なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:個人情報保護法いわゆる3年ごと見直し規定に基づく検討

OIG2
(Microsoftのdesignerで生成)

1.はじめに

つぎの個人情報保護法改正にむけて、個人情報保護委員会が2024年3月6日付で「個人情報保護法いわゆる3年ごと見直し規定に基づく検討(個人の権利利益のより実質的な保護の在り方①)」(以下「本資料」)を公表しているので、個人的に興味深いと思った部分をまとめてみたいと思います。

本資料は大きく分けて、①生体データの取扱いに係る規律の在り方、②代替困難な個人情報取扱事業者による個人情報の取扱いに係る規律の在り方、③不適正取得・不適正利用に係る規律の在り方、④個人関連情報の適正な取扱いに係る規律の在り方、の4つの部分に分かれています。

2.生体データの取扱いに係る規律の在り方

(1)犯罪予防や安全確保のための顔識別機能付きカメラシステムの利用について
本資料ではまず、犯罪予防や安全確保のための顔識別機能付きカメラシステム(防犯カメラ)について大きく取り上げられています。

PPC2頁
(本資料2頁)

つまり、個情委は「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会」(以下「本検討会」)を開催し、2023年3月に報告書「犯罪予防や安全確保のための顔識別機能付きカメラシステムの利用について」(以下「本報告書」)を公表し、個人情報保護法ガイドラインQAの一部改正を行ったとして、同報告書や個情法ガイドラインQAの改正部分について簡単にまとめています。

■関連するブログ記事


本報告書の柱の一つは、"顔識別機能付きカメラシステムはそれだけでは個人が顔識別が行われていると合理的に判断できないため、事業者は店舗等につぎのような「顔識別機能付きカメラシステム作動中」などの掲示等が望ましい"ということだったと思います。

防犯カメラ作動中の掲示
(個人情報保護委員会「個人情報保護法いわゆる3年ごと見直し規定に基づく検討(個人の権利利益のより実質的な保護の在り方①)」3頁より)

しかし、JRや私鉄のホームや列車内などをみても、このような「顔識別機能付きカメラシステム作動中」との掲示は見たことがありません。やはり、個情法ガイドラインQAなどで「のぞましい」と書くレベルでは不十分であり、個情委は個人情報保護法や同施行規則などに根拠規定をおいて、掲示を事業者に義務付ける必要があるのではないでしょうか。

また、本検討会では顔識別機能付きカメラシステムの「誤登録」の問題(いわゆる「防犯カメラの万引き冤罪被害者の問題」)について、ごくわずかながら触れられていたのですが、それが本報告書にはほとんど盛り込まれていないことは問題だと思います。

そもそもこのような万引き犯DBなどのブラックリストについては、一律で個人情報保護法施行令5条が保有個人データの対象外としてしまっているわけですが(個情法16条4項参照)、そのような法令の規定のあり方は、誤登録された人々の権利利益の保護の観点から大きな問題であり、つぎの個人情報保護法改正の機会に見直しを行ってほしいと思われます。(また、個情法ガイドラインQAにも誤登録の問題に関するQAを追加する等の対応が必要と思われます。)

さらに、本検討会では、万引き犯などに関するブラックリストの個人データを小売業などが全国レベルでデータの共同利用(個情法27条5項3号)を行うことはさすがに共同利用の趣旨目的から行き過ぎであり、そのような共同利用を行うためには事前に個人情報保護委員会への相談を必要とするべきとの議論もなされていたところです。

しかし、本報告書ではそのような記載はなくなってしまっています。この点は、共同利用制度を不当に拡大解釈するものであり、次の個人情報保護法改正で、法令に法的根拠を置いた上で、全国レベルなどの共同利用について個人情報保護委員会への事前申請制度などを新設すべきだと思われます。

(2)生体データの取扱いに関する外国制度等
つぎに本資料では、生体データにかかわる、EUのGDPRやAI規制法などの規定ぶりや、データ保護当局による執行事例が紹介されています。韓国におけるFacebookによる本人同意のない顔識別テンプレートの収集などの事例が掲載されています(9頁)。

