こんにちは!
久しぶりのエントリーです。
そろそろパブコメ結果の公表もありそうですねー
さて、今日は3年ごと見直し「中間整理」のその他にあった個人情報保護等の概念整理について、現在の法令の定義を振り返り、有識者意見から、見直すべきポイントを眺めてみたいと思います。
ちょっと長めなので、結論だけ見たい方は、最初のサマリーと3.のBefore-Afterあたりをどうぞ/
サマリー(ざっくり言うと)
ざっくり言うと、有識者意見の確認の結果、概念整理での意見は6点あり、情報別に箇条書きにすると、
<背景>
◇現在の個人情報等の概念分類は種類が多く、複雑で整理すべきという声が産業界等からでている
<有識者の意見:利活用のための情報概念>
◆仮名加工情報、匿名加工情報:
産業界の要望でできたものであり、存続して問題ないのではないか
→論点⑥
<有識者の意見:保護のための情報概念>
◆保有個人データ→個人データ:
・令和2年改正で保有個人データと個人データの対象事業者は差がほとんどなくなった
・保有個人データを廃止、個人データの規範別に注記で足りるのでは
→論点①
◆個人情報→個人データ
・本来、個人情報保護法はデータベース化する【個人データ】を中心とした規範
・令和2年の規則改正で追加された「個人データ予定の個人情報」を個人データに含めるべき→論点②
・かつ、現在、散財情報である個人情報に過剰にかかっている取得・利用に関する規範は上述の広げた個人データ対象とし、狭めるべき→論点③
◆個人関連情報→個人データ
・令和2年改正で入った【個人関連情報】は一時しのぎ的な位置づけ
・その全部または一部(個人に回帰する識別符号をもつもの)は、個人データに含めるべき。それが難しい場合、規律の一部を課すべき→論点④
・電気通信事業法の外部送信規律も主に個人関連情報を対象とするものであり、個人情報保護法で引き取り、対応しやすくするべき→論点⑤
と言う感じです。
それでは、本文。
まず、1. 現在の法での定義を振り返った後、上記の論点が、現在のどのあたりの情報の話なのかを図で確認した上で、2. 有識者の資料と意見の原文を見ながら、概念整理の考え方を確認し、3. さいごにBefore-Afterを並べてふりかえりしてみたいと思います。
1. 現行法(概念図と各定義)
手始めに、現在の個人情報保護法での各情報の定義が、どのようになっているか見てみます。
まとめた結果は下図です!
概念図のため、多少正確性に欠ける面はご容赦ください(ペコリ)
概念図の見方
図の説明です。
1)まず、個人情報保護法の内数はグレーの枠内です。
統計情報とか、外部送信規制などは、個人情報保護法の対象外。
2)大別すると目的は、
青系の楕円:利活用目的
緑系の3つ+個人関連情報:保護目的
3)個人情報保護法が規定する主な規範の対象は、緑系の3つ
この3つは完全に包含関係にあり、図の上から、
・個人情報だけど、個人データでないもの
(例:机の上の名刺1枚、留守番電話の音声)
・個人情報で、個人データだけど、保有個人データでないもの
(例:顧客から印刷の委託を受けて預かった宛先一覧csv情報)
・個人情報であり、個人データで、保有個人データでもあるもの
(例:契約情報として、DB化している個人情報)
4)①のグレー枠のその他という位置付けの個人関連情報
・個人関連情報:令和2年改正で(リクナビ事案に端を発し)追加
(例:単体のCookie情報、電話番号、メールアドレスなどで、(自社内で照合するなどして)個人特定ができない情報)
5)青の楕円の2つは、利活用を目的とした加工情報
・仮名加工情報:令和2年改正で追加、社外提供は原則不可
(例:社内での商品開発(分析)のために、個人識別情報を削除したデータ)
・匿名加工情報:提供可能、但し、公表義務あり
(例:位置情報ビッグデータとして社外に販売するために、個人識別情報の削除と共に、軌跡から個人を類推できるデータを削除したデータ)
と、なります。
各情報の定義
各情報についての、法令、通則GL上での定義は、以下をご参照ください。
「保護」を主眼とした情報類型系
「利活用」を意図した加工情報の類型系
2. 概念整理6つの論点(有識者意見と中間整理より)
では、本題!
