子どもの個人情報をもっと守る方向へ～個人情報保護法３年ごとの見直し中

個人情報に関する法律、「個人情報保護法」は、2020年以降、３年ごとに見直しを行うことになっています。

理由は、国際的動向や情報通信技術の進展、個人情報を活用した新たなビジネスチャンス創出の流れがはやく、早いサイクルで見直さないと法律が時代に合わなくなってしまうためです。

前回に改正されたのは2021年でしたので、2023年秋以降、個人情報保護委員会であらたな見直しが始まりました。

今回は、以下が見直しのポイントとなっています。
１．個人の権利利益のより実質的な保護の在り方
　(1)個人情報等の適正な取扱いに関する規律の在り方
　(2)第三者提供規制の在り方（オプトアウト等）
　(3)こどもの個人情報等に関する規律の在り方
　(4)個人の権利救済手段の在り方
２ 実効性のある監視・監督の在り方
　(1)課徴金、勧告・命令等の行政上の監視・監督手段の在り方
　(2)刑事罰の在り方
　(3)漏えい等報告・本人通知の在り方
３ データ利活用に向けた取組に対する支援等の在り方
　(1)本人同意を要しないデータ利活用等の在り方
　(2)民間における自主的な取組の促進

法律を見直すにあたっては、かならず、それについての意見を公募し、検討することになっています。

今回の意見公募の結果は以下の通りで、生成AIに関わるものが時流的に多く、約60％を占めています。

次に多かったのが、「子どもの個人情報等」です。

こちらのほうが急ぎの対応が求められると思うため、今回はこちらを取り上げ、自分たちの問題として考えてみたいと思います。

まずは、子どもの個人情報の何がいま問題なのでしょうか？

「個人情報保護法 いわゆる３年ごと見直しに係る 検討の中間整理」（https://public-comment.e-gov.go.jp/pcm/download?seqNo=0000276139）
で見てみましょう。

いま一番大きな問題は、子どもの個人情報の取扱い等に係る明文の規定が、日本の法律にはほぼないことです。

まだ経験も浅く、判断が未熟な場合が多い子どもの個人情報を、大人の場合と同等に扱っていいのかについては、それだけを聞くと大多数が「NO」と感じるのではないでしょうか？

個人情報全体における大きな問題として、プライバシーの保護と、その個人的な情報を活用することが医療方面やいろいろな場面で役に立つこと、このふたつが真っ向から対立することがあります。

子どもの個人情報についても、その脆弱性や敏感性から保護すべき対象であることとともに、学校等における生徒の教育・学習に関するデータを活用することで解決できる問題があるという、ふたつの局面があります。

ですが、日本では、まだその法的な区別もできていない状況だということです。

何でもかんでも海外を引き合いに出すわけではありませんが、海外の法制度においては、EU、英国、アメリカ合衆国、中華人民共和国、大韓民国、ブラジル連邦共和国、インド共和国、インドネシア共和国においては、子どもの個人情報等に関する規律が存在しているそうです。

また、カナダにおいて制定が検討されている「消費者プライバシー保護法」の草案においては、未成年者の個人情報がセンシティブデータに該当する旨の規定が置かれているとのことです。

日本でも、以下の事例が問題となったことがあります。
・全寮制の学校において、全生徒にウェアラブル端末を購入してもらい、心拍数、血圧、睡眠時間、入退室履歴等を把握し、生徒の健康管理に役立てる取組を実施
・生徒の手首に装着した端末で脈拍を計測して、授業中の集中度を測定する実証研究を行い、教員がそのデータを基に授業の振り返り等に活用
・大量の児童の個人データを保有及び管理している大手学習塾が、人的なリソース不足を理由にコンプライアンス及びリスク管理に関する部署を設置していなかった

こういった実情をふまえ、公募で集まった意見にも、以下のようなコメントがありました。
一部は社名ありで記載されているため、その企業がどういう考えをもっているかの参考になります。
https://public-comment.e-gov.go.jp/pcm/download?seqNo=0000279081

・どういうリスクがこどもの脆弱性や敏感性に問題になるのか議論されないまま形式的な規範を決めることに違和感を感じる。
規制のかけ方を決める前に、何がこどもにとって具体的なリスクなのか、何を目的に、こどもの何を守るべきか明確に定めるべき。
個人情報の取扱いだけではなく、オンラインでのこどもの利用環境全般について、関係省庁を交えて議論を行い禁止すべき事項等を整理すべき。【ソフトバンク】

・こどもの個人情報をより慎重に扱うように求める方向性に同意。法定代理人の同意を取得すべきことを法律上の規定上明確化すること。各国との整合性に配慮いただいた検討を望む。【ACCJ、日本IT団体連盟、Apple】

・こどものデータに係る利用目的の制限が必要。人格形成期であるこどもをマーケティングの対象とするためや、不利益や差別をもたらすようなプロファイリング行為は禁止することが必要。【個人、日本IT団体連盟】

・こどもや高齢者であること、認知力や判断力に脆弱性などを有する者であることが推知され得る場合に、彼らを対象としたターゲティング広告の表示や誘導、欺まん、その他彼らの脆弱性を突くような行為を禁止することが重要。【My Data Japan】

・ 個人情報にこどもの情報が含まれているか分からない場合があり得る。年齢取得の必要性がないのに、こどもか否か確認するために過剰に取得することが起こらないように配慮してほしい。実態の把握と影響分析をしっかり行うべき。【JEITA、新経済連盟】

・プリントシール機のユーザーから直接個人情報を取得し、その利用目的を画面上で明示しているが、16歳以下の利用者が親と一緒に利用するケースはほとんどないため利用できなくなってしまうおそれがある。【フリュー】

やはりここでも、
「子どもの個人情報は守られるべき」
という意見と、
「守られるべきだが事業に支障があると困る」
というふたつの意見が目立ちます。

では、これらは本当に両方叶えられないものでしょうか？

このうち、「AI法研究会プライバシー部会有志」という組織からのコメントには「ゼロ知識証明」というものがありました。

・年齢確認の方法については、（ゼロ知識証明を活用することで、本人の年齢（生年月日）を取得せずとも成年がどうかの判別ができる等）プライバシー強化技術（PETs）の利用についてガイドライン等で触れられるべき。

「ゼロ知識証明」を私は初めて知りましたが、個人情報など、秘匿したい情報そのものは知らせずに（ゼロ知識のままで）、確認すべきことを証明させる、以下のようなものだそうです。

Web3のプライバシーに信頼をもたらす注目の技術「ゼロ知識証明」とは？

これまでのやり方を変えないことを前提としてしまうと、「あっち立てればこっち立たず」で、いつまでも平行線のままとなってしまう課題も、こういった新しい考え方や技術をプラスすると、両方叶えられる可能性があります。

子どもの個人情報のさらなる保護が必要だという認識は多くの人がうっすら持っているのであれば、まずは保護を加える方向で動き、そのうえで、うまく利活用する方法がないかを探るほうが、現実的ではないでしょうか。

今回の個人情報保護法の見直しが、より良いこれからのためにどう変わるか、注目していきたいものです。