icon-angleicon-facebookicon-hatebuicon-instagramicon-lineicon-linked_inicon-pinteresticon-twittericon-youtubelogo-not
SCROLL
TOP
Publications 著書/論文
ニュースレター

「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」を踏まえた法改正の議論の現状と展望

NO&T Data Protection Legal Update 個人情報保護・データプライバシーニュースレター

※本ニュースレターは情報提供目的で作成されており、法的助言ではありませんのでご留意ください。また、本ニュースレターは発行日(作成日)時点の情報に基づいており、その時点後の情報は反映されておりません。特に、速報の場合には、その性格上、現状の解釈・慣行と異なる場合がありますので、ご留意ください。

はじめに

 個人情報保護委員会(以下「委員会」という)は、2023年11月頃より、個人情報保護法(以下「法」という)の「いわゆる3年ごと見直し」※1の検討を開始し、関係団体や有識者からのヒアリングを実施して議論・検討を進めてきた結果を踏まえて、本年6月27日に、「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」(以下「本中間整理」という)を公表した。本中間整理は、7月30日午前0時までのパブリック・コメントに付されている※2

 本中間整理は、これまでの議論・検討を踏まえた委員会の現時点での「考え方」が示されているものであり、今後、パブリック・コメントの意見も踏まえて最終的な方向性のとりまとめを行い、来年の通常国会において改正法案が提出されることが予定されている。生体データ、こどもの個人情報等の規律、漏えい等報告義務の軽減等、実務上、多くの事業者に影響がありうる事項が対象となっており、改正法の具体的内容によっては、プライバシーポリシー等の修正・変更、安全管理措置の変更、漏えい等発生時のマニュアルの変更等の対応が必要となる可能性があるため、事業者としても、自社への影響を含めて、現状の委員会の考え方を正確に把握しておく必要性は高いと思われる。

 そこで本ニュースレターでは、関連する現行法の規律を説明した上で、本中間整理で示されている「考え方」の概要、及びそのポイントについて紹介する(なお、本ニュースレターで紹介している本中間整理の「考え方」については、執筆者が一部要約したものであり、より正確なニュアンスを理解するためには、本中間整理の原文をご参照いただきたい)。

本中間整理における検討項目

 本中間整理は、大きな枠組みとしては、「個人の権利利益のより実質的な保護の在り方」、「実効性のある監視・監督の在り方」、「データ利活用に向けた取組に対する支援等の在り方」、「その他」に分けられており、さらに細かく具体的な検討項目が記載されているが、以下では、それぞれの具体的な検討項目について説明していく。

個人の権利利益のより実質的な保護の在り方
個人情報等の適正な取扱いに関する規律の在り方

  • 要保護性の高い個人情報の取扱いについて(生体データ)
  • 「不適正な利用の禁止」「適正な取得」の規律の明確化
第三者提供規制の在り方(オプトアウト等)
こどもの個人情報等に関する規律の在り方
個人の権利救済手段の在り方
実効性のある監視・監督の在り方
課徴金、勧告・命令等の行政上の監視・監督手段の在り方
刑事罰の在り方
漏えい等報告・本人通知の在り方
データ利活用に向けた取組に対する支援等の在り方
本人同意を要しないデータ利活用等の在り方
民間における自主的な取組の促進
その他

個人の権利利益のより実質的な保護の在り方

 情報通信技術等の高度化に伴い、大量の個人情報を取り扱うビジネス・サービス等が生まれる一方で、プライバシーを含む個人の権利利益が侵害されるリスクが高まっていることや、破産者等情報のインターネット掲載事案や、犯罪者グループ等に名簿を提供する悪質な「名簿屋」事案等、個人情報が不適正に利用される事案も発生しており、本中間整理では、こうした状況に鑑み、技術的な動向等を十分に踏まえた、実質的な個人の権利利益の保護の在り方が検討されている。

1. 個人情報等の適正な取扱いに関する規律の在り方①-要保護性の高い個人情報の取扱いについて(生体データ)

(1) 現行法の規律
  • 現行法においては、容貌や指紋など、本人を認証することができるようにした一定の「生体データ」は、「個人識別符号」に該当し、「個人情報」に該当するとされている(政令1条1号、法2条2号)。
  • 一方で、「生体データ」であることに着目した特別の規律は設けられていないため、その他の個人情報と基本的に同様の規律の適用を受ける(但し、生体データが漏えい等をした場合に本人が被る権利利益の侵害の大きさ等を考慮して、必要かつ適切な内容の安全管理措置を講じることが期待されている)。
(2) 本中間整理の考え方(要約であり、番号や下線は分かりやすさの観点から筆者にて加筆。以下同じ。)(本中間整理3頁から4頁)
  1. 生体データは、長期にわたり特定の個人を追跡することに利用できる等の特徴を持ち得るものであり、特に、特定の個人を識別することができる水準が確保されている場合において、通常の個人情報と比較して個人の権利利益に与える影響が大きく、保護の必要性が高い。他方、生体データは本人認証に広く利用されているほか、犯罪予防や安全確保等のために利用することも想定される。
  2. これを踏まえ、生体データの取扱いについて、諸外国における法制度なども参考にしつつ、特に要保護性が高いと考えられる生体データについて、以下を含む実効性ある規律を設けることを検討する必要がある。

