個人情報保護法において「個人情報」とは、生存する個人に関する情報で、氏名、生年月日、住所、顔写真などにより特定の個人を識別できる情報等をいい、社会のデジタル化の進展の中で、連日のように企業や公的機関での個人情報漏洩が報道され、個人情報保護の在り方に焦点が当てられています。
2024年7月26日
一般社団法人 全国消費者団体連絡会
「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」に
関する意見
(該当箇所)p3 (1)個人情報等の適正な取扱いに関する規律の在り方
ア 要保護性の高い個人情報の取扱いについて(生体データ)
【意見】
「生体データ」については、本人の認識の有無にかかわらず、取得された情報が目的外に使用される可能性があります。個人の権利利益の保護の観点から、本人の同意や利用目的を特定する必要があると考えます。
【理由】
いわゆる「防犯カメラ」やデジタル化されたデータなど、本人の意思とは無関係に情報が取得され、取得された情報の中には、要配慮個人情報が含まれる場合もありうることから、生体データの取得や取扱いの制限を強化する必要があります。
更に、取得された後のデータについても、データを取得された本人の希望により削除や利用停止できるようにする必要があります。
(該当箇所)p4 イ「不適正な利用の禁止」「適正な取得」の規律の明確化
【意見】
「個人関連情報」である、電話番号、メールアドレス、Cookie IDなどについて、それぞれが単体のレベルでも「個人情報」として扱うべきと考えます。
【理由】
個人関連情報である、電話番号、メールアドレス、Cookie IDなどの漏えいや意図的な抜き取りにより、電話やメールで悪質な勧誘が多様に行われている実態があります。悪質な勧誘が個人の権利利益の侵害につながる事案も多いことから、個人情報の概念を拡大して、取り扱い方を厳しくして、被害抑止につなげることが出来ると考えます。
(該当箇所)p6 (2)第三者提供規制の在り方(オプトアウト等)
【意見】
個人データの第三者提供には本人同意が原則必要と考えます。併せて、事業者が第三者に提供した場合と第三者から提供を受けた場合、必ずデータ授受の記録を作成する必要があると考えます。
【理由】
本人の関知しない間に個人データを第三者に提供し、かつ本人が申し出をした際にはすでに第三者に提供済み、というケースが発生することは容易に想定できます。常に第三者提供には本人同意が必要として規制を強化すべきです。
(該当箇所)p8 (3)こどもの個人情報等に関する規律の在り方
【意見】
現行法ではガイドラインで、本人が判断能力を有しない未成年の場合に法定代理人からの同意を得る必要があるとされています。
「ア法定代理人の関与」について、法定代理人の同意取得を法律に明確に規定するべきです。
「イ利用停止等請求権の拡張」について、こどもの保有個人データは利用停止を事後的にも認めるべきです。
「ウ安全管理措置義務の強化」について、こどもの個人データの取り扱いについて強化すべきです。
「エ責務規定」について、こどもの最善の利益を優先し配慮すべきです。
「オ年齢基準」について、GDPR規定などを参考に検討すべきです。海外事例は高い規律を設けていますので、それらを参考にこどもの個人情報の規律を設ける必要があると考えます。
【理由】
こどもの個人情報の取り扱いに係る規律は、必ず設けなければなりません。
実際に学校が貸与したタブレットに搭載されたアプリで、不必要な個人情報の供出を求めるケースが発生していることが報道されています。子どもの個人情報の取り扱いについては、より厳しく適切に対応することを求める規律が必要です。
(該当箇所)p11 (4)個人の権利救済手段の在り方
【意見】
個人の利益保護のためにも、適格消費者団体の差止請求の権利や、特定適格消費者団体の被害回復制度を活用すべきです。
【理由】
この間の個人情報漏えい事案では、多数の個人が対象となっているケースが多数です。そもそも個人では訴訟等を起こすことが難しい現状にある中で、消費者裁判特例法を活用して消費者団体が対応することは、必要最低限な方法であると考えます。正当に事業を行っている事業者には、この制度が導入されても問題はないと考えます。
(該当箇所)p14 2 実効性のある監視・監督の在り方
(1)課徴金、勧告・命令等の行政上の監視・監督手段の在り方
【意見】
悪質な違反行為を行った事業者に向けた、課徴金制度は導入すべきです。
更に個人の権利利益の侵害が差し迫った場合に直ちに中止命令を出すことができるようにするべきです。
「ア課徴金制度」で、悪質な違反行為を抑止することができます。
「イ勧告・命令の在り方」について、勧告を受けた事業者が措置を怠った時に命令、告発の対応では時間もかかり、規制が不十分です。個人の権利利益の侵害が差し迫った場合に直ちに中止命令を出す必要があります。
【理由】
違反行為を行った事業者に対して、指導・勧告・命令のみでは、違反を通じて得た利得が事業者の元に残ってしまいます。
事業者が重大な違反を起こさないためにも、事業者は個人データの漏えいなどを起こさないような措置を講じて、緊張感を持って個人情報を取り扱うことが必要です。
(該当箇所)p17 (2)刑事罰の在り方
【意見】
