中間整理に向け:個情法3年見直し(個人の権利利益のより実質的な保護の在り方②)
こんにちは!
だいぶ温かくなってきましたね♪ 今日は冬の間楽しませてくれたビオラ・パンジーにお礼をして、寄せ植えは夏向けのペチュニアに選手交代しました。
3年ごと見直し中間整理に向けた検討項目の第3弾資料
4/10の第280回個人情報保護委員会の議事概要が先週公表されました。
今回のテーマは、こども、団体訴訟制度、の2つです。
議事概要の議論結果を参考に、スライドに沿って見ていきたいと思います。
なお、出典の明記がないスライドは全て、表題の以下の資料が出典となります。
個人情報保護法 いわゆる3年ごと見直し規定に基づく検討(個人の権利利益のより実質的な保護の在り方②) 令和6年4月10日 個人情報保護委員会事務局
中間整理の検討項目(案)とここまでのまとめ
今回の公表は、2/21に公表された中間整理に向けた検討項目のうち、下図の赤枠となります。
これまでの議論
下スライドは、関係団体や委員意見の個人情報保護委員会による公式まとめに、今回の範囲に関する部分に赤線を引いたものです。こどもの規律については、何らかの規律関係団体から「何らかの規律の設定が望ましい」とされています。
それでは、今回の公表資料を見ていきましょう。
【こども】
1. こどもの個人情報等に係る現行の規律
まず、
・現在の個人情報保護法には、こどもの個人情報の取扱等に係る規定はない ものの、
・施行令やQA等には、未成年の開示請求、本人同意の有効性について、明記があり、
・子どもとは、12歳以下から15歳以下の年齢 とされている
と、振り返りされています。
2.こどものプライバシーに関する国際的な枠組み
次に海外のうち、まず、国際的な動きとして、OECDの枠組みを中心に紹介されています。
上記のOECD「デジタル環境下のこども、改訂リスク類型」の出典↓
OECD DIGITAL ECONOMY PAPERS January 2021 No. 302
(noteで記事にしていらっしゃる方も発見↓)
3.こどもの個人情報に関する外国制度等
次に、海外各国で、少なくとも9法域にこどもの個人情報等に関する規律があり、
その規律のあり方は、3パターンに分けられるとしています。
・パターン① 個人情報法令で、センシティブデータ*に分類して規律 *日本でいう要配慮個人情報
・パターン② 個人情報法令で、センシティブデータとは別の規律
・パターン③ 個人情報法令とは別の法令で分野を限定して規律
続いて、 の調査結果からの引用として、各国の規律を紹介しています。
(「個人情報保護に関する海外動向調査」は、hpでの公開がまだの模様)
4.こどもの個人情報の外国の執行事例
次に欧州、米国での実際の執行事例が6つ紹介されています。
・アイルランド Instagram : 未成年の携帯やメアドの公開の法的根拠
・英国 TikTok: 利用規約に反し、保護者の同意なく処理、透明性不足
・米国 Youtube: 親の同意なくCookie追跡
・米国 フォートナイト: 親の同意なく収集
・米国 Alexa: こどもの音声を無期限で記録、削除要求に応じず
・米国 Edmodo: 教育PF利用に親の同意なく、ターゲティング広告に利用
5.社会的反響の大きかった事例
次に法規範のない日本で、社会的反響の大きかった2事例が紹介されています。
文科省の教育現場での個人情報利用ガイドラインの当初案についても、社会的反響が大きかったと記憶しています。。
6.これまでの行政上の対応
次にこどもの情報に関連して、個人情報保護法の指導事案、いわゆる四谷大塚事案が紹介されています。
・四谷大塚の講師が、児童の盗撮を行うと共に、自社のシステムから当該児童の個人情報をSNSに投稿した事例
個人情報保護委員会の注意喚起(令和5年11月16日)
7.相談ダイヤルでの相談事例等
PPC相談ダイヤル事案の列挙の上で、相談が多いのは、未成年への本人同意のあり方であるとされています。
議事概要の委員意見 :規律の掛け方
小川委員から「前半の『こどもの個人情報等に係る規律の在り方』について意見を申し上げる。
先日、四谷大塚の事案でも申し上げたが、教育現場のみならずIT関連を中心にして、こどもを取り巻く環境は大きく変化している。特にSNS、ゲーム、動画などのネットサービスとともに、現在は生成AIについて多くのこどもがユーザーになっていると考えられる。業界団体からも、こどもの権利利益の保護は喫緊の課題であるとの指摘があった。
