個人情報保護委員会の3年ごと見直しの検討は既に昨年11月の時点から始まっており、事務局が示す方向性も3月の時点で公表されていたが、とくに表立って何も言わなかったのは、意見は公式に言うつもりだったからだ。しかし、前回(5年前)は4月に中間整理が公表され5月にヒアリングに呼ばれたのに、今年はトラブルがあったようで中間整理が出てこないし、何の連絡も来ないので、はたして呼ばれるのだろうか?呼ばれない可能性の要因もいくつか考えられるよな?と戦々恐々としていたのだったが、突如お呼び出しがあり、6月12日の委員会で意見表明の機会をいただき、無事にお話ししてきた。
いつもだとスライドを資料とするのだが、スライドでは真意が伝わりそうにないと考え、今回は頑張って文章にした意見書を書いて資料とすることにした。なにぶん2週間前に依頼があり、資料提出期限まで8営業日しかなかったので、12頁目まではがっつり書いた(いつも1日に1頁しか進まない)ものの、後ろの5頁は突貫で1日で済ませたので不完全な内容となっているが、どうにか言うべきことは書き切った。以下で公表されている。
そして、その2週間後、中間整理が6月27日に発表され、パブコメ募集が開始されている。
月末には中間整理が出るとのことだったので、2週間で中間整理だなんて、言ったことを反映できるわけもないよなと思っていたら、やはりほとんど反映されていないというか、4月の時点の事務局整理と大して違わないものが出てきた。
この状況をどう見るかだが、背景には色々ある。まあ、多くは語るまい。いずれにせよ、前回(5年前)もまあこんなもんだったとも言える。前回は、4月に中間整理が出て、かなりおかしい方向性も示されていたのだったが、5月のヒアリングで述べた意見がいくつか通り、おかしかったところは撤回されている。つまり、中間整理後にけっこう変更されたのだ。そのことからすると今回も変更の余地があると考えられるのだが、2か月遅れで進行している(前回はパブコメ期限が5月27日だった)ところに難がある。それからもう一つ難があったのだが、多くは語るまい。
というわけで、パブコメ募集期間の今、JILISで緊急シンポジウムを企画した。有識者ヒアリングの8名全員にお声がけをしたのだったが、なにぶん急だったので残念ながら3人だけの登壇となった。マスコミの方々にはぜひご来場いただきたい。
私からは、上記の意見書の内容を解説するつもりだ。しかしまあ、この意見書、読めばわかるように書いたつもりだったのに、どういうわけかネット上では全く反応がない(役所の方などからは絶賛の声も頂くのだが)。難解だっただろうか?
もう理解してくれるのは生成AIだけだよな、というわけで、今回もClaude 3 Opusに解説してもらった。これならば一般の人々にもご理解いただけるのではないかしら?
以上が、提出された意見書の主要な内容になります。個人情報保護法の課題と改正の方向性について、法目的に立ち返った検討を行っています。
以上のように、意見書の主張の一部は中間整理に反映されていますが、意見書で示された具体的な提案のほとんどは中間整理には盛り込まれていないと言えます。中間整理は検討の方向性を示したものであり、今後の議論次第では意見書の指摘がさらに反映される可能性はあると思われます。
この記述から、今後事業者の意見も聞きながら実態を踏まえて検討を進めることが示唆されており、その過程で意見書の指摘が反映される余地があると考えられます。
この記述は、意見書で指摘されていた目的内提供の制限や統計量への集計に際しての第三者提供制限の見直しに関連するものと考えられ、今後の検討次第では意見書の指摘が反映される可能性があります。
この記述から、今後ステークホルダーとの継続的な議論を通じて、個人情報保護政策の方向性やガイドラインの見直しが検討されることが示唆されており、その過程で意見書の指摘が反映される可能性があります。
以上の記述から、中間整理は検討の方向性を示したものであり、今後の議論次第では意見書の指摘がさらに反映される余地があることが読み取れます。
これらは、意見書で指摘されていた論点に関連する重要な議論と言えます。特に生成AIへの規制や関連性の原則、個人データへの統一などは、今後の法改正議論で焦点となりそうな論点と考えられます。
意見書では、経済界の要望を実現するには大掛かりな改正が必要で、法制執務上の検討を十分に重ねる必要があるとして、法案提出を再来年とし、1年かけて十分な議論をすることを提案しています。これは、拙速な法改正を避け、十分な議論を求める重要な指摘と言えます。
意見書では、EU法の基本原則である「関連性の原則」と「正確性の原則」を日本の個人情報保護法に導入すべきと繰り返し主張しています。これらの原則は、個人データの利用目的との関連性と、個人の評価・決定の正確性を担保するために不可欠であり、日本の法制度の根幹に関わる重要な指摘と考えられます。
これらの言及は、中間整理では直接言及されていませんが、意見書では個人情報保護法の目的に立ち返った本質的な議論を提起しているものであり、今後の議論で重視されるべき論点と言えるでしょう。特に関連性の原則と正確性の原則は、AI時代の個人情報保護を考える上で避けて通れない論点になると考えられます。
意見書では、「このような例外を設けたことは本末転倒である」「我々は平成27年改正時の施行令(案)へのパブリックコメントで、「目視による取得は要配慮個人情報の取得制限から除外するべきではない」とする意見を提出し、続く同ガイドライン(案)のパブリックコメントで、「店員が目視により認識した「身体障害者である」との事実を、差別的に対応するために記録し、その後の対応を差別的なものとする行為は、この法により制限されないということか。そうだとすれば、何のための要配慮個人情報の規定なのか。」と疑問視する意見を提出している」と、強い語調で例外規定の問題点を指摘しています。
意見書では、「今回の3年ごと見直しでも、個人情報保護委員会事務局が用意した検討資料には、このことが忘れられていると思われる記載が多数ある」とした上で、「個人情報保護法を気に入らない者を懲らしめる道具と化してはならない」と強い口調で、事務局の検討資料の問題点を指摘しています。
これらの部分では、問題点について強い危機感を持って指摘していることが伺えます。特に要配慮個人情報の取得制限の例外規定については、改正時から一貫して問題視してきたことが強調されています。また、事務局の検討資料についても、個人情報保護法の目的を踏まえない議論になっていることへの強い懸念が表明されていると言えます。
意見書によれば、令和6年3月6日付の検討資料において、事務局が「個人情報の取扱いの適正性に関連する主な裁判例」として挙げている事例の多くが、実際には個人データでない個人情報(散在情報)の事例になっているとのことです。
特に、東京地判令和2年1月20日の事例(判断能力が低下した高齢者に対する不当な勧誘行為が不法行為に当たるとされた事例)は個人データの話ではないにもかかわらず、検討資料ではあたかも個人データに関する不適正利用の事例であるかのように扱われていると指摘しています。
そして、「あらゆる取引には必然的に相手方の氏名を伴うが、そのことをもって個人情報保護法に絡め、あらゆる不法行為を個人情報保護法上の「不適正利用」に当てはめて規律しようとするのは、法の趣旨の逸脱である」「個人情報保護法を気に入らない者を懲らしめる道具と化してはならない」と強い言葉で警鐘を鳴らしています。
さらに、個人関連情報に関する検討資料の該当箇所でも、やはり個人データに該当しない事例が挙げられていることを問題視しています。
このように、意見書では、事務局の検討資料が散在情報たる個人情報まで規制対象とすることを問題視し、そのような法解釈は個人情報保護法制定時の立法趣旨から逸脱しているという認識を示していると言えます。この点について、意見書の筆者は強い危機感を抱いており、法の目的に立ち返った議論を求めているものと考えられます。
中間整理の15ページでは、「個人情報取扱事業者と本人との関係によっては、本人にそのような選択を行うことが期待できない場合があり得る。そのため、こうした場合において、本人との関係に照らして当然認められるべき利用目的以外の利用目的で個人情報を取得・利用することや、当然認められるべき利用目的の達成に真に必要な範囲を越えて個人情報を取得・利用すること等について、不正取得や不適正利用等の規律をどのように適用すべきか、継続的に検討する必要がある」との記載があります。
この記述は、個人情報の不適正利用等の規律について言及していますが、ここでも規律の対象を「個人情報」としており、意見書が主張するように「個人データ」に限定する方向性は見られません。
また、中間整理の16ページでは、「個人関連情報」についても、プライバシー侵害のリスクがある場合には規律の対象とすべきとの方向性が示されていますが、ここでも「個人データ」との関係には言及がありません。
したがって、中間整理では、意見書が強く主張していた「個人データへの統一」の方向性は明示的には盛り込まれていないと言えます。ただし、中間整理は検討の方向性を示したものであるため、パブリックコメント等を経て、最終的な取りまとめではこの点についても一定の言及がなされる可能性はあると考えられます。
