個人情報保護法における課徴金制度
1 はじめに
2024年12月18日、個人情報保護委員会の「第7回 個人情報保護法のいわゆる3年ごと見直しに関する検討会」において、「個人情報保護法のいわゆる3年ごと見直しに関する検討会 報告書(案)」(以下「報告書案」といいます。)が公表されました。
報告書案では大きくわけて、以下の2つの制度に触れられています。
① 課徴金制度
② 団体による差止請求制度及び被害回復制度
今回のnoteでは、報告書案や検討会資料で掲げられている「課徴金制度」がどのようなものを想定しているのかを見ていきたいと思います。
これは、「課徴金制度」に関する報告書案の記載が詳細であり、今後法案として提出され、個人情報保護法に追加される可能性があるからです。
そのため、今回のnoteの想定読者は、個人情報保護法に追加される可能性がある課徴金制度に興味がある方々を想定しています。
報告書案では、想定される課徴金制度について、2つの違反行為に類型化した上、以下の4つの要件により、対象範囲を限定する制度を想定しています。
① 対象行為(事態)を限定すること
② 主観的要素を要求すること
③ 個人の権利利益が侵害されたこと等を要求すること
④ 大規模な違反行為等に限定すること
報告書案が想定している課徴金納付命令の対象となる違反行為の範囲のイメージは以下のとおりです。
https://www.ppc.go.jp/files/pdf/20241218_kentohkai_shiryou-1.pdf
以下では、報告書案において取り上げられている「第三者提供規制等違反」および「安全管理措置義務違反」の2つの違反行為ごとに、課徴金納付命令の範囲を限定するための上記①~④の要件として、どのようなものを想定しているかを見ていきたいと思います。
なお、報告書案や検討会で公開されている資料については、以下の個人情報保護委員会のページをご覧ください。
2 違法な第三者提供規制等違反
報告書案で違反行為として想定されている1つ目の類型は、「第三者提供規制等違反」です。
「第三者提供規制等」違反と記載していますが、いわゆる個人データの第三者提供に関する規律違反に限られません。
具体的には、以下の①~④の要件を全て満たす場合に限定して、課徴金納付命令を命ずること(命ずることができること)を想定しています。
① 対象行為
→法27条1項、19条、18条又は20条に違反し、かつ違法収益があること
② 主観的要件
→違反行為を防止するための相当の注意を怠っていたこと
③ 権利利益の侵害等
→個人の権利利益が侵害され、又は侵害される具体的なおそれが生じたこと
④ 大規模事案
→大規模な違反行為であること(1,000人以上)
以下では、上記①~④の要件について見た上、課徴金の算定方法を見ていきます。
⑴ 対象行為
課徴金納付命令の対象行為については、深刻な個人の権利利益の侵害につな がる可能性が高く、緊急命令(法148条3項)の対象となっている重要な規 制に違反する行為類型を対象とし、さらに、国内外において現実に発生しており、 かつ剥奪すべき違法な収益が観念できるものに限定することとし、以下の4類型に限定しています。
類型1:法27 条1項(第三者提供の制限)の規定に違反する個人データの提供をし、当該提供又は当該提供をやめることの対価として、金銭その他の財産上の利益を得ること
類型2:法19 条(不適正な利用の禁止)の規定に違反する個人情報の利用 をし、当該利用又は当該利用をやめることの対価として、金銭その他の財産上の利益を得ること
類型3:法18 条(利用目的による制限)の規定に違反する個人情報の取扱いをし、当該取扱い又は当該取扱いをやめることの対価として、金銭その他の財産上の利益を得ること
類型4:法20 条(適正な取得)の規定に違反して取得した個人情報の利用をし、当該利用又は当該利用をやめることの対価として、金銭その他の財産上の利益を得ること
類型1~4のいずれも個人情報保護法が定める規律違反に加えて、違法な収益があることを要求しています。
対象行為(案)および該当する具体的行為(例)は、以下のとおりです。
https://www.ppc.go.jp/files/pdf/20241218_kentohkai_shiryou-1.pdf
⑵ 主観的要件
