10月16日の第304回個人情報保護委員会で、「個人情報保護法のいわゆる3年ごと見直しの検討の充実に向けた視点(案)」が議論されています。この「視点」は、これまでの3年ごと見直しの方向性を(正しい方向に)大きく転換する可能性がある内容を含んでおり、注目に値しますが、取り急ぎ読んで思ったことをまとめておきます。
本人関与中心の規律モデル(6頁)
①個人情報取扱事業者が自ら利用目的を特定し、その範囲内で個人データを利用することを義務付け、通知・公表によりそれを本人が認識し、必要な関与・監視を行うとともに、本人との関わりの中で、事業者のデータの取扱い態様が必要に応じ是正され改善されるという、当事者間での自律的なガバナンスを重視する現行制度の考え方は、引き続き妥当か。利用目的の公表を通じた社会におけるモニタリングを通じて規律されることについてどう考えるべきか。
本人関与は引き続き重要であるが、本人関与には様々な限界があり、それを補うために個情委が設立された。個情委は現状ではセキュリティ以外の分野ではほとんど監督権限を行使していないが、本人関与(最終的には裁判所における権利行使)と個情委による監督が相互に補完し合うような法執行体制を構築する必要があるのではないか(独禁法の排除措置命令と差止請求権の関係が参考になる)。
法的根拠(7頁)
⑤個人データの利用目的や利用態様などからその取扱いの正当性を裏付ける基準を導入する等の実体的ルールを設けることにより、本人の関与による規律に依存せず、事業者自身による判断と事後の結果責任(本人の事後救済措置の強化等)により、適正な取扱いを担保するアプローチについて、どのように考えるか。
(1節目がGDPR 6条に相当する法的根拠を指すと仮定すると)法的根拠は第三者提供制限・不適正利用禁止規定に相当するものと理解すべきであり(境界型個人データ保護からゼロトラスト個人データ保護へ―個情法の設計思想を転換する - Mt.Rainierのブログ)、本人関与と選択的なものと理解すべきではない(なお、その上で前者に移行すべきというのが個人的な考えである)。法的根拠や第三者提供制限・不適正利用禁止規定は事業者の行為規範ないし義務規定の問題であり、一方、本人の権利行使(を含む本人関与)と個情委の措置命令(を含む監督)は当該行為規範の実効性確保手段の問題であり、両者は次元を異にする。
改善の意思がない事業者への対処(7頁)
⑦本人による関与・監視により事業者におけるデータの取扱いが改善されるためには、当該事業者が自律的に取扱いの適正化を図ろうとする意思があることが前提として必須であるが、もとより、改善の意思はなく、本人の権利利益に十分な配慮のない事業者については、本人の関与による規律には期待できず、異なる措置により、不適正な取扱いを抑止・停止することが必要か。
このような場合にこそ個情委の監督による補完が期待される。そのための監督権限としては、課徴金の他に、個人データ処理の停止命令も検討すべきである(特商法の業務停止命令、金商法・独禁法上の緊急停止命令が参考になる)。
第三者提供制限(7頁)
個人情報取扱事業者に対して本人が関与・監視することを通じた利用の適正性担保の仕組みを前提とすることから、本人の関与が著しく困難になる第三者提供を原則として禁止している。
一方、①その提供先における利用目的が特定の個人への影響を伴わない一般的・汎用的な分析に限定されるなど本人の関与を通じた規律によらない規律を導入することに合理性がある場合や、②本人にとって、提供時の認識に照らし、当該第三者に対する提供を当然のものと思うなど躊躇するとは想定されない場合、さらには、③利用目的の継承などを通じ、当該第三者への提供後も、提供前と同等に本人の権利利益の保護が図られる状態が保証される場合など、第三者提供を禁止する必要のない類型はあるか。(丸付き番号は筆者)
①は統計利用、②は契約履行等、③はGDPRの同意(受領者が同意を再取得しない場合)に基づく提供に相当するものを指していると思われる(6月12日の第289回個人情報保護委員会における「個人情報保護法3年ごと見直し令和6年に対する意見(産業技術総合研究所 高木主任研究員)」の1.1参照)。個人的には、第三者提供制限という規律モデル自体が限界を迎えており、第三者提供制限を廃止し、法的根拠を導入すべきと考えている(境界型個人データ保護からゼロトラスト個人データ保護へ―個情法の設計思想を転換する - Mt.Rainierのブログ)。
委託先の規律モデル(8頁)
②現在は、本人に対し責任を負う個人情報取扱事業者が、従業員や委託先の監督を通じて、安全確保等の義務を果たすこととなっているが、データ処理の担い手や、安全管理等の措置を講ずる権能の帰属実態を踏まえこの規律の整理は妥当か。
現在の規律モデルを変更すべき差し迫った必要性まではないと思われるが、委託先が委託元に対して取引上優越した地位にある場合には、委託元による監督が実効的に行われない可能性があることは確かである(なお、これに関して大規模保険代理店に関する議論が参考になる)。そこで、例えば、大規模なクラウドサービスプロバイダについては、個情委による直接的な監督を強化する(委託先をも個情法の直接の規制対象としたのはこのような趣旨のはずである)、社会インフラとしての最低限の規制を課し、当該規制との連携を図る(GDPRとNIS2指令の関係はこれに近い。サイバー安全保障に関する議論も参照)といったことを検討すべきと思われる。