    1. 現行法上、個人情報の利用目的については、「できる限り特定」しなければならないとされているが(法17条1項)、生体データの要保護性を踏まえると、生体データを取り扱う場合においては、例えば、どのようなサービスやプロジェクトに利用するかを含めた形で利用目的を特定することを求めることが考えられる。
    2. 個人の権利利益の保護という観点からは、生体データの利用について、本人がより直接的に関与できる必要がある。そのため、生体データの取扱いに関する一定の事項を本人に対し通知又は十分に周知することを前提に、本人による事後的な利用停止を他の保有個人データ以上に柔軟に可能とすることが考えられる。
(3) ポイント
  • 対象となる生体データの範囲:上記の本中間整理の考え方のうち、「特に要保護性が高いと考えられる生体データについて、実効性ある規律を設けることを検討する必要がある」との説明が、「生体データ」一般が「特に要保護性が高い」ことを前提としているのか、それとも、「生体データ」のうち、特に要保護性の高い情報について限定する趣旨なのかについては必ずしも明らかではないと思われる点には留意が必要である。
  • 利用目的の特定(上記(ア)):令和2年改正法の施行の際に、本人から得た情報から、本人に関する行動・関心等の情報を分析するいわゆるプロファイリングについて利用目的をより具体的に記載すべきこととされたのと同様(個人情報保護法ガイドライン(通則編)(以下「通則GL」という)3-1-1)に、利用目的における記載内容をより具体化すべきという規律が導入される可能性がある。導入された場合には、プライバシーポリシー等の修正・変更が必要となる可能性があり、利用目的の変更が、「変更前の利用目的と関連性を有すると合理的に認められる範囲」(法17条2項)を超える場合には、同意の再取得が必要となる可能性がある。
  • 本人による事後的な利用停止の柔軟化等(上記(イ)): 「本人による事後的な利用停止を他の保有個人データ以上に柔軟に可能とすること」については、利用停止を求めることができる場合を、現行法のように特定の規定の違反行為がある場合よりも広げる等の実質的な話なのか、本人による理由説明のハードルを下げる等の手続面の話なのか等が明確ではないが、例えば、生体データをAIの学習用データとして継続的に利用しているようなケースに影響が生じる可能性があると考えられる。
  • その他の規律:その他、必要となる規律の在り方について、事業者における利活用の実態やニーズ、運用の負担、利用目的の違いによる影響等も考慮して検討する必要があるとされているが、現時点においては、生体データの取得について本人の同意を求めることや、生体データの第三者提供について特別の規律を設けることまでは検討されていないようである。

2. 個人情報等の適正な取扱いに関する規律の在り方②-「不適正な利用の禁止」「適正な取得」の規律の明確化

(1) 現行法の規律
  • 現行法において、法19条で「不適正な利用の禁止」が規定され、法20条1項では「適正な取得」が規定されており、不適正利用・不適正取得に該当する具体的な事例は、通則GL3-2及び3-3-1においてそれぞれ6事例ずつ記載されている。
  • 「個人関連情報」については、法31条で、提供元では個人データに該当しないが、提供先において個人データとなることが想定されている個人関連情報の第三者提供について、本人同意が得られていること等の確認が提供元に義務付けられており、かかる第三者提供のみが規律の対象になっている。
(2) 本中間整理の考え方(本中間整理4頁から6頁)
  1. 不適正な利用の禁止、適正な取得の規定については、個人の権利利益の保護により資するものとするとともに、事業者による予測可能性を高める観点から、適用される範囲等の具体化・類型化を図る必要がある。具体化・類型化に際しては、これまでに問題とされた事例等を踏まえて検討することが必要である。
  2. 本人が自らの個人情報の提供等について自律的な意思により選択することが期待できない場合において、本人との関係に照らして当然認められるべき利用目的以外の利用目的で取得・利用することや、当然認められるべき利用目的の達成に真に必要な範囲を超えて取得・利用すること等に対する、不適正利用・適正取得等の規律の適用について継続的に検討する必要がある。
  3. 電話番号、メールアドレス、Cookie IDなど個人に対する連絡が可能な個人関連情報を事業者が有している場合で、プライバシーなどの個人の権利利益の侵害の程度・蓋然性があるときの不適正利用・適正取得等の規律の適用の在り方を検討する必要がある。
(3) ポイント
  • 不適正な利用・取得の具体化・類型化(上記①):不適正な利用の禁止、適正な取得の規定に関して、委員会が行政上の措置を講じた事案として、いわゆる破産者マップ事案、法令(電気事業法)により禁止されているにもかかわらず個人データを取得した事案、名簿販売事業者が違法な行為を行う者に転売する転売屋だと認識していたのに意図的に販売先での名簿の用途を詳しく確認せず名簿を販売した事案、などが本中間整理で紹介されている。このため、これらの事案がガイドラインに追記されることが考えられる。
  • 本人が自律的な意思により選択することが期待できない場合の不適正な利用・取得の考え方(上記②):ここでは、「本人にとって個人情報取扱事業者の提供する商品・サービス等が他の事業者により代替困難な場合」等が検討対象となっており、デジタルプラットフォーム事業者、与信事業者、雇用主、(生徒にとっての)学校が個人情報を取得・利用する場面が主として念頭に置かれていると考えられる。どのような取得・利用が具体的に不適正利用・適正取得等の規律で問題となるか、またどのような対応をとることで当該規律により問題とされる可能性を低減しうるかについては現時点では必ずしも明らかではないものの、利用目的の通知等や目的外利用の同意取得に関してより実質的な規律が導入される場合には、対象となる事業者にとっては、これまでの個人情報の取得・利用についての実務を変更する必要が生じる可能性がある。
  • 個人に対する連絡が可能な個人関連情報に関する規律(上記③):現行法では、個人関連情報の規律は一定の第三者提供の場面に限定されているため、第三者提供を行わない限り直接規律が適用されることはなかったところ、規律の対象が取得や利用の場面に拡張されるのであれば、Cookie IDなど個人情報等には該当しない生存する個人に関する情報(個人関連情報)の取得や利用に関する実務を変更する必要が生じる可能性がある。

