吉井です。本日、個人情報保護法三年ごと見直しの中間整理案が公表されましたが(URL)、必要があって、読みやすいように「考え方」だけ抜粋したものを作成しましたので、貼っておきます。パブコメで意見を出す人はご参照ください。今回はある意味、いろいろと意見の出し甲斐があると思います。
なお、中間整理前に出ていた論点のうち、代替可能性がないサービスの話は、「不適正な利用の禁止」「適正な取得」の規律の明確化に溶け込んでいます。
要保護性の高い個人情報の取扱いについて(生体データ)
生体データについて、実効性のある規律を設ける検討をする必要がある。生体データの利用目的の特定に関しては、どのようなサービスやプロジェクトに利用するかを含めたうえで特定することを求めること、本人による事後的な利用停止を他の保有個人データ以上に柔軟に可能にすることが考えられる。
「不適正な利用の禁止」「適正な取得」の規律の明確化
事業者による予測可能性を高める観点から適用される範囲等の具体化・類型化を図る必要がある。また、個人情報取扱事業者と本人との関係により、本人に自律的な意思による選択を行うことが期待できない場合があり得、その場合に、当然認められるべき利用目的以外で個人情報を取得利用することや、当然認められるべき利用目的の達成に真に必要な範囲を越えて個人情報を取得利用することなどについて、不正取得や不適正利用等の規律をどのように適用すべきか検討する必要がある。個人関連情報については、プライバシー侵害の蓋然性が高い場合について、不正取得や不適正利用への対応の在り方を検討する必要がある。
第三者提供規制の在り方(オプトアウト等)
オプトアウト届出事業者に一定の場合に、提供先の利用目的や身元等を特に確認する義務を課すことについて検討する必要がある。確認義務の要件についての検討や、住宅地図等を広く市販する場合など規律の在り方についても検討が必要である。また、取得元における取得の経緯や取得元の身元等の確認について、一定の場合には取得元の身元や取得の適法性を示す資料等を特に確認する義務を課す等、より高度の注意義務を課すことが考えられる。さらに、本人のオプトアウト権行使の実効性を高めるための措置を検討する必要がある。
こどもの個人情報等に関する規律の在り方
現行法上、原則として本人同意の取得が必要とされている場面において、こどもを本人とする個人情報について、法定代理人の同意を取得すべきことを法令の規定上明確化することを検討する必要がある。こどもを本人とする保有個人データについては、他の保有個人データ以上に柔軟に事後的な利用停止を認めることについて検討する必要がある。ただし、取得について法定代理人の同意を得ている場合等、一定の場合においてはその例外とすることも考えられる。こどもの個人データについて安全管理措置義務を強化することがあり得る。こどもの最善の利益を優先し特別な配慮を行うべき等、事業者等が留意すべき責務を定める規定を設けることも検討する必要がある。対象とするこどもの年齢については、Q&A の記載や GDPR の規定の例などを踏まえ、16 歳未満とすることについて検討を行う。
個人の権利救済手段の在り方
適格消費者団体による差止請求制度については、法に違反する不当な行為を対象行為とすることを検討すべき。その際、員会の監視・監督機能を補完する機能、専門性の確保、端緒情報等の共有・立証等における考慮、報告、監督窓口の一本化、資金を含む団体への援助が実効的な運用のために検討されるべき。被害回復制度は、極端な少額大量被害事案となること、立証上の問題があることが課題と考えられることから、更に慎重な検討が必要。
課徴金制度
課徴金制度の導入は、関係団体からのヒアリングで強い反対意見が示されていることに加え、我が国の他法令における導入事例や国際的動向、個人の権利利益保護と事業者負担とのバランスを踏まえ、その導入の必要性を含めて検討する必要がある。導入する必要があると考えられる場合には、対象となる違法行為類型、算定方法、最低額の設定、一定の要件を満たした場合の課徴金の加減算等などを検討する必要がある。
勧告・命令の在り方
個人情報取扱事業者等による違反行為により個人の権利利益の侵害が差し迫っている場合に直ちに中止命令を出すことの必要性や、法に違反する取扱いを行う事事業者等のみならず、これに関与する第三者に対しても行政上の措置をとる必要性、ほかに個人の権利利益の保護に向けた措置を求めることの必要性の有無や手続保障など、その法制上の課題等について検討すべき。
刑事罰の在り方
悪質事案の類型が様々であることを踏まえ、法の直罰規定がこれらの事案を過不足なく対象としているかを検証し、その処罰範囲について検討するとともに、法定刑の適切性についても検討する必要がある。
さらに、個人情報の詐取等の不正取得が多数発生している状況を踏まえ、こうした行為を直罰規定の対象に含めるべきかについても検討する必要がある。
漏えい等報告・本人通知の在り方
漏えい等報告について、例えば、体制・手順について認定個人情報保護団体などの第三者の確認を受けることを前提として、速報については、一定の範囲でこれを免除し、さらに漏えいした個人データに係る本人の数が1名であるご交付・ご送付案件のようなケースについては確報について一定期間ごとの取りまとめ報告を許容することも考えられる。「おそれ」要件については、具体的な当てはめについては、現実の事例に応じて精査する必要がある。事業者の協力も得ながら、実態を明らかにした上で検討を行い、必要となる要件の明確化を行うことが必要である。違法な第三者提供について、漏えい等との違いの有無も踏まえ、報告・本人通知の必要性や報告等の対象となる範囲を検討する必要がある。
本人同意を要しないデータ利活用等の在り方
