以下の内容はhttps://techlawyer.hatenablog.jp/entry/2025/02/20/021204より取得しました。

「個人情報保護法の制度的課題に対する考え方(案)について(個人データ等の取扱いの態様の多様化等に伴うリスクに適切に対応した規律の在り方)」について

個人情報保護

個人情報保護法の制度的課題に対する考え方(案)について(個人データ等の取扱いの態様の多様化等に伴うリスクに適切に対応した規律の在り方)」について書いていきます。

 

前提

  • 本文書は、2025年2月19日の第315回個人情報保護委員会の資料として公開されたもので、「「個人情報保護法いわゆる3年ごと見直しに係る検討」の今後の検討の進め方について」(同年1月22日)の「3 制度的な論点の再整理について」(7頁)において示された3つの項目のうち、「(2) 個人データ等の取扱いの態 様の多様化等に伴うリスクに適切に対応した規律の在り方」の中に記載された各論点について、「想定される具体的な規律の方向性に関する考え方等を示すもの」です。「今後、本文書の内容も踏まえつつ、ステークホルダーとの議論を続けていく」こととされています。
  • 「(1)個人データ等の取扱いにおける本人関与に係る規律の在り方」については、今月5日に「個人情報保護法の制度的課題に対する考え方(案)について(個人データ等の取扱いにおける本人関与に係る規律の在り方)」が公表されています。これについては、今月7日の記事で若干のコメントをしています。
  • 今回の考え方案は、「1 特定の個人に対する働きかけが可能となる個人関連情報に関する規律の在り方」、「2 本人が関知しないうちに容易に取得することが可能であり、一意性・不変性が高いため、本人の行動を長期にわたり追跡することに利用できる身体的特徴に係るデータ(顔特徴データ等)に関する規律の在り方」、「3 悪質な名簿屋への個人データの提供を防止するためのオプトアウト届出事業者に対する規律の在り方」の3項目からなっています。端的に言えば、1はCookie等規制、2はバイオメトリックテンプレート規制、3はオプトアウト事業者が第三者提供を行う際の確認義務です。
  • 今月7日の記事では考え方案の記載を転記した上でコメントしましたが、今回は転記したら量が膨大になってしまったので、省略します。

 

個人関連情報の適正取得義務・不適正利用禁止

  • 「特定の個人の所在地(住居、勤務先等)、電話番号、メールアドレス、CookieID等の記述等…を含む個人関連情報等」(注3参照)を、「特定の個人に対して何らかの連絡を行うことができる記述等」と位置づけ、適正取得義務・不適正取得禁止規定の対象としようとするものです。
    • その根拠として、①「当該個人への連絡を通じて当該個人のプライバシー、財産権等の権利利益の侵害が発生し…得る」こと、②「当該記述等を媒介として秘匿性の高い記述等を含む情報を名寄せすることにより、プライバシー等が侵害されたり、上記連絡を通じた個人の権利利益の侵害がより深刻なものとなったりするおそれ」の2つが挙げられています。
    • ①の具体例としてフィッシング(注1)、②の例として「オンラインメンタルヘルスカウンセリングサービスを運営する事業者が、ユーザーから取得したメールアドレス及び健康情報を、治療支援等のためにのみ利用し第三者に共有しない旨等を約していたにもかかわらず、広告目的で第三者に提供する事例」(注2)が挙げられています。
    • この提案は、中間整理第2の1(1)イ(特にPDF下部に記載されたページ番号で6頁第2段落)を具体化したものと思われます。
  • 「特定の個人に対する連絡」は、EU法では、ダイレクトマーケティングとして上乗せ規制がされています。すなわち、GDPR上は少なくともオプトアウトが必要とされており(正当利益によることも可能ですが、通常であれば利益衡量が必要な異議権が、ダイレクトマーケティングについては無条件とされています。)、ePrivacy指令が適用される場合には、オプトインが必要とされています(以上につき、前回記事参照)。これに対し、個情委の主たる関心は、詐欺防止にあり、同じ「特定の個人に対する連絡」でも、問題としている慣行が異なります
  • ①だけが問題なのであれば、個情委の提案は理解できなくはありません。Cookieによる「特定の個人に対する連絡」が何を指すのかはよく分かりませんが(通常、連絡先としては使用されないので)、オンカジの広告や詐欺広告を「騙されやすそうな人」にターゲティングして出すようなケースを考えているのかもしれません。
  • 問題は、個情委が②で名寄せに言及していることです。名寄せは個情法が対処しようとする主要なリスクの一つであり、それを問題とするのであれば、利用目的による制限をはじめとする個情法の規制の「フルセット」を適用する必要があります。つまり、(上記のような個人関連情報は「特定の」個人を識別できないとして、個人情報に該当しないとされていますが、)個人情報の定義の「特定の」を削除する(昭和63年法に合わせて「当該」に改める)べきだということです(なお、パブコメ意見では、法目的、沿革、個情委自身の一貫性の3つの根拠から、そうすべきだと述べました。国際的調和の観点からもそうすべきだと考えられます。)。
  • これまで、個人情報概念を上記のように修正する上での主要なハードルは、個人情報(個人データ)の第三者提供規制が過剰に厳格であることでした。今回、個情委は、第三者提供規制の合理化を試みており(今月7日の記事)、それが成功するのであれば、無理に「つまみ食い」する(令和2年改正で導入された個人関連情報の第三者提供規制はその例です。)必要はないはずです。
  • 一方、「オンラインメンタルヘルスカウンセリングサービスを運営する事業者が、ユーザーから取得したメールアドレス及び健康情報を、治療支援等のためにのみ利用し第三者に共有しない旨等を約していたにもかかわらず、広告目的で第三者に提供する事例」を挙げている趣旨は、よく分かりません。というのも、そのような情報はそもそも個人情報であり、第三者提供規制が及ぶと思われるからです。

