報告書・提言・意見

「個人情報保護法いわゆる3年ごと見直し制度改正大綱」に対する意見

個人情報保護委員会の「「個⼈情報保護法 いわゆる3年ごと見直し 制度改正大綱」の公表及び同大綱に対する意見募集」に対し、JILIS個人情報保護法研究タスクフォースから、以下の意見を提出しました。


PDF版

2020年1月14日
一般財団法人情報法制研究所 個人情報保護法研究タスクフォース
(板倉陽一郎、江口清貴、加藤尚徳、鈴木正朝、高木浩光、長田三紀、丸橋透)

意見1

【該当箇所】3章1節3「利用停止、消去、第三者提供の停止の請求に係る要件の緩和」8頁

【意見】

利用停止等請求権に係る要件は、少なくとも「個人の権利利益を害するおそれがある場合」まで含め、データによる個人の選別が行われている場合はこれに該当するものとするべき。

【理由】

「個人の権利利益の侵害がある場合を念頭に」とあるが、「侵害がある場合」に限定したのでは、目標として掲げている「消費者から……強い不満」に応えることにならないのではないか。このままでは、そもそも「個人の権利利益の侵害」とは何を指すのかが問題となる。どのような場合に「個人の権利利益の侵害がある」と言えるのかは、これまで公式には明らかにされてこなかったことからすると、その要件を適切に定めることには困難が予想され、それ故に、ごく狭い範囲を「侵害がある」と定めてしまう事態(例えば、裁判例が認めたような意味でのプライバシー権侵害がある場合に限るなど)に陥りかねない。そのような事態になれば、本法の趣旨をも狭めることになる。

そこで、この要件の緩和に際しては、少なくとも「権利利益を害するおそれがある場合」までは拡大することが必要である。「権利利益を害するおそれ」は現行法においても条文に頻出するフレーズであり、その意義は相当程度広くすでに解釈されているものと考えられることから、今般の改正においてその意義を明確に定める必要はない。何をもって「権利利益を害するおそれがある」とするかは、法目的の明確化と合わせて、今後、検討を深めていくべきことである。

なお、本人の同意なく「データによる個人の選別」が行われている場合は、「個人の権利利益を害するおそれがある場合」に当たるものと捉え、利用停止等請求権の対象とするべきである。

意見2

【該当箇所】3章1節5「開示等の対象となる保有個人データの範囲の拡大」11頁

【意見】

保有個人データ該当性を保存期間により限定しない理由は、短期間でも漏えいが起き得ることだけではなく、データによる個人の選別が行われるのに十分であることも重要である。

【理由】

保有個人データ該当性を保存期間により限定しないこととするに際して、「短期間で消去される個人データについても、個人の権利利益を侵害する危険性が低いとは限らず」とし、その理由付けとして、「短期間で消去される個人データであっても、その間に漏えい等が発生し、瞬時に拡散する危険が現実のものとなっている」と記載されているが、理由はそれだけではないはずである。

例えば、法が目的とする「個人の権利利益の保護」には、リクナビ事案のような事態の回避も含まれるはずであることを踏まえれば、「短時間で消去される個人データであっても、その間にデータによる個人の選別が行われ、個人が差別的に取り扱われ得る」といったことも、その理由の一つとして含めて整理するべきである。

意見3

【該当箇所】3章2節2「適正な利用義務の明確化」16頁

【意見】

適正な利用義務の「適正な利用」の意義は「急速なデータ分析技術の向上等を背景に潜在的に個人の権利利益の侵害につながることが懸念される個人情報の利用の形態」の観点から規定するべき。

【理由】

「適正とは認めがたい方法による、個人情報の利用を行ってはならない旨を明確化する」とのことであるが、いかなる場合を「適正とは認めがたい」とするのかが判然としない。背景として「本法の目的である個人の権利利益の保護に照らして、看過できないような方法で……事例が、一部にみられる」との理由付けが示されており、その例示として、「現行法の規定に照らして違法ではないとしても、違法又は不当な行為を助長し、又は誘発するおそれのある方法により個人情報を利用するなど」との記載があることから、現行法の規定に照らして違法又は不当な行為に関係し得る場合に限って「適正とは認めがたい方法」としているようにも読める。その一方で、本項目の冒頭では「急速なデータ分析技術の向上等を背景に、潜在的に個人の権利利益の侵害につながることが懸念される個人情報の利用の形態がみられるようになり……」との記載もあり、データ分析自体が「現行法の規定に照らして」違法な行為を助長・誘発することは考えにくいことから、これらの文の間には矛盾があるように見受けられる。