違反事業者が適切な注意を尽くしていた場合を課徴金納付命令の対象とする と、課徴金制度が過剰な規制となるおそれや、事業者において個人情報の取扱いが違法か否かの確認を行うインセンティブが失われ、違反行為を抑止するという課徴金制度の目的がかえって阻害されるおそれがあること、国内他法令の課徴金制度において主観的要素により課徴金納付命令の対象を限定している例として、景品表示法(8条1項ただし書)及び公認会計士法(30 条1項、同条2項、31 条の2第1項)があることを踏まえて、「個人情報取扱事業者が違反行為を防止するための相当の注意を怠っていない場合」には、課徴金納付命令の対象外とすることが想定されているようです。
相当の注意を怠っていない場合の具体例としては、以下の事例があげられています。
例1:事業者が本人同意に基づくものとして個人データの第三者提供を行っていた事案において、当該事業者が、 適切な手続により本人確認を行った上で同意を取得していたが、実際には本人ではない者が巧妙に本人にな りすまして同意しており、本人は同意していなかった場合
例2:事業者が本人同意に基づくものとして個人情報の目的外利用を行っていた事案において、当該事業者が、当 該同意の取得を委託した委託先に対し、当該同意の取得が適切に完了している旨を文書により適切に確認していたが、当該委託先が精巧な虚偽の同意書をねつ造して回答を行っており、実際には当該委託先が本人同意を得ていなかった場合
⑶ 権利利益の侵害等
是正すべき違反行為はあるものの個人の権利利益が侵害される具体的なおそ れがない場合まで課徴金納付命令の対象とすると、課徴金制度が過剰な規制と なるおそれや、課徴金納付命令の対象が広範になり、より抑止の必要性の高い個人の重大な権利利益を侵害する違反行為に係る事案等に対して、十分な行政リソースを用いた事件処理ができなくなるおそれがあること、国内他法令の課徴金制度において、当該法令が保護しようとする利益等への影響を考慮している例として、薬機法( 75 条の5の2第3項1号)及び公認会計士法(31 条の2第2項1号)があることを踏まえて、課徴金納付命令の対象を、「個人の権利利益が侵害され、又は侵害される具体的なおそれが生じた場合」に限定することを想定しているようです。
個人の権利利益が侵害され、又は侵害される具体的なおそれが生じたとまでは直ちにいえない場合の具体例として、以下の事例があげられています。
例1:提供先において本人が識別されたり、本人に対する連絡等が行われたりするおそれがない個人データを提供した場合
例2:法17条2項に基づく利用目的の変更が可能であり、あらかじめ当該変更を行っていれば目的外利用とはならなかったにもかかわらず、当該変更を行わないまま目的外利用をした場合
例3:提供先が、提供された個人データを、閲覧・利用せずに直ちに削除又は返却した場合
他方、個人の権利利益が侵害され、又は侵害される具体的なおそれが生じた場合の具体例としては、以下の事例があげられています。
例1:個人の信用や名誉を毀損する個人データが、法27条1項に違反して第三者に提供された場合
例2:氏名や住所等を含む形で個人データが法27条1項に違反して第三者に提供され、当該第三者が当該個人データを自らのために利用した場合
例3:広告配信を行っている事業者が、第三者から広告配信依頼を受けた商品が詐欺的な商品であることを知りつつ、当該商品の広告配信のために、自社で取得した個人情報を利用する場合
例4:利用目的の達成に必要な範囲を超えるにもかかわらず、本人に対してダイレクトメールの送付や電話勧誘等が行われた場合
例5:利用目的の達成に必要な範囲を超えるにもかかわらず、本人が知られることを欲しないと認められる本人の属性を推知した場合
例6:法20条2項に違反して取得した要配慮個人情報を、顧客に対する広告配信サービスの提供に利用した場合
⑷ 大規模事案
規模が小さいと考えられる事案についてもすべからく義務的に課徴金を課す こととすると、限られた行政リソースの下では、より抑止の必要性が高い事案に対する監督権限の行使に影響を及ぼすおそれがあること、国内他法令の課徴金制度においては、以下のとおり、課徴金納付命令の対象が一定規模以上の事案に限定されていることに鑑みて、行政機関が保有する個人情報ファイルの本人の数が 1,000 人未満の場合、個人の権利利益の侵害の被害も少ないと見込まれることから、個人情報ファイル簿の作成・公表義務の対象外とされていること(法74条2項9号、75 条2項1号及び政令 20 条2項)を参考に、「違反行為に係る本人の数について1,000 人を基準」として課徴金納付命令の対象を限定することが想定されています。
⑸ 算定方法
