Catch up 法令・政策動向 Vol.2:個人情報保護法 いわゆる3年ごと見直し-関係団体ヒアリングと見直し検討事項-
Vol.1では、改正個人情報保護法の施行状況についてご説明しましたが、Vol.2では、個人情報保護委員会(事務局)「個人情報保護法 いわゆる3年ごと見直し規定に基づく検討」およびヒアリングの主な意見、これに対する筆者のコメントをご紹介します。
また、末尾では、関係団体ヒアリング後に公表された「個人情報保護法 いわゆる3年ごと見直し規定に基づく検討項目」をご紹介します。
なお、次回以降は、引き続き個人情報保護委員会の動向、特に当該検討項目の検討状況をご紹介のうえコメントしてまいります。
1. 個人情報保護委員会(事務局)「個人情報保護法 いわゆる3年ごと見直し規定に基づく検討」およびヒアリング(*1)の主な意見、これに対する筆者のコメント
個人情報保護委員会事務局は、令和2年改正個人情報保護法の施行状況を踏まえて、同委員会委員の意見も整理しつつ、「個人情報保護法 いわゆる3年ごと見直し規定に基づく検討」をまとめています。以下では、これをご紹介しつつ、ヒアリングの主な意見(*2)をご覧いただくとともに、参考として筆者からのコメントを付していきます(*3)。
(1)個人の権利利益のより実質的な保護の在り方
【個人情報保護委員会の提示内容】
● 概要
・情報通信技術等の高度化に伴い、大量の個人情報を取り扱うビジネス・サービス等が生まれる一方で、プライバシーを含む個人の権利利益が侵害されるリスクが広がっている。
・破産者等情報のインターネット掲載事案や、犯罪者グループ等に名簿を提供する悪質な「名簿屋」事案等、個人情報が不適正に利用される事案も発生している。こうした状況に鑑み、技術的な動向等を十分に踏まえた、実質的な個人の権利利益の保護の在り方を検討する。
● 検討の視点(例)
① 技術発展に伴って、多様な場面で個人情報の利活用が進み、その有用性が認められる一方で、こうした技術による個人の権利利益の侵害を防ぐためには、どのような規律を設定すべきか。
② 個人情報を取り扱う様々なサービス等が生まれる中、個人の権利利益の保護の観点から、本人の関与の在り方を検討すべきではないか。その際、その年齢及び発達の程度に応じた配慮が必要なこども等の関与の在り方はどうあるべきか、併せて検討すべきではないか。
③ 個人の権利利益保護のための手段を増やし、個々の事案の性質に応じて効果的な救済の在り方を検討すべきではないか。
【委員意見】
・個人情報の取得は、あくまでその目的との関係で必要最小限にとどめるべきではないか。また、「不適正利用の禁止」に関する規律がより実効性ある形になるよう、生成AI、認証技術の普及等、技術発展に伴う社会の変化を踏まえて、その考え方を検討すべき。
・集団訴訟について、実務的な問題は存在するものの、個人の権益保護のための手段を増やすという観点から検討すべき。
・また、実体的な権益保護のため、同意の概念を精緻に検討すべき。
・犯罪のための個人情報の悪用や生成AI等、個人情報保護法単独での対応に限界がある事象についても、個人情報の保護を通じた、悪用の抑止や権益の保護の可能性を検討すべき。
【ヒアリングでの主な意見】
技術活用を促すなどの理由から補完的に検討すべきとするものはあったものの、ヒアリングにおいて、個人情報取扱事業者等の義務を強化すべきとのコメントは、おおむねありませんでした。(*4)
個人情報保護、法令に係る大枠に対する意見として、個人情報保護法を個人の権利利益の保護と個人データの円滑な活用を一元的にカバーする規範と位置づけ、個人情報保護委員会に対して、事業者やデータ主体が法の正しい理解を促進する取り組みを強化することを求めるものや、それらの実効性を高めるための戦略作成、PDCAを適切に回す仕組みなどの構築を求めるものがありました。また、個人情報保護委員会が、必ずしも権限を強化したり新しい法律を導入したりすることなく、産業界が既存の個人情報保護法を実施または強化できるような、実用的なユースケースに基づく、明確で実行可能、かつ測定可能な成果を伴うガイダンスをさらに提供することが有用であるとのものもありました。
