個人情報保護法3年見直し中間整理に向け 有識者8名の意見と検討論点別意見/質疑(7/3追加議事更新)
こんばんは!
今日6/26の個人情報保護委員会での議事に「中間整理案」が入っていましたね!資料は、後日掲載なのでまもなく、パブコメが始まると思われます。
は、6/27に始まりました!
今日は、前回のこれまでの各回の資料やnoteの集約から、有識者の意見に絞って、角度を変えて、その中身を見ていきたいと思います。
具体的には、Ⅰ. 有識者ヒアリング(全般)に登場された8名の有識者の意見を概観した上で、Ⅱ. パブコメの想定論点別に意見及び議事を見ていきます。
(なお、7/3、佐藤先生と高木先生の回の議事概要が公開されました。本日現在、議事は64名分しか公表されていないため、残りの24名分は追って追記予定です。)
Ⅰ . 8名の有識者の意見の特徴
今回ヒアリングが行われた有識者12名のうち、全般の意見ヒアリングの対象だったと思われる8名の方の意見の概要と特徴を見ていきます。
●曽我部真裕(京都大学大学院法学研究科教授)
個人情報保護法見直しに関するコメント(京都大学 曽我部教授) (PDF : 496KB)
→形式的ルールと実体的ルールとの切り口で、実体的側面の強化を打ち出し
c.f. この論点については、こちらの記事↓で深堀してみました。
個別論点については、以下のような論点で論じておられます。(太字は個人情報保護委員会論点)
1.形式的ルールか実体的ルールか――比例原則の導入問題
・例えば、第三者提供規律をよりフラットな比例原則に服させることも考えられないか。
2.個人の権利利益のより実質的な保護の在り方
a)こども
b)名簿屋対策(オプトアウト制度による第三者提供)
3. 実効性のある監視・監督の在り方
a)漏えい等中心の執行でよいのか
b)課徴金制度について
c)団体訴訟
d)第三者命令
●山本龍彦(慶應義塾大学大学院法務研究科教授)
いわゆる3年ごと見直しに関する意見(慶應義塾大学 山本教授) (PDF : 443KB)
→
1.全体の問題意識 として、海外の法令もふまえた上で、プロファイリングの具体的な規律の必要性や、ダークパターンが不適正な取得に該当する可能性を論じられています。
1.全体の問題意識
…➡デジタル社会、AI 社会の様々な課題の多くは、プロファイリングやスコアリングと関連 している。
…➡プロファイリングは個人情報保護の「本丸」であり、個人情報保護法においても、さら に具体的な規律が必要になるのではないか。
2.プロファイリング
➡AI等の高度な情報技術を用いて、要配慮個人情報を推知する場合(要配慮プロファイ リング)は、個人情報保護法第 20 条 2 項の「取得」に当たるとの解釈
➡かかる解釈(事前同意モデル)が困難である場合、少なくとも以下の規律が必要ではな いか。
3.ダークパターン
…➡ダークパターンを用いた個人情報の取得は、個人情報保護法第 20 条 1 項の「不正な手 段」による個人情報の取得に該当すると解釈すべきではないか(不正または欺瞞的 deceptive な手段?)。
また、事業者の意見のうち、経団連の意見の一部について、個別論点コメントを行なっています。(うち、太字が個人情報保護委員会の論点)
5.経団連等の「個人情報保護法の 3 年ごと見直しに対する意見」(2024 年 4 月 4 日) について
〇GDPR を踏まえれば、仮に「正当な利益」を導入する場合でも、後の本人関与の強化と セット
〇「同意疲れ」の問題はダークパターンとも関係
〇実効的な執行(課徴金制度の導入、団体訴訟の導入)
〇附則の「3 年ごと見直し」規定はアジャイル・ガバナンスに有効
〇ビジネスにとって何がプラスなのか?
