案件名:個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理に関する意見募集
所管省庁・部局名等:個人情報保護委員会事務局
提出日:2024年7月29日
一般社団法人MyDataJapan 公共政策委員会
東京都港区赤坂8−4−14青山タワープレイス8F
一般社団法人MyDataJapan 公共政策委員会は、個人情報保護委員会事務局の「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」に関する意見募集に対して、以下のとおり意見を述べる。
はじめに
「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」は、急速に進展するデジタル社会において個人の権利利益の保護とデータ利活用の促進の両立を目指す上で、重要な方向性を示すものであると評価いたします。
MyDataJapanは、個人中心のデータ利活用を推進する立場から、中間整理で示された基本的な考え方に概ね賛同いたします。特に、生体データやこどもの個人情報、個人に対する連絡が可能な情報に関する保護の強化、個人の権利救済、課徴金制度の導入検討など、個人の権利利益保護に向けた検討の方向性に賛同いたします。
一方で、個人に関する情報に対する個人の権利をより一層強化し、個人中心のデータエコシステムを実現するためには、さらなる検討が必要な点も少なくありません。本意見書では、中間整理の各項目に対する具体的な意見を述べるとともに、個人の権利強化に向けた、より踏み込んだ提案を行っています。
個人情報保護委員会におかれましては、本意見書の内容を十分にご検討いただき、個人の権利利益の確実な保護と、それに基づく健全なデータ利活用の促進を両立する制度設計にお役立ていただければ幸いです。
各論点に対する意見
第2 個別検討事項
1個人の権利利益のより実質的な保護の在り方
(1) 個人情報等の適正な取扱いに関する規律の在り方
ア 要保護性の高い個人情報の取扱いについて(生体データ)
【該当箇所:第2,1,(1),ア 要保護性の高い個人情報の取扱いについて(生体データ)】
個人情報保護委員会は、現行法では通常の個人情報として分類している顔特徴データなどの生体データの位置づけを要配慮個人情報にすることはせず、その代わりに、(a)利用目的の特定を通常よりも小さい粒度で行う、(b)利用停止等請求を現行法よりも広く認める、という考え方を示している。たしかに(a)や(b)は個人にとって自分が取得された生体データの利用目的を詳しく知り、不安や不満があれば事後的に削除を求めることが容易になるという点では有効であることは間違いないだろう。しかしながら、個人情報保護委員会が中間整理で指摘しているように、「長期間にわたり特定の個人を追跡することに利用できる等の特徴を持ち得る」生体データの取得や利用に係る脅威を回避するには、それだけでは十分とはいえまい。そのような個人の権利利益に与える影響を軽減するためには、取得の段階で規制する必要があるのではないか。GDPRでは、自然人を一意に識別することを目的とする生体データはspecial categories of personal data(日本法でいう要配慮個人情報)として扱っている。我が国でも、自然人を一意に識別することを目的とする生体データ(指紋や顔特徴データ)については、要配慮個人情報として、原則として取得の際に本人の同意を義務づけてはどうか。
ただし、取得に同意が必須であるとした場合、個人にとってリスクの低い利用法までもが制限される可能性がある。そのため、あらかじめ目的や利用形態、データ保持期間などによって例外を認める事例を定め、政令やガイドラインで除外することとしてはどうか。例えば、経済産業省「カメラ画像利活用ガイドブックver.3.0」p.48で紹介されているような、カメラで撮影された人物の画像から顔特徴データを抽出して、年代・性別といった属性の推定を行い、顔特徴データはすぐに削除し蓄積しないという利用法であれば、個人識別性が無い場合に限り事前の本人同意は不要とし、(a)と(b)のみ求められる、などとすることが適当ではないか。
ちなみに、リスクの高低を検討する際に、例えば、マイナンバーカードやパスポートを用いた顔認証は、カメラの前の人物の顔特徴データと、マイナンバーカードやパスポートのICチップの中に記録された顔画像の顔特徴データとを1対1で比較して照合するため、権利利益の侵害のおそれは低いであろう。
