「個人情報保護法の制度的課題に対する考え方（案）について（個人データ等の取扱いにおける本人関与に係る規律の在り方）」について

「個人情報保護法の制度的課題に対する考え方（案）について（個人データ等の取扱いにおける本人関与に係る規律の在り方）」（の特に同意原則の箇所）について書いていきます。

 

前提

• 本文書は、2025年2月5日の第314回個人情報保護委員会の資料として公開されたもので、「「個人情報保護法いわゆる３年ごと見直しに係る検討」の今後の検討の進め方について」（同年1月22日）の「３ 制度的な論点の再整理について」（7頁）において示された3つの項目のうち、「(1)個人データ等の取扱いにおける本人関与に係る規律の在り方」の中に記載された各論点について、「想定される具体的な規律の方向性に関する考え方等を示すもの」です。「今後、本文書の内容も踏まえつつ、ステークホルダーとの議論を続けていく」こととされています。
• 今回の考え方案は、「1 個人の権利利益への影響という観点も考慮した同意規制の在り方」、「2 本人への通知が行われなくても本人の権利利益の保護に欠けるおそれが少な い場合における漏えい等発生時の対応の在り方」、「3 心身の発達過程にあり、本人による関与等の規律が必ずしも期待できない子供の個人情報等の取扱い」の3項目からなっています。本記事では、このうち「1」について書きます。
• なお、前提として、EU法が個人データ処理全体について同意などの「法的根拠」を要求しているのと異なり、日本法が同意又は例外事由を要求するのは、目的外利用、第三者提供、要配慮個人情報の取得の場面に限られます。

 

統計情報等の作成の追加

• 考え方案の記載
  • 「特定の個人との対応関係が排斥された統計情報等の作成や利用はこれによって個人の権利利益を侵害するおそれが少ないものであることから、このような統計情報等の作成にのみ利用されることが担保されていること等（注２）を条件に、本人同意なき個人データ等の第三者提供及び公開されている要配慮個人情報の取得を可能としてはどうか（注３）。」
  • 「注1：（注：「統計情報等の作成」には）統計作成等であると整理できるAI開発等を含む。」
  • 「注２：個人データ等が統計情報等の作成にのみ利用されることを担保する観点等から、①(a)個人データ等の提供元・提供先及び(b)公開されている要配慮個人情報の取得者における一定の事項（提供元・提供先、取得者の氏名・名称、行おうとする統計作成等の内容等）の公表、②統計作成等のみを目的とした提供である旨の書面による提供元・提供先間の合意、③提供先及び取得者における目的外利用及び第三者提供の禁止を義務付けることを想定。」（番号は筆者による）
• コメント
  • 第三者提供制限だけであれば、注2のような代替的措置とともに例外を認めることは、合理的だと思います。一方、安全管理措置・本人の権利への対応は引き続き課す必要があると思います。
  • 要配慮個人情報の取得については、少なくとも、保護法益との関係を整理しておく必要があるように思います。要配慮個人情報の取得に関する特則は、不当な決定からの保護というよりは、伝統的なプライバシー、つまり、秘匿の利益の保護を目的とするものです。「統計情報等の作成にのみ利用されることが担保されている」場合、不当な決定のリスクは限定的ですが、秘匿の利益の保護の侵害リスクはそうとはいえないように思います。
  • なお、個人情報の取得規制は、体系的に構成することを目的とする場合に限定すべきであり、具体的には、①体系的に構成され又は構成することが予定された情報を個人データと定義するか、少なくとも、②個人情報の取扱いを対象とする規定も体系的に構成することを予定していない場合には適用されないと解釈すべきではないかと思います（そうした場合、要配慮個人情報の取得規制も体系的構成を予定する場合にのみ適用されることになります。）。

 