これらの記述からではどのような制度改正が予定されているのか判然としないが、少なくとも、「急速なデータ分析技術の向上等を背景に潜在的に個人の権利利益の侵害につながることが懸念される個人情報の利用の形態」が「適正とは認めがたい方法による個人情報の利用」に該当することとなるよう「適正な利用義務」を規定するべきである。

意見4

【該当箇所】3章3節2「民間の自主的取組の推進 (2)PIAの推奨」19頁

【意見】

「PなきPIA」とならないよう、安全管理措置だけでなく、法の趣旨に沿った「PIA」の「P」の意義を明確にする必要がある。

【理由】

「PIAの推奨」とあるが、何をもって「privacy impact」とするのかが定かでない。単に個人情報保護法の義務を遵守することを意味するだけのもの(いわゆる「PなきPIA」)を言うのなら、PIAの語を持ち出すまでもなく、「法遵守の確認」と言うだけで足りる。PIAと称するからには、どのような観点から「privacy impact」を検討するべきか、法の趣旨に沿って明確にする必要がある。

大綱の記述は、「大量の個人データを扱う事業者にとっては」「個人データの管理や従業員への教育効果等」と記載されており、単に安全管理措置の取り組みを指しているように見受けられる。そのようなものは「PなきPIA」であり、PIAと称するに値しないことに注意されたい。

意見5

【該当箇所】3章3節2「民間の自主的取組の推進 (4)保有個人データに関する公表事項の充実」20頁

【意見】

「処理の方法」には「データによる個人の選別」が行われるか否かを公表義務とするべきであり、また、27条1項2号の「全ての」とは異なり、業務・サービスごとに記載する事項とするべきである。

【理由】

保有個人データに関する事項の公表の義務(法27条1項)について、公表事項に「保有個人データの処理の方法」を追加するよう政令で定めるとされているが、「処理の方法」がいかなるものを指すのかが判然としない。一部報道では、リクナビ事案等を踏まえて「『AIを使って信用度を格付けしている』などの説明が必要になる」とされていたが、 AIを使っているか否かよりも、その結果を用いて「データによる個人の選別」が行われるか否かを明らかにすることの方が重要である。「処理の方法」には「データによる個人の選別」が行われるか否かを公表する義務とするべきである。

また、法27条1項は、その2号において、同条2項の利用目的の通知とは異なり、「全ての保有個人データの利用目的」(すなわち、業務・サービスごとの「個人情報ファイル」単位ではなく、当該事業者が取り扱う全部を一括した「個人情報データベース等」の単位で)を公表すれば足りるとされていることからすると、本項目の公表事項も「全ての保有個人データ」で一括して記載すれば足りることになると考えられるが、そのような記載方法では、どの保有個人データにおいてそのような「処理の方法」が用いられているのかが、本人には理解できないものとなってしまうことが予想される。

したがって、「保有個人データに関する公表事項の充実」にあたっては、「保有個人データの処理の方法」については、法27条1項2号の「利用目的」とは異なり、「全ての」ではなく、業務・サービスごとに公表するよう規定するべきである。その場合、「利用目的」と「処理の方法」とで対象が不揃いとなることが不自然であるなら、この際、2号の「利用目的」についても、業務・サービスごとに利用目的を公表することとしてはどうか。

意見6

【該当箇所】3章4節1「匿名加工情報制度」21頁

【意見】

匿名加工情報の事業者内部利用に係る規定(法36条5項)は、仮名化データの制度創設に伴い実質的に無用となるので、廃止するべきである。

【理由】

匿名加工情報の制度には、事業者内部で目的外(元の個人データの利用目的を超えた目的)に利用することを許すための規定(法36条5項の規定)があるが、今般の改正により仮名化データ(仮名化情報)の制度が創設されれば、その役割は仮名化データの制度に包摂されることになる。なぜなら、匿名加工情報の内部利用も、仮名化データの利用も、最終的には事業者内における統計量への集計(事業者内部における分析)に用いられるからである。仮名化データならば自由な分析が可能であるのに対して、匿名加工情報は加工基準が厳しい分だけ分析に制約が掛かることから、あえて匿名加工情報をこの用途で用いる必要性を欠くことになる。