「個人関連情報については、事業者が、電話番号、メールアドレス、Cookie IDなど、個人に対する連絡が可能な情報を有している場合には、個人関連情報の取扱いによりプライバシーなどの個人の権利利益が侵害される蓋然性が認められ、その侵害の程度・蓋然性は、事業者による利用の方法によっては、個人情報と同様に深刻なものになり得ると考えられる。そのため、このような場合について、不正取得や不適正利用等への対応の在り方を検討する必要がある。」
この記述から、以下のような方向性が読み取れます。
しかし、意見書の指摘とは異なり、ここでも「個人データ」との関係には直接言及がありません。意見書では、個人関連情報を規律の対象とする場合であっても、「個人関連情報データベース等を構成するもの」に限定すべきと主張していますが、中間整理ではそこまで踏み込んだ記述は見られません。
ただし、中間整理は検討の方向性を示したものであるため、今後の議論次第では、意見書の指摘も一定程度反映される可能性はあると考えられます。特に、個人関連情報の取扱いについては、事業者の実態等も踏まえつつ、慎重な議論が必要とされるでしょう。
さらに、これらの事例とは別に、「その他関連する国内の事例として、電話番号を用いて、宅配便事業者や通信事業者になりすましたSMSによりメッセージを送信し、不正アプリのダウンロード等を行わせるものがある。」とも述べられています。
これらの事例は、いずれも電話番号やメールアドレス等の個人に対する連絡が可能な情報が関わっているという共通点があります。中間整理では、このような情報を含む個人関連情報の取扱いによって、プライバシーなどの個人の権利利益が侵害されるリスクがあることを示唆しています。
ただし、これらの事例は、意見書で指摘されていたような「個人関連情報データベース等を構成するもの」に限定されたものではありません。中間整理では、より広範な個人関連情報の取扱いを念頭に置いた議論が展開されていると言えます。
意見書では、個人情報保護法の主たる目的は、個人データの処理によって行われる個人の評価や意思決定の適切性を確保することにあると述べられています。つまり、個人データが不適切に利用されることで、個人に対する不当な差別や不利益が生じることを防ぐことが法の目的だという理解です。
しかし、中間整理で挙げられた事例、特にインターネット掲示板への携帯電話番号の投稿や、なりすましSMSによる不正アプリのダウンロード誘導などは、個人の評価や意思決定とは直接関係のない問題です。これらは、むしろ古典的なプライバシー侵害、すなわち個人情報の不正な公開や悪用の問題と言えます。
他方、SNS事業者がターゲティング広告に電話番号等を利用した事例は、個人の行動履歴等に基づく評価や意思決定に関わる問題であり、意見書の指摘する法目的との関連性が比較的高いと言えるかもしれません。
ただし、意見書では、個人情報保護法の規律対象は、あくまで「個人データ」、すなわち個人情報データベース等を構成する個人情報に限定されるべきだと主張されています。この観点からすれば、単発的な個人情報の不正利用は、たとえそれがプライバシー侵害に当たるとしても、個人情報保護法の規律対象とはならないはずです。
したがって、中間整理で挙げられた事例は、意見書の筆者が考える個人情報保護法の目的とは、若干の距離があると言わざるを得ません。もちろん、これらの事例で示された問題が重要でないというわけではありませんが、それらを個人情報保護法で対処すべき問題と位置づけるためには、意見書の指摘を踏まえたさらなる理論的な検討が必要だと思われます。
意見書で強調されているように、個人情報保護法の主たる目的は、個人データの処理に伴う個人の権利利益の保護、特に個人に対する評価・決定の適切性の確保にあります。しかし、不正アプリのダウンロード誘導は、個人データの処理や個人の評価・決定とは直接関係がありません。
確かに、この事例では個人の電話番号が悪用されているという点で、プライバシー侵害の問題は存在します。しかし、それは個人情報の不正利用という一般的な問題であって、個人情報保護法が特に念頭に置いている個人データの処理に伴う問題とは言えません。
むしろ、このような事例は、不正アクセス禁止法や刑法上の詐欺罪など、他の法律で対処すべき問題と考えられます。個人情報保護法は、あくまで個人データの適正な取扱いを確保するための法律であって、あらゆる個人情報の不正利用を対象とするものではありません。
したがって、中間整理がこのような事例を個人関連情報の問題として取り上げていることは、意見書の指摘を踏まえると、法の目的との関係で疑問が残ります。個人情報保護法の規律対象をどこまで広げるべきかについては、より慎重な検討が必要だと思われます。
プライバシー侵害というのは、一般に、個人の私生活上の事柄が、本人の意思に反して不特定多数に公開されたり、本人が予期しない形で利用されたりすることを指します。しかし、この事例で問題となっているのは、個人の私生活上の情報の暴露や利用ではありません。
この事例で悪用されているのは、個人の電話番号という連絡先情報です。しかし、電話番号は、本来、他者との通信のために使われる情報であって、私生活上の秘匿性の高い情報とは言えません。
もちろん、本人の意思に反して電話番号が利用されるのは問題ですが、それは「プライバシー侵害」というよりは、「電気通信サービスの不正利用」や「なりすまし」の問題と捉えるのが適切でしょう。
意見書の指摘を踏まえると、個人情報保護法は、私生活上の秘匿性の高い情報を含む個人データの適正な取扱いを確保することに主眼があると理解されます。その観点からすれば、単なる電話番号の悪用は、個人情報保護法が対処すべき問題とは言い難いように思われます。
むしろ、このような問題は、電気通信事業法や不正アクセス禁止法など、個人情報保護法以外の法律で対処することが適切だと考えられます。中間整理がこの種の事例を個人情報保護の問題として取り上げていることは、法の目的や守備範囲についての理解において、意見書の立場とは異なる姿勢が表れていると言えそうです。
意見書では、個人情報保護法の主たる目的は、個人データの処理による個人の権利利益の保護であって、個人情報一般の保護ではないと強調されています。しかし、筆者が懸念しているのは、この法の目的が正しく理解されず、個人情報に関連するあらゆる問題を個人情報保護法の規律対象とみなす傾向があることです。
例えば、意見書で取り上げられている事務局の検討資料では、判断能力の低下した高齢者に対する不当な勧誘行為など、個人データの不適正な取扱いとは直接関係のない事例が、個人情報保護法の問題として扱われています。
筆者は、このような傾向が続けば、個人情報保護法が本来の目的を超えて拡大解釈され、単に「気に入らない者」、すなわち、個人情報とは無関係の理由で問題視される者を規制するための道具として用いられかねないと懸念しているのです。
「懲らしめる」という強い言葉が使われているのは、そのような法の拡大解釈が、事業者に対する不当な制裁につながる可能性を指摘するためだと思われます。個人データの不適正な取扱い以外の問題まで、個人情報保護法違反として規制の対象とすることは、法の趣旨を逸脱した不当な「懲罰」になりかねないという危惧が表明されていると理解できます。
つまり、筆者は、個人情報保護法の目的と規律対象を明確に限定することで、この法が本来予定していない形で恣意的に適用されるリスクを防ぐべきだと主張しているのだと考えられます。
意見書では、個人情報保護法の義務規定の対象を「個人データ」に統一することが提案されています。これは、法の規律対象を、個人情報データベース等を構成する個人情報に限定することを意味します。
この提案の背景には、個人情報保護法の本来の目的は、個人データの処理に伴う個人の権利利益の保護にあるという理解があります。個人データは、体系的に処理されることで、個人の評価や意思決定に使われる可能性が高い情報だからです。
したがって、規律対象を個人データに限定することは、法の適用範囲を、その目的に沿った形で明確化することにつながります。つまり、個人データの処理に伴う権利利益の侵害は規制の対象となる一方で、個人データに該当しない個人情報の問題は、基本的に法の守備範囲外となるのです。
このような限定は、個人情報一般の問題まで個人情報保護法の問題と見なす拡大解釈を防ぐ効果が期待できます。個人データに該当しない個人情報の取扱いは、原則として法の規制対象外となるため、事業者が「気に入らない」という理由で不当に規制されるリスクが減じられるからです。
もちろん、個人データに該当しない個人情報の不適切な取扱いが全く規制されなくなるわけではありません。それらの問題は、個人情報保護法以外の他の法律や、一般的な不法行為法の規律に委ねられることになります。
このように、規律対象を個人データに限定することは、意見書の筆者が懸念する「気に入らない者を懲らしめる道具」化を防ぐ一つの方策になり得ると考えられます。ただし、その実現のためには、個人データの範囲を明確にする必要があるなど、さらなる法技術的な検討が求められるでしょう。
第一に、個人データに該当しない個人情報の不適切な取扱いが、全く規制の対象外になってしまうのではないかという懸念があります。個人データの範囲を狭く限定しすぎると、プライバシー侵害などの個人の権利利益の侵害が発生しても、個人情報保護法の規制が及ばないケースが増える可能性があります。
