個人情報保護委員会の3年ごと見直しの検討は既に昨年11月の時点から始まっており、事務局が示す方向性も3月の時点で公表されていたが、とくに表立って何も言わなかったのは、意見は公式に言うつもりだったからだ。しかし、前回(5年前)は4月に中間整理が公表され5月にヒアリングに呼ばれたのに、今年はトラブルがあったようで中間整理が出てこないし、何の連絡も来ないので、はたして呼ばれるのだろうか?呼ばれない可能性の要因もいくつか考えられるよな?と戦々恐々としていたのだったが、突如お呼び出しがあり、6月12日の委員会で意見表明の機会をいただき、無事にお話ししてきた。
いつもだとスライドを資料とするのだが、スライドでは真意が伝わりそうにないと考え、今回は頑張って文章にした意見書を書いて資料とすることにした。なにぶん2週間前に依頼があり、資料提出期限まで8営業日しかなかったので、12頁目まではがっつり書いた(いつも1日に1頁しか進まない)ものの、後ろの5頁は突貫で1日で済ませたので不完全な内容となっているが、どうにか言うべきことは書き切った。以下で公表されている。
そして、その2週間後、中間整理が6月27日に発表され、パブコメ募集が開始されている。
月末には中間整理が出るとのことだったので、2週間で中間整理だなんて、言ったことを反映できるわけもないよなと思っていたら、やはりほとんど反映されていないというか、4月の時点の事務局整理と大して違わないものが出てきた。
この状況をどう見るかだが、背景には色々ある。まあ、多くは語るまい。いずれにせよ、前回(5年前)もまあこんなもんだったとも言える。前回は、4月に中間整理が出て、かなりおかしい方向性も示されていたのだったが、5月のヒアリングで述べた意見がいくつか通り、おかしかったところは撤回されている。つまり、中間整理後にけっこう変更されたのだ。そのことからすると今回も変更の余地があると考えられるのだが、2か月遅れで進行している(前回はパブコメ期限が5月27日だった)ところに難がある。それからもう一つ難があったのだが、多くは語るまい。
というわけで、パブコメ募集期間の今、JILISで緊急シンポジウムを企画した。有識者ヒアリングの8名全員にお声がけをしたのだったが、なにぶん急だったので残念ながら3人だけの登壇となった。マスコミの方々にはぜひご来場いただきたい。
私からは、上記の意見書の内容を解説するつもりだ。しかしまあ、この意見書、読めばわかるように書いたつもりだったのに、どういうわけかネット上では全く反応がない(役所の方などからは絶賛の声も頂くのだが)。難解だっただろうか?
もう理解してくれるのは生成AIだけだよな、というわけで、今回もClaude 3 Opusに解説してもらった。これならば一般の人々にもご理解いただけるのではないかしら?
以上が、提出された意見書の主要な内容になります。個人情報保護法の課題と改正の方向性について、法目的に立ち返った検討を行っています。
以上のように、意見書の主張の一部は中間整理に反映されていますが、意見書で示された具体的な提案のほとんどは中間整理には盛り込まれていないと言えます。中間整理は検討の方向性を示したものであり、今後の議論次第では意見書の指摘がさらに反映される可能性はあると思われます。
この記述から、今後事業者の意見も聞きながら実態を踏まえて検討を進めることが示唆されており、その過程で意見書の指摘が反映される余地があると考えられます。
この記述は、意見書で指摘されていた目的内提供の制限や統計量への集計に際しての第三者提供制限の見直しに関連するものと考えられ、今後の検討次第では意見書の指摘が反映される可能性があります。
この記述から、今後ステークホルダーとの継続的な議論を通じて、個人情報保護政策の方向性やガイドラインの見直しが検討されることが示唆されており、その過程で意見書の指摘が反映される可能性があります。
以上の記述から、中間整理は検討の方向性を示したものであり、今後の議論次第では意見書の指摘がさらに反映される余地があることが読み取れます。
これらは、意見書で指摘されていた論点に関連する重要な議論と言えます。特に生成AIへの規制や関連性の原則、個人データへの統一などは、今後の法改正議論で焦点となりそうな論点と考えられます。
意見書では、経済界の要望を実現するには大掛かりな改正が必要で、法制執務上の検討を十分に重ねる必要があるとして、法案提出を再来年とし、1年かけて十分な議論をすることを提案しています。これは、拙速な法改正を避け、十分な議論を求める重要な指摘と言えます。
意見書では、EU法の基本原則である「関連性の原則」と「正確性の原則」を日本の個人情報保護法に導入すべきと繰り返し主張しています。これらの原則は、個人データの利用目的との関連性と、個人の評価・決定の正確性を担保するために不可欠であり、日本の法制度の根幹に関わる重要な指摘と考えられます。
これらの言及は、中間整理では直接言及されていませんが、意見書では個人情報保護法の目的に立ち返った本質的な議論を提起しているものであり、今後の議論で重視されるべき論点と言えるでしょう。特に関連性の原則と正確性の原則は、AI時代の個人情報保護を考える上で避けて通れない論点になると考えられます。
意見書では、「このような例外を設けたことは本末転倒である」「我々は平成27年改正時の施行令(案)へのパブリックコメントで、「目視による取得は要配慮個人情報の取得制限から除外するべきではない」とする意見を提出し、続く同ガイドライン(案)のパブリックコメントで、「店員が目視により認識した「身体障害者である」との事実を、差別的に対応するために記録し、その後の対応を差別的なものとする行為は、この法により制限されないということか。そうだとすれば、何のための要配慮個人情報の規定なのか。」と疑問視する意見を提出している」と、強い語調で例外規定の問題点を指摘しています。
意見書では、「今回の3年ごと見直しでも、個人情報保護委員会事務局が用意した検討資料には、このことが忘れられていると思われる記載が多数ある」とした上で、「個人情報保護法を気に入らない者を懲らしめる道具と化してはならない」と強い口調で、事務局の検討資料の問題点を指摘しています。
これらの部分では、問題点について強い危機感を持って指摘していることが伺えます。特に要配慮個人情報の取得制限の例外規定については、改正時から一貫して問題視してきたことが強調されています。また、事務局の検討資料についても、個人情報保護法の目的を踏まえない議論になっていることへの強い懸念が表明されていると言えます。
意見書によれば、令和6年3月6日付の検討資料において、事務局が「個人情報の取扱いの適正性に関連する主な裁判例」として挙げている事例の多くが、実際には個人データでない個人情報(散在情報)の事例になっているとのことです。
特に、東京地判令和2年1月20日の事例(判断能力が低下した高齢者に対する不当な勧誘行為が不法行為に当たるとされた事例)は個人データの話ではないにもかかわらず、検討資料ではあたかも個人データに関する不適正利用の事例であるかのように扱われていると指摘しています。
そして、「あらゆる取引には必然的に相手方の氏名を伴うが、そのことをもって個人情報保護法に絡め、あらゆる不法行為を個人情報保護法上の「不適正利用」に当てはめて規律しようとするのは、法の趣旨の逸脱である」「個人情報保護法を気に入らない者を懲らしめる道具と化してはならない」と強い言葉で警鐘を鳴らしています。
さらに、個人関連情報に関する検討資料の該当箇所でも、やはり個人データに該当しない事例が挙げられていることを問題視しています。
このように、意見書では、事務局の検討資料が散在情報たる個人情報まで規制対象とすることを問題視し、そのような法解釈は個人情報保護法制定時の立法趣旨から逸脱しているという認識を示していると言えます。この点について、意見書の筆者は強い危機感を抱いており、法の目的に立ち返った議論を求めているものと考えられます。
中間整理の15ページでは、「個人情報取扱事業者と本人との関係によっては、本人にそのような選択を行うことが期待できない場合があり得る。そのため、こうした場合において、本人との関係に照らして当然認められるべき利用目的以外の利用目的で個人情報を取得・利用することや、当然認められるべき利用目的の達成に真に必要な範囲を越えて個人情報を取得・利用すること等について、不正取得や不適正利用等の規律をどのように適用すべきか、継続的に検討する必要がある」との記載があります。
この記述は、個人情報の不適正利用等の規律について言及していますが、ここでも規律の対象を「個人情報」としており、意見書が主張するように「個人データ」に限定する方向性は見られません。
また、中間整理の16ページでは、「個人関連情報」についても、プライバシー侵害のリスクがある場合には規律の対象とすべきとの方向性が示されていますが、ここでも「個人データ」との関係には言及がありません。
したがって、中間整理では、意見書が強く主張していた「個人データへの統一」の方向性は明示的には盛り込まれていないと言えます。ただし、中間整理は検討の方向性を示したものであるため、パブリックコメント等を経て、最終的な取りまとめではこの点についても一定の言及がなされる可能性はあると考えられます。
「個人関連情報については、事業者が、電話番号、メールアドレス、Cookie IDなど、個人に対する連絡が可能な情報を有している場合には、個人関連情報の取扱いによりプライバシーなどの個人の権利利益が侵害される蓋然性が認められ、その侵害の程度・蓋然性は、事業者による利用の方法によっては、個人情報と同様に深刻なものになり得ると考えられる。そのため、このような場合について、不正取得や不適正利用等への対応の在り方を検討する必要がある。」
この記述から、以下のような方向性が読み取れます。
しかし、意見書の指摘とは異なり、ここでも「個人データ」との関係には直接言及がありません。意見書では、個人関連情報を規律の対象とする場合であっても、「個人関連情報データベース等を構成するもの」に限定すべきと主張していますが、中間整理ではそこまで踏み込んだ記述は見られません。
ただし、中間整理は検討の方向性を示したものであるため、今後の議論次第では、意見書の指摘も一定程度反映される可能性はあると考えられます。特に、個人関連情報の取扱いについては、事業者の実態等も踏まえつつ、慎重な議論が必要とされるでしょう。
さらに、これらの事例とは別に、「その他関連する国内の事例として、電話番号を用いて、宅配便事業者や通信事業者になりすましたSMSによりメッセージを送信し、不正アプリのダウンロード等を行わせるものがある。」とも述べられています。
これらの事例は、いずれも電話番号やメールアドレス等の個人に対する連絡が可能な情報が関わっているという共通点があります。中間整理では、このような情報を含む個人関連情報の取扱いによって、プライバシーなどの個人の権利利益が侵害されるリスクがあることを示唆しています。
ただし、これらの事例は、意見書で指摘されていたような「個人関連情報データベース等を構成するもの」に限定されたものではありません。中間整理では、より広範な個人関連情報の取扱いを念頭に置いた議論が展開されていると言えます。
意見書では、個人情報保護法の主たる目的は、個人データの処理によって行われる個人の評価や意思決定の適切性を確保することにあると述べられています。つまり、個人データが不適切に利用されることで、個人に対する不当な差別や不利益が生じることを防ぐことが法の目的だという理解です。
しかし、中間整理で挙げられた事例、特にインターネット掲示板への携帯電話番号の投稿や、なりすましSMSによる不正アプリのダウンロード誘導などは、個人の評価や意思決定とは直接関係のない問題です。これらは、むしろ古典的なプライバシー侵害、すなわち個人情報の不正な公開や悪用の問題と言えます。
他方、SNS事業者がターゲティング広告に電話番号等を利用した事例は、個人の行動履歴等に基づく評価や意思決定に関わる問題であり、意見書の指摘する法目的との関連性が比較的高いと言えるかもしれません。
ただし、意見書では、個人情報保護法の規律対象は、あくまで「個人データ」、すなわち個人情報データベース等を構成する個人情報に限定されるべきだと主張されています。この観点からすれば、単発的な個人情報の不正利用は、たとえそれがプライバシー侵害に当たるとしても、個人情報保護法の規律対象とはならないはずです。
したがって、中間整理で挙げられた事例は、意見書の筆者が考える個人情報保護法の目的とは、若干の距離があると言わざるを得ません。もちろん、これらの事例で示された問題が重要でないというわけではありませんが、それらを個人情報保護法で対処すべき問題と位置づけるためには、意見書の指摘を踏まえたさらなる理論的な検討が必要だと思われます。
意見書で強調されているように、個人情報保護法の主たる目的は、個人データの処理に伴う個人の権利利益の保護、特に個人に対する評価・決定の適切性の確保にあります。しかし、不正アプリのダウンロード誘導は、個人データの処理や個人の評価・決定とは直接関係がありません。
確かに、この事例では個人の電話番号が悪用されているという点で、プライバシー侵害の問題は存在します。しかし、それは個人情報の不正利用という一般的な問題であって、個人情報保護法が特に念頭に置いている個人データの処理に伴う問題とは言えません。
むしろ、このような事例は、不正アクセス禁止法や刑法上の詐欺罪など、他の法律で対処すべき問題と考えられます。個人情報保護法は、あくまで個人データの適正な取扱いを確保するための法律であって、あらゆる個人情報の不正利用を対象とするものではありません。
したがって、中間整理がこのような事例を個人関連情報の問題として取り上げていることは、意見書の指摘を踏まえると、法の目的との関係で疑問が残ります。個人情報保護法の規律対象をどこまで広げるべきかについては、より慎重な検討が必要だと思われます。
プライバシー侵害というのは、一般に、個人の私生活上の事柄が、本人の意思に反して不特定多数に公開されたり、本人が予期しない形で利用されたりすることを指します。しかし、この事例で問題となっているのは、個人の私生活上の情報の暴露や利用ではありません。
この事例で悪用されているのは、個人の電話番号という連絡先情報です。しかし、電話番号は、本来、他者との通信のために使われる情報であって、私生活上の秘匿性の高い情報とは言えません。
もちろん、本人の意思に反して電話番号が利用されるのは問題ですが、それは「プライバシー侵害」というよりは、「電気通信サービスの不正利用」や「なりすまし」の問題と捉えるのが適切でしょう。
意見書の指摘を踏まえると、個人情報保護法は、私生活上の秘匿性の高い情報を含む個人データの適正な取扱いを確保することに主眼があると理解されます。その観点からすれば、単なる電話番号の悪用は、個人情報保護法が対処すべき問題とは言い難いように思われます。
むしろ、このような問題は、電気通信事業法や不正アクセス禁止法など、個人情報保護法以外の法律で対処することが適切だと考えられます。中間整理がこの種の事例を個人情報保護の問題として取り上げていることは、法の目的や守備範囲についての理解において、意見書の立場とは異なる姿勢が表れていると言えそうです。
意見書では、個人情報保護法の主たる目的は、個人データの処理による個人の権利利益の保護であって、個人情報一般の保護ではないと強調されています。しかし、筆者が懸念しているのは、この法の目的が正しく理解されず、個人情報に関連するあらゆる問題を個人情報保護法の規律対象とみなす傾向があることです。
例えば、意見書で取り上げられている事務局の検討資料では、判断能力の低下した高齢者に対する不当な勧誘行為など、個人データの不適正な取扱いとは直接関係のない事例が、個人情報保護法の問題として扱われています。
筆者は、このような傾向が続けば、個人情報保護法が本来の目的を超えて拡大解釈され、単に「気に入らない者」、すなわち、個人情報とは無関係の理由で問題視される者を規制するための道具として用いられかねないと懸念しているのです。
「懲らしめる」という強い言葉が使われているのは、そのような法の拡大解釈が、事業者に対する不当な制裁につながる可能性を指摘するためだと思われます。個人データの不適正な取扱い以外の問題まで、個人情報保護法違反として規制の対象とすることは、法の趣旨を逸脱した不当な「懲罰」になりかねないという危惧が表明されていると理解できます。
つまり、筆者は、個人情報保護法の目的と規律対象を明確に限定することで、この法が本来予定していない形で恣意的に適用されるリスクを防ぐべきだと主張しているのだと考えられます。
意見書では、個人情報保護法の義務規定の対象を「個人データ」に統一することが提案されています。これは、法の規律対象を、個人情報データベース等を構成する個人情報に限定することを意味します。
この提案の背景には、個人情報保護法の本来の目的は、個人データの処理に伴う個人の権利利益の保護にあるという理解があります。個人データは、体系的に処理されることで、個人の評価や意思決定に使われる可能性が高い情報だからです。
したがって、規律対象を個人データに限定することは、法の適用範囲を、その目的に沿った形で明確化することにつながります。つまり、個人データの処理に伴う権利利益の侵害は規制の対象となる一方で、個人データに該当しない個人情報の問題は、基本的に法の守備範囲外となるのです。
このような限定は、個人情報一般の問題まで個人情報保護法の問題と見なす拡大解釈を防ぐ効果が期待できます。個人データに該当しない個人情報の取扱いは、原則として法の規制対象外となるため、事業者が「気に入らない」という理由で不当に規制されるリスクが減じられるからです。
もちろん、個人データに該当しない個人情報の不適切な取扱いが全く規制されなくなるわけではありません。それらの問題は、個人情報保護法以外の他の法律や、一般的な不法行為法の規律に委ねられることになります。
このように、規律対象を個人データに限定することは、意見書の筆者が懸念する「気に入らない者を懲らしめる道具」化を防ぐ一つの方策になり得ると考えられます。ただし、その実現のためには、個人データの範囲を明確にする必要があるなど、さらなる法技術的な検討が求められるでしょう。
第一に、個人データに該当しない個人情報の不適切な取扱いが、全く規制の対象外になってしまうのではないかという懸念があります。個人データの範囲を狭く限定しすぎると、プライバシー侵害などの個人の権利利益の侵害が発生しても、個人情報保護法の規制が及ばないケースが増える可能性があります。
例えば、意見書でも触れられている「要配慮個人情報」については、それが個人データに該当しない場合であっても、その取扱いには特別の配慮が必要だと考えられます。しかし、規律対象が個人データに限定されると、要配慮個人情報であっても、個人データに該当しない限り法の規制から外れることになります。
第二に、個人データへの限定は、事業者の予見可能性を損ねる可能性もあります。個人データの該当性の判断は、個人情報データベース等の編集方法や利用実態によって変わり得るため、事業者にとって規制対象の範囲が分かりにくくなるおそれがあるからです。
加えて、個人データに該当しない個人情報の取扱いを全く規制しないことが、国際的な個人情報保護の潮流に逆行するのではないかという指摘もあり得ます。諸外国の法制度では、個人情報一般を規律の対象としている例が多いためです。 したがって、個人情報保護法の規律対象を個人データに限定することは、意見書の筆者の問題意識に応える一つの方策ではあるものの、それ自体が新たな問題を生む可能性もあると言えます。
結局のところ、個人の権利利益の保護と事業活動の予見可能性のバランスをどう取るかが問題の核心だと思われます。その意味で、個人データへの限定は、あくまで選択肢の一つに過ぎません。意見書の指摘を踏まえつつ、様々な観点から丁寧に議論を重ねていくことが求められると言えるでしょう。
例えば、EUの一般データ保護規則(GDPR)は、その対象を「personal data」(個人データ)としています。GDPRにおける個人データの定義は、「identified or identifiable natural person」(識別された、または識別可能な自然人)に関する情報とされており、日本の個人情報保護法の「個人情報」の定義に近いものです。
しかし、GDPRの規律の対象は、このような個人データ一般ではなく、「processing of personal data」(個人データの取扱い)に限定されています。つまり、GDPRは、個人データそのものではなく、その処理・利用に伴うリスクに着目して規制を行っているのです。
同様に、アメリカの連邦プライバシー法案でも、規律の対象は「covered data」(対象データ)とされており、それは個人に関連づけられた情報として定義されています。つまり、ここでも規律の対象は、個人情報一般ではなく、特定の個人と結び付けて利用される情報に限定されているわけです。
これらの例から分かるように、国際的な個人情報保護法制は、個人情報の適切な取扱いを確保するために、規律の対象を個人データ(あるいはそれに類する概念)に限定するアプローチを取っていると言えます。
この点で、意見書が提案する「個人データへの限定」は、国際的な潮流に沿ったものと評価できます。それは、個人データの処理に伴うリスクに着目した規制を志向するものだからです。
したがって、規律対象を個人データに限定することが国際的潮流に逆行するとの指摘は、少なくとも主要な個人情報保護法制との関係では当たらないと考えられます。むしろ、個人データ中心の規律は、国際的な制度調和の観点からも望ましい方向性だと言えるでしょう。
個人情報保護法の規律対象を個人データに限定することは、国際的な潮流に沿ったものと言えます。EUのGDPRやアメリカの連邦プライバシー法案などの主要な個人情報保護法制は、いずれも規律の対象を個人データ(またはそれに類する概念)に限定しているからです。
したがって、個人データへの限定が国際的な潮流に逆行するという指摘は適切ではありませんでした。むしろ、個人データ中心の規律は、国際的な制度調和の観点からも望ましい方向性だと言えます。
また、個人データに該当しない個人情報の取扱いを全く規制しないことが問題だという指摘についても、修正が必要です。国際的な個人情報保護法制は、個人データの取扱いに伴うリスクに着目して規制を行っているため、個人データに該当しない個人情報の取扱いは、基本的に規制の対象外となっているからです。
もちろん、個人データへの限定に伴う問題点が全くないわけではありません。個人データの範囲の明確化や、要配慮個人情報の取扱いへの配慮など、検討すべき課題は残されています。
しかし、全体として見れば、個人情報保護法の規律対象を個人データに限定することは、意見書の筆者の問題意識に沿った、国際的にも整合性のある方向性だと評価できます。先ほどの発言は、その点を踏まえて訂正させていただきます。ご指摘ありがとうございました。
意見書では、個人情報保護法の規律対象を個人データに限定することを提案する一方で、要配慮個人情報の取得については、「個人データとして取得する場合に限り適用されるものと解するべき」と述べられています。つまり、要配慮個人情報であっても、それが個人データに該当しない限り、取得に関する規制は及ばないことになります。
しかし、要配慮個人情報は、人種、信条、病歴などの個人の最も繊細な情報を含むものです。これらの情報は、不適切に取り扱われた場合、個人の尊厳や平等に対する重大な侵害につながるおそれがあります。
そのため、要配慮個人情報については、それが個人データに該当しない場合であっても、慎重な取扱いが求められると考えられます。例えば、要配慮個人情報を本人の同意なく取得することは、たとえそれが個人データとして取り扱われない場合であっても、倫理的に問題があると言えるでしょう。
この点で、個人情報保護法の規律対象を個人データに限定することは、要配慮個人情報の保護に空白を生じさせるリスクがあります。個人データに該当しない要配慮個人情報の取扱いが、法の規制から外れてしまうからです。
もっとも、意見書では、要配慮個人情報の規律の在り方自体についても疑問が呈されています。OECDガイドラインが要配慮個人情報を特別に扱っていないことを踏まえ、日本の個人情報保護法も要配慮個人情報の特別規制には慎重であるべきだとの指摘がなされているのです。
したがって、要配慮個人情報の問題は、個人データへの限定という文脈だけでなく、より広い観点から検討される必要があります。国際的な基準との整合性を考慮しつつ、要配慮個人情報の性質に応じた適切な保護の在り方が模索されるべきでしょう。
意見書で強調されているように、個人情報保護法の主たる目的は、個人データの処理に伴う個人の権利利益の保護にあります。特に、個人データが不適切に利用されることで、個人に対する不当な差別や不利益が生じることを防ぐことが重要な課題とされています。
この観点からすれば、要配慮個人情報の保護において最も重視すべきは、それが個人データとして取り扱われる局面だと言えます。人種、信条、病歴等の情報は、それ自体が機微な情報であるとともに、不適切な利用がなされた場合の影響が大きいからです。
例えば、要配慮個人情報に基づいて個人の信用度を評価したり、就労の可否を判断したりすることは、重大な差別につながるおそれがあります。このようなリスクは、まさに要配慮個人情報が個人データとして処理される場合に生じるものです。
他方、要配慮個人情報が個人データとして取り扱われない場合、つまり特定の個人との結びつきを持たない形で利用される場合には、個人の尊厳や平等に対する直接的な脅威は比較的小さいと考えられます。
