個人情報保護法3年ごと見直し「中間整理」サクッと見てみた!
こんばんは!
本日、6/27午後にパブコメが出ましたね!
その提出期限は7/29です。
資料は全29ページで、これまでの記事でも繰り返し見てきた検討論点ごとに、
【我が国の現状等】
【考え方】
が対になって記載されています。
目次はこんな感じ↓
いわゆる3年ごと見直しに係る検討の中間整理
今回の記事では、今後の法改正の素となる【考え方】の部分にだけ焦点を当てて、ざっくり何が変わりそうか、継続して検討されていきそうか見ていきたいと思います。
なお、引用している【考え方】の出典は、個人情報保護法いわゆる3年ごと見直しに係る検討の中間整理となります。
「中間整理」における【考え方】
1. 個人の権利利益の実質的な保護の在り方
1)個人情報等の適正な取扱いに関する規律の在り方
ア 生体データ
・特に要保護性が高いと考えられる生体データについて、実効性ある規律を設ける方向
具体的には、
-利用目的をより具体的に特定
-(同意を必ずしも必須としないかわりに)生体データに関する通知または十分に周知、および、本人による事後的な利用停止を他の保有個人データ以上に柔軟に可能に
(現行法利用停止は、不適正な利用等の場合のみ)
memo: 規律を設ける生体データの具体の記載はありませんが、事例からすると顔識別カメラ画像の個人データ等を想定していそうです。
【考え方】
生体データは、長期にわたり特定の個人を追跡することに利用できる等の特徴を持ち得るものであり、特に、特定の個人を識別することができる水準が確保されている場合において、通常の個人情報と比較して個人の権利利益に与える影響が大きく、保護の必要性が高いと考えられる。
他方、生体データは本人認証に広く利用されているほか、犯罪予防や安全確保等のために利用することも想定されるものである。
これを踏まえ、生体データの取扱いについて、諸外国における法制度なども参考にしつつ、特に要保護性が高いと考えられる生体データについて、実効性ある規律を設けることを検討する必要がある。
この点について、関係団体からは、事業者の自主的な取組を促進すべきとの声もあるが、本人関与や安全管理措置等を通じた個人の権利利益の保護とのバランスを踏まえ検討を進める必要がある。
まず、現行法上、個人情報の利用目的については、「できる限り特定」しなければならないとされているが(法第 17 条第1項)、生体データの要保護性を踏まえると、生体データを取り扱う場合においては、例えば、どのようなサービスやプロジェクトに利用するかを含めた形で利用目的を特定することを求めることが考えられる。
また、個人の権利利益の保護という観点からは、生体データの利用について、本人がより直接的に関与できる必要がある。そのため、生体データの取扱いに関する一定の事項を本人に対し通知又は十分に周知することを前提に、本人による事後的な利用停止を他の保有個人データ以上に柔軟に可能とすることが考えられる。
このほか、必要となる規律の在り方について、事業者における利活用の実態やニーズ、運用の負担、利用目的の違いによる影響なども考慮して検討する必要がある。
イ 不適正取得、不適正利用
・適用される範囲の具体化・類型化
→ 過去の問題事例をふまえて
(とすると、法改正ではなくGLレベル?)
・取得事業者と個人の間の(Noといえないような)関係において追加の考慮が必要か検討
・個人関連情報のうち、個人に連絡できるような情報については、不適正取得、不適正利用規範が適用されるかも?
memo: 個人関連情報については、第三者提供時、相手先で個人情報と紐付けする場合の規範しかありませんでしたが、これが追加されると、個人データの範囲のあるべき論の議論が盛り上がりそう…?
