【3年ごと見直し】2024年6月27日付け「中間整理」のパブコメ開始(前編:APPIのあるべき姿をOECD原則等から考える)
本稿のねらい
2024年6月27日、個人情報保護委員会(PPC)は、第292回個人情報保護委員会配布資料として、個人情報保護法(APPI)に関し、いわゆる3年ごと見直しにかかる「中間整理」(本中間整理)を公表し、かつ、パブコメを開始した。
今回の3年ごと見直しに限らず、PPCの仕事ぶりにはその場しのぎ感やツギハギ感があり、一貫した理念が見出だせない。
そろそろAPPI(*)の目的は「個人データの濫用的処理」による個人の権利利益の侵害を抑止することであると真正面から向き合った方がよいと思われる。
*APPIとは、 "Act on the Protection of Personal Information" (個人情報保護法)の頭文字をとった略語である。これには「個人情報」(いわゆる散在情報)をも保護する意図が色濃く感じられるため、APPD、すなわち "Act on the Protection of Personal Data" (個人データ保護法)とするのが適切であると思われる。
【参考】OECDや先進各国のデータ保護法制(*)
Singapore:Personal Date Protection Act (PDPA)
*他方で、Californiaの "California Consumer Privacy Act (CCPA)" やCanadaの "Personal Information Protection and Electronic Documents Act" など、個人情報("information")基準の法律も存在する。
別稿にて触れることを予定しているが、APPIの目的を個人データの濫用的処理による個人の権利利益の侵害を抑止することであると捉え直すことにより、本中間整理において掲げられている課題のいくつかは自然に解決できると思われる。
【参考】現行APPIの目的:あくまで個人情報基準
①個人情報の有用性に配慮しつつ、
②個人情報の取扱いに関して遵守すべき義務等を定め、
⇛個人の権利利益を保護することが目的
⇔データにならない情報すら保護するため変に広範に過ぎることに
そこで、本稿では、主にOECD GuidelinesやGDPRとの比較で、APPIがどのようにあるべきかを考えることとする。
本中間整理の全体像
本中間整理における検討事項は次のとおりであるが、メリハリのない総花的な概説は誰かがやってくれそうな気がするため、筆者は、★を付けた部分(筆者の主観で重要 and/or 興味がある部分)について追って概説することを予定している。なお、★を付けていない部分についても参考となる資料はリンクを付けて案内しておく。
1.個人の権利利益のより実質的な保護の在り方
(1)個人情報等の適正な取扱いに関する規律の在り方
ア 要保護性の高い個人情報の取扱いについて(生体データ)
イ 「不適正な利用の禁止」「適正な取得」の規律の明確化
(2)第三者提供規制の在り方(オプトアウト等) ★
(3)こどもの個人情報等に関する規律の在り方 ★
ア 法定代理人の関与
イ 利用停止等請求権の拡張
ウ 安全管理措置義務の強化
エ 責務規定
オ 年齢基準
(4)個人の権利救済手段の在り方
2.実効性のある監視・監督の在り方
(1)課徴金、勧告・命令等の行政上の監視・監督手段の在り方
ア 課徴金制度
イ 勧告・命令の在り方
(2)刑事罰の在り方
(3)漏えい等報告・本人通知の在り方 ★
ア 漏えい等報告
イ 違法な第三者提供
3.データ利活用に向けた取組に対する支援等の在り方
(1)本人同意を要しないデータ利活用等の在り方 ★
(2)民間における自主的な取組の促進 ★
ア PIA(Privacy Impact Assessment)
イ 個人データの取扱いに関する責任者
4.その他
・プロファイリング ★
・個人情報等に関する概念の整理 ★
・プライバシー強化技術(PETs)の位置づけの整理 ★
・金融機関の海外送金時における送金者への情報提供義務の在り方
・ゲノムデータに関する規律の在り方
・PPCから行政機関等への各種事例等の情報提供の充実 など
OECD GuidelinesやGDPRとの比較
外国にある第三者への個人データの提供に関する規制につき、「個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置(中略)を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準」(APPI第28条第1項)として、「当該個人データの取扱いについて、適切かつ合理的な方法により、法第4章第2節の規定の趣旨に沿った措置の実施が確保されていること」(APPI施行規則第16条第1号)が1つの基準とされているが、OECD Guidelinesも勘案するとされており、現行APPIとOECD Guidelinesの関係は密接である(はず)。
なお、上記のとおり、OECD Guidelinesの正式名称は "GUIDELINES ON THE PROTECTION OF PRIVACY AND TRANSBORDER FLOWS OF PERSONAL DATA" といい、プライバシー保護原則などとも呼ばれる。
◆適用対象:personal data
このように、OECD Guidelinesにおける "personal data" は、現行APPIにおける「個人情報」(APPI第2条第1項)の法令及びガイドライン通則編における定義に近い。なお、OECD Guidelines、GDPR(EU)、ADPPA又はAPRA(US)が "personal data" を定義する際に "data" ではなく "information" という語を用いているのは、必ずしも電磁的記録のみを対象とせず、書面等に記載されたものも対象とするためと考えられる。
