効」かについて考える必要がある。まず、個人情報の種類は細かく分類されており、それぞれ適用される規律が異なる部分がある。さらには、電気通信事業法での規律もあるため、事業者側の理解が十分でないという状況にあると思っている。そのため、まずは規律について分かりやすい形で啓発をすることが必須であると思っている。そもそも、現行のルールが十分に理解されていない状況で制裁だけを科し、事業者に守らせるという方法は、やや無理があると思うので、まずは事業者に規律を理解させるための取組が重要。
不正アクセス対策について日本の最近の漏えい等事案の例を踏まえると、委託先事業者や派遣職員を含めた安全管理体制の整備やシステム設計や運用を含めたヒューマンエラーの防止策、さらに、不正アクセス対策等の安全管理措置を講じることが重要と考えるが、規律について単に分かりやすく説明するだけで十分なのか事業者として自主的に取り組んでいる内容について、御存じの範囲で差し支えないので、教えていただきたい。不正アクセス対策等についても、当然、事業者側において導入すべきだと思うが、それについても事業者が十分な知見を有していないというケースもあるので、事業者側が不正アクセス対策等に関する情報を得る機会をいろいろな形で提供することや、その部分について、補助金の形なのか、税制優遇の形なのか分からないが、何らかの形でインセンティブ的なものを考えるという手もあるのではないか?
(中略)
また、恐らく、委員会には過去の漏えい等報告の蓄積が多く存在していると思うが、そこから得られたデータから、事業者がどういったことにつまずいているのかという分析をした上で、今後の政策やインセンティブの導入に活用することが期待されているのではないかと思う。
不正アクセス、データ漏洩に関する通知・報告の義務

(報告の負担が大きいことを課題として挙げ、リスクに基づいて通知報告の要否を判断する仕組みを検討してはどうか?という提案部分について委員会からの質問)
リスクベースアプローチについて、詳しくお伺いしたいと思う。『第三者に閲覧された可能性が限りなく低い』場合や、『本人が自らの権利利益の保護に必要な措置を感じる必要性が低い』場合について御提案いただいたが、具体的にはどのような事例を想定しているのかについて教えていただきたい。システムにバグがあり、そのバグが原因となって一定条件下で個人情報が閲覧可能となっている状態になっていることを事業者側が認識した場合、現状では、漏えい等のおそれがあるということになり、漏えい等報告の対象になると思うが、この一定条件というのが、極めて特殊な条件が重ならないと発生しない場合であっても、現状では、漏えい等報告の対象となるものであると認識している。ログの調査を行うことができれば、個人情報が閲覧されたかどうかを確認できるが、場合によってはログの調査を行うことが難しいケースもあるので、そうなると100%閲覧されなかったと言い切れない。このような場合にも、実際に漏えいした場合と同様の扱いで報告や公表が必要なのかどうかについては、検討してもよいのではないかという御提案である。
プライバシー強化技術(PETs)についてプライバシー強化技術の利活用を促す仕組み』という言及があったが、現状、具体的にはどのような取組が事業者内で実施されているのか。
また、どのような技術を想定しているか。
続いて、プライバシー強化技術の評価について、客観的な基準を定めることが難しいという意見も聞いたことがあるが、例えば、データが秘匿化されて処理される場合に、その際の個人の権利利益の保護の水準について、どういった基準でどのような評価が可能であるか、教えていただきたい。
プライバシー強化技術については、世の中の企業が、例えば秘密計算のような技術等、いろいろな技術を提案・提供している状態になっているかと思う。しかし、個人情報の保護の機能・性能については、もう少し研究を深める必要があると思っている。研究をした上で、機能・性能を踏まえて個人情報を一定程度保護できると判断できた場合には、先ほどのリスクベースの考え方にも関係してくるが、若干扱いやすく、例えば匿名加工情報と同レベルとしてはよいのではないか等の議論もあって良いのではないかという御提案である。
(中略)
よく聞くニーズとしては、暗号化された状態の個人データを委託先で分析する際、暗号化された状態で他社の個人データと突合したい場合、結果として出てくるものは完全に匿名加工されるため、戻ってきたデータを活用するわけではなく、分析目的にもかかわらず、突合の段階で第三者提供に該当するということが厳しいという意見がある。
プライバシー強化技術にもレベル・種類が様々あると思うので、何かしら一定の水準を確保した上で利用する必要はあり、事業者としてもむやみに利用することを望んでいるわけではなく、議論を深めて、法律との関係を明らかにしていくのが、重要ではないかと考えている。
第三者提供におけるプライバシー強化技術の活用と現行法の課題