3. 第三者提供規制の在り方(オプトアウト等)

(1) 現行法の規律
  • 現行法において、法27条2項では第三者への提供の本人同意取得が求められないオプトアウト届出制度が規定されている。
(2) 本中間整理の考え方(本中間整理6頁から8頁)
  1. オプトアウト届出事業者は、提供先の利用目的や身元等について、その内容や真偽を積極的に確認する義務まではないことから、明確に認識しないまま意図せず犯罪グループに名簿を提供してしまうことが生じ得る。そこで、一定の場合には提供先の利用目的や身元等を特に確認する義務を課すことについて検討する必要がある。その際、確認義務の要件についての検討や、住宅地図等を広く市販する場合など規律の在り方についても検討が必要である。
  2. また、不正に名簿等を持ち出した者が、当該名簿等により利益を得る有力な方法として、オプトアウト届出事業者への販売が想定される。そのため、オプトアウト届出事業者には、取得元における取得の経緯や取得元の身元等の確認について、より高度の注意義務を課すことが考えられる。具体的には、一定の場合には取得元の身元や取得の適法性を示す資料等を特に確認する義務を課すことについて検討する必要がある。その際、確認義務の要件や対象の類型化についての検討が必要である。
  3. さらに、本人が、オプトアウト届出事業者によって個人情報が提供されており、かつ、当該提供の停止を求めることができることを確実に認識できるようにするための措置など、本人のオプトアウト権行使の実効性を高めるための措置について、継続して検討する必要がある。
(3) ポイント
  • 規律の対象:本中間整理では、オプトアウト届出制度については、犯罪者グループ等に名簿を提供する悪質な名簿屋の存在や個人情報を不正な手段により取得して第三者に対して提供する者についての対応という観点から、上記①から③のような規律の厳格化が検討されているが、このような規律の厳格化は、犯罪や不正に関わらないような通常のビジネスにも適用されうるものである点には留意を要する。

4. こどもの個人情報等に関する規律の在り方

(1) 現行法の規律
  • 現行法において、未成年者の保有個人データに関する法32条2項以下の開示等の請求等については、未成年者の法定代理人によってすることができるとされている(法37条3項、政令13条1号)。
  • 「本人の同意」を得ることが求められている場面(目的外利用、要配慮個人情報の取得、第三者提供等)について、個人情報の取扱いに関して同意したことによって生ずる結果を未成年者が判断できる能力を有していない場合は、親権者や法定代理人等から同意を得る必要があり(通則GL2-16など)、一般的には、12歳から15歳までの年齢以下のこどもの場合には法定代理人等から同意を得る必要があるとされている(個人情報保護法ガイドラインQ&A1-36・1-62)。
(2) 本中間整理の考え方(本中間整理8頁から11頁)
  1. こどもの個人情報の取扱いに係る規律については、こどもの脆弱性・敏感性及びこれらに基づく要保護性を考慮するとともに、学校等における生徒の教育・学習に関するデータの有用性も考慮する必要がある。これを踏まえ、主要各国においてこどもの個人情報等に係る規律が設けられており、執行事例も多数見られることも踏まえ、こどもの権利利益の保護という観点から、規律の在り方の検討を深める必要がある。
  2. 他方で、第三者が公開したこどもの個人情報を取得する場合などにおいては、取得した情報にこどもの個人情報とこども以外の者の個人情報が含まれている場合や、こどもの個人情報が含まれているかが明らかでない場合があり得ることから、こうした場合における事業者の負担を考慮する必要がある。

