対談・座談・インタビュー
パーソナルデータ・データ関連の最近のトピックス
2020.11.13
パーソナルデータ・データ関連の最近のトピックス
柴野弁護士:
本日は、パーソナルデータやその他データ関連のアドバイスを比較的多く担当されている、白石弁護士、村上弁護士、野呂弁護士に集まっていただきました。
まず、データ関連の最近のご相談として、どのようなものが多いのでしょうか。
野呂弁護士:
最近では、パーソナルデータを利活用するビジネスに関するご相談が多いように思います。特に、デジタルマーケティングやヘルスケアに関するデータ利活用を検討されている事業者様から、新しいビジネスを始める際に、法的にどのような点に留意すべきかをご相談いただく機会が増えてきたように感じています。また、情報セキュリティインシデント関係のご相談もよく対応しています。情報セキュリティインシデント関係の相談では、近時は、従来あまり見られなかった方法による不正アクセスや、個人情報の漏洩以外の法違反への対応についてご相談いただく機会が出てきたように思います。
柴野弁護士:
そうですね。パーソナルデータを利活用するビジネスのご相談は確かに多いですが、AI(人工知能:artificial intelligence の略。以下同様)関連のご相談では、著作権法によって保護される著作物といえるデータの利活用や、平成30年の不正競争防止法の改正で新設された「限定提供データ」の利活用に関するご相談も出てきている印象を受けております。知的財産関連のデータの利活用については、また別の機会にお話しできればと思いますが、特に新規ビジネスに関するご相談を受ける時に、野呂弁護士が気をつけていることは何かありますか。
野呂弁護士:
新規ビジネスのご相談を受ける場合、法律の知識だけでなく、ビジネスの内容について一つ一つ理解しておくことが重要であると日々感じています。例えば、cookieや広告IDがどのように利用されているかを把握できていないと、デジタル広告に関するご相談には対応できませんし、AIがどのようなものでどのようなデータを取り扱うことになるかを知らないと、AI製品の開発のご相談には対応できないので、日々新しいビジネスについてキャッチアップしていくことが重要であるように思います。
柴野弁護士:
ありがとうございます。私も、ビジネスに関する情報は、法律以外の本を読んだり、新製品や新サービスを購入したりすることで、キャッチアップするように努めていますが、とても重要だと思います。ところでインシデントといえば、情報漏洩が典型ですが、そういえば、最近、白石弁護士が中心となって、『個人情報漏洩対策の法律と実務』という本を出版されましたが、どのような本なのでしょうか。
白石弁護士:
ご紹介ありがとうございます。令和2年9月20日に発行された『個人情報漏洩対策の法律と実務』は、ビッグデータ社会の進展に伴って個人情報を利活用する場面が激増する中、違法・不当な取扱いがなされる可能性も相対的に高くなっていますが、そのような現状において、違法・不当な取扱いの最たる場面である漏洩事案にフォーカスし、その対応方法について、できる限り実務的な観点から解説を加えた、個人情報の管理をされている部署の皆様必携の本となっています。
柴野弁護士:
情報漏洩その他のインシデント対応として、どういうご相談が多いのでしょうか。
白石弁護士:
漏洩等事案においては、情報漏洩等の事案が発生した後に、原因調査・解消対応、ご本人への通知対応、個人情報保護委員会への報告対応、窓口設置・問い合わせ対応、プレスリリース対応、再発防止策に関する対応、対象者処分・損害賠償対応、といった有事対応についてのご相談をいただくことが多いです。もっとも、漏洩等事案においては、初動対応の良し悪しがその後の結果を大きく左右することになりますので、本来は、漏洩等のインシデント発生を想定した平時の事前対応として、体制の構築や社員の皆様への教育などのご相談が増えてきてほしいところです。そこで、この『個人情報漏洩対策の法律と実務』を使ってクライアントの皆様にアピールしていきたいと考えています。中でも社員の皆様への教育につきましては、継続的にお声がけいただいているクライアントの皆様もいらっしゃいますが、社員の皆様のマインドセットを変えることによって漏洩事案の防止・早期発見に大きく資するところであり、費用対効果の最も高いところですので、もっともっとお気軽にお声がけいただきたいところですね。