【参考】シンガポールのPDPAは "infomation" ではなく "data" を使う
果たして、現行APPIにおいては、「個人情報」(APPI第2条第1項)、「個人データ」(APPI第16条第3項)、「保有個人データ」(同条第4項)等の多様な概念が用意されており(ガイドライン通則編2-1※1参照)、概念の区別自体は理解でき、また実際の当てはめは割りと容易に可能であるが、事業者団体からは不評であり、明確化や整理などが求められている。
この点、「個人情報」と「個人データ」を区別しているのは、大きく2つの理由がある。1つは形式的な理由、もう1つは実質的な理由であり、後者についてはGDPRにおいても同様である(*)。
❏ 形式的な理由
自然な発想として、処理に関する規制を課されるからには、処理の対象となるデータが事業者の手元にあることが前提となるように思われる。
つまり、何らかの "information" (情報)を事業者が取得するとしても、すべてが意図的なもの、つまり個人データを構成する情報とすることを企図して取得するとは限らず、往々にして、偶然に取得してしまうこともある。
このように、実際に個人データとして事業者の処理の対象となる情報なのかどうかは、事業者が当該情報を取得すると同時又は事後に決定されることになる。そうすると、情報の取得段階と処理段階の2つの段階に分けてルールを作る方がわかりやすい。
前者(取得段階)についてはすべての事業者をルールの規律対象とし(原則3:Purpose Specification Principleも参照)、後者(処理段階)については個人データを処理する事業者のみを対象としている。
これは、何らか体系化された又は体系化されることが予定されているデータの処理に限定し、ルールの規律対象とするGDPRとはある種対照的である。(**)
なお、2024年4月1日施行のAPPI施行規則第7条第3号やガイドライン通則編3-4-2等の改正により、漏えい等及び安全管理措置の場面に限ってではあるものの、個人データの概念が拡張され、「個人データ(当該個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているものを含む。)」とされた。
❏ 実質的な理由
個人情報(散在情報)と個人データ(体系化されたデータ)を区別する実質的な理由は、濫用された場合や漏えい等が発生した場合の個人の権利利益の侵害可能性や程度(=リスク)が高いのは「個人データ」であることによる。そのような観点から、APPI第22条から第30条までの規律は、個人データを処理する個人情報取扱事業者にのみ課されている。まさにリスクベースドアプローチである。なお、下記(**)も参照。
【参考】PIAの考え方について
(*)今回の3年ごと見直しにおいて個人情報保護委員会のヒアリング対象になっていた事業者団体等は総じてこの点を誤解していたような気がする。つまり、たしかにGDPRには現行APPIの「個人情報」に相当する概念はないが、GDPRの適用を受けるのは「個人データ」の中で、①全部又は一部が自動化処理されるもの、及び②自動化処理ではない処理が行われるもののうち、 "filing system" (GDPR第4条第6号) を構成し、又は構成することが予定されているものに限られている(GDPR第2条第1項)。これは、現行APPIにおける「個人情報データベース等」(APPI第16条第1項)を構成する「個人データ」そのものである。何らか体系化されたデータの処理についての規制が主である点は何ら変わらない。
(**)上記のとおり、GDPRは一定の体系化されたデータの処理に対して適用されるものであるのに対し、APPIは「個人情報取扱事業者」(同第16条第2項)に対して適用される(同第17条以下の主語のほとんどは「個人情報取扱事業者」)。つまり、GDPRにおいては、個人情報取扱事業者に相当する事業者であっても、当該処理が一定の体系化されたデータに対して行われるのでない場合は、各種義務の適用がないのに対し、APPIにおいては、一度でも個人情報取扱事業者に該当すると、以後の取得や処理については総じてAPPIの適用を受けることになり、その意味では、APPIの方がよほど厳しいという気もする。ただし、APPIにおいても、個人関連情報(APPI第31条)・仮名加工情報(同第41条)・匿名加工情報(同第43条)については、○○情報(○○データベース等を構築するものに限る)とされており、データに関しての規律を定める発想自体は存在している。
また、「個人データ」と「保有個人データ」を区別するのは次の理由によるらしいが、GDPRにおける "controller"(管理者、GDPR第4条第7号) と "processor"(処理者、同条第8号)の区別により開示(アクセス)や訂正等義務の有無に違いがあるようなイメージをすればよい。
◆目的:プライバシー保護&個人の自由の保護
次のとおり説明されているように、基本的には、個人データに関するプライバシー保護と個人の自由という一見相反する利益を保護すること、個人データの流通に対する不当な干渉を排除することを目的としている。
◆原則1:Collection Limitation Principle(取得制限)
APPIにおいては、個人情報の取得にかかる規律は、直接的には適正取得に関する第20条と取得に際しての利用目的の通知等に関する第21条のみであるが、取得を含む「取扱い」(*)全般に関する利用目的の特定と制限にかかる第17条と第18条も挙げることができる。