詐取等の個人情報の不正取得が発生している状況から、直罰規定を入れるべきであると考えます。
【理由】
個人データの取り扱いに関して、この間、従業員により悪意を持って行われた大規模な不正取得事例が多発しています。そのような悪質な行為に至らないよう、個人情報を不正に取得した個人・組織を直罰規定の対象とするべきであると考えます。
(該当箇所)p18 (3)漏えい等報告・本人通知の在り方
【意見】
漏えい等の報告について、報告期限の延長などが報道されています。個人情報保護委員会への報告期限は現状を維持し、かつ対象の人数に関わらず、速やかに本人に通知し、併せて漏えいされた本人を保護するための施策を講じるための規律を設けるべきです。
【理由】
個人情報保護委員会への報告を要する事態が生じた場合には、本人への通知も行う必要があります。そもそも漏えいのあった事実が本人に知らされないこと自体が個人の権利を侵害していると受け止めます。併せて「中間整理」の現状にも、同一の事業者による繰り返しの漏えい等も記載されており、事業者内での周知や教育の徹底が重要です。
「ア漏えい等の報告」について、現行通り早急に委員会に報告するべきであると考えます。誤送付等で漏えいが1名の場合などの記載がありますが、漏えいは人数の問題ではなく、漏えいした事実にこそ着目するべきと考えます。また、個人の権利利益を害する漏えいの「おそれ」がある場合にも、委員会への報告や本人通知を早急に行うことが必要です。何より本人通知を行うことで、対象者自らによる早期に対処につながり、有効であると考えます。
「イ違法な第三者提供」について、報告義務を課すべきです。また、関係団体等からはこれらの義務が事業者の過度な負担になっているという意見が出されているようですが、漏えいを起こしてしまった事業者として、誠実に対応すべきであると考えます。GDPRでも個人データ侵害や高いリスクを発生させる可能性がある場合に、遅滞なく通知を義務付けていますので、参考として規制すべきです。
(該当箇所)3 データ利活用に向けた取組に対する支援等の在り方
p22 (1)本人同意を要しないデータ利活用等の在り方
【意見】
デジタル化の中で、利活用の促進が優先ではなく、本人の権利利益の適切な保護こそを第一義とした法制度とするべきです。
【理由】
個人データの利活用の推進のみがデジタル化の進展と経済発展に資するとの考え方があります。個人データの中には要配慮情報が含まれる可能性があること、何より個人そのものを単なる「コト」「情報」として認識しているようにも受け止めます。
法で本人同意が求められる規定の在り方は、個人の権利利益の保護とデータ利活用とのバランスを考慮して検討するとありますが、利活用の促進が優先ではなく、本人の権利利益が適切に保護されることを担保することを優先すべきです。
(該当箇所)p23 (2)民間における自主的な取組の促進
【意見】
PIAの実施と個人データの取扱いに関する責任者の設置を義務付けるべきと考えます。
【理由】
「アPIA」について、日本ではあくまでガイドラインの中での位置付けですが、GDPRにおいては実施が義務付けられています。
「イ個人データの取扱いに関する責任者」について、多くの大企業で設置済みの状況です。組織の大小を問わず、国として個人情報保護法の順守のために取り組みの推進を行うべきであると考えます。
(該当箇所)p26 その他
【意見】
その他に列挙された事項については、早急に検討すべきと考えます。
【理由】
個人の嗜好、行動パターンなど、デジタル空間の中で入手した個人情報にあたらない情報を、AIなどを活用して紐づけて人物像を特定し、広告宣伝等の事業に活用しているといわれています。広告の送りつけなどのレベルにとどまらず、特定した人物像をもとにして、本人の行動コントロールや思想信条や嗜好などに対する攻撃や侵害などが容易に想定できます。プロファイリングに関する規制は必要です。加えて要配慮個人情報の扱いについても、この間報道されている個人情報漏えい事案などを見るにつけ、情報を取得した側が正しく適切に管理できないのではないかと思わせるレベルであり、規律の早急な検討が必要であると考えます。
(該当箇所)「中間整理」記載以外の事項
【意見】
個人情報保護委員会では、透明性のある公開での議論の場を設け、個人情報保護法の3年ごと見直しを実施する必要があります。
【理由】
今回、経済界、有識者、地方公共団体等からヒアリングを行っていますが、消費者・消費者団体に対する意見の聞き取りが少ないように考えます。個人情報保護法は、消費者にとって非常に重要な法律ですが、その一方で難解で理解しにくい部分が多々存在します。3年ごと見直しにあたっては委員会がその論議を公開して進めるとともに、国民の理解を促進するような情報提供が必要と考えます。
(該当箇所)「中間整理」記載以外の事項
【意見】
個人情報保護委員会は、今後も政策立案と執行体制を一元的に担っていくべきであると考えます。
【理由】
現在の個人情報保護委員会は、執行と政策立案・法整備は一元的な体制として取り組まれています。個人情報をめぐって実際に発生している事象を法制度に反映して、個人情報の適切な管理と個人の権利利益の保護のため、個人情報保護委員会は、政策と執行を一元的に担うべきと考えます。
以上