(仮名加工情報については、分析のため突合等をする場合は、第三者提供にあたるため、結局本人同意が必要となり、そのことを理由に使用を躊躇する事業者が多く、障壁となっている点について)
仮名加工情報が使いにくい状況というのは、同一事業者内における利用ではなく、純然たる第三者提供の場合という認識で良いか?
御認識のとおり、分析に関連してよく聞くのは、異なる事業者間でのやりとりに際して、使いにくい面があるという声である。
同意以外の法的根拠の検討GDPRの『契約の履行』や『正当な利益』について指摘があるが、GDPRにおいてはこれらが単独で存在するのではなく、同意の要否やその例外条件を含めた規律全体としてバランスが取られているものと認識している。この観点から、『正当な利益』があるわけであるが、本人関与としての同意を取得することが困難な場合とは、具体的にどのような場合を想定しているのかお教えいただきたい。例としては、不正行為の防止のために事業者間で連携して個人情報を活用したい場合に、日本の現行法と照らした場合に取扱いが難しいことが多いと聞いている。ただ、GDPRで実際どのように『契約の履行』や『正当な利益』が使用されているのか把握しきれていないため、日本の現行法とGDPRを比較の上、使えそうな部分があれば、ぜひ日本でも活用してもよいのではないかと思う。今、これ以上の具体例の詳細は持ち合わせていないが、よく聞く話としては、不正行為防止のための事業者間のデータ連携がある。
Legitimate Interests Assessment (LIA): 正当な利益の妥当性を評価するには?

GDPRやICOでは、正当な利益が適切な法的根拠であることを確認するための評価を推奨しています。今回のブログでは、LIA(Legitimate Interests Assessment)について紹介し…

以下は個人情報保護委員会のサイトで公開されている新経済連盟のヒアリングと同日の12月15日に開催された日本IT団体連盟へのヒアリングについて「議事概要」の内容を抜粋し、まとめたものです。

テーマ個人情報保護委員会日本IT団体連盟
個人情報保護法と国際的ルールとのハーモナイゼーション国際的ルールとのハーモナイゼーションという言葉が印象的であったが、我々個人情報保護委員会としても、DFFTの実現に向けて相互運用性を促進するための作業を継続していることは分かっていただきたいと思う。また、GDPRのグローバルルールに占める存在感という言葉も非常に印象的であったと思っている。 米国・欧州の間でも個人情報等の概念の定義等が異なる中で、GDPRに合わせていくべきであると考えられる理由について教えていただきたい。また、個人情報の定義については、具体的に、GDPRと個人情報保護法のどういった差分が、どのような問題を生んでいるのか、教えていただきたい。GDPRと申し上げたのは、グローバルルールの中でもGDPRの存在感が高くなっている認識があるため。米国ではcomprehensiveなfederal lawが存在していないが、州法レベルでは、カルフォルニアを代表して、いろいろな形で規律がGDPRのようになってきていると認識している。それは、欧州のような影響力がある地域でのビジネスを考えた場合、それぞれの地域のルールに目を向けざるを得ない。そのことを考えた場合、やはり、影響力が大きいところにハーモナイズしていくのは、一つの選択肢であると思っている。米国は特にfederal lawについてはGDPRとは異なるスタンスであるが、そのようなスタンスを取ることができる理由は米国のマーケットが大きいからであると認識している。GDP世界一の大きいマーケットを有しているため、自分達のルールを譲らずに頑張っている部分があると思っている。日本はなかなか難しいポジションにあり、GDPの水準も4位に落ちており、国際的なマーケットの強さの観点からルールメイキングの争いで勝てるかどうかを考えたときに、難しい立ち位置にいると考えている。それを踏まえ、一番伸びる可能性がある地域に合わせるのが一番よいと思っている。 個人情報の定義の違いの部分については、日本は、例えばCookieやIPアドレス等は、それ単体では個人情報として取り扱われていない国になる。インターネットを通じて様々なビジネスが行われていく中で、自分達が作るシステムの中で個人情報は特殊に取り扱われるようにする必要があり、同意を得るための画面の設計等いろいろな部分に関係してくるが、そういったものでズレが生じてしまう。そのズレが生じないシステム開発をするために、少なくとも、個人情報の定義については合わせていく必要があると考えている。
子供・未成年のプライバシーについて こどものデータの取り扱いがグローバルに広がるということだけではなく、日本国内でも大事なことだと考えている。このことに関して、3点ほど質問させていただきたい。

