現時点での3年ごと見直しの議論状況
いわゆる3年ごと見直し規定に基づき、個人情報保護法の改正の検討が進められている。
2024年6月頃に中間整理案が公表されると思われるが、少し先駆けて、公表されている資料を基に、いわゆる3年ごと見直しの検討状況をまとめた。
1.今更ながら、いわゆる3年ごと見直しとは
令和2年に成立した「個人情報の保護に関する法律等の一部を改正する法律」の附則10条は、以下のとおり規定している。
政府は、この法律の施行後三年ごとに、個人情報の保護に関する国際的動向、情報通信技術の進展、それに伴う個人情報を活用した新たな産業の創出及び発展の状況等を勘案し、新個人情報保護法の施行の状況について検討を加え、必要があると認めるときは、その結果に基づいて所要の措置を講ずるものとする。
今回の改正法はこの規定に基づき検討されている。
法令に「3年ごと見直し」の語が用いられている訳ではないことから、一般的に「いわゆる3年ごと見直し」と呼ばれており、個人情報保護委員会(以下「個情委」という。)も同様の呼び方をしている。
いわゆる3年ごと見直しに当たっては、
個人情報の保護に関する国際的動向
情報通信技術の進展
それ(情報通信技術の進展)に伴う個人情報を活用した新たな産業の創出及び発展の状況
等
を勘案した上で、「新個人情報保護法の施行の状況について検討を加え」、「必要があると認めるとき」は、「所要の措置を講ずる」こととされている。
個情法を改正しなければならない、と書かれている訳ではない。
2.改正スケジュール
「中間整理」の公表予定時期
令和5年11月15日、個情委により、「個人情報保護法 いわゆる3年ごと見直し規定に基づく検討」が公表された。
その後、有識者や関係団体へのヒアリングが行われ、ヒアリングに関する資料が個情委のHPに公表されている(新着情報一覧から確認することができる。)。
「中間整理」の公表予定は「2024年春頃」とされているが、現時点で中間整理は公表されていない。
今のところ、中間整理の公表は6月中旬頃になるのではないかといわれている。
改正法の成立・施行の見通し
「3年ごと」見直しといっても、3年に一度、改正法が施行される訳ではない(条文には「施行後3年ごとに……検討を加え(る)」と書かれている。)。
令和2年改正法の改正スケジュールから今回の改正法の成立・施行の時期を推測すると、次のとおりとなる。
すなわち、令和2年改正法の改正スケジュールは、大要、
平成31年4月25日に中間整理案が公表され、
令和元年12月13日に制度改正大綱案が公示され、
令和2年2月12日に制度改正大綱 意見募集結果が公示され、
令和2年3月10日に閣議決定がなされ、
令和2年6月5日に令和2年改正法が成立し、
令和4年4月1日に令和2年改正法が施行された。
中間整理の公表から改正法の成立までは約1年1か月の間が空いており、
中間整理の公表から改正法の施行までに約3年掛かっているので、
これを今回のスケジュール(中間整理案の公表:令和6年6月と仮定)に単純にスライドさせて考えると、
〇 成立は、令和7年7月頃
〇 施行は、令和9年6月頃
になるのではないかとの見立てが一応可能である。
3.ヒアリングの状況
第262回(令和5年11月29日)から第281回(令和6年4月24日)個人情報保護委員会において、以下の関係団体・有識者からヒアリングが行われた。
4.改正検討項目の大枠
第261回個人情報保護委員会において、「個人情報保護法 いわゆる3年ごと見直し規定に基づく検討」が公表され(参照)、検討の方向性として3つの軸が示された。
① 個人の権利利益のより実質的な保護の在り方
② 実効性のある監視・監督の在り方
③ データ利活用に向けた取組に対する支援等の在り方
その後、第273回個人情報保護委員会において、それまでのヒアリングを踏まえて、「個人情報保護法 いわゆる3年ごと見直し規定に基づく検討項目」が公表され(参照)、以下の項目(案)が示された。
に基づく検討項目」8頁を基に作成
5.詳細
以下、現時点(令和6年4月末時点)での議論状況を少し深堀りする。
1 個人の権利利益のより実質的な保護の在り方 関係
1) 生体データの取扱いに係る規律の在り方
上表「個人情報等の適正な取扱いに関する規律の在り方」との関係で、生体データの取扱いに係る議論の在り方が議論されている(第275回資料1)。
第275回資料1によれば、EU、米国(カリフォルニア州)、中国等の海外諸国では、自然人を一意に識別することを目的とする生体データはセンシティブデータに該当すると整理されている。
