中間整理に向け:個情法3年見直し(課徴金、勧告・命令のあり方2回目)

2024年6月22日 12:42

こんにちは！
関東地方は、夏至に大雨で梅雨入りしましたが、今日はお天気。
朝から洗濯ものを干してスッキリ！

さて、中間整理に向けた検討論点の全スライドを見てみるシリーズも最後！
今回は課徴金、勧告・命令のあり方です。

あれ？前も出てきたんじゃ？

そ、そうなんです。。

課徴金、勧告・命令のあり方は、3/22に一度議論された後、2024/5/13 第283回個人情報保護委員会での有識者ヒアリングを経て、2024/5/29 第286回個人情報保護委員会の議論は2回目！　
他に、2回議論しているテーマはないことから見て、個人情報保護委員会的には、最も力が入っているテーマと言えそうです。

なお、出典の明記がないスライドは全て、表題の以下の資料が出典となります。
個人情報保護法いわゆる３年ごと見直し規定に基づく検討（実効性のある監視・監督の在り方③） (PDF : 1691KB)

中間整理の検討項目(案)とここまでのまとめ

今回の公表は、2/21に公表された中間整理に向けた検討項目のうち、下図の赤枠となります。

検討の方向性

今回の範囲の検討の方向性は、実事案ふまえ、悪質・重大な事案に対する厳罰化等の実効性のある監視・監督の在り方となっています。

これまでの議論

下スライドは、関係団体や委員意見の個人情報保護委員会による公式まとめに、今回の範囲に関する部分に赤枠を引いたものです。課徴金制度は、賛成・反対どちらの意見もあるようです。

それでは、このテーマ2回目となる公表資料を見ていきましょう。

課徴金制度の導入

１．これまでの行政上の対応

まず、これまでの行政上の対応として、３つの類型別に事案の紹介がされています。

１-１．個人データの違法な第三者提供等
１-２．漏えいの可能性を認識しながら、速やかに適切な措置をしなかった
１-３．指導を受けたにもかかわらず、速やかに適切な措置をしなかった

このことは、この後の課徴金対象の検討の上で、この３類型を念頭としていることを伺わせます。

１-１．個人データの違法な第三者提供等に関連する事案

違法な第三者提供として４件紹介されており、それぞれ以下の事案と思われます。

●個人情報の保護に関する法律に基づく行政上の対応（令和元年12月4日）
株式会社リクルートキャリアに対する勧告等について (PDF : 190KB)

●破産者等の個人情報を違法に取り扱っている事業者に対する個人情報の保護に関する法律に基づく対応について (PDF : 211KB)（令和５年１月11日）

●個人情報の保護に関する法律に基づく指導について（平成30年10月22日）
・フェイスブックインクに対する指導について (PDF : 123KB)

●オプトアウト届出事業者に対する個人情報の保護に関する法律に基づく行政上の対応について（令和６年１月17日）
・オプトアウト届出事業者に対する個人情報の保護に関する法律に基づく行政上の対応について（令和６年１月17日） (PDF : 145KB)

１-２．漏えいの可能性を認識したにもかかわらず速やかに適切な措置が講じられなかった事案

次に、漏えいの可能性を認識しいたにもかかわらず速やかに適切な対応を行わなかった例が紹介されており、

こちらは、今年度発生した以下の事案と思われます。
●株式会社NTTマーケティングアクトProCX及びNTTビジネスソリューションズ株式会社に対する個人情報の保護に関する法律に基づく行政上の対応について（令和６年１月24日）
・株式会社NTTマーケティングアクトProCX及びNTTビジネスソリューションズ株式会社に対する個人情報の保護に関する法律に基づく行政上の対応について (PDF : 719KB)

１-３．指導を受けたにもかかわらず速やかに適切な措置が講じられなかった事案

次に、指導を受けたにもかかわらず速やかに適切な措置が講じられなかった事案として、１件が紹介されており、

こちらは、以下の事例と思われます。
●個人情報の保護に関する法律に基づく指導について（令和元年9月17日）
JapanTaxi株式会社に対する指導について (PDF : 370KB)