(3)生体データの取扱いに関する社会的反響の大きかった事例等
本資料が興味深いのは、「社会的反響の大きかった事例」についても掲載しているところだと思います。生体データに関しては、①2014年のJR大阪駅のカメラ事件、②2021年のJR東日本が駅構内に顔識別機能付き防犯カメラを設置し刑務所からの出所者や不審者等を監視しようとした事件、③渋谷100台AIカメラ設置プロジェクト事件、の3つが掲載されています(本資料10頁)。

ppc3年ごと見直し資料10頁
(本資料10頁)

■関連するブログ記事


3.代替困難な個人情報取扱事業者による個人情報の取扱いに係る規律の在り方

(1)国内の他法令等における主な規律
本資料11頁以下では、「代替困難な個人情報取扱事業者による個人情報の取扱いに係る規律の在り方」について取り上げられています。まず本資料11頁では、①独禁法2条9項5号ロや公取委「「デジタル・プラットフォーム事業者と個人情報等を提供する消費者との取引における優越的地位の濫用に関する独占禁止法上の考え方」、②金融分野の個人情報保護ガイドラインの与信業務に関する部分、とともに、③職業安定法5条の5および平成11年労働省告示141号、④労働安全衛生法104条、が取り上げられているのが興味深いです。

PPC11頁
(本資料11頁より)

とくに労安法104条が、事業者に対して、「労働者の健康の確保に必要な範囲を超えて、労働者の心身の状態に関する情報を収集・保管・使用すること」を原則禁止していることは注目されます。

最近、新型コロナの流行などによりリモートワークが広まっていますが、それと同時に企業側がPCなどにより従業者の集中度合いなどをモニタリングする事例が増えていますが、そのような事例はこの労安法104条との関係で違法とされる可能性があるのではないでしょうか。企業の人事・労務部門や法務部門の方々は今一度確認が必要なように思われます。

■関連するブログ記事


また、本資料12頁は裁判例が掲載されており、①企業が外回りの営業担当者にGPSシステムをつけさせたことが違法とされた事例(東京地判平24.5.31)、②受刑者を7か月にわたり天井に監視カメラのある独房に入れたことが違法とされた熊本刑務所の事例(福岡高判平31.2.21)、の概要が載っています。

さらに、本資料13頁は、①市営住宅の自治会の役員を決めるにあたり、知的障害者の方に自分の病状などを詳細に紙に書かせる等したことが違法とされた裁判例(大阪高判令4.9.2)、②会社の元役員を告訴しようとした従業員に対して人事担当者がその詳細を問いただしたことが違法とされた裁判例(東京地判令5.4.10)、の2つの裁判例が「代替困難な個人情報取扱事業者による個人情報の取扱いに係る規律の在り方」に関する裁判例として掲載されていることが興味深いです。このような事例は、これまではあまり個人情報法制に関する問題とは考えられてこなかったと思われますが、個情委は個人情報保護に関する問題ととらえていることがうかがわれます。

本資料に先立つ、令和6年2月21日付の個情委の「個人情報保護法いわゆる3年ごと見直し規定に基づく検討項目」3頁では、個情委の委員の意見の一つに「本人同意があれば何でもよいということではなく、当事者の従属関係等も考慮して、実体的な権利利益保護の在り方を検討すべき」との意見が掲載されていますが、本資料の「代替困難な個人情報取扱事業者による個人情報の取扱いに係る規律の在り方」の部分は、このような個情委の問題意識を反映したものと考えられます。

PPCこれまでの主な意見
(個情委2024年2月21日付「個人情報保護法いわゆる3年ごと見直し規定に基づく検討項目」3頁より)

現状の日本の個人情報保護法においては、本人の同意さえあれば個人情報の目的外利用や第三者提供、要配慮個人情報の収集や第三者提供等が合法となっており、さらに「同意」についても口頭でもよく、さらに医療分野においては「黙示の同意」も許されるなどと非常にゆるい規律がなされているわけですが、次の個人情報保護法改正では、個人の権利利益保護のため、これらの部分の規律が強まるのかもしれません。