    【具体的な規律内容への言及】

    1. 法定代理人の関与
      本人同意の取得が必要とされている場面※3において法定代理人の同意を取得すべきことを法令の規定上明確化することを検討する必要がある。
      また、本人に対する通知等が必要となる場面※4において法定代理人に対して情報提供すべきことを法令の規定上明文化することを検討する必要がある。
    2. 利用停止等請求権の拡張
      こどもの要保護性を踏まえると、こどもを本人とする保有個人データについては、他の保有個人データ以上に柔軟に事後的な利用停止を認めることについて検討する必要がある。ただし、取得について法定代理人の同意を得ている場合等、一定の場合においてはその例外とすることも考えられる。
    3. 安全管理措置義務の強化
      こどもの個人データについて安全管理措置義務を強化することがあり得る。
    4. 責務規定
      上記(ア)から(ウ)にかかわらず、各事業者の自主的な取組の促進という観点からは、こどもの最善の利益を優先し特別な配慮を行うべき等、事業者等が留意すべき責務を定める規定を設けることも検討する必要がある。
    5. 年齢基準
      対象とするこどもの年齢については、個人情報保護法ガイドラインに関するQ&Aの記載や欧州の一般データ保護規則(GDPR)の規定の例などを踏まえ、16歳未満とすることについて検討を行う。
(3) ポイント
  • 本人同意の取得や本人への通知について法定代理人の関与(上記(ア)):例えば事業者がオンラインサービスを提供する場面においてサービス利用者が16歳未満のこどもであり当該規律の適用対象となるとしたときには、サービスの提供を開始するに当たってどのように法定代理人を関与させるかといった点について、現状のプライバシーポリシーの提示・同意取得のフローの見直しの要否の検討をすることが必要となる可能性がある。
  • 利用停止等請求権の拡張(上記(イ)):上記の考え方を踏まえると、規律の適用対象の事業者においては、利用停止をしやすくする設計が必要となる可能性がある。
  • 安全管理措置義務の強化(上記(ウ)):現行法においても、法23条で求められる安全管理措置の内容としては、「個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)、個人データを記録した媒体の性質等に起因するリスクに応じて、必要かつ適切な内容」とされており(通則GL3-4-2)、リスクに応じた安全管理措置が求められているものの、具体的な内容が定められているわけではない。仮に、こどもの個人情報に関する安全管理措置の内容が具体的に定められる場合には、従前の安全管理措置を見直す必要が生じる可能性がある。
  • 責務規定(上記(エ)):各事業者の自主的な取組の促進という位置付けであるものの、当該責務規定が設けられた場合には、事業者としては、自社がこどもの最善の利益の観点でどのような現状であるのかを確認するといったことが実務上必要になってくる可能性がある。
  • 年齢基準(上記(オ)):特に上記(ア)の規律との関係で、対象年齢が一義的に定められることは明確性の観点からは望ましいと考えられる。事業者においては、16歳未満のこどもの個人情報を取り扱っている可能性の有無を確認することが必要となるであろう。
  • 対象となる個人情報等の範囲:上記の考え方では明示されていないが、こどもの個人情報等について一律に同じ規律を及ぼすのか、当該個人情報等の要保護性に応じて異なる規律を設定するのかについても、議論の動向を注視する必要がある。
  • その他の規律:現時点においては、こどもの個人情報の取得について本人の同意を求めることや、こどもの個人データの第三者提供について特別の規律を設けることまでは検討されていないようである。

5. 個人の権利救済手段の在り方(団体訴訟制度の創設)

(1) 現行法の規律
  • 現行法上、個人情報の不適切な取扱いに対する救済手段としては、利用停止等請求権や第三者提供の停止請求権等が存在する(法35条)※5。一方で、個人による権利救済手段の利用実績が乏しいとのアンケート結果も出ている※6
  • この点、消費者法分野においては、事業者が不特定かつ多数の消費者に対して消費者契約法等に違反する不当な行為を行っている(又は行うおそれのある)ときに、認定された消費者団体が、消費者に代わって事業者に対して差止請求を行うことができる適格消費者団体による差止請求制度や、認定された特定適格消費者団体が消費者に代わって財産的被害等の集団的な回復を求めることができる被害回復制度が存在するが、個人情報保護法においては同様の団体訴訟制度は存在しない。
(2) 本中間整理の考え方(本中間整理11頁から13頁)

