一般社団法人MyDataJapan
東京都港区赤坂8−4−14青山タワープレイス8F
一般社団法人MyDataJapanは、自民党デジタル社会推進本部が5月21日に公表した政策提言:「デジタル・ニッポン 2024 ― 新たな価値を創造するデータ戦略への視座 ―」[1]の第6章「データ利活用を支える個人情報保護制度向けて」について、下記の通り意見を述べます。
[1] デジタル・ニッポン 2024 ― 新たな価値を創造するデータ戦略への視座 ―
目次
| (数字はデジタル・ニッポン2024での章立て) 6. データ利活用を支える個人情報保護制度に向けて 6.1 個人データの定義の見直し 6.2 個人情報の第三者提供の在り方 6.2 (1) 本人同意原則の見直し 6.2 (2) 提供元基準の見直し 6.3 統計データの利活用 6.4 制度見直しの在り方 6.4(1)「三年ごと見直し」 6.4(2)生成AI等の新技術への対応 6.4(3)準公共分野における個人情報の保護の在り方 6.5 効果的・合理的な法制度と法執行の在り方 6.5(1)効果的な制度と執行 6.5(2)課徴金や訴訟制度等に関する考え方 6.5(3)国際的な視点の必要性 6.5(4)データの利活用と保護の両立に向けて |
6.データ利活用を支える個人情報保護制度に向けて(6全体の柱書)
| 個人情報保護法が2003年に成立して20年が過ぎた。個人情報は、本人と社会に大きな恩恵をもたらす価値の源泉であって、その保護は、利活用との両立によって個人と社会の調和を実現するための根幹である。データは人の行動から生み出され、それが意識的に利活用されることによってその人の利益に還元される。健康医療、金融、消費等あらゆる場面で我々は個人に関連するデータを生み、そのデータが分析され、活用されることで、健康を維持し、最適な金融サービスにアクセスでき、豊かな消費生活を送ることができる。 しかし、2016年に設置された個人情報保護委員会の制度運用がこのようなデータ利活用による豊かな社会の実現に貢献できているのか、個人情報保護委員会の体制、議論の仕方も含め、徹底的に検証されるべきである。個人情報を個人から収集し保護している主体は事業者であって、制度の運用には事業者から寄せられる信頼が必要であることを失念してはならない。 現在、個人情報保護委員会事務局は、令和2年改正法の附則に基づく「施行後三年ごと見直し」に向けた検討の段階にある。データ戦略を議論するデジタル・ニッポン2024では、多様なステークホルダーの意見も踏まえて提言を行うべく、データ利活用における課題として紙幅を割くことにした。 なお、本章で提言した内容が個人情報保護委員会における議論にどのように反映されていくか、デジタル社会推進本部は引き続きその状況をヒアリングしていく。 |
個人情報保護法の法目的は、保護と利活用の両方のはずです。しかしながら提案6.は、データ利活用のみを志向しているように見受けられます。実際、この提案の多くは、日本経済団体連合会や新経済連盟、日本IT団体連盟など事業者団体8団体が共同で公表している個人情報保護法見直しの提案[2]とかなり近いものになっています。
まず、表題が「データ利活用を支える個人情報保護制度に向けて」となっていますが、個人情報保護制度は、保護と利活用の両方を支えるものであるべきです。また、「制度の運用には事業者から寄せられる信頼が必要であることを失念してはならない」とありますが、私たちは、制度の運用には個人本人から寄せられる信頼も必要であることを失念してはならないと思っています。私たちは、以下の個別論点についても個人本人からの信頼の側面を考慮してもらいたいと思っています。
[2] https://www.keidanren.or.jp/policy/2024/035.pdf
6.1 個人データの定義の見直し
| 個人情報保護法は、累次の改正によって個人情報の保護と利活用の両立を目指し、匿名加工情報や仮名加工情報等の定義を導入してきた。今や個人情報、個人データ、個人関連情報や保有個人データも含め、数多くの定義が乱立している。これにより、データを保護し利活用する企業にとっては、あるデータがどの定義に該当するか、複数の定義に該当する場合にどのような管理すべきか等に腐心しなければならず、負担になっているという指摘がある。また、電気通信事業法において「特定利用者情報」に関する規律も創設されている。このような状況は、これまで個人情報の保護と利活用の両立を阻害するものと言える。改めて保護の対象たる個人に関する情報・データについて定義を検討すべきである。 |
私たちも、法の定義の再検討を希望しています。ただ、デジタル・ニッポンのご提案の意図とは異なるかもしれません。以下、説明します。
