「個人情報保護法 いわゆる3年ごと見直しに係る 検討の中間整理 」についての考察
「個人情報保護法 いわゆる3年ごと見直しに係る 検討の中間整理 (以下、「中間整理」)」が2019年4月25日に公開されました。5月27日まで意見募集期間が設けられるとのことです。この中間整理とメディアの報道を踏まえ、次の個人情報保護法(2020年に改正か)の姿について考えてみました。
中間整理の中でも重要なのは「第3章 個別検討事項」となります。下記の7つの個別テーマごとに現状の振り返りと今後の見直しに向けた検討の方向性が記載されています。
第1節 個人情報に関する個人の権利の在り方
第2節 漏えい報告の在り方
第3節 個人情報保護のための事業者における自主的な取組を促す仕組みの在り方
第4節 データ利活用に関する施策の在り方
第5節 ペナルティの在り方
第6節 法の域外適用の在り方及び国際的制度調和への取組と越境移転の在り方
第7節 その他の論点
主要なテーマについて、それぞれ何が変わっていきそうなのかについて、考えてみましょう。
個人情報に関する個人の権利の在り方
〇利用停止請求について
利用停止等(利用の停止又は消去)の請求について、これまでは、事業者に義務が課せられるのが、目的外利用の場合、不正な手段により取得した場合に限定されていました。中間整理においては、”利用停止等に関して、個人の権利の範囲を広げる方法について検討する必要がある”としており、プライバシーマークの準拠規格である、JIS Q 15001のように、義務が課される場面を制限しない方向に改正がおこなわれる可能性が高いと考えます。
〇オプトアウト規定と名簿屋対策
現行法から、いわゆる名簿屋対策として、23条2項(オプトアウト規定)に基づく第三者提供について、届出制が導入されました。今回の中間整理に先立って個人情報保護委員会は名簿屋を含むオプトアウト手続き届出事業者の実態確認をおこなったようです。その結果について、”オプトアウト手続に関する委員会への届出の内容と実際の業況が異なる業者が存在することも判明している”とコメントしています。名簿屋の実態把握・指導や未届け事業者の把握などを引き続き進める必要がある、としていますが、具体的な対策については記載されていません。
個人情報保護委員会のウェブサイトでは「オプトアウト届出書一覧」を公表しています。届出内容や事業者のウェブサイトなどを確認していくと、届出事業者の約半数が「不正な手段により個人情報を取得した名簿屋」であることが分かります。同一人物が複数の届出をおこなっているケースも多く確認されました。届出の申請があった際に、事業者の適法性のチェックを全くしていない可能性が高く、まずはそこから着手するべきと考えます。
また、名簿屋対策の一環として、現行法から25条、26条が新設されました。23条1項に基づく第三者提供に対しても、事業者には第三者提供時の確認・記録義務が課せられています。25条、26条を厳格に遵守して過度な負担を強いられている事業者がいるとも聞きます。中間整理において、このことに関して全く言及がないことに違和感を感じざるを得ません。
漏えい報告の在り方
個人情報の漏えい報告は、多くの国で法律上の義務となっていますが、我が国では法的な義務ではないのが現状です。これに対して、国際的な議論の潮流を勘案して、”漏えい報告について、法令上明記し、一定の場合について義務付けをすることも検討する必要がある”としています。ただし、軽微な事案についても全て報告を求めると、執行機関および事業者の負担になるため、報告義務が法定化されるとしても、漏洩の件数・重大性等を考慮したものになると思われます。
個人情報保護のための事業者における自主的な取組を促す仕組みの在り方
中間整理を読んでも何が変わっていくのか、が見えてきません。記載内容に対する私の意見を書きたいと思います。
認証制度について、プライバシーマークとCBPRが取り上げられています。プライバシーマークは取得事業者の86.2%が中小規模事業者とのこと(ISMSは5割弱)。プライバシーマークの社会的な評価が低いことが原因と考えます。BtoCの大規模事業者が取得するメリットが生まれるような制度となることを期待したいです。CBPRは2018年末時点で認証事業者がわずかに3社です。海外に個人データを移転する国内事業者がCBPRを取得することにより、24条除外要件を満たすことが認知されていないのではないかと考えます。
PIAについて、”事業者自身にとって、効率的かつ効果的に必要十分な取組を進めるための有用な手段”である、としています。プライバシーマークでも「リスク分析」が要求されていますが、審査基準がお粗末なため、実効的なリスク分析を実施している企業は非常に少ない状況です。もしPIAが有用な手段であるとすれば、プライバシーマークなどの認証制度に組み込んで欲しいと思いました。
データ利活用に関する施策の在り方
〇匿名加工情報について
”様々な業種において匿名加工情報の活用が進展しつつある。特に、調剤薬局や健保組合など、ヘルスケア分野において、匿名加工情報の活用が進んでいる。”と現状をポジティブに評価しています。現行法から変更となる可能性は低いと思われます。
しかし、”様々な業種において匿名加工情報の活用が進展しつつある”という現状認識はコンサルタントとして様々な事業者を見てきた中で、少し甘いのではないかと感じました。ヘルスケア分野においては、もともと匿名化した個人情報の活用がおこなわれており、寧ろ「匿名加工情報」の新設により、窮屈になってしまったように感じます。どこまで匿名化すれば「匿名加工情報」と言えるのか、などが明確になっていないことで疑心暗鬼になっている事業者も多いと思います。
- 〇仮名化情報の新設
個人情報と匿名加工情報の中間的規律として「仮名化」情報という概念を新設する動きがあります。メディアでも大きく報道されました。
「仮名化情報」がどのような情報であるのかについては、おそらく既に明文化されているGDPRを踏まえた内容になると思います。
「仮名化情報」の課せられる義務について、これは前回改正の際にボツになった「準個人情報」に近いのではないでしょうか。利用目的の変更(目的外の利用)については同意が不要、第三者提供については、同意が必要というのが落としどころになりそうです。
ところが、これによって個人情報の利活用が促進されるのか、というと甚だ疑問です。現行法が施行される前、個人情報ではないモノ(中間整理における「仮名化情報」に近いもの)は、比較的おおらかな利用のされ方であったように思います。ところが、匿名加工情報が新設されたことにより、「個人情報ではないモノ」も匿名加工情報でなければ、自由に使えないのだ、という空気になりました。「仮名化情報」が新設された場合も、同じようなことが起こるような気がしてなりません。また、それぞれの情報の要件と義務を考えたとき、3階建ての建物の2階部分にあたる「仮名化情報」は非常に窮屈なものになりそうです。
〇ターゲティング広告を巡る対応
クッキー等の「識別子」をどのように位置づけるのかがポイントでした。”クッキー等自体は、「識別子」としてセッション管理を含め広範に用いられる技術であり、利用特性も多様であることから、現行法の規定に加えて、クッキー等をあえて個別に規律する必要性含め、慎重に検討する必要がある。”としています。改正法や委員会ガイドラインにおいて、クッキー等の規律に触れることはないでしょう。”自主ルール等による適切な運用が重要”という記載もあり、JIAAのガイドライン等がそれに該当します。
中間整理において、「クッキー等」と一括りにしているのが非常に残念です。クッキー等をキチンと整理・分類すれば、もう少し踏み込んだ議論ができたはずです。