3年ごと見直しの中間整理についてパブコメ意見を提出したので、サマリーと、引用した資料のリンクと、青で補足をつけて公開します。若干重複が多いですが、コメントが分割されてまとめられることを想定したためです。
なお、本意見(サマリーと補足を含みません)は、東京大学大学院の@Kameya1019氏と共同で検討したものです。
中間整理については何かがおかしいと思っている方は多いと思うので、オープンな議論を中身のあるものにするためにも、この記事を読んで考えたことをSNSに書いてもらえると嬉しいです!
- サマリー
- 検討の進め方について
- 法目的の明確化
- 「個人データ」、「処理」への統一
- 個人データ該当性
- 個人情報取扱事業者、委託
- 利用目的による制限(適切性・関連性、特定義務)
- 正確性
- 処理の法的根拠と第三者提供
- 同意
- 事業者の実態調査、体制整備義務、課徴金
- 生体データ、DPO/DPIA、行政機関等の監視
サマリー
- 見直しは、①法目的を明らかにし、②基本概念や(GDPRの基本原則に相当するような)根幹となる義務規定のあり方を検討した上で、③個別の追加的ルールやエンフォースメントのあり方について検討するという順序で行うべきである。
- 法目的として、昭和63年法制定時に示された、誤った情報・不完全な情報により誤った判断がなされない利益を明確に位置づけるべきである。
- 「個人情報の取扱い」は「個人データの処理」に改めるべきである。
- 個人データの識別性は、文字通りの識別性によって判断すべきである。Cookieを識別性なしとしたり、生体データを「認証」に用いるものに限定するのは誤りである。
- ControllerとProcessorを法律上区別すべきである。
- 利用目的による制限の規定に適切性・関連性を明記し、特定義務及び必要性・適切性・関連性をより厳密に適用すべきである。
- 正確性には、事務処理の誤りの回避だけでなく、収集、分析等における正確性確保のための措置を含むこと明確にすべきである。
- 個人データ処理に法的根拠を要求し、第三者提供規制は廃止すべきである。法的根拠には正当利益、契約履行・締結を含めるべきである。
- 同意は、自由意思に基づき、十分な情報提供を受けた上でのものでなければならないことを明確にすべきである。
- 事業者に対する監督にあたっては、体制整備義務を課すとともに、実態調査を行い、見解を公表すべきである。課徴金は、個別の漏えい等や違反行為の結果責任を追及するのではなく、体制整備の状況を考慮して課すべきである。
- 行政機関等に対し、DPOの選任を義務付け、ハイリスクな個人データ処理についてDPIAの実施と事前届出を義務付けるべきである。特に法執行機関や公立学校による生体データ処理等について、資料提出・説明要求、法制上の措置の提案、基本原則に従った規則制定の勧告等を中心とする監視活動を行うべきである。
検討の進め方について
(該当箇所)
第1
(意見)
検討は、①個情法の目的を明らかにし、②個人データ概念、処理概念、個人情報取扱事業者概念、同意概念、根幹となる義務等のあり方を検討し、その上で、③個別の追加的ルール(生体データ、児童のデータ等)やエンフォースメントのあり方について検討するという順序で行うべきである。
立案や施行のためのリソースが不足する場合、スケジュールの見直しや段階的な施行を検討すべきである。
(理由)
中間整理には、「社会的反響の大きかった事例」で何らかの形で個人情報に関連するもの(破産者マップ、特殊詐欺対策、電気事業者の事案等)、外国法にあって日本法にない規律(生体データ、児童のデータ等)、エンフォースメント、事業者の要望事項が並べられており、体系性・一貫性のある検討が欠けている。
このことは、個情法の目的について、共通認識が形成されていないことに起因していると考えられる。法目的は立法指針となるものであり、それを欠いた状態で、義務規定のあり方を適切に議論することはできない。そして、根幹となる義務規定が適切な内容となっていない状態で個別の追加的ルールについて検討しても、外国の制度の表層的な移植にとどまってしまい、個人データ処理(現行個情法においては「個人情報」の「取扱い」)の適正化を十分に達成することはできない。また、そのような状態でエンフォースメントを充実させても、やはり個人データ処理の適正化を十分に達成することはできない。このような状態は、個情委の独立専門機関としての設置根拠や、3年ごと見直しの合理性にも関わる。