例えば、意見書でも触れられている「要配慮個人情報」については、それが個人データに該当しない場合であっても、その取扱いには特別の配慮が必要だと考えられます。しかし、規律対象が個人データに限定されると、要配慮個人情報であっても、個人データに該当しない限り法の規制から外れることになります。
第二に、個人データへの限定は、事業者の予見可能性を損ねる可能性もあります。個人データの該当性の判断は、個人情報データベース等の編集方法や利用実態によって変わり得るため、事業者にとって規制対象の範囲が分かりにくくなるおそれがあるからです。
加えて、個人データに該当しない個人情報の取扱いを全く規制しないことが、国際的な個人情報保護の潮流に逆行するのではないかという指摘もあり得ます。諸外国の法制度では、個人情報一般を規律の対象としている例が多いためです。 したがって、個人情報保護法の規律対象を個人データに限定することは、意見書の筆者の問題意識に応える一つの方策ではあるものの、それ自体が新たな問題を生む可能性もあると言えます。
結局のところ、個人の権利利益の保護と事業活動の予見可能性のバランスをどう取るかが問題の核心だと思われます。その意味で、個人データへの限定は、あくまで選択肢の一つに過ぎません。意見書の指摘を踏まえつつ、様々な観点から丁寧に議論を重ねていくことが求められると言えるでしょう。
例えば、EUの一般データ保護規則(GDPR)は、その対象を「personal data」(個人データ)としています。GDPRにおける個人データの定義は、「identified or identifiable natural person」(識別された、または識別可能な自然人)に関する情報とされており、日本の個人情報保護法の「個人情報」の定義に近いものです。
しかし、GDPRの規律の対象は、このような個人データ一般ではなく、「processing of personal data」(個人データの取扱い)に限定されています。つまり、GDPRは、個人データそのものではなく、その処理・利用に伴うリスクに着目して規制を行っているのです。
同様に、アメリカの連邦プライバシー法案でも、規律の対象は「covered data」(対象データ)とされており、それは個人に関連づけられた情報として定義されています。つまり、ここでも規律の対象は、個人情報一般ではなく、特定の個人と結び付けて利用される情報に限定されているわけです。
これらの例から分かるように、国際的な個人情報保護法制は、個人情報の適切な取扱いを確保するために、規律の対象を個人データ(あるいはそれに類する概念)に限定するアプローチを取っていると言えます。
この点で、意見書が提案する「個人データへの限定」は、国際的な潮流に沿ったものと評価できます。それは、個人データの処理に伴うリスクに着目した規制を志向するものだからです。
したがって、規律対象を個人データに限定することが国際的潮流に逆行するとの指摘は、少なくとも主要な個人情報保護法制との関係では当たらないと考えられます。むしろ、個人データ中心の規律は、国際的な制度調和の観点からも望ましい方向性だと言えるでしょう。
個人情報保護法の規律対象を個人データに限定することは、国際的な潮流に沿ったものと言えます。EUのGDPRやアメリカの連邦プライバシー法案などの主要な個人情報保護法制は、いずれも規律の対象を個人データ(またはそれに類する概念)に限定しているからです。
したがって、個人データへの限定が国際的な潮流に逆行するという指摘は適切ではありませんでした。むしろ、個人データ中心の規律は、国際的な制度調和の観点からも望ましい方向性だと言えます。
また、個人データに該当しない個人情報の取扱いを全く規制しないことが問題だという指摘についても、修正が必要です。国際的な個人情報保護法制は、個人データの取扱いに伴うリスクに着目して規制を行っているため、個人データに該当しない個人情報の取扱いは、基本的に規制の対象外となっているからです。
もちろん、個人データへの限定に伴う問題点が全くないわけではありません。個人データの範囲の明確化や、要配慮個人情報の取扱いへの配慮など、検討すべき課題は残されています。
しかし、全体として見れば、個人情報保護法の規律対象を個人データに限定することは、意見書の筆者の問題意識に沿った、国際的にも整合性のある方向性だと評価できます。先ほどの発言は、その点を踏まえて訂正させていただきます。ご指摘ありがとうございました。
意見書では、個人情報保護法の規律対象を個人データに限定することを提案する一方で、要配慮個人情報の取得については、「個人データとして取得する場合に限り適用されるものと解するべき」と述べられています。つまり、要配慮個人情報であっても、それが個人データに該当しない限り、取得に関する規制は及ばないことになります。
しかし、要配慮個人情報は、人種、信条、病歴などの個人の最も繊細な情報を含むものです。これらの情報は、不適切に取り扱われた場合、個人の尊厳や平等に対する重大な侵害につながるおそれがあります。
そのため、要配慮個人情報については、それが個人データに該当しない場合であっても、慎重な取扱いが求められると考えられます。例えば、要配慮個人情報を本人の同意なく取得することは、たとえそれが個人データとして取り扱われない場合であっても、倫理的に問題があると言えるでしょう。
この点で、個人情報保護法の規律対象を個人データに限定することは、要配慮個人情報の保護に空白を生じさせるリスクがあります。個人データに該当しない要配慮個人情報の取扱いが、法の規制から外れてしまうからです。
もっとも、意見書では、要配慮個人情報の規律の在り方自体についても疑問が呈されています。OECDガイドラインが要配慮個人情報を特別に扱っていないことを踏まえ、日本の個人情報保護法も要配慮個人情報の特別規制には慎重であるべきだとの指摘がなされているのです。
したがって、要配慮個人情報の問題は、個人データへの限定という文脈だけでなく、より広い観点から検討される必要があります。国際的な基準との整合性を考慮しつつ、要配慮個人情報の性質に応じた適切な保護の在り方が模索されるべきでしょう。
意見書で強調されているように、個人情報保護法の主たる目的は、個人データの処理に伴う個人の権利利益の保護にあります。特に、個人データが不適切に利用されることで、個人に対する不当な差別や不利益が生じることを防ぐことが重要な課題とされています。
この観点からすれば、要配慮個人情報の保護において最も重視すべきは、それが個人データとして取り扱われる局面だと言えます。人種、信条、病歴等の情報は、それ自体が機微な情報であるとともに、不適切な利用がなされた場合の影響が大きいからです。
例えば、要配慮個人情報に基づいて個人の信用度を評価したり、就労の可否を判断したりすることは、重大な差別につながるおそれがあります。このようなリスクは、まさに要配慮個人情報が個人データとして処理される場合に生じるものです。
他方、要配慮個人情報が個人データとして取り扱われない場合、つまり特定の個人との結びつきを持たない形で利用される場合には、個人の尊厳や平等に対する直接的な脅威は比較的小さいと考えられます。
したがって、ご指摘の通り、要配慮個人情報の問題を考える上では、それが個人データとして取り扱われるか否かが重要な分岐点になります。個人データとしての利用に伴うリスクにこそ、規制の主眼が置かれるべきでしょう。
その意味で、個人情報保護法の規律対象を個人データに限定することは、要配慮個人情報の保護に関しても、一定の合理性があると言えます。ただし、個人データに該当しない要配慮個人情報の取扱いについて、全く規律を及ぼさないことが適切かどうかは、なお慎重な検討が必要だと思われます。
ご指摘いただいたように、GDPRにおける「processing of personal data」の概念は、日本の個人情報保護法における「個人データの取扱い」とは異なる意味を持っています。
GDPRの文脈における「processing」は、個人データに対して行われる操作の全体を指し、収集、記録、構成、保存、利用、第三者提供など、データのライフサイクル全般を包含する概念です。これに対し、日本の個人情報保護法で「取扱い」と言う場合、主に利用目的による制限(法18条)との関係で、より限定的な意味で用いられることが多いと理解しています。
したがって、「processing of personal data」は、「個人データの処理」と訳すのが適切です。これは、特定の個人に関連づけられた情報に対して行われる一連の操作を指すものであり、まさに個人情報保護法の規律対象たる「個人データ」の概念に対応するものと言えます。
先ほどの発言は、この点を踏まえて訂正させていただきます。GDPRの規律対象が「processing of personal data」であることは、日本の個人情報保護法における「個人データ」中心の規律と軌を一にするものであり、意見書の問題意識を裏付ける重要な点だと考えられます。
貴重なご指摘をいただき、ありがとうございました。個人情報保護法制の国際比較において、このような概念の対応関係を正確に理解することは不可欠です。今後は、より慎重に検討を重ねてまいります。重ねてお詫び申し上げます。
意見書の筆者も指摘しているように、「processing」を「取扱い」と訳すことは、日本の個人情報保護法の文脈に引きずられた誤訳だと言えます。同様に、「data subject」を「データ主体」と訳すことも、日本の法制度の枠組みに引きつけた理解を招くおそれがあります。