 1点目は、こどものデータに対する保護の規定を設けるべきとのことであるが、GDPRとの差分、特に同意の在り方やこどものデータ利用に関して、IT連盟としてはどのような取組を行っているのか。 
1点目の、IT連盟の取組というところについてだが、団体としてこの点について取り立ててガイドラインを作成する等のことは、今のところ行っていない。加盟各社の対応に委ねているのが実態である。逆に言うと、加盟各社の取扱方法についての一律の規律が存在していないため、バラバラである。保護者の同意を確認するために何歳で区切るのがよいのか等についてもバラつきがあると認識しており、場合によっては加盟各社の中には全くそこを理解していない事業者も残念ながら幾つか存在していると理解している。 
2点目は、どういった規定が存在することが望ましいと考えているか、その詳細を教えていただきたい。2点目の、規律については、一つは年齢を何歳にするかということはあるが、一定年齢未満のこどものデータを取得する際には保護者の同意あるいは許可を得なくてはならないとする規定を設けることや、オンラインサービスの利用に年齢制限をかける場合には、年齢確認をするというようなこともあると思っている。年齢確認の方法は、オンラインで行うことは非常に難易度が高いところだが、幸い、マイナンバーカードによる認証について、デジタル庁が来年春頃にAPIの方法を公開するという話が出てきているため、そういったものを使用すると、以前に増して、より正確に年齢確認ができると認識しているため、そういったものを使って年齢確認することが可能になってくると考えている。もう一つ、こどものデータを取り扱う場合についてだが、これはこどものデータの取扱いに限らないが、PIAの実施を義務付けることを考えていただいてよいのではないかと思っている。 
3点目は、現状そのような規定が無いことで、どういった問題が生じているか、具体的な事例を教えていただきたい3点目の、現状そのような規定が無いことでどういった問題が生じているかについては、少し抽象的になるが、一つはこども本人が知らないまま、データ収集・分析が行われているため、様々な広告の客体にはなっていると思う。その広告がこどもにとって適切かどうかの判断がなされているか、今のところは分からないという状況である。個別のサービスでは、こどもが利用者であることが判別しにくかったことで、こどもが過剰にサービスを利用し、登録されていた保護者のクレジットカード宛てに多額の請求がなされ、取消権の行使もできないということも発生している問題がある。これは、個々の問題ではあるが、様々な情報が行き交っており、AIの時代に正しくない情報がまん延してしまうときに、そういった情報からこどもを守っていく手段を沢山用意する必要があると思っているため、SNSのように、非常に雑多な情報がある空間にどのようにアクセスさせるべきかについては、まさにこれから考えていかなくてはならない課題であると認識している。
制裁金の厳罰化以外にIncentivizeする仕組みについての提案 課徴金等も含めた厳罰化だけでなく、事業者の適切な対応を促すための事業者側のインセンティブを検討すべきとの記載があるが、個人データを取り扱う事業者にとって、具体的にどういった枠組みがあればインセンティブとして働くのか、考えを聞かせていただきたい。1点目の、インセンティブに関する質問についてだが、具体的な案を持ち合わせていないというのが、正直なところ。一つの例として、IT連盟では情報銀行というフレームを作り、また、情報銀行認定という制度を作りデータの利活用を進めようとしているが、安全な仕組みであることを説明しても、そういった制度をなかなか使っていただけない。制度を作っても使用するインセンティブが働かないことに対する対策については、IT連盟としても取り組んでいるが、大きな課題の一つだと思う。具体例としては、何か申し上げる案は今の時点では持ち合わせていない」旨の回答があった。
また、最近の漏えい等事案の例に鑑みると、委託先事業者や派遣社員を含めた安全管理体制の整備や、システム設計や運用を含めたヒューマンエラーの防止策、不正アクセス対策等の安全管理措置を講じることが重要と考える。対象事業者における漏えい等を防止するために、IT連盟あるいは加盟団体において、自主的に行っている取組などがあれば教えていただきたい。また、そのような『取組を行うインセンティブ』、又は、『行わないことに伴うディスインセンティブ』となるものがあれば併せて教えていただきたい2点目の、安全管理措置に関する質問についてだが、ここでは各社が適切に取り組んでいるということしか申し上げられないが、インセンティブという点に関しては、事業者は個人情報の漏えい等事案が発生した際における社会的なレピュテーションの低下をとても気にする。その社会的なレピュテーションの低下が生じないようにするということは、かなり大きなインセンティブになっていると思う。実際、漏えい等を発生させて個人情報保護委員会に報告等をする必要が生じた事業者の話を聞くと、彼らが気にしている点はレピュテーションリスクを顕在化させてしまったことに対する反省でもあり、逆に言うと、実態としては報告の仕組みがあるということが歯止めになっていると理解している。
