ブログ
「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」の概要について
2024.06.28
個人情報保護委員会は、令和2年改正法附則10条[1]の規定を踏まえ、個人情報の保護に関する法律[2](以下「個人情報保護法」といいます。)の「いわゆる3年ごと見直し」について、令和5年11月から検討を進めており、この度、「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理[3]」(以下「中間整理」といいます。)を公表しました。
中間整理は、これまでの議論や検討を踏まえた現時点における個人情報保護委員会の考え方をまとめたものです(中間整理2頁)。個人情報保護委員会は、中間整理を令和6年6月27日から同年7月29日までパブリック・コメントに付すこととしており、そこで寄せられた意見を踏まえて最終的な方向性のとりまとめを行う予定とされています(中間整理2頁)。今後は、課徴金及び団体による差止請求制度・被害回復制度については特に意見集約作業が必要となることから、令和6年末までを目途に議論を深めていくとされています(中間整理2頁)。
中間整理においては、主として以下の10項目について制度の見直しの方針が示されています。
① 生体データの規律の新設 ② 不適正利用及び不正取得の規律の具体化及び類型化 ③ オプトアウト届出事業者の確認義務の厳格化及び透明性の確保 ④ こどもの個人情報に係る規制の厳格化及び明確化 ⑤ 団体による差止請求制度及び被害回復制度の新設 ⑥ 課徴金制度の導入並びに勧告及び命令の実効性の確保 ⑦ 直罰規定の拡大及びその法定刑の厳格化 ⑧ 漏えい等報告及び本人通知の範囲及び内容の合理化 ⑨ 社会のニーズ及び公益性を踏まえた例外規定の新設並びに明確化 ⑩ PIA及び個人データ取扱責任者に関する取組の促進 |
本稿では、上記①~⑩の点について、中間整理において示された個人情報保護員会による制度の見直しの「考え方[4]」を中心に、中間整理の概要について解説します。
生体データの規律の新設
現行法では、生体データは、身体の特徴のいずれかを電子計算機の用に供するために変換した符号のうち、本人を認証することができるようにしたものとして、個人識別符号に該当し(個人情報保護法施行令1条1号)、個人情報に該当するものとして位置付けられています(同法2条1項)。もっとも、現行法上、生体データの取扱いについて、生体データであることに着目した特別の規律は設けられていません。
そこで、中間整理では、特に要保護性が高いと考えられる生体データについて、実効性ある規律を設けるために、以下に掲げる事項を検討する必要があると述べられています(中間整理4頁)。
・ 生体データを取り扱う場合においては、どのようなサービスやプロジェクトに利用するかを含めた形で利用目的を特定するように求めることを検討。 ・ 生体データに関する一定の事項を本人に通知又は十分に周知することを前提に、本人による利用停止を柔軟に可能にすることを検討。 |
不適正利用及び不正取得の規律の具体化及び類型化
現行法では、個人情報の不適正利用及び不正取得は禁止されており(個人情報保護法19条、20条1項)、個人情報保護法のガイドラインでは、それぞれ6事例ずつ記載されています。もっとも、これらの事例には、①個人情報保護委員会が行政上の措置を講じた事案(例えば、小売電気事業者が法律で禁止されている個人データを取得した事案、名簿屋が意図的に確認せずに転売屋に名簿を販売した事案)、②個人情報取扱事業者と本人の関係によって個人情報の提供等について自ら判断して選択を行うことが期待できない事案(例えば、デジタルプラットフォーム事業者、与信事業者、雇用主、通学先の学校との関係の事案)、③個人関連情報の取扱いによりプライバシーなどの個人の権利利益が侵害される可能性のある事案(例えば、インターネット掲示板への携帯電話番号の投稿、二段階認証用の携帯電話番号のターゲティング広告への利用)は必ずしも含まれていません。
そこで、中間整理では、個人情報の不適正利用及び不正取得が適用される範囲を具体化及び類型化を図るため、以下に掲げる検討を行う必要があると述べられています(中間整理5~6頁)。
・ これまで個人情報保護委員会において問題とされた事例等を踏まえて、不適正利用及び不正取得への該当性を検討。 ・ 自らの自律的な意思により選択をすることが期待できない場合において、本人との関係に照らして当然認められるべき利用目的以外の利用目的で個人情報を取得・利用することや、当然認められるべき利用目的の達成に真に必要な範囲を越えて個人情報を取得・利用すること等について、不適正利用及び不正取得の適用を検討。 ・ 電話番号、メールアドレス、Cookie ID など、個人に対する連絡が可能な個人関連情報を有している場合であって、その利用の方法によってプライバシーなどの個人の権利利益が侵害される蓋然性が認められ、その侵害の程度・蓋然性が個人情報と同様に深刻なものとなり得るときについて、不適正利用及び不正利用の在り方を検討。 |