２．国内他法令における課徴金制度の概要

次に、国内他法令における課徴金制度として、５つの法令での制度概要を示した上で、うち、独占禁止法、景品表示法での課徴金制度を次の項で示しています。

２-２．独占禁止法上の課徴金制度

独占禁止法の場合、
不当な取引制限、私的独占等によって得た
違反行為期間中の対象商品や役務の売上や利益等に応じて、課徴金を算定する、すなわち不当に得た利益を吸い上げることが目的の仕組みになっていることが伺われます。

公正取引委員会「私的独占の禁止及び公正取引の確保に関する法律ガイドブック：知ってなっとく独占禁止法」（令和６年4月）

２-３．景品表示法上の課徴金制度

次に景表法においては、
優良誤認表示、有利誤認表示の違反行為を行った期間に、該当商品や役務の売上の3％を課徴金とする仕組みとなっているようです。

消費者庁表示対策課「景品表示法への課徴金制度導入について」（平成28年）

３．金銭的不利益を課す行政上の措置等に関する外国制度の概要

次に外国の個人情報保護制度で、制裁金等の金銭的不利益を課す規範の紹介です。

まずは、EUと英国
違反条項に応じて、全世界売上に対する2％または4％と大きなものになっています。

次に米国
連邦のFTC Act、CA州のCCPA共に、民事制裁金の制度があることが紹介されています。

カナダでは、PIEDAには制度がないものの、現在検討されている新法CPPAにおいては、「行政制裁金」が盛り込まれていることが紹介されています。

さらに、中国PIPLやCSLにおいても制裁金制度があり、韓国PIPAにおいいても年平均売上高の３％以下の範囲で違反行為の重大性に応じた課徴金制度があることが紹介されています。

（課徴金制度がない国がないのか定かではありませんが、ある国ばかりを紹介しているところからも、本件、導入したい意気込み？を感じますw）

４．金銭的不利益を課す行政上の措置等に関する外国の執行事例等

続いて、制度のある国における執行事例として、英国、フランス、カナダ、オーストラリア、米国、韓国の例が紹介されています。

５．有識者ヒアリング（監視監督の在り方等）（第283回個人情報保護委員会）

続いて、監視監督に関する有識者ヒアリングとして、

課徴金制度をスモールスタートすべきという林教授の意見と、

個人情報保護法は「指導中心主義から法執行主義へ」と転換すべきで、課徴金納付を命じるのは，措置命令を受けた者に限ることが望ましいという中川教授の意見の抜粋を紹介しています。

なお有識者ヒアリング回の各先生の発表資料等は以下です。

2024/5/13 第283回個人情報保護委員会
(1)有識者ヒアリング（監視監督の在り方等）

林秀弥（名古屋大学大学院法学研究科教授）
個人情報保護法における課徴金制度導入にかかる諸論点（名古屋大学林教授） (PDF : 1108KB)
中川丈久（神戸大学大学院法学研究科教授）
個人情報保護法における法執行の強化について（神戸大学中川教授） (PDF : 434KB)
議事概要 (PDF : 199KB)議事録 (PDF : 349KB)

６．平成27年個人情報保護法改正時の検討状況（再掲）

続いて、これまでの改正における検討状況として、H27の検討時は継続検討となり、

７．令和２年個人情報保護法改正時の検討状況（再掲）

さらに、R２改正検討時は、一歩進んで、制度改正大網に継続的な検討課題として記載され、かつ、法案成立時の付帯決議において、違反行為に対する規制の実効性を十分に確保するため、課徴金制度の導入については、我が国他法令における立法事例や国際的な動向も踏まえつつ引き続き検討を行うこと。とされたことが紹介されています。

●委員の意見（議事概要より）

次に、議事概要から委員の意見を見てみましょう。

これまでの有識者等に加え、一般国民目線の意見も伺いたいという意見:

大島委員から
「課徴金の導入について、経済団体からは課徴金の導入に対し強い反対が示されている。一方で、海外事例では、事務局からの説明のとおり違反事業者に対し金銭的な制裁を課す制度が設けられている。５月 10 日の委員会でお話を伺った林教授からも、課徴金制度を導入しないでいる立法態度が世界からどう見られているか、外からの視点も大事だという御指摘を頂いている。資料１の 19 ページの附帯決議等のように、委員会は慎重に検討すべきであり、検討していると理解している。課徴金制度に関し、経済団体のみならず学識経験者や専門家から意見を伺っており、また今後も学識経験者や専門家から意見を伺う予定と理解しているが、一般国民目線ではどう見えるかということを伺いたいと思っている」旨の発言があった。

