この
この
リクナビ
プロファイリングや
GDPRなど、
これらの
ブログでは、
a.
b.
c.
ブログの
これらの
この
プロファイリングや
つまり、「
このように
パブリックコメントを
いずれにしても、
そして、「それが、
その
つまり、
この
どう「ヤバい」のかは、
この
高木 :実 は、令 和 2年 改正 の検討 段階 では、民間 部門 も利用 目的 特定 義務 を厳密 にしようとする動 きはありました。検討 の初期 、2019年 春 の時点 で、利用 停止 請求 権 の強化 と合 わせて、保有 個人 データの利用 目的 公表 義務 を厳密 化 することが考 えられていたようです。そして、絶妙 なタイミングで立法 事実 となったのが、同年 夏 に発覚 したリクナビ事件 です。リクナビ
事件 では、個人 情報 保護 委員 会 が出 した勧告 は、リクナビが就活 生 の個人 データを本人 同意 なく第三者 提供 していた点 の違法 を指摘 するものでしたが、世論 としては、本人 同意 があればやって良 いことなのかが問題 視 されました。もし利用 目的 が、「あなたのWeb閲覧 履歴 から、あなたが内定 を得 た各 求人 企業 について、あなたがその内定 をどのくらい辞退 する可能 性 があるかを算出 し、その求人 企業 に提供 します。」と明示 されていたら、同意 する就活 生 なんていませんよね。就活 生 を何 かしら騙 して「同意 」を得 た形 にする以外 に、成 り立 ちようのない事業 だったわけです。厚労省 職業 安定 局 も、「本人 同意 があったとしても直 ちに解消 する問題 ではなく、職業 安定 法 第 51条 第 2項 に違反 する恐 れもある」として、「今後 、募集 情報 等 提供 事業 や職業 紹介 事業 等 の本旨 に立 ち返 り、このような事業 を行 わないようにすること。」と、業界 団体 に通達 する展開 になったのでした。—— そうでした。
高木 : このとき、個人 情報 保護 委員 会 が、第三者 提供 のところを捉 えてしか違法 を指摘 できなかったところに、日本 の個人 情報 保護 法 の欠陥 が露 わになったと言 えます。もしこの事案 が、求人 企業 がリクナビに委託 する形 で整理 されたら、日本 法 では合法 ということになってしまいます。この
事件 を受 けて、同年 12月 の「制度 改正 大綱 」では、「適正 な利用 義務 の明確 化 」が盛 り込 まれ、「適正 とは認 めがたい方法 による、個人 情報 の利用 を行 ってはならない旨 を明確 化 することとする。」としていました。リクナビのような個人 データ利用 が禁止 されるのかなと期待 されたのでしたが、開 けて悔 しき玉手箱 、最終 的 に出来上 がった改正 法 は、そうはなりませんでした。—— ならなかったんですか!
高木 :令 和 2年 改正 で新設 される「不 適正 利用 の禁止 」(改正 後 19条 )は、「違法 又 は不当 な行為 を助長 し、又 は誘発 するおそれがある方法 」の利用 を禁止 しているだけです。ガイドライン通則 編 に記載 された該当 例 は、暴力団 員 ガーとか、貸金 業者 ガーとか、違法 薬物 ガーとか、犯罪 的 な香 りのするものばかりですし、「採用 選考 」の例 もあるにはあるのですが、「性別 、国籍 等 の特定 の属性 のみにより、正当 な理由 なく本人 に対 する違法 な差別 的 取扱 いを行 うために」となっていて、内定 辞退 予測 は該当 しないと判断 した様子 がうかがえます。—— 「
不当 な行為 」には当 たらないのですか?「不当 な行為 」とは?
高木 : ガイドライン通則 編 ではこう説明 されています。「『違法 又 は不当 な行為 』とは、法 (個人 情報 の保護 に関 する法律 )その他 の法令 に違反 する行為 、及 び直 ちに違法 とはいえないものの、法 (個人 情報 の保護 に関 する法律 )その他 の法令 の制度 趣旨 又 は公序良俗 に反 する等 、社会 通念 上 適正 とは認 められない行為 をいう。」と。つまり、元 から違法 だった行為 を、「助長 ・誘発 するおそれがある方法 」まで広 げて事前 抑止 するだけなのですね。「制度 趣旨 に反 する行為 」も対象 ですが、その「制度 趣旨 」が何 なのかが不明 なままです。——
利用 目的 特定 義務 の厳密 化 の方 は、どうなったのですか?
高木 : こちらも残念 な結果 でした。「保有 個人 データの適正 な取扱 いの確保 に関 し必要 な事項 として政令 で定 めるもの」(現行 27条 1項 4号 )の公表 事項 に、「保有 個人 データの処理 の方法 」が追加 されることになっていたのですが、開 けて見 たれば鳥 の糞 、追加 されたのは「安全 管理 のために講 じた措置 」でした。また漏 えいの話 してる。これは何 の意味 もありませんね。それから、ガイドライン
通則 編 に若干 の追記 があり、注 の※1に、「本人 から得 た情報 から、本人 に関 する行動 ・関心 等 の情報 を分析 する場合 」の例 が加 えられたのですが、「どのような取扱 いが行 われているかを本人 が予測 ・想定 できる程度 に利用 目的 を特定 しなければならない」と言 っているだけで、何 を要件 にしているのかが不明 です。ここの例示 に、本来 はリクナビ事案 が入 る予定 だったようですが、なぜかボツになっています。—— ボツと
言 いますと?2020
年 10月 時点 の委員 会 の検討 資料 では、「履歴 書 や面接 で得 た情報 のみならず、(本人 が分析 されることを想定 していない)行動 履歴 等 の情報 を分析 し、人事 採用 に活用 するケース」の例 を載 せる予定 があったようで、そこには、悪 い公表 の例 として、「取得 した情報 を採否 の検討 ・決定 のために利用 いたします」と書 かれており、良 い公表 の例 として、「履歴 書 や面接 で得 た情報 に加 え、行動 履歴 等 の情報 を分析 して、当該 分析 結果 を採否 の検討 ・決定 のために利用 いたします。」と書 かれていました。これが、パブコメにかけられたガイドライン改正 案 の時点 で丸 ごと消 えていました。なぜボツになったのかは不明 です*2。パブコメで理由 を問 えばよかったのですが、残念 ながら見落 としました。—— リクナビ
事件 を踏 まえた対策 はできなかったということですね。
高木 : そういうことになりますね。「制度 改正 大綱 」では「適正 な利用 義務 の明確 化 」を予定 していたのに、できた改正 法 は「不 適正 利用 の禁止 」となり、反転 されてしまいました。私 の感触 では、個人 情報 保護 委員 会 事務 局 はやる気 あるように見 えていたのですが、「不 適正 利用 の禁止 」が限定 的 なものに留 まったのは、内閣 法制 局 を通 せなかったのではないですかね。もちろんそれは、
法制 局 を通 るような理由 づけを立案 当局 である個人 情報 保護 委員 会 が示 せなかったということでしょう。理由 のはっきりしない規定 を設 けるわけにはいかないから、暴力団 員 ガーとか、違法 薬物 ガーとか、「違法 又 は不当 な行為 を助長 し、又 は誘発 するおそれがある方法 」などという、現行 法令 を追認 するだけの規定 に終 わってしまう。つまり、「適正 な利用 義務 」とは何 かを示 すことができなかったのでしょう。
結局 これは、「個人 情報 の保護 」(≒ data protection、Datenschutz)がいかなる意味 なのかの理解 が、法制 局 にも委員 会 にも共通 認識 になっていないからなんだろうと思 うのです。
高木 浩光 さんに訊 く、個人 データ保護 の真髄 ——いま解 き明 かされる半 世紀 の経緯 と混乱 「不 適正 利用 の禁止 は適正 な利用 義務 ではない?」2022年 3月 18日
これらの
まず、
この
個人 が企業 に自分 のデータの利用 停止 を請求 できる権利 を導入 するよう、政府 の個人 情報 保護 委員 会 が検討 していることが2日 、わかった。ネットサービスや広告 、金融 など個人 情報 を分析 してビジネスに生 かす動 きが加速 しているのに対応 。個人 がデータの使 われ方 をコントロールできる仕組 みを用意 し、企業 のデータ活用 を進 めつつ、不適切 な乱用 を防 ぐ。(
略 )
現行 法 では、企業 がデータを不正 に取得 していた場合 や、個人 から同意 を得 た利用 目的 から外 れた使 い方 をしている場合 のみ、個人 は利用 停止 を求 められる。今回 導入 を検討 する「利用 停止 権 」では、企業 側 に問題 がなくても、個人 が自分 の意志 でデータがどのように利用 されるかを指示 できるようにする。
実現 すれば「自分 の情報 をダイレクトメールを送 るのに使 うのはいいが、AI(人工 知能 )を使 って生活 パターンや趣味 などを推定 するようなマーケティングには利用 しないでほしい」など、細 かい注文 が可能 になる。データ利用 でいったん同意 した内容 について、後 で変更 や撤回 することもできる。企業 は、個人 からのこうした請求 を受 け付 ける窓口 を整 えるなどの対応 が必要 になるとみられる。
利用 者 の嗜好 を分析 ・推定 するターゲティング広告 などは、利用 停止 権 の対象 になる可能 性 が低 いとみられる。ターゲティング広告 は、ウェブ閲覧 履歴 などの「クッキー情報 」やスマートフォン(スマホ)の位置 情報 などを利用 していることが多 く、これらのデータは単体 では氏名 などを含 まず現行 法 の「個人 情報 」に該当 しないためだ。
利用 停止 権 の導入 を検討 する背景 にあるのは、データ活用 が急速 に広 がることに伴 う「乱用 リスク」の高 まりだ。18
年 には米 フェイスブックなどによる個人 データの扱 いを巡 る不祥事 が相次 ぎ発覚 。ネット企業 などが本人 への説明 や同意 の取 り方 が不十分 なまま個人 データを集 め、多 くの企業 間 で共有 していた実態 が明 らかになった。野放図 なデータの利用 に歯止 めを掛 けるルール整備 の機運 が広 がった。
一方 で欧州 連合 (EU)は18年 、企業 に個人 情報 の取 り扱 いを厳 しく規制 する一般 データ保護 規則 (GDPR)を施行 。日本 は19年 1月 、EUから個人 情報 の保護 水準 がEUと同等 と認 められる「十分 性 認定 」を受 け、日 欧 間 で円滑 なデータ移転 の体制 が整 った。日本 は米国 なども含 めた国際 的 なデータ流通 圏 作 りを提唱 している。そのため個人 情報 保護 を強化 しながらも、企業 のデータ活用 や流通 を損 なわない工夫 が必要 になる。「イブニングスクープ
個人 情報 に「利用 停止 権 」検討 保護 法 改正 へ」2019年 4月 2日 (初版 )
この
4
(4)
利用 停止 等 〇
利用 停止 等 に関 しては、相談 ダイヤルに寄 せられる意見 や、タウンミーティングにおける議論 でも、消費 者 からは、自分 の個人 情報 を事業 者 が削除 ・利用 停止 しないことへの強 い不満 が見 られる。一方 、プライバシーマークの審査 基準 の根拠 である「JIS Q 15001個人 情報 保護 マネジメントシステム-要求 事項 」のように、事業 者 の中 には顧客 の利用 停止 等 の要求 に対応 する例 も存在 することも踏 まえ、利用 停止 等 に関 して、個人 の権利 の範囲 を広 げる方法 について検討 する必要 がある。〇
平成 27年 改正 法 により、個人 情報 取扱 事業 者 は、利用 する必要 がなくなった個人 データを遅滞 なく消去 する努力 義務 が追加 された(個人 情報 保護 法 第 19条 )。このような法令 上 の要請 に応 えてデータの最小 化 を行 う事業 者 も多 いと考 えられるが、必 ずしもそのような対応 を行 っていない事業 者 も存在 することが想定 される。今後 、企業 の実務 上 の問題 を整理 する必要 がある。〇 また、
消去 については、例 えば、事業 者 が本人 からの請求 に基 づき個人 情報 を(本人 の請求 に基 づき消去 した事実 を含 め)完全 に消去 してしまうと、当該 事業 者 は、過去 に消去 請求 をした者 であるという事実 を含 め、当該 本人 に関 する情報 を一切 保有 しないことになるが、その後 、再 び当該 本人 の個人 情報 を取得 した場合 に当該 個人 情報 を利用 することの可否 等 の消費 者 の利便 や実務 上 の論点 もある。〇
加 えて、事業 者 によっては、安全 管理 上 の理由 等 から、個人 情報 データベス等 を部門 ごとに別々 に管理 している場合 もあり、このような場合 に全 部門 の個人 データを容易 に名寄 せし、利用 停止 等 ができるような体制 になっているかという論点 もある。〇
利用 停止 等 については、消費 者 側 からの根強 い要望 に対 して、個人 の権利 を保護 していく観点 からどのようにすれば一定 の対応 が可能 か、企業 側 の実態 も踏 まえつつ、具体 的 に検討 していく必要 がある。
個人 情報 保護 法 いわゆる3年 ごと見直 しに係 る検討 の中 間 整理 (平成 31年 4月 25日 )
これに
改正 の方向 性 へのコメント
- 4
月 2日 の日経新聞 (修正 記事 含 め)から推測 する私 の理解 利用 停止 請求 権 の強化
利用 停止 を無条件 に請求 可能 なものとする?
