3年ごと見直しの現在地
当社コラムでは、これまでも個人情報保護法の改正動向に触れてきました。2024年6月には、「いわゆる3年ごと見直しに係る検討の中間整理」(以下「中間整理」とします)が公表され、こちらのコラムでもその内容について解説しました。
上記コラムでは、「大きな反対意見が寄せられなければこの方向性で進むであろう」と記載していたのですが、その後中間整理に関するパブリックコメント募集が始まると、様々な立場の方から多種多様な意見が寄せられ、中には根本的な考え方から見直すよう求めるものもありました。
これを受けて2024年9月、個人情報保護委員会は「今後の検討の進め方」という資料を公表し、意見募集結果を踏まえた議論を改めて行う旨を説明しました。
(第312回個人情報保護委員会資料 “「個人情報保護法 いわゆる3年ごと見直しに係る検討」 の今後の検討の進め方について(案)”より抜粋)
上図の通り、具体的な改正内容の検討としては、大きく以下の3種類に分類されています。
① 課徴金、団体による差止請求制度や被害回復制度
中間整理では慎重な論調で記載されていた部分であり、パブリックコメント結果が揃う前の2024年7月から「個人情報保護法のいわゆる3年ごと見直しに関する検討会」が設置され、個別に検討されてきました。
こちらについては2024年12月に「個人情報保護法の いわゆる3年ごと見直しに関する検討会 報告書」が提出され、ここまでの検討・議論結果の詳細について記載されています。
ただし、「想定される制度」として具体的な制度案が含まれているものの、付随して検討会内での反対意見も付されているなど、検討にはまだ時間がかかりそうに思われます。
そもそも当社のサイトにご訪問頂いている方はある程度個人情報保護に対する意識が高く、あまり関わらない(はずの)論点かと思いますので、今回は詳細には触れません。
② その他の主要個別論点
中間整理の中で挙げられた、①以外の個別論点について、企業や団体、関係省庁等の多様なステークホルダーとの対話に基づき検討が進められています。
この検討にあたっては、中間整理のパブリックコメントにて「デジタル社会の進展やAIの急速な普及をはじめとした技術革新や技術の社会実装の動向等も考慮し、制度の基本的な在り方に立ち返った議論を行うべきである」との意見が出されたことを踏まえて、改めて個人情報保護委員会事務局が各ステークホルダーにヒアリング(以下「事務局ヒアリング」)を実施し、中間整理における論点に限定せず、制度の基本的な在り方に関わる次元の論点を再確認したとのことです。
これを踏まえ、2025年1月の個人情報保護委員会にて“「個人情報保護法 いわゆる3年ごと見直しに係る検討」 の今後の検討の進め方について(案)”が提出され、その中「短期的に検討すべき追加的な論点」が挙げられました。
この論点は中間整理で触れられていませんでしたが、わざわざ「短期的」と記載されていることから、今回の改正に盛り込まれる可能性がある論点となりますので、今回はこれを中心に取り上げます。
③ より包括的なテーマや個人情報保護政策全般
今回の改正には盛り込まれなさそうなので、深くは取り上げませんが、継続的にステークホルダーと議論を行うものとして、以下の論点が挙げられています。
| (1) | デジタル化に対応した個人情報取扱事業者のガバナンスの向上(適切なデータ利活用を推進できる体制整備(PIA(個人情報保護評価)実施・DPO(データ保護責任者)設置等を含む)、人材育成等) |
| (2) | 個人・消費者と事業者との信頼(トラスト)の醸成・向上 |
| (3) | 官民を通じたデータ利活用の推進、適切な企業・組織間連携 |
| (4) | 民間の自主的取組へのインセンティブ、認定個人情報保護団体に関する取組 |
| (5) | 本人関与の在り方という観点からの更なる整理(プロファイリング、データポータビリティ等) |
| (6) | 保護法益に応じた個人情報・個人データの範囲や規律の対象となる行為 |
短期的に検討すべき追加的な論点について
上述した「短期的に検討すべき追加的な論点」について、下記が挙げられています。
① 個人データ等の取扱いにおける本人関与に係る規律の在り方
ア.個人の権利利益への影響という観点も考慮した同意規制の在り方
イ.本人への通知が行われなくても個人の権利利益の保護に欠けるおそれが
少ない場合における漏えい等発生時の対応の在り方
② 個人データ等の取扱いの態様の多様化等に伴うリスクに適切に対応した規律の在り方
(ガバナンスの在り方)
それぞれについて解説していきます。なお、今回の委員会資料はあくまで論点の提示のみのため、その解釈や、どのような方向性となるかについての記載は筆者の個人的見解である旨をご承知おきください。
① 個人データ等の取扱いにおける本人関与に係る規律の在り方
まず、本人関与の意味という点について、事務局ヒアリングでは以下の考え方が示されました。
- 事業者におけるガバナンスの一環であるという考え方 - 本人に関わる情報の取扱いを本人が決定する権利の行使であるという考え方
このうち「事業者のガバナンス」については、本人の権利利益に直接的な影響がある場合は本人関与が必要である一方で、直接的な影響がない場合には本人関与は必須ではないという考えが共有されたとのことです。