立法事実になりうるか十分に検討し、事業者や国民にとってわかりやすい制度設計とすべきで、かつ、法の義務に違反した事業者自身だけでなく、関連する第三者も含めて、命令の対象者や措置の範囲を検討すべきという意見:

小川委員から
「課徴金制度を導入する背景として、これまでの行政処分の事案に鑑みると、資料１にあるように、違反行為により収益を得ている事案、複数回の指導・処分がある事案、海外事業者に対して指導を行った事案がある。課徴金制度の導入に当たっては、多くの事業者や国民の理解を得るために、これまでの事案などを通して現時点で立法事実になり得るのかどうか、 十分に検討することが必要と考える。また併せて、事業者や国民にとって分かりやすい課徴金制度の設計を検討することも必要である。
次に、命令の対象者の範囲や措置だが、ネットの情報はユーザーと直接対話する SNS や EC などの事業者のみならず、プロバイダーやクラウドサービスやレンタルサーバなどの事業者、また検索や広告や決済などのプラットフォーム事業者、さらには意図的に情報を転載するサイトの事業者など、様々な事業者のサイトを経由しながら流れている。そのため、個人情報保護法上の義務に違反した事業者自身だけでなく、個人情報の取扱いに第三者 が関与することで、個人の権利利益が侵害されることもある。このような状況に鑑み、命令の対象者の範囲や措置の見直しを検討することも重要ではないか」という旨の発言があった。

先進諸国の中で日本だけ緩くならないよう、課徴金制度は導入すべきという意見:

清水委員から
「２点意見を申し上げる。１点目は課徴金で、導入の是非は３月 22 日の委員会でも申し上げたとおりで、導入すべきという意見に変わりはない。
理由もそのときに述べたのと同様。さらに、先ほど大島委員が発言されたように、５月 10 日の有識者からのヒアリングで、外からの意見も重要という意見を頂いており、これも後押しとなるものである。資料１の 15、 16 ページで海外の執行事例があるが、このような事例は多国籍企業による違反事例で、我が国においても個人の権利利益の侵害が起きる可能性は十分にあると言える。したがって、先進諸国の中で日本だけが制裁が緩くならないようにすることが重要である。
課徴金の対象として、有識者の御意見では、実際に利得を得たかはさておき、経済的利得を得る目的に限定されるとのことだったが、営利企業は、大部分が経済的利得を得る目的だと認定できると考えられる。課徴金の算定方法は、詳細はまた検討すべきだが、違法な第三者提供については、収益金や売上を基準とした、同額又はそれ以上の制裁をすべきではないか。一方で、個人データの安全管理のために必要かつ適切な措置を講じなかった場合、適切な措置を講ずるための経費を見積もり、売上に対する率として設定し、それを乗じて算定することが考えられる。

こうした委員の声、運用実態、有識者意見、国際動向をふまえて、藤原委員長の意見:

藤原委員長から
「まず、課徴金制度の導入について、当委員会がこれまでに行政上の対応を行った事案を見ると、事業者が、個人データの違法な第三者提供等の違反行為によって、不当な利得を得ている可能性のある事案が存在するところである。
また、５月 10 日に行った有識者ヒアリングにおいては、有識者から、違反行為により得られた不当な利得を違反事業者に留め置いたままにすることは望ましくなく、個人情報保護法にも課徴金制度を導入すべきである等の御意見を頂いた。
さらに、国際的動向に目を向けると、欧州、米国、中国、韓国等においては、既に違反行為に対して金銭的不利益を課す行政上の措置等に関する制度が導入され、これに基づく執行が行われた事例も多く見られる。
他方、４月 24 日に行ったヒアリングにおいては、経済団体から、『企業の個人データの活用を萎縮させるおそれがあることから、個人情報保護法への課徴金制度の導入には、強く反対』との御意見も頂いたところである。