日経 「個人 の意志 でデータがどう利用 されるか指示 できるようにする。自分 の情報 の利用 をダイレクトメールの送付 に限 ることなどができ、データ利用 でいったん同意 した内容 を撤回 することも可能 だ。」事実 上 のプロファイリングへの対応 ……ということか
- プロファイリングによる
選別 (ターゲティング)の拒否 が可能 に
個人 情報 保護 法 3年 ごと見直 しに向 けた意見 2019年 5月 17日
このコメントの
2019/8/29
第 1-1回 法制 局 参事官 審査 録
日時 :8月 29日 (木) 13:00~15:00
先方 (〇):早川 参事官
当方 (●):矢野 企画 官 、小川 補佐 、堀 永 補佐 、村瀬 補佐 、田宮 補佐 、白勢 主査 、笹目 事務 官 〇:
状況 伺 いの予定 であったが、ここまで形 になった資料 が提出 されるとは思 っていなかった。個別 の論点 については、次回 審査 させていただければと思 う。<
大綱 スケジュールについて>●:
本年 4月 に中間 報告 として3年 ごと見直 しの論点 を示 しパブコメを行 ったところであるが、10月 中 あるいは遅 くとも11月早々 に、大綱 として、法 改正 事項 に絞 った形 での論点 と改正 の方向 性 を示 しパブコメを行 うことを予定 している。そのため、それまでに方向 性 を固 められるよう調整 を進 めていければと考 えている。〇:パブコメについては、
年内 の早 い段階 である程度 抽象 的 な内容 で行 う省庁 もあれば、年明 けの段階 で、長官 ・次長 の了解 がとれた内容 で行 う省庁 もある。(警察庁 (参事官 の親元 )は後者 。)パブコメをどのような段階 で行 うかは原 省 の判断 であるが、熟 していない段階 で長官 ・次長 の感触 を伺 うのは難 しい。11月早々 の段階 で長官 ・次長 の事実 上 の了解 をとるのは通常 の相場 観 では困難 であり、法制 局 と調整 がとれたものを11月の段階 でパブコメに出 すことができるかは確約 できない。●:
大綱 のパブコメについては、法 改正 に係 る内容 を公 にする以上 、法制 局 の関知 しないところで行 うのはよくないと考 えたので、御 相談 させていただいた次第 。パブコメを行 うタイミングについては、本日 頂 いたご指摘 も踏 まえ、内部 で検討 させていただく〇:
仮 に(法制 局 未了 の下 )年内 の早 い段階 で大綱 のパブコメを行 い、大綱 に示 した改正 事項 について措置 しなくなった場合 、その理由 を説明 しなければならないのは原 省 であるので、その点 も踏 まえて検討 してもらえればと思 う。〇:
実務 的 にいうと、年内 (12月 中 )に長官 ・次長 の了解 を得 ることを目標 に、12月に入 ったら下 3分 の1とその参考 資料 としての説明 資料 を用意 する必要 がある。部長 との関係 次第 ではあるが、部長 との議論 が詰 まらないと次長 には進 まない。部長 と3~4往復 、長官 ・次長 は1~2往復 の想定 。部長 とは2か月 は議論 したいと考 えているので、スケジュール的 に逆算 すると10月 頭 には部長 と議論 できるレベルで内容 を詰 めていければと考 えている。部長 には恥 ずかしくない程度 に形 になっていれば上 げていく。
開示 資料 16037頁
このように、
【
個人 情報 保護 方針 の策定 の義務 化 】〇:PIAとの
実態 上 の違 いが分 からないので説明 してほしい。PIAの柱 として位置付 けるのであれば納得 できる。○:PIAについては、
番号 法 の先例 によせて法制 局 幹部 は考 えるだろう。(
略 )【
利用 停止 等 の要件 の拡大 】〇:どういった
場合 に請求 できることとするのか。●:
現行 法 上 は、第 16条 、第 17条 、第 23条 、第 24条 違反 の場合 にのみ請求 することができることとしているが、今回 の改正 では法律 違反 に限 らず、すべからく請求 できることとしたいと考 えている。
開示 資料 16040頁
この
改正 事項 一覧 (
前 注 1)以下 は、「個人 情報 保護 法 いわゆる3年 ごと見直 しに係 る検討 の中 間 整理 」に基 づき改正 することを検討 している法律 及 び条文 ごとの現時点 における改正 予定 内容 の概要 である。改正 内容 が具体 的 に固 まっていないものについては、改正 の趣旨 や方向 性 のみを示 すものとしている。また、改正 案 として具体 的 に記載 しているものについても、今後 検討 を加 え大幅 に修正 することもあり得 る。なお、関係 省庁 等 との調整 は、今後 随時 行 っていくことを予定 している。(
前 注 2)本 資料 中 、単 に「法 」とある場合 は、個人 情報 の保護 に関 する法律 (平成 15年 法律 第 57号 )を指 す。■
個人 情報 の保護 に関 する法律 (平成 15年 法律 第 57号 )〇
定義 【§2】・
短期 保存 データに係 る除外 規定 の廃止 【§2VII】(
略 )・「
仮名 化 情報 」の創設 【新設 】(
略 )〇
端末 識別 素子 等 を取得 する際 の個人 情報 取扱 事業 者 に対 する義務 の創設 【新設 】(
略 )〇
個人 情報 保護 評価 制度 等 の創設 【新設 】(
略 )〇オプトアウト
規制 の強化 【§23】(
略 )〇
外国 にある第三者 への個人 データの提供 制限 の強化 【§24】(
略 )〇
公益 目的 による個人 情報 の取 り扱 いに係 る例外 規定 の創設 【新設 】(
略 )〇
第三者 提供 時 の確認 記録 義務 の開示 義務 化 【新設 】(
略 )〇
個人 情報 保護 方針 (プライバシーポリシー)の策定 の義務 化 【§27】
法 第 27条 に定 める保有 個人 データに関 する公表 事項 に、個人 情報 保護 方針 等 を追加 する。個人 情報 取扱 事業 者 は、当該 方針 に基 づいて個人 情報 を適正 に取 り扱 わなければならず、当該 方針 に反 する取扱 いがあった場合 には、個人 情報 保護 委員 会 は、不正 な取扱 いとして、必要 な指導 、勧告 その他 の措置 を講 ずるものとする。〇
電磁 的 手法 による開示 の明確 化 【§28】(
略 )〇
利用 停止 等 の要件 の拡大 【§30】
現行 法 上 、法 第 16条 (利用 目的 による制限 )又 は法 第 17条 (適正 取得 )違反 に限定 されている利用 停止 等 及 び法 第 23条 (第三者 提供 制限 )又 は法 第 24条 (外国 第三者 提供 制限 )違反 の場合 に限定 されている第三者 提供 の停止 の請求 の要件 を拡大 し、法律 違反 でない場合 も利用 停止 等 及 び第三者 提供 の停止 を請求 できることとする。〇
漏 えい報告 の法律 上 の義務 化 【新設 】(
略 )〇
認定 個人 情報 保護 団体 制度 の充実 【新設 】(
略 )〇
公的 分野 の個人 情報 保護 の規律 の統合 等 【§61、情報 公開 ・個人 情報 保護 審査 会 設置 法 第 2条 、行政 機関 の保有 する個人 情報 の保護 に関 する法律 第 10条 、第 47条 、第 49条 、第 50条 、第 51条 、独立 行政 法人 等 の保有 する個人 情報 の保護 に関 する法律 第 46条 】(
略 )〇
域外 適用 の範囲 の拡大 【§75】(
略 )〇ペナルティの
強化 ・
課徴 金 制度 の導入 【新設 】(
略 )・
法定 刑 の引上 げ【§83~86】(
略 )
開示 資料 1頁
この
2019/10/1
第 5-2-1回 法制 局 参事官 審査 録
日時 :10月1日 (火) 10:00~12:40
(略 )<
利用 停止 等 の要件 の拡大 について>○:
利用 目的 の設定 ・特定 については、事前 の同意 は不要 ということでよいか。●:
厳密 にいうと、第 18条 第 2項 は事前 に利用 目的 を明示 し、かつ、その後 に本人 から取 得 するので、事前 の本人 の意思 の関与 があるとも評価 できる。〇:
取得 時 ・変更 時 の利用 目的 のみ本人 の意思 の介在 がないのだな。〇:
真 の目的 を秘 して取得 し、取得 後 に目的 変更 を行 った場合 はどうなるのか。●:
偽 り不正 な取得 として、第 16条 違反 として措置 する。〇:
現行 法 において、取得 時 ・変更 時 の利用 目的 が通知 ・公表 で足 りるとされていることについて、本人 の意思 を尊重 することは重要 だが、逐一 利用 目的 に同意 を求 めるなど、あまり重視 しすぎると個人 情報 の有用 性 が損 なわれるため、通知 ・公表 で足 りるとしている。利用 目的 の通知 ・公表 は、本人 の不安 感 を払拭 する意味 がある。また、通知 ・公表 は、本人 の権利 利益 の侵害 を防 ぐ間接 的 な予防 措置 であり、無 限定 な本人 の権利 利益 の侵害 を防 ぐ効果 もある。その上 で、不正 があった場合 は、利用 停止 などの事後 的 措置 で対応 するというのが現行 法 の整理 。●:
取得 時 の利用 目的 が通知 ・公表 のみで足 りるとされていることについて、平成 13年 に法制 局 において、市場 メカニズムを通 じて社会 的 にその是非 が判断 される環境 を整 えることで個人 情報 の適正 な取扱 いが担保 されるとも説明 がされていた。〇:
利用 目的 に事前 の同意 を求 めるなど事前 の規制 を設 けるのは事業 者 の負担 が大 きいという状況 は理解 した。事後 的 措置 を設 け本人 自 ら取 り得 る選択肢 を増 やすことで個人 の関与 を強 めるということなのだと思 う。〇:
資料 において、利用 停止 とオプトアウトとの比較 がなされており、どちらも事後 的 な本人 の意思 の関与 と整理 されている。もっとも、オプトアウトは、あらかじめ、通知 又 は容易 に知 り得 る状態 に置 くことが必要 とされており、必 ずしも事後 的 とは整理 できないかもしれない。〇:
利用 目的 については、直接 取得 時 以外 は、事業 者 が自由 に決 められる。本人 のあずかり知 らない利用 目的 であっても、本人 が文句 は言 えないのが現状 。事業 者 が勝手 に決 めた目的 で、自 らの個人 情報 を利用 されることについて、事後 的 に文句 を言 えるようにする余地 はあるかもしれない。〇:
誰 が何 の目的 で自分 の個人 情報 を使 うかということについて、本人 の意思 の介在 を最大限 に尊重 すべきだが、それは事業 者 負担 の観点 で難 しいので、オプトアウト同様 に事後 手続 をとるということか。〇:そもそもなぜ
第三者 提供 には原則 同意 が必要 なのか。他 のデータとの結合 ・照合 等 の名寄 せによって個人 の権利 利益 を侵害 するおそれがあるため、というのはわかるが、個人 データの流通 状 況 や使用 状 況 が不透明 なことについて、第三者 に提供 するときのみを同意 とするのは何故 なのか。●:
現行 法 上 、第 23条 第 1項 の同意 について、第三者 提供 の範囲 や、第三者 提供 先 の利用 目的 についても本人 の同意 を取 ることが望 ましくはあるものの、法律 上 の要件 にはなっていない。そのため、第三者 提供 を受 けた個人 情報 取扱 事業 者 が、新 たな利用 目的 を通知 ・公表 すれば、提供 先 の事業 者 は、新 たな利用 目的 で個人 情報 を利用 することが、理論 上 可能 となっている。〇:
本人 の個人 情報 が事業 者 の手 に渡 るときは、何 らか利用 目的 について本人 の意思 の関与 があるのではないか。事業 者 が本人 から直接 取得 する際 は、利用 目的 が事前 に明示 される。また、事業 者 が第三者 から取得 する場合 であっても、本人 は第三者 提供 に同意 をしているはず。オプトアウトによる第三者 提供 については、同意 はないが、容易 に知 りうる状況 にはおかれている。本人 が利用 目的 について、全 く関知 していないような状況 で、個人 情報 が取得 されることはあるのか。●:
例 えば、表札 などから事業 者 が情報 を収集 する場合 は、本人 が事業 者 の利用 目的 を感知 しているとは言 えない。防犯 カメラで撮影 するような場合 も、第 18条 第 2項 にはあたらないので、利用 目的 の明示 は受 けない。〇:
公開 データから勝手 に集 めるときの例 でいえば、政官 要覧 はどのような扱 いか。●:
政令 第 3条 において、個人 情報 データベース等 から除 かれているが、個人 情報 ではある。〇:
繰 り返 しになるが、第 18条 第 2項 があるため、本人 から個人 情報 が最初 に出 ていくときは、利用 目的 の明示 を受 けるはずであり、本人 が利用 目的 をあずかり知 らないところで個人 情報 を集 めることはできないことになっているのではないか。●:
第 18条 第 2項 において、「書面 で取得 」という要件 があることにより、口頭 で取得 することもありうる。その場合 の利用 目的 は、通知 ・公表 であり、公表 の場合 は必 ずしも本人 が了知 しているわけではない。〇:なぜ「
書面 で取得 」という要件 を設 けているのか。●:
逐条 には、口頭 によって取得 した情報 は、データベース化 される可能 性 が低 く、権利 利益 が侵害 される危険 性 が低 いと考 えられたためと記載 されている。〇:
事前 明示 のコストと比較 考慮 し、書面 取得 の場面 に限定 したということかもしれない。〇:
直接 取得 と第三者 提供 の場合 には、少 なくとも本人 の同意 がある。過去 情報 や公開 情報 は別 として、当初 の利用 目的 について、本人 の意思 は少 なくとも間接 的 には介在 している。〇:
例 えばダイレクトメールが来 たとして、送 り主 の会社 に、改正 法 に基 づいて取得 元 の開示 請求 を行 う。取得 元 をたどっていけば、自分 の個人 情報 の出 元 にたどりつくはずであり、そこでは利用 目的 の明示 を受 けているのが原則 。その出 元 の利用 目的 を見 て、第三者 提供 の同意 の有無 を確認 すれば、なぜ自分 がそのような同意 をしたのか追 うことは、理論 的 には可能 。口頭 による情報 の取得 、公開 情報 、オプトアウトなどの例外 はあるが、何 らか本人 の意思 が関与 する歯止 めは現行 法 上 もかかっている。〇:
本人 の意思 の介在 が機能 しておらず、現行 の本人 意思 の関与 の在 り方 そのものを否定 して、現行 法 では本人 の意思 の関与 が弱 いとしてしまうと、では利用 目的 に同意 を求 めればよいのでは、という議論 になってしまう。また、同意 自体 の有効 性 を持 ち出 して、消費 者 が全 ての利用 目的 に目 を通 し、理解 し、同意 をするということはできないという仮定 で話 をしてしまうと、同意 によって本人 の権利 利益 の侵害 を防 いでいる個 情 法 の建 付 けがくずれてしまう。同意 や合意 というものは、一方 の当事 者 からは撤回 できないはず。〇:このように
説明 するのではないか。ある時点 では納得 したが、事情 の変更 があって、もう使 ってほしくない。やっぱり嫌 だということは人間 だからある。利用 目的 の範囲 内 でも取扱 いの態様 の変化 もあるだろうし、社会 情勢 の変化 もあるだろう。また、結婚 して子供 ができたらやっぱり嫌 だということもある。事後 的 に拒否 することは認 められるべきとは思 う。一度 同意 をしたら一生 有効 とするのは不適切 。そうなったら、保守 的 な消費 者 は、全部 不 同意 ということになる。それもまずい。個人 情報 の有用 性 を損 なうこととなる。〇:
同意 をした時点 では問題 ないと考 えていたが、技術 の進展 やネットワークの進展 により、権利 利益 が侵害 される形 で利用 される可能 性 が高 まったため、事後 的 に同意 の撤回 を主張 できるようにする必要 があるといった説明 がいいのではないか。例 えば、当時 は信用 のおける事業 者 であったが、大量 の漏 えい事案 や不適切 な取扱 いが発生 したという事情 変更 。また、昔 は信頼 のある企業 であったが、業績 が悪化 して、個人 情報 のセキュリティが甘 くなってしまったなどという事情 変更 。プロファイリングの技術 が進展 して、従来 は推計 できないような情報 も特定 できるようになってしまったという事情 変更 。そんな事情 変更 まで見通 して、一 生涯 有効 となる同意 をするというのは非 現実 的 な話 。そんな同意 は怖 くてできないから、個人 は全部 不 同意 となってしまうかもしれない。〇:このように
論 じれば、最初 から利用 目的 に同意 させればいいのではないかという見解 があったとしても、そこまで事前 に見通 して本人 に同意 をさせるのは非 現実 的 だという反論 ができる。事業 者 にとっても、全 て事前 に同意 をとる負担 や、個人 が全 く同意 に応 じてくれず個人 情報 が集 まらないという事態 に比 べれば、利用 停止 を認 めた方 が、かえって利 活用 に資 する。(
略 )〇:
改正 案 について、例外 理由 が列挙 されているとはいえ、何 も要件 なく請求 を認 めるのは法的 安定 性 を害 する。極端 な話 、昨日 個人 情報 を提供 した個人 が、翌日 気 が変 わりましたということを際限 なく認 めてしまっていいのか。さすがに事業 者 の負担 となるのではないか。〇:「
本人 は、個人 情報 取扱 事業 者 に対 し、当該 本人 が識別 される保有 個人 データの取扱 いについて、当該 本人 の権利 又 は正当 な利益 が侵害 されるおそれがあると認 めるにつき正当 な理由 があるときは、...利用 停止 等 を請求 することができる。」というように要件 を設 けて、現行 法 のただし書 を除外 規定 として設 けるのはどうか。事業 者 が、請求 に理由 がないと判断 し、請求 に応 じなかった場合 、その適否 について、最終 的 には裁判所 が判断 することとなる。ただ、請求 者 が「正当 な理由 」について立証 責任 を負 うこととなるが。情報 公開 法 において、不 開示 事由 について、似 たように規定 している。現行 法 第 30条 の違反 の場合 の請求 権 は残 しておいて、それで救 えないところを改正 案 で網 をかける。●:
利用 停止 のニーズとしてダイレクトメールのようなものがある。〇:ダイレクトメールがくるのが
嫌 なのか、それともその送付 に利用 されている個人 情報 を持 っていることが嫌 なのか。前者 の場合 、特定 電子 メール法 のように別法 で対処 する問題 かと思 う。後者 は個人 情報 保護 法 の範疇 になりうる。〇:
個 情 法 の目的 は、個人 の権利 利益 の保護 にあり、個人 の権利 利益 の侵害 か、少 なくとも侵害 のおそれがあるような場合 であると言 えることが必要 。個人 情報 を保持 している主体 と利用 目的 に着目 し、権利 利益 侵害 のおそれがあると本人 が考 える場合 に認 めるのはいいのではないか。〇:
例 えば、ダイレクトメールが何 度 も送 られてきて、やめてくれと言 っても応 じてくれない。そんな苦情 にもまともにとりあってくれない業者 に自分 の個人 情報 を取 り扱 われると、権利 利益 の侵害 のおそれがあると言 えることもあるだろう。〇:
他 にも、自分 の体形 に関 するデータをどこからか収集 してきて、ダイエットの案内 が送 られてくるというような、まるで人格 で非難 されているような場合 、そのようなものは苦痛 であり、個人 の権利 利益 が侵害 されていると言 える余地 もある。〇:また、
個人 情報 を漏 えいするような事態 が発生 して、事業 者 の安全 管理 体制 の信用 が失墜 しているときに、自分 の個人 情報 が漏 れていなくても、個人 情報 が漏 えいするおそれがあるといって利用 停止 を請求 することもできると思 う。〇:
先 ほど、虐待 をしている親 の利用 停止 の事例 が話 に上 ったが、虐待 をしている親 が自分 の個人 情報 を、虐待 防止 を行 っているようなNPOに利用 停止 なり消去 請求 したとしても、虐待 をしている自分 の情報 を消去 する利益 は「正当 な利益 」と評価 できないので、「困難 な場合 」「代替 措置 」といったことを検討 するまでもなく、対応 しなくてよいと思 う。〇:
今 もらっているストーリーだと、利用 目的 の通知 ・公表 や、第三者 提供 の同意 など、本人 の事前 の意思 の関与 が機能 していない、だからこそ、利用 停止 など事後 の本人 の意思 の関与 を強 めるべきだという組 み立 てになっているが、事前 の意思 の関与 が機能 していないのであれば、それなら、利用 目的 について事前 の本人 の同意 を得 れば良 いのでは、という議論 の流 れになってしまう。議論 の組 み立 てとして、別 のアプローチが必要 。例 えば次 のようなものが考 えられるのではないか。〇:
利用 目的 の通知 ・公表 や第三者 提供 の同意 など、事前 の本人 の意思 の関与 は一定 程度 個人 の権利 利益 の侵害 を未然 に防 ぐために機能 している。しかし、一度 個人 情報 を渡 したら未来永劫 自分 の個人 情報 が使 われ続 けるということであれば、合理 的 な個人 は自分 の個人 情報 を一切 わたさないと判断 するだろう。それでは個人 情報 の有用 性 を損 ない、事業 者 にとっても望 ましくない。そのため、いったんは通知 ・公表 を受 けたり、同意 はしたけれども、その後 に事情 変更 が生 じ、本人 にとって不測 の権利 利益 の侵害 のおそれが生 じているような場合 であって、それについて理由 があると認 められる場合 には、利用 停止 を請求 できるようにする必要 がある。
開示 資料 16089頁
このように、ほとんど
この
利用 停止 等 の要件 の拡大 について(第 30条 関係 )I
改正 の背景 ・経緯 (1)
現行 法 上 の課題 と改正 の経緯 (
略 )さらに、
現行 法 上 、個人 情報 取扱 事業 者 は、利用 目的 をできる限 り特定 することが義務付 けられているが(第 15条 第 1項 )、AIやビッグデータ分析 などの情報 分析 技術 が発展 したことに伴 って、当該 利用 目的 の範囲 内 であっても、当該 利用 目的 において想定 されるあらゆる利用 方法 について、個人 が事前 に理解 することは現実 的 に困難 であり、本人 が想定 できない手法 や態様 で、個人 情報 が利用 されるリスクが高 まっている。このように、
本人 が予測 し得 ないほど、個人 情報 の流通 が拡大 し、また利用 態様 が複雑 となっているにもかかわらず、利用 停止 等 の事後 的 な権利 行使 が限定 的 となっている状況 に対処 するため、現行 法 上 、法 違反 の場合 に限定 されている利用 停止 等 や第三者 提供 の停止 の請求 の要件 を拡大 することとし、本人 による事後 的 な関与 を広 く認 めることで、個人 情報 の保護 を図 ることとする。(
略 )II
内容 1 1
法 違反 でない場合 の利用 停止 等 に関 する請求 権 の新設 (改正 案 第 1項 、第 5項 )
現行 法 上 、「本人 は、個人 情報 取扱 事業 者 に対 し、当該 本人 が識別 される保有 個人 データが第 十 六 条 の規定 に違反 して取 り扱 われているとき…は…利用 の停止 又 は消去 …を請求 することができる」と定 められており、本人 が個人 情報 取扱 事業 者 に利用 停止 等 又 は第三者 への提供 の停止 を請求 できるのは、法律 上 の規定 に違反 している場合 に限定 されている(第 30条 第 1項 、第 3項 )。今回 の改正 において、「本人 は、個人 情報 取扱 事業 者 に対 し、当該 本人 が識別 される保有 個人 データの利用 の停止 又 は消去 …を請求 することができる。」と規定 する項 を新設 し、法 違反 を請求 の要件 としない条文 を追加 する(第三者 への提供 の停止 についても同様 とする。)。2
法 違反 でない場合 の請求 権 に係 る例外 規定 の新設 (改正 案 第 2項 、第 6項 )(
略 )
開示 資料 6頁
2019/10/09第 8回 法制 局 参事官 審査 録
日時 :10月9日 (水) 14:00~17:30
(略 ) <個人情報保護方針>○:プラポリについては、
体制 整備 等 を書 かせることとしているが、体制 整備 を求 めるのであれば、プラポリに書 かせるのではなく、(個 情 法 は行為 規制 型 なのであるから、正面 から)直接的 に規定 すべき。規定 の作成 を義務付 け、その規定 を守 らなければならないという立法 例 はあるのか。結局 、その規定 を守 らないことは、ともすれば法 違反 であるならば、(そのような規定 の作成 の義務付 けに)意味 があるのか。個 情 法 の規律 を遵守 するということに尽 きるのではないか。つまり、個 情 法 違反 を問 えば事足 りるのではないか。プラポリとは何 かについて整理 しなければならない。○:
本件 で果 たしたい「透明 性 の確保 」については、現行 法 第 15条 の解釈 で対応 できるのではないか。同 条 の運用 の問題 であって、それ以上 に規制 を設 ける必要 性 はあるのか。○:
業務 規定 を作 らせる等 の用例 はあると思 うが、それは特 に細 かく項目 等 を規定 せず、基本 的 に事業 者 に作成 を任 せている。一方 で、個 情 法 は別途 、細 かく行為 規制 が規定 されており、それに加 え、要件 を細 かく規定 しないプラポリをつくらせるのは平仄 がとれていないのではないか。○:(PIAと
同様 だが)お墨付 きを与 える制度 であればまだわかる。記載 すべき項目 をしっかり規定 して、手 を挙 げた者 を認定 等 して、それに反 していたら認定 取消 等 のスキームであればまだよい。○:
第 53条 に規定 する認定 団体 の指針 は作 っておしまいではなく、個 情 委 に届 け出 、それに従 わない場合 に対象 事業 者 に対 する指導 ・勧告 等 が義務付 けられている。本件 は、事業 者 が作 って公表 するだけになっており、かつ、体制 整備 等 書 けば書 くほど不利 な形 になっている。では甘 く書 いておこう、となるのではないか。法 違反 ではないが、下位 法令 に位置 づけられる自 らが書 いた指針 に違反 したら法 違反 となるような構成 を採 っている類例 はあるのか。○:
正確 性 ・最新 性 の確保 については、法定 公表 事項 はそもそも解釈 として最新 のものとなっている必要 があり、不要 ではないか。
開示 資料 16120頁
この
個人 情報 保護 方針 (プライバシー・ポリシー)(第 27条 関係 )I
改正 の背景 ・趣旨 (略 )特 に、本人 に対 する不当 な差別 等 につながり得 る技術 として懸念 されているプロファイリングは、外形 的 に認知 しづらい性質 を有 しており、透明 性 の確保 や同意 取得 の実施 が十分 でない可能 性 がある。したがって、これらの
観点 から、透明 性 ・本人 関与 の実効 性 をより確保 するために、法定 公表 事項 について、取 り扱 うデータの項目 やデータ処理 方法 、情報 源 、情報 提供 先 といった事項 を追加 するとともに、個人 情報 保護 に係 る基本 的 な方針 (プライバシー・ポリシー)の作成 を努力 義務 とし、個人 情報 取扱 事業 者 の負担 にも鑑 み、個人 の権利 利益 を害 するおそれが大 きい事業 者 については、当該 基本 的 な方針 の作成 を義務 化 することとする。(
略 )さらに、この
本人 視点 の欠如 に起因 する不 適正 な利用 を防止 するために、事業 者 の体制 と本人 との関係 それぞれについて、具体 的 にどのような取組 を行 うのかについてプライバシー・ポリシーに記載 することを義務付 けることとする。なお、
上記 で指摘 したプロファイリングについても、法定 公表 事項 に追加 するデータの処理 方法 及 び上記 適正 利用 の確保 で対応 が可能 と考 えられる。II
内容 1.
法定 公表 事項 の追加 (
略 )データ
処理 方法 についても、例 えば、プロファイリングといった個人 情報 をもとに分析 ・評価 することを実施 する場合 にその旨 を記載 させることにより、透明 性 の確保 を促進 することとなる。2.
個人 情報 保護 基本 方針 の公表 (
略 )3.
利用 目的 及 び基本 方針 の透明 性 確保 義務 (
略 )4.
公表 事項 の正確 性 等 の確保 (
略 )5.
適正 な利用 についての具体 的 措置 の記載 義務 (
略 )6.
利用 目的 、基本 方針 に反 する不当 な取扱 いの禁止 (
略 )
開示 資料 487頁
このように、プロファイリングの
<
審査 スケジュール等 について>〇:
明日 の午後 はいまのところ空 いているので、今日 (か遅 くとも明日 の朝 )までに投 げ込 まれた案件 については、対応 できる。持 ち込 まれそうな案件 はあるか。●:
確定 的 には申 し上 げられないが、いくつかの論点 について、投 げ込 めるものがある。また、「プラポリ」論点 で記載 を求 める事項 を、前回 の法制 局 参事官 指摘 も踏 まえつつ局内 で議論 した結果 、行為 規制 として正面 から一 条 設 ける方向 で検討 することとなった。〇:「
適正 な利用 」で一 論点 増 えることについては承知 した。
開示 資料 16149頁
これが、
個人 情報 の保護 に関 する法律 の一部 を改正 する法律 案 (仮称 )の概要
令 和 元年 10月
個人 情報 保護 委員 会 事務 局
第 1個人 情報 の利用 目的 による制限 の見直 し(
略 )
第 2個人 データの第三者 提供 に係 る規律 の強化 (
略 )
第 3個人 データの保護 に係 る規律 の強化 (
略 )2.
適正 な利用 に必要 な体制 整備 等 の義務 化 【新設 】
個人 情報 取扱 事業 者 に対 して、個人 情報 を適正 に利用 するために必要 な体制 の整備 その他 の措置 を講 じることを義務付 ける。
第 4透明 性 の確保 に関 する制度 の強化 (
以下 、略 )
開示 資料 728頁
これを
<「
適正 な利用 」について>●:「
適正 な利用 」については、明日 ないし来週 頭 には資料 を投 げ込 める見込 み。内容 としては、部長 頭 出 し紙 に記載 した通 りの条文 を検討 しており、一言 でいえば、第 20条 を拡張 する概念 。〇:「
適正 な利用 」について、その条文 案 の類例 はあるのか。〇:
基本 的 に、権利 義務 に影響 する論点 は厳 しく審査 しているつもりであり、(「適正 な利用 」を含 む)その他 の論点 は、法律 事項 があることを前提 に、内容 が詰 まれば、後 からついてくるだろう、という感 じになると考 えている。
開示 資料 16176頁
ここで「
そして、「
それまでに
適正 な利用 に必要 な体制 整備 等 の義務 化 (第 ○条 関係 )I
改正 の背景 ・経緯 1
改正 の背景
昨今 の急速 なデータ分析 技術 の向上 (アルゴリズムの複雑 化 ・ブラックボックス化 )等 を背景 に、個人 情報 を取 り扱 う事業 者 自身 が十分 に予期 できるか否 かに関 わらず、潜在 的 に個人 の権利 利益 の侵害 につながる(本人 が予見 し得 ない形 で不利益 を被 る)ことが懸念 される個人 情報 の利用 の形態 がみられるようになり、消費 者 (個人 )側 の懸念 が高 まりつつある。そのような中 で、特 に、現行 法 の規定 に照 らして明 らかに違法 とまでは断定 できないものの、本法 の法 目的 である個人 の権利 利益 の保護 の観点 から、看過 できないような方法 で個人 情報 が利用 されているとして、社会 的 な批判 を浴 びるような事例 が、一部 において、みられるようになった。
以下 で示 すような事例 は、いずれも、現行 法 の一部 の規定 に違反 する個人 情報 の取扱 いが疑 われ、その点 に関 しては、個人 情報 保護 委員 会 の執行 の対象 となったものの、個人 の権利 利益 の保護 の観点 から、社会 通念 上 、適正 とみなされるような個人 情報 の利用 のであるとは必 ずしも言 えず、そうした利用 そのものに対 してや、そうした利用 を予防 するための仕組 みが事業 者 内部 において構築 されていない点 に対 しては、現行 法 を根拠 として個人 情報 保護 委員 会 の執行 の対象 とすることは困難 であった。(1)
破産 者 マップ事案 (
略 )〓〓〓〓〓〓〓〓〓〓*4
〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓
(
略 )この
点 についても、直接 の執行 の根拠 となる規定 が現行 法 には存在 しないため、個人 情報 保護 委員 会 は執行 を行 うことができず、本人 の権利 利益 の保護 の観点 からは、十分 な対応 ができたとはいえない。2
改正 の方向 性
上記 の事例 のいずれについても、自 らの個人 情報 の利用 (提供 を含 む。以下 同 じ。)の結果 として本人 の権利 利益 が害 されるおそれのある、社会 通念 上 許容 しがたい個人 情報 の利用 である。この点 について、問題 となった個人 情報 取扱 事業 者 のいずれにおいても、個人 の権利 利益 が侵害 されるリスクが全 くと言 っていいほど検討 されていない(個人 の権利 利益 を適正 に保護 するための、事前 の評価 ・確認 の体制 や、事後 的 な対応 が円滑 になされるための仕組 みが構築 されていない)ことが、ヒアリング等 の結果 、明 らかになった。こうした
実態 に鑑 み、本法 の法 目的 や基本 理念 から大 きく逸脱 するような、社会 通念 に照 らして適正 とは言 えない個人 情報 の利用 を防止 するとともに、個人 の権利 利益 の保護 をより確実 なものとするために、個人 データを適正 に利用 するために必要 な体制 整備 その他 の措置 を講 じることを、個人 情報 取扱 事業 者 に義務付 けることとする。II
内容
個人 データの利用 によって、本人 の生命 、身体 、財産 その他 の権利 利益 が害 されるおそれがあるときは、当該 個人 データを利用 又 は提供 してはならないことを、個人 情報 取扱 事業 者 に義務付 ける。ここで、「本人 の生命 、身体 、財産 その他 の権利 利益 」とは、第 18条 第 4項 第 1号 及 び第 28条 第 2項 第 1号 と同様 に、本人 に関 する法律 上 の保護 に値 する利益 一般 をいい、例示 されたものに限定 する趣旨 ではない。具体 的 には、I改正 の背景 ・経緯 で取 り上 げたような事例 に鑑 み、(本人 が予測 し得 ない形 で発生 し、かつ、不 特定 多数 の者 によって引 き起 こされ得 る)本人 に対 する差別 や、(違法 な行為 を営 む者 からの接触 による)本人 の平穏 な生活 を送 る権利 の侵害 などが想定 される。ここで、「害 されるおそれ」としているのは、第 18条 第 4項 第 1号 及 び第 28条 第 2項 第 1号 に規定 される「害 するおそれ」と同様 に、利用 によって具体 的 な支障 の発生 は将来 生 ずるものであることによる。この場合 、「おそれ」とは、物理 的 、確 率 的 な可能 性 ではなく、社会 通念 による蓋然性 の有無 の判断 による。ただし、
他 の法令 に違反 することとなる場合 (捜査 関係 事項 照会 への対応 への結果 として、本人 の逮捕 が予見 される場合 等 )や、本人 との間 で契約 を締結 している場合 (与信 審査 の結果 として、本人 が融資 を受 けられないと判断 される場合 等 )など、個人 情報 取扱 事業 者 がこうした個人 データの利用 を行 うことに正当 な理由 がある場合 については、本 義務 の適用 除外 とする。また、
個人 情報 取扱 事業 者 が、上記 の義務 を適正 かつ効果 的 に順守 するための必要 な措置 として、個人 データを利用 するに当 たり、本人 の権利 利益 への影響 を事前 に評価 ・確認 する仕組 みを構築 することや、個人 データの利用 開始 後 に本人 の権利 利益 の侵害 又 はそのおそれが判明 した場合 に、本人 の権利 利益 の保護 を確保 するための事後 的 な対応 を実施 すること等 を、個人 情報 取扱 事業 者 に義務付 ける。その際 、個人 情報 取扱 事業 者 にとって参考 となるべき指針 を、個人 情報 保護 委員 会 が定 め、少 なくとも下記 の措置 を講 じることを、当該 指針 において規定 する予定 である。なお、第 20条 (安全 管理 措置 )と同様 に、取 り扱 う個人 情報 の内容 や量 、事業 者 の規模 などに応 じて、個人 情報 取扱 事業 者 が講 ずべき措置 の具体 的 な内容 や程度 は異 なる。〇
本法 の考 え方 の周知 ・啓発
・本人 の権利 利益 の保護 という本法 の法 目的 をはじめとする本法 の考 え方 について、個人 情報 の取扱 いに関係 している役員 及 び従業 員 にその職務 に応 じた周知 ・啓発 を行 うこと。〇
法令 順守 の方針 等 の明確 化
・本人 の権利 利益 の侵害 又 はそのおそれの防止 のため、本法 を含 む法令 遵守 の方針 や法令 順守 のためにとるべき手順 等 を明確 化 すること。〇
本人 の権利 利益 に与 える影響 に関 する評価
・個人 情報 を利用 しようとする場合 、本人 の権利 利益 に与 え得 る影響 を評価 ・確認 すること。仮 に本人 の権利 利益 を害 するおそれがある場合 には、それが正当 な理由 によるものか否 かについての確認 も含 む。〇
評価 等 に関 する情報 の共有
・上述 の評価 ・確認 に関 する情報 を、当該 個人 情報 の取扱 いに関係 する各 組織 部門 が、本人 の権利 利益 の侵害 を防止 する上 で必要 に応 じて共有 し確認 できるようにすること。〇
個人 情報 の取扱 いを管理 するための担当 者 等 を定 めること
・個人 情報 を適正 に利用 するため、個人 情報 の取扱 いを管理 する担当 者 又 は担当 部門 をあらかじめ定 めること。〇
本人 の権利 利益 に与 える影響 に関 する評価 に関 する情報 を事後 的 に確認 するために必要 な措置 を採 ること
・上述 の評価 ・確認 に関 する情報 を、個人 情報 を利用 しようしている期間 、事後 的 に確認 するために、例 えば、資料 の保管 等 必要 な措置 を採 ること。〇
個人 データの利用 後 に本人 の権利 利益 の侵害 が明 らかになった場合 における迅速 かつ適切 な対応 ・特定 の個人 データの利用 に際 して、本人 の権利 利益 の侵害 又 はそのおそれがある事案 が発生 した場合 、その事案 に対処 するため、事実 関係 の把握 やそ の利用 の停止 、再発 防止 に向 けた措置 を講 じること。
個人 データの「適正 な利用 」とは、適法 な利用 を行 う(第 4章 の義務 を守 る)ことだけでなく、本法 の法 目的 や社会 通念 に照 らして不正 とは考 えられない利用 を行 うことも含 む概念 である。本条 の規定 は、そうした利用 を実施 するために、合理 的 かつ必要 な範囲 で、必要 な措置 を講 じることを義務付 けるものである。
開示 資料 1425頁
このように、この
これについて
2019/10/25
第 14-3回 法制 局 参事官 審査 録
日時 :10月25日 (金) 16:15~18:30(
略 )<
適正 な利用 に必要 な体制 整備 等 の義務 化 >○:
個人 情報 保護 法 の法 目的 がそもそも「適正 かつ効果 的 な活用 が~~個人 の権利 利益 を保護 するもの」としているのだから適正 な利用 に必要 な措置 をとるものという位置付 けにはなっているだろう。○:
適正 な利用 、適正 な取扱 いは法 目的 を守 る、守 らないの話 になるのではないか。社会 通念 上 不適切 なものに対 しては、どこかしらの条文 を根拠 にして指導 などできるのではないか。●:
現行 法 では実態 として難 しく、法 目的 にあるような内容 (権利 利益 の保護 )を確実 に、事業 者 へ対 しても守 らせるようにしたい。(
略 )○:
適正 な取扱 いのための行為 規制 であれば、行為 規制 とすべきではないか。それであれば、利用 制限 を行 うのではないか。不正 利用 の禁止 など。●:「
不正 利用 の禁止 」という表現 についても検討 は行 ったが、何 をもって不正 であるとするのかが難 しいと考 えている。○:
何 をもって不正 であるかと言 えば、例 えば、差別 を助長 するような利用 などではないか。個 情 法 との関係 ではどのようになるのか。個 情 法 上 問題 なくても民事 上 でどのような扱 いになるのか。●:
現行 法 上 、そうした規制 はなく、執行 の根拠 となっていない。○:
第 15条 で利用 目的 を特定 するが、その際 、「迷惑 行為 を行 います。」と設定 することは駄目 なのか。駄目 ではないだろう。●:
仮名 化 の論点 でも議論 したように、利用 目的 は最終 的 な目的 を特定 するものであり、途中 経過 の小 目的 を特定 するものではない。例 えば、説明 資料 に例示 した破産 者 マップで言 えば、官報 掲載 の内容 をデータベース化 し周知 することを目的 としている。利用 目的 で規制 をかけるのではなく、利用 目的 を達成 する手段 を規制 するべきなのではないかと考 えている。○:
第 20条 の安全 管理 措置 は、ある種 、直 罰 規定 がある(第 83条 データベース不正 提供 罪 )。データベース提供 罪 (第 83条 )につながるのは直 罰 だが、「過失 による情報 漏 えいを禁止 する。」とは規定 できないので、「情報 漏 えいしないための措置 を講 じなければならない。」としている。○:
同様 に、適正 に利用 させるのであれば、不 適正 な利用 を防止 するための措置 としなければならないのではないか。適正 な利用 の義務 を課 したところで、不 適正 な利用 に対 する違反 は問 われない。不 適正 な利用 を禁 じたいのであれば、不 適正 な利用 を禁 ずる、そして不 適正 な利用 を禁 ずるための措置 を講 じさせるべきなのではないか。○:
第 16条 第 1項 や第 2項 に利用 制限 を規定 するか。必要 な範囲 を超 えて、当該 個人 情報 を取 り扱 ってはならない。ただし、不 適正 な利用 を行 ってはならない。●:
潜在 的 に個人 の権利 利益 を侵害 するおそれのある行為 、などはどうか。○:
潜在 的 はどのようなものか判断 できず、規範 の明確 性 を欠 く。○:
要 配慮 の記載 ぶりを真似 るのはどうか。不当 な差別 、偏見 その他 の不利益 が生 じないようにその取扱 に配慮 する、不利益 が生 じないように取 り組 むものとする、など。○:
利用 目的 の範囲 であればなにをやっても良 い訳 ではない、という(この論点 の)趣旨 は理解 。○:
予防 のための措置 だが、そのためにやるべきことは何 か。本人 の不利益 に絶対 につながらないものとまでは保障 することはできない。「ベスト・エフォートで取 り組 むものとする。」「努 めなければならない。」というような感 じか。○:「
本人 の権利 利益 を侵害 しないように、当該 本人 の個人 情報 を取 り扱 うよう努 めなければならない。」などか。規定 できた場合 、努力 規定 ではあるが、指導 ・助言 はできる。○:
安全 管理 措置 として求 める取組 も色々 あるが、それらは程度 問題 ではないか。全 事業 者 に対 して行 わせるべきことは基本 的 には決 まっている。組織 的 に個人 情報 データベースを分離 しアクセスできる者 を限定 するなどを求 めてはいるが、小規模 事業 者 などはお金 もなく十分 には行 えていない。第 20条 違反 にはなっているが、取 り扱 う個人 情報 に応 じて行 ってもらう。○:
第 35条 の苦情 の処理 に関 する体制 整備 も全 事業 者 が行 えるものではないから、努力 義務 となっている。説明 資料 中 に「事業 者 の可能 な範囲 で」と記載 があるが、ベスト・エフォート止 まりであれば努力 義務 とするべき。○:
条文 案 についても、体制 整備 を頭 出 しするのがよいとも限 らない。「本人 に不利益 を与 えないように取 り扱 わなければならない。」と努力 義務 規定 を置 いた上 で、その努力 義務 を果 たすために、不利益 を与 える取扱 いを防止 するための措置 を義務付 ける。●:
第 35条 に倣 って、体制 整備 措置 義務 を設 けることは考 えられないか。○:
結局 、「迅速 な処理 に努 めなければならない」等 の行為 規制 が(第 1項 として)必要 にならないか。その上 で、第 2項 のように、そのための仕組 みの整備 や研修 等 を受 けさせてもバチはあたらないと思 う。名誉 毀損 はサイレント民事 の世界 。その他 はアクシデントでばらまかれないようにするもの。○:
差別 目的 だった場合 、人権 擁護 的 には指導 できたとしても、個 情 法 上 、指導 はできない。破産 者 マップやリクナビの事案 は、どのように対応 したのか。●
第三者 提供 を行 う際 の同意 が得 られていない、同意 の判断 に係 る情報 の内容 が不十分 であること等 を根拠 として指導 している。○しかし、「
絶対 に禁止 」とまでは規定 できないだろう。「本人 の権利 利益 を絶対 に侵害 してはならない。」としてもどのようにすれば本人 の権利 利益 を侵害 しないのかが分 からない。本人 によっても、捉 え方 が変 わる。○:センシティブ
情報 を扱 う他 の法律 に、参考 となるような表現 はないか。○:
差別 的 な取扱 を禁止 するような用例 であれば見 つかる。●:「
差別 的 取扱 の禁止 」は、行 いたいことと少 し異 なってしまう。○:
議 法 だが、探偵 業法 第 6条 に「人 の生活 の平穏 を害 する等 個人 の権利 利益 を侵害 することがないようにしなければならない。」とある。「権利 利益 を侵害 してはならない」という ような用例 はあるということだな。○:「
侵害 することがないように努 めること。」等 になるのか。○:リクナビ
事案 で言 えば、本人 の同意 があっても駄目 なのか。差別 的 な利用 を禁止 することはあってもいいだろうが、本人 の同意 を得 ているのであれば、本人 も「誠実 に御社 を志望 しています」などのアピールに使 えると考 えていれば、別 に問題 ないのではないか。○:
例 えば信用 情報 は結果 によっては融資 を受 けられないというような、利益 を損 なうようなことがあるかもしれないが、それは権利 利益 の侵害 とまでは言 えないのではないか。●:リクナビ
事案 の本質 的 な問題 は、同意 に係 る情報 の内容 が不十分 であったために、本人 が予見 できない中 で、本人 の権利 利益 が侵害 されるおそれが生 じた点 だと考 えている。○:それでも
権利 利益 の侵害 とまでは言 えないのではないか。○:
破産 者 マップの件 も不 適正 だという心情 は理解 できるが、できる範囲 で差別 的 な扱 いを助長 しないようにしてください、ということではないか。倫理 的 な問題 はあるかと思 うが、法律 的 には難 しいのではないか。○:
安全 管理 措置 義務 は過失 を罰 することができないので、措置 を講 じるようにとしている。わざと漏 えいさせることに対 してはデータベース等 提供 罪 がある。○:
探偵 業法 第 6条 は「自 らが侵害 することがないように」としている。「差別 を助長 してはいけない」という用例 はあまりない。他人 が差別 しないようにということまでは自分 では制御 できない。○:「
差別 を助長 するおそれがある」場合 は、事前 に指導 を行 ってもよいだろう。○:「
差別 を助長 させてはいけない。」とは言 い切 れない(提供 先 でのあらゆる利用 の様態 を完全 に予見 することを求 めることになる)ので、努力 義務 にするべき。指導 ・助言 止 まりだが、それが無視 されてしまった場合 には公表 すれば良 いのではないか。○:どのようなことを
行 えば、努力 義務 を果 たしたことになるのだろうか。自分 が差別 をしないであればまだよいが、自分 ではない者 に対 して助長 させないとは、どのようなことだろうか。○:
本丸 は、「何 をしてはいけない。」ではなく、「防止 策 として何 をしろ。」ということの方 が良 いのだろうか。しかし、「してはいけない。」ということが分 かっているのであれば、その行為 をやめろというべきなのではないか。その上 で、第 2項 に努力 義務 として予防 措置 義務 を設 けるべきではないか。○:
破産 者 マップの件 は事例 として使 える。しかし、リクナビの件 は立法 事実 としては微妙 。●:
闇 金 業者 (反 社会 的 勢力 )から融資 を受 けるために、担保 として名簿 を渡 すというようなケースもあった。○:
名簿 を渡 す側 のレピュテーションリスクであるし、名簿 に掲載 されている者 からすると、平穏 な生活 を脅 かされかねない(権利 利益 が害 されるおそれ)、と捉 えることができそうだな。○:やはり(
全 ての個人 情報 取扱 事業 者 に対 して)一律 に体制 整備 を行 わせることができないのであれば、努力 義務 ではないか。「差別 を助長 するような行為 をしてはいけない。」とするよりは、潜在 性 次第 で「害 するそれがないように努 める。」「害 しないように努 める。」として、害 してしまった場合 には努力 義務 違反 とする。違反 しないように体制 整備 を行 い、害 するようなことが発生 した場合 にはすぐに利用 をやめる。しかし、それでも指導 止 まりになってしまう。○:
害 することを知 りながら利用 している場合 には違反 を取 れる。権利 利益 を害 するようなことが発生 していなければ何 もできないが、発生 した場合 には指導 できる。○:
破産 者 マップの場合 には、法令 順守 のコンプライアンス違反 ではあるが、体制 整備 などは、一個人 で行 っているような場合 にはどうせできない。どうせ体制 整備 を行 わないのであれば、努力 義務 ではないか。努力 義務 であれば指導 はできる。○:できる
範囲 で行 えばよいものであれば、努力 義務 。しかし、行為 規制 のない体制 整備 もいかがなものか。○:
第 20条 (安全 管理 措置 )は行為 規制 を伴 わない予防 措置 義務 だというが、これは、自 ら進 んで情報 漏 えいを行 うようなことは普通 考 えられないからではないか。データを持 ち出 される(直 罰 の第 83条 に該当 するケース)ということはあっても、事業 者 自 らの故意 的 な情報 漏 えいがあるとは通常 考 えられないので、事業 者 には、情報 漏 えいしないように予防 措置 を講 じることを義務付 けることとしている。○:リクナビの
件 は立法 事実 として適 さない。「適正 な利用 」を規定 するのであれば、努力 義務 だろう。○:
本論 点 (「適正 な利用 」に係 る規定 の創設 )は、「プライバシー・ポリシー」の論点 から派生 したものと聞 いたが、PIA・DPOについても、別途 規定 するのか。●:
然 り。○:かつて(
前回 審査 時 )のプライバシー・ポリシーの論点 では、どのようなことを予定 していたのだったか。●:
個人 情報 取扱 事業 者 自身 で記載 した内容 に反 して権利 利益 を害 する利用 を行 ってはならない、との規定 を設 けることを、かつて検討 していた。○:それでは
事業 者 に丸 投 げになっている。プライバシー・ポリシーも業務 管理 規程 のようなものかと思 った。業務 管理 規程 を承認 するような制度 を創設 しようとしているのかと思 っていた。その前提 として、ある程度 の体制 整備 をさせるのかと思 っていた。○:
例 えば、貸金 業法 では、業務 規程 を作成 しなければならない(自 らの作成 した業務 規程 に沿 って業務 を行 わなければならない)としている。業法 で業務 改善 命令 型 ではあるが、是正 命令 のように、個別 に行為 規制 を並 べて命令 の対象 とするタイプではない。○:
方針 を作 らせておいて、そのまま個 情 委 として何 も行 わないということはないのではないか。何 でも良 いので作成 しておけば良 いというものではないのではないか。○:
行為 規制 ではなく、内部 管理 規程 であれば、類例 があって(良 い)となる。(個 情 法 の体系 として)行為 規制 を細 かく規定 しておきながら、その一方 で、内部 管理 規程 をざっくり作成 させるという案 は認 められないのではないか。第三者 提供 に必要 なポリシーを作成 するように、などと変更 するのか。○:「
個人 情報 の取扱 いが1万 件 以上 となる場合 はプラポリを作成 し、認定 を受 けた企業 だけは取 り扱 ってよい。」といった規定 であれば、前回 案 の、プライバシー・ポリシー(基本 方針 )を作成 させて終 わりということにはならないだろう。○:「
適正 な利用 」の用例 として持 ち出 された景 表 法 の「表示 に係 る事項 の適正 な管理 」ではどの程度 のことを求 めているのか。中小 企業 も義務 の対象 に含 まれるのか。●:
然 り。(適宜 指針 の内容 を説明 。)○:
当然 に行 うべきことを求 めているのだから、中小 企業 も含 まれるということか。○:
景 表 法 をよく見 ると、「表示 に係 る事項 の適正 な管理 」の違反 は勧告 ・公表 止 まりとなっていて、罰則 まではない。景 表 法 には、措置 命令 や課徴 金 の対象 となるコアな行為 規制 が別途 存在 し、そのコアな行為 規制 を遵守 するために、予防 措置 を講 じるための規定 として存在 する。補助 的 な義務 の違反 であるから、「適正 な管理 」は勧告 ・公表 止 まり、ということなのだろう。○:
行為 規制 を守 るための体制 構築 (あるいは措置 )は当然 の前提 であり、それを義務 として課 す例 はおよそないのではないか。仮 に「第 4章 第 1節 の義務 を守 るために必要 な体制 整備 をしなければならない」と明確 化 してガイドラインに誘導 することができるとしても、ガイドラインでいろいろと規定 できるが、ガイドライン(指針 )なら勧告 ・公表 止 まり。そこまでして独自 の条文 を付 け足 したいのか。具体 的 に行 わせることは、プラポリを作 り、DPOを設置 する、ということであれば分 かる。●:
今回 の説明 資料 に記載 した具体 的 な取組 のうち、主眼 としているのは、法令 順守 体制 の整備 というよりは、個人 の権利 利益 の侵害 を抑止 するための体制 の構築 の方 。努力 義務 で良 いのかについては、内部 で検討 したい。○:「
必要 なことは行 ってください。」「事業 内容 に応 じて全 事業 者 が行 ってください。」「中小 企業 であっても、センシティブ情報 を扱 うのであれば行 ってください。」「人 がいないので対応 できないではだめ。」ということを規定 するのか。○:
第 1項 が努力 義務 だというのにか。第 2項 は努力 義務 でも良 いが、全員 にやらせるべきことはやらせる。●:
禁止 行為 を記載 するのではなく、「適正 に利用 しなければならい」では規範 の明確 性 に欠 けるか。○:どのようにすればよいのかが
分 からない。○:「
権利 利益 の侵害 を行 わないように」であればまだどのようなことをすれば良 いのかがわかる。○:
自分 (の利用 )だけではなく、(インターネット上 に公表 された情報 を)見 た人 も含 めてとなると、第三者 提供 に対 しても規定 するのかとなる。提供 先 において、権利 利益 の侵害 のおそれがないようにしなければならない、とした場合 、不 特定 多数 の相手 に対 しては無理 ではないか。自分 だけではなく、相手 にも守 らせる必要 があるとなると、第三者 提供 は実質 できなくなってしまう。一律 義務 とするのであれば、提供 先 を限定 させるぐらいしないと無理 だろう。○:
努力 規定 であっても、個人 情報 を悪用 しようとしている人 がいればやめるように指導 を行 うことはできる。現行 法 にも規定 されていないのにはそれなりの理由 があるのではないか。○:
結果 として権利 利益 の侵害 があって、どういう事案 についてどのようにすればよいのか不 明確 ではないか。実務 として事業 者 も対応 できないのではないか。第三者 提供 を行 う際 に、権利 利益 の侵害 を行 うとは思 っていなかった、確認 したが嘘 をついているとは思 わなかった、とできる範囲 での確認 をさせることはできても、提供 先 で悪用 されることを防 ぐことはできないだろう。自分 は権利 利益 の侵害 を行 わないようにしましょうであれば規定 できるだろうが。○:これらの
事情 もあって、現行 法 には規定 されていないのではないか。○:
法 目的 に「個人 の権利 利益 の保護 」とあるので、「自分 が権利 利益 を侵害 してはならない」「権利 利益 を侵害 しないように配慮 しなければならない/努力 しなければならない」というようなことは規定 できるだろう。開示 請求 対応 義務 の例外 事由 の規定 ぶりに倣 えば、「本人 又 は第三者 の生命 、身体 、財産 その他 の権利 利益 を害 するおそれがあるときは当該 取扱 を行 ってはならない。」のようになるかと思 う。おそれがあるときは取 り扱 っては駄目 。○:「
内部 的 な取扱 で~~のおそれがあるときは取 り扱 ってはならない。」とした場合 、例 えば、警察 からの情報 提供 依頼 は、個人 の権利 利益 の侵害 に当 たるのだろうか。侵害 のおそれはあるが、正当 性 があるから問題 ないとなるのだろうか。例外 規定 がなくても良 いのか、という問題 にもなる。○:
条文 を日本語 として書 けるとしても、本当 に規定 するのであれば例外 規定 がなければ駄目 だと思 う。書 けたとしてもせいぜい、訓示 規定 ではないかとも思 う。○:しかし、おそれがある
場合 でも努力 規定 になってしまう。おそれがあるのであらば、取 り扱 わないでくれ、という感情 にもなってしまうが。○:(「
利用 停止 等 」の論点 では)法 違反 のとき以外 にも利用 停止 等 の請求 ができると広 げようとしており、利用 停止 等 の条文 ですら、請求 があった場合 には必 ず利用 停止 せよとはしていない。○:「
保有 個人 データの取扱 いによって、当該 本人 の権利 又 は正当 な利益 を害 するおそれがある場合 」には、利用 停止 の請求 対象 になる。請求 があれば事業 者 は、絶対 ではないが、それを受任 しなければならない。○:「
適正 な利用 」論点 については、請求 を待 たずして、「本人 の権利 利益 が害 されないように利用 停止 等 又 は第三者 提供 の停止 を行 うように努 める」、ないし、「権利 利益 が害 されるおそれがあるときは、利用 停止 しなければならない」と規定 することになるのか。○:
利用 停止 は請求 への対応 なので、努力 義務 ではなく、その場合 は、ただし書 きが必要 になる。○:「
相当 な理由 があると認 められるとき」と裏表 で規定 できないだろうか。○:(これまで「
利用 」との表現 に着目 してきたが)「利用 」と「第三者 への提供 」をやめるとすべきではないだろうか。第三者 提供 を行 った先 で差別 がなされる場合 もあるので、利用 停止 とそのような者 へ提供 をしないように努 める。加 えて、前項 の目標 を達 するために必要 な措置 を努力 義務 とする。という案 もあるかもしれない。○:リクナビ
事案 について、リクルートが情報 を取 り扱 っている限 りでは、差別 は生 じない。第 26条 (第三者 から個人 データの提供 を受 けた際 の確認 記録 義務 )の確認 記録 の開示 請求 を行 った上 で、(当該 提供 先 事業 者 に対 して)利用 停止 等 の請求 ができるといえばできてしまう。〇:また、
規律 の対象 は「個人 データ」ではなく、「保有 個人 データ」とすべきなのかもしれない。努力 義務 とするのであれば、「個人 データ」としても良 い(利用 停止 等 の権限 を有 しない委託 先 などが義務 を履行 できなくて良 いと整理 できる)かもしれないが。○:
条 見出 しであるが、「権利 利益 の侵害 の禁止 」などではないか。●:
不正 な取得 を禁 じている第 17条 の見出 しが「適正 な取得 」となっているように、「適正 な~~」とすることはできないのか。○:
利用 や第三者 提供 の禁止 、という趣旨 に鑑 みると、「利用 停止 等 」となるのではないか。●:
利用 停止 等 以外 にも第 2項 で体制 の整備 などの要件 もあるが。○:
苦情 の処理 (第 35条 )も「体制 の整備 」との語 は条 見出 しで出 てこない。○:とりあえず
第 30条 の2として、条 見出 しは利用 停止 等 (第 30条 )と共通 見出 しで同 じで良 いのではないか。
開示 資料 16192頁
「
なお、この
2019/10/31
第 17回 法制 局 参事官 審査 録
日時 :10月31日 (木) 10:15~12:30(
略 )<
個人 情報 保護 計画 (新設 )>(
略 )○:
届出 を課 す趣旨 は何 か。●:
個 情 委 に届出 した計画 の遵守 状 況 等 に鑑 み、場合 によっては執行 の対象 とするためである。○:
計画 を作 って届出 ・公表 させることにどこまで意味 があるのか。届出 については、部長 も、「事業 者 に負担 をかけさせてまで、届出 のみで済 ませるのは制度 として完結 しておらず、その効果 が疑問 。」と言 っていた。○:
計画 はやはり異 なる。計画 というものは、タイムスパンがあるものであることから、例 えば、年 に1回 定期 的 に報告 させるケースもあるが、本件 はそのような性質 のものではない。○:
行為 規制 を課 すならば、もっと直接的 に規定 を設 ければよい。内部 統制 ・体制 整備 を求 める場合 にはその内容 を直接 義務付 けているはずである(「○○責任 者 を設置 しなければならない」等 )。用例 集 では、商工会 及 び商工 会議 所 による小規模 事業 者 の支援 に関 する法律 (以下 「商工会 法 」という。)第 7条 第 5項 に定 める「経営 指導 員 」の記載 があるが、これは外部 向 けサービスの提供 のために設 けられるものであって、事業 者 内 での取組 みを求 める本件 とは性質 が異 なる。体制 の整備 を求 めるにしても現行 個人 情報 保護 法 第 20条 の安全 管理 措置 の一環 とするか、またはそれとは別途 規定 した場合 は個 情 委 がチェックする形 とするかではないのか。○:
新旧 対照 表 の第 B条 第 2項 第 1号 の「方針 」は基本 的 には社内 的 ルールでやるようなもの。第 3号 は番号 法 を参照 しているようだが、評価 させたいならば番号 法 のように個 情 委 としてきちんとチェックするするスキームとしなければ、評価 させる意味 が見 いだせない。○:
前回 は1個 人情 報 保護 責任 者 、2影響 評価 、3個人 情報 保護 方針 、と3本立 てであったが、なぜ「計画 」として一本 化 したのか。●:
対象 事業 者 要件 が同 じ3つを義務付 けるにあたり、柱 になる制度 例 として計画 に着目 した。一括 して計画 としてまとめて記載 させ実行 させ、個 情 委 として関与 し、公表 もさせる、ということとした。〇:(
繰 り返 しになるが、)当該 計画 にゴールがなければ、それは計画 ではない。また、関与 について、届出 では足 りない。●:
個 情 委 が細 かくやり方 を規定 するのではなく、各 事業 者 において、個人 情報 を保護 するための方針 やPIA実施 基準 等 を検討 させることで、このような各 種取 組 みを推進 させていきたいと考 えている。○:そうであれば、それは
法律 事項 ではなく、ガイドラインで示 したり、モデル事業 でもやったらどうか。○:
番号 法 においても、法令 において特定 個人 情報 保護 評価 事項 等 を細 かく示 した上 で、承認 するというスキームを採用 している(同 法 第 27条 、第 28条 )。つまり、事業 者 に対 して事前 予防 の観点 から漏 えい等 の事態 が発生 するリスクを分析 し、そのようなリスクを軽減 するための適切 な措置 を講 ずることを宣言 させ、これを個 情 委 が承認 し、公表 することとなっている。本件 では、そのような細 かい規定 も個 情 委 の関与 もない。そうであれば現行 法 第 20条 の安全 管理 措置 の一環 と位置付 けて、当該 保護 措置 をとらなかったことについて第 20条 違反 を問 いうるのではないか。○:
第 20条 の安全 管理 措置 の特 則 という形 で、保護 評価 実施 義務 を課 すのであれば、第 20条 と両立 しうるかもしれない。ただし、その場合 でも評価 させたまま放置 するのではなく、個 情 委 として何 らか関与 する必要 がある。○:
自己 評価 といっても、その評価 が虚偽 のものである等 不適切 な場合 も想定 され、そのような不十分 な評価 を排除 するスキームがない中 、これを消費 者 が信 じてしまい結果 不利益 を被 る事態 も発生 しうる。番号 法 においては、行政 機関 等 でさえ評価 や個 情 委 による承認 という担保 があるにもかかわらず、本件 はそうはなっておらず、有象無象 の民間 事業 者 を対象 とする個人 情報 取扱 事業 者 において、適切 に自己 評価 ができるわけがない。別途 「虚偽 の評価 をしてはならない」等 と規定 するのにも違和感 がある。「自 らが自己 評価 をして公表 することを義務付 けている」という類例 があればぜひ紹介 してほしい。○:つまるところ、
個 情 委 の覚悟 が問 われているのではないか。真面目 な個人 情報 取扱 事業 者 から任意 で策定 した計画 をチェックしてほしいと相談 された際 に、個 情 委 がそれに応 じることで課題 やノウハウが蓄積 される。これまでに、そのような事例 を積 み重 ねてきて、それを法制 化 するというのであればまだしも、そういったわけではない。○:
必要 性 があるならば、計画 という形 で間接 的 にやらせるのではなく、その事項 を義務 づければよい。「自己 評価 をしておけ」というものであれば、それは安全 管理 措置 に含 まれるのではないか。○:
女性 活躍 推進 法 は、女性 が職業 生活 において活躍 することが望 ましいという動機 付 けを目的 としており、計画 に基 づいて行 うものは努力 義務 。これに対 し、本件 では個人 の権利 利益 という、保護 法益 があり、そうであれば何 をさせるのかを個別 に義務付 ければよい。(
略 )○:イメージをそのまま
法制 化 しているようだが、決 してそうではなく、類例 を参照 しつつ法 制度 として成 り立 ちうるのかという観点 から検討 してほしい。○:
義務付 けるのであれば義務付 ける内容 も明確 に規定 する必要 があり、その内容 を義務 の対象 者 に考 えさせるというものでは制度 として成 りたない。類例 があれば議論 を続 けるが、管理 者 /責任 者 の典型 例 をベースに再考 してはどうか。安全 管理 措置 は、技術 の進歩 もあり概括 的 な条文 にならざるを得 ないが、自身 の義務 履行 のために自身 で計画 を立 てさせるというような例 はないのではないか。○:
考 えられるパターンとして、PIAについては、1番号 法 のように評価 項目 等 細 かく規定 、2第 20条 の安全 管理 措置 の一環 としてガイドラインで明示 、DPOであれば、(道交法 のような)管理 者 制度 を採用 する、というものが考 えられる。他方 で、現 案 のような行為 規範 を守 るために計画 を策定 させる、という制度 は厳 しいのではないか。また、1について個 情 委 による承認 制度 を採用 しないのであれば、番号 法 とは異 なる制度 とする理由 を論証 する必要 がある。その場合 、負担 が重 い等 の理由 はダメ。○:
計画 とするならば、タイムスパンやゴールがあるものであり、その中身 を実行 させるなら、それをそのまま正面 から規定 すべき。ガバナンスについても、何 をやるのか/どのような管理 をするのかまで規定 する必要 があり、丸 投 げするようでは法律 事項 ではない。いずれにしても、認定 個人 情報 保護 団体 のような緩 い制度 を創設 するならまだしも、個人 情報 取扱 事業 者 に対 して義務 を課 すならば、その義務 の内容 を明確 化 すべきであるし、それに対 して個 情 委 はどう対応 するのかというところまで、検討 してほしい。
開示 資料 16200頁
この
個人 情報 の保護 に関 する法律 等 の一部 を改正 する法律 案
令 和 元年 10月 30日 審査 における指摘 事項 とその対応 について
個人 情報 保護 委員 会 事務 局 (
略 )<
新 個人 情報 保護 法 第 A条 >○
個人 情報 保護 評価 の実施 や管理 責任 者 の選任 を事業 者 に求 めるのであれば、指針 や計画 の策定 を通 じてではなく、直接 に義務付 けるべきではないか。また、事業 者 による不 適正 な利用 を制限 するのであれば、体制 整備 義務 ではなく、禁止 規範 を課 すべきではないか。
→御 指摘 を踏 まえ、修正 。
開示 資料 15918頁
これによって、
2019/11/13
<適正な利用に必要な体制整備等の義務化等>第 21回 法制 局 参事官 審査 録
日時 :11月13日 (水) 17:35~18:55
(略 )○:
景 表 法 が下敷 きになっているということで良 いか。●:
然 り。○:
景 表 法 は不当 表示 の規制 が中核 にあって、それを守 るためにどのような措置 を採 るべきかという構成 になっている。どのような表示 の管理 を行 えばよいかということを法律 で細 かく記載 するのは難 しいので、ふんわりとした記載 となっている。ふんわりとした記載 なので、それに対 しては勧告 ・公表 止 まりとなっている。不当 表示 という中核 的 規制 に対 しては、課徴 金 まで科 される構成 となっている。○:
個 情 法 では、第 4章 第 1節 に規定 されている内容 が、「適正 な利用 を行 うために必要 な措置 」としての行為 規制 ではないか。「適正 な取扱 いの確保 を図 る」ために列挙 された第 4章 第 1節 の行為 規制 に不足 があるのであれば、行為 規制 を新 たに追加 するべきなのではないか。行為 規制 を促 すための義務 も設 けるのであれば、促 すための義務 として表現 すべきなのではないか。○:そういった
意味 で、いただいた案 1と案 2では、案 1の方 が良 いが、案 1は、景 表 法 とはパラレルな構造 になりにくく、中途半端 になっている。案 1の第 2項 の規定 ぶりだと、第 1項 の行為 規制 の順守 のための体制 整備 義務 には見 えず、第 4章 第 1節 の義務 を守 らせるための体制 整備 義務 のように見 える。○:「
第 4章 第 1節 の義務 の履行 を確保 するために体制 を整備 しなければならない」とする形 であれば、体制 整備 義務 を規定 することも、あり得 るかもしれない。しかし、指針 を作成 して具体 的 な体制 を記載 したからといって、それが行為 規制 になるわけではない。○:
案 1と案 2はパラレルで規定 したいのか。●:そのような
趣旨 ではない。○:
第 30条 の2として規定 するのが良 いかは別 として、第 2項 中 の「本人 の権利 利益 が害 されることのないよう~必要 な措置 」との表現 では、第 4章 第 1節 の内容 そのものを言 っていることになるのではないか。第 4章 第 1節 全体 を対象 とした義務 とするのか。体制 整備 についてまで義務 として課 す場合 、堀 永 補佐 が検討 しているDPO設置 義務 との関係 はどのように整理 されるのか。○:DPO
設置 義務 は大 規模 な事業 者 に限定 して課 されるものであるが、第 30条 の2第 2項 で規定 する体制 整備 要件 は、全 事業 者 に課 すため、重複 していないともいえる。しかし、体制 の整備 を全 事業 者 に対 して義務付 ける規定 を設 ける一方 で、一定 の基準 以上 で管理 者 の設置 義務 を規定 する、といった類例 はあるのか。○:DPO
設置 義務 の用例 として持 ち出 された風営法 や道路 運送 法 は、お店 や事業 所 ごとに責任 者 を置 かせるものであるが、そうではなく、電気 通信 事業 法 のように全社 的 な責任 者 を置 かせる類例 に従 う必要 がある。○:
電気 通信 事業 法 においては、全社 的 な管理 者 に規程 を定 めさせ、規程 に問題 があれば当局 が指示 して直 させる規定 となっている。また、これに倣 えば、事業 者 に規程 を策定 させて終 わりではなく、当局 がチェックをする必要 があるだろう。事業 所 単位 ではなく、全社 的 な責任 者 として定 めるのであれば、そのように構成 する必要 がある。○:
第 30条 の2第 2項 以降 の体制 整備 義務 とDPO設置 義務 との関係 を、どのように整理 するのか。一 つのタマとして、どのように描 くのか検討 する必要 があるのではないか。○:
道路 運送 法 の運行 管理 者 のようにするに規定 するにしても、当局 への届出 は必要 だろう。第 30条 の2の指針 に「管理 者 」を定 めることではだめなのか。指針 に記載 するのではなく、(DPOを)法定 化 する必要 があるのか。○:
措置 義務 は、景 表 法 やパワハラ防止 法 などにおいてみられるが、それらはいずれも勧告 ・公表 止 まりではないか。個 情 法 も同様 とした場合 、勧告 止 まりとなるが、(勧告 前 置 の命令 として構成 されている)個 情 法 の法体 系 として、おかしくなるのではないか。○:(
第 2項 以降 の)体制 整備 を義務 化 するとした場合 、中小 企業 へも一律 に義務付 けるのか。●:
然 り。○:
第 30条 の2第 1項 (不 適正 な利用 の禁止 )と第 2項 (体制 整備 )以降 は切 り離 すべきではないか。〇:
第 1項 については、第 4章 第 1節 の行為 規制 には違反 しないが、一般 的 には不 適正 な事案 があるから、新 たに行為 規制 を追加 するという整理 になるのか。○:
第 1項 の「利用 」の中 には、第三者 への提供 も含 まれるのか。●:
含 まれるが、ここでは、第 30条 との並 びを考慮 し、「利用 又 は提供 」とした。前回 の審査 において、利用 停止 等 (第 30条 )との並 びについて指摘 されたことから、そのようにした。○:この
条文 を入 れるとしても、どのみち(利用 停止 等 を規定 した)第 30条 よりも前 だろう。一連 の行為 規制 の前 に置 く必要 があるのではないか。第 16条 の直後 に、第 16条 の2として置 くべきではないか。○:「
利用 」に含 まれない「取扱 い」として何 があるのか。●:
取得 、保管 、廃棄 が考 えられる。〇:「
保管 」は「利用 」に含 まれるのではないのか。●:
含 まれる。○:
権利 利益 を害 するおそれのある個人 データの保管 や、公序良俗 に反 する個人 データの保管 とは、どのようなものなのかわからない。もし、漏 えい等 の可能 性 が高 いようなことであれば、それは第 20条 の安全 管理 措置 違反 になるのではないか。廃棄 も同様 だろう。取得 についても、第 17条 で「適正 な取得 」が規定 されている。これらのことから、「取扱 い」ではなく「利用 」で良 いだろう。○:
第三者 提供 も「利用 」に含 まれるのであれば、「利用 又 は提供 」ではなく、「利用 」だけで良 いだろう。●:
案 1(権利 利益 の侵害 のおそれ)とした場合 、「権利 利益 が害 されるおそれがあるとき」では広 く読 めすぎるのではないかと懸念 しているが、問題 はないか。妥協 案 として、案 2(公序良俗 違反 のおそれ)もあり得 るのではないかとも考 えている。○:「
権利 利益 が害 されるおそれ」については、社会 通念 に照 らして判断 されるのではないか。第 28条 の例外 事由 の解釈 も、同様 の整理 なのではないか。○:
案 1は「利用 により、~おそれ」、案 2は「おそれのある利用 の方法 」という表現 の違 いがある。案 2のように、「方法 」に着目 する方 が良 いだろう。利用 目的 が良 くても利用 の方法 が悪 ければ、不 適正 となる。利用 目的 が悪 い場合 には、その利用 目的 は本人 に通知 又 は公表 しているので自然 と淘汰 されるべきものとして考 えられているのだろう。従 って、利用 の「方法 」に着目 した規制 を追加 する、という形 が自然 だろう。○:その
上 で、両者 の違 いは、案 2の公序良俗 に着目 する一方 で、案 1の権利 利益 に着目 した規制 を行 うということになる。どちらの場合 でも、ただし書 きは必要 だろう。○:
案 1は、「利用 により~おそれ」との表現 では、個別 の保有 個人 データに着目 しているように見 えてしまう。このデータを使用 した場合 、本人 の権利 利益 を害 するおそれがあるので駄目 、と規定 しているようにも見 える。これだと、病歴 なども扱 ってはいけない、となりかねない。したがって、やはり、「利用 」ではなく、「方法 」に着目 する必要 があるだろう。規定 ぶりとして、「権利 利益 を害 するおそれのある方法 により」となるのではないか。公序良俗 違反 については、どのような用例 があるのか。●:まず、
直接 に公序良俗 違反 行為 を禁 じた用例 はみられない。その上 で、特許 法 などで、公序良俗 に反 する内容 の申請 を許容 しない例 や、金融 の業法 などで、公序良俗 を害 するおそれのあるものは適格 要件 を満 たさないとしている例 、公序良俗 に反 する運送 を拒絶 禁止 の例外 とする例 などが、みられる。〇:これらの
用例 を見 ると、猥褻 といった方向 に近 いのだろう。これは、今回 の論点 で、個 情 委 がやりたいこととは異 なるのではないか。○:
法 目的 で「権利 利益 の保護 」と謳 っている以上 、権利 利益 に着目 するのが良 いだろうな。対象 を「本人 」とするのか、「個人 」とするのかという点 もあるが。「本人 or個人 の権利 利益 を害 されるおそれがある方法 により個人 情報 を利用 してはならない」となるのではないか。「生命 、身体 、財産 その他 の権利 利益 」とするか、利用 停止 等 の新 5項 のように「権利 又 は正当 な利益 」とすべきかについては、検討 してもらいたいが。〇:また、
第 16条 との並 びで、「保有 個人 データ」ではなく「個人 情報 」とすべきだろう。○:(
第 2項 以降 の)「適正 な利用 」を確保 するための体制 整備 義務 には、強 いこだわりがあるのか。強 いこだわりというほどではないのであれば、体制 整備 義務 は、第 4章 第 1節 の義務 の履行 を確保 するための役割 を持 つ責任 者 としてのDPOの設置 義務 に一本 化 した方 が良 いかと思 う。●:それは、
第 2項 が、第 4章 第 1節 の義務 の履行 のための体制 整備 義務 だと解 した場合 の議論 に限定 されるか。第 1項 の規定 を担保 するための体制 整備 義務 として第 2項 を位置付 けても、同様 の議論 になるのか。○:
第 2項 は、「適正 な取扱 い」を確保 するための体制 整備 義務 であるから、結局 第 4章 第 1節 の義務 の履行 のための体制 整備 義務 となるのではないのか。〇:この
体制 整備 義務 は、中小 企業 にも課 す予定 なのか。●:
景 表 法 の例 にも照 らし、中小 企業 であっても、(大 企業 とは)程度 の差 こそはあれ、対応 できると考 えている。○:
景 表 法 の場合 でも、全 事業 者 に対 して措置 義務 を課 しているが、中小 事業 者 に対 して求 める措置 も、指針 で定 めている。○:
個 情 法 で行 おうとしていることは、勧告 ・命令 だけではなく、罰則 までだと思 うが、指針 に定 めたことを履行 していないものに対 して罰則 まで科 す例 があるのか。景 表 法 並 びで勧告 止 まりでも良 いとするのか。個 情 法 なら勧告 前 置 の命令 ・罰則 もできるのである、という説明 ができるなら話 は別 だが。○:
指針 で色々 と書 かせるのであれば、管理 者 の設置 も指針 に明記 すれば良 いのではないか。〇:また、DPOの
設置 基準 に裾 切 り要件 を設 けることについて、平成 27年 改正 で5000人 要件 を撤廃 した経緯 がある手前 、裾 切 り要件 を復活 させることも、どうかと思 う。自分 のところで止 めるつもりはない(部長 には一 度 上 げることは可能 だ)が。○:
逆 に、DPOの設置 義務 を法定 するのであれば、全社 的 な責任 者 を規定 した電気 事業 通信 法 に倣 う必要 があるのではないか。中小 企業 は対応 できないかもしれないが、管理 者 を中心 とした体制 整備 が必要 だと説明 するのではないか。○:DPOを
中心 とする体制 が必要 と言 っている一方 で、対象 事業 者 にならなくなった途端 に、第 2項 のフワッとした体制 整備 義務 が課 されるのは変 。せいぜい、中小 企業 (DPO設置 義務 の対象 とならない事業 者 )は、DPO設置 の「努力 義務 」を置 く程度 なのではないか。〇:
逆 に、第 2項 のフワッとした体制 整備 義務 が基本 としてあった上 に、一定 の事業 者 に対 してDPO設置 義務 を課 すというのも重畳 感 がある。○:ちなみに、PIAの
法定 化 は、どうするのか。●:PIAについては、
法定 化 するのではなく、ガイドラインで対応 する方向 で検討 が進 められている。番号 法 のように、細 かな様式 などを規定 した制度 を、個 情 法 においても構築 するのは、難 しいと考 えている。(
略 )○:
事業 者 へ対 してのPIA義務 は措置 しないという方針 で良 いのか。●:
然 り。○:プライバシーポリシーも
体制 整備 要件 に含 めるということか。●:プライバシーポリシーについては、それに
載 せるべき事項 を第 27条 ないし政令 第 8条 の公表 事項 として直接 規定 できないかと考 えている。本日 投 げ込 んだ資料 を参照 されたい。○:
投 げ込 んでいただいた資料 の法律 の内容 (住所 や代表 者 の氏名 )は承知 した。しかし、何 でもかんでも公表 事項 とすれば良 いというわけではない。政令 に書 いて、それを義務 とすることは認 められない。○:
事業 者 によっては、何 らかの措置 を講 じているかもしれないが、前提 として、講 じる「義務 」があるものについて、「公表 」させるのではないか。例 えば、「データの処理 方法 」について公表 させるなら、データの処理 方法 に関 する個別 具体 の記録 を残 させるような義務 を設置 すべきだし、第三者 提供 の確認 記録 義務 についても、今回 の改正 で開示 の請求 対象 にしようとしている中 で、第三者 提供 先 や提供 元 の氏名 等 をいきなり公表 させることはできるのか。制度 的 に裏付 けられているものか、当然 にやっているものないしすぐ出 せるもの(氏名 等 )でないと、公表 事項 として列挙 できないのではないか。(その観点 から、第 35条 第 2項 の苦情 の処理 の体制 整備 が努力 義務 である一方 で、苦情 の申 し出 先 が公表 事項 として規定 されていることは、どう説明 されるのだろうか。)公表 事項 に追加 されたとしても、「なし」というものになってしまわないか。○:プライバシーポリシーを
作 らせたいなら、作 れという規範 を設 ける必要 がある。先日 も議論 したが、内部 を統制 する種類 のものであれば、「指針 」というよりは「規程 」とすべきではないか。規程 (内部 ルール)に違反 した従業 員 がいれば、責任 を取 ってもらわなければならないような内容 を定 めるのではないか。措置 義務 で推奨 する程度 ではなく、きちんと正面 から取 り組 ませるのであれば、「規程 」とすべきなのではないか。○:
適正 な利用 の体制 整備 について、ふんわりと法律 で定 めて、「管理 者 を決 めなさい」と義務付 けるのはおかしいのではないか。個別 実態 に即 して様々 であるので、目安 をガイドライン等 で示 して、あとは事業 者 が柔軟 に対応 すべき、という規範 になるのであって、(ふんわりとした体制 整備 義務 を設 ける中 で)管理 者 だけを特出 しして設 けることを義務付 けるのはおかしいのではないか。また、体制 整備 義務 について、指導 のみでもよいのであれば別 だが、命令 ・罰則 まで行 うのは難 しいのではないか。○:
案 1の第 1項 だけ切 り離 すのであれば、部長 一読 の1便 に乗 せることはできるのではないかと思 う。
開示 資料 16217頁
「「
この
案 1(
不 適正 な利用 等 の禁止 )
第 30条 の2個人 情報 取扱 事業 者 は、保有 個人 データの利用 又 は提供 によって、本人 の生命 、身体 、財産 その他 の権利 利益 が害 されるおそれがあるときは、当該 保有 個人 データを利用 し、又 は提供 してはならない。ただし、他 の法令 に違反 することとなる場合 その他 正当 な理由 がある場合 は、この限 りでない。2
個人 情報 取扱 事業 者 は、本人 の権利 利益 が害 されることのないよう、個人 情報 を適正 に利用 又 は提供 するために必要 な体制 の整備 その他 の必要 な措置 を講 じなければならない。3
個人 情報 保護 委員 会 は、前項 の規定 に基 づき個人 情報 取扱 事業 者 が講 ずべき措置 に関 して、その適切 かつ有効 な実施 を図 るために必要 な指針 (以下 この条 において単 に「指針 」という。)を定 めるものとする。4
個人 情報 保護 委員 会 は、指針 を定 めたときは、遅滞 なく、これを公表 するものとする。5
前項 の規定 は、指針 の変更 について準用 する。
案 2(
公序良俗 に反 する利用 方法 の禁止 )
第 16条 の2個人 情報 取扱 事業 者 は、公 の秩序 又 は善良 な風俗 を害 するおそれのある方法 により個人 情報 を取 り扱 ってはならない。
開示 資料 1429頁
「
この
個人 情報 の保護 に関 する法律 等 の一部 を改正 する法律 案
令 和 元年 11月 13日 審査 における指摘 事項 とその対応 について
個人 情報 保護 委員 会 事務 局 (
略 )<
新 個人 情報 保護 法 第 30条 の2等 >○
不 適正 な利用 等 の禁止 については、利用 全般 に係 る規制 であり、第 16条 (利用 目的 による制限 )の次 に第 16条 の2として規定 すべきではないか。また、適正 な情報 管理 に必要 な体制 整備 について、他 の法令 では、管理 責任 者 の選任 等 が求 められているのではないか。
→御 指摘 を踏 まえ、修正 。(
略 )
開示 資料 15928頁
これによって、
こうして
こうして、
個人 情報 の保護 に関 する法律 の一部 を改正 する法律 案 (仮称 )
説明 資料 令 和 元年 11月 18日
個人 情報 保護 委員 会 事務 局 (
略 )
不 適正 な方法 による個人 情報 の利用 の禁止 (新設 )I
改正 の背景 ・趣旨 1
個人 の権利 利益 が害 されるおそれのある方法 による個人 情報 の利用 の実態
昨今 の急速 なデータ分析 技術 の向上 (アルゴリズムの複雑 化 ・ブラックボックス化 )等 を背景 に、個人 情報 を取 り扱 う事業 者 自身 が十分 に予期 できるか否 かに関 わらず、潜在 的 に個人 の権利 利益 の侵害 につながる(本人 が予見 し得 ない形 で不利益 を被 る)ことが懸念 される個人 情報 の利用 の形態 がみられるようになり、消費 者 (個人 )側 の懸念 が高 まりつつある。そのような中 で、特 に、現行 法 の規定 に照 らして明 らかに違法 とまでは断定 できないものの、本法 の法 目的 である個人 の権利 利益 の保護 の観点 から、看過 できないような方法 で個人 情報 が利用 されているとして、社会 的 な批判 を浴 びるような事例 が、一部 において、みられるようになった。(
略 )II
本人 の権利 利益 が害 されるおそれのある方法 による個人 情報 の利用 の禁止 の新設 (新法 第 16条 の2関係 )
本人 の生命 、身体 、財産 その他 の権利 利益 が害 されるおそれのある方法 により、個人 情報 を利用 してはならないことを、個人 情報 取扱 事業 者 に義務付 ける。ここで、「本人 の生命 、身体 、財産 その他 の権利 利益 」とは、法 第 18条 第 4項 第 1号 及 び第 28条 第 2項 第 1号 と同様 に、本人 に関 する法律 上 の保護 に値 する利益 一般 をいい、例示 されたものに限定 する趣旨 ではない。具体 的 には、上記 Iで取 り上 げたような事例 に鑑 み、(本人 が予測 し得 ない形 で発生 し、かつ、不 特定 多数 の者 によって引 き起 こされ得 る)本人 に対 する差別 や、(違法 な行為 を営 む者 からの接触 による)本人 の平穏 な生活 を送 る権利 の侵害 などが想定 される。ここで、「害 されるおそれ」としているのは、法 第 !8条 第 4項 第 1号 及 び第 28条 第 2項 第 1号 に規定 される「害 するおそれ」と同様 に、利用 によって具体 的 な支障 の発生 は将来 生 ずるものであることによる。この場合 、「おそれ」とは、物理 的 、確 率 的 な可能 性 ではなく、社会 通念 による蓋然性 の有無 の判断 による。ただし、
他 の法令 に違反 することとなる場合 (捜索 差押 への対応 への結果 として、本人 の逮捕 が予見 される場合 等 )や、本人 との間 で契約 を締結 している場合 (与信 審査 の結果 として、本人 が融資 を受 けられないと判断 される場合 等 )など、個 人情 報 取扱 事業 者 がこうした個人 情報 の利用 を行 うことに正当 な理由 がある場合 については、本 義務 の適用 除外 とする。
開示 資料 1999頁
この
(
不 適正 な利用 の禁止 )
第 16条 の2個人 情報 取扱 事業 者 は、本人 の生命 、身体 、財産 その他 の権利 利益 が害 されるおそれのある方法 により個人 情報 を利用 してはならない。ただし、他 の法令 に違反 することとなる場合 その他 正当 な理由 がある場合 はこの限 りでない。
開示 資料 1940頁
この
これに
2019/11/19
第 25回 法制 局 参事官 審査 録
日時 :11月19日 (火) 20:00~22:20(
略 )<
適正 利用 及 び利用 停止 等 の要件 の拡大 について>○:
適正 利用 と利用 停止 等 については、同一 の指摘 。「本人 の権利 利益 が害 されるおそれ」というのは、明確 性 ・予見 可能 性 に欠 けている。許 しがたい立法 事実 があることについては部長 に理解 をしていただいたが、その対応 としての規定 が大鉈 すぎるとのこと。○:
最初 、部長 は両 規定 について、裁判官 に決定 権 を委 ねる裁判 規範 との認識 だったため、委員 会 が執行 する行政 規範 でもあると説明 したところ、そうであれば違反 となる基準 を明確 にすべきであると指摘 された。裁判 規範 であれば、一定 程度 裁量 のある規定 となっても許 される。行政 規範 は裁判 規範 に比 べ裁量 性 が少 ない。○:
第 30条 は裁判 上 の請求 権 ではあるが、委員 会 も執行 する規定 であるという理解 でよいか。●:
第 42条 の勧告 ・命令 の対象 として第 30条 違反 が含 まれているので、委員 会 が執行 する規定 でもある。○:その
点 については、部長 に再度 詳細 に入 れておく必要 がある。平成 27年 改正 で、裁判 上 の請求 権 であることが明確 化 された経緯 を含 め加筆 してほしい。●:
行政 規範 と裁判 規範 で裁量 性 に違 いがあるというのは、どのような論理 構成 なのか。行政 規範 は官民 の関係 を規律 するもので、裁判 規範 は民 民 の関係 を規律 するものであるという前提 に立 てば、抽象 的 な行政 規範 を立 てると事業 者 に萎縮 的 な効果 があり、公権力 による過度 な規制 になるということか。〇:おそらくそういうことだと
思 う。●:
新 30条 5項 は、民 民 の関係 において、裁判 上 の請求 権 を明確 にするものであり、裁判 規範 であるところ、「おそれがあるとき」などの解釈 の幅 がある規定 ぶりでも良 いのではないか。著作 権 法 や特許 法 も同 じような用例 で、民事 上 の請求 権 を認 めている。〇:
新 30条 5項 が裁判 規範 だとしても、6項 は勧告 ・命令 の対象 であり、行政 規範 でもある。「おそれがあるとき」という抽象 的 な要件 で事業 者 は請求 を受 け、それを6項 の規定 に基 づいて処理 しないと、行政 の勧告 ・命令 の対象 となる。その意味 で、6項 が行政 規範 としてある限 り、事業 者 の萎縮 効果 がある。●:
事前 の一般 的 抽象 的 な規範 が、事業 者 に対 して萎縮 効果 があるということなのかと思 うが、新 30条 6項 は、事前 の一律 の規範 ではなく、個々 の保有 個人 データの取扱 いに対 し、具体 的 な侵害 のおそれがあったときに、その請求 に応 じなければ、委員 会 も権限 を行使 しうるという点 で、新 16条 の2よりはゆるやかな規制 だと思 うが。〇:
新 16条 の2であっても、新 30条 6項 であっても、要件 が抽象 的 で事業 者 に萎縮 効果 があるという点 では変 わらない。○:「
正当 な利益 」については主観 的 であるとの指摘 を受 けた。ある個人 にとっては気 にしないようなことを、別 の個人 にとっては問題 となるケースがあり、不 明確 である。●:そもそも
個人 情報 の取扱 いというのは、精神 的 なものでもあり、個別 具体 的 に判断 せざるを得 ない。〇:また、この
書 きぶりで、DMの事例 について対応 できるのかは疑問 を抱 いていたようであった。それであれば、DMを送 ってはいけないという行為 規制 の条項 を新設 して、その条項 違反 について30条 1項 に足 すべきではないか。○:いずれにしても、
裁判 規範 でなく、行政 規範 なのであれば、違反 となるものについての基準 を明確 に規定 するべきであり、禁止 する行為 を具体 的 に列挙 すべきとのことであった。部長 の感覚 としては、第 16条 の2の適正 利用 において禁止 する行為 を具体 的 に列挙 し、同 条 違反 について、第 30条 1項 に追加 する形 だと思 う。部長 は適正 な利用 も利用 停止 等 も趣旨 は理解 されているが、事業 者 が何 を守 ればよいのか分 からない、個 情 委 が執行 を行 う上 で、禁止 する行為 の基準 を設 けるであれば、禁止 する行為 を具体 的 に正面 から記載 すべきだろう、記載 できないのであれば、規範 の明確 性 に欠 けるものであり、執行 できないものと考 えている。●:
適正 利用 と利用 停止 では、想定 している立法 事実 が異 なり、適正 利用 の方 が限 られた事例 であると思 うが、その点 はいかがか。○:
適正 利用 の立法 事実 と利用 停止 の立法 事実 の双方 をとらえられる形 で禁止 する行為 を具体 的 に列挙 すればよいという話 にしかならない。●:
不正 競争 防止 法 では、利益 侵害 のおそれがある場合 に差止 請求 を認 めている規定 がある。そのような用例 を引 きつつ、裁判 規範 として新 30条 5項 を残 すことは可能 か。○:
禁止 する行為 を具体 的 に列挙 せずに、請求 を認 めている例 があるのであれば、再度 それで部長 に当 たることは可能 だが、難 しいとは思 う。著作 権 法 や不 競 法 は民事 上 の裁判 規範 であり、個 情 法 は行政 規範 という違 いもある。
開示 資料 16237頁
その
(
不 適正 な利用 の禁止 )
第 16条 の2個人 情報 取扱 事業 者 は、違法 又 は不当 な行為 を助長 し、又 は誘発 するおそれのある方法 により個人 情報 を利用 してはならない。
開示 資料 3094頁
この
「
個人 情報 の保護 に関 する法律 の一部 を改正 する法律 案 (仮称 )
説明 資料 令 和 元年 11月 28日
個人 情報 保護 委員 会 事務 局 (
略 )
不 適正 な方法 による個人 情報 の利用 の禁止 (新設 )I
改正 の背景 ・趣旨 1
個人 の権利 利益 が害 されるおそれのある方法 による個人 情報 の利用 の実態 (
略 )2
改正 の必要 性
上記 の事例 における個人 情報 の利用 (提供 を含 む。以下 同 じ。)の態様 は、いずれも、違法 な行為 や不当 な行為 を助長 し、又 は誘発 するおそれがあるものであるといえる。すなわち、
事例 については、官報 に掲載 された破産 者 の個人 情報 を、本来 の目的 から逸脱 した目的 でデータベース化 し、それを不 特定 多数 の者 が閲覧 することのできる形 で公表 することは、当該 個人 情報 に係 る本人 に対 する差別 等 の違法 又 は不当 な行為 が誘発 されるおそれを著 しく高 めるものと考 えられる。
事例 については、違法 な行為 を営 むことが疑 われる者 (違反 業者 )に個人 情報 を提供 することは、本人 に対 する突然 の連絡 や接触 により、平穏 な生活 を送 る権利 を侵害 する等 の違法 又 は不当 な行為 が助長 されるおそれを著 しく高 めるものと考 えられる。こうした
違法 又 は不当 な行為 が実際 に行 われた場合 は、当然 に、当該 個人 情報 に係 る本人 の権利 利益 が侵害 されることとなる。したがって、こうした
社会 通念 上 、適正 とは認 め難 い方法 による、個人 情報 の利用 を、個人 情報 取扱 事業 者 に禁止 する必要 があるものと考 えられる。II
違法 又 は不当 な行為 を助長 し、又 は誘発 するおそれのある方法 による個人 情報 の利用 の禁止 の新設 (新法 第 16条 の2関係 )
違法 又 は不当 な行為 を助長 し、又 は誘発 するおそれがある方法 により、個人 情報 を利用 してはならないことを、個人 情報 取扱 事業 者 に義務付 ける。ここで、「
違法 」とは、法令 に違反 することをいう一方 で、「不当 」とは、行為 ないし状態 が、実質 的 に妥当 を欠 くこと又 は適当 でないことをいい、違法 であることを必要 としない(「違法 」に対 する観念 として用 いられる場合 には、単 にその行為 が道徳 上 非難 されるべきというにとどまる場合 等 、法令 の規定 に違反 しているとはいえないものの、その制度 の目的 からみて適当 でないということを意味 する。「不当 」への該当 性 は、個々 の場合 について、社会 通念 に照 らして、具体 的 に判定 される。)(角田 他 「法令 用語 辞典 第 10次 改訂 版 」)。また、「
助長 」とは、ある傾向 を更 に著 しくすることをいい、「誘発 」とは、ある事柄 が原因 となり、それに誘 い出 されて他 の事柄 が起 こることをいう(新村 「広辞苑 (第 六 版 )」等 )。よって、「違法 又 は不当 な行為 を助長 する方法 による個人 情報 の利用 」とは、個人 情報 の利用 が、直接 に、既 に存在 する特定 の違法 又 は不当 な行為 をさらに著 しくすることを意味 する一方 で、「違法 又 は不当 な行為 を誘発 する方法 による個人 情報 の利用 」とは、個人 情報 の利用 が原因 となって、違法 又 は不当 な行為 が新 たに引 き起 こされることを意味 する。「
違法 又 は不当 な行為 」の具体 例 としては、上記 Iで取 り上 げたような、本人 が予測 し得 ない形 で発生 し、かつ、不 特定 多数 の者 によって引 き起 こされ得 る本人 に対 する差別 (民事 上 違法 と評価 され得 る行為 と考 えられる。)や、違法 な行為 を営 む者 等 からの突然 の接触 による本人 の平穏 な生活 を送 る権利 の侵害 (複数 の判例 において認 められている、いわゆる人格 権 や平穏 安全 な生活 を営 む権利 等 の侵害 に当 たると評価 され得 る不法 行為 と考 えられる。)等 が想定 される。なお、
法 第 2条 第 7項 に規定 する「保有 個人 データ」の定義 から除外 される「その存否 が明 らかになることにより公益 その他 の利益 が害 されるものとして政令 で定 めるもの」として、同 項 の規定 に基 づく施行 令 第 4条 第 2号 において、「当該 個人 データの存否 が明 らかになることにより、違法 又 は不当 な行為 を助長 し、又 は誘発 するおそれがあるもの。」と規定 されている。同 号 に該当 する個人 データの例 としては、暴力団 等 の反 社会 的 勢力 による不当 要求 の被害 等 を防止 するために事業 者 が保有 している、当該 反 社会 的 勢力 に該当 する人物 を本人 とする個人 データや、不審 者 や悪質 なクレーマー等 による不当 要求 の被害 等 を防止 するために事業 者 が保有 している、当該 行為 を行 った者 を本人 とする個人 データ等 が想定 されている。この
点 、「おそれ」としているのは、利用 によって具体 的 な支障 の発生 は将来 生 ずるものであることによるものであり、「おそれ」とは、物理 的 ・確 率 的 な可能 性 ではなく、社会 通念 による蓋然性 の有無 の判断 によるものである。III
不 適正 な方法 による個人 情報 の利用 の場合 の利用 停止 等 の請求 (新法 第 30条 第 1項 関係 )(
略 )この
点 、新法 第 16条 の2に規定 する「違法 又 は不当 な行為 を助長 し、又 は誘発 するおそれがある方法 によ」る個人 情報 の利用 については、個人 の権利 利益 の侵害 を発生 させるおそれがあるために禁止 されるものであることから、同 条 の規定 に違反 している場合 についても、利用 停止 等 を認 めることとし、個人 の権利 利益 の保護 を図 ることとするものである。
開示 資料 2732頁
この
これは
これを
2019/11/29
第 32回 -1法制 局 参事官 審査 録
日時 :11月29日 (金) 19:30~22:30(
略 )<
適正 利用 及 び利用 停止 等 の要件 の拡大 について>○:
第 16条 の2の適正 利用 については、直 罰 の規定 ではないので、ぎりぎり良 いということとなった。まだ要件 は広 いが、まあしょうがないとのこと。○:
第 30条 の利用 停止 については、必要 性 については理解 していただいた。しかし、要件 がまだ広 く、何 でも該当 してしまうのではないかという懸念 を持 っている。私 から「現行 法 で第 17条 の適正 な取得 違反 について利用 停止 等 を認 めているところ、それなりに広 い要件 ではないか」と反論 したが、部長 から「第 17条 については詐欺 であったり欺罔であったりと明確 だろう」と言 われてしまった。○:また、GDPRにおいても、