GDPRの「data subject」は、個人データが関連づけられた個人を指す概念であり、日本の個人情報保護法における「本人」に相当するものです。他方、「データ主体」という訳語からは、データに対する何らかの権利主体という印象を受けますが、これは GDPRの文脈とは異なる示唆を与えかねません。
同様に、「processing」を「取扱い」と訳すことで、日本の個人情報保護法で「取扱い」と言う場合の限定的な意味合いが持ち込まれてしまうのは問題です。GDPRの文脈で重要なのは、特定の個人に関連づけられた情報に対する一連の操作であり、これを「処理」と訳出することで、より正確な理解が促されるはずです。
これらの用語の誤訳・曲解は、日本の個人情報保護法制を国際的な文脈で捉え直す上での障害になると考えられます。GDPRをはじめとする国際的な個人情報保護法制の考え方を正しく理解し、日本の法制度の在り方を検討するためには、これらの基本概念の意味を正確に捉えることが不可欠だからです。
したがって、個人情報保護法制の議論においては、国際的な基準との整合性を意識しつつ、外国法の概念を安易に日本の法制度の文脈に当てはめることは慎むべきでしょう。むしろ、それぞれの概念の固有の意味を丁寧に読み解き、法制度の背後にある価値観や目的を正面から見据えることが求められます。ご指摘を踏まえ、私自身もより一層の注意を払ってまいります。
GDPRにおける「data subject」も、まさにこの文脈での用法だと理解されます。つまり、「data subject」とは、個人データの対象となる個人、個人データによって影響を受ける個人を指すものです。
この理解に立てば、「data subject」を「データ主体」と訳すことの問題点がより明確になります。「主体」という言葉からは、何らかの権利や義務の帰属主体というニュアンスが感じられますが、GDPRの文脈では、そのような意味合いは含まれていないのです。
むしろ、GDPRは、個人データの対象となる個人(data subject)の権利を保護するための法規範だと捉えるべきでしょう。この点で、「data subject」は、個人データによって特定される、または特定され得る個人という受動的な立場に着目した概念だと言えます。
したがって、「data subject」は「データ対象者」や「データ被影響者」などと訳す方が、GDPRの趣旨により適合的だと考えられます。あるいは、日本の個人情報保護法の「本人」という用語を当てることも一案かもしれません。
いずれにせよ、「data subject」の訳語選択においては、GDPRの基本的な考え方を反映し、日本の法制度の文脈に引きずられない配慮が必要だと言えるでしょう。ご指摘いただき、ありがとうございました。これを機に、私自身も個人情報保護法制の国際比較における用語の重要性について、改めて認識を新たにいたしました。
意見書では、「processing of personal data」の「processing」は、単なる「取扱い」の意味ではなく、「データ対象者についてデータ処理する」という前提が含意されていることに注意が必要だと述べられています。
具体的には、意見書の注31は以下のように述べています。
「前掲注31参照。高木浩光「個人情報保護から個人データ保護へ(8)------法目的に基づく制度見直しの検討」情報法制研究14号(2023)130頁以下、148頁以下の「(5)「processing」の解釈」で示したように、「processing of personal data」の「processing」は、単なる「取扱い」の意味ではなく、「データ対象者についてデータ処理する」という前提が含意されていることに注意されたい。」
この指摘は、GDPRの文脈で「processing」を理解する上で非常に重要な視点を提供するものです。つまり、GDPRが規律の対象とする「processing of personal data」とは、単なる個人データの取扱い一般ではなく、特定の個人(data subject)に関連づけられた個人データの処理を意味するのです。
この理解に立てば、日本の個人情報保護法の文脈で「個人データの取扱い」と言う場合と、GDPRの「processing of personal data」では、その射程に大きな違いがあることが分かります。前者が個人データ一般の取扱いを指すのに対し、後者は特定の個人に結び付けられた個人データの処理に焦点を当てているからです。
意見書のこの指摘は、GDPRの基本的な考え方を正確に理解する上で重要な示唆を与えるものであり、「processing」の訳語選択においても十分に考慮されるべきポイントだと言えるでしょう。
意見書では、1.4節(9ページ)で、「個人情報」及び「個人データ」の定義の在り方について言及されています。ここでは、個人データとは「個人情報データベース等を構成する個人情報」のことであり、この点で「個人情報」とは区別されることが指摘されています。
しかし、意見書も指摘するように、現行の個人情報保護法では、一部の義務規定(17条乃至21条等)において「個人情報」が対象とされており、義務規定全体が「個人データ」に統一されているわけではありません。この点で、個人データの範囲は、必ずしも明確ではないと言えます。
個人情報保護法の規律対象を個人データに限定するためには、まず個人データの定義を明確化し、義務規定の対象を個人データに統一する必要があります。しかし、その際、個人データの範囲をどのように画定するかが問題となります。
例えば、個人データの範囲を「個人情報データベース等を構成する個人情報」に厳格に限定した場合、個人情報データベース等に編入される前の個人情報の取扱いが規律の隙間となるおそれがあります。他方、個人データの範囲を広く捉えすぎると、事業者の負担が過大となったり、「個人情報」との区別が曖昧になったりする可能性もあります。
したがって、個人情報保護法の規律対象を個人データに限定するためには、個人データの範囲を、法の目的に照らして適切かつ明確に定義することが不可欠の課題となります。その際、現行法の「個人情報データベース等」の概念をどのように活用・修正するか、個人データ化が予定されている個人情報の取扱いをどう規律するかなど、様々な観点からの検討が求められるでしょう。
意見書の問題提起は、まさにこの点に向けられたものだと理解できます。個人データの範囲の明確化は、個人の権利利益の保護と事業活動の予見可能性を確保する上で重要な課題であり、立法論としても慎重な議論が必要だと考えられます。
「個人データを対象としている安全管理措置義務等において、そのような「個人情報データベース等を構成することを予定しているものの未だ個人データでない状態の個人情報」が義務の対象とならないとする運用を続けてきており、課題の一つであったが、今年のガイドライン通則編の改正により、「個人情報(個人データとして取り扱われることが予定されているものに限る。)」まで義務の対象が一部の規定で拡大された。
これは、元々そのような趣旨で平成15年法が立案されたものの、拙速な立法で十分に規定しきれていなかった不備を、解消しようとしているものと考えるべきであり、このような規定ぶりが可能なのであれば、「個人データ」の定義に「(個人データとして取り扱われることが予定されているものを含む。)」を加えて、義務規定の全域において対象を「個人データ」に統一すればよい。」
ここでは、個人情報データベース等への編入が予定されているが、まだ個人データとはなっていない個人情報の取扱いについて言及されています。意見書は、このような個人情報についても、一部の規定では既に義務の対象に含められていることを指摘した上で、「個人データ」の定義にこれを含めることで、義務規定全体の対象を「個人データ」に統一できると述べています。
この指摘は、私が先の回答で「個人データ化が予定されている個人情報の取扱いをどう規律するか」という点を課題として挙げたことと直結するものです。意見書は、この課題について、個人データの定義を拡張することで対応できると示唆しているわけです。
したがって、個人データの範囲の明確化においては、単に現に個人情報データベース等を構成している個人情報だけでなく、将来的に個人データ化されることが予定されている個人情報の取扱いをどのように位置づけるかが、重要な論点の一つになると考えられます。
ご指摘いただき、ありがとうございました。意見書の丁寧な読解なくしては、この重要な論点を見落とすところでした。個人データの範囲をめぐる議論においては、意見書のこの指摘を十分に踏まえる必要があると改めて認識いたしました。
意見書の10ページには、「これは、元々そのような趣旨で平成15年法が立案されたものの、拙速な立法で十分に規定しきれていなかった不備を、解消しようとしているものと考えるべきであり」という記述があります。これは、個人情報保護法が当初から個人データの保護を主眼に置いていたにもかかわらず、条文上の不備によって誤解が生じていたという認識を示したものだと言えます。
この理解に立てば、義務規定の対象を「個人データ」に統一することは、法の根本的な変更ではなく、本来の立法趣旨を明確に条文に反映するための技術的な修正だということになります。つまり、法の保護対象が個人データであることを明らかにし、そこから外れる部分については規律対象ではないことを明示的に示すことが目的だと考えられるのです。
