吉井です。本日、個人情報保護法三年ごと見直しの中間整理案が公表されましたが(URL)、必要があって、読みやすいように「考え方」だけ抜粋したものを作成しましたので、貼っておきます。パブコメで意見を出す人はご参照ください。今回はある意味、いろいろと意見の出し甲斐があると思います。
なお、中間整理前に出ていた論点のうち、代替可能性がないサービスの話は、「不適正な利用の禁止」「適正な取得」の規律の明確化に溶け込んでいます。
要保護性の高い個人情報の取扱いについて(生体データ)
生体データについて、実効性のある規律を設ける検討をする必要がある。生体データの利用目的の特定に関しては、どのようなサービスやプロジェクトに利用するかを含めたうえで特定することを求めること、本人による事後的な利用停止を他の保有個人データ以上に柔軟に可能にすることが考えられる。
「不適正な利用の禁止」「適正な取得」の規律の明確化
事業者による予測可能性を高める観点から適用される範囲等の具体化・類型化を図る必要がある。また、個人情報取扱事業者と本人との関係により、本人に自律的な意思による選択を行うことが期待できない場合があり得、その場合に、当然認められるべき利用目的以外で個人情報を取得利用することや、当然認められるべき利用目的の達成に真に必要な範囲を越えて個人情報を取得利用することなどについて、不正取得や不適正利用等の規律をどのように適用すべきか検討する必要がある。個人関連情報については、プライバシー侵害の蓋然性が高い場合について、不正取得や不適正利用への対応の在り方を検討する必要がある。
第三者提供規制の在り方(オプトアウト等)
オプトアウト届出事業者に一定の場合に、提供先の利用目的や身元等を特に確認する義務を課すことについて検討する必要がある。確認義務の要件についての検討や、住宅地図等を広く市販する場合など規律の在り方についても検討が必要である。また、取得元における取得の経緯や取得元の身元等の確認について、一定の場合には取得元の身元や取得の適法性を示す資料等を特に確認する義務を課す等、より高度の注意義務を課すことが考えられる。さらに、本人のオプトアウト権行使の実効性を高めるための措置を検討する必要がある。
こどもの個人情報等に関する規律の在り方
現行法上、原則として本人同意の取得が必要とされている場面において、こどもを本人とする個人情報について、法定代理人の同意を取得すべきことを法令の規定上明確化することを検討する必要がある。こどもを本人とする保有個人データについては、他の保有個人データ以上に柔軟に事後的な利用停止を認めることについて検討する必要がある。ただし、取得について法定代理人の同意を得ている場合等、一定の場合においてはその例外とすることも考えられる。こどもの個人データについて安全管理措置義務を強化することがあり得る。こどもの最善の利益を優先し特別な配慮を行うべき等、事業者等が留意すべき責務を定める規定を設けることも検討する必要がある。対象とするこどもの年齢については、Q&A の記載や GDPR の規定の例などを踏まえ、16 歳未満とすることについて検討を行う。
個人の権利救済手段の在り方
適格消費者団体による差止請求制度については、法に違反する不当な行為を対象行為とすることを検討すべき。その際、員会の監視・監督機能を補完する機能、専門性の確保、端緒情報等の共有・立証等における考慮、報告、監督窓口の一本化、資金を含む団体への援助が実効的な運用のために検討されるべき。被害回復制度は、極端な少額大量被害事案となること、立証上の問題があることが課題と考えられることから、更に慎重な検討が必要。
課徴金制度
課徴金制度の導入は、関係団体からのヒアリングで強い反対意見が示されていることに加え、我が国の他法令における導入事例や国際的動向、個人の権利利益保護と事業者負担とのバランスを踏まえ、その導入の必要性を含めて検討する必要がある。導入する必要があると考えられる場合には、対象となる違法行為類型、算定方法、最低額の設定、一定の要件を満たした場合の課徴金の加減算等などを検討する必要がある。
勧告・命令の在り方
個人情報取扱事業者等による違反行為により個人の権利利益の侵害が差し迫っている場合に直ちに中止命令を出すことの必要性や、法に違反する取扱いを行う事事業者等のみならず、これに関与する第三者に対しても行政上の措置をとる必要性、ほかに個人の権利利益の保護に向けた措置を求めることの必要性の有無や手続保障など、その法制上の課題等について検討すべき。
刑事罰の在り方
悪質事案の類型が様々であることを踏まえ、法の直罰規定がこれらの事案を過不足なく対象としているかを検証し、その処罰範囲について検討するとともに、法定刑の適切性についても検討する必要がある。
さらに、個人情報の詐取等の不正取得が多数発生している状況を踏まえ、こうした行為を直罰規定の対象に含めるべきかについても検討する必要がある。
漏えい等報告・本人通知の在り方
漏えい等報告について、例えば、体制・手順について認定個人情報保護団体などの第三者の確認を受けることを前提として、速報については、一定の範囲でこれを免除し、さらに漏えいした個人データに係る本人の数が1名であるご交付・ご送付案件のようなケースについては確報について一定期間ごとの取りまとめ報告を許容することも考えられる。「おそれ」要件については、具体的な当てはめについては、現実の事例に応じて精査する必要がある。事業者の協力も得ながら、実態を明らかにした上で検討を行い、必要となる要件の明確化を行うことが必要である。違法な第三者提供について、漏えい等との違いの有無も踏まえ、報告・本人通知の必要性や報告等の対象となる範囲を検討する必要がある。
本人同意を要しないデータ利活用等の在り方
