1.はじめに
2023年11月15日付で個人情報保護委員会(PPC)が「個人情報保護法いわゆる3年ごと見直し規定に基づく検討」を公表していたので読んでみました。今回の「個人情報保護法いわゆる3年ごと見直し規定に基づく検討」(以下「本検討」)は、大きく、①個人の権利利益のより実質的な保護の在り方、②実効性のある監視・監督の在り方、③データ利活用に向けた取組に対する支援等の在り方、の3つを次回の個人情報保護法改正の柱として掲げています。(なお本ブログ記事の意見の部分は、あくまで筆者の個人的な意見にすぎません。)
・第261回個人情報保護委員会
2.「検討の方向性① 個人の権利利益のより実質的な保護の在り方」について
(PPC「個人情報保護法いわゆる3年ごと見直し規定に基づく検討」より)
この「検討の方向性① 個人の権利利益のより実質的な保護の在り方」では、PPCは「概要」として、「破産者等情報のインターネット掲載事案や、犯罪者グループ等に名簿を提供する悪質な「名簿屋」事案等、個人情報が不適正に利用される事案も発生している。こうした状況に鑑み、技術的な動向等を十分に踏まえた、実質的な個人の権利利益の保護の在り方を検討する。」等としています。
そしてその下の「検討の視点(例)」は、とくにつぎの①~③をあげています。
①技術発展に伴って、多様な場面で個人情報の利活用が進み、その有用性が認められる一方で、こうした技術による個人の権利利益の侵害を防ぐためには、どのような規律を設定すべきか。この点、①に関しては、本検討3頁の「施行状況に係る委員会における主な意見」において、「生成AI、認証技術の普及等」を踏まえて「不適正利用の禁止」に関する規律(法19条)を「実効ある形になるよう…その考え方を検討すべき」との意見が出されています。
②個人情報を取り扱う様々なサービス等が生まれる中、個人の権利利益の保護の観点から、本人の関与の在り方を検討すべきではないか。その際、その年齢及び発達の程度に応じた配慮が必要なこども等の関与の在り方はどうあるべきか、併せて検討すべきではないか。
③個人の権利利益保護のための手段を増やし、個々の事案の性質に応じて効果的な救済の在り方を検討すべきではないか。
(PPC「個人情報保護法いわゆる3年ごと見直し規定に基づく検討」より)
最近はchatGPTなど生成AIや画像生成AIが製造開発され普及しつつありますが、AIによる個人のプロファイリングなどについては日本の個情法には法19条の不適正利用の禁止の条文しか存在せず、しかもその条文は抽象的で謙抑的です。この不適正利用の禁止規定の具体化・積極化は個人の権利利益の保護に資するものとして、次の個人情報保護法改正において大きな目玉になるのではないかと思われます。(あくまで個人的な予想ですが。)
つぎに②に関しては、「本人関与の在り方」を検討すべきとされていますが、これは現行の個情法の開示・利用停止等の請求権のさらなる拡大を意味しているのでしょうか。ところでその後の「その年齢及び発達の程度に応じた配慮が必要なこども等の関与」を検討すべきとの記述が注目されます。
EUのGDPR(一般データ保護規則)は原則16歳未満の子どもの個人データの収集等に規制を設け、アメリカの児童オンラインプライバシー保護法(COPPA)も同様に13歳未満の子どもの個人データの収集等に規制を設けているところ、日本の個情法は子どもの個人データ・個人情報を保護するための明文規定を置いていません。そのため、次の個人情報保護法改正では、遅ればせながらもわが国の子どもの個人データへの規律が新設されるのかもしれません。
さらに③に関しては、本検討3頁の「施行状況に係る委員会における主な意見」において、「個人の権利利益保護のための手段を増やす観点から」「集団訴訟」を「検討すべき」との意見が出されています。現状の裁判例では、個人情報漏洩について民事訴訟が提起されても認められる損害額が数千円程度であり、被害を受けた個人が訴訟をためらう現状があるように思われます。消費者契約法にある消費者団体訴訟制度のような制度が個人情報保護法の分野にも創設されたら、そのような被害を受けた国民個人の救済に資するように思われます。(一方、もし集団訴訟制度が個情法に創設された場合、事業者側に対するインパクトは大きいものがあると思われます。)
