Catch up 法令・政策動向 Vol.1:個人情報保護法 いわゆる3年ごと見直し-改正個人情報保護法の施行状況と検討の方向性-
新法が制定され、また、法改正がなされたとき、その内容を紹介する媒体は多くあり、それらの媒体は情報収集に有益です。
しかし、政府提出法案は、国会に提出される前の閣議決定に至るまで、行政機関が開催する有識者会議等による議論を経ることが一般的です。そして、その会議が行われている際に集約される関係者の意見や、有識者のコメントを踏まえて成案となることから、企業が自らに関連する法律について能動的に対応し、また、新法・改正法の成立に向けて準備するためには、各会議の動静をチェックしていくことが肝要だと考えます。
さはさりながら、この「各会議の動静をチェック」すること、たとえば、関係する会議の設置の情報を得ること、各会議の資料・議事を確認することだけでも相当な労力が必要であり、日々の業務に対応する中で実行するのは難しいところです。
そこで、「Catch up 法令・政策動向」と題して、筆者らが日頃クライアントをサポートする案件に関連する有識者会議等の情報をまとめてお伝えしていこうと思います。
Vol.1 では、個人情報保護法(*1)いわゆる3年ごと見直しに関する情報をお届けします。
*1 「個人情報の保護に関する法律」(平成15年法律第57号)。本noteでは、単に法又は個人情報保護法といいます。また、改正法、改正個人情報保護法とする場合、令和2年改正の個人情報保護法をいうものとします。
個人情報保護法 いわゆる3年ごと見直し
個人情報保護委員会は、令和5年11月15日に開催された委員会で「個人情報保護法 いわゆる3年ごと見直し規定に基づく検討」を発表しました。これは、令和2年の個人情報保護法の改正法(*2)附則第10条が定める改正個人情報保護法施行後3年ごとの見直しとして、その施行の状況を踏まえて法改正も視野に検討が加えられることを意味しています。
本noteでは、個人情報保護法いわゆる3年ごと見直しについて、個人情報保護委員会(事務局)が公表した改正個人情報保護法の施行状況、これを踏まえた「個人情報保護法 いわゆる3年ごと見直し規定に基づく検討」の概要をまとめ、関係団体等の意見を紹介していきます。
また、個人情報保護委員会側や、ヒアリングから見えてきた課題について、個別に取り上げてご紹介すること(別途、特に個人情報取扱事業者に大きな影響があるものとして、課徴金制度、消費者団体訴訟制度および被害回復制度を取り上げる予定です。)や、法改正その他の措置に向けた個人情報保護委員会の動向を中心に、有益と思われる情報を取り上げてお伝えしていきます。
*2 「個人情報の保護に関する法律等の一部を改正する法律」(令和2年法律第44号)
【検討スケジュール(*3)】
2023年
・9月27日 委員会「改正個人情報保護法の施行状況について①」公表
・10月18日 委員会「改正個人情報保護法の施行状況について②」公表
・11月15日 委員会「個人情報保護法 いわゆる3年ごと見直し規定に基づく検討」公表
・11月下旬~ 関係団体等ヒアリングを順次実施
2024年
・春頃 委員会「中間整理」公表
*3 令和5年11月15日「個人情報保護法 いわゆる3年ごと見直し規定に基づく検討」2頁より。なお、令和6年2月21日「個人情報保護法 いわゆる3年ごと見直し規定に基づく検討項目」1頁で今後のスケジュールは詳細化されています。
1. 改正個人情報保護法の施行状況
個人情報保護委員会事務局は、令和5年9月27日、10月18日の二度にわたり、改正個人情報保護法の施行状況(*4)を委員会に報告し、これを公開しており、その中では、改正概要を踏まえて、それぞれに関する施行状況をまとめています。主な点は次のとおりです。
*4 令和3年改正を経た行政機関等に係る事項を含む報告ですが、本noteでは、令和2年改正に対応する内容をご紹介します。
(1)オプトアウト規定