 

仮名加工情報・匿名加工情報の適正取得義務・不適正利用禁止

  • 「特定の個人に対して何らかの連絡を行うことができる記述等」が含まれる仮名加工情報及び匿名加工情報についても「同様の趣旨が当てはまる」ことから、同様に適正取得義務・不適正利用禁止規定を導入することが提案されています。
  • しかし、そもそも「特定の個人に対して何らかの連絡を行うことができる記述等」が含まれる情報が仮名加工基準や匿名加工基準を満たすのかについて、疑義があります。

 

バイオメトリックテンプレートの規制強化

  • 「顔特徴データ等」(バイオメトリックデータですが、単なる顔写真はこれに該当しないとのことなので(注7)、バイオメトリックテンプレートと呼ぶほうが適切だと思います。)について、①個人情報取扱事業者の名称等、顔特徴データ等を取り扱うこと、顔特徴データ等の利用目的、顔特徴データ等の元となった身体的特徴の内容、利用停止請求に応じる手続等を周知する義務(一定の場合は除く。注10。)、②利用停止請求権(要配慮個人情報の取得が認められるのと同様の事由がある場合を除く)③オプトアウトによる第三者提供の対象からの除外が提案されています。中間整理第2の1(1)ア(特にPDF下部に記載されたページ番号で4頁第2〜3段落)を具体化するものと思われます。
  • EU法では、この種のデータは、要配慮個人情報に相当するデータと並列に、その処理について強化された法的根拠が要求されています。一方、データサブジェクトの権利のレベルでは、特別扱いはされていません。
  • 個情委の提案は、最終的に「取扱い」が許される条件については、要配慮個人情報の取得規制のものを転用しつつ、本人の請求がない限り当該条件を満たさなくてもよいという、若干不可解な内容となっています。リスクとそれへの対応(提案されている規制の内容)が噛み合っていないのではないかと思います(指紋押捺事件判決を思い出しました。)。
  • 特に、①については、個人情報の「取扱い」全般について要求されるべき事柄であって、「顔特徴データ等」に固有のリスクとは関係がないのではないかと思います。

 