また「本人による権利行使」について、そうは言っても「社会的なニーズ・手続負担を踏まえた現実的・具体的な個人の権利利益とのけん連性等との関係で自ずと制限が課される」という考え方が示されており、具体的には「準公共分野における利用」、「本人の権利利益に直接の影響のない統計等の利用」、「その他の正当性の認められる利用」などについては本人関与が必須ではないという指摘があったとのことです。(一方で、上記のような場合でも原則的には本人が許諾または拒否する権限を持つべきという指摘もあったようです) これらを踏まえ、「本人の権利利益への直接の影響の有無等」を切り口として、以下のような制度の在り方が提示されています。
ア.個人の権利利益への影響という観点も考慮した同意規制の在り方
本人関与の一種である「同意」について、直接の影響の有無を考慮し、以下のような場合については同意不要とすることが検討されています。
| (1) | 統計作成等、特定の個人との対応関係が排斥された一般的・汎用的な分析結果の獲得と利用のみを目的とした取扱いを実施する場合(AI開発が例示されています) |
| (2) | 取得の状況からみて本人の意思に反しない取扱いを実施する場合 |
| (3) | 生命等の保護又は公衆衛生の向上等のために個人情報を取り扱う場合であって本人の同意を得ないことに相当の理由があるとき |
上述した「本人による権利行使」という考え方の中での議論が反映されています。特に(1)に注目すると、AI開発のような先進技術分野での利活用を進めることで、国際競争力を高めるべく、更なる規制緩和を検討しているのではないかと考えられます。
この点については、前回改正で新たに登場した「仮名加工情報」の延長線上の考え方ではないかと思われます。仮名加工情報も元々統計作成等の素材としての活用を見込んで制定されたものですが、あまり活用は進んでいません。
理由としては、統計作成での利用についてはそもそも個人情報の利用目的として定めていれば、わざわざ仮名加工情報として扱う必要もない点が挙げられます。一方で仮名加工情報は第三者提供も原則として禁止されているので、仮名加工情報にしたからといって何か新たな利活用ができるわけでもなく、しかも必要事項の公表等の対応も必要になる、と、あまりメリットを感じられない事業者が多いのではないでしょうか。
ただし、業界全体で情報を共有したい医療分野においては、上記のような原則的な仮名加工情報では利活用がままならず、次世代医療基盤法によって「仮名加工医療情報」を定義しました。仮名加工医療情報においては利用可能な事業者を認定制とすることで、適正利用(識別行為の禁止等)を担保しています。これと似たような形で、本人関与を不要としつつも不適正な利用の防止を担保するような仕組みが考えられれば、改正法にて採用される可能性もあるかもしれません。
イ.本人への通知が行われなくても個人の権利利益の保護に欠けるおそれが少ない場合における漏えい等発生時の対応の在り方
「本人への通知が行われなくても本人の権利利益の保護に欠けるおそれが少ない」漏えい等については、本人通知を不要とする考えが示されています。中間整理では、個人情報保護委員会への報告義務の緩和について挙げられていましたが、今度は本人通知の方も緩和する方向性で検討されているようです。
どのような場合に「おそれが少ない」と言えるのかについては、今回の資料では例示されていません。事務局ヒアリングの議事録を見ても、特段の言及はありません。
その上で改正の具体的な方向性について考察するには、例えばGDPRとの比較が必要となります。長くなるため、この点は次回以降のコラムで改めて取り上げることとします。
② 個人データ等の取扱いの態様の多様化等に伴うリスクに適切に対応した規律の在り方(ガバナンスの在り方)
ここでは特に、委託先監督の規律について新たに整理する方向性が示されています。
これも今回の資料では具体的な内容の言及はありませんが、事務局ヒアリングの議事録を見ると、例えばクラウドサービス等を念頭に、委託先側で順守すべき規律の導入について議論されています。
現行法では委託元が委託先を監督することを義務付けられていますが、クラウドサービス等の場合、委託先となるサービスベンダ側の方が、委託元である利用企業よりも立場が強いケースが多いです。
例えばPマークやISMS認証を取得している企業では、よく委託先に対するセキュリティチェックシートを作成しますが、クラウドサービスの場合、個別には対応してくれず、セキュリティホワイトペーパー等の公開情報を頑張って調べて記入するという対応も多いかと思います。多くの利用企業を抱えるクラウドサービスベンダ視点では、全顧客に対応するには膨大な工数が必要となるため、仕方のない部分ではありますが、このような状況では十分な監督ができているとは言い難いでしょう。
こうした状況を踏まえ、委託先側で順守すべき規律を導入することで、委託元と委託先のパワーバランスに拠らず安全管理措置を担保する方向性について検討されています。
まとめ
以上、個人情報保護法改正の動向について見てきました。前回、前々回の改正であれば、年末には「制度改正大綱」が公表され、改正の方向性が示されていたところでしたが、今回はまだ論点提示段階です。
本国会で改正法案の成立までたどり着けるのか、個人的には少し疑わしいところですが、引き続き動向を注視したいと思います。
個人情報保護法に限らず、個人情報利活用動向や海外法施行状況の共有など、お客様のニーズに合わせた様々なご要望に対し、「個人情報保護コンサルティング」のサービスにてご支援しております。
情報収集の方法が分からない場合や、情報収集に割く工数が確保できない場合など、ご支援が必要な場合は是非弊社にご相談下さい。