そして、個別の点では、以下のとおり、新技術への対応、本人関与(同意取得、子ども等)のほか、消費者団体訴訟制度、被害回復制度に関する意見がありました。
① 新しい技術への対応(*5)
生成AIやクラウドサービス等の新しい技術の実装に係る個人の権利利益への影響については、初期段階から広範な関係事業者を包含した検討を行い、イノベーションや健全な成長を阻害することがないようにすべきという趣旨の意見がありました。ガイドライン・QAの記載の程度にはそれぞれ意見があったものの、方向性としては、イノベーション等を阻害しないような対応が求められているものと思われます。
また、新しい技術を含めて不適正取得、不適正利用の運用が厳しいものとなることが懸念されるところ、企業に過度な委縮効果を生じさせないよう新たな技術の適用領域を斟酌し、範囲の明確化や適切な例示を行うべき等の意見が出されています。
・プライバシー強化技術(Privacy Enhancing Technologies/PETs)
PETsや秘密計算のような技術が個人の権利利益の保護に実効性が高いことを前提として、社会実装の促進に向けた体制、基準、法制度の在り方等について、次のような意見がありました。
・生成AI
生成AI及びこれを利用したサービスに関して、法令上の整理を明確にし、ガイドライン・Q&Aの拡充を求める。また、日進月歩で発展する新しい技術については、適宜修正を。
・プロファイリング
プロファイリングを通じた新たな個人データの推測が取得に該当するか等、AI時代に拡大が予想されるプロファイリングについて、ガイドライン・Q&Aの拡充を求める。
・その他
自動運転や映像解析AIの高度化、その他社会課題の解決に期待されるカメラ画像の大規模な収集・活用が進まず。目的や対象データに応じた取り扱いに関するガイドライン等の充実に加え、産官学間の流通や集約に向けた法制度や仕組みを検討すべき。
② 本人関与
・本人の同意の取得以外の法的根拠の追加
個人の権利利益の保護とデータ利活用を実質的に両立する観点からは、同意以外の方法についても検討することが適当である。その際、契約の履行や正当な利益のような一定の条件の下で個人情報を同意なく処理できる事由を検討すべき。
・子どもの関与
意見を出した団体は必ずしも多くありませんが、その中では、子どもに関する規律を設けることについて異論は出ておらず、その詳細については検討すべきとするところまでは意見の一致が見られます。子どもの権利利益の保護と、事業者の負担や利活用のバランス等も視野に入れた包括的な検討が求められています。
③ 消費者団体訴訟制度、被害回復制度
集団的消費者被害回復制度の利用実態等を踏まえ、実効的な制度設計を検討すべきとの意見を述べた団体が1件ありましたが、その余は、適格消費者団体から次の意見が述べられるにとどまっています。
【筆者コメント】
個人情報保護委員会は、技術の発展・高度化と、大量の個人情報を取り扱うビジネス・サービスが個人の権利利益に与える影響、そして同委員会が初めて命令という処分を行った破産者等情報のインターネット掲載事案や犯罪グループの件を挙げて検討を進めるとしています。しかしながら、この挙げられた類型については、前者が技術に関する正しい理解とその評価、データ利活用による新産業の創出その他の個人情報の有用性に配慮してプライバシーの保護を実現するルールや民間の取り組みを検討すべきものであるのに対し、後者は行個人情報保護法の目的から個人情報保護委員会が厳に取り締まるべきものであって、拘泥することなく、区分して丁寧に議論し、検討すべきものであると考えます。そうでなければ、前者が後者に引きずられるような形で不必要に厳しいルールが設けられる懸念があります。今後の議論や、取りまとめにあたっては、精緻な議論が待たれるところです。
そして、特に留意すべき点として、次の点があると考えています。
・新しい技術への対応について
