個情委の追加ヒアリング資料のうち、板倉先生、曽我部先生、高木先生の資料について、重要だと思った部分を紹介し、青字で感想を書いていきます。ページ番号はPDFのページ番号です。
板倉先生
- 外国法令調査
- 「いわゆる「各国物」については,単に条文を比較するのではなく,制度趣旨(憲法や関連法令の状況を含む),運用状況を踏まえて,定期的に調査(現地調査を含む)頂くことをお願いしたい。シンクタンクや法律事務所に委託するだけではなく(協力してもらってもよいが),職員が主体的に関与し,知見を貯めて頂きたい。我が国におけるより積極的な会議開催もお願いしたい。その際,データ保護機関,政府機関以外も参加できるセッションが有効と思われる。「個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国」(法28条1項),「当該外国における個人情報の保護に関する制度」(法28条2項)の基礎ともなる。」(2頁)。
- 同感。例えばGDPRの特別カテゴリデータの処理の法的根拠や重大な自動決定の規制は上乗せ規制であり、それらの処理においてもまずは基本原則が重要である(上乗せ規制は担保規定にすぎない)ことが、個情委においては理解されていないのではないか(少なくとも中間整理の時点ではそう見えた)。
- 自律的ガバナンス?
- 「「①本人の関与による適正な取扱いの確保」のうち、「当事者間の自主的な規律を重視する」はその通りであろうが、前提として、個人情報・個人データの本人への適切な透明性確保(通知・公表・同意取得の前提の情報提供・「容易に知り得る」事項)が行われていることが必要であり、これらの透明性確保がなされていない、又は不適切である点は個人情報保護委員会…によってしか是正できない。」(5頁)
- 「②「自立した権利主体としての本人」が揺らいでいることを前提とした議論が必要。「代替困難な個人情報取扱事業者による個人情報の取扱いに係る規律」…の議論はこの一例。」(6頁)
- 同感。なお、
- 「当事者間」という個情委の表現は適切ではないかもしれない。あくまで処理の当事者は事業者であり、本人はそこに関与(OECDガイドラインではparticipation)する権利が保障されているにすぎない(高木・情報法制研究14号130頁〜135頁参照)。
- 透明性の欠如と代替困難性(優越的地位にあるとも言い換え可能であろう)は相互に独立な、本人関与による適正性確保を阻害する事由と整理できる。
- 利用目的の特定
- 「利用目的の特定の精緻化は明らかに示されている例が乏しいため(2例)、これを拡充することは是非とも必要である。」(7頁)
- 同感。利用目的による制限は現行法の根幹であり、利用目的の特定はその前提であるところ、現在の個情委はそのことを忘れてしまっているように見える。関連性原則も、現行法の建付けをできるだけ尊重しつつ導入するとすれば、利用目的による制限の条文の解釈を変更するか、これを改正してワンフレーズ書き込むことになるだろう(利用目的による制限には既に関連性原則が含まれているのではないか―公正な採用選考の基本・職安指針・業務要領について - Mt.Rainierのブログ)。EU加盟国当局の法執行においては法的根拠の欠如が理由とされ、基本原則は正面からは問題とされていないことが多いが、日本法がこのまま法的根拠を導入せずに行くのだとすれば、基本原則に相当する利用目的による制限・正確性確保を通じて同等の保護水準を達成する必要がある。
- データポータビリティ
- 「データポータビリティについては、開示請求の電磁的記録での応答で一部加味されているが、互換サービスへの提供を課すのであれば競争政策の観点からの検討が(再び)必要となる。なお、デジタル行財政改革会議(第8回)(令和6年11月12日)【資料3】「デジタル行財政改革の今後の取組方針について」17頁ではEUのPSD3(注:決済サービス指令。日本で対応するのは資金決済法と銀行法の平成29年改正部分)について触れられており、個別分野の施策が適切な場合も考えられる。なお、契約の附随義務に基づく取引履歴の開示請求や人格権に基づく差止請求は既に判例法理により認められているものであり、これらに該当しない何らかの権利を「プライバシー権等の見地から」として「個人情報保護法で」立法する必要性については疑問がある。」(7頁)
