display_monitor_computer
1.はじめに
デジタル関連法案が2021年の国会で審議中です。ところが、そのなかの個人情報保護法の改正法案の内容が非常にひどいことに驚いてしまいました。今回の個人情報保護法改正の目玉は、個人情報保護法と行政機関個人情報保護法・独立行政法人個人情報保護法の統一化地方自治体の個人情報保護条例の個人情報保護法への統一化学術研究開発機関における個人情報の取扱の明確化などとなっていますが、とくに研究開発機関に関する改正法案の条文を読むと、政府・与党の「デジタル至上主義」、「研究開発至上主義・経済至上主義」があまりにも露骨となっています。

・「デジタル社会の形成を図るための関係法律の整備に関する法律案」の閣議決定について|個人情報保護委員会
・新旧対照表|個人情報保護委員会
デジタル関連法案の概要
(デジタル関連法案の概要。個人情報保護委員会サイトより)

2.学術研究機関は本人の同意のない個人情報の目的外利用が可能となる
2021年の個人情報保護法改正法案では、学術研究機関は本人の同意なしに個人情報の目的外利用(改正法18条)が可能となってしまっています。

改正法案16条8項は、学術研究機関について、「この章において、「学術研究機関等」とは、大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者をいう」と幅広に定義しています。

そのため、この条文を読む限り、大学などに限らず、およそ学術研究的な業務を行う団体やそれに所属する人間は、この「学術研究機関等」に該当してしまうように読めます。つまり、「〇〇の研究開発」という業務目的を定款の業務目的の一部にでも規定さえしておけば、民間企業であっても、この「学術研究機関等」に該当してしまうように思われます。

2021年改正個人情報保護法目的外利用

現行法16条1項は、「個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。」と規定し、事業者は個人情報をプライバシーポリシーなどであらかじめ公表している利用目的を超えて、本人の同意なしに利用することを禁止しています(目的外利用の禁止)。

ところが、改正法案18条3項5号、6号の新設条文は、個人情報取扱事業者が学術研究機関である場合(5号)や、一般の事業者が学術研究機関に個人情報を提供する場合(6号)には、目的外利用の禁止の条文の適用外とすると規定しています。つまり、個人情報取扱事業者が学術研究機関である場合や、一般の事業者が学術研究機関に個人情報を提供する場合には、本人の同意のない目的外利用を許すとなってしまっています。

なお、この改正法案18条3項5号、6号はかっこ書きのなかに、一応、「個人の権利利益を不当に侵害する場合を除く」という一文をおいています。個人情報保護法は3条で「個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきもの」と規定し、同1条は「個人の権利利益を保護」と規定しています。そのため、この「個人の権利利益」とは、憲法13条に基づくプライバシー権、自己情報コントロール権などが含まれると思われます(宇賀克也『個人情報保護法の逐条解説 第6版』32頁)。

この点、ベネッセ個人情報漏洩事件に関する最高裁平成29年10月23日判決は、ベネッセの安全管理措置違反による顧客のプライバシー権侵害による不法行為責任(民法709条)を認めています。

ところで、2019年の就活生の内定辞退予測データの販売のリクナビ事件を受けて、2020年の個人情報保護法改正では、「個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。」との不適正利用禁止の条文が新設されました(16条の2)。

この不適正利用禁止の規定に関するガイドライン制定のための資料において、個人情報保護委員会は、同規定の趣旨・目的は、「個人の権利利益の保護」であるとしつつも、「法目的に照らして看過できないような相当程度悪質なケースを念頭において規定」と、消極的な見解を示しています。

・改正法に関連するガイドライン等の整備に向けた論点について(不適正利用の禁止) |個人情報保護委員会

2021年改正の改正法案18条3項5号、6号に関するガイドラインが制定されるのはまだ先の話です。国民の「個人の権利利益の保護」について、個人の側から見て積極的なガイドラインが策定されるかもしれませんが、個人情報保護委員会の大企業寄りの姿勢をみると、消極的なものにとどまるかもしれません。