新しいものを導入しようとする際には、その実態が不明瞭であるために不安や不信が本人・企業側のユーザーに生じ得るところ、行政機関を含む関係する主体が実態を把握し、議論することで必要十分かつ適切なルールが設けられることになるように思います。不適正取得や不適正利用について複数の関係団体から意見がありましたが、これらの規定は「偽りその他不正の手段により個人情報を取得してはならない」、「違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない」として抽象的な規範が設けられているにすぎないところ、実態把握や議論が不十分であると、過度な規制、不適切な運用につながりかねないことを懸念するものであると考えられ、個人情報保護委員会が趣旨を汲んで対応することが望まれます。
PETsや秘密計算、また、生成AIを含むサービスについては、個人情報保護法上の位置づけが明確でないことも実務に影響することから(例:導入に当たっての法的整理の困難さ、ベンダー・ユーザー間で異なる評価がなされることによる交渉コスト(契約内容の調整困難等によるもの)、責任分配の不明瞭さ)、ガイドライン・Q&Aによる明確化(*6)を行うことは必要であると考えます。これによって、PETs等の利用促進、安全管理が向上することによる本人保護の強化等に資するものと考えられます。このとき、生成AIを含む新技術の活用に関しては、上述の注意喚起や他の行政機関から公表される関連文書との関係も踏まえつつ、各主体が判断に迷うことがないよう対処することがもとめられるところです。他方で、技術やサービスの内容が日進月歩で変容していくことに対応できること、新たな技術・サービスに対応し得る汎用性、予見可能性があることも肝要であることから、記載の詳細さや取り上げるべきケースについては、慎重な検討が求められると考えられます。
・本人関与について
個人情報の目的外利用の制限(法18条)、要配慮個人情報の取得(法20条2項)及び個人データの第三者提供(法27条又は28条)においては、本人の同意を取得することが原則とされています。例えば第三者提供については、これを得られないことがやむを得ないと評価される例外事由(法27条1項各号)と、本人の同意に代える手続等(同条2項から6項まで)が定められています。本人の同意が原則である以上、例外事由は限定的な運用となるところであり、また、オプトアウト手続の厳格な運用や、共同利用等の要件の充足性が必ずしも実現可能でないケースもあるため、実運用上は、同意取得のために大きなコストを払い、個人情報の利用をあきらめることが見受けられます。また、同意を取得できる・できないにかかるため、必ずしも本人の権利利益やプライバシーに大きな影響がないような場合であっても、目的外利用等となる新たな取扱いが認められないということがあります。本人保護と個人情報取扱事業者の利益、実現される個人情報の取り扱いとそれによって本人が得られるメリットなども踏まえ、本人同意以外の法的根拠の要否を議論すべきではないかと考えます。
次に、子どもの関与についてですが、法令上、代理人による同意取得の要求などがあるものではなく、Q&Aなどで補完されている状況にあります。本人の権利利益を保護する観点からは、よりケースに即した対応が望ましいと考えられていると思料するものの、他方、マニュアルの整備など、実務上、各個人情報取扱事業者が現場レベルで不適切な対応がなされないようできる限り画一的な運用の実現を考えるときに大きなハードルになっていることが課題としてはあります。同様の問題は、認知症の高齢者などへの対応(この場合は外形上判断できないケースもあり、さらに複雑さを増します。)で認められるところです。法令上の対応の要否を検討する際は、併せてガイドライン、Q&Aによる実務運用へのフォローが必要なものと考えます。実務上、子どもたちの個人情報の取り扱いが予定される場面(学校等教育の場に限らず、商品購入・サービス提供の場面、医療サービスの利用時など)は多岐にわたるため、具体的なケースを想定してきめ細やかな検討がなされることが望まれます。
・消費者団体訴訟制度、被害回復制度について