このような修正は、法の解釈適用における無用の混乱を避け、個人の権利利益の保護と事業活動の予見可能性を高める上で有益だと言えます。特に、個人情報の取扱いが国際的にも大きな関心事項となっている今日、日本の個人情報保護法の立ち位置を国際的な文脈で明らかにすることは重要な意義を持ちます。
その意味で、意見書の提案は、個人情報保護法の目的と規律対象を明確化し、法の国際的な整合性を高めるための建設的な提言だと評価できるでしょう。もちろん、具体的な条文化においては、なお技術的な検討が必要かもしれません。しかし、その方向性自体は、法の本来の趣旨に沿ったものだと考えられます。
意見書では、生成AIの学習データに要配慮個人情報が含まれる可能性について言及し、そのような学習利用については規制対象とすべきではないと主張しています。
具体的には、意見書の7ページで、「Webサイトをクローリングしたデータから「個人情報の完全な排除は技術的に困難」であり、現実的に実施が不可能な措置を求めるわけにはいかない」という高橋意見を引用しつつ、「Webサイトをクローリングしたデータなどの公開情報を用いることが、要配慮個人情報の取得制限に違反し得るとして、個人情報保護委員会が生成AIのサービス運営者に対して注意喚起を行った」ことを問題視しています。
そして、「仮にこのような収集が本人同意のない「要配慮個人情報の取得」として違法であるなら、「できる限り即時に」「できる限り減少」させよとか、「発覚」したら「できる限り即時に」削除せよというのは、法を「遵守」することにはならないのであるから、奇妙な話である」と批判しています。
さらに、「むしろ、大規模言語モデルに対してデータ保護の観点で問題とすべきは、それを用いて個人データを出力させる場合である」として、生成AIの出力結果の規制を提案しています。
これに対し、中間整理では、「生成AI等の新たな技術の普及等により、大量の個人情報を取り扱うビジネス・サービス等が生まれている」ことを認識しつつも、意見書のような生成AIの学習データ利用への言及は見られません。
他方、中間整理の23ページでは、「生成AIなどの、社会の基盤となり得る技術やサービスのように、社会にとって有益であり、公益性が高いと考えられる技術やサービスについて、既存の例外規定では対応が困難と考えられるものがある。これらの技術やサービスについては、社会的なニーズの高まりや、公益性の程度を踏まえて、例外規定を設けるための検討が必要である」としており、生成AI等の技術に関する例外規定の必要性を示唆しています。
ただし、ここでの例外規定の検討は、意見書が提案するような生成AIの出力結果の規制とは異なる文脈で言及されているようです。
したがって、生成AIにおける要配慮個人情報の問題について、意見書の主張は中間整理には直接反映されていないと言えます。むしろ、中間整理は、生成AI等の新技術に関する例外規定の必要性を示唆しつつも、意見書とは異なる観点からアプローチしているように見受けられます。
具体的には、意見書の8ページで、EUのAI規制案に関する「ChatGPT Taskforce」の作業報告書を引用しつつ、「これらの要求事項の不遵守を正当化するために技術的不可能性を主張することはできない」という指摘が重要だと述べています。
そして、「これは誠にもっともな指摘であり、考慮すべきなのは、実施可能か不可能かではなく、データ保護原則に適合しているか否かである」と述べ、技術的な困難さではなく、データ保護の原則に照らして判断すべきだと主張しています。
この指摘は、生成AIの学習データからの要配慮個人情報の排除が技術的に困難だからといって、それを規制の例外とすることの問題点を鋭く突いたものだと言えます。意見書は、データ保護の観点からは、そのような技術的理由による例外は認められないという立場を明確にしているのです。
この点は、意見書の基本的な立場とも合致しています。意見書は全体を通じて、個人情報保護法の目的は個人データ処理による個人の権利利益の保護にあるとの理解に立ち、そこから外れる規制は不適切だと主張しているからです。
したがって、生成AIの学習データの問題についても、技術的な困難さを理由とする例外には批判的な立場をとるのは、意見書の基本的な立場からして自然な帰結だと言えるでしょう。この点は、中間整理とは大きく異なる視点だと考えられます。
中間整理が生成AI等の新技術に関する例外規定の必要性を示唆していることからすれば、意見書のこの指摘は、今後の議論において重要な論点になり得るものと思われます。生成AIをめぐる規制の在り方を検討する上では、意見書のこのような原理的な指摘を十分に踏まえることが求められるでしょう。
第一に、意見書は、生成AIの学習データへの利用は、個人データの利用には当たらないという理解に立っています。
意見書の7ページでは、「LLMには、入力された文章がそのまま記録されるわけではなく、入力された文章は、単語や文章の意味が高次元のベクトル空間に分解されて埋め込まれ、ベクトル空間全体に拡散して記憶される」と述べられています。つまり、学習データに含まれる要配慮個人情報は、生成AIのモデルに直接的には保存されないというのです。
このような理解に立てば、学習データの利用は、個人情報保護法の主たる規律対象である「個人データの利用」には該当しないことになります。意見書は、ここから、学習データの利用を規制対象とすべきではないという結論を導いているようです。
第二に、意見書は、生成AIの学習データの利用を著作権法の「非享受利用」になぞらえて理解しています。
意見書の7ページでは、「このことは、著作権法の観点で生成AIへの学習入力が問題とされないことと類似している」と述べた上で、著作権法30条の4の「非享受利用」の規定を引用しています。そして、「学習入力に著作物を使用することが直ちに著作権侵害にならないのと同様に、学習入力に個人情報を使用することが直ちに個人の権利利益を害することになるわけではない」と主張しています。
この主張は、生成AIの学習データの利用は、それ自体では個人の権利利益を直接的に害するものではないという理解に基づくものです。意見書は、このような理解から、学習データの利用は規制対象とすべきではないという結論を導いているのです。
これらの点から、意見書の主張の正当性は、生成AIの学習データの利用の特性に対する理解と、それが個人情報保護法の目的との関係でどのように位置づけられるかという法的評価に求められていると言えるでしょう。
ただし、これらの主張の当否については、なお検討の余地があるように思われます。特に、学習データの利用が個人データの利用に当たらないという理解は、個人情報保護法の規律対象をめぐる根本的な問題に関わるものであり、慎重な議論が求められるところです。意見書の主張は、この問題について一つの重要な視点を提供するものですが、最終的な結論は、より広い観点からの検討を経て導かれる必要があるでしょう。
意見書は、個人情報保護法の本来の目的は、個人データの処理による個人の権利利益の保護にあるとの理解に立ち、義務規定の対象を「個人データ」に統一することを提案しています。この提案は、法の規律対象を個人データに限定し、それ以外の個人情報の取扱いは原則として規制の対象外とすることを意味します。
この理解を生成AIの学習データの問題に当てはめれば、学習データに含まれる要配慮個人情報は、それが個人データとして利用されない限り、規制の対象外になるということになります。意見書が学習データの利用を規制対象とすべきではないと主張するのは、まさにこの論理の帰結だと言えるでしょう。
つまり、意見書の主張は、個人データへの統一という法の規律対象の根本的な見直しと、生成AIの学習データの規制の在り方とを、一貫した論理で結びつけるものだと理解できます。
この点で、意見書の主張は、個人情報保護法の目的と規律対象をめぐる根本的な議論と、生成AI等の新技術がもたらす具体的な問題への対応とを、密接に関連づけて考える必要性を示唆するものだと言えます。
中間整理が、生成AI等の新技術に関する例外規定の必要性を示唆しつつも、個人データへの統一という根本的な問題には触れていないことからすれば、意見書のこのような問題提起は、今後の議論に重要な示唆を与えるものだと考えられます。
生成AIをめぐる規制の在り方を検討する上では、個人情報保護法の目的と規律対象をどのように理解するかという根本的な問題と、新技術がもたらす具体的な問題への対応とを、整合的に結びつける必要があるでしょう。その意味で、意見書の主張は、今後の議論において重要な参照点になり得るものと思われます。
意見書の中心的な主張は、個人情報保護法の規律対象を「個人データ」に限定すべきだというものだ。高木氏は、個人情報保護法の本来の目的が、個人データの処理による個人の権利利益の保護にあるとの理解に立ち、義務規定の対象を個人データに統一することを提案している。これは、法の規律対象を明確化し、個人の権利利益の保護と事業活動の予見可能性とのバランスを取ろうとするものである。