- 同感。なお、競争政策と平成21年判例が認めた取引履歴の開示義務は別物である。後者は契約の性質に基づくものであるため、コンテスタビリティ的な議論に囚われる必要がない。
- 医療も同じであり、伝統的に個情法上の開示請求権が使われてきたが、医療法で診療契約に基づく診療録の開示請求権への対応を定めるとすれば、死者対応もやりやすくなるのではないか。
- クラウド例外
- 「いわゆるクラウド例外…については、事業者(ないしこれに助言する者)の我田引水的な解釈が目立つ。GDPRに対応したプライバシーポリシーではProcessorであることを自認しているのに、個人情報保護法との関係では「取り扱っていない」と強弁する場面にも遭遇する…。欧州との相互認証にも鑑み、対日本と対欧州での二枚舌は許されるべきではない。「個人データを個人データとして取り扱わない」場合にのみ適用されるとの趣旨を明確にし、類似の場面(記憶媒体の修理、倉庫、宅配等)と合わせて整理すべき。」(10頁)
- 同感。クラウド例外は第2要件(技術的措置)が決定的に重要であり、第1要件(契約条項)は不要であるし、第1要件による補完を必要とするような取扱いは第2要件を満たすとすべきでない。このように考えると、CSPの取扱いを否定できるのは、ユーザーが暗号化し復号鍵をユーザー側で保持するようなケースに限られるはずである(クラウド例外に関するいくつかの疑問 - Mt.Rainierのブログ)。
- 要配慮個人情報
- 「①要配慮個人情報についての上乗せ規定自体は必要性を認めるが、現在、ほぼ取得規制のみで規律していることが効果的であるかは疑問がある。法28条やGDPR9条2項各号のような取扱いに関する上乗せ規定が適切ではないか。」(12頁)
- 同感。ただし、
- 上記のとおり、要配慮個人情報においても(GDPRの基本原則に相当する)利用目的による制限・正確性確保が重要であることに留意すべきである。仮にそれらでは足りないと思われるのであれば、利用目的による制限・正確性確保の条文・解釈が不十分である(過小規制になっている)可能性をまずは検討すべきである。
- 28条に関しては、その後の安全管理措置の解釈の展開(外的環境把握)も考慮すると、第三者提供規制の特則として位置づけることの合理性は失われているのではないか。GDPRでもそうはなっていない。
- 生体データ
- 「法2条2項1号の個人識別符号だとすると、本人関与規制に期待するのは無理がある。」(12頁)
- 仮に要配慮個人情報規制を及ぼす場合、同意原則が採用されるが、同意概念自体が希釈化されていること(極めて形式的な同意で足りるとされていること)、法執行活動であれば法令に基づく場合に該当するとされることから、ほとんど意味がないと思われる。生体データを要配慮個人情報に含めることに積極的に反対はしないが、重要なのは利用目的による制限・正確性確保であり、その実効性確保は本人の権利行使ではなく個情委の監視監督権限行使によることになる。
- その他
- 公的部門の規律の見直し(2頁)、個情法のスコープ(3頁)、基本原則(3頁)、個人データ概念への統一(5頁)、統計利用(8〜9頁)、Cookie(11頁)、保護法益のトリアージ(11頁)について同感。
曽我部先生
- 形式的ルールの限界
- 「こうした(注:形式的ルールを基調とする)アプローチには限界がある。第1は過剰規制であり、第三者提供をしても弊害がないような場合にも形式的ルールには抵触してしまう、といった場合がそれに当たる。他方、それを避けるために同意の概念を大きく拡張してしまうのは、同意を要求した趣旨を没却しかねず問題であろう。…第2は過少規制であり、形式的ルールに課される規律の負担を避けるために、cookieが個人情報とはされず、民間の各種番号も個人識別符号とはされていないなど、個人情報の範囲が諸外国と比較して狭くなっている。」(99頁)
- 同感。
- 6月ヒアリングでは同意の希釈化に積極的(affirmative)な意義を見出すようなニュアンスの発言をされていたようにも見えたが、今回述べられていることが適切であろう。
- 「第2」では、Cookieが個人情報に該当しないとする不合理な解釈(形式的には個人情報の定義規定中の「特定の」個人の解釈)を改めることができないでいる理由が、過剰な第三者提供規制であることが的確に指摘されている。
- 自律的ガバナンス?
