...

パーソナルデータの利活用に関する制度改正大綱

by user

on
Category: Documents
18

views

Report

Comments

Transcript

パーソナルデータの利活用に関する制度改正大綱
参考資料3
2014 年 6 月 19 日
安岡 寛道
『パーソナルデータの利活用に関する制度改正大綱』の今後について
これまでの「パーソナルデータに関する検討会」
(以降、検討会)の資料・議論(前回
除く)の内容に関しまして、民間の事業者で構成される任意の会合である、
「パーソナル
データに関する勉強会(事務局:片岡総合法律事務所)」
(以降、勉強会)において、これ
までにとりまとめた意見書を、前々回の中間意見に引き続き、紹介させて頂きたいと存じ
ます。
本来は、この勉強会をとりまとめた事務局から、臨場感あふれる説明の機会を頂きたか
ったのですが、今回は大綱の決定が主であるため、委員である私からの参考資料というこ
とで、席上配布ということになりましたが、ぜひご一読頂き、大いに賛同頂ければと存じ
ます。
(詳細の内容は、以降の別添資料にありますので、そちらをご覧頂ければと思います。)
初回の当検討会にて、山本大臣が仰っていた内容(議事録)を再々確認すると、
「このパーソナルデータに関する検討会の使命は、安倍内閣の3本目の矢である成長戦略
の重要な柱の一つである、ビッグデータの利活用による新事業・新サービス創出を促進す
るために、必要な制度やルールづくり・・・」という主旨でした。
そのため、その主旨に沿うように本検討会の大綱案を、事務局が主体となり、各委員や
外部の方々の意見を聞いたうえで慎重に作成頂きました。
しかしながら、様々な意見を踏まえたため、大綱自体は明確にしていない点(あえて「等」
などを入れて曖昧にしている箇所等)を残す形となっております。これらに関して、利活
用の促進が大きな論点であることを考えると、出来るだけグレーゾーンを無くして、事業
者にとって出来るだけやりやすい状況を作り、消費者にも無用な心配を出来るだけ抱かせ
ないようにしていかなければなりません。例えば、ID とは何なのか(パスワードやセキュ
リティコードも含めて ID なのか等)を明確にしないと、現行のビジネスにも影響を与えか
ねません。
従って、今回とりまとめた意見書は、前々回の続きとして、大綱のパブコメ後を見据え
たものとなっており、今後のためにもぜひとも参考にして頂ければと思います。
この意見書に対する率直な私の印象は、前々回と同様に、何でも「反対」でなく、「現行
ビジネスをもとに受入可能範囲」の代案を提示したものと認識しております。
2014 年 6 月 19 日
パーソナルデータに関する検討会における議論に対する意見
パーソナルデータに関する勉強会(注)
(事務局:片岡総合法律事務所)
パーソナルデータに関する検討会において取りまとめが進んでいるパーソナルデータの利活用に関
する制度改正大綱(事務局案・第11回検討会資料)
(以下「大綱案」といいます。)に関連して、これ
までの同検討会における議論に対し、データビジネスの様々な実務に携わる立場から、個人情報保護を
確保しつつ、この分野が持つ大きな潜在的成長性を将来にわたり活かせるよう、下記のとおり、意見を
述べる次第です。
なお、本意見書は、大綱案の方針に基本的には賛成しつつ、今後の立法化に向けた議論において、実
務上の観点から検討いただきたい項目について意見を述べるものです。そのため、便宜上、意見の対象
となる各項目の表題は、大綱案における「第3 制度設計」の表題を使用し、該当箇所を明記しており
ます。
(注:当勉強会の説明)
当パーソナルデータに関する勉強会は、現にデータビジネスを展開している大手事業者の企画部門又
は法務部門等の担当者をメンバーとする勉強会です。
各メンバーは、それぞれの所属団体の責任者の承認を得てこの勉強会に参加し、この意見書の意見に
賛同をするものですが、意見書自体については、時間的又は手続的な制約等によって、各団体内での正
式な承認を受けることが困難である事業者が多いため、所属団体名を表記することについて承認のある
参加事業者を含め、参加事業者についてはその業種のみを注記にて表示をするものです。
【構成メンバーたる参加事業者の業種】 システム関連事業者及びその他の情報通信事業者、流通
小売事業者、電子商取引事業者、ポータルサイト関連事業者、電子マネー事業者、企業ポイント
関連事業者等
各業種の 10 社の事業者の担当者 17 名
また、当勉強会は、片岡総合法律事務所(所長:弁護士片岡義広)の弁護士有志がメンバーとして参
加し、意見取りまとめ等の事務局を務めています。
【参加弁護士等】 片岡義広、伊藤亜紀(当勉強会事務局長)、高松志直、永井利幸の各弁護士4名
及び小山嘉昭当事務所顧問
以上の参加者の合計人数は、合計 22 名となっています。
1
記
意見項目、意見の対象(パーソナルデータに関する検討会・大綱案の該当箇所)及び意見の内容は下
表の通りであり、各意見の詳細は、後述の通りです。
【意見事項まとめ表】
項目
意見の対象
意見の内容
意見1
大綱案10頁
1
個人が特定さ
「個人が特定される可能性を低減
ならないこと及び②個人情報の非識別非特定情報への
れる可能性を
したデータの取扱い」
加工が個人情報の「利用」に該当しないことを法令又
低減したデー
①非識別非特定情報が個人情報保護法の適用対象と
はガイドラインにおいて明確化すべきである。
タの取扱い
2
非識別非特定情報には本人の同意がなくてもデータ
の利活用を可能とする枠組み が適用されないこと
(「個人の特定性を低減したデータ」への加工と本
人の同意の代わりとしての取扱いをすることを要
しないこと)を法令において明文化すべきである。
意見2
大綱案10頁
法令の形式的な文言によって事業者の自主的な対応の
個人が特定さ
「個人が特定される可能性を低
可能性を排斥することのないように、法令上の文言は、
れる可能性を
減したデータの取扱い」
①匿名化の程度については「特定性を低減すれば足りる」
低減したデー
といった文言とすること、②権利侵害のおそれに留意し
タの取扱い
た取扱いについては、事業者による幅広い選択肢を許容
する文言とすることの二点に配慮の上で検討されたい。
意見3
大綱案10頁
個人が特定さ
「個人が特定される可能性を低