消費者団体訴訟制度や、被害回復制度の制定経緯(その際の議論を含みます。)や、実際に個人情報の取り扱いについてその対象とするべき立法事実があるのかを精査し、法的対応の要否を検討すべきであり、ヒアリングにおいて必ずしも多くの意見があったものではありませんので、丁寧な検討がなされるべきところと考えます。
(2)実効性のある監視・監督の在り方
【個人情報保護委員会からの提示内容】
● 概要
破産者等情報のインターネット掲載事案、犯罪者グループ等に名簿を提供する悪質な「名簿屋」事案、転職先へのデータベースのID・パスワードの不正提供事案等、個人情報が不適正に利用される事案や、同一事業者が繰り返し漏えい等を起こしている事案が発生している。こうした悪質・重大な事案に対する厳罰化、迅速な執行等、実効性のある監視・監督の在り方を検討する。
● 検討の視点(例)
① ヒューマンエラーのような過失による漏えい等事案が多い一方で、非常に大規模な漏えい等事案等、重大な個人の権利利益の侵害に繋がるケースも発生しているところ、従来の指導を中心とした対応にとらわれない、より実効性のある監視・監督の在り方を検討すべきではないか。
② 重大な事案や、故意犯による悪質な事案を抑止するための方策を検討すべきではないか。また、そのための関係省庁等との連携の在り方を検討すべきではないか。
③ 個人の権利利益の保護のため、重大な漏えい等事案の状況をどのように把握し、適切な執行につなげていくべきか検討すべきではないか。
【委員意見】
・権利救済に実効性を持たせるため、直罰の強化や課徴金制度の導入、緊急命令の活用等を検討すべき。
・一般の国民や企業にとってわかりやすい制度設計、リテラシーの醸成に取り組みつつ、漏えい等報告のあり方等、委員会としてどのような執行を行っていくべきか、具体的な目標について議論を行うべき。
・ペナルティの強化については、企業の個人データ利活用を阻害しないよう配慮しつつも、罰則などを引き上げる場合でもその引き上げ幅等については慎重にすべき。
・漏えい事故の分析等について、関係省庁との協力関係を一層充実させるべき。
・漏えい等報告の義務化によって判明した日常的な漏えい等の発生状況を分析し、その防止のための効果的な対策を検討すべき。
・個人情報取扱事業者の適切な安全管理体制が確保されるよう、自主的な取り組みを支援すべき。また、企業や自治体の内部コンプライアンス強化に繋がる制度設計を行うべき。
【ヒアリングでの主な意見】
指導中心の対応から処分へのシフト等の厳しい対応を提言する団体、課徴金について前向きに受け止めるような団体がある一方、罰則や罰金に頼るのではなく、効果的な規制の評価を行うことを提言するものがありました。
また、個人情報保護委員会の権限強化や新たな規律の導入ではなく、民間が既存の法令の対応を実効的に行いうるよう実務・ケースに即した明確で実行可能、新たな問題にも法解釈のうえ対応できるようなガイドライン等を提供することが有用であること、プライバシーガバナンス体制の整備を促す仕組み、PIA(プライバシー影響評価)普及への支援やデータ保護責任者やプライバシー専門人材の育成支援を求めるなど、民間事業者による一次的な取り組みを尊重し、実効的なものとなるように取り組むべきとする趣旨の意見がありました。
また、令和2年改正個人情報保護法の施行状況に限らず、これまでの個人情報保護委員会の権限行使の状況に鑑み、行政調査や行政指導、公表といった権限行使の基準や手続を透明化すべきとの意見がありました。併せて、3年ごと見直し等、国民全体、事業者全体への影響が大きい議論については公開形式で行うなど、検討過程の透明性を高めるべきとの意見が出ています。
その他、個別の点として、漏えい等への対応に関して、多くの意見が出されました。
【筆者コメント】