6つの論点と情報定義との対応
●6つの論点
3年ごと見直し「中間整理」に向けた8名の有識者意見の議事録から、個人情報等の概念の整理に関係しそうな意見を拾ってみると、およそ、6つの論点に集約できそうです。
また、その変更目的は、大きく2つといえそうです。
★わかりやすく〜複雑な定義をシンプルに!
★保護対象を調整〜保護と利活用のバランスで現代のニーズにアジャスト!
●情報定義の対応
この論点を、1.現行法の概念のにマッピングしたのが下図です。
ちょっと複雑なので、パーツごとに
参照した有識者の意見と共に見ていきましょう!
★個人情報→個人データに関する論点(論点①②③)
有識者8名の議事録の中で、最も、個人情報等の概念整理について、網羅的に意見を述べておられるのが板倉弁護士、ついで森弁護士です。
板倉弁護士、森弁護士、他6名の発表から、まず、論点①②③をひもといていきたいと思います。
●板倉先生は、まず、現場は情報の類型がたくさんあって、かなり業務が大変になっていると、代弁してくださっています。(アリガトウゴザイマス)
さて、論点別です。
∟ 論点①【保有個人データ】を廃し、【個人データ】に含めてよいのでは?
まずは保有個人データの論点、板倉先生と森先生が意見を述べられています。
●板倉先生意見:6ヶ月制限がなくなり、保有個人データはほとんど個人データと同じになったとされています。
⚫︎森先生の意見は、保有個人データという概念は廃止、個人データの各義務規定で、「個人データで○○の権限を有する場合」と書き換える案
下図は、よく引用される個人情報保護委員会の3つの情報によって、適用される規範は違うよ、の図。
令和2年の改正前は、6ヶ月未満のデータは保有個人データにならないとされていましたが、これが撤廃され、保有個人データにならないのは、開示等請求の義務を受けない場合だけなので、もはや個人データと保有個人データをわざわざ名称分ける必要ないのでは?、上図④は個人データの規範としてよいのでは?、という意見です。
この意見には100%賛成。
実務上、社内で保有個人データを持ち出すことは全くないので、この区分けがなくなっても全く支障ありません。(法令に沿った規程を合わせる位)
規範の図で、この変更を示すと、
右下の黄枠がごっそり、個人データの規範となって、保有個人データの区分けを廃止するイメージとなるものの、事業者の義務(やること)は全く変わりません。
∟ 論点②個人情報の一部を個人データに、 論点③個人情報の過剰な規制を緩和
次に、個人情報の一部を個人データにし(論点②)、加えて、過剰規範となっている個人情報の一部の規制を緩和しよう(論点③)というものです。
●板倉先生は2つを織り交ぜて、説明されているので、(やや長くなりますが文脈がわかるよう)説明を引用します。
→ここまで論点②の「個人予定個人情報」→個人データの背景
ここから、それを前提に論点③「個人情報(散財情報)」への規制は過剰の説明
ここから、GDPRでの規律の客体、”Personal data”の定義の説明の上で、現状の個人情報を2分し、個人データになる予定の個人情報を個人データとし(論点②)する一方、残りの散財的な個人情報(論点③)は、規律の対象外とするという案を示されています。
その上で、中間整理の適正取得・不適正利用については、論点③を踏襲し、個人データ予定の個人情報に絞るという案を示されています。
次に高木先生です。
●高木先生は、個人データの定義に「個人データとして取り扱われることが予定されているものを含む」を加えて、全て個人情報を個人データに差し替えればよいとし、板倉先生と同意見です。
以上、【個人データ】を中心に再編するもの(論点①②③)はこうなるイメージです。
ここまでが実現された場合、実務への影響としてみると、以下のとおりです。
●保有個人データの名称がなくなる(論点①)
実質的にやることの増減はなし。
●個人データとする範囲が広がる(論点②)
「個人データとなる予定の個人情報」*も個人データとする
*2024.4に規則で追加になった情報の範囲と同じ
●個人情報のうち散在情報の規制が緩和される(論点③)
(取得・利用に関するルール、公表・開示等に関するルールは、個人データの規範になる)
次は、みんながもやもやしてる個人関連情報系です!