個人 データが収集 された目的 との関係 で必要 のないものとなっている場合 等 の限定 がかかっているではないか、との指摘 があった。やはり規定 の不 明確 さについて懸念 があるので、2つほど、「本人 の権利 又 は正当 な利益 が害 されるおそれがあるとき(場合 )」の例示 を条文 に加 えてほしいとのこと。第 16条 3項 のように「生命 、身体 、財産 その他 の権利 利益 」というイメージかと伺 ったところ、それでは広 すぎると言 われた。権利 利益 の例示 ではなく、権利 利益 が侵害 されるおそれがある場合 の例示 が必要 。○:
規定 ぶりとしては、「本人 は、個人 情報 取扱 事業 者 に対 し、Aの場合 、Bの場合 、その他 当該 本人 が識別 される保有 個人 データの取扱 いにより当該 本人 の権利 又 は正当 な利益 が害 されるおそれがある場合 は、当該 保有 個人 データの利用 停止 等 又 は第三者 への提供 の停止 を請求 することができる。」という形 ではないか。問題 は例示 としてどのような場合 を規定 するかである。ダイレクトメールの事案 については、部長 はあまり納得 していなかった。30条 でそもそもダイレクトメールが止 まるのだろうかという問題 意識 。●:
第 20条 の安全 管理 措置 違反 のようなものとして、漏 えいのおそれがある場合 や、第 19条 の消去 努力 義務 違反 のようなものとして、個人 データが不要 となった後 も保有 し続 けている場合 等 を規定 するのはどうか。後者 はGDPRにおいても規定 がある。○:その
方向 で条文 を検討 してほしい。説明 資料 にも追記 すること。○:また、
第 30条 については、民事 訴訟 と行政 訴訟 で判断 が分 かれる可能 性 があることについて部長 から少 しコメントがあった。同一 の規定 に関 する訴訟 であるのに判断 が分 かれることについて、少 し気 にしているようである。次回 の資料 には記載 する必要 はないが、平成 27年 改正 時 の整理 等 を確認 できればしておいてほしい。
開示 資料 16253頁
このようにして、
2020/1/23
法制 局 参事官 審査 録 (部長 デブリ)
日時 :1月 23日 (木) 20:30~22:50(
略 )<
不 適正 な利用 の禁止 ・利用 停止 等 >○:
第 16条 の2について、不当 な行為 とはどのような行為 なのかを個 情 委 は判断 できるのか。どこからが個 情 委 が対応 すべき不当 な行為 として線 を引 くのか、と指摘 されている。○:
個 情 法 の政令 でい回 しはある、と説明 したが、政令 作成 当時 、不当 な行為 とはどのようなものをイメージしていたのか。●:
説明 資料 (P.28)の「暴力団 当 の反 社会 的 勢力 による不当 要求 の被害 ・・・・不審 者 や悪質 なクレーマー等 による不当 要求 の被害 等 を防止 するため・・・」としているようなものを念頭 にしている。○:
不当 要件 はどのようなものか。○:
暴対法 違反 は不当 になるだろうが、クレーマーについてはどのように対応 するつもりなのか。○:
暴力団 員 が法律 に違反 していないが、圧力 をかけてきた場合 、それは暴力団 員 であるということをもって平穏 な生活 を害 されるおそれがあると考 えられ不当 と言 えるだろう。○:
悪質 なクレーマーの場合 、業務 妨害 となるような場合 、それは法律 の違反 であったり、民事 上 の裁判 をおこすべきものではないのか。○:そもそも「
第 30条 第 5項 について、安定 的 に運用 できるのか。個 情 委 は権利 利益 の侵害 の該当 性 判断 をすることができるのか。裁判所 が判断 するといっても、個 情 委 が勧告 ・命令 を行 うのであれば個 情 委 が判断 する必要 があるだろう。」との指摘 があった。○:
第 30条 第 5項 は権利 利益 の侵害 なので、不法 行為 の範囲 内 ではあるが、第 16条 の2は「不当 な行為 」とあるので、第 30条 第 5項 以上 に曖昧 。違法 とまではいえないが、「不当 な行為 」とは何 を指 すのか。○:また、プロファイリングについて
公表 事項 とし、それについて、個人 が気持 ち悪 さを感 じたとしたら、それは権利 利益 の侵害 があるとして、利用 停止 の対象 となるのか。部長 は、もともと線引 きが曖昧 な利用 停止 が、プロファイリングの問題 の曖昧 さと組 み合 わさることで、さらに曖昧 になり客観 的 な判断 が困難 になることを危惧 しているようである。○:
権利 利益 の侵害 に該当 するものについて、ガイドラインにどのように記載 するか等 について、説明 資料 に追記 してほしい。○;
部長 が、「長官 が第 30条 について、疑義 を覚 え始 めている。」といっていた。
開示 資料 16358頁
これを
II
違法 又 は不当 な行為 を助長 し、又 は誘発 するおそれのある方法 による個人 情報 の利用 の禁止 の新設 (新法 第 16条 の2関係 )
違法 又 は不当 な行為 を助長 し、又 は誘発 するおそれがある方法 により、個人 情報 を利用 してはならないことを、個人 情報 取扱 事業 者 に義務付 ける。ここで、「
違法 」とは、(略 )また、「
助長 」とは、(略 )「
違法 又 は不当 な行為 を助長 し、又 は誘発 するおそれがある方法 により、個人 情報 を利用 してはならない」との規定 に違反 するものと考 えられる例 として、以下 のような事例 をガイドラインにおいて示 すことを予定 している。
裁判所 による公告 等 により散在 的 に公開 されている個人 情報 を、それが公開 されている目的 とは乖離 した目的 をもって集約 し、当該 個人 情報 に係 る本人 に対 する差別 (民事 上 違法 と評価 され得 る行為 と考 えられる。)が、不 特定 多数 の者 によって、当該 本人 の予測 し得 ない形 で誘発 されるおそれがあることが十分 に予見 できるにもかかわらず、当該 集約 した情報 について特定 の個人 情報 を検索 することができるように体系 的 に構成 したものをインターネット上 で公開 すること。
違法 な行為 を営 むことが疑 われる者 (違反 業者 )からの突然 の接触 によって、本人 の平穏 な生活 を送 る権利 の侵害 (複数 の判例 において認 められている、いわゆる人格 権 や平穏 安全 な生活 を営 む権利 等 の侵害 に当 たると評価 され得 る不法 行為 と考 えられる。)等 当該 違反 業者 による違法 な行為 を助長 するおそれが想定 されるにもかかわらず、当該 違反 業者 に当該 本人 の個人 情報 を提供 すること。
暴力団 員 により行 われる暴力 的 要求 行為 等 不当 な行為 (暴力団 員 による不当 な行為 の防止 等 に関 する法律 (平成 3年 法律 第 77号 )第 14条 第 1項 に規定 する不当 要求 をいい、同 法 第 9条 の規定 により禁止 される暴力 的 要求 行為 (「違法 な行為 」)に限定 されない。)や総会 屋 による不当 な要求 を助長 し、又 は誘発 するおそれが十分 に予見 できるにもかかわらず、事業 者 間 で共有 している暴カ団員 等 に該当 する人物 を本人 とする個人 情報 や、不当 要求 による事業 者 及 び使用人 等 の被害 を防止 するために必要 な業務 を行 う各 事業 者 の責任 者 の名簿 等 を、みだりに開示 し、又 は暴力団 等 に対 しその存在 を明 らかにすること。なお、
法 第 2条 第 7項 に規定 する「保有 個人 データ」の定義 から除外 される「その存否 が明 らかになることにより公益 その他 の利益 が害 されるものとして政令 で定 めるもの」として、同 項 の規定 に基 づく施行 令 第 4条 第 2号 において、「当該 個人 データの存否 が明 らかになることにより、違法 又 は不当 な行為 を助長 し、又 は誘発 するおそれがあるもの。」と規定 されている。同 号 に該当 する個人 データの例 としては、暴力団 等 の反 社会 的 勢力 による不当 要求 の被害 等 を防止 するために事業 者 が保有 している、当該 反 社会 的 勢力 に該当 する人物 を本人 とする個人 データや、不審 者 や悪質 なクレーマー等 による不当 要求 の被害 等 を防止 するために事業 者 が保有 している、当該 行為 を行 った者 を本人 とする個人 データ等 が想定 されている。この
点 、「おそれ」としているのは、利用 によって具体 的 な支障 の発生 は将来 生 ずるものであることによるものであり、「おそれ」とは、物理 的 ・確 率 的 な可能 性 ではなく、社会 通念 による蓋然性 の有無 の判断 によるものである。III
不 適正 な方法 による個人 情報 の利用 の場合 の利用 停止 等 の請求 (新法 第 30条 第 1項 関係 )(
略 )
開示 資料 9728頁
これに
2020/1/27
法制 局 参事官 審査 録 69(部長 投 げ込 み準備 )
日時 :1月 27日 (月) 21:20~23:30(
略 )<
不 適正 な方法 による個人 情報 の利用 の禁止 >○:
不当 要件 のガイドライン規定 例 として暴対法 を引用 しているが、参照 条文 として説明 資料 中 にも引用 してほしい。〇:
個 情 法 施行 令 の制定 時 にも暴対法 の不当 要求 の規定 を引 いて整理 されていたのか。●:
暴力団 や総会 屋 による不当 要求 が想定 されていたが、暴対法 の規定 までは引 かれていなかった。前回 の御 指摘 (「不当 な行為 」は暴対法 の不当 要求 ぐらい限定 的 に該当 性 が判断 されると説明 するのではないか)を踏 まえて追記 したもの。〇:
説明 資料 中 「第 14条 『第 1項 』に規定 する」としてほしい。
開示 資料 16366頁
もはや
これが
それもやむを
このようにして、
*1
*2 この
*3 リクナビ
*4 2
*5 もっとも、どのようなプロファイリングが
いつもだとスライドを
そして、その2
この
というわけで、パブコメ
もう
この
この
この
これらは、
これらの
これらの
そして、「あらゆる
さらに、
このように、
この
また、
したがって、
「
この
しかし、
ただし、
さらに、これらの
これらの
ただし、これらの
しかし、
ただし、
したがって、
むしろ、このような
したがって、
プライバシー
この
もちろん、
むしろ、このような
「
つまり、
この
したがって、
このような
もちろん、
このように、
しかし、GDPRの
これらの
この
したがって、
したがって、
また、
もちろん、
しかし、
しかし、
そのため、
この
もっとも、
したがって、
この
したがって、ご
その
ご
GDPRの
したがって、「processing of personal data」は、「
GDPRの「data subject」は、
これらの
したがって、
GDPRにおける「data subject」も、まさにこの
この
むしろ、GDPRは、
したがって、「data subject」は「データ
いずれにせよ、「data subject」の
「
この
この
しかし、
したがって、
「
これは、
ここでは、
この
したがって、
ご
この
このような
その
そして、「
さらに、「むしろ、
これに
ただし、ここでの
したがって、
そして、「これは
この
この
したがって、
このような
この
これらの
ただし、これらの
この
つまり、
この
この
さらに
もちろん、
これらの
というわけで、パブコメの
せっかくなので
Hiromitsu Takagi's "Opinion on the Personal Information Protection Law 3-Year Review for 2024" offers a significant challenge to the ongoing discussions on the revision of the Personal Information Protection Law in Japan.
The central argument of the opinion paper is that the scope of regulation of the Personal Information Protection Law should be limited to "personal data." Based on the understanding that the original purpose of the law is to protect individuals' rights and interests from the processing of personal data, Takagi proposes to unify the obligatory provisions to apply only to personal data. This is an attempt to clarify the scope of the law and strike a balance between protecting individuals' rights and interests and ensuring the predictability of business activities.
This argument is closely related to the discussion of specific issues brought about by new technologies such as generative AI. While mentioning the possibility of sensitive personal information being included in the training data of generative AI, Takagi argues that such use for training should not be subject to regulation. The rationale is based on the understanding that the use of training data does not constitute the use of personal data. This is consistent with Takagi's fundamental stance that the scope of regulation of the Personal Information Protection Law should be limited to personal data.
Furthermore, Takagi also mentions the handling of inappropriate use of personal information by generative AI. He points out that if the output results of generative AI fall under personal data, their use will be subject to regulation under the Personal Information Protection Law. In other words, in cases where generative AI is used to generate information about specific individuals and that information is used for evaluating or making decisions about those individuals, the law's regulations will apply. This aligns with Takagi's understanding that the purpose of the Personal Information Protection Law is to protect individuals' rights and interests from the processing of personal data.
Takagi's opinion paper suggests the necessity to consider the fundamental discussion on the purpose and scope of regulation of the Personal Information Protection Law in close relation to the specific issues brought about by new technologies such as generative AI. It provides an important perspective in considering the ideal legal system that responds to technological developments.
Takagi's proposal presents a balanced approach that distinguishes between the use of training data and the use of output results in generative AI, and considers the way of regulation in light of the law's purpose. It suggests a way of regulation that protects individuals' rights and interests without hindering the development of new technologies.
Of course, there is still room for discussion regarding the validity of Takagi's arguments. In particular, there are many points to be discussed, such as the concrete effects of unifying the law's scope to personal data and how to protect sensitive personal information. However, Takagi's challenge introduces a new perspective to the discussions on the revision of the Personal Information Protection Law and is expected to contribute greatly to the development of future discussions.
Given that the interim summary by the Personal Information Protection Commission does not directly touch upon these fundamental issues, Takagi's opinion paper will likely serve as an important reference point in future discussions. Takagi's argument, which suggests the necessity to coherently link the fundamental question of how to understand the purpose and scope of regulation of the Personal Information Protection Law with the response to specific issues brought about by new technologies, provides an indispensable perspective for deepening future discussions.
L'« Opinion sur la révision triennale de la loi sur la protection des informations personnelles pour 2024 » de Hiromitsu Takagi apporte un défi significatif aux discussions en cours sur la révision de la loi sur la protection des informations personnelles au Japon.