【考え方】
不適正な利用の禁止、適正な取得の規定については、個人の権利利益の保護により資するものとするとともに、事業者による予測可能性を高める観点から、適用される範囲等の具体化・類型化を図る必要がある。具体化・類型化に際しては、これまでに問題とされた事例等を踏まえて検討することが必要である。
また、現行法の個人情報の取扱いに係る規律は、本人が、自らの個人情報の提供等について、自らの自律的な意思により選択をすることが可能である状況にあることを前提としていると考えられる。他方、個人情報取扱事業者と本人との関係によっては、本人にそのような選択を行うことが期待できない場合があり得る。
そのため、こうした場合において、本人との関係に照らして当然認められるべき利用目的以外の利用目的で個人情報を取得・利用することや、当然認められるべき利用目的の達成に真に必要な範囲を越えて個人情報を取得・利用する こと等について、不正取得や不適正利用等の規律をどのように適用すべきか、継続的に検討する必要がある。
個人関連情報については、事業者が、電話番号、メールアドレス、Cookie ID など、個人に対する連絡が可能な情報を有している場合 2 には、個人関連情報の 取扱いによりプライバシーなどの個人の権利利益が侵害される蓋然性が認めら れ、その侵害の程度・蓋然性は、事業者による利用の方法によっては、個人情報 と同様に深刻なものになり得ると考えられる。そのため、このような場合につい て、不正取得や不適正利用等への対応の在り方を検討する必要がある。
2024/3/6 第275回個人情報保護委員会
(1)個人の権利利益のより実質的な保護の在り方①について
個人情報保護法 いわゆる3年ごと見直し規定に基づく検討(個人の権利利益のより実質的な保護の在り方①) (PDF : 683KB)
議事概要 (PDF : 252KB) 議事録 (PDF : 283KB)
2) 第三者提供規制の在り方(オプトアウト等)
相次ぐ特殊詐欺や持ち出し事案のデータが、名簿屋に販売されていることを受け、
オプトアウト届出事業者向けのルール厳格化として、
・提供先の利用目的や身元の確認義務?
・取得元における取得の経緯や取得元の身元等の確認について、より高度の注意義務
個人の権利利益の保護をはかるための個人への措置として、(現在はどこに自分の個人データが売られているかわからず、オプトアウトのやりようがないという実態をふまえ)、
・本人のオプトアウト権行使の実効性を高めるための措置
があげられています。
【考え方】
オプトアウト届出事業者は、提供先の利用目的や身元等について、その内容や真偽を積極的に確認する義務まではないことから、明確に認識しないまま意図せず犯罪グループに名簿を提供してしまうことが生じ得る。そこで、一定の場合には提供先の利用目的や身元等を特に確認する義務を課すことについて検討する必要がある。その際、確認義務の要件についての検討や、住宅地図等を広く市販する場合など規律の在り方についても検討が必要である。
また、不正に名簿等を持ち出した者が、当該名簿等により利益を得る有力な方法として、オプトアウト届出事業者への販売が想定される。そのため、オプトアウト届出事業者には、取得元における取得の経緯や取得元の身元等の確認について、より高度の注意義務を課すことが考えられる。具体的には、一定の場合には取得元の身元や取得の適法性を示す資料等を特に確認する義務を課すことについて検討する必要がある。その際、確認義務の要件や対象の類型化についての検討が必要である。
さらに、本人が、オプトアウト届出事業者によって個人情報が提供されており、かつ、当該提供の停止を求めることができることを確実に認識できるようにするための措置など、本人のオプトアウト権行使の実効性を高めるための措置について、継続して検討する必要がある。
2024/4/24 第281回個人情報保護委員会
・個人情報保護法 いわゆる3年ごと見直し規定に基づく検討(個人の権利利益のより実質的な保護の在り方③)(PDF : 428KB)
・議事概要 (PDF : 221KB)議事録 (PDF : 348KB)
3)こどもの個人情報等に関する規律の在り方
5論点と、気合が入っているこども。
要配慮個人情報として、取得時に同意が必要とすることはしない前提での案となっています。
ア 法定代理人の関与
16歳未満の場合、現行法の同意取得や通知の場面で、本人ではなく、法定代理人(親等)に同意、通知することの明確化
イ 利用停止等請求権の拡張
(不適正な場合に限らず)利用停止請求を認める方向
ウ 安全管理措置義務の強化
具体的にどう強化するかまでの言及はなし。
memo: 管理レベルを変える前提とすると、社内でこどものデータの分別が必要となりそう…?