契約履行の追加

• 考え方案の記載
  • 「個人データの第三者提供等が契約の履行のために必要不可欠な場合を始め、目的外利用、要配慮個人情報取得又は第三者提供が本人の意思に反しないため本人の権利利益を害しないことが明らかである場合（注４）について、本人の同意を不要としてはどうか。」
  • 「注４：例えば、①本人が、事業者Aの運営するホテル予約サイトで事業者Bの運営するホテルの宿泊予約を行ったため、事業者Aが事業者Bに当該本人の氏名等を提供する場合や、②金融機関が海外送金を行うために送金者の情報を送金先の金融機関に提供する場合等が想定される。（略）」（番号は筆者による）
• コメント
  • 注4のようなケースは、従前、黙示の同意や「本人に代わる提供」として処理されてきましたが、そのことが、（利用目的特定義務が緩いことと相まって）同意概念を弛緩させ、適切な解釈適用を困難にしてきた面があります。契約履行を同意とは別に規定することで、同意を適切に解釈適用する素地が整うのではないかと思います。
  • なお、通信の秘密に関する「同意取得の在り方に関する参照文書」は個情法の同意解釈と比べると相当に厳格ですが、本来こちらが正しい「同意」なのではないかと思います。

 

生命等保護・公衆衛生等例外における同意取得困難要件の緩和

• 考え方案の記載
  • 「人の生命、身体又は財産の保護のための例外規定及び公衆衛生の向上又は児童の健全な育成の推進のための例外規定について、現行制度においては「本人の同意を得ることが困難であるとき」という要件が付されているが、事業者・本人の同意取得手続に係る負担を軽減し、個人情報のより適正かつ効果的な活用及びより実効的な個人の権利利益の侵害の防止につなげる観点から、「本人の同意を得ることが困難であるとき」のみならず、「その他の本人の同意を得ないことについて相当の理由があるとき」（注５）についても、上記例外規定に依拠できることとしてはどうか。」
  • 「注５：例えば、（公衆衛生の向上のために特に必要である一方で、）本人のプライバシー等の侵害を防止するために必要かつ適切な措置（氏名等の削除、提供先との守秘義務契約の締結等）が講じられているため、当該本人の権利利益が不当に侵害されるおそれがない場合等が想定される。（略）」
• コメント
  • 生命等保護例外と公衆衛生等例外は、それぞれ権利保護のための取扱いと公益のための取扱いの一部を規定したもので、これらを適切な範囲で拡張していくことは、EU法にいう正当利益を擬似的に実現していくことになります。困難性は既にQAで弛緩しているので、正面から位置づけることは、基本的にはよいことだと思います。
  • 「その他の本人の同意を得ないことについて相当の理由があるとき」は規範的な要件であり、仮にこの文言で立法する場合、個情委が解釈を示していく必要があります。
    •  その場合、公取委が行っているように、分野ごとに実態調査を行い、どのような個人データ処理が行われているか、それについて事業者がどのような規制上の課題を感じているか、あるいは当該課題をクリアする上でどのような法的整理を行っているかをし、個情委がそれについて見解を示していくことが有効ではないかと思います。
    • また、「人の生命、身体又は財産の保護のために必要がある」や「公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある」といってもその必要性の程度は様々であり、「相当の理由」はそれを考慮して適用する必要があると思います。
  • なお、民間同士でのAML（ないし犯罪防止、犯罪被害の拡大防止）のための情報提供は、現状だと、財産保護に必要又は何らかの法令に基づく場合と整理されているものと思いますが、公衆衛生等例外に加えてもよいのではないかと思います。

 

学術研究例外の対象者の拡大

• 考え方案の記載
  • 「医学・生命科学の研究においては、研究対象となる診断・治療の方法に関する臨床症例の分析が必要不可欠であり、病院等の医療の提供を目的とする機関又は団体による研究活動が広く行われている実態があることから、目的外利用規制、要配慮個人情報取得規制、第三者提供規制に係るいわゆる学術研究例外に依拠することができる主体である「学術研究機関等」に、医療の提供を目的とする機関又は団体（注６）が含まれることを明示することとしてはどうか。」
  • 「注６：例えば、病院や、その他の医療の提供を目的とする機関等（診療所等）が含まれることが想定される。（略）」
• コメント
  • 適切だと思いますが、医師の守秘義務や保険診療との関係は別途整理しておく必要があるように思います。