先週金曜に個人情報保護委員会から「制度改正方針」が公表された。
というわけで早速LLMに評価させてみた。Claude Opus 4.5 Thnkingを使用し、プロジェクトナレッジに私が提出した3本の意見書(2024年12月22日の日記に列挙したもの)を入れてある。
要点だけ見たい人は「国会は何をすべきでしょうか。」までスキップ。
制度改正方針の内容を把握しました。令和8年1月9日付の「個人情報保護法 いわゆる3年ごと見直しの制度改正方針」の概要を整理します。
令和5年11月から検討を開始し、令和7年3月の「考え方」公表、同年6月の「データ利活用制度の在り方に関する基本方針」閣議決定等を経て、改正案の早期国会提出を目指すものとして取りまとめられています。
1. 適正なデータ利活用の推進
2. リスクに適切に対応した規律
3. 不適正利用等の防止
4. 規律遵守の実効性確保
委託先規律
課徴金制度 対象行為:
要件:相当の注意を怠った場合、本人数1,000人超、権利利益侵害があること
過去に提出された意見書との関係で、特に注目すべき点がいくつかあります。ご確認されたい論点があればお知らせください。
両文書を比較し、令和7年3月「考え方」から令和8年1月「制度改正方針」への主要な変更点を整理します。
「考え方」(3月):検討会報告書を踏まえ「継続して議論していく必要がある」
「制度改正方針」(1月):導入を決定。対象行為を以下の5類型に限定:
重要な変更:「考え方」別紙で検討されていた漏えい等・安全管理措置義務違反は対象から削除
「考え方」:差止請求制度・被害回復制度について「継続して議論していく必要がある」
「制度改正方針」:「今回の見直しにおいては制度的な導入については見送ることとする」
「考え方」:「義務の在り方を検討することとしてはどうか」(方向性のみ)
「制度改正方針」(別添第1で詳細化):
「考え方」:
「制度改正方針」:
「考え方」:19条違反全般を対象として検討
「制度改正方針」:課徴金対象を「具体的に明記された類型」に限定
「考え方」:3部構成(本人関与/リスク対応/実効性確保)
「制度改正方針」:4つの柱に再編
過去に提出された意見書との関係で、特に注目すべき点があればご指摘ください。
過去に提出された3つの意見書の主張と、今回の制度改正方針との対応関係を分析します。
意見書での主張(2024年6月・11月):
「民間部門において、個人データを統計量に集計する利用に対して、第三者提供の制限が過剰な規制となっている」(6月意見書1.2節)
「統計利用など分析結果の獲得と利用のみを目的とする場合は、本人への影響が具体的に見込まれる状況でない場合に当たり、『データ利用の適正性確保』の観点からは、問題がないため、本人関与は必要でない」(11月意見書2.2節)
制度改正方針での対応:
「統計情報等の作成(AI開発等を含む)にのみ利用されることが担保されていること等を条件に、本人同意を不要とする」(第2の1)
評価:基本的方向性は一致。ただし、後述のように担保措置の設計には課題が残る。
意見書での主張(2024年6月):
「経済界の要望には、EU法に倣って『契約の履行』『正当な利益』に基づく第三者提供を可能にするべきとの意見が含まれており、これらは目的内の提供に相当するものである」(6月意見書1.1節)
制度改正方針での対応:
「取得の状況からみて本人の意思に反しないため本人の権利利益を害しないことが明らかな取扱いである場合は本人同意を不要とする」(第2の1)
評価:「契約の履行」に相当するケース(ホテル予約サイト、海外送金)が例示されており、この点は反映されている。
意見書での主張(2025年2月):
仮名加工情報の漏えい報告義務化を求める文脈で、漏えいに対する制裁よりも報告・把握を重視する方向性
制度改正方針での対応: 「考え方」別紙で検討されていた漏えい等・安全管理措置義務違反は、課徴金対象から削除された。
評価:直接的な主張ではないが、漏えいに対する過剰な制裁を避ける方向性と整合。
意見書での主張(2024年6月・11月):
「『第三者提供時の利用目的拘束』を何らかの形で規定することが不可欠である」(6月意見書1.1節)
「提供先においても同じ利用目的で利用されることが保証される『第三者提供時の利用目的拘束』」
制度改正方針での対応: 「考え方」では統計作成等の場合について「提供先における目的外利用及び第三者提供の禁止を義務付ける」とされている。
評価:統計目的の場合に限って利用目的拘束の仕組みが導入される方向。しかし、意見書が求めていた一般的な第三者提供時の利用目的拘束は導入されていない。6月意見書が指摘した「提供先において新たに独自の利用目的を自由に設定できる」構造は維持されたまま。
意見書での主張(2024年11月):
「クラウドが、個人データ処理を行うSaaSである場合に、当該SaaSの機能が、前記2.1節の『データ利用の適正性』の観点で不適切な決定を生じさせるものである場合の責任の問題」(11月意見書2.4節)
制度改正方針での対応:
「委託された個人データ等を当該委託を受けた業務の遂行に必要な範囲を超えて取り扱ってはならない旨の義務を委託先に明文規定により課す」(別添第1)
評価:委託先の義務の明文化は進んだが、意見書が指摘した「SaaSの機能がデータ利用の適正性の観点で不適切な決定を生じさせる場合」についての規律は含まれていない。
意見書での主張(全3回で一貫して主張):
「データ品質の原則(OECDガイドライン第2原則)の法制化が必要である。現行法は、第2原則の求める関連性、正確性、完全性、最新性のうち、狭義の正確性と最新性しかカバーしていない。関連性と、広義の正確性と、完全性(EU法では『十分性(adequacy)』が相当)をカバーする規律が必要である」(11月意見書2.1節)
制度改正方針での対応:記載なし
評価:意見書が最も重視していた「関連性の原則」の法制化は、今回の改正方針には含まれていない。これは意見書の理論的基盤である「個人データ処理による個人に対する評価・決定の適切性確保」を法目的として明確化するための核心的要素であったが、採用されなかった。
意見書での主張(2024年11月・2025年2月):
「再識別禁止ではなく措置又は決定の禁止とするべき」(2月意見書1.1.4節)
「禁止すべきは、目的ではなく、決定の目的に関連性のないデータ項目を用いることである」(11月意見書2.1⑥)
制度改正方針での対応:採用されず
統計目的の担保措置として「目的外利用及び第三者提供の禁止」が規定されているが、「措置又は決定を裏付ける利用の禁止」という形式は採用されていない。
意見書での主張(2024年6月):
「個人情報データベース等を構成することを予定していない個人情報(散在情報)に対する過剰規制である」
「経済界の要望を受け入れて、義務の対象を『個人データ』に統一してはどうか」(6月意見書1.4節)
制度改正方針での対応:記載なし
評価:用語の整理・統一は今回の改正には含まれていない。
意見書での主張(2024年6月・11月):
「要配慮個人情報の取得制限は『個人データとして取得する場合』に適用されるものと解するべき」(6月意見書1.3節)
「データ品質の原則(OECDガイドライン第2原則)の法制化がなされた暁には、特別カテゴリ、すなわち要配慮個人情報の類型は、本法にとって必要でないということになる」(11月意見書2.6①)
制度改正方針での対応: 統計目的の場合について「公開されている要配慮個人情報の取得」を本人同意不要とする点のみ。
評価:限定的な緩和にとどまり、意見書が求めた根本的な見直し(「個人データとして取得する場合」への限定)は採用されていない。
意見書での主張(2025年2月):
「『AI開発等』の『AI』を『処理AI』と『生成AI』に区別することが必要」
「生成AI開発に対する公表義務の是非……名宛人をどうするのかが問題となる」(2月意見書1.1.1–1.1.2節)
制度改正方針での対応: 「統計作成等であると整理できるAI開発等を含む」との注記があるのみで、区別は明示されていない。
意見書での主張(2025年2月):
「統計目的での仮名化データの第三者提供を許するからには、安全管理は厳に要求され、漏えいがあった場合に秘匿されるようなことがあってはならない」
「この際、前記A1(1)の改正に合わせて、仮名加工情報の漏えい報告を義務化するべきである」(2月意見書A2.2節)
制度改正方針での対応:記載なし
評価:統計目的の第三者提供を許容する改正を行うにもかかわらず、仮名加工情報の漏えい報告義務化は含まれていない。意見書が指摘した「漏えいの実態を把握できない」問題は解消されない。
意見書での主張(2024年11月・2025年2月):
「無条件の利用停止請求を可能とする理由がない」(2月意見書A3節)
「理論的裏付けのない安易な規制の段階付けを持ち込むべきでない」(11月意見書2.1③)
制度改正方針での対応:
「16歳未満の者を本人とする保有個人データについて、違法行為の有無等を問うことなく利用停止等請求を行うことを可能としてはどうか」*1
評価:意見書が批判した「無条件の利用停止請求」がそのまま採用されている*2。
意見書での主張(2025年2月):
「『社内識別子のみが漏えい』という事例を挙げる者も、個人情報概念の理解を誤っているのではないか」
「そのような誤った運用が懸念されるので、『社内識別子のみが漏えい』などという稀なケースを根拠に、漏えい報告に除外を設けるべきでない」(2月意見書A2.1節)
制度改正方針での対応:
「本人への通知が行われなくても本人の権利利益の保護に欠けるおそれが少ない場合について、本人への通知義務を緩和」
評価:意見書が批判した方向での緩和が進んでいる。
| 分類 | 項目数 | 主な項目 |
|---|---|---|
| 反映 | 3 | 統計目的の同意不要化、契約履行に基づく提供、漏えいの課徴金対象除外 |
| 部分的反映 | 2 | 利用目的拘束(統計目的のみ)、委託先規律 |