また、個人情報保護法の対象情報や、目的という法の骨格ともいえる部分への問題提起を行なっておられます。
4.保護すべき情報の整理と保護の度合い
6.個人情報保護は「人権」(憲法 13 条)の問題であること
●森亮二(英知法律事務所弁護士)
3年ごと見直しヒアリング2024(英知法律事務所 森弁護士) (PDF : 391KB
→あるべき改正の方向性として、以下の4点をあげた上で、
改正事項の提案として、9点。
(うち、太字が個人情報保護委員会の論点)
1. 個人情報の概念の拡大とそ の他の概念の整理
2. 課徴金の導入
3. 団体訴訟制度
4. 生体情報・子どものデータ に関する規制
5. 取得規制の適正化(プロファイリングを「取得」に) 改正事項の提案
6. 利用停止・消去請求権の拡大
7. 補完的ルールの解消(法の下の平等)
8. 委託先(サービス提供者)の 利用目的とサービス改善の ための利用
9. 連絡先情報の提供制限の 緩和
●宍戸常寿(東京大学大学院法学政治学研究科教授)
個人情報保護法のいわゆる3年ごと見直しに関する意見(東京大学 宍戸教授) (PDF : 296KB)
→前回の3年見直しでの意見を再掲した上で、
1.貴委員会第 106 回(2019 年 5 月 21 日)のヒアリングで陳述した事項
①目的(1 条)・人格尊重の理念(3 条)におけるプライバシー保護の明確化 →令和 2 年改正による不適正利用規制の導入、「犯罪予防や安全確保のための顔識別 機能付きカメラシステムの利用について」(2023 年)の検討
②個人データの保存期間の設定の義務づけ
③共同取得・共同利用規制の明確化(第三者提供例外という裏側からではなく)
④パブリック・アクセスの関係 →OECD「信頼性のあるガバメントアクセスに関する高次原則に係る閣僚宣言」の周 知
⑤公的部門の規律 →令和 3 年改正
⑥課徴金制度の導入 →立法事実の蓄積
⑦補完的ルールの法令上の根拠の明確化 →不適正利用規制との関係 ⑧認定個人情報保護団体の体制強化
⑨プライバシー白書の編集・発行
2.個人情報保護法制の現状と課題として、今回の改正論点への言及は多くない一方、法をとりまく環境変化ふまえ、各種ドメインと個情法の関係整理、隣接規制との関連にも言及されています。
2.個人情報保護法制の現状と課題
●行政規制、定義該当性・行為規制、事前規制
● 法制面の変化:利活用の拡大とプライバシー的側面の強化
●一般法としての個人情報保護法の意義と限界
・情報公開・公文書管理法制、住民台帳基本法、番号法、労働法制、医療法制・次 世代医療基盤法、電気通信事業法 等
・各種ドメインにおけるデータ利活用と新たなリスクと一般法制の関係整理が大きな課題に
●プラットフォーム規制、AI 規制、EBPM と個人情報保護法制
また、
3.参照軸としてのアジャイル・ガバナンスと個人情報保護法制への示唆
4.(必ずしも法律事項に限られない)意見
として、個人情報保護委員会の在り方、内閣や関係省庁との関係等、政策立案、執行等の機能枠組みにも言及されています。
●佐藤一郎(国立情報学研究所教授)
個人情報保護委員会「いわゆる3年ごと見直し」ヒアリング(国立情報学研究所 佐藤教授) (PDF : 3092KB)
→3年ごと⾒直しにおいて検討すべきこと、として、以下の項目で、意見発表をされています。委員会の検討論点(太字筆者)に加え、仮名加工、データ類型、プロファイリング、AI等、技術系らしい論点が追加となっています。
3年ごと⾒直しにおいて検討すべきこと
■課徴⾦、団体訴訟制度、
■未成年者の保護、⽣体情報の保護強化
■仮名加⼯情報に関わる規律
■データ類型の再整理
■プロファイリング規制の明確化
■AIと個⼈情報保護法
■体制及び3年ごと⾒直しに関して
■企業の⾃主的取り組み(プライバシーと個人情報保護)
また、プライバシーへの対応が企業の自主的な取り組みとなっていることをふまえ、プライバシーへの個人情報保護委員会の関与を求めておられます。(佐藤氏はプライバシーガバナンスガイドブック作成時の構成委員)
●高木浩光(産業技術総合研究所主任研究員)
個人情報保護法3年ごと見直し令和6年に対する意見(産業技術総合研究所 高木主任研究員) (PDF : 452KB)
→下図のように、主要意見、総論で、現在の個人情報保護法の本質的な課題(法目的等)をまず述べた上で、
各論として、個人情報保護委員会の検討論点(筆者太字)に加え、他有識者意見への見解も含む内容となっています。
3.1. 「必要最小限」について
3.2. 「処理」と「取扱い」について
3.3. 生体データの取扱い規律について
3.4. こどもの個人情報について
3.5. 韓国法の動向について
3.6. 曽我部意見について
3.7. 山本意見について
3.8. 森意見について
●板倉陽一郎(ひかり総合法律事務所弁護士)
第二次いわゆる3年ごと見直しへのコメント(ひかり総合法律事務所 板倉弁護士) (PDF : 872KB)
→個人情報保護委員会の論点に沿った、網羅的な意見(1.2〜3.2)に加え、個人情報の規律範囲など法の骨組みとなる部分の提言や個人情報保護政策や3年ごと見直し等、委員会の在り方や、行政機関等の規律の在り方にも言及。
●鈴木正朝(新潟大学大学院現代社会文化研究科/法学部教授)
デジタル社会の個人情報保護法(新潟大学 鈴木教授) (PDF : 3126KB)
→表題「デジタル社会の個⼈情報保護法 ̶ なぜ現⾏個⼈情報保護法は デジタル社会に対応できないか︖」として、課題は、現実に起きているデジタル社会の個人データ処理と個情法のギャップ であるとして、(個人情報保護委員会の検討論点ではなく)、独自のストーリー構成となっています。