エ 責務規定
事業者が留意すべき責務の明文化を予定
オ 年齢基準
現在のQA内容と同じ、16歳未満が基準に
【考え方】
こどもの個人情報の取扱いに係る規律については、こどもの脆弱性・敏感性及びこれらに基づく要保護性を考慮するとともに、学校等における生徒の教育・学習に関するデータの有用性も考慮する必要がある。これを踏まえ、主要各国においてこどもの個人情報等に係る規律が設けられており、執行事例も多数見られることも踏まえ、こどもの権利利益の保護という観点から、規律の在り方の検討を深める必要がある。
他方で、第三者が公開したこどもの個人情報を取得する場合などにおいては、取得した情報にこどもの個人情報とこども以外の者の個人情報が含まれている場合や、こどもの個人情報が含まれているかが明らかでない場合があり得ることから、こうした場合における事業者の負担を考慮する必要がある。
ア 法定代理人の関与
現行法上、原則として本人同意の取得が必要とされている場面(目的外利用(法第 18 条第2項)、要配慮個人情報の取得(法第 20 条第2項)、個人データの第三者提供(法第 27 条第1項、第 28 条1項)、個人関連情報の第三者提供(法第 31 条第1項)など)において、こどもを本人とする個人情報について、法定代理人の同意を取得すべきことを法令の規定上明確化することを検討する必要がある。
また、本人に対する通知等が必要となる場面(利用目的の通知(法第 21 条第1項)、本人から直接書面に記載された個人情報を取得する場合における利用目的の明示(同条第2項)、漏えい等に関する本人への通知(法第 26 条第2項)など)においても、こどもを本人とする個人情報について、法定代理人に対して情報提供すべきことを法令の規定上明文化することを検討する必要がある。
イ 利用停止等請求権の拡張
現行法上、利用停止等請求権を行使できる場面は、保有個人データについて違法行為があった場合等限定的であるが、こどもの要保護性を踏まえると、こどもを本人とする保有個人データについては、他の保有個人データ以上に柔軟に事後的な利用停止を認めることについて検討する必要がある。ただし、取得について法定代理人の同意を得ている場合等、一定の場合においてはその例外とすることも考えられる。
ウ 安全管理措置義務の強化
重大なこどもの個人情報の漏えい事件が国内で発生しており、委員会においても前述の大手学習塾に対する指導に際して「こどもの個人データについては、こどもの「安全」を守る等の観点から、特に取扱いに注意が必要であり、組織的、人的、物理的及び技術的という多角的な観点からリスクを検討し、必要かつ適切な安全管理措置を講ずる必要がある」旨述べているところである。そこで、こどもの個人データについて安全管理措置義務を強化することがあり得る。
エ 責務規定
上記アからウにかかわらず、各事業者の自主的な取組の促進という観点から は、こどもの個人情報等の取扱いについては、こどもの最善の利益を優先し特別 な配慮を行うべき等、事業者等が留意すべき責務を定める規定を設けることも 検討する必要がある。
オ 年齢基準
こどもの個人情報等の取扱いに係る年齢基準の考え方については、国内外の 法制度において様々な年齢基準が設けられていることや、対象年齢によっては 事業者等の負担が大きくなることも考慮する必要があるが、対象とするこども の年齢については、Q&A の記載や GDPR の規定の例などを踏まえ、16 歳未満とす ることについて検討を行う。
2024/4/10 第280回個人情報保護委員会
(1)個人の権利利益のより実質的な保護の在り方②について
・個人情報保護法 いわゆる3年ごと見直し規定に基づく検討(個人の権利利益のより実質的な保護の在り方② ) (PDF : 568KB)
・議事概要 (PDF : 252KB) 議事録 (PDF : 283KB)
4)個人の権利救済手段の在り方
適格消費者団体を念頭においた団体請求制度の論点、
⚫︎差止請求制度
・法に違反する不当な行為を対象行為とすることを検討すべき
としながらも、その実現には、受け皿となる適格消費者団体のパワーアップが不可欠として、継続検討となっています。
【考え方】
法の規定に違反する個人情報の取扱いに対する抑止力を強化し、本人に生じた被害の回復の実効性を高めるという観点からは、適格消費者団体を念頭に置いた、団体による差止請求制度や被害回復制度の枠組みは有効な選択肢となり得る。