この主張は、生成AI等の新技術がもたらす具体的な問題の議論とも密接に関連している。高木氏は、生成AIの学習データに要配慮個人情報が含まれる可能性について言及しつつ、そのような学習利用については規制対象とすべきではないと主張する。その根拠は、学習データの利用は個人データの利用には当たらないという理解である。これは、個人情報保護法の規律対象を個人データに限定すべきだという高木氏の基本的な立場と一貫したものだ。
さらに高木氏は、生成AIによる個人情報の不適切な利用への対応についても言及している。高木氏は、生成AIの出力結果が個人データに該当する場合には、その利用が個人情報保護法の規制対象になると指摘する。つまり、生成AIを用いて特定の個人に関する情報を生成し、それを個人の評価や意思決定に用いるようなケースでは、法の規律が及ぶというのだ。これは、個人情報保護法の目的が、個人データの処理による個人の権利利益の保護にあるという高木氏の理解と合致するものである。
高木氏の意見書は、個人情報保護法の目的と規律対象をめぐる根本的な議論と、生成AI等の新技術がもたらす具体的な問題への対応とを、密接に関連づけて考える必要性を示唆するものである。それは、技術の発展に対応した法制度の在り方を考える上で、重要な視点を提供するものだ。
高木氏の提案は、生成AIの学習データの利用と出力結果の利用とを区別し、法の目的に照らして規制の在り方を考えるという、バランスの取れたアプローチを示すものと言える。それは、新技術の発展を阻害することなく、個人の権利利益の保護を図るための規制の在り方を示唆するものである。
もちろん、高木氏の主張の当否については、なお検討の余地がある。特に、個人データへの統一が実現した場合の具体的な効果や、要配慮個人情報の保護の在り方など、議論すべき点は少なくない。しかし、高木氏の問題提起は、個人情報保護法の見直しをめぐる議論に、新たな視点を導入するものであり、今後の議論の発展に大きく寄与するものと期待される。
個人情報保護委員会の中間整理が、こうした根本的な問題には直接触れていないことからすれば、高木氏の意見書は、今後の議論において重要な参照点になるだろう。個人情報保護法の目的と規律対象をどのように理解するかという根本的な問題と、新技術がもたらす具体的な問題への対応とを、整合的に結びつける必要性を示唆する高木氏の主張は、今後の議論の深化に不可欠の視点を提供するものと言えよう。
高木氏の意見書が示すように、個人情報保護法の本来の目的は、個人データの処理による個人の権利利益の保護にあります。技術の発展に対応した法制度の在り方を考える上では、この点を明確に認識することが不可欠です。中間整理では、この根本的な問題に直接触れられていないので、法の目的と規律対象を明確化することの重要性を指摘すべきでしょう。
生成AIなどの新技術は、個人情報の利用に新たな可能性と課題をもたらします。これらの技術への規制の在り方を考える上では、個人情報保護法の目的に立ち返ることが重要です。高木氏の意見書が示唆するように、生成AIの学習データの利用と出力結果の利用とを区別し、個人データの処理による個人の権利利益の保護という観点から規制の在り方を考えるべきだと指摘することが考えられます。
高木氏の意見書は、生成AIの学習データの利用が個人データの利用に当たらないという技術的な理解に基づいて、規制の在り方を論じています。このように、技術的な観点から法制度の在り方を考察することは、実効性のある規制を設計する上で不可欠です。情報技術に携わる者の立場から、技術的な観点を踏まえた問題提起を行うことの重要性を訴えるべきでしょう。
高木氏の意見書は、GDPRにおける「processing of personal data」の概念と日本の個人情報保護法の「個人データ」の概念との対応関係を指摘し、国際的な制度調和の必要性を示唆しています。情報技術のグローバルな発展を考える上では、国際的な整合性のある法制度の設計が不可欠です。この点を踏まえ、国際的な制度調和の観点から日本の個人情報保護法の在り方を検討することの重要性を指摘することが考えられます。
これらの点を踏まえて意見を提出することで、情報技術に携わる者の立場から、個人情報保護法の見直し議論に建設的な貢献ができるのではないでしょうか。高木氏の意見書が提示する視点は、技術と法制度の関係を考える上で重要な示唆に富むものです。それを踏まえつつ、個人の権利利益の保護と技術の発展とのバランスを取るための法制度の在り方を探ることが、情報技術に携わる者に求められる役割だと言えるでしょう。
というわけで、パブコメの期限は今月29日。まだ20日以上ある。パブコメの文章は各自で生成しようw。
せっかくなので各国語版も生成して貼っておこう。
Hiromitsu Takagi's "Opinion on the Personal Information Protection Law 3-Year Review for 2024" offers a significant challenge to the ongoing discussions on the revision of the Personal Information Protection Law in Japan.
The central argument of the opinion paper is that the scope of regulation of the Personal Information Protection Law should be limited to "personal data." Based on the understanding that the original purpose of the law is to protect individuals' rights and interests from the processing of personal data, Takagi proposes to unify the obligatory provisions to apply only to personal data. This is an attempt to clarify the scope of the law and strike a balance between protecting individuals' rights and interests and ensuring the predictability of business activities.
This argument is closely related to the discussion of specific issues brought about by new technologies such as generative AI. While mentioning the possibility of sensitive personal information being included in the training data of generative AI, Takagi argues that such use for training should not be subject to regulation. The rationale is based on the understanding that the use of training data does not constitute the use of personal data. This is consistent with Takagi's fundamental stance that the scope of regulation of the Personal Information Protection Law should be limited to personal data.
Furthermore, Takagi also mentions the handling of inappropriate use of personal information by generative AI. He points out that if the output results of generative AI fall under personal data, their use will be subject to regulation under the Personal Information Protection Law. In other words, in cases where generative AI is used to generate information about specific individuals and that information is used for evaluating or making decisions about those individuals, the law's regulations will apply. This aligns with Takagi's understanding that the purpose of the Personal Information Protection Law is to protect individuals' rights and interests from the processing of personal data.
