2024年6月27日に、個人情報保護法改正に向けた「いわゆる3年ごと見直しに係る検討の中間整理」(以下「中間整理」とします)が公表されました。先日公開した ”2024年 個人情報保護法 3年毎の見直し状況は?” のコラムでも触れましたが、元々2024年の春頃の予定だったところ、少し遅れて公表された形です。
「中間整理」とは、次回の保護法改正に向けた、先日のコラムでも触れたような議論・検討の経過を基に、現時点での個人情報保護委員会の考え方をまとめたものとなります。「中間整理」はパブリック・コメントに付され、そこで寄せられた意見を基に今後調整され、その結果が「制度改正大綱」という形で改めて公表されることとなります。この「制度改正大綱」段階まで来ると、概ね方向性としては決定事項に近いものとなり、その後具体的な内容を詰めて改正法案として公表されることとなります。
従って、中間整理段階では決定事項というわけではないのですが、個人情報保護委員会として実施したい改正の方向性は伺えますし、大きな反対意見が寄せられなければこの方向性で進むであろうと考えられます。今回のコラムでは中間整理で示された改正の方向性についてまとめます。なお、当然ですが筆者の主観も含まれてしまいますので、例えばパブリック・コメントを出すほどの熱意のある方は、原文も併せてご確認ください。
検討事項の整理
中間整理では、以下の内容についての検討状況が報告されています。
個人の権利利益のより実質的な保護の在り方 | 個人情報等の適正な取扱いに関する規律の在り方
・要保護性の高い個人情報の取扱いについて(生体データ)
・「不適正な利用の禁止」「適正な取得」の規律の明確化 |
第三者提供規制の在り方(オプトアウト等) | |
こどもの個人情報等に関する規律の在り方 | |
個人の権利救済手段の在り方 | |
実効性のある監視・監督の在り方 | 課徴金、勧告・命令等の行政上の監視・監督手段の在り方 |
刑事罰の在り方 | |
漏えい等報告・本人通知の在り方 | |
データ利活用に向けた取組に対する支援等の在り方 | 本人同意を要しないデータ利活用等の在り方 |
民間における自主的な取組の促進 | |
その他 |
・プロファイリング
・個人情報等に関する概念の整理 ・プライバシー強化技術(PETs)の位置づけの整理 ・金融機関の海外送金時における送金者への情報提供義務の在り方 ・ゲノムデータに関する規律の在り方 ・委員会から行政機関等への各種事例等の情報提供の充実 |
「その他」の箇所は、今後の検討課題として挙げられているのみで、中間整理では詳細な言及はされていませんので、今回はそれ以外の検討事項についての方向性を確認します。
個人の権利利益のより実質的な保護の在り方
事業者における個人情報の取扱いや本人対応について、検討が行われています。
個人情報等の適正な取扱いに関する規律の在り方
ここでは大きく、「生体データの取扱い」「『不適正な利用の禁止』『適正な取得』の規律の明確化」について取り上げられています。
生体データ
生体データについては、特に人流データ取得のためのAIカメラや、顔認証カメラなどが念頭に置かれています。現行法では生体データに特化した規律は無い中、特に要保護性が高いと考えられる生体データについては以下のような規律を設けることが検討されています。
・どのようなサービスやプロジェクトに利用するかを含めた形で利用目的を特定すること
・生体データの取扱いに関する一定の事項を本人に対し通知又は十分に周知すること
・本人による事後的な利用停止を他の保有個人データ以上に柔軟に可能とすること
規制強化の側面もありそうですが、これまで弊社のクライアントでも、AIカメラや顔認証カメラについてのご相談が多数ありましたので、対応が明確化されること自体は望ましいと言えそうです。
『不適正な利用の禁止』『適正な取得』
『不適正な利用の禁止』『適正な取得』の規律の明確化については、新破産者マップの事案や不適切な名簿屋の事案など、過去に問題になった事例をベースに、適用される範囲等の具体化・類型化を図るとされています。確かに上記のような事例は明確にNGと言えそうですが、「ではどこまでが適正/不適正なのか」と言われると、判断が非常に難しいところですので、基準が明確化されること自体は歓迎されそうです(変なところで線引きされなければ、ですが)。
一方、この文脈の中で「電話番号、メールアドレス、Cookie IDなど、個人に対する連絡が可能な情報」についても言及されています。これらについては不正取得や不適正利用等による被害が個人情報と同等に深刻であり、対応を検討するとされています。Pマークでは「本人に連絡又は接触する場合の措置」として対応が求められているところではありますが、もしかすると似たような内容が個人情報保護法でも要求されることとなるかもしれません。