　課徴金制度については、今申し上げたような事情を十分に斟しん酌するとともに、我が国の他法令における立法事例や国際的動向を踏まえて、その導入の必要性について検討をするべきである。また、仮に課徴金制度を導入する必要があると考えられる場合には、個人データの違法な第三者提供等の違反行為によって不当な利得を得ている場合や、個人データの漏えい等が発生している可能性を認識したにもかかわらず、適切な措置を講ずることを怠り、本来なすべき支払いを免れた場合について、更に検討を深めるべきである。その際には、本日委員からあった意見も踏まえることが重要である。

導入の必要性を継続検討すべきという藤原委員長の意見が、現時点での結論になったと思われます。

また、その際の課徴金対象となる類型は、上記１で確認した３類型をスコープに議論していく印象です。

続いて次のテーマです。

勧告・命令の在り方

１．個人情報取扱事業者に対する監視・監督の流れ（再掲）

前回と同じ資料、現在の監視・監督の流れを確認し、現在の命令は、勧告を踏まえて実施（勧告前置）することになっているとした上で、

２．監視・監督に係る現行法の規律（勧告前置）

当該条文を振り返り、破産者マップ事案では、勧告に応じなかったために命令に時間がかかった（半年）としています。

また、緊急命令は勧告前置の規定ではないものの、一部の義務違反に限定されているとしています。

３．勧告前置及び緊急命令を定める国内の主な他法令の規律

次に他の法令で、勧告前置や緊急命令の定めがある４つの法令が紹介されています。

４．勧告前置を求めない国内の主な他法令の規律

続いて、勧告前置を求めない２つの法令を紹介しています。

５．有識者ヒアリング（監視監督の在り方等）（第283回個人情報保護委員会）

続いて、有識者ヒアリングでの中川先生の意見として、法148条①②を「勧告または命令」，又は「命令」のみの規定（指導は当然に可）に変更することが，法目的に適合的　との意見を紹介しています。

６．個人情報の保護に関する基本方針

続いて、R３年改正時に改訂された個人情報の保護に関する基本方針を引用し、個人情報等の不適正な利用が行われた場合、個人の権利利益に対する大きな侵害につながるリスクが高まっており、
そうした事案が発生した場合、事案による個人の権利利益に対する被害の広がりや社会的な影響を踏まえ、迅速に法第６章第２節の規定に基づく措置等の検討を行う、としていることが確認されています。

７．監視・監督に係る現行法の規律（命令の対象者）

次に、命令の対象者の議論に移り、
現在の法１４８条では、個人情報保護法上の規定に違反した「当該個人情報取扱事業者等」に対するものであるが、その事業者が委託している事業者等には、その事業者（第三者）に直接勧告を行うことができないことが説明されています。

８．第三者に対する権限を定める国内の主な他法令の規律

次に国内の他の法令で、第三者に対する権限を定める３つの法令が紹介されています。

９．有識者ヒアリング（エンフォースメント関係）（第283回個人情報保護委員会）

続いて、第三者命令は，個人情報を晒すサイトのテイクダウンを実現するために必須とする、中川先生（前述）の意見が紹介されています。

10．監視・監督に係る現行法の規律（命令可能な措置）

続いて、現在の法148条で、命令可能としている措置は、「当該違反行為の中止その他違反を是正するために必要な措置」であるものの、
当該取扱いの結果や影響を除去することや、問題が是正されるまで個人情報の取扱いを一旦停止すること等を求めることも、法の目的の実現のために重要としています。

（この点、前回のnoteで書いた、形式的なルール遵守のみでなく、取り扱いの結果として生じる問題の除去による個人の権利利益の保護という実体的ルールの必要性に触れているように感じました。）

11．外国における主な執行事例等（将来の違法行為の抑止に向けられた措置）

続いて、将来の違法行為の抑止に向けて執行を行なった外国事例を紹介してます。

11．外国における主な執行事例等（違反行為の結果・影響の除去に向けられた措置）

続いて、違反行為の結果・影響の除去に向け執行された外国の執行事例が紹介されています。

１０、１１の考え方は、中川先生のご発表資料の
　ア）現在進行中の違反行為
　イ）将来の違反行為
　ウ）過去の違反行為
という時間軸をふまえ、いずれにおいても個人の権利利益を侵害するまたは侵害するおそれがある場合は、執行を行えるようにすることを意図しているように思います。