3.学術研究機関は本人の同意のない要配慮個人情報の収集が可能となる
病院で医師が患者を診察して作成したカルテ情報、処方箋情報、検査結果などの医療データ個人の思想・信条や内心にかかわる情報人種、社会的身分、犯罪歴などの社会的差別の原因のおそれのある個人情報など、いわゆるセンシティブ情報は2017年の法改正で「要配慮個人情報」と定義されました(法2条3項)。

そして、法17条2項は、たとえば患者が意識不明の状態で病院に救急搬送されたような場合など、公衆衛生のために必要で本人の意思を確認することが困難なときなど以外の場合は、あらかじめ本人の同意なしに事業者が要配慮個人情報を収集することを禁止しています。

ところが、2021年の個人情報保護法改正法案では、学術研究機関は本人の同意なしに要配慮個人情報の収集が可能(改正法案20条)となってしまっています。

つまり、法17条2項に対応した改正法案20条2項は、「次に掲げる場合のほか、本人の同意なしに要配慮個人情報の収集をしてはならない」の「次に掲げる場合」として、同条同項5号から7号において、個人情報取扱事業者が学術研究機関等である場合を列挙しているのです。

2021年改正個人情報保護法要配慮個人情報保護法

なお、改正法案20条2項5号から7号は、「個人の権利利益を不当に侵害する場合を除く」という規定を置いているのは上と同様の論点です。

4.学術研究機関は本人の同意のない個人情報の第三者提供が可能となる
また改正法案27条1項5号から7号までは、これも第三者提供には本人の同意が必要とする原則(現行法23条1項)の例外規定として、学術研究機関が研究目的で個人情報を利用する場合は、本人の同意なしに第三者提供を行うことができると規定してしまっています。

2021年改正個人情報保護法第三者提供


この改正法案27条1項5号から7号にも、上と同様に、「個人の権利利益を不当に侵害する場合を除く」との規定が置かれていますが、個人情報保護委員会がガイドラインなどでどのような場合が具体的にそれに該当すると示すかが注目されます。

5.学術研究機関は第三者提供の際の記録作成義務が免除される
2017年の個人情報保護法改正の際に、いわゆる名簿業者対策として、個人情報の第三者提供・個人情報の売買にトレーサビリティー(追跡可能性)を確保するために、事業者が個人情報の第三者提供を行う場合には、提供先の名称や提供年月日などの第三者提供の記録の作成義務が新設されました(現行法25条)。

しかし、改正法案29条ただし書きは、「ただし、個人データの提供が、第27条1項各号(=学術研究機関の第三者提供の場合)…に該当する場合には、この限りではない」と規定し、学術研究機関の個人情報の第三者提供の場合には、記録の作成義務を免除してしまっています。

2021年改正個人情報保護法第三者提供の記録の作成

6.学術研究機関はcookie・サイト閲覧履歴など個人関連情報の第三者提供の際の確認義務が免除される
上でみた2019年の就活生の内定辞退予測データの販売が問題となったリクナビ事件においては、cookieやサイト閲覧履歴などの、それ単体では個人を識別できない情報・データであるが、その情報・データをリクルートキャリアなどの事業者からトヨタなどの求人企業が売買により第三者提供を受けることによって、社内で他のデータと照合するなどして、就活生の内定辞退予測データを活用し、就活生の採用の合否を決めるという、就活生の情報を就活生の意思や利益に明らかに反する形で利用する、個人情報保護法の抜け道を迂回するような脱法的な手法が大きな社会問題となりました。

このリクナビ事件を受けて、2020年の個人情報保護法改正では、cookieやサイト閲覧履歴などの情報・データを「個人関連情報」と定義し、「事業者は、第三者が個人関連情報を個人データとして取得することが想定されるときには、次に掲げる事項について、あらかじめ個人情報保護委員会規則で定めるところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはならない」と、個人関連情報の第三者提供の制限規定が新設されました(2020年改正法26条の2)。

ところが、この個人関連情報の第三者提供の制限に関しても、今回の改正法は、つぎのように学術研究機関に対して除外規定を設けてしまっています。

「個人情報取扱事業者は、第三者が個人関連情報を個人データとして取得することが想定されるとき第27条1項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個人情報保護委員会規則で定めるところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはならない」