一方で、公的にアクセス可能な空間における遠隔生体識別は、駅や商業施設、スタジアムなどで通行人や来場者の全員の顔や姿を撮影して顔特徴データ(歩き方の特徴であれば歩容データ)を抽出し、検知対象者の生体データが記録・蓄積された照合用データベースを用いて、1対多ないし多対多の比較をして照合を行うものであり、前者とは似て非なるものである。こうした利用法は、被写体となる個人にとって、避け難く、無差別であり、認識しづらい。また、個人に対する行動の監視や追跡につながる恐れがあり、リスクが高い利用法であるといえる。このほかにも、オンライン上で公開されている写真の画像をスクレイピングして顔特徴データを抽出し、利用者に検索を可能にさせるサービスは、個人本人が気付かぬところで当該個人を追跡や監視しやすくするため、個人の自由や安全が損なわれる恐れが高いものと考えられる。このように、個人の権利利益にとって高リスクであり禁止されるべき利用法がいかなるものであるかについても検討して、政令やガイドラインで明確化する必要があるのではないか。
なお、生体データの名称について、「個人識別符号に該当する生体データ」と呼称した方が、対象がより明確になるのではないか。また、医療分野における生体データの扱いについては特別法において検討することとし、一般法における議論と区別すべきであることにも注意されたい。
イ 「不適正な利用の禁止」「適正な取得」の規律の明確化
【該当箇所:第2,1,(1),イ 「不適正な利用の禁止」「適正な取得」の規律の明確化】
「不適正な利用の禁止」「適正な取得」の規律について、「自律的な意思により選択をすることが期待できない場合」について検討するのはもちろんのこと、より広範囲な状況を考慮に入れ、個人の権利利益を実質的に保護する観点から規定を設けるべきである。
個人情報保護委員会による中間整理において、個人関連情報に本人に連絡可能な情報が含まれている場合に、個人情報と同様に権利利益の侵害のおそれがあるとする考え方は正しい。しかしながら、義務規定の拡大が適正取得義務(20条)は不適正利用の禁止(19条)にとどまるとするのであれば、狭きに失している。個人にリーチができるような情報(ブラウザやデバイス等を特定するための識別子等、メールアドレス、電話番号、クレジットカード番号、ソーシャルメディアのIDや広告識別子など)およびこれらを含む個人関連情報については、個人への到達性による個人の権利利益への影響が大きいことから、不正取得や不適正利用等への対応の在り方を検討するだけでなく、個人情報として扱うことを検討すべきである。そして、安全管理措置義務をはじめとする個人データに関する他の義務の対象とすべきである。これにより、個人の権利利益をより実効的に保護することができると考えられる。
(2) 第三者提供規制の在り方(オプトアウト等)
【該当箇所:第2,1,(2) 第三者提供規制の在り方(オプトアウト等)】
オプトアウト制度については、名簿屋やそれに類する事業者による被害状況を鑑みると、現状の登録制では個人の権利利益を十分に保護できていない可能性がある。そのため、より厳格な認可制の導入や、いわゆる名簿屋の禁止など、より強力な規制の導入を検討すべきである。
また、現行のオプトアウト制度を維持する場合でも、個人がより容易に自身の情報の流通をコントロールできるよう、オプトアウトの方法や手続きの簡素化、一元化などを検討すべきである。
(3) こどもの個人情報等に関する規律の在り方
【該当箇所:第2,1,(3) こどもの個人情報等に関する規律の在り方】
こどもの個人情報については、その脆弱性を考慮し、原則として要配慮個人情報と同等の保護を与えるべきである。
ア 法定代理人の関与については、学校や学習塾など対象者が確実にこどもであると分かっている場合には有効な方法となり得る。しかし、法定代理人の関与だけでは問題が解決しない場合も想定される。どのようなケースにおいて法定代理人の関与が必須であるか、また、法定代理人以外の者が代替できる場合があるかなど、きめ細かな検討が必要である。さらに、法定代理人の関与が難しい場合に、こどもの権利利益をどのように確保するかということも重要な課題である。
イ 利用停止等請求権の拡張については、こどもに限定することなく、本人関与の権利自体を拡大すべきである。
ウ 安全管理措置義務の強化、エ 責務規定には賛成である。