漏えい等に係る個人情報保護委員会への報告及び本人への通知については、令和2年改正当時より、意見が多くあったところです。実際、改正個人情報保護法施行後に対応をしてみたところ、報告等の要否の判断が難しいことや、対応に係る個人情報取扱事業者の負担の大きさが指摘されてきました。当局への報告等に関しては、欧州一般データ保護規則(GDPR)よりも厳しい要求がされているとの指摘もあり、本人の権利利益の保護と個人情報取扱事業者の負担のバランスが適切であるかなど、精緻な議論が必要ではないかと考えます。その際は、具体的なケース(氏名などの本人を特定する情報の漏えいか、本人の連絡先等アプローチが可能な情報の漏えいか、また、財産的被害が直接生じる情報の漏えいかといった、漏えい等が懸念されるデータの内容、実際に漏えいが発生した蓋然性のほか、漏えいした場合にデータを悪用し得る仕様(暗号化に限らず、データの構造等を広く含みます。)であるかといった本人の権利利益侵害の蓋然性)を踏まえた検討がなされることが望まれます。
次に、権限及び罰則の強化と、課徴金の導入については、厳に慎重な検討がなされるべきと考えています。個人情報保護委員会が示した施行状況は、あまり詳細なものではなく、また、分析・評価が行われたものとも言い難いように思われます。これらを実施するにあたっては、何についてどのような立法事実が認められるのか、規律が不足しているのか等、実態を明らかにしつつ精緻な議論がなされることが前提ではないかと考えます。また、権限等の強化や課徴金を導入することによって個人の権利利益の保護に資するものかも考える必要がありますし、関係団体の意見にあるように民間が実施する取り組み等の実態を加味して立法事実を精査することも必要ではないかと考えます。そして、課徴金については、制度として個人情報の取り扱いに対してどのようにあるべきかから議論すべきではないかと考えます。
他方、権限等の強化、課徴金の導入の前提としてまず改善が望まれることとして、個人情報保護委員会の権限行使について行政調査、行政指導及び公表につき基準や手続を透明化することがあります。現状の行政指導を中心とした対応については、処分性のハードルなどもあり、個人情報保護委員会の対応に疑問があったとしても、是正するルートが皆無に等しいことが課題としてありました。また、そもそも行政指導等の前提に瑕疵がないようにする必要があるところ、他の行政機関では、法令または自主的に取り組んでいる手続(例:公正取引委員会、金融庁、証券取引等監視委員会)(*7)によって事前の抑止に資する適正な対応がうながされています。上述の処分性に係るハードルもあるところ、個人情報取扱事業者らが個人情報保護委員会の対応に疑問を抱いた際に、また、抱くことのないよう対処し得るようにする各手続を定めることは、個人情報保護委員会が信頼を置かれる機関としてその権限を行使するうえで、喫緊の課題ではないかと思料します。
(3)データ利活用に向けた取り組みに対する支援等の在り方
【個人情報保護委員会からの提示内容】
● 概要
個々の事情や特性等に配慮した政策検討が進む等、健康・医療、教育、防災、こども等の準公共分野を中心に、機微性の高い情報を含む個人情報等の利活用に係るニーズが強い。こうした中、政策の企画・立案段階から関係府省庁等とも連携した取り組みを進める等、個人の権利利益の保護を担保した上で、適正な個人情報等の利活用を促す方策を検討する。
● 検討の視点(例)
① 公益性の高い各分野における個人情報の利活用において、どういったケースであれば公益性が高いと考えられるか、またどのような個人情報の取り扱いであれば安全性が担保できるか等の判断を、どのように行っていくべきか検討すべきではないか。また、あるべき関係府省庁等との連携体制についても検討すべきではないか。
② 我が国として、適切な個人の権利利益の保護を図った上で、国際的に、より円滑なデータの流通を実現するためには、どういった制度的課題があり、またどのような国際的な枠組みにおいて議論を進めていくべきか。
③ 個人の権利利益の保護を担保した上での個人情報の利活用を促進するために、民間事業者等の取り組みを促す動機付けの仕組みや支援はどのようにあるべきか。
【委員意見】
・諸外国の議論の動向も考慮しつつ、こどもの権益の保護の在り方を検討すべき。
