(2023年7月7日)意見募集の結果が公表されました。
「情報信託機能の認定に係る指針Ver3.0(案)」に対する意見募集の結果及び「情報信託機能の認定に係る指針Ver3.0」の公表
案件名:「情報信託機能の認定に係る指針Ver3.0(案)」に対する意見募集
所管省庁・部局名等:総務省 情報流通行政局 地域通信振興課 デジタル経済推進室、経済産業省 商務情報政策局 情報経済課
提出日:2023年6月14日
一般社団法人MyDataJapan 公共政策委員会
東京都港区赤坂8−4−14青山タワープレイス8F
Ⅲ 情報信託機能の認定基準 2情報セキュリティ・プライバシー保護 (3)プライバシー保護対策 における「(プロファイリングに関する情報銀行の対応)」について以下のとおり意見を述べる。
今回、健康医療に関する一部の要配慮個人情報が認定指針案の対象となったことに伴い、上記部分の末尾の段落(21頁)に、「なお、本指針において情報銀行における要配慮個人情報の取扱いは、健康・医療分野の要配慮個人情報について取扱要件を満たした場合のみ認めているが、提供される要配慮個人情報を超えて、新たに要配慮個人情報の項目に相当する情報を生成することのないよう注意する必要がある」との加筆修正がなされている(以下「記述A」という。)。「新たに要配慮個人情報の項目に相当する情報を生成する」ことが禁じられているが、この部分の趣旨がやや不明確である。なぜなら第一に、これが今回取扱いが許容されることとなった26の項目(11頁)外の項目の生成の禁止を意味するものであるとすると、あまりにも当然のことであり、わざわざこのように記述する理由が不明である。第二に、これが許容される範囲内での項目の生成であるとすると、本人の同意の有無にかかわらず生成が禁止されるというのは、いささか厳格に過ぎるように思われる。
この問題は、該当部分の直前の段落(21頁)の記述と合わせて読むことによってさらに拡大する。直前の段落の第一文は以下のとおりである。「特に、要配慮個人情報等を推知することにより利用者個人に重大な不利益を与える可能性のあるプロファイリングについては、当該プロファイリングを「要配慮プロファイリング」として、要配慮プロファイリングを取り扱うことのみならず、分析・予測に含まれるロジック(実施する場合)や、利用者個人への影響・リスクに関する有意な情報について明示し、本人同意を得ることが望ましい。」この部分(以下「記述B」という。)は、今回の改定部分ではないが、記述Aとは逆に、要配慮プロファイリングによって要配慮個人情報を生成することを原則として無条件で許容しており、単にその際「本人同意を得ることが望ましい」とされている。個人情報保護法上、要配慮個人情報の取得には原則として本人の同意が必要とされている(20条2項)こととの関係で、記述Bのような立場を取るためには、「生成は取得に当たらない」との解釈に立つ必要があるが、この解釈には異論がある。すなわち、そのような解釈を取ると、(1)取得に関する個人情報保護法上の規制が生成に適用されず、生成された情報については利用目的の通知公表(21条)が不要となってしまう、(2)今後プロファイリングにより様々な個人情報が生成されることが想定されるが、これらが規制対象外となる、などの理由から「生成は取得に当たる」と解すべきであるとする立場が存在するのである。この問題については、今後の議論に待つべきであるが、認定指針案において、「生成は取得に当たらない」という考え方を採用することには疑問が残る。特に今回は、健康医療情報を認定対象に取り込む大きな改訂であり、その観点から健康医療情報の項目の限定(11頁)や提供先の利用用途の制限(13頁)など、スモールスタートを意識しつつ安全性に配慮した多くの工夫がなされている。そのような今回改訂の趣旨を踏まえれば、この問題についても当面は保守的に考えて、議論が収束した際に改めて自由な利活用に向けた改訂を検討することが妥当であるように思われる。なお、健康医療情報は、公益的な利用の必要性が高い情報であるところ、政府の規制改革会議等において、要配慮個人情報であっても健康医療情報については本人の同意を前提としない取扱いを可能とする規制緩和の検討が行われているところであり、健康医療情報における利用の必要性を理由として健康医療情報以外の要配慮個人情報についての規制を緩和するアプローチは適当とはいえない。
以上のことから、記述Aと記述Bはいずれも生成を本人の同意を条件として許容することにより平仄を合わせることが妥当である。具体的には、記述Aについては、生成を全面的に禁じるのではなく、本人の同意を条件として生成を許容することとして以下のように修正すべきである。「なお、本指針において情報銀行における要配慮個人情報の取扱いは、健康・医療分野の要配慮個人情報について取扱要件を満たした場合のみ認めているが、本人の同意なく、提供される要配慮個人情報を超えて、新たに要配慮個人情報の項目に相当する情報を生成することのないよう注意する必要がある」。また、記述Bについては、要配慮プロファイリングに本人の同意を要求する方向で以下のように修正すべきである。「特に、要配慮個人情報等を推知することにより利用者個人に重大な不利益を与える可能性のあるプロファイリングについては、当該プロファイリングを「要配慮プロファイリング」として、要配慮プロファイリングを取り扱うことのみならず、分析・予測に含まれるロジック(実施する場合)や、利用者個人への影響・リスクに関する有意な情報について明示したうえで、本人同意を得ることが必要である。」
以上