「累次の改正によって」とされていますが、「個人情報」、「個人データ」、「保有個人データ」は立法当初から存在した規定であり、改正により追加された概念ではありません。「累次の改正によって」追加されたのは、「匿名加工情報」「仮名加工情報」「個人関連情報」の3つで、そのうち 「匿名加工情報」と「仮名加工情報」は、個人情報の利活用のために導入された制度です。利活用の観点からは残した方がいいように思われます。一方、「個人関連情報」については、個人情報に吸収させることにより廃止すべきと考えており、ご提案がそのような趣旨であれば賛同します。
以下、理由を述べます。
まず、匿名加工情報は、2015年改正において、個人データを安全な形に加工して自由に流通させるために作られた制度です。履歴等を残した状態で匿名加工情報とすることができるため、匿名加工情報を作成する事業者にとって、物理的には加工前のデータベースと照合することにより、特定の個人を識別できる状態でありながら[3]、個人情報に関する義務規定の適用を受けることなく自由に利用することができます。つまり、匿名加工情報は、この制度がなければ個人データとして扱わなければいけないものについて、本人同意なく流通させることを可能にしているのです。なお、このように完全な匿名化情報とはいえない匿名加工情報を個人情報から除外する考え方は、GDPR十分性認定の障害となりうることから、「個人情報の保護に関する法律に係るEU及び英国域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」(以下「補完的ルール」という)において、「EU又は英国域内から十分性認定に基づき提供を受けた個人情報については、個人情報取扱事業者が(中略)匿名化された個人を再識別することを何人にとっても不可能とした場合に限り、法第2条第6項に定める匿名加工情報とみなすこととする」とされていることに留意が必要です。
次に、「仮名加工情報」は、仮名化した情報の内部利用について、一部の義務規定を免除するもので、特に本人の同意なく利用目的の変更が可能であることから、利活用上きわめて有益なツールとなっています。このような仮名加工情報の利活用もそのままでは、GDPRによる個人情報の保護レベルを下回るものとして十分性認定の障害となりうるため、補完的ルールにおいて、「EU又は英国域内から十分性認定に基づき提供を受けた個人情報を加工して得られた仮名加工情報」については個人情報として取り扱われることとすることに加えて、統計目的のためにのみ取り扱われることとされていることに留意が必要です。
さらに、「個人関連情報」については、従来、個人情報でないため規制対象外であったものについての新たな規制を導入したものですが、保護の観点からは、個人情報保護法の現代化を回避するための弥縫策との批判を免れないものです。リクナビ事件を契機に導入された本制度ですが、リクナビ事件によって、クッキーや広告IDなどの端末等識別子に紐づく情報が容易に個人情報になりうることが判明したのですから、本来は、このタイミングで個人情報の範囲を拡大し、多くの国民が情報サービスにアクセスする際に日々利用することで、個人識別性が強い機器や端末に付与される識別子は、デジタル空間での基礎的なID情報となっており、個人情報に含むこととしてグローバルスタンダードへの接近を図るべきだったのです。6.1がそのような趣旨であり、個人情報の範囲を拡大し、個人関連情報を個人情報に含まれるものとすべきであるとのご提案であれば強く賛成します。
[3] ただし、本人を識別する目的で他のデータベースと照合することは、違法とされている(識別行為禁止義務 45条)。
6.2 個人情報の第三者提供の在り方(6.2の柱書)
「同意疲れ」と「本人同意の形骸化」については、所論のとおり深刻な問題ですが、、これに対する対応としては、形骸化した同意はすべて無効と判断するとともに、本人が理解しやすいような説明の工夫によって、同意の実行性を回復することが肝要です。それこそが、「本人の理解の下で個人情報の保護とデータ利活用を推進しようとした個人情報保護制度の理念」に沿うものです。しかしながら、6.2は、以下のとおり、本人の同意・関与なく第三者提供できる場面を拡大しようとしており、「個人情報保護制度の理念」を逸脱するものとなっています。
6.2 (1) 本人同意原則の見直し
| (一部略)しかし、実際のビジネスシーンや行政実務では、個人データの第三者提供を当然の前提とするサービスの利用に際して、改めて同意を取得する必要がない場合もある。例えば、災害現場で救急隊員が個人の医療情報にアクセスするために必ず同意を取らなければならないのか。金融機関が海外送金を行うために送金者情報を送金先の金融機関に提供するために同意が必要なのか。また、本人が行政機関間の情報連携を希望しているにも関わらず、提供元の行政機関が改めて本人から同意を得なければならないのか。インターネット上等で既に公開されている情報を提供する場合にも本人同意が必要なのか。個人情報保護委員会は、本人同意が不要なケースとして、法令に基づく場合、契約に基づく場合や正当な理由に基づく場合等、個々の現場の実情を知った上で改めて整理すべきであり、全体として合理的な手法が検討されなければならない。 |