そして、その解決策としては、2022年12月にGLOCOM 六本木会議での「デジタル社会を駆動する「個人データ保護法制」にむけて」に記載の「3年後見直しで議論すべき事項」を紹介されています。
以上、8名の有識者の資料の紹介でした。
次に、このうち、今回の個人情報保護委員会の検討論点に絞って、論点ごとに意見や議事を見ていきます。
(注: なお、各有識者それぞれのストーリーある資料からの抜き出しのため、抜き出しモレ、識者の意図と異なるケースがもしかしたらあるかもしれません。その場合の責任は全て筆者にあります。)
Ⅱ 検討論点別の有識者意見とQA
検討論点は、個人情報保護委員会の検討項目(案)をベースに整理します。
1−1)個人情報等の適正な取扱いに関する規律の在り方
①生体データ:特にカメラ画像の顔識別情報等
・森弁護士資料
・佐藤教授意見
■⽣体情報の保護強化は導⼊すべき
□理由︓⽣体認証の普及により、⽣体情報の取得・利⽤機会が増えている。 また、今後、センサー及びカメラの性能向上により、本⼈が気がつかずに ⽣体情報の取得利⽤が増えると予想される
・高木主任研究員意見
3.3. 生体データの取扱い規律について
令和6年3月6日付の検討資料に、「生体データの取扱いに係る規律の在り方」として、生体デー タをセンシティブデータに加えることが検討されているようだが、なぜそうする必要があるのかを 整理する必要がある。ただ単に「海外もそうしているから」という理由で進めてはならない。 EUのAI規制でいう「remote biometric identification」(遠隔生体計測学的個人識別)は、情報自体がセンシティブだからということではなく、公共空間において勝手に個人が識別され、あ るいはトラッキングされてしまうことの脅威を問題にしたものであることに留意が必要である。
・板倉弁護士意見
②不適正取得、不適正利用:
・板倉弁護士意見
③個人関連情報:
・板倉弁護士意見
(委員会検討資料と関連note)
2024/3/6 第275回個人情報保護委員会
(1)個人の権利利益のより実質的な保護の在り方①について
個人情報保護法 いわゆる3年ごと見直し規定に基づく検討(個人の権利利益のより実質的な保護の在り方①) (PDF : 683KB)
議事概要 (PDF : 252KB) 議事録 (PDF : 283KB)
1−2)第三者提供規制の在り方(オプトアウト等)
●オプトアウト制度
・曽我部教授意見
b)名簿屋対策
●第三者提供記録の開示請求(33条5項)の在り方として、より柔軟な方法を認めるべきではないか。
• (営業電話の会話中などに)口頭での開示請求(あるいは開示請求とは別の回答 義務)を認める。
• 適格消費者団体にも開示請求を認める、など。
・板倉弁護士意見
(委員会検討資料と関連note)
2024/4/24 第281回個人情報保護委員会
・個人情報保護法 いわゆる3年ごと見直し規定に基づく検討(個人の権利利益のより実質的な保護の在り方③)(PDF : 428KB)
・議事概要 (PDF : 221KB)議事録 (PDF : 348KB)
1−3)こどもの個人情報等に関する規律の在り方
・曽我部教授意見
a)こども
• 国際的な規律の整合性の観点からも、こどもに対する保護の強化は必要ではないか。
• 他方で、要配慮情報と位置づけ、個人情報取得時に同意を要するとすることには、 個情法が形式的ルールのままであればあまりにも硬直的となるので不適当ではないか。
• 例えば、不適正利用禁止の枠内で、こども(や高齢者などその他の脆弱性ある集 団)の特殊性を考慮すべきことをガイドラインに記載するなどのことが考えられるか。
• なお、各論的には、あらかじめ本人に対して利用目的を明示すべき場合(21条2 項)について、こども本人に示すのか法定代理人に示すのかを明確にする必要。
・曽我部教授質疑
Q)藤原委員長→曽我部教授
「こどもの個人情報について、資料6ページにおいて、『要配慮情報と位置づけ、個人情報取得時に同意を要するとすることには、個情法が形式的ルールのままであればあまりにも硬直的となるので不適当では ないか』と記載いただいている。要配慮個人情報に位置付けることが不適当 だとすれば、一つの代案として、保有個人データの利用停止等請求権(法第 35 条)の要件を緩和することも考えられるが、このような方策については どのようにお考えか」という旨の発言があった。
A)曽我部教授から
「それも考えられると思うが、いずれにして も、実質的には、いかなる利用がこどもとの関係でリスクの高いものなのか を特定することが重要である」という旨の回答があった。
Q)藤原委員長→曽我部教授
「こどもに関して、資料6ページに『あらかじめ本人に対して利用目的を明示すべき場合(21 条 2 項)について、こども本人に示す のか法定代理人に示すのかを明確にする必要』と記載いただいている。利用 目的については、法第 21 条第1項において、本人への通知義務も規定され ているが、この通知義務についても、通知先を明確にする必要があるという お考えか」という旨の発言があった。
A)曽我部教授から
これに対し、…「然り」という旨の回答があった。
・森弁護士資料
・森弁護士質疑
Q)藤原委員長→森弁護士
「こどもが本人となる場合の規律の在り方について、本人 の同意や、利用目的の通知などの場面において、法定代理人の関与を明文で 義務付けることの必要性、こどもの個人情報の取扱いについて、個人情報の 取得、プロファイリング、利用停止等請求権、安全管理措置等に関して検討 しているところである。こどものデータに関する規律規制について、具体的にどのような規律を設けるべきとお考えか」という旨の発言があった。