したがって、ご指摘の通り、要配慮個人情報の問題を考える上では、それが個人データとして取り扱われるか否かが重要な分岐点になります。個人データとしての利用に伴うリスクにこそ、規制の主眼が置かれるべきでしょう。
その意味で、個人情報保護法の規律対象を個人データに限定することは、要配慮個人情報の保護に関しても、一定の合理性があると言えます。ただし、個人データに該当しない要配慮個人情報の取扱いについて、全く規律を及ぼさないことが適切かどうかは、なお慎重な検討が必要だと思われます。
ご指摘いただいたように、GDPRにおける「processing of personal data」の概念は、日本の個人情報保護法における「個人データの取扱い」とは異なる意味を持っています。
GDPRの文脈における「processing」は、個人データに対して行われる操作の全体を指し、収集、記録、構成、保存、利用、第三者提供など、データのライフサイクル全般を包含する概念です。これに対し、日本の個人情報保護法で「取扱い」と言う場合、主に利用目的による制限(法18条)との関係で、より限定的な意味で用いられることが多いと理解しています。
したがって、「processing of personal data」は、「個人データの処理」と訳すのが適切です。これは、特定の個人に関連づけられた情報に対して行われる一連の操作を指すものであり、まさに個人情報保護法の規律対象たる「個人データ」の概念に対応するものと言えます。
先ほどの発言は、この点を踏まえて訂正させていただきます。GDPRの規律対象が「processing of personal data」であることは、日本の個人情報保護法における「個人データ」中心の規律と軌を一にするものであり、意見書の問題意識を裏付ける重要な点だと考えられます。
貴重なご指摘をいただき、ありがとうございました。個人情報保護法制の国際比較において、このような概念の対応関係を正確に理解することは不可欠です。今後は、より慎重に検討を重ねてまいります。重ねてお詫び申し上げます。
意見書の筆者も指摘しているように、「processing」を「取扱い」と訳すことは、日本の個人情報保護法の文脈に引きずられた誤訳だと言えます。同様に、「data subject」を「データ主体」と訳すことも、日本の法制度の枠組みに引きつけた理解を招くおそれがあります。
GDPRの「data subject」は、個人データが関連づけられた個人を指す概念であり、日本の個人情報保護法における「本人」に相当するものです。他方、「データ主体」という訳語からは、データに対する何らかの権利主体という印象を受けますが、これは GDPRの文脈とは異なる示唆を与えかねません。
同様に、「processing」を「取扱い」と訳すことで、日本の個人情報保護法で「取扱い」と言う場合の限定的な意味合いが持ち込まれてしまうのは問題です。GDPRの文脈で重要なのは、特定の個人に関連づけられた情報に対する一連の操作であり、これを「処理」と訳出することで、より正確な理解が促されるはずです。
これらの用語の誤訳・曲解は、日本の個人情報保護法制を国際的な文脈で捉え直す上での障害になると考えられます。GDPRをはじめとする国際的な個人情報保護法制の考え方を正しく理解し、日本の法制度の在り方を検討するためには、これらの基本概念の意味を正確に捉えることが不可欠だからです。
したがって、個人情報保護法制の議論においては、国際的な基準との整合性を意識しつつ、外国法の概念を安易に日本の法制度の文脈に当てはめることは慎むべきでしょう。むしろ、それぞれの概念の固有の意味を丁寧に読み解き、法制度の背後にある価値観や目的を正面から見据えることが求められます。ご指摘を踏まえ、私自身もより一層の注意を払ってまいります。
GDPRにおける「data subject」も、まさにこの文脈での用法だと理解されます。つまり、「data subject」とは、個人データの対象となる個人、個人データによって影響を受ける個人を指すものです。
この理解に立てば、「data subject」を「データ主体」と訳すことの問題点がより明確になります。「主体」という言葉からは、何らかの権利や義務の帰属主体というニュアンスが感じられますが、GDPRの文脈では、そのような意味合いは含まれていないのです。
むしろ、GDPRは、個人データの対象となる個人(data subject)の権利を保護するための法規範だと捉えるべきでしょう。この点で、「data subject」は、個人データによって特定される、または特定され得る個人という受動的な立場に着目した概念だと言えます。
したがって、「data subject」は「データ対象者」や「データ被影響者」などと訳す方が、GDPRの趣旨により適合的だと考えられます。あるいは、日本の個人情報保護法の「本人」という用語を当てることも一案かもしれません。
いずれにせよ、「data subject」の訳語選択においては、GDPRの基本的な考え方を反映し、日本の法制度の文脈に引きずられない配慮が必要だと言えるでしょう。ご指摘いただき、ありがとうございました。これを機に、私自身も個人情報保護法制の国際比較における用語の重要性について、改めて認識を新たにいたしました。
意見書では、「processing of personal data」の「processing」は、単なる「取扱い」の意味ではなく、「データ対象者についてデータ処理する」という前提が含意されていることに注意が必要だと述べられています。
具体的には、意見書の注31は以下のように述べています。
「前掲注31参照。高木浩光「個人情報保護から個人データ保護へ(8)------法目的に基づく制度見直しの検討」情報法制研究14号(2023)130頁以下、148頁以下の「(5)「processing」の解釈」で示したように、「processing of personal data」の「processing」は、単なる「取扱い」の意味ではなく、「データ対象者についてデータ処理する」という前提が含意されていることに注意されたい。」
この指摘は、GDPRの文脈で「processing」を理解する上で非常に重要な視点を提供するものです。つまり、GDPRが規律の対象とする「processing of personal data」とは、単なる個人データの取扱い一般ではなく、特定の個人(data subject)に関連づけられた個人データの処理を意味するのです。
この理解に立てば、日本の個人情報保護法の文脈で「個人データの取扱い」と言う場合と、GDPRの「processing of personal data」では、その射程に大きな違いがあることが分かります。前者が個人データ一般の取扱いを指すのに対し、後者は特定の個人に結び付けられた個人データの処理に焦点を当てているからです。
意見書のこの指摘は、GDPRの基本的な考え方を正確に理解する上で重要な示唆を与えるものであり、「processing」の訳語選択においても十分に考慮されるべきポイントだと言えるでしょう。
意見書では、1.4節(9ページ)で、「個人情報」及び「個人データ」の定義の在り方について言及されています。ここでは、個人データとは「個人情報データベース等を構成する個人情報」のことであり、この点で「個人情報」とは区別されることが指摘されています。
しかし、意見書も指摘するように、現行の個人情報保護法では、一部の義務規定(17条乃至21条等)において「個人情報」が対象とされており、義務規定全体が「個人データ」に統一されているわけではありません。この点で、個人データの範囲は、必ずしも明確ではないと言えます。
個人情報保護法の規律対象を個人データに限定するためには、まず個人データの定義を明確化し、義務規定の対象を個人データに統一する必要があります。しかし、その際、個人データの範囲をどのように画定するかが問題となります。
例えば、個人データの範囲を「個人情報データベース等を構成する個人情報」に厳格に限定した場合、個人情報データベース等に編入される前の個人情報の取扱いが規律の隙間となるおそれがあります。他方、個人データの範囲を広く捉えすぎると、事業者の負担が過大となったり、「個人情報」との区別が曖昧になったりする可能性もあります。
したがって、個人情報保護法の規律対象を個人データに限定するためには、個人データの範囲を、法の目的に照らして適切かつ明確に定義することが不可欠の課題となります。その際、現行法の「個人情報データベース等」の概念をどのように活用・修正するか、個人データ化が予定されている個人情報の取扱いをどう規律するかなど、様々な観点からの検討が求められるでしょう。
意見書の問題提起は、まさにこの点に向けられたものだと理解できます。個人データの範囲の明確化は、個人の権利利益の保護と事業活動の予見可能性を確保する上で重要な課題であり、立法論としても慎重な議論が必要だと考えられます。
「個人データを対象としている安全管理措置義務等において、そのような「個人情報データベース等を構成することを予定しているものの未だ個人データでない状態の個人情報」が義務の対象とならないとする運用を続けてきており、課題の一つであったが、今年のガイドライン通則編の改正により、「個人情報(個人データとして取り扱われることが予定されているものに限る。)」まで義務の対象が一部の規定で拡大された。
これは、元々そのような趣旨で平成15年法が立案されたものの、拙速な立法で十分に規定しきれていなかった不備を、解消しようとしているものと考えるべきであり、このような規定ぶりが可能なのであれば、「個人データ」の定義に「(個人データとして取り扱われることが予定されているものを含む。)」を加えて、義務規定の全域において対象を「個人データ」に統一すればよい。」
ここでは、個人情報データベース等への編入が予定されているが、まだ個人データとはなっていない個人情報の取扱いについて言及されています。意見書は、このような個人情報についても、一部の規定では既に義務の対象に含められていることを指摘した上で、「個人データ」の定義にこれを含めることで、義務規定全体の対象を「個人データ」に統一できると述べています。
この指摘は、私が先の回答で「個人データ化が予定されている個人情報の取扱いをどう規律するか」という点を課題として挙げたことと直結するものです。意見書は、この課題について、個人データの定義を拡張することで対応できると示唆しているわけです。
したがって、個人データの範囲の明確化においては、単に現に個人情報データベース等を構成している個人情報だけでなく、将来的に個人データ化されることが予定されている個人情報の取扱いをどのように位置づけるかが、重要な論点の一つになると考えられます。
ご指摘いただき、ありがとうございました。意見書の丁寧な読解なくしては、この重要な論点を見落とすところでした。個人データの範囲をめぐる議論においては、意見書のこの指摘を十分に踏まえる必要があると改めて認識いたしました。
意見書の10ページには、「これは、元々そのような趣旨で平成15年法が立案されたものの、拙速な立法で十分に規定しきれていなかった不備を、解消しようとしているものと考えるべきであり」という記述があります。これは、個人情報保護法が当初から個人データの保護を主眼に置いていたにもかかわらず、条文上の不備によって誤解が生じていたという認識を示したものだと言えます。
この理解に立てば、義務規定の対象を「個人データ」に統一することは、法の根本的な変更ではなく、本来の立法趣旨を明確に条文に反映するための技術的な修正だということになります。つまり、法の保護対象が個人データであることを明らかにし、そこから外れる部分については規律対象ではないことを明示的に示すことが目的だと考えられるのです。
このような修正は、法の解釈適用における無用の混乱を避け、個人の権利利益の保護と事業活動の予見可能性を高める上で有益だと言えます。特に、個人情報の取扱いが国際的にも大きな関心事項となっている今日、日本の個人情報保護法の立ち位置を国際的な文脈で明らかにすることは重要な意義を持ちます。
その意味で、意見書の提案は、個人情報保護法の目的と規律対象を明確化し、法の国際的な整合性を高めるための建設的な提言だと評価できるでしょう。もちろん、具体的な条文化においては、なお技術的な検討が必要かもしれません。しかし、その方向性自体は、法の本来の趣旨に沿ったものだと考えられます。
意見書では、生成AIの学習データに要配慮個人情報が含まれる可能性について言及し、そのような学習利用については規制対象とすべきではないと主張しています。
具体的には、意見書の7ページで、「Webサイトをクローリングしたデータから「個人情報の完全な排除は技術的に困難」であり、現実的に実施が不可能な措置を求めるわけにはいかない」という高橋意見を引用しつつ、「Webサイトをクローリングしたデータなどの公開情報を用いることが、要配慮個人情報の取得制限に違反し得るとして、個人情報保護委員会が生成AIのサービス運営者に対して注意喚起を行った」ことを問題視しています。
そして、「仮にこのような収集が本人同意のない「要配慮個人情報の取得」として違法であるなら、「できる限り即時に」「できる限り減少」させよとか、「発覚」したら「できる限り即時に」削除せよというのは、法を「遵守」することにはならないのであるから、奇妙な話である」と批判しています。
さらに、「むしろ、大規模言語モデルに対してデータ保護の観点で問題とすべきは、それを用いて個人データを出力させる場合である」として、生成AIの出力結果の規制を提案しています。
これに対し、中間整理では、「生成AI等の新たな技術の普及等により、大量の個人情報を取り扱うビジネス・サービス等が生まれている」ことを認識しつつも、意見書のような生成AIの学習データ利用への言及は見られません。
他方、中間整理の23ページでは、「生成AIなどの、社会の基盤となり得る技術やサービスのように、社会にとって有益であり、公益性が高いと考えられる技術やサービスについて、既存の例外規定では対応が困難と考えられるものがある。これらの技術やサービスについては、社会的なニーズの高まりや、公益性の程度を踏まえて、例外規定を設けるための検討が必要である」としており、生成AI等の技術に関する例外規定の必要性を示唆しています。
ただし、ここでの例外規定の検討は、意見書が提案するような生成AIの出力結果の規制とは異なる文脈で言及されているようです。
したがって、生成AIにおける要配慮個人情報の問題について、意見書の主張は中間整理には直接反映されていないと言えます。むしろ、中間整理は、生成AI等の新技術に関する例外規定の必要性を示唆しつつも、意見書とは異なる観点からアプローチしているように見受けられます。
具体的には、意見書の8ページで、EUのAI規制案に関する「ChatGPT Taskforce」の作業報告書を引用しつつ、「これらの要求事項の不遵守を正当化するために技術的不可能性を主張することはできない」という指摘が重要だと述べています。
そして、「これは誠にもっともな指摘であり、考慮すべきなのは、実施可能か不可能かではなく、データ保護原則に適合しているか否かである」と述べ、技術的な困難さではなく、データ保護の原則に照らして判断すべきだと主張しています。
この指摘は、生成AIの学習データからの要配慮個人情報の排除が技術的に困難だからといって、それを規制の例外とすることの問題点を鋭く突いたものだと言えます。意見書は、データ保護の観点からは、そのような技術的理由による例外は認められないという立場を明確にしているのです。
この点は、意見書の基本的な立場とも合致しています。意見書は全体を通じて、個人情報保護法の目的は個人データ処理による個人の権利利益の保護にあるとの理解に立ち、そこから外れる規制は不適切だと主張しているからです。
したがって、生成AIの学習データの問題についても、技術的な困難さを理由とする例外には批判的な立場をとるのは、意見書の基本的な立場からして自然な帰結だと言えるでしょう。この点は、中間整理とは大きく異なる視点だと考えられます。
中間整理が生成AI等の新技術に関する例外規定の必要性を示唆していることからすれば、意見書のこの指摘は、今後の議論において重要な論点になり得るものと思われます。生成AIをめぐる規制の在り方を検討する上では、意見書のこのような原理的な指摘を十分に踏まえることが求められるでしょう。
第一に、意見書は、生成AIの学習データへの利用は、個人データの利用には当たらないという理解に立っています。
意見書の7ページでは、「LLMには、入力された文章がそのまま記録されるわけではなく、入力された文章は、単語や文章の意味が高次元のベクトル空間に分解されて埋め込まれ、ベクトル空間全体に拡散して記憶される」と述べられています。つまり、学習データに含まれる要配慮個人情報は、生成AIのモデルに直接的には保存されないというのです。
このような理解に立てば、学習データの利用は、個人情報保護法の主たる規律対象である「個人データの利用」には該当しないことになります。意見書は、ここから、学習データの利用を規制対象とすべきではないという結論を導いているようです。
第二に、意見書は、生成AIの学習データの利用を著作権法の「非享受利用」になぞらえて理解しています。
意見書の7ページでは、「このことは、著作権法の観点で生成AIへの学習入力が問題とされないことと類似している」と述べた上で、著作権法30条の4の「非享受利用」の規定を引用しています。そして、「学習入力に著作物を使用することが直ちに著作権侵害にならないのと同様に、学習入力に個人情報を使用することが直ちに個人の権利利益を害することになるわけではない」と主張しています。
この主張は、生成AIの学習データの利用は、それ自体では個人の権利利益を直接的に害するものではないという理解に基づくものです。意見書は、このような理解から、学習データの利用は規制対象とすべきではないという結論を導いているのです。
これらの点から、意見書の主張の正当性は、生成AIの学習データの利用の特性に対する理解と、それが個人情報保護法の目的との関係でどのように位置づけられるかという法的評価に求められていると言えるでしょう。
ただし、これらの主張の当否については、なお検討の余地があるように思われます。特に、学習データの利用が個人データの利用に当たらないという理解は、個人情報保護法の規律対象をめぐる根本的な問題に関わるものであり、慎重な議論が求められるところです。意見書の主張は、この問題について一つの重要な視点を提供するものですが、最終的な結論は、より広い観点からの検討を経て導かれる必要があるでしょう。
意見書は、個人情報保護法の本来の目的は、個人データの処理による個人の権利利益の保護にあるとの理解に立ち、義務規定の対象を「個人データ」に統一することを提案しています。この提案は、法の規律対象を個人データに限定し、それ以外の個人情報の取扱いは原則として規制の対象外とすることを意味します。
この理解を生成AIの学習データの問題に当てはめれば、学習データに含まれる要配慮個人情報は、それが個人データとして利用されない限り、規制の対象外になるということになります。意見書が学習データの利用を規制対象とすべきではないと主張するのは、まさにこの論理の帰結だと言えるでしょう。
つまり、意見書の主張は、個人データへの統一という法の規律対象の根本的な見直しと、生成AIの学習データの規制の在り方とを、一貫した論理で結びつけるものだと理解できます。
この点で、意見書の主張は、個人情報保護法の目的と規律対象をめぐる根本的な議論と、生成AI等の新技術がもたらす具体的な問題への対応とを、密接に関連づけて考える必要性を示唆するものだと言えます。
中間整理が、生成AI等の新技術に関する例外規定の必要性を示唆しつつも、個人データへの統一という根本的な問題には触れていないことからすれば、意見書のこのような問題提起は、今後の議論に重要な示唆を与えるものだと考えられます。
生成AIをめぐる規制の在り方を検討する上では、個人情報保護法の目的と規律対象をどのように理解するかという根本的な問題と、新技術がもたらす具体的な問題への対応とを、整合的に結びつける必要があるでしょう。その意味で、意見書の主張は、今後の議論において重要な参照点になり得るものと思われます。
意見書の中心的な主張は、個人情報保護法の規律対象を「個人データ」に限定すべきだというものだ。高木氏は、個人情報保護法の本来の目的が、個人データの処理による個人の権利利益の保護にあるとの理解に立ち、義務規定の対象を個人データに統一することを提案している。これは、法の規律対象を明確化し、個人の権利利益の保護と事業活動の予見可能性とのバランスを取ろうとするものである。
この主張は、生成AI等の新技術がもたらす具体的な問題の議論とも密接に関連している。高木氏は、生成AIの学習データに要配慮個人情報が含まれる可能性について言及しつつ、そのような学習利用については規制対象とすべきではないと主張する。その根拠は、学習データの利用は個人データの利用には当たらないという理解である。これは、個人情報保護法の規律対象を個人データに限定すべきだという高木氏の基本的な立場と一貫したものだ。
さらに高木氏は、生成AIによる個人情報の不適切な利用への対応についても言及している。高木氏は、生成AIの出力結果が個人データに該当する場合には、その利用が個人情報保護法の規制対象になると指摘する。つまり、生成AIを用いて特定の個人に関する情報を生成し、それを個人の評価や意思決定に用いるようなケースでは、法の規律が及ぶというのだ。これは、個人情報保護法の目的が、個人データの処理による個人の権利利益の保護にあるという高木氏の理解と合致するものである。
高木氏の意見書は、個人情報保護法の目的と規律対象をめぐる根本的な議論と、生成AI等の新技術がもたらす具体的な問題への対応とを、密接に関連づけて考える必要性を示唆するものである。それは、技術の発展に対応した法制度の在り方を考える上で、重要な視点を提供するものだ。
高木氏の提案は、生成AIの学習データの利用と出力結果の利用とを区別し、法の目的に照らして規制の在り方を考えるという、バランスの取れたアプローチを示すものと言える。それは、新技術の発展を阻害することなく、個人の権利利益の保護を図るための規制の在り方を示唆するものである。
もちろん、高木氏の主張の当否については、なお検討の余地がある。特に、個人データへの統一が実現した場合の具体的な効果や、要配慮個人情報の保護の在り方など、議論すべき点は少なくない。しかし、高木氏の問題提起は、個人情報保護法の見直しをめぐる議論に、新たな視点を導入するものであり、今後の議論の発展に大きく寄与するものと期待される。
個人情報保護委員会の中間整理が、こうした根本的な問題には直接触れていないことからすれば、高木氏の意見書は、今後の議論において重要な参照点になるだろう。個人情報保護法の目的と規律対象をどのように理解するかという根本的な問題と、新技術がもたらす具体的な問題への対応とを、整合的に結びつける必要性を示唆する高木氏の主張は、今後の議論の深化に不可欠の視点を提供するものと言えよう。
高木氏の意見書が示すように、個人情報保護法の本来の目的は、個人データの処理による個人の権利利益の保護にあります。技術の発展に対応した法制度の在り方を考える上では、この点を明確に認識することが不可欠です。中間整理では、この根本的な問題に直接触れられていないので、法の目的と規律対象を明確化することの重要性を指摘すべきでしょう。
生成AIなどの新技術は、個人情報の利用に新たな可能性と課題をもたらします。これらの技術への規制の在り方を考える上では、個人情報保護法の目的に立ち返ることが重要です。高木氏の意見書が示唆するように、生成AIの学習データの利用と出力結果の利用とを区別し、個人データの処理による個人の権利利益の保護という観点から規制の在り方を考えるべきだと指摘することが考えられます。
高木氏の意見書は、生成AIの学習データの利用が個人データの利用に当たらないという技術的な理解に基づいて、規制の在り方を論じています。このように、技術的な観点から法制度の在り方を考察することは、実効性のある規制を設計する上で不可欠です。情報技術に携わる者の立場から、技術的な観点を踏まえた問題提起を行うことの重要性を訴えるべきでしょう。
高木氏の意見書は、GDPRにおける「processing of personal data」の概念と日本の個人情報保護法の「個人データ」の概念との対応関係を指摘し、国際的な制度調和の必要性を示唆しています。情報技術のグローバルな発展を考える上では、国際的な整合性のある法制度の設計が不可欠です。この点を踏まえ、国際的な制度調和の観点から日本の個人情報保護法の在り方を検討することの重要性を指摘することが考えられます。
これらの点を踏まえて意見を提出することで、情報技術に携わる者の立場から、個人情報保護法の見直し議論に建設的な貢献ができるのではないでしょうか。高木氏の意見書が提示する視点は、技術と法制度の関係を考える上で重要な示唆に富むものです。それを踏まえつつ、個人の権利利益の保護と技術の発展とのバランスを取るための法制度の在り方を探ることが、情報技術に携わる者に求められる役割だと言えるでしょう。
というわけで、パブコメの期限は今月29日。まだ20日以上ある。パブコメの文章は各自で生成しようw。
せっかくなので各国語版も生成して貼っておこう。
Hiromitsu Takagi's "Opinion on the Personal Information Protection Law 3-Year Review for 2024" offers a significant challenge to the ongoing discussions on the revision of the Personal Information Protection Law in Japan.