る枠組みの在り方としての個人が特定される可能性
れる可能性を
減したデータの取扱い」
を低減したデータの取扱いに関しては、事業者による
1
本人の同意がなくてもデータの利活用を可能とす
低減したデー
加工方法等の公表及び第三者機関による事後的な監
タの取扱い
督で足り、第三者機関に対する加工方法等の情報の提
出及び第三者機関による情報の公開は不要とすべき
である。
2
第三者機関による事前承認について議論が進む場
合、①加工方法等の枠組みその他一定程度の汎用性を
有する内容を承認の対象とすること、②①で取得した
事前承認を他の第三者提供においても活用可能な制度
とすること、③事業者単位で事前承認を行うことにつ
いて検討を進めるべきである。
意見4
大綱案10頁
保護対象の明
「保護対象の明確化及びその取扱
の会員IDを新たな保護対象に含めることについて
確化及びその
い」
は、現行及び将来の実務に過大な影響を与えないよう
1
取扱い
ICカード等(例:電子マネーやポイントカード)
に慎重に検討すべきである。
2
移動履歴及び購買履歴等の特徴的な行動の履歴につ
いては、新たな保護対象に含めない方向で検討すべき
である。
2
3
現行の個人情報保護法よりも保護対象が拡大する場
合、その拡大した保護対象となる情報の取扱いについ
ては、同意取得方法(黙示の同意等)
、共同利用及びオ
プトアウトを含む第三者提供に関する適切なルールを
検討すべきである。
意見5
大綱案11頁
機微情報
「機微情報」
1
個人情報について機微情報の定義を設けて各種規制
を及ぼすことには賛成であるが、直ちに特定の個人の
識別ができない情報(検討会において「準個人情報」
とされているもの)は機微情報に含めるべきではない。
2
機微情報の定義のうち、「社会的身分」は、
「政治的
見解」及び「門地及び本籍地」に限定すべきである。
3
今後の機微情報の検討に際しては、反社会的勢力と
の関係遮断の要請を阻害することのないように検討を
進めるべきである。
4
事業者が本人に対して機微情報の提供を要求する場
合に、本人の同意取得を要件とすることには賛成であ
るが、事業者が意図せず機微情報を取得した場合は、
本人の同意取得を不要とするべきである。
意見6
大綱案11頁
個人情報の取
「個人情報の取扱いに関する見直
「利用目的を変更する際、新たな利用目的による利活用
扱いに関する
し」
を望まない場合に本人が申し出ることができる仕組みを
見直し
取得の際に特定した利用目的を変更することに関し、
設けて本人に知らせることで、利用目的の変更を拒まな
い者のパーソナルデータに限って変更後の利用目的を適
用する」
(大綱案11頁)措置を新設する方向性について
賛成である。
意見7
大綱案11頁
個人情報の取
「個人情報の取扱いに関する見直
は、類型的に悪質なオプトアウトの利用の可能性があ
扱いに関する
し」
る分野に限定する方向で検討すべきである。
見直し
1
2
オプトアウトにおいて本人通知事項等を届け出るの
本人通知事項等の届出に漏れが生じた場合、行政的
な措置につながることはやむを得ないものの、オプト
アウトの効力そのものが全て無効となるわけではない
ことを明確化すべきである。
3
なお、現行法の問題点として、主務官庁の各ガイド
ラインにおいて、オプトアウトの使用を控えること等
が明示されている場合があるところ、この点について
も、オプトアウトの利用を過剰に妨げることがないよ
うに、この機会に整理すべきである。
意見8
大綱案12頁
1
民間主導による自主規制ルール策定・遵守の枠組み
民間主導によ
「民間主導による自主規制ルール
を創設する方向性には総論として賛成できるものの、
る自主規制ル
策定・遵守の枠組みの創設」
各論としては、民間における個人情報の取扱いの要請
ール策定・遵
を適正に反映することが可能な枠組みとなるように
守の枠組みの
慎重に検討すべきである。
創設
2
3
ガイドライン等において、自主規制ルールと法令と
の関係について明確化すべきである。
3
自主規制ルールを取り扱う主体については、今後、
多様な意見や実情を踏まえて検討すべきである。
4
民間の団体による自主規制ルール以外にも、個々の
事業者による自主的な取組みに対して第三者機関が速
やかに認定する仕組みや、そもそも認定手続を経なく
とも、事業者が安心してデータの利活用を進めること
ができるような第三者機関による大枠のルール作りが
望まれるところである。
意見9
大綱案12頁
第三者機関の
「第三者機関の体制整備」
1
第三者機関の機能・権限等として、次の(1)から(3)
までを内容とする事前相談制度を設けるべきである。
体制整備
(1)
違法ではないとの回答がなされた場合又は期限
までに回答がなされない場合は、第三者機関又は
主務大臣は、報告徴収命令等の権限行使を行わな
い。
2
(2)
30日以内に書面による回答を行う。
(3)
相談者の承諾を要件に、相談事例を公表する。
委員及び事務局の過半数を事業者の現役役職員又は
役職員経験者とし、パーソナルデータの利活用が促進
されるような人員構成とすべきである。
意見10
大綱案12頁
第三者機関の
「第三者機関の体制整備」
1
複数の主務官庁への相談や照会等や複数のガイドラ
インの確認等が解消されるように、第三者機関と主務
体制整備
大臣との間の役割分担を明確にするべきである。
2
第三者機関については、法令上の論点に関する解釈
の明確化など、パーソナルデータの利活用を積極的に
促進する調整機関としての役割も強く期待する次第で
ある。
3
立入検査については、事業者への影響の大きさを考
慮し、厳格かつ明確な要件とすべきである。
意見11
大綱案14頁
開示等の在り
「開示等の在り方」
方
開示、訂正等、利用停止等に関し、民事上の請求権を
設ける場合であっても、濫訴を防止するための措置につ
いては、手続的な措置に加え、行使要件の具体的な内容
の検討も対象とした上で、現状の開示、訂正等、利用停
止等に関する実務対応の状況も考慮して慎重に検討すべ
きである。
4
【意見1:個人が特定される可能性を低減したデータの取扱い】
(意見の対象)
大綱案10頁「個人が特定される可能性を低減したデータの取扱い」
(意見の内容)
1
①非識別非特定情報が個人情報保護法の適用対象とならないこと及び②個人情報の非識別非特定
情報への加工が個人情報の「利用」に該当しないことを法令又はガイドラインにおいて明確化すべ