第三者提供規制の在り方(オプトアウト等)
基本的にはオプトアウト規定に関しての言及となっており、悪質な名簿屋による特殊詐欺グループなどへの名簿販売や、不正取得した名簿の販売などの防止を念頭に置いた改正の考え方が示されています。そのため、大多数の事業者にはあまり関係がないと思われます。
検討されている内容としては以下の通りです。(基本的にオプトアウト届出事業者が対象の想定)
・一定の場合には提供先の利用目的や身元等を特に確認する義務を課す
・一定の場合には取得元の身元や取得の適法性を示す資料等を特に確認する義務を課す
その他、本人のオプトアウト権行使の実効性を高めるための措置についても継続して検討するとされています。
こどもの個人情報等に関する規律の在り方
現行法では、大人とこどもで特に違いを設けていませんが、こどもの「脆弱性・敏感性及びこれらに基づく要保護性」の観点から、こどもの個人情報保護に関する規律を設けることが検討されています。
個別の検討観点としては以下の通りです。
法定代理人の関与
こどもの個人情報について、通知や同意取得については法定代理人に対して行う旨を義務付けることが検討されています。
利用停止等請求権の拡張
現行法では違法行為があった場合など限定的に利用停止等の請求が可能ですが、こどもの場合はより柔軟に利用停止等の請求を行えるようにすることが検討されています。
安全管理措置義務の強化
こどもの個人データについて安全管理措置義務を強化することが検討されています。
責務規定
こどもの最善の利益を優先し特別な配慮を行うべき等、事業者等が留意すべき責務を定める規定を設けることが検討されています。(原則論的なため、具体的な規制とはならないかもしれません)
年齢基準
「Q&A の記載や GDPR の規定の例などを踏まえ、16 歳未満とすることについて検討を行う」と記載されています。ここだけやけに具体的に書かれているため、一旦は16歳未満となるものだと考えて良さそうです。 昨今ではこどももスマートフォンを当たり前に保有していますし、上記の通り「16歳未満=こども」という形となればかなり範囲が広くなります。教育関係など、こどもを対象としたサービスの提供事業者はもちろんのこと、その他の事業者においても注視が必要な項目と考えられます。
個人の権利救済手段の在り方
団体による差止請求や被害回復の枠組みについて、適格消費者団体を念頭に置いて検討されています。
ただし他の項目と比較するとかなり慎重な論調であり、「団体による差止請求や被害回復の枠組みについては、関係団体からのヒアリングにおいて、その導入について強く反対との意見があった」「萎縮効果の懸念が示されている」とも記載されており、今後のパブリック・コメントなどを踏まえて方向性自体を検討するものと思われます。
実効性のある監視・監督の在り方
個人情報保護委員会における、事業者の監視・監督の実効性向上について検討が行われています。
課徴金、勧告・命令等の行政上の監視・監督手段の在り方
課徴金について、導入する場合は、対象となる違法行為類型、算定方法、最低額や加減算の要件などの論点を整理する必要がある旨が記載されています。
ただし、「個人の権利救済手段の在り方」と同様、関係団体からの強い反対を理由に、慎重な論調となっており、こちらもパブリック・コメントなどを踏まえて方向性自体を検討するものと思われます。
一方、勧告・命令の在り方については、以下のような措置の必要性が検討されています。
・重大な違法行為に対して直ちに中止命令を出す
・違法行為の当事者である事業者のみならず、関与する第三者にも行政措置をとる
・個人情報等の取扱いの中止のほかに個人の権利利益の保護に向けた措置を求める
こちらは「個人情報等の適正な取扱いに関する規律の在り方」と同様、新破産者マップや不適切な名簿屋の事案などを念頭に置いていることから、恐らく積極的に進められるのではないかと考えられます。
刑事罰の在り方
現行法では個人情報データベース等不正提供等罪(法第179条)が存在しますが、昨年多発した内部不正事案や、「かたり調査」のような個人情報詐取事案などを念頭に、直罰規定が十分であるか検討されています。
あまり具体的な方針は記載されていませんが、個人情報詐取についても直罰規定の対象に含めることが検討されています。
漏えい等報告・本人通知の在り方
現行法では漏えい等の事故について、一定要件を満たす場合は個人情報保護委員会に速報・確報の二段階で報告を行うことが義務付けられています。
要件の中には「要配慮個人情報を含む個人データの漏えい等」や「財産的被害が生じるおそれがある個人データの漏えい等」がありますが、これらは個人情報1件でも報告対象となるため、病院・薬局・介護施設など、日常的に要配慮個人情報を取り扱う場事業や、クレジットカード会社など、該当事象が発生してしまいやすい業種では、報告対応の負担が大きくなってしまっていました。
