【3年ごと見直し】2024年6月27日付け「中間整理」のパブコメ開始(前編:APPIのあるべき姿をOECD原則等から考える)
本稿のねらい
2024年6月27日、個人情報保護委員会(PPC)は、第292回個人情報保護委員会配布資料として、個人情報保護法(APPI)に関し、いわゆる3年ごと見直しにかかる「中間整理」(本中間整理)を公表し、かつ、パブコメを開始した。
今回の3年ごと見直しに限らず、PPCの仕事ぶりにはその場しのぎ感やツギハギ感があり、一貫した理念が見出だせない。
そろそろAPPI(*)の目的は「個人データの濫用的処理」による個人の権利利益の侵害を抑止することであると真正面から向き合った方がよいと思われる。
*APPIとは、 "Act on the Protection of Personal Information" (個人情報保護法)の頭文字をとった略語である。これには「個人情報」(いわゆる散在情報)をも保護する意図が色濃く感じられるため、APPD、すなわち "Act on the Protection of Personal Data" (個人データ保護法)とするのが適切であると思われる。
【参考】OECDや先進各国のデータ保護法制(*)
Singapore:Personal Date Protection Act (PDPA)
*他方で、Californiaの "California Consumer Privacy Act (CCPA)" やCanadaの "Personal Information Protection and Electronic Documents Act" など、個人情報("information")基準の法律も存在する。
別稿にて触れることを予定しているが、APPIの目的を個人データの濫用的処理による個人の権利利益の侵害を抑止することであると捉え直すことにより、本中間整理において掲げられている課題のいくつかは自然に解決できると思われる。
【参考】現行APPIの目的:あくまで個人情報基準
①個人情報の有用性に配慮しつつ、
②個人情報の取扱いに関して遵守すべき義務等を定め、
⇛個人の権利利益を保護することが目的
⇔データにならない情報すら保護するため変に広範に過ぎることに
(目的)
第1条 この法律は、デジタル社会の進展に伴い個人情報の利用が著しく拡大していることに鑑み、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、(中略)個人情報を取り扱う事業者及び行政機関等についてこれらの特性に応じて遵守すべき義務等を定めるとともに、(中略)並びに個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。
そこで、本稿では、主にOECD GuidelinesやGDPRとの比較で、APPIがどのようにあるべきかを考えることとする。
本中間整理の全体像
本中間整理における検討事項は次のとおりであるが、メリハリのない総花的な概説は誰かがやってくれそうな気がするため、筆者は、★を付けた部分(筆者の主観で重要 and/or 興味がある部分)について追って概説することを予定している。なお、★を付けていない部分についても参考となる資料はリンクを付けて案内しておく。
1.個人の権利利益のより実質的な保護の在り方
(1)個人情報等の適正な取扱いに関する規律の在り方
ア 要保護性の高い個人情報の取扱いについて(生体データ)
イ 「不適正な利用の禁止」「適正な取得」の規律の明確化
(2)第三者提供規制の在り方(オプトアウト等) ★
(3)こどもの個人情報等に関する規律の在り方 ★
ア 法定代理人の関与
イ 利用停止等請求権の拡張
ウ 安全管理措置義務の強化
エ 責務規定
オ 年齢基準
(4)個人の権利救済手段の在り方
2.実効性のある監視・監督の在り方
(1)課徴金、勧告・命令等の行政上の監視・監督手段の在り方
ア 課徴金制度
イ 勧告・命令の在り方
(2)刑事罰の在り方
(3)漏えい等報告・本人通知の在り方 ★
ア 漏えい等報告
イ 違法な第三者提供
3.データ利活用に向けた取組に対する支援等の在り方
(1)本人同意を要しないデータ利活用等の在り方 ★
(2)民間における自主的な取組の促進 ★
ア PIA(Privacy Impact Assessment)
イ 個人データの取扱いに関する責任者
4.その他
・プロファイリング ★
・個人情報等に関する概念の整理 ★
・プライバシー強化技術(PETs)の位置づけの整理 ★
・金融機関の海外送金時における送金者への情報提供義務の在り方
・ゲノムデータに関する規律の在り方
・PPCから行政機関等への各種事例等の情報提供の充実 など
OECD GuidelinesやGDPRとの比較
外国にある第三者への個人データの提供に関する規制につき、「個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置(中略)を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準」(APPI第28条第1項)として、「当該個人データの取扱いについて、適切かつ合理的な方法により、法第4章第2節の規定の趣旨に沿った措置の実施が確保されていること」(APPI施行規則第16条第1号)が1つの基準とされているが、OECD Guidelinesも勘案するとされており、現行APPIとOECD Guidelinesの関係は密接である(はず)。
なお、上記のとおり、OECD Guidelinesの正式名称は "GUIDELINES ON THE PROTECTION OF PRIVACY AND TRANSBORDER FLOWS OF PERSONAL DATA" といい、プライバシー保護原則などとも呼ばれる。
◆適用対象:personal data
2. These Guidelines apply to personal data, whether in the public or private sectors, which, because of the manner in which they are processed, or because of their nature or the context in which they are used, pose a danger to privacy and individual liberties.
