個人情報保護法3年ごと見直し「中間整理」パブコメ結果をパッと見てみよう!
おはようございます!
6/27〜7/29の間に意見募集していた「中間整理」のパブコメ結果がきのう公表されました。
結果概要
「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」に関する意見募集結果(概要) (PDF : 1003KB)
意見件数は2448件、意見提出者は企業等29者、団体43者、個人1659者。
個人の意見が多かったことがわかります。
テーマ別では、
・本人同意を要しないデータ利活用(生成AI)が圧倒的に多く、
・次点は、こども、生体データ、不適正、漏えい報告、となっています。
個人意見が多かったこと以外は、想定内の傾向の印象です。
パブコメ結果全文は273ページもある!!ため、今回は概要(27枚もの)を、中間整理の項番に沿ってみていきたいと思います。
「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」に関する意見募集結果
まとめ方としては、6/26のこちらの記事の抜粋に、
・検討会第一回で公表された中間整理のまとめスライド
・パブコメ結果概要をを追記するイメージです。
なお、引用出典は、
【考え方】:個人情報保護法いわゆる3年ごと見直しに係る検討の中間整理
【中間整理スライド】:「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」概要
【パブコメ結果】「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」に関する意見募集結果(概要) となります。
「中間整理」における【考え方】
▼パブコメ結果
まず、中間整理全体に対するコメント
3年ごとに見直すことについては、賛成の意見が多そうです。
・そのサイクルにとらわれず、様々なステークホルダーが議論し、タイムリーに検討を(経済界)
・ステークホルダーとと言う場合(大企業ばかりではなく)スタートアップや中小企業、市民社会、消費者を代表するメンバーも
・データ利活用を促進する官民連携の枠組みを
・消費者目線で(難解な個人情報保護法の)理解を促進する取り組みを
・立法事実の明確化を
1. 個人の権利利益の実質的な保護の在り方
1)個人情報等の適正な取扱いに関する規律の在り方
ア 生体データ
考え方
・特に要保護性が高いと考えられる生体データについて、実効性ある規律を設ける方向
具体的には、
-利用目的をより具体的に特定
-(同意を必ずしも必須としないかわりに)生体データに関する通知または十分に周知、および、本人による事後的な利用停止を他の保有個人データ以上に柔軟に可能に(現行法利用停止は、不適正な利用等の場合のみ)
memo: 規律を設ける生体データの具体の記載はありませんが、事例からすると顔識別カメラ画像の個人データ等を想定していそうです。
▼
▼パブコメ意見
生体データの取り扱いの強化については、総論としては賛成が多いものの、その範囲、実効性ある規律の具体については、意見が分かれているようです。
・保護を強化する生体データの範囲
(厳しめの意見)
ー人間の肖像、外観、声、絵柄、筆跡
ー行政による生体データも含めるべき
(多い意見)
ー自然人を一意に識別すること目的としたデータ
・実効性ある規律のあり方
ー事業者が現実的に運用が可能な規律に(削除請求など)
ー犯罪予防、安全確保、社会インフラの活用を阻害しないように
ーリスクに応じて
(厳しめの意見):「要配慮個人情報」に含めるべき
(ゆるやかな意見):法改正でなく、GLやQAで明確化で
・生体データの呼称
ー医療分野の関係者の意見を聞いて
ー個人識別符号に該当する生体データ
ー本人を認証できるようにしいたデータ
イ 不適正取得、不適正利用
▽中間整理での考え方
・適用される範囲の具体化・類型化
→ 過去の問題事例をふまえて(とすると、法改正ではなくGLレベル?)
・取得事業者と個人の間の(Noといえないような)関係において追加の考慮が必要か検討
・個人関連情報のうち、個人に連絡できるような情報については、不適正取得、不適正利用規範が適用されるかも?
