1.はじめに
個人情報保護委員会が令和6年4月10日付で公表している「個人情報保護法いわゆる3年ごと見直し規定に基づく検討(個人の権利利益のより実質的な保護の在り方②)」の資料を読んでみました。今回の資料は、①子どもの個人情報、②消費者団体訴訟制度、の2点を取り上げています。2.子どもの個人情報
本資料1頁は、まず「現行の個人情報保護法上、子どもの個人情報の取扱い等に係る明文の規定はない」とした上で、個人情報保護法ガイドライン(通則編)2-16および個人情報保護法ガイドラインQA1-62が、「「本人の同意」を得ることが求められる場面(目的外利用、要配慮個人情報の取得、第三者提供等)について、以下のとおり、「一般的には12歳から15歳までの年齢以下の子どもの場合には法定代理人等から同意を得る必要がある」とされている」と説明しています。つぎに本資料は、児童の権利条約(1989年)やデジタル環境下のこどもに関するOECD勧告(2021年)が、子どものプライバシーやデータ保護が重要であると規定していると説明しています。
また、本資料3頁以下は、子どもの個人情報に関する外国制度として、EU、イギリス、アメリカ、中国、韓国、インド、インドネシア、ブラジル、カナダ等の法制度を概観しており、「子どもの個人情報等をセンシティブ情報又はセンシティブデータと分類した上で特別な規律の対象とするケース」や「子どもの個人情報に特有の規律を設けるケース」が多いと分析しています。
さらに本資料8頁以下は、子どもの個人情報に関する外国における主な執行事例として、InstagramやTikTok、YouTubeなどの事例をあげています。
加えて本資料10頁は、日本における子どもの個人情報に関する社会的反響の大きかった事例として、①全寮制の学校Aが、全生徒にウェアラブル端末を購入してもらい、心拍数、 血圧、睡眠時間等の個人データを収集しようとした事件(広島叡智学園事件(2018年))、②学校Bで、生徒の手首につけた端末で脈拍を計測し、授業中の集中度を測定する実証研究を行った事件(市立鷲宮中学校事件(2021年))の概要が紹介されています。
また、子どもの個人情報に関連して個人情報保護法に基づく行政上の対応が行われた事例として、四谷大塚事件(2024年2月)の概要が紹介されています。
なお本資料12頁は、「個人情報保護法相談ダイヤルにおける子どもの個人情報等に係る相談事例等」として、頻度の多い相談事例や、その他の相談事例等をあげていますが、とくに「事例C 事業者がパンフレットに児童の個人情報を掲載しているが、当該掲載について児童から口頭で同意をとったのみであり、親には何らの連絡もなかった」事例や、「事例D 未成年の娘あてに事業者からDMが届いた。発送先の事業者に確認したところ、名簿販売業者から娘の情報を取得したうえで営業をかけているようであった」という事例、「事例G 事業者が保有する児童の個人情報について、親が開示・削除等の請求をしているにもかかわらず、なかなか応じてくれない」事例、などを読むと、やはり子どもの個人情報の法規制は待ったなしだと思われます。
3.消費者団体訴訟制度
本資料15頁は、適格消費者団体は、「不当な勧誘」、「不当な契約条項」、「不当な表示」などの事業者の不当な行為をやめるよう求めることができるとし、「事業者が不特定かつ多数の消費者に対して消費者契約法等に違反する不当な行為を行っている、又は、行うおそれのあるとき」には差止請求を行うことができると説明しています。この「消費者契約法等」には消費者契約法のほか、景品表示法、特定商取引法、食品表示法が規定されていると説明されています。(個人情報保護法はまだ規定されていない。)また本資料17頁は、団体訴訟の差止請求に関連し、「個人情報に係る本人が不特定かつ多数と評価しえる事例に係る個人情報保護法に基づくこれまでの主な行政上の対応」として、Facebook事件(平成30年10月)、JapanTaxi事件(平成30年11月、令和元年9月)、リクルート内定辞退率予測データ事件(2019年)、破産者マップ事件(令和4年)、ビジネスプランニング事件(令和6年1月)の概要をあげています。
さらに本資料21頁は、「不法行為の成否と個人情報保護法の関係」として、令和5年の顔識別機能付き防犯カメラ報告書からつぎのように一部を抜粋しています。
『「不法行為法と個人情報保護法はその目的や性格に異なる部分があることから、不法行為が成立する場合、同時に個人情報保護法違反となる場合もあり得るが、不法行為が成立したからといって必ずしも個人情報保護法違反となるわけではない。」「不法行為の成立=個人情報保護法違反ではない」としつつも、「不法行為の成否を評価するに当たり考慮される要素は、個人情報保護法上も不適正利用の禁止規定(法第19条)や適正取得規定(法第20条第1項)の解釈などにおいて、考慮すべきであると考えられる。」と個人情報保護委員会がしていることは、個情委が今後、不適性利用禁止条項を積極的に発動する可能性があるのではないでしょうか。個人的には個情委のこの取組みに期待したいです。
「不法行為の成否を評価するに当たり考慮される要素は、個人情報保護法上も不適正利用の禁止規定(法第19条)や適正取得規定(法第20条第1項)の解釈などにおいて、考慮すべきであると考えられる。」
(出典)「犯罪予防や安全確保のための顔識別機能付きカメラシステムの利用について」(令和5年3月)から引用。』
また本資料21頁は、個人情報の取扱いにおいて損害賠償責任が問題となった主な事例として、早大名簿提出事件(最高裁平成15年9月12日判決)とベネッセ個人情報漏洩事件(最高裁平成29年10月23日判決)をあげています。
ベネッセ個人情報漏洩事件はおよそ3500万件もの個人情報が漏洩した事件ですが、このように被害者が不特定かつ多数の個人情報漏洩事件について、消費者団体訴訟における損害賠償請求ができるようになることは、被害者救済の観点から重要であると思われます。また、団体訴訟制度の個人情報保護法への導入は、事業者の実務への影響は非常に大きいと思われます。
■関連するブログ記事
・PPCの「個人情報保護法いわゆる3年ごと見直し規定に基づく検討」(2023年11月)を読んでみた
・個情委の「個人情報保護法いわゆる3年ごと見直し規定に基づく検討(個人の権利利益のより実質的な保護の在り方①)」を読んでみた
・埼玉県の公立中学校の「集中しない生徒をリアルタイムで把握」するシステムを個人情報保護法や憲法から考えた
・戸田市の教育データを利用したAI「不登校予測モデル」構築実証事業を考えた-データによる個人の選別
PR