1. b) “personal data” means any information relating to an identified or identifiable individual (data subject);
In principle, personal data convey information which by direct (e.g. a civil registration number) or indirect linkages (e.g. an address) may be connected to a particular physical person.
このように、OECD Guidelinesにおける "personal data" は、現行APPIにおける「個人情報」(APPI第2条第1項)の法令及びガイドライン通則編における定義に近い。なお、OECD Guidelines、GDPR(EU)、ADPPA又はAPRA(US)が "personal data" を定義する際に "data" ではなく "information" という語を用いているのは、必ずしも電磁的記録のみを対象とせず、書面等に記載されたものも対象とするためと考えられる。
【参考】シンガポールのPDPAは "infomation" ではなく "data" を使う
“personal data” means data, whether true or not, about an individual who can be identified —
(a)from that data; or
(b)from that data and other information to which the organisation has or is likely to have access;
果たして、現行APPIにおいては、「個人情報」(APPI第2条第1項)、「個人データ」(APPI第16条第3項)、「保有個人データ」(同条第4項)等の多様な概念が用意されており(ガイドライン通則編2-1※1参照)、概念の区別自体は理解でき、また実際の当てはめは割りと容易に可能であるが、事業者団体からは不評であり、明確化や整理などが求められている。
この点、「個人情報」と「個人データ」を区別しているのは、大きく2つの理由がある。1つは形式的な理由、もう1つは実質的な理由であり、後者についてはGDPRにおいても同様である(*)。
❏ 形式的な理由
自然な発想として、処理に関する規制を課されるからには、処理の対象となるデータが事業者の手元にあることが前提となるように思われる。
つまり、何らかの "information" (情報)を事業者が取得するとしても、すべてが意図的なもの、つまり個人データを構成する情報とすることを企図して取得するとは限らず、往々にして、偶然に取得してしまうこともある。
このように、実際に個人データとして事業者の処理の対象となる情報なのかどうかは、事業者が当該情報を取得すると同時又は事後に決定されることになる。そうすると、情報の取得段階と処理段階の2つの段階に分けてルールを作る方がわかりやすい。
前者(取得段階)についてはすべての事業者をルールの規律対象とし(原則3:Purpose Specification Principleも参照)、後者(処理段階)については個人データを処理する事業者のみを対象としている。
これは、何らか体系化された又は体系化されることが予定されているデータの処理に限定し、ルールの規律対象とするGDPRとはある種対照的である。(**)
なお、2024年4月1日施行のAPPI施行規則第7条第3号やガイドライン通則編3-4-2等の改正により、漏えい等及び安全管理措置の場面に限ってではあるものの、個人データの概念が拡張され、「個人データ(当該個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているものを含む。)」とされた。
❏ 実質的な理由
個人情報(散在情報)と個人データ(体系化されたデータ)を区別する実質的な理由は、濫用された場合や漏えい等が発生した場合の個人の権利利益の侵害可能性や程度(=リスク)が高いのは「個人データ」であることによる。そのような観点から、APPI第22条から第30条までの規律は、個人データを処理する個人情報取扱事業者にのみ課されている。まさにリスクベースドアプローチである。なお、下記(**)も参照。
データの内容の正確性の確保,安全管理措置,従業者の監督,委託先の監督,第三者提供の制限,外国にある第三者への提供の制限,第三者に係る記録の作成等,第三者提供を受ける際の確認等という義務等を課す場合,すべての個人情報を対象とすることは個人情報取扱事業者に過度の負担を課すことになり,また,個人情報保護という観点からも,個人情報の漏えい等の危険が高いのは,「個人情報データベース等」を構成する個人情報であるので,個人情報の一部である「個人データ」についてのみ,上記のような義務等を個人情報取扱事業者に課すこととしているのである
個人情報を個人情報データベース等に組み込むと、取り扱う際に事業者の便利性が増す半面、大量漏えいの危険など本人の権利利益に対するおそれが格段に高まる。個人データに関する義務が適用される場面は一般に取得後のものなので、個人情報データベース等に組み込むかどうか、取得時と異なり未定の状態でもない。そのため、単なる個人情報と比較して、個人データの場合には新たな義務を付加する趣旨である。
【参考】PIAの考え方について
