以下の内容はhttps://techlawyer.hatenablog.jp/entry/2025/01/22/224816より取得しました。

第312回個人情報保護委員会 「個人情報保護法の制度的課題の再整理」について

個人情報保護

昨日、第2回データ利活用制度・システム検討会への個人情報保護委員会事務局提出資料について書きましたが、本日の第312回個人情報保護委員会に「個人情報保護法 いわゆる3年ごと見直しに係る検討」の今後の検討の進め方について(案)」という資料と、その概要資料である「個人情報保護法の制度的課題の再整理」が提出されており、これがまたよい資料だったので、それについてそれについて書いていきます。

資料本体を参照すべきところですが、分かりやすさを優先して、概要資料のほうをベースに書きます。

 

事務局ヒアリングを踏まえて短期的に検討すべき追加論点について

  • 「短期的に検討すべき追加論点」として、3つの論点が挙げられています。これは次回の改正項目の候補と考えてよいのではないかと思います。
  • 「同意規制の在り方」は、主として第三者提供規制の緩和に関するものだと思われます。昨年10月以降、個情委は、個情法が考慮すべきリスクないし保護法益(として考えられるもの)として4種類を挙げる(さしあたり昨日の記事を参照)一方、それらに対する個情委自身の態度は明確には示していませんでしたが、「自身のデータを自由意思に従って制御できないリスク」という観点からは、スライドの①〜③は、「個人の権利利益の侵害が想定されない」とは言えない気がします。つまり、このスライドからは、個情委は「自身のデータを自由意思に従って制御できないリスク」を保護法益とは考えていないことが伺えます(このことは、昨日のスライドからもある程度読み取れたところですが、今回のスライドでより明確になったのではないかと思います)。
  • 「漏えい等発生時の対応(本人通知)の在り方」からは、個情委が、権利侵害の(具体的な)おそれを通知義務の要件とすることその他通知義務の要件を見直すことを検討していることが分かります。EU法と比較すると、日本法は、①当局報告・本人通知の要件が個情委規則で具体的に(そして必ずしも合理的ではない内容で)定められており、アドホックなリスク判断を許さない形になっていること、②当局報告・本人通知の要件が(個情法26条2項の「前項に規定する場合には」という形で)共通になっていることが特徴です。なお、①は規則改正でもある程度対応できるのに対し、②は法改正が必須です。
  • 「個人データの適正な取扱いに係る義務を負うべき者の在り方」は、具体的内容が分かりませんが(現行法でも受託者には一定の義務が課されており、個情委の監督対象となっています。)、資料本体の「個人データ等の適正な取扱いに係る義務を負うべき者の在り方を検討していく」という記述からすると、data controllerとprocessorを分離し、processorに固有の義務を正面から規定することを考えているのかもしれません(日本の他の業法でも、他国の個人データ保護法でも、委託者と受託者は区別するのが通常なので、正常化されることになります。特に、ガイドラインはパブコメが必要な運用だからなのか分かりませんが、委託に固有の規律がほとんどQ&Aに落ちている現状は、健全ではないと思います。)。

 

個人情報保護法の制度的課題の再整理

  • こちらは位置づけがよく分かりませんが、黄色ハイライト部分は1ページ目の記載項目の再掲、緑ハイライト部分は有識者検討会での検討項目、青ハイライト部分はそれ以外の項目です。青は先送りにされる可能性が高いですが、念の為コメントします。
  • 右側の2点目で、「特定の個人に対する働きかけが可能となる個人関連情報」という考え方が残っていることには、若干の疑問があります。そのような情報は、本人への連絡(そしてそれに続く勧誘)を可能にするものですが、同時に、データを用いた個人の評価・選別(昨日の記事を参照)を可能にするものでもあり、そのような評価・選別のリスクからの保護を個情法の保護法益として認めるのであれば(1ページ目の記載からは認めるように見えます。)、そのような情報はまさしく「個人情報」(個人情報概念を廃止するのであれば「個人データ」)に含まれるべきものです。なお、仮にそうするのであれば、昭和63年法に立ち返り、個人情報の定義規定の「特定の」を「当該」に改めることになります。
  • 右側の3点目で、「身体的特徴に係るデータ(顔特徴データ等)」という表現が用いられ、かつ、一意性・不変性への言及があるのは、中間整理の「生体データ」の記載と比べると、リスクへの解像度が上がっている気がします(1995年時点で最高裁が言っていたことなのですが;とはいえ最高裁もリスクの指摘はよかったもののそれとは関係がない事情で正当化を認めてしまいましたが)。ただ、そのようなデータのリスクの核心は誤りや差別であり(個情委が2023年に出した「犯罪予防や安全確保のための顔識別機能付きカメラシステムの利用について」は参考になると思います。)、当該リスクをコントロールする上で「取得時中心主義」的な要配慮個人情報規制をbiometric dataに及ぼすこと(GDPRに倣えばそうなるのだと思います。)がどれだけ役に立つかは、よく考えてほしいなと思います。ちなみに、EUのbiometric dataと比べると、「身体的特徴」は若干狭いです(典型例ではありますが)。


以上の内容はhttps://techlawyer.hatenablog.jp/entry/2025/01/22/224816より取得しました。
このページはhttp://font.textar.tv/のウェブフォントを使用してます
不具合報告/要望等はこちらへお願いします。
モバイルやる夫Viewer Ver0.14