2021年改正個人情報保護法個人関連情報の第三者提供

この「第27条1項各号に掲げる場合」とは、上でみたように、学術研究機関等が個人情報を第三者提供する場合のことです。

つまり、学術研究機関が関わる第三者提供に関しては、cookieやサイト閲覧履歴などの個人関連情報を、データの本人の意思や利益に反するように第三者提供しても、個人情報保護法上は問題がないということになってしまいます。これは個人情報保護法の先祖返りとしかいいようがありません。法目的の「個人の権利利益の保護」「個人の人格尊重の理念」(法1条、3条)は一体どこに行ってしまったのでしょうか。

7.まとめ
このように、コロナ禍で国民の関心が削がれていることをいいことに、内閣IT戦略室、デジタル庁、個人情報保護委員会はデジタル関連法案、個人情報保護法改正法案においてやりたい放題の状況です。

上でみたように、とくに学術研究機関等は、本人の同意のない要配慮個人情報の収集が許されることになり、また、学術研究機関等は、本人の同意なしに個人情報の目的外利用と第三者提供が可能となり、さらに第三者提供の際の記録作成義務も免除されてしまっています。

これでは、学術研究機関等が新たな名簿業者として、個人情報を法の網の目を逃れてやり取りするための新たなブラックボックスとなってしまうのではないでしょうか。

つまり、IT企業、製薬会社、自動車メーカーなどの研究開発を行う大企業に対しては、個人情報保護法の本人同意のない目的外利用の禁止・第三者提供の禁止・要配慮個人情報の取得禁止などの規制が骨抜きとなってしまうおそれがあります。

第三者提供の記録の作成義務が除外されるということは、IT企業、製薬会社、自動車メーカーなどに対して、個人情報保護委員会などが報告徴求や立入検査しても何もわからないということになりかねません。これは、国民の知る権利(憲法21条)や国民主権・民主主義(1条)の観点からも大問題なのではないかと思われます。

かつての20世紀の帝国主義時代の列強諸国や日本は、「国家は間違うはずがない」という国家無謬説の国家観に立った行政活動や立法が行われていました。この点、わが国の2021年の個人情報保護法改正法案やデジタル関連法案は、「自然科学は間違うはずがない、研究開発は間違うはずがない、自然科学による経済発展は間違うはずがない」という「科学技術無謬説」・「デジタル無謬説」あるいは「科学技術の発展による経済成長無謬説」に立脚しているように思えます。しかしそれは20世紀の帝国主義が悲惨な2度の世界大戦を招いたように、時代錯誤な考え方に思えます。

国家主義・全体主義の中国などとは異なり、日本は国民の個人の尊重と基本的人権の確立を国の目的とする近代憲法の自由主義・民主主義の国家です(憲法11条、97条)。にもかかわらず、国民の人権保障を放棄して国や経済界のエゴをむき出しにした感のある、デジタル至上主義、研究開発至上主義・経済至上主義の2021年の改正個人情報保護法は、わが国の憲法の趣旨そのものにも反しているように思われます。

大企業・国の経済的利益のための2021年の個人情報保護法改正は、国民の人権保障を重視するEUのGDPRなどの西側世界の個人データ保護法からどんどん乖離して、むしろ全体主義の中国などの個人情報保護法制に近づいてゆくように思われます。日本の個人情報保護法がEUのGDPRの十分性認定を取消しされる日も近いかもしれません。

■関連するブログ記事
・デジタル関連法案による、自治体の個人情報保護条例の国の個人情報保護法への統一化について
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・健康保険証のマイナンバーカードへの一体化でカルテや処方箋等の医療データがマイナンバーに連結されることを考えた
・トヨタのコネクテッドカーの車外画像データの自動運転システム開発等のための利用について個人情報保護法・独禁法・プライバシー権から考えた

■参考文献
・宇賀克也『個人情報保護法の逐条解説 第6版』32頁、92頁
・佐脇紀代志『一問一答令和2年改正個人情報保護法』33頁、60頁
・EUがAIに包括規制案 世界で初、顔認証利用に事前審査も|日経新聞
・Europe fit for the Digital Age: Commission proposes new rules and actions for excellence and trust in Artificial Intelligence|European Union







タグ :
個人情報
デジタル関連法案
学術研究
privacy
security
GDPR
デジタル庁
個人情報保護委員会