L'argument central du document d'opinion est que le champ d'application de la loi sur la protection des informations personnelles devrait être limité aux « données personnelles ». Partant du principe que l'objectif initial de la loi est de protéger les droits et intérêts des individus contre le traitement des données personnelles, Takagi propose d'unifier les dispositions obligatoires pour qu'elles ne s'appliquent qu'aux données personnelles. Il s'agit d'une tentative de clarifier le champ d'application de la loi et de trouver un équilibre entre la protection des droits et intérêts des individus et la garantie de la prévisibilité des activités commerciales.
Cet argument est étroitement lié à la discussion sur les problèmes spécifiques posés par les nouvelles technologies telles que l'IA générative. Tout en mentionnant la possibilité que des informations personnelles sensibles soient incluses dans les données d'entraînement de l'IA générative, Takagi soutient qu'une telle utilisation à des fins d'entraînement ne devrait pas être soumise à réglementation. La raison invoquée est que l'utilisation des données d'entraînement ne constitue pas une utilisation des données personnelles. Cela est cohérent avec la position fondamentale de Takagi selon laquelle le champ d'application de la loi sur la protection des informations personnelles devrait être limité aux données personnelles.
En outre, Takagi mentionne également le traitement de l'utilisation inappropriée des informations personnelles par l'IA générative. Il souligne que si les résultats de sortie de l'IA générative relèvent des données personnelles, leur utilisation sera soumise à la réglementation de la loi sur la protection des informations personnelles. En d'autres termes, dans les cas où l'IA générative est utilisée pour générer des informations sur des individus spécifiques et que ces informations sont utilisées pour évaluer ou prendre des décisions concernant ces individus, les réglementations de la loi s'appliqueront. Cela est conforme à la compréhension de Takagi selon laquelle l'objectif de la loi sur la protection des informations personnelles est de protéger les droits et intérêts des individus contre le traitement des données personnelles.
Le document d'opinion de Takagi suggère la nécessité de considérer la discussion fondamentale sur l'objectif et le champ d'application de la loi sur la protection des informations personnelles en relation étroite avec les problèmes spécifiques posés par les nouvelles technologies telles que l'IA générative. Il fournit une perspective importante pour considérer le système juridique idéal qui répond aux développements technologiques.
La proposition de Takagi présente une approche équilibrée qui fait la distinction entre l'utilisation des données d'entraînement et l'utilisation des résultats de sortie dans l'IA générative, et qui considère la manière de réglementer à la lumière de l'objectif de la loi. Elle suggère une manière de réglementer qui protège les droits et intérêts des individus sans entraver le développement de nouvelles technologies.
Bien entendu, la validité des arguments de Takagi reste à discuter. En particulier, de nombreux points doivent être discutés, tels que les effets concrets de l'unification du champ d'application de la loi aux données personnelles et la manière de protéger les informations personnelles sensibles. Cependant, le défi de Takagi introduit une nouvelle perspective dans les discussions sur la révision de la loi sur la protection des informations personnelles et devrait contribuer grandement au développement des discussions futures.
Étant donné que le résumé intermédiaire de la Commission de protection des informations personnelles n'aborde pas directement ces questions fondamentales, le document d'opinion de Takagi servira probablement de point de référence important dans les discussions futures. L'argument de Takagi, qui suggère la nécessité de lier de manière cohérente la question fondamentale de la compréhension de l'objectif et du champ d'application de la loi sur la protection des informations personnelles avec la réponse aux problèmes spécifiques posés par les nouvelles technologies, fournit une perspective indispensable pour approfondir les discussions futures.
ドイツ
Hiromitsu Takagis "Stellungnahme zur 3-Jahres-Überprüfung des Gesetzes zum Schutz personenbezogener Daten für das Jahr 2024" stellt eine bedeutende Herausforderung für die laufenden Diskussionen über die Überarbeitung des Gesetzes zum Schutz personenbezogener Daten in Japan dar.
Das zentrale Argument des Meinungspapiers ist, dass der Regelungsbereich des Gesetzes zum Schutz personenbezogener Daten auf "personenbezogene Daten" beschränkt werden sollte. Ausgehend von dem Verständnis, dass der ursprüngliche Zweck des Gesetzes darin besteht, die Rechte und Interessen des Einzelnen vor der Verarbeitung personenbezogener Daten zu schützen, schlägt Takagi vor, die verbindlichen Bestimmungen dahingehend zu vereinheitlichen, dass sie nur für personenbezogene Daten gelten. Dies ist ein Versuch, den Anwendungsbereich des Gesetzes zu präzisieren und ein Gleichgewicht zwischen dem Schutz der Rechte und Interessen des Einzelnen und der Gewährleistung der Vorhersehbarkeit der Geschäftstätigkeit zu finden.
Dieses Argument steht in engem Zusammenhang mit der Diskussion über spezifische Probleme, die durch neue Technologien wie generative KI aufgeworfen werden. Während Takagi die Möglichkeit erwähnt, dass sensible personenbezogene Daten in den Trainingsdaten der generativen KI enthalten sein könnten, argumentiert er, dass eine solche Nutzung zu Trainingszwecken nicht der Regulierung unterliegen sollte. Die Begründung basiert auf dem Verständnis, dass die Nutzung von Trainingsdaten keine Nutzung personenbezogener Daten darstellt. Dies steht im Einklang mit Takagis grundlegender Haltung, dass der Regelungsbereich des Gesetzes zum Schutz personenbezogener Daten auf personenbezogene Daten beschränkt sein sollte.
Darüber hinaus geht Takagi auch auf den Umgang mit der unangemessenen Verwendung personenbezogener Daten durch generative KI ein. Er weist darauf hin, dass, wenn die Ausgabeergebnisse der generativen KI unter personenbezogene Daten fallen, deren Verwendung der Regulierung durch das Gesetz zum Schutz personenbezogener Daten unterliegt. Das bedeutet, in Fällen, in denen generative KI verwendet wird, um Informationen über bestimmte Personen zu generieren, und diese Informationen zur Bewertung oder Entscheidungsfindung über diese Personen verwendet werden, finden die gesetzlichen Regelungen Anwendung. Dies steht im Einklang mit Takagis Verständnis, dass der Zweck des Gesetzes zum Schutz personenbezogener Daten darin besteht, die Rechte und Interessen des Einzelnen vor der Verarbeitung personenbezogener Daten zu schützen.
Takagis Meinungspapier deutet auf die Notwendigkeit hin, die grundlegende Diskussion über den Zweck und den Regelungsbereich des Gesetzes zum Schutz personenbezogener Daten in engem Zusammenhang mit den spezifischen Problemen zu betrachten, die sich aus neuen Technologien wie der generativen KI ergeben. Es liefert eine wichtige Perspektive für die Betrachtung des idealen Rechtssystems, das auf technologische Entwicklungen reagiert.
Takagis Vorschlag stellt einen ausgewogenen Ansatz dar, der zwischen der Nutzung von Trainingsdaten und der Nutzung von Ausgabeergebnissen in der generativen KI unterscheidet und die Art der Regulierung im Lichte des Gesetzeszwecks betrachtet. Er schlägt eine Art der Regulierung vor, die die Rechte und Interessen des Einzelnen schützt, ohne die Entwicklung neuer Technologien zu behindern.
Natürlich gibt es noch Raum für Diskussionen über die Gültigkeit von Takagis Argumenten. Insbesondere gibt es viele Punkte, die diskutiert werden müssen, wie z.B. die konkreten Auswirkungen der Vereinheitlichung des Anwendungsbereichs des Gesetzes auf personenbezogene Daten und die Frage, wie sensible personenbezogene Daten geschützt werden sollen. Dennoch bringt Takagis Herausforderung eine neue Perspektive in die Diskussionen über die Überarbeitung des Gesetzes zum Schutz personenbezogener Daten ein und wird voraussichtlich einen großen Beitrag zur Entwicklung zukünftiger Diskussionen leisten.
In Anbetracht der Tatsache, dass die Zwischenzusammenfassung der Kommission für den Schutz personenbezogener Daten nicht direkt auf diese grundlegenden Fragen eingeht, wird Takagis Meinungspapier wahrscheinlich als wichtiger Referenzpunkt für zukünftige Diskussionen dienen. Takagis Argument, das auf die Notwendigkeit hinweist, die grundlegende Frage des Verständnisses von Zweck und Regelungsbereich des Gesetzes zum Schutz personenbezogener Daten kohärent mit der Reaktion auf spezifische Probleme zu verknüpfen, die sich aus neuen Technologien ergeben, liefert eine unverzichtbare Perspektive für die Vertiefung zukünftiger Diskussionen.
의견서의 핵심 주장은 개인정보 보호법의 규제 범위를 "개인데이터"로 제한해야 한다는 것입니다. 이 법의 원래 목적이 개인데이터 처리로부터 개인의 권리와 이익을 보호하는 것이라는 이해에 기반하여,
이 주장은 생성형 AI와 같은 새로운 기술이 야기하는 구체적인 문제에 대한 논의와 밀접한 관련이 있습니다.
또한
물론
개인정보보호위원회의 중간 요약이 이러한 근본적인 문제를 직접 다루고 있지 않다는 점을 감안할 때,
该意见书
这一论点
此外,
鉴于个人
*1 ページ