したがって、まずは法目的を明らかにし、根幹となる義務規定のあり方について検討した上で、個別の追加的ルールやエンフォースメントのあり方について検討するべきであり、リソースが不足する場合、スケジュールを変更するか、より個情法の根幹に関わる部分を優先的に検討すべきである。
なお、個情委の委員の再任が少ないことや、事務局の大半が出向者であり、平均在籍期間が短いことが、体系的かつ一貫性のある政策形成や法執行を阻害しているとすれば、独立専門機関としての個情委や、3年ごと見直しの存在意義に関わる事態であるから、何らかの対応をすべきである。
(補足)
中間整理の構成自体に問題があると思われるため、(一長一短があるとは思いつつ)それに沿った構成にはしませんでした。
生体データ、児童のデータについて「追加的ルール」であることを強調しているのは、生体データ、児童のデータ(そしてプロファイリング)は確かに個人データ保護の重要問題であるものの、それらの個人データ処理の適正化は、まずは根幹となる(≒GDPRの基本原則に相当するような)義務規定を適切に運用することによってなされるべきであり、追加的ルールは、その実効性を確保するための手段に過ぎないことを強調するためです。逆に言えば(提出意見でもこう言えばよかったかもしれません…)、それらの個人データ処理は、個人データ処理の本質的なリスクが顕在化するという点で、例外的と言うよりはむしろ典型的であり、現状の根幹となる義務規定(やその運用)によってそのような典型的な事例に対処ないのだとすれば、それは現状の「根幹となる義務規定」が適切なものになっていないことを示している可能性が高く、まずはその見直しを行うべきではないかと思います。
法目的の明確化
(該当箇所)
第1
(意見)
ガイドラインの改正、実態調査、法執行を通じ、個情法の目的である、個人データ処理(現行個情法においては「個人情報」の「取扱い」)による権利侵害の解釈を具体化すべきである。
個別の規定の立法・解釈や、法執行を行うべき案件の選択は、法目的を十分に考慮して行うべきである。
(理由)
法目的を明確にする重要性については、検討の方法に関して述べたとおりである。
個情法の目的については、行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律の制定過程において、①個人の秘密が公開されないこと、②誤った情報・不完全な情報により誤った判断がなされないこと、③自己の情報を知ることである旨の答弁がされており(第113回国会衆議院内閣委員会第7号、昭和63年10月13日)、これを参考とすることが考えられる。
ただし、①については、現行個情法においても、安全管理措置や第三者提供規制は(体系的に構成された)個人データのみが対象とされており、個人データ処理(現行個情法においては「個人情報」の「取扱い」)に関連しないプライバシー保護が目的とされているわけではないことに留意すべきである。
一方、②は、高木主任研究員提出資料13頁第1段落にいう「個人データ処理による個人に対する評価・決定の適切性確保の利益」であり、現在検討されている生体データ処理を適正化する(すなわち、誤り、バイアス、萎縮効果等のリスクをコントロールする)上で特に重要である。
個別規定の立法にあたっては、整備しようとする規定がこれらの法目的をどのように促進するのかを具体的に検討すべきである(板倉弁護士提出資料13頁参照)。例えば、中間整理5頁第4段落の携帯電話番号に関する裁判例は、法目的に関連しない。
個別規定の解釈にあたっては、問題となっている事象には法目的との関係でどのようなリスクがあるのかを具体的に検討すべきである。例えば、別途述べるとおり、Cookieの識別性を否定するような解釈は、法目的に適合しない。