The central argument of the opinion paper is that the scope of regulation of the Personal Information Protection Law should be limited to "personal data." Based on the understanding that the original purpose of the law is to protect individuals' rights and interests from the processing of personal data, Takagi proposes to unify the obligatory provisions to apply only to personal data. This is an attempt to clarify the scope of the law and strike a balance between protecting individuals' rights and interests and ensuring the predictability of business activities.
This argument is closely related to the discussion of specific issues brought about by new technologies such as generative AI. While mentioning the possibility of sensitive personal information being included in the training data of generative AI, Takagi argues that such use for training should not be subject to regulation. The rationale is based on the understanding that the use of training data does not constitute the use of personal data. This is consistent with Takagi's fundamental stance that the scope of regulation of the Personal Information Protection Law should be limited to personal data.
Furthermore, Takagi also mentions the handling of inappropriate use of personal information by generative AI. He points out that if the output results of generative AI fall under personal data, their use will be subject to regulation under the Personal Information Protection Law. In other words, in cases where generative AI is used to generate information about specific individuals and that information is used for evaluating or making decisions about those individuals, the law's regulations will apply. This aligns with Takagi's understanding that the purpose of the Personal Information Protection Law is to protect individuals' rights and interests from the processing of personal data.
Takagi's opinion paper suggests the necessity to consider the fundamental discussion on the purpose and scope of regulation of the Personal Information Protection Law in close relation to the specific issues brought about by new technologies such as generative AI. It provides an important perspective in considering the ideal legal system that responds to technological developments.
Takagi's proposal presents a balanced approach that distinguishes between the use of training data and the use of output results in generative AI, and considers the way of regulation in light of the law's purpose. It suggests a way of regulation that protects individuals' rights and interests without hindering the development of new technologies.
Of course, there is still room for discussion regarding the validity of Takagi's arguments. In particular, there are many points to be discussed, such as the concrete effects of unifying the law's scope to personal data and how to protect sensitive personal information. However, Takagi's challenge introduces a new perspective to the discussions on the revision of the Personal Information Protection Law and is expected to contribute greatly to the development of future discussions.
Given that the interim summary by the Personal Information Protection Commission does not directly touch upon these fundamental issues, Takagi's opinion paper will likely serve as an important reference point in future discussions. Takagi's argument, which suggests the necessity to coherently link the fundamental question of how to understand the purpose and scope of regulation of the Personal Information Protection Law with the response to specific issues brought about by new technologies, provides an indispensable perspective for deepening future discussions.
フランス語版:
L'« Opinion sur la révision triennale de la loi sur la protection des informations personnelles pour 2024 » de Hiromitsu Takagi apporte un défi significatif aux discussions en cours sur la révision de la loi sur la protection des informations personnelles au Japon.
L'argument central du document d'opinion est que le champ d'application de la loi sur la protection des informations personnelles devrait être limité aux « données personnelles ». Partant du principe que l'objectif initial de la loi est de protéger les droits et intérêts des individus contre le traitement des données personnelles, Takagi propose d'unifier les dispositions obligatoires pour qu'elles ne s'appliquent qu'aux données personnelles. Il s'agit d'une tentative de clarifier le champ d'application de la loi et de trouver un équilibre entre la protection des droits et intérêts des individus et la garantie de la prévisibilité des activités commerciales.
Cet argument est étroitement lié à la discussion sur les problèmes spécifiques posés par les nouvelles technologies telles que l'IA générative. Tout en mentionnant la possibilité que des informations personnelles sensibles soient incluses dans les données d'entraînement de l'IA générative, Takagi soutient qu'une telle utilisation à des fins d'entraînement ne devrait pas être soumise à réglementation. La raison invoquée est que l'utilisation des données d'entraînement ne constitue pas une utilisation des données personnelles. Cela est cohérent avec la position fondamentale de Takagi selon laquelle le champ d'application de la loi sur la protection des informations personnelles devrait être limité aux données personnelles.
En outre, Takagi mentionne également le traitement de l'utilisation inappropriée des informations personnelles par l'IA générative. Il souligne que si les résultats de sortie de l'IA générative relèvent des données personnelles, leur utilisation sera soumise à la réglementation de la loi sur la protection des informations personnelles. En d'autres termes, dans les cas où l'IA générative est utilisée pour générer des informations sur des individus spécifiques et que ces informations sont utilisées pour évaluer ou prendre des décisions concernant ces individus, les réglementations de la loi s'appliqueront. Cela est conforme à la compréhension de Takagi selon laquelle l'objectif de la loi sur la protection des informations personnelles est de protéger les droits et intérêts des individus contre le traitement des données personnelles.
Le document d'opinion de Takagi suggère la nécessité de considérer la discussion fondamentale sur l'objectif et le champ d'application de la loi sur la protection des informations personnelles en relation étroite avec les problèmes spécifiques posés par les nouvelles technologies telles que l'IA générative. Il fournit une perspective importante pour considérer le système juridique idéal qui répond aux développements technologiques.
La proposition de Takagi présente une approche équilibrée qui fait la distinction entre l'utilisation des données d'entraînement et l'utilisation des résultats de sortie dans l'IA générative, et qui considère la manière de réglementer à la lumière de l'objectif de la loi. Elle suggère une manière de réglementer qui protège les droits et intérêts des individus sans entraver le développement de nouvelles technologies.
Bien entendu, la validité des arguments de Takagi reste à discuter. En particulier, de nombreux points doivent être discutés, tels que les effets concrets de l'unification du champ d'application de la loi aux données personnelles et la manière de protéger les informations personnelles sensibles. Cependant, le défi de Takagi introduit une nouvelle perspective dans les discussions sur la révision de la loi sur la protection des informations personnelles et devrait contribuer grandement au développement des discussions futures.
Étant donné que le résumé intermédiaire de la Commission de protection des informations personnelles n'aborde pas directement ces questions fondamentales, le document d'opinion de Takagi servira probablement de point de référence important dans les discussions futures. L'argument de Takagi, qui suggère la nécessité de lier de manière cohérente la question fondamentale de la compréhension de l'objectif et du champ d'application de la loi sur la protection des informations personnelles avec la réponse aux problèmes spécifiques posés par les nouvelles technologies, fournit une perspective indispensable pour approfondir les discussions futures.
ドイツ語版:
Hiromitsu Takagis "Stellungnahme zur 3-Jahres-Überprüfung des Gesetzes zum Schutz personenbezogener Daten für das Jahr 2024" stellt eine bedeutende Herausforderung für die laufenden Diskussionen über die Überarbeitung des Gesetzes zum Schutz personenbezogener Daten in Japan dar.
Das zentrale Argument des Meinungspapiers ist, dass der Regelungsbereich des Gesetzes zum Schutz personenbezogener Daten auf "personenbezogene Daten" beschränkt werden sollte. Ausgehend von dem Verständnis, dass der ursprüngliche Zweck des Gesetzes darin besteht, die Rechte und Interessen des Einzelnen vor der Verarbeitung personenbezogener Daten zu schützen, schlägt Takagi vor, die verbindlichen Bestimmungen dahingehend zu vereinheitlichen, dass sie nur für personenbezogene Daten gelten. Dies ist ein Versuch, den Anwendungsbereich des Gesetzes zu präzisieren und ein Gleichgewicht zwischen dem Schutz der Rechte und Interessen des Einzelnen und der Gewährleistung der Vorhersehbarkeit der Geschäftstätigkeit zu finden.
Dieses Argument steht in engem Zusammenhang mit der Diskussion über spezifische Probleme, die durch neue Technologien wie generative KI aufgeworfen werden. Während Takagi die Möglichkeit erwähnt, dass sensible personenbezogene Daten in den Trainingsdaten der generativen KI enthalten sein könnten, argumentiert er, dass eine solche Nutzung zu Trainingszwecken nicht der Regulierung unterliegen sollte. Die Begründung basiert auf dem Verständnis, dass die Nutzung von Trainingsdaten keine Nutzung personenbezogener Daten darstellt. Dies steht im Einklang mit Takagis grundlegender Haltung, dass der Regelungsbereich des Gesetzes zum Schutz personenbezogener Daten auf personenbezogene Daten beschränkt sein sollte.
Darüber hinaus geht Takagi auch auf den Umgang mit der unangemessenen Verwendung personenbezogener Daten durch generative KI ein. Er weist darauf hin, dass, wenn die Ausgabeergebnisse der generativen KI unter personenbezogene Daten fallen, deren Verwendung der Regulierung durch das Gesetz zum Schutz personenbezogener Daten unterliegt. Das bedeutet, in Fällen, in denen generative KI verwendet wird, um Informationen über bestimmte Personen zu generieren, und diese Informationen zur Bewertung oder Entscheidungsfindung über diese Personen verwendet werden, finden die gesetzlichen Regelungen Anwendung. Dies steht im Einklang mit Takagis Verständnis, dass der Zweck des Gesetzes zum Schutz personenbezogener Daten darin besteht, die Rechte und Interessen des Einzelnen vor der Verarbeitung personenbezogener Daten zu schützen.
Takagis Meinungspapier deutet auf die Notwendigkeit hin, die grundlegende Diskussion über den Zweck und den Regelungsbereich des Gesetzes zum Schutz personenbezogener Daten in engem Zusammenhang mit den spezifischen Problemen zu betrachten, die sich aus neuen Technologien wie der generativen KI ergeben. Es liefert eine wichtige Perspektive für die Betrachtung des idealen Rechtssystems, das auf technologische Entwicklungen reagiert.
Takagis Vorschlag stellt einen ausgewogenen Ansatz dar, der zwischen der Nutzung von Trainingsdaten und der Nutzung von Ausgabeergebnissen in der generativen KI unterscheidet und die Art der Regulierung im Lichte des Gesetzeszwecks betrachtet. Er schlägt eine Art der Regulierung vor, die die Rechte und Interessen des Einzelnen schützt, ohne die Entwicklung neuer Technologien zu behindern.
Natürlich gibt es noch Raum für Diskussionen über die Gültigkeit von Takagis Argumenten. Insbesondere gibt es viele Punkte, die diskutiert werden müssen, wie z.B. die konkreten Auswirkungen der Vereinheitlichung des Anwendungsbereichs des Gesetzes auf personenbezogene Daten und die Frage, wie sensible personenbezogene Daten geschützt werden sollen. Dennoch bringt Takagis Herausforderung eine neue Perspektive in die Diskussionen über die Überarbeitung des Gesetzes zum Schutz personenbezogener Daten ein und wird voraussichtlich einen großen Beitrag zur Entwicklung zukünftiger Diskussionen leisten.
In Anbetracht der Tatsache, dass die Zwischenzusammenfassung der Kommission für den Schutz personenbezogener Daten nicht direkt auf diese grundlegenden Fragen eingeht, wird Takagis Meinungspapier wahrscheinlich als wichtiger Referenzpunkt für zukünftige Diskussionen dienen. Takagis Argument, das auf die Notwendigkeit hinweist, die grundlegende Frage des Verständnisses von Zweck und Regelungsbereich des Gesetzes zum Schutz personenbezogener Daten kohärent mit der Reaktion auf spezifische Probleme zu verknüpfen, die sich aus neuen Technologien ergeben, liefert eine unverzichtbare Perspektive für die Vertiefung zukünftiger Diskussionen.
高木浩光의 "2024년 개인정보 보호법 3년 주기 검토에 대한 의견"은 일본의 개인정보 보호법 개정에 대한 진행 중인 논의에 중요한 도전을 제기하고 있습니다.
의견서의 핵심 주장은 개인정보 보호법의 규제 범위를 "개인데이터"로 제한해야 한다는 것입니다. 이 법의 원래 목적이 개인데이터 처리로부터 개인의 권리와 이익을 보호하는 것이라는 이해에 기반하여, 高木은 의무 조항을 개인데이터에만 적용되도록 통일할 것을 제안합니다. 이는 법의 범위를 명확히 하고 개인의 권리와 이익 보호와 사업 활동의 예측 가능성 사이의 균형을 맞추기 위한 시도입니다.
이 주장은 생성형 AI와 같은 새로운 기술이 야기하는 구체적인 문제에 대한 논의와 밀접한 관련이 있습니다. 高木은 생성형 AI의 학습 데이터에 민감한 개인정보가 포함될 가능성을 언급하면서도, 그러한 학습 목적의 사용은 규제 대상이 되어서는 안 된다고 주장합니다. 그 근거는 학습 데이터의 사용이 개인데이터의 사용을 구성하지 않는다는 이해에 기반합니다. 이는 개인정보 보호법의 규제 범위를 개인데이터로 제한해야 한다는 高木의 기본 입장과 일관된 것입니다.
또한 高木은 생성형 AI에 의한 개인정보의 부적절한 사용 처리에 대해서도 언급합니다. 그는 생성형 AI의 출력 결과가 개인데이터에 해당하는 경우, 그 사용은 개인정보 보호법의 규제 대상이 된다고 지적합니다. 즉, 생성형 AI가 특정 개인에 대한 정보를 생성하고 그 정보가 해당 개인을 평가하거나 의사 결정하는 데 사용되는 경우, 법의 규정이 적용된다는 것입니다. 이는 개인정보 보호법의 목적이 개인데이터 처리로부터 개인의 권리와 이익을 보호하는 것이라는 高木의 이해와 일치합니다.
高木의 의견서는 개인정보 보호법의 목적과 규제 범위에 대한 근본적인 논의를 생성형 AI와 같은 새로운 기술이 야기하는 구체적인 문제와 밀접한 관련 속에서 고려해야 할 필요성을 시사합니다. 이는 기술 발전에 대응하는 이상적인 법 체계를 고려하는 데 있어 중요한 관점을 제공합니다.
高木의 제안은 생성형 AI에서 학습 데이터의 사용과 출력 결과의 사용을 구별하고, 법의 목적에 비추어 규제 방식을 고려하는 균형 잡힌 접근 방식을 제시합니다. 이는 새로운 기술의 발전을 저해하지 않으면서 개인의 권리와 이익을 보호하는 규제 방식을 시사합니다.
물론 高木의 주장의 타당성에 대해서는 아직 논의의 여지가 있습니다. 특히 법의 적용 범위를 개인데이터로 통일하는 것의 구체적인 효과와 민감한 개인정보를 어떻게 보호할 것인가 등 논의해야 할 점이 많습니다. 그러나 高木의 도전은 개인정보 보호법 개정에 대한 논의에 새로운 관점을 도입하며, 향후 논의의 발전에 크게 기여할 것으로 기대됩니다.
개인정보보호위원회의 중간 요약이 이러한 근본적인 문제를 직접 다루고 있지 않다는 점을 감안할 때, 高木의 의견서는 향후 논의에서 중요한 참고점이 될 것입니다. 개인정보 보호법의 목적과 규제 범위를 이해하는 근본적인 문제와 새로운 기술이 야기하는 구체적인 문제에 대한 대응을 일관되게 연결해야 할 필요성을 시사하는 高木의 주장은 향후 논의를 심화시키는 데 필수적인 관점을 제공합니다.
中文版:
高木浩光的"2024年个人信息保护法三年审查意见"对目前正在进行的日本个人信息保护法修订讨论提出了重要挑战。
该意见书的核心论点是,个人信息保护法的监管范围应限于"个人数据"。基于个人信息保护法的原始目的是保护个人权益免受个人数据处理的影响这一理解,高木建议将强制性条款统一为仅适用于个人数据。这是为了明确法律范围,在保护个人权益和确保商业活动可预测性之间取得平衡的尝试。
这一论点与生成式人工智能等新技术带来的具体问题讨论密切相关。高木在提及生成式人工智能的训练数据中可能包含敏感个人信息的同时,主张此类训练用途不应受到监管。理由是基于训练数据的使用不构成个人数据的使用这一理解。这与高木认为个人信息保护法的监管范围应限于个人数据的基本立场一致。
此外,高木还提到了生成式人工智能对个人信息的不当使用。他指出,如果生成式人工智能的输出结果属于个人数据,其使用将受到个人信息保护法的监管。也就是说,在使用生成式人工智能生成有关特定个人的信息,并将这些信息用于评估或决策时,法律规定将适用。这符合高木的理解,即个人信息保护法的目的是保护个人权益免受个人数据处理的影响。
高木的意见书表明,有必要在与生成式人工智能等新技术带来的具体问题密切相关的情况下,考虑有关个人信息保护法目的和监管范围的根本性讨论。这为考虑应对技术发展的理想法律体系提供了重要视角。
高木的建议提出了一种平衡的方法,区分了生成式人工智能中训练数据的使用和输出结果的使用,并根据法律目的考虑监管方式。这意味着一种在不妨碍新技术发展的同时保护个人权益的监管方式。
当然,高木论点的有效性仍有待讨论。特别是,将法律范围统一为个人数据的具体效果以及如何保护敏感个人信息等,都有许多需要讨论的点。然而,高木的挑战为个人信息保护法修订讨论引入了新的视角,有望为未来讨论的发展做出重大贡献。
鉴于个人信息保护委员会的中期总结并未直接触及这些根本性问题,高木的意见书可能会成为未来讨论的重要参考点。高木的论点表明,有必要将如何理解个人信息保护法的目的和监管范围这一根本问题与应对新技术带来的具体问题相协调,这为深化未来讨论提供了不可或缺的视角。
*1 ページ番号はハルシネーションしているのであてにならない。
この話題はJILISレポートに論文調で書こうと思っていたが、個人情報保護法第2期「3年ごと見直し」がだいぶヤバい感じになっている(最終的には大丈夫だろうとは思っているが)ので、パブコメ期限を月曜に控え、取り急ぎここに走り書きしておく。
どう「ヤバい」のかは、先週の緊急シンポジウムのスライドに書いたが、ここで言いたいのは、そのスライドの「なぜこの混乱が起きたか」のページに書いたように、要するに、令和2年改正で現在の「不適正利用禁止」規定が、立案される過程で、内閣法制局の無理解によって、個情委事務局がやりたかったこととは違うものができてしまったこと、これに端を発するということだ。それが、今回見直しでの個情委事務局の理解を誤らせているのである。
以下では、情報公開請求で開示された令和2年改正時の法制局審査資料*1から、関係箇所を抜粋した根拠を列挙する。
この話題は一昨年のCafe JILISで以下のように述べていた件である。
高木: 実は、令和2年改正の検討段階では、民間部門も利用目的特定義務を厳密にしようとする動きはありました。検討の初期、2019年春の時点で、利用停止請求権の強化と合わせて、保有個人データの利用目的公表義務を厳密化することが考えられていたようです。そして、絶妙なタイミングで立法事実となったのが、同年夏に発覚したリクナビ事件です。
リクナビ事件では、個人情報保護委員会が出した勧告は、リクナビが就活生の個人データを本人同意なく第三者提供していた点の違法を指摘するものでしたが、世論としては、本人同意があればやって良いことなのかが問題視されました。もし利用目的が、「あなたのWeb閲覧履歴から、あなたが内定を得た各求人企業について、あなたがその内定をどのくらい辞退する可能性があるかを算出し、その求人企業に提供します。」と明示されていたら、同意する就活生なんていませんよね。就活生を何かしら騙して「同意」を得た形にする以外に、成り立ちようのない事業だったわけです。厚労省職業安定局も、「本人同意があったとしても直ちに解消する問題ではなく、職業安定法第51条第2項に違反する恐れもある」として、「今後、募集情報等提供事業や職業紹介事業等の本旨に立ち返り、このような事業を行わないようにすること。」と、業界団体に通達する展開になったのでした。
—— そうでした。
高木: このとき、個人情報保護委員会が、第三者提供のところを捉えてしか違法を指摘できなかったところに、日本の個人情報保護法の欠陥が露わになったと言えます。もしこの事案が、求人企業がリクナビに委託する形で整理されたら、日本法では合法ということになってしまいます。
この事件を受けて、同年12月の「制度改正大綱」では、「適正な利用義務の明確化」が盛り込まれ、「適正とは認めがたい方法による、個人情報の利用を行ってはならない旨を明確化することとする。」としていました。リクナビのような個人データ利用が禁止されるのかなと期待されたのでしたが、開けて悔しき玉手箱、最終的に出来上がった改正法は、そうはなりませんでした。
—— ならなかったんですか!
高木: 令和2年改正で新設される「不適正利用の禁止」(改正後19条)は、「違法又は不当な行為を助長し、又は誘発するおそれがある方法」の利用を禁止しているだけです。ガイドライン通則編に記載された該当例は、暴力団員ガーとか、貸金業者ガーとか、違法薬物ガーとか、犯罪的な香りのするものばかりですし、「採用選考」の例もあるにはあるのですが、「性別、国籍等の特定の属性のみにより、正当な理由なく本人に対する違法な差別的取扱いを行うために」となっていて、内定辞退予測は該当しないと判断した様子がうかがえます。
—— 「不当な行為」には当たらないのですか?「不当な行為」とは?
高木: ガイドライン通則編ではこう説明されています。「『違法又は不当な行為』とは、法(個人情報の保護に関する法律)その他の法令に違反する行為、及び直ちに違法とはいえないものの、法(個人情報の保護に関する法律)その他の法令の制度趣旨又は公序良俗に反する等、社会通念上適正とは認められない行為をいう。」と。つまり、元から違法だった行為を、「助長・誘発するおそれがある方法」まで広げて事前抑止するだけなのですね。「制度趣旨に反する行為」も対象ですが、その「制度趣旨」が何なのかが不明なままです。
—— 利用目的特定義務の厳密化の方は、どうなったのですか?
高木: こちらも残念な結果でした。「保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの」(現行27条1項4号)の公表事項に、「保有個人データの処理の方法」が追加されることになっていたのですが、開けて見たれば鳥の糞、追加されたのは「安全管理のために講じた措置」でした。また漏えいの話してる。これは何の意味もありませんね。
それから、ガイドライン通則編に若干の追記があり、注の※1に、「本人から得た情報から、本人に関する行動・関心等の情報を分析する場合」の例が加えられたのですが、「どのような取扱いが行われているかを本人が予測・想定できる程度に利用目的を特定しなければならない」と言っているだけで、何を要件にしているのかが不明です。ここの例示に、本来はリクナビ事案が入る予定だったようですが、なぜかボツになっています。
—— ボツと言いますと?