元々、仮名化データの創設を待つまでもなく、また、平成27年改正前から、統計量への集計は自由に可能だったのであり、匿名加工情報の内部利用のための規定は不要だったとも言え、この際、法36条5項は削除してよいと考える。行政機関個人情報保護法の非識別加工情報の制度にこれに相当する規定がないこととも整合することになる。

また、法36条5項の規定が、「自ら当該匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該匿名加工情報を他の情報と照合してはならない」としているのは、元データを保有している当該事業者において、何ら「個人の権利利益の保護」に資するところのない規制であり、この際この規定は削除するべきである。

(補足:匿名加工情報は非個人情報と評価されるものであるが、それは元データとの照合禁止義務があるからではなく、加工によって容易照合性をなくすことを求めているからと言うべきであり、したがって、法36条5項の元データとの照合禁止規定を削除しても、匿名加工情報は非個人情報であると言える。)

意見7

【該当箇所】3章4節2「『仮名化情報(仮称)』の創設」22頁

【意見】

仮名化データの委託による分析は「事業者内部における分析」に含まれるものとするべきであり、また、従前より作成されている一般的な意味での「仮名化データ」との区別と同一視について解釈を明確にする必要がある。

【理由】

「仮名化データ」(仮名化情報)について、「事業者内部における分析に限定」とあるが、法23条5項1号の「委託」により分析を行う場合がこれに含まれるのかが定かでない。これは含まれるものとして「行為規制」を規定するべきである。

また、安全管理措置として従前より作成されている一般的な意味での「仮名化データ」と、新たな規律で定義される「仮名化データ」とが、共通する概念でありながら区別される必要がある。すなわち、新たに定義される「仮名化データ」に該当する場合は「一定の行為規制」が課されることとなる一方、一般的な意味での「仮名化データ」(例えば、他の法令やガイドラインに現れる同種の概念)についてまで本法の行為規制が及ぶものではないはずであるが、そうでありながら、客体の該当性要件自体は共通であり、同じ「仮名化データ」の用語で呼ばれるべきものと言える。この点は、平成27年改正において、匿名加工情報の概念整理が、匿名加工情報の客体定義に該当する場合に常に36条以下の義務が課されるのではなく、事業者が「匿名加工情報として」取り扱う場合に義務が課されるものと整理されたのと同様に、事業者が本法の「仮名化データ」として取り扱う場合の義務として解釈されるよう規定すればよい。

意見8

【該当箇所】3章4節3「公益目的による個人情報の取扱いに係る例外規定の運用の明確化」22頁

【意見】

「公益目的」について、挙げられている具体例に加えて、事故又は災害の防止等についてもガイドライン等での例外規定運用の明確化をはかるべきである。また、「公益目的」ニーズ検討の体制について明らかにし、相談の窓口を設ける等の手当を行うべきである。

【理由】

これまで、「公益目的」に基づいた例外規定の運用に関する議論は充実しているとは言えず、何が「公益目的」に該当するかは必ずしも明確ではない。一方で、地方自治体の条例において「公益目的」が含まれたものが確認できるほか、公益社団法人及び公益財団法人の認定等に関する法律では別表において該当する公益事業が列挙されている等、既存法制においても「公益目的」が広く用いられている。先の別表を見ると、個人情報保護法において「公益目的」以外の例外規定として定められているものも含まれているほか、個人情報保護法において例外規定として運用すべきかを慎重に議論すべきと思われるものも含まれている。他方で、度重なる災害等、社会安全に関して早急な対応が求められている分野も存在する。ガイドライン等の整備については大綱においても言明されているが、これを医療等に限定せずに検討すべきである。また、「公益目的」のニーズが今後生じる場合に、どこにどのようなかたちで相談すれば良いのかを明らかにすべきである。