事件選択にあたっては、有限である個情委のリソースを使用して得られる効用が最大化される、すなわち個人データ処理に起因するリスクが最小となるよう、法目的を害する程度が大きいものを優先すべきである。例えば、破産者マップ、特殊詐欺対策、電気事業者の事案等は、リクナビ事件等と異なり、個人データ処理の適正化という観点からは個情委のリソースを投入する必要性は高くない。
なお、法目的に関して、平成27年改正以来、「個人情報の保護と利活用のバランス」という表現がなされている。個人データ処理は、有用性とリスクの双方を有しており、前者は市場によって実現されるが、後者は市場に任せるのでは十分なコントロールがなされず、結果として個人データ処理の効用が最大化されない。そこで個情法が制定されたのであるから、利用者の「バランス」は、裸の利益衡量によってではなく、(コンプライアンスコストも考慮して)個人データ処理の効用が最大化される点に求められるべきである。
(補足)
最後のなお書きは、裸の比較衡量ではないと言いつつ保護と利活用を天秤にかけるような構図が広く共有されているので、そもそもそういう構図ではないはずだと思って書きました。このような発想は、稲谷先生の刑訴法の目的に関する議論(捜査によって得られる効用の最大化)に負っています。
「個人データ」、「処理」への統一
(該当箇所)
第2の4(個人情報等に関する概念の整理)
(意見)
現在「個人情報」を対象としている規定は全て「個人データ」を対象とするように改めるべきである。
これに合わせて、「取扱い」は全て「処理」に改めるべきである。
(理由)
板倉弁護士提出資料、高木主任研究員提出資料と同意見である。
そもそも、個情法は、個人情報データベース等を事業の用に供している者に適用されるところ、これは、そのような行為が個人データ処理に関連する権利侵害リスク(権利侵害リスク一般ではない。)を有意に高めるからである。そうであるにもかかわらず、一度個人情報データベース等を事業の用に供すれば、個人情報データベース等に関連しない、いわゆる散在情報の取扱いまで規制されるというのは不合理である。取得に関する規定が「個人情報」を対象としているのも、「いずれ個人情報データベースに記録され「個人データ」となるものであっても、取得段階では「個人情報」の状態であることによる」ものにすぎない(園部逸夫=藤原靜雄編『個人情報保護法の解説 第三次改訂版』149頁(ぎょうせい、2022))。したがって、法目的を考慮して合理的に「仕組み解釈」を行えば、現行個情法で「個人情報」が対象とされている規定も、個人データである個人情報又は個人データとして取り扱われることが予定されている個人情報にしか適用がないと解すべきことになるはずである。しかしながら、このような解釈をしなければならないこと自体無用なコストであるから、法文自体をそのような内容に改めるべきである。
(補足)
上記の解釈については、Google Mapsの個人情報DB等該当性を否定した判決の含意/個情法18条~21条は散在情報を対象としていない可能性について - Mt.Rainierのブログ及びそこに引用した高木先生のブログをご参照ください。
個人データ該当性
(該当箇所)
第2の1の(1)のア(生体データ)、第2の1の(1)のイ(不適正利用、特に個人関連情報)、第2の4(個人情報等に関する概念の整理)
(意見)
個人情報の定義中「特定の個人を識別することができる」を「当該個人を識別することができる」に改めるべきである。
(理由)
「特定の個人を識別することができる」とは、社会通念上、一般人の判断力や理解力をもって、生存する具体的な人物と情報との間に同一性を認めるに至ることができることをいうとされている(Q&A 1-1)。ここでは、「特定の個人」が「具体的な人物」と、「(当該)人物と情報との間に同一性を認めるに至ること」が「識別」と言い換えられている。この結果、電話番号、メールアドレス、Cookie IDは個人情報に該当しないとされ(中間整理6頁第2段落)、また、個人識別符号である生体データに関する個情法施行規則2条の「特定の個人を識別することができる水準」が、単なる正解率を超えて、認証を指すものとされている(ガイドライン通則編2-2、中間整理3頁の「我が国の現状等」の第1段落)。