ハーモナイゼーションにより変更されるであろう定義や罰則などについての認識 1点目だが、プレゼンの中で、個人情報の定義をはじめGDPRに寄せるべきであるとのことであるが、個人的な御見解で差し支えないが、個人情報の定義を変更する場合、個人情報保護法全体にも影響が生じる。執行力や課徴金に関する部分もGDPRに寄せるべきだと思っているか、考えを聞かせていただきたい。 1点目の質問についてだが、執行力や課徴金に関する部分についても、基本的にはGDPRに寄せていくべきだと考えているその寄せ方やスピード感については、いろいろと検討いただければと思っている。
2点目だが、プレゼンの内容はいずれも個人情報保護法に関係しているが、例えば、こどもの問題の例における具体的な被害の話になると、青少年インターネット利用整備法の領分にもかなり入ってくると思う。そういった部分に個人情報保護法で一定程度、重なって引き受けるべきか、個人的な御見解で差し支えないので、考えを聞かせていただきたい2点目の質問についてだが、いろいろ法律が存在しており、必ずしも個人情報保護法だけで全ての範囲をカバーできていないことは理解している。こどもの話に触れたため、青少年インターネット利用整備法を例に挙げられたものと思われるが、先日改正された電気通信事業法は、逆に言うとあの内容を電気通信事業法において改正すべきなのかどうか、個人的には疑問に思っており、むしろ、個人情報保護法がカバーすべき範囲だったのではないかと思っている。逆に、そこが欠落していることにより他の法律が出てきてしまうことが起きており、個人情報保護法を核として全体の個人情報に関する法体系となるのが望ましいと思う。
規律全体のバランスについてまず、ハーモナイゼーションという主張の中でも、『GDPRとの差分』を埋めるために、GDPRのLegitimate Interestsを強く要望しておられるように感じた。ただし、GDPRにおいてはこれらが単独で存在するのではなく、規律全体としてバランスが取られているものであり、Legitimate Interestsだけを単独で主張するのは適切ではないものと考える。 その観点で、正当な理由があるにもかかわらず『同意』の取得が困難である場合として、具体的に想定しておられる事例があれば教えていただきたい。1点目だが、legitimate purposeについては、代表例として話させていただいたつもりであり、全体的に整合を取るべきだと思うため、ここだけ突出してということはあり得ないと思っている。ほかの要素を含めてバランスを取っていく必要があると思っている。いずれにしても、どのような基準でどの部分を加えていくのか、部分的に加えると全体的な整合が取れなくなるため、そこのところをどういった手順で進めていただくのかを考えていただければと思い、申し上げた次第である。
公衆衛生例外について(実務上使いづらい点について)加えて、公衆衛生例外等の個人情報保護法の現行の例外規定では、事業を行う上で、どういった状況に対応できないと考えているのかについて教えていただきたい。
2点目の公衆衛生例外についてだが、確かに公衆衛生例外は存在しているが、実際使いづらいということもあり、今年の5月に、医療分野の研究開発に資するための匿名加工医療情報に関する法律の一部を改正する法律が成立し、仮名加工情報でも使えることになった。これは、公衆衛生例外のところが十分に機能していなかったのではないかと、個人的には思っている。この改正法が必要だったのかを考えると、本当はそうではなかったのではないかと思っている。個人情報保護法本体では、公衆衛生例外と学術研究の例外があり、医療機関に関するところについては、人を対象とする生命科学・医学系研究に関する倫理指針というものがあり、その見直しの中で個人情報保護法との整合性を取るために、例外処理のところで整合性が取れたガイドラインが完成した。しかし、産業界側から学術研究以外の部分の取扱いをどのようにするのかという声があり、個人情報保護委員会でも、公衆衛生例外について、いろいろ解説等を出していたが、なかなか実態として、製薬会社や医療機器メーカー等の事業者側から見ると難しいところもあり、意見が多かったため、仮名加工情報の利用を認めるような法律ができたと理解している。そのため、公衆衛生例外のところの使い勝手がもう少し適切であれば、必要ない法律ではないかと、産業界側の方では感じていたと思っている。 
プロファイリングの不適正利用 もう1点、プロファイリングなどの行為が、結果的に不適正利用に当たる場合もあると考えるが、具体的に想定されるケースはあるかについて教えていただきたい。3点目のプロファイリングによる不適正利用については、当然、発生し得ると思っている。何をもって不適正とするかの判断もあるので、私が把握している事例のうち、このケースが不適正であるとはっきりとは申し上げられないが、これがプロファイリングに該当するとすれば、数年前に発生した内定辞退者の情報を基に作成した辞退率予測のようなものは、該当し得ると考えている。