個人情報保護法における法執行の強化について（神戸大学中川教授） (PDF : 434KB)

●委員の意見（議事概要より）

次に、議事概要から各委員の意見を見てみましょう。

（勧告前置を不要とし）命令できることが有効となるケースがあるとする意見:

清水委員から
…２点目は命令可能な措置の範囲で、現行の法第 148 条では、『当該違反行為の中止その他違反を是正するために必要な措置をとるべきことを命ずることができる。』という条文がある。この『違反を是正するために必要な措置』が安全管理措置を指すとされている。ただ、安全管理措置を講じている間でも、当該違反行為が中止されない限り、権利侵害が続くことになる。現行法の解釈を拡大することによって、安全管理措置義務違反がある場合、それらが講じられるのに通常要する期間、あるいは委員会が完了を認定するまでの期間、個人情報の取扱いを停止することができれば非常に有効であり、検討すべきではないか。

藤原委員長の意見:

藤原委員長から
次に、勧告・命令の在り方についてである。
勧告・命令に関しては、個人情報取扱事業者の法令違反行為により個人の権利利益の侵害が差し迫っている場合に、直ちに中止命令を出すことの必要性や、法令違反行為を行う個人情報取扱事業者のみならず、これに関与する第三者に対しても行政上の措置を採る必要性、また法令違反行為の中止のほかに個人の権利利益保護に向けた措置を求めることの必要性等について、先日の有識者ヒアリングで頂いた御意見や国内の他法令等も参考にしながら、実効的な監視・監督の在り方について、更に検討を深めるべきである。その際には、本日委員からあった意見も踏まえることが重要である」旨の発言があった。

藤原委員長の意見の、さらに検討を深めるべき（継続議論）、が中間取りまとめに向けた一旦の結論と思われます。

感想とまとめ

以上、今回のテーマは2回目ということで、より論点がシャープになってきたように感じます。
まとめると、

課徴金の論点
①導入すべきか
現に個人データの違法な第三者提供等の違反行為により、不当な利得を得ている可能性のある事案は存在する前提で、
・国際動向ふまえ日本だけ導入しなくてよいのか？
・導入は事業者のデータ利活用萎縮につながるのか？

②課徴金対象行為
・個人データの違法な第三者提供等で不当な利益を得た場合
に加えて、以下のケースも対象にすべきか
・漏えいの可能性を認識しながら、速やかに適切な措置しない場合
・指導を受けたにもかかわらず、速やかに適切な措置をしない場合

勧告・命令のあり方の論点
①勧告前置？：直ちに中止命令を出す
②命令対象者：違反行為に関与する第三者への行政上の措置
③命令対象行為：
・法令違反行為の中止に加え、個人の権利利益保護に向けた措置の求め
・過去の行為、現在の行為、未来の行為による個人の権利利益侵害（おそれ含む）

というイメージでしょうか？

個人的な意見としては、前回の印象と変わらず、
罰則や執行の強化が、事故の未然防止、抑止につながるのであれば、本当に悪質な事案に関与した関係者にペナルティが強化されること、は個人の権利利益の保護にとって、良いことと思います。

ただ、課徴金の対象として漏えい事案の一部があがっているところは注意が必要と感じます。

具体的には、漏えいの起因・原因には、事業者の過失性に大きな幅があるところ、今後の検討時は、防ぐことが難しい事案を対象とすることなく、悪質な行為、明らかに組織的安全管理の怠慢と言える行為のみを対象にすることを望みます。

そうしないと、過度に萎縮して、報告せず隠蔽したくなる事業者も出てくると思われるからです。

情報漏えいを起こさないことが第一ですが、「人間だもの」、努力しても、確率は低くてもミスはどうしても生じます。
起こってしまったら、組織的に迅速に対処し、再発防止に努める不断の努力が必要。そうした努力を誠実に行なっている事業者の取り組みに水をさすことはしないでほしいと思います。

さて、これで、中間取りまとめの論点案は全てnote完了！！！

そろそろ、中間とりまとめの案が出てきそうですので、次のnoteではここまでの振り返り(各論点noteのインデックス？）をしてみようかなと思います。

それでは、また！

今日のDall-E3

この記事が気に入ったらサポートをしてみませんか？