A)森弁護士
「強く思うのは、こどもの判断能力の不十分性 は至る所で問題になっているので、同意の際に法定代理人を関与させることは極めて合理的だと思う。また、こどもの可塑性の観点からは、プロファ イリングの禁止も意義があるのではないか。正しくプロファイリングする ことは困難で、間違った決めつけとなる可能性がある。取得制限や利用停止請求は、大人を含めた全体について拡大すべきと考えているため、こどもに 特化したものとして考えてはいない」という旨の回答があった。
・佐藤教授意見
■未成年者の保護は導⼊すべき
□理由︓海外制度との整合性に加えて、ネット利⽤の拡⼤により、未成年者 が個⼈情報に関わるトラブルに巻き込まれるリスクが⾼まっている
・佐藤教授質疑
Q)藤原委員長→佐藤教授
「こどもの個人情報に肯定的なご意見を頂いたが、具体的 にどのような点が必要とお考えか」という旨の発言があった。
A)佐藤教授
「未成年者と成年者を分けるのは年齢になる。 もう一つは未成年者に係る情報に起因するリスクに基づく整理と対応。ネ ットサービスであれば、コンテンツリスクや、よく大人がこどもを善からぬ 理由で誘い出すコンタクトリストもある。ネットサービスで言うと、こども に判断能力がないことを前提にして、ターゲティング広告を出したり、誘導 したりする機能をシステム側が作ってしまうリスクもある。未成年者の個人情報に係るリスクごとにある程度低減できるように制度設計をされるべきだと思う」という旨の回答があった。
・高木主任研究員意見
3.4. こどもの個人情報について
令和6年4月10日付の検討資料に、「こどもの個人情報等に係る規律の在り方」が記載されてい るが、なぜそうする必要があるのかを整理する必要がある。ただ単に「海外もそうしているから」という理由で進めてはならない。 特に、米国のCOPPAは、データ保護法制とは別の目的(児童の安全のため)を含んでいるの で、同列に捉えるべきでない。児童の安全に係る問題は、個人情報保護法とは別の法制度によっ て解決するべきことである。 同資料11頁には、「事例B インターネット上で児童の個人情報を公開するに際し留意すべき事 項は何か」「事例C 事業者がパンフレットに児童の個人情報を掲載しているが、当該掲載につい て児童から口頭で同意をとったのみであり、親には何ら連絡もなかった。」という事例が掲載さ れているが、これらは「個人データ」の話ではなく、個人情報保護法で対処すべき事案ではない。
・板倉弁護士意見
(委員会検討資料と関連note)
2024/4/10 第280回個人情報保護委員会
(1)個人の権利利益のより実質的な保護の在り方②について
・個人情報保護法 いわゆる3年ごと見直し規定に基づく検討(個人の権利利益のより実質的な保護の在り方② ) (PDF : 568KB)
・議事概要 (PDF : 252KB) 議事録 (PDF : 283KB)
1−4)個人の権利救済手段の在り方
●団体訴訟制度
・曽我部教授意見
c)団体訴訟 • 差し止め訴訟については、個情委の執行リソースの限界を補完するものとして導入する価値があるのではないか。
• その他、前述の第三者提供記録の開示請求権や、事業者・認定個人情報保護 団体への苦情申出資格など、適格消費者団体に団体訴訟以外の一定の権限を付与することは可能か。
・曽我部教授質疑
Q) 清水委員→曽我部教授
2点目として、「10 ページの団体訴訟のうち差止訴訟につい ては、導入の価値がある旨の御意見を頂いたと理解している。他方、団体による被害回復制度については導入のハードルが高いと考えておられると理 解してよろしいか。そうであれば、その理由についても御教示いただきたい」 という旨の発言があった。
A) 曽我部教授
これに対し、曽我部教授から「専門ではないので正確なことは申し上げられないが、個人的には損害賠償の方が事業者の反対が強いだろうというこ とと、団体訴訟の導入の意義として、消費者団体への交渉力の付与という点 も重視しているため、差止訴訟があれば、現状より改善するのではないか」 という旨の回答があった。
Q) 清水委員→曽我部教授
3点目として、「10 ページの第三者命令について、検 討する価値があるが、課題があるとのことだった。例えば検索サービス事業 者を対象とする場合は、表現の自由の関係で問題が発生すると思うが、どの ようなことが課題だと思うか」という旨の発言があった。
A) 曽我部教授
これに対し、曽我部教授から「どういう形で事業者を限定するかが重要な 課題だと思う。また、表現の自由との関係もあるが、検索結果に関していう と、検索結果を表示するという行為が、表現の自由との関係でどういった位 置付けになるのかということは、2017 年の最高裁の決定などを見ると、表 現行為としての側面を有するとある。よって、通常の表現者が表現をする時 とは違う、フルスペックの保障ではないことを示唆しているところもあり、 そういった点も踏まえて表現の自由との調整は考慮する必要があると思う。 他方では、検索事業者の行為の憲法的性質も踏まえた議論が必要だと思っ ている」という旨の回答があった。
・山本教授意見
○より実効的な執行のため、課徴金制度の導入、団体訴訟の導入は積極的に検討すべき。
・森弁護士資料
・佐藤教授意見
■団体訴訟制度は導⼊すべき
□理由︓少額⼤量被害の場合、現状、訴訟は被害者に不利益であり、その緩和が必要ではないか
・佐藤教授質疑
Q)清水委員→佐藤教授