このうち、差止請求制度については、法に違反する不当な行為を対象行為とすることを検討すべきである。差止請求の実効的な運用のためには、次の課題が指摘されている一方で、差止請求は個人の権利利益保護の手段を多様化する、委員会の監視・監督機能を補完し得るとの指摘もあることから、継続して検討する必要がある。
・ 専門性の確保(法に精通した人材を各適格消費者団体が確保しているとは限らないため、研修等の実施や、制度導入初期段階での専門家確保のための施策が必要と考えられる。)
・ 端緒情報等の共有・立証等における考慮(委員会が取得している情報のうち重大案件と考えられるものについて、事業者名を特定して適格消費者団体に提供できると、制度が効果的に機能すると考えられる。また、事業者の応答を促す仕組み等についても検討すべき。)
・ 報告、監督窓口の一本化(年次の報告先等が2箇所となれば適格消費者団体の負担となる。)
・ 資金を含む団体への援助(適格消費者団体は限られた資金の下ボランティアベースで運営されている団体が大多数。)
⚫︎被害回復制度
・更に慎重な検討が必要
として、まずは差止請求制度の実現の検討を優先とするような雰囲気を感じます。
もう一方の被害回復制度については、差止請求制度の課題に加え、個人情報の漏えいに伴う損害賠償請求は極端な少額大量被害事案となる(過去の裁判例等を踏まえると、認容被害額は数千円から数万円程度と考えられる。)こと、立証上の問題があることが課題と考えられることから、更に慎重な検討が必要である。
他方で、団体による差止請求や被害回復の枠組みについては、関係団体からのヒアリングにおいて、その導入について強く反対との意見があったところであり、法に違反する行為や不法行為を対象とする場合であっても、萎縮効果の懸念が示されていることから、事業者の負担と個人の権利利益の保護とのバランスを踏まえつつ、その導入の必要性を含めて多角的な検討を行っていく必要があ る。
2 実効性のある監視・監督の在り方
1)課徴金、勧告・命令等の行政上の監視・監督手段の在り方
ア 課徴金
何かと話題の課徴金。
意見の隔たりが大きいため、
・その導入の必要性を含めて検討
が、現時点の結論となりました!
【考え方】
課徴金制度については、関係団体からのヒアリングで強い反対意見が示されていることに加え、我が国の他法令における導入事例や国際的動向、個人の権利利益保護と事業者負担とのバランスを踏まえ、その導入の必要性を含めて検討する必要がある。
課徴金制度を導入する必要があると考えられる場合には、次のような論点を整理する必要がある。
・ 課徴金賦課の対象となる違法行為類型
(現行法の指導・勧告・命令のみでは違反行為により得た利得が事業者の元に残ることとなり、事業者による個人の権利利益の侵害を効果的に抑止できないことを前提に、個人データの違法な第三者提供等の違反行為によって不当な利得を得ている場合や、個人データの漏えい等が発生している可能性を認識したにもかかわらず、適切な措置を講じることを怠る等の悪質な違反行為により、本来なすべき支払を免れた場合等について検討することが必要である。)
・ 課徴金の算定方法
(例えば、個人データを販売することを通じて違法に第三者に提供した場合については、販売による売上という不当な利益が生じている点に着目することが考えられる。他方、悪質な安全管理措置義務違
反の場合には、本来なすべき支払を免れた結果として、事業活動から得られる利益が増加している点に着目することが考えられる。)
・ 課徴金の最低額の設定、一定の要件を満たした場合の課徴金の加減算等
イ 勧告・命令の在り方:
勧告・命令関係については、
・直ちに中止命令を出すことの必要性(勧告前置をmustとしない)
・関与する第三者に対しても行政上の措置をとることの必要性(第三者命令)
・個人の権利利益の保護に向けた措置を求めることの必要性の有無や手続保障などの検討
となっています。
memo: 確かに破産者マップ事案を見ていると、サイトを閉じさせたいのに、事業者がつかまらない。。ような場合には、関係する第三者に協力してもらう必要がある場合もありそうです。
が、過度にその範囲が広がらないよう、watchしていく必要もありそうですね。
【考え方】
勧告・命令に関しては、個人情報取扱事業者等による法に違反する個人情報等の取扱いにより個人の権利利益の侵害が差し迫っている場合に直ちに中止命令を出すことの必要性や、