「生体データ」(biometric data)はGDPR(の仮日本語訳)でも用いられている語であるが、GDPRでは、「自然人を一意に識別することを目的とする生体データ」の処理は、データ主体が明確な同意を与えた場合等を除き禁止されている(9条1項、2項(a))。
これは、生体データは個人を特定する力が強い上、基本的に変更することが困難であるため、不適正利用や誤用がなされた場合のリスクが高いなどの考えに基づくものと考えられる(山本龍彦外編「個人データ保護のグローバル・マップ」378頁〔堀口悟郎〕(弘文堂、2024年)参照)。
他方、個情法では、このような生体データは要配慮個人情報には該当せず、個人識別符号(2条2項、同法施行令1条1号イ)として個人情報に該当すると取り扱われるにとどまっている。ガイドラインでは、個情委が、令和5年3月に、犯罪予防や安全確保のための顔識別機能付きカメラシステムの利用について「犯罪予防や安全確保のための顔識別機能付きカメラシステムの利用について」を公表し、また、同年5月に「「個人情報の保護に関する法律についてのガイドライン」に関するQ&A」(以下「Q&A」という。)1-12~16を追加したものの、本人の同意が求められている訳ではない。
第275回議事録では、「生体データの取扱いについて一般の個人データと異なる特別の規律を設けるべきか、仮に設けようとした場合にどのような規律を設けるべきかが論点となると考えられます」とされている。
仮に要配慮個人情報に該当すると整理すれば、取得に当たって原則として同意が必要となるが、例えば、「顔特徴量」といった生体データを想定したとき、公道やショッピングモールに出歩く人の同意をどのように取得すればよいのかなど色々問題が生じそうである。
2) 代替困難な個人情報取扱事業者による個人情報の取扱いに係る規律の在り方
タイトルからは何のことなのかが連想しにくいが、「本人が事実上このサービスしか使えないから事実上利用規約やプライバシーポリシーに同意をせざるを得ない」、「個人情報取扱事業者と本人の力関係から、同意をせざるを得ない」という場面を想定した議論と思われる。具体的には、委員から寄せられている以下の意見等に関連する議論であると思われる(第273回議事録3頁)。
個人情報を提供することがサービスを受けるための条件となっているケースが存在するが、個人情報の取得は、あくまでその目的との関係で必要最小限にとどめるべきではないか。
本人同意があれば何でもよいということではなく、当事者の従属関係等も考慮して、実体的な権利利益保護の在り方を検討すべき。
事実上利用しないことが困難なサービスの利用に当たって必要以上の個人情報を個人情報取扱事業者に提供せざるを得ないという問題や、膨大な文字量で構成された利用規約やプライバシーポリシーへの同意を根拠に個人情報の取扱いが正当化されるという、同意が実質的に機能していないという問題に対応する問題は、これまでも指摘されている。
第275回議事録では、「代替困難と評価される個人情報取扱事業者による個人情報の取扱いについて特別な規律を設けるべきか、仮に設けるとした場合、どのような規律を設けるべきかが論点となるかと考えられます」とされている。
個情法の「同意」は必ずしも明示的なものであることは要求されておらず(Q&A1-61)、労使間等の力の不均衡がある場合等の同意の有効性は必ずしも考慮されていない。
GDPRの同意に関するガイドライン等を参照して同意の要件を厳格化したり、データ最小化(GDPR5条1項(c))の考え方を取り入れたりすることになるのではないか。
3) 不適正利用・不適切利用に関する規律の在り方
個情法20条は、「個人情報取扱事業者は、偽り、その他不正の手段により個人情報を取得してはならない」と定め、適正取得義務を定めている。令和2年改正前は、個人情報取扱事業者が個人情報を適正に取得した後、利用目的の範囲内で利用をしていれば、たとえ不適正な利用態様であっても違法とする根拠がなかったが、同年改正法により19条(「個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない」)が追加された。破産者マップ事件等を受けて追加されたものである。
現状、ガイドライン(通則編)3-2では、19条違反に当たる事例が6つ紹介されているが、見てのとおり条文の文言が抽象的であり、規制範囲が明確でないといわれてきた。