▼
▼パブコメ意見
・適用範囲の具体化・類型化には賛成の意見が多い
・一方、代替困難な事業の類型化には懸念の声も複数
・個人に連絡が可能な個人関連情報を規律に含めることについては、意見が分れています。
(厳しめの声):単体の情報項目で連絡がとれる個人関連情報は、「個人データ」に含め、安全管理措置の対象とすべき
(中間):メアド、電話番号はともかく、Cookie IDを含めるべきでない
(反対の声)連絡がとれる情報の規律強化に反対
2) 第三者提供規制の在り方(オプトアウト等)
▽考え方
相次ぐ特殊詐欺や持ち出し事案のデータが、名簿屋に販売されていることを受け、
オプトアウト届出事業者向けのルール厳格化として、
・提供先の利用目的や身元の確認義務?
・取得元における取得の経緯や取得元の身元等の確認について、より高度の注意義務
個人の権利利益の保護をはかるための個人への措置として、(現在はどこに自分の個人データが売られているかわからず、オプトアウトのやりようがないという実態をふまえ)、
・本人のオプトアウト権行使の実効性を高めるための措置
▼
▼パブコメ意見
こちらの規範も、意見が割れており、消費者団体・弁護士事務所等は厳しめ、関係事業者からは悪質性のない事業者の例外措置を求めています。
(厳しめの声)
・そもそもこのオプトアウト規定が個人情報保護法を骨抜きにしており、名簿屋を禁止、第三者提供は本人同意を原則とすべき
・悪質な事業者について、個情委は把握可能なのか?
・より厳格な許可性を
(一部影響が大きい事業者の声)
・市販されている住宅地図や法人代表者などを販売する事業者は対象外にすべき
3)こどもの個人情報等に関する規律の在り方
5論点と、気合が入っているこども。
▽考え方
要配慮個人情報として取得時に同意が必要とすることはしない前提での案となっています。
ア 法定代理人の関与
16歳未満の場合、現行法の同意取得や通知の場面で、本人ではなく、法定代理人(親等)に同意、通知することの明確化
イ 利用停止等請求権の拡張
(不適正な場合に限らず)利用停止請求を認める方向
ウ 安全管理措置義務の強化
具体的にどう強化するかまでの言及はなし。
memo: 管理レベルを変える前提とすると、社内でこどものデータの分別が必要となりそう…?
エ 責務規定
事業者が留意すべき責務の明文化を予定
オ 年齢基準
現在のQA内容と同じ、16歳未満が基準に
▼
▼パブコメ意見
こども規範は、様々な意見が飛び交っています!
・禁止、制限すべき事項
- 利用目的の制限
- プロファイリング行為の禁止
- ターゲティング広告の表示の禁止
- 誘導・欺瞞などこどもの脆弱性を突くような行為の禁止
- 何を目的としてどんなリスクからこどもを保護するのか明確化の上で規律検討を
・こども家庭庁など関係省庁を交え、利活用面からも議論すべき
・こどもの年齢基準(案:16歳)
- 一定の場合は13歳未満に
- 成年、契約年齢18歳未満との関係整理必要
- 16歳とする根拠整理を
- こどもの自己決定の尊重
・実務の実効性
- 親と一緒に利用することが想定されていないサービス
- 家庭内で問題がある場合
- 利益相反がある場合
4)個人の権利救済手段の在り方
▽考え方
適格消費者団体を念頭においた団体請求制度の論点
⚫︎差止請求制度
・法に違反する不当な行為を対象行為とすることを検討すべき
としながらも、その実現には、受け皿となる適格消費者団体のパワーアップが不可欠として、継続検討となっています。
⚫︎被害回復制度
・更に慎重な検討が必要
として、まずは差止請求制度の実現の検討を優先とするような雰囲気を感じます。
▼
▼パブコメ意見
消費者団体以外は、反対または慎重論が多い印象。
消費者団体も、条件付きで、担い手となる適格消費者団体への支援(専門性、端緒情報の共有、資金など)が制度機能には必須としています。
2 実効性のある監視・監督の在り方
1)課徴金、勧告・命令等の行政上の監視・監督手段の在り方
ア 課徴金
何かと話題の課徴金。
意見の隔たりが大きく、
▽考え方
・その導入の必要性を含めて検討
が、現時点の結論となりました!