「課徴金、団体訴訟制度について、前向きな意見を頂いたが、 業界団体からは萎縮のおそれがあるということで反対意見を頂いている。 課徴金制度に関しては、悪質・重大事案が対象であれば、萎縮を懸念する必 要はないのではないか、とのことだが、団体訴訟のうち、差止請求に関して も、対象行為を違法行為のみに限定する場合には、萎縮の懸念はないと考え てよろしいか」という旨の発言があった。
A)佐藤教授
「消費者団体訴訟に関して、対象行為を違法行為のみに限定されたものを適正としている。今回、個人情報の方でも、対象 行為を違法行為のみに限定すればそれほど萎縮は起きないと思っている。 その方面の方に事前に聞いた限りだと、消費者団体訴訟が起きた 2005 年くらいに、経済界も最終的には合意したと聞いた。ただ、懸念しておいたほうがよいのは、情報に関するものは実体がないものも多いので、重複訴訟など 一般の消費者訴訟では起きにくかった問題が起きる可能性があるので、情報を扱うということ前提で、上手く規律されたらよいと思う」という旨の回答があった。
・高木主任研究員質疑
Q)小笠原委員→高木主任研究員
「経済界からの要望への対応の関係で、本日話題にはなっ ていなかったが、団体訴訟制度について、業界団体から個人データの利活用 の萎縮が生じるため導入は反対という意見を頂いている。この点について、 何かお考えはあるか」という旨の発言があった。
A)高木主任研究員
「その点については私の専門性から外れるので特段コメントはないが、そもそも個情法が何を権利利益としている か明確になっていない段階でそのような仕組みを設けても時期尚早ではな いかと思う」という旨の回答があった。
・板倉弁護士意見
2)実効性のある監視・監督の在り方
(全般)
・曽我部教授意見
・曽我部教授質疑
Q)清水委員→曽我部教授
1点目として、「8ページに CNIL の例を挙 げていただいたが、事業者に対する権利行使への対応がなかった場合に、 CNIL に対する申立てを認めていることが監視・監督の柱になっているという説明だったと思う。今後は、漏えい等への対応よりも事業者への指導に移 っていくべきか、あるいはバランスをとっていくべきか」という旨の発言が あった。
A)曽我部教授
「漏えい等への対応は非常に重要なので、否定するものではないが、他の指導等も重要なのでバランスをとる必要がある。執行リソースの総量があるので、その中での配分の問題だと思う」とい う旨の回答があった。
・板倉弁護士意見
2−1)課徴金、勧告・命令等の行政上の監視・監督手段の在り方
●課徴金:
・曽我部教授意見
b)課徴金制度について
• すでにヒアリングを受けた中川丈久教授、林秀弥教授と同感であり、早期導入が望 まれる。
• 法的性質論(利益の吐き出しにとどまらない)についてはすでに共通認識が変化し ており、個情法への導入に理論的な障壁はない。
• 実質論としても、中川教授の「遵法層の反対によって、極悪層(…)を放置すると いう愚を犯すべきではない」との指摘には同感。
・曽我部教授質疑
Q)藤原委員長→曽我部教授
「課徴金制度の導入について、比較法的な観点からフランス法と日本法とでお考えの点があれば、御教示いただきたい」という旨の発 言があった。
A)曽我部教授
「課徴金制度導入の一つの課題は、どのように運用していくかだと思う。
例えば、国内ではインサイダー取引の課徴金制度があって、比較的活発に課徴金が課されている。その前提として、一定の 会社の役員等が株取引をしたときに、届出の義務があるとか、取引上、売買 の動向を監視していて、疑わしい取引があれば報告するなど、情報を収集する仕組みが出来上がっていることが、円滑な制度の導入につながるのでは ないか。個人情報保護法に課徴金を導入すると、まずその点が問題になると 思われる。CNIL の場合だと、申立ての仕組みがあり、2023 年に約 16,000 件 申立てがあって、情報収集の端緒がある。情報収集の能力や制度・仕組み、 その後の立入検査等に際しての委員会のリソース問題が課徴金制度導入後 の課題として出てくると思う」という旨の回答があった。
・山本教授意見
○より実効的な執行のため、課徴金制度の導入、団体訴訟の導入は積極的に検討すべき。
・森弁護士資料
・宍戸教授意見
1.貴委員会第 106 回(2019 年 5 月 21 日)のヒアリングで陳述した事項
⑥課徴金制度の導入 →立法事実の蓄積
・宍戸教授質疑
Q)清水委員→宍戸教授
2点目として、
「課徴金制度の検討の是非は、前回の令和元年の御説明から変わりはないとのことで、再度確認させていただきたい。仮 に課徴金制度を導入する場合、具体的な制度設計や留意点についてどのよ うなものが考えられるか」という旨の発言があった。
A)宍戸教授
「私自身は研究者の中では個情法違反行為に対する制裁として課徴金導入の最右翼であり、是非導入していただきたいと いうことは前回のヒアリングでも申し上げたし、今回は LINE ヤフーの件等 を含めて、立法事実も蓄積されていると考えている。課徴金制度については、 不当利得の吐き出し以上のことは認められないという 謬 びゅう 説があるが、これ は最高裁判例ですら採っていない見解であるし、独占禁止法の改正におい てもそのような考え方は捨てられたところである。ただ法の目的を達成す るために必要で合理的であれば課徴金制度を導入すればよい。そして、現状 の制裁手段が足りていないのであれば導入すればよいのである。
