個人情報:規則第7条第3号等の改正は委任の趣旨を逸脱しているのでは!?
本稿のねらい
以前、個人情報保護委員会(委員会)が個人情報保護法施行規則第7条第3号の改正とそれに伴うガイドライン通則編等の改正を行うパブコメ(本パブコメ)を実施した記事を執筆した。
本稿は、2023年12月27日に委員会が本パブコメの結果を公表したため、そのパブコメの内容も踏まえ、個人情報保護法施行規則第7条第3号の改正(本改正)は委任の趣旨を逸脱するのではないかという点に焦点を当てる。
なお、本改正やそれに伴うガイドライン通則編等の改正は2024年4月1日から施行される。
本改正は法の委任の趣旨を逸脱する!?
(1) 本改正の内容(おさらい)
本改正は、個人情報保護法施行規則第7条第3号を次のように変更するものである。
<現行>
(個人の権利利益を害するおそれが大きいもの)
第7条 法第26条第1項本文の個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものは、次の各号のいずれかに該当するものとする。
一〜二 (略)
三 不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
四 (略)
<本改正による改正後> ※第3号中太字部分が改正ポイント
(個人の権利利益を害するおそれが大きいもの)
第7条 法第26条第1項本文の個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものは、次の各号のいずれかに該当するものとする。
一〜二 (略)
三 不正の目的をもって行われたおそれがある当該個人情報取扱事業者に対する行為による個人データ(当該個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているものを含む。)の漏えい等が発生し、又は発生したおそれがある事態
四 (略)
本改正による改正ポイントは、次のとおり大きく2つに分けることができるが、1点目はこれまでの解釈の明確化に過ぎず、重要なのは2点目であり、これが法の委任の趣旨を逸脱しているのではないかと疑われるところである。
個人情報取扱事業者に対する不正行為が行われたこと
上記不正行為により個人情報取扱事業者が取得し又は取得しようとしている個人情報であり、個人データとして取り扱われることが予定されているものを含む「個人データ」が漏えい等の対象となること
(2) 本改正の背景
近年、ECサイトに対する攻撃の一類型である、いわゆるWebスキミングと呼ばれる手法により個人情報が流出するケースが発生しております。Webスキミングによる情報流出の中には、攻撃者によって個人情報取扱事業者であるECサイト事業者のウェブサイトに不正なスクリプトが埋め込まれた結果、当該ウェブサイトの利用者が自己の端末上で入力フォームに入力した個人情報が直接攻撃者に流出するケースがあります。 このような情報流出は、攻撃者が故意に個人情報を流出させているものであり、流出した個人情報の悪用による二次被害が発生するなど、個人の権利利益が害されるおそれが大きいことから、委員会が事態を把握する必要があると考えています。
他方で、今、申し上げたWebスキミング等によって引き起こされた情報流出をはじめとする、個人情報データベース等を構成する前の、すなわち個人データとなる前の個人情報の流出は、現行の施行規則第7条で規定する漏えい等の報告及び本人通知の対象となる事態には該当しないと考えられます。
そこで、資料1-2のとおり、施行規則第7条第3号を改正し、不正な目的をもって行われたおそれがある当該個人情報取扱事業者に対する行為による漏えい等に関しては、個人データのみならず、当該個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているものについても、漏えい等の報告及び本人通知の対象事態にすることとしております。
誤解なきように付言するが、筆者は、本改正が法の委任の趣旨を逸脱すると指摘するに過ぎず、ここで問題となっているWebスキミング等への対応やWebスキミング等により個人の情報が不正行為を行う者に取得された場合の対応を措置することに否定的なわけではない。
個人情報保護法第26条第1項本文の改正を行うことなく(あるいは以前の記事中でも指摘したようにサイバーセキュリティ関連法による規律を行うことなく)、個人情報保護法施行規則第7条の改正(本改正)で措置することが法制上問題であると指摘しているのである。
(3) 法の委任の趣旨を逸脱!?