▼
▼パブコメ意見
外野からみて、いちばん意見が噛み合ってないように見える「課徴金」論点。
メディア報道では、経済団体は一律反対しているように見えますが、企業からの意見もかなり幅がある印象です。
-(強く反対)データ利活用に萎縮
- 予測可能性を高め、未然抑止をはかるべき
-(強く賛成)海外では当たり前となっている中、グローバルベンダーにとって、日本法の遵守が軽視されるのではないか?という懸念も
イ 勧告・命令の在り方:
勧告・命令関係については、
▽考え方
・直ちに中止命令を出すことの必要性(勧告前置をmustとしない)
・関与する第三者に対しても行政上の措置をとることの必要性(第三者命令)
・個人の権利利益の保護に向けた措置を求めることの必要性の有無や手続保障などの検討
▼
▼パブコメ意見
・第三者命令については、産業界からは慎重意見が多い一方、個人の権利利益への侵害が差し迫っている場合は、その対処のために措置は必要という声も。
実現する場合、命令を受ける第三者自身の違反行為ではないことが明確になるような配慮が必要な印象です。
2)刑事罰の在り方
▽考え方
前回、罰金額があがった刑事罰については、
・悪質事案を過不足なく対象としているか検証、処罰範囲、法定刑の適切性の検討
に加え、
・個人情報の詐取等の不正取得を直罰規定の対象に含めるべきか検討
▼
▼パブコメ意見
3)漏えい等報告・本人通知の在り方
ア 漏えい報告・本人通知の在り方
関心の高い漏えい報告等の緩和論点
▽考え方
・本人の数が1名の場合で、一定の適切な対処がなされている事業者は、
速報不要、確報を一定期間の取りまとめ報告を許容とするもの
この適切な対処の体制・手順の整備ができていることの確認方法の例しては、認定個人情報保護団体などの確認、が考えられるとしています。
また、もうひとつ要望の多い、外部からの不正アクセス等による
・「おそれ」については、個人の権利利益を害する可能性等を勘案してより合理的と考えられる場合に報告や本人通知を求めることが適当であるとも考えられると、一定の譲歩姿勢を示しつつ、
事業者の協力も得ながら、実態を明らかにした上で検討を行い、必要となる要件の明確化を行う
と、継続議論となりました。
▼
▼パブコメ意見
・リスクベースで報告を合理化
- 事業者の多くは賛成。
- 消費者団体等から、規律を緩めるのは反対との声も
→個人的には、報告の仕方を変えること自体は規律を緩めるとは必ずしもいえず、PPCの限られた執行リソースをよりリスクの高い事案に振り向けられる可能性もふまえ、バランスを図ることは、消費者目線でもベネフィットがあるのではないかな?と思いました。
イ 違法な第三者提供
こちらは漏えい報告対象が増えそうな話。
▽考え方
・違法に第三者に提供した場合、報告義務及び本人通知義務の必要性を検討
また、対象とする場合、
・報告等の対象となる範囲を検討
▼
▼パブコメ意見
3.データ利活用に向けた取組に対する支援等の在り方
1)本人同意を要しないデータ利活用等の在り方
▽考え方
⚫︎本人の権利利益が適切に保護されることを担保する前提で、本人同意を要しないとする例外規定を設ける方向で検討
その例外の外縁としては、以下があげられています
・社会にとって有益であり、公益性が高いと考えられる技術やサービス
・医療機関等における研究活動等に係る利活用のニーズ
また、
・契約の履行に伴う個人情報等の提供
・不正防止目的などでの利活用
さらに、その検討においては、
・関係府省庁も含めた検討や意思決定
・ガイドラインの記載等についてステークホルダーと透明性のある形で議論する場の設定
▼
▼パブコメ意見
意見は、生成AI、医療、その他に3分類されています。
<生成AI>
個人からの意見が桁違いに多かった論点
・誤情報の拡散や特定の個人の名誉毀損、肖像権
・法改正しなくても、GLで明確化をはかれるのでは?