(2)代替困難と評価し得る者による個人情報の取扱いに関する海外における主な執行事例等
この部分においては、GoogleやFacebookなどの、本人同意のない個人データのターゲティング広告などへの利用などに対する各国のデータ保護当局による執行事例などが掲載されています(本資料14頁、15頁)。

(3)代替困難と評価し得る者による個人情報の取扱いに関連する個人情報保護法に基づくこれまでの行政上の対応
この部分については1ページを丸々使って2019年の就活生の内定辞退予測データに関するリクナビ事件を取り上げています。まさにAIとプロファイリング、そして個人関連情報や個人情報の不適正利用に関する重要な事件といえます(本資料16頁)。

PPC資料リクナビ事件
(本資料16頁)

■関連するブログ記事


4.不適正取得・不適正利用に係る規律の在り方

(1)不適正取得・不適正利用に係る個人情報保護法に基づくこれまでの行政上の対応
この部分においては、①破産者マップ事件、②名簿屋への個人情報の第三者提供に関する有限会社ビジネスプランニング事件、などが掲載されています(19頁)。

(2)個人情報の取扱いの適正性に関連する国内の主な他法令の規律(概要)
この部分については、①公益通報者保護法11条2項、②障害者差別解消法8条1項、③特定商取引法7条1項5号、などが掲載されています(20頁)。ただ、③についてはいわゆる適合性原則に関するものなので、金融商品取引法40条なども掲載したほうがよかったのではと思いました。

(3)個人情報の取扱いの適正性に関連する主な裁判例
この部分においては、①トランスジェンダーの方が経営する会社が会員制ゴルフクラブに入会しようとしたところ入会を拒否されたことは違法であるとされた裁判例(東京地判平27.7.1)、②東京医大など医学部不正入試事件(東京高判5.5.30)、などが掲載されています(21頁、22頁)。

これらの事件は、従来はあまり個人情報保護法制上の論点とはされていなかったと思われますが、「データによる個人の選別・差別」の問題ということはできます。近年、「関連性のないデータによる個人の選別・差別」が個人情報保護法(個人データ保護法)の趣旨・目的であるとする情報法制研究所の高木浩光氏などの学説が影響しているのかもしれません。

なお、本資料24頁には、アメリカ・イギリスにおける選挙・民主政との関係で大きな問題となった、ケンブリッジ・アナリティカ事件も掲載されています。

いずれにせよ、現状の不適正利用禁止の条文は抽象的で個情委としても執行しにくいと思われますが、つぎの個人情報保護法改正では、不適正利用禁止の条文をより具体化し、AIやプロファイリングの問題などに対して発動しやすくしていただきたいと思います。

5.個人関連情報の適正な取扱いに係る規律の在り方

「個人関連情報の取扱いに起因する個人の権利利益の侵害に関連する主な裁判例」(本資料27頁)の部分では、さいたま市の公立学校の体罰事故報告書の開示請求に関する裁判例(東京高判令4.9.15)などが掲載されています。報告書のなかの自己の状況などが非開示情報となるか否かが争点となっています。

PPC資料27頁
(本資料27頁)

個人関連情報の話とはややずれますが、この東京高判令4.9.15については、「「特定の個人を識別することはできないが、公にすることにより、なお個人の権利利益を害するおそれがあるもの」とは、本人の財産権等の正当な権利利益が害されるおそれのあるものや、個人の人格と密接に関連しており、当該個人がその流通をコントロールすることが可能であるべきであり、本人の同意なしに第三者に流通されることが適切でないものなどの社会通念上秘匿性の高い法的保護に値する情報をいう」と判示しているところ、下線部分が日本の憲法上のプライバシーの趣旨・目的の通説的立場である自己情報コントロール権的である点が興味深いと思いました。

■このブログ記事が面白かったらシェアやブックマークをお願いします!