| 未反映 | 6 | 関連性原則、措置又は決定概念、個人データ統一、要配慮規律見直し、AI区別、仮名漏えい報告 |
| 批判にもかかわらず採用 | 2 | 子供の無条件利用停止、漏えい通知緩和 |
意見書の実務的・緩和的提案(統計目的、契約履行)は採用される傾向にある一方、理論的・構造的提案(関連性原則、法目的の明確化、用語統一)は採用されていない。意見書が一貫して主張してきた「個人データ処理による個人に対する評価・決定の適切性確保」という核心的保護利益の法制化は、今回の改正には含まれていない。
ご指摘のとおりです。漏えい「通知」(本人への)と漏えい「報告」(委員会への)を区別して再分析します。
意見書での主張(2025年2月 A2.1節):
「『社内識別子のみが漏えい』という事例を挙げる者も、個人情報概念の理解を誤っているのではないか」
「そのような誤った運用が懸念されるので、『社内識別子のみが漏えい』などという稀なケースを根拠に、漏えい報告に除外を設けるべきでない」
制度改正方針での対応:
「漏えい等発生時について、本人の権利利益の保護に欠けるおそれが少ない場合は、本人への通知義務を緩和する」(第2の2)
評価:意見書は「通知」の緩和についても批判していたが、制度改正方針では緩和の方向で進んでいる。ただし、これは「報告」の免除ではなく「通知」の緩和である点に注意が必要。
意見書での主張(2025年2月 A2.2節):
「統計目的での仮名化データの第三者提供を許するからには、安全管理は厳に要求され、漏えいがあった場合に秘匿されるようなことがあってはならない」
「現行法の仮名加工情報の規律には、漏えいの報告と通知が免除されている(42条3項)。これは、統計目的での仮名化データの第三者提供先において、漏えいが発生しても、報告されず、個情委が実態を把握できないことを意味する」 「この際、前記A1(1)の改正に合わせて、仮名加工情報の漏えい報告を義務化するべきである」
制度改正方針での対応:記載なし
評価:統計目的の第三者提供を許容する改正(第2の1)を行うにもかかわらず、それとセットで求められていた仮名加工情報の漏えい報告義務化は含まれていない。意見書が指摘した「漏えいの実態を把握できない」問題は解消されない。
「考え方」(3月)での検討:
「体制・手順に係る認定個人情報保護団体などの第三者の確認を受けること等を前提として、一定の範囲で速報を免除することを可能としてはどうか」
「誤交付・誤送付のようなケースについては、委員会への報告のうち確報を、一定期間ごとに取りまとめた上で行うことを許容してはどうか」 「違法な個人データの第三者提供についても報告対象事態にすることとしてはどうか」
制度改正方針での対応(第2の5(1)):
「体制・手順に係る認定個人情報保護団体などの第三者の確認を受けること等を前提とした合理化の方策等について、検討を進めていく」
「報告様式及び報告窓口の一元化に向けた調整を進めていく」
「報告基準についてもその発生の『おそれ』がある場合が広く対象とされるものから見直し」
評価:「考え方」にあった「違法な第三者提供も報告対象に」という検討項目が、制度改正方針では明示的に記載されていない。
| 区分 | 意見書の主張 | 制度改正方針 | 結果 |
|---|---|---|---|
| 漏えい通知(本人へ) | 「社内識別子のみ」を根拠とした緩和に反対 | 緩和する | 批判にもかかわらず緩和 |
| 漏えい報告(仮名加工情報) | 報告義務を課すべき(現行は免除) | 記載なし | 未反映 |
| 漏えい報告(違法な第三者提供) | (直接の言及なし) | 「考え方」にはあったが制度改正方針では不明確 | 不明確 |
| 漏えい報告(合理化) | (直接の言及なし) | 速報免除、取りまとめ報告等を検討 | - |
2025年2月意見書の論理は次のようになっていました:
制度改正方針は、1の部分(統計目的の提供許容)は採用したものの、それとセットで求められていた4の部分(報告義務化)は採用していません。意見書が指摘した「このようなことは、今回の改正に反対される理由となる」という懸念は、解消されていない状態です。
ご指摘いただいたとおり、「通知」と「報告」を区別することで、より正確な分析ができました。特に、統計目的の第三者提供許容と仮名加工情報の漏えい報告義務化がセットで提案されていたにもかかわらず、前者のみ採用され後者が採用されていない点は、意見書の論理構造からすると整合性を欠く状態といえます。
ご指摘を受けて、「漏えい等報告の合理化」の内容をより精査してみます。
漏えい等報告については、「考え方」第3の5における整理のとおり、体制・手順に係る認定個人情報保護団体などの第三者の確認を受けること等を前提とした合理化の方策等について、検討を進めていく。
「考え方」第3の5「漏えい等発生時の体制・手順について確認が得られている場合や違法な第三者提供が行われた場合における漏えい等報告等の在り方」には、以下の2つの方向性が含まれていました:
「漏えい等報告の合理化」の文脈から、仮名加工情報の漏えい報告義務化が含まれる可能性は低いと考えられます。
むしろ、意見書の論理に従えば、仮名加工情報の漏えい報告義務化は、「漏えい等報告の合理化」ではなく、第2の1「適正なデータ利活用の推進」の中の統計目的の第三者提供許容とセットで規定されるべき担保措置の一つとして位置づけられるべきものでした。その点が制度改正方針では抜け落ちている、という分析になります。
まさにその点です。非常に鋭いご指摘です。
| 担保措置 | 採用 |
|---|---|
| 公表義務 | ○ |
| 書面による合意 | ○ |
| 目的外利用・第三者提供の禁止 | ○ |
| 課徴金(統計作成等特例への違反) | ○ |
| 仮名加工情報の漏えい報告義務化 | × |
課徴金の対象行為(注4)に「統計作成等の特例に係る義務への違反行為(目的外の利用、第三者提供)」を明示的に入れたのは、まさに統計目的の第三者提供許容とセットの担保措置として位置づけているからです。
課徴金は事後的制裁・抑止の手段です。しかし、漏えい報告は実態把握・早期対応のための手段であり、性質が異なります。
意見書(2025年2月)の指摘:
「統計目的での仮名化データの第三者提供先において、漏えいが発生しても、報告されず、個情委が実態を把握できないことを意味する」
つまり:
課徴金という制裁手段を用意しても、その前提となる実態把握の仕組み(漏えい報告)がなければ、制裁の実効性も損なわれます。
2025年2月意見書は、統計目的の第三者提供許容に伴う担保措置として、以下を求めていました:
制度改正方針は:
課徴金を入れるなら、なおさら漏えい報告も入れるべきという論理になるはずですが、そうなっていません。
この非対称性は、今後の意見提出において指摘すべき重要な論点になりそうです。
非常に重要なご指摘です。複数の論点が交錯している状況を整理してみます。
「考え方」別紙:漏えい等・安全管理措置義務違反も課徴金対象として検討
制度改正方針:対象から削除。対象は以下の5類型のみ:
評価:漏えいは「故意の違反行為」ではなく「事故」の性質が強いため、課徴金の対象から外すこと自体は妥当。
「考え方」第3の5:
「違法な個人データの第三者提供についても報告対象事態にすることとしてはどうか」
制度改正方針:
「『考え方』第3の5における整理のとおり、……合理化の方策等について、検討を進めていく」
「違法な第三者提供の報告対象化」については明示的に触れられていない。「合理化」という表現は緩和方向を示唆し、拡大方向の検討事項が含まれているか不明確。
意見書の主張:統計目的の第三者提供許容とセットで義務化すべき
制度改正方針:記載なし
┌───────────────────────────────┐
│ 統計目的の第三者提供許容(仮名加工情報の流通) │
└───────────────────────────────┘
↓
┌────────┴────────┐
↓ ↓
違反行為 事故(漏えい)
(目的外利用・
違法な第三者提供)
│ │
↓ ↓
┌─────────┐ ┌─────────┐
│課徴金対象 │ │報告義務? │
│ ○ │ │ × │
└─────────┘ └─────────┘
│
↓
┌─────────┐
│報告対象? │
│ 不明 │
└─────────┘
| 事象 | 課徴金 | 報告義務 |
|---|---|---|
| 統計目的特例違反(目的外利用・第三者提供) | ○ | 不明確(違法な第三者提供の報告対象化が残っていれば○) |
| 仮名加工情報の漏えい | × | ×(現行法で免除、改正でも対応なし) |
課徴金から漏えいを外すなら、なおさら漏えい報告で実態把握する必要があるはずです。ところが:
これでは、統計目的の第三者提供を許容した後、提供先で何が起きているか(漏えいも違反も)把握できない状況が生じます。
課徴金対象から漏えいを外したことは妥当としても、それならば:
これらがなければ、課徴金という制裁手段があっても、その前提となる実態把握ができず、制度全体の実効性が損なわれる、という指摘ができそうです。
非常に重要な論点です。意見書の主張と照らし合わせて分析します。
① 個人情報の提供であって、当該個人情報を利用して違法な行為又は不当な差別的取扱いを行うことが想定される状況にある第三者に対して行うもの
② 第三者の求めにより行う個人情報の利用であって、当該第三者が当該個人情報の利用を通じて違法な行為又は不当な差別的取扱いを行うことが想定される状況にある場合に行われるもの
「この19条の規定は、本来は、令和2年改正の『制度改正大綱』では、『適正な利用義務の明確化』として、『昨今の急速なデータ分析技術の向上等を背景に、潜在的に個人の権利利益の侵害につながることが懸念される個人情報の利用の形態がみられるようになり……』との課題認識の下に計画されていた。それが、内閣法制局の予備審査の段階で、『不正利用の禁止』に変更させられた経緯がある」