他方、ただ 重い制裁を加えるためではなく、事業者のインセンティブを引き出すため に、自分達がしっかりと取組をしていたのに偶発的な事態が起きた等の場 合は課徴金を減免する、あるいは事業者が社会に対してやっていると口で は説明していても実際はやっていなかったという欺 瞞まん的な説明をしていた 場合には課徴金をしっかりとかけるという、メリハリの付いた法執行を可 能とするような法制が望ましいと考える」旨の回答があった。
・佐藤教授意見
■課徴⾦は導⼊すべき
理由︓海外制度との整合性に加えて、悪質事案の対策。なお、悪質、重⼤ 事案が対象であれば「萎縮」を懸念することはないのではないか
・佐藤教授質疑
Q)清水委員→佐藤教授
「課徴金、団体訴訟制度について、前向きな意見を頂いたが、 業界団体からは萎縮のおそれがあるということで反対意見を頂いている。 課徴金制度に関しては、悪質・重大事案が対象であれば、萎縮を懸念する必 要はないのではないか、とのことだが、団体訴訟のうち、差止請求に関して も、対象行為を違法行為のみに限定する場合には、萎縮の懸念はないと考え てよろしいか」という旨の発言があった。
A)佐藤教授
「消費者団体訴訟に関して、対象行為を違法行為のみに限定されたものを適正としている。今回、個人情報の方でも、対象 行為を違法行為のみに限定すればそれほど萎縮は起きないと思っている。 その方面の方に事前に聞いた限りだと、消費者団体訴訟が起きた 2005 年くらいに、経済界も最終的には合意したと聞いた。ただ、懸念しておいたほうがよいのは、情報に関するものは実体がないものも多いので、重複訴訟など 一般の消費者訴訟では起きにくかった問題が起きる可能性があるので、情報を扱うということ前提で、上手く規律されたらよいと思う」という旨の回答があった。
・板倉弁護士意見
●勧告・命令の在り方(第三者命令)
・曽我部教授意見
d)第三者命令
• 中川教授の言及している第三者命令については、今後検討の必要があることに賛成。
・曽我部教授質疑
Q)清水委員→曽我部教授
3点目として、「10 ページの第三者命令について、検討する価値があるが、課題があるとのことだった。例えば検索サービス事業 者を対象とする場合は、表現の自由の関係で問題が発生すると思うが、どの ようなことが課題だと思うか」という旨の発言があった。
A)曽我部教授
「どういう形で事業者を限定するかが重要な 課題だと思う。また、表現の自由との関係もあるが、検索結果に関していう と、検索結果を表示するという行為が、表現の自由との関係でどういった位 置付けになるのかということは、2017 年の最高裁の決定などを見ると、表 現行為としての側面を有するとある。よって、通常の表現者が表現をする時 とは違う、フルスペックの保障ではないことを示唆しているところもあり、 そういった点も踏まえて表現の自由との調整は考慮する必要があると思う。 他方では、検索事業者の行為の憲法的性質も踏まえた議論が必要だと思っ ている」という旨の回答があった。
・板倉弁護士意見
(委員会検討資料と関連note)
2024/3/22 第277回個人情報保護委員会
(1)実効性のある監視・監督の在り方①について
個人情報保護法 いわゆる3年ごと見直し規定に基づく検討(実効性のある監視・監督の在り方①) (PDF : 386KB)
議事概要 (PDF : 157KB)議事録 (PDF : 329KB)
2024/5/29 第286回個人情報保護委員会
(1)実効性のある監視・監督の在り方③について
・個人情報保護法 いわゆる3年ごと見直し規定に基づく検討(実効性のある監視・監督の在り方③) (PDF : 1691KB)
・議事概要 (PDF : 158KB) 議事録 (PDF : 297KB)
2−2)刑事罰の在り方
・板倉弁護士意見
2−3)漏えい等報告・本人通知の在り方
①漏えい報告・本人通知の在り方:
・山本教授質疑
Q)清水委員→山本教授
「漏えい等報告に関し、業界団体からは、過度な負担が生じているとの御意見を寄せられている。漏えい等報告に関し、本日の御説明で は特段言及がなかったが、このような類型の漏えい等事案であれば、報告義務の緩和が考えられるという御示唆があれば、御教示いただきたい。例えば、 漏えい等報告の現状として、漏えい等が発生した人数が1人の事案が大半 を占めている状況を鑑み、こうした事案について報告義務を緩和すること も考えられるがどうか」という旨の発言があった。
A)山本教授
「事業者の様々な考えやコストを正確に理解し きれていないところではあるが、現在でも、報告義務が課されているものは、 権利利益を害するおそれが大きい場合に限定されている。そうなると、人数 の問題ではなく、1人であっても権利利益の侵害のリスクが大きいという ことなので、そこで報告義務を免除するということは個人の権利利益を軽 視することになるのではないか。
また、漏えいというのは個人情報が自分の コントロールから離れるということを意味するので、本人はそれを知る権 利があるのではないか。そうなると、本人への通知が権利保障の一環として 必要だと思う。いろいろな事業者の考えはあると思うが、緩和するべきではないと思っている。むしろ、誠実に報告することによって、どのようなインセンティブを設計できるかということに着目すべき。正直者が馬鹿を見る 世界はよくないので、報告した事業者がどのようなインセンティブを得ら れるのかという方向で議論すべき」という旨の回答があった。
・森弁護士質疑
Q)清水委員→森弁護士
「本日の報告にはなかったが、漏えい等報告に関し、業界団 体からは、過度な負担が生じているとの御意見を頂いている。実際に企業等 からの相談に乗られている立場から、2点御教示いただきたい。
一つ目に、 漏えい等報告の負担の大きさについて、お考えがあれば御教示いただきた い。