オプトアウト届出事業者の確認義務の厳格化及び透明性の確保
現行法では、個人データの第三者提供については原則として本人の同意を得ることが求められますが(個人情報保護法27条1項本文)、オプトアウトに関する所定の事項を本人に通知し、又は本人が容易に知り得る状態に置くとともに、委員会に届け出たときは、本人の同意を得ることなく第三者に提供することができます(同条2項)。しかし、個人情報保護委員会が行ったオプトアウトの届出を行った事業者(以下「オプトアウト届出事業者」といいます。)の実態調査では、提供先における不適正利用及び取得元における不正取得への抵触について確認を行っていない事業者がいることが判明し、また、届出事項を本人が容易に知り得る状態に置くことが実効的になされていない可能性があることが示唆されていました。
そこで、中間整理では、オプトアウト届出事業者の確認義務の厳格化及び透明性の確保のため、以下に掲げる検討が必要であると述べられています(中間整理8頁)。
・ 一定の場合には提供先の利用目的や身元等を確認する義務を課すことについて検討(その際、確認義務の要件についての検討や、住宅地図等を広く市販する場合など規律の在り方についても検討。)。 ・ 取得元における取得の経緯や取得元の身元等の確認について、より高度の注意義務を課すことを検討(具体的には、一定の場合には取得元の身元や取得の適法性を示す資料等を確認する義務を課すこと、及び確認義務の要件や対象の類型化をすることについて検討。)。 ・ 本人が、オプトアウト届出事業者によって個人情報が提供されており、 かつ、当該提供の停止を求めることができることを確実に認識できるようにするための措置など、本人のオプトアウト権行使の実効性を高めるための措置について検討。 |
こどもの個人情報に係る規制の厳格化及び明確化
現行法では、こどもの個人情報の取扱いに関する明文の規定は基本的にはありません。しかし、海外の法制度においては、こどもの個人情報の取扱い等に関する規律が定められ、執行事例(例えば、動画プラットフォームやSNSにおけるこどもの個人情報の取扱いが問題となった事例)も存在しており、また、国内においても、こどもの個人情報等に関する社会的反響が大きかった事例(例えば、全生徒にウェアラブル端末を購入してもらい、健康情報を収集する事例)がありました。
そこで、中間整理では、こどもの権利利益の保護をするとともに、事業者の負担を考慮して、以下に掲げる検討を深める必要があると述べられています(中間整理10~11頁)。
・ 本人の同意又は本人への通知等が必要とされている場面において、こどもの個人情報については、法定代理人の同意を取得し、又は法定代理人に情報提供すべきことを法令の規定上明確化することを検討。 ・ こどもの保有個人データについては、他の保有個人データ以上に柔軟に事後的な利用停止を認めることについて検討。 ・ こどもの個人データについて安全管理措置義務を強化することを検討。 ・ こどもの最善の利益を優先し特別な配慮を行うべき等、事業者等が留意すべき責務を定める規定を設けることを検討。 ・ 対象とするこどもの年齢を16歳未満とすることについて検討。 |
団体による差止請求制度及び被害回復制度の新設
現行法では、個人情報保護法違反について、適格消費者団体(消費者契約法に定める要件を満たし、差止請求を行うのに必要な適格性を有するとして、内閣総理大臣が認定した消費者団体)の差止請求についての規定は設けられていません。しかし、消費者法分野においては、消費者被害には同種の被害が拡散的に多発するという特性がある一方で、消費者個人としては、被害の認識をしていないこと、救済を求めて請求できることを知らないこと、事業者との情報の質及び量並びに交渉力に格差があること、費用・労力の負担等によって自身の被害回復のための行動を採りにくいことなどから、消費者に代わって事業者に対して訴訟等をすることができる制度があります。
そこで、中間整理では、個人情報保護法の規定に違反する個人情報の取扱いに対する抑止力を強化し、本人に生じた被害の回復の実効性を高めるという観点から、以下に掲げる検討を行う必要があると述べられています。
・ 団体による差止請求制度については、様々な課題が指摘されているものの、個人情報保護法に違反する不当な行為を対象行為とすることを検討。 ・ 団体による被害回復制度については、差止請求制度よりも課題があると考えられるため、更に慎重に検討。 |
課徴金制度の導入並びに勧告及び命令の実効性の確保