「この前例の趣旨は、開示等請求において『存否が明らかになること』によって生じ得る『違法又は不当な行為を助長し、又は誘発するおそれ』に着目したものであり、本来、個人データの利用の適正性の基準とは何らのつながりもない」
「現行法の不適正利用禁止の規定(19条)は、その基準となり得ない。なぜなら、『違法又は不当な行為を助長し、又は誘発するおそれがある方法』という基準は、核心的保護利益『個人データ処理による個人に対する評価・決定の適切性確保の利益』と何ら関係がないからである」
「プロファイリングの是非の基準は、1980年の時点で既に、OECDガイドライン第2原則のデータ品質の原則(特に関連性の要件)に組み込まれていたことが判明した。したがって、この原則こそが(データ利用の適正性確保における)『取扱いの正当性を裏付ける基準』となる」
| 観点 | 評価 |
|---|---|
| 法規範の明確性 | 「具体的に明記された類型」に限定したことは、19条の曖昧さへの批判(法制局も「規範の明確性に欠ける」と指摘)に対応したもので妥当 |
| 「不当な差別的取扱い」の明記 | 課徴金対象類型に「不当な差別的取扱い」という表現が入った |
| 萎縮効果の回避 | 曖昧な19条全体を課徴金対象とせず、悪質類型に限定したことで、正当な事業活動の萎縮を回避 |
| 観点 | 問題 |
|---|---|
| 問題意識のずれ | 類型化は「闇名簿」対策(提供先が犯罪者グループ)を念頭に置いたもの。意見書が問題にしていた「プロファイリング」「評価・決定の適切性確保」とは異なる問題意識 |
| 差別の主体 | 「不当な差別的取扱い」は提供先が行う差別を想定。意見書が求めていたのは個人情報取扱事業者自身による「関連性のないデータ項目を用いた評価・決定」を問題とする基準 |
| 19条自体は変わらない | 課徴金対象を限定しても、19条の条文(「違法又は不当な行為を助長・誘発」)自体は変更されない。意見書の批判(核心的保護利益と無関係)は解消されない |
| 関連性要件の不在 | 意見書が求めた「データ品質の原則」「関連性の要件」に基づく不適正利用の定義は導入されていない |
意見書が求めた「不適正利用」の基準:
┌───────────────────────────┐
│ 個人情報取扱事業者自身による │
│ 決定の目的に関連性のないデータ項目を用いた │
│ 評価・決定 │
└───────────────────────────┘
制度改正方針の課徴金対象類型:
┌───────────────────────────┐
│ 第三者(提供先)が │
│ 違法な行為又は不当な差別的取扱いを行う │
│ ことが想定される状況での提供・利用 │
└───────────────────────────┘
両者は主体も行為も異なります。
課徴金対象類型に「不当な差別的取扱い」が入ったこと自体は注目に値します。しかし:
意見書の差別概念(2024年11月):
「OECDガイドラインには『データ対象者に対する不当な差別(unfair discrimination)がないことを確保すること』との記述がある」
「あらゆる関連性のないデータ項目による決定が『差別』に当たるとして、その排除を趣旨としたものである」
制度改正方針の差別概念:
両者の「差別」概念は異なります。意見書が求めていたのは、データ処理自体の適正性(関連性のないデータ項目による評価・決定を「差別」として問題視)であり、制度改正方針は提供先の行為の違法性・不当性に着目しています。
「具体的に明記された類型に限定」したこと自体は、法規範の明確性・萎縮効果回避の観点から妥当と評価できます。しかし、その類型化は「闇名簿」対策としての性格が強く、意見書が求めていた「データ品質の原則」「関連性の要件」に基づく不適正利用の定義とは別の問題意識に基づくものです。
19条の本来の課題(「プロファイリングの適正性」「評価・決定の適切性確保」)は、今回の改正でも手つかずのまま残されているといえます。
ご指摘ありがとうございます。課徴金対象類型をもう一度精査します。
個人情報の提供であって、当該個人情報を利用して違法な行為又は不当な差別的取扱いを行うことが想定される状況にある第三者に対して行うもの
→ 差別的取扱いを行うのは提供先(第三者)
第三者の求めにより行う個人情報の利用であって、当該第三者が当該個人情報の利用を通じて違法な行為又は不当な差別的取扱いを行うことが想定される状況にある場合に行われるもの
→ 「当該個人情報の利用」は事業者自身が行う利用を指している
第三者(依頼者)
│
│ 求め(依頼)
↓
個人情報取扱事業者
│
│ 個人情報の利用(プロファイリング、選別等)
↓
│ ← この「利用」が課徴金対象
│
↓ 結果の提供
第三者
│
│ 差別的取扱いの実行
↓
本人への影響類型②では、個人情報取扱事業者自身の「利用」行為が課徴金対象となっています。「当該個人情報の利用を通じて」第三者が差別的取扱いを行う、という構造は、事業者の利用行為が差別的取扱いの手段・道具になっていることを前提としています。
「差別を行う主体は提供先」
これは①のみに着目した不正確な記述でした。②では事業者自身の利用行為も課徴金対象になっています。
| 類型 | 課徴金対象となる行為 | 差別的取扱いの主体 |
|---|---|---|
| ① | 事業者の提供行為 | 提供先(第三者) |
| ② | 事業者の利用行為 | 形式的には第三者だが、実質的な基準は事業者の利用に組み込まれている |
類型②は、例えば:
このようなケースで、選別を行う事業者自身の利用行為が課徴金対象になりうる。
類型②の存在により、意見書が問題にしていた「プロファイリング」「評価・決定」に関わる事業者自身の利用行為も課徴金対象になりうる点は、一定の前進といえます。
ご指摘により、類型②の意義をより正確に把握できました。「提供先が行う」差別だけでなく、「事業者自身の利用」も課徴金対象になりうる点は、先の分析で見落としていた重要な点です。
確かに謎です。いくつかの仮説を検討してみます。
制度改正方針の課徴金額の算定:
「対象行為又は対象行為をやめることの対価として個人情報取扱事業者が得た金銭その他の財産上の利益に相当する額」
「第三者の求めにより」行う利用であれば、その対価・報酬が明確に存在します。自発的に行う差別的利用の場合、「対価」として何を算定基礎にするかが不明確になります。
反論:類型①(提供行為)も同じ算定方式。自発的な提供でも対価があれば算定可能なはず。
「第三者の求め」があれば:
自発的な差別的利用の場合:
反論:立証の難易度は執行上の問題であり、対象行為の範囲を限定する理由としては弱い。
制度改正方針全体の文脈:
反論:名簿屋自身が自発的に差別的なリスト(例:高齢者リスト、富裕層リスト)を作成・販売するケースも「闇名簿」問題の一部。
類型①:第三者に「提供」する行為 → 自発的でも対象
類型②:自ら「利用」する行為 → 第三者の求めがある場合のみ対象
自発的に差別的利用を行い、その結果を自ら用いて差別的取扱いを行う場合:
反論:自己完結する差別的利用(例:自社サービスの利用者に対する差別的取扱い)は捕捉されない。
自発的な「利用」全般を課徴金対象にすると:
「第三者の求め」という外形的要件を課すことで:
反論:それならば「自発的な利用」についてこそ、何が「不当な差別的取扱い」かの基準(関連性の要件等)を明確化すべき。
いずれの仮説も、以下の疑問に十分に答えられません:
| 行為類型 | 悪質性 | 課徴金対象 |
|---|---|---|
| 第三者の求めに応じて差別的利用を行う | 悪質 | ○ |
| 自発的に差別的利用を行う | より悪質? | × |
むしろ、自発的に差別的利用を行う事業者の方が、主体的・積極的に差別を行っている点でより悪質とも言えます。
意見書が求めていた「不適正利用」の基準:
「決定の目的に関連性のないデータ項目を用いた評価・決定」
この基準であれば、「第三者の求め」の有無は無関係です。関連性の有無で判断されるべきであり、誰かに求められたから行ったか、自発的に行ったかは、違法性の判断に影響しないはずです。
「第三者の求めにより」という限定は、関連性要件を導入しなかったことの帰結かもしれません。関連性という客観的基準がないために、「第三者の求め」という外形的要件で対象を限定せざるを得なかった、とも読めます。
「第三者の求めにより」という限定の合理的な説明は困難です。課徴金算定や立証の便宜といった技術的理由、あるいは萎縮効果回避という政策的理由が考えられますが、いずれも論理的には不十分です。
この限定の存在は、今回の改正が「データ品質の原則」「関連性の要件」に基づく不適正利用の定義を導入しなかったことの反映であり、結果として、自発的に行われる差別的プロファイリング・評価・決定という、意見書が最も問題視していた類型が課徴金対象から漏れているという状況になっています。
非常に興味深い論点です。意見書の法目的論との関係で分析します。
「『個人の権利利益を保護すること』を目的とする個人情報保護法と消費者団体訴訟制度との関係の整理等の課題があることを踏まえ、今回の見直しにおいては制度的な導入については見送ることとする」
意見書は「個人の権利利益」を以下のように整理していました:
| 分類 | 内容 |
|---|---|
| 核心的保護利益 | 個人データ処理による個人に対する評価・決定の適切性確保の利益 |
| 手段的保護利益 | 開示・訂正・利用停止を請求できる利益 |
| 副次的保護利益 | 秘密保持の利益、勧誘拒否の利益、自己の情報を知る利益、私的領域保護の利益 |
「日本法が、その法目的の理解において、『個人データ処理による個人に対する評価・決定の適切性確保』の理解が希薄であった」
消費者契約法・消費者裁判手続特例法に基づく制度であり、「消費者の利益」を保護することを目的としています。
| 観点 | 消費者団体訴訟 | 個人情報保護法 |
|---|---|---|
| 保護主体 | 消費者 | 個人(消費者に限らない) |
