見出し画像

中間整理に向け:個情法3年見直し(生体データ・不適正利用・個人関連情報等〜保護の在り方検討①)

(3/19(春分)追記:
本記事に関する個人情報保護委員会の「議事概要」が公開されました。
①〜④の各項目の最後に、★議事概要からの委員意見の引用を追記し、まとめを更新しました。)

こんばんは!
三寒四温、昨日今日は寒い日が続きますが、ベランダの水仙が咲きました!

春のイベントといえば、お花見ですが、
個人情報関係のイベントは、3年ごと見直しに向けた中間整理の公表、パブコメですね。
その流れは、以前こちらでご紹介しました。

しばらく、事業者ヒアリングが続いていましたが、一通り終了したようで、昨日の第275回個人情報保護委員会で、検討資料が公開されていました。

https://www.ppc.go.jp/files/pdf/240306_shiryou-1.pdf

今日はこちらをご紹介しまーす!



⓪この文書の位置付け

この文書は、2025年法改正(たぶん)の中間整理に向けた検討材料となる資料です。

検討開始時に示された以下の3分類のうち、1. 実質的な保護のあり方の検討の位置付けとなります。

1. 個人の権利利益のより実質的な保護の在り方
2. 実効性のある監視・監督の在り方
3. データ利活用に向けた取り組みに対する支援等の在り方

今後の検討項目の案は、第273回個人情報保護委員会の資料にあり、今回は1で4論点あるうちの1行目ということがわかります。

第273回個人情報保護委員会

具体的には、次の4項目
①生体情報の取り扱い
②代替困難な個人情報取扱事業者の規律
③不適正利用・不適正取得の規律
④個人関連情報の取り扱い

規範の論点(ここをこう変えようかな?理由はね…)はまだ記載がなく
検討中の項目の該当する箇所の条文や、関係法令やガイドライン、海外の規範、裁判例などファクトを集めた資料となっています。

この後引き続き、残りの項目について、
論点を肉付け、
春の中間整理を公表、パブコメ、
その結果を受け、議論を重ねて、
法令化またはGL等で明確化するものを選び、
年末の改正大綱→改正法案へと進んでいくと思われます。

今後の流れの詳細Guessはこちらをご参照ください。


それでは、1項目ずつ、4つその内容を見ていきましょう!(今回は全ページみていきまうす)


【1.個人の権利利益のより実質的な保護の在り方】

①生体情報の取り扱い

現行法でも個人情報に該当する「生体データ」について、海外の法令に照らして、追加の規律を設けるべきか?が検討されそうな気配です。

1現行法の規律

まずは現行法の関係箇所の引用。

第275回個人情報保護委員会

文末の「特別な規律は設けられていない」、だから、特別な規律設けようかな?という導入の印象です。

生体データと言われても、ピンときませんが、これ以降の事例は、いわゆるカメラの顔画像で個人識別できる場合です。

2 犯罪予防や安全確保のための顔識別機能付きカメラシステムの利用について

ここでは、JR東の顔識別カメラ事案後に、
個人情報保護委員会に設置された検討会、および、公表された犯罪予防や安全確保のための顔識別機能付きカメラシステムの利用について、整理された内容が紹介されています。

第275回個人情報保護委員会

犯罪予防や安全確保のための
顔識別機能付きカメラシステムの利用について


続いて、上記をふまえて追加された2つのQAの紹介が続きます。

第275回個人情報保護委員会

カメラに関するQ&A

特定の個人が識別できるカメラ画像は、通常の個人情報同様、利用目的を特定し、本人に通知、または公表を行うこと、その利用目的の範囲で利用し、別の目的で利用する場合には、あらかじめ本人の同意が必要であることの振り返りがされています。