 個人情報の取扱いが問題となった事例の中には、個人情報に係る本人が不特定かつ多数と評価し得るものがあり※7、本中間整理では、適格消費者団体を前提とする団体訴訟制度(差止請求制度や被害回復制度)の創設は有効な権利救済手段の選択肢になり得るとされたものの、適格消費者団体の課題(専門性の確保、資金面での援助の必要性を含む。)があることに加え、関係団体から強く反対意見があったことを踏まえ、「その導入の必要性を含めて多角的な検討を行っていく必要」があるとの整理が示された※8

(3) ポイント

 適格消費者団体による団体訴訟制度が導入されれば、実務上、個人情報取扱事業者に与えるインパクトが大きいが、産業界からの強い反発があったことなどもあり、現時点において、団体訴訟制度の創設の見通しは不透明である。今後、ステークホルダーと議論するための場を設けること、2024年末までを目処に議論を深めていくこととされている。

実効性のある監視・監督の在り方

 破産者等情報のインターネット掲載事案、犯罪者グループ等に名簿を提供する悪質な「名簿屋」事案、転職先へのデータベースのID・パスワードの不正提供事案等、個人情報が不適正に利用される事案や、同一事業者が繰り返し漏えい等を起こしている事案が発生している。こうした悪質・重大な事案に対する厳罰化、迅速な執行等、実効性のある監視・監督の在り方が検討されている。

1. 課徴金、勧告・命令等の行政上の監視・監督手段の在り方

(1) 現行法の規律
  • 現行法上、違反行為者に対する経済的な制裁としては刑事罰としての罰金があるが、課徴金制度は存在しない。
  • 現行法上、個人情報取扱事業者の義務違反の是正については、一定の場合を除き、命令に勧告を前置することとされている(勧告前置)。このような勧告前置の例外として、緊急命令が存在するが、緊急命令の対象は一部の義務違反に限定されており、かつ、個人の重大な権利利益の侵害が現に発生していること等の要件も加重されている(法148条3項)。かかる状況において、新破産者マップ事案では、勧告、命令、告発という順次の対応に半年を要したなど、現に個人の権利が侵害されている事案において、適切なタイミングで措置を講ずることが難しい事象が発生している。
  • また、勧告・命令は、いずれも、法に違反した「当該個人情報取扱事業者」が対象になることから、個人情報取扱事業者が、第三者に委託している場合や、第三者の提供するサービスを利用している場合、当該第三者に対して直接勧告等を行うことはできないという課題が指摘されている。

(参考:個人情報取扱事業者に対する現行法上の監視・監督の流れ)

(第277回個人情報保護委員会資料1の7頁から引用)

(2) 本中間整理の考え方(本中間整理14頁から17頁)
(ア) 課徴金制度

 課徴金制度の導入については、過去の法改正の検討においても議論されており、令和2年改正法の法案審議においては、「違反行為に対する規制の実効性を十分に確保するため、課徴金制度の導入については、我が国他法令における立法事例や国際的な動向も踏まえつつ引き続き検討を行うこと」との附帯決議がなされていた。本中間整理においても、以下のとおり必要性も含めて継続的に検討することとされた。

 課徴金については、関係団体からのヒアリングで強い反対意見が示されていることに加え、我が国の他法令における導入事例や国際的動向、個人の権利利益保護と事業者負担とのバランスを踏まえ、その導入の必要性を含めて検討する必要がある。

(イ) 勧告・命令の在り方

 勧告・命令の在り方については、以下が示された。 

 個人情報取扱事業者等による法に違反する個人情報等の取扱いにより個人の権利利益の侵害が差し迫っている場合に直ちに中止命令を出すことの必要性や、法に違反する個人情報等の取扱いを行う個人情報取扱事業者等のみならず、これに関与する第三者に対しても行政上の措置をとることの必要性、法に違反する個人情報等の取扱いの中止のほかに個人の権利利益の保護に向けた措置を求めることの必要性の有無や手続保障など、その法制上の課題等について検討すべきである。

(3) ポイント
  • 課徴金制度(上記(ア)):課徴金の導入については産業界からの強い反発があったことなどもあり、現時点において、課徴金制度の創設の見通しは不透明である。今後、ステークホルダーと議論するための場を設けること、2024年末までを目処に議論を深めていくこととされている。
  • 勧告・命令の在り方(上記(イ)):従来の勧告前置の例外を拡大する方向で、一定の場合に中止命令を出すための検討が行われる見通しである。また、違反事業者以外の第三者に対しても、行政上の措置を拡大する方向で検討される見通しである。この場合の「関与する第三者」の具体的な範囲は本中間整理においては明示されていないが、従前の議論では、プロバイダーやデジタルプラットフォーマーが例として挙げられている※9

2. 刑事罰の在り方

(1) 現行法の規律
  • 現行法は、間接罰(委員会の命令に違反したことを罰則の対象とする)を基本としつつ、例外的に、一部の個人情報の不適切な取扱いについては、直接罰則が適用される(代表例として個人情報データベース等不正提供等罪※10)。
(2) 本中間整理の考え方(本中間整理17頁及び18頁)