具体例として挙げられたもののうち、災害現場における救急隊員のアクセスついては、法の定める本人同意の例外である「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」(27条1項2号)によって既に、本人同意不要のケースにあたると考えられます。その意味で、6.2は、現行法の例外規定の解釈を十分に検討したものとは思えません。仮にこの例外規定によってカバーできない場合でも、災害現場等における緊急の必要がある場合や医療情報の利用については、通常の場面での保護と利活用とは異なるバランスの要請が働く場面ですから、一般法である個人情報保護法の改正ではなく、災害時における情報の利用や医療情報に関する特別法によって問題を解消すべきです。海外送金のような特殊な場面についても、一般法の改正によるべきではなく特別法によるべきです。
「本人が行政機関間の情報連携を希望している」場合や「契約に基づく場合」等については、情報連携の方法や契約の内容について、本人が十分に理解していることが望ましい状態であり、そのように運用されるのであれば本人の同意がある場合に当たると考えられます。
「個人情報保護委員会は、本人同意が不要なケースとして、法令に基づく場合、契約に基づく場合や正当な理由に基づく場合等、個々の現場の実情を知った上で改めて整理すべき」としていますが、このうち「法令に基づく場合」については、現行法上、すでに本人の同意を要しない場合として整理されており[4]、6.2は、現行法の例外規定(「法令に基づく場合」)を踏まえたものとは思えません。
次に「契約に基づく場合」と「正当な理由」については、GDPR第6条の取扱いの適法化事由を参照したものと思われます。GDPRにおいては、取得、記録、編集、修正・変更、使用、送信による開示、配布、等、あらゆる取扱いについて、適法化事由のいずれかが存在することを求めています。これに対して、日本法は適法化事由のような独立の条文はないものの、①利用目的の変更、②要配慮個人情報の取得、③第三者提供の3場面についてのみ、同意を必要とし、そのうえで、法令の規定がある場合、生命・身体・財産の保護のために必要な場合等を、同意を必要としない例外事由としています。これらは「同意例外」とされてはいますが、基本的にはGDPR6条と同じ適法化事由です。GDPRの適法化事由と日本法の適法化事由は実質的にはかなり重複していて、GDPRにあって日本法にないのは、「契約に基づく場合」と「正当な理由」です。GDPRと日本法の最大の違いは、GDPRはあらゆる取扱いの場面で、6つの適法化事由を選択的に求めているのに対して、個人情報保護法は①利用目的の変更、②要配慮個人情報の取得、③第三者提供の3場面のみ、適法化事由を求めている点にあります。GDPRの適法化事由のメニューが日本法より2種類多いのは、適法化事由が求められる場面が圧倒的に多いということに起因している面もあると思われるところ、もし、①~③の3場面に「契約に基づく場合」と「正当な理由」を追加するのであれば、取扱いの全ての場面で適法化事由を求めるようにすることがGDPRへの正しい接近といえるでしょう。そうではなく、①~③の3場面のみに「契約に基づく場合」と「正当な理由」を追加せよとするのであれば、6.2はGDPRを不適正につまみ食いしようとする提案といわざるを得ません。
[4] 18条3項1号、20条2項1号、27条1項1号
6.2 (2) 提供元基準の見直し
| 現在、個人データの提供については提供元基準が採用され、個人データを加工して本人情報がマスキングされていても、提供者が特定の個人を識別することができれば本人の同意が必要である。しかし、提供先において個人の特定が不可能であり、本人の不利益があるとは言い難いにも関わらず提供元が本人の同意を求めることは適当とは言えない。提供先において特定の個人を識別するのであれば、提供先が本人に対してその取扱いに責任を負うべきである。 |
6.2(2)は「個人データを加工して(中略)提供先において個人の特定が不可能であり、本人の不利益があるとは言い難い」状態にしたものを本人の同意なく提供することを可能にしようとするものですが、そのような問題意識は、すでに匿名加工情報によって法制化されているため、このような議論は「匿名加工情報」の改正提案としてなされるべきです。
