「DSA・JILIS共催「個人情報保護法シンポジウム」」について

DSA・JILIS共催「個人情報保護法シンポジウム」を視聴したので、取り急ぎ感想をまとめておきます。

個人データの有用性への配慮と個人の権利保護を分けて考えるべきではない（「今後の検討の進め方」の2頁の上半分、中間整理の章立てに関して）。個人データ処理に関連する（「内在的な」と言ったほうが適切かもしれない）権利侵害リスクを最小化することによってベネフィットを最大化することが法目的と見るべきであり、有用性への配慮は、リスクを最小化する上で可能な限りベネフィットを阻害しない立法・解釈を取るべきという意味に理解すべきである。
「本人関与は有効か」という問題設定は生産的ではない（「個人情報保護法のいわゆる３年ごと見直しの検討の充実に向けた視点（案）」の6頁（「現行制度の基本的前提に係る再検討にあたっての視点の例」として挙げられている6点のうちの1点目）に関して）。本人関与は有効だが完全ではないことを前提に、個情委が適切に監督権限を行使し、両者を補完的に機能させることによって、個人データ処理の適正化を達成すべきである。
- 詳述すると、まず法目的があり、それに直接関連する義務規定があり、本人関与はその実効性確保の手段にすぎない。本人は保護されるべき権利利益の帰属主体であり、個人データ処理の適正化に一般にインセンティブを持つから、本人にさまざまな権利（＝利用目的の通知・公表、目的外利用や第三者提供の同意、開示・訂正等・利用停止等）を与えることには合理性があるが、様々な限界（例えば経済的限界、認知的限界）もある。これらは矛盾するものではなく、本人関与が有効に機能すると期待される場面では、可能な限り本人をエンパワーする制度を整備しつつ、そうではない場面では、個情委が積極的に監督権限を行使すべきである。
個情法が「1事業者・1サービス・1消費者」を前提としていること、その結果、①外部提供の規制が厳格にすぎ、②複数の事業者が関与するサービスに対応できず、③個人データが複数人に関わる場合に対応できていない（宍戸先生）というのはおっしゃるとおりだと感じる。個人的には、第三者提供規制と不適正利用禁止規定に代えて法的根拠を要求することは、これらの解決策となりうると考える。
- これに関連して、十分な説明なしに同意せざるを得ないという問題（古谷さん）も、「1事業者・1サービス・1消費者」（とそれを背景とする過度に厳格な第三者提供規制）の弊害だと思われる。法的根拠に置き換えた場合、同意を厳格に判断し、説明が不十分なケースや、相互に不可欠とはいえない処理について「抱き合わせ」で同意を取得するようなケース、優越的地位濫用のケースでは同意を無効とすることができる（逆に、契約履行や正当利益を認める場合、無理に同意取得したことにする必要もなくなる）。
特に公的機関による個人データ利用について、全部を個人に委ねるべきではない（古谷さん）という指摘は重要であり、実施機関が責任をもって個人に対するリスクを最小化するような利用方法を設計すべきである。そして、その実効性を担保する上では、DPOの選任とDPIAの実施を義務付け、（一定の要件の下で）個情委への届出ないし協議を義務付け、個情委が必要に応じて関係者からのヒアリング、パブコメ等を実施しつつオープンな形で見解を示すことは検討されてよい。
- なお、公的機関に関連して、児童福祉や公教育における個人データ利用が問題とされているが、法執行における個人データ利用は最大のリスクの一つであり、これについても検討の中心に位置付けるべきだと考える。
一方で、消費者団体の関心は漏洩と本人への情報提供（そして場合によっては権利行使に対する対応状況）にとどまっているように見えるが、このことは、個情法が事業者の行為規範を（法目的に照らして）十分に示していないことを示している可能性がある。個情委としては、事業者の自主的な取組み（ガバナンス）に期待しているのだと思われるが、その場合でも一定のゴールは示す必要があり、個人の権利保護や個人データ処理の適正性では広すぎてほとんど意味がない。そのような状況では、消費者団体や個情委が特定の個人データ処理の不適正さを主張しようとしても、拠り所がなく、論証が困難である。これに関して、
- 第1に、利用目的による制限は、現行法の根幹であるが、制限の内容と、制限が機能するための前提である特定義務が不十分である可能性がある。前者については、利用目的の制限にデータ品質の原則を組み込むべきであり、後者については、processing activityごとに、かつ、利用目的による制限を機能させ、ひいては法目的を達成するのに必要な内容の特定を要求すべきである。
- 第2に、利用目的による制限に加えて法的根拠を導入すれば、同意の任意性、比例原則（正当利益）といった法務関係者にとって馴染みのあるフレームワークに基づいて個人データ処理の適正さを検証できるように（も）なり、予測可能性の確保と実効的な権利保護の双方をよりよく達成できる。
以上について、以下の記事を参照：
- 個人情報保護法の3年ごと見直しの中間整理に対するパブコメ意見 - Mt.Rainierのブログ…中間整理に対するパブコメ提出意見。7月29日。
- 個人情報保護のルールとプリンシプル―曽我部教授意見に関連して - Mt.Rainierのブログ…8月11日。
- 境界型個人データ保護からゼロトラスト個人データ保護へ―個情法の設計思想を転換する - Mt.Rainierのブログ…「個人情報保護法のいわゆる3年ごと見直しに関する検討会」を見つつ書いた記事（今見ると割と8月11日の記事の焼き直しかも）。10月1日。
- 「個人情報保護法のいわゆる３年ごと見直しの検討の充実に向けた視点（案）」について - Mt.Rainierのブログ…個情委の再整理とも言うべき資料を見た感想。10月17日。