なお、GDPRのControllerに相当する事業者とProcessorに相当する事業者は、既に解釈上(部分的には法文上)異なる扱いを受けているが、明確化のために、異なる概念として規定すべきである。
個人情報概念(8頁)
①スマートフォンの一般的普及を背景に、氏名、住所等と同様、スマートフォン等のインターネット接続端末やブラウザ等が、実質的には特定個人に対し勧誘その他の一対一の働きかけを行うチャネルとして定着。この場合、特定個人への働きかけのチャネルである端末を識別する端末識別番号やCookie情報等についても、従前の住所等と同等に、個人の権利利益を保護する上で着目すべきデータ類型であるとの視点をどのように捉えるか。
「端末識別番号やCookie情報等」が「実質的には特定個人に対し勧誘その他の一対一の働きかけを行うチャネル」だというのはそのとおりであるが、以下の点に留意すべきである。すなわち、「住所等」は、プライバシーによる保護の対象となりうるが、「端末識別番号やCookie情報等」はそうではない(プライバシーという観点からは後者は明らかに要保護性が劣っており、従前それらが個人情報に該当しないとの解釈が通用してきた背景には、そのような感覚があるのだと思われる)。むしろそれらは「特定の個人を評価・選別し、それに基づいて、特定個人に影響を与える行為」(一人ひとりの好みに応じて広告を出し分けることはその例である)に用いることができる点に有用性とリスクがある。このように、「端末識別番号やCookie情報等」と住所ではリスク(それはとりもなおさず要保護性の内実である)が異なる。
個人データ処理に関連するリスクの特定(8頁)
②法律により個人の権利利益を守る上で、その範囲については、これまで、さまざまな視点が示されていたが、その外縁や優先順位について、一定の整理は必要か。また、そのような整理に基づき制度体系の見直しを行うことは、個人の権利利益を保護する見地から有用か。例えば、以下のような視点が提起されているがどのように理解すべきか。
(A) 個人データ処理を通じ、特定の個人を評価・選別し、それに基づいて、特定個人に影響を与える行為を行うことのリスク(B) 個人データの本人到達性の機能を利用し、勧誘その他の特定個人への働きかけを行うことのリスク(C) 自身の秘匿したい領域が他人に知られるリスク(D) 自身の自由な意志に従って自身の個人データを制御できないこと自体に起因するリスク
およそ規制を考える上では被侵害利益と侵害態様が重要であるが、個情法は個人データ処理に関連する権利侵害という、侵害態様に着目した規制の体系をなしており(だからこそ被侵害利益は「個人の権利利益」ないし「個人の人格尊重」と極めてオープンな形で規定されている)、規制すべき侵害態様すなわち個人データ処理に関連するリスクを特定することは極めて重要である。
なお、「本人到達性」という概念が使用されており、これは「特定の個人」に関する狭い解釈と結びついている可能性があるが、「特定の個人」の識別と(単なる)「個人」の識別の区別に本質的な意味はなく、したがって「本人到達性」概念にも本質的な意味はない(個人情報保護法の3年ごと見直しの中間整理に対するパブコメ意見 - Mt.Rainierのブログ(個人データ該当性の箇所))。識別性があれば「個人への働きかけ」はできるのであり(一人ひとりの好みに応じて広告を出し分けることはその例である)、それに伴うリスクは、事業者が当該個人を「特定」(なお、個人情報の定義の「特定」をこのような意味で理解するのは誤りだというのが個人的な理解である)しているかどうかは関係がないからである。
なお、4頁も参照。
生体データ(8頁)
②要配慮個人情報のような、本人の差別的評価を助長するような属性はないものの、その性質上容易に取得され、かつ、それが長期にわたり本人の追跡の手掛かりとなるなど、他の類型に比較して、個人の権利利益に対するリスクの増大を助長する効果が見込まれる類型のデータについては、他のデータに比し特別な規律を課すべきか。その場合、本人の関与を通じた規律が有効か。それとも、本人の関与に依存しない規律が有効か。
生体データの保護を強化する場合、要配慮個人情報の定義を拡張するのが有力な選択肢であり、仮にそうした場合、取得について本人同意原則が取られることになる。この場合、上記のとおり、本人同意原則(を含む本人関与)は実効性確保手段の一つであり、もとより個情委の監督による補完を必要とするものであることに留意すべきである。すなわち、生体データについては、法執行機関による生体データの利用のように、性質上本人関与を認めるわけにはいかないユースケースもありうるが、このようなケースでは、個情委が積極的に監督権限を行使すべきであるが、そのことをもって、本人関与が有効でないことにはならない。