人気ブログランキング

PR
このエントリーをはてなブックマークに追加 mixiチェック

kojinjouhou_businessman (1)
1.はじめに
2023年11月15日付で個人情報保護委員会(PPC)が「個人情報保護法いわゆる3年ごと見直し規定に基づく検討」を公表していたので読んでみました。今回の「個人情報保護法いわゆる3年ごと見直し規定に基づく検討」(以下「本検討」)は、大きく、①個人の権利利益のより実質的な保護の在り方、②実効性のある監視・監督の在り方、③データ利活用に向けた取組に対する支援等の在り方、の3つを次回の個人情報保護法改正の柱として掲げています。(なお本ブログ記事の意見の部分は、あくまで筆者の個人的な意見にすぎません。)
・第261回個人情報保護委員会

2.「検討の方向性① 個人の権利利益のより実質的な保護の在り方」について
検討の方向性1
(PPC「個人情報保護法いわゆる3年ごと見直し規定に基づく検討」より)

この「検討の方向性① 個人の権利利益のより実質的な保護の在り方」では、PPCは「概要」として、「破産者等情報のインターネット掲載事案や、犯罪者グループ等に名簿を提供する悪質な「名簿屋」事案等、個人情報が不適正に利用される事案も発生している。こうした状況に鑑み、技術的な動向等を十分に踏まえた、実質的な個人の権利利益の保護の在り方を検討する。」等としています。

そしてその下の「検討の視点(例)」は、とくにつぎの①~③をあげています。

①技術発展に伴って、多様な場面で個人情報の利活用が進み、その有用性が認められる一方で、こうした技術による個人の権利利益の侵害を防ぐためには、どのような規律を設定すべきか。

②個人情報を取り扱う様々なサービス等が生まれる中、個人の権利利益の保護の観点から、本人の関与の在り方を検討すべきではないか。その際、その年齢及び発達の程度に応じた配慮が必要なこども等の関与の在り方はどうあるべきか、併せて検討すべきではないか。

③個人の権利利益保護のための手段を増やし、個々の事案の性質に応じて効果的な救済の在り方を検討すべきではないか。
この点、①に関しては、本検討3頁の「施行状況に係る委員会における主な意見」において、「生成AI、認証技術の普及等」を踏まえて「不適正利用の禁止」に関する規律(法19条)を「実効ある形になるよう…その考え方を検討すべき」との意見が出されています。

主な意見
(PPC「個人情報保護法いわゆる3年ごと見直し規定に基づく検討」より)

最近はchatGPTなど生成AIや画像生成AIが製造開発され普及しつつありますが、AIによる個人のプロファイリングなどについては日本の個情法には法19条の不適正利用の禁止の条文しか存在せず、しかもその条文は抽象的で謙抑的です。この不適正利用の禁止規定の具体化・積極化は個人の権利利益の保護に資するものとして、次の個人情報保護法改正において大きな目玉になるのではないかと思われます。(あくまで個人的な予想ですが。)

つぎに②に関しては、「本人関与の在り方」を検討すべきとされていますが、これは現行の個情法の開示・利用停止等の請求権のさらなる拡大を意味しているのでしょうか。ところでその後の「その年齢及び発達の程度に応じた配慮が必要なこども等の関与」を検討すべきとの記述が注目されます。

EUのGDPR(一般データ保護規則)は原則16歳未満の子どもの個人データの収集等に規制を設け、アメリカの児童オンラインプライバシー保護法(COPPA)も同様に13歳未満の子どもの個人データの収集等に規制を設けているところ、日本の個情法は子どもの個人データ・個人情報を保護するための明文規定を置いていません。そのため、次の個人情報保護法改正では、遅ればせながらもわが国の子どもの個人データへの規律が新設されるのかもしれません。

さらに③に関しては、本検討3頁の「施行状況に係る委員会における主な意見」において、「個人の権利利益保護のための手段を増やす観点から」「集団訴訟」を「検討すべき」との意見が出されています。現状の裁判例では、個人情報漏洩について民事訴訟が提起されても認められる損害額が数千円程度であり、被害を受けた個人が訴訟をためらう現状があるように思われます。消費者契約法にある消費者団体訴訟制度のような制度が個人情報保護法の分野にも創設されたら、そのような被害を受けた国民個人の救済に資するように思われます。(一方、もし集団訴訟制度が個情法に創設された場合、事業者側に対するインパクトは大きいものがあると思われます。)