オ 年齢基準については、必要であると思われるものの、個人情報保護法において一律に定めるのではなく、対象事例やサービスによって求められる要件が異なることを考慮し、個別分野において慎重に検討されるべきである。特に、オンラインサービスにおける年齢確認の導入に伴う課題(保護対象のこどもだけでなく利用者全員の年齢確認が求められるかもしれないことや、追加の個人情報取得の問題とデータ最小化の必要性、プライバシー侵害、排除のリスクなど、欧州委員会の「Mapping age assurance typologies and requirements」(2024年4月)で検討されているような諸課題)には十分な注意が必要である。さらに、年齢確認の際のデータ最小化を実現する仕組みの導入(例:身分証の情報の選択的開示)も併せて考慮すべきである。
年齢確認の有無にかかわらず、事業者の推察によって、対象の個人がこどもや高齢者であることや、認知力や判断力に脆弱性などを有する者であることが推知され得る場合に、彼らを対象としたターゲティング広告の表示や誘導、欺瞞、その他彼らの脆弱性を突くような行為を禁止することが重要である。こうした規制は、こどもだけでなく、脆弱性を持つ全ての個人を保護する観点から設計されるべきである。
特にこどもは可塑性に富むため、往々にしてプロファイリングは正確性を欠くものとなり、不正確な属性の決め付けに陥る可能性が高いことから、こどもに関するプロファイリングを禁止すべきである。
(4) 個人の権利救済手段の在り方
【該当箇所:第2,1,(4) 個人の権利救済手段の在り方】
個人の権利救済手段として、団体訴訟制度の導入を積極的に検討すべきである。欧州では2020年に「消費者の集団的利益の保護のための代表訴訟に関する指令」が成立し既に施行されており、GDPRも対象となっている。また、米国で現在審議されているAPRA(アメリカプライバシー権利法)でも、広範囲で個人の民事訴訟を認める方向性が示されている。
個人情報の取扱いに関して生じた権利利益の侵害に対する損害賠償請求は、典型的な少額大量被害事案であり、訴訟等の費用負担の方が、得られる賠償額よりも大きくなる可能性が高い(漏えい事案だけではないことに注意が必要である。例:リクナビ事件など)。そうすると、一般の消費者である個人は弁護士費用が払えないため権利救済が受けられないことになりかねない。消費者裁判手続特例法の令和4年改正によって、同法の団体訴訟に慰謝料を含むこととなったが、(a)事実関係を共通にする財産的請求と併せて請求されるもの、または、(b)事業者の故意によって生じたもののいずれか、という制限がついており、権利利益の侵害(プライバシー侵害)による損害の回復として十分な制度ではない。個人情報保護委員会による勧告、命令が先行するケースが多いと予想されるところ、当該案件について個人情報保護委員会が有している情報に、特定適格消費者団体のアクセスが確保されることが有用である。
損害賠償請求と「萎縮」については、当然のことながら、団体訴訟は結果責任を問うものではないことに留意すべきである。例えば、漏えいが生じたことの一事をもって責任を問われるわけではなく、安全管理措置に関して過失がある場合に責任を問われることになる。事業者は、過失なく適切に安全管理措置を実施することを求められており、そのように行動しなければならないことは「萎縮」とはいえない。
差止請求と「萎縮」について、差止を受けるのは違法行為であるから、事業者に違法行為を行う自由が認められていない以上、「萎縮」が問題となる余地はない。また、請求が認められても事業者には経済的負担は生じない。事業を起こす際に適法性の検討に要したコストを指して経済的負担が生じると懸念されるのかもしれないが、事業者は違法ではない事業を企画することが求められる。「法に違反する行為や不法行為を対象とする場合であっても、萎縮効果の懸念が示されている」とあるが、法に違反する行為や不法行為は、差し止められてしかるべきである。
2実効性のある監視・監督の在り方
(1) 課徴金、勧告・命令等の行政上の監視・監督手段の在り方
【該当箇所:第2,2,(1) 課徴金、勧告・命令等の行政上の監視・監督手段の在り方】
課徴金制度については、世界的に多くの国で導入されている現状を踏まえ、日本においても積極的に検討すべきである。日本がこの潮流に乗り遅れると、世界標準から取り残され、情報流通の国際化において不利な立場に置かれる可能性がある。具体的には、海外の企業が規制の緩い日本へのデータ移転をリスクと考えることで、海外から日本へのデータ移転にハードルを感じるようになり、逆に、日本から海外へのデータ移転が進むようになれば、グローバルでデータを利用した事業を進める環境として日本は不向きな国となる可能性がある。日本の産業保護の観点からも、世界の動向に平仄を合わせることが重要である。
