個情法3年見直しヒアリング②欧州ビジネス協会編
こんばんは!
今日は12/6に開催された第263回個人情報保護委員会の「いわゆる3年ごと見直し(ヒアリング)」の2回目の内容を見てみたいとおもいます。
🏢ヒアリング事業者: EBC
第2回目のヒアリングは、欧州ビジネス協会(EBC)です。
発表資料はこちら
前回同様、EBCが3年次見直しに向けてどんな意見を述べたか?をスライドに沿って見ていきたいと思います。
💬EBCの意見
意見は、こちらのblogで紹介した個人情報保護委員会公表の3年見直し検討の方向性に沿ってではなく、特にGDPRとの整合性の視点で発表されたようです。
総論
論点の具体は3点、いずれも、曖昧さ回避のために、欧州のGDPRとの制度的調和を求めるものとなっています。
以下、3つの論点ごとにスライドを見ていきましょう!
✏️1.定義
まず、2つの法律の定義について、調和を求めるもの。
欧州の企業さんからすると、定義が同じだと楽という気持ちはわかりますが、日本の方が規範の範囲が狭い場合、改正のハードルは高い気もします。
⚫︎情報の定義
まず、情報の定義について、2つの法令での違いは、以下の通り
法第2条(第1項)
この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
(1)当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第2号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
(2)個人識別符号が含まれるもの
第4条 定義
(1) 「個人データ」personal dataとは、識別された自然人又は識別可能な自然人(「データ主体」)に関する情報を意味する。 識別可能な自然人とは、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子を参照することによって、又は、当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的又は社会的な同一性を示 す一つ又は複数の要素を参照することによって、直接的又は間接的に、識別されうる者をいう。
日本の個人情報の範囲は、GDPRより狭いので、GDPRのように間接的に識別できる個人広げるべきだ、という意見はよく聞くところです。
事業者の中には、自主的に、守るべき範囲を広げ、GDPR相当のデータを「パーソナルデータ」として、プライバシーポリシーを公表しているケースも見られます。
仮に改正されると、多くの事業者に影響が大きいため、ドラスティックな変更はないだろうという意見も聞きますが、論点のひとつであることは間違いなさそうです。
⚫︎取り扱いの定義
日本の個人情報保護法上、取扱いについての明確な定義が見当たらず、関連して、利用についての解説の中に言及があるのみです。
Q2-3
「利用」とは何を意味しますか。
A2-3
特段の定義があるわけではありませんが、取得及び廃棄を除く取扱い全般を意味すると考えられます。したがって、保管しているだけでも利用に該当します。
一方、GDPRのprocessingは以下のように定義されています。
EBCがprocessingを処理と訳している一方、個人情報保護委員会は取扱いと訳しているのですね…
第4条 定義
(2) 「取扱い」processing とは、自動的な手段によるか否かを問わず、収集、記録、編集、構成、記録保存、修正若しく は変更、検索、参照、使用、送信による開示、配布、又は、それら以外に利用可能なものとすること、整列若 しくは結合、制限、消去若しくは破壊のような、個人データ若しくは一群の個人データに実施される業務遂行 又は一群の業務遂行を意味する。
📄2.法的根拠
制度的調和2点目の希望は、日本大きく考え方が違う、「法的根拠」、「同意」の有効性の論点。
日本法の(第三者提供に)「正当な利益」の概念の導入を要望しています。
2つの大きな差異は、日本法が、個人情報は取り扱う前提で、利用目的の特定を前提としているのに対し、
法第17条(第1項)
個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。
GDPRは、処理して良い場合を限定する方式(つまり、基本は処理しない)という考え方の大きな違いがあります。
第 6 条 取扱いの適法性 Lawfulness of processing
1. 取扱いは、以下の少なくとも一つが適用される場合においてのみ、その範囲内で、適法である
…
(f) 管理者によって、又は、第三者によって求められる正当な利益の目的 for the purposes of the legitimate interestsのために取扱いが必要となる場 合。ただし、その利益よりも、個人データの保護を求めるデータ主体の利益並びに基本的な権利及び自由 のほうが優先する場合、特に、そのデータ主体が子どもである場合を除く
加えて、日本法は、第三者提供する場合は、同意を求めていますが、GDPRにおいては、同意は弱い根拠とされ、上記の正当な利益で整理することが多い点が、事態をややこしくしています…
法第27条(第1項)
個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。…
法の根幹に関わる部分なだけに、この点の変更がなされる可能性は低いように思いますが、法の制度的調和をはかる上では、なんらかの整理がされることが望ましい論点とも思います…
両方を立てるのはムズカシイ…😅
🌏3.域外適用
欧州の企業に日本法の域外適用の免除、つまり、(日本の個人情報保護法より厳しい)GDPRに遵守対応していれば、日本の個人にサービス提供をするなどしていても、日本法の追加義務を不要としてほしいという希望。
この気持ちも理解できますね!
域外適用については、令和2年の改正で、問題があった場合、外国の事業者にも報告徴収や命令などが行えるようになりました。
逆に言えば、「日本企業が日本の個人情報保護法を守っていたら、GDPRの遵守を免除してくれますか?」という話。
個人的には、相互に十分性認定的に自国と同等の法制度であると認められた法域については、ある程度の自由度を認めるのはありではないかと思います。但し、あくまで双方向を希望ですけどね!😉
以上、1回目のJIPDECの意見とはまた違った角度の意見でした!
年内に、事業者ヒアリングはまだいくつか予定されているようで、楽しみです!
では、また!
おまけ 今日のDall-E 3
この記事が気に入ったらサポートをしてみませんか?