法に違反する個人情報等の取扱いを行う個人情報取扱事業者等のみならず、これに関与する第三者に対しても行政上の措置をとることの必要性、
法に違反する個人情報等の取扱いの中止のほかに個人の権利利益の保護に向けた措置を求めることの必要性の有無や手続保障など、その法制上の課題等について検討すべきである。
1回目
2024/3/22 第277回個人情報保護委員会
(1)実効性のある監視・監督の在り方①について
個人情報保護法 いわゆる3年ごと見直し規定に基づく検討(実効性のある監視・監督の在り方①) (PDF : 386KB)
議事概要 (PDF : 157KB)議事録 (PDF : 329KB)
2回目
2024/5/29 第286回個人情報保護委員会
(1)実効性のある監視・監督の在り方③について
・個人情報保護法 いわゆる3年ごと見直し規定に基づく検討(実効性のある監視・監督の在り方③) (PDF : 1691KB)
・議事概要 (PDF : 158KB) 議事録 (PDF : 297KB)
2)刑事罰の在り方
前回、罰金額があがった刑事罰については、
・悪質事案を過不足なく対象としているか検証、処罰範囲、法定刑の適切性の検討
に加え、
・個人情報の詐取等の不正取得を直罰規定の対象に含めるべきか検討
となっています。
【考え方】
個人情報が不正に取り扱われた悪質事案の類型が様々であることを踏まえ、法の直罰規定がこれらの事案を過不足なく対象としているかを検証し、その処罰範囲について検討するとともに、法定刑の適切性についても検討する必要がある。
さらに、個人情報の詐取等の不正取得が多数発生している状況を踏まえ、こうした行為を直罰規定の対象に含めるべきかについても検討する必要がある。
3)漏えい等報告・本人通知の在り方
ア 漏えい報告・本人通知の在り方
関心の高い漏えい報告等の緩和論点
・本人の数が1名の場合で、一定の適切な対処がなされている事業者は、
速報不要、確報を一定期間の取りまとめ報告を許容とするもの
この適切な対処の体制・手順の整備ができていることの確認方法の例しては、認定個人情報保護団体などの確認、が考えられるとしています。
また、もうひとつ要望の多い、外部からの不正アクセス等による
・「おそれ」については、個人の権利利益を害する可能性等を勘案してより合理的と考えられる場合に報告や本人通知を求めることが適当であるとも考えられると、一定の譲歩姿勢を示しつつ、
事業者の協力も得ながら、実態を明らかにした上で検討を行い、必要となる要件の明確化を行う
と、継続議論となりました。
memo: 具体は今後も議論はあると思いますが、部分的でも、本人への適切な対処は行いつつ、報告については、形式主義ではなく、合理的に柔軟に対応する方向となってきたことは良かったと思います。
【考え方】
漏えい等報告及び本人通知に関し、漏えい等報告の件数は、令和4年度(2022年度)から漏えい等報告が義務化されたこと等により、令和元年度(2019 年度)以降全体として増加傾向にある一方で、関係団体等からはこれらの義務が事業者の過度な負担になっているという意見が示されている。
そこで、こうした意見も踏まえつつ、委員会がこれまでに受けた漏えい等報告の内容を検証した上で、上記制度の趣旨を損なわないようにしつつ、個人の権利利益侵害が発生するリスク等に応じて、漏えい等報告や本人通知の範囲・内容の合理化を検討すべきである。
この点、①上記のように、委員会がこれまでに受けた漏えい等報告を件数ベースでみると、漏えいした個人データに係る本人の数が1名である誤交付・誤送付案件が大半を占めているが、このようなケースは、当該本人にとっては深刻な事態になり得るものであり、本人通知の重要性は変わらないものの、本人通知が的確になされている限りにおいては、委員会に速報を提出する必要性が比較的小さい。
また、②漏えい等又はそのおそれを認識した場合における適切な対処(漏えい等が生じたか否かの確認、本人通知、原因究明など)を行うための体制・手順が整備されていると考えられる事業者については、一定程度自主的な取組に委ねることも考えられる。
そこで、例えば、体制・手順について認定個人情報保護団体などの第三者の確認を受けることを前提として、速報については、一定の範囲でこれを免除し、さらに①のようなケースについては確報について一定期間ごとの取りまとめ報告を許容することも考えられる。