(*)今回の3年ごと見直しにおいて個人情報保護委員会のヒアリング対象になっていた事業者団体等は総じてこの点を誤解していたような気がする。つまり、たしかにGDPRには現行APPIの「個人情報」に相当する概念はないが、GDPRの適用を受けるのは「個人データ」の中で、①全部又は一部が自動化処理されるもの、及び②自動化処理ではない処理が行われるもののうち、 "filing system" (GDPR第4条第6号) を構成し、又は構成することが予定されているものに限られている(GDPR第2条第1項)。これは、現行APPIにおける「個人情報データベース等」(APPI第16条第1項)を構成する「個人データ」そのものである。何らか体系化されたデータの処理についての規制が主である点は何ら変わらない。
This Regulation applies to the processing of personal data wholly or partly by automated means and to the processing other than by automated means of personal data which form part of a filing system or are intended to form part of a filing system.
‘filing system’ means any structured set of personal data which are accessible according to specific criteria, whether centralised, decentralised or dispersed on a functional or geographical basis;
(**)上記のとおり、GDPRは一定の体系化されたデータの処理に対して適用されるものであるのに対し、APPIは「個人情報取扱事業者」(同第16条第2項)に対して適用される(同第17条以下の主語のほとんどは「個人情報取扱事業者」)。つまり、GDPRにおいては、個人情報取扱事業者に相当する事業者であっても、当該処理が一定の体系化されたデータに対して行われるのでない場合は、各種義務の適用がないのに対し、APPIにおいては、一度でも個人情報取扱事業者に該当すると、以後の取得や処理については総じてAPPIの適用を受けることになり、その意味では、APPIの方がよほど厳しいという気もする。ただし、APPIにおいても、個人関連情報(APPI第31条)・仮名加工情報(同第41条)・匿名加工情報(同第43条)については、○○情報(○○データベース等を構築するものに限る)とされており、データに関しての規律を定める発想自体は存在している。
また、「個人データ」と「保有個人データ」を区別するのは次の理由によるらしいが、GDPRにおける "controller"(管理者、GDPR第4条第7号) と "processor"(処理者、同条第8号)の区別により開示(アクセス)や訂正等義務の有無に違いがあるようなイメージをすればよい。
開示,訂正等,利用停止等の請求の対象となる「保有個人データ」を「個人データ」よりもさらに限定したのは,以下に述べるように,個人情報取扱事業者の過度の負担を避け,現実的に実行可能な制度とするとともに,公益等への支障に配慮したものといえよう。(中略)
かかる義務を課すためには,個人情報取扱事業者が,開示,内容の訂正,追加または削除,利用の停止,消去および第三者への提供の停止を行うことのできる権限を有することが必要になるし,個人情報取扱事業者が当該個人データの存在を認識しており,義務を容易に履行しうるものでなければならない。
◆目的:プライバシー保護&個人の自由の保護
次のとおり説明されているように、基本的には、個人データに関するプライバシー保護と個人の自由という一見相反する利益を保護すること、個人データの流通に対する不当な干渉を排除することを目的としている。
The core of the Guidelines consists of the principles set out in Part Two of the Annex. It is recommended to Member countries that they adhere to these principles with a view to:
a) achieving acceptance by Member countries of certain minimum standards of protection of privacy and individual liberties with regard to personal data;
b) reducing differences between relevant domestic rules and practices of Member countries to a minimum;
c) ensuring that in protecting personal data they take into consideration the interests of other Member countries and the need to avoid undue interference with flows of personal data between Member countries; and
d) eliminating, as far as possible, reasons which might induce Member countries to restrict transborder flows of personal data because of the possible risks associated with such flows.