以前の記事中でも触れたように、本改正は法の委任の趣旨を逸脱するものと思われる。
この点、本パブコメにおいてもそのことを指摘する意見が複数見られた(2023年12月27日結果公表パブコメ回答No.5,16,23,29)。
特に詳しいのは2023年12月27日結果公表パブコメ回答No.23であり、筆者の言葉足らずだった点を補ってくれているため抜粋して紹介する。
法26条1項本文は、事業者が「取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態」(以下「記述1」といいます。)であって、「個人の権利利益を害するおそれが大きいもの」(以下「記述2」といいます。)の具体化を個人情報保護委員会規則に委任しているところ、記述2は文言上記述1を限定する要素として位置付けられています。このような理解は、規則7条柱書が「法第二十六条第一項本文の個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものは…」としていることからも、適切なものと考えられます。そうすると、受任規定において、記述1に当たらない事態を規定することはできないと考えられます。
つまり、個人情報保護法第26条第1項本文は「個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の(a)個人データの安全の確保に係る事態であって(b)個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない」と定めており、同法施行規則第7条に委任されているのは(b)に関する部分であり、(a)に関する部分ではない。
この点、個人情報保護法第26条第1項本文の読み方として、「個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるもの」であり、(a)と(b)の間に読点がないことを重視して(a)と(b)を分けないことはあり得るのだろうか。
上記2023年12月27日結果公表パブコメ回答No.23でも記載されているが、(a)と(b)を分けないことは解釈上不可能と思われる。
つまり、個人情報保護法第26条第1項本文を受けた同法施行規則第7条柱書は「法第26条第1項本文の個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものは、次の各号のいずれかに該当するものとする」と規定しており、(b)に限った定めを置いているためである。仮に(a)と(b)を分けないのであれば、「法第26条第1項本文の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものは、次の各号のいずれかに該当するものとする」となるはずである。
なお、上記は所詮個人情報保護法施行規則第7条柱書の解釈であり、委員会がそれを「法第26条第1項本文の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものは、次の各号のいずれかに該当するものとする」と改正すれば足りるのではないかという反論はあり得る。
しかし、次の3点から、個人情報保護法第26条第1項柱書は、同法第16条第3項の「個人データ」の一定の漏えい等に関する規律を設けたものであり、その部分については委員会に委任されておらず、上記のような同法施行規則第7条柱書の改正は不可能と考える。だからこそ現時点においてもそのような規定にはなっておらず、またそのように改正もしていないのだろう。
令和2年改正の法案提案理由において「個人データの漏えい等の事態が生じたときの個人情報保護委員会への報告等についての規定を整備することとしております」とされており、特段の留保なく「個人データ」の用語を使っていること
個人情報保護法第26条は、「その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない」と定める同法第23条の安全管理措置に関連する規律であること
そもそも漏えい等の発生に伴う委員会報告や本人通知の趣旨は「委員会が事態を早急に把握し、必要な措置を講じることができるようにすること」や「通知を受けた本人が漏えい等の事態を認識することで、その権利利益を保護するための措置を講じられるようにすること」にあると説明されているところ(改正法に関連する政令・規則等の整備に向けた論点について(漏えい等報告及び本人通知)2頁)、Webスキミング等につき委員会が報告を受けたところで報告の趣旨に沿わないと思われること(サイバーセキュリティを管轄する省庁が見るべき事案ではないだろうか)、またWebスキミング等の事案では個人情報取扱事業者は個人データを取得していないため本人を特定できず公表等代替手段を講ずるほかないが(個人情報保護法第26条第2項但書)、実効性が不明であること
【参考】個人データに着目する!
本規則案第6条の2の「漏えい等」の具体例等については、ガイドライン等でお示しすることを検討してまいりますが、漏えい等に該当するかどうかは、サイバー攻撃の手法ではなく、個人データに着目して判断されることとなります。
【参考】サイバーセキュリティと安全管理措置は別!
サイバーセキュリティ基本法第2条にいう「サイバーセキュリティ」の定義(Q1参照)には、情報の安全管理のための措置をとり、それが適切に維持管理されていることが含まれており、その点では個情法に基づく個人データの安全管理措置義務と法文上類似する。 ただし、サイバーセキュリティは、個人データに限らず、不正競争防止法(平成5年法律第47号)にいう営業秘密や価値あるデータ(限定提供データ)など、「情報」を全般的に対象とするものである。また、サイバーセキュリティの定義には、情報の安全管理のみならず、情報システム及び情報通信ネットワークの安全性・信頼性も明示的に定義に含んでいる点で、個情法に基づく個人データの安全管理措置義務とは異なるといえる。
【参考】セキュリティインシデントとデータブリーチは別!
15. What should be clear is that a breach is a type of security incident. However, as indicated by Article 4(12), the GDPR only applies where there is a breach of personal data. The consequence of such a breach is that the controller will be unable to ensure compliance with the principles relating to the processing of personal data as outlined in Article 5 GDPR.