例)
・Webの散財情報の利用には、個人データの規律はかからない?
・プロンプトに入力する個人情報は提供か、その場合の義務緩和
・AIだからといって一律、第三者提供の同意要件を緩めるべきではない、など。
<医療分野>
<その他>
・例外規定の範囲
- 消費者を含め慎重な議論を
- 契約履行や、正当な利益概念の追加を
- 公共性が高い分野に限定し、事業者を登録制としては? など
2)民間における自主的な取組の促進
ア PIA
▽考え方
現行は望ましい対応レベルのPIA、
一旦は変わらず、
・民間における自主的な取組という現状の枠組みを維持
一方、
・一層の促進のため、データマッピングを活用
イ 責任者の設置:
現状は、安全管理措置(組織的安全管理の内数)として明確な義務がとまでなっていないところ、
▽考え方
・「組織体制の整備」を超えた措置の必要性の検討
として、もう一歩進んだ規範化検討のもよう
但し、
・義務とする対象事業者の範囲
・(責任者の)資格要件の要否
等の具体は、企業の現状ふまえて検討。
▼
▼パブコメ意見
・PIA、DPOはあくまで自主的な取り組みとすべき
・一部の個人データは、特に配慮が必要な個人情報としてPIAを義務化すべき
・プライバシーリスクや脅威をどうとらえるか脅威リスト、具体例の公表を
→なるほど!
4 その他
また、これまでの検討論点に加え、その他として、引き続き検討、および議論の場を作るとしています。
▽検討論点
・プロファイリング
▼パブコメ意見
・プロファイリング規制を求める声が複数
特に、
- 要配慮個人情報の推知
- プロファイリングに用いるべきでない情報
- プロファイリングを禁止すべきカテゴリ
・個人情報等に関する概念の整理
▼パブコメ意見
・個人情報等に関する概念の整理の明確化を希望する声が複数
このテーマについては、パブコメ期間中に、板倉先生等有識者による意見案で整理するとこうなる!?というnoteを書きました↓
・プライバシー強化技術(「PETs」:Privacy Enhancing Technologies)の位置づけの整理
▼パブコメ意見
PETsといってもさまざまな技術と目的がある中、
各技術の評価は目的適合性や個人の権利保護への貢献度をふまえて、という意見も。
・ゲノムデータに関する規律の在り方
▼パブコメ意見
その他
▼パブコメ意見
「中間整理」論点以外での個人情報保護法や個人情報保護委員会への意見がいろいろ出ています。
(パブコメによっては、意見募集の対象外とされることもありますが、こうして、その他としてとりまとめていただいていることは、意見をうけとめてくださる姿勢を感じて、ほっとします^^)
・クラウド利用時の安全管理措置の実効性や、提供該当性の判断
・補完的ルールを不要にするための必要な法改正
・第三者提供先の明確化
・「諸外国・地域の法制度」の定期的な更新
以上、6月最終週にはじまったパブコメの結果発表は9月でした。
夏の間、改正案の具体がどう進んでいたのかは、外から伺える情報はほとんどありませんでした… 一方、PPC幹部の体制も大きく変わり、本日の検討会第2回をふまえても、目に見えない動きは着実に進んでいるように感じます!
年末の「改正大綱」に向け、これから4ヶ月も注意深く見守っていきたいと思います。
それでは、また!
中間整理関係note(こんなのも書いてます)
○で、現行法のどのあたりに影響がありそうか知りたい人向け
○論点ごとに有識者の意見の違いを見てみたい人向け
○これまでの検討を時系列に見てみたい人向け
○前回の3年見直しがどんなふうに進んだか見てみたい人向け
この記事が気に入ったらサポートをしてみませんか?