匿名加工情報の制度においては、どのような匿名化を施せば、「提供先において個人の特定が不可能」、「本人の不利益があるとはいい難い」と評価できるかという観点から、その加工方法が検討され、それを踏まえて加工方法が法定されています。このような制度が作られた趣旨は、一見、提供先において個人の特定が不可能と思われる情報でも、その情報の内容や加工の程度によっては提供先において容易に識別可能となり、本人に大きな不利益を与える場合があることが統計作成手法等の研究によって知られていたからです。
匿名加工情報の制度や再識別可能性の評価の難しさに言及することなく、それに類する法改正を提案する6.2(2)は、全体として趣旨が不明なものになっています。
6.3 統計データの利活用
| 現在、他の情報と照合しない限り特定の個人を識別することができないよう一定の基準により加工した個人に関する情報である仮名加工情報は、情報を取得し加工した事業者による分析のみが認められ、複数の事業者が持っているデータを統合して分析することは認められていないが、雇用情報等では多数のデータを統合して分析することが有効なケースが多々ある。このため、個人データの定義の見直しも踏まえつつ、仮名加工した情報に限り、個人が特定できる情報への復元を禁止する等の一定の規律を課した上で、統計分析や統計分析を行う第三者への提供を可能とする仕組みを検討すべきである。その際、認定個人情報保護団体への届出等の枠組みによって監督を補完する方法もありえる。 |
仮名加工情報は、安全な形に加工することを前提としない情報であり、加工事業者にとってはほとんどの場合個人情報になります[5]。6.3は、実質的には、統計化する目的であれば、本人の同意のない個人データの第三者提供を可能にするという提案ですが、この場合、提供される仮名加工情報には、氏名はなくとも、電話番号や広告IDがついていることもあるため、法的には個人情報に戻すことは禁止されていますが、提供先で容易に個人情報に戻すことが可能になってしまい、個人情報として流用される高いリスクがあります。だからこそ、現行法は仮名加工情報の第三者提供は認めていないのです。また、個人情報に戻さなくとも、その状態で、一人の情報を突合して情報量を増やすことが可能であり、やはり法的に禁止されていますが、本人に連絡を取ることも物理的にに可能で、このような流用の高いリスクも生じます。また、最終的には統計化するとしても、統計化の前に漏えいすることも当然想定されるのです。
以上のとおり、6.3は権利利益の侵害につながるおそれが強いため、現行法では禁じられていることを、安全性の手当てなく可能にしようとする提案となっています。
[5] https://www.ppc.go.jp/files/pdf/report_office_seido2205.pdf
6.4 制度見直しの在り方
(1)「三年ごと見直し」
| 令和2年改正個人情報保護法の附則には、「三年ごとの見直し」が規定されており、定期的な制度の見直しを実施することが常に予定されている。この短い期間は、見直しを行うに十分な長さなのだろうか。また、前回の改正からこれまでの間に、制度がどのように個人情報の保護と利活用に資する機能を果たしているのか十分な評価が行われただろうか。少なくとも、個人情報保護委員会は、3年という短い期間で法改正・規制強化を拙速に議論すべきではない。制度の頻繁な改正は予測可能性を低下させ、企業にとってデータ利活用への投資を控える要因にもなる。(中略)また、個人の権利利益を害するような個人情報の利用や杜撰な情報管理が後を絶たないが、そのような悪質な事案と個人情報の適切な活用によるビジネスとの間には大きな差がある。社会の変化が速い現代社会において、制度の陳腐化は防がれるべきだが、個人情報保護委員会は、企業に対するこれまでの法執行について、今一度振り返って分析し、見直しのための見直しではなく、制度の実効性と制度への信頼を維持するための意義ある見直しになるよう最大限努めなければならない。 |
6.4(1)は、「少なくとも、個人情報保護委員会は、3年という短い期間で法改正・規制強化を拙速に議論すべきではない」としており、あたかも個人情報保護委員会が裁量で3年ごと見直しを実施しているような書きぶりになっていますが、3年ごと見直しを法の附則に規定したのは立法府であって、個人情報保護委員会ではありません。仮に「3年という短い期間で法改正・規制強化を拙速に議論すべきでない」と提案する6.4(1)にしたがって、個人情報保護委員会が見直しをしなかったとすると、個人情報保護委員会は、附則に反する違法な法運用をしていることになります。