二つ目に、もし緩和するとした場合、どのような事案であれば緩和が考 えられるか。例えば、漏えい等した人数が1人の事案が大半を占めている状 況に鑑み、こうした事案について報告義務を緩和することも考えられるが どうか」という旨の発言があった。
A)森弁護士
「負担が大きいと感じたことはない。
理由は、 速報も確報も書式ができており、記載方法が分からなければ教えてもらう ことも可能なため。提出したものについて、委員会からお叱りや指導を受け たこともない。自分は、報道されるような大規模漏えい事件は担当したこと はないが、大規模漏えい事件であれば、お叱りや指導があったとしても、むしろ当然だと思う。軽微事案で面倒、大変と思ったことはない。
緩和できる ところとして、現在の基準も既にリスクベースで設定されていると思うの で、今のところアイデアは特にない。1,000 人を 3,000 人にすることや、他 の類型で人数を増やすのも良い案なのかどうか分からない。『おそれ』だけでやるから大変だという意見が出ているようだが、報告・通知義務の主たる 目的は権利利益の侵害の防止にあるため、第三者に悪用されているという 可能性があるという段階から、報告・通知しないと目的が達せられないので はないか。第三者が入手したことが確定してから、報告・通知するというこ とにすべきという発想が今一つ分からない。報告・通知義務の趣旨を犠牲に しても回避しなければいけないような重い負担ではないと思う」という旨 の回答があった。
・宍戸教授意見
・インセンティヴ設計の観点から、主体のガバナンス(DPO の設置、定期的な組織 全体のデータ管理・利活用の確認等)、企業・組織単位、社会全体の市民参画の取 組とのセットで、漏洩時の報告・通知のあり方の見直しや課徴金制度の検討
・宍戸教授質疑
Q)清水委員→宍戸教授
3点質問があり、1点目として、「資料1-4-1の3.の最 後で、『漏洩時の報告・通知のあり方の見直し』とあるが、これについては どうお考えか」という旨の発言があった。
A)宍戸教授
「漏えい時は委員会に報告をするのが出発点であるが、本人通知が必要な場合については、もう少し限定してリスクベース で考えてもよいのではないか。また、漏えい時の報告自体も、事業者の取組の体制に応じて必要な取組が事業者の中でなされるのであれば、初発の報告はさっと行う必要があると思うが、繰り返しの報告ではなく定時の報告 にとどめてはどうか。事業者側で漏えいの状況を把握する、あるいは今後の 被害を防ぐための伴走支援を委員会の法執行の面でより可能とするような手当があるとよいのではないか」という旨の回答があった。
・板倉弁護士意見
②第三者提供の違反時の報告義務
・板倉弁護士意見
2024/5/15 第284回個人情報保護委員会
(3)実効性のある監視・監督の在り方③について
資料3
個人情報保護法 いわゆる3年ごと見直し規定に基づく検討(実効性のある監視・監督の在り方②)
議事概要 (PDF : 186KB) 議事録 (PDF : 312KB)
3.データ利活用に向けた取組に対する支援等の在り方
(全般)
Q)小川委員→山本教授
「日本でデジタル化を進めるという観点に立つと、個人情報保護法の見直しに際して、どのような点を厳格にして、どのような点を緩い規制にすればよいか、お考えをお聞かせいただきたい」という旨の発言が あった。
A)山本教授
「トラストの形成が必要だと思う。自分のどの ような情報がどこに行き、何をプロファイリングされているのか不明なの で、消費者が不安になり、トラストの形成につながりにくくなっているので はないか。欧米では、プロファイリングを一つの処理段階として独立して議 論している。透明性等の観点からみても、一定程度予測可能性があるのでは ないか。GDPR でも、プロファイリングに対して、異議申立てを含めて、本 人の関与も認められている。透明性があって、本人の関与が認められていることがトラストを形成する一つのポイントになっているのではないか。そこでプロファイリング、スコアリングが大事になってくる。透明性等を維持して本人関与をどのように認めていくかが大事。最近、動画系プラットフォームに関する調査結果を見ていたら、選ぶ理由の上位に解約のしやすさが あった。コントローラビリティが確保されていればトラスト形成につながり、エンゲージメントにつながる。自分の個人情報について主体性を保障することが提供のしやすさにつながるのではないか。透明性等を高めていくことが方向性として重要」という旨の回答があった。
3−1)本人同意を要しない公益に資するデータ利活用等の在り方
●同意なしの第三者提供:
・曽我部教授意見
・曽我部教授質疑
Q)藤原委員長→曽我部教授
「5ページに『例えば、第三者提供規律をよりフラットな比例原則に服させることも考えられないか』と記載いただいている。この点につき、業界団体からも『同意取得の例外が認められる範囲を見直し、契約 履行や正当な利益を目的とした場合など、本人同意によらない方法での第 三者提供や利活用の在り方を検討すべき』との意見を頂いている。仮に、第 三者提供の例外として『正当な利益』のようなフラットな比例原則に服する 例外を設けた場合、他方で、第三者提供の根拠として認められる同意の範囲 は厳格になるということか」という旨の発言があった。
A)曽我部教授
「然り」という旨の回答があった。
Q)藤原委員長→曽我部教授
「比例原則について、抽象的な一般原則のように解釈する より、GDPR のように実体的に明文の形で比例原則が出てきた方がよいとい うことか」という旨の発言があった。
A)曽我部教授