As stated in the Preamble, two essential basic values are involved: the protection of privacy and individual liberties and the advancement of free flows of personal data.
◆原則1:Collection Limitation Principle(取得制限)
7. There should be limits to the collection of personal data and any such data should be obtained by lawful and fair means and, where appropriate, with the knowledge or consent of the data subject.
APPIにおいては、個人情報の取得にかかる規律は、直接的には適正取得に関する第20条と取得に際しての利用目的の通知等に関する第21条のみであるが、取得を含む「取扱い」(*)全般に関する利用目的の特定と制限にかかる第17条と第18条も挙げることができる。
(*)APPIやガイドライン通則編において、個人情報や個人データの「取扱い」を定義したものはないが、PPCは個人情報や個人データの取得から廃棄までを含めて「取扱い」と考えている節がある(ガイドライン通則編3-8-1)。そうすると、GDPRにいう "processing" とほぼ同義となる。なお、個人情報や個人データの「利用」からは取得と廃棄という入口と出口は除かれている(Q&A2-3)。
(個人データの取扱いに係る規律の整備)
事例)取得、利用、保存、提供、削除・廃棄等の段階ごとに、取扱方法、責任者・担当者及びその任務等について個人データの取扱規程を策定
特段の定義があるわけではありませんが、取得及び廃棄を除く取扱い全般を意味すると考えられます。したがって、保管しているだけでも利用に該当します。
GDPRでは、処理("processing")に取得("collection")が含まれており(GDPR第4条第2号)、かつ個人データの処理につき適法性("lawfully")・公正性("fairly")・透明性が求められている(同第5条第1項(a))。どのような場合に個人データの処理が適法とされるのかは後述(原則4:Use Limitation Principle)。
Any processing of personal data should be lawful and fair. It should be transparent to natural persons that personal data concerning them are collected, used, consulted or otherwise processed and to what extent the personal data are or will be processed.
Personal data shall be:
(a) processed lawfully, fairly and in a transparent manner in relation to the data subject (‘lawfulness, fairness and transparency’);
なお、特別なカテゴリに属する個人データの処理については、別途の規律が定められている。つまり、人種的・民族的な出自、政治的意見・信条、労働組合への加入、遺伝子データ・生体データ、性生活・性的指向に関するデータが特別なカテゴリに属する個人データに含まれるが、これら個人データの処理は原則として禁止されている(GDPR第9条第1項)。例外的に、本人の同意がある場合(同条第2項(a))やその他一定の必要がある場合等(同項(b)以下)には例外的に処理が可能となる。
この特別なカテゴリに属する個人データの処理の構造は、APPIの「要配慮個人情報」(同第2条第3項)や金融分野における個人情報保護に関するガイドライン(金融分野GL)の「センシティブ情報」(同第5条)にかかる規律(APPI第20条第2項、金融分野GL第5条第1項)と同様である。
EU又は英国域内から十分性認定に基づき提供を受けた個人データに、GDPR及び英国GDPRそれぞれにおいて特別な種類の個人データと定義されている性生活、性的指向又は労働組合に関する情報が含まれる場合には、個人情報取扱事業者は、当該情報について法第2条第3項における要配慮個人情報と同様に取り扱うこととする。
◆原則2:Data Quality Principle(データと目的の関連性)
8. Personal data should be relevant to the purposes for which they are to be used, and, to the extent necessary for those purposes, should be accurate, complete and kept up-to-date.