- 「「参考4」の1では、現行法が「当事者間の自律的なガバナンスを重視する」ものだと位置づけている。現行法をそのように理解することは1つの考え方だが、それによって現行法のあり方を正当化しようとするのであれば賛成できない。第1に、ダークパターンのような問題以前に、もともと個人情報取扱事業者と本人との間には情報の非対称性や交渉力格差があり、「当事者間」という語が想起させるような対等な関係ではない。第2に、個人情報の不適切な取扱いによって本人に生じうる不利益はリスク段階であることも多く、本人がガバナンスのための権利を行使するインセンティブに欠ける。特に、訴訟提起という手段はコスト面で期待できない。要するに、「当事者間の自律的なガバナンス」が成立する前提を欠いているのであり、「当事者間の自律的なガバナンス」を基調とする制度は妥当ではなく、事業者と本人との格差を埋める手段が不可欠である。それは、委員会による法執行であり、民間団体による差止請求である。また、本人が開示等請求をした場合に事業者が応じない場合には、委員会がADR的な機能を提供するなどのことも考えられる。なお、以上の点はこどもについてはより一層重要となろう。」(100頁)
- 同感。本人の権利行使と個情委の監督権限行使は相互補完的なエンフォースメントの手段であることが的確に指摘されている。そのような補完(特に個情委による補完)が必要とされる理由の指摘も重要であり、このことを的確に理解することが、個情委が重点的にリソースを配分すべき分野・プラクティスを特定する前提となる(端的に言えば、リスクの程度や権利侵害の広がりとともに、本人の権利行使が機能するか(どの程度機能するか)がリソース配分を決定する上での重要な考慮要素であり、市場支配的事業者、教育機関、法執行機関等を優先的な監督対象とすべきである)。
- 課徴金
- 「課徴金制度の導入は必要だと思われる。最近、保険会社等大企業による悪質な個人情報の利用事案が相次いでおり、課徴金導入の立法事実を提供している。課徴金の導入によって大企業のインセンティブ構造を変えることができるし、さらに発展させてリーニエンシー制度も導入できれば、さらに効果が期待できる。」(101頁)
- 概ね同感だが、リニエンシー(課徴金減免制度)については(課徴金自体の正当化根拠と別に、かつ課徴金の要件・金額の算定方法を考慮した)議論が必要だと思われる。すなわち、
- リニエンシーは、平成17年独禁法改正において初めて導入されたが、このときは、ハードコア・カルテルを発見するため、囚人のジレンマ状況を人為的に作り出すことに主眼があった。その後、令和5年平成26年改正景表法によりリニエンシーが導入された。景表法違反は基本的に単独行為なので、ハードコア・カルテルとは状況が異なるが、なお違反の発見が目的とされていたのかもしれない。これに対し、個情法ではもともと漏洩報告が義務付けられており、その対象に違法な第三者提供を含めることも提案されている。そうだとすると、義務を履行すると課徴金が減免されるという建付けは取り得ない可能性がある。
- また、独禁法においては、令和元年改正により減免制度の改革がなされたが、これは、不法利得剥奪論の下で構築された非裁量的課徴金制度について、裁量的課徴金制度への全面的な移行というドラスティックな改革を回避しつつ、違反事業者に調査への協力(と言うと受け身に聞こえるが、実際には多額の費用を投じてデジタルフォレンジックと弁護士によるヒアリングを実施し、総括し、公取委に報告することである。)へのインセンティブを導入しようとするものである。翻って、個情法においてはそもそも不法利得剥奪論はなじまない可能性があり、そうだとすると、正面から調査協力を考慮して課徴金を算定すればよいようにも思われる。
高木先生
- 自律的ガバナンス?
- 「このように、データ保護法制は、独立データ保護機関の介入と本人関与の両面からなるガバナンスの仕組みと理解するべきである。」(70頁)
- 「漏えい報告を受け安全管理の指導をする程度であれば、所管する業界の事業者を監督する主務大臣制で足り、独立データ保護機関を設ける必要性がない。実際、平成15年法では、法の趣旨がその程度のものと考えられていたようである。」(69頁注10)
- 同感。個情委が言及している「利用目的の公表を通じた社会におけるモニタリングを通じて規律されること」は、個情法制定時(平成15年)の思想である(なお、そこでいう「社会」とは個人の集合に他ならない)。しかし、そのモデルには(板倉先生、曽我部先生も指摘していたような)様々な限界があり、立法者はそのように認識したからこそ、平成27年改正によって個情委を設立した。個情委は自らに課せられたそのような役割を、よく理解するべきである。
- 児童データ