Takagi's opinion paper suggests the necessity to consider the fundamental discussion on the purpose and scope of regulation of the Personal Information Protection Law in close relation to the specific issues brought about by new technologies such as generative AI. It provides an important perspective in considering the ideal legal system that responds to technological developments.
Takagi's proposal presents a balanced approach that distinguishes between the use of training data and the use of output results in generative AI, and considers the way of regulation in light of the law's purpose. It suggests a way of regulation that protects individuals' rights and interests without hindering the development of new technologies.
Of course, there is still room for discussion regarding the validity of Takagi's arguments. In particular, there are many points to be discussed, such as the concrete effects of unifying the law's scope to personal data and how to protect sensitive personal information. However, Takagi's challenge introduces a new perspective to the discussions on the revision of the Personal Information Protection Law and is expected to contribute greatly to the development of future discussions.
Given that the interim summary by the Personal Information Protection Commission does not directly touch upon these fundamental issues, Takagi's opinion paper will likely serve as an important reference point in future discussions. Takagi's argument, which suggests the necessity to coherently link the fundamental question of how to understand the purpose and scope of regulation of the Personal Information Protection Law with the response to specific issues brought about by new technologies, provides an indispensable perspective for deepening future discussions.
フランス語版:
L'« Opinion sur la révision triennale de la loi sur la protection des informations personnelles pour 2024 » de Hiromitsu Takagi apporte un défi significatif aux discussions en cours sur la révision de la loi sur la protection des informations personnelles au Japon.
L'argument central du document d'opinion est que le champ d'application de la loi sur la protection des informations personnelles devrait être limité aux « données personnelles ». Partant du principe que l'objectif initial de la loi est de protéger les droits et intérêts des individus contre le traitement des données personnelles, Takagi propose d'unifier les dispositions obligatoires pour qu'elles ne s'appliquent qu'aux données personnelles. Il s'agit d'une tentative de clarifier le champ d'application de la loi et de trouver un équilibre entre la protection des droits et intérêts des individus et la garantie de la prévisibilité des activités commerciales.
Cet argument est étroitement lié à la discussion sur les problèmes spécifiques posés par les nouvelles technologies telles que l'IA générative. Tout en mentionnant la possibilité que des informations personnelles sensibles soient incluses dans les données d'entraînement de l'IA générative, Takagi soutient qu'une telle utilisation à des fins d'entraînement ne devrait pas être soumise à réglementation. La raison invoquée est que l'utilisation des données d'entraînement ne constitue pas une utilisation des données personnelles. Cela est cohérent avec la position fondamentale de Takagi selon laquelle le champ d'application de la loi sur la protection des informations personnelles devrait être limité aux données personnelles.
En outre, Takagi mentionne également le traitement de l'utilisation inappropriée des informations personnelles par l'IA générative. Il souligne que si les résultats de sortie de l'IA générative relèvent des données personnelles, leur utilisation sera soumise à la réglementation de la loi sur la protection des informations personnelles. En d'autres termes, dans les cas où l'IA générative est utilisée pour générer des informations sur des individus spécifiques et que ces informations sont utilisées pour évaluer ou prendre des décisions concernant ces individus, les réglementations de la loi s'appliqueront. Cela est conforme à la compréhension de Takagi selon laquelle l'objectif de la loi sur la protection des informations personnelles est de protéger les droits et intérêts des individus contre le traitement des données personnelles.
Le document d'opinion de Takagi suggère la nécessité de considérer la discussion fondamentale sur l'objectif et le champ d'application de la loi sur la protection des informations personnelles en relation étroite avec les problèmes spécifiques posés par les nouvelles technologies telles que l'IA générative. Il fournit une perspective importante pour considérer le système juridique idéal qui répond aux développements technologiques.
La proposition de Takagi présente une approche équilibrée qui fait la distinction entre l'utilisation des données d'entraînement et l'utilisation des résultats de sortie dans l'IA générative, et qui considère la manière de réglementer à la lumière de l'objectif de la loi. Elle suggère une manière de réglementer qui protège les droits et intérêts des individus sans entraver le développement de nouvelles technologies.
Bien entendu, la validité des arguments de Takagi reste à discuter. En particulier, de nombreux points doivent être discutés, tels que les effets concrets de l'unification du champ d'application de la loi aux données personnelles et la manière de protéger les informations personnelles sensibles. Cependant, le défi de Takagi introduit une nouvelle perspective dans les discussions sur la révision de la loi sur la protection des informations personnelles et devrait contribuer grandement au développement des discussions futures.
Étant donné que le résumé intermédiaire de la Commission de protection des informations personnelles n'aborde pas directement ces questions fondamentales, le document d'opinion de Takagi servira probablement de point de référence important dans les discussions futures. L'argument de Takagi, qui suggère la nécessité de lier de manière cohérente la question fondamentale de la compréhension de l'objectif et du champ d'application de la loi sur la protection des informations personnelles avec la réponse aux problèmes spécifiques posés par les nouvelles technologies, fournit une perspective indispensable pour approfondir les discussions futures.
ドイツ語版:
Hiromitsu Takagis "Stellungnahme zur 3-Jahres-Überprüfung des Gesetzes zum Schutz personenbezogener Daten für das Jahr 2024" stellt eine bedeutende Herausforderung für die laufenden Diskussionen über die Überarbeitung des Gesetzes zum Schutz personenbezogener Daten in Japan dar.
Das zentrale Argument des Meinungspapiers ist, dass der Regelungsbereich des Gesetzes zum Schutz personenbezogener Daten auf "personenbezogene Daten" beschränkt werden sollte. Ausgehend von dem Verständnis, dass der ursprüngliche Zweck des Gesetzes darin besteht, die Rechte und Interessen des Einzelnen vor der Verarbeitung personenbezogener Daten zu schützen, schlägt Takagi vor, die verbindlichen Bestimmungen dahingehend zu vereinheitlichen, dass sie nur für personenbezogene Daten gelten. Dies ist ein Versuch, den Anwendungsbereich des Gesetzes zu präzisieren und ein Gleichgewicht zwischen dem Schutz der Rechte und Interessen des Einzelnen und der Gewährleistung der Vorhersehbarkeit der Geschäftstätigkeit zu finden.
Dieses Argument steht in engem Zusammenhang mit der Diskussion über spezifische Probleme, die durch neue Technologien wie generative KI aufgeworfen werden. Während Takagi die Möglichkeit erwähnt, dass sensible personenbezogene Daten in den Trainingsdaten der generativen KI enthalten sein könnten, argumentiert er, dass eine solche Nutzung zu Trainingszwecken nicht der Regulierung unterliegen sollte. Die Begründung basiert auf dem Verständnis, dass die Nutzung von Trainingsdaten keine Nutzung personenbezogener Daten darstellt. Dies steht im Einklang mit Takagis grundlegender Haltung, dass der Regelungsbereich des Gesetzes zum Schutz personenbezogener Daten auf personenbezogene Daten beschränkt sein sollte.
Darüber hinaus geht Takagi auch auf den Umgang mit der unangemessenen Verwendung personenbezogener Daten durch generative KI ein. Er weist darauf hin, dass, wenn die Ausgabeergebnisse der generativen KI unter personenbezogene Daten fallen, deren Verwendung der Regulierung durch das Gesetz zum Schutz personenbezogener Daten unterliegt. Das bedeutet, in Fällen, in denen generative KI verwendet wird, um Informationen über bestimmte Personen zu generieren, und diese Informationen zur Bewertung oder Entscheidungsfindung über diese Personen verwendet werden, finden die gesetzlichen Regelungen Anwendung. Dies steht im Einklang mit Takagis Verständnis, dass der Zweck des Gesetzes zum Schutz personenbezogener Daten darin besteht, die Rechte und Interessen des Einzelnen vor der Verarbeitung personenbezogener Daten zu schützen.
Takagis Meinungspapier deutet auf die Notwendigkeit hin, die grundlegende Diskussion über den Zweck und den Regelungsbereich des Gesetzes zum Schutz personenbezogener Daten in engem Zusammenhang mit den spezifischen Problemen zu betrachten, die sich aus neuen Technologien wie der generativen KI ergeben. Es liefert eine wichtige Perspektive für die Betrachtung des idealen Rechtssystems, das auf technologische Entwicklungen reagiert.