・健康・医療、こども等の公共性の高い分野において、個人情報の利活用と適切な個人の権利利益の保護のため、関係省庁等との連携の在り方を検討すべき。
・より広い国際的なデータ流通枠組みの実現や、各枠組みへの関与の在り方を検討すべき。
【ヒアリングでの主な意見】
① 準公共分野における個人情報保護と利活用
・健康・医療、教育、防災、こども等の準公共分野を中心に、機微性の高い情報の利活用ニーズが強く、個人の権利利益の保護と適正な利活用を促進する方策が必要であるとして、個人情報保護委員会が自由の確保を議論する省庁と議論し、公共の安全についての整合を図る連絡体制が必要ではないか。
・健康・医療に関して、前回の法改正において製薬企業が実施する研究を「公衆衛生の向上に資するもの」と位置付けたが、Q&Aには様々な要件があり例外規定による活用は困難。準公共分野における個人情報の利活用を促進するため、まずは仮名化での医療データの活用を円滑に行うための法制度を皮切りに、一般法とは別に利用ニーズに合致した特別法を整備すべき。
② 国際的なデータ流通、国際的な枠組み
APEC CBPR、Glabal CBPR等の推進について、導入促進と導入のメリットづくりを含む政策推進についてのコメントと、欧州との相互認証の学術研究機関・公的部門への対象拡大および現在の指定国以外の国・地域への拡大が求められました。
また、グローバルな規制への影響の考慮を求め、そして、相互運用性を確保したプライバシー保護の成果を達成するために個人情報保護法をマルチステークホルダーベースでより効果的にする方法について検討するべきとの提言がありました。
③ 民間の取り組み
個人情報保護委員会は、ヒアリング対象として全国商工会連合会、日本商工会議所および一般社団法人 日本インタラクティブ広告協会(JIAA)を選定し、これらの団体から民間の取り組みを紹介するよう求めたことが推測されます。
その他の団体からは、民間事業者側のインセンティブを検討すべきとの意見や、PIA、DPOに関する意見がありました。
【筆者コメント】
国際的なデータ流通、国際的な枠組みに関しては、実務上、対応コストなどが大きく、負担が大きいとして課題となっています。個人情報の取り扱いが国境を超えて行われることが一般的となり、シームレスな対応と本人の保護が実現されることが望まれるところ、Global CBPRの取り組み加速など、必要な政策の推進が望まれるところです。また、グローバルな対応が要求される中、相互運用性の確保は個人情報取扱事業者にとって重要な点であり、これが担保されるような検討がなされることも望まれます。
民間の取り組みについては、各分野・業界の実態を踏まえた細やかな対応がなされているように感じられるところ、これをさらに促すインセンティブや、プライバシーガバナンス等の好事例の共有なども有益ではないかと考えられます。
最後に、準公共分野については、特別法が望ましいとの意見があったところ、筆者自身もその必要性や有効性から賛成するところです。しかし、仮に特別法が制定されたとしても目的外利用や第三者提供に関して当該特別法で定められた要件について瑕疵があった場合に、後者については漏えいと評価されるなど、個人情報保護法およびこれに関する権限行使との重複等の問題が実務上はあります。漏えいとされるケースについては、再発防止などについて当該特別法の要件への対応につき検討されるものであって、「個人情報の漏えい」としてイメージされるようなケースでの対応とは異なるアプローチが主であると思料します。当該特別法を所管する行政機関への対応と、併行して個人情報保護委員会への対応を実施する必要があるものの、個人の権利利益保護のための措置を優先することや、実効性のある対策の検討及び実施のためには、現状の運用に疑問があるところです。漏えい等の定義の見直し、実効性ある対策のための監視・監督の在り方など、併せて検討されることが望まれます。
(4)その他
個人情報保護委員会が掲げる3つの検討の方向性とは異なる視点からも、ヒアリングでは意見がだされており、興味深いものがあるところですので、紹介していきます。
① クラウド例外
