「有限会社ビジネスプランニングに対する個人情報の保護に関する法律に基づく行政上の対応について(令和7年5月16日)」と「株式会社中央ビジネスサービスに対する個人情報の保護に関する法律に基づく行政上の対応について(令和7年9月10日)」について書いていきます。
- 5月15日緊急命令等(ビジネスプランニング)、9月10日勧告等(中央ビジネスサービス)のいずれにおいても、KYBC、提供先における利用目的の確認、これらの社内規程への取り込み、定期的な監査の実施、体制整備の内容の報告、毎月の提供状況の報告が求められており、これらはオプトアウト事業者全般に対する要求のスタンダードになっていくのだと思われる。
- 3月5日のペーパーからも窺われたことであるが、オプトアウト事業者に対する監督は業法的色彩を強めていくことになるのだと思われる。個情法上はオプトアウトは第三者提供制限の適用除外であり、その条件として一定の事項の通知・公表と届出が求められているに過ぎないが、運用次第では、①オプトアウト事業者向けガイドラインと勧告・命令を通じて厳格な体制整備を求める、②届出を受けた場合、社内規程の提出と詳細な説明を求め、適切な体制整備がされていない場合、その段階で(公表するかは別として)指導を行う、③包括的な報告命令を通じて年次の事業報告や監査報告書(指摘事項がある場合改善計画も)の提出を求める、④定期的に立入検査を行い、体制整備の有効性(実効性)を検証する、といったことも(政策としての適否はさておき、法的には)可能である。
- 制度的には、
- 不適正利用禁止は、(それを存続させる場合、)本来的には(ルールベースではなく)プリンシプルベースで書き直したほうがよいのかもしれない。現行法でも、23条は「…のために必要かつ適切な措置を講じなければならない。」となっており、体制整備を求める根拠として機能しているが、19条は「…してはならない。」となっており、少なくともこれまではそのようには機能してこなかった(なお、これは、最終的には平成14年法案の基本原則の「復活」に通じる提案かもしれない。)。
- 措置命令の要件の包括化は検討に値するかもしれない。そもそも措置命令は課徴金納付命令と異なり懲罰ではないので、個別の行為規制の違反を要件とすることの必然性はない。個情法は規制緩和の波の中で、かつ主務大臣制を前提に立案されたため、抑制的に設計されている面があるが(JILISレポート14頁参照)、独立専門機関たる個情委が権限行使する前提でもそれが適切かは、再検討されてよい。
- これまで個情法において体制整備は「民間の自主的取組」と位置付けられ、個情委が踏み込んだ要求をすることは少なかったが、オプトアウト事業者に限ってではあるものの、個情委がそれに踏み出しつつあるのは興味深い。個情法の適用範囲は広く、個人データ処理の態様も多様なので、必要な体制整備の内容は個別的なものとならざるを得ないが、対象を限定する(共通のリスクを有すると言えそうな集団を切り取る)ことで、考え方を示し、事業者との対話を通じてスタンダードを形成していくことは可能である。