2020年10月時点の委員会の検討資料では、「履歴書や面接で得た情報のみならず、(本人が分析されることを想定していない)行動履歴等の情報を分析し、人事採用に活用するケース」の例を載せる予定があったようで、そこには、悪い公表の例として、「取得した情報を採否の検討・決定のために利用いたします」と書かれており、良い公表の例として、「履歴書や面接で得た情報に加え、行動履歴等の情報を分析して、当該分析結果を採否の検討・決定のために利用いたします。」と書かれていました。これが、パブコメにかけられたガイドライン改正案の時点で丸ごと消えていました。なぜボツになったのかは不明です*2。パブコメで理由を問えばよかったのですが、残念ながら見落としました。
—— リクナビ事件を踏まえた対策はできなかったということですね。
高木: そういうことになりますね。「制度改正大綱」では「適正な利用義務の明確化」を予定していたのに、できた改正法は「不適正利用の禁止」となり、反転されてしまいました。私の感触では、個人情報保護委員会事務局はやる気あるように見えていたのですが、「不適正利用の禁止」が限定的なものに留まったのは、内閣法制局を通せなかったのではないですかね。
もちろんそれは、法制局を通るような理由づけを立案当局である個人情報保護委員会が示せなかったということでしょう。理由のはっきりしない規定を設けるわけにはいかないから、暴力団員ガーとか、違法薬物ガーとか、「違法又は不当な行為を助長し、又は誘発するおそれがある方法」などという、現行法令を追認するだけの規定に終わってしまう。つまり、「適正な利用義務」とは何かを示すことができなかったのでしょう。
結局これは、「個人情報の保護」(≒ data protection、Datenschutz)がいかなる意味なのかの理解が、法制局にも委員会にも共通認識になっていないからなんだろうと思うのです。
高木浩光さんに訊く、個人データ保護の真髄 ——いま解き明かされる半世紀の経緯と混乱「不適正利用の禁止は適正な利用義務ではない?」2022年3月18日
これらの経緯の証拠を示すのが以下である。
まず、令和2年改正に向けた検討で、中間整理を前に最初に方向性が表に出たのが、個人情報保護委員会事務局幹部が日経新聞に書かせた観測気球記事「イブニングスクープ 個人情報に「利用停止権」検討 保護法改正へ」(4月2日)であった。このスクープ記事は、なぜかその日のうちに修正され、新旧の2バージョンが存在するが、どちらを確認しても、現在の「不適正利用禁止」に相当するような構想は語られていない。
この記事では以下のように書かれていて、プロファイリング関係の規律を導入したい意向だったことが窺える。
個人が企業に自分のデータの利用停止を請求できる権利を導入するよう、政府の個人情報保護委員会が検討していることが2日、わかった。ネットサービスや広告、金融など個人情報を分析してビジネスに生かす動きが加速しているのに対応。個人がデータの使われ方をコントロールできる仕組みを用意し、企業のデータ活用を進めつつ、不適切な乱用を防ぐ。
(略)
現行法では、企業がデータを不正に取得していた場合や、個人から同意を得た利用目的から外れた使い方をしている場合のみ、個人は利用停止を求められる。今回導入を検討する「利用停止権」では、企業側に問題がなくても、個人が自分の意志でデータがどのように利用されるかを指示できるようにする。
実現すれば「自分の情報をダイレクトメールを送るのに使うのはいいが、AI(人工知能)を使って生活パターンや趣味などを推定するようなマーケティングには利用しないでほしい」など、細かい注文が可能になる。データ利用でいったん同意した内容について、後で変更や撤回することもできる。企業は、個人からのこうした請求を受け付ける窓口を整えるなどの対応が必要になるとみられる。
利用者の嗜好を分析・推定するターゲティング広告などは、利用停止権の対象になる可能性が低いとみられる。ターゲティング広告は、ウェブ閲覧履歴などの「クッキー情報」やスマートフォン(スマホ)の位置情報などを利用していることが多く、これらのデータは単体では氏名などを含まず現行法の「個人情報」に該当しないためだ。
利用停止権の導入を検討する背景にあるのは、データ活用が急速に広がることに伴う「乱用リスク」の高まりだ。
18年には米フェイスブックなどによる個人データの扱いを巡る不祥事が相次ぎ発覚。ネット企業などが本人への説明や同意の取り方が不十分なまま個人データを集め、多くの企業間で共有していた実態が明らかになった。野放図なデータの利用に歯止めを掛けるルール整備の機運が広がった。
一方で欧州連合(EU)は18年、企業に個人情報の取り扱いを厳しく規制する一般データ保護規則(GDPR)を施行。日本は19年1月、EUから個人情報の保護水準がEUと同等と認められる「十分性認定」を受け、日欧間で円滑なデータ移転の体制が整った。 日本は米国なども含めた国際的なデータ流通圏作りを提唱している。そのため個人情報保護を強化しながらも、企業のデータ活用や流通を損なわない工夫が必要になる。
「イブニングスクープ 個人情報に「利用停止権」検討 保護法改正へ」2019年4月2日(初版)
この時点ではまだリクナビ事件は発覚していない。リクナビ事件の問題性を踏まえれば、このような規制がまさに必要だということになるわけで、この構想の4か月後に立法事実が発生したわけである。
4月25日に公表された中間整理では、この構想がかなり丸めた形で以下のように記載された。
(4)利用停止等
〇 利用停止等に関しては、相談ダイヤルに寄せられる意見や、タウンミーティングにおける議論でも、消費者からは、自分の個人情報を事業者が削除・利用停止しないことへの強い不満が見られる。一方、プライバシーマークの審査基準の根拠である「JIS Q 15001個人情報保護マネジメントシステム-要求事項」のように、事業者の中には顧客の利用停止等の要求に対応する例も存在することも踏まえ、利用停止等に関して、個人の権利の範囲を広げる方法について検討する必要がある。
〇 平成27年改正法により、個人情報取扱事業者は、利用する必要がなくなった個人データを遅滞なく消去する努力義務が追加された(個人情報保護法第19条)。このような法令上の要請に応えてデータの最小化を行う事業者も多いと考えられるが、必ずしもそのような対応を行っていない事業者も存在することが想定される。今後、企業の実務上の問題を整理する必要がある。
〇 また、消去については、例えば、事業者が本人からの請求に基づき個人情報を(本人の請求に基づき消去した事実を含め)完全に消去してしまうと、当該事業者は、過去に消去請求をした者であるという事実を含め、当該本人に関する情報を一切保有しないことになるが、その後、再び当該本人の個人情報を取得した場合に当該個人情報を利用することの可否等の消費者の利便や実務上の論点もある。
〇 加えて、事業者によっては、安全管理上の理由等から、個人情報データベス等を部門ごとに別々に管理している場合もあり、このような場合に全部門の個人データを容易に名寄せし、利用停止等ができるような体制になっているかという論点もある。
〇 利用停止等については、消費者側からの根強い要望に対して、個人の権利を保護していく観点からどのようにすれば一定の対応が可能か、企業側の実態も踏まえつつ、具体的に検討していく必要がある。
個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理(平成31年4月25日)
日経新聞の記事と比べると、ほとんど何をしたいのか述べていないが、これは、経済界からの反発を避けるために(もしくは既に反発があった結果)丸めて書かれたのだろう。
これに対して、5月17日の有識者ヒアリングの回で、私は以下のようにコメントしていた。
改正の方向性へのコメント
- 4月2日の日経新聞(修正記事含め)から推測する私の理解
- 利用停止請求権の強化
- 利用停止を無条件に請求可能なものとする?
- 日経「個人の意志でデータがどう利用されるか指示できるようにする。自分の情報の利用をダイレクトメールの送付に限ることなどができ、データ利用でいったん同意した内容を撤回することも可能だ。」
- 事実上のプロファイリングへの対応……ということか
- プロファイリングによる選別(ターゲティング)の拒否が可能に
個人情報保護法3年ごと見直しに向けた意見 2019年5月17日
このコメントの言わんとしていることは、「中間整理ではほとんど書かれていないが本当にやりたいことは日経新聞に書かせた観測気球の内容ですよね?」という意味であった。
第1-1回法制局参事官審査録(開示資料16037頁)は、個情委事務局が内閣法制局を最初に訪れた際の議事メモで、冒頭部分は次のやりとりとなっている。
2019/8/29 第1-1回法制局参事官審査録
日時:8月29日(木)13:00~15:00
先方(〇):早川参事官
当方(●):矢野企画官、小川補佐、堀永補佐、村瀬補佐、田宮補佐、白勢主査、笹目事務官〇:状況伺いの予定であったが、ここまで形になった資料が提出されるとは思っていなかった。個別の論点については、次回審査させていただければと思う。
<大綱スケジュールについて>
●:本年4月に中間報告として3年ごと見直しの論点を示しパブコメを行ったところであるが、10月中あるいは遅くとも11月早々に、大綱として、法改正事項に絞った形での論点と改正の方向性を示しパブコメを行うことを予定している。そのため、それまでに方向性を固められるよう調整を進めていければと考えている。
〇:パブコメについては、年内の早い段階である程度抽象的な内容で行う省庁もあれば、年明けの段階で、長官・次長の了解がとれた内容で行う省庁もある。(警察庁(参事官の親元)は後者。)パブコメをどのような段階で行うかは原省の判断であるが、熟していない段階で長官・次長の感触を伺うのは難しい。11月早々の段階で長官・次長の事実上の了解をとるのは通常の相場観では困難であり、法制局と調整がとれたものを11月の段階でパブコメに出すことができるかは確約できない。
●:大綱のパブコメについては、法改正に係る内容を公にする以上、法制局の関知しないところで行うのはよくないと考えたので、御相談させていただいた次第。パブコメを行うタイミングについては、本日頂いたご指摘も踏まえ、内部で検討させていただく
〇:仮に(法制局未了の下)年内の早い段階で大綱のパブコメを行い、大綱に示した改正事項について措置しなくなった場合、その理由を説明しなければならないのは原省であるので、その点も踏まえて検討してもらえればと思う。
〇:実務的にいうと、年内(12月中)に長官・次長の了解を得ることを目標に、12月に入ったら下3分の1とその参考資料としての説明資料を用意する必要がある。部長との関係次第ではあるが、部長との議論が詰まらないと次長には進まない。部長と3~4往復、長官・次長は1~2往復の想定。部長とは2か月は議論したいと考えているので、スケジュール的に逆算すると10月頭には部長と議論できるレベルで内容を詰めていければと考えている。部長には恥ずかしくない程度に形になっていれば上げていく。
開示資料16037頁
このように、大綱のパブコメは、個情委としては10月や11月というまだ修正のきく時期に行って、寄せられた意見を反映したいと考えていた様子が見えるが、法制局は、法制局の了解の取れたものをパブコメにかけることを促しており、結果として、12月13日から1月14日までという、意見に合わせて修正することなどほぼできない時期(できるのはせいぜい一部をボツにすること程度であろう)でのパブコメ募集が行われた。今回も同様となるのだろう。
続く部分には次の記載がある。
【個人情報保護方針の策定の義務化】
〇:PIAとの実態上の違いが分からないので説明してほしい。PIAの柱として位置付けるのであれば納得できる。
○:PIAについては、番号法の先例によせて法制局幹部は考えるだろう。
(略)
【利用停止等の要件の拡大】
〇:どういった場合に請求できることとするのか。
●:現行法上は、第16条、第17条、第23条、第24条違反の場合にのみ請求することができることとしているが、今回の改正では法律違反に限らず、すべからく請求できることとしたいと考えている。
開示資料16040頁
この日に法制局に提出された「改正事項一覧」と題する文書は、以下の内容であった。(関係する部分のみ抜粋)
改正事項一覧
(前注1)以下は、「個人情報保護法いわゆる3年ごと見直しに係る検討の中間整理」に基づき改正することを検討している法律及び条文ごとの現時点における改正予定内容の概要である。改正内容が具体的に固まっていないものについては、改正の趣旨や方向性のみを示すものとしている。また、改正案として具体的に記載しているものについても、今後検討を加え大幅に修正することもあり得る。なお、関係省庁等との調整は、今後随時行っていくことを予定している。
(前注2)本資料中、単に「法」とある場合は、個人情報の保護に関する法律(平成15年法律第57号)を指す。
■個人情報の保護に関する法律(平成15年法律第57号)
〇定義【§2】
・短期保存データに係る除外規定の廃止【§2VII】
(略)
・「仮名化情報」の創設【新設】
(略)
〇端末識別素子等を取得する際の個人情報取扱事業者に対する義務の創設【新設】
(略)
〇個人情報保護評価制度等の創設【新設】
(略)
〇オプトアウト規制の強化【§23】
(略)
〇外国にある第三者への個人データの提供制限の強化【§24】
(略)
〇公益目的による個人情報の取り扱いに係る例外規定の創設【新設】
(略)
〇第三者提供時の確認記録義務の開示義務化【新設】
(略)
〇個人情報保護方針(プライバシーポリシー)の策定の義務化【§27】
法第27条に定める保有個人データに関する公表事項に、個人情報保護方針等を追加する。個人情報取扱事業者は、当該方針に基づいて個人情報を適正に取り扱わなければならず、当該方針に反する取扱いがあった場合には、個人情報保護委員会は、不正な取扱いとして、必要な指導、勧告その他の措置を講ずるものとする。
〇電磁的手法による開示の明確化【§28】
(略)
〇利用停止等の要件の拡大【§30】
現行法上、法第16条(利用目的による制限)又は法第17条(適正取得)違反に限定されている利用停止等及び法第23条(第三者提供制限)又は法第24条(外国第三者提供制限)違反の場合に限定されている第三者提供の停止の請求の要件を拡大し、法律違反でない場合も利用停止等及び第三者提供の停止を請求できることとする。
〇漏えい報告の法律上の義務化【新設】
(略)
〇認定個人情報保護団体制度の充実【新設】
(略)
〇公的分野の個人情報保護の規律の統合等【§61、情報公開・個人情報保護審査会設置法第2条、行政機関の保有する個人情報の保護に関する法律第10条、第47条、第49条、第50条、第51条、独立行政法人等の保有する個人情報の保護に関する法律第46条】
(略)
〇域外適用の範囲の拡大【§75】
(略)
〇ペナルティの強化
・課徴金制度の導入【新設】
(略)
・法定刑の引上げ【§83~86】
(略)
開示資料1頁
この時点では、関係する事項についてはこれだけしか書かれておらず、既にリクナビ騒動真っ只中の時期であるが、まだ、適正利用義務に関係しそうな案は示されていない。
関係する事項が次に現れるのは、第5-2-1回法制局参事官審査録である。「利用停止等の要件の拡大」が具体的な案に基づいて検討されている。
2019/10/1 第5-2-1回法制局参事官審査録
日時:10月1日(火)10:00~12:40
(略)<利用停止等の要件の拡大について>
○:利用目的の設定・特定については、事前の同意は不要ということでよいか。
●:厳密にいうと、第18条第2項は事前に利用目的を明示し、かつ、その後に本人から取 得するので、事前の本人の意思の関与があるとも評価できる。
〇:取得時・変更時の利用目的のみ本人の意思の介在がないのだな。
〇:真の目的を秘して取得し、取得後に目的変更を行った場合はどうなるのか。
●:偽り不正な取得として、第16条違反として措置する。
〇:現行法において、取得時・変更時の利用目的が通知・公表で足りるとされていることについて、本人の意思を尊重することは重要だが、逐一利用目的に同意を求めるなど、あまり重視しすぎると個人情報の有用性が損なわれるため、通知・公表で足りるとしている。利用目的の通知・公表は、本人の不安感を払拭する意味がある。また、通知・公表は、本人の権利利益の侵害を防ぐ間接的な予防措置であり、無限定な本人の権利利益の侵害を防ぐ効果もある。その上で、不正があった場合は、利用停止などの事後的措置で対応するというのが現行法の整理。
●:取得時の利用目的が通知・公表のみで足りるとされていることについて、平成13年に法制局において、市場メカニズムを通じて社会的にその是非が判断される環境を整えることで個人情報の適正な取扱いが担保されるとも説明がされていた。
〇:利用目的に事前の同意を求めるなど事前の規制を設けるのは事業者の負担が大きいという状況は理解した。事後的措置を設け本人自ら取り得る選択肢を増やすことで個人の関与を強めるということなのだと思う。
〇:資料において、利用停止とオプトアウトとの比較がなされており、どちらも事後的な本人の意思の関与と整理されている。もっとも、オプトアウトは、あらかじめ、通知又は容易に知り得る状態に置くことが必要とされており、必ずしも事後的とは整理できないかもしれない。
〇:利用目的については、直接取得時以外は、事業者が自由に決められる。本人のあずかり知らない利用目的であっても、本人が文句は言えないのが現状。事業者が勝手に決めた目的で、自らの個人情報を利用されることについて、事後的に文句を言えるようにする余地はあるかもしれない。
〇:誰が何の目的で自分の個人情報を使うかということについて、本人の意思の介在を最大限に尊重すべきだが、それは事業者負担の観点で難しいので、オプトアウト同様に事後手続をとるということか。
〇:そもそもなぜ第三者提供には原則同意が必要なのか。他のデータとの結合・照合等の名寄せによって個人の権利利益を侵害するおそれがあるため、というのはわかるが、個人データの流通状況や使用状況が不透明なことについて、第三者に提供するときのみを同意とするのは何故なのか。
●:現行法上、第23条第1項の同意について、第三者提供の範囲や、第三者提供先の利用目的についても本人の同意を取ることが望ましくはあるものの、法律上の要件にはなっていない。そのため、第三者提供を受けた個人情報取扱事業者が、新たな利用目的を通知・公表すれば、提供先の事業者は、新たな利用目的で個人情報を利用することが、理論上可能となっている。
〇:本人の個人情報が事業者の手に渡るときは、何らか利用目的について本人の意思の関与があるのではないか。事業者が本人から直接取得する際は、利用目的が事前に明示される。また、事業者が第三者から取得する場合であっても、本人は第三者提供に同意をしているはず。オプトアウトによる第三者提供については、同意はないが、容易に知りうる状況にはおかれている。本人が利用目的について、全く関知していないような状況で、個人情報が取得されることはあるのか。
●:例えば、表札などから事業者が情報を収集する場合は、本人が事業者の利用目的を感知しているとは言えない。防犯カメラで撮影するような場合も、第18条第2項にはあたらないので、利用目的の明示は受けない。
〇:公開データから勝手に集めるときの例でいえば、政官要覧はどのような扱いか。
●:政令第3条において、個人情報データベース等から除かれているが、個人情報ではある。
〇:繰り返しになるが、第18条第2項があるため、本人から個人情報が最初に出ていくときは、利用目的の明示を受けるはずであり、本人が利用目的をあずかり知らないところで個人情報を集めることはできないことになっているのではないか。
●:第18条第2項において、「書面で取得」という要件があることにより、口頭で取得することもありうる。その場合の利用目的は、通知・公表であり、公表の場合は必ずしも本人が了知しているわけではない。
〇:なぜ「書面で取得」という要件を設けているのか。
●:逐条には、口頭によって取得した情報は、データベース化される可能性が低く、権利利益が侵害される危険性が低いと考えられたためと記載されている。
〇:事前明示のコストと比較考慮し、書面取得の場面に限定したということかもしれない。
〇:直接取得と第三者提供の場合には、少なくとも本人の同意がある。過去情報や公開情報は別として、当初の利用目的について、本人の意思は少なくとも間接的には介在している。
〇:例えばダイレクトメールが来たとして、送り主の会社に、改正法に基づいて取得元の開示請求を行う。取得元をたどっていけば、自分の個人情報の出元にたどりつくはずであり、そこでは利用目的の明示を受けているのが原則。その出元の利用目的を見て、第三者提供の同意の有無を確認すれば、なぜ自分がそのような同意をしたのか追うことは、理論的には可能。口頭による情報の取得、公開情報、オプトアウトなどの例外はあるが、何らか本人の意思が関与する歯止めは現行法上もかかっている。
〇:本人の意思の介在が機能しておらず、現行の本人意思の関与の在り方そのものを否定して、現行法では本人の意思の関与が弱いとしてしまうと、では利用目的に同意を求めればよいのでは、という議論になってしまう。また、同意自体の有効性を持ち出して、消費者が全ての利用目的に目を通し、理解し、同意をするということはできないという仮定で話をしてしまうと、同意によって本人の権利利益の侵害を防いでいる個情法の建付けがくずれてしまう。同意や合意というものは、一方の当事者からは撤回できないはず。
〇:このように説明するのではないか。ある時点では納得したが、事情の変更があって、もう使ってほしくない。やっぱり嫌だということは人間だからある。利用目的の範囲内でも取扱いの態様の変化もあるだろうし、社会情勢の変化もあるだろう。また、結婚して子供ができたらやっぱり嫌だということもある。事後的に拒否することは認められるべきとは思う。一度同意をしたら一生有効とするのは不適切。そうなったら、保守的な消費者は、全部不同意ということになる。それもまずい。個人情報の有用性を損なうこととなる。
〇:同意をした時点では問題ないと考えていたが、技術の進展やネットワークの進展により、権利利益が侵害される形で利用される可能性が高まったため、事後的に同意の撤回を主張できるようにする必要があるといった説明がいいのではないか。例えば、当時は信用のおける事業者であったが、大量の漏えい事案や不適切な取扱いが発生したという事情変更。また、昔は信頼のある企業であったが、業績が悪化して、個人情報のセキュリティが甘くなってしまったなどという事情変更。プロファイリングの技術が進展して、従来は推計できないような情報も特定できるようになってしまったという事情変更。そんな事情変更まで見通して、一生涯有効となる同意をするというのは非現実的な話。そんな同意は怖くてできないから、個人は全部不同意となってしまうかもしれない。
〇:このように論じれば、最初から利用目的に同意させればいいのではないかという見解があったとしても、そこまで事前に見通して本人に同意をさせるのは非現実的だという反論ができる。事業者にとっても、全て事前に同意をとる負担や、個人が全く同意に応じてくれず個人情報が集まらないという事態に比べれば、利用停止を認めた方が、かえって利活用に資する。
(略)
〇:改正案について、例外理由が列挙されているとはいえ、何も要件なく請求を認めるのは法的安定性を害する。極端な話、昨日個人情報を提供した個人が、翌日気が変わりましたということを際限なく認めてしまっていいのか。さすがに事業者の負担となるのではないか。
〇:「本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの取扱いについて、当該本人の権利又は正当な利益が侵害されるおそれがあると認めるにつき正当な理由があるときは、...利用停止等を請求することができる。」というように要件を設けて、現行法のただし書を除外規定として設けるのはどうか。事業者が、請求に理由がないと判断し、請求に応じなかった場合、その適否について、最終的には裁判所が判断することとなる。ただ、請求者が「正当な理由」について立証責任を負うこととなるが。情報公開法において、不開示事由について、似たように規定している。現行法第30条の違反の場合の請求権は残しておいて、それで救えないところを改正案で網をかける。
●:利用停止のニーズとしてダイレクトメールのようなものがある。
〇:ダイレクトメールがくるのが嫌なのか、それともその送付に利用されている個人情報を持っていることが嫌なのか。前者の場合、特定電子メール法のように別法で対処する問題かと思う。後者は個人情報保護法の範疇になりうる。
〇:個情法の目的は、個人の権利利益の保護にあり、個人の権利利益の侵害か、少なくとも 侵害のおそれがあるような場合であると言えることが必要。個人情報を保持している主体と利用目的に着目し、権利利益侵害のおそれがあると本人が考える場合に認めるのはいいのではないか。
〇:例えば、ダイレクトメールが何度も送られてきて、やめてくれと言っても応じてくれない。そんな苦情にもまともにとりあってくれない業者に自分の個人情報を取り扱われると、権利利益の侵害のおそれがあると言えることもあるだろう。