きである。
非識別非特定情報には本人の同意がなくてもデータの利活用を可能とする枠組みが適用されな
2
いこと(
「個人の特定性を低減したデータ」への加工と本人の同意の代わりとしての取扱いをす
ることを要しないこと)を法令において明文化すべきである。
(理由)
1
現行法の解釈について
①非識別非特定情報(一人ひとりが識別されず、かつ、個人が特定されない状態の情報)が個人
情報保護法の適用対象とならないこと、②個人情報の非識別非特定情報への加工そのものが個人情
報の「利用」に該当しないことについては、現状においても異論はないものと思われる。
この点については、
「利用目的の特定は、個人情報を対象とするため、個人情報に該当しない統計
データは対象となりません。また、最終的な利用目的を特定すれば足りますので、統計データへの
加工の過程を利用目的とする必要はありません」
(経済産業省「個人情報の保護に関する法律につい
ての経済産業分野を対象とするガイドライン」等に関するQ&A45番)、
「個人情報に対して、特
定の個人を識別できないようにする加工(いわゆる匿名化)を行うことは、個人情報の利用に当た
らず、利用目的として特定する必要はない」
(総務省「電気通信事業における個人情報保護に関する
ガイドラインの解説」8頁)といった主務官庁の考え方にも示されている。
そこで、法改正によって、この考え方が変更されたという誤解が生じないようにする観点から、
①非識別非特定情報が個人情報保護法の適用対象とならないこと及び②個人情報の非識別非特定情
報への加工が個人情報の「利用」に該当しないことを法令又はガイドラインにおいて明確化すべき
である。
2
今後の改正の在り方
(1)
本人の同意がなくてもデータの利活用を可能とする枠組みとしての個人が特定される可能性
を低減したデータの取扱いについては、プライバシーに影響が生じ得る識別特定情報(個人が識
別され、かつ、特定される状態の情報)及び識別非特定情報(一人ひとりは識別されるが、個人
が特定されない状態の情報)を議論の対象とするものであり、非識別非特定情報については議論
の対象とならないと考えられるところ、この点は現状では必ずしも明確ではないように思われ
る。
(2)
この点に関し、非識別非特定情報については、識別という意味でも、特定という意味でも、一
意性を有しないことが特徴であることからすれば、同情報については、そもそも本人の同意なく
データを利活用することができるものと考えられる。
(3)
実際にも、例えば、統計化したデータ等の非識別非特定情報と合理的に評価できる情報につい
ては、そのデータ中にそもそも個人を観念することができず、当該情報の第三者提供によって個
人のプライバシーを侵害するおそれは乏しいものと考えられる。
(4)
他方、非識別非特定情報の第三者提供に関し、本人の同意がなくてもデータの利活用を可能
とする枠組みとしての個人が特定される可能性を低減したデータの取扱いに関し、例えば、加工
方法等を第三者機関に提出する規制が設けられた場合(検討会資料「
『個人情報』等の定義と
5
『個人情報取扱事業者』等の義務について(事務局案)
〈詳細編〉
」参照)
、かえって非識別非
特定情報の公益的な利活用(例:位置情報等から特定の地域の人口数を分析し、その人口数のデ
ータを災害対応に活用するケース等)の障害となる可能性が生じ妥当でない。
具体的には、統計化したデータ等の非識別非特定情報については、その情報の性質上、①多
数の者に対して情報が提供されることや②情報が転々流通されることが想定されるところ、そ
の第三者提供の全てについて第三者機関への加工方法等の提出が必要とされた場合、①第三者
提供ごとに加工方法等を多数回提出する必要が生じる可能性や②情報が転々流通するごとに加
工方法等を提出する必要が生じる可能性など、実務上過度な負担が生じ、当該情報の適正な利
活用が阻害されるおそれがある。
(5)
以上より、非識別非特定情報には、本人の同意がなくてもデータの利活用を可能とする枠組
みが適用されないこと(「個人の特定性を低減したデータ」への加工と本人の同意の代わりとし
ての取扱いをすることを要しないこと)を法令において明文化すべきである。
6
【意見2:個人が特定される可能性を低減したデータの取扱い】
(意見の対象)
大綱案10頁「個人が特定される可能性を低減したデータの取扱い」
(意見の内容)
法令の形式的な文言によって事業者の自主的な対応の可能性を排斥することのないように、法令上
の文言は、①匿名化の程度については「特定性を低減すれば足りる」といった文言とすること、②権
利侵害のおそれに留意した取扱いについては、事業者による幅広い選択肢を許容する文言とすること
の二点に配慮の上で検討されたい。
(理由)
1 「個人が特定される可能性を低減したデータへの加工方法については、データの有用性や多様性
に配慮し一律には定めず、事業等の特性に応じた適切な処理を行うことができることとする」とい
う(大綱案10頁)考え方については、データの有用性や多様性に配慮した自主的な対応を認める
方向性を示すものといえることから賛成である。
2
そこで、今後の立法化作業においても、上記の方向性を踏まえた法令の文言となるように留意し
つつ検討すべきである。具体的には、法令の形式的な文言によって事業者の自主的な対応の可能性
を排斥することのないように、①匿名化の程度については、「特定性を低減すれば足りる」といっ
た文言とすること、②権利侵害のおそれに留意した取扱いについても、事業者による幅広い選択肢
を許容する文言とすることの二点に配慮の上で法令の文言を検討されたい(この点、平成25年1
2月10日付同WG報告書25頁が「特定の個人を識別することができないようにしたもの」、
「特
定の対象を識別することができないようにしたもの」との表現としているのは、技術的に「完全に
識別できないこと」を要するかのような誤解を生じさせるおそれがあり、同WGにおいて、「個人
が識別される情報が一切推定されない合理的な匿名化水準を汎用的に達成可能にすることは不可
能」であるとして、特定性を低減したデータの取扱いに関する規律を定めることで第三者提供を可
能にするという結論(同WG報告書参照)となった趣旨を反映した文言を検討すべきと考える。
)。
7
【意見3:個人が特定される可能性を低減したデータの取扱い】