違反事業者は、違反行為又は違反行為により取得した個人情報(すなわち違法 行為がなければ取得し得なかった個人情報)から直接的に違法な収益を得ており、違反事業者が得る経済的利得そのものが違法な収益であるといえること、国内他法令の課徴金制度において、違反行為の対価等の全額を課徴金額としている例として、独占禁止法 (7条の2第1項4号、7条の9第1項3号)、公認会計士法(31 条の2第1項2号)及び金融商品取引法(172条の12 第1項)があることを踏まえて、「違反事業者が違反行為又は違反行為により 取得した個人情報の利用に関して得た財産的利益の全額」を課徴金額とすることが想定されています。
さらに、違反行為をより実効的に抑止する観点から、当該財産的利益の全額を上回る金額を課徴金額とすることも考えられるとされています。
なお、独占禁止法7条の2第3項、景品表示法8条4項等を参考に、課徴金額の算定基礎に係る推計規定を導入することも考えられるとされています。
3 漏えい等・安全管理措置義務違反関連
報告書案で違反行為として想定されている2つ目の類型は、「漏えい等・安全管理措置義務違反関連」です。
具体的には、以下の①~③の全ての要件を満たす場合に限定して、課徴金納付命令を命ずること(命ずることができること)を想定しています。
① 対象行為・大規模事案
→安全管理措置義務違反に起因して、大規模な個人データの漏えい等(1,000人以上)が発生したこと
② 主観的要件
→安全管理措置義務違反を防止するための相当の注意を怠っていたこと
③ 権利利益の侵害等
→個人の権利利益が侵害され、又は侵害される具体的なおそれが生じたこと
以下では、上記①~③の要件について見た上、課徴金の算定方法を見ていきます。
⑴ 対象行為・大規模事案
規模が小さいと考えられる事案についてもすべからく課徴金を課すこととす ると、限られた行政リソースの下では、より抑止の必要性が高い事案に対する監督権限の行使に影響を及ぼすおそれがあること、国内他法令の課徴金制度においては、課徴金納付命令の対象が一定規模以上の事案に限定されていることを踏まえて、より抑止の必要性が高い大規模事案に対象を限定する観点から、課徴金納付命令の対象を、「安全管理措置義務違反に起因して大規模な個人データの漏えい等が発生した場合」に限定することが想定されています。
その上で、漏えい等の報告義務(法26 条1項)に係る規則7条4号を参考に、 「漏えい等した個人データに係る本人の数について1,000 人を基準」として課徴金納付命令の対象を限定することが考えられるとされています。
⑵ 主観的要件
安全管理措置義務違反は、個人情報取扱事業者であれば、その事業の態様や個人データの利用目的等にかかわらず、すべからく適用され、積極的な作為がなくとも違反する可能性のある義務であるため、違反事業者が安全管理措置義務を防止するための相当の注意を著しく怠っていない場合まで課徴金納付命令の対象とすると、課徴金制度が過剰な規制となるおそれがあること、国内他法令の課徴金制度において「相当の注意を著しく怠った場合」について規定している例として、公認会計士法(31 条の2第2項2号)があることを踏まえて、過剰な規制を回避する等の観点から、「個人情報取扱事業者が安全管理措置義務違反を防止するための相当の注意を著しく怠っていない場合」には、課徴金納付命令の対象外とすることが想定されているようです。
また、違反事業者が安全管理措置義務違反を防止するための相当な注意を著しく怠っていない場合にも該当するか否かについては、基準として必ずしも明確ではないのではないかとの意見もあることに留意するとともに、例えば、事業の規模及び性質等も十分に考慮した上で判断することが考えられるとされています。
相当の注意を著しく怠っている場合の具体例としては、以下の事例があげられています。
例1:外部からの指摘等により、個人データの漏えい等の具体的おそれを認識したにもかかわらず、何ら追加的措置を講じなかった場合
例2:社内調査等により、その時点で講じている安全管理措置が不十分であることを認識したにもかかわらず、何ら追加的措置を講じなかった場合
他方、相当の注意を著しく怠っているとまでは直ちにいえない場合の具体例としては、以下の事例があげられています。
例1:業務のために使用している情報システムにつき、緊急度が低いとまではいえない脆弱性及びその対応方 法が公表されたものの、一定程度の合理性のある事情により当該システムで使用しているソフトウェアの動作保証の確認のため時間を要したこと等により、直ちに当該システムのアップデート等の対応を行うことができずにいたところ、不正アクセスを受け、個人データの漏えいが生じた場合
