個人情報保護法の遵守とプライバシー保護: #1 考え方

はじめに

システム構築プロジェクトにおいて検討すべき項目の中に「個人情報保護法の遵守」と「プライバシー保護」の領域があります。他の領域と比較して以下のような特徴があります。

• ビジネス・エンジニアの双方の合意が必要な要素が多い

• 新しい分野であるため、知見のある人が少ない

これを反映してか以下がボトルネックになりやすい印象です。

1. 「適切な考え方」が認知されておらず、認識の齟齬を招きやすい

2. 専門用語が多く、認識の齟齬を招きやすい

3. 実務に落とすことそのものが難しく、知見のある人が少ない

1 はステークホルダー全体に向けて継続的に「布教」する必要がありますし、2 は 「適切な考え方」を認知してもらえている状態で用語の定義を丁寧に認識を揃えるほかありません。
3 は既存業務フローの変更も考慮しつつ実務レベルで目線を合わせるための「羅針盤」を作成する必要があるかもしれません。

私自身、特に 1 と 3 の解像度が低いと感じることが多いため、以下の書籍を軸に自分なりにまとめてみることにしました。(だいぶ意訳・自分の考えを追加しています。ご了承ください)

個人データ戦略活用　ステップで分かる改正個人情報保護法実務ガイドブック 

スコープ

本投稿では 1 の「適切な考え方」をまとめることをスコープとしました。書籍の以下の章が該当します。

• 第1章 個人情報とプライバシー、セキュリティーの関係

• 第2章 プライバシーガバナンスの実務

• 第3章 個人情報保護の実務 (STEP1 のみ)

次の投稿では 3 の「個人情報保護・プライバシー保護の実務」をスコープとし、システム開発・運用の視点で留意すべきポイントをまとめる予定です。

• 第3章 個人情報保護の実務 (STEP2 以降)

ポイント #1: プライバシーの範囲は常に変化し続けるものと捉え、ユーザー視点で都度考えること

「個人情報保護法の遵守」も「プライバシー保護」ともに以下図のように常に変化・拡大するものです。常にユーザー視点で継続的に見直す必要があります。

変化・拡大し続けるものを法で縛るのは無理

「個人情報保護法」はその名称に「法」とあるため「正解」が詳細に記述されていると誤認されやすく、またプライバシー保護は事業体において「プライバシーポリシーを守ること」と同義に捉えれらている事が多いのではないでしょうか?

また、システムAとシステムBで利用者の属性が全く異なるにも関わらず、厳格かつ画一的なルールを設けてしまい、データ利用が進みにくい状態になってしまう、といったケースもあるでしょう。

ポイント #2: 個人情報保護法遵守とプライバシー保護は別物として捉える

企業は個人情報保護法のみを守ればOKではなく、プライバシー保護についても同時に考える必要があります。重なる範囲はありますが、個人的には別モノとして捉えて議論するほうが良いと感じます。

個人情報保護法遵守 ≠ プライバシー保護

個人情報保護は「個人情報保護法」にて整備され、改定され続けていますが、プライバシー保護については特化した法律は存在しません。

例えば議論の対象が「個人情報保護法」の範疇である場合には、企業における法令遵守の機能を担う「法務担当」と連携すべきですが、実務担当が条文の解釈 (後述) をした上でピンポイントに議論したほうが建設的なことも多いでしょう。

プライバシー保護の領域は、そもそも特化した法律が存在しない (後述。ガイドラインはある) ため、事業者によっては法務担当の領域ではないかもしれません。

例えばプライバシーポリシーはドメイン知識が豊富でよりユーザー視点を持っているメンバーと協議しつつ進めるほうが、結果としてユーザー利益の最大化に繋がるはずです。

ポイント #3: プライバシー保護の概要と市況を理解する

ポイント1-2を踏まえて、プライバシー保護で目指すところと現状を俯瞰する事が重要です。

ポイント

• 消費者や従業員を守ることを目的と置き、結果として自社がリスクから免れるようにすること。

• 検討すべきポイントが広範かつどんどん広がっている。リスクマネジメントをできる体制を取り入れ、実効性を担保できるよう上位意思決定者を巻き込むこと。

プライバシー保護とは?