課徴金制度が、個人情報保護委員会が指摘する不当な利益の吐き出しに有効である点はそのとおりである。
さらに、悪質な事案について、現状の罰金のみでは、法執行が個人情報保護委員会で完結せず、「刑事司法任せ」となってしまう問題がある。刑事司法側では個人情報関連事案の重大性・悪質性が十分に把握できないことがありうる。
課徴金は重大事案、悪質事案を想定したものであるから、事業者におけるデータ利活用の「萎縮」は生じない。事業者は最低でも、自身が行うデータ利活用が重大事案、悪質事案に該当しないように注意すべきであり、そのような最低限の慎重さをもってふるまうべきことは、「萎縮」ではなく「常識的な節度ある行動の期待」であって、事業者に当然に求められる社会的責任の一部である。
(3)漏えい等報告・本人通知の在り方
ア 漏えい等報告
漏えい等報告については、もう少しエビデンスベースで議論を深めた方が良いのではないか。漏えい報告については、速報・確報のフォーマットが決まっているため、その負担は限られたものであり、むしろ本人通知が全件ベースで求められていること、全件通知ができない場合の代替措置が公表であることが事業者の負担となっている。このような負担を漏えい被害者の権利利益の侵害のおそれとの関係で、どう評価するかについての議論はありうるが、少なくとも、一定の場合に速報・確報を免除するという中間整理の提案は、事業者の負担を軽減するものになっていないのではないか。また、GDPRでは、原則72時間以内の報告、不当な遅滞のない本人への通知が求められており、グローバルスタンダードとの隔たりが生じる懸念もある。
3データ利活用に向けた取組に対する支援等の在り方
(1) 本人同意を要しないデータ利活用等の在り方
【該当箇所:第2,3,(1) 本人同意を要しないデータ利活用等の在り方】
本人同意を要しないデータ利活用等の在り方について、「単に利活用の促進の観点から例外事由を認めるのは適当ではなく、本人の権利利益が適切に保護されることを担保することが必要」とする点は妥当であり、賛成である。また、同意を要しないとする場合には公益性を求めるという点も妥当であり、賛成である。
本人同意を要しないデータ利活用等の在り方については、公共性が高い分野に限定し、本人同意を要しないデータ利活用等を行う事業者や組織を登録制とし、どのようなデータをどのような目的で利用するか等を個人情報保護委員会が個別に公開する仕組みを検討してはどうか。また、これらの登録事業者に対するオプトアウトの窓口を一本化することで、個人の権利を保護しつつ本人同意を要しないデータ利活用を可能とする枠組みの構築ができるのではないか。
生成AIについては、一括りに「社会にとって有益であり、公益性が高いと考えられる」との考え方が示されているようにも読めなくもないのだが、どのような目的で生成AIが使われるかによって、公益性は異なるはずである。それぞれの利用目的や影響を個別に評価すべきである。また、生成AIだけを取り上げて特別視すべきではなく、どのような技術やサービスであっても、その目的や利用形態によって公益性は異なるため、きめ細かな検討が必要である。
公衆衛生等、既存の例外規定の内容の明確化はぜひ進めてもらいたい。どのようなケースに公益性があり例外とすべきかを検討する検討会は、傍聴可能とし、議事録(議事要旨ではなく)を公開するなど、プロセスの透明性を高めるべきである。また、多様なステークホルダーの参加を確保し、特定の利害関係者の意見に偏ることなく、幅広い視点から議論を行うことが重要である。
(2) 民間における自主的な取組の促進
【該当箇所:第2,3,(2) 民間における自主的な取組の促進】
「個人識別符号に該当する生体データ」「こどものデータ」「要配慮個人情報」「自律的な意思により選択をすることが期待できない場合」については、特に配慮が必要な個人情報としてPIA(Privacy Impact Assessment)を義務化すべきである。
4その他の意見
(1) プライバシー強化技術(PETs)
PETs(Privacy Enhancing Technologies)等、プライバシーを保護・強化すると謳っている技術については、一括りに検討するのではなく、個別の技術について真にプライバシーを保護・強化し個人のコントローラビリティを高める技術であるかを詳細に評価して判断する必要がある。ここで留意すべきは、これらの技術の多くが、プライバシー保護だけでなくセキュリティ強化の側面も併せ持つという点である。この二面性を踏まえ、プライバシー保護の観点からの評価を適切に行うことが重要である。