また、関係団体からは、いわゆる「おそれ」要件についての要望も示されている。「おそれ」については、個人の権利利益を害する可能性等を勘案してより合理的と考えられる場合に報告や本人通知を求めることが適当であるとも考えられるが、その具体的な当てはめについては、現実の事例に応じて精査する必要がある。事業者の協力も得ながら、実態を明らかにした上で検討を行い、必要となる要件の明確化を行うことが必要である。
イ 違法な第三者提供
こちらは漏えい報告対象が増えそうな話。
・違法に第三者に提供した場合、報告義務及び本人通知義務の必要性を検討
また、対象とする場合、
・報告等の対象となる範囲を検討
【考え方】
現行法においては、事業者が個人データを違法に第三者に提供した場合について、報告義務及び本人通知義務は存在しないが、個人データが漏えい等した場合については事業者にこれらの義務が課されることとの均衡から、漏えい等との違いの有無も踏まえ、その必要性や報告等の対象となる範囲を検討する必要がある。
2024/5/15 第284回個人情報保護委員会
(3)実効性のある監視・監督の在り方③について
・個人情報保護法 いわゆる3年ごと見直し規定に基づく検討(実効性のある監視・監督の在り方②)
・議事概要 (PDF : 186KB)議事録 (PDF : 312KB)
3.データ利活用に向けた取組に対する支援等の在り方
1)本人同意を要しないデータ利活用等の在り方
こちら、元の資料↑では「公益に資する」データ利活用〜と範囲が限定されているように読めたところ、冠が取れました!やったー
⚫︎本人の権利利益が適切に保護されることを担保する前提で、本人同意を要しないとする例外規定を設ける方向で検討
その例外の外縁としては、以下があげられています
・社会にとって有益であり、公益性が高いと考えられる技術やサービス
・医療機関等における研究活動等に係る利活用のニーズ
また、
・契約の履行に伴う個人情報等の提供
・不正防止目的などでの利活用
さらに、その検討においては、
・関係府省庁も含めた検討や意思決定
・ガイドラインの記載等についてステークホルダーと透明性のある形で議論する場の設定
memo: 開かれた検討の場が設けられていく気配があるのは朗報ですね!
【考え方】
昨今のデジタル化の急速な進展・高度化に伴い、生成 AI 等の新たな技術の普及等により、大量の個人情報を取り扱うビジネス・サービス等が生まれている。また、健康・医療等の公益性の高い分野を中心に、機微性の高い情報を含む個人情報等の利活用に係るニーズが高まっている。このほか、契約の履行に伴う個人情報等の提供や、不正防止目的などでの利活用についてもニーズが寄せられている。
こうした状況を踏まえ、法で本人同意が求められる規定の在り方について、個人の権利利益の保護とデータ利活用とのバランスを考慮し、その整備を検討する必要がある。この場合においては、単に利活用の促進の観点から例外事由を認めるのは適当ではなく、本人の権利利益が適切に保護されることを担保することが必要である。
まず、生成 AI などの、社会の基盤となり得る技術やサービスのように、社会にとって有益であり、公益性が高いと考えられる技術やサービスについて、既存の例外規定では対応が困難と考えられるものがある。これらの技術やサービスについては、社会的なニーズの高まりや、公益性の程度を踏まえて、例外規定を設けるための検討が必要である。この際、「いかなる技術・サービスに高い公益性が認められるか」について、極めて多様な価値判断を踏まえた上で高度な意思決定が必要になる。個人の権利利益の保護とデータ利活用の双方の観点から多様な価値判断が想定されるものであり、関係府省庁も含めた検討や意思決定が必要と考えられる。
また、医療機関等における研究活動等に係る利活用のニーズについても、公益性の程度や本人の権利利益保護とのバランスを踏まえて、例外規定に係る規律の在り方について検討する必要がある。例えば、医療や研究開発の現場における公衆衛生例外規定の適用のように、例外規定はあるものの、適用の有無に関する判断にちゅうちょする例があるとの指摘がある。こうした点等については、事業者の実情等も踏まえつつ、関係府省庁の関与を得ながら、ガイドラインの記載等についてステークホルダーと透明性のある形で議論する場の設定に向けて検討する必要がある。