法で本人同意が求められる規定の在り方について、個人の権利利益の保護とデータ利活用とのバランスを考慮し、その整備を検討する必要がある。この場合においては、単に利活用の促進の観点から例外事由を認めるのは適当ではなく、本人の権利利益が適切に保護されることを担保することが必要である。生成 AI などの、社会の基盤となり得る技術やサービスのように、社会にとって有益であり、公益性が高いと考えられる技術やサービスについて、既存の例外規定では対応が困難と考えられるものがある。これらの技術やサービスについては、社会的なニーズの高まりや、公益性の程度を踏まえて、例外規定を設けるための検討が必要である。この際、「いかなる技術・サービスに高い公益性が認められるか」について、極めて多様な価値判断を踏まえた上で高度な意思決定が必要になる。個人の権利利益の保護とデータ利活用の双方の観点から多様な価値判断が想定されるものであり、関係府省庁も含めた検討や意思決定が必要と考えられる。医療機関等における研究活動等に係る利活用のニーズについても、公益性の程度や本人の権利利益保護とのバランスを踏まえて、例外規定に係る規律の在り方について検討する必要がある。事業者の実情等も踏まえつつ、関係府省庁の関与を得ながら、ガイドラインの記載等についてステークホルダーと透明性のある形で議論する場の設定に向けて検討する必要がある。
PIA・個人データの取扱いに関する責任者
PIA については、民間における自主的な取組という現状の枠組みを維持しつつ、その取組を一層促進させるための方策について、PIA の出発点となり得るデータ マッピングを活用していくことを含め、検討を進める必要がある。個人データの取扱いに関する責任者に関しては、現行の通則ガイドライン等で定める「組織体制の整備」を超えた措置の必要性について検討を進めるべきである。資格要件の要否、設置を求める対象事業者の範囲等によりその効果が変わってくると考えられるところ、各企業の現状も踏まえ、現実的な方向性を検討する必要がある。
その他
以下は引き続き検討
・プロファイリング(本人に関する行動・関心等の情報を分析する 処理)
・個人情報等に関する概念の整理
・プライバシー強化技術(「PETs」:Privacy Enhancing Technologies)の位置づけの整理
・金融機関の海外送金時における送金者への情報提供義務の在り方
・ゲノムデータに関する規律の在り方
・委員会から行政機関等への各種事例等の情報提供の充実
1.クラウド例外について
昨年起こった社労士用サービス「社労夢」での個人データ(簡単に言うと個人情報を含むデータベースの中にある個人情報)の取扱いについて、昨日個人情報保護委員会が行政条の対応についてのプレスリリースを出しました(リンク先)。
これとあわせ、「クラウドサービス提供事業者が個人情報保護法上の個人情報取扱事業者に該当する場合の留意点に関する注意喚起について」(以下、単に「注意喚起」といいます。)を個人情報保護委員会はプレスリリースしています(リンク先)。
これは従前、クラウド例外と言われる取扱いについての説明を行ったものですが、これにより、ウェブサービス側、ユーザ側が受ける影響も大きいように思われますので、若干見ていきたいと思います。
まず、クラウド例外は、クラウドサービス提供事業者において個人データを取り扱わないこととなっている場合に、クラウドサービスでの個人データの利用が第三者提供にも委託にも当たらないとする個人情報保護委員会に置ける個人情報保護法の解釈・運用です(個人情報保護法Q&A Q7-53参照)。
ここで、取り扱わないとはどういう場合かというと、(1)契約条項によって当該外部事業者がサーバに保存された個人データを取り扱わない旨が定められており、(2)適切にアクセス制御を行っている場合等とされていました。
2.注意喚起について
今回の注意喚起では、まず、社労夢の案件に関し、(i)利用規約上、特定の場合に利用者の個人データを提供事業者が使用等できるようになっていた(上記(1)関係)、(ii)提供事業者が保守用IDを保有し、個人データにアクセス可能な状態にあり、技術的なアクセス制御等の措置が講じられていなかった(上記(2)関係)、(iii)提供事業者が利用者と確認書を取り交わしたうえで、実際に利用者の個人データを取り扱っていた(上記(2)関係)ことを理由に、本件がクラウド例外に当たらないことを述べています。
社労夢の案件での特殊性としては、(iii)が大きいように思われますが、(i)や(ii)については、多かれ少なかれいわゆるクラウドといわれるウェブサービスで行っていることが多いように思われますが、どの程度になれば取り扱うことになるのか、(iii)という本件特有の事情がどこまで考慮されているかが注意喚起では読み込むことができません。ついては、現状では、クラウドの利用に関しては、その大半が両方の可能性があることを念頭に対応せざるを得ないことになると思われます。
なお、注意喚起では、クラウド利用が委託に当たる場合に、委託先事業者に対する監督の一内容として当該クラウドサービスの安全性の確認を委託先に対して行う必要があることや、業務委託を受けている者がクラウドを利用した場合にそれが再委託となる可能性があり、その場合、委託元による法違反となり得ることなどが指摘されています。
3.報告書の影響について
委託にあたるか否かは、以下のような形で影響を与えます。
・クラウド事業者が外国にある場合に、ユーザが、個人データの本人に対して、提供に対する同意を得る必要があるかどうか(個人情報保護法28条1項)
・受託者がクラウドを使っている場合に、委託者側で、受託者によるクラウド利用やクラウドの委託該当性、クラウドの安全性について確認する必要が生ずるかどうか
・ある事業での受託者がクラウドの利用を行っている場合であって、委託者と受託者との契約上再委託が禁止されている場合に、業務委託契約上の契約違反となるかどうか
・ユーザとして、クラウドの利用を自身の安全管理措置の中で対応すべきか、委託先の監督の中で対応すべきか
ユーザからすると、クラウドが委託にあるか否かは、特に(2)の要件に関して判別が難しい場合が多く、両面をにらんでの対応を迫られることとなり、クラウドの利用を躊躇する動きにもつながりかねないことを危惧しております。個人情報保護委員会における対応が望まれるところです。