[このページについてのご意見、お問い合わせなどはメールにて webmaster@shodanren.gr.jp までお送りください。]
|
個人情報保護法〜こどもの個人情報は?データ利活用とは?〜 個人情報保護法は、個人情報の適正な取扱いに関し、個人情報の有用性に配意しつつ、個人の権利利益を保護するための法律です。個人情報保護法において「個人情報」とは、生存する個人に関する情報で、氏名、顔写真などにより特定の個人を識別できる情報等をいいます。 個人情報保護法の目的は、「個人情報の有用性に配慮しつつ、個人の権利利益を保護すること」です。施行後、3年ごとに見直しを行うこととしており、個人情報保護委員会では中間整理に対するパブリックコメントを募集しています。(締め切り7月29日) 学習会では、個人情報保護法の基本、今回のパブリックコメントについて説明をいただきました。
【日時】7月16日(火)15時00分〜17時00分 【講師】香月 健太郎さん(個人情報保護委員会事務局 参事官) 【参加】22人 概要(事務局による要約) 1.個人情報保護法 いわゆる3年ごと見直しについて ◇個人情報保護法の基本 個人情報保護法は、「個人情報」の適正な取扱いに関し、個人情報の有用性(個人情報の利活用など)に配慮しつつ、個人の権利利益を保護することを目的とする法律です。また、個人情報保護委員会(以下、委員会)は法律に基づき設置され、個人情報の適正な取扱いの確保を図ることを任務とする合議制の独立機関で、高い独立性と政治的中立性が担保されています。 個人情報とは、生存する個人に関する情報で、特定の個人を識別することができるもののことであり、例えば名前や顔画像などが「個人情報」に該当します。個人データは、個人情報データベース等を構成する個人情報で、例えばエクセルなどのファイルに体系的に整理された個人情報などが「個人データ」に該当します。上記から分かるとおり、「個人情報」は「個人データ」よりも広い概念です。 「取得・利用に関するルール」では、企業側は「利用目的を特定してその範囲内で利用する」「利用目的を通知または公表する」「偽りその他不正の手段により個人情報を取得しない」「要配慮個人情報(例えば病歴、犯罪歴など)の取得は、原則としてあらかじめ本人から同意を得る」などとなっています。要配慮個人情報に当たらない情報は、企業は必ずしも本人の同意を得ずに取得することができることになります。例えばインターネット上の個人情報を取得する場合、利用目的を公表していれば、必ずしも本人の同意を得なければならないわけではありません。 個人データになると、さらにリスクが高まり、上乗せで規律がかかります。例えば、「保管・管理に関するルール」では、「データ内容を正確かつ最新の内容に保つとともに、利用する必要がなくなったときは消去するように努める」義務があります。また、現在、漏えい事案(USBを落とした、サイバー攻撃を受けてデータが漏えいしたなど)が問題になっていますが、個人データを扱う以上、従業者や委託先に対しても管理を徹底することや、サイバー攻撃に耐える技術的な安全管理措置を講じる義務があります。また、漏えいが生じた場合(要配慮個人情報の漏えい、財産的被害のおそれがある漏えい、サイバー攻撃等の不正の目的によるおそれがある漏えい、1000件を超える漏えい)は、委員会への報告と本人通知が必要になります。 「第三者提供に関するルール」では、企業が他の企業に個人データを提供する場合は、あらかじめ本人から同意を得るのが原則ルールになっています。そして、企業は第三者に提供した場合と第三者から提供を受けた場合に一定の事項を記録する義務も課せられています。 「保有個人データ」(=その事業者に開示等の権限のある個人データ)については、事業者がどのようなデータを持っているのかを開示するよう本人が請求できることや、事業者が違法な取扱いをしている場合には、利用の停止を本人が請求できることも規定されています。 ◇いわゆる3年ごと見直し規定に基づく検討 個人情報保護法の附則では、改正法の施行後3年ごとに検討を行い、必要があると認める時は、その結果に基づいて所要の措置を講ずるものとしています。改正法の施行が令和4年4月でしたので、現在、委員会では、新しく起きている事象や海外の制度などを踏まえて、検討をしています。委員会では、令和5年11月15日に「個人情報保護法いわゆる3年ごと見直し規定に基づく検討」として検討の方向性を公表し、その後、関係団体等のヒアリングを実施しています。また、令和6年2月には「「個人情報保護法 いわゆる3年ごと見直し規定に基づく検討項目」を公表し、その後有識者ヒアリングを実施し、中間整理について意見募集をしています(7月29日まで)。 