個情法3年ごと見直しに関して、2月下旬〜3月初め頃に有識者から提出された意見書が公開されていましたので、重要と思った部分を紹介していきます。その際、那須翔「個人情報保護法の論点」の関係箇所を示すことにします。
なお、各意見書は、形式的には「「個人情報保護法 いわゆる3年ごと見直しに係る検討」 の今後の検討の進め方について」(令和7年1月22日)を対象としているものの、その後、意見書の提出(2月下旬に期限が設定されていたのでしょうか。)までの間に個情委が順次「個人情報保護法の制度的課題に対する考え方について(個人データ等の取扱いにおける本人関与に係る規律の在り方)」(令和7年2月5日)、「個人情報保護法の制度的課題に対する考え方について(個人データ等の取扱いの態様の多様化等に伴うリスクに適切に対応した規律の在り方)」(令和7年2月19日)を公表したため、実質的には「個人情報保護法の制度的課題に対する考え方について」(令和7年3月5日)(2月の2本の資料と比較して新規なのはエンフォースメントの箇所のみ)に対する意見ともなっているものと思われます。
石井先生
プロファイリングについては、EUの法令の中でも様々な規律が課せられるようになっていますし、機微情報を用いたプロファイリング、こどもの情報を用いたプロファイリングを含め、検討を深める必要があると考えます。
→論文1頁、13頁
行政機関等についてもこどもの情報の取扱いに関する規律を及ぼすことには賛成です。また、公立学校に通うこどもの情報を民間事業者が提供する学習用アプリ等を通じて取り扱う場合は、教育委員会(学校)が当該情報を責任を持って管理する体制が必要と考えます。
→論文5頁
板倉先生
いわゆるクラウド例外(個人情報保護法Q&Aの7-53,「当該クラウドサービス提供事業者が,当該個人データを取り扱わないこととなっている場合とは,契約条項によって当該外部事業者がサーバに保存された個人データを取り扱わない旨が定められており,適切にアクセス制御を行っている場合等が考えられます.」)については,事業者(ないしこれに助言する者)の我田引水的な解釈が目立つ。/GDPRに対応したプライバシーポリシーではProcessorであることを自認しているのに,個人情報保護法との関係では「取り扱っていない」と強弁するなどの場面にも遭遇する(特に,海外のクラウドベンダーの代理店)。/欧州との相互認証にも鑑み,対日本と対欧州での二枚舌は許されるべきではない。/「個人データを個人データとして取り扱わない」場合にのみ適用されるとの趣旨を明確にし,類似の場面(記憶媒体の修理,倉庫,宅配等)と合わせて整理すべき。
→論文6頁
委託先であるビッグテックを「監督」しているというのはフィクションに近いが,クラウドサービスを利用した方が安全管理措置としてレベルが高いという現実がある。「委託先の監督」そのものであるかはともかく,総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン(令和6年10月版)」で示されているような要素(内部規定の整備,約款等からのリスク判断)を参考に,適切な対応を示すことは重要ではないか。
→論文6頁
「統計情報等の作成にのみ利用されることが担保されていること等(注2)」の方向性について、類型を想定した上で議論することが有用ではないか。/①AIモデルの作成又は学習のためのクローリング/②秘密計算等のPETsを前提とした企業同士のデータの結合/このうち、①は特段の技術を要しないが(ただし、「生成AIサービスの利用に関する注意喚起等について」別紙2「OpenAIに対する注意喚起の概要」(令和5年6月2日)(1)②③で求められているような要配慮個人情報の減少・非識別化措置については困難)、②については一般的な事業者における運用は困難である。/そのため、①については一般的な事業者が行うことを想定しても良いが、②については原則としてPETsサービスプロバイダを利用することになるのではないか。
→論文10頁。AIとPETsについては今後特にフォーカスした検討が必要だなと思っています。
注4の事例を含め賛成できるが、「契約の履行のために必要不可欠」の範囲が問題(規則に委任され程度限定列挙されるなら裸で解釈されるものではないが)
→論文11頁。「必要不可欠」も問題ですが(必要性を厳密に判断するくらいの意味だとすれば、適切だと思います。)、「契約」も問題で、利用規約に書きさえすれば潜脱できるというのでは、プラポリに書きさえすればよいという現状を大きくは変えられないかもしれない、とも思います。
「現行法上、個人情報取扱事業者は、漏えい等報告の義務を負うときは、本人への通知が困難な場合を除き、一律に本人への通知義務を負うこととなるが、本人への通知が行われなくても本人の権利利益の保護に欠けるおそれが少ない場合(注7)について、本人への通知義務を緩和し、代替措置による対応を認めることとしてはどうか。」については妥当(個人情報保護委員会への報告が行われれば適正担保は可能)