オプトアウト規定は、平成15年の個人情報保護法成立当初から設けられている個人データの第三者提供の制限に係る本人の同意の取得に代えた手続です。いわゆる名簿屋や、これに類似するデータビジネスにおいて、この手続を履践したとして本人が関与する実質的な機会なく個人データが流通しているとの問題が指摘され、平成27年改正においてはその利用に係るルール(対象から要配慮個人情報を除外することや、個人情報保護委員会規則で手続に係る細則を定めること及び提供に係る詳細を個人情報保護委員会に届け出ること等)が追加されました。令和2年改正では、オプトアウト手続の対象から不正取得された個人データ及びオプトアウトによって提供された個人データを対象外とすること等を追加しています。
施行状況としては、令和5年3月の犯罪対策閣僚会議において「SNSで実行犯を募集する手口による強盗や特殊詐欺に関する緊急対策プラン」が策定されたこと等を踏まえ、オプトアウト届出事業者の調査が実施され、同年4月に注意喚起(*5)がなされています。(*6)
【調査結果を踏まえた注意喚起】
・オプトアウト届出事業者が提供しようとする個人データに関して、偽りその他不正の手段により取得された個人データや、オプトアウトにより提供を受けた個人データのオプトアウトによる再提供は制限されているところ、確認義務等(法第30条第1項)の実施が適切になされないこと
・提供先による不適正利用(法第19条)につき確認がなされていないこと
・提供先に対する本人確認手続等が適切になされていないこと
・届出事項を本人に通知し、又は本人が容易に知り得る状態に置くことについて、本人が確実に認識できる適切かつ合理的な方法によっていないこと
*5
①「オプトアウト届出事業者に対する実態調査を踏まえた 個人情報の適正な取扱いについて(注意喚起)」
②「『SNSで実行犯を募集する手口による強盗や特殊詐欺事案に関する緊急対策プラン』を 踏まえた個人情報の適正な取扱いについて(注意喚起)」
*6 令和6年1月17日には、実態調査を端緒とした行政調査が実施された結果を踏まえた指導等がなされています(オプトアウト届出事業者に対する個人情報の保護に関する法律に基づく行政上の対応について)
(2)漏えい等報告
漏洩等事案に関する報告件数の遷移と、簡単ではあるものの令和4年度の傾向を中心にまとめられています。
・漏えい報告義務化のタイミングで、報告件数は増加していること、同一の事業者において繰り返し漏えい等が発生している事例が存在すること
・漏えい等した人数は多くの事案において1,000人以下であるものの、50,000人超という非常に大規模な個人の権利利益の侵害につながるケースも存在すること(*7)
*7 個人データの漏えい等について、その「おそれ」については明確な基準が設けられていません。また、漏えいしたデータのみでは特定の個人を識別することができない場合が含まれるところ、大規模漏えい等事案が直ちに大きな個人の権利利益侵害につながるものではないといえます。なお、1000人以下の漏えい等事案は、報告件数の93.8%を占めています。
・漏えい等の原因は、誤交付、誤送付等のいわゆるヒューマンエラーによる事案が多いものの、不正アクセスによるものも一定程度存在する。(*8)不正アクセスを原因とする事案の中には、100万人を超える個人データの漏えいのおそれが生じたものもあった。
*8 誤交付(58.9%)、誤送付(19.0%)、誤廃棄(0.8%)、紛失(4.9%)、不正アクセス(8.7%)
(3)不適正利用の禁止
不適正利用の禁止の規定に基づき、個人情報取扱事業者が、多数の破産者等の個人情報を個人情報保護法に反する態様で継続的にウェブサイトに掲載していたという悪質な事案に対して、半年ほどの期間にて、勧告、命令、告発という順次の対応に至ったとしています。
(4)新たな技術への対応
G7データ保護・プライバシー機関ラウンドテーブル会合における、顔認識技術や生成AIに係る先端技術につき議論が行われ、成果文書の取りまとめなどが行われてきたところ、生成AI、サーマルカメラ等の新たな事案や、高度な技術を利用して個人情報を扱うサービスについて、個人の権利利益侵害リスク等を含めた実態を十分に把握しながら、監視や指導等を行う必要があるとしています。(*9)