(意見の対象)
大綱案10頁「個人が特定される可能性を低減したデータの取扱い」
(意見の内容)
1
本人の同意がなくてもデータの利活用を可能とする枠組みとしての個人が特定される可能性を
低減したデータの取扱いとしては、事業者による加工方法等の公表及び第三者機関による事後的な
監督で足り、第三者機関に対する加工方法等の情報の提出及び第三者機関による情報の公開は不要
とすべきである。
2
第三者機関による事前承認について議論が進む場合、①加工方法等の枠組みその他一定程度の汎
用性を有する内容を承認の対象とすること、②①で取得した事前承認を他の第三者提供においても
活用可能な制度とすること、③事業者単位で事前承認を行うことについて検討を進めるべきであ
る。
(理由)
1(1)
「個人が特定される可能性を低減したデータの取扱い」に関し、加工方法等を第三者機関に
提出する規制が検討されているが(検討会資料「『個人情報』等の定義と『個人情報取扱事業者』
等の義務について(事務局案)〈詳細編〉」参照)、第三者機関への提出に代えて、事業者に加工
方法等を公表することを義務付けた場合であっても、第三者機関は、当該加工方法等を把握する
ことができ、その内容を踏まえた事後的な監督を行うことができる。そのため、加工方法等の監
督を目的とする制度としては、①加工方法等を事業者が公表すること及び②第三者機関の事後監
督で十分であると考える。
(2)
また、仮に第三者機関に対する加工方法等の提出が義務付けられた場合、提供ごとの加工方
法等の多数回にわたる提出やデータの二次移転における加工方法等の再提出等が必要となる可
能性があり、このような対応が必要となる場合、実務上過度な負担が生じることとなる。他方で、
加工方法等の提出という手法によって、行政監督の実効性が実質的に向上することも想定し難い
ものと考えられる。
(3)
さらに、第三者機関による情報公開の当否については、加工方法等の多様性、複雑性及び機
密性を考慮した場合、かかる判断を第三者機関が独自に行うことは実現可能性の観点から困難で
あると思われる(具体的には、事業者の協力による墨塗り等が必要となる可能性も否定できず、
かかる対応を行わざるを得ないようであれば、事業者が加工方法等を自ら公表する方がより適切
であると考えられる。
)。
また、パーソナルデータの利活用に関するビジネスを実施する事業者にとっては、その加工
方法等はビジネスモデルの中核をなすものであり、当該事業者の重要な知的財産といえる。公
正な競争によるパーソナルデータの利活用の健全な発展を促す観点からも、加工方法等につい
て公表を義務付けることは望ましくないものと考えられる。
(4)
そして、情報を取り扱われる本人としても、第三者機関によって情報が公開されるよりも、
自らが関係を有する事業者のウェブサイト等で加工方法等を確認できる方が納得感や安心感を
抱きやすいものと思われる。
(5)
以上からすれば、加工方法等の情報の取扱いについては、①事業者による加工方法等の公表
及び②第三者機関による事後的な監督で足り、第三者機関に対して加工方法等の情報を提出する
こと及び第三者機関が加工方法等を公開することは不要とすべきである。
2
なお、第三者機関による事前承認の当否について議論が進む場合、①加工方法等の枠組みその他
一定程度の汎用性を有する内容を承認の対象とすること、②①で取得した事前承認を他の第三者提
8
供においても活用できることを前提とした制度とすることの検討を進めるべきである。また、③事
業者単位で事前承認を行う制度(事業者認証制度)についても、検討の対象とすべきものと考える。
9
【意見4:保護対象の明確化及びその取扱い】
(意見の対象)
大綱案10頁
「保護対象の明確化及びその取扱い」
(意見の内容)
1
ICカード等(例:電子マネーやポイントカード)の会員ID(以下「会員ID」という。
)を新
たな保護対象に含めることについては、現行及び将来の実務に過大な影響を与えないように慎重に
検討すべきである。
移動履歴及び購買履歴等の特徴的な行動の履歴については、新たな保護対象に含めない方向で検
2
討すべきである。
3
現行の個人情報保護法よりも保護対象が拡大する場合、その拡大した保護対象となる情報の取扱
いについては、同意取得方法(黙示の同意等)
、共同利用及びオプトアウトを含む第三者提供に関す
る適切なルールを検討すべきである。
(理由)
1(1)
技術WGの報告書では、移動履歴や購買履歴について、「何が特徴的な行動履歴で何がそうで
ないかを一律の基準に基づいて判断することは困難」
(技術WG報告書10頁)であり、現時点
では、保護対象に含めずに「実態を踏まえたより詳細な検討を加えることが必要」(同11頁)
と結論づけている(なお、移動履歴や購買履歴についての意見は後述する。)。ところが、現状
実務において、移動履歴や購買履歴の情報は、電子マネーやポイントカードに付された会員 ID
を伴う形で流通し、決済機能への活用やデータの分析等が行われており、このような会員 ID が
新たな保護対象となる場合には、実質的に移動履歴や購買履歴が一律に保護対象となるのと同
様の結果となるおそれがあり、具体的には、以下(2)及び(3)のような現状の実務への影響が予
想される。
店舗で発行される無記名のポイントカード等による購買履歴の分析は、 パーソナルデータの
(2)
利活用として想定される典型的な事例といえるところ、特段の手当てが講じられることなく、
会員IDが個人情報保護法の新たな保護対象となった場合、かかるパーソナルデータの利活用に
大きな支障が生じることは避けられない。例えば、会員IDが新たな保護対象となったことに伴
い、カード発行の際に会員IDの第三者提供について同意が必要となるとすれば、店頭において
無記名で発行される店舗の電子マネーやポイントカードなどは、発行自体が困難となる可能性も
ある。また、現行のビジネスのみならず、会員IDをベースとした将来の多様なビジネス展開に
も大きな萎縮的効果を生じさせるおそれもある。
(3)
また、会員IDは、決済手段の情報としての性質上、カードが使用された店舗から電子マネー
やポイントの発行会社に対して会員ID及び当該電子マネーの決済情報 や当該ポイント付与
のための情報が提供されるところ、これらの情報提供について第三者提供の規制が一律に課さ
れる場合には、データの利活用以前の問題として、電子マネーやポイントの本来的な利用(決