例えば、秘密計算技術に関しては、処理されたデータを仮名加工情報や匿名加工情報と同様に一定の規律の緩和を行うべきとの見解がある一方で、秘密計算は計算過程の秘匿化にとどまり、その結果自体は秘匿化されないため、PETsの使用有無にかかわらず、計算(プロファイリング)により取得されるデータの内容とその利用目的こそが本質的に重要であるとの指摘もある。
このような議論を踏まえ、PETsの導入が個人の権利利益保護の形骸化や、個人のデータに対するコントロール能力の低下を招くことのないよう慎重な検討が求められる。各技術の評価に際しては、その目的適合性や個人の権利保護への貢献度を綿密に分析し、個別具体的な文脈に即して判断すべきである。
(2) プロファイリング
プロファイリングにおける取得規制の適正化が、デジタル対応、プライバシーの重視の観点から強く要請される。現状では生成は「取得」にあたらないとされており、プロファイリングに取得規制がかからない。信条などの要配慮個人情報をプロファイリングによって生成することは可能だが、要配慮個人情報の取得に関する20条第2項の適用がないことになる。さらに、プロファイリングの結果として生成される情報については、「取得」に際しての利用目的の通知・公表(21条第1項、2項)も不要となっている。それゆえ、わが国は、プロファイリングに規制がかからない「プロファイリング天国」となっている。
そもそも前記の取得規制は、事業者が個人情報を入手することによって一定の権利利益の侵害のおそれが生じ得ることから設けられたものであり、「生成は取得にあたらない」とする合理的根拠がない。個人情報が外部から入手したものであるか、内部で生成されたものであるかにかかわらず、個人の権利利益が保護されるべきである。
したがって、プロファイリングによる情報の生成を個人情報の取得とみなし、適切な規制の下に置くべきである。特に、プロファイリングによって要配慮個人情報に相当する情報が生成された場合は、要配慮個人情報の取得とみなし、本人の同意を必要とすべきである。
プロファイリングによる推知によって、要配慮個人情報に匹敵する情報が得られる可能性があり、さらに推知の結果が誤っていた場合、権利利益の侵害のおそれは大きくなる。また、正確なプロファイリングであっても、人に知られたくない特性を暴く行為は権利利益の侵害にあたる。特にこどもは可塑性に富むため、往々にしてプロファイリングは正確性を欠くものとなり、不正確な属性の決め付けに陥る可能性が高いことから、こどもに関するプロファイリングを禁止すべきである。プロファイリングによって、対象の個人が認知力や判断力に脆弱性などを有する者であることが推知され得る場合(典型例はこどもや高齢者など)、彼らを対象としたターゲティング広告の表示や誘導、欺瞞、その他彼らの脆弱性を突くような行為を禁止することも併せて重要である。
一方で、プロファイリングの有用性も考慮すると、一律の規制や禁止は現実的ではない。この問題に対処する方策の一つとして、本人が自分の情報についての開示請求を容易にできるような開示制度強化の方向を考えるべきである。
また、プロファイリングに用いるべきでない情報やプロファイリングを禁止すべきカテゴリの設定についても検討が必要である。
(3) 補完的ルール
補完的ルールは十分制認定によりEUから移転された個人データに関する特則であるが、法の下の平等(憲法14条)に違反するおそれのあるルールである。補完的ルールは、日本の個人情報保護法がGDPR十分性認定のレベルに達していないことを自認するものであり、グローバルスタンダードへの接近の視点から、早々に補完的ルールを不要にするために必要な法改正を行うことが求められる。
したがって、補完的ルールについて、中間整理で論点として取り上げられていないこと自体が大きな問題である。
具体的には、例えば、要配慮個人情報について、性生活、性的指向または労働組合に関する情報を追加すること、仮名加工情報は統計目的利用のみ、匿名加工情報は完全匿名化すること、などが必要である。
(4) 同意による第三者提供
現状では、第三者提供の同意を得る際に、提供先の明示などは必要としておらず、個人にとって自分のデータがどこに何のために提供されているのかを知ることが困難な状況になっている。第三者提供に関する同意取得の際には、少なくとも提供先と提供先のプライバシーポリシーを明示した上で同意を得るべきである。
(5) ダークパターン