*9
・生成AIサービスの利用に関する注意喚起等について(令和5年6月)
・サーマルカメラの使用等に関する注意喚起について(令和5年9月)
(5)権限行使の状況および重大な事案等
権限行使(報告徴収・立ち入り検査、指導・助言、勧告及び命令)については、件数と、案件例が挙げられ、簡単な説明がなされています(*10)。
その内容は、事例が直近の個人情報保護委員会が考える重大事案に限られるものであって、個人情報保護委員会によるこれまでの権限行使に係る傾向分析があるものではなく、わずかに「個人情報取扱事業者等や行政機関等に対して指導等を行った以下のものが挙げられる。安全管理措置や委託先の監督が適切に実施されていないことを理由とするものが多く、不適切な取得や利用を理由とするものは少ない。」との評価がなされているものでした。
その他、上述「不適正な利用の禁止」で紹介した対応、「新たな技術への対応」であげた注意喚起、令和5年9月、勤務先の名刺管理システムのID・パスワードを転職先の会社に不正提供した者が、個人情報保護法違反(個人情報データベース等提供罪)の容疑等で逮捕された事案が同提供罪の全国初の適用事例とみられているとして、事例等の共有がなされていました。
*10 なお、事案によっては行政機関等も関与するものがあるところ、指導内容についていずれの主体に対して対処したか明確ではないものがありますので、公表内容の評価については判断が難しいところがあります。
【個人情報保護委員会の考える重大事案】
・決済代行業者が不正アクセスを受けて個人データの漏えいのおそれを生じさせた事案(安全管理措置)
・地方公共団体から住民の個人データの取扱いの委託を受けたITサービス業者において、同社から当該個人データの取扱いを受託した委託先従業者が、当該個人データが記録されているUSBメモリを一時紛失した事案(安全管理措置、委託先の監督)
・複数の医療機関が眼科手術における手術動画を医療機器メーカーに提供した事案(利用目的の特定・本人への通知又は公表、個人データの第三者提供に係る同意、安全管理措置、従業者の監督)
・次世代医療基盤法に基づき医療情報の提供に際し、医療機関、その委託先及び再委託先において、同法が求める通知を行っていない患者に係る医療情報が漏えいした事案(安全管理措置、委託先の監督)
・個人情報取扱事業者がその子会社に対し、当該企業のサービス利用者の個人データの取扱いを委託していたところ、当該子会社が管理するサーバ内の個人データが外部から閲覧できる状態となっていた事案(安全管理措置、委託先の監督)
・個人情報取扱事業者が保有する顧客の情報を、そのグループ会社等が閲覧し自社の営業活動のため等に利用していた事案(適正取得、安全管理措置、委託先の監督)
・複数の地方公共団体において、個人情報取扱事業者の開発した証明書の交付に関するシステムを利用し、各種証明書の交付事務を行っているところ、申請者とは別人の証明書が誤交付される事態が連続して発生した事案(安全管理措置)
・国の機関が運営管理するデータベースについて、個人情報取扱事業者に割り当てられたアカウントのID・パスワードを、そのグループ会社等が利用して同データベース内の保有個人情報を閲覧し利用していた事案(安全管理措置)
Vol.2では、個人情報保護委員会(事務局)「個人情報保護法 いわゆる3年ごと見直し規定に基づく検討」およびヒアリングの主な意見、これに対する筆者のコメントをご紹介します。
Author
弁護士 日置 巴美(三浦法律事務所 パートナー)
PROFILE:2008年新司法試験合格。司法修習の後、 国会議員の政策担当秘書を歴任。その後、内閣官房情報通信技術(IT)総合戦略室参事官補佐等として、2017年改正個人情報保護法の制度設計から施行準備までを担当。現在は、弁護士として、データの取扱いに係るプラクティスに広く関与しており、法令遵守、レピュテーションリスク、CSR、行政対応、危機管理等の多角的な観点から、事業規模等を踏まえたリーガルサポートを行っている。また、近時は、行政機関、企業等の検討会の委員としても活動している。