済手段としての利用)が制限され、これらの決済手段が社会に定着しているものにもかかわら
ず、新たに利用者に同意等を強いる結果にもなりかねない。かかる結果となる場合、利用者の
目線からしても、利便性が損なわれることとなる(この点に関しては、決済手段の社会的な重
要性を考慮すれば、ガイドライン等において、これらの本来的な利用が制限されないことを明
確化する必要があるものと考える。
)。
(4)
そこで、会員IDがパーソナルデータの利活用はもとより、決済手段としての電子マネーやポ
イントの利用に欠かせない情報として現実に利用されている実態を踏まえ、会員IDを新たな保
護対象に含めることについては、現行及び将来の実務に過大な影響を与えないように慎重に検討
10
すべきである。
(5)
なお、クレジットカード番号のみをもって保護対象とすべきとの議論もあるが、クレジットカ
ードによる決済時には、上記(3)と同様に、加盟店からカード発行者(及び国際ブランドやアク
ワイアラー等の関係者)にカード番号及び取引の情報が提供されることによりカード決済が可能
になる。この場合の情報の提供が制限されることになれば、決済手段として欠くことのできない
クレジットカードの利用が著しく阻害されることとなる。
よって、このような現状の実務が滞ることのないよう保護対象及びその取扱いについては慎重
に検討いただきたい。
移動履歴及び購買履歴等の特徴的な行動の履歴は、それぞれの情報のみによっては、特定の
2(1)
個人を識別する可能性は高いものとはいえず、指紋認識データや顔認識データ等の個人の身体的
特性に関する情報と比して、その要保護性は必ずしも高くはないと考えられる。
(2)
他方、移動履歴及び購買履歴等の特徴的な行動の履歴については、大量かつ多様な情報が各
事業者において発生し、個人の識別につながり得るものはごく一部と考えられるところ、これら
の情報について、プライバシー保護の観点から保護の対象とされる場合、大量の行動履歴のうち
一部の情報を抽出するなど、法規制への対応を実現することは困難であり、その結果、事業者が
移動履歴や購買履歴等の特徴的な行動の履歴を取得するサービスの提供を行うこと自体につい
て萎縮的な効果が生じる可能性により、かえってパーソナルデータの利活用を阻害するおそれが
ある。例えば、ごくありふれた購買履歴であっても、情報を一定程度加工しなければ利活用で
きないとすれば、パーソナルデータの利活用をめざす法改正の趣旨を没却することとなる。
(3)
また、移動履歴や購買履歴等の特徴的な行動の履歴が新たに保護対象とされた場合、その第
三者提供を想定して、利用者がポイントやクーポン等のサービスを受けるに際して事業者の店頭
で、その都度同意を取得する等実務上煩雑な手当てが必要となる可能性が生じ、利用者の目線か
らしても利便性が損なわれるおそれもある。
(4)
以上より、移動履歴及び購買履歴等の特徴的な行動の履歴については、新たな保護対象に含
めない方向で検討すべきである。
3
保護対象の範囲の問題とは別に、現行の個人情報保護法よりも保護対象が拡大する場合には、そ
の新たな保護対象となる情報について、①(個人が特定できなくても、一意性を確保すること等に
よって)同意を取得すること(黙示の同意等)
、②共同利用を行うこと又は③オプトアウトを実施す
ることが可能なケースもあり得ることから、新たに保護対象となる情報の利活用に実務上不当な支
障が生じることのないように、その拡大した保護対象となる情報の取扱いについては、同意取得方
法(黙示の同意等)
、共同利用及びオプトアウトを含む第三者提供に関する適切なルールを検討すべ
きである。
11
【意見5:機微情報】
(意見の対象)
大綱案11頁
「機微情報」
(意見の内容)
1
個人情報について機微情報の定義を設けて各種規制を及ぼすことには賛成であるが、直ちに特定
の個人の識別ができない情報(検討会において「準個人情報」とされているもの)は機微情報に含
めるべきではない。
2
機微情報の定義のうち、「政治的見解」及び「門地及び本籍地」などに限定すべきである。
3
今後の機微情報の検討に際しては、反社会的勢力との関係遮断の要請を阻害することのないよう
に検討を進めるべきである。
4
事業者が本人に対して機微情報の提供を要求する場合に、本人の同意取得を要件とすることには
賛成であるが、事業者が意図せず機微情報を取得した場合は、本人の同意取得を不要とするべきで
ある。
(理由)
1(1)
個人情報である機微情報について、その他の個人情報よりも強い規制を及ぼすことは、本人に
とっては他人に知られたくない情報の保護に資するものであり、賛成である。
(2)
他方、検討会において「準個人情報」とされているものは、直ちに特定個人と結びつくもので
はなく個人を保護する必要性が低い情報であるし、本人の同意がなくてもデータの利活用の対象
となる可能性があるから、機微情報としての規制対象とすべきではない。
2(1)
「社会的身分」は、憲法第14条に由来する文言であると思われるが、その意味については、
「生来の身分」
、
「自己の意志をもってしては離れることのできない固定した地位」などと狭く解
する説、職歴や学歴等を含み得るとの誤解を生じる「人が社会において一時的ではなしに占める
地位」などと広く解する説などがあり、解釈上の対立が生じている。
(2)
上記のとおり定義に曖昧さを残す文言で機微情報を定義した場合、事業者が機微情報か否か
の判断を行うことが困難となり、利活用に支障が生じるおそれがあるほか、各事業者間で取扱
いの足並みが揃わないおそれもあることから、
「社会的身分」に代わる具体的な文言によって定
義を行うべきである。
(3)
そこで、かかる具体的な定義として、「社会的身分」に代えて、「政治的見解」及び「門地及
び本籍地」に限定することが考えられる。
3
前科及び前歴については、反社会的勢力(犯罪対策閣僚会議幹事会申合せ「企業が反社会的勢力
による被害を防止するための指針」参照)との関係遮断の観点から、事業者による確認が必要とな
る場合がある。例えば、報道情報や過去の取引情報その他のデータベースにおいて、取引の相手方
(本人)の前科及び前歴を事業者が確認することが実務上想定される。
このような場合においてまで、その前科及び前歴の情報の取得に取引の相手方の同意を要するこ