資料1の8、9ページにも、こどもの権利利益を侵害したことに対する諸外国の厳しい執行事例が示されている。こういった現状と、今後の日本の情報化、デジタル化の進展に欠かせない要素として、こどもの個人情報の取扱い等に係わる明文化が重要ではないかと考える。
その際、こどもの個人情報等の取扱いに関しては、こどもの権利利益の保護のために検討の視点や考え方を明確にした上で、本人同意や情報提供等、実質的な保護の在り方を検討すべきではないか。
また、OECD 勧告との関係で指摘されているプライバシーリスクや、英国のChildren’s Code にある『こどもの最善の利益の優先』、『年齢に応じて適切なレベルの規律を適用』を含む15の基準を参考にするのも良いのではないか」という旨の発言があった。
浅井委員から「『こどもの個人情報等に係る規律の在り方』について、当然多角的な検討が必要だと理解している。
上乗せ規律に関して、こどもの個人情報が取り扱われる利用目的に着目して規律を講ずるのも有効ではないか。特に、こどものデータを利用する場合における利用目的の特定で追加のハードルを設け、適切な取扱いを促すことが考えられる。現在は、利用目的の特定はできる限り具体的に行うよう求めているに留まることから、取得に際して非常に広い範囲で利用目的を特定されることが少なからずあると
思う。利用者がこどもの個人情報を取り扱っていることが明らかな場合は、利用目的の特定をより厳格に求めていくのも検討に値するのではないか」という旨の発言があった
清水委員から「まず、 こどもに関する規律は、 個情法上にこどもに関する特有の規律を置くべき。そこでは、 責務規定を原則として、例外的に年齢規制を置くべきである。責務規定については、広く未成年者である 18歳未満を対象とし、 例外的な年齢規制は適切な年齢制限を置く。 その際、 一つの考
え方として、現行の Q&Aと合わせて 16歳未満とすることが考えられる。一律に年齢規制を置かない理由は、内容によって規制のあり方が異なると思われるし、オンラインサービス等こどものアクセス権の保護も必要な場合もあるからである。 責務規定だと法的拘束力が無いとされるが、逆に事業者側にリスク評価と適切な対応を義務づけて説明責任を課すという、いわゆるリスクベースアプローチを推進する一環としてこのような形で規制するのが適切ではないか。
規制が必要な局面は二つあると考える。
一つは、こどもが直接アクセスする可能性がある製品やサービスを提供する事業者に係る規制。
ここでは責務規定として、こどもの利益を最優先して、透明性を確保する、 具体的にはこどもがアクセスする可能性を念頭に明瞭な言葉で説明する、 PIAの定期的な実施、 年齢に応じた保護措置を求め、その上で高レベルのプライバシー保護を求めるべき。
二つ目は、収集されたこどもの個人情報の利用に関する規定。
これも責務規定として、第 19条の不適正利用の禁止の上乗せとして、特別な保護と配慮が必要であることを追加すべき。 また、こどもに限らず社会的弱者に準用することもあり得るのではないか。 その上で、プロファイリングの年齢規制など、例外的な禁止規定を置くことが考えられる。
藤原委員長から「こどもの個人情報の取扱いに係る規律については、本日の議論で、様々な論点があることが明らかになったと思う。こどもの脆弱性・敏感性を踏まえるとともに、国際的なスタンダードとして、主要各国においてこどもの個人情報に係る規律が設けられており、執行事例も多数見られることも踏まえ、こどもの権利利益の保護という観点から、規律の在り方の検討を深める必要がある。以上を前提として、規律の在り方について、4点申し上げたい。
1点目として、こどもが本人となる場合の規律の在り方について、本人の同意や、利用目的の通知などの場面において、法定代理人の関与を明文で義務付けることの必要性について、さらに検討を深めるべきである。
その際には、事業者の負担なども考慮し、対象となる事業者の範囲の在り方や、こども本人の関与の在り方についても検討を行うとともに、本日の各委員からの意見も踏まえることが重要である。