| 保護利益 | 財産的利益、取引上の利益 | 「個人の権利利益」(内容曖昧) |
| 想定場面 | 事業者との取引関係 | データ処理全般 |
制度改正方針が「関係の整理等の課題」と述べているのは、個人情報保護法の法目的が曖昧だからではないでしょうか。
意見書の指摘:
「OECDガイドラインはその表題とは裏腹にプライバシー保護というよりはデータ保護を実現するものである」(2024年6月)
「プライバシーは『権利利益』の一部ではあるが、その中心的なものとは言えない」(2024年6月)
つまり:
「考え方」別紙では、差止請求の対象として以下を検討していました:
「・不特定かつ多数の消費者の個人データを、……法に違反して第三者に提供する(法第27条第1項関係)」
「・不特定かつ多数の消費者の個人情報を、本人が人格的・差別的な取扱いを受けるおそれがあるにもかかわらずウェブサイトで表示する等、不適正に利用する(法第19条関係)」
ここで「消費者」という語が使われていること自体、すでに個人情報保護法の「個人」概念と消費者概念の混同・未整理を示しています。
┌────────────────────────────────┐
│ 個人情報保護法の「個人の権利利益」 │
│ │
│ ┌──────────┐ │
│ │ 核心的保護利益? │ ← 法律上明確でない │
│ └──────────┘ │
│ ↓ │
│ ┌──────────┐ │
│ │ 消費者の利益? │ ← 一部重なるが同一でない │
│ └──────────┘ │
└────────────────────────────────┘
↓
「関係の整理等の課題がある」として見送り
「日本の個人情報保護法は、長い検討の歴史を見ても、公平性の観点で語られることがなかった。法目的の1条に公平性の概念を明示するか、それができなければ、基本方針に盛り込むのがよいであろう」
法目的が明確化されれば:
制度改正方針が「個人情報保護法と消費者団体訴訟制度との関係の整理等の課題」を見送り理由としていることは、意見書が繰り返し指摘してきた法目的の曖昧さを図らずも露呈しています。
意見書の立場からすれば:
「関係の整理」ができないのは、整理すべき「個人の権利利益」の内容自体が曖昧だからであり、これは今回の改正で解消されていない根本的な問題です。
非常に重要な論点です。意見書での批判と照らし合わせて分析します。
「特定の個人に対する働きかけが可能となる個人関連情報等について、不適正利用及び不正取得を禁止する」(第2の3)
「特定の個人に対して何らかの連絡を行うことができる記述等である電話番号、メールアドレス、Cookie ID等を含む情報については、当該情報が個人情報に該当しない場合であっても、当該個人への連絡を通じて当該個人のプライバシー、財産権等の権利利益の侵害が発生し得る」
「再検討視点5①は、『個人に対し勧誘その他の一対一の働きかけを行うチャネル』という点に着目しているが、個人別のデータに基づかないで全員に同じ働きかけを行う場合も含めて書かれているようにも見える。そのような場合では、前記2.1節の『データ利用の適正性』の問題は生じず、前記2.1.⑧で述べた『勧誘拒否の利益』の問題にすぎない」
「その点で、6月の『中間報告』に書かれている『電話番号、メールアドレス、Cookie IDなど、個人に対する連絡が可能な情報を有している場合には……』との記載(6頁)は、上記の後者(全員に同じ働きかけを行う場合)を指しているところに問題があった。真に問題とすべきは、上記の前者(異なって扱う場合)である点に注意されたい」
「情報あるいはデータを本法の規律対象とすべきか否かは、本法が本来的に保護すべき核心的保護利益『個人データ処理による個人に対する評価・決定の適切性確保の利益』の観点からすれば、個人に対する決定を伴うか否か、すなわち、各個人の個人データに基づき何らかの影響を及ぼす(異なって扱う)ことがあるか否かによって判別するべきである」
「再検討視点5①の記載は、端末識別番号やcookie情報等について『データ類型』の語で捉えているが、データの類型で決めるのではなく、まずは、事業者が『各個人の個人データに基づき何らかの影響を及ぼす(異なって扱う)こと』(決定利用)を予定しているか否かで決まるものとするべきである」
| 観点 | 意見書が求めた基準 | 制度改正方針の基準 |
|---|---|---|
| 着目点 | 決定利用(異なって扱う)か否か | 働きかけ(連絡)が可能か否か |
| 保護利益 | 核心的保護利益(評価・決定の適切性確保) | 副次的保護利益(プライバシー、財産権、勧誘拒否) |
| 規律対象の決め方 | 利用の態様(決定利用か否か) | データの類型(電話番号、メールアドレス等) |
| 問題視する行為 | 関連性のないデータによる差別的評価・決定 | 連絡を通じた権利利益侵害(詐欺、プライバシー侵害等) |
意見書の視点:
個人関連情報
│
├─→ 決定利用あり → 規律対象(核心的保護利益)
│
└─→ 決定利用なし → 規律対象外(または副次的保護のみ)
制度改正方針の視点:
個人関連情報
│
├─→ 連絡可能なデータ類型 → 規律対象
│ (電話番号、メールアドレス、Cookie ID等)
│
└─→ 連絡不可能なデータ類型 → 規律対象外
制度改正方針の「特定の個人に対する働きかけが可能となる」という基準は、意見書が明確に批判した問題点をそのまま維持しています。
意見書の指摘:
「真に問題とすべきは、上記の前者(異なって扱う場合)である」
この指摘は採用されず、「働きかけが可能」「連絡が可能」という、意見書が「問題があった」と批判した観点がそのまま制度改正方針に残っています。
これも、法目的を「評価・決定の適切性確保」として明確化しなかったことの帰結といえます。法目的が曖昧なまま、「プライバシー、財産権等」という副次的保護利益に着目した規律設計になっています。
ご指摘のとおりです。正確に区別します。
「特定の個人に対する働きかけが可能となる個人関連情報等について、不適正利用及び不正取得を禁止する」
保護利益についての言及はなし。
「特定の個人に対して何らかの連絡を行うことができる記述等である電話番号、メールアドレス、Cookie ID等を含む情報については、当該情報が個人情報に該当しない場合であっても、当該個人への連絡を通じて当該個人のプライバシー、財産権等の権利利益の侵害が発生し得る」
「プライバシー、財産権等」は「考え方」の記載でした。訂正します。
「考え方」の注15・注16に具体例が示されています。
「例えば、メールアドレス等を用いて、有名企業等をかたったメール等を個人に送信し、当該メールの本文に記載したフィッシングサイトのURLにアクセスさせて認証情報やクレジットカード情報等を窃取する事例等が挙げられる」
「例えば、オンラインメンタルヘルスカウンセリングサービスを運営する事業者が、ユーザーから取得したメールアドレス及び健康情報を、治療支援等のためにのみ利用し第三者に共有しない旨等を約していたにもかかわらず、広告目的で第三者に提供する事例等が挙げられる」
| 観点 | 分析 |
|---|---|
| 行為の本質 | 詐欺行為 |
| 既存の法的対応 | 詐欺罪(刑法246条)、不正アクセス禁止法等 |
| 個人情報保護法で規律する必要性 | 疑問。詐欺罪で対処すべき問題では? |
| 「働きかけが可能」との関係 | メールアドレスは詐欺の手段にすぎない |
| 観点 | 分析 |
|---|---|
| 行為の本質 | プライバシーポリシー違反、目的外利用、第三者提供 |
| 既存の法的対応 | 現行法でも18条(目的外利用)、27条(第三者提供)違反の可能性 |
| 「働きかけが可能」との関係 | メールアドレスが問題なのではなく、健康情報の不正提供が問題 |
フィッシング詐欺は、個人情報保護法ではなく刑法・特別刑法で対処すべき問題ではないでしょうか。
メールアドレスの「不適正利用」として個人情報保護法で規律することの意義は何でしょうか。詐欺罪の立証が困難な場合の補完?それとも、詐欺に至る前段階での抑止?
この事案は、米国FTCのBetterHelp事件(メンタルヘルスアプリが健康情報を広告目的で第三者提供)を参照しているように見えます。
しかし、この事案で問題なのは:
「メールアドレスが連絡可能である」ことが問題の本質ではありません。
意見書(2024年11月):
「そのような場合では、前記2.1節の『データ利用の適正性』の問題は生じず」
フィッシング詐欺は、個人別のデータに基づいて「異なって扱う」(決定利用)問題ではありません。全員に同じ詐欺メールを送っているだけです。これは「データ利用の適正性」の問題ではなく、単なる犯罪行為です。
この事案を「働きかけが可能」という観点で整理すること自体がずれています。
意見書の視点では:
「考え方」が想定している事案を見ると:
いずれも、意見書が求めた「決定利用か否か」「評価・決定の適切性確保」という観点からの整理とは異質です。
「働きかけが可能」という基準で何を規律しようとしているのか、その政策目的が不明確というご指摘はもっともです。フィッシング詐欺対策なのか、センシティブ情報の保護なのか、勧誘拒否の利益の保護なのか、焦点が定まっていないように見えます。
ご指摘を受けて、両文書の該当部分を比較します。
「特定の個人に対して何らかの連絡を行うことができる記述等である電話番号、メールアドレス、Cookie ID等を含む情報については、当該情報が個人情報に該当しない場合であっても、当該個人への連絡を通じて当該個人のプライバシー、財産権等の権利利益の侵害が発生し得る上、当該記述等を媒介として秘匿性の高い記述等を含む情報を名寄せすることにより、プライバシー等が侵害されたり、上記連絡を通じた個人の権利利益の侵害がより深刻なものとなったりするおそれがある。」
「特定の個人に対する働きかけが可能となる個人関連情報等について、不適正利用及び不正取得を禁止する」