中間整理に記載されている検討項目には、@「個人の権利利益のより実質的な保護の在り方」(個人情報等の適正な取扱いに関する規律の在り方、第三者提供規制の在り方(オプトアウト等)、こどもの個人情報等に関する規律の在り方、個人の権利救済手段の在り方)、A「実効性のある監視・監督の在り方」(課徴金、勧告・命令等の行政上の監視・監督手段の在り方、刑事罰の在り方、漏えい等報告・本人通知の在り方)、B「データ利活用に向けた取組に対する支援等の在り方」(本人同意を要しないデータ利活用等の在り方、民間における自主的な取組の促進)があります。 ◇個人情報保護法いわゆる3年ごと見直しに係る検討の中間整理 1.個人の権利利益のより実質的な保護の在り方 (1)個人情報等の適正な取扱いに関する規律の在り方 ア.要保護性の高い個人情報の取扱いについて(生体データ) 生体データは、長期にわたり特定の個人を追跡することに利用できる等の特徴があり、保護の必要性が高いと考えられます。例えば反響が大きかった事例では、人流を把握し防災に活用する目的で駅ビルに多数のカメラを設置して安全対策などを検証する実験の実施を発表した事例、顔識別技術を有した防犯カメラで刑務所からの出所者・仮出所者を含む不審者等を検知するセキュリティ対策を実施していた事例などがあります。顔識別機能付きカメラシステムは、防犯カメラを設置する企業が検知対象となる個人のデータをあらかじめ入手し、顔特徴データに変換し、通行人と照合します。防犯などで使われるケースもありますが、ショッピングモールなどで人の移動を追跡してマーケティング目的で活用することもできる技術になります。 現行法上、個人情報の利用目的はできる限り特定しなければならないとされており、生体データについても利用目的を定めて、公表等する必要がありますが、より十分な周知を義務付けたうえで、本人からの事後的な利用停止を柔軟に認めることが考えられます。 イ.「不適正な利用の禁止」「適正な取得」の規律の明確化 不正取得・不適正利用に該当する具体的な事例は、ガイドラインで紹介されています。現行法では、本人が自らの個人情報の提供等を判断し、選択できることが前提となっていますが、事業者との関係で本人の選択が期待できない場合があり得ます。例えば社会的反響が大きかった事例として、学校において、生徒が装着したウェアラブル端末から、心拍数や睡眠時間等を把握しようとしたり、脈拍を計測して集中度を推測したりしていた事案などがありました。また、個人関連情報(氏名等と結び付かない電話番号、メールアドレス、Cookie IDなど)について、一定の場合における第三者提供のみが規律の対象になっています。他方、国内の裁判例では、インターネット上の掲示板で携帯電話番号を投稿したことで、プライバシー侵害を認めたという例があります。個人関連情報の取扱いにより、プライバシーなどの個人の権利利益が侵害される蓋然性が認められ、個人情報と同様に深刻なものになり得ると考えられます。 (2)第三者提供規制の在り方(オプトアウト等) 本人の同意を得ないで個人データを第三者に提供してはならないのが大原則ですが、本人に通知、または公表するなどして本人の容易に知り得る状態に置いた上で、事業者が委員会に届け出た場合は、本人の同意を得ることなく第三者に提供できることとなっています。ただし、個人データが闇名簿屋に流れて特殊詐欺などが増加していることも踏まえ、委員会では実態調査を行い指導等も行っています。届出事業者については、提供先の事業者の利用目的や身元の確認をしっかり行うなどの注意義務を引き上げることが考えられます。 (3)こどもの個人情報等に関する規律の在り方 こどもの個人情報の取扱いに関して基本的に明文の規定はありませんが、目的外利用などで本人の同意が求められる場合であって、本人である未成年の判断能力が十分でないとき(ガイドラインでは、一般的には12〜15歳以下のこどもが対象になるとされています。)には法定代理人から同意を得る必要があるとされています。こどもの脆弱性、敏感性、要保護性を考慮するとともに、海外の規律なども参考に、こどもの権利利益の保護という観点から、規律を明文化することなどが考えられます。 (4)個人の権利救済手段の在り方 適格消費者団体の差止請求や特定適格消費者団体による被害回復制度について検討したものです。現行法上、事業者の違法な個人情報の取扱いや本人の権利利益を害する恐れがある個人情報の取扱いが行われている場合には、本人は企業に対して利用停止等を請求することができるとなっています。