柴野弁護士:
「転ばぬ先の杖」といいましょうか、漏洩等のインシデントが起きて初めて、その対応がどれだけ大変か、どれだけのコストがかかるのかが分かるわけですが、平時の事前対応をしていれば、そこまで被害・損害が拡大せずに、早期収束が可能だったということもあると思いますので、平時対応が重要というのは同感ですね。
他に、最近のご相談というテーマで何かありますでしょうか。
村上弁護士:
最近多いご相談としては、今年、個人情報保護法が改正されたため、その対応依頼があります。施行時期は、再来年が予定されておりますが、早めに対応したいというニーズがある場合があります。それから、海外でのパーソナルデータの保護法制に関するご相談も多くあります。
海外の法制度のトレンド
柴野弁護士:
そうですね、日本の個人情報保護法改正については、この座談会でも追って取り上げたいと思いますが、まず、海外でのパーソナルデータの保護法制に関する、最近のご相談の全体的なトレンドを、お話しいただけますでしょうか。
村上弁護士:
はい。近時のIT・ネットワーク技術の進展に伴い、海外へのサービス展開が非常に簡単にできるようになりました。一昔前は、EUに事業を展開するとなると、大変な労力だったと思いますが、いまでは、インターネットやグローバルなプラットフォーマーを通じて、誰でも簡単に海外向けのサービスを事実上始めることができてしまいます。その結果、海外居住者のパーソナルデータを取得する機会が増え、その結果、海外のパーソナルデータの保護法制が適用される場面が飛躍的に増大しています。そのようななか、海外のパーソナルデータの保護法制への日本企業の関心は、2018年5月に施行された「General Data Protection Regulation」(EU一般データ保護規則、GDPR、以下同様。)を機に一気に高まり、実際に施行の前からGDPR対応のご相談を多くいただいておりました。最近でも、引き続きEUへのサービス展開にあたって、GDPR対応したいというご相談もありますし、GDPR対応は済んでいるものの日々のオペレーションで生じる疑問に対するご相談などもあります。GDPR以外でも、海外のパーソナルデータの保護法制へのご相談は増えており、最近は、今年施行された米国カリフォルニア州の「California Consumer Privacy Act of 2018」(カリフォルニア州消費者プライバシー法、CCPA、以下同様。)への対応についてのご相談が多かったですね。
GDPR対応について
柴野弁護士:
ありがとうございます。それではまずは、GDPRについて、日本企業にも適用があるのかどうか、また、どのような場合に適用があるのかについて、野呂弁護士の方から、説明いただけますでしょうか。
野呂弁護士:
はい、日本企業であっても、GDPRが適用される場合があります。GDPRは、日本企業による個人データの取扱いであっても、一つ目は、EU域内の拠点の活動の過程におけるもの、二つ目は、EU域内の個人に対する商品・サービスの提供に関連するもの、三つ目は、EU域内の個人の行動監視に関連するものには、その適用が及ぶ旨を定めています。また、GDPRの適用が及ばない場合であっても、GDPRの適用が及ぶ企業から個人データの移転を受ける場合や、その企業の処理者として個人データを取り扱う場合には、一定の対応が求められる場合があります。
柴野弁護士:
一定の対応が求められる場合があるとのことですが、日本企業にGDPRの適用が及ぶ場合、一般的にはどのような対応が求められますか。
野呂弁護士:
まずは、どのような個人データにGDPRへの対応が求められるのかをデータ・マッピングによって把握するのが重要になります。GDPR対応をすべき個人データを把握した後は、当該データに関し、自社においてどのような対応が求められるのかを整理していくことになります。一般的には、プライバシーポリシー・クッキーポリシーの策定、同意取得、社内規程の整備、処理者との間での委託契約の締結、域外移転規制への対応、個人データの取扱活動の記録等が求められることが多いです。また、事業者様によっては、EU代理人の設置、データ保護オフィサーの選任等が求められることがあります。
eプライバシー規則について