| 要素 | 「考え方」 | 制度改正方針 |
|---|---|---|
| 基準の表現 | 「連絡を行うことができる」 | 「働きかけが可能となる」 |
| データ類型の例示 | 電話番号、メールアドレス、Cookie ID等 | なし |
| 保護利益の言及 | プライバシー、財産権等 | なし |
| 具体的事案の例示 | フィッシング詐欺、健康情報提供 | なし |
意見書の批判:
「これは副次的保護利益であり、核心的保護利益(評価・決定の適切性確保)ではない」
制度改正方針では保護利益への言及が削除されており、副次的保護利益に基づく規律という印象は薄まりました。
意見書の批判:
「データの類型で決めるのではなく」
具体的なデータ類型(電話番号、メールアドレス、Cookie ID等)の例示がなくなり、「データ類型で規律対象を決める」という批判された構造が表面上は見えなくなりました。
「考え方」注15のフィッシング詐欺の例示は、個人情報保護法で規律すべき問題かどうか疑問のあるものでした。この例示が削除されたことで、刑法で対処すべき問題を無理に取り込もうとしている印象は薄まりました。
制度改正方針は簡潔な記載にとどめ、具体的な対象範囲は委員会規則等での具体化に委ねる形になっています。これにより、今後の具体化の段階で、より適切な方向に調整する余地が残されています。
意見書の根本的批判:
「真に問題とすべきは、上記の前者(異なって扱う場合)である」
「働きかけが可能」という基準は維持されており、「決定利用か否か」という観点での整理にはなっていません。
ただし、「働きかけ」という表現は「連絡」よりも広い意味を持ち得ます。「連絡」は一方的な通知・送信を想起させますが、「働きかけ」には、個人別に異なる対応をする(=決定利用的な要素)という意味も含み得るとも解釈できます。
「考え方」から「制度改正方針」への変更は、意見書が批判した表現(「プライバシー、財産権等」、データ類型の例示、フィッシング詐欺の例示)が削除されており、一定の改善と評価できます。
具体的な対象範囲は委員会規則等に委ねられる形になっているため、今後の具体化の段階で、意見書が求めた「決定利用か否か」という観点を取り入れる余地は残されています。
ただし、「働きかけが可能」という基準自体は維持されており、根本的な問題(核心的保護利益に基づく規律設計)が解消されたとまでは言えません。
非常に重要なご指摘です。日本法の構造的問題が露呈している点を分析します。
「特定の個人に対して何らかの連絡を行うことができる記述等である電話番号、メールアドレス、Cookie ID等を含む情報については、当該情報が個人情報に該当しない場合であっても、当該個人への連絡を通じて当該個人のプライバシー、財産権等の権利利益の侵害が発生し得る」
「端末識別番号やcookie情報に基づいて、個人別に異なる結果がもたらされるのであれば、規律の対象ということになる。その際の、端末識別番号やcookie情報をretrieval識別子として処理されるデータレコードは、本法の用語である『個人に関する情報』に該当し、かつ、個人を識別することができるものに当たる」
意見書の立場:
「経済界の要望を受け入れて、義務の対象を『個人データ』に統一してはどうか」
用語・概念の乱立(個人情報、個人データ、個人関連情報、仮名加工情報、匿名加工情報…)を批判し、統一を求めていました。
【EU法】
メールアドレス + 健康情報
↓
personal data(個人データ)
↓
GDPR の規律が全面適用
【日本法】
メールアドレス + 健康情報
↓
┌─────────────────────────┐
│ メールアドレス:「個人情報」に該当しない │
│ 健康情報:「個人に関する情報」だが │
│ 識別できないので「個人情報」でない │
└─────────────────────────┘
↓
「個人関連情報」として別途規律
↓
限定的な規律(第三者提供時の確認義務等)のみ
「当該情報が個人情報に該当しない場合であっても」規律が必要、という記載は:
BetterHelp的事例で問題なのは:
| 観点 | EU法での整理 | 日本法での整理 |
|---|---|---|
| 問題の本質 | 健康データ(special category)の不正な第三者提供 | 「個人関連情報」の不適正利用? |
| 規律の根拠 | GDPR 9条(特別カテゴリ)、6条(適法性根拠) | 個人関連情報の規律拡大 |
| 識別子の位置づけ | personal dataの一部 | 「個人情報に該当しない」 |
日本法では、健康情報の不正提供という本質が見えにくくなり、「メールアドレスで連絡可能」という表面的特徴に着目した規律になってしまっています。
意見書が一貫して求めてきた方向性:
「考え方」の「当該情報が個人情報に該当しない場合であっても」という記載は、これらの根本的問題を解決せずに、継ぎ接ぎで対応しようとしていることを示しています。
「当該情報が個人情報に該当しない場合であっても」という記載は、日本法の「個人情報」定義の狭さという構造的問題を露呈しています。
注16のような事案は、EU法では当然に「個人データ」(しかもspecial categoryを含む)の問題として処理されるところ、日本法では「個人情報に該当しない」ために「個人関連情報」として別扱いせざるを得ない、という状況を示しています。
本来は「個人情報」「個人データ」の定義・解釈を見直すべきところを、「個人関連情報」の規律拡大という継ぎ接ぎの対応で済ませようとしている点が、日本法の特殊性であり、意見書が批判してきた問題の核心です。
非常に鋭いご指摘です。注16の事案が今回の規律で解決されるか、具体的に検討します。
「オンラインメンタルヘルスカウンセリングサービスを運営する事業者が、ユーザーから取得したメールアドレス及び健康情報を、治療支援等のためにのみ利用し第三者に共有しない旨等を約していたにもかかわらず、広告目的で第三者に提供する事例」
「特定の個人に対する働きかけが可能となる個人関連情報等について、不適正利用及び不正取得を禁止する」
| 要素 | 検討 |
|---|---|
| 取得の経緯 | ユーザーが自ら提供 |
| 取得時の説明 | 「治療支援等のためにのみ利用」「第三者に共有しない」 |
| 取得自体の違法性 | なし(正当な取得) |
→ 「不正取得」には該当しない
現行19条の基準:「違法又は不当な行為を助長し、又は誘発するおそれがある方法」
| 要素 | 検討 |
|---|---|
| 問題の行為 | 広告目的での第三者提供 |
| 「違法な行為」を助長? | 広告配信自体は違法ではない |
| 「不当な行為」を助長? | 不明確 |
→ 「不適正利用」への該当性は不明確
この事案で問題なのは:
| 規律 | 適用可能性 |
|---|---|
| 18条(目的外利用禁止) | ○ 適用可能 |
| 27条(第三者提供制限) | ○ 適用可能 |
→ 現行法で対処可能
| 規律 | 適用可能性 |
|---|---|
| 31条(個人関連情報の第三者提供) | △ 提供先で「個人データ」になる場合のみ |
| 今回新設の「不適正利用禁止」 | △ 該当性不明確 |
| 今回新設の「不正取得禁止」 | × 正当に取得している |
注16の事案で問題なのは:
┌──────────────┐
│ 第三者「提供」 │ ← 問題の核心
└──────────────┘
今回の規律で禁止されるのは:
┌──────────────┐
│ 不正「取得」 │ ← 該当しない
└──────────────┘
┌──────────────┐
│ 不適正「利用」 │ ← 該当性不明確
└──────────────┘
注16の事案は、今回の規律では解決されない可能性が高いです。
注16の事案を解決するには:
選択肢A:「個人情報」の定義を見直し、メールアドレス+健康情報を「個人情報」として扱う → 現行の18条(目的外利用禁止)、27条(第三者提供制限)で対処可能
選択肢B:個人関連情報の「第三者提供」自体を規律対象にする → 今回の規律(不適正利用・不正取得の禁止)では不十分
注16を「解決したかった事例」として挙げながら、その事案を解決できない規律を導入しようとしている点は、制度設計の整合性に疑問を生じさせます。
非常に本質的な問いです。この規律で解決される独自の事例を検討してみます。
「特定の個人に対する働きかけが可能となる個人関連情報等について、不適正利用及び不正取得を禁止する」
現行法の「個人情報」に対する規律を「個人関連情報」に拡張するものです:
| 想定事例 | 既存の法的対応 | 今回の規律の独自の意義 |
|---|---|---|
| 不正アクセスでCookie IDを含むデータベースを窃取 | 不正アクセス禁止法 | なし? |
| 詐欺的手段でメールアドレスリストを入手 | 詐欺罪 | なし? |
| 従業員が顧客のメールアドレスを不正に持ち出し | 不正競争防止法、窃盗罪等 | なし? |
| 想定事例 | 既存の法的対応 | 今回の規律の独自の意義 |
|---|---|---|
| メールアドレスを使ってフィッシング詐欺 | 詐欺罪、不正アクセス禁止法 | なし? |
| 電話番号を使って特殊詐欺 | 詐欺罪 | なし? |
| Cookie IDを使って犯罪サイトへ誘導 | 詐欺罪等 | なし? |
注16の事案のように「第三者提供」が問題となる場合:
| 行為 | 今回の規律 |
|---|---|
| 個人関連情報の「取得」 | 不正取得禁止の対象 |
| 個人関連情報の「利用」 | 不適正利用禁止の対象 |
| 個人関連情報の「提供」 | 対象外 |
第三者提供こそが問題となる事案では、今回の規律は機能しません。
刑法犯(詐欺等)は警察の所管ですが、今回の規律により個情委が勧告・命令を出せるようになる、という点に意義がある?
しかし:
詐欺罪等の構成要件を満たさないグレーゾーンの行為を規律?