現行法では、個人情報保護法に課徴金制度(一定の行政目的を達成するため、行政庁が違反事業者等に対して金銭的不利益を課す制度)はありません。しかし、他の法令(例えば、独占禁止法)には導入事例があること、個人情報保護委員会が行政上の対応を行ったのにもかかわらず適切な措置が講じられなかった事案があること、諸外国には制裁金を課す規律が存在し、かつ実際に多額の制裁金が課された事例があること等が指摘できます。
また、現行法では、個人情報保護法に違反した個人情報取扱事業者等に対して、原則として違反行為の中止その他違反を是正するために必要な措置の勧告を行ったうえで命令を発する制度となっています(同法148条。ただし、緊急命令の要件を満たす場合には、勧告を前置することなく緊急命令を発することができます。)。しかし、勧告を命令に前置しなければならず、半年を要して勧告、命令及び告発という対応に至った事例があること、個人情報保護法違反に関係する第三者に対して勧告及び命令を直接発することができないこと、「違反を是正するために必要な措置」に限ってしか勧告及び命令を発することができないこと等が指摘できます。
そこで、中間整理では、課徴金制度の導入並びに勧告及び命令の実効性の確保の観点から、次に掲げる検討を行う必要があると述べています(中間整理17頁)。
・ 課徴金制度については、その導入の必要性を含めて検討(その場合、課徴金賦課の対象となる違法行為類型、課徴金の算定方法、及び課徴金の最低額の設定・加減算等の論点を整理する必要がある。)。 ・ 勧告及び命令については、個人の権利利益の侵害が差し迫っている場合に直ちに命令を出すことの必要性、個人情報保護法違反に関与する第三者に対しても行政上の措置をとることの必要性、個人情報保護法に違反する個人情報等の取扱いの中止のほかに個人の権利利益の保護に向けた措置を求めることの必要性の有無や手続保障等について検討。 |
直罰規定の拡大及びその法定刑の厳格化
現行法では、直罰規定として個人情報データベース等不正提供等罪は、1年以下の懲役又は50万円以下の罰金を定めており(個人情報保護法179条)、法人に対してのみ1億円以下の罰金刑を課すことができることが定められています(同法184条1号)。もっとも、昨今、個人データの取扱いに関し、内部的な不正行為に起因する悪質な事例が増加していること(例えば、元勤務先の名刺情報管理システムの認証情報を不正に転職先に提供した事例、学習塾の児童の個人情報をSNSのグループチャットに投稿した事例)、個人データが不正に取り扱われ、個人の権利利益が侵害されるおそれが生じた事例がみられること(例えば、従業員が違法又は不正にグループ会社の個人データを取得して、営業活動等のために利用した事例)、個人情報の不正取得の事例が多く発生していること(例えば、行政機関であるかのように説明して個人情報を聞き出す事例)等が指摘できます。
そこで、中間整理では、直罰規定の拡大及びその法定刑の厳格化の観点から、次に掲げる検討を行う必要があると述べています(中間整理18頁)。
・ 個人情報保護法の直罰規定が個人情報を不正に取り扱った悪質事例を過不足なく対象としているか検討したうえで、その処罰範囲及び法定刑の適切性を検討。 ・ 個人情報の詐取等の不正取得を直罰規定の対象に含めるべきかについて検討。 |
漏えい等報告及び本人通知の範囲及び内容の合理化
現行法では、個人データの漏えい等又はそのおそれの事案が報告対象事態(個人情報保護法施行規則7条各号に該当する事態)に該当する場合、個人情報保護委員会への報告(速報及び確報)を行うととともに、本人への通知を行うことが求められます(同法26条。ただし、違法な個人データの第三者提供はこれらの義務の対象となっていません。)。もっとも、令和5年には12,120件の漏えい等の事案について個人情報保護委員会等へ報告がありましたが、その中の漏えい等した個人データに係る本人の数が1人の事案が全体の84.0%を占めている状況でした。また、関係団体等からは、制度の趣旨・目的に照らしつつ、漏えい等報告及び本人通知の負担軽減を要望する声が上がっています。
そこで、中間整理では、漏えい等報告及び本人通知の合理化をする観点から、以下の検討をする必要があると述べています(中間整理20~21頁)。
・ 漏えい等又はそのおそれを認識した場合における適切な対処を行うための体制及び手順について認定個人情報保護団体などの第三者の確認を受けることを前提として、個人情報保護委員会に速報を行う義務を一定の範囲に免除することを検討。 ・ 上記を前提として、漏えいした個人データに係る本人の数が1名である誤交付及び誤送付のケースについては、個人情報保護委員会への速報を免除するだけでなく、確報について一定期間ごとに取りまとめの報告をすることで足りるとすることを検討。 ・ 漏えい等に関する義務が生じる「おそれ」の要件について、実態を明らかにしながら検討を行い、必要となる要件の明確化を検討。 ・ 違法な個人データの第三者提供を個人情報保護委員会への報告義務及び本人への通知義務の対象とする必要性やこれらの対象となる範囲を検討。 |