個人データと利用目的の関連性、つまり個人データを利用目的の範囲内で利用することが要求されている。
APPIは、法令に基づく場合又は「公益上の理由等により目的外利用を認めることによる利益が目的外利用を認めることによる本人への不利益を上回ると考えられる場合」(宇賀克也『個人情報保護法の逐条解説〔第6版〕』(有斐閣、2018)138頁)を除き、原則として個人情報の目的外利用を禁じている(同第18条第1項・第3項)。
他方で、原則3:Purpose Specification Principle においても一定許容されているように、「変更前の利用目的と関連性を有すると合理的に認められる範囲」、つまり、「変更後の利用目的が変更前の利用目的からみて、社会通念上、本人が通常予期し得る限度と客観的に認められる範囲内」(ガイドライン通則編3-1-2)において当初特定していた利用目的を変更することが可能であり(APPI第17条第2項)、その手続も本人への通知又は公表で足りるため(同第21条第3項)、基本的には利用目的の変更で乗り切ることを考えることになる。
この点、APPIにつき、「『利用目的を定め、その範囲内で利用する』という根本的ルールを見ても、利用目的の正当性は求められないし、利用目的の達成のために関連性であるとか比例性も必ずしも求められない」ことから形式的ルールに過ぎないのに対し、GDPRは利用目的の正当性や比例原則を強調する実体的ルールを採用しているとの意見がある(第287回個人情報保護委員会【資料1-1】2頁(曽我部教授))。
これは、GDPR前文第39項の "Personal data should be processed only if the purpose of the processing could not reasonably be fulfilled by other means." (これが比例原則か?まさかGDPR第6条第4項の "proportionate measure" を指している...なんてことはないだろう。文脈が違いすぎる)や "In particular, the specific purposes for which personal data are processed should be explicit and legitimate and determined at the time of the collection of the personal data. "(利用目的の正当性)などを参考にしたのかもしれない。
確かに、APPIにつき利用目的の正当性を求める規定や比例原則について定める規定は存在しないが、これはOECD Guidelinesと同じ立場であり(原則3:Purpose Specification Principleにおいても利用目的の正当性は求められていない)、GDPRが一歩先に進んでいると理解すべきである。単に形式的か実体的かで区別するものではないし、またその必要性もないだろう。
Personal data shall be:
(b) collected for specified, explicit and legitimate purposes and not further processed in a manner that is incompatible with those purposes; further processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes shall, in accordance with Article 89(1), not be considered to be incompatible with the initial purposes (‘purpose limitation’);
なお、原則2:Data Quality Principleでは、個人データの正確性・完全性・最新性も要求されているが、これらはデータと目的の関連性を支える概念として重要とされている。
Paragraph 8 also deals with accuracy, completeness and up-to-dateness which are all important elements of the data quality concept. The requirements in this respect are linked to the purposes of data, i.e. they are not intended to be more far-reaching than is necessary for the purposes for which the data are used. Thus, historical data may often have to be collected or retained; cases in point are social research, involving so-called longitudinal studies of developments in society, historical research, and the activities of archives. The “purpose test” will often involve the problem of whether or not harm can be caused to data subjects because of lack of accuracy, completeness and up-dating.