とになると、反社会的勢力との関係遮断の要請が達成できないおそれがある。
そこで、前科及び前歴を機微情報に含める検討に際しては、反社会的勢力との関係遮断の要請を
阻害することのないように検討を進めるべきである。
4(1)
事業者が本人に対して機微情報の提供を申し入れる場合に、本人の同意により取得し、取り扱
うことを可能とすることには賛成である。
(2)
しかし、①本人が提出書類の自由記載欄に本籍地などの機微情報を記載したケースなど、本人
の行動により事業者が意図せず機微情報を取得するに至った場合や、②事業者が保管する情報を
分析した結果、事業者が意図せず機微情報を取得するに至った場合にまで同意取得が必要となる
12
のは、事業者に過大又は実行不可能な負担を負わせることとなる。
(3)
それゆえ、同意取得が必要となるのは、事業者が本人に対して機微情報の提供を要求し、この
要求に応じた本人から機微情報を取得した場合に限るものとし、事業者が意図せず機微情報を取
得した場合は、同意取得を要しないこととすべきである。
13
【意見6:個人情報の取扱いに関する見直し】
(意見の対象)
大綱案11頁
「個人情報の取扱いに関する見直し」
(意見の内容)
取得の際に特定した利用目的を変更することに関し、「利用目的を変更する際、新たな利用目的に
よる利活用を望まない場合に本人が申し出ることができる仕組みを設けて本人に知らせることで、利
用目的の変更を拒まない者のパーソナルデータに限って変更後の利用目的を適用する」(大綱案11
頁)措置を新設する方向性について賛成である。
(理由)
1
個人情報を取得する際には、法第15条に基づき、できる限り特定した利用目的を「あらかじめ
公表」又は「速やかに本人に通知又は公表」しなければならないとされ、利用目的について本人の
同意は必要とされていない(法第18条第1項)
。
他方、当初特定した利用目的の達成に必要な範囲を超えて個人情報を取り扱う場合には、あらか
じめ本人の同意が必要とされる(法第16条第1項)結果、利用目的を追加・変更する場合には、
取得時の取扱いと異なり、当初の目的と相当の関連性を有すると合理的に認められる範囲の変更
(法第15条第2項)を除き、本人の同意が必要となる。
この点に関しては、以下の理由により、利用目的の変更に関する同意を不要とすることが望まれ
る。
2
まず、実務上、当初想定しなかった目的にデータを利用したいというニーズ(過去に取得したデ
ータをその取得時の目的の範囲を超えて利用したいというニーズ)は事業者において高く、利用目
的の変更に同意が不要とされることによるパーソナルデータの利活用の促進効果は高いものと思
われる。他方、利用目的の変更について同意を要しないとしても、取得時に同意を不要とした現行
法と比較して利用者の保護に欠けるものではなく、また、事後的にオプトアウトの手続を定めるこ
とにより、利用者が意に沿わない利用目的の変更を回避する道を確保することも可能となる。
3
法第23条第2項では、個人データの第三者提供についてオプトアウトの手続を定めているが、
同項第1号の「第三者への提供を利用目的とすること」という要件について、個人情報の取得時に
第三者提供を利用目的としていない場合には、取得済みの個人情報に関する利用目的の変更が必要
となる。そして、利用目的の変更には、上記のとおり、本人の同意が必要になることから、結果と
して、第三者提供について本人の同意を得る手続と同じとなり、現行法第23条第2項のオプトア
ウト手続が形骸化する要因となっている。
4
以上から、「利用目的を変更する際、新たな利用目的による利活用を望まない場合に本人が申し
出ることができる仕組みを設けて本人に知らせることで、利用目的の変更を拒まない者のパーソナ
ルデータに限って変更後の利用目的を適用する」(大綱案11頁)措置を新設する方向性について
賛成である。
14
【意見7
個人情報の取扱いに関する見直し】
(意見の対象)
大綱案11頁「個人情報の取扱いに関する見直し」
(意見の内容)
1
オプトアウトにおいて本人通知事項等を届け出るのは、類型的に悪質なオプトアウトの利用の可
能性がある分野に限定する方向で検討すべきである。
2
本人通知事項等の届出に漏れが生じた場合、行政的な措置につながることはやむを得ないもの
の、オプトアウトの効力そのものが全て無効となるわけではないことを明確化すべきである。
3
なお、現行法の問題点として、主務官庁の各ガイドラインにおいて、オプトアウトの使用を控え
ること等が明示されている場合があるところ、この点についても、オプトアウトの利用を過剰に妨
げることがないように、この機会に整理すべきである。
(理由)
1
大綱案においては、オプトアウトに関し、「現行法の要件に加え、第三者機関に対し、法に定め
る本人通知事項等を届け出ることとする」とされている。この方向性について異論を述べるもので
はないものの、適切にオプトアウトの対応を行っている事業者も含めて一律にかかる届出を必要と
することについては、当該届出を設ける趣旨(悪質事業者の把握)に照らして過剰の規制となるも
のと考えられる。
そこで、当該届出を要する事業者は、類型的に悪質なオプトアウト利用の可能性がある分野(名
簿事業等)に限定する方向で検討すべきである。
2
仮に全事業者にオプトアウトの届出が義務付けられた場合、大量の情報を取り扱う事業者等にお
いては、社内的な手続上の不備等により、届出に漏れが生じるという事態も可能性としては想定さ
れる。このようなケースにおいて、オプトアウトが全て無効となるとすれば、本人の同意を改めて
取得する必要が生じることとなり、規制の趣旨と比して過大な負担が事業者に生じることとなる。
そこで、本人通知事項等の届出に漏れが生じた場合、行政的な措置につながることはやむを得な
いものの、オプトアウトの効力そのものが全て無効となるわけではないことを明確化すべきであ
る。
3
なお、現行法の問題点として、主務官庁の各ガイドラインにおいて、オプトアウトの使用を控え
ること等が明示されている場合がある(経済産業分野のうち信用分野における個人情報保護ガイド
ライン、電気通信事業における個人情報保護に関するガイドラインの解説等)
。この点についても、
今後のオプトアウトの利用を過剰に妨げることがないように、この機会に整理すべきである。
15
【意見8
民間主導による自主規制ルール策定・遵守の枠組みの創設】
(意見の対象)