社会のニーズ及び公益性を踏まえた例外規定の新設並びに明確化
現行法では、個人情報保護法は、利用目的による制限の例外(同法18条3項各号)、要配慮個人情報の取得に係る規制の例外(同法20条2項各号)、個人データの第三者提供に係る規制の例外(同法27条1項各号)において、本人の同意を取得する義務の例外を定めています。これらは、他の権利利益の保護を優先すべき場合や、本人の利益のために必要がある場合等を類型化したものとされています。他方で、昨今は、生成AI等の新たな技術の普 及等により、大量の個人情報を取り扱うビジネスが生まれています。また、健康・医療等の公益性の高い分野を中心に、機微性の高い情報の利活用に係るニーズが高まっています。
そこで、中間整理では、個人情報保護法で本人の同意取得が義務付けられる規定の在り方について、社会のニーズ及び公益性を踏まえた例外規定の新設並びに明確化の観点から、以下に掲げる検討を行う必要があると述べています(中間整理23頁)。
・ 生成AIなどの、社会にとって有益であり、公益性が高いと考えられる技術やサービスについて、例外規定を設けることの検討。 ・ 医療機関等における研究活動等に係る利活用のニーズについて、例外規定に係る規律の在り方について検討(例えば、医療や研究開発の現場における公衆衛生の例外の適用については、ガイドラインの記載等についてステークホルダーと透明性のある形で議論する場の設定に向けて検討する必要がある。)。 |
PIA及び個人データ取扱責任者に関する取組の促進
PIA(Privacy Impact Assessment。個人情報等の収集を伴う事業の開始や変更の際に、プライバシー等の個人の権利利益の侵害リスクを低減・回避するために、事前に影響を評価するリスク管理手法)の実施と個人データの取扱いに関する責任者の設置は、個人情報保護法において義務付けられていません。もっとも、民間事業者については、いずれについても個人情報保護法のガイドラインに関連する記載があります。具体的には、PIAは、組織的安全管理措置の例として義務付けられる「個人データの取扱状況を確認する手段の整備」の例として「個人データの取扱状況を把握可能とすること」が挙げられており、また、個人データの取扱いに関する責任者は、組織的安全管理措置として義務付けられる「組織体制の整備」の例として、「個人データの取扱いに関する責任者の設置及び責任の明確化」が挙げられています(個人情報の保護に関する法律についてのガイドライン(通則編)10-3(1)及び(3))[5]。このようなPIA及び個人データの取扱いに関する責任者は、データガバナンス体制の構築において主要な要素となるものであり、その取組が促進されることが望ましいとされます。
そこで、中間整理では、PIA及び個人データ取扱責任者に関する取組の促進の観点から、以下に掲げる事項の検討を行う必要があると述べられています(中間整理24~25頁)。
・ PIAについては、民間における自主的な取組という現状の枠組みを維持しつつ、その取組を一層促進させるための方策について、PIAの出発点となり得るデータマッピングを活用していくことを含め、検討。 ・ 個人データの取扱いに関する責任者に関しては、現行のガイドラインで定める「組織体制の整備」を超えた措置の必要性について検討。 |
以上
[1] 附則10条は、「政府は、この法律の施行後3年ごとに、個人情報の保護に関する国際的動向、情報通信技術の進展、それに伴う個人情報を活用した新たな産業の創出及び発展の状況等を勘案し、新個人情報保護法の施行の状況について検討を加え、必要があると認めるときは、その結果に基づいて所要の措置を講ずるものとする。」と定めています。
[2] 個人情報の保護に関する法律(平成15年法律第57号)
https://elaws.e-gov.go.jp/document?lawid=415AC0000000057
[3] 個人情報保護委員会「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」(令和6年6月27日)
https://www.ppc.go.jp/files/pdf/240626_shiryou-1syuuseigo.pdf
[4] 中間整理においては、各検討項目の中の「考え方」と記載された項目において、個人情報保護委員会による制度の見直しに向けた方針が記載されています。
[5] 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)(平成28年11月(令和5年12月一部改正))」
https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/