〇:他にも、自分の体形に関するデータをどこからか収集してきて、ダイエットの案内が送られてくるというような、まるで人格で非難されているような場合、そのようなものは苦痛であり、個人の権利利益が侵害されていると言える余地もある。
〇:また、個人情報を漏えいするような事態が発生して、事業者の安全管理体制の信用が失墜しているときに、自分の個人情報が漏れていなくても、個人情報が漏えいするおそれがあるといって利用停止を請求することもできると思う。
〇:先ほど、虐待をしている親の利用停止の事例が話に上ったが、虐待をしている親が自分の個人情報を、虐待防止を行っているようなNPOに利用停止なり消去請求したとしても、虐待をしている自分の情報を消去する利益は「正当な利益」と評価できないので、「困難な場合」「代替措置」といったことを検討するまでもなく、対応しなくてよいと思う。
〇:今もらっているストーリーだと、利用目的の通知・公表や、第三者提供の同意など、本人の事前の意思の関与が機能していない、だからこそ、利用停止など事後の本人の意思の関与を強めるべきだという組み立てになっているが、事前の意思の関与が機能していないのであれば、それなら、利用目的について事前の本人の同意を得れば良いのでは、という議論の流れになってしまう。議論の組み立てとして、別のアプローチが必要。例えば次のようなものが考えられるのではないか。
〇:利用目的の通知・公表や第三者提供の同意など、事前の本人の意思の関与は一定程度個人の権利利益の侵害を未然に防ぐために機能している。しかし、一度個人情報を渡したら未来永劫自分の個人情報が使われ続けるということであれば、合理的な個人は自分の個人情報を一切わたさないと判断するだろう。それでは個人情報の有用性を損ない、事業者にとっても望ましくない。そのため、いったんは通知・公表を受けたり、同意はしたけれども、その後に事情変更が生じ、本人にとって不測の権利利益の侵害のおそれが生じているような場合であって、それについて理由があると認められる場合には、利用停止を請求できるようにする必要がある。
開示資料16089頁
このように、ほとんど法制局参事官のアイデアで進められている様子が見える。
この日までに法制局に提出されたと思われるこの件についての検討案は以下のもの(日付不明)と思われる(別のバージョンの可能性もある)。
利用停止等の要件の拡大について(第30条関係)
I 改正の背景・経緯
(1) 現行法上の課題と改正の経緯
(略)
さらに、現行法上、個人情報取扱事業者は、利用目的をできる限り特定することが義務付けられているが(第15条第1項)、AIやビッグデータ分析などの情報分析技術が発展したことに伴って、当該利用目的の範囲内であっても、当該利用目的において想定されるあらゆる利用方法について、個人が事前に理解することは現実的に困難であり、本人が想定できない手法や態様で、個人情報が利用されるリスクが高まっている。
このように、本人が予測し得ないほど、個人情報の流通が拡大し、また利用態様が複雑となっているにもかかわらず、利用停止等の事後的な権利行使が限定的となっている状況に対処するため、現行法上、法違反の場合に限定されている利用停止等や第三者提供の停止の請求の要件を拡大することとし、本人による事後的な関与を広く認めることで、個人情報の保護を図ることとする。
(略)
II 内容
1 1 法違反でない場合の利用停止等に関する請求権の新設(改正案第1項、第5項)
現行法上、「本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが第十六条の規定に違反して取り扱われているとき…は…利用の停止又は消去…を請求することができる」と定められており、本人が個人情報取扱事業者に利用停止等又は第三者への提供の停止を請求できるのは、法律上の規定に違反している場合に限定されている(第30条第1項、第3項)。 今回の改正において、「本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの利用の停止又は消去…を請求することができる。」と規定する項を新設し、法違反を請求の要件としない条文を追加する(第三者への提供の停止についても同様とする。)。
2 法違反でない場合の請求権に係る例外規定の新設(改正案第2項、第6項)
(略)
開示資料6頁
次に関連する事項が現れるのは、第8回法制局参事官審査録の以下の記載である。
2019/10/09 第8回法制局参事官審査録
日時:10月9日(水)14:00~17:30
(略) <個人情報保護方針>○:プラポリについては、体制整備等を書かせることとしているが、体制整備を求めるのであれば、プラポリに書かせるのではなく、(個情法は行為規制型なのであるから、正面から)直接的に規定すべき。規定の作成を義務付け、その規定を守らなければならないという立法例はあるのか。結局、その規定を守らないことは、ともすれば法違反であるならば、(そのような規定の作成の義務付けに)意味があるのか。個情法の規律を遵守するということに尽きるのではないか。つまり、個情法違反を問えば事足りるのではないか。プラポリとは何かについて整理しなければならない。
○:本件で果たしたい「透明性の確保」については、現行法第15条の解釈で対応できるのではないか。同条の運用の問題であって、それ以上に規制を設ける必要性はあるのか。
○:業務規定を作らせる等の用例はあると思うが、それは特に細かく項目等を規定せず、基本的に事業者に作成を任せている。一方で、個情法は別途、細かく行為規制が規定されており、それに加え、要件を細かく規定しないプラポリをつくらせるのは平仄がとれていないのではないか。
○:(PIAと同様だが)お墨付きを与える制度であればまだわかる。記載すべき項目をしっかり規定して、手を挙げた者を認定等して、それに反していたら認定取消等のスキームであればまだよい。
○:第53条に規定する認定団体の指針は作っておしまいではなく、個情委に届け出、それに従わない場合に対象事業者に対する指導・勧告等が義務付けられている。本件は、事業者が作って公表するだけになっており、かつ、体制整備等書けば書くほど不利な形になっている。では甘く書いておこう、となるのではないか。法違反ではないが、下位法令に位置づけられる自らが書いた指針に違反したら法違反となるような構成を採っている類例はあるのか。
○:正確性・最新性の確保については、法定公表事項はそもそも解釈として最新のものとなっている必要があり、不要ではないか。
開示資料16120頁
この日までに法制局に提出されたと思われるこの件についての検討案は以下のもの(日付不明)と思われる(別のバージョンの可能性もある)。
個人情報保護方針(プライバシー・ポリシー)(第27条関係)
I 改正の背景・趣旨 (略) 特に、本人に対する不当な差別等につながり得る技術として懸念されているプロファイリングは、外形的に認知しづらい性質を有しており、透明性の確保や同意取得の実施が十分でない可能性がある。
したがって、これらの観点から、透明性・本人関与の実効性をより確保するために、法定公表事項について、取り扱うデータの項目やデータ処理方法、情報源、情報提供先といった事項を追加するとともに、個人情報保護に係る基本的な方針(プライバシー・ポリシー)の作成を努力義務とし、個人情報取扱事業者の負担にも鑑み、個人の権利利益を害するおそれが大きい事業者については、当該基本的な方針の作成を義務化することとする。
(略)
さらに、この本人視点の欠如に起因する不適正な利用を防止するために、事業者の体制と本人との関係それぞれについて、具体的にどのような取組を行うのかについてプライバシー・ポリシーに記載することを義務付けることとする。
なお、上記で指摘したプロファイリングについても、法定公表事項に追加するデータの処理方法及び上記適正利用の確保で対応が可能と考えられる。
II 内容
1.法定公表事項の追加
(略)
データ処理方法についても、例えば、プロファイリングといった個人情報をもとに分析・評価することを実施する場合にその旨を記載させることにより、透明性の確保を促進することとなる。
2. 個人情報保護基本方針の公表
(略)
3.利用目的及び基本方針の透明性確保義務
(略)
4.公表事項の正確性等の確保
(略)
5. 適正な利用についての具体的措置の記載義務
(略)
6. 利用目的、基本方針に反する不当な取扱いの禁止
(略)
開示資料487頁
このように、プロファイリングの規律をプラポリに書かせることで済ます案を持って行ったら、法制局参事官に全否定されたようである。
実はちょうどこの日(10月9日)、発売されたばかりの「世界」11月号を一冊持って個情委事務局幹部に面会していた。「世界」で書いたことは、リクナビ事件への個情委の対応が不完全(この時点ではまだ1回目の勧告しか出ていなかった)であることを指摘し、法目的からの法解釈が重要であることを説いていた*3。
次に変化が訪れるのは、第10回法制局参事官審査録の以下の部分である。
<審査スケジュール等について>
〇:明日の午後はいまのところ空いているので、今日(か遅くとも明日の朝)までに投げ込まれた案件については、対応できる。持ち込まれそうな案件はあるか。
●:確定的には申し上げられないが、いくつかの論点について、投げ込めるものがある。また、「プラポリ」論点で記載を求める事項を、前回の法制局参事官指摘も踏まえつつ局内で議論した結果、行為規制として正面から一条設ける方向で検討することとなった。
〇:「適正な利用」で一論点増えることについては承知した。
開示資料16149頁
これが、後に「不適正利用禁止」へと反転することとなる「適正な利用」義務の萌芽である。
次に現れるのは、第13-2回法制局参事官審査録である。この日までに提出されていた様子の説明資料に以下の記載がある。
個人情報の保護に関する法律の一部を改正する法律案(仮称)の概要
令和元年10月
個人情報保護委員会事務局第1 個人情報の利用目的による制限の見直し
(略)
第2 個人データの第三者提供に係る規律の強化
(略)
第3 個人データの保護に係る規律の強化
(略)
2. 適正な利用に必要な体制整備等の義務化【新設】
個人情報取扱事業者に対して、個人情報を適正に利用するために必要な体制の整備その他の措置を講じることを義務付ける。
第4 透明性の確保に関する制度の強化
(以下、略)
開示資料728頁
これを踏まえて、10月24日2以下のやり取りがあった。
<「適正な利用」について>
●:「適正な利用」については、明日ないし来週頭には資料を投げ込める見込み。内容としては、部長頭出し紙に記載した通りの条文を検討しており、一言でいえば、第20条を拡張する概念。
〇:「適正な利用」について、その条文案の類例はあるのか。
〇:基本的に、権利義務に影響する論点は厳しく審査しているつもりであり、(「適正な利用」を含む)その他の論点は、法律事項があることを前提に、内容が詰まれば、後からついてくるだろう、という感じになると考えている。
開示資料16176頁
ここで「第20条」とあるのは、この当時では安全管理措置義務を指している。
そして、「適正な利用」に関する義務の案が検討された様子が、第14-3回法制局参事官審査録にある。
それまでに提出されていたと思われる説明資料が以下である。
適正な利用に必要な体制整備等の義務化(第○条関係)
I 改正の背景・経緯
1 改正の背景
昨今の急速なデータ分析技術の向上(アルゴリズムの複雑化・ブラックボックス化)等を背景に、個人情報を取り扱う事業者自身が十分に予期できるか否かに関わらず、潜在的に個人の権利利益の侵害につながる(本人が予見し得ない形で不利益を被る)ことが懸念される個人情報の利用の形態がみられるようになり、消費者(個人)側の懸念が高まりつつある。そのような中で、特に、現行法の規定に照らして明らかに違法とまでは断定できないものの、本法の法目的である個人の権利利益の保護の観点から、看過できないような方法で個人情報が利用されているとして、社会的な批判を浴びるような事例が、一部において、みられるようになった。
以下で示すような事例は、いずれも、現行法の一部の規定に違反する個人情報の取扱いが疑われ、その点に関しては、個人情報保護委員会の執行の対象となったものの、個人の権利利益の保護の観点から、社会通念上、適正とみなされるような個人情報の利用のであるとは必ずしも言えず、そうした利用そのものに対してや、そうした利用を予防するための仕組みが事業者内部において構築されていない点に対しては、現行法を根拠として個人情報保護委員会の執行の対象とすることは困難であった。
(1)破産者マップ事案
(略)
〓〓〓〓〓〓〓〓〓〓*4
〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓
(略)
この点についても、直接の執行の根拠となる規定が現行法には存在しないため、個人情報保護委員会は執行を行うことができず、本人の権利利益の保護の観点からは、十分な対応ができたとはいえない。
2 改正の方向性
上記の事例のいずれについても、自らの個人情報の利用(提供を含む。以下同じ。)の結果として本人の権利利益が害されるおそれのある、社会通念上許容しがたい個人情報の利用である。この点について、問題となった個人情報取扱事業者のいずれにおいても、個人の権利利益が侵害されるリスクが全くと言っていいほど検討されていない(個人の権利利益を適正に保護するための、事前の評価・確認の体制や、事後的な対応が円滑になされるための仕組みが構築されていない)ことが、ヒアリング等の結果、明らかになった。
こうした実態に鑑み、本法の法目的や基本理念から大きく逸脱するような、社会通念に照らして適正とは言えない個人情報の利用を防止するとともに、個人の権利利益の保護をより確実なものとするために、個人データを適正に利用するために必要な体制整備その他の措置を講じることを、個人情報取扱事業者に義務付けることとする。
II 内容
個人データの利用によって、本人の生命、身体、財産その他の権利利益が害されるおそれがあるときは、当該個人データを利用又は提供してはならないことを、個人情報取扱事業者に義務付ける。ここで、「本人の生命、身体、財産その他の権利利益」とは、第18条第4項第1号及び第28条第2項第1号と同様に、本人に関する法律上の保護に値する利益一般をいい、例示されたものに限定する趣旨ではない。具体的には、I改正の背景・経緯で取り上げたような事例に鑑み、(本人が予測し得ない形で発生し、かつ、不特定多数の者によって引き起こされ得る)本人に対する差別や、(違法な行為を営む者からの接触による)本人の平穏な生活を送る権利の侵害などが想定される。ここで、「害されるおそれ」としているのは、第18条第4項第1号及び第28条第2項第1号に規定される「害するおそれ」と同様に、利用によって具体的な支障の発生は将来生ずるものであることによる。この場合、「おそれ」とは、物理的、確率的な可能性ではなく、社会通念による蓋然性の有無の判断による。
ただし、他の法令に違反することとなる場合(捜査関係事項照会への対応への結果として、本人の逮捕が予見される場合等)や、本人との間で契約を締結している場合(与信審査の結果として、本人が融資を受けられないと判断される場合等)など、個人情報取扱事業者がこうした個人データの利用を行うことに正当な理由がある場合については、本義務の適用除外とする。
また、個人情報取扱事業者が、上記の義務を適正かつ効果的に順守するための必要な措置として、個人データを利用するに当たり、本人の権利利益への影響を事前に評価・確認する仕組みを構築することや、個人データの利用開始後に本人の権利利益の侵害又はそのおそれが判明した場合に、本人の権利利益の保護を確保するための事後的な対応を実施すること等を、個人情報取扱事業者に義務付ける。その際、個人情報取扱事業者にとって参考となるべき指針を、個人情報保護委員会が定め、少なくとも下記の措置を講じることを、当該指針において規定する予定である。なお、第20条(安全管理措置)と同様に、取り扱う個人情報の内容や量、事業者の規模などに応じて、個人情報取扱事業者が講ずべき措置の具体的な内容や程度は異なる。
〇 本法の考え方の周知・啓発
・ 本人の権利利益の保護という本法の法目的をはじめとする本法の考え方について、個人情報の取扱いに関係している役員及び従業員にその職務に応じた周知・啓発を行うこと。〇 法令順守の方針等の明確化
・ 本人の権利利益の侵害又はそのおそれの防止のため、本法を含む法令遵守の方針や法令順守のためにとるべき手順等を明確化すること。〇 本人の権利利益に与える影響に関する評価
・ 個人情報を利用しようとする場合、本人の権利利益に与え得る影響を評価・確認すること。仮に本人の権利利益を害するおそれがある場合には、それが正当な理由によるものか否かについての確認も含む。〇 評価等に関する情報の共有
・ 上述の評価・確認に関する情報を、当該個人情報の取扱いに関係する各組織部門が、本人の権利利益の侵害を防止する上で必要に応じて共有し確認できるようにすること。〇 個人情報の取扱いを管理するための担当者等を定めること
・ 個人情報を適正に利用するため、個人情報の取扱いを管理する担当者又は担当部門をあらかじめ定めること。〇 本人の権利利益に与える影響に関する評価に関する情報を事後的に確認するために必要な措置を採ること
・ 上述の評価・確認に関する情報を、個人情報を利用しようしている期間、事後的に確認するために、例えば、資料の保管等必要な措置を採ること。〇 個人データの利用後に本人の権利利益の侵害が明らかになった場合における迅速かつ適切な対応 ・ 特定の個人データの利用に際して、本人の権利利益の侵害又はそのおそれがある事案が発生した場合、その事案に対処するため、事実関係の把握やそ の利用の停止、再発防止に向けた措置を講じること。
個人データの「適正な利用」とは、適法な利用を行う(第4章の義務を守る)ことだけでなく、本法の法目的や社会通念に照らして不正とは考えられない利用を行うことも含む概念である。本条の規定は、そうした利用を実施するために、合理的かつ必要な範囲で、必要な措置を講じることを義務付けるものである。
開示資料1425頁
このように、この初期案では、「個人データ」が対象となっている。背景の冒頭も、「昨今の急速なデータ分析技術の向上(アルゴリズムの複雑化・ブラックボックス化)等を背景に」と説明されている。なお、この背景は、リクナビ事案には当てはまるが、破産者マップには当てはまらない(分析は行われていない)ことに注意。
これについて検討された様子が以下である。
2019/10/25 第14-3回法制局参事官審査録
日時:10月25日(金)16:15~18:30(略)
<適正な利用に必要な体制整備等の義務化>
○:個人情報保護法の法目的がそもそも「適正かつ効果的な活用が~~個人の権利利益を保護するもの」としているのだから適正な利用に必要な措置をとるものという位置付けにはなっているだろう。
○:適正な利用、適正な取扱いは法目的を守る、守らないの話になるのではないか。社会通念上不適切なものに対しては、どこかしらの条文を根拠にして指導などできるのではないか。
●:現行法では実態として難しく、法目的にあるような内容(権利利益の保護)を確実に、事業者へ対しても守らせるようにしたい。
(略)
○:適正な取扱いのための行為規制であれば、行為規制とすべきではないか。それであれば、利用制限を行うのではないか。不正利用の禁止など。
●:「不正利用の禁止」という表現についても検討は行ったが、何をもって不正であるとするのかが難しいと考えている。
○:何をもって不正であるかと言えば、例えば、差別を助長するような利用などではないか。個情法との関係ではどのようになるのか。個情法上問題なくても民事上でどのような扱いになるのか。
●:現行法上、そうした規制はなく、執行の根拠となっていない。
○:第15条で利用目的を特定するが、その際、「迷惑行為を行います。」と設定することは駄目なのか。駄目ではないだろう。
●:仮名化の論点でも議論したように、利用目的は最終的な目的を特定するものであり、途中経過の小目的を特定するものではない。例えば、説明資料に例示した破産者マップで言えば、官報掲載の内容をデータベース化し周知することを目的としている。利用目的で規制をかけるのではなく、利用目的を達成する手段を規制するべきなのではないかと考えている。
○:第20条の安全管理措置は、ある種、直罰規定がある(第83条データベース不正提供罪)。データベース提供罪(第83条)につながるのは直罰だが、「過失による情報漏えいを禁止する。」とは規定できないので、「情報漏えいしないための措置を講じなければならない。」としている。
○:同様に、適正に利用させるのであれば、不適正な利用を防止するための措置としなければならないのではないか。適正な利用の義務を課したところで、不適正な利用に対する違反は問われない。不適正な利用を禁じたいのであれば、不適正な利用を禁ずる、そして不適正な利用を禁ずるための措置を講じさせるべきなのではないか。
○:第16条第1項や第2項に利用制限を規定するか。必要な範囲を超えて、当該個人情報を取り扱ってはならない。ただし、不適正な利用を行ってはならない。
●:潜在的に個人の権利利益を侵害するおそれのある行為、などはどうか。
○:潜在的はどのようなものか判断できず、規範の明確性を欠く。
○:要配慮の記載ぶりを真似るのはどうか。不当な差別、偏見その他の不利益が生じないようにその取扱に配慮する、不利益が生じないように取り組むものとする、など。
○:利用目的の範囲であればなにをやっても良い訳ではない、という(この論点の)趣旨は理解。
○:予防のための措置だが、そのためにやるべきことは何か。本人の不利益に絶対につながらないものとまでは保障することはできない。「ベスト・エフォートで取り組むものとする。」「努めなければならない。」というような感じか。
○:「本人の権利利益を侵害しないように、当該本人の個人情報を取り扱うよう努めなければならない。」などか。規定できた場合、努力規定ではあるが、指導・助言はできる。
○:安全管理措置として求める取組も色々あるが、それらは程度問題ではないか。全事業者に対して行わせるべきことは基本的には決まっている。組織的に個人情報データベースを分離しアクセスできる者を限定するなどを求めてはいるが、小規模事業者などはお金もなく十分には行えていない。第20条違反にはなっているが、取り扱う個人情報に応じて行 ってもらう。
○:第35条の苦情の処理に関する体制整備も全事業者が行えるものではないから、努力義務となっている。説明資料中に「事業者の可能な範囲で」と記載があるが、ベスト・エフォート止まりであれば努力義務とするべき。
○:条文案についても、体制整備を頭出しするのがよいとも限らない。「本人に不利益を与えないように取り扱わなければならない。」と努力義務規定を置いた上で、その努力義務を果たすために、不利益を与える取扱いを防止するための措置を義務付ける。
●:第35条に倣って、体制整備措置義務を設けることは考えられないか。
○:結局、「迅速な処理に努めなければならない」等の行為規制が(第1項として)必要にならないか。その上で、第2項のように、そのための仕組みの整備や研修等を受けさせてもバチはあたらないと思う。名誉毀損はサイレント民事の世界。その他はアクシデントでばらまかれないようにするもの。
○:差別目的だった場合、人権擁護的には指導できたとしても、個情法上、指導はできない。破産者マップやリクナビの事案は、どのように対応したのか。
●第三者提供を行う際の同意が得られていない、同意の判断に係る情報の内容が不十分であること等を根拠として指導している。
○しかし、「絶対に禁止」とまでは規定できないだろう。「本人の権利利益を絶対に侵害してはならない。」としてもどのようにすれば本人の権利利益を侵害しないのかが分からない。本人によっても、捉え方が変わる。
○:センシティブ情報を扱う他の法律に、参考となるような表現はないか。
○:差別的な取扱を禁止するような用例であれば見つかる。
●:「差別的取扱の禁止」は、行いたいことと少し異なってしまう。
○:議法だが、探偵業法第6条に「人の生活の平穏を害する等個人の権利利益を侵害することがないようにしなければならない。」とある。「権利利益を侵害してはならない」という ような用例はあるということだな。
○:「侵害することがないように努めること。」等になるのか。
○:リクナビ事案で言えば、本人の同意があっても駄目なのか。差別的な利用を禁止することはあってもいいだろうが、本人の同意を得ているのであれば、本人も「誠実に御社を志望しています」などのアピールに使えると考えていれば、別に問題ないのではないか。
○:例えば信用情報は結果によっては融資を受けられないというような、利益を損なうようなことがあるかもしれないが、それは権利利益の侵害とまでは言えないのではないか。
●:リクナビ事案の本質的な問題は、同意に係る情報の内容が不十分であったために、本人が予見できない中で、本人の権利利益が侵害されるおそれが生じた点だと考えている。
○:それでも権利利益の侵害とまでは言えないのではないか。
