個情法3年ごと見直し「中間整理」の論点マッピングにTRY!(で、どのあたり?)
こんにちは!
金曜の大雨が嘘のようにきもちいい週末ですね!
「中間整理」については、大手法律事務所のニューズレター等も、28日にいくつか公表されました。
週末に客観的に改めて見ると、自分のまとめも含め、サマればサマるほど、法のどのあたりが変わるか、実務上の影響があるか、見えにくくなるよなぁ〜とも感じます。
来週から社内に3年見直しの説明の準備
— Ami (@Informationlaw1) June 28, 2024
今回の論点も、現行法の骨組みが頭に入ってないと、改正予定部分だけ聞いてもピンとこないだろうなぁと妄想🤔
はっ!
情報(生体情報とこども追加)✖️4つの場面で、変更部分ハイライトしたら?
「ははーん、そのあたりね」がわかりやすくなるかも? Try it !
現時点での改正内容の解像度が低いのは、途中段階なので仕方ないとしても、もう少し感覚的にわかる、伝え方の工夫はできないものか…?
「日頃の実務でなじみのあるスキームでいうと、だいたいこのあたりかな?」
「あぁ、その辺りね!
そこに手が入るなら、こっちにも関係出てくるんじゃない?」
そんな会話のキャッチポールをするためのたたき台があるとよいのかも?
そこで、今日は、
情報の種類 ✖️ 個人情報取り扱いの場面
にあてはめると、どのあたりが変わるの?、通則GLだとどのあたり?の説明にトライしてみたいと思います。
(注:なお、中間整理の「考え方」は、その定義や該当条文がまだ不明なものもあります。従って、図解は、イメージをつかむことが目的であり、正確性を欠き、個人の推測も含むことにご注意ください)
1 おさらい:「中間整理」における【考え方】論点
おとといのnote↓でみたように、
今回の中間整理の論点は、2月に公表された3分類の検討項目ごとに
以下のように整理されています。
1. 個人の権利利益の実質的な保護の在り方
1)個人情報等の適正な取扱いに