→論文ではセキュリティには意識的に触れなかったのですが、ご指摘の通りだと思います。実際、個情委への報告事項には本人への対応状況が現在でも含まれており、本人通知が必要かつ適切であるのに事業者が合理的理由なくそれを行わない場合には、個情委から行うように指導することは可能です。
「16歳」の妥当性については、(機能していていたか不明である)GLの定めと、GDPRの規律(なお、各国の実施法で年齢を引き下げられるため、実際は13歳等にしている国も多い。2023年の調査であるが、https://support.lucidhq.com/s/article/Surveying-Minors)が根拠となっているが、成人年齢である18歳より下げる理由は特にないのではないか。
→児童のデータの「取扱い」について特別の規制を課すこと自体は合理的だとしても、どこで線を引くかは別問題であり、18歳以外とする場合、民法上の行為能力制度との整合性を確保する作業が大変になりそうです。
このような(筆者注:何らかの連絡を行うことができる)記述等である個人関連情報」「仮名加工情報」「匿名加工情報」と、データベース等を構成しない情報も対象であるような記述であるが、データベース等を構成しない(少なくとも予定されていない)ものは対象となるべきではない。/また、「連絡を通じて…権利利益の侵害が発生」(注1の例)することは防がれるべき事態であるとしても、個人情報保護法で規律すべき対象なのか、適切に規律できるのかは疑問。そもそも、ほとんどの人間間の権利利益侵害は「連絡を通じて」行われる。個人情報保護委員会が、ロマンス詐欺やSNS型投資詐欺をすべて対応するというなら話は別だが、そのようなことは予定しないであろう。特定電子メール法も不要になるのではないか(外部送信規律は、当然に個人情報保護法に吸収されるべきということになる)。
→論文2頁。論文では、「EU法のダイレクトマーケティング規制と比較したとき、日本では、①不招請勧誘自体は、勧誘の方法や対象となる取引に着目した個別的な規制が志向されてきたこと、②日本法の名簿業者規制にはより組織犯罪対策的な側面があることに留意すべき」と書きましたが、①は金商法、特商法、特電法を念頭に置いており、②は、端的に言えばダイレクトマーケティング規制と詐欺対策ではスコープが異なるだろうという話です。
オプトアウトに基づく提供をしている事業者は、いわゆる名簿屋のみならず、企業情報データベース提供事業者、地図情報提供事業者等があり、後二種については、十分に聴取する必要があるのではないか(本人確認なしの提供が一切禁止されることになるため)
→この点は論文執筆時にはあまり考えられていなかったことですが、ご指摘のとおりではあります。特に、この種のDBは組織犯罪対策に使用されていることも多いところ、正当利益のような広い第三者提供事由を設けない場合、適切にすくう(そして個情委から見たときより重要なこととして、適切なガバナンスを要求する)ことが必要だろうと思います。
新保先生
今回の提案では「統計作成等であると整理できるAI 開発等を含む」とされているが、その具体的な範囲は必ずしも明確ではない。特に、以下の点について詳細な検討が必要である/① AI モデル開発のための学習データ取得と、AI が実際に運⽤段階で学習するデータの両⽅が含まれるのか/② LLM(⼤規模⾔語モデル)構築のためのデータ取得と、プロンプト⼊⼒などユーザとの対話から得られるデータの学習過程の両⽅を含むのか/③⽣成AI 等のファインチューニングも「統計作成等」に含まれるのか/「AI 開発」という⽬的によって情報を取得する場合に要件が緩和されるという解釈は理解できるが、AI 開発の多様な段階や⽅法について、どこまでが「統計作成等」に含まれるのかを明確にする必要がある。
→論文10頁。AIとPETsについては今後特にフォーカスした検討が必要だなと思っています。
AI学習データセットには多種多様な情報が含まれており、「要配慮個⼈情報が学習データに含まれていないことの証明」は技術的に極めて困難である。⼤規模データセットを網羅的に精査することは現実的ではなく、要配慮個⼈情報が含まれていることを前提とした制度設計が必要である。/⼀⽅で、要配慮個⼈情報を含むデータセットをAI開発に利⽤する場合、差別的なAIの⽣成リスクなど特有の問題が⽣じうる。こうした問題に対処するための技術的・組織的措置についても検討すべきである。
→論文11頁、8〜9頁。
「AIの学習データであり、統計情報の作成のみに利⽤される」ことをどこまで担保できるかという問題がある。例えば、AIを活⽤したRAG(Retrieval-Augmented Generation)により個⼈情報データベースを構築することも技術的には可能である。このような「顧客名簿作成のためのデータ取得」は、明らかに統計情報の作成ではなく「個⼈情報データベース等を作成するための処理」であり、同意要件緩和の対象外であるべきだが、その線引きと実効性の担保⽅法が課題となる。