附則の立法事実は、デジタル技術の急速な進展の中で、個人情報の保護と利活用の双方をバランスよく行うために個人情報保護法は不断の見直しを迫られているということです。また、本提案も認めるとおり、この分野では国際的ハーモナイゼーションが不可欠で、世界の個人情報保護法制の見直しが急速に進展していることから、国際的動向を絶えず注視してタイムリーに対応する必要があることも重要な立法事実なのです。
なお、附則が求めているのは、3年ごとの「見直し」であって3年ごとの法改正ではありません。短いスパンで見直しを行い、必要があれば法改正し、必要がなければ法改正しない、という方法は、不断に変化するデジタル社会において、個人情報の保護と利活用の双方を図るためには不可欠なものであるとともに、国際的な潮流から日本のみ取り残されないためにも必要です。
6.4(2)生成AI等の新技術への対応
| (一部略)政府は、生成AIについてG7広島首脳コミュニケ(2023年5月20日)でプライバシー保護の重要性について指摘している。データがビジネスによって国境を越えて流通し、それによって価値を生んでいくグローバル環境においては、規制の国際的なイコールフッティングが重要な意味を持つ。個人情報保護委員会は、規制とデータ利活用のバランスが保たれるよう、国際情勢も踏まえ、生成AIをはじめとした新技術に臨むべきである。 また、新技術の社会実装に際し、個人情報保護制度の運用が予測可能性を備えることが非常に重要である。ガイドラインやQ&A等の運用基準を作成・公表する場合は、それが実質的な規制として機能することも踏まえた上で、産業界も含めた関係者の意見を十分に聞き、透明性を高めなければならない。 |
提案6.4(2)は、生成AIに関して規制の国際的なイコールフッティングを重視するものであり、もっともな提案です。特にEUのAI法は参考とされるべきです。なお、国際的なイコールフッティングの重視は、生成AIの文脈のみならずデータ保護法制全般について妥当することに留意すべきです。
6.4(3)準公共分野における個人情報の保護の在り方
| 健康・医療、教育、防災やこどもといった公共性の高い分野においては、個人情報等の利活用ニーズが大きいことが既に知られている。この利活用ニーズは、経済社会の発展のみならず、国が守るべき国民の生命・財産にも大きく関わるものでもある。ただ、それぞれ分野における事情やケースが異なるため、個人情報の保護についても、同じようなアプローチで考えてよいとは限らない。個人情報保護法が、個人情報の取扱いに関する一般法であることに留意し、分野の特異性に応じた実効性のある対策が講じられるよう特別法により対応することも検討されるべきである。(中略) こどもに関する情報については、こども・子育てDXプロジェクトチームの提言においても指摘されているように、連携されたデータを用いてプッシュ型・アウトリーチ型で支援を届けるべきである。住民記録、保育、教育、医療等の情報が連携されることにより、こどもと家庭に適切な支援を届け、関係者の更なる協力を得ることにつながっていく。その前提として、個人情報の適切な取扱いを整理することはもちろん、広範な法領域を踏まえた論点整理がこども家庭庁の関与の下で必要となる。 |
6.4(3)のうち、一般法と特別法の区別について言及する部分は妥当と評価できます。公共性のある個別の分野については、一般法である個人情報保護法の改正ではなく、特別法により対応すべきです。
こどもに関する情報について、6.4(3)は、「住民記録、保育、教育、医療等の情報が連携されることにより、こどもと家庭に適切な支援を届け、関係者の更なる協力を得る」ことを目指すべきとしています。適切なデータ連携により、こどもと家庭に適切な支援を届けることの必要性については議論の余地はありませんが、広い分野のデータの連携により「支援の必要性」の判断を行うことについては、慎重な検討が必要であり、今後十分な議論を行う必要があります。
現在、子ども家庭庁が公表する「こどもデータ連携ガイドライン(素案)」は、「こどもに関する施策については、これまでに様々な取組が進められてきたものの、貧困や虐待、不登校、いじめ等の困難な状況にあるこどもは依然として存在している。一方で、困難な状況にあるこどもはその実態が見えにくく、支援が必要なこどもや家庭に対して適切な支援が届けられず、取り残されてしまっているケースも少なくない。こどもデータ連携の取組は、地方公共団体において、福祉部局、保健部局、教育委員会等の多様な関係機関が分散して保有している、こどもや家庭に関する教育・保健・福祉等のデータを、(中略)分野を超えて連携させることを通じて、潜在的に支援が必要なこどもや家庭を早期に発見し、地方公共団体やその他関係機関が適切に協働しながら、SOS を待つことなく、プッシュ型・アウトリーチ型の支援につなげることを狙いとする。」としています(同ガイドライン4頁)。そしてこの取組のために利用するデータの項目である「基本連携データ項目」について「データ項目単体で、困難を抱え支援を必要としている蓋然性が高いと推測できると考えられるデータ項目」と定義しています(同6頁)。