【委員の意見】
昨今の漏えい等事案における安全管理措置の実情に鑑みて、クラウド例外を認める際の条件付け等を検討すべき。
【ヒアリングの主な意見】
Q&Aにある個人データを取り扱わないこととなっている場合に該当するための標準的な契約条項の記載例や、適切なアクセス制御例を具体的にガイドライン等で示すことの検討を求める。
【筆者コメント】
ヒアリングでの意見は、現行法の運用上のあいまいさを問題視するものではありますが、委員意見にあるような問題にも影響があったのではないかと思料します。
クラウド例外に関しては、これを根拠としてSaaSのベンダーが個人情報の取り扱いがないとしているケースがあるところ(2023年は、大型の漏えい等事案でこの点がクローズアップされたものと思料します。)、ユーザーはシステムの仕様を指定し、コントロールすることが難しい点や、インシデントによってはベンダーによる抑止、事後対応が望まれるものがある点、そして責任分配への影響なども懸念される点から、果たして行政規制上の整理についてどのように考えるべきか、まずは議論が必要ではないかと考えられます。
② 国際的なルールの統一と域外適用
【ヒアリングの主な意見】
・欧州一般データ保護規則(GDPR)と日本の個人情報の保護に関する法律について、定義の可能な範囲での調和や、グローバル組織がグローバルスタンダードを遵守するためにすでにセキュリティに投資していることに鑑み個人情報保護委員会ガイダンスが広く認知されているサイバーセキュリティスタンダードを組織が活用することを認めるよう提言する。
・ユーザーのプライバシーとセキュリティをグローバルなデータ保護およびプライバシー慣行に合致した規制ガイダンスの中心に据えるアプローチが重要であり、個人情報保護委員会がその原則に基づくリスクベースアプローチを維持し、個人情報保護法がグローバルスタンダードとの相互運用性を引き続き確保できるようにすることを提言する。
・APPIの域外適用によってGDPRとの双方の基準を適用することが要求されることから、欧州経済領域(EU加盟国、ノルウェー、リヒテンシュタイン、及びアイスランド)の場合、GDPRとAPPIの間で個人情報処理の法的根拠が統一された後、日本のデータ主体に物やサービスを提供することに関連して個人情報を取り扱う上述のような企業には、GDPRのみを適用する。
・外国事業者への適正な適用・執行について、状況の把握とともに、確実な域外適用・執行の運用、これを担保する制度整備を引き続き検討いただきたい。
【筆者コメント】
日本を主な拠点とするか否かで、適用・執行に関する意見は異なり得るものの、日本に限られない国際的な取り組みがなされるよう、検討の方向性3とともに検討と必要な措置が講じられることが求められるように思料します。
2. 今後の検討等
現在、各関係団体のヒアリングが実施されているところ、令和2年改正の際の検討の進め方と同様であれば有識者ヒアリングが実施され、その後に取りまとめがなされることが予定されています。
個人情報保護委員会は、ヒアリングおよび委員の意見の概要をまとめるとともに、次のとおり検討項目(案)を挙げています。
次号以降、検討項目に関する個別論点や、法改正その他の措置に向けた個人情報保護委員会の動向を中心に、引き続き、個人情報保護法のいわゆる3年ごと見直しに関して有益と思われる情報を取り上げてお伝えしていきます。
Author
弁護士 日置 巴美(三浦法律事務所 パートナー)
PROFILE:2008年新司法試験合格。司法修習の後、 国会議員の政策担当秘書を歴任。その後、内閣官房情報通信技術(IT)総合戦略室参事官補佐等として、2017年改正個人情報保護法の制度設計から施行準備までを担当。現在は、弁護士として、データの取扱いに係るプラクティスに広く関与しており、法令遵守、レピュテーションリスク、CSR、行政対応、危機管理等の多角的な観点から、事業規模等を踏まえたリーガルサポートを行っている。また、近時は、行政機関、企業等の検討会の委員としても活動している。
この記事が気に入ったらサポートをしてみませんか?