しかしながら、①このような解釈は、個情法の目的(特に誤った情報・不完全な情報により誤った判断がなされないこと)に適合しない。例えば電話番号、メールアドレス、Cookie IDであっても、事業者はそれらによって本人一人ひとりに応じた対応をすることができ、そこに権利侵害リスクが存在する。そのため、「特定の」の文言が上記のような狭い意味での「特定の」(比喩的に言えばcertainではなくspecifiedな)個人の識別を要求していると解釈することは不合理な限定解釈であり、文字通りの識別で足りるとすべきである(第287回委員会議事録11頁最終段落以降の山本教授の意見、令和2年改正時の第105回委員会議事録18頁最終段落以降における高木主任研究員の意見、堀部政男ほか「個人情報保護法制のグローバルダイナミズム」情報ネットワーク・ローレビュー13巻1号157頁における石井専門委員の発言参照。29WPのOpinion 4/2007(注:個人データ概念に関する意見書。29WPは29条作業委員会の略で、後述のEDPBの前身です。GDPRの前身であるデータ保護指令29条に基づいて設置されていたため、このように呼ばれています。)も、識別性を、個人をdistinguishできるとか、single outできることと説明している。)。このことは、現在規制強化が検討されている生体データについても当てはまる。すなわち、EDPBのGuidelines 05/2022(注:法執行領域における顔識別技術の使用に関するガイドライン。EDPBは欧州データ保護会議の略で、GDPRの一貫性ある適用を確保し、データ保護当局間の協力を促進するための組織です。自ら法執行は行いませんが、ガイドラインの公表や欧州委員会に対する意見陳述等を行います。)の2.2は、顔識別技術の利用態様には、認証(authentication)と識別(identification)があることを示し、それぞれにリスクがあることを示しているが、上記の解釈の下では、このうち後者が規制対象ではないことになってしまい(実際、中間整理3頁の「考え方」の第1文はそのことを示唆している。)、規制強化の意味が大幅に減殺されてしまう。
②上記のような解釈は、沿革の観点からも適切ではない。すなわち、行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律においては、「特定の個人」に相当する文言は、「当該個人」とされていた。個情法(及び行政機関個情法)の検討過程で「特定の個人」に変更されたが、規制対象を狭める趣旨ではなかった(高木浩光「個人情報保護から個人データ保護へ ―民間部門と公的部門の規定統合に向けた検討(2)」情報法制研究2号88頁)。
さらに、③個情委も、既に上記のような解釈を貫徹はしていない。すなわち、「犯罪予防や安全確保のための顔識別機能付きカメラシステムの利用について」31頁においては、「カメラにより顔画像を撮影し、当該顔画像から顔特徴データを抽出することは個人情報の取扱いに当たる」とされている。「特定の」を上記の意味に解釈した場合、そこに示されたデータベースの項目例について、識別性を認めることは困難なはずであり、ここでは識別性は文字通りの識別で足りると解されている(同文書で参考とされたEDPBのGuidelines 3/2019(注:ビデオ機器を通じた個人データの処理に関するガイドライン)や、ICO・CNILの文書が上記の29WPのOpinion 4/2007(注:個人データ概念に関する意見書)を前提としているからだと思われる。)。
以上のような現状は、「特定の」の解釈を改めることによっても是正することができるが、そもそも「特定の」には実質的な意味はないのであるから、疑義を避けるため、削除すべきである。
個人情報取扱事業者、委託
(該当箇所)
第2の4(個人情報等に関する概念の整理)
(意見)
GDPR、中国法、韓国法等を参考に、個人情報取扱事業者を、GDPRのController(個人データ処理の目的と手段を決定する者)に改め、新たにGDPRのProcessor(Controllerに代わって個人データを処理する者)に相当する者を定義し、Controllerに相当する事業者がProcessorに相当する事業者を使用する場合の義務と、Processorに相当する事業者の義務を、それぞれ個情法に明確に規定すべきである。