 個人情報が不正に取り扱われた悪質な事例※11が増加傾向にあり、現行法の直罰規定がこうした事例を捕捉するのに十分でない可能性が指摘されていることを受けて、本中間整理では、以下の考えが示された。

 個人情報が不正に取り扱われた悪質事案の類型が様々であることを踏まえ、法の直罰規定がこれらの事案を過不足なく対象としているかを検証し、その処罰範囲について検討するとともに、法定刑の適切性についても検討する必要がある。

 さらに、個人情報の詐取等の不正取得が多数発生している状況を踏まえ、こうした行為を直罰規定の対象に含めるべきかについても検討する必要がある。

(3) ポイント
  • 不正取得を直罰規定の対象とする可能性:基本的には悪質な事案が対象となると考えられるが、不正取得の行為類型を直罰規定の対象に含めるかどうかについて検討が行われる見通しであり、罪刑法定主義の観点から、直接罰則(刑事罰)の対象となる不正取得の行為類型が具体的に規定される可能性がある点には留意を要する。

3. 漏えい等報告・本人通知の在り方

(1) 現行法の規律
  • 現行法は、個人情報の漏えい等が発生した場合、法26条1項に基づき、規則7条各号に該当する事態(以下「漏えい等報告対象事態」という。)について、委員会に対する速報及び確報の提出、並びに本人への通知を定めている。このような漏えい等報告及び本人通知は、令和2年改正法により義務化され、これに伴い漏えい等報告の件数は増加の傾向にある。
  • なお、個人データが違法に第三者に提供された場合は、「漏えい等」には該当しないため、委員会に対する報告及び本人通知を行う義務は存在しない。
(2) 本中間整理の考え方(本中間整理18頁から21頁)
(ア) 漏えい等報告

 漏えい等報告に関しては、以下の考えが示された。

 ①上記のように、委員会がこれまでに受けた漏えい等報告を件数ベースでみると、漏えいした個人データに係る本人の数が1名である誤交付・誤送付案件が大半を占めているが、このようなケースは、当該本人にとっては深刻な事態になり得るものであり、本人通知の重要性は変わらないものの、本人通知が的確になされている限りにおいては、委員会に速報を提出する必要性が比較的小さい。また、②漏えい等又はそのおそれを認識した場合における適切な対処(漏えい等が生じたか否かの確認、本人通知、原因究明など)を行うための体制・手順が整備されていると考えられる事業者については、一定程度自主的な取組に委ねることも考えられる。そこで、例えば、体制・手順について認定個人情報保護団体などの第三者の確認を受けることを前提として、速報については、一定の範囲でこれを免除し、さらに①のようなケースについては確報について一定期間ごとの取りまとめ報告を許容することも考えられる

(イ) 違法な第三者提供

 違法な第三者提供に関しては、以下の考えが示された。

 個人データが漏えい等した場合については事業者にこれらの義務が課されることとの均衡から、漏えい等との違いの有無も踏まえ、その必要性や報告等の対象となる範囲を検討する必要がある。

(3) ポイント
  • 漏えい等報告義務の軽減:漏えい等報告及び本人通知に関する規律は、事業者の帰責性を問わないことから、仮に当該事業者の帰責性なく漏えい等が発生した場合であっても、あるいは漏えい等の対象となった個人データに係る本人の数が極めて少数(例えば1名)の場合であっても、漏えい等報告対象事態に該当するのであれば速やかな報告等が求められることとなり、事業者からは負担軽減を要望する声が上がっていた。本中間整理では、そのような実務の要請に応えて、漏えい等報告義務を軽減する可能性を示唆するものであるといえる。但し、本人通知の義務の軽減については言及されていない。

データ利活用に向けた取組に対する支援等の在り方

 健康・医療、教育、防災、こども等の準公共分野を中心に、機微性の高い情報を含む個人情報等の利活用に係るニーズが強い。こうした中、政策の企画・立案段階から関係府省庁等とも連携した取組を進める等、個人の権利利益の保護を担保した上で、適正な個人情報等の利活用を促す方策が検討されている。

1. 本人同意を要しないデータ利活用等の在り方

(1) 現行法の規律
  • 令和2年改正法の附帯決議により、個人情報の利活用について、民間の実態を常に広く把握し、制度面を含めた検討を随時行い、その結果に基づいて必要な措置を講ずることが求められている。
  • 現行法の規律では、特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱う場合(法18条)、要配慮個人情報を取得する場合(法20条)、個人データを第三者に提供する場合(法27条)については、原則としてあらかじめ本人同意を取得することを求めている。各規律については、それぞれ例外規定が設けられているが、これらは、他の権利利益の保護を優先すべき場合や、本人の利益のために必要がある場合等を類型化したものとされている。
(2) 本中間整理の考え方(本中間整理22頁及び23頁)