★個人関連情報→個人データ(論点④⑤)
論点④はそもそも個人関連情報は、個人データに入れるべきという論点。
(3年ごと見直し中にリクナビ事案が発生し、いわばやっつけ仕事だった。条文のつくりも他と違う)
論点⑤は一昨年から昨年にかけて、事業者を悩ませた電気通信事業法の外部送信規制の対象となる利用者の端末情報に関する規範を個人情報保護法でひきとるべきという論点です。
図にすると、こんなイメージです。
では、各論点ごとに有識者の資料と意見を見ていきます。
∟ 論点④ 「個人関連情報」を「個人データ」に含め、「個人関連情報」を廃しては?
この論点については、「中間整理」はじめ、板倉先生、森先生、山本先生の3名の有識者に加え、個人情報保護委員会(中間整理)の4者が意見を述べています。
●板倉先生は、個人関連情報(散財情報以外)を全て個人データとする案
●森先生は、本人到達性のある情報に紐づいた個人関連情報を単体で個人情報(個人データ)とすべきとの意見
●山本先生は、個人関連情報のうち、「個人回帰型識別情報」は個人データとして扱うべきという案
●PPC3年ごと中間整理は、個人に連絡が可能な個人関連情報について、個人データの規範の一部の義務を課す案
また、今回の個人情報保護委員会の3年ごと見直しの案においても、個人関連情報の概念の見直しとまではいかないものの、その一部(個人に連絡が可能な情報)について、個人の権利利益が侵害される可能性が高いことを理由に、不正取得や、不適正利用等の規範対象とすることが検討されています。
以上、下図のように、個人データに含めるべきとする個人関連情報の範囲や、規律の範囲に多少の差はあるものの、一部の個人関連情報に対し、個人データ並の追加の保護が必要という意見が多くあることがわかります。
∟ 論点⑤ 電通法「外部送信」の「個人関連情報」を中心とした規制は、個人情報保護法に含めすべての事業者を対象とすべきでは?
この論点は、板倉先生からの1件です。
●板倉先生意見は、電通法外部送信は、個人情報保護委員会で引き取るべきとの意見。
Cookie、ADID等Webやアプリの個人関連情報といえば、電通法の外部送信の規範。個人情報保護法のように、XX情報に対する規制ではなく、行為への規制(外部送信(情報送信指令通信))であることから、個人情報保護法との関連がわかりにくく、電気通信を営む者の識別が難しい、対象事業者の公平性に欠けるとの声もある規範です。
実際、私も対応のために社内説明した際には、個人情報保護法や電気通信事業法の通信の秘密との関係性について、多くの質問を受け、公式の明確な説明がない中、苦労して整理して説明した経験があります。
アプリやWebで利用者情報を取り扱う場面は、電気通信事業者だけではなく全ての事業者。また、利用者情報という観点では、個人情報保護法との関連を明確にする意味でも、個人情報保護法に入れた方が、実務対応は行いやすい印象にて、板倉先生の意見に賛成です。
なお、総務省の個人関連情報の関係では、現在改定作業が進行中のスマートフォン利用者情報取扱指針も、透明性やこども、ダークパターンなど、個人情報保護法とオーバーラップし、多くの事業者が参照すべきGLで、個人情報保護委員会で引き取るまたは、委員会のHPでも掲載するとする案もあるのでは?と思います。
関連記事
★利活用目的の活用情報系(論点⑥)
∟論点 ⑥ データ利活用推進のための【仮名加工情報】【匿名加工情報】は、継続。 わかりやすく、利活用を推進しては?