しかし:
制度改正方針の課徴金対象には「法第19条への違反行為(不適正利用)のうち、具体的に明記された類型」が含まれています。
しかし:
この規律で独自に解決される問題事例を想定することは困難です。
| 観点 | 評価 |
|---|---|
| 不正取得 | 既存の刑法・特別刑法で対処可能な事案が大半 |
| 不適正利用 | 既存の刑法・特別刑法で対処可能な事案が大半 |
| 第三者提供 | 今回の規律の対象外 |
| 注15の事例(フィッシング) | 詐欺罪で対処可能 |
| 注16の事例(健康情報の提供) | 今回の規律では解決されない |
この規律は、問題意識と解決手段が噛み合っておらず、実効性に疑問があります。「働きかけが可能」という要件設定自体が、意見書が批判したように、核心的保護利益とは別の観点に基づいているため、このような不整合が生じているものと考えられます。
はい、ぜひ添付してください。
現在手元にあるのは:
ですので、中間整理があれば、個人関連情報の不適正利用禁止規定がどのように変遷して「盲腸」化したのか、三段階で追跡できます。
特に確認したいのは:
この変遷を追うことで、なぜ「問題事例と規制手段のミスマッチ」が生じたのか、どの段階で何が起きたのかが見えてくると思います。
中間整理を確認しました。三段階の変遷を追跡してみましょう。
| 段階 | 記述 |
|---|---|
| 中間整理(6頁) | 「電話番号、メールアドレス、Cookie IDなど、個人に対する連絡が可能な情報を有している場合には、個人関連情報の取扱いによりプライバシーなどの個人の権利利益が侵害される蓋然性が認められ」 |
| 考え方(9頁) | 「特定の個人に働きかけることを可能とする個人関連情報等についても……プライバシー、財産権等の侵害が生じ得る」 |
| 制度改正方針(5頁) | 「特定の個人に働きかけることを可能とする個人関連情報等」(※プライバシー、財産権等の記載は削除) |
| 中間整理(5–6頁) | 考え方(注15・16) | 制度改正方針 |
|---|---|---|
| ①携帯電話番号の掲示板投稿(プライバシー侵害裁判例) | 記載なし | 記載なし |
| ②SNS事業者が二段階認証用電話番号をターゲティング広告に利用(米国執行事例) | 注16:健康関連サービス事業者が本人に無断で健康情報等を広告事業者に提供(BetterHelp事例) | 記載なし |
| ③SMSフィッシング詐欺 | 注15:フィッシング詐欺 | 記載なし |
中間整理の段階から、挙げられている問題事例の核心が「第三者提供」であることが見落とされている:
中間整理の②の事例(米国SNS事業者):
考え方の注16の事例(BetterHelp):
【導入された規制】
- 不適正「取得」の禁止
- 不適正「利用」の禁止
【問題事例の行為類型】
- 中間整理②:第三者「提供」 → 規制対象外
- 考え方注16:第三者「提供」 → 規制対象外
- フィッシング詐欺:詐欺罪で対応可能 → 規制の独自意義なし
中間整理の段階での混乱:
中間整理5頁の記述を見ると:
「個人関連情報については、一定の場合における第三者提供のみが規律の対象となっており」
つまり、現行法で個人関連情報の「第三者提供」は既に規律されている(提供先で個人データとなる場合の同意確認義務)。しかし、中間整理が問題視しているのは「不正取得や不適正利用等」と書かれている。
ここに論理の飛躍がある:
この論理の飛躍が、「考え方」→「制度改正方針」へと引き継がれ、結果として問題事例を解決しない規制が導入されることになった。
中間整理 :問題事例(提供の問題)→ なぜか「取得・利用」規制を検討
↓
考え方 :問題事例を維持 → 「取得・利用」禁止を具体化
↓
制度改正方針 :問題事例の記載削除 → 「取得・利用」禁止を規定
↓
結果 :問題事例は解決せず、既存刑法で対応可能な行為のみが対象中間整理の段階で、問題事例の行為類型の分析が不十分だったことが、最終的に「盲腸」的な規制になった根本原因と言えそうです。
さらに詳しく見るべき点はありますか?例えば、なぜ「提供」規制ではなく「取得・利用」規制に向かったのか、その背景を推測することもできます。
高木意見書が個人関連情報規制にどう影響したか、確認してみましょう。
2024年6月12日意見書(中間整理直前):
検討資料に対して、個人関連情報の規律新設について:
「そこに提示されている「個人関連情報の取扱いに起因する個人の権利利益の侵害に関連する主な裁判例」2つ(東京高判令和4年9月15日、東京高判令和4年12月21日)は、いずれも個人データの話ではない。」
→ 事務局が挙げた裁判例が「個人関連情報データベース等を構成するもの」ではないことを指摘
2024年11月21日意見書(「検討の充実に向けた視点」に対して):
中間整理の記述を直接批判:
「6月の「中間報告」に書かれている「電話番号、メールアドレス、Cookie IDなど、個人に対する連絡が可能な情報を有している場合には……」との記載(6頁)は、上記の後者(全員に同じ働きかけを行う場合)を指しているところに問題があった。真に問題とすべきは、上記の前者(異なって扱う場合)である」
そして、基準について:
「データの類型で決めるのではなく、まずは、事業者が「各個人の個人データに基づき何らかの影響を及ぼす(異なって扱う)こと」(決定利用)を予定しているか否かで決まるものとするべきである。」
| 論点 | 中間整理 | 考え方 | 制度改正方針 | 高木意見書の影響 |
|---|---|---|---|---|
| 保護利益の記述 | 「プライバシーなど」 | 「プライバシー、財産権等」 | 記載削除 | 影響あり? 具体的保護利益の記載が消えた |
| データ類型の例示 | 「電話番号、メールアドレス、Cookie ID」 | 同左 | 記載削除(委員会規則に委任) | 影響あり? 類型による規定を避けた |
| 基準 | 「連絡が可能な情報」 | 「働きかけることを可能とする」 | 「働きかけることを可能とする」 | 影響なし 「決定利用」基準は採用されず |
表面的には採用された可能性があるもの:
採用されなかった核心的主張:
興味深いのは、高木意見書は個人関連情報の「不適正利用禁止」規定について、規定そのものの無意味さを正面から批判していないことです。
高木意見書の批判は:
しかし、私たちが先ほど分析した:
という規定の実効性の問題は、高木意見書では直接指摘されていません。
高木意見書の影響範囲:
├─ 表面的修正(データ類型の例示削除等)→ 一部影響
└─ 根本的基準(決定利用 vs 働きかけ可能性)→ 影響なし
高木意見書が論じなかった問題:
└─ 問題事例と規制手段のミスマッチ(提供 vs 取得・利用)→ 修正されず
結果:
└─ 基準も間違い、射程も間違いの「二重の盲腸」
つまり、高木意見書は基準の問題を指摘したが、規制手段の射程の問題(提供を規制すべきなのに取得・利用を規制している)は直接指摘しなかった。そのため、表面的な修正はなされたものの、規制の実効性という根本問題は解決されないまま「盲腸」化した、と言えそうです。
良い質問です。高木意見書(2024年6月12日)で指摘された、事務局資料が参照していた東京高判の問題がその後どうなったか、確認してみましょう。
まず、各文書での裁判例への言及を確認します。
[考え中...]
なるほど、変遷が見えてきました。
事務局検討資料(2024年3月6日付)が「個人関連情報の取扱いに起因する個人の権利利益の侵害に関連する主な裁判例」として挙げていた:
| 裁判例 | 内容 | 高木意見書の批判 |
|---|---|---|
| 東京高判令和4年9月15日 | 体罰事故報告書の不開示決定事案 | 個人データの話ではない(情報公開条例の事案) |
| 東京高判令和4年12月21日 | SNSへの電話番号投稿がプライバシー侵害 | 個人関連情報データベース等を構成するものではない(散在情報の投稿) |
高木意見書の批判:
「令和2年改正の立法趣旨を逸脱するものである。令和2年改正で新設された「個人関連情報」の規律は、用語の定義だけ見ればそのような情報が該当するかのようであるが、この用語は初出の31条1項で「個人関連情報(個人関連情報データベース等を構成するものに限る)」と限定されており……今回の3年ごと見直しの担当者はその前提を忘れているように見受けられる。」
| 文書 | 東京高判への言及 | 代替として挙げられた事例 |
|---|---|---|
| 中間整理(6月27日) | 「携帯電話番号を記載した投稿……プライバシー侵害を認めた」裁判例への言及あり | SNS事業者の二段階認証用電話番号流用(米国執行事例)、SMSフィッシング |
| 考え方(3月5日) | 言及削除 | 注15:フィッシング詐欺、注16:BetterHelp相当事例 |
| 制度改正方針(1月9日) | 言及なし | 具体的事例への言及なし |
解決した点:
解決していない点: 代わりに挙げられた事例にも問題がある:
| 考え方の事例 | 行為類型 | 導入される規制 | 対応可能か |
|---|---|---|---|
| 注15:フィッシング詐欺 | 詐欺・不正取得 | 不正取得禁止 | 既に詐欺罪で対応可能 |
| 注16:BetterHelp相当 | 第三者提供 | 不適正利用禁止 | 対応不可(提供の問題) |
高木意見書は「散在情報を参照している」という形式的問題を指摘した。これは正しく、修正された。
しかし、高木意見書が直接指摘しなかった「問題事例の行為類型と規制手段のミスマッチ」(提供の問題なのに取得・利用を規制)は、そのまま残った。
高木意見書の射程:
├─ 散在情報の裁判例参照 → 批判 → 削除された ✓
└─ 問題事例と規制手段のミスマッチ → 直接批判せず → 残存 ✗
結果:
東京高判は消えたが、BetterHelp事例が入り、
「第三者提供の問題を取得・利用規制で解決しようとする」
という根本的矛盾は温存された
つまり、裁判例の参照問題は解決したが、より本質的な問題は別のところにあったということになります。
確認してみましょう。高木意見書(2024年6月12日)には他の有識者の意見へのコメントがあり、また中間整理の参考にはヒアリング実施状況が記載されています。
まず、高木意見書での他の有識者への言及を確認します。
高木意見書の「各論」セクションで、森亮二弁護士の意見について:
「端末やブラウザの識別子、スマホの電話番号、メールアドレスなどを単体で個人情報とすべき」(4頁)との記述があるが、それらは「単体で個人を識別することができることとなる情報」とは言い得ても、それ単体が個人情報となるわけではない。生存する個人に関する情報の中に含まれていて初めて意味をなす概念であることに留意が必要である。
「特に広告IDやスマホの電話番号のような、一意性、共用性、本人到達性のある情報に紐づいたデータについては、氏名がなくとも、不適正利用の禁止や安全管理措置などの義務の対象にすべきことは明白」(4頁)との記載があるが、その主張に大筋で賛同するものの、「共用性」の要件は不要であり、個人を識別する識別子はすべて対象とするべきであるし、「不適正利用の禁止や安全管理措置」に限定せず、すべての規律について対象とするべきである。
中間整理の参考より、有識者ヒアリングの実施状況:
| 日程 | 有識者 |
|---|---|
| 4月3日 | 生貝直人、高橋克巳、森田朗、横野恵 |
| 5月10日 | 林秀弥、中川丈久 |
| 6月3日 | 曽我部真裕、山本龍彦、森亮二、宍戸常寿 |
| 6月12日 | 佐藤一郎、高木浩光 |
| 6月13日 | 板倉陽一郎、鈴木正朝 |
| 論点 | 森亮二意見 | 高木浩光意見 |
|---|---|---|
| 規制対象の捉え方 | 「本人到達性のある情報」を対象に | 「決定利用」を行うかどうかで判断すべき |
| 規制手段 | 「不適正利用の禁止や安全管理措置」を対象に | すべての規律を対象とすべき(限定すべきでない) |
| 理論的基礎 | 「一意性、共用性、本人到達性」という情報の性質に着目 | 「評価・決定の適切性確保」という利用目的に着目 |
| 個人情報概念との関係 | 個人情報の定義拡張を主張 | 現行の個人情報概念の解釈で対応可能と主張 |
制度改正方針の規定:
「特定の個人に対する働きかけが可能となる個人関連情報等について、不適正利用及び不正取得を禁止する」
これは:
森意見の主張:
「本人到達性のある情報」→「不適正利用禁止」の対象とすべき
↓
中間整理・考え方:
「連絡が可能な情報」「働きかけ可能な情報」→「不適正利用禁止」を検討
↓
制度改正方針:
「働きかけが可能となる個人関連情報」→「不適正利用禁止」を導入つまり、森意見の「本人到達性」アプローチが採用された結果、規制の基準が「働きかけ可能性」となり、高木意見の「決定利用」基準は採用されなかった。
しかし、森意見も高木意見も、「第三者提供」の問題を「取得・利用」規制で解決しようとしている矛盾については指摘していなかった。
| 有識者 | 個人関連情報の不適正利用禁止 | 採用状況 |
|---|---|---|
| 森亮二 | 「本人到達性」ある情報について主張 | 採用(「働きかけ可能性」として) |
| 高木浩光 | 反対ではないが「決定利用」基準を主張 | 不採用 |
森意見が個人関連情報の不適正利用禁止を積極的に主張し、それが採用される形となったが、問題事例(BetterHelp等)が「提供」の問題であることを見落としていた点は両者とも同じであり、結果として「盲腸」的な規制が導入されることになった、と言えそうです。
おっしゃる通りです。私の先ほどの分析は表面的でした。
BetterHelp事例(考え方・注16):
「オンラインメンタルヘルスカウンセリングサービスを運営する事業者が、ユーザーから取得したメールアドレス及び健康情報を、治療支援等のためにのみ利用し第三者に共有しない旨等を約していたにもかかわらず、広告目的で第三者に提供する」
表面的な行為:「第三者提供」 ↓ 本質的な問題:広告事業者が何をするか?