→論文では(批判が目的ではなかったので)書きませんでしたが(その代わりに10頁で非決定利用と特に断りなく読み替え、その前提で話を進めています)、ご指摘のとおりだと思います。「統計情報の作成等」の範囲は、最終的に明確にされる必要があり、そうでないと、「統計情報の作成等である」という強弁を許すことになる気がします。
グローバルなAI開発環境においては、国境を越えたデータ移転が不可避であり、以下の点に留意する必要がある/①海外サーバでのAI開発を⾏う⽇本企業の場合、「統計作成等」⽬的であっても、外国移転規制(法第28条)との整合性をどう図るか/②国外の事業者が⽇本国内でAI開発を⾏う場合、⽇本の個⼈情報保護法の適⽤(域外適⽤を含む)と、当該事業者の本国法との関係をどう整理するか/③国際的なデータ移転に関するセーフガードとして、どのような措置が求められるか/特に、法第28条にいう「相当措置」に基づく外国の第三者への提供について、AI開発の⽂脈でどのように適⽤するかを明確にする必要があるとともに、その継続的な実施を確保するための措置(法第28条第3項)についても検討を要する。
→論文ではパンドラの箱だと思ったので敢えて踏み込みませんでしたが、越境移転規制は重要な問題だと思います(特に自由貿易が後退し、データ保護法を関税に対する報復として利用することが検討されているこの時代には。一方で、明らかに日本で事業を行っている米国企業を外国企業判定している例も多いような…)。
当該例外規定が悪⽤され、本⼈の予測を超えた第三者提供の連鎖が⽣じることを防⽌するための措置も重要である。具体的には以下の点について考慮すべきである。/①第三者提供の事実を本⼈が認識できるような情報提供の仕組み/②提供先での利⽤⽬的の制限と遵守状況の確認⽅法/③提供する個⼈データの項⽬の必要最⼩限化/特に、複数の事業者が関与するサービス提供過程において、本⼈にとって予測可能性を確保し、透明性を⾼める⼯夫が求められる。
→ご指摘のとおりであり、契約履行のための第三者提供が行われる場合において利用目的による制限や保有個人データに関する事項の公表等をどのように適用されるかは、検討しておく必要があるだろうと思います。なお、その際、論文10頁で指摘した、仮名化されたデータが提供先で個人データに該当しなくなる問題についても、検討しておく必要があるだろうと思います。
高木先生
近頃では、AI開発と言えば生成AIの開発を指すかのような世の論調もあるが、数年前までは、個人に関係し得るものとしては、個人データを入力とした機械学習に基づき個人に対する何らかの判定器を開発することを指すことが一般的であった。EUのAIActも2021年の欧州委員会提案時点ではそちらが想定されていた。そちらのAIをここでは「生成AI」から区別して「個人処理AI」あるいは単に「処理AI」と呼ぶことにする。/注1に「統計作成等であると整理できるAI開発等を含む」とある「AI」は、生成AIのことを指しているようでもあり、処理AIを指しているようでもあり、これらを区別することは、次の点で重要である。「本人同意なき個人データ等の第三者提供及び公開されている要配慮個人情報の取得を可能としてはどうか」との記載のうち、「公開されている要配慮個人情報の取得」とあるのは、生成AIを対象にした場合の話であり、「個人データ等の第三者提供」とあるのは、生成AIではなく処理AIを対象にした話であろう。/また、注1のAI開発に限らず、「統計情報等の作成」には、「AI」と言うほどのものでもない(何をもってAIと呼ぶかはともかくとして)ものまで含めた、統計分析を想定した記述であろう。
→論文1頁、6頁〜7頁。論文では(批判が目的ではなかったので)書きませんでしたが、ご指摘のとおりであり、統計と生成AIと処理AI(個人的には「識別AI」と呼んでいます)は区別する必要があります。
このことは、昨年6月12日の委員会ヒアリングの際に提出した意見書でも、「1.3 要配慮個人情報の取得」の節で、「この意見で指摘したいのは、個人情報データベース等に登録することを予定していない個人情報の取得についてまでもが、本当に個人情報取扱事業者の義務に係るのかという疑義(後述)である。」として指摘している。言い換えれば、そもそも、生成AI開発における学習への入力に要配慮個人情報が含まれることがあっても、「統計情報等の作成にのみ利用される」のである限り、元々現行法は何ら義務の対象にしていないということである。
→論文3頁、11頁。論文3頁注38が言っているのは、高木意見書2頁注2と同じことです。