Takagis Vorschlag stellt einen ausgewogenen Ansatz dar, der zwischen der Nutzung von Trainingsdaten und der Nutzung von Ausgabeergebnissen in der generativen KI unterscheidet und die Art der Regulierung im Lichte des Gesetzeszwecks betrachtet. Er schlägt eine Art der Regulierung vor, die die Rechte und Interessen des Einzelnen schützt, ohne die Entwicklung neuer Technologien zu behindern.
Natürlich gibt es noch Raum für Diskussionen über die Gültigkeit von Takagis Argumenten. Insbesondere gibt es viele Punkte, die diskutiert werden müssen, wie z.B. die konkreten Auswirkungen der Vereinheitlichung des Anwendungsbereichs des Gesetzes auf personenbezogene Daten und die Frage, wie sensible personenbezogene Daten geschützt werden sollen. Dennoch bringt Takagis Herausforderung eine neue Perspektive in die Diskussionen über die Überarbeitung des Gesetzes zum Schutz personenbezogener Daten ein und wird voraussichtlich einen großen Beitrag zur Entwicklung zukünftiger Diskussionen leisten.
In Anbetracht der Tatsache, dass die Zwischenzusammenfassung der Kommission für den Schutz personenbezogener Daten nicht direkt auf diese grundlegenden Fragen eingeht, wird Takagis Meinungspapier wahrscheinlich als wichtiger Referenzpunkt für zukünftige Diskussionen dienen. Takagis Argument, das auf die Notwendigkeit hinweist, die grundlegende Frage des Verständnisses von Zweck und Regelungsbereich des Gesetzes zum Schutz personenbezogener Daten kohärent mit der Reaktion auf spezifische Probleme zu verknüpfen, die sich aus neuen Technologien ergeben, liefert eine unverzichtbare Perspektive für die Vertiefung zukünftiger Diskussionen.
高木浩光의 "2024년 개인정보 보호법 3년 주기 검토에 대한 의견"은 일본의 개인정보 보호법 개정에 대한 진행 중인 논의에 중요한 도전을 제기하고 있습니다.
의견서의 핵심 주장은 개인정보 보호법의 규제 범위를 "개인데이터"로 제한해야 한다는 것입니다. 이 법의 원래 목적이 개인데이터 처리로부터 개인의 권리와 이익을 보호하는 것이라는 이해에 기반하여, 高木은 의무 조항을 개인데이터에만 적용되도록 통일할 것을 제안합니다. 이는 법의 범위를 명확히 하고 개인의 권리와 이익 보호와 사업 활동의 예측 가능성 사이의 균형을 맞추기 위한 시도입니다.
이 주장은 생성형 AI와 같은 새로운 기술이 야기하는 구체적인 문제에 대한 논의와 밀접한 관련이 있습니다. 高木은 생성형 AI의 학습 데이터에 민감한 개인정보가 포함될 가능성을 언급하면서도, 그러한 학습 목적의 사용은 규제 대상이 되어서는 안 된다고 주장합니다. 그 근거는 학습 데이터의 사용이 개인데이터의 사용을 구성하지 않는다는 이해에 기반합니다. 이는 개인정보 보호법의 규제 범위를 개인데이터로 제한해야 한다는 高木의 기본 입장과 일관된 것입니다.
또한 高木은 생성형 AI에 의한 개인정보의 부적절한 사용 처리에 대해서도 언급합니다. 그는 생성형 AI의 출력 결과가 개인데이터에 해당하는 경우, 그 사용은 개인정보 보호법의 규제 대상이 된다고 지적합니다. 즉, 생성형 AI가 특정 개인에 대한 정보를 생성하고 그 정보가 해당 개인을 평가하거나 의사 결정하는 데 사용되는 경우, 법의 규정이 적용된다는 것입니다. 이는 개인정보 보호법의 목적이 개인데이터 처리로부터 개인의 권리와 이익을 보호하는 것이라는 高木의 이해와 일치합니다.
高木의 의견서는 개인정보 보호법의 목적과 규제 범위에 대한 근본적인 논의를 생성형 AI와 같은 새로운 기술이 야기하는 구체적인 문제와 밀접한 관련 속에서 고려해야 할 필요성을 시사합니다. 이는 기술 발전에 대응하는 이상적인 법 체계를 고려하는 데 있어 중요한 관점을 제공합니다.
高木의 제안은 생성형 AI에서 학습 데이터의 사용과 출력 결과의 사용을 구별하고, 법의 목적에 비추어 규제 방식을 고려하는 균형 잡힌 접근 방식을 제시합니다. 이는 새로운 기술의 발전을 저해하지 않으면서 개인의 권리와 이익을 보호하는 규제 방식을 시사합니다.
물론 高木의 주장의 타당성에 대해서는 아직 논의의 여지가 있습니다. 특히 법의 적용 범위를 개인데이터로 통일하는 것의 구체적인 효과와 민감한 개인정보를 어떻게 보호할 것인가 등 논의해야 할 점이 많습니다. 그러나 高木의 도전은 개인정보 보호법 개정에 대한 논의에 새로운 관점을 도입하며, 향후 논의의 발전에 크게 기여할 것으로 기대됩니다.
개인정보보호위원회의 중간 요약이 이러한 근본적인 문제를 직접 다루고 있지 않다는 점을 감안할 때, 高木의 의견서는 향후 논의에서 중요한 참고점이 될 것입니다. 개인정보 보호법의 목적과 규제 범위를 이해하는 근본적인 문제와 새로운 기술이 야기하는 구체적인 문제에 대한 대응을 일관되게 연결해야 할 필요성을 시사하는 高木의 주장은 향후 논의를 심화시키는 데 필수적인 관점을 제공합니다.
中文版:
高木浩光的"2024年个人信息保护法三年审查意见"对目前正在进行的日本个人信息保护法修订讨论提出了重要挑战。
该意见书的核心论点是,个人信息保护法的监管范围应限于"个人数据"。基于个人信息保护法的原始目的是保护个人权益免受个人数据处理的影响这一理解,高木建议将强制性条款统一为仅适用于个人数据。这是为了明确法律范围,在保护个人权益和确保商业活动可预测性之间取得平衡的尝试。
这一论点与生成式人工智能等新技术带来的具体问题讨论密切相关。高木在提及生成式人工智能的训练数据中可能包含敏感个人信息的同时,主张此类训练用途不应受到监管。理由是基于训练数据的使用不构成个人数据的使用这一理解。这与高木认为个人信息保护法的监管范围应限于个人数据的基本立场一致。
此外,高木还提到了生成式人工智能对个人信息的不当使用。他指出,如果生成式人工智能的输出结果属于个人数据,其使用将受到个人信息保护法的监管。也就是说,在使用生成式人工智能生成有关特定个人的信息,并将这些信息用于评估或决策时,法律规定将适用。这符合高木的理解,即个人信息保护法的目的是保护个人权益免受个人数据处理的影响。
高木的意见书表明,有必要在与生成式人工智能等新技术带来的具体问题密切相关的情况下,考虑有关个人信息保护法目的和监管范围的根本性讨论。这为考虑应对技术发展的理想法律体系提供了重要视角。
高木的建议提出了一种平衡的方法,区分了生成式人工智能中训练数据的使用和输出结果的使用,并根据法律目的考虑监管方式。这意味着一种在不妨碍新技术发展的同时保护个人权益的监管方式。
当然,高木论点的有效性仍有待讨论。特别是,将法律范围统一为个人数据的具体效果以及如何保护敏感个人信息等,都有许多需要讨论的点。然而,高木的挑战为个人信息保护法修订讨论引入了新的视角,有望为未来讨论的发展做出重大贡献。
鉴于个人信息保护委员会的中期总结并未直接触及这些根本性问题,高木的意见书可能会成为未来讨论的重要参考点。高木的论点表明,有必要将如何理解个人信息保护法的目的和监管范围这一根本问题与应对新技术带来的具体问题相协调,这为深化未来讨论提供了不可或缺的视角。
*1 ページ番号はハルシネーションしているのであてにならない。