この点、APPI第22条は、「個人データ」につき正確性・最新性の確保を要求し、利用する必要がなくなった場合の消去(≒最小化)も要求している。
個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。
正確性や最新性の確保の対象に「個人情報」が含まれず、「個人データ」のみが含まれるのは、次の2つの理由があるとされているが、本質的なのは2点目であろう(不正確な個人データの利用⇛利用目的との関連性が低い/ない個人データの処理⇛明示されている利用目的から想定されない個人データの処理(個人データの濫用)⇛個人の権利利益の侵害可能性)。
個人情報ではなく,個人データに範囲が限定されているのは,①容易に検索しえない散在情報としての個人情報にまで正確性の確保を要求することは,個人情報取扱事業者に過度の負担を課すことになるからである。②個人データの場合,他の個人データと容易に照合されうるから,不正確なまま利用されることにより個人の権利利益が侵害される蓋然性が高く,かかる事態を防止する必要性が大きい。そのため,個人データに限定して正確性を確保する努力義務を課しているのである。
※丸数字は筆者挿入
対してGDPRでは、本人の同意に基づく場合又は公共の利益のうち重要な目的(GDPR第23条第1項)を守るために民主主義の社会において必要かつ比例的な手段を構成するEU法や加盟国の国内法に基づく場合の処理を除き、当初の利用目的(個人データの取得時に特定された利用目的)と適合("compatible")しない方法で追加的処理を行うことが禁じられる(GDPR第5条第1項(b)、同第6条第4項)。
追加的処理が当初の目的と適合的か否かは、次のポイントを考慮に入れて判断される(GDPR第6条第4項、Article 29 Working Party Opinion 03/2013 on purpose limitation (WP 203))。
当初の目的と予定されている追加的処理の目的との関連性
特にデータ主体と管理者との間の関係と関連して、当該個人データが収集された経緯
個人データの性質(特に特別なカテゴリに属する個人データかどうか)
予定されている追加的処理によりデータ主体に発生する可能性のある結果
適切な保護措置の存在(暗号化・仮名化等)
このように、APPIはOECD Guidelinesには準拠しているものの、個人データ保護の観点でいえばGDPRよりは一歩遅れていると考えられることから、補完的ルールが定められている。
これは、EU域内から十分性認定に基づき提供を受けた個人データ(ただしAPPI的には「個人情報」を含む(2018年9月7日結果公表パブコメNo.123))について、当初(EU to Japan)又はその後提供を受ける際(Japan to Japan)に特定された利用目的の範囲内でAPPI第17条第1項に基づき利用目的を特定することを求めるものであり、同第30条の確認記録義務が適用されない場合であっても、取得時に利用目的を特定し、その範囲内で利用することを要求するものである(2018年9月7日結果公表パブコメNo.95-101)。
個人情報取扱事業者が、EU又は英国域内から十分性認定に基づき個人データの提供を受ける場合、法第30条第1項及び第3項の規定に基づき、EU又は英国域内から当該個人データの提供を受ける際に特定された利用目的を含め、その取得の経緯を確認し、記録することとする。
同様に、個人情報取扱事業者が、EU又は英国域内から十分性認定に基づき移転された個人データの提供を受けた他の個人情報取扱事業者から、当該個人データの提供を受ける場合、法第30条第1項及び第3項の規定に基づき、当該個人データの提供を受ける際に特定された利用目的を含め、その取得の経緯を確認し、記録することとする。
上記のいずれの場合においても、個人情報取扱事業者は、法第30条第1項及び第3項の規定に基づき確認し、記録した当該個人データを当初又はその後提供を受ける際に特定された利用目的の範囲内で利用目的を特定し、その範囲内で当該個人データを利用することとする(法第17条第1項、法第18条第1項)。
【参考】GDPRの「データ最小化」義務
1. Personal data shall be:
(c) adequate, relevant and limited to what is necessary in relation to the purposes for which they are processed (‘data minimisation’);
GDPR第5条第1項(c)は、「データ最小化」に関する条項として理解されることが多いが(実際に 'data minimisation' と定義もされている)、これはGDPR前文第39項において次のとおり表現されているためであり、ともすると誤解を招く。
The personal data should be adequate, relevant and limited to what is necessary for the purposes for which they are processed.
This requires, in particular, ensuring that the period for which the personal data are stored is limited to a strict minimum.
◆原則3:Purpose Specification Principle(目的特定)
9. The purposes for which personal data are collected should be specified not later than at the time of data collection and the subsequent use limited to the fulfilment of those purposes or such others as are not incompatible with those purposes and as are specified on each occasion of change of purpose.
上記のとおり、原則3:Purpose Specification Principleは、利用目的の正当性を要求しておらず、APPI第17条や第18条第1項と同旨である。
なお、個人情報(個人データ)の取得時又はその後速やかに利用目的を本人に知らしめることについては、APPIでは第21条が、GDPRでは第13条及び第14条がそれぞれ担っている。
(取得に際しての利用目的の通知等)
第21条 個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
2 個人情報取扱事業者は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電磁的記録を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。
◆原則4:Use Limitation Principle(利用制限)
10. Personal data should not be disclosed, made available or otherwise used for purposes other than those specified in accordance with Paragraph 9
except:
a) with the consent of the data subject; or
b) by the authority of law.