○:破産者マップの件も不適正だという心情は理解できるが、できる範囲で差別的な扱いを助長しないようにしてください、ということではないか。倫理的な問題はあるかと思うが、法律的には難しいのではないか。
○:安全管理措置義務は過失を罰することができないので、措置を講じるようにとしている。わざと漏えいさせることに対してはデータベース等提供罪がある。
○:探偵業法第6条は「自らが侵害することがないように」としている。「差別を助長してはいけない」という用例はあまりない。他人が差別しないようにということまでは自分では制御できない。
○:「差別を助長するおそれがある」場合は、事前に指導を行ってもよいだろう。
○:「差別を助長させてはいけない。」とは言い切れない(提供先でのあらゆる利用の様態を完全に予見することを求めることになる)ので、努力義務にするべき。指導・助言止まりだが、それが無視されてしまった場合には公表すれば良いのではないか。
○:どのようなことを行えば、努力義務を果たしたことになるのだろうか。自分が差別をしないであればまだよいが、自分ではない者に対して助長させないとは、どのようなことだろうか。
○:本丸は、「何をしてはいけない。」ではなく、「防止策として何をしろ。」ということの方が良いのだろうか。しかし、「してはいけない。」ということが分かっているのであれば、その行為をやめろというべきなのではないか。その上で、第2項に努力義務として予防措置義務を設けるべきではないか。
○:破産者マップの件は事例として使える。しかし、リクナビの件は立法事実としては微妙。
●:闇金業者(反社会的勢力)から融資を受けるために、担保として名簿を渡すというようなケースもあった。
○:名簿を渡す側のレピュテーションリスクであるし、名簿に掲載されている者からすると、平穏な生活を脅かされかねない(権利利益が害されるおそれ)、と捉えることができそうだな。
○:やはり(全ての個人情報取扱事業者に対して)一律に体制整備を行わせることができないのであれば、努力義務ではないか。「差別を助長するような行為をしてはいけない。」とするよりは、潜在性次第で「害するそれがないように努める。」「害しないように努める。」として、害してしまった場合には努力義務違反とする。違反しないように体制整備を行い、害するようなことが発生した場合にはすぐに利用をやめる。しかし、それでも指導止まりになってしまう。
○:害することを知りながら利用している場合には違反を取れる。権利利益を害するようなことが発生していなければ何もできないが、発生した場合には指導できる。
○:破産者マップの場合には、法令順守のコンプライアンス違反ではあるが、体制整備などは、一個人で行っているような場合にはどうせできない。どうせ体制整備を行わないのであれば、努力義務ではないか。努力義務であれば指導はできる。
○:できる範囲で行えばよいものであれば、努力義務。しかし、行為規制のない体制整備もいかがなものか。
○:第20条(安全管理措置)は行為規制を伴わない予防措置義務だというが、これは、自ら進んで情報漏えいを行うようなことは普通考えられないからではないか。データを持ち出される(直罰の第83条に該当するケース)ということはあっても、事業者自らの故意的な情報漏えいがあるとは通常考えられないので、事業者には、情報漏えいしないように予防措置を講じることを義務付けることとしている。
○:リクナビの件は立法事実として適さない。「適正な利用」を規定するのであれば、努力義務だろう。
○:本論点(「適正な利用」に係る規定の創設)は、「プライバシー・ポリシー」の論点から派生したものと聞いたが、PIA・DPOについても、別途規定するのか。
●:然り。
○:かつて(前回審査時)のプライバシー・ポリシーの論点では、どのようなことを予定していたのだったか。
●:個人情報取扱事業者自身で記載した内容に反して権利利益を害する利用を行ってはならない、との規定を設けることを、かつて検討していた。
○:それでは事業者に丸投げになっている。プライバシー・ポリシーも業務管理規程のようなものかと思った。業務管理規程を承認するような制度を創設しようとしているのかと思っていた。その前提として、ある程度の体制整備をさせるのかと思っていた。
○:例えば、貸金業法では、業務規程を作成しなければならない(自らの作成した業務規程に沿って業務を行わなければならない)としている。業法で業務改善命令型ではあるが、是正命令のように、個別に行為規制を並べて命令の対象とするタイプではない。
○:方針を作らせておいて、そのまま個情委として何も行わないということはないのではないか。何でも良いので作成しておけば良いというものではないのではないか。
○:行為規制ではなく、内部管理規程であれば、類例があって(良い)となる。(個情法の体系として)行為規制を細かく規定しておきながら、その一方で、内部管理規程をざっくり作成させるという案は認められないのではないか。第三者提供に必要なポリシーを作成するように、などと変更するのか。
○:「個人情報の取扱いが1万件以上となる場合はプラポリを作成し、認定を受けた企業だけは取り扱ってよい。」といった規定であれば、前回案の、プライバシー・ポリシー(基本方針)を作成させて終わりということにはならないだろう。
○:「適正な利用」の用例として持ち出された景表法の「表示に係る事項の適正な管理」ではどの程度のことを求めているのか。中小企業も義務の対象に含まれるのか。
●:然り。(適宜指針の内容を説明。)
○:当然に行うべきことを求めているのだから、中小企業も含まれるということか。
○:景表法をよく見ると、「表示に係る事項の適正な管理」の違反は勧告・公表止まりとなっていて、罰則まではない。景表法には、措置命令や課徴金の対象となるコアな行為規制が別途存在し、そのコアな行為規制を遵守するために、予防措置を講じるための規定として存在する。補助的な義務の違反であるから、「適正な管理」は勧告・公表止まり、ということなのだろう。
○:行為規制を守るための体制構築(あるいは措置)は当然の前提であり、それを義務として課す例はおよそないのではないか。仮に「第4章第1節の義務を守るために必要な体制整備をしなければならない」と明確化してガイドラインに誘導することができるとしても、ガイドラインでいろいろと規定できるが、ガイドライン(指針)なら勧告・公表止まり。そこまでして独自の条文を付け足したいのか。具体的に行わせることは、プラポリを作り、DPOを設置する、ということであれば分かる。
●:今回の説明資料に記載した具体的な取組のうち、主眼としているのは、法令順守体制の整備というよりは、個人の権利利益の侵害を抑止するための体制の構築の方。努力義務で良いのかについては、内部で検討したい。
○:「必要なことは行ってください。」「事業内容に応じて全事業者が行ってください。」「中小企業であっても、センシティブ情報を扱うのであれば行ってください。」「人がいないので対応できないではだめ。」ということを規定するのか。
○:第1項が努力義務だというのにか。第2項は努力義務でも良いが、全員にやらせるべきことはやらせる。
●:禁止行為を記載するのではなく、「適正に利用しなければならい」では規範の明確性に欠けるか。
○:どのようにすればよいのかが分からない。
○:「権利利益の侵害を行わないように」であればまだどのようなことをすれば良いのかがわかる。
○:自分(の利用)だけではなく、(インターネット上に公表された情報を)見た人も含めてとなると、第三者提供に対しても規定するのかとなる。提供先において、権利利益の侵害のおそれがないようにしなければならない、とした場合、不特定多数の相手に対しては無理ではないか。自分だけではなく、相手にも守らせる必要があるとなると、第三者提供は実質できなくなってしまう。一律義務とするのであれば、提供先を限定させるぐらいしないと無理だろう。
○:努力規定であっても、個人情報を悪用しようとしている人がいればやめるように指導を行うことはできる。現行法にも規定されていないのにはそれなりの理由があるのではないか。
○:結果として権利利益の侵害があって、どういう事案についてどのようにすればよいのか不明確ではないか。実務として事業者も対応できないのではないか。第三者提供を行う際に、権利利益の侵害を行うとは思っていなかった、確認したが嘘をついているとは思わなかった、とできる範囲での確認をさせることはできても、提供先で悪用されることを防ぐことはできないだろう。自分は権利利益の侵害を行わないようにしましょうであれば規定できるだろうが。
○:これらの事情もあって、現行法には規定されていないのではないか。
○:法目的に「個人の権利利益の保護」とあるので、「自分が権利利益を侵害してはならない」「権利利益を侵害しないように配慮しなければならない/努力しなければならない」というようなことは規定できるだろう。開示請求対応義務の例外事由の規定ぶりに倣えば、「本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがあるときは当該取扱を行ってはならない。」のようになるかと思う。おそれがあるときは取り扱っては駄目。
○:「内部的な取扱で~~のおそれがあるときは取り扱ってはならない。」とした場合、例えば、警察からの情報提供依頼は、個人の権利利益の侵害に当たるのだろうか。侵害のおそれはあるが、正当性があるから問題ないとなるのだろうか。例外規定がなくても良いのか、という問題にもなる。
○:条文を日本語として書けるとしても、本当に規定するのであれば例外規定がなければ駄目だと思う。書けたとしてもせいぜい、訓示規定ではないかとも思う。
○:しかし、おそれがある場合でも努力規定になってしまう。おそれがあるのであらば、取り扱わないでくれ、という感情にもなってしまうが。
○:(「利用停止等」の論点では)法違反のとき以外にも利用停止等の請求ができると広げようとしており、利用停止等の条文ですら、請求があった場合には必ず利用停止せよとはしていない。
○:「保有個人データの取扱いによって、当該本人の権利又は正当な利益を害するおそれがある場合」には、利用停止の請求対象になる。請求があれば事業者は、絶対ではないが、それを受任しなければならない。
○:「適正な利用」論点については、請求を待たずして、「本人の権利利益が害されないように利用停止等又は第三者提供の停止を行うように努める」、ないし、「権利利益が害されるおそれがあるときは、利用停止しなければならない」と規定することになるのか。
○:利用停止は請求への対応なので、努力義務ではなく、その場合は、ただし書きが必要になる。
○:「相当な理由があると認められるとき」と裏表で規定できないだろうか。
○:(これまで「利用」との表現に着目してきたが)「利用」と「第三者への提供」をやめるとすべきではないだろうか。第三者提供を行った先で差別がなされる場合もあるので、利用停止とそのような者へ提供をしないように努める。加えて、前項の目標を達するために必要な措置を努力義務とする。という案もあるかもしれない。
○:リクナビ事案について、リクルートが情報を取り扱っている限りでは、差別は生じない。第26条(第三者から個人データの提供を受けた際の確認記録義務)の確認記録の開示請求を行った上で、(当該提供先事業者に対して)利用停止等の請求ができるといえばできてしまう。
〇:また、規律の対象は「個人データ」ではなく、「保有個人データ」とすべきなのかもしれない。努力義務とするのであれば、「個人データ」としても良い(利用停止等の権限を有しない委託先などが義務を履行できなくて良いと整理できる)かもしれないが。
○:条見出しであるが、「権利利益の侵害の禁止」などではないか。
●:不正な取得を禁じている第17条の見出しが「適正な取得」となっているように、「適正な~~」とすることはできないのか。
○:利用や第三者提供の禁止、という趣旨に鑑みると、「利用停止等」となるのではないか。
●:利用停止等以外にも第2項で体制の整備などの要件もあるが。
○:苦情の処理(第35条)も「体制の整備」との語は条見出しで出てこない。
○:とりあえず第30条の2として、条見出しは利用停止等(第30条)と共通見出しで同じで良いのではないか。
開示資料16192頁
「個人の権利利益」が何なのか不明なまま(「世界」での指摘も、法目的からの法解釈が重要とは書いたものの、現在のように法目的が何かを明確には言えていなかった)なので、「適正に利用しなければならい」では規範の明確性に欠け、「どのようにすればよいのかが分からない」という法制局参事官の指摘は、ごもっともである。
なお、この時点では、法制局参事官も個人データ対象で考えており、むしろ、「保有個人データ」とすべきなのかもしれないと述べている。
次に関係するのは、第17回である。
2019/10/31第17回法制局参事官審査録
日時:10月31日(木)10:15~12:30(略)
<個人情報保護計画(新設)>
(略)
○:届出を課す趣旨は何か。
●:個情委に届出した計画の遵守状況等に鑑み、場合によっては執行の対象とするためである。
○:計画を作って届出・公表させることにどこまで意味があるのか。届出については、部長も、「事業者に負担をかけさせてまで、届出のみで済ませるのは制度として完結しておらず、その効果が疑問。」と言っていた。
○:計画はやはり異なる。計画というものは、タイムスパンがあるものであることから、例えば、年に1回定期的に報告させるケースもあるが、本件はそのような性質のものではない。
○:行為規制を課すならば、もっと直接的に規定を設ければよい。内部統制・体制整備を求める場合にはその内容を直接義務付けているはずである(「○○責任者を設置しなければならない」等)。用例集では、商工会及び商工会議所による小規模事業者の支援に関する法律(以下「商工会法」という。)第7条第5項に定める「経営指導員」の記載があるが、これは外部向けサービスの提供のために設けられるものであって、事業者内での取組みを求める本件とは性質が異なる。体制の整備を求めるにしても現行個人情報保護法第20条の安全管理措置の一環とするか、またはそれとは別途規定した場合は個情委がチェックする形とするかではないのか。
○:新旧対照表の第B条第2項第1号の「方針」は基本的には社内的ルールでやるようなもの。第3号は番号法を参照しているようだが、評価させたいならば番号法のように個情委としてきちんとチェックするするスキームとしなければ、評価させる意味が見いだせない。
○:前回は1個人情報保護責任者、2影響評価、3個人情報保護方針、と3本立てであったが、なぜ「計画」として一本化したのか。
●:対象事業者要件が同じ3つを義務付けるにあたり、柱になる制度例として計画に着目した。一括して計画としてまとめて記載させ実行させ、個情委として関与し、公表もさせる、ということとした。
〇:(繰り返しになるが、)当該計画にゴールがなければ、それは計画ではない。また、関与について、届出では足りない。
●:個情委が細かくやり方を規定するのではなく、各事業者において、個人情報を保護するための方針やPIA実施基準等を検討させることで、このような各種取組みを推進させていきたいと考えている。
○:そうであれば、それは法律事項ではなく、ガイドラインで示したり、モデル事業でもやったらどうか。
○:番号法においても、法令において特定個人情報保護評価事項等を細かく示した上で、承認するというスキームを採用している(同法第27条、第28条)。つまり、事業者に対して事前予防の観点から漏えい等の事態が発生するリスクを分析し、そのようなリスクを軽減するための適切な措置を講ずることを宣言させ、これを個情委が承認し、公表することとなっている。本件では、そのような細かい規定も個情委の関与もない。そうであれば現行法第20条の安全管理措置の一環と位置付けて、当該保護措置をとらなかったことについて第20条違反を問いうるのではないか。
○:第20条の安全管理措置の特則という形で、保護評価実施義務を課すのであれば、第20条と両立しうるかもしれない。ただし、その場合でも評価させたまま放置するのではなく、個情委として何らか関与する必要がある。
○:自己評価といっても、その評価が虚偽のものである等不適切な場合も想定され、そのような不十分な評価を排除するスキームがない中、これを消費者が信じてしまい結果不利益を被る事態も発生しうる。番号法においては、行政機関等でさえ評価や個情委による承認という担保があるにもかかわらず、本件はそうはなっておらず、有象無象の民間事業者を対象とする個人情報取扱事業者において、適切に自己評価ができるわけがない。別途「虚偽の評価をしてはならない」等と規定するのにも違和感がある。「自らが自己評価をして公表することを義務付けている」という類例があればぜひ紹介してほしい。
○:つまるところ、個情委の覚悟が問われているのではないか。真面目な個人情報取扱事業者から任意で策定した計画をチェックしてほしいと相談された際に、個情委がそれに応じることで課題やノウハウが蓄積される。これまでに、そのような事例を積み重ねてきて、それを法制化するというのであればまだしも、そういったわけではない。
○:必要性があるならば、計画という形で間接的にやらせるのではなく、その事項を義務づければよい。「自己評価をしておけ」というものであれば、それは安全管理措置に含まれるのではないか。
○:女性活躍推進法は、女性が職業生活において活躍することが望ましいという動機付けを目的としており、計画に基づいて行うものは努力義務。これに対し、本件では個人の権利利益という、保護法益があり、そうであれば何をさせるのかを個別に義務付ければよい。
(略)
○:イメージをそのまま法制化しているようだが、決してそうではなく、類例を参照しつつ法制度として成り立ちうるのかという観点から検討してほしい。
○:義務付けるのであれば義務付ける内容も明確に規定する必要があり、その内容を義務の対象者に考えさせるというものでは制度として成り立たない。類例があれば議論を続けるが、管理者/責任者の典型例をベースに再考してはどうか。安全管理措置は、技術の進歩もあり概括的な条文にならざるを得ないが、自身の義務履行のために自身で計画を立てさせるというような例はないのではないか。
○:考えられるパターンとして、PIAについては、1番号法のように評価項目等細かく規定、2第20条の安全管理措置の一環としてガイドラインで明示、DPOであれば、(道交法のような)管理者制度を採用する、というものが考えられる。他方で、現案のような行為規範を守るために計画を策定させる、という制度は厳しいのではないか。また、1について個情委による承認制度を採用しないのであれば、番号法とは異なる制度とする理由を論証する必要がある。その場合、負担が重い等の理由はダメ。
○:計画とするならば、タイムスパンやゴールがあるものであり、その中身を実行させるなら、それをそのまま正面から規定すべき。ガバナンスについても、何をやるのか/どのような管理をするのかまで規定する必要があり、丸投げするようでは法律事項ではない。いずれにしても、認定個人情報保護団体のような緩い制度を創設するならまだしも、個人情報取扱事業者に対して義務を課すならば、その義務の内容を明確化すべきであるし、それに対して個情委はどう対応するのかというところまで、検討してほしい。
開示資料16200頁
この日の審査を踏まえ、個情委事務局は以下のメモを残している。(「10月30日」とあるが31日の誤記と思われる。)
個人情報の保護に関する法律等の一部を改正する法律案
令和元年10月30日審査における指摘事項とその対応について
個人情報保護委員会事務局(略)
<新個人情報保護法第A条>
○ 個人情報保護評価の実施や管理責任者の選任を事業者に求めるのであれば、指針や計画の策定を通じてではなく、直接に義務付けるべきではないか。また、事業者による不適正な利用を制限するのであれば、体制整備義務ではなく、禁止規範を課すべきではないか。
→ 御指摘を踏まえ、修正。開示資料15918頁
これによって、当初のふわっとした構想が許されなくなり、厳格な禁止規定を設ける方向へと転向した。しかし、何を禁止すべきなのかは不明なままであった。
次に出てくるのは、第21回法制局参事官審査録である。ここから雲行きが怪しくなってくる。
2019/11/13 第21回法制局参事官審査録
<適正な利用に必要な体制整備等の義務化等>
日時:11月13日(水)17:35~18:55
(略)○:景表法が下敷きになっているということで良いか。
●:然り。
○:景表法は不当表示の規制が中核にあって、それを守るためにどのような措置を採るべきかという構成になっている。どのような表示の管理を行えばよいかということを法律で細かく記載するのは難しいので、ふんわりとした記載となっている。ふんわりとした記載なので、それに対しては勧告・公表止まりとなっている。不当表示という中核的規制に対しては、課徴金まで科される構成となっている。
○:個情法では、第4章第1節に規定されている内容が、「適正な利用を行うために必要な措置」としての行為規制ではないか。「適正な取扱いの確保を図る」ために列挙された第4章第1節の行為規制に不足があるのであれば、行為規制を新たに追加するべきなのではないか。行為規制を促すための義務も設けるのであれば、促すための義務として表現すべきなのではないか。
○:そういった意味で、いただいた案1と案2では、案1の方が良いが、案1は、景表法とはパラレルな構造になりにくく、中途半端になっている。案1の第2項の規定ぶりだと、第1項の行為規制の順守のための体制整備義務には見えず、第4章第1節の義務を守らせるための体制整備義務のように見える。
○:「第4章第1節の義務の履行を確保するために体制を整備しなければならない」とする形であれば、体制整備義務を規定することも、あり得るかもしれない。しかし、指針を作成して具体的な体制を記載したからといって、それが行為規制になるわけではない。
○:案1と案2はパラレルで規定したいのか。
●:そのような趣旨ではない。
○:第30条の2として規定するのが良いかは別として、第2項中の「本人の権利利益が害されることのないよう~必要な措置」との表現では、第4章第1節の内容そのものを言っていることになるのではないか。第4章第1節全体を対象とした義務とするのか。体制整備についてまで義務として課す場合、堀永補佐が検討しているDPO設置義務との関係はどのように整理されるのか。
○:DPO設置義務は大規模な事業者に限定して課されるものであるが、第30条の2第2項で規定する体制整備要件は、全事業者に課すため、重複していないともいえる。しかし、体制の整備を全事業者に対して義務付ける規定を設ける一方で、一定の基準以上で管理者の設置義務を規定する、といった類例はあるのか。
○:DPO設置義務の用例として持ち出された風営法や道路運送法は、お店や事業所ごとに責任者を置かせるものであるが、そうではなく、電気通信事業法のように全社的な責任者を置かせる類例に従う必要がある。
○:電気通信事業法においては、全社的な管理者に規程を定めさせ、規程に問題があれば当局が指示して直させる規定となっている。また、これに倣えば、事業者に規程を策定させて終わりではなく、当局がチェックをする必要があるだろう。事業所単位ではなく、全社的な責任者として定めるのであれば、そのように構成する必要がある。
○:第30条の2第2項以降の体制整備義務とDPO設置義務との関係を、どのように整理するのか。一つのタマとして、どのように描くのか検討する必要があるのではないか。
○:道路運送法の運行管理者のようにするに規定するにしても、当局への届出は必要だろう。第30条の2の指針に「管理者」を定めることではだめなのか。指針に記載するのではなく、(DPOを)法定化する必要があるのか。
○:措置義務は、景表法やパワハラ防止法などにおいてみられるが、それらはいずれも勧告・公表止まりではないか。個情法も同様とした場合、勧告止まりとなるが、(勧告前置の命令として構成されている)個情法の法体系として、おかしくなるのではないか。
○:(第2項以降の)体制整備を義務化するとした場合、中小企業へも一律に義務付けるのか。
●:然り。
○:第30条の2第1項(不適正な利用の禁止)と第2項(体制整備)以降は切り離すべきではないか。
〇:第1項については、第4章第1節の行為規制には違反しないが、一般的には不適正な事案があるから、新たに行為規制を追加するという整理になるのか。
○:第1項の「利用」の中には、第三者への提供も含まれるのか。
●:含まれるが、ここでは、第30条との並びを考慮し、「利用又は提供」とした。前回の審査において、利用停止等(第30条)との並びについて指摘されたことから、そのようにした。
○:この条文を入れるとしても、どのみち(利用停止等を規定した)第30条よりも前だろう。一連の行為規制の前に置く必要があるのではないか。第16条の直後に、第16条の2として置くべきではないか。
○:「利用」に含まれない「取扱い」として何があるのか。
●:取得、保管、廃棄が考えられる。
〇:「保管」は「利用」に含まれるのではないのか。
●:含まれる。