 本人同意を要しないデータの利活用等の在り方に関しては、以下の考えが示された。

 法で本人同意が求められる規定の在り方について、個人の権利利益の保護とデータ利活用とのバランスを考慮し、その整備を検討する必要がある。

 まず、生成AIなどの、社会の基盤となり得る技術やサービスのように、社会にとって有益であり、公益性が高いと考えられる技術やサービスについて、既存の例外規定では対応が困難と考えられるものがある。これらの技術やサービスについては、社会的なニーズの高まりや、公益性の程度を踏まえて、例外規定を設けるための検討が必要である。この際、「いかなる技術・サービスに高い公益性が認められるか」について、極めて多様な価値判断を踏まえた上で高度な意思決定が必要になる。個人の権利利益の保護とデータ利活用の双方の観点から多様な価値判断が想定されるものであり、関係府省庁も含めた検討や意思決定が必要と考えられる。

 また、医療機関等における研究活動等に係る利活用のニーズについても、公益性の程度や本人の権利利益保護とのバランスを踏まえて、例外規定に係る規律の在り方について検討する必要がある。(中略)こうした点等については、事業者の実情等も踏まえつつ、関係府省庁の関与を得ながら、ガイドラインの記載等についてステークホルダーと透明性のある形で議論する場の設定に向けて検討する必要がある。

(3) ポイント
  • 本中間整理における考え方では、特に2つの場面について言及がある。1つ目は、生成AIなど社会にとって有益であり、公益性が高いと考えられる技術やサービスにおける例外規定を設けるための検討、そして2つ目は、医療機関等における研究活動等の場面での例外規定に係る規律の在り方の検討である。1つ目の点に関して、第284回個人情報保護委員会では、AIに関する委員の意見として、海外の国々の法制も参考にAIに関する規制の新設、あるいは関係省庁ともよく協議した上で学術研究例外、公衆衛生例外の範囲の拡大が考えられる旨の発言があったところである※12
  • 例外規定が新設される場合にはその規定内容や要件の明確化、例外規定の拡大を検討する場合にはその解釈及び適用関係の明確化についてなど、関係省庁も含めた具体的な議論の方向性や内容について、今後の動向が注視される。

2. 民間における自主的な取組の促進

(1) 現行法の規律
  • 現行法上、PIA(Privacy Impact Assessment(プライバシー影響評価))は法律上の義務ではない。もっとも、通則GL10-3において、組織的安全管理措置として義務付けられる「個人データの取扱状況を確認する手段の整備」の例として、「個人データの取扱状況を把握可能とすること」が挙げられており、その手法として、委員会によりデータマッピング・ツールキットが公表されている※13
  • 現行法上、個人データの取扱いに関する責任者の設置は法律上の義務ではないが、通則GL10-3において、組織的安全管理措置として義務付けられる「組織体制の整備」の例として、「個人データの取扱いに関する責任者の設置及び責任の明確化」が挙げられている。
(2) 本中間整理の考え方(本中間整理23頁から25頁)

 民間における自主的な取組の促進に関しては、以下の考えが示された。

 PIA・個人データの取扱いに関する責任者は、データガバナンス体制の構築において主要な要素となるものであり、その取組が促進されることが望ましい。他方、これらの義務化については、各主体における対応可能性や負担面などを踏まえ、慎重に検討を進める必要がある。

(3) ポイント
  • PIAの実施や個人データの取扱いに関する責任者の設置は、現行法で義務付けられているものではない一方で、GDPR等の諸外国の関係法令では、一定の場合においてその実施又は設置が義務付けられていることがある。本中間整理では、GDPRでの規律に言及した上で、日本においてもかかる取組が促進されることが望ましいとしつつ、各主体における対応可能性や負担面などを踏まえた慎重な検討が求められるとしており、現状では法律上の義務規定として導入される可能性は高くないように見受けられる。
  • 事業者においては、データマッピングを積極的に実施して取扱状況を可視化することや、個人データの取扱いに関する責任者の設置を通じて、各事業者に合ったより実効性のあるデータガバナンス体制の構築・運用を進めることが望ましいといえよう。

その他

 上記のほか、プロファイリング(本人に関する行動・関心等の情報を分析する処理)、個人情報等に関する概念の整理、プライバシー強化技術(「PETs」:Privacy Enhancing Technologies)の位置付けの整理、金融機関の海外送金時における送金者への情報提供義務の在り方、ゲノムデータに関する規律の在り方、委員会から行政機関等への各種事例等の情報提供の充実などの論点についても、ステークホルダーの意見やパブリック・コメント等の結果を踏まえ、引き続き検討することとされた。

 また、委員会が関係の深いステークホルダーと透明性のある形で継続的に議論する場を設け、個人情報保護政策の方向性や、本人同意を要しない公益に資するデータ利活用に関係するガイドライン等の見直しの在り方などについて、検討を進めることも考えられている。