- 「再検討視点1③(注:ヒアリング対象の文書。個情委によるもの。)は、本人関与(これには上記の開示等の他に本人同意が含まれる)が必ずしも期待できない、子供を本人とする個人データ(子供データ)について、「その足らざる部分を補完する仕組みの導入は必要か」と問うている。その答えは、本人関与の機会がなければ法の目的を達成できないような個人データの処理は完全に禁止することである。」(71頁)
- 「なお、上記…は、許されるべき必要な個人データの処理を不可能にするものではない。現行法において、本人同意を要する処理が禁止となるが、それは、本人同意を要する現行法の規定が過剰規制なのであって、そこから是正すべきことである。」(71頁)
- 同感。補足すると以下のとおり:
- EU法においては、同意は処理の法的根拠の一つとされるが、自由な意思に基づくものでなければならず、代替困難な地位にある場合(ガイドラインではimbalance of powerと表現されている)、サービス提供の条件とされる場合には同意は無効とされる。また、同意はいつでも撤回可能なものとされる。一方で、他の法的根拠として、契約締結・履行や、正当な利益がある場合が規定されており、これらによって正当化される処理は、同意を得る必要がない。
- 日本法では、内部利用については、そもそも法的根拠のようなものは必要ないが、第三者提供については、法的根拠のようなものが必要とされている。しかし、そのリストはGDPRの法的根拠のリストよりも狭く、特に契約締結・履行や正当な利益が存在しない。このため、EU法であればそれらで処理されるような第三者提供が、同意(や財産保護)で処理されている。その結果、同意概念が極めて希釈化されてしまっている。
- 日本法に契約締結・履行や正当な利益を導入した場合、同意を「正しく」解釈適用することが可能になる。そのような解釈の下での同意は、ターゲティング広告のような、必須ではない個人データ処理にのみ用いるべき法的根拠(と呼ぶかはさておき)となるから、これを禁止したところで、大きな問題はない。
- なお、上記のとおり、日本法では、内部利用については、そもそも法的根拠のようなものは必要ないため、仮に「本人関与の機会がなければ法の目的を達成できないような個人データの処理は完全に禁止する」場合、どのような建付けとするかは検討を要する。個人的には第三者提供規制と不適正利用禁止規定を廃止し法的根拠で置き換えればよいと考えているが、そうしない場合、同意の解釈適用を厳格化するだけでは、そもそも同意が要求されていない内部利用を統制することはできない(端的に禁止規定を設けることになるであろうか)。
- 取扱いの正当性を裏付ける基準?
- 「再検討視点1⑤は、本人関与による規律に依存しない(個人データ利用の適正性を担保する)方法として、取扱いの正当性を裏付ける基準を導入するアプローチの是非を問うている。その答えは、前記①で述べたとおり、データ品質の原則(特に関連性の要件)がその基準である。」(72頁)
- 同感だが、それに加えて以下のように考えた:
- 関連性が何を意味するのか(特に「役に立つが当該データは使うべきではない」というときの関連性とは何なのか)は必ずしも明らかではない。EU加盟国も、このことが影響してか、Data minimisation単体での法執行は少なく、しばしばその代わりに法的根拠の欠如に依拠した法執行を行っているように見える(法的根拠が代理変数となっているように見える)。仮にそうだとすると、法的根拠を導入するのは一つの選択肢なのではないか。個情委が言う「取扱いの正当性を裏付ける基準」は法的根拠を念頭に置いているようにも見える。
- 開示請求・データポータビリティ
- 「個人情報保護法の開示請求権は、第一義的には、「データ利用の適正性の確保」のために訂正請求や利用停止請求を行う際の準備を可能にするものとして用意された制度であるが、副次的保護利益(前掲注5)としての「自己の情報を知る利益」をカバーする意義も併存しているといえる。例えば、医療分野において、患者が自身の診療録の開示を医療機関に求めることは、診療録の内容が適切かを確認するという趣旨(核心的保護利益のための開示の趣旨)を超えた「自己の情報を知る」ことそれ自体の意義があると考えられ、他の制度でカバーすべきものかもしれないところ、日本法では現在のところ、個人情報保護法の開示請求権がカバーしている。個人情報保護法では死者の診療録が開示対象とならないことがしばしば問題となるが、その必要性があれば、個人情報保護法ではなく他の制度でカバーするべきではないか。同様に、データポータビリティについても、個人情報保護法でカバーする必要はなく、他の制度でカバーすればよいと考える。」(73頁)
- 「英国法では、Data Protection ActとAccess to Health Records Actの双方でカバーしており、死者の記録については 後者で対応している」(73頁)
- 板倉先生が指摘されているとおり、取引履歴の開示は預金契約上の義務として判例上認められており、これと同様に考えれば、診療録の開示も診療契約上の義務として認められるように思われる。これを前提に、各業法(銀行法、医療法)上の義務としても位置づけ(つまり当局の監督対象とす)ることは可能である。そうする場合、「生存する個人」に限る必要性もなくなる。