柴野弁護士:
ありがとうございます。そういえば、EUのクッキーに関するルールの改正法の施行の話が注目されていましたが、あの改正の状況は、現在どのようになっているのでしょうか。
野呂弁護士:
eプライバシー規則は、2017年1月10日に欧州委員会にてドラフトが採択されてから、現在に至るまで検討されています。現在検討中のeプライバシー規則は、現行法であるeプライバシー指令に代わるものです。eプライバシー指令・規則はいずれにも事業者にインパクトのあり得るcookie条項がありますが、EU加盟国に立法を義務付けるに過ぎない「指令」から、事業者・個人に直接効力を及ぼす「規則」になるということで、注目されたものです。GDPRは制定されるまでにおよそ4年3か月検討に時間がかかりましたが、eプライバシー規則は、それ以上時間がかかるかもしれません。現状では、cookieは、eプライバシー指令に基づくEUの各国法で規律されています。
CCPA対応について
柴野弁護士:
ありがとうございました。次に、米国カリフォルニア州のCCPAについて、村上弁護士にお聞きしたいと思いますが、まずは、同法は、日本企業にも適用があるのかどうか、また、どのような場合に適用があるのかについて、説明いただけますでしょうか。
村上弁護士:
はい、CCPAは、カリフォルニア州で制定され、2020年1月に施行された法律ですが、同法は、営利目的のためにカリフォルニア州でビジネスを行い、個人情報を収集・管理しており、かつ、(a)年間総売上高(annual gross revenues)が2500万米ドルを超えていること、(b)5万人/年以上の消費者、世帯またはデバイスの個人情報を購入、事業目的のために受領、販売、または共有していること、(c)年間売上高の50%以上を消費者の個人情報の販売から得ていること、のいずれかの要件を満たす事業者に適用されます。また、これに当たらなくても、これに該当する事業者を支配し、または支配され、これと共通のブランドを共有する主体、つまり典型的にはグループ会社にも適用されます。したがって、これらの要件を満たす日本企業にはCCPAが適用されます。
柴野弁護士:
営利目的のためにカリフォルニア州でビジネスを行っているかどうかについては、どのように判断されるのでしょうか。
村上弁護士:
カリフォルニアに事業拠点がなくとも、例えばオンラインビジネス等を日本から提供しており、カリフォルニアのユーザーがいる場合には、カリフォルニア州でビジネスを行っているとされる可能性がありますので、留意が必要です。
柴野弁護士:
CCPAが適用される日本企業としては、どのような対応が求められるのでしょうか。
村上弁護士:
対応すべき内容としては、大枠としては、GDPR対応に似ています。日本法を守っていることを前提にしますと、その差分を対応することになりますが、まずは、プライバシーポリシーの変更が挙げられます。CCPAでは、プライバシーポリシーの記載事項が法定されているため、当該規制に沿った内容に修正する必要があります。それから社内規程の修正が必要になります。また、本人の権利が法定されており、個人データを販売している場合のオプトアウト権や削除請求権(忘れられる権利)など日本法において認められていない権利があるほか、その対応手続きも日本法と異なりますので、本人からの権利行使についての準備も必要です。
令和2年改正個人情報保護法(個人関連情報、仮名加工情報)について
柴野弁護士:
ありがとうございました。最後に、日本に話を戻して終わりにしたいと思いますが、今年、令和2年に個人情報保護法が改正されました。細かな改正点もあり、未だ法律しかできていない状況ですが、新しい概念として、①個人関連情報、②仮名加工情報が創設されました。この点について、白石弁護士にお聞きしたいと思います。
白石弁護士:
はい。令和2年改正個人情報保護法においては、「個人関連情報」という新しい概念が創設されました。個人関連情報とは、生存する個人に関する情報であって、個人情報、仮名加工情報、匿名加工情報のいずれにも該当しないものをいいます。具体的には、cookieや広告ID等の端末識別子及びこれらと紐づく情報などが想定されています。このような情報は、現行の個人情報保護法では特定の個人に紐づけて管理されていない限り、個人情報に当たらないため、第三者提供規制の対象外ですが、令和2年の改正法においては、第三者が個人関連情報を個人データとして取得することが想定される場合には、23条1項各号の例外規定、すなわち、人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき等の例外規定に該当する場合を除き、提供者は、個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の本人の同意が得られていることを確認しなければならないこととされました。
柴野弁護士:
なるほど。そうしますと、実際には、法律の文言で言いますと、「当該第三者が個人関連情報を個人データとして取得することが想定されるとき」(改正後の26条の2第1項柱書)とはどのような場合がまさに想定されるのかが問題になると思いますが、この点については、どう思われますか。
白石弁護士:
はい、当該「想定されるとき」とは、個人関連情報取扱事業者が提供先の事業者が個人データとして取得することを現に想定している場合や、当該第三者との取引状況等の客観的事情における一般人の認識を基準として通常想定できる場合を意味します。具体的には、提供先の事業者から事前に「個人関連情報を受領した後に他の情報と照合して個人データ化する」旨を告げられている場合や、第三者に個人関連情報を提供する際に、当該第三者において当該個人関連情報を氏名等と紐付けることができる固有のID等も併せて提供する場合が想定されます。
柴野弁護士:
「想定されるとき」の要件を満たすか否かの判断が実際には難しい場合もあろうかと思いますが、そのような場合、個人関連情報を提供する側としては、実務的にはどのような対応をしたらよいでしょうか。
白石弁護士:
そのような場合には、個人関連情報の提供契約において、提供先が当該情報を個人データとして取得することを禁止する規定を設けたり、提供先が当該情報を個人データとして取得するものではないことを表明保証する規定を設けたりして、提供先に当該規定を遵守させるスキームを組むことにより、「想定されるとき」に該当しないよう設計することも可能と考えています。もちろん、当該契約を締結しさえすればよいというものではなく、当該契約が形式だけのものに過ぎず、他の客観的事情から個人データとして取得されることを一般人の認識を基準として通常想定できるような場合には、「想定されるとき」に該当することになる点は注意する必要があります。
柴野弁護士:
なるほど、提供する側としては、そのような契約の条項を提供先と締結する契約の中に規定して提供先に提示し、提供先の反応を見つつ対応をするということになるのでしょうか。この点は、どのようなビジネスニーズ・背景事情の下で、提供元と提供先間で個人関連情報のやり取りがなされるかにもよるところかと個人的には思います。ところで、そのような「当該第三者が個人関連情報を個人データとして取得することが想定されるとき」に、本人から当該取得にかかる同意が得られていることを確認しなければならないのは、提供先、提供元のいずれでしょうか。
白石弁護士:
提供元は個人関連情報により本人を識別することができませんので、同意を取得する主体としては、基本的には、提供先であり、提供元は、その同意が取れていることを確認するということが想定されていると思われます。もっとも、提供元としても、本人を識別しないままに同意を取得することも可能とは考えられますので、実務上、提供元が同意を取得する例もあります。
柴野弁護士:
続いて、改正法のもう1つの目玉、仮名加工情報の定義を教えて頂けますでしょうか。
白石弁護士:
はい。令和2年改正個人情報保護法においては、「仮名加工情報」という新しい概念が創設されました。仮名加工情報とは、個人情報に含まれる記述等の一部または個人識別符号の全部を削除・置換することにより、他の情報と照合しない限り特定の個人を識別できないように個人情報を加工して得られる個人に関する情報をいいます。加工に際して講じるべき措置としては、改正法2条1項1号に定める個人情報については当該個人情報に含まれる特定の個人を識別することができる記述等の一部を削除すること、改正法2条1項2号に定める個人情報については当該個人情報に含まれる個人識別符号の全部を削除することとされており、当該削除には、復元することのできる規則性を有しない方法により他の記述等に置き換えることが含まれます。もっとも、現時点では具体的な加工基準・加工方法は示されておらず、今後、個人情報保護委員会規則やガイドラインによって具体化されることが予定されていますので、仮名加工情報の利活用をお考えの皆様は、今後の情報をウォッチしておく必要があります。
