第2回データ利活用制度・システム検討会への個人情報保護委員会事務局提出資料が、個情委の考えの変化を窺わせるとてもよい資料だと感じたので、それについて書いていきます。事務局ヒアリング資料はこちらにあります。(Twitterでの投稿の転載なので舌足らず気味ですがご容赦ください…)
個情法の保護法益について
- 個情法の保護法益に関するスライドです。保護法益(その裏返しとしての個情法がカバーすべきリスク)として、さしあたり、A〜Dが考えられることが記載されています。
- 真ん中の段は、最新の高木論文(情報法制研究16号)の指摘で、これに対し個情委が一定の理解を示していることが分かります。
- 下の段の真ん中では、識別のリスクがより具体化されており、「特定の個人」の文言or解釈の修正に繋がる可能性(あくまで可能性ですが)があります。なお、仮に修正する場合、過剰な第三者提供制限も同時に修正する必要があります。
- 下の段の右側は、(A)のリスクの例だと思われます。GDPR 22条は、自動決定(プロファイリングはその例です。)のうち、法的効果又はこれに類する重大な影響をもたらすものについての追加的ないし実効性担保のための規制にすぎず、自動決定においても、関連性、正確性、十分性のような基本原則(日本法で言えば利用目的による制限、正確性確保など)がまずは重要です(Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679 (wp251rev.01))。
本人関与の意義
- 本人関与の意義に関するスライドです。①と②が対比されています。本人関与とは、同意(≒拒否権)、訂正・追加・削除請求権、利用停止請求権、それらの実効性確保手段としての通知公表義務、開示請求権を指すものと思われます。
- ②はいわゆる自己情報コントロール権説を指しているのだと思いますが、個人的には、自己情報コントロール権の論者も、論文を読むと、その実際の主張内容は①であるように感じています。そのため、(憲法13条の議論と個情法の議論は区別すべきですが、その点を措くとしても)個人情報コントロール権説or個人データ保護の権利(①)と、「宴のあと」事件型の古典的プライバシー(②?)が併存しているという理解には、実はそれほど異論はないのではと思っています。この場合、当然ながら②の対象は、客観的に秘匿性の認められる情報に限られ、②a)のように全ての個人データが対象となることはありません。
ガバナンス(エンフォースメント)について
- 「ガバナンス」とありますが、その中身は、中核的な義務規定(利用目的特定義務・利用目的による制限、不適正利用禁止、第三者提供制限)の実効性をどのように担保するかという、エンフォースメントの議論であるように思います。その前提で、本人関与と事業者自身の取組みが対比され、両者ともに課題があることが示されています。
- しかしながら、このスライドからは個情委の役割が抜け落ちていると感じます。本人と事業者を並べるのは適切ではなく、むしろ、本人と個情委のそれぞれから、事業者の個人データ処理に矢印が向くのが適切だと思います。言い換えれば、事業者が個人に対して一方的に行う個人データ処理(高木・情報法制研究14号)を適正化するため、事業者に各種の義務を課し、それを本人関与と個情委の監督が相互補完的にエンフォースするのが現行法だと思います(個情委はガバナンスの一翼を担う存在でもあるという宍戸委員の指摘は、そのように理解すべきではないかと思います)。したがって、委託が行われる場合に関しても、本人関与が機能せず、委託元(data controller)の監督も機能しない委託先(processor)があるのであれば、個情委が優先的に介入すべきであり、それこそが、data controllerだけでなくprocessorを個情委の監督下に置いている意味だと思います(その上で、現行法の委託の規律がその実態に最適化されていない、つまり、個情委によるprocessorの監督を容易にするツールがもっと必要なのであれば、data controllerとprocessorを分けた上で、必要な規定を入れればよいと思います。)。