個情法又はガイドラインを改正し、GDPRのJoint Controllerに相当する規定を設けるか、共同でControllerに相当する事業者に該当する場合があることを記載すべきである。
(理由)
現行個情法において、Controllerに相当する事業者とProcessorに相当する事業者は、利用目的による制限、委託、漏洩報告、保有個人データなど、個情法のほぼ全般に渡って異なる規律を受けているにもかかわらず、いずれも「個人情報取扱事業者」とされている。そして、Processorに相当する事業者は、Controllerに相当する事業者と異なる様々な規律を受けるにもかかわらず、それらは主としてQ&A(ガイドラインですらない。)に記載されている。このような立法例は特異である。
教育データ利活用等の分野において、①Controllerに相当する事業者となるべき者が自らは個人データ処理(現行個情法においては「個人情報」の「取扱い」)をしていないと誤解したり、②Processorに相当する事業者がControllerに相当する事業者としても行動することにより、委託に関する規制を潜脱している疑いのあるケースが見られるが、これらは、個情法上、Controllerに相当する事業者とProcessorに相当する事業者が明確に区別されていないことが影響していると考えられる。
したがって、それらを法文上明確に区別し、それぞれの責任を明らかにすべきである。
また、GDPRのJoint Controllerは、第三者提供規制の例外にすぎない日本法の「共同利用」と異なり、むしろ、特定のデータ処理活動に、2以上のControllerを認定し、連帯責任を課すことに主眼がある(刑法の共同正犯に類似し、その目的は中川教授提出資料の第三者命令と重なる。EDPBのGuidelines 07/2020(注:GDPRにおけるcontroller及びprocessor概念に関するガイドライン)の3、CJEU(注:EUの最高裁判所に相当する機関。加盟国裁判所においてGDPRのようなEU法の解釈が問題となった場合、問題がCJEUに付託され、CJEUが統一的な解釈を示す。)のFashion ID事件判決(注:注:ECサイトを運営するFashion ID社が、同サイトにFacebookのいわゆるソーシャルプラグインを設置していた事案で、Fashion ID社とFacebook社がjoint controllerとなるとされた。)参照)。①を避けるためには、これに相当する規定を置くか、個人情報取扱事業者の認定方法に関してそれに相当する解釈を示すことが適切である。
(補足)
問題意識については、教育データ利活用と個人情報保護 - Mt.Rainierのブログ、スタディサプリの件について - Mt.Rainierのブログを参照。
①はデジ庁の件を指しています。これについては、1個目の記事に引用した資料・記事、特にニッポンの教育ログを考える——プライバシーフリーク・カフェ#16(後編) - Cafe JILISをご参照ください。
②はスタディサプリの件を指しています。2個目の記事のほか、小中学校の学習端末利用で児童生徒の情報をアプリ業者が直接取得・管理…文科省が全国調査へ : 読売新聞、[データは誰の手に]「子供の情報どこでどう使われているのか」…学習端末巡り保護者から不安の声 : 読売新聞をご参照ください。
また、教育データ利活用全般について、石井先生のタイムリーなインタビュー記事である、教育データの利活用は抑制的に。子供の視点で考えることが大事——中央大学 国際情報学部 教授 石井 夏生利氏インタビュー:教育とICT Onlineをご参照ください(提出直前に見たので反映できませんでしたが、生体データ規制を「触媒」に根幹となる義務規定についていろいろ書いたように、児童データについてもそうすべきだったと思っています)。
利用目的による制限(適切性・関連性、特定義務)
(該当箇所)
第2の1の(1)のア(生体データ)、第2の4(プロファイリング)、第2の1の(1)のイ(不適正利用)
(意見)