大綱案12頁「民間主導による自主規制ルール策定・遵守の枠組みの創設」
(意見の内容)
1
民間主導による自主規制ルール策定・遵守の枠組みを創設する方向性には総論として賛成できる
ものの、各論としては、民間における個人情報の取扱いの要請を適正に反映することが可能な枠組
みとなるように慎重に検討すべきである。
2
ガイドライン等において、自主規制ルールと法令との関係について明確化すべきである。
3
自主規制ルールを取り扱う主体については、今後、多様な意見や実情を踏まえて検討すべきであ
る。
4
民間の団体による自主規制ルール以外にも、個々の事業者による自主的な取組みに対して第三者
機関が速やかに認定する仕組みや、そもそも認定手続を経なくとも、事業者が安心してデータの利
活用を進めることができるような第三者機関による大枠のルール作りが望まれるところである。
(理由)
1(1)
民間主導による自主規制ルール策定・遵守の枠組みを創設する方向性そのものについては、
民間の自主的な運用を尊重し、併せて第三者機関によってパーソナルデータの利活用の促進を図
る枠組みとして総論として賛成できる。特に、第三者機関によって、従来の主務官庁制では対応
が困難と思われる論点の解釈の明確化等が達成できるのであれば、実務界としても歓迎すべき制
度となるため、第三者機関にはかかる機能の発揮を期待する次第である。
(2)
もっとも、各論的には、第三者機関による「認定」の運用が硬直的にならないことが、民間主
導による自主規制ルール策定の取組みを事実上阻害する結果を回避し、民間の自主的な取組みを
最大限活用する観点を考慮すれば、この枠組みが機能するための必須の条件となるものと考えら
れる。
そこで、「認定」の在り方としては、具体的には、例えば、①「認定」の要件としては大枠の
みを提示し、その大枠から外れていない自主規制ルールについては幅広く「認定」する、②一定
の要件(例:パブリックコメントの実施や消費者サイドの意見聴取等)を充足している場合には
原則として「認定」する(緩やかな準則主義)といった方向性が選択肢として考えられる。
以上を踏まえ、民間における個人情報の取扱いの要請を適正に反映することが可能な枠組みと
なるように慎重に検討すべきである。
2
この枠組みに沿って作成された自主規制ルールに従っていれば適法性が担保されることについ
ては、ガイドライン等において明確にすべきである。他方で、自主規制ルールには沿っていなくと
も、法令に沿った取扱いであれば別途適法となり得ることから、「自主規制ルールに沿っていなく
ても、法令を遵守していれば適法となることは当然である」ことについても、注意的に明確化すべ
きである。
3
なお、自主規制ルールを検討する主体としては、団体が必ずしも適切というわけではなく、主体
的に個人情報保護を推進する事業者が任意に連携して自主規制ルールを検討すること等も排斥さ
れるべきではないと考える。自主規制ルールの枠組みについては多様な類型が想定されることか
ら、現時点で団体のみに主体を限定すべきではなく、今後、多様な意見や実情を踏まえて検討すべ
きである。
4
以上の民間団体による自主規制ルールの枠組みに加え、「利活用の壁」を取り払うための環境整
備も重要である。
この点に関し、大綱案5頁の「制度改正の趣旨」において、「グレーゾーンの発生・拡大のため
に、プライバシーに係る社会的批判を受けて、パーソナルデータの利活用に躊躇するという『利活
16
用の壁』が出現しており」
、この「
『利活用の壁』を取り払い、これまでと同様に個人の権利利益の
侵害を未然に防止しつつ、新産業・新サービスの創出と国民の安全・安心の向上等のための利活用
を実現する環境整備を行うこと」と明記されている。
この点、新産業・新サービスの創出においては、他の事業者に先駆けてビジネス展開をすべきと
ころ、業界団体での問題の共有やルール作り、更に、マルチステークホルダープロセスを経ること
が必ずしも適当ではない場合も想定される。そして、このような新産業・新サービスにおいてこそ、
「利活用の壁」は顕在化すると考えられる。
よって、民間主導の枠組みを検討するにあたっては、民間の団体による自主規制ルール以外にも、
個々の事業者による自主的な取組みに対して第三者機関が速やかに認定する仕組み(意見9で後述
する第三機関の事前相談制度を併せて参照されたい。)や、そもそも認定手続を経なくとも、事業
者が安心してデータの利活用を進めることができるような第三者機関による大枠のルール作りが
望まれるところである。
17
【意見9:第三者機関の体制整備】
(意見の対象)
大綱案12頁
「第三者機関の体制整備」
(意見の内容)
1
第三者機関の機能・権限等として、次の(1)から(3)までを内容とする事前相談制度を設けるべき
である。
(1)
違法ではないとの回答がなされた場合又は期限までに回答がなされない場合は、第三者機関又
は主務大臣は、報告徴収命令等の権限行使を行わない。
2
(2)
30日以内に書面による回答を行う。
(3)
相談者の承諾を要件に、相談事例を公表する。
委員及び事務局の過半数を事業者の現役役職員又は役職員経験者とし、パーソナルデータの利活
用が促進されるような人員構成とすべきである。
(理由)
1(1)
個人情報保護法上の取扱いが不明確であることを理由に事業者がパーソナルデータの利活用
を躊躇することがないよう、第三者機関における事前相談制度を新設し、違法でないとの回答が
なされた場合に第三者機関又は主務大臣による報告徴収命令等の権限行使が制約される仕組み
を設けるべきである。
(2)
事前相談制度を設けるにあたっては、事前相談への回答が短期間でなされないと新規事業の立
上げに支障が生じるおそれがあるから、回答期限を設け、この期限までに回答がなされない場合
には、違法ではないとの回答がなされたものとみなす仕組みとするべきである。
具体的な回答期限としては、公正取引委員会における事前相談制度と同様に、30日以内とす
ることが考えられる。
(3)
また、重複相談による第三者機関の負担を軽減しつつ事業者の予測可能性を高めるために、他
の事業者がパーソナルデータの利活用を行うにあたり参考となる相談事例について、相談者の承
諾を得た上で、相談事例集として公表するべきである。なお、この公表に関しては、相談事例集
に公表されている事例のみが適切なものとして取り扱われることのないように(類似の事案にお
