執筆:弁護士 阿久津 透( AI・データ(個人情報等)チーム )
1.はじめに
令和2年と令和3年に改正された個人情報保護法ですが、令和5年11月から、個人情報の保護に関する国際的動向、情報通信技術の進展、それに伴う個人情報を活用した新たな産業の創出及び発展の状況、及び現行法の施行状況等についての実態把握や、多様なステークホルダーからのヒアリング等を通じて、いわゆる3年ごと見直しの具体的な検討が進められています。
2.3年ごと見直しとは
令和2年改正の附則第10条には、以下の規定が設けられており、現在行われている見直しの議論はこの規定に基づくものです。
政府は、この法律の施行後3年ごとに、個人情報の保護に関する国際的動向、情報通信技術の進展、それに伴う個人情報を活用した新たな産業の創出及び発展の状況等を勘案し、新個人情報保護法の施行の状況について検討を加え、必要があると認めるときは、その結果に基づいて所要の措置を講ずるものとする。破産者マップをはじめとする新たな類型の不正利用事案や、生成AIという新たな技術の登場によって、個人情報の取扱いに関する状況は令和2年から大きく変わっている部分もありるため、そのような点への対応も踏まえて改正の議論が進められています。
令和6年6月には「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」(以下「中間整理」という。)が公表され、この中間整理に対する意見募集には、延べ2448件の意見が集まりました。
現在は、中間整理を踏まえて意見集約作業が必要だと考えられる論点について議論する検討会が開催され、そこで議論が継続されています。
3.中間整理のポイント
(1)検討項目の概要
中間整理では、今回の見直しの検討項目として以下の3つが挙げられています。
① 個人の権利利益のより実質的な保護の在り方
② 実効性のある監視・監督の在り方
③ データ利活用に向けた取組に対する支援等の在り方
(2)個人の権利利益のより実質的な保護の在り方
情報通信技術等の高度化に伴い、大量の個人情報を取り扱うビジネス・サービス等が生まれる一方で、プライバシーを含む個人の権利利益が侵害されるリスクが広がっていることや、破産者等情報のインターネット掲載事案や、犯罪者グループ等に名簿を提供する悪質な「名簿屋」事案等、個人情報が不適正に利用される事案も発生しているといった状況に鑑みて、技術的な動向等を十分に踏まえた、実質的な個人の権利利益の保護の在り方を検討する必要があるという視点からの検討項目です。
この項目では、さらに細分化され、以下の事項が検討対象とされています。
①要保護性の高い個人情報(生体データ)の取扱い
②不適正利用・不適正取得の具体化
③オプトアウト届出事業者に対する義務
④こどもの個人情報等に関する規律
⑤個人の権利救済手段
①は、長期にわたり特定の個人を追跡することに利用できる等の特徴を持ち得るものであり、特に、特定の個人を識別することができる水準が確保されている場合において、通常の個人情報と比較して個人の権利利益に与える影響が大きく保護の必要性が高い、という「生体データ」の性質に着目した規定の要否や内容に関する項目です。
③のオプトアウト規定については、規定の概要と併せて「 【弁護士解説】オプトアウト規制の内容と改正動向について 」に記載していますので、本稿と併せてご確認ください。
④のこどもの個人情報等については、こどもの脆弱性・敏感性及びこれらに基づく要保護性や、学校等における生徒の教育・学習に関するデータの有用性も考慮したうえで、国外のこどもの個人情報等に係る規律や執行事例も踏まえ、こどもの権利利益の保護という観点から、規律の在り方の検討を深めるとされています。
(3)実効性のある監視・監督の在り方
破産者等情報のインターネット掲載事案、犯罪者グループ等に名簿を提供する悪質な「名簿屋」事案、転職先へのデータベースの ID・パスワードの不正提供事案等、個人情報が不適正に利用される事案や、同一事業者が繰り返し漏えい等を起こす事案が発生しており、悪質・重大な事案に対する厳罰化、迅速な執行等、実効性のある監視・監督の在り方を検討する必要があるという視点からの検討項目です。
この項目では、さらに細分化され、以下の事項が検討対象とされています。
①課徴金、勧告・命令等の行政上の監視・監督手段
②刑事罰
③ 漏えい等報告・本人通知の在り方
現在行われている検討会の中でもっとも議論になっているといっていいのが①の課徴金に関する部分です。
仮に課徴金制度が導入された場合、個人情報保護法に違反した場合のリスクが大きくなるため、課徴金賦課の対象となる違法行為類型や課徴金の算定方法を十分把握する必要があります。
(4)データ利活用に向けた取組に対する支援等の在り方
個々の事情や特性等に配慮した政策検討が進む等、健康・医療、教育、防災、 こども等の準公共分野を中心に、機微性の高い情報を含む個人情報等の利活用に係るニーズが強くなっています。こうした中、政策の企画・立案段階から関係府省庁等とも 連携した取組を進める等、個人の権利利益の保護を担保した上で、適正な個人情報等の利活用を促す方策を検討する必要があるという視点からの検討項目です。
この項目では、さらに細分化され、以下の事項が検討対象とされています。
①本人同意を要しないデータ利活用等
②民間における自主的な取組の促進
①については、昨今のデジタル化の急速な進展・高度化に伴い、生成AI等の新たな技術の普及等により、大量の個人情報を取り扱うビジネス・サービス等が生まれていること、健康・医療等の公益性の高い分野を中心に、機微性の高い情報を含む個人情報等の利活用に係るニーズが高まっていること、契約の履行に伴う個人情報等の提供や不正防止目的などでの利活用についてもニーズが寄せられているといった状況を踏まえて、本人同意が求められる規定の在り方について、個人の権利利益の保護とデータ利活用とのバランスを考慮した検討がされています。
本人同意を要しないデータ利活用の類型が整備されれば、事業者が自身の保有する情報を活用する場面が増えることになるため、データの有効活用の観点からはこの項目の改正に注視しておく必要があります。
②については、PIAや個人情報取扱責任者の導入、というものです。GDPRではすでにDPIA(Data Protection Impact Assessment、データ保護影響評価)の実施やDPO(Data Protection Officer)の選任の規定が設けられていますが、日本では民間の自主的な取組として位置づけられているに過ぎません(個人情報保護委員会「データガバナンス(民間の自主的取組)」)。
制度の義務化については対応可能性や負担面などを踏まえて慎重に検討を進める必要があるとされているため、直ちに明文化されるわけではないようですが、必要性や重要性が高まっていることは間違いないため、現時点から対応事項について整理しておくとよいかと思われます。
4.今後の流れ
11月中は、個別論点に関する検討状況について報告・検討がされ、12月には検討会において報告書が提出される予定です。
(個人情報保護員会「今後の進め方について」)
12月に公表されている報告書の内容をスムーズに理解し、改正法対応を行うための事前準備として、現時点から中間整理のポイントを把握しておくと良いでしょう。