「GDPR と日本法は、そもそもの建て付けが 違うので、単純な比較はできないのではと思う。その上で、GDPR 型の実体 的ルールへの転換については迷うところであるが、個人的にはその方がよいのではと思っている。
ただ、日本法のこれまでの歴史的経緯からして、これが現実的かどうかは分からない。しかし、例えば、現行法では第三者提供 の例外がかなり限定的なところ、同意を柔軟に捉えることで結論の妥当性を図っているが、これが健全といえるかどうかやや疑問がある」という旨の 回答があった。
・山本教授意見
〇GDPR を踏まえれば、仮に「正当な利益」を導入する場合でも、後の本人関与の強化と セットで行わなければならない。
・山本教授質疑
Q)藤原委員長→山本教授
「本人同意を要しない第三者提供・利活用の在り方に関し、 慎重に検討すべきとの御意見だったが、業界団体からは、『同意取得の例外 が認められる範囲を見直し、契約履行や正当な利益を目的とした場合など、 本人同意によらない方法での第三者提供や利活用の在り方を検討すべき』 との御意見を頂いている。仮に個情法においてこれらの例外規定を追加する場合、本人関与の強化とセットで行う必要があるとお考えか」という旨の 発言があった。
A)山本教授
「然り」という旨の回答があった。
・森弁護士質疑
Q)清水委員→森弁護士
「業界団体からは、『同意取得の例外が認められる範囲を見 直し、契約履行や正当な利益を目的とした場合など、本人同意によらない方 法での第三者提供や利活用の在り方を検討すべき』との、より広く緩和を求 める御意見を頂いている。GDPR では『正当な利益』等の適法化要件がある が、一方で本人同意について厳格な要件が求められていると理解しており、 これを踏まえれば、仮に個人情報保護法において業界団体が求めるような 例外規定を追加する場合、同意の範囲を厳格に判断する必要があると考え るが、この点につき御意見等があればお伺いしたい」という旨の発言があっ た。
A)森弁護士
「同意の判断を厳格に行うことは、GDPR とは無関係に求められる。同意疲れのような問題が指摘されていて、それ自体は 確かに深刻な問題である。ただ、それに対する唯一の解決策は、同意の有効 性を厳しく判断し、見せ掛けの同意を無効にすることに尽きるのではない か。
ところが、世の中の議論はそうなっておらず、同意疲れで同意には限界 があるから、同意無しで利活用できるようにしようという話になっている。 なぜ同意無しで利活用できるようにしようという話が出てくるかというと、 見せ掛けの同意を除く真の同意を求められると、利活用できる情報の量が 減るため、同意無しで利活用できるようにしてほしいということだと思う。 しかし、GDPR における契約履行や正当な利益の適法化事由が、情報の量が 減ることのないようにするためのものなのかというと、そんなことはない と思う。契約履行、正当な目的、同意のいずれも GDPR 第6条の適法化事由 の中の一つ。これらはデータ処理、つまり取扱いの全ての場面で求められて いる。これに対して、日本法は利用目的の変更、要配慮個人情報の取得、第 三者提供の3場面についてのみ同意を必要とし、その上で、法令の規定があ る場合、生命・身体・財産の保護のために必要な場合、公衆衛生の向上又は 児童の健全育成のために必要な場合、国の機関若しくは地方公共団体又は その委託を受けた者が法令の定める事務を遂行するために必要な場合、学 術研究目的の場合を同意例外としている。これらは同意例外とされている が、基本的には GDPR 第6条と同じ適法化事由。GDPR の適法化事由と日本法 の適法化事由は実質的にはほとんど重複していて、GDPR にあって日本法に ないのは、契約履行と正当な利益になる。GDPR と日本法の最大の違いは、 GDPR はあらゆる取扱いの場面で六つの適法化事由を選択的に求めているの に対して、個人情報保護法は利用目的の変更、要配慮個人情報の取得、第三 者提供の3場面のみ適法化事由を求めている。GDPR の適法化事由のメニュ ーが日本法より2種類多いのは、適法化事由が求められる場面が圧倒的に 多いということに起因している面があると思う。もし、3場面に契約履行と 正当な利益を追加するのであれば、取扱いの全ての場面で適法化事由を求 めるようにすることが GDPR への正しい接近になると思う」という旨の回答 があった。
・宍戸教授意見
・「同意偏重」と呼ばれる(理解されている)事態の解消
・板倉弁護士意見
(委員会検討資料と関連note)
2024/5/15 第284回個人情報保護委員会
(2)データ利活用に向けた取組に対する支援等の在り方について)
個人情報保護法 いわゆる3年ごと見直し規定に基づく検討(データ利活用に向けた取組に対する支援等の在り方) (PDF : 1139KB)
3−2)民間における自主的な取組の促進
①PIA
②責任者の設置
・宍戸教授意見
・インセンティヴ設計の観点から、主体のガバナンス(DPO の設置、定期的な組織 全体のデータ管理・利活用の確認等)、企業・組織単位、社会全体の市民参画の取組とのセットで、漏洩時の報告・通知のあり方の見直しや課徴金制度の検討
・板倉弁護士意見
以上、まずは、個人情報保護委員会の検討論点ごとに分解して見てみました!
同じ論点ごとに見ると、モノの見方の違いが明確かつ、立体的に見えてきて、勉強になるなぁという印象です。
(でも、分解、再構成、結構タイヘンでした〜〜)
なお、今回の検討論点以外の、そもそも系の論点(法目的や情報範囲など)については、別の機会にじっくりみていこうと思います。
それでは、また!
今日のDall-E3
この記事が気に入ったらサポートをしてみませんか?