This highlights the difference between a security incident and a personal data breach–in essence, whilst all personal data breaches are security incidents, not all security incidents are necessarily personal data breaches*16. (セキュリティインシデント∋データブリーチ)
*16 It should be noted that a security incident is not limited to threat models where an attack is made on an organisation from an external source, but includes incidents from internal processing that breach security principles.
そうすると、(a)と(b)は分けて考えることになり、(b)に関する部分は、文言上、あくまで(a)に関する部分を限定する趣旨であって、当然、(b)に関する部分は(a)に関する部分の範囲内であることが必要である。
そして、(a)に関する部分は「個人データの安全の確保に係る事態」と規定しており、この「個人データ」について個人情報保護法第16条第3項の「個人データ」とは別段の定義を採用していないため、同法第26条第1項本文の(a)に関する部分の「個人データ」は同法第16条第3項の「個人データ」と同義である。
そして、委員会が公表しているガイドライン通則編2-6には、個人情報データベース等(個人情報保護法第16条第1項)を構成する前の個人情報は「個人データ」に該当しないとされているのである。
【個人データに該当しない事例】
事例) 個人情報データベース等を構成する前の入力用の帳票等に記載されている個人情報
なお、ガイドラインQ&A1-48にも同様の記載がある。
Q. 個人情報データベース等に入力する前の帳票類であれば、個人情報データベース等に該当しませんか。
A. 個人情報データベース等に入力する前の帳票等であっても、それに記載された個人情報を50音順に整理している場合など、特定の個人情報を容易に検索することができるように体系的に構成している場合には、それ自体が個人情報データベース等に該当します。
そうだとすれば、いかに個人情報取扱事業者が個人データとして取得し又は取得しようとしている個人情報であっても、その段階では未だ個人データ(個人情報データベース等を構成する個人情報)ではない。
したがって、Webスキミング等の事案において個人の情報が不正行為を行う者に取得される場合、個人情報取扱事業者の「個人データ」が漏えい等するわけではない。
この法の委任の趣旨を逸脱するのではないかという点につき、委員会の説明は次のとおりであり、上記(a)と(b)を区別しない立場である。
法第26条第1項本文は、「その取り扱う…個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいもの」を報告対象事態として定めることを施行規則に委任しているところ、「個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、当該個人情報取扱事業者が個人データとして取り扱うことを予定しているもの」が「不正の目的をもって行われたおそれがある当該個人情報取扱事業者に対する行為」により漏えい等した場合、当該個人情報取扱事業者が取り扱う個人データの安全の確保に係る事態が生じており、かつ、本人の権利利益に対する影響が大きいと考えられることから、法の委任の範囲内と考えます。
上記説明(特に太字部分)は詭弁ではないだろうか。
「個人データ」の定義について、本改正のとおり「個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、当該個人情報取扱事業者が個人データとして取り扱うことを予定しているもの」を含むのが正しいとすれば、意味が通じるのは間違いない。
しかし、筆者や2023年12月27日結果公表パブコメ回答No.23の質問者が問題視しているのは、そもそも「個人データ」の定義について、個人情報保護法第16条第3項(そして同法第26条第1項本文)が定めるものとは別の定義を同法施行規則第7条第3号で定めることである。
【参考】委員会は令和2年改正当時から(a)と(b)を区別しない立場!?
安全管理措置に関するガイドライン通則編の改正は実質的な法改正!?