そしてその具体的内容としては、「当該こどもと同一世帯の者が、身体障害者手帳を所持している」、「当該こどもと同一世帯の者が、精神障害者保健福祉手帳を所持している」、「当該こどもの属する世帯が生活保護を受給している」などを挙げています(同53頁)。これらのデータ項目は統計的には、「支援の必要性」と相関関係を有する可能性のあるものなのかもしれません。しかしながら、これを公式に「支援を必要としている蓋然性が高いと推測できると考えられるデータ項目」として定義してよいかは別の問題であり、事前に十分な議論を行う必要があります。
6.4(3)は、以上のような問題について自覚しているとは思えず、前のめりに広範囲のデータ連携を実施して「支援の必要性」を把握しようとするものであり、まずは個人情報保護委員会や障害者支援団体を交えた議論から始めるべきです。
6.5 効果的・合理的な法制度と法執行の在り方
(1)効果的な制度と執行
| 個人データの漏洩に関しては、これまで個人情報保護委員会が非常に厳しい漏えい等報告を事業者に課し、例えばサイバー攻撃等を受け、実際に個人データが漏えいしたのか確認できない場合にまで個人情報保護委員会への報告と本人への通知を求めている。個人データが漏えいしたのか確認できない場合、その技術的な評価は多岐に渡るにも関わらず、現在のように非常に広い網をかけて事業者に厳しい対応を求めても、ただ事業者に重い負担を課すに過ぎない。個人情報保護委員会は、どのような事案を把握すべきなのか明らかにし、漏えい等報告のための作業が個人の権利利益の回復に役立っているのかも含めて、その意義が検証されるべきである。個人情報保護の実効性を確保するためには、形式的な漏えい等報告や本人への通知を求めるのではなく、あくまでリスクベースの議論がなされなければならない。 |
第一に、6.5(1)は、「実際に個人情報が漏えいしたのか確認できない場合にまで個人情報保護委員会への報告と本人への通知を求めている」ことが過剰であるとするものであり、漏えいしたことが確認できた場合にのみ、「個人情報保護委員会への報告と本人への通知を求め」るべきとするものであると思われます。しかしながら、まず、「実際に個人データが漏えいしたのか確認」できる場合というのが、どのような場合なのか明らかではありません。たとえば、①「無権限の第三者が個人情報を入手したことが確認できた場合」や②「無権限の第三者による情報の利用が確認できた場合」が漏えいしたことが確認できた場合なのでしょうか。
そもそも、漏えいの報告・通知義務の目的は、漏えいによって生じる権利利益の侵害の防止にあります。少なくとも、漏えいのおそれ(上記①ないし②のおそれ)が認められる段階にあっては、①ないし②の事態がすでに生じまたは今にも生じうる可能性があるのであり、それによる権利侵害のおそれが生じています。したがって、そのタイミング、つまり漏えいのおそれのある段階から、報告と本人への通知を求めることは合理的です。
第二に6.5(1)は、漏えい報告を「厳しい対応」「重い負担」としていますが、漏えい報告は、速報についても確報についても簡便なフォーマットが用意されており、そこに必要事項を記入して提出すれば、多くの事案において手続きはそれで終わりです。重大な事案であればともかく、そうでなければ提出後に何らかの追加的措置を求められることもありません。6.5(1)が何をもって「厳しい対応」「重い負担」とするのかはっきりしません。
第三に、6.5(1)は、「個人情報保護の実効性を確保するためには、形式的な漏えい等報告や本人への通知を求めるのではなく、あくまでリスクベースの議論がなされなければならない」としています。6.5(1)が何をもって「形式的な」報告・通知としているのか明らかではありませんが、少なくとも、漏えいのおそれがある段階で、報告・通知が行われなければ「個人情報保護の実効性を確保する」ことができないのは前記のとおりです。また、漏えい報告・通知の義務は、漏えいについて、①要配慮個人情報が含まれる場合、②財産的被害のおそれがある場合、③サイバー攻撃等不正の目的によるものである場合、④本人の数が1000件を超える場合に限って生じるものであり、すでに十分にリスクベースの考え方がとられています。
6.5(1)は、漏えい報告・通知義務の対象から、漏えいのおそれがある場合を除外すべきであるとするもののようですが、その理由は、(1)漏えいのおそれがある段階での報告・通知は形式的なものであって個人情報保護の実効性が確保できない、(2)リスクベースの考え方になっていない、というもので、前記のとおり(1)(2)はいずれも当を得ないというべきでしょう。