第275回議事録では、「不適正取得・不適正利用に対する規律について、事業者の予測可能性を高める観点からガイドライン等に明記し、規制範囲の明確性を高めるか、その場合にどのような事例を記載することが適切かが論点となるかと考えられます」とされている。
法改正には直結しなさそうだが、ガイドラインやQ&Aの記載が追加されるものと考えられる。
4) 個人関連情報の適正な取扱いに係る規律の在り方
令和2年改正法で、個人関連情報規制が追加された。「個人関連情報」とは「生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの」をいう(個情法2条7項)。Cookie等の端末識別子を通じて収集された、ある個人のウェブサイトの閲覧履歴等(第275回資料1・25頁)がこれに該当するが、現行の個人関連情報規制は、第三者提供の場面のみを規制するもので、GDPR等は異なり、取得時の規制はない。
また、上記閲覧履歴等の利用者情報については、2023年に施行された改正電気通信事業法の外部送信規律により利用者に確認の機会を付与することが義務付けられたが、同規律の適用事業者は少ないので、諸外国に比べて規制が緩い状況にある。
第275回議事録では、「個人関連情報の取扱いについて特別の規律を設けるべきか、仮に設けるとした場合、どのような規律を設けるべきかが論点となるかと考えられます」とされている。
第三者提供の場面以外にも個人関連情報の取扱いに起因する個人の権利利益が侵害される場面はあり得るので、それ以外の場面で何らかの規制が設けられることが考えられる。外部送信規律のような確認の機会の付与の義務の対象事業者を拡大させたり、取得の段階で通知・公表のルールを設けてはどうか。
5) こどもの個人情報等に関する規律の在り方
次は、こどもの個人情報等に関する規律の在り方である。
例えばGDPRでは、こども(子ども)は個人データの取扱いに関するリスク、結果等を十分に認識する能力が不十分であるとの考えに基づき(GDPR前文(38))、16歳未満の子どもについては、同意が必要な場面では親権者の同意が必要とされたり(GDPR8条1項)、情報提供に当たって特別の手当が施されていたり(GDPR12条1項)などの規律が設けられている。
また、アメリカでも、児童オンラインプライバシー保護法(COPPA)によって、ウェブサイト又はオンラインサービスの利用に関し、13歳未満のこどもの情報の取扱いが規制されている。
他方で、個情法には、こどもの個人情報の取扱い等に係る明文の規定はなく(第280回資料1・1頁参照)、ガイドライン、Q&Aにおいて、12歳から15歳までの年齢以下の子どもについて、法定代理人等から同意を得る必要があるとされているのみである(ガイドライン(通則編)2-16、Q&A1-62)。
第280回議事録によれば、委員から、例えば以下の発言がなされている。
「『こどもの個人情報等に係る規律の在り方』について、当然多角的な検討が必要だと理解している。上乗せ規律に関して、こどもの個 人情報が取り扱われる利用目的に着目して規律を講ずるのも有効ではないか。特に、こどものデータを利用する場合における利用目的の特定で追加のハードルを設け、適切な取扱いを促すことが考えられる。現在は、利用目的の特定はできる限り具体的に行うよう求めているに留まることから、取得に際して非常に広い範囲で利用目的を特定されることが少なからずあると思う。利用者がこどもの個人情報を取り扱っていることが明らかな場合は、利用目的の特定をより厳格に求めていくのも検討に値するのではないか」
「まず、こどもに関する規律は、個情法上にこどもに関する特有の規律を置くべき。そこでは、責務規定を原則として、例外的に年齢規制を置くべきである。責務規定については、広く未成年者である18歳未満を対象とし、例外的な年齢規制は適切な年齢制限を置く。その際、一つの考え方として、現行のQ&Aと合わせて16歳未満とすることが考えられる。一律に年齢規制を置かない理由は、内容によって規制のあり方が異なると思われるし、オンラインサービス等こどものアクセス権の保護も必要な場合もあるからである。責務規定だと法的拘束力が無いとされるが、逆に事業者側にリスク評価と適切な対応を義務づけて説明責任を課すという、いわゆるリスクベースアプローチを推進する一環としてこのような形で規制するのが適切ではないか。
規制が必要な局面は二つあると考える。一つは、こどもが直接アクセスする可能性がある製品やサービスを提供する事業者に係る規制。ここでは責務規定として、こどもの利益を最優先して、透明性を確保する、具体的にはこどもがアクセスする可能性を念頭に明瞭な言葉で説明する、PIAの定期的な実施、年齢に応じた保護措置を求め、その上で高レベルのプライバシー保護を求めるべき。