(*)APPIやガイドライン通則編において、個人情報や個人データの「取扱い」を定義したものはないが、PPCは個人情報や個人データの取得から廃棄までを含めて「取扱い」と考えている節がある(ガイドライン通則編3-8-1)。そうすると、GDPRにいう "processing" とほぼ同義となる。なお、個人情報や個人データの「利用」からは取得と廃棄という入口と出口は除かれている(Q&A2-3)。
GDPRでは、処理("processing")に取得("collection")が含まれており(GDPR第4条第2号)、かつ個人データの処理につき適法性("lawfully")・公正性("fairly")・透明性が求められている(同第5条第1項(a))。どのような場合に個人データの処理が適法とされるのかは後述(原則4:Use Limitation Principle)。
なお、特別なカテゴリに属する個人データの処理については、別途の規律が定められている。つまり、人種的・民族的な出自、政治的意見・信条、労働組合への加入、遺伝子データ・生体データ、性生活・性的指向に関するデータが特別なカテゴリに属する個人データに含まれるが、これら個人データの処理は原則として禁止されている(GDPR第9条第1項)。例外的に、本人の同意がある場合(同条第2項(a))やその他一定の必要がある場合等(同項(b)以下)には例外的に処理が可能となる。
この特別なカテゴリに属する個人データの処理の構造は、APPIの「要配慮個人情報」(同第2条第3項)や金融分野における個人情報保護に関するガイドライン(金融分野GL)の「センシティブ情報」(同第5条)にかかる規律(APPI第20条第2項、金融分野GL第5条第1項)と同様である。
◆原則2:Data Quality Principle(データと目的の関連性)
個人データと利用目的の関連性、つまり個人データを利用目的の範囲内で利用することが要求されている。
APPIは、法令に基づく場合又は「公益上の理由等により目的外利用を認めることによる利益が目的外利用を認めることによる本人への不利益を上回ると考えられる場合」(宇賀克也『個人情報保護法の逐条解説〔第6版〕』(有斐閣、2018)138頁)を除き、原則として個人情報の目的外利用を禁じている(同第18条第1項・第3項)。
他方で、原則3:Purpose Specification Principle においても一定許容されているように、「変更前の利用目的と関連性を有すると合理的に認められる範囲」、つまり、「変更後の利用目的が変更前の利用目的からみて、社会通念上、本人が通常予期し得る限度と客観的に認められる範囲内」(ガイドライン通則編3-1-2)において当初特定していた利用目的を変更することが可能であり(APPI第17条第2項)、その手続も本人への通知又は公表で足りるため(同第21条第3項)、基本的には利用目的の変更で乗り切ることを考えることになる。
この点、APPIにつき、「『利用目的を定め、その範囲内で利用する』という根本的ルールを見ても、利用目的の正当性は求められないし、利用目的の達成のために関連性であるとか比例性も必ずしも求められない」ことから形式的ルールに過ぎないのに対し、GDPRは利用目的の正当性や比例原則を強調する実体的ルールを採用しているとの意見がある(第287回個人情報保護委員会【資料1-1】2頁(曽我部教授))。
これは、GDPR前文第39項の "Personal data should be processed only if the purpose of the processing could not reasonably be fulfilled by other means." (これが比例原則か?まさかGDPR第6条第4項の "proportionate measure" を指している...なんてことはないだろう。文脈が違いすぎる)や "In particular, the specific purposes for which personal data are processed should be explicit and legitimate and determined at the time of the collection of the personal data. "(利用目的の正当性)などを参考にしたのかもしれない。
確かに、APPIにつき利用目的の正当性を求める規定や比例原則について定める規定は存在しないが、これはOECD Guidelinesと同じ立場であり(原則3:Purpose Specification Principleにおいても利用目的の正当性は求められていない)、GDPRが一歩先に進んでいると理解すべきである。単に形式的か実体的かで区別するものではないし、またその必要性もないだろう。
なお、原則2:Data Quality Principleでは、個人データの正確性・完全性・最新性も要求されているが、これらはデータと目的の関連性を支える概念として重要とされている。
この点、APPI第22条は、「個人データ」につき正確性・最新性の確保を要求し、利用する必要がなくなった場合の消去(≒最小化)も要求している。
正確性や最新性の確保の対象に「個人情報」が含まれず、「個人データ」のみが含まれるのは、次の2つの理由があるとされているが、本質的なのは2点目であろう(不正確な個人データの利用⇛利用目的との関連性が低い/ない個人データの処理⇛明示されている利用目的から想定されない個人データの処理(個人データの濫用)⇛個人の権利利益の侵害可能性)。