3 外国制度等

次に、諸外国で、生体データをセンシティブデータとして扱い、一般的な規律とは異なる特有の規律が存在する国と、代表的な国の制度が紹介されています。

第275回個人情報保護委員会
第275回個人情報保護委員会

この調査の出典は、

外国におけるセンシティブデータの取り扱いに関する制度等の調査結果報告書

個人情報保護委員会が2023年3月に実施した調査事業であることから、問題意識を持って取り組んでいる(規範化を意図している)ことが伺われますね。。

4 外国での執行事例

続いて、海外各国で、法執行のあった事例が紹介されています。
日本でも話題になったFacebookの顔識別やクリアビューの事例も

第275回個人情報保護委員会

個人情報保護に係る主要課題に関する海外・国内動向調査 最終報告書

5 社会的反響の大きかった事例

次に反響の大きかった(いわゆる炎上事案?)の紹介があり、個人情報法を守っていたとしても、個人のプライバシーや、権利利益の侵害につながる懸念があったことが共有されています。

第275回個人情報保護委員会

★3/19追記: 「議事概要」から委員の意見

太字は筆者追加

…生体データや個人関連情報などについては、個人の権利利益の保護の観点で重要な要素と理解しているが、その一方で、これまでのヒアリングでも、新たな定義を追加することには慎重な意見も多かったものと認識している。犯罪予防などの取組が適切に行われるとともに、事業者の自主的な取組を促進するような現実的な方策をよく検討していただきたい」

小川委員

…今回の各論のうち生体データに関する論点については、第三の類型を設けず、要配慮個人情報に含める、あるいは、それと同等の扱いをするのが適切ではないか。
これにより、グローバルな考え方、あるいは、金融分野における個人情報保護に関するガイドラインとの整合性を取ることにつながる。生体データは、GDPR ではセンシティブデータとしての扱いとなっている。同じセンシティブデータの中でも遺伝子情報については、個人情報の保護に関する法律についてのガイドライン(通則編)で、要配慮個人情報に含まれるものもあるとされているが、生体データに関しては十分性評価においては現行法上カバーされているとされ、補完的ルールには入っていない。そういった意味ではこの点は少し曖昧で、この機会に要配慮個人情報に含める、あるいはそれと同様の扱いにすることが適当と考える」という旨の発言があった。

清水委員

生体データの取扱いについて、当委員会では、顔識別機能付きカメラシステムの利用に関し、昨年3月に文書を公表し、個人情報保護法上留意すべき事項、特に法律で求められた内容に加え実施することが望ましい事項についても取りまとめたところであるが、生体データ一般について、取得や利用目的などに係る規律について、諸外国における法制度なども参考にしつつ、今日の社会における実効性ある規律となるように、さらに検討を深めるべきである。
その際には、関係団体からのヒアリングにおいて、個人情報等の情報区分が多く、関係性も複雑化しているとの意見があったことや、本日、小川委員及び清水委員からも意見があったように、定義を新たに設けることについて、定義がEU等では統一されていることを踏まえた議論も必要ではないか。

藤原委員長

ふむふむ、続いて2つ目のテーマです。


②代替困難な個人情報取扱事業者

代替困難な個人情報取扱事業者??初見で??と思いましたが、個人がその事業者をスイッチングできない、取扱いに嫌と言えない、というような力の差がある状況で、個人情報を取得・利用等の取扱いがされる場合を指すようです。

具体的な事例を見ると、以下のようなものがあげられており、
・雇用されている会社と従業員
・学校と生徒
・使わざるを得ないデファクトサービス、個人情報を差し出すこと無料になるサービス
・与信や、職業紹介サービス

後述4を見ると、リクナビ事案(新卒就職時に利用せざるを得ない)が、検討の契機になったのかも?と思わせる節があります。

1 国内の他法令

こうした規範は現在の個人情報保護法にはないため、個人と事業者の力の差がある、事業者が優越的な地位で行き過ぎないような定めがある法令が紹介されているようです。

第275回個人情報保護委員会

2 主な裁判例

次に、日本国内での、会社や、刑務所など、個人が拒否できない立場において、裁判になった事例が4つ紹介されています。

第275回個人情報保護委員会

3 外国における執行事例

続いて、海外各国で、法執行のあった事例が紹介されています。
日本でも広く利用されているプラットフォーマーが複数上がっています。

第275回個人情報保護委員会

例にはありませんが、ドイツ在住の弁護士先生のセミナーで、GDPR関係の訴訟で1番気をつけるべきは、プラットフォーマーの制裁金が大きな事案ではなく、従業員からの事案(データ最小化、削除、等)と伺ったことがあります。