GDPR5条1項(c)を参考に個情法又はガイドラインを改正し、利用目的による制限には、必要性だけでなく、適切性(ないし十分性)及び関連性が含まれることを明らかにすべきである。
ガイドラインを改正し、利用目的の特定、必要性・適切性・関連性をより厳密に適用すべきことを示すべきである。
(理由)
個人データの不適正処理(現行個情法においては「個人情報」の「取扱い」)には、誤りやバイアスへのセーフガードを伴わない態様での個人データ処理が含まれる(このような権利侵害の防止は、現在検討されている生体データ処理を適正化する上で特に重要である。EDPBのGuidelines 05/2022(注:法執行領域における顔識別技術の使用に関するガイドライン)を参照)。しかしながら、必要性だけではそのような権利侵害を十分に防止できず、適切性・関連性をも要求する必要がある。
利用目的による制限は、個情法の根幹であり(園部逸夫=藤原靜雄編『個人情報保護法の解説 第三次改訂版』146頁(ぎょうせい、2022))、今後積極的な法執行の対象とすべきである(例えば中間整理5頁第4段落の二段階認証用の情報をターゲティング広告に利用した例は、端的に利用目的による制限違反とすべきである。)。そのためには、司法審査に耐えうるよう、解釈を精緻化すべきである(このことは、一般条項である不適正利用禁止規定の謙抑的運用につながり、予測可能性にも資する。)。
なお、GDPRにおいては、自然人を一意に識別するための生体データ処理(9条)や、法的効果又はこれと同等の法的効果をもたらす自動化された個人に対する意思決定(22条)について特別の規制が課されているが、これらはあくまで基本原則(5条)に追加して、その実効性確保のために課されるものである(EDPBのGuidelines 05/2022(注:法執行領域における顔識別技術の使用に関するガイドライン)、29WPのWP251 rev.01(注:規則2016/679における自動化された個人に対する意思決定及びプロファイリングに関するガイドライン。規則2016/679はGDPRである。)を参照)。
正確性
(該当箇所)
第2の1の(1)のア(生体データ)、第2の4(プロファイリング)
(意見)
ガイドラインを改正し、正確性には事務処理の誤りを回避するだけでなく、収集、分析等における正確性確保のための措置を含むことを明記すべきである。
(理由)
生体データ処理やプロファイリングの適正化においては、上記の意味での正確性が重要であるため(EDPBのGuidelines 05/2022(注:法執行領域における顔識別技術の使用に関するガイドライン)、29WPのWP251 rev.01(注:規則2016/679における自動化された個人に対する意思決定及びプロファイリングに関するガイドライン。規則2016/679はGDPRです。)を参照)。
処理の法的根拠と第三者提供
(該当箇所)
第2の1の(1)のイ(不適正利用)、第2の1の(2)(オプトアウト等)、第2の3(本人同意を要しないデータ利活用等)
(意見)
GDPR6条を参考に、個人データの不適正処理(現行個情法においては「個人情報」の「取扱い」)全般に法的根拠を要求し、第三者提供規制を廃止すべきである。
処理の法的根拠には、同意及び現行個情法27条1項各号の事由だけでなく、契約履行・締結、正当利益を含めるべきである。
(理由)
現行個情法は、個人情報の取扱いには法的根拠を要求しておらず、第三者提供についてのみ、GDPR6条と比較して狭い例外事由(法的根拠)を定めている。特に、契約履行・締結、正当利益が存在しないため、事業者は、無用な負担をするか、技巧的で不安定な解釈に依拠するか、施策自体を断念するかの選択を強いられている(板倉弁護士提出資料5頁参照)。もっとも、単純に第三者提供の例外事由を拡大した場合、受領者が当初の利用目的に拘束されない結果、本人に予測困難なリスクが生じる可能性があり、単に例外事由のみを拡大することはできない。
GDPRは、個人データの処理全般について同意その他の法的根拠を要求しており、例えば提供者が同意に基づいて取得した個人データを受領者に提供した場合、受領者は、改めて同意を取得しない限り、提供者が取得した同意の範囲内(したがって提供者が設定した利用目的の範囲内)で当該個人データを処理しなければならない(注:GDPRに第三者提供規制はありません。)。個情法についても、これと同様の規律とすることが考えられる。