柴野弁護士:
そもそも仮名加工情報は、どういう背景の中で創設されたのでしょうか。
白石弁護士:
仮に個人情報に一定の仮名化がなされた場合であっても、他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものは個人情報にあたりますので、現行の個人情報保護法のもとでは、当該仮名加工は漏洩等事案発生の際のリスクの低減に資する等の意味はあっても、個人情報保護法における当該仮名化後の情報の取扱いは、仮名化していない個人情報と異なる取扱い、すなわち義務の軽減等は認められておりませんでした。そのため、令和2年の改正法においては、イノベーション促進の観点から、仮名加工情報が創設されるに至ったものですが、事業者が負う一定の義務の緩和がなされることとなりました。
柴野弁護士:
一定の義務の緩和とのことですが、具体的にはどのような規制があるのでしょうか。
白石弁護士:
具体的に言えば、仮名加工情報は、個人情報保護委員会規則で定める基準に従って個人情報の仮名加工を行うこと、事業者内部における分析に限定するための一定の行為規制(すなわち、本人識別のために他の情報と照合しないこと、本人への連絡目的などに利用しないこと等)及び利用目的の特定・公表を前提に、本人の同意なく自由に利用目的を変更することを認めたり、開示・利用停止等請求の対象外とするなどの義務の緩和がなされました。
柴野弁護士:仮名加工情報の具体的な活用場面としてどのようなものが想定されていますでしょうか。
白石弁護士:
仮名加工情報の活用場面としては、取得時の利用目的が不十分または欠けている場合において、利用目的を柔軟に変更して利活用することが考えられます。例えば、現在保有している個人データについて、AIの学習用データとして利用したいニーズが生じた場合において、AIの学習用データとしての利用という利用目的が、取得時の利用目的に含まれておらず、また、取得時の利用目的と関連性を有する範囲内にあるともいえないような場合には、当該個人データを仮名加工情報に加工して利用することとすれば、本人の同意なく利用目的を変更し、AIの学習用データとして利用することが可能です。また、例えば医療・治験等の分野で取得される個人情報などは、取得時の利用目的が、医療行為の提供や治験の実施等に限定されている場合が多いとの認識ですが、仮名加工情報に加工することによって、本人の同意なく利用目的を変更して他の利用目的のために利活用することが可能です。もっとも、これらの場合、利用目的変更にかかる本人の同意は不要であっても、変更後の利用目的の公表は必要である点については留意する必要があります。
令和3年改正案について
柴野弁護士:
ありがとうございました。本日は最後になりますが、令和3年改正が目前に控えているそうですが、その概要を、野呂弁護士教えて頂けますでしょうか。
野呂弁護士:
令和3年の通常国会に提出することを目指した改正案について、先日中間整理案の意見募集が行われましたが、主に4つのポイントがあるとされています。一つ目は、個人情報保護法、行政機関個人情報保護法、独立行政法人等個人情報保護法の3本の法律を統合し、所管を個人情報保護委員会に一元化することです。二つ目は、医療・学術分野の独立行政法人に民間の事業者と同等の規律を適用することです。三つ目は、学術研究にかかる適用除外規定について、一律の適用除外ではなく、義務ごとの例外規定とすることです。四つ目は、公的部門・民間部門で用語・定義を統一することです。この改正案では、地方公共団体の個人情報保護条例について対象外となっていますが、その見直しについては引き続き検討されるようです。
柴野弁護士:
ありがとうございました。本日は、①パーソナルデータ・データ関連の最近の相談のトレンド、②海外の保護法制のトレンド、③令和2年改正個人情報保護法と令和3年改正案について、座談してまいりましたが、また機会がありましたら、続編をしてみたいと思います。本日はありがとうございました。