現状、ガイドラインにおいて「本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な方法によらなければならない」とされているものの、実態としては、複雑なプライバシーポリシーの一部に同意に係る情報が記載されているのみであり、ほぼすべての同意がダークパターンになっていると考えられる。
このような実態を回避し、真に本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な方法により、同意を取得させるための検討が必要である。例えば、同意取得時の説明文やボタンの配置、デザインなどに関する具体的な基準を設け、ダークパターンの使用を規制すべきである。また、同意の有効要件をガイドラインで示すことも検討すべきである。具体的には、任意に与えられるものであること(任意性)、何に対する同意かが特定されていること(特定性)、十分な説明を前提とするものであること、外形的に明確なものであること、などである。
(6) 利用停止・消去請求権の拡大
利用停止・消去請求権の拡大が、プライバシーの重視(自己情報コントロール)の観点から強く要請される。現行法では、保有個人データの利用停止、消去の請求には、18条、19条または20条の違反やもはや利用目的を終えていること、権利利益の侵害のおそれがあること等が条件となっており、第三者提供停止の請求は、27条1項又は28条の違反が条件となっている。これらを条件としない利用停止・消去請求権の拡大については、消費者からの要望が強く、かつJISQ15001において広く実現されている運用であることから、これらの条件なく、利用停止、消去、第三者提供の各停止請求を原則として義務化してはどうか。なお、JISQ15001は、業務支障などの例外を設けており、これに合わせても事業者の業務運営に困難をもたらすおそれは低いと考えられる。
(7) 概念整理の必要性
保有個人データについては、「個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって…」と定義されているが(16条4項)、「開示できても訂正等はできない」ようなことは起こりうる。そのため、「保有個人データ」という概念をなくして、義務規定をたとえば「当該個人情報取扱事業者が当該個人データの開示を行う権限を有する場合には…」のようなものに改めることが考えられる。
同じ問題は、22条(データ内容の正確性の確保等)についても存在するが、こちらは個人データに対する義務になっており(正確な内容に変更する権限が前提になっておらず)現状では一貫性に欠ける状況にある。
(8) 個人情報の定義
現行の個人情報保護法は、事業者によるデータ利活用に配慮して、個人情報のほか、個人関連情報、仮名加工情報、匿名加工情報という定義を設けてきたが、それがかえって事業者にとって複雑であるということであれば、これらを個人情報に一本化してはどうか。
(9) 国際的整合性
前掲の個人情報の定義の一本化とあわせて、GDPRやCCPAなど国際的に影響力のあるルールと個人情報保護法との整合性を確保することで、グローバルに事業を展開する日本企業の競争力を維持・向上させることが重要である。特に、日本法による個人データの保護水準が低いと見なされることで、海外のデータを日本に持ち込んで利用できなくなる恐れがあることをもっと懸念すべきである。例えば、日本向けにサービスを提供している海外のSaaS事業者のようなグローバルテックの日本向け公式サイトに掲載されているプライバシーポリシーは、GDPRやCCPAに基づいた説明しかなされておらず、日本法での取扱いに関する説明がない場合がある。そうした場合に、彼らに「日本法についての考え方を説明してください」と連絡しても、十分な回答を得られないことが往々にしてある。こうしたことの背景には、グローバルでは日本法による個人データ保護が甘く見られていることが一因としてあるのではないか(日本法に準拠できなくても事業者にはたいした制裁がないので、当面は対応しなくて良いだろう、と見られている可能性があるのではないか)。
こうした状況は、日本から海外へのデータ移転規制は緩く、海外から日本へのデータ移転規制は厳しいという事態を招くことになるため、日本にはデータが集まりにくくなり、結果的に日本でのビジネス環境を悪化させることに繋がるとともに、海外SaaS事業者が日本法を無視して事業を続ける原因にもなっていると強く懸念される。したがって、こうした問題を解消するためにも、日本のルールや実効性確保の手段の水準を高める必要性がある。
以上