○:権利利益を害するおそれのある個人データの保管や、公序良俗に反する個人データの保管とは、どのようなものなのかわからない。もし、漏えい等の可能性が高いようなことであれば、それは第20条の安全管理措置違反になるのではないか。廃棄も同様だろう。取得についても、第17条で「適正な取得」が規定されている。これらのことから、「取扱い」ではなく「利用」で良いだろう。
○:第三者提供も「利用」に含まれるのであれば、「利用又は提供」ではなく、「利用」だけで良いだろう。
●:案1(権利利益の侵害のおそれ)とした場合、「権利利益が害されるおそれがあるとき」では広く読めすぎるのではないかと懸念しているが、問題はないか。妥協案として、案2(公序良俗違反のおそれ)もあり得るのではないかとも考えている。
○:「権利利益が害されるおそれ」については、社会通念に照らして判断されるのではないか。第28条の例外事由の解釈も、同様の整理なのではないか。
○:案1は「利用により、~おそれ」、案2は「おそれのある利用の方法」という表現の違いがある。案2のように、「方法」に着目する方が良いだろう。利用目的が良くても利用の方法が悪ければ、不適正となる。利用目的が悪い場合には、その利用目的は本人に通知又は公表しているので自然と淘汰されるべきものとして考えられているのだろう。従って、利用の「方法」に着目した規制を追加する、という形が自然だろう。
○:その上で、両者の違いは、案2の公序良俗に着目する一方で、案1の権利利益に着目した規制を行うということになる。どちらの場合でも、ただし書きは必要だろう。
○:案1は、「利用により~おそれ」との表現では、個別の保有個人データに着目しているように見えてしまう。このデータを使用した場合、本人の権利利益を害するおそれがあるので駄目、と規定しているようにも見える。これだと、病歴なども扱ってはいけない、となりかねない。したがって、やはり、「利用」ではなく、「方法」に着目する必要があるだろう。規定ぶりとして、「権利利益を害するおそれのある方法により」となるのではないか。公序良俗違反については、どのような用例があるのか。
●:まず、直接に公序良俗違反行為を禁じた用例はみられない。その上で、特許法などで、公序良俗に反する内容の申請を許容しない例や、金融の業法などで、公序良俗を害するおそれのあるものは適格要件を満たさないとしている例、公序良俗に反する運送を拒絶禁止の例外とする例などが、みられる。
〇:これらの用例を見ると、猥褻といった方向に近いのだろう。これは、今回の論点で、個情委がやりたいこととは異なるのではないか。
○:法目的で「権利利益の保護」と謳っている以上、権利利益に着目するのが良いだろうな。対象を「本人」とするのか、「個人」とするのかという点もあるが。「本人or個人の権利利益を害されるおそれがある方法により個人情報を利用してはならない」となるのではないか。「生命、身体、財産その他の権利利益」とするか、利用停止等の新5項のように「権利又は正当な利益」とすべきかについては、検討してもらいたいが。
〇:また、第16条との並びで、「保有個人データ」ではなく「個人情報」とすべきだろう。
○:(第2項以降の)「適正な利用」を確保するための体制整備義務には、強いこだわりがあるのか。強いこだわりというほどではないのであれば、体制整備義務は、第4章第1節の義務の履行を確保するための役割を持つ責任者としてのDPOの設置義務に一本化した方が良いかと思う。
●:それは、第2項が、第4章第1節の義務の履行のための体制整備義務だと解した場合の議論に限定されるか。第1項の規定を担保するための体制整備義務として第2項を位置付けても、同様の議論になるのか。
○:第2項は、「適正な取扱い」を確保するための体制整備義務であるから、結局第4章第1節の義務の履行のための体制整備義務となるのではないのか。
〇:この体制整備義務は、中小企業にも課す予定なのか。
●:景表法の例にも照らし、中小企業であっても、(大企業とは)程度の差こそはあれ、対応できると考えている。
○:景表法の場合でも、全事業者に対して措置義務を課しているが、中小事業者に対して求める措置も、指針で定めている。
○:個情法で行おうとしていることは、勧告・命令だけではなく、罰則までだと思うが、指針に定めたことを履行していないものに対して罰則まで科す例があるのか。景表法並びで勧告止まりでも良いとするのか。個情法なら勧告前置の命令・罰則もできるのである、という説明ができるなら話は別だが。
○:指針で色々と書かせるのであれば、管理者の設置も指針に明記すれば良いのではないか。
〇:また、DPOの設置基準に裾切り要件を設けることについて、平成27年改正で5000人要件を撤廃した経緯がある手前、裾切り要件を復活させることも、どうかと思う。自分のところで止めるつもりはない(部長には一度上げることは可能だ)が。
○:逆に、DPOの設置義務を法定するのであれば、全社的な責任者を規定した電気事業通信法に倣う必要があるのではないか。中小企業は対応できないかもしれないが、管理者を中心とした体制整備が必要だと説明するのではないか。
○:DPOを中心とする体制が必要と言っている一方で、対象事業者にならなくなった途端に、第2項のフワッとした体制整備義務が課されるのは変。せいぜい、中小企業(DPO設置義務の対象とならない事業者)は、DPO設置の「努力義務」を置く程度なのではないか。
〇:逆に、第2項のフワッとした体制整備義務が基本としてあった上に、一定の事業者に対してDPO設置義務を課すというのも重畳感がある。
○:ちなみに、PIAの法定化は、どうするのか。
●:PIAについては、法定化するのではなく、ガイドラインで対応する方向で検討が進められている。番号法のように、細かな様式などを規定した制度を、個情法においても構築するのは、難しいと考えている。
(略)
○:事業者へ対してのPIA義務は措置しないという方針で良いのか。
●:然り。
○:プライバシーポリシーも体制整備要件に含めるということか。
●:プライバシーポリシーについては、それに載せるべき事項を第27条ないし政令第8条の公表事項として直接規定できないかと考えている。本日投げ込んだ資料を参照されたい。
○:投げ込んでいただいた資料の法律の内容(住所や代表者の氏名)は承知した。しかし、何でもかんでも公表事項とすれば良いというわけではない。政令に書いて、それを義務とすることは認められない。
○:事業者によっては、何らかの措置を講じているかもしれないが、前提として、講じる「義務」があるものについて、「公表」させるのではないか。例えば、「データの処理方法」について公表させるなら、データの処理方法に関する個別具体の記録を残させるような義務を設置すべきだし、第三者提供の確認記録義務についても、今回の改正で開示の請求対象にしようとしている中で、第三者提供先や提供元の氏名等をいきなり公表させることはできるのか。制度的に裏付けられているものか、当然にやっているものないしすぐ出せるもの(氏名等)でないと、公表事項として列挙できないのではないか。(その観点から、第35条第2項の苦情の処理の体制整備が努力義務である一方で、苦情の申し出先が公表事項として規定されていることは、どう説明されるのだろうか。)公表事項に追加されたとしても、「なし」というものになってしまわないか。
○:プライバシーポリシーを作らせたいなら、作れという規範を設ける必要がある。先日も議論したが、内部を統制する種類のものであれば、「指針」というよりは「規程」とすべきではないか。規程(内部ルール)に違反した従業員がいれば、責任を取ってもらわなければならないような内容を定めるのではないか。措置義務で推奨する程度ではなく、きちんと正面から取り組ませるのであれば、「規程」とすべきなのではないか。
○:適正な利用の体制整備について、ふんわりと法律で定めて、「管理者を決めなさい」と義務付けるのはおかしいのではないか。個別実態に即して様々であるので、目安をガイドライン等で示して、あとは事業者が柔軟に対応すべき、という規範になるのであって、(ふんわりとした体制整備義務を設ける中で)管理者だけを特出しして設けることを義務付けるのはおかしいのではないか。また、体制整備義務について、指導のみでもよいのであれば別だが、命令・罰則まで行うのは難しいのではないか。
○:案1の第1項だけ切り離すのであれば、部長一読の1便に乗せることはできるのではないかと思う。
開示資料16217頁
「「保有個人データ」ではなく「個人情報」とすべき」という指摘が出てきた。「処理の方法」を公表事項とすることにも否定的となっている。
この時までに提出(投げ込み)されていたと思われる案は、以下のものと思われる。
案1
(不適正な利用等の禁止)
第30条の2 個人情報取扱事業者は、保有個人データの利用又は提供によって、本人の生命、身体、財産その他の権利利益が害されるおそれがあるときは、当該保有個人データを利用し、又は提供してはならない。ただし、他の法令に違反することとなる場合その他正当な理由がある場合は、この限りでない。2 個人情報取扱事業者は、本人の権利利益が害されることのないよう、個人情報を適正に利用又は提供するために必要な体制の整備その他の必要な措置を講じなければならない。
3 個人情報保護委員会は、前項の規定に基づき個人情報取扱事業者が講ずべき措置に関して、その適切かつ有効な実施を図るために必要な指針(以下この条において単に「指針」という。)を定めるものとする。
4 個人情報保護委員会は、指針を定めたときは、遅滞なく、これを公表するものとする。
5 前項の規定は、指針の変更について準用する。
案2
(公序良俗に反する利用方法の禁止)
第16条の2 個人情報取扱事業者は、公の秩序又は善良な風俗を害するおそれのある方法により個人情報を取り扱ってはならない。開示資料1429頁
「権利利益」一般、「公序良俗」に広げたため、もはや元の趣旨が何だったか、わからなくなってしまっている。
この日の審査を踏まえ、個情委事務局は以下のメモを残している。
個人情報の保護に関する法律等の一部を改正する法律案
令和元年11月13日審査における指摘事項とその対応について
個人情報保護委員会事務局(略)
<新個人情報保護法第30条の2等>
○ 不適正な利用等の禁止については、利用全般に係る規制であり、第16条(利用目的による制限)の次に第16条の2として規定すべきではないか。また、適正な情報管理に必要な体制整備について、他の法令では、管理責任者の選任等が求められているのではないか。
→ 御指摘を踏まえ、修正。(略)
開示資料15928頁
これによって、元々「個人データ」を対象に構想していた「適正な利用」が、「個人情報」を対象とした不適正利用禁止規定に変容してしまった。
こうして元の趣旨の前提であった「個人データ」の錨を失った「不適正利用禁止」は、文言だけで一人歩きし、漂流していくことになる。
こうして、部長(内閣法制局2部長)向けの「説明資料」(11月18日付)が作成された。
個人情報の保護に関する法律の一部を改正する法律案(仮称)
説明資料 令和元年11月18日
個人情報保護委員会事務局(略)
不適正な方法による個人情報の利用の禁止(新設)
I 改正の背景・趣旨
1 個人の権利利益が害されるおそれのある方法による個人情報の利用の実態
昨今の急速なデータ分析技術の向上(アルゴリズムの複雑化・ブラックボックス化)等を背景に、個人情報を取り扱う事業者自身が十分に予期できるか否かに関わらず、潜在的に個人の権利利益の侵害につながる(本人が予見し得ない形で不利益を被る)ことが懸念される個人情報の利用の形態がみられるようになり、消費者(個人)側の懸念が高まりつつある。そのような中で、特に、現行法の規定に照らして明らかに違法とまでは断定できないものの、本法の法目的である個人の権利利益の保護の観点から、看過できないような方法で個人情報が利用されているとして、社会的な批判を浴びるような事例が、一部において、みられるようになった。
(略)
II 本人の権利利益が害されるおそれのある方法による個人情報の利用の禁止の新設(新法第16条の2関係)
本人の生命、身体、財産その他の権利利益が害されるおそれのある方法により、個人情報を利用してはならないことを、個人情報取扱事業者に義務付ける。ここで、「本人の生命、身体、財産その他の権利利益」とは、法第18条第4項第1号及び第 28条第2項第1号と同様に、本人に関する法律上の保護に値する利益一般をいい、例示されたものに限定する趣旨ではない。具体的には、上記Iで取り上げたような事例に鑑み、(本人が予測し得ない形で発生し、かつ、不特定多数の者によって引 き起こされ得る)本人に対する差別や、(違法な行為を営む者からの接触による)本人の平穏な生活を送る権利の侵害などが想定される。ここで、「害されるおそれ」としているのは、法第!8条第4項第1号及び第28条第2項第1号に規定される「害するおそれ」と同様に、利用によって具体的な支障の発生は将来生ずるものであることによる。この場合、「おそれ」とは、物理的、確率的な可能性ではなく、社会通念による蓋然性の有無の判断による。
ただし、他の法令に違反することとなる場合(捜索差押への対応への結果として、本人の逮捕が予見される場合等)や、本人との間で契約を締結している場合(与信審査の結果として、本人が融資を受けられないと判断される場合等)など、個人情 報取扱事業者がこうした個人情報の利用を行うことに正当な理由がある場合については、本義務の適用除外とする。
開示資料1999頁
この時点では、内容は10月25日と変わっていない。
条文案は以下のものであった。
(不適正な利用の禁止)
第16条の2 個人情報取扱事業者は、本人の生命、身体、財産その他の権利利益が害されるおそれのある方法により個人情報を利用してはならない。ただし、他の法令に違反することとなる場合その他正当な理由がある場合はこの限りでない。開示資料1940頁
この時点では、まだ、当初の構想を維持していたとも言い得る。「おそれのある方法により」の「方法」は、元々はアルゴリズムなどプロファイリングのことを想定していた(公表事項で「処理の方法」を書かせることを想定ていた)ものだった。
これに対しての法制局の検討では、次のように法制局参事官からコメントがあったと記録されている。
2019/11/19 第25回法制局参事官審査録
日時:11月19日(火)20:00~22:20(略)
<適正利用及び利用停止等の要件の拡大について>
○:適正利用と利用停止等については、同一の指摘。「本人の権利利益が害されるおそれ」というのは、明確性・予見可能性に欠けている。許しがたい立法事実があることについては部長に理解をしていただいたが、その対応としての規定が大鉈すぎるとのこと。
○:最初、部長は両規定について、裁判官に決定権を委ねる裁判規範との認識だったため、委員会が執行する行政規範でもあると説明したところ、そうであれば違反となる基準を明確にすべきであると指摘された。裁判規範であれば、一定程度裁量のある規定となっても許される。行政規範は裁判規範に比べ裁量性が少ない。
○:第30条は裁判上の請求権ではあるが、委員会も執行する規定であるという理解でよいか。
●:第42条の勧告・命令の対象として第30条違反が含まれているので、委員会が執行する規定でもある。
○:その点については、部長に再度詳細に入れておく必要がある。平成27年改正で、裁判上の請求権であることが明確化された経緯を含め加筆してほしい。
●:行政規範と裁判規範で裁量性に違いがあるというのは、どのような論理構成なのか。行政規範は官民の関係を規律するもので、裁判規範は民民の関係を規律するものであるという前提に立てば、抽象的な行政規範を立てると事業者に萎縮的な効果があり、公権力による過度な規制になるということか。
〇:おそらくそういうことだと思う。
●:新30条5項は、民民の関係において、裁判上の請求権を明確にするものであり、裁判規範であるところ、「おそれがあるとき」などの解釈の幅がある規定ぶりでも良いのではないか。著作権法や特許法も同じような用例で、民事上の請求権を認めている。
〇:新30条5項が裁判規範だとしても、6項は勧告・命令の対象であり、行政規範でもある。「おそれがあるとき」という抽象的な要件で事業者は請求を受け、それを6項の規定に基づいて処理しないと、行政の勧告・命令の対象となる。その意味で、6項が行政規範としてある限り、事業者の萎縮効果がある。
●:事前の一般的抽象的な規範が、事業者に対して萎縮効果があるということなのかと思うが、新30条6項は、事前の一律の規範ではなく、個々の保有個人データの取扱いに対し、具体的な侵害のおそれがあったときに、その請求に応じなければ、委員会も権限を行使しうるという点で、新16条の2よりはゆるやかな規制だと思うが。
〇:新16条の2であっても、新30条6項であっても、要件が抽象的で事業者に萎縮効果があるという点では変わらない。
○:「正当な利益」については主観的であるとの指摘を受けた。ある個人にとっては気にしないようなことを、別の個人にとっては問題となるケースがあり、不明確である。
●:そもそも個人情報の取扱いというのは、精神的なものでもあり、個別具体的に判断せざるを得ない。
〇:また、この書きぶりで、DMの事例について対応できるのかは疑問を抱いていたようであった。それであれば、DMを送ってはいけないという行為規制の条項を新設して、その条項違反について30条1項に足すべきではないか。
○:いずれにしても、裁判規範でなく、行政規範なのであれば、違反となるものについての基準を明確に規定するべきであり、禁止する行為を具体的に列挙すべきとのことであった。部長の感覚としては、第16条の2の適正利用において禁止する行為を具体的に列挙し、同条違反について、第30条1項に追加する形だと思う。部長は適正な利用も利用停止等も趣旨は理解されているが、事業者が何を守ればよいのか分からない、個情委が執行を行う上で、禁止する行為の基準を設けるであれば、禁止する行為を具体的に正面から記載すべきだろう、記載できないのであれば、規範の明確性に欠けるものであり、執行できないものと考えている。
●:適正利用と利用停止では、想定している立法事実が異なり、適正利用の方が限られた事例であると思うが、その点はいかがか。
○:適正利用の立法事実と利用停止の立法事実の双方をとらえられる形で禁止する行為を具体的に列挙すればよいという話にしかならない。
●:不正競争防止法では、利益侵害のおそれがある場合に差止請求を認めている規定がある。そのような用例を引きつつ、裁判規範として新30条5項を残すことは可能か。
○:禁止する行為を具体的に列挙せずに、請求を認めている例があるのであれば、再度それで部長に当たることは可能だが、難しいとは思う。著作権法や不競法は民事上の裁判規範であり、個情法は行政規範という違いもある。
開示資料16237頁
その後、11月28日付で「説明資料」が更新され、条文案は以下のものに変更されている。
(不適正な利用の禁止)
第16条の2 個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれのある方法により個人情報を利用してはならない。開示資料3094頁
この条文は成案とほぼ同じで、この後で変更されたのは、「おそれの」が「おそれが」に修正された点だけである。
「説明資料」では以下のように説明されていた。なぜこのように変更されたかを示す記録は見つからない。
個人情報の保護に関する法律の一部を改正する法律案(仮称)
説明資料 令和元年11月28日
個人情報保護委員会事務局(略)
不適正な方法による個人情報の利用の禁止(新設)
I 改正の背景・趣旨
1 個人の権利利益が害されるおそれのある方法による個人情報の利用の実態
(略)
2 改正の必要性
上記の事例における個人情報の利用(提供を含む。以下同じ。)の態様は、いずれも、違法な行為や不当な行為を助長し、又は誘発するおそれがあるものであるといえる。
すなわち、事例①については、官報に掲載された破産者の個人情報を、本来の目的から逸脱した目的でデータベース化し、それを不特定多数の者が閲覧することのできる形で公表することは、当該個人情報に係る本人に対する差別等の違法又は不当な行為が誘発されるおそれを著しく高めるものと考えられる。
事例②については、違法な行為を営むことが疑われる者(違反業者)に個人情報を提供することは、本人に対する突然の連絡や接触により、平穏な生活を送る権利を侵害する等の違法又は不当な行為が助長されるおそれを著しく高めるものと考えられる。
こうした違法又は不当な行為が実際に行われた場合は、当然に、当該個人情報に係る本人の権利利益が侵害されることとなる。
したがって、こうした社会通念上、適正とは認め難い方法による、個人情報の利用を、個人情報取扱事業者に禁止する必要があるものと考えられる。
II 違法又は不当な行為を助長し、又は誘発するおそれのある方法による個人情報の利用の禁止の新設(新法第16条の2関係)
違法又は不当な行為を助長し、又は誘発するおそれがある方法により、個人情報を利用してはならないことを、個人情報取扱事業者に義務付ける。
ここで、「違法」とは、法令に違反することをいう一方で、「不当」とは、行為ないし状態が、実質的に妥当を欠くこと又は適当でないことをいい、違法であることを必要としない(「違法」に対する観念として用いられる場合には、単にその行為が道徳上非難されるべきというにとどまる場合等、法令の規定に違反しているとはいえないものの、その制度の目的からみて適当でないということを意味する。「不当」への該当性は、個々の場合について、社会通念に照らして、具体的に判定される。)(角田他「法令用語辞典第10次改訂版」)。
また、「助長」とは、ある傾向を更に著しくすることをいい、「誘発」とは、ある事柄が原因となり、それに誘い出されて他の事柄が起こることをいう(新村「広辞苑(第六版)」等)。よって、「違法又は不当な行為を助長する方法による個人情報の利用」とは、個人情報の利用が、直接に、既に存在する特定の違法又は不当な行為をさらに著しくすることを意味する一方で、「違法又は不当な行為を誘発する方法による個人情報の利用」とは、個人情報の利用が原因となって、違法又は不当な行為が新たに引き起こされることを意味する。
「違法又は不当な行為」の具体例としては、上記Iで取り上げたような、①本人が予測し得ない形で発生し、かつ、不特定多数の者によって引き起こされ得る本人に対する差別(民事上違法と評価され得る行為と考えられる。)や、②違法な行為を営む者等からの突然の接触による本人の平穏な生活を送る権利の侵害(複数の判例において認められている、いわゆる人格権や平穏安全な生活を営む権利等の侵害に当たると評価され得る不法行為と考えられる。)等が想定される。
なお、法第2条第7項に規定する「保有個人データ」の定義から除外される「その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの」として、同項の規定に基づく施行令第4条第2号において、「当該個人データの存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれがあるもの。」と規定されている。同号に該当する個人データの例としては、①暴力団等の反社会的勢力による不当要求の被害等を防止するために事業者が保有している、当該反社会的勢力に該当する人物を本人とする個人データや、②不審者や悪質なクレーマー等による不当要求の被害等を防止するために事業者が保有している、当該行為を行った者を本人とする個人データ等が想定されている。
この点、「おそれ」としているのは、利用によって具体的な支障の発生は将来生ずるものであることによるものであり、「おそれ」とは、物理的・確率的な可能性ではなく、社会通念による蓋然性の有無の判断によるものである。
III 不適正な方法による個人情報の利用の場合の利用停止等の請求(新法第30条第1項関係)
(略)
この点、新法第16条の2に規定する「違法又は不当な行為を助長し、又は誘発するおそれがある方法によ」る個人情報の利用については、個人の権利利益の侵害を発生させるおそれがあるために禁止されるものであることから、同条の規定に違反している場合についても、利用停止等を認めることとし、個人の権利利益の保護を図ることとするものである。
開示資料2732頁
この説明からすると、施行令4条(現在の5条)「保有個人データから除外されるもの」(開示等請求権からの除外)を列挙した2号「当該個人データの存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれがあるもの。」を参考にしたようである。
これは全く関係のない(趣旨に関連がない)ところからの借用のようだ。元の趣旨からは完全に離れてしまった。
これを検討した、第32-1回法制局参事官審査録では、以下のように記録されている。
2019/11/29 第32回-1法制局参事官審査録
日時:11月29日(金)19:30~22:30(略)
<適正利用及び利用停止等の要件の拡大について>
○:第16条の2の適正利用については、直罰の規定ではないので、ぎりぎり良いということとなった。まだ要件は広いが、まあしょうがないとのこと。
○:第30条の利用停止については、必要性については理解していただいた。しかし、要件がまだ広く、何でも該当してしまうのではないかという懸念を持っている。私から「現行法で第17条の適正な取得違反について利用停止等を認めているところ、それなりに広い要件ではないか」と反論したが、部長から「第17条については詐欺であったり欺罔であったりと明確だろう」と言われてしまった。