OECD Guidelinesによれば、個人データは、(a)データ主体の同意がある場合、又は(b)法令に基づく場合を除き、同第9項(原則3:Purpose Specification Principle)により特定された目的以外の目的のために第三者に開示、第三者が利用可能な状態に置くこと、又はその他の方法で利用することが禁止される。
This paragraph deals with uses of different kinds, including disclosure, which involve deviations from specified purposes. For instance, data may be transmitted from one computer to another where they can be used for unauthorised purposes without being inspected and thus disclosed in the proper sense of the word. As a rule the initially or subsequently specified purposes should be decisive for the uses to which data can be put. Paragraph 10 foresees two general exceptions to this principle: the consent of the data subject (or his representative – see Paragraph 52 above) and the authority of law (including, for example, licences granted by supervisory bodies). For instance, it may be provided that data which have been collected for purposes of administrative decision-making may be made available for research, statistics and social planning.
裏を返せば、特定された目的の範囲内であれば、個人データを第三者へ開示することや第三者が利用可能な状態に置くことにつき、データ主体である本人の同意や法令の定めは必要ないことになる。
つまり、個人データの濫用的利用(特定された目的の範囲外で、個人データを第三者に開示すること及び第三者が利用可能な状態に置くこと、又は目的外利用)が禁止されるに過ぎず、その禁止を解除する鍵として、本人同意又は法令の定めが用意されているという建付けとなっている。
これを突き詰めると、California Consumer Privacy Act of 2018 (CCPA)のような規律になるのだろう(Cal. Civ. Code § 1798.100(b), Cal. Code Regs. Tit. 11, § 7002)。
APPIにおいては、特定された目的以外の目的での個人情報の利用(目的外利用)のみならず(APPI第18条第1項・第3項)、特定された目的内における個人データを第三者に提供(*)することにつき、目的外利用と同様の規律が適用される、つまり本人の同意や法令の定めなど(同第27条第1項)が必要とされており(**)、その意味でOECD Guidelinesよりも制限が強い。
個人情報取扱事業者による目的外利用の大部分は,第三者提供であると考えられることから,目的外利用を認める例外事由は,第三者提供制限の例外事由(23条1項)と同一とされている。
※なお引用文中の第23条第1項は現第27条第1項
*「提供」とは個人データ等を自己以外の第三者が利用可能な状態に置くことをいい、OECD Guidelinesにいう開示と利用可能な状態に置くことの双方を含意していると思われる(ガイドライン通則編2-17)。なお、「提供」の概念については、いわゆる「クラウド例外」に関するキーコンセプトであるため、十分な理解が必要である。
**上記のとおり「個人情報取扱事業者による目的外利用の大部分は、第三者提供」と考えられており、その推測は一定正しいと思われるが、必ずしもそうとは限らず、目的内で第三者に個人データを提供することが必要な場合も普通に考えてあり得るはずである。そのため、本人の同意又は法令に基づくなどの例外的な場合以外に個人データの第三者提供を認めないのは、OECD Guidelinesに照らして厳格に過ぎるし、後述のとおり、GDPRでさえ目的内での第三者への個人データの提供を許容していることからしても、厳格に過ぎると思われる。
この点、GDPRは、個人データの処理につき適法性を要求しており(同第5条第1項(a))、以下の6つの適法性の根拠のいずれか1つを満たす場合に限り、個人データの処理の適法性が認められる(同第6条第1項(a)から(f))。
(a) Consent: the data subject has given consent to the processing of his or her personal data for one or more specific purposes;
(b) Contract: processing is necessary for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract;
(c) Legal obligation: processing is necessary for compliance with a legal obligation to which the controller is subject;
(d) Vital interests: processing is necessary in order to protect the vital interests of the data subject or of another natural person;
(e) Public task: processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller;
(f) Legitimate interests: processing is necessary for the purposes of the legitimate interests pursued by the controller or by a third party, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data, in particular where the data subject is a child.