本パブコメの対象は、本改正のほか、ガイドライン通則編の改正も含まれている。例えば、安全管理措置(個人情報保護法第23条)に関連するガイドライン通則編3-4に関して、次のような追記をしている(太字部分が追記)。
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損(以下「漏えい等」という。)の防止その他の個人データの安全管理のため、必要かつ適切な措置を講じなければならないが、当該措置は、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)、個人データを記録した媒体の性質等に起因するリスクに応じて、必要かつ適切な内容としなければならない。
なお、「その他の個人データの安全管理のために必要かつ適切な措置」には、個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、当該個人情報取扱事業者が個人データとして取り扱うことを予定しているものの漏えい等を防止するために必要かつ適切な措置も含まれる。
上記のとおり、いかに個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、当該個人情報取扱事業者が個人データとして取り扱うことを予定していても、個人情報データベース等に入力される前の情報(データ)は「個人データ」ではない。
にもかかわらず、個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、当該個人情報取扱事業者が個人データとして取り扱うことを予定しているものにつき、「個人データの安全管理のために必要かつ適切な措置」を講じることを何を根拠に求めることができるのだろうか。
もちろん、所詮ガイドラインであって直接的な法的拘束力はないが、「必要かつ適切な内容としなければならない」であり、遵守しない場合は個人情報保護法違反と判断される可能性がある(ガイドライン通則編1-1)。
この場合、個人データの漏えい等に関する個人情報保護法第26条第1項の問題ではなく、同法第23条の安全管理措置義務違反を構成することになると思われる。
この点、GDPRでは、「処理」又は「取扱い」("processing")に「収集」("collection")が含まれ、個人データはその適切な安全性(完全性/機密性)を確保する措置が講じられることになっており(GDPR5.1.(f))、かつ、リスクベースで一定のレベルの安全性を確保するための措置として個人データの暗号化や利用するシステム等の機密性/完全性を確保することが求められている(同32.1)。つまり、GDPRでは個人データを収集する段階での安全管理措置を講じることが必要とされている。
Art. 5 GDPR Principles relating to processing of personal data
1. Personal data shall be:
f. processed in a manner that ensures appropriate security of the personal data, including protection against unauthorised or unlawful processing and against accidental loss, destruction or damage, using appropriate technical or organisational measures (‘integrity and confidentiality’).
Art. 32 GDPR Security of processing
1. Taking into account the state of the art, the costs of implementation and the nature, scope, context and purposes of processing as well as the risk of varying likelihood and severity for the rights and freedoms of natural persons, the controller and the processor shall implement appropriate technical and organisational measures to ensure a level of security appropriate to the risk, including inter alia as appropriate:
(a) the pseudonymisation and encryption of personal data;
(b) the ability to ensure the ongoing confidentiality, integrity, availability and resilience of processing systems and services;
(c) the ability to restore the availability and access to personal data in a timely manner in the event of a physical or technical incident;
(d) a process for regularly testing, assessing and evaluating the effectiveness of technical and organisational measures for ensuring the security of the processing.
【参考】ICOによるBritish Airwaysに対する制裁※
※ GDPR5.1.(f)と32への違反に対する制裁
他方、我が国の個人情報保護法においては、個人情報の取得に関するルールは「適正な取得」(同法第20条)しか存在せず(職業安定法第5条の5のような特別法は除く)、同法第23条の安全管理措置も「取り扱う個人データ」に関するもので、要するに取得後のルールである。
そのルールを取得前にまで拡大して適用することが果たして許されるのか。
この点についても、本パブコメにおいて、実質的に個人情報保護法第23条を改正するものである旨指摘する意見が複数見られた(2023年12月27日結果公表パブコメ回答No.27,29)。
委員会は、今回追記されたガイドライン通則編3-4-2の「なお」書きについて、次のとおり従前からの解釈を明確化したものと嘯いているが、GDPRと同じことがしたいのであれば堂々と法改正をすべきである。
御指摘の箇所は、このような従前からの解釈を明確化したものですので、本ガイドライン案の改正案の施行前であっても、「その他の個人データの安全管理のために必要かつ適切な措置」として、個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、当該個人情報取扱事業者が個人データとして取り扱うことを予定しているものの漏えい等を防止するために必要かつ適切な措置を講じる必要があります。
【参考】従前からの解釈ってまさかこれ?
Q. 「情報システムの使用に伴う漏えい等の防止」を講じるための手法は、ガイドライン(通則編)で示されている以外にどのようなものが考えられますか。
A. ガイドライン(通則編)に示した手法を具体的に記述したものも含めて、例えば、次のような手法が考えられます。
○盗聴される可能性のあるネットワーク(例えば、インターネットや無線LAN等)による個人データの送信(例えば、本人及び従業者による入力やアクセス、メールに添付してファイルを送信する等を含むデータの転送等)時における、個人データの暗号化等の秘匿化(例えば、SSL/TLS、S/MIME等)
○個人データを取り扱う情報システムの動作確認を行う際に、テストデータとして個人データを利用することを禁止したり、動作確認に影響のない範囲で、個人データの一部を他のデータに置き換える等、テストデータとして利用する個人データを必要最小限とすること。
○個人データを取り扱う情報システムの変更時に、当該変更によって情報システム又は運用環境のセキュリティが損なわれないことを検証すること
○個人データを取り扱う情報システムの使用状況の定期的な監視
以上
この記事が気に入ったらサポートをしてみませんか?