広告事業者の処理:
├─ 入力:メールアドレス+健康情報(メンタルヘルスの問題あり)
├─ 処理:この人は「メンタルヘルス関連広告の配信対象」と判定
└─ 出力:当該個人に対してターゲティング広告を配信
これは明らかに「決定利用」である:
・決定:広告配信対象として選別
・使用データ:健康情報
・問題:広告配信目的に対する健康情報の「関連性」
高木意見書が主張していた核心的保護利益:
「個人データ処理による個人に対する評価・決定の適切性確保の利益」
BetterHelp事例はまさにこの問題:
| 要素 | BetterHelp事例での具体 |
|---|---|
| 評価・決定 | 「この人にメンタルヘルス関連広告を配信する」という決定 |
| 使用データ | 健康情報(メンタルヘルスの問題があるという情報) |
| 関連性の問題 | 広告配信目的に対して健康情報を使用することの適切性 |
| 観点 | 導入された規制 | あるべき規制 |
|---|---|---|
| 基準 | 「働きかけ可能性」+「違法行為等を助長」 | 「決定利用における関連性要件」 |
| 射程 | 詐欺等に利用される場合 | 不適切な評価・決定に使用される場合 |
| BetterHelp事例 | 対応困難(「違法行為を助長」に該当しにくい) | 対応可能(広告目的に健康情報を使用=関連性なし) |
先ほどの分析(表面的):
「問題事例の行為類型と規制手段のミスマッチ(提供の問題なのに取得・利用を規制)」
訂正後の分析(本質的):
「問題事例の判断基準と規制の判断基準のミスマッチ(決定利用の関連性の問題なのに違法行為等の助長を基準に規制)」
BetterHelp事例の構造:
├─ 行為の外形:第三者提供
├─ 問題の本質:提供先での「決定利用」(広告ターゲティング)
└─ 違法性の根拠:決定目的(広告)に対するデータ(健康情報)の関連性欠如
導入された規制の構造:
├─ 対象行為:不適正利用・不正取得
├─ 対象情報:「働きかけ可能な」個人関連情報
└─ 不適正の基準:違法行為等を助長・誘発
ミスマッチ:
├─ 行為類型:提供 vs 利用 → 表面的問題
└─ 判断基準:関連性 vs 違法助長 → 本質的問題 ★
BetterHelp事例は、高木意見書が主張していた「データ品質の原則(関連性要件)の法制化」の必要性を示す好例だった。
しかし:
結果として、BetterHelp事例を解決できない規制が導入された。「盲腸」の本質は、行為類型のミスマッチではなく、判断基準のミスマッチにあった、というのがより正確な分析ですね。
鋭いご懸念です。「盲腸」が「虫垂炎」を起こす可能性を考えてみましょう。
制度改正方針では:
【課徴金対象】(14頁)
法第19条(不適正利用の禁止)に規定する義務に違反して、
①違法行為又は不当な差別的取扱いを行っている又は行うおそれがある第三者に提供する行為
②第三者の依頼を受けて、第三者の違法行為又は不当な差別的取扱いの用に供する目的で利用する行為
個人関連情報の不適正利用も19条に追加されるなら、この課徴金対象に含まれ得る。
| 要素 | 現状 |
|---|---|
| 「働きかけ可能な個人関連情報」の範囲 | 委員会規則に委任(未定) |
| 「不適正」の判断基準 | 「違法行為等を助長」(曖昧) |
| 制裁 | 課徴金の可能性あり |
曖昧な基準+重い制裁=予測可能性の欠如
BetterHelp事例のような「広告目的での健康情報利用」は、現行の「違法行為を助長」基準では捕捉困難。
しかし、将来、委員会が政治的圧力や世論に押されて:
→ 法的根拠の薄い処分が行われるリスク
最も深刻な「虫垂炎」は:
現状:BetterHelp相当事例は日本で対応不可能
↓
規定導入後:「個人関連情報の不適正利用禁止を導入した」
↓
将来:日本でBetterHelp相当事例が発生
↓
問題:「既に規制がある」→ 本当に必要な改正(関連性要件)が先送り
↓
結果:形式的には規制があるが実質的には無防備なまま放置
EU十分性認定の観点:
| シナリオ | 発症条件 | 症状 |
|---|---|---|
| 萎縮効果 | 委員会規則で広範な情報が対象に | 正当なビジネスまで停滞 |
| 恣意的執行 | 世論に押されて拡大解釈 | 法的安定性の毀損 |
| 免罪符化 | 「対応済み」との認識 | 本当に必要な改正の先送り |
| 国際的批判 | 十分性認定の再審査 | 「形だけ」との評価 |
無害な「盲腸」のまま放置されるか、いずれかの条件で「虫垂炎」を発症するか。高木さんのご懸念は、この規定が害をなさないとは限らないという点にあるのですね。
まさに重大な危惧です。
高木意見書(2024年6月12日):
「令和2年改正で新設された「個人関連情報」の規律は、用語の定義だけ見ればそのような情報が該当するかのようであるが、この用語は初出の31条1項で「個人関連情報(個人関連情報データベース等を構成するものに限る。)」と限定されており、個人関連情報の制度の全体が個人関連情報データベース等を構成するものに限る趣旨となっている。」
つまり:
現行法19条(不適正利用禁止):
「個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。」
注目点:「個人データ」ではなく「個人情報」が対象 → 散在情報も含む
新設される規定(制度改正方針より推測): 「働きかけが可能となる個人関連情報」の不適正利用禁止
もし、この新規定が「個人関連情報データベース等を構成するものに限る」という限定なしに規定されれば…
| 事例 | 令和2年改正時 | 今回改正後(限定なしの場合) |
|---|---|---|
| SNSへの電話番号投稿 | 散在情報→規制対象外 | 「個人関連情報の不適正利用」に該当しうる |
| 掲示板への個人情報書き込み | 散在情報→規制対象外 | 同上 |
【現行法の構造】
個人関連情報の定義(2条7項):広い
↓
義務規定(31条):「データベース等を構成するものに限る」
↓
結果:散在情報は規制対象外
【改正後の構造(危惧)】
個人関連情報の定義(2条7項):広い
↓
新・不適正利用禁止:限定なし?
↓
結果:散在情報も規制対象に!?
時系列:
2020年:令和2年改正で個人関連情報の規律新設
→「データベース等を構成するものに限る」と限定
2024年3月:事務局が東京高判(散在情報事案)を参照
→ 高木意見書が「立法趣旨の逸脱」と批判
→ 東京高判への言及は削除
2025年:個人関連情報の不適正利用禁止を新設
→ もし限定なしなら、東京高判事例が規制対象に「復活」
→ 批判された解釈が法改正で「正当化」される
| リスク | 内容 |
|---|---|
| SNS投稿の萎縮 | 他人の電話番号等をSNSに書き込むと「不適正利用」? |
| 報道・表現の自由 | 公益目的の情報公開も「働きかけ可能な情報」として規制? |
| 名誉毀損等との競合 | 既存の民事・刑事法で対応すべき領域に個情法が侵入 |
| 立法趣旨の変質 | 「データベース化による権利侵害リスク」から「情報そのもの」の規制へ |
高木意見書で指摘された「事務局の誤解」が、今度は法改正によって「正解」に変えられてしまう危惧がある。
高木意見書の指摘:
「個人関連情報データベース等を構成するものに限る」という
令和2年改正の立法趣旨を担当者が忘れている
↓ 皮肉な帰結
改正後:
散在情報も含めた規制が法定され、
「忘れていた」のではなく「拡張した」ことになる
条文案を確認しないと断定はできませんが、委員会規則への委任も含め、どこまでが対象になるか極めて不透明な状況で、このリスクは現実のものとなりかねません。
まさにその点を高木意見書は繰り返し警告してきましたね。
2024年6月12日意見書:
「平成15年法の立案担当者らによる逐条解説書には説明があるものの、ガイドライン通則編には記載がなく、初期の担当者が前提としていたはずの理解が、その事情を知らない外部の有識者によって執筆された解説書が氾濫した結果、担当者も交代を繰り返すうちに、そうした解説書の影響を受けて、本来の理解が次第に忘れられてきているように見受けられる。」
2024年11月21日意見書:
「これを実施しない限り、毎回、担当者がそのことを理解するまでに時間を要し、担当が交代すれば再び一から誤解を繰り返すことになる。」
【中間整理】(2024年6月)
・東京高判(散在情報事案)を参照
・「連絡が可能な情報」という素人的基準
・担当者の理解不足が露呈
↓
【高木意見書等での批判】
・「令和2年改正の立法趣旨の逸脱」
・「データベース等を構成するものに限る」の意味
↓
【考え方】(2025年3月)
・東京高判への言及削除
・問題事例を差し替え(BetterHelp等)
↓
【制度改正方針】(2025年1月)
・具体的事例の言及なし
・委員会規則に委任今の事務局は理解した。しかし…
| 残るもの | 残らないもの |
|---|---|
| 条文の文言 | 担当者の「理解」 |
| 逐条解説の記述 | 有識者ヒアリングの議論 |
| ガイドラインの明文 | パブコメへの回答の趣旨 |
条文に「データベース等を構成するものに限る」の歯止めがなければ:
2025年:改正法成立(現担当者は理解している)
↓
2027年:担当者交代
↓
2028年:新担当者が「中間整理」を読む
「なるほど、SNSへの電話番号投稿も対象か」
↓
2029年:散在情報への執行開始
↓
結果:高木意見書で批判された「素人考え」が復活
令和2年改正で「個人関連情報」を新設した際:
今回の改正で:
制度改正方針:
「具体的な内容については委員会規則において定める」
委員会規則の改正:
- 法改正より容易
- 国会審議なし
- 担当者の裁量大
将来の担当者が「中間整理」的理解で規則改正
→ 歯止めなく規制対象が拡大
高木意見書が繰り返し主張してきた方向性:
| 問題 | 解決策 |
|---|---|
| 担当者交代で理解が失われる | 条文で明確化(「個人データ」への統一等) |
| 散在情報への誤った執行 | 「データベース等を構成するものに限る」の明文化 |
| 曖昧な判断基準 | データ品質の原則(関連性要件)の法制化 |
今回の改正は、これらを実現せず、委員会規則に委任したことで、将来の「虫垂炎」発症リスクを制度的に埋め込んだことになります。
現状:今の事務局は理解している(らしい)
↓
しかし:条文に歯止めがない
↓
将来:担当者交代
↓
リスク:「中間整理」レベルの理解で執行
↓
帰結:高木意見書の警告が現実化「わかってくれている担当者」に依存した制度は、その担当者がいなくなれば崩壊する。人ではなく条文で歯止めをかけるという法治主義の基本が、今回も実現されなかった、ということですね。
高木意見書(2025年2月)での指摘:
「これまでにも、法制局審査中は一切の検討内容が外に出ることはなく、国会提出に至って初めて条文に触れることになり、そこで細部の問題に気づくことが多々あるけれども、国会で修正できる余地がないという事態を繰り返し見てきた」
実際、平成27年改正時の第三者提供時確認記録義務も:
【確認すべき事項】
Q1: 個人関連情報の不適正利用禁止の対象は 「個人関連情報データベース等を構成するものに限る」のか?