- 本人同意
- 「本人同意については、日本法では、同意による規律は、第三者提供時の同意、目的外利用時の同意、要配慮個人情報の取得時の同意の場面に現れるところ、これらの行為のその先で起きること…は、一般には不確かであり、「本人への影響が具体的に見込まれる状況でない場合」(注:個情委はそのような場合には本人関与は不要ではないかとしていた。)か否かは不明の状況である。これらの同意による規律は、それらが不明であるがゆえに、同意なしには認めない規制が課されているわけであるが、本人の立場からしてみれば、同意した結果どうなるのか見通しがない中で、同意するか否かの選択を迫られても判断のしようがないという問題がかねて存在する。」(75頁)
- この指摘は、日本法にはインフォームドコンセントの観点が欠けている可能性を示唆している。同意を「正しく」解釈適用する場合、そのような同意は無効とすべきである。そしてこのように考えると、結局、同意というのはあってもなくてもよいような処理においてしか積極的意味を持ちえないのだと思われる。
- 第三者提供規制の緩和
- 「目的外での提供だけでなく目的内での提供をも本人同意を原則とする日本法の民間部門の規律は過剰規制となっている。日本法の民間部門がそのような規律とせざるを得なかったのは、平成15年法の立法時に、急激な新規制の導入に伴う事業者への配慮として、利用目的を特定する義務を大まかな特定で構わないとされた結果、その代わりに第三者提供を原則禁止とせざるを得なかったものである。したがって、「利用目的の特定」を十分に詳細なものとし、「第三者提供時の利用目的拘束」の仕組みを設けることを前提に、EU法でいうところの「契約の履行」に基づく場合に相当するような、「提供を当然のものと思うなど躊躇が想定されない場合」(注:個情委はこのような場合に第三者提供規制を適用しないことを提案していた。)といえるだけの限定された特定の利用目的の場合に限って、「第三者提供を禁止する必要のない類型」とすることは妥当である。」(76頁)
- 先に述べたとおり、利用目的による制限は現行法の根幹であり、利用目的の特定はその前提であり、その特定を十分なものとすることは是非とも必要である。その方法として、ガイドラインを充実させることも考えられるが、個別性が高いため、実態調査を行い、十分な例と不十分な例を示すことも考えられる。また、利用目的拘束を伴う第三者提供については、個人的には第三者提供規制自体廃止して法的根拠に置き換えてしまってはと考えているが、そうしない場合、傾聴すべき提案だと考える。
- その他
- 決定の目的とデータ項目の公表(70頁)、ダークパターンは本人同意を阻害する要素であること(71頁)について同感。
- 利用目的変更時の関連性(EU法ではincompatibleでないこと)は本質的ではないという指摘(71〜72頁)は確かにと思った。変更後の利用目的が変更前の利用目的と関連していなければ、利用目的と個人データの関連性は失われる可能性が高く、そのような利用目的の変更は予防的に禁止するが、それによって変更後の利用目的と個人データの関連性が担保されるほどのものではない、ということになるだろうか。
- 要配慮個人情報についての「データ品質の原則(OECDガイドライン第2原則)の法制化がなされた暁には、特別カテゴリ、すなわち要配慮個人情報の類型は、本法にとって必要でないということになる。しかし、EUの状況を鑑みるに、特別カテゴリを廃止すればGDPRの十分性認定は維持できないだろうと予想されるので、何らかの形で残すことは避けられないと考える」(79頁)、生体計測的データ(biometric dataを生体データと訳すべきでないことについて80頁)についての「中間整理では、「どのようなサービスやプロジェクトに利用するかを含めた形で利用目的を特定することを求めることが考えられる」などと記載しているが、そのようなことは全ての個人データに対して求めることである。また、「本人がより直接的に関与できる必要がある」として、「事後的な利用停止を他の保有個人データ以上に柔軟に可能とすることが考えられる」などとも記載しているが、それで問題が解決するとは思えない。…やったふりだけの実効性のない規制になるなら今はやめておくべきである。」(80頁)は思わず笑ってしまったが、妥当な指摘だと思われる。
- 上記に関連して、職安法3条が特定の属性による差別を禁止しているように見えて、実は関連性を問題としている可能性について、利用目的による制限には既に関連性原則が含まれているのではないか―公正な採用選考の基本・職安指針・業務要領について - Mt.Rainierのブログ。データの内容ではなく文脈(≒当該データが処理される目的との関連性)が重要であることについては、高木・情報法制研究16号112〜121頁参照。