• 法律違反の有無に関わらず、結果的に人々を差別的に扱ったり、不利益、不快感を与えたりすること

プライバシー保護の範囲

• 定型的に捉えるのは不可能

  • 技術革新によってその範囲は拡大している

  • 自己に関する情報をコントロールする権利として範囲が広がっている

  • 個人の感じ方によっても変わる

  • 文化や宗教などの社会要因でも変動変わる

企業における課題

• 企業側はブランド毀損と炎上リスクが高まってきた

• が、以下が必要となるため対応できる社員が限られている。

  • プライバシー保護範囲の変化を把握できるアンテナ

  • ユーザー視点で対策を検討できるスキル・ドメイン知識

日本における課題

• 個人情報の取扱に置いて詳細の事例を書き出した「リスト型」の対応が多く、「リストの項目を守ればOK」と誤解されがち。

  • そもそもリスト型の対応は、技術の進化やこれまでなかった問題の対応ができないのでプライバシー保護のアプローチになじまない

• 個人情報保護法の FAQ には以下の記載ある。

  • 「プライバシーの侵害が発生した場合には、民法上の不正行為等として侵害に対する救済が図られることとなります。」

• ここを明確にするため、個人情報に限らず企業が取り組むべきプライバシーガバナンスについてのガイドブックが作成された。

  • 総務省: 「DX時代における企業のプライバシーガバナンスガイドブックver1.3」 を策定しました

  • 「DX時代における企業のプライバシーガバナンスガイドブックver1.3」

  • 「DX時代における企業のプライバシーガバナンスガイドブックver1.3概要

• 国際的には子どもデータの保護が注目されているが、日本での法整備は後手に回っている。

  • 子どものデータ保護 ― 欧米における国際的な動向

ポイント #4: 個人情報保護法はユーザー視点で対応するための材料として捉え、正解は自分で考えること

ポイント1-3を踏まえて、個人情報保護法の目的と読解時のお作法を理解することが重要です。

ポイント

• 個人情報保護法や FAQ を見ても正解は書かれていない。各事業者が法令の仕組みや目的を理解して対応すること。

  • 法律が規定した必要条件を満たしつつ、公開されているドキュメントをもとに実務に合わせて個別に能動的に決めること。

  • 白黒の判断がつきにくい場面では「本人の意志の反映」を前提にすること。

• 「違法ではないが、消費者の信頼を得られない」リスクも視野に入れること (=プライバシー保護の文脈)

個人情報保護法とは?

• 個人情報保護委員会: 個人情報保護法の基本 (令和4年7月)

  • 「個人情報」の適正な取り扱いにより、プライバシーを含む個人の権利利益の保護を図るもの

  • 取得する企業における規律と流通する(第三者提供、共同利用) のための規律から出来ている

  • 本人の意志の尊重を反映するための仕組み

法律やガイドラインを読む際の「お約束」

• 前提として

  • 法律や規則は個人情報を保護する上での必要条件が書かれているのみ。十分条件は書かれていない。

  • 企業の実務担当者が見ておくべき条文は一箇所にまとまっているわけではない。

  • 細目にわたり具体的に何をどうすればよいかが書かれているわけではない。

• 表記事項のお約束

  • 「しなければならない」「してはいけない」

    • 法律に則った義務規定がある内容で強制力がある。

  • 「務めなければならない」「望ましい」

    • 従わなくても直ちに法律違反とはならない。

    • 改正個人情報保護法の立法趣旨に基づいて判断されるため一定の規律性はある。

外国での法令

• 個人情報保護委員会 GDPR（General Data Protection Regulation：一般データ保護規則）

  • 日本の法令よりもより厳格

  • 海外のユーザーが利用するシステムではもちろんこちらも見る必要がある

プライバシー保護の観点

• 個人情報保護委員会 個人情報保護のための民間の自主的取組の促進について

  • 情報提供者のプライバシーへの影響を事前に評価し、システムの構築・運用をに進む必要がある

  • この一連のプロセスが PIA (Privacy Impact Assesment: プライバシー影響評価) である