○:また、GDPRにおいても、個人データが収集された目的との関係で必要のないものとなっている場合等の限定がかかっているではないか、との指摘があった。やはり規定の不明確さについて懸念があるので、2つほど、「本人の権利又は正当な利益が害されるおそれがあるとき(場合)」の例示を条文に加えてほしいとのこと。第16条3項のように「生命、身体、財産その他の権利利益」というイメージかと伺ったところ、それでは広すぎると言われた。権利利益の例示ではなく、権利利益が侵害されるおそれがある場合の例示が必要。
○:規定ぶりとしては、「本人は、個人情報取扱事業者に対し、Aの場合、Bの場合、その他当該本人が識別される保有個人データの取扱いにより当該本人の権利又は正当な利益が害されるおそれがある場合は、当該保有個人データの利用停止等又は第三者への提供の停止を請求することができる。」という形ではないか。問題は例示としてどのような場合を規定するかである。ダイレクトメールの事案については、部長はあまり納得していなかった。30条でそもそもダイレクトメールが止まるのだろうかという問題意識。
●:第20条の安全管理措置違反のようなものとして、漏えいのおそれがある場合や、第19条の消去努力義務違反のようなものとして、個人データが不要となった後も保有し続けている場合等を規定するのはどうか。後者はGDPRにおいても規定がある。
○:その方向で条文を検討してほしい。説明資料にも追記すること。
○:また、第30条については、民事訴訟と行政訴訟で判断が分かれる可能性があることについて部長から少しコメントがあった。同一の規定に関する訴訟であるのに判断が分かれることについて、少し気にしているようである。次回の資料には記載する必要はないが、平成27年改正時の整理等を確認できればしておいてほしい。
開示資料16253頁
このようにして、利用停止についても、大元の趣旨(プロファイリングの拒否)からは違うものとなった。*5
概ねこの「説明資料」に基づいて「大綱」(12月13日)が公表され、1月14日までの期限でパブコメにかけられた。
次にコメントが出たのは、1月23日の法制局参事官審査録(もはや第何回なのか書かれていない)である。
2020/1/23 法制局参事官審査録(部長デブリ)
日時:1月23日(木)20:30~22:50(略)
<不適正な利用の禁止・利用停止等>
○:第16条の2について、不当な行為とはどのような行為なのかを個情委は判断できるのか。どこからが個情委が対応すべき不当な行為として線を引くのか、と指摘されている。
○:個情法の政令で言い回しはある、と説明したが、政令作成当時、不当な行為とはどのようなものをイメージしていたのか。
●:説明資料(P.28)の「①暴力団当の反社会的勢力による不当要求の被害・・・・②不審者や悪質なクレーマー等による不当要求の被害等を防止するため・・・」としているようなものを念頭にしている。
○:不当要件はどのようなものか。
○:暴対法違反は不当になるだろうが、クレーマーについてはどのように対応するつもりなのか。
○:暴力団員が法律に違反していないが、圧力をかけてきた場合、それは暴力団員であるということをもって平穏な生活を害されるおそれがあると考えられ不当と言えるだろう。
○:悪質なクレーマーの場合、業務妨害となるような場合、それは法律の違反であったり、民事上の裁判をおこすべきものではないのか。
○:そもそも「第30条第5項について、安定的に運用できるのか。個情委は権利利益の侵害の該当性判断をすることができるのか。裁判所が判断するといっても、個情委が勧告・命令を行うのであれば個情委が判断する必要があるだろう。」との指摘があった。
○:第30条第5項は権利利益の侵害なので、不法行為の範囲内ではあるが、第16条の2は「不当な行為」とあるので、第30条第5項以上に曖昧。違法とまではいえないが、「不当な行為」とは何を指すのか。
○:また、プロファイリングについて公表事項とし、それについて、個人が気持ち悪さを感じたとしたら、それは権利利益の侵害があるとして、利用停止の対象となるのか。部長は、もともと線引きが曖昧な利用停止が、プロファイリングの問題の曖昧さと組み合わさることで、さらに曖昧になり客観的な判断が困難になることを危惧しているようである。
○:権利利益の侵害に該当するものについて、ガイドラインにどのように記載するか等について、説明資料に追記してほしい。
○;部長が、「長官が第30条について、疑義を覚え始めている。」といっていた。
開示資料16358頁
これを受けて、1月27日付の「説明資料」が以下のように加筆されている。(下線部が変更点)
II 違法又は不当な行為を助長し、又は誘発するおそれのある方法による個人情報の利用の禁止の新設(新法第16条の2関係)
違法又は不当な行為を助長し、又は誘発するおそれがある方法により、個人情報を利用してはならないことを、個人情報取扱事業者に義務付ける。
ここで、「違法」とは、(略)
また、「助長」とは、(略)
「違法又は不当な行為を助長し、又は誘発するおそれがある方法により、個人情報を利用してはならない」との規定に違反するものと考えられる例として、以下のような事例をガイドラインにおいて示すことを予定している。
① 裁判所による公告等により散在的に公開されている個人情報を、それが公開されている目的とは乖離した目的をもって集約し、当該個人情報に係る本人に対する差別(民事上違法と評価され得る行為と考えられる。)が、不特定多数の者によって、当該本人の予測し得ない形で誘発されるおそれがあることが十分に予見できるにもかかわらず、当該集約した情報について特定の個人情報を検索することができるように体系的に構成したものをインターネット上で公開すること。
② 違法な行為を営むことが疑われる者(違反業者)からの突然の接触によって、本人の平穏な生活を送る権利の侵害(複数の判例において認められている、いわゆる人格権や平穏安全な生活を営む権利等の侵害に当たると評価され得る不法行為と考えられる。)等当該違反業者による違法な行為を助長するおそれが想定されるにもかかわらず、当該違反業者に当該本人の個人情報を提供すること。
③ 暴力団員により行われる暴力的要求行為等不当な行為(暴力団員による不当な行為の防止等に関する法律(平成3年法律第77号)第14条第1項に規定する不当要求をいい、同法第9条の規定により禁止される暴力的要求行為(「違法な行為」)に限定されない。)や総会屋による不当な要求を助長し、又は誘発するおそれが十分に予見できるにもかかわらず、事業者間で共有している暴カ団員等に該当する人物を本人とする個人情報や、不当要求による事業者及び使用人等の被害を防止するために必要な業務を行う各事業者の責任者の名簿等を、みだりに開示し、又は暴力団等に対しその存在を明らかにすること。
なお、法第2条第7項に規定する「保有個人データ」の定義から除外される「その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの」として、同項の規定に基づく施行令第4条第2号において、「当該個人データの存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれがあるもの。」と規定されている。同号に該当する個人データの例としては、①暴力団等の反社会的勢力による不当要求の被害等を防止するために事業者が保有している、当該反社会的勢力に該当する人物を本人とする個人データや、②不審者や悪質なクレーマー等による不当要求の被害等を防止するために事業者が保有している、当該行為を行った者を本人とする個人データ等が想定されている。
この点、「おそれ」としているのは、利用によって具体的な支障の発生は将来生ずるものであることによるものであり、「おそれ」とは、物理的・確率的な可能性ではなく、社会通念による蓋然性の有無の判断によるものである。
III 不適正な方法による個人情報の利用の場合の利用停止等の請求(新法第30条第1項関係)
(略)
開示資料9728頁
これに対し、同日の法制局参事官審査録で、以下のように指摘されている。
2020/1/27 法制局参事官審査録69(部長投げ込み準備)
日時:1月27日(月)21:20~23:30(略)
<不適正な方法による個人情報の利用の禁止>
○:不当要件のガイドライン規定例として暴対法を引用しているが、参照条文として説明資料中にも引用してほしい。
〇:個情法施行令の制定時にも暴対法の不当要求の規定を引いて整理されていたのか。
●:暴力団や総会屋による不当要求が想定されていたが、暴対法の規定までは引かれていなかった。前回の御指摘(「不当な行為」は暴対法の不当要求ぐらい限定的に該当性が判断されると説明するのではないか)を踏まえて追記したもの。
〇:説明資料中「第14条『第1項』に規定する」としてほしい。
開示資料16366頁
もはや元の趣旨からは掛け離れた暴対法の話がなされている。
これが最後のコメントだったようである。
以上のように、元々は、プロファイリング規制を入れようとして、利用停止請求権で拒否できるように構想されたものの、中間整理では正面からそのようには書けず、ステルスに検討を進めてみたものの、プライバシーポリシーやら体制整備やらで「ふわっと」した形でなんとなくの自主規制っぽいものを作ろうとしたが、法制局がそれを許さなかった。法制局は、それを許さない代わりに、禁止規定を設けることを促し、その結果、要件が曖昧な「不適正利用禁止」の規定が作られ、作られるとその要件が曖昧だと指摘されて、要件が「開示等請求権からの除外」からの借用という、元の趣旨とは関係ないものに変更され、暴力団や総会屋に注目されることになってしまった。
実に愚かな展開だ。法制局も何を実現するべきなのかわかっておらず、それは仕方がないとしても、個情委事務局はそれを押し返すだけの力量がなく、法制局の指示に流されてしまった。
それもやむを得ない面はある。当時はまだ誰も、保護されるべき「個人の権利利益」の中核的利益が「データによる個人に対する決定の適切性確保」(とその予防的規制)にあり、「適切性」の最大の要件がOECD第2原則の「関連性」の原則にあることを把握できていなかった。プロファイリングを規制する必要があるといっても、良いプロファイリングと悪いプロファイリングの区別方法が誰にもわかっていなかったのだから、仕方がない。
このようにして、意に反して副産物的に作られてしまった「不適正利用禁止」が、今、再び、その範囲の拡大をすべく検討されているのである。
*1 個人情報保護委員会に対して文書名「「個人情報の保護に関する法律等の一部を改正する法律案」(令和2年)の作成にあたり内閣法制局へ提出した資料及び内閣法制局における審議の議事録(用例集及び参照条文を除く)」で開示請求して開示された電子ファイルのファイル名「01 内閣法制局へ提出した資料」(頁番号1〜16036)及び「02 内閣法制局における審議の議事録」(頁番号16037〜16389)、以下「開示資料」という。
*2 この記事の後、耳にしたところでは、これが削除されたのは、そもそもそれ自体が違法だからという話だった。職業安定法違反ということだろうか?
*3 リクナビ事件への個情委の1回目の勧告は、旧スキーム(リクナビ側で氏名を使わず、cookie中のIDとアンケートURL中のIDを用いて採用企業側で氏名と突合していた)を不問に付し、新スキームについても安全管理措置の問題としていた。「世界」で主張したことは、法目的の観点からすれば当然に旧スキームも対象であることがわかるはずであり、また、昭和63年法立案時の部内資料(行政管理庁の警察庁・環境庁との覚書)からすれば、「容易に照合することができ」は、「個人情報と他の情報がオンラインで結ばれている場合」も含まれるものとして解釈することが確認されており、旧スキームでも当然に、リクナビ側で個人データに該当するのだということである。今日では、リクナビ事案の旧スキームは、令和2年改正で新設された「個人関連情報」でカバーされるようになったと考えられているが、個人関連情報の規定は、リクナビ事案が元で立案されたわけではなく、それより前から予定されていたものである。元となった立法事実は、DMPが資生堂に提供しているデータが資生堂側で氏名等と突合されていた事案を読売新聞2019年3月20日朝刊が「端末の識別情報 規制なし 閲覧履歴 知らずに拡散 顧客情報と紐付け 企業が利用」と報じていた(その前の2019年2月15日付情報通信政策研究2巻2号の若江ほか論文も同旨)が発端であった。個人関連情報に相当する規定の立案は、リクナビ事件が発覚する前の中間報告の時点で既に「提供元では必ずしも個人情報でない場合であっても、提供先で照合可能な情報が保有され……」として組み込まれていた。それゆえに、旧スキームについて個人データ提供に該当するとは判断し難かったのであろう。しかし、開示資料によると、2019年10月17日の審査録で、個人関連情報の素案となった「端末識別素子等を取得する際の個人情報取扱事業者に対する義務の創設」の検討において、法制局参事官は、「照合できるということは、個人を識別できるということであり、そうであれば個人情報に該当するのではないか。提供先において名寄せができるのであれば、識別性は失われていないのでは。提供元が提供先に問い合わせれば特定の個人を識別できるのであれば、容易照合性があるのではないか。」(16146頁)と述べており、「行政管理庁の警察庁・環境庁との覚書」と同様の解釈を示している。これに対し個情委担当者は、「現行法の解釈の話になるが、他の事業者に問い合わせる必要がある場合まで容易照合性があるものとは解されないと考えられる。」と答えているが、これは、「他の事業者に問い合わせる」の意味が、経常的な処理として行われる場合と個別的な問い合わせを要する場合とを区別できておらず、この件では前者に当たるのに後者の意味で否定してしまっている。法制局参事官は「容易照合性は可変的な概念であるのだから、解釈変更をすれば良い話ではないかと思うが。政令を改正して個人識別符号に含むこととするか、解釈変更で提供元における容易照合性を否定しないこととすればよいのではないかと思う。」と言い返している。後者の方向性は「世界」での指摘と一致している。結局は個人関連情報を新設することになったが、それでも、個人関連情報の規定を新設する趣旨は、「法23条の規定の趣旨を潜脱するスキームが横行しつつある」(大綱24頁)ことから容易照合性の解釈を「法文上明確化するもの」(開示資料647頁)というものであった。
*4 2番目の事案が記載されていたようだが、不開示になっている。リクナビ事案のことと推察されるところ、他のところではリクナビ事案が記載されたまま開示されていることから、何らかの我々の知らない未公表の事案が存在していて、不開示になっているのかもしれないとも考えられるが、別のバージョン(開示資料899頁)(もっと長く書かれているバージョン)では、「(1)破産者マップ事案」「(2)リクナビ事案」となっていて、リクナビ事案の説明文の後半だけ不開示になっているので、やはりこれはリクナビ事案のことと思われる。
*5 もっとも、どのようなプロファイリングが拒否に値するかが当時は誰にもわかっていなかった(要配慮個人情報を生成することだけではない点、自動決定だけではない点に注意)ので、やむを得ない結果であろう。
昨日の日記「「不適正利用禁止」規定は立案段階で内閣法制局にどう捻じ曲げられたか」だが、おそらく「長すぎて読めない」という声が多そうなので、Claude 3に原稿を読ませて簡単に解説してもらった。これで興味が湧いたら原文を見てほしい。
主な内容は以下の通りです:
この記事は、法改正の過程を詳細に追跡し、立法者の意図と実際の法文の乖離を明らかにしている点で非常に興味深い内容となっています。
この過程を通じて、当初のプロファイリング対策という具体的な目的から、より一般的で抽象的な規定へと変化していったことが分かります。
当初、プロファイリングや新技術への対応という目的があったにもかかわらず、その目的を法文に明確に反映させることができなかった。これは、技術の進歩に対する法的対応の難しさを示しています。
法の目的である「個人の権利利益の保護」が何を意味するのか、具体的に説明できなかった。これにより、規制の対象や範囲が不明確になってしまいました。
個人情報保護委員会事務局と内閣法制局の間で、規範の明確性や予見可能性に関する認識に差があった。法制局は具体的で明確な規定を求めたが、事務局はそれに応えられなかった。
新しい問題に対処するために、既存の法概念(「違法又は不当な行為」など)を流用したことで、本来の目的から乖離してしまった。
リクナビ事件などの具体的事例を立法事実として適切に活用できなかった。また、破産者マップ事件など、本来の目的(プロファイリング対策)とは異なる事例を取り上げたことで、焦点がぼやけてしまった。
プロファイリングや新技術に関する深い理解が不足していたため、それらを適切に規制する文言を作成できなかった。
法改正のスケジュールに追われ、十分な検討や議論の時間を確保できなかった可能性がある。
当初の構想にこだわりすぎて、法制局からの指摘に対して柔軟に対応できなかった面がある。
GDPRなど、海外の先進的な個人情報保護法制を十分に参考にできなかった。
規定の抽象性が高まったことで、実際の執行において困難が予想される規定になってしまった。
これらの要因が複合的に作用し、当初の目的を達成できない、解釈の幅が広く執行基準が不明確な規定になってしまったと考えられます。今後の法改正では、これらの点を教訓として、より明確で効果的な規定を作成することが求められるでしょう。
ブログでは、令和2年改正で導入された不適正利用禁止規定(第19条)が、当初の意図とは異なる形で成立したことを詳細に説明しています。当初はプロファイリングなどの新技術に対応するための「適正な利用」義務を新設しようとしていましたが、内閣法制局との審査過程で変更を余儀なくされ、最終的に現在の抽象的な規定になりました。
意見書では、この不適正利用禁止規定の問題点を指摘しています。特に以下の点が重要です:
a. 法目的の理解不足: データ保護の核心的利益である「個人データ処理による個人に対する評価・決定の適切性確保」という観点が欠けていることを指摘しています。
b. 関連性の原則の欠如: 評価・決定に用いるデータ項目が決定の目的と関連性を持つべきという「関連性の原則」が日本法に取り入れられていないことを問題視しています。
c. 過剰規制:現在の規定が、個人情報データベース等を構成することを予定していない個人情報(散在情報)に対しても適用される可能性があり、これを過剰規制だと指摘しています。
意見書では、不適正利用禁止の範囲を拡大するのではなく、むしろ規制の対象を「個人データ」に限定し、データ保護の本来の目的に沿った形に改めるべきだと主張しています。
ブログの調査結果を踏まえ、意見書では、経済界の要望を実現するためには、目的内提供の制限緩和、統計量への集計に際しての第三者提供制限の緩和、要配慮個人情報の取得制限の緩和などが必要だとしています。同時に、これらの緩和を可能にするための「不足する規制」(例:利用目的拘束、基本原則の導入)の必要性も指摘しています。
これらの点から、現在の不適正利用禁止規定の拡大ではなく、データ保護の本質に立ち返った法改正が必要だという主張が、ブログの調査内容と意見書の両方で一貫して示されていることがわかります。
令和2年改正で導入された「不適正利用禁止」規定は、当初の立案意図(プロファイリングなどの新技術への対応)から大きく乖離した形で成立しました。
内閣法制局との審査過程で、具体的な規制から抽象的な禁止規定へと変化しました。
この過程で、データ保護法の本来の目的である「個人データ処理による個人に対する評価・決定の適切性確保」という視点が失われました。
現在の個人情報保護委員会事務局が、この成立過程や本来の意図を十分に理解せずに、抽象的になった規定を拡大解釈しようとしています。
結果として、個人データだけでなく散在情報にまで規制を広げるなど、過剰な規制につながる可能性があります。
プロファイリングや新技術への対応という本来の課題に適切に対処できていない状況が続いています。
つまり、「不適正利用禁止」規定の成立過程での変質が、現在の個人情報保護委員会事務局の理解を誤らせ、本来のデータ保護法の目的や課題に適切に対応できていない状況を生み出しているということを指摘しているのです。この誤った理解に基づいて法改正が進められると、さらなる問題を生じさせる可能性があるという警告でもあります。
意見書の主張については、7月7日の日記「個人情報保護法第2期「3年ごと見直し」が佳境に差し掛かっている」で。
上のは、誤ってClaude 3.5 Sonnet(現在のデフォルト)でやってしまった。この種の会話にはClaude 3 Opusの方が有能なのだ。Claude 3 Opusでやり直したのが以下。こちらの方が読みやすいのではないか。
令和2年改正個人情報保護法の審議過程で、当初個人情報保護委員会事務局が立案していた「適正な利用義務」の規定が、最終的に内閣法制局の審査を経る中で「不適正利用の禁止」規定へと変容していった経緯を、情報公開請求で入手した審議資料を基に詳述しています。
事務局側は当初、リクナビ事件などを念頭に、「個人データ」の不適正利用を禁止し、適正利用のための体制整備を義務付ける構想を持っていましたが、法制局から「何が不正か不明確」「禁止行為を具体的に列挙すべき」などと指摘を受け、最終的に「個人情報」の「違法又は不当な行為を助長し、又は誘発するおそれがある方法」による利用を禁止する現在の規定内容へと変更されていきました。
このように法制局とのやり取りの中で、規定の対象が「個人データ」から「個人情報」へ、禁止対象が「不適正利用」から「違法・不当な行為の助長・誘発」へと変化し、当初想定していたプロファイリングなどの規制からは乖離した内容になってしまった経緯が丁寧に説明されています。法の趣旨や規定の解釈を考える上で重要な論点が提示されていると思います。
以上のように、当初は個人データの不適正利用の禁止とプロファイリング規制を想定していたものの、法制局審査を経る中で、個人情報一般を対象とした違法・不当行為の助長・誘発の禁止へと規定内容が大きく変化していったことがわかります。
事務局は当初の構想の正当性や必要性を法制局に十分に説明できておらず、法制局の指摘に翻弄されて当初の趣旨から外れた条文になってしまった印象があります。法制局を説得するだけの論拠と覚悟が足りなかったのかもしれません。
事務局は当初から「適正利用」の定義を明確にしておらず、「不適正利用」の線引きも曖昧だったため、法制局から「何が不正か不明確」と批判されました。リクナビ事件を念頭に置いていたようですが、それだけでは説得力に欠けたのだと思います。
事務局はプロファイリングによる不利益を防ぐことを念頭に置いていたようですが、そもそもどのようなプロファイリングが規制に値するのかの整理が不十分だったため、法制局を説得できなかったのだと推測されます。
法制局は当初から事務局案に批判的で、あまり建設的な議論をしている様子がうかがえません。柔軟な対応があれば、事務局の趣旨を汲んだ形で条文化できた可能性もあるように思います。
パブリックコメントを実質的に反映できない時期に設定するなど、拙速なスケジュールで法改正を進めた結果、十分な議論ができなかったのかもしれません。
いずれにしても、法の趣旨を実現するために規定を作るというよりは、法制局の指摘に引きずられて場当たり的に修正を重ねた結果、当初の目的を達成できない規定になってしまったことは確かだと思います。個人情報保護委員会にはより強い理念と専門性が求められるのではないでしょうか。
以上のように、ブログ原稿で明らかにされた「不適正利用禁止」規定の変遷の問題点は、意見書の主張の背景にあり、両者は密接に関連していると言えます。意見書は、この規定の変遷によって生じた問題点を踏まえ、個人情報保護法の改正の方向性について具体的な提言を行っていると理解できます。
そして、「それが、今回見直しでの個情委事務局の理解を誤らせているのである。」というのは、以下のことを指していると思われます。
令和2年改正の過程で、「不適正利用禁止」規定が当初の個人情報保護委員会事務局の想定(プロファイリングなどの規制)から乖離した内容になってしまったにもかかわらず、その経緯や背景が十分に認識・整理されないまま、現在の第2期「3年ごと見直し」の検討が進められている。
その結果、個人情報保護委員会事務局は、本来の趣旨から外れた現行の「不適正利用禁止」規定を出発点として、その範囲をさらに拡大する方向で検討を進めてしまっている。
つまり、令和2年改正の立案過程で「不適正利用禁止」規定の趣旨がブレてしまったことが、今回の見直しにおける個人情報保護委員会事務局の理解を誤った方向に導いている、ということを指摘しているのだと理解できます。
意見書全体の主張は、この点を踏まえて、「不適正利用禁止」規定の範囲拡大ではなく、そもそも規定の対象を「個人データ」に限定し直すなど、法の本来の趣旨に立ち返った見直しが必要だというものだと言えます。