個人情報保護法「いわゆる3年ごと見直し」に係る検討の中間整理

前日の報道に引き続き、26日付の日経朝刊にも「望まぬ情報利用に拒否権 改正案に「使わせない権利」広告停止など可能に」という見出しで、比較的詳細な記事が掲載された個人情報保護法改正の動き。

個人情報保護委員会のWebサイトにも4月25日付で意見募集の告知が掲載され(期間は5月27日まで)*1、e-govのサイトに飛ぶと、本エントリーのタイトルで公表された「原案」の全文を見ることができる。

全文:http://search.e-gov.go.jp/servlet/PcmFileDownload?seqNo=0000186649

中間整理で示された見直しの方向性は以下の4点(3頁、強調筆者、以下同じ。)。

第一に、情報を提供する個人の、自らの情報の取扱いに対する関心や、関与への期待が高まっており個人情報保護法第1条の目的に掲げている「個人の権利利益を保護」するために必要十分な措置を整備することに配意しながら制度を見直すことが必要である。

第二に、平成27年改正法で特に重視された保護と利用のバランスをとることの必要性は、引き続き重要であり、個人情報や個人に関連する情報を巡る技術革新の成果が、経済成長等と個人の権利利益の保護との両面で行き渡るような制度であることが必要である。

第三に、デジタル化された個人情報を用いる多様な利活用が、グローバルに、展開されており、国際的な制度調和や連携に配意しながら制度を見直すことが必要である。

第四に、海外事業者によるサービスの利用や、個人情報を扱うビジネスの国境を越えたサプライチェーンの複雑化などが進み、個人が直面するリスクも変化しており、これに対応し得る制度へと見直すことが必要である。

2点目で「保護と利用のバランスをとることの必要性」が掲げられていることもあり、これだけ読めば、今のところ今回の「見直し」によって大きな激震が走りそうな予感はしない。

そして、その後に続く各検討項目に関する記載も、あくまで事務局の「原案」ということもあってか、現時点ではまだ具体性のある提案に至っているとはいいがたい。

例えば、前掲日経朝刊で取り上げられている「使わせない権利」にしても、中間整理における記載は、

「利用停止等については、消費者側からの根強い要望に対して、個人の権利を保護していく観点からどのようにすれば一定の対応が可能か、企業側の実態も踏まえつつ、具体的に検討していく必要がある。 」(19頁)

という程度である。

もちろんこの種の報告書にありがちな「文末の表現の書き分け」のテクニックを考慮すれば、他の項目に比べると「具体的に検討していく必要がある」という表現が、少々踏み込んだものであることは否定しないのだが、GDPRへの対応などを一度でも経験している担当者であれば皆ちょっと拍子抜けするんじゃなかろうか、というトーンであることに変わりはない。

むしろ、個人的には、「情報漏洩報告の義務付け」に関する「検討の方向性」のボリューム感の方が気になった。

「国内における法執行の安定性や、国際的な議論の潮流等を勘案すると、漏えい報告について、法令上明記し、一定の場合について義務付けをすることも検討する必要がある。 」(24頁)

ここでは、これに続き、「勘案すべき事項」として、以下のとおり、両極からの様々な考慮要素まで記載されているのだが、「本人通知まで含めて義務付け」となったり、「法令で明示的な期限を設ける」ということになれば、実務へのインパクトは相当大きなものになるだろう。

〇 漏えい報告について、諸外国の立法例をみても、法令上義務としているものの、対象とする事案、期限、軽減措置、本人への通知等において、多様な状況にある。これら諸外国の立法例も参考としつつも、我が国ではどうあるべきか、影響や実効性等も加味しながら、今後具体的に検討していく必要がある。
〇 仮に、漏えい報告を義務化する場合、軽微な事案についても全て報告を求めると、報告対象となる事業者の負担のみならず、報告を受領する執行機関としても制度の趣旨目的に比しコストが過剰となる可能性がある
〇 漏えいの件数、重大性、原因、漏えいした情報の内容等を考慮し、報告義務を課すことも考えられる。例えば、漏えいデータの件数(例:数件程度から数百万件)や情報の内容(例:公知情報、非公知情報、要配慮個人情報等)によって、本人や社会への影響は大きく異なると考えられる。しかしながら、数件程度の漏えいであったとしても、漏えいした情報の内容によっては、本人への影響が大きい場合もあり得る。報告義務を課す場合、中小規模事業者の負担も考慮しつつ、これら要素を加味した検討が必要である
〇 また、本人への通知等の在り方についても検討が必要である。本人への通知は、個人の権利利益の保護の観点からも重要と考えられるか、執行機関への報告と同様な形で連絡を求めるのか、一定の要件を設けるのか、検討が必要である。さらに、本人への通知等の具体的な方法・手段について検討する必要がある。
〇 加えて、漏えい報告については、速やかに報告を求めるのが原則であることは言うまでもないが、法令で明示的な期限を設けるべきかについても、現状における報告実態を踏まえつつ、検討する必要がある
〇 なお、現在、漏えい報告の報告先については、一定の場合、委員会以外に、個人情報保護法第44条に基づき権限を委任している大臣及び認定個人情報保護団体に対して提出することを認めている。当該方式は現在有効に機能していると考えられることから、今後の検討においても、この方法を活かしていくことが考えられる。

既に、監督当局から厳格な報告義務を課されている業界にしてみれば、別にいまさら・・・という感もあるのかもしれないが、ここは今後の議論を要注視すべきところではないかと個人的には思っている。