このような改正を行った場合、これまで同意を取得していなかったデータについて同意を取得しなければならない場面が生じ、事業者の負担が増える可能性もある。しかしながら、現状でも、少なくない事業者が取得段階で第三者提供の同意を取得していること、同意以外の法的根拠として契約履行・締結、正当利益を導入することを考慮すれば、大幅に負担を増やすことにはならないと考えられる。
そもそも第三者提供規制は、利用目的による制限の特則であり、第三者提供がされた場合、本人に不測の不利益を及ぼすおそれがあることから規定されたものである(園部逸夫=藤原靜雄編『個人情報保護法の解説 第三次改訂版』196頁(ぎょうせい、2022))。しかしながら、事業者による個人データ利用は(個情法制定時と比較しても)ますます高度化し、内部利用だから予測可能とはいえなくなっている(ガイドライン通則編3-1-1の※1の第2段落、第3段落はこのことを反映したものである。)一方、個人データ処理のサプライチェーンは複雑化しており、第三者提供について一律に同意原則を取ることは、個人データ処理を適正化する上で、有効とも適切ともいえなくなっている。このような立法事実の変遷という観点からも、見直しを行うべきである。
なお、このような改正を行った場合、①優越的地位の濫用事案(中間整理5頁第1段落、第2段落)は、同意に依拠している限り、端的に法的根拠を欠くと評価すればよく、②名簿の犯罪利用(中間整理5頁第4段落のなりすましSMSの事例)やオプトアウト事業者が犯罪インフラとしての名簿を提供している事例も、端的に法的根拠を欠くと評価すればよい(なお、このように、法的根拠の導入は、一般条項である不適正利用禁止規定の謙抑的運用につながり、予測可能性に資する。)。③オプトアウトに関する規制は、第三者提供規制の例外の適用要件とされているところ、独立の義務として規定することが考えられ、④共同利用に関する規制は、第三者提供規制の例外の適用要件とされているところ、解釈とするか、後述のJoint Controllerに相当する規定の中で規律することが考えられる。
同意
(該当箇所)
第2の1の(1)のイ(不適正利用、特に代替困難な事業者)、第2の1の(3)(児童のデータ)
(意見)
GDPR4条(11)を参考に個情法又はガイドラインを改正し、同意は、自由意思に基づき、十分な情報提供を受けた上でのものでなければならないことを明らかにすべきである。
(理由)
個情法は、既に、外国第三者提供に係る同意については、同意取得前の情報提供義務が課しているところ、それ以外の同意についても、上記のことは当然に要求されると考えられる(山本教授提出資料5頁「3」参照)。しかしながら、このことが十分に理解されているとはいえないため(教育データの利活用に関する有識者会議(第15回)における石井委員、個情委担当官の発言参照)、法文又はガイドライン上明示すべきである。
事業者の実態調査、体制整備義務、課徴金
(該当箇所)
第2の2の(1)(課徴金、勧告・命令)、第2の3の(2)(民間における自主的な取組の推進)
(意見)
個情委は、個別の漏えい等や違反行為に対応するだけでなく、事業者による様々な施策について、実態調査を行い、見解を公表すべきである。
事業者に対し、個人データの不適正処理(現行個情法においては「個人情報」の不適正な「取扱い」)からの個人の権利保護のための体制整備義務を課すべきである。DPOの選任及びDPIAの実施は、体制整備の例として位置付けるべきである。
課徴金を導入する場合、体制整備の状況を考慮して課徴金額を決定すべきである。
(理由)
個人データの不適正処理には様々なものがありえ、個情委は、いわゆる民間の自主的な取組みの推進によって、個人の権利保護を達成しようとしている。しかしながら、仮にDPOを設置し、DPIAを実施したとしても、どのような個人データ処理が不適正と評価されるかの基準がなければ、問題を発見することは困難である。したがって、個情委は、個情法の目的を明らかにした上で、事業者及び行政機関等(注:この「及び行政機関等」は消し忘れです。)による様々な施策の実態を調査し、法目的の観点からどのようなリスク(それは法目的に関連するものでなければならない。)があるのか、そのリスクはどのようにしてコントロールすることができるのかについて検討し、その結果を公表すべきである(宍戸教授提出資料2頁の箇条書き1点目参照)。