さいごに

個人情報保護委員会のサイトでは、委員会の開催とともにヒアリングに際しての資料や議事録、議事概要などが逐次公開されおり、今回のブログでは、紹介しきれませんでしたが、欧州ビジネス協会(EBC)や在日米国商工会議所(ACCJ)、電子情報技術産業協会(JEITA)、全国商工会連合会、日本経済団体連合会(経団連)など様々な団体に対し、ヒアリングが行われ、現状の法規制に関する課題や意見が共有されています。

たとえば、欧州ビジネス協会(EBC)からは、EUと日本の個人情報の定義や個人情報の処理に関する法的根拠(正当な利益)の日・EU間の差異やそれによるデメリットや負担について欧州の企業側の視点での意見が共有されています。(議事概要はこちら

また、日本最大の経済団体である経団連からは、ヒアリングにあたり、「個人情報保護法の3 年ごと見直しに対する意見」の中で先述の3つの検討方針に関する課題認識と生成AIや画像認識などの新しいテクノロジーの活用に関する要望が述べられています。

今後のマイルストーンとして、今年春に「中間整理」が公表されるようなので、引き続き注目したいと思います。

この記事をシェアする

OneTrust は、プライバシー分野でNo.1のソリューションです。

人気の理由は、プライバシー法規制で求められる機能要件の網羅性にあります。

OneTrustのソリューションに興味がありましたら、

お気軽にお問い合わせください