このうち重要なのは(a)同意、(b)契約、そして(f)正当な利益の3つであるとされているが(西村あさひ法律事務所『個人情報保護法制大全』(商事法務、2021年)593頁参照)、今回の3年ごと見直しのヒアリングにおけるEBC(欧州ビジネス協会)によれば、「欧州は、大半の企業が、個人情報の第三者への移転を含め、個人情報を処理する法的根拠として、いわゆる『正当な利益』を使用している」とのことである(第263回個人情報保護委員会【資料2】4頁(欧州ビジネス協会))。
正当な利益が認められるためのバランシングテスト
Member States have developed a number of useful factors to be considered when carrying out the balancing test.
These factors are discussed in this Section under the following four main headings:
(a) assessing the controller’s legitimate interest,
(b) impact on the data subjects,
(c) provisional balance and
(d) additional safeguards applied by the controller to prevent any undue impact on the data subjects.
To carry out the balancing test it is first important to consider the nature and source of the legitimate interests on the one hand and the impact on the data subjects on the other hand.
正当な利益に関してよく問題となるリスト(例示列挙)
権利行使:exercise of the right to freedom of expression or information, including in the media and the arts
マーケティング:conventional direct marketing and other forms of marketing or advertisement(cf. GDPR前文第47項)
非営利活動:unsolicited non-commercial messages, including for political campaigns or charitable fundraising
法的請求の執行:enforcement of legal claims including debt collection via out-of-court procedures
不正防止:prevention of fraud, misuse of services, or money laundering(cf. GDPR前文第47項)
従業員の監視:employee monitoring for safety or management purposes
内部通報体制:whistle-blowing schemes
セキュリティ:physical security, IT and network security
統計目的等:processing for historical, scientific or statistical purposes
研究目的:processing for research purposes (including marketing research)
なお、同意が用いられないのは「欧州では、同意は個人情報処理の法的根拠として、最も弱いものであると考えられている。なぜなら、(i) 法的な同意を得るための要件が非常に厳しいため、同意が法的に無効となる可能性があり、(ii) 将来にわたってデータ主体がいつでも撤回できる可能性があるからである」とのことである(第263回個人情報保護委員会【資料2】4頁(欧州ビジネス協会))。
確かに、GDPR第4条第11号のとおり厳格さはあるものの、常に書面による明示的な意思表示までは要求されておらず、一概に「非常に厳しい」とまではいえないと思われるが(なお、同第7条第1項のとおり管理者がデータ主体の同意を証明できるようにしなければならない)、データ主体がいつでも同意を撤回できること(同条第3項)、及び適法性の根拠として同意のみを指定していた場合は同意が撤回されると、その後は個人データの処理ができなくなることが致命的である。
(11) ‘consent’ of the data subject means any freely given, specific, informed and unambiguous indication of the data subject's wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her;
◆原則5:Security Safeguards Principle(安全管理措置)
11. Personal data should be protected by reasonable security safeguards against such risks as loss or unauthorised access, destruction, use, modification or disclosure of data.
◆原則6:Openness Principle(公開ポリシー)
12. There should be a general policy of openness about developments, practices and policies with respect to personal data. Means should be readily available of establishing the existence and nature of personal data, and the main purposes of their use, as well as the identity and usual residence of the data controller.
◆原則7:Individual Participation Principle(自己コントロール)
13. An individual should have the right:
a) to obtain from a data controller, or otherwise, confirmation of whether or not the data controller has data relating to him;
b) to have communicated to him, data relating to him
i) within a reasonable time;
ii) at a charge, if any, that is not excessive;
iii) in a reasonable manner; and
iv) in a form that is readily intelligible to him;
c) to be given reasons if a request made under subparagraphs (a) and (b) is denied, and to be able to challenge such denial; and
d) to challenge data relating to him and, if the challenge is successful to have the data erased, rectified, completed or amended.
◆原則8:Accountability Principle(適合責任)
14. A data controller should be accountable for complying with measures which give effect to the principles stated above.
以上