対してGDPRでは、本人の同意に基づく場合又は公共の利益のうち重要な目的(GDPR第23条第1項)を守るために民主主義の社会において必要かつ比例的な手段を構成するEU法や加盟国の国内法に基づく場合の処理を除き、当初の利用目的(個人データの取得時に特定された利用目的)と適合("compatible")しない方法で追加的処理を行うことが禁じられる(GDPR第5条第1項(b)、同第6条第4項)。
追加的処理が当初の目的と適合的か否かは、次のポイントを考慮に入れて判断される(GDPR第6条第4項、Article 29 Working Party Opinion 03/2013 on purpose limitation (WP 203))。
当初の目的と予定されている追加的処理の目的との関連性
特にデータ主体と管理者との間の関係と関連して、当該個人データが収集された経緯
個人データの性質(特に特別なカテゴリに属する個人データかどうか)
予定されている追加的処理によりデータ主体に発生する可能性のある結果
適切な保護措置の存在(暗号化・仮名化等)
このように、APPIはOECD Guidelinesには準拠しているものの、個人データ保護の観点でいえばGDPRよりは一歩遅れていると考えられることから、補完的ルールが定められている。
これは、EU域内から十分性認定に基づき提供を受けた個人データ(ただしAPPI的には「個人情報」を含む(2018年9月7日結果公表パブコメNo.123))について、当初(EU to Japan)又はその後提供を受ける際(Japan to Japan)に特定された利用目的の範囲内でAPPI第17条第1項に基づき利用目的を特定することを求めるものであり、同第30条の確認記録義務が適用されない場合であっても、取得時に利用目的を特定し、その範囲内で利用することを要求するものである(2018年9月7日結果公表パブコメNo.95-101)。
【参考】GDPRの「データ最小化」義務
GDPR第5条第1項(c)は、「データ最小化」に関する条項として理解されることが多いが(実際に 'data minimisation' と定義もされている)、これはGDPR前文第39項において次のとおり表現されているためであり、ともすると誤解を招く。
◆原則3:Purpose Specification Principle(目的特定)
上記のとおり、原則3:Purpose Specification Principleは、利用目的の正当性を要求しておらず、APPI第17条や第18条第1項と同旨である。
なお、個人情報(個人データ)の取得時又はその後速やかに利用目的を本人に知らしめることについては、APPIでは第21条が、GDPRでは第13条及び第14条がそれぞれ担っている。
◆原則4:Use Limitation Principle(利用制限)
OECD Guidelinesによれば、個人データは、(a)データ主体の同意がある場合、又は(b)法令に基づく場合を除き、同第9項(原則3:Purpose Specification Principle)により特定された目的以外の目的のために第三者に開示、第三者が利用可能な状態に置くこと、又はその他の方法で利用することが禁止される。
裏を返せば、特定された目的の範囲内であれば、個人データを第三者へ開示することや第三者が利用可能な状態に置くことにつき、データ主体である本人の同意や法令の定めは必要ないことになる。
つまり、個人データの濫用的利用(特定された目的の範囲外で、個人データを第三者に開示すること及び第三者が利用可能な状態に置くこと、又は目的外利用)が禁止されるに過ぎず、その禁止を解除する鍵として、本人同意又は法令の定めが用意されているという建付けとなっている。
これを突き詰めると、California Consumer Privacy Act of 2018 (CCPA)のような規律になるのだろう(Cal. Civ. Code § 1798.100(b), Cal. Code Regs. Tit. 11, § 7002)。
APPIにおいては、特定された目的以外の目的での個人情報の利用(目的外利用)のみならず(APPI第18条第1項・第3項)、特定された目的内における個人データを第三者に提供(*)することにつき、目的外利用と同様の規律が適用される、つまり本人の同意や法令の定めなど(同第27条第1項)が必要とされており(**)、その意味でOECD Guidelinesよりも制限が強い。
*「提供」とは個人データ等を自己以外の第三者が利用可能な状態に置くことをいい、OECD Guidelinesにいう開示と利用可能な状態に置くことの双方を含意していると思われる(ガイドライン通則編2-17)。なお、「提供」の概念については、いわゆる「クラウド例外」に関するキーコンセプトであるため、十分な理解が必要である。
**上記のとおり「個人情報取扱事業者による目的外利用の大部分は、第三者提供」と考えられており、その推測は一定正しいと思われるが、必ずしもそうとは限らず、目的内で第三者に個人データを提供することが必要な場合も普通に考えてあり得るはずである。そのため、本人の同意又は法令に基づくなどの例外的な場合以外に個人データの第三者提供を認めないのは、OECD Guidelinesに照らして厳格に過ぎるし、後述のとおり、GDPRでさえ目的内での第三者への個人データの提供を許容していることからしても、厳格に過ぎると思われる。
この点、GDPRは、個人データの処理につき適法性を要求しており(同第5条第1項(a))、以下の6つの適法性の根拠のいずれか1つを満たす場合に限り、個人データの処理の適法性が認められる(同第6条第1項(a)から(f))。