いて相談事例集と同様の方法を採ることが事実上強制されることのないように)
、公表方法や取
扱いについて留意した制度とすべきである。
2(1)
「委員を増員し、パーソナルデータの保護に配慮しつつ、その利用・流通が促進されるよう
バランスのとれた人選を実現すべく要件を定める」(大綱案13頁)こと、「事務局について必
要な体制の構築を図る」
(大綱案13頁)ことについては、それぞれ賛成である。
(2)
委員の人選や事務局の体制構築にあたっては、プライバシー保護に偏った人選となると、過
剰に保守的なガイドラインが示されることなどにより、事業者によるパーソナルデータの利活
用を萎縮させる効果が生じる可能性が生じ得る。そこで、委員及び事務局の過半数を事業者の
現役役職員又は役職員経験者とし、パーソナルデータの利活用が促進されるような人員構成と
するなど、実際にパーソナルデータを利活用する事業者の実情を適正に反映できる人選及び体
制構築を検討すべきである。
18
【意見10:第三者機関の体制整備】
(意見の対象)
大綱案12頁「第三者機関の体制整備」
(意見の内容)
1
複数の主務官庁への相談や照会等や複数のガイドラインの確認等が解消されるように、第三者機
関と主務大臣との間の役割分担を明確にするべきである。
2
第三者機関については、法令上の論点に関する解釈の明確化など、パーソナルデータの利活用を
積極的に促進する調整機関としての役割も強く期待する次第である。
3
立入検査については、事業者への影響の大きさを考慮し、厳格かつ明確な要件とすべきである。
(理由)
1
「独立した第三者機関を設置する趣旨に鑑み、第三者機関と各府省大臣との役割の明確化を図る
とともに、重畳的な執行を回避し効率的な運用を行うために、緊密な連携のもと業務を行うことと
する」(大綱案13頁)には賛成である。
複数の主務官庁への相談や照会等や複数のガイドラインの確認等が解消されるように、第三者機
関と主務大臣との間の役割分担を明確にするべきである。
2
また、第三者機関については、監督の実効性の向上だけではなく、各業界、業種、規模の実態も
踏まえつつ新たな産業の創出をも視野にいれた法令上の論点に関する解釈の明確化など、従来の主
務官庁制では対応が困難と思われるパーソナルデータの利活用を積極的に促進する調整機関として
の役割も強く期待する次第である。
3
事業者に対して立入検査が実施された場合、その影響は相当程度大きなものとなることから、
「立
入検査の可能性がある」というだけで、パーソナルデータの利活用に対して不必要な萎縮的効果が
生じるおそれがある。また、個人情報に関する必要最小限の行政的な規律を定める個人情報保護法
の位置付けからすれば、その他の事業者規制法と異なり、抽象的な要件によって立入検査を可能と
することは適切ではないと考えられる。
そこで、立入検査については、事業者への影響の大きさを考慮し、厳格かつ明確な要件とすべき
である。
19
【意見11:開示等の在り方】
(意見の対象)
大綱案14頁「開示等の在り方」
(意見の内容)
開示、訂正等、利用停止等(以下「開示等」という。
)に関し、民事上の請求権(以下併せて「開示
等請求権」という。)を設ける場合であっても、濫訴を防止するための措置については、手続的な措置
に加え、行使要件の具体的な内容の検討も対象とした上で、現状の開示等に関する実務対応の状況も
考慮して慎重に検討すべきである。
(理由)
1(1)
個人情報取扱事業者について開示等に応じる義務を定める現行法の規律による場合、各事業者
は、不開示等事由に該当しない限り、開示等に応じる必要があることから、重ねて民事上の開示
等請求権を認める実益は乏しく、民事上の開示等請求権は例外的にのみ許容されるべきである。
また、訴訟において個別救済が必要不可欠な場合には、事業者と本人との間の契約解釈や信義則
による開示等請求権が認められる可能性もあるところ、かかる個別救済の限度を超えて、本人の
権利侵害の程度を考慮することなく一律に開示等請求権を設けることは、司法と行政の役割分担
という観点から適切ではなく、かかる観点からも、開示等請求権の手続や要件は謙抑的に定めら
れるべきである。
(2)
また、開示等請求権を一律に認める場合、任意の開示等請求に応じる意思を有する事業者に対
する訴訟提起など、濫訴のおそれも当然に予想されるところである。
(3)
以上より、開示等請求権を設ける場合であっても、濫訴を防止するための措置については、手
続的な措置に加え、行使要件の具体的な内容の検討も対象とした上で、現状の開示等に関する実
務対応の状況も考慮して慎重に検討すべきである。
2
具体的には、以下のような制度を検討すべきである。
(1)
手続的な措置
ア
開示等請求権に基づく訴訟提起に先立ち、現行法で定められている事業者に対する任意の開
示等の請求を先行して行うことを必須とする措置(任意の開示等請求前置主義)は、濫訴防止
措置として有益と考えられることから、かかる措置の設置を検討すべきである。
イ
また、訂正等や利用停止等に先立って、開示訴訟の先行を求めるなど、請求権相互の関係に
ついても、適切な制度設計を検討すべきである。
(2)
行使のための要件
ア
現行法の開示等の請求とは異なり、不開示事由を定めるだけではなく、積極的な行使のため
の要件を規定するべきである。具体的には、例えば、
「侵害情報の流通によって当該開示の請
求をする者の権利が侵害されたことが明らかであるとき」や「当該発信者情報が当該開示の請
求をする者の損害賠償請求権の行使のために必要である場合その他発信者情報の開示を受け
るべき正当な理由があるとき」(特定電気通信役務提供者の損害賠償責任の制限及び発信者情
報の開示に関する法律第4条第1項第1号及び第2号)といった他の法律における開示等の請
求権の要件を参考にして検討すべきである。
併せて、これらの要件については、立証責任の観点から、開示等請求権を行使する本人が主
張立証を行うことが必要となることを明確にすべきである。
イ
不開示事由についても、現行法の開示等の請求に関する内容をそのまま規定するのではな
く、訴訟提起に関する要件となることを考慮して、より厳格な要件とすることを検討すべきで
ある。
20
ウ
さらに、濫訴そのものを防止するための訴訟提起の要件(本案前の訴訟要件)についても、
併せて要否を検討すべきである。
以上
21
Fly UP