意見9

【該当箇所】3章4節4「端末識別子等の取扱い (3)提供先において個人データとなる情報の取扱い」24頁

【意見】

「提供先で個人データ」に係る規定の追加は、規制強化ではなく解釈の明確化であり、追加の規定が、該当する場合において提供元での容易照合性がないと解釈させることのないようにするべきである。

【理由】

「提供先において個人データとなることをあらかじめ知りながら」提供する場合は、現行法においても、提供先との関係で提供元において容易照合性があると解釈されることは、逐条解説書(園部編、ぎょうせい、2003年)にも記載されていた(該当部分を引用すると、「事業者……の間で組織的・経常的に相互に情報交換が行われている場合等は、『容易に照合することができ』る場合に当たると考えられる」とある)ことからすれば、今般の改正案は、規制強化ではなく、解釈の明確化であると理解している。

しかしながら、大綱には「提供元では個人データに該当しないものの、提供先において……」との記載があることから、容易照合性を加味してもなお提供元で個人データに該当しないものを対象とする趣旨と読む余地があり、そのような読み方を前提とすると、規制強化を意味することになってしまう。

大綱のこの記載が、法改正により実現するものか、ガイドライン等での解釈の明確化で実現するものかは必ずしも明らかではないが、法改正による場合には、追加される規定が、翻って対象とする客体について「提供元において容易照合性がないもの」であると解釈させることのないよう、条文を構成するべきである。

意見10

【該当箇所】3章4節5「個人情報の保護と有用性に配慮した利活用相談の充実」25頁

【意見】

「パーソナルデータ」の語を定着させるべきではなく、「個人データ等」などの用語を定義して用いるべきである。

【理由】

「新たに『パーソナルデータ効果的活用支援窓口』(仮称)を設置」とあるが、「パーソナルデータ」の語は、平成27年改正時に「個人データ」(個人情報)の定義を拡張するための検討用の仮設の用語であったものであり、その役目は既に終えている(当初計画された拡張は未達であったが)ことからすれば、この語を窓口の名称に用いてあたかも「個人データ」とは異なる何かを意味するものとして定着させるべきではない。

意図するところは、現行法の「個人データ」に限らない「個人に関する情報」をも含む(これは匿名加工情報と仮名化情報も含むことになるがそれに限られない)趣旨であると推察する。それならば、「個人データ等」の用語を、「個人データその他の個人に関する情報」などと定義して用いればよい。

(このことは、公正取引委員会「デジタル・プラットフォーム事業者と個人情報等を提供する消費者との取引における優越的地位の濫用に関する独占禁止法上の考え方」(令和元年12月17日)において「個人情報等」が「個人情報及び個人情報以外の個人に関する情報」として定義されたのと同様である。)

意見11

【該当箇所】3章7節3「地方公共団体の個人情報保護制度」32頁

【意見】

個人情報保護条例は国の法律に統合し権限は個人情報保護委員会に一元化すべきである。個人情報保護法第5条の「区域の特性」の趣旨は、法律が許す範囲で上乗せ横出し条例を認める趣旨で改正すべきである。

【理由】

個人情報保護法の第5条は、地方公共団体の責務として、「その地方公共団体の区域の特性に応じて」必要な施策を策定することを定めているが、基本的に個人情報等対象情報の定義や利用目的、安全管理、開示等の請求等の基本的な義務規定は本来的にナショナルミニマムの問題であり条例で規律すべきところではない。

もし、立法事実として現に「区域の特性」があるのであれば、第5条の趣旨は、個人情報保護法の趣旨の許す範囲で地方公共団体の上乗せ横出し条例を認める趣旨となるよう改正すべきである。

なお、今日では日米欧のData Free Flow with Trustの実現に向けてグローバルな水準で個人の権利利益を保護していくべきであり、また同時にデータエコノミーの法的基盤整備を図り経済成長を具体的に実現していくべきである。特に、官民にわたるMaaS等の実現や、医療、介護、創薬、防災等のデータ流通の確保は、日本の今後の経済成長及び高齢社会への対応に向けて喫緊の課題となっている。そのためにも個人情報保護委員会に権限を移して全国統一的に法律でルールを定め、対外的交渉も一元化すべきである。

以上