2024/5/15 第284回個人情報保護委員会
(2)データ利活用に向けた取組に対する支援等の在り方について)
個人情報保護法 いわゆる3年ごと見直し規定に基づく検討(データ利活用に向けた取組に対する支援等の在り方) (PDF : 1139KB)
2)民間における自主的な取組の促進
ア PIA
現行は望ましい対応レベルのPIA、
一旦は変わらず、
・民間における自主的な取組という現状の枠組みを維持
一方、
・一層の促進のため、データマッピングを活用
としています。
【考え方】
PIA・個人データの取扱いに関する責任者は、データガバナンス体制の構築において主要な要素となるものであり、その取組が促進されることが望ましい。他方、これらの義務化については、各主体における対応可能性や負担面などを踏まえ、慎重に検討を進める必要がある。
PIA については、民間における自主的な取組という現状の枠組みを維持しつつ、その取組を一層促進させるための方策について、PIA の出発点となり得るデータマッピングを活用していくことを含め、検討を進める必要がある。
イ 責任者の設置:
現状は、安全管理措置(組織的安全管理の内数)として明確な義務がとまでなっていないところ、
・「組織体制の整備」を超えた措置の必要性の検討
として、もう一歩進んだ規範化検討のもよう
但し、
・義務とする対象事業者の範囲
・(責任者の)資格要件の要否
等の具体は、企業の現状ふまえて検討、となっています。
【考え方】
個人データの取扱いに関する責任者に関しては、現行の通則ガイドライン等で定める「組織体制の整備」を超えた措置の必要性について検討を進めるべきである。
資格要件の要否、設置を求める対象事業者の範囲等によりその効果が変わってくると考えられるところ、各企業の現状も踏まえ、現実的な方向性を検討する必要がある。
4 その他
また、これまでの検討論点に加え、以下がその他として、引き続き検討、および議論の場を作るとしています。
検討論点
・プロファイリング
・個人情報等に関する概念の整理
・プライバシー強化技術(「PETs」:Privacy Enhancing Technologies)の位置づけの整理
・金融機関の海外送金時における送金者への情報提供義務の在り方
・ゲノムデータに関する規律の在り方
・委員会から行政機関等への各種事例等の情報提供の充実
memo:うち、最初の3論点は追加の議論内容がとても楽しみです!特に、個人情報等の概念の整理は本質的な問題だけに、重要ですよねー
また、委員会が関係の深いステークホルダーと透明性のある形で継続的に議論する場についても、大いに期待したいところです!
・個人情報保護政策の方向性
・本人同意を要しないデータ利活用に関係するガイドライン等の見直しの在り方
上記のほか、プロファイリング(本人に関する行動・関心等の情報を分析する 処理)、個人情報等に関する概念の整理、プライバシー強化技術(「PETs」:Privacy Enhancing Technologies)の位置づけの整理、金融機関の海外送金時における送金者への情報提供義務の在り方、ゲノムデータに関する規律の在り方、委員会から行政機関等への各種事例等の情報提供の充実などの論点についても、ステー クホルダーの意見やパブリック・コメント等の結果を踏まえ、引き続き検討する。
また、個人情報保護及びその利活用とのバランスの在り方が国民各層にとって重要な課題であり、その重要性は以前にも増して高まっていることを踏まえ、委員会が関係の深いステークホルダーと透明性のある形で継続的に議論する場を設け、個人情報保護政策の方向性や、本人同意を要しない公益に資するデータ利活用に関係するガイドライン等の見直しの在り方などについて、検討していくこととすることも考えられる。
以上が、論点別のサマリーでした!
以上、ぎりぎり6月最終週にはじまったパブコメ。
これまで、メディアや法律事務所などのニューズレターも動きは鈍かったですが、徐々に増えていくでしょうか?
引き続き、追いかけていきたいと思います。
それでは、また!
今日のDall-E3
中間整理関係note(こんなのも書いてます)
○で、現行法のどのあたりに影響がありそうか知りたい人向け
○論点ごとに有識者の意見の違いを見てみたい人向け
○これまでの検討を時系列に見てみたい人向け
○前回の3年見直しがどんなふうに進んだか見てみたい人向け