二つ目は、収集されたこどもの個人情報の利用に関する規定。これも責務規定として、第19条の不適正利用の禁止の上乗せとして、特別な保護と配慮が必要であることを追加すべき。また、こどもに限らず社会的弱者に準用することもあり得るのではないか。その上で、プロファイリングの年齢規制など、例外的な禁止規定を置くことが考えられる。」
6) 団体訴訟制度
差止請求と被害回復という2つの問題がある。
ア 差止請求
消費者団体制度における差止請求とは、事業者の不当な勧誘や契約条項に対して、適格消費者団体が不特定多数の消費者の利益を擁護するために、停止を求めることができる制度である(参照)が、個情法には、適格消費者団体における差止請求についての規定は設けられていない(第280回資料1・16頁参照)。
この点、例えば、清水委員からは、次のような意見が示されている。
「差止請求はこれまでに問題となった指導の案件のように、事業者が不特定かつ多数の個人情報を不適切に扱う場合において馴染むものではないか。行為そのものを停止させるという点では非常に効果的である。資料でも課題が多く挙げられているが、適格消費者団体と個人情報保護委員会の連携・情報共有の仕組みを構築することで克服できるのではないか。当面の対象は利用停止請求が認められる違反行為に限って規律を設けるべきと考える」
イ 被害回復
消費者団体制度における被害回復とは、事業者の不当な行為によって被害が生じている場合に、特定適格消費者団体が、消費者に代わって被害の集団的な回復を求めることができる制度である(参照)。
消費者裁判手続法の制定時には、経団連の反対等の結果、精神的損害の回復が被害回復の対象から除外されていたが、その後、令和4年の改正で、以下のいずれかを満たす精神的損害(慰謝料)が対象に追加された。
財産的請求と併せて請求されるものであって、財産的請求と共通する事実上の原因に基づくもの
事業者の故意によって生じたもの
ただ、故意によって個人データの流出が生じる事案というのはそもそも多くなく、また、過失によって生じた事案では、財産的請求とセットで請求する必要があるから、クレジットカードの情報が漏えいした場合など二次被害が生じたような場合にしか使えないという点が問題になっている。
ただ、今回の改正では、消費者団体制度が利用できる範囲を拡大させる議論ではなく、典型的な少額大量被害事案である個人データの漏えい等における被害者の実効的権利救済と特定適格消費者団体運営の資金面の問題が議論されているようである。
7) オプトアウト届出事業者に係る規律の在り方
個人データの第三者提供に際しては、原則としてあらかじめ本人の同意を得る必要がある(法27条1項)が、
本人の求めに応じて当該本人が識別される個人データの第三者提供を停止することとしている場合であって、
所定の事項をあらかじめ本人に通知し、又は本人が容易に知り得る状態に置くとともに、
個情委に届け出たとき
は、あらかじめ本人の同意を得なくても第三者に提供することができるとされている(同条2項。オプトアウト制度)。
オプトアウト制度は、個人情報を含むデータベースを販売する事業者や、住宅地図等で個人情報を提供している事業者等を念頭に置いて設けられたものであり、個人情報取扱事業者に対し一定の義務を加重することにより、個人データの積極的な流通を認め、保護と利用のバランスを図ろうとするものである(第281回資料2・1頁)。ただし、諸外国では見られない制度であり、名簿業者による悪用等が問題視され、改正のたびに厳格化されている。
同資料では、これまで、犯罪対策閣僚会議が策定した「SNSで実行犯を募集する手口による強盗や特殊詐欺事案に関する緊急対策プラン」で闇名簿対策の強化が求められたことや、実態調査によって、オプトアウトにより個人データを提供するに当たって、提供先が提供を受けた個人データを違法又は不当な行為を助長し又は誘発するおそれがある方法で利用しないことを確認していないとの回答が3割を占めたこと、すなわち、オプトアウトに基づき第三者提供がなされる場面において、個人情報の適正な取扱いがなされていないことなどが指摘されている。
本記事公開時点で第281回議事概要・議事録がアップロードされていないため議論の形跡は確認できないが、要件を厳格化する方向でオプトアウト制度の規律が見直されることが予想される。
2.実効性のある監視・監督の在り方 関係