例2:個人データの取扱いを外部に委託している場合において、事業の規模及び性質等に照らし、必要かつ適切な安全管理措置として、委託先に対して一般に求められるより高い水準の監督を行わなければならなかったところ、一般的な監督を行うにとどまっており、当該委託先の不適切な措置により個人データの漏えいが生じた場合
⑶ 権利利益の侵害等
個人の権利利益が侵害されるおそれがない場合まで課徴金納付命令の対象と すると、是正すべき違反行為はあるものの個人の権利利益が侵害されるおそれがない場合まで対象となることにより課徴金制度が過剰な規制となるおそれや、 課徴金納付命令の対象が広範になり、より抑止の必要性の高い個人の重大な権利利益を侵害する違反行為に係る事案等に対して十分な行政リソースを用いた事件処理ができなくなるおそれがあること、国内他法令の課徴金制度において、当該法令が保護しようとする利益等への影響を考慮している例として、薬機法(75 条の5の2第3項1号)及び公認会計士法(31 条の2第2項1号)があることを踏まえて、過剰な規制を回避する等の観点から、課徴 金納付命令の対象を、「個人の権利利益が侵害され、又は侵害される具体的なおそれが生じた場合」に限定することが想定されています。
個人の権利利益が侵害され、又は侵害される具体的なおそれが生じたとまでは直ちにいえない場合の具体例としては、以下の事例があげられています。
例1:機微性の極めて低い個人データをグループ会社にのみ漏えいし、当該グループ会社が、当該個人データを何ら利用することなく直ちに削除した場合
例2:漏えいした個人データに、単体で本人が識別される記述や、不正に利用されることにより本人に財産的被害が生じるおそれのある記述等が含まれない場合
例3:今後利用する予定がなく、数日後に廃棄する予定だった個人データが滅失又は毀損した場合
他方、個人の権利利益が侵害され、又は侵害される具体的なおそれが生じた場合の具体例としては、以下の事例があげられています。
例1:要配慮個人情報が含まれる個人データが漏えいした場合
例2:クレジットカード番号等、不正に利用されることにより本人に財産的被害が生じるおそれのある記述等が含まれる個人データが漏えいした場合
例3:氏名、連絡先情報が含まれる個人データが不特定の第三者に漏えいした場合
例4:不正の目的をもって行われた行為により、本人が識別される記述が含まれる個人データが漏えい等した場合
例5:人事評価や信用力の評価に利用することが予定されている個人データが滅失又は毀損した場合
⑷ 算定方法
安全管理措置義務に違反した事業者の当該違反行為の期間における事業活動により生じた売上額の全部又は一部は、コストの低下・取引数量の 増加に伴う利益の増加額により構成されているとの考え方に立つと、安全管理措置義務の履行を怠る動機を失わせるのに十分であり、かつ積極的な損失を与えない水準の課徴金額を賦課する観点から、「当該売上額に一定の 「算定率」を乗 じることによって課徴金の額を算定すること」も考えられるとした上、安全管理措置義務の履行を怠る動機を失わせるのに十分であり、かつ積極的な損失を与えない水準の課徴金額を賦課する観点も踏まえ、違反事業者の事業活動全体の売上額を基礎として課徴金額を算定する点については、その妥当性を慎重に検討すべきとの意見もあることに留意する必要があるとされています。
また、同様の観点から、上記算定式における「違反行為をした期間」については、安全管理措置義務違反があったと認められる日を始点とする場合、当該期間が極めて長期間となる(そのため課徴金額が相当程度高額となる)可能性があるとの意見にも留意し、課徴金額の算定に当たっては、算定率の水準も踏まえつつ当該期間を一定の期間に限定することも含め、丁寧に検討する必要があると考えられるとされています。
なお、なお、独占禁止法7条の2第3項、景品表示法8条4項等を参考に、課徴金額の算定基礎に係る推計規定を導入することも考えられるとされています。
4 その他
⑴ 自主的報告に係る減算規定