3.「検討の方向性② 実効性のある監視・監督の在り方」について
(PPC「個人情報保護法いわゆる3年ごと見直し規定に基づく検討」より)
この部分の「検討の視点(例)」はつぎのようになっています。
①ヒューマンエラーのような過失による漏えい等事案が多い一方で、非常に大規模な漏えい等事案等、重大な個人の権利利益の侵害に繋がるケースも発生しているところ、従来の指導を中心とした対応にとらわれない、より実効性のある監視・監督の在り方を検討すべきではないか。まず、①に関しては、本検討3頁の「施行状況に係る委員会における主な意見」は、現行の事業者に対する行政指導中心の監視・監督だけでなく、「緊急命令」(法148条3項)をも利用した監視・監督を提言する意見が出されています。そのため今後のPPCの監視・監督においては、報告徴求や立入検査、行政指導などだけでなく積極的に緊急命令が発動される実務が行われる可能性があります。
②重大な事案や、故意犯による悪質な事案を抑止するための方策を検討すべきではないか。また、そのための関係省庁等との連携の在り方を検討すべきではないか。
③個人の権利利益の保護のため、重大な漏えい等事案の状況をどのように把握し、適切な執行につなげていくべきか検討すべきではないか。
つぎに②に関しては、公正取引委員会、総務省、消費者庁、厚労省、金融庁、デジタル庁、こども家庭庁等の関係行政庁とのさらなる連携が行われるのかもしれません。また本検討3頁の「施行状況に係る委員会における主な意見」は、「課徴金制度」を導入することに関する意見も出されているので、次の個人情報保護法改正においては、個人情報データベース等提供罪などの罰則強化だけでなく、独禁法に規定がある課徴金減免制度のような制度が盛り込まれるのかもしれません。さらに公取委などのように内部通報窓口(内部告発窓口)などがPPCに用意されるかもしれません。加えて、個人情報データベース等提供罪などの罰則強化の改正があるかもしれません。
4.「検討の方向性③ データ利活用に向けた取組に対する支援等の在り方」について
(PPC「個人情報保護法いわゆる3年ごと見直し規定に基づく検討」より)
この部分に関しては、本検討3頁の「施行状況に係る委員会における主な意見」には、「個票データの利活用」の検討があげられています。「個票データ」というものの概念がはっきりしませんが、ひょっとしたら匿名加工情報、仮名加工情報につぐ個人データの利活用のための新たなカテゴリーが創設される可能性があるのでしょうか。
また、同「主な意見」には、「健康・医療データ、子どもデータ等の公共性の高い分野」の個人データのさらなる利活用のために関係官庁とさらなる連携を行うべきであるとの意見も出されています。これらの個人データに関しては良い悪いは別として、国策としてさらなる利活用が検討・実施されるように思われます。
5.その他・スケジュールなど
今後のスケジュールに関しては、11月下旬以降に関係団体等のヒアリングを順次実施とあり、その後、2024年春頃に「委員会「中間整理」公表」とあります。この段階でパブコメが実施されるのでしょうか。
また、同「主な意見」では、いわゆる「クラウド例外」の見直しも議論の対象となっているようです。
なお、上の本検討3頁の「施行状況に係る委員会の主な意見」を読んでも、個人情報保護法の立法目的に自己情報コントロール権あるいは「自らの個人情報を適正に取扱われる権利」(曽我部真裕説)、「関連性のない個人データで個人が選別・差別されない権利」(高木浩光説)などを盛り込むべきといった議論はなされていないようでした。また、EUのGDPR22条のプロファイリング拒否権のような規定や、コントローラー・プロセッサー等の概念を盛り込むべきとの議論もなされていないようです。カメラ規制法やEUのようなAI規制法などの立法化の議論もなされていないようです。
このように次回の個人情報保護法改正は、これまでの法改正に比べて小ぶりな改正に留まるのかもしれません。
このブログ記事が面白かったらシェアやブックマークをお願いします!
PR