事業者の取組みは、事業に伴う具体的なリスクに応じて行われるべきであり、整備すべき体制の内容を法律で詳細に規定することは望ましくないが、どのような事業者も何らかの取組みをすべきことは明らかであるから、体制整備義務を課し、DPOの設置、DPIAの実施等は、ガイドライン等において、体制整備の例として示すべきである。
その上で、仮に課徴金を導入する場合、個別の漏えい等や違反行為について結果責任を追及するのではなく(曽我部教授提出資料8頁参照)、それらを防止するための体制整備を怠ったことへの制裁とし、体制整備へのインセンティブとして利用すべきである。
なお、中間整理15頁は、課徴金の立法事実として、新破産者マップ事案、名簿屋事案を挙げているが、これは適切ではない。すなわち、(注:前者については)刑事手続によっても摘発できなかった者について、課徴金を徴収することは困難である。また、後者は、犯罪インフラを提供することによって収益を上げており、課徴金が課されるからといって法令遵守へのインセンティブは持たないし、収益も当然隠匿すると考えられるから、行政上の措置である課徴金というよりは、詐欺等の共犯規定や犯罪収益規制によって対処することが適切である(そのためにオプトアウト事業者に提供時の確認義務を課し、確認内容を記録・保存の対象とすることは適切である)。
(補足)
実態調査というのは、具体的には公取委がやっているようなやり方をすべきだと思います(そちらはそちらでアドボカシーに傾倒し過ぎである旨の批判は理解しつつ)。「個別の漏えい等や違反行為について結果責任を追及するのではなく」と書いたのは、現状のようにセキュリティインシデントや同意取得義務違反を個別につついても仕方がない(それは個情委に与えられた権限とリソースの有効活用とはいえない)という趣旨です。
生体データ、DPO/DPIA、行政機関等の監視
(該当箇所)
第2の1の(1)のア(生体データ)、第2の1の(3)(児童のデータ)、第2の3の(2)(民間における自主的な取組の推進)
(意見)
要配慮個人情報を個人データの下位概念(要配慮個人データ)とした上で、定義を拡張し、生体データを含めるべきである。
行政機関等に対し、DPOの選任を義務付け、ハイリスクな個人データ処理、特に生体データの大規模な処理に関しDPIAを義務付け、これらの個情委への届出(DPIAについては対象の処理活動の実施前の届出)を義務付けるべきである。
個情委は、行政機関等による個人データ処理、特に法執行機関や公立学校による生体データ処理に関し、資料提出・説明要求(個情法156条)、法制上の措置(同法6条)の提案(個人情報保護法制以外の法令の立案への関与を要求し、個人データの適正処理のための措置を提案することを含む。)、「個人情報等の適正処理に関係する政策の基本原則」に従った規則制定の勧告(同法158条)等を行うべきである。
(理由)
生体データ処理の規制を強化する場合、公的機関による処理の適正化は特に重要な課題となるが、公的機関による生体データ処理は、法執行機関や公立学校による生体データ処理がそうであるように、本人関与による適正化が困難である場合も多い。一方で、行政機関等は、自主的に個人データの適正処理を確保することが期待されるが、そのために必要な知識又は能力を有しているとは限らない。そこで、法律で一定の体制整備を義務付けるとともに、独立専門機関としての個情委が、個別の漏えい等や違反行為への対応だけでなく、行政機関等の体制整備自体や、政府全体の体制整備ともいえる立法措置について、積極的な役割を果たすべきである(令和2年改正時の第105回委員会議事録1頁最終段落における板倉弁護士の意見、第287回委員会議事録31頁の宍戸教授の意見参照)。
(補足)
問題意識については、生体データを規制するとはどういうことか(特に警察に対する監督強化について) - Mt.Rainierのブログに書きました。