このように、生成AI開発、検索エンジン、クラウドのいずれの場合も、「個人データを取り扱わない」という点で共通しているのであるから、これらに一貫する規律とするべきではないか。Q&Aで解釈を示すことも考えられるが、法律によって規定する必要があるのであれば、この際、クラウドや検索エンジンについても含まれる形で規定してはどうか。
→すぐにはコメントが浮かびませんが、新規かつ重要な提案であると思います。
処理AI開発及び統計分析の場合にも、「統計情報等の作成にのみ利用されることを担保する」点では、前節の生成AIの場合と共通であるが、こちらの場合は、前節と異なり、個人データの提供を受けて、「個人に関する情報」として処理するものであるから、個人に関する情報に対する義務として、「統計情報等の作成にのみ利用されることを担保する」べきである。/その方法として、注2は、「提供元・提供先……における一定の事項の公表」、「統計作成等のみを目的とした提供である旨の書面による提供元・提供先間の合意」、「提供先……における目的外利用及び第三者提供の禁止」を義務付けることを想定していると記載しており、公表と合意について異論はないが、目的外利用の禁止、第三者提供の禁止については議論の余地がある。まず、禁止義務を課す際に、名宛人に何を指定するのか。この目的で提供されるデータを例えば「統計目的提供情報(統計目的提供情報データベース等を構成するものに限る)」などと定義して、「統計目的提供情報取扱事業者は、」などと規定することが考えられるが、またしても新たな情報類型を増やすことになり、不評を買うことになるのではないか。/あるいは、仮名加工情報の規律を拡張することも考えられる。仮名加工情報はその禁止規定から、結局のところ「統計作成等」の目的でしか使いようのないものとなっているのだから、今回の趣旨に概ね整合する情報類型である。現行法の仮名加工情報では、第三者提供が禁止されているところ、今回規定する範囲内に限っての提供を認める規律が考えられる。
→論文10頁
このように、安全管理措置としての仮名化を前提とした統計目的の利用は、匿名化に求められる再識別の禁止とは異なる規律で設計されるべきものであり、この際、現行の仮名加工情報の禁止規定の見直しも含めて検討されたい。
→識別性の解釈が適切なものとなっておらず、そのことが仮名加工情報の規律を歪めている例ではないかと思います(論文2頁〜3頁、11頁注105)。
「人の生命、身体又は財産の保護のための例外規定及び公衆衛生の向上又は児童の健全な育成の推進のための例外規定」の「本人の同意を得ることが困難であるとき」との要件について、「事業者・本人の同意取得手続に係る負担を軽減」するとの観点から、「相当の理由があるとき」を加えることが提案されているが、「手続きに係る負担」が課題とされているように、これは、統計目的で大量に収集する必要がある場合や、「本人に代わって提供」するなど「本人の意思に反しない」場合が想定されているのではないか。そうであれば、前記のA1(1)と(2)の導入によって解決するものではないか。
注5に「例えば、(略)本人のプライバシー等の侵害を防止するために必要かつ適切な措置(氏名等の削除、提供先との守秘義務契約の締結等)が講じられているため、当該本人の権利利益が不当に侵害されるおそれがない場合等が想定される。」との記載があるが、第三者提供の制限や目的外利用の禁止は、プライバシー侵害の防止(秘密保持の利益)のためだけではなく、不適切な措置又は決定に利用されることの防止のためでもあることから、単に「氏名等の削除、提供先との守秘義務契約の締結等」の措置で許されてよいものではない。必要なのは、前記のA1(1)で述べたように、「措置又は決定を裏付ける利用の禁止」である。
「臨床症例の分析が必要不可欠であり、病院等の医療の提供を目的とする機関又は団体による研究活動が広く行われている実態がある」と記載されているが、統計目的の研究については、前節と同様に、前記のA1(1)の実現によって解決するのではないか。統計目的でない研究(介入研究)については、もとより本人同意(インフォームドコンセント)を要するし、「臨床症例の分析」には、統計目的でも介入研究でもないものがあるかもしれないが、同意を得ることに支障があるわけではないのではないか。これらに該当しない状況があるのであれば、具体的に示して検討するべきではないか。
「学術研究例外に依拠することができる主体である「学術研究機関等」に、医療の提供を目的とする機関又は団体が含まれることを明示することとしてはどうか。」として、注6に「病院や、その他の医療の提供を目的とする機関等(診療所等)が含まれることが想定される」とされているが、これらの機関が、「臨床症例の分析」を行うに際して、「人を対象とする生命科学・医学系研究に関する倫理指針」に従うことになるのか。倫理指針に従わない者は、学術研究例外に含めるわけにはいかないのではないか。
→論文11頁