6.5(2)課徴金や訴訟制度等に関する考え方
| 国外では、個人情報の悪用に関して課徴金や団体訴訟によって、その被害の救済を図ろうとする制度が存在する場合がある。課徴金制度については、令和2年改正法の附帯決議でもその導入について触れられたが、我が国では議論が十分に尽くされているとは言い難く、このまま課徴金制度が導入されれば、事業者が一層萎縮することになりかねない。既に導入されているEU等の国・地域の背景・運用状況は、我が国のそれと全く異なる可能性が高く、他の地域の経済社会を取り巻く環境や法制度や現在の制度運用について研究を尽くした上で、我が国の抱える課題とは何か、課徴金がその解決に資する手段かどうか丁寧かつ慎重に議論すべきである。また、団体訴訟制度についても、経済界から強い反対の声が挙がっていることも踏まえつつ、これまでの状況をよく分析した上で慎重な議論が求められる。例えば、保有個人データの利用停止・消去等の請求については、過去の法改正において既に拡充された。これらの制度の利用状況をよく把握してから議論しても全く遅くはない。 |
課徴金は、グローバルスタンダードのへの接近の観点からその導入が強く要請されるものですが、この点を別にしてもその立法事実は優に認められています。なぜなら、特に悪質な事案について、現状の罰金のみでは、高度な専門性を有する個人情報保護委員会で執行が完結しない問題があります。刑事司法では専門的リソースが限定され、必要十分な執行に繋げることができず、また、執行結果を継続的な改善を促すための法令の運用に繋げることもできません。事案の軽重を踏まえた適切な制裁と改善のプロセスが機能するよう、課徴金を含めた執行制度の設計を行うことが重要です。
6.5(2)は、「このまま課徴金制度が導入されれば、事業者が一層萎縮することになりかねない」としていますが、課徴金は悪質・重大事案にのみ適用されるものですから、事業者における利活用の「萎縮」は生じません。事業者は最低でも、自身の利活用が悪質・重大事案に該当しないように注意して行動すべきであり、そのような注意をもってふるまうことは、「萎縮」ではなく「常識的な行動」といえるでしょう。自身の行動が悪質・重大事案に該当する可能性を容認しつつ、危険な利活用を行う自由は、もともと事業者に与えられていないのです。
団体訴訟についても早急に導入すべきです。個人情報の取扱いに関して生じた権利利益の侵害に対する損害賠償請求は典型的な少額大量被害事案であり、提訴等の費用負担の方が得られる賠償額より大きくなる可能性が高い類型であるため、現状では訴訟を通じた被害者の救済が実現していません。このことは、漏えい事案のみならず、リクナビ事件に代表されるプライバシー侵害事案全般に妥当することにも注意が必要です。
団体訴訟については、消費者裁判手続特例法の令和4年改正によって、同法の団体訴訟に慰謝料を含むことになりましたが、どういうわけか、(a)事実関係を共通にする財産的請求と併せて請求されるものまたは(b)事業者の故意によって生じたもののいずれか、という制限がついています。このため、個人情報の漏えい事案(通常は精神的損害のみであり漏えい事業者に故意はない)における損害の回復手段としては機能しないのです。
そして「個人情報が漏えいしても訴訟にはならない」という現在の状況は、事業者において安全管理措置を講じるインセンティブの欠如につながっており、その結果、実際に漏えいが頻繁に生じており、さらには「漏えい報告が過度の負担である」という事業者側の主張にもつながっているのです。
なお、団体訴訟が実際に行われるような大規模事案では、個人情報保護委員会による勧告・命令が先行するケースが多いと予想されるところ、当該案件について個人情報保護委員会が有している情報に、原告となる特定適格消費者団体のアクセスが確保されることが有用と思われます。
6.5(2)は、団体訴訟についての「萎縮」には言及していませんが、念のため述べると[6]こちらに関する「萎縮」も発生しないと考えます。
まず、損害賠償請求と「萎縮」についてですが、当然のことながら、団体訴訟は結果責任を問うものではありません。たとえば漏えいが生じたことの一事をもって責任を問われるわけではなく、安全管理措置に関して過失がある場合に責任を問われることになります。事業者は、過失なく適切に安全管理措置を実施することを求められており、そのように行動しなければならないことは「萎縮」とは言いません。。安全管理措置における過失を気にしないで行動する自由は事業者に与えられていないのです。次に、差止請求と「萎縮」についてですが、差止めを受けるのは違法行為ですから、事業者に違法行為を行う自由が認められていない以上、「萎縮」が問題となる余地はないのです。違法行為を行わないように慎重に行動することは、事業者に当然に求められる節度ある行動であり、「萎縮」ではないのです。