この論点は、森先生と板倉先生の2名から意見があがっており、いずれも利活用のために創設されたものなので、(整理せず)残すべきという意見です。
●森先生の資料と意見:利活用のためにそのまま残すべき
●佐藤先生:利活用のための類型は減らす必要なし。
また、個人情報等データベースの要件の見直しを検討すべき
今の技術的に個人データベースの「体系的に構成」要件を問うもの。
この点は、今回の論点として切り出していませんが、諸外国の定義などもふまえ、注視していきたいと思います。
また、有識者からの意見にはありませんでしたが、匿名加工、仮名加工と言う言葉は一般的ではないこと、人・業界によってイメージする加工レベルが異なるのかも?という印象もあります。その他に入っているプライバシー強化技術(PETs)のテーマとも近い話ですが、馴染みのないふわっとワード系、技術的な加工系は、総論だけでは実務が前に進むものではなく、導入の目的に照らして加工技術がデータ保護にどう貢献するのかをシャープに整理し、会話を噛み合わせながら議論していく必要があると感じています。
そうした、想いを含めて、論点 ⑥の後段に、「わかりやすく、利活用を推進しては?」を付記しました。
3. 整理後の概念図と所感
さて、だいぶ大胆に整理してきた気がしますが、
もし、仮にこの論点が全部反映されたら?を図にしてみました。
もし、全部実現したら?
加工情報系は変わらず、ですが、他はずいぶん、スッキリ!
Before ーAfterを並べてみると、
情報の概念分類が減り、個人データの範囲が広がって、
全ての規律は「シン個人データ」を対象とするイメージに!
こうしてみると、結構変わりますね!!
個人的には、Afterの案の方が、わかりやすさの面、規範対象の調整双方の面で好きです!個人的好みもありますが、実務的に具体的な理由は3つです。
理由1 読みやすい、伝えやすい
規範の主となる情報の分類が減り、条文がスッキリすることで読みやすくなるだけでなく、法令の条文に保守的に合わせたくなる社内規定等もスッキリさせることができ、社内ルールで守るべきことを、一般社員にわかりやすくシャープに伝えやすくなる
理由2 理解しやすい
他の法との違いを意識、説明する必要性が減る
・電通法外部送信と個人情報保護法の違い(個情法に含めるので不要に)
・GDPR等海外の個人情報保護法制との違い(対象情報の定義がほぼ同じに)
理由3 保護と利用のバランスがとりやすい
規範の対象について、現在の利活用の課題、保護の課題を解消し、保護と利活用のバランスがとりやすくなる
さいごに 〜 建設的で納得感のある議論にむけて
さてさて、
みなさんはどう思われましたでしょうか?
意味を持たなくなった分類を整理することは、さほど意見が分れずに決まりそうと思います(期待もこめて)。一方、保護・利活用両面で規範が厳しくなる・緩める事項については、意見は割れそうな印象です。
個人関連情報が一部であっても、個人データに含まれることは、業種によっては、影響が大きく、抵抗感を覚える方も少なくないでしょう。
反面、個人にとってのリスクベースで考えると、法の形式的に個人データに該当しない場合であっても、もはやメアド、電話番号、広告識別子などは、個人特定ができる材料が世の中に揃っているため、(中間整理にも入っているように)なんらかの手当は必要な気もします。
また、個人情報のうち散財情報(個人データベース化しない情報)への規制をゆるめることで、(顔識別しない)防犯カメラ画像やスクレイピングなどデータ利活用は進めやすくなります。一方、それでも抵抗がある消費者は一定数存在すると思います。
このように、個人情報等の概念整理は、誰にとっても満点&薔薇色の案を作成するのはとても難しいテーマ。。。
3年ごと見直し(法改正案決め)はあと4ヶ月。。
議論を開始したとしても、大胆な外科手術が必要な法改正には至らず、反映するとしても次の3年ごとの見直しになりそうと感じます。そうだとしても、今から、それぞれの立場で守りやすいルール、保護と利活用のバランスのとれたルールになるよう、建設的な議論を始められたらといいなと思います。
そのために、微力でも、関心のある方々の意見をすこしでも喚起できたらよいな〜、と思って書いてみました^^
間違った理解をしている箇所があったら、ごめんなさい。矢が飛んでくるかもしれませんが… それでも、そんなプロセスにより、さらに理解やあるべき絵姿の具体が見えてくる思うので、ご意見歓迎です! でも、矢を飛ばすときは優しくお願いしますm(_ _)m
それでは、また!
今日のDall-E
ちょっとかたいので、もう少し笑ってリラックス!とお願いしたら…😆
fancyすぎるww