法で本人同意が求められる規定の在り方について、個人の権利利益の保護とデータ利活用とのバランスを考慮し、その整備を検討する必要がある。この場合においては、単に利活用の促進の観点から例外事由を認めるのは適当ではなく、本人の権利利益が適切に保護されることを担保することが必要である。生成 AI などの、社会の基盤となり得る技術やサービスのように、社会にとって有益であり、公益性が高いと考えられる技術やサービスについて、既存の例外規定では対応が困難と考えられるものがある。これらの技術やサービスについては、社会的なニーズの高まりや、公益性の程度を踏まえて、例外規定を設けるための検討が必要である。この際、「いかなる技術・サービスに高い公益性が認められるか」について、極めて多様な価値判断を踏まえた上で高度な意思決定が必要になる。個人の権利利益の保護とデータ利活用の双方の観点から多様な価値判断が想定されるものであり、関係府省庁も含めた検討や意思決定が必要と考えられる。医療機関等における研究活動等に係る利活用のニーズについても、公益性の程度や本人の権利利益保護とのバランスを踏まえて、例外規定に係る規律の在り方について検討する必要がある。事業者の実情等も踏まえつつ、関係府省庁の関与を得ながら、ガイドラインの記載等についてステークホルダーと透明性のある形で議論する場の設定に向けて検討する必要がある。
PIA・個人データの取扱いに関する責任者
PIA については、民間における自主的な取組という現状の枠組みを維持しつつ、その取組を一層促進させるための方策について、PIA の出発点となり得るデータ マッピングを活用していくことを含め、検討を進める必要がある。個人データの取扱いに関する責任者に関しては、現行の通則ガイドライン等で定める「組織体制の整備」を超えた措置の必要性について検討を進めるべきである。資格要件の要否、設置を求める対象事業者の範囲等によりその効果が変わってくると考えられるところ、各企業の現状も踏まえ、現実的な方向性を検討する必要がある。
その他
以下は引き続き検討
・プロファイリング(本人に関する行動・関心等の情報を分析する 処理)
・個人情報等に関する概念の整理
・プライバシー強化技術(「PETs」:Privacy Enhancing Technologies)の位置づけの整理
・金融機関の海外送金時における送金者への情報提供義務の在り方
・ゲノムデータに関する規律の在り方
・委員会から行政機関等への各種事例等の情報提供の充実
1.はじめに
本年6月7日、ステルスマーケティング告示における違反行為に該当するということで初摘発があったとの報道がありました(※1)。措置命令の内容については、消費者庁のウェブサイトに詳しいですが(※2)、インフルエンザワクチン接種のために来た患者に対し、インフルワクチン接種費用を割り引くことを条件に、Googleマップ上のクリニックのプロフィールにおける口コミ投稿欄に星5または星4の投稿をすることを求めた事案のようです。
同クリニックのGoogleマップ上の口コミを確認してみましたが、かなりの口コミが投稿され、低評価の投稿も多いようで、上記のステマが行われて総合評価が3.0であることを考えると、クリニック自身、低評価の口コミに相当に悩んでいたということがあったのかもしれません。
2.ステマ告示概要
それはさておき、令和5年10月1日から、令和5年3月28日内閣府告示第19号(いわゆるステマ告示)が施行され、ステルスマーケティングは景品表示法違反となっています。なお、ステルスマーケティング規制の概要については、昨年8月25日の当事務所オンラインセミナー「景品表示法におけるステルスマーケティング規制と企業での対応について」にてお話ししておりました。
同告示上、ステルスマーケティングとして景表法違反となる表示は、「事業者が自己の供給する商品又は役務の取引について行う表示であって、一般消費者が当該表示であることを判別することが困難であると認められるもの 」とされていますが、その解釈に関しては、「一般消費者が事業者の表示であることを判別することが困難である表示」の運用基準(※3)において記載されています。
報道されている事案の場合、問題となるものとしては、「事業者が第三者をして行わせる表示」への該当性、すなわち、「事業者が第三者の表示内容の決定に関与している場合」にあたるかどうかということになります。まず、この事案では、運用基準でいう「事業者が第三者に対して当該第三者のSNS(ソーシャルネットワーキング サービス)上や口コミサイト上等に自らの商品又は役務に係る表示をさせる場合」にストレートに当たります。もっとも、第三者の樹異種的な意思による表示内容と認められる場合には除外されますが、それは、表示内容の依頼・指示、対価提供関係など、事業者が表示内容を決定できる程度の関係性があるか否かにより判断されることになります。
3.本件事案との関係
なお、本事案では、星4といった具体的な依頼があったケースですが、明示的な依頼・指示がなくても、「事業者と第三者との間に事業者が第三者の表示内容を決定できる程度の関係性があり、客観的な状況に基づき、第三者の表示内容について、 事業者と第三者との間に第三者の自主的な意思による表示内容とは認められない 関係性がある場合」には、これも事業者の表示とされます。
このように、本事案のような具体的な依頼がない場合であっても、告示違反となり得、告示違反の範囲は想像より広いことが多いため、ご注意いただければと存じます。
また、本件のような第三者に依頼して高評価を投稿する場合だけでなく、従業員や業者に依頼して高評価をつける行為、ライバル業者の口コミに、自社のサービスと比較した低評価をつけさせる行為なども違反となります。
4.ランチセミナー[PR]
6/26の光雲法律事務所ランチセミナーでは、こちらの内容を分かりやすく説明する予定です。ご関心ある方々は是非ご参加ください。
※1 時事ドットコム「ステマで初の行政処分 医療法人、マップに星依頼―消費者庁」等
※2 消費者庁「医療法人社団祐真会に対する景品表示法に基づく措置命令について」
※3 消費者庁「一般消費者が事業者の表示であることを判別することが困難である表示」の運用基準