日本においては、個人情報保護法上の規範に顧客の個人情報と従業員の個人情報に差異はありませんが、社内での対応は、従業員個人情報は後回しにされがちな傾向があると感じています。
従って、このテーマの規範で何らかの強化がされた場合、事業者の実務対応(再点検含む)への影響は小さくないかもと感じました。

4 個人情報保護法に基づく関連の行政指導

いわゆるリクナビ事件の行政指導事例が紹介されています。
(前回の3年見直しで、個人関連情報の第三者提供時の義務追加となった事案ですが、この時点では、代替困難であったことは大きく言及されていなかったように記憶しています)

第275回個人情報保護委員会

5 社会的反響の大きかった事例

最近の学校関係で、SNSで話題になった事案や、反響からサービス停止になった事案が紹介されています。

第275回個人情報保護委員会

学校での個人情報の取扱いは、これまでの発表をふまえると、おそらく、「こども」の個人情報の取扱いとして、今後議論されるのは、ほぼ確実と思われます。

この項でも事例の出典元は前の項目と同じで、各事例は、固有名詞付きで掲載されているようです。
個人情報保護に係る主要課題に関する海外・国内動向調査 最終報告書 

★3/19追記: 「議事概要」から委員の意見

太字は筆者追加

…「代替困難な事業者への規律の在り方に関して、プラットフォーマーなどの事業者に対する海外の執行事例に見られるように、特に代替困難な事業者については、同意の有効性に問題が内在しているように思う。同意の典型的な方法として、オンラインでチェックボックスをクリックさせるといった同意の取り方が典型的であるが、選択オプションの外形は取られていても、慣行的に形骸化している場合や、本人には分かりにくく実際は選択が限定的な場合も見受けられると思う。GDPR では、同意の撤回も規定されている。効力について、期間性も含めた規律の在り方について検討が必要ではないか。なお、これらの同意に内在する問題は、代替困難な事業者にとどまらないと考えられ、より広い観点から検討いただきたい」旨の意見があった。

浅井委員

代替困難な個人情報取扱事業者による個人情報の取扱いについては、本人との関係・取得の状況に照らして認められるべき利用目的以外の利用目的で、個人情報を取得・利用することを制限することの必要性などについて、諸外国における執行事例なども参考にしつつ、継続して検討すべきである。本日、浅井委員から意見があったように、同意について、GDPRには踏み込んだ規律があるし、実務では実際には形骸化している場合があるのではないか、といった意見も踏まえることが重要ではないか。

藤原委員長

③不適正利用・不適正取得の規律

3番目は、前回の3年見直しで追加になった不適正取得・不適正利用関係。

この数ヶ月の構成委員・事業者ヒアリングにおいて、どういう場合が該当するのかわかりにくい、悪質な場合はしっかり執行を等、複数意見があった項目です。

1 現行法の規律

まずは、現行法の規律の紹介

第275回個人情報保護委員会

該当GLはこのあたり↓

3-2 不適正利用の禁止(法第19条関係)

3-3 個人情報の取得(法第20条・第21条関係)