[6] 経団連等の経済団体8団体が連名で2024年4月4日に公表した「個人情報保護法の3年ごと見直しに対する意見」は、団体訴訟の導入による「萎縮」を問題にしている(要望⑤:課徴金および団体訴訟制度の導入反対)。
6.5(3)国際的な視点の必要性
| 国際戦略として「信頼性のある自由なデータ流通」(DFFT)を推進する中、我が国も当然プライバシーやセキュリティに配慮しつつ、データが国境を意識することなく自由に行き来するグローバル空間からビジネスや社会課題の解決における恩恵を得られることを目指していく。このため、信頼の置ける国・地域とは個人情報保護においても互換性を確保し、我が国だけが突出して厳しい規制とならないよう、単に制度だけでなく、我が国と他の地域・国の背景や実情の相違について理解を深めつつ、経済界や学会、関係省庁との連携の下、イコールフッティングに努めなければならない。 個人情報保護の分野において、国際的なルールメイキングで先んじたのは欧州連合(EU)の一般データ保護規則(GDPR)である。特に越境データ移転については、日本は既に相互認証の形でGDPRの十分性認定を得ているものの、前回改正で個人情報保護法の適用を受けることとなった学術研究分野等については未だ結論が出ていない。今後、ルールと技術の双方において我が国が国際的なリーダーシップを発揮していくために、積極的な課題の発掘と解決に取り組まなければならない。(以下略) |
6.5(3)は、国際的視点の重要性を説くものであり、その点ではまったく適切な提案であるといえます。ただ、「我が国だけが突出して厳しい規制とならないよう、(中略)イコールフッティングに努めなければならない」として、突出して「厳しい」規制にのみ警戒を示す点は疑問です。我が国のデータ保護法制は、規制対象となる個人情報の範囲、課徴金と団体訴訟、AI規制などの各点において、グローバルスタンダードから取り残されたものとなりつつあり、むしろ状況は真逆です。中でも、GDPR十分性認定のために作られた補完的ルールは、我が国のデータ保護ルールがGDPRの水準に達していないことを端的に示すものであり、法の下の平等の点から憲法違反の疑いもあります。補完的ルールを不要とする法改正を行うことは喫緊の課題なのです。。 6.5(3)が「我が国だけが突出して厳しい規制とならないよう、(中略)イコールフッティングに努めなければならない」とする点は、まったくの杞憂であり、心配すべきは、我が国の法制度が突出して緩やかな規制となりつつあることです。
6.5(4)データの利活用と保護の両立に向けて
| 個人情報の保護と利活用の両立の実現は、極めて難しい課題であると認識するに至った。このことについて、我々は非常な危機感を持って検討しなければならない。経済界は規制と実務の間で悩んできたが、既に到来したグローバルなデータ活用社会において益々危機感を持たざるを得ない。経済界としても、データ戦略の一環として課題の重要性を再確認し、人材育成に努め、国際的な議論・国内の議論に対応していくべきである。 一方、この両立は、政府にとってはデータ利活用と規制を組織も含めてどのようにデザインすべきかという重い課題として表れている。欧州では、EUと加盟国のそれぞれのレイヤーで立法・執行を担う二重体制により、EUの背景事情の下で内外のバランス維持を試みている。実際に、各国のデータ利活用を含めた政策立案とデータ保護のための執行体制については、分離した体制が採用される方が多い。日本では、個人情報保護法が保護と利活用の両立を目的とし、個人情報保護委員会が政策立案と執行体制を一元的に担うのが現在の仕組みだが、体制の分離も含めた政策立案能力の強化が検討されるべきである。 |
6.5(4)は、利活用と保護の両立を目指すべきと主張しています。これはそもそも個人情報保護法の目的とするところであり何人も異論のない方向性といえるでしょう。しかしながら、利活用と保護の両立を目指すのであれば、全体において規制緩和の提案が目立つデジタル・ニッポン2024第6章の姿勢では利活用と保護の両立は実現できません。また、6.5(4)は、「個人情報保護委員会が政策立案と執行体制を一元的に担うのが現在の仕組みだが、体制の分離も含めた政策立案能力の強化が検討されるべきである」としていますが、仮に個人情報保護委員会から政策立案機能を分離して、行政部門の中でも政治からの独立性の低い部門に所管させることとなれば、今後の政策立案は、規制緩和提案に終始してしまうのではないかと懸念されます。データ利活用と保護の両立を目指す国らしく、保護面に関してもバランスを保った体制とし、個人本人からの信頼性がよせられる制度設計が望まれます。
以上