消費者法分野では、消費者被害には同種の被害が拡散的に多発する特性がある一方で、消費者個人が被害を認識していない、救済を求めて請求できることを知らない、事業者との情報の質、量、交渉力の格差がある、費用や労力の負担などから、自分で被害回復の行動を取りにくく、泣き寝入りになりやすいことが指摘されています。このことなどを踏まえ、消費者法分野では消費者に代わって内閣総理大臣が認定した消費者団体が事業者に対して訴訟することができる制度が設けられていますが、個人情報保護法には設けられていません。 この内容については、関係団体から強く反対の意見があり、事業者の負担と個人の権利利益の保護とのバランスを踏まえつつ、導入の必要性について検討の場を設けて、検討を進めていく予定です。 2実効性のある監視・監督の在り方 (1)課徴金、勧告・命令等の行政上の監視・監督手段の在り方 現行法上、委員会は、問題がありそうな場合において、報告徴収、立入検査を行い、違法行為が認められると、指導・助言、勧告を行います。勧告を受けた事業者が、正当な理由なく措置を取らなかった場合、かつ個人の権利利益の重大な侵害が切迫していると認められる場合には命令を発出します。命令は行政処分で強制力があり、命令に違反すると、刑罰が課されます。個人の重大な権利利益を害する事実があるために緊急に措置を取る必要がある場合には、勧告を行わずに、いきなり命令を出すことが可能です。勧告・命令に関しては、違反行為により個人の権利利益の侵害が差し迫っている場合に直ちに命令を出せるようにすることの必要性等について検討することが考えられます。 現在、個人情報保護法には、課徴金制度はありません。課徴金の基本的な考え方は、違法行為があった場合に、その違法な行為によって得た不当な利得を没収するというものです。課徴金制度についても経済団体から反対意見があり、導入の必要性を検討する必要があると考えています。 (2)刑事罰の在り方 個人情報が不正に取り扱われた悪質事案が様々あり、法の直罰規定が過不足なくきちんと捉えられているのか検証する必要があると考えています。 (3)漏えい等報告・本人通知の在り方 現行法上、一定の漏えい等が発生した場合、委員会への報告は、3〜5日以内の速報と30日以内の確報(サイバー攻撃の場合は60日以内)に分けて行う必要があり、また、本人通知が必要です。サイバー攻撃などで個人データが漏えいした場合等には、1件でも本人通知が必要になりますが、基本的には1000件を超える場合に委員会への報告・本人通知が必要になります。「漏えい」には事業者が意図せず個人データを流出した場合が該当し、意図的に第三者が利用可能な状態にした場合は、違法な第三者提供に該当します。違法な第三者提供の場合には、委員会への報告・本人通知は不要となっています。委員会に報告がなされた漏えい等のうち、漏えい等が1名の事案が84%を占めていることもあり、経済団体からは、報告対象を絞り込むなど、委員会への報告・本人通知のあり方を見直すべきという負担軽減の要望が挙げられています。 3データ利活用に向けた取組に対する支援等の在り方 (1)本人同意を要しないデータ利活用等の在り方 特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱う場合、要配慮個人情報を取得する場合、個人データを第三者に提供する場合は、原則として本人同意の取得が必要です。例外規定は、例えば生命、身体、財産の保護のために必要な場合、学術研究目的のために必要な場合など、本人同意を上回る公益性がある場合等に認められています。デジタル社会の急速な進展に伴って生成AIなどの新たな技術の普及し、大量の個人情報を取り扱うビジネスサービスが生まれています。インターネット上のデータの中に要配慮個人情報があると、本人の同意がないと取得できないことになります。個人の権利利益の保護とデータ利活用とのバランスを考える必要があります。 (2)民間における自主的な取組の促進 PIA(Privacy Impact Assessment)は、個人情報等の収集を伴う事業の開始や変更の際に、プライバシー等の個人の権利利益の侵害リスクを低減・回避するために、事前に影響を評価するリスク管理手法を指すものです。企業の中でどの部署がどういう個人情報を取り扱っているのかの可視化をしていくことが考えられます。またガイドラインの中で責任者の設置を検討することが考えられます。 ※全国消団連では、7月26日に「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」に関する意見を提出しました。 以上 |