現時点では、実効性のある監視・監督の在り方についての「個人情報保護法 いわゆる3年ごとの見直し規定に基づく検討」は「①」までが公開されている段階である。すなわち、
課徴金、勧告・命令等の行政上の監視・監督手段の在り方
刑事罰の在り方
漏えい等報告・本人通知の在り方
のうち1と2までが公開されている。
1) 課徴金、勧告・命令等の行政上の監視・監督手段の在り方、刑事罰の在り方
「1. 課徴金、勧告・命令等の行政上の監視・監督手段の在り方」に関しては、行政処分としての課徴金制度の導入が議論されている。
課徴金とは、一般には、国がその司法権又は行政権に基づいて国民に賦課し国民から徴収する負担で租税以外のものをいう(第277回・資料1)。
清水委員は、「適切な措置をとらなかったことにより、人権侵害等の経済的には測定が難しい被害も起きている。このような場合には、不作為による節約額を基準値として、故意・過失等を勘案して課徴金を算定することを検討すべきでないか」と発言している(第277回議事概要)。今回の改正で、課徴金制度が導入される可能性がある。
なお、令和2年改正法の検討過程でも、同制度の導入が議論されているが、「課徴金制度について導入を求める意見もあるが、我が国他法令における立法事例の分析も併せて行う必要がある。また、目的達成のための手段として、罰則の強化や、勧告措置や外国当局との執行協力で担保されている現行の域外適用の仕組みでは果たして不十分なのか、罰則とは別に課徴金を導入する必要があるのかについても、様々な観点から検討する必要がある」との問題意識(平成31年4月4月25日中間整理)からか、導入には至らなかった。
「2. 刑事罰の在り方」については、例えば、令和2年改正により、個人情報データベース等不正提供罪(179条)の法定刑が引き上げられ、適用事例も目に付くが、「まとまったデータベースでなくとも、個人情報の不正取得による重大な人権侵害を及ぼすケースが、事務局からの説明にあったように、起きている。したがって、不正取得行為を刑罰の対象とすることが考えられる」という意見(清水委員)などが挙がっている(第277回議事概要)。
新たな罰則の創設、厳罰化が想定される。
2) 漏えい等報告・本人通知の在り方
「個人情報保護法 いわゆる3年ごと見直し規定に基づく検討」にはまだ詳しくまとめられていないが、委員や関係団体からは、これまでに例えば以下の意見が上がっている。
・ 漏えい事故の分析等について、関係省庁との協力関係を一層充実させるべき。
・ 漏えい等報告の義務化によって判明した日常的な漏えい等の発生状況を分析し、その防止のための効果的な対策を検討すべき。
・ 報告等が必要な事案が発生した場合に、本来リソースを割くべき事案へのシステム的対応等の再発防止のための対応や、本人の権利利益を保護するための対応ではなく、報告のために相当のリソースが費やされている。特に、「漏えいのおそれ」の場合、その該当性の判断は広く捉えられがちで、報告対象が広がり、過大な負担がかかっている
・ そうした労力をかけて報告した内容について、個情委において、個別事案への指導や助言のほか、安全管理措置の水準向上のための対策など、具体的にどのように活かしているのか明確でなく、事業者の負担感や費用対効果への疑問を抱かせているのではないか
・ 漏えい等に関する本人への通知について、本人の権利利益が侵害される可能性が限りなく低い場合などでも本人通知が求められ(※通知でなければ公表)、この点でも事業者側の負担感は大きい
例えば、外部の者が見れば何のデータであるか分からないデータであった場合にも、漏えい等が生じた個人情報取扱事業者において個人データに該当するのであれば報告・本人通知の義務が生じる、というのは過度な負担であるし、せめて報告だけでよいのではという気もする。
なお、令和4年度の報告義務該当事由別の件数をみると、個人情報取扱事業者等(国の行政機関等を除いたもの)の総報告件数4217件のうち3584件(85%)が要配慮個人情報を含む個人データの漏えい等(規則7条1号)であったとのことである(片岡秀実「個人情報保護委員会の監視・監督活動の概要」NBL No.1263 14頁参照)。
報告件数を減少させることを志向する場合、要配慮個人情報を含む個人データの漏えい等に係る報告件数を減少させることが必要となるが、同情報の要保護性とどのようにバランスを図るのかが課題になりそうである。
3.データ利活用に向けた取組に対する支援等の在り方 関係
個情委における詳細な議論はこれからのようなので、第273回資料4を引用するにとどめる。
以 上
この記事が気に入ったらサポートをしてみませんか?