3.「検討の方向性② 実効性のある監視・監督の在り方」について
検討の方向性2
(PPC「個人情報保護法いわゆる3年ごと見直し規定に基づく検討」より)

この部分の「検討の視点(例)」はつぎのようになっています。
①ヒューマンエラーのような過失による漏えい等事案が多い一方で、非常に大規模な漏えい等事案等、重大な個人の権利利益の侵害に繋がるケースも発生しているところ、従来の指導を中心とした対応にとらわれない、より実効性のある監視・監督の在り方を検討すべきではないか。

②重大な事案や、故意犯による悪質な事案を抑止するための方策を検討すべきではないか。また、そのための関係省庁等との連携の在り方を検討すべきではないか。

③個人の権利利益の保護のため、重大な漏えい等事案の状況をどのように把握し、適切な執行につなげていくべきか検討すべきではないか。
まず、①に関しては、本検討3頁の「施行状況に係る委員会における主な意見」は、現行の事業者に対する行政指導中心の監視・監督だけでなく、「緊急命令」(法148条3項)をも利用した監視・監督を提言する意見が出されています。そのため今後のPPCの監視・監督においては、報告徴求や立入検査、行政指導などだけでなく積極的に緊急命令が発動される実務が行われる可能性があります。

つぎに②に関しては、公正取引委員会、総務省、消費者庁、厚労省、金融庁、デジタル庁、こども家庭庁等の関係行政庁とのさらなる連携が行われるのかもしれません。また本検討3頁の「施行状況に係る委員会における主な意見」は、「課徴金制度」を導入することに関する意見も出されているので、次の個人情報保護法改正においては、個人情報データベース等提供罪などの罰則強化だけでなく、独禁法に規定がある課徴金減免制度のような制度が盛り込まれるのかもしれません。さらに公取委などのように内部通報窓口(内部告発窓口)などがPPCに用意されるかもしれません。加えて、個人情報データベース等提供罪などの罰則強化の改正があるかもしれません。

4.「検討の方向性③ データ利活用に向けた取組に対する支援等の在り方」について
検討の方向性3
(PPC「個人情報保護法いわゆる3年ごと見直し規定に基づく検討」より)

この部分に関しては、本検討3頁の「施行状況に係る委員会における主な意見」には、「個票データの利活用」の検討があげられています。「個票データ」というものの概念がはっきりしませんが、ひょっとしたら匿名加工情報、仮名加工情報につぐ個人データの利活用のための新たなカテゴリーが創設される可能性があるのでしょうか。

また、同「主な意見」には、「健康・医療データ、子どもデータ等の公共性の高い分野」の個人データのさらなる利活用のために関係官庁とさらなる連携を行うべきであるとの意見も出されています。これらの個人データに関しては良い悪いは別として、国策としてさらなる利活用が検討・実施されるように思われます。

5.その他・スケジュールなど
今後のスケジュールに関しては、11月下旬以降に関係団体等のヒアリングを順次実施とあり、その後、2024年春頃に「委員会「中間整理」公表」とあります。この段階でパブコメが実施されるのでしょうか。

また、同「主な意見」では、いわゆる「クラウド例外」の見直しも議論の対象となっているようです。

なお、上の本検討3頁の「施行状況に係る委員会の主な意見」を読んでも、個人情報保護法の立法目的に自己情報コントロール権あるいは「自らの個人情報を適正に取扱われる権利」(曽我部真裕説)、「関連性のない個人データで個人が選別・差別されない権利」(高木浩光説)などを盛り込むべきといった議論はなされていないようでした。また、EUのGDPR22条のプロファイリング拒否権のような規定や、コントローラー・プロセッサー等の概念を盛り込むべきとの議論もなされていないようです。カメラ規制法やEUのようなAI規制法などの立法化の議論もなされていないようです。

このように次回の個人情報保護法改正は、これまでの法改正に比べて小ぶりな改正に留まるのかもしれません。

このブログ記事が面白かったらシェアやブックマークをお願いします!

人気ブログランキング

PR
このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