2 これまでの行政上の対応

次に、破産者マップの不適正な公開事案、グループ内の送配電、新電電の顧客情報の不適正な共有事案、(特殊詐欺助長のおそれがあるのに転売した名簿屋事案の紹介。

第275回個人情報保護委員会

3 関係法令

公益通報者保護法、障害差別解消法、特商法の3つがあげられています。

第275回個人情報保護委員会

4 主な裁判例

性別変更者への拒否、判断能力が低下している人への悪質な販売、入試で男性に点数かさ増し事案が挙げられています。

第275回個人情報保護委員会

5 外国における執行事例

日本の事例とは趣が異なりますが、なりすましの取得や、利用目的外利用、アプリでの不適正な取得例が3つあげられています。

第275回個人情報保護委員会

6 (法改正前の)日本での行政上の対応、7その他事例

不適正利用の規範が追加される前の、個人情報保護委員会による指導事案、タクシー配車アプリでの位置情報の目的外利用(広告利用)などの例があげられています。

第275回個人情報保護委員会

この論点、前回追加された内容であり、現時点では、規範そのものの法改正の可能性は低く、GL等での事例の充実、課徴金等罰則の具体化程度かなぁ?と妄想しますが、さてどうでしょうか?

★3/19追記: 「議事概要」から委員の意見

太字は筆者追加

まず、不適正利用・不適正取得については、先ほど申し上げた『阻害する取扱い』*の代表的なものであり、今回御説明いただいた判例などを参考にして明確化することは重要である。加えて、そのような取扱いが無いよう、監視・監督をしっかりと行い、その実効性を確保する必要がある。


*今後の議論に際して、まずは私の基本的な考え方を四つほどお伝えしたい。 一つ目に、日本の社会・経済・産業は、情報化・デジタル化の進展を踏まえて、今後とも高度化しながら発展していくものと考えている。その際、個人情報の取扱いが極めて重要な役割を果たすが、この発展を阻害するような取扱い例えば、特殊詐欺やフィッシングなどについては、個人情報の扱いを厳しく規律すべきであり、かつ、違反した者を厳しく罰すべきである。…

小川委員

不適正利用、不適正取得については、事業者による予測可能性を高める観点からの検討を行っていくことが適当である。その際、本日、事務局から国内の裁判例等の紹介もあったが、民法上の不法行為に該当するような事例をどこまで幅広く個人情報保護法上の規制対象とするのかという点を踏まえて検討すべきではないか。

藤原委員長

④個人関連情報の取り扱い

最後は、個人関連情報=特定の個人を識別しない誰かひとりの情報の取扱いの論点です。
EU等と比べ、日本の個人情報の範囲が狭い問題(?)は、関心の高いテーマですね。

1現行法の規律

まずは、前回の3年ごと見直しで追加になった条文の確認から。
最下部のなお、現行法において、特定の個人を識別しないことを前提とする個人関連情報の取扱いに係る規律は設けられていない」がポイントで、設ける必要があるか?が論点と推測されます。

第275回個人情報保護委員会

2国内の他の法令

個人関連情報に適用される関係法令。
電通法の外部送信規律との比較は想定内でしたが、特電法、不正アクセス禁止法が入ってくるのは、誰か特定の個人はわからなくても、メールを送りつけたり、他人のIDでアクセスしたりできる可能性があるから入っているのかなー?

この他にも、電気通信事業法第27条の5 特定利用者情報 なども個人関連情報に適用される気がします。

第275回個人情報保護委員会


3個人の権利利益に関する裁判例

2事例の紹介、特定の個人が識別できなくても、個人の権利利益を害するおそれやプライバシー権の侵害が認められた事例があるようですね。

第275回個人情報保護委員会


4外国での執行事例

ユーザーが望まない広告・営利目的での利用の執行事例が3件あがっています。
うち、2例は、電通法 特定利用者情報の規範の対象となるSNS等、メアドやアカウントIDのみの契約者情報にも該当しそうな例ですね。

第275回個人情報保護委員会


5その他の事例

事例Aのアプリユーザーへの事前説明が不十分という事例は、今週議論が始まった総務省の利用者WGでのスマートフォンの情報取扱指針見直しや非ログインユーザーの情報取扱い議論に関係しそうです。事例Bは、4/1に規則改正されるWebスキミング、スミッシング等による特殊詐欺対策が進められている象徴的な事例のようです。

第275回個人情報保護委員会


★3/19追記: 「議事概要」から委員の意見

太字は筆者追加

生体データや個人関連情報などについては、個人の権利利益の保護の観点で重要な要素と理解しているが、その一方で、これまでのヒアリングでも、新たな定義を追加することには慎重な意見も多かったものと認識している。犯罪予防などの取組が適切に行われるとともに、事業者の自主的な取組を促進するような現実的な方策をよく検討していただきたい」旨の発言があった。