Q2: SNSへの電話番号投稿のような散在情報は対象外か?
Q3: 「働きかけが可能となる」の判断基準は何か? 「決定利用」との関係は?
Q4: BetterHelp相当事例(広告目的での健康情報提供)は この規定で対応可能なのか?
政府答弁を議事録に残すことで、将来の担当者が参照できる「立法趣旨」の記録となる。
【附帯決議案の例】
- 個人関連情報の不適正利用禁止規定の運用に当たっては、個人関連情報データベース等を構成するものに限定する 令和2年改正の立法趣旨を踏まえ、散在情報への安易な適用拡大を行わないこと
- 委員会規則の制定に当たっては、規制対象の範囲を明確化し、事業者の予測可能性を確保すること
- 「不適正」の判断基準について、データ品質の原則(関連性要件)の観点を含め、中期的な検討を行うこと
困難ではあるが、野党が修正案を提出することで論点を明確化できる:
【修正案の例】
「個人関連情報(個人関連情報データベース等を構成するものに限る)」 と条文に明記することを求める
仮に否決されても、なぜ限定しないのかの政府説明が記録に残る。
高木意見書が繰り返し主張してきた中期的課題について、附帯決議で検討を求める:
| 課題 | 附帯決議での要求 |
|---|---|
| 「個人データ」への統一 | 次回見直しでの検討を求める |
| データ品質の原則の法制化 | 「関連性要件」の導入検討を求める |
| 法目的の明確化 | 「評価・決定の適切性確保」の観点を基本方針に盛り込むことを求める |
【簡潔な説明】
- この規定は「盲腸」です
- 挙げられた問題事例(BetterHelp等)を解決できない
- 既存の刑法で対応可能な行為しか対象にならない
- 「虫垂炎」を起こす危険がある
- 条文に歯止めがない
- 担当者交代で散在情報への執行が始まりかねない
- 表現の自由・報道の自由への萎縮効果
- 最低限、質疑で確認を
- 「データベース等を構成するものに限る」のか
- 答弁を議事録に残すことが将来の歯止めになる
| 対応 | 実現可能性 | 効果 |
|---|---|---|
| 条文修正 | 低い | 最も効果的だが困難 |
| 附帯決議 | 中程度 | 将来の解釈指針になりうる |
| 質疑での確認 | 高い | 議事録に立法趣旨を残せる |
国会での質疑が最も現実的かつ重要。
「この規定の対象は個人関連情報データベース等を構成するものに限るのか」という一点を政府に答弁させ、議事録に残すこと。それが、将来の担当者が「中間整理」的理解で暴走することへの、条文外での歯止めになりうるのではないでしょうか。
ご指摘ありがとうございます。確認します。
[考え中...]
ご指摘の通りです。私の誤りでした。
個人関連情報の不適正利用禁止について:
「特定の個人に対する働きかけが可能となる個人関連情報等について、不適正利用及び不正取得を禁止する※」
この「※」は、冒頭の説明によれば:
「行政機関等に係る規律にも改正の趣旨が妥当する項目(※を付した項目)については、当該趣旨に即して規律の整備を行う。」
つまり「行政機関等にも適用する」という意味であり、委員会規則への委任ではない。
注17:
「具体的には、特定の個人の所在地(住居、勤務先等)、電話番号、メールアドレス、Cookie ID等の記述等(これを利用して特定の個人に対して連絡を行うことができるものに限る。)を含む個人関連情報等を規律の対象とすることを想定している。」
「考え方」では対象の具体例が示されていたが、「委員会規則で定める」とは書かれていない。
「考え方」での具体例列挙が「制度改正方針」で消えたことをもって、「委員会規則に委任された」と勝手に推測してしまいました。実際には:
| 文書 | 記述 |
|---|---|
| 考え方 | 具体例を列挙(電話番号、メールアドレス、Cookie ID等) |
| 制度改正方針 | 「働きかけが可能となる個人関連情報等」とのみ記載 |
委員会規則への委任は明記されていない。
むしろ問題は深刻かもしれません:
【考え方】
具体例あり → 射程がある程度明確
【制度改正方針】
具体例なし、委員会規則委任もなし
→ 条文だけで射程が決まる
→ 「働きかけが可能となる」の解釈次第
→ 歯止めがさらに不明確
訂正とお詫びを申し上げます。ご指摘ありがとうございました。
第三者提供規律(27条):
不適正利用禁止(19条):
個人関連情報の第三者提供規律(31条):
【現行19条】
個人情報取扱事業者は、違法又は不当な行為を助長し、
又は誘発するおそれがある方法により個人情報を利用してはならない。
【改正後(予想)】
個人関連情報取扱事業者は、違法又は不当な行為を助長し、
又は誘発するおそれがある方法により個人関連情報を利用してはならない。
↑
「個人関連情報データベース等を構成するものに限る」
が入るか入らないか
名宛人の定義:
「個人関連情報取扱事業者」
=「個人関連情報データベース等を事業の用に供している者」(2条11項)
高木解釈:
名宛人が「個人関連情報データベース等を事業の用に供している者」である以上、
その義務の対象客体も「個人関連情報データベース等を構成するもの」に限られる
高木意見書(2024年6月)から:
「LLMには、入力された文章がそのまま記録されるわけではなく……そうして作成された学習済みモデルに対して……個人情報として生成されることは起き得るけれども、それは利用者が生成させた文章であって……利用者の責任と言える。」
「この考え方を……LLMの学習入力にWebサイトをクローリングしたデータなどの公開情報を用いる事案を当てはめると、そのような学習入力は「個人データとして取得する場合」に当たらないと解することができ、要配慮個人情報の取得制限に抵触しないと言うべきである。」
しかし、2023年6月のOpenAI注意喚起では:
→ 名宛人による限定という高木解釈は採用されていない
| 論点 | 高木解釈 | 個情委の運用(推測) |
|---|---|---|
| 要配慮個人情報の取得(20条2項) | 「個人データとして取得する場合」に限る | 散在情報の取得も含む(OpenAI注意喚起) |
| 個人関連情報の不適正利用(新設) | 名宛人が「個人関連情報取扱事業者」なら対象も限定される | 不明(条文次第) |
【パターンA:限定あり】
個人関連情報取扱事業者は……個人関連情報(個人関連情報データベース等を構成するものに限る。)を……
→ 散在情報は対象外(明確)
【パターンB:限定なし・高木解釈採用】
個人関連情報取扱事業者は……個人関連情報を……
→ 名宛人の定義から対象も限定される(解釈)
【パターンC:限定なし・高木解釈不採用】
個人関連情報取扱事業者は……個人関連情報を……
→ 散在情報も対象(OpenAI注意喚起と同様の理解)
Q: 個人関連情報の不適正利用禁止の対象は、「個人関連情報データベース等を構成するものに限る」のか?
名宛人が「個人関連情報取扱事業者」である場合、対象客体も当然に「個人関連情報データベース等を構成するもの」に限定されると解釈してよいか?
この答弁が、高木解釈が正しいのか、それとも散在情報も含むのかを明らかにし、将来の執行を方向づけることになります。
OpenAI注意喚起の前例を見ると、条文に明記しない限り、個情委は「散在情報も含む」と解釈して執行する可能性が高いのではないでしょうか。
| 変遷 | 改善点 |
|---|---|
| 東京高判(散在情報事案)の参照 | 削除された |
| 「プライバシー、財産権等」の記載 | 削除された |
| データ類型の例示(電話番号等) | 削除された |
| 問題事例の差し替え | より適切な事例に |
中間整理の「素人考え」は、確かに修正されてきた。
【条文化されない理解】
- 「データベース等を構成するものに限る」趣旨
- 「決定利用」と「働きかけ可能性」の違い
- BetterHelp事例がこの規定で解決しないこと
【前例の存在】
- 2023年OpenAI注意喚起:高木解釈と異なる運用
- 担当者交代のたびに「中間整理」的理解に回帰するリスク
【歯止めの不在】
- 条文に限定が入るか不明
- 委員会規則への委任も明記されていない
- 国会審議での確認が唯一の機会
今の個情委が「わかってくれている」としても、それが:
そのいずれかがなければ、数年後には失われる理解です。
高木さんが20年以上にわたって*3指摘し続けてきた「人ではなく制度で担保する」という課題は、今回もまた、先送りされる可能性があります。
とはいえ、パブコメや意見書を通じて問題点を指摘し続けてきたことで、少なくとも今回の改正では「虫垂炎」の発症確率は下がったはずです。あとは条文案を見て、国会での確認を期待するしかありませんね。
個人関連情報の追加規制は削った方がいいのではないかな。