(a) Consent: the data subject has given consent to the processing of his or her personal data for one or more specific purposes;
(b) Contract: processing is necessary for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract;
(c) Legal obligation: processing is necessary for compliance with a legal obligation to which the controller is subject;
(d) Vital interests: processing is necessary in order to protect the vital interests of the data subject or of another natural person;
(e) Public task: processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller;
(f) Legitimate interests: processing is necessary for the purposes of the legitimate interests pursued by the controller or by a third party, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data, in particular where the data subject is a child.
このうち重要なのは(a)同意、(b)契約、そして(f)正当な利益の3つであるとされているが(西村あさひ法律事務所『個人情報保護法制大全』(商事法務、2021年)593頁参照)、今回の3年ごと見直しのヒアリングにおけるEBC(欧州ビジネス協会)によれば、「欧州は、大半の企業が、個人情報の第三者への移転を含め、個人情報を処理する法的根拠として、いわゆる『正当な利益』を使用している」とのことである(第263回個人情報保護委員会【資料2】4頁(欧州ビジネス協会))。
正当な利益が認められるためのバランシングテスト
正当な利益に関してよく問題となるリスト(例示列挙)
権利行使:exercise of the right to freedom of expression or information, including in the media and the arts
マーケティング:conventional direct marketing and other forms of marketing or advertisement(cf. GDPR前文第47項)
非営利活動:unsolicited non-commercial messages, including for political campaigns or charitable fundraising
法的請求の執行:enforcement of legal claims including debt collection via out-of-court procedures
不正防止:prevention of fraud, misuse of services, or money laundering(cf. GDPR前文第47項)
従業員の監視:employee monitoring for safety or management purposes
内部通報体制:whistle-blowing schemes
セキュリティ:physical security, IT and network security
統計目的等:processing for historical, scientific or statistical purposes
研究目的:processing for research purposes (including marketing research)
なお、同意が用いられないのは「欧州では、同意は個人情報処理の法的根拠として、最も弱いものであると考えられている。なぜなら、(i) 法的な同意を得るための要件が非常に厳しいため、同意が法的に無効となる可能性があり、(ii) 将来にわたってデータ主体がいつでも撤回できる可能性があるからである」とのことである(第263回個人情報保護委員会【資料2】4頁(欧州ビジネス協会))。
確かに、GDPR第4条第11号のとおり厳格さはあるものの、常に書面による明示的な意思表示までは要求されておらず、一概に「非常に厳しい」とまではいえないと思われるが(なお、同第7条第1項のとおり管理者がデータ主体の同意を証明できるようにしなければならない)、データ主体がいつでも同意を撤回できること(同条第3項)、及び適法性の根拠として同意のみを指定していた場合は同意が撤回されると、その後は個人データの処理ができなくなることが致命的である。
◆原則5:Security Safeguards Principle(安全管理措置)
◆原則6:Openness Principle(公開ポリシー)
◆原則7:Individual Participation Principle(自己コントロール)
◆原則8:Accountability Principle(適合責任)
以上