オプトアウト事業者が第三者提供を行う際の確認義務の導入

  • オプトアウト事業者が第三者提供を行う際に、受領者の氏名等及び利用目的の確認義務を課すことが提案されています。中間整理第2の1(2)(特にPDF下部に記載されたページ番号で8頁「考え方」第1、2段落)を具体化するものと思われます。
  • 名簿屋については、平成27年改正で規制が強化され、オプトアウト事業者に届出義務が課され個人情報取扱事業者全般に第三者提供を行う場合の記録義務及び第三者提供を受ける場合の確認・記録義務が課されています。なお、
    • 「届出義務」は、「届出がオプトアウトによる第三者提供の要件とされている」と言うほうが正確です。
    • 提供時の記録義務の対象は、日付、受領者の氏名等、本人の氏名等、個人データの項目、同意による場合にはその旨です。
    • 受領時の
      • 記録義務の対象は、日付、提供者の氏名等、取得の経緯、本人の氏名等、個人データの項目、オプトアウトの場合には公表がなされていること、同意による場合にはその旨です。
      • 確認義務の対象は、このうち、提供者の氏名等及び取得の経緯です。
  • 受領者にのみ確認義務が課されているのは、規制強化の背景となったベネッセ事件において、漏洩した個人データが名簿屋に売却され、流通していたからですが、提供者が違法に名簿を入手した場合だけでなく、受領者が名簿を違法行為に使用する場合も当然に考えられるのであり、提供者に確認義務を課すことは、適切だと思います。
    • 一方、現状では「提供元が不適正な利用の禁止…を適切に履行するための手段が存在しない」という記述の趣旨はよく分かりません。怪しい受領者には提供しなければよいのではないでしょうか(実際には、不適正利用とするには違法行為に使用することを知りながら提供したことを認定する必要があるが、確認義務を課しておけばその懈怠をもって介入できる、という意図なのだと思います。ただ、そうであるとしても、そもそも課徴金以外の場面で違反認定にこだわる必要はない気がします。)。
    • そもそも、確認記録義務の趣旨はトレーサビリティと説明されますが、身も蓋もない言い方をすれば、記録を捜査関係事項照会の対象とし、犯罪的な提供者・受領者の摘発に役立て、それに協力しないのであれば、名簿屋自体を共犯者として摘発する、ということなのではないかと思います。
    • この意味で、日本法の確認記録は、EU法のrecord of processing activitiesとは趣旨が異なります。第三者提供規制の趣旨からすると(権利侵害との関係で)より直接的であるはずの内部利用が記録対象になっていないことも、このことから説明できます。確認記録義務は「極悪層」対策であり、そんな人たちに内部利用を記録させても意味がないし、そういう人たちは身柄を押さえてガサ入れして警察自らが手口を解明するのだ、ということです。
  • もっとも、そうであるとすると、オプトアウト事業者に確認義務を課すだけでよいのかは、少なくとも現時点では疑問があります。すなわち、現在、第三者提供の同意を取得するにあたっては、受領者の名称も利用目的も告知する必要はなく、「第三者に個人データを提供する」ということについて同意を取得すればよいかのような実務が行われています(なお、金融分野ガイドラインでは、努力義務という形ではあるが、それでは足りないとされています。)。このような実務の背景には、契約履行や正当利益による第三者提供の制度が存在せず、同意概念を極めて緩やかに解釈しなければワークしないという事情があったのだと思いますが、これでは本人が同意したからといって何のリスク低減にもならなりません。そのため、現状の実務を前提とする限り、オプトアウトによる場合に限らず、第三者提供を行う場合全般について確認義務を課すべきではないかと思います。一方、今回の見直しで、弛緩した同意概念は適正化される可能性があり(今月7日の記事)、それが実現できるのであれば、さしあたりは、オプトアウト事業者にのみ確認義務を課すことでもよいと思います。
  • なお、犯罪インフラ対策として考えた場合、個情法の確認記録ルールの監督は極めて緩やかであり、実効性に疑問があります。個情委(及び警察)は名簿屋の実態を詳細に公表することはしていませんが、実態次第では、特商法を参考に罰則付きの業務停止命令の制度を設け、届出を受けた場合には詳細な審査を行い、法令違反を把握した場合(無届の名簿屋によるものを含む。)には業務停止命令を発出するといった対応が必要なのではないかと思います。


以上の内容はhttps://techlawyer.hatenablog.jp/entry/2025/02/20/021204より取得しました。
このページはhttp://font.textar.tv/のウェブフォントを使用してます
不具合報告/要望等はこちらへお願いします。
モバイルやる夫Viewer Ver0.14