今後に向けて

 本ニュースレターでは、本中間整理で示されている「考え方」の概要及びそのポイントについて、関連する現行法の規律とともに紹介したが、特に、生体データについての規律やこどもの個人情報等の取扱いの規律、漏えい等報告義務の軽減等については、多くの事業者にとって実務的な影響が大きいと考えられる。また、課徴金や、適格消費者団体による団体訴訟制度(差止請求制度や被害回復制度)も、仮に導入された場合には個人だけでなく事業者にとってもインパクトが大きい。一方で、2024年5月21日に自由民主党政務調査会デジタル社会推進本部が公表した「デジタル・ニッポン2024」において、規制の見直し・運用に当たって政府は多くのステークホルダーの意見を聞き透明性を高めることが必要であることや、課徴金の導入や団体訴訟制度について慎重に議論すべきことが指摘されている。そして、このことに関して、本中間整理でも、パブリック・コメント終了後もステークホルダーと継続的な議論を行うプロセスを踏まえて各検討項目の方向性を見直すことも想定される旨を述べている。

 このため、今後の個人情報保護法の見直しについての議論の状況は引き続き注視する必要があり、弊事務所でも、ニュースレター等を通じて最新の動向についてタイムリーにご紹介していく予定である。

脚注一覧

※1
令和2年改正法の附則において、「政府は、この法律の施行後三年ごとに、(中略)、新個人情報保護法の施行の状況について検討を加え、必要があると認めるときは、その結果に基づいて所要の措置を講ずるものとする。」と定めており、当該附則を踏まえて、「いわゆる3年ごと見直し」として検討が開始された。

※3
目的外利用(法18条2項)、要配慮個人情報の取得(法20条2項)、個人データの第三者提供(法27条1項、28条1項)、個人関連情報の第三者提供(法31条1項)など。

※4
利用目的の通知(法21条1項)、個人情報の書面等による直接取得の場合の利用目的の明示(法21条2項)、漏えい等に関する本人への通知(法26条2項)など。

※5
具体的には、本人は、当該本人が識別される保有個人データについて、法の規定に違反する場合や、本人の権利又は正当な利益が害されるおそれがある場合等に、個人情報取扱事業者に対して、当該本人が識別される保有個人データの利用停止等又は第三者提供の停止を請求することができる(法35条)。

※6
委員会が実施したアンケート調査では、過去1年間で利用停止等・第三者提供の停止請求を受けた件数が10件を下回る企業が47%だったと報告されている。

※7
例えば、フェイスブック事件(2018年10月)、JapanTaxi事件(2018年11月、2019年9月)、内定辞退率提供事件(2019年)、新破産者マップ事件(2022年)、ビジネスプランニング事件(2024年1月)等。

※8
また、被害回復制度については、適格消費者団体の専門性の確保といった課題に加え、個人情報の漏えいに伴う損害賠償請求が極端な少額大量被害事案となること、立証上の問題があることが課題と考えられることから、更に慎重な検討が必要とされた。

※9
第286回個人情報保護委員会における3年ごと見直しの議論において、一部の委員から、「インターネット上の情報は様々なサイトを転々としながら表示され続けてしまう特性がある。それに加担してしまう第三者のプロバイダーやデジタルプラットフォーマーは、現行法では直接命令の対象者とはならないが、GDPRでは検索エンジン事業者やクラウドサービス事業者に対してデータ主体の削除要求に対応するよう求めた例もあるようである。(中略)このような例も参考としながら、プロバイダー等に対して故意犯の可能性があることを知りながら手を貸しているのと同様のことを行っているとして、データ主体の申立てに対応するよう何らかの求めを行う方法があるのかどうか検討していただきたい」という旨の発言があった。

※10
法179条。その他の直罰規定の例としては、法176条、180条、181条及び184条。

※11
大手学習塾の元講師が、児童の個人情報をSNSに投稿した事例等。

本ニュースレターは、各位のご参考のために一般的な情報を簡潔に提供することを目的としたものであり、当事務所の法的アドバイスを構成するものではありません。また見解に亘る部分は執筆者の個人的見解であり当事務所の見解ではありません。一般的情報としての性質上、法令の条文や出典の引用を意図的に省略している場合があります。個別具体的事案に係る問題については、必ず弁護士にご相談ください。


全文ダウンロード(PDF)

Legal Lounge
会員登録のご案内

ホットなトピックスやウェビナーのアーカイブはこちらよりご覧いただけます。
最新情報をリリースしましたらすぐにメールでお届けします。

会員登録はこちら

弁護士等

個人情報保護・プライバシーに関連する著書/論文

テクノロジーに関連する著書/論文

インターネット/ITサービス/クラウドに関連する著書/論文

デジタルプラットフォームに関連する著書/論文

サイバーセキュリティに関連する著書/論文

決定 業務分野を選択
決定