2点目として、こどもの個人情報の取扱いについて、諸外国においてはこどもの権利利益を確保する観点から、こどもの個人情報の取得や、プロファイリング・保管を含めた利用に関して一定の上乗せの規律が設けられている場合が多い。そこで、我が国においても、諸外国の法制度を参考にしつつ、個人情報の取得、プロファイリング、利用停止等請求権、安全管理措置等に関して一般の個人情報よりも上乗せした規律を設けることの必要性について、さらに検討を深めるべきである。
その際には、今申し上げた諸外国の法制度やその執行事例を踏まえるとともに、事業者の負担や利活用への制約となることも考慮し、加えて、本日の各委員の意見も含めて検討することが重要である。
3点目として、こどもの個人情報の取扱いに関し、事業者が留意すべき責務を規定することについても継続的に検討すべきである。この点については、責務規定が事業者にもたらす効果も考慮するとともに、本日の委員からの責務規定についての意見も踏まえることが重要である。
4点目として、こどもの個人情報の取扱いに係る年齢基準の考え方について、継続的な検討が必要である。
具体的には、何歳未満の者を対象とするのか、各規律について一律の年齢とするか、異なる年齢基準を設けるかという点について、それぞれ検討する必要がある。
その際には、国内外の法制度において様々な年齢基準が設けられていることや、対象年齢によっては事業者の負担が大きくなることも考慮するとともに、本日の委員からの意見も踏まえることが重要であるが、対象とするこどもの年齢については、現行のQ&Aの規定ぶりや、GDPRの規定の例などを踏まえ、16歳未満とすることを議論の出発点としてはどうかと考える。
次の検討項目です。
【団体訴訟制度】
団体訴訟制度は、差止請求、被害回復(漏えい時の損害賠償請求)等について、検討されています。
1.相談ダイヤルの苦情受付件数
まず、現状の苦情の件数内訳の紹介。
⚫︎差止請求
差止請求に関係する事項の確認が以下のように行われています。
⚫︎被害回復
差止請求に関係する事項の確認が以下のように行われています。
2.考えられる課題
上記をふまえ、差止請求、被害回復に関する課題のまとめられています。
議事概要から委員の意見
団体訴訟制度については、差止請求と被害回復のうち、差止請求はこれまでに問題となった指導の案件のように、事業者が不特定かつ多数の個人情報を不適切に扱う場合において馴染むものではないか。行為そのものを停止させるという点では非常に効果的である。
資料でも課題が多く挙げられているが、適格消費者団体と個人情報保護委員会の連携・情報共有の仕組みを構築することで克服できるのではないか。当面の対象は利用停止請求が認められる違反行為に限って規律を設けるべきと考える」旨の発言があった。
続いて、団体訴訟についてである。
個人情報保護法の規定に違反する個人情報の取扱いに対する抑止力を強化し、本人に生じた被害の回復の実効性を高めるという観点からは、団体による差止請求や被害回復請求の枠組みは有効な選択肢となりうるものである。このうち、差止請求については、差止請求の端緒となる情報の共有の在り方等の課題を踏まえつつ、継続して検討すべきである。
被害回復については、差止請求の課題に加え、個人情報の漏えいに伴う損害賠償請求が少額・大量被害事案となることから、資金面の課題がさらに大きな課題となることも踏まえた検討が必要である。その際には、関係者等からの意見も聴きつつ、検討していくことが重要である」旨の発言があった。
感想
今回の改正濃厚と思われるこどもの論点、今後、4点の議論が行われていきそうです。
①対象となる年齢基準
・こどもは16歳未満をベースに、今後議論か?
・こどもに限らず社会的弱者も検討になりうる?(ex. 認知能力の衰えた高齢者等)
②法定代理人の関与を明文で義務付け?
ex. 親の同意
③上乗せ規範の対象
・個人情報の取得、プロファイリング、利用停止等請求権、安全管理措置等
④責務規定を置くか?
責務規定とは、法律の目的や基本理念の実現のために各主体の果たすべき役割を宣言的に規定するものです。国や地方公共団体の責務を規定する法律はよく見られますが、中には、私たち国民に対する責務を規定している法律もあります。
仮に規律が追加となる場合、事業者によっては大きな影響があると思われ、引き続き、注視していきたいと思います。
それでは、また!
今日のDall-E3
c.f. 中間取りまとめに向け、これまでに出た論点
この記事が気に入ったらサポートをしてみませんか?