第三者提供規制違反等や安全管理措置義務違反は、本人の認識し得ないとこ ろで行われ得るものであり発覚しにくいため、継続して行われることも多く、個人の権利利益を害する状態又は個人データの漏えい等が発生する可能性が高い状態が長期間継続するおそれがあるため、違反行為を早期に発見して対処することが重要であり、事業者が自らの違反行為を発見した場合に自ら対処するインセンテ ィブを与える観点から、「自主的報告をした違反行為者に対する減算規定」を設けることにより、違反行為の早期発見及びコンプライアンス体制の構築のインセ ンティブを与えることとすることが考えられるとされています。
⑵ 繰り返し違反に係る加算規定
違反行為を繰り返す事業者は、課徴金を納付してもなお違反行為を行うイン センティブが生じるほどの利得を得ていると考えられることから、課徴金制度 による違反行為の抑止力を確保するため、繰り返し違反に対して課徴金額を加算することが考えられ、「課徴金対象行為に係る事件についての報告徴収又は立入検査(法146 条1項)が行われた日等から遡って10 年以内に課徴金納付命令を受けたことがある者に対しては、通常の場合の課徴金の 1.5 倍の課徴金を賦課する」こととすることが考えられるとされています。
⑶ 除斥期間
違反行為が既に終了しているにもかかわらず、その後課徴金を課されるリス クが半永久的に継続する事態が生じる可能性を回避し、法的安定性を確保する 観点から、除斥期間(違反行為の終了から行政庁が措置を採れるまでの期間)を設定することが考えられるとされています。
なお、他の法令においては、3~7年程度の除斥期間が定められている例があります。
5 感想
⑴ 総論
報告書案では、過剰な規制とならないよう様々な要件を課すことによって範囲を限定するよう配慮されているようです。
課徴金納付命令の制度が追加されることは、違反行為の抑止効果ももちろんあると思いますが、さすがに課徴金となると取消訴訟が提起されるケースが出てくると思うので、仮に課徴金制度が導入される場合には、そういった訴訟を通じて個人情報保護法の様々な規律に対する司法判断が出て、行政解釈に頼らない実務運用が少しずつ形成されていくことを個人的には期待しています。
⑵ 違法な第三者提供等規制違反
いわゆる委託における「混ぜるな危険」の論点が争いになったときに、裁判所がどんな判断を下すのかは気になりました(そもそもそんな論点について課徴金納付命令を出すことはないかもですが…)。「混ぜるな危険」で委託の範囲を超えると27条5項1号の委託の範囲を超えるので形式上は27条1項違反になりそうな気がしますが、それは条文から読める解釈の範囲を超えている気がするので本当にそんな判断を裁判所がするのかな、と。そもそも「混ぜるな危険」をQAで入れたのは、第三者提供の潜脱行為を防ぐためだと思うので、不適正利用の禁止違反と位置付けて、その枠組みの中で判断するというのが個人的には素直な気がしています。
課徴金額の算定は、実際に算定するとなると悩ましいと思うので推定規定を入れる想定なんでしょうが、どんな推定規定を入れるのかな。
⑶ 漏えい等・安全管理措置義務違反関連
安全管理措置義務違反が一部のサービスに関するものに留まる場合においても事業活動の全体の売上高をもとに、課徴金の金額を算定するであれば、違法利益の吐き出しを超えている気はしますが、これは違反行為の抑止や制裁の趣旨を含むものと整理しているのかなと思いました。
安全管理措置義務違反の評価が行政・司法ともになかなか悩ましそう。
事業者に対する予測可能性を確保する観点からは、行政解釈を示しているガイドラインにおいて、どの程度の水準を超えると安全管理措置義務違反になるかをより詳しく書くべきだと思いますが、そうはいっても講じるべき安全管理策の実装は様々なものがあるため、現実問題として書ききれるわけはなく、実際は訴訟の中で裁判所が評価・判断することになる気がします。
あとは、SaaSやCloudを委託と整理しているケースは実務上少なからず存在しますが、その場合における委託先の監督として求めているものをもう少し詳しくガイドラインに書いておかないと、課徴金納付命令に課すに当たって求めている安全管理措置の水準がわからず予測可能性が確保されない気がします。このあたりは、ガイドラインや公開されている行政指導などで委員会や事務局が考えていることは予想できますが、求めている水準は対外的にはあまり明確になっていない気がします。
安全管理措置義務の違反期間の起算点をどうするのかは気になりました。複数の脆弱性が組み合わさってインシデントが起きた場合に、一つだけの脆弱性ではインシデントに至らないケースも少なくないと思っていて、その場合に、どの時点をとらえて安全管理措置義務違反が開始されたと評価するのかなと。