例えば薬局等において処方箋を1枚紛失してしまった、というような事案についても、その処方箋がファイリングやシステム管理などで「個人情報データベース等」として管理されているものである場合は、要件を満たしてしまうため速報・確報が必要となります。もちろん要配慮個人情報が含まれるため慎重に扱うべき、というのは当然なのですが、とは言え人が行う業務である以上、どうしても一定程度のミスは起こってしまい、かなりの件数の報告が発生してしまいます。実際、2023年度に個人情報保護委員会に報告された事案の内、1件のみの個人情報漏えい等のものが全体の84%を占めているとのことです。
そこでこれらの報告負担を軽減について、以下の2つの観点で検討されています。
■リスクベースアプローチ
漏洩した個人情報が1件のみである場合などは、本人通知は重要であるものの、個人情報保護委員会への速報の必要性は比較的小さいと考えられています。(邪推ですが、委員会側もこのような事故が多数報告され、対応に忙殺されることを避けたいのではないかと思います。)
■自主的な取り組みの推進
漏えい等またはそのおそれがある事案が発生した場合に、適切な対処を行うための体制・手順が整備されていると考えられる事業者については、一定程度自主的な取組に委ねることも考えられています。
これらを基に、例えば、体制・手順について認定個人情報保護団体などの第三者の確認を受けることを前提として、
・速報を一定の範囲で免除
・漏洩した個人情報が1件のみである場合などについては、確報について一定期間ごとの取りまとめ報告を許容
とする考え方が示されています。
認定個人情報保護団体と言えばJIPDECが真っ先に挙がります(実際今回の改正検討でもヒアリングを受けています)し、JIPDECによる確認と言えばPマークが最もメジャーです。
まだ未確定ですが、今後はPマーク取得により事故報告負担が軽減されるということもあるかもしれません。
報告負担の軽減ばかり語ってきましたが、一方で、「違法な第三者提供」については、現行法で報告・本人通知義務の対象外となっているところ、対象に含めることも検討されています。こちらはほとんどの事業者には影響がないはずです(影響があってはダメです!)。
データ利活用に向けた取組に対する支援等の在り方
健康・医療、教育、防災等の準公共分野を中心に、データの利活用促進の観点で検討が行われています。
本人同意を要しないデータ利活用等の在り方
現行法では第三者提供に際して本人の同意が必要であり、この原則は今後も特に変わらないものと考えられます。しかし一方で、現行法でも公衆衛生例外規定など、他の権利利益を優先するために本人同意が不要であるとされるケースもあります。(公衆衛生例外は、最近だとコロナ禍において従業員の罹患有無の情報提供などで注目されたので、記憶に新しい方もいるかもしれません。)
これらを踏まえ、公益性の高い技術やサービスについての利活用を促進するための、同意取得の例外規定について検討されています。ただし、「どのような技術・サービスが『高い公益性』の対象となるのか」など、個人情報保護委員会のみでは意思決定が難しい課題があるため、今後関係府省庁と連携して検討していく方向性とのことです。
民間における自主的な取組の促進
PIA(Privacy Impact Assessment)の実施や、個人データの取扱いに関する責任者の設置について、データガバナンス体制の構築において主要な要素と位置づけ、取組の促進を図っています。ただしGDPRのような義務化については、事業者の負担等を考慮して慎重な姿勢を示しています。
規制と利活用、事業者負担のバランス考慮
以上、中間整理における検討の方向性を見てきました。
私見としては、特に不適切な利用や犯罪行為への影響が見られる点や、生体データやこどもの個人情報などの要保護性が高い個人情報の取扱いについては厳格な姿勢を見せる一方で、公益目的での利活用を推進する姿勢を示したり、事業者負担の考慮が随所で見られたりと、バランスよく検討が進められているのではないかと感じています。個人情報保護委員会の議事録から受けた印象とは異なるニュアンスで記載されている箇所も多いことから、関係団体のヒアリング結果もしっかり考慮されているものと思われます。
今後、制度改正大綱にてより具体的な方向性が示されると思いますが、楽しみに待ちたいと思います。
当社では、個人情報保護法に限らず、個人情報利活用動向や海外法施行状況の共有など、お客様のニーズに合わせた様々なご要望に対し、「個人情報保護コンサルティング」のサービスにてご支援しております。情報収集の方法が分からない場合や、情報収集に割く工数が確保できない場合など、ご支援が必要な場合は是非弊社にご相談下さい。