小川委員

個人関連情報については、個人の権利利益の侵害を防止する観点から、個人関連情報の取扱いの適正性に係る規律はどうあるべきか、また、例えば、特定の個人への連絡・接触が可能な個人関連情報等は、その取扱いにより特定の個人の権利利益が侵害されるおそれが高く、要保護性が高いといえるのではないか、といった点などについて検討を深めていくべきである。今後有識者からのヒアリングを行い、これらの論点を深掘りしていくわけだが、ただいま申し上げたことも踏まえて検討いただきたい」

藤原委員長


以上、確認がてら、全ページをご紹介しました!


まとめ(主観・憶測含む)

3/19に追記した議事概要もふまえると、藤原委員長の意見(総括)を中心に、今後の中間取りまとめの論点骨子になっていきそうな印象です。

憶測も含めて、まとめると、

①生体情報の取り扱い
・(現在、一般の個人情報と同じ基盤である)
生体データ一般について、取得や利用目的などに係る規律について、実効性ある規律を検討?
・規律検討にあたっては、(複雑化の意見もふまえ)新たな個人情報の区分を設けるのではなく、(諸外国のように)要配慮個人情報に含めるべきか検討?

②代替困難な個人情報取扱事業者の規律
・個人と事業者の関係において、個人の選択が難しいケース(特に本人との関係・取得の状況に照らして認められるべき利用目的以外の利用目的(例:ターゲティング広告)で、個人情報を取得・利用することを制限することの必要性など)について、継続して検討?
・検討にあたっては、諸外国における執行事例なども参考に?
・同意が形骸化しているという意見、GDPRの同意の有効性に関する規律もふまえ、対象を代替困難な事業者以外にも広げ同意のあり方も検討?


③不適正利用・不適正取得の規律
民法上の不法行為に該当するような事例をどこまで幅広く個人情報保護法上の規制対象とするのかという点を踏まえて検討?
→不適正利用や不適正取得に該当する具体例がGLやQAに追加される可能性?
・罰則・課徴金など執行の程度が変わる可能性


④個人関連情報の取り扱い
個人の権利利益が侵害されるおそれが高い個人関連情報(例: 特定の個人への連絡・接触が可能なメアド、ID等)は、要保護性が高く、追加の規範を検討すべきか?
・検討においては(複雑化の意見もふまえ)実効性のある方法や自主的な取組みの推進も選択肢か?


前回の3年見直し

前回の目次はこんなかたちです。

https://www.ppc.go.jp/files/pdf/190425_chukanseiri.pdf

このブログで紹介した4点は、上の目次で言うと、第3章 第1節 概況以降の2〜4のあたりにまとめられていくと想像されます。

まとめ方の粒度は、項目により分量の差はあれど、こんな雰囲気です。

https://www.ppc.go.jp/files/pdf/190425_chukanseiri.pdf

何をルール追加するの前の、規範化を視野に検討を進める必要がある事項を明確化するところまでですね。

今後、3月から4月にかけて、複数のテーマについて、今回同様、

・現在の規範振り返り
・外国の同種の規範
・顕在化している課題、執行状況・裁判例、炎上事例(国内・外国)

をまとめて公表、検討し、GW前頃に中間とりまとめ案を公表、パブコメ開始と思われます。

議論の傍聴ができないため、公表資料から推察の範囲でにはなりますが、
温かくなるのを待ちわびながら、Watch&資料見てみるシリーズを続けていければと思います。

ではまた!


p.s. おまけ
毎日、こんな感じでひとり運用してます。

①官庁HP回遊
②見つけたら、X(旧Twitter)投稿
③じっくり見たいものはnote書く

3年ごと見直しの山は、まだ先が見えませんが、同業の方、助けあって生き抜きましょう!

この記事が気に入ったらサポートをしてみませんか?