また、他の法領域でもよく問題になる「技術の進展」と規制との関係について、

「例えば、産業界からは、ガイドライン等での法の解釈の明確化を求める意見もあるが、一方で、技術の進展が早い中、法解釈を固定化することで、イノベーションを阻害するおそれがあるのでないかという声もあるガイドライン等については、この両面を踏まえつつ、委員会として、産業界からの意見を含め、広く継続的に意見を聴いていく必要がある。 」
「また、委員会としては、企業や行政機関における検討に対しても、できるだけオープンな形で対応していくことが重要と考えられる。特に、企業が個人情報について、利活用を含め、より相談しやすい環境を求める意見は多く聴かれるところであり、具体的にどのような体制が考えられるか検討する必要がある。」
(40~41頁)

といったような、これまた最近非常によく見かける「産業界両論併記」が付されているのも興味深いところだった。

なお、前日の報道でもあったとおり、ターゲティング広告への対応に関する項目の中で、Cookieの扱いについては、以下のとおり、かなり慎重なトーンの記載となっている*2

「クッキー等について、例えば、一定の要件に該当するものについて個人情報保護法上の個人識別符号とするなど、その位置付けを明確化することも考えられるが、クッキー等自体は、「識別子」としてセッション管理を含め広範に用いられる技術であり、利用特性も多様であることから、現行法の規定に加えて、クッキー等をあえて個別に規律する必要性含め、慎重に検討する必要がある。」
「一方、クッキー等であっても、会員情報等と紐付けられ特定の個人を識別できるような場合は、個人情報保護法上の個人情報として取り扱われる必要がある。しかし、事業者の中には理解不足と思われる事例も散見されるため、今後、委員会としても、実態を注視しつつ、適切に執行を行っていく必要がある。」
(41~42頁)

後段に関しては、「「理解不足」の事業者が多いから執行を強化する」という話なのか、それとも「形式的に違反として執行するのではなく、まず理解を深めてもらうことを先行させる」ということなのか一読しただけではわからない、というのがちょっと怖いところではあるのだが(笑)、非IT企業の場合、「Cookieって何だっけ?」ということを社内の経営幹部に理解させること自体、相当ハードルが高い、ということを、現場に近いところにいる担当者はよくよく肝に銘じておく必要があるように思う。

そして、最後に、前日のエントリー*3でも話題にしたデータポータビリティの話。

今回、個人情報保護委員会は、以下のような「見守り」のスタンスを中間報告に記した。

「なお、いわゆるデータポータビリティに関連しては、既に民間における自主的取組として、情報銀行の取組も行われている(略)が、個人情報保護法に沿った形でこのような取組が自主的に行われることは歓迎すべきものである。一方、データポータビリティの法的な義務化については、そもそも個人の権利利益の保護といった個人情報保護の観点以外に、産業政策や競争政策といった幅広い観点が存在するEUではGDPRで新たに導入されたところだが、ある管理者から別の管理者へ直接個人データを移行させる規定については、技術的に実行可能な場合に限定されている。我が国では、その必要性等について、消費者ニーズや事業者のメリット・実務負担等を含め、議論が現在様々な場で行われている段階であることから、このような議論の推移を見守る必要がある。」(17~18頁)

今まさに、巨大プラットフォーマーに関して、競争政策の観点からデータポータビリティの議論がされていることに配慮して謙抑的な姿勢を示したのかな、と思うところではあるのだが、一方で、4月24日付でアップされている「デジタル・プラットフォーマーを巡る取引環境整備に関する検討会」の「取引環境の透明性・公正性確保に向けたルール整備の在り方に関するオプション(案)」*4の中でのデータポータビリティに関する記載は、以下の程度にとどまっている。

プラットフォーマーを巡る消費者側のデータポータビリティを高めることは、事業者側のスイッチング・コストを低下させることにもつながり得ることも踏まえて、制度設計の検討が必要である。」(オプション案23頁)

もちろん、同検討会では、これとは別に「データの移転・開放等の在り方に関するオプション(案)」*5という資料も公表しており、そこではデータポータビリティの在り方についてもかなり詳細に検討されているのだが、現段階では、「アプローチの検討に当たっては、それぞれのメリット・デメリットを踏まえ、データの移転・開放ルールの必要性として掲げた公正な競争環境の整備及び利用者の選択の機会の確保による競争の促進の観点から、検討するべきである。」(同オプション(案)15頁)という基本スタンスが示されているだけで、具体的なアプローチに関して、「法規制」か「自主規制」か、それとも「共同規制」か、という方向性もまだ定まっていない、ということにも留意する必要があるだろう。

別に、GDPRでいち早くデータポータビリティのルールが盛り込まれたからと言って、日本がいち早くそこに追随する必要はないし、消費者、事業者の双方に大きなインパクトを与える話だけに、焦って場当たり的なルールを突っ込む必要もないと思うのだけれど、各規制主体が牽制しあって、議論が何も進まないまま世界の潮流に取り残される、ということだけは避けた方が良いだろうな、と思う次第である。

*1:https://www.ppc.go.jp/files/pdf/news_release_chukanseiri.pdf

*2:もっとも議論が先行しているEUでも、詳細なルールを確定させるのになかなかてこずっているように見えることを考慮するならば、日本だけが突出して一段先の法規制を入れる必要はないだろう、というのは自分も思っていたところである。

*3:「プラットフォーマー規制」と「個人情報保護」の交錯。 - 企業法務戦士の雑感参照。

*4:https://www.jftc.go.jp/soshiki/kyotsukoukai/kenkyukai/platform/kaisai_files/190424_1.pdf

*5:https://www.jftc.go.jp/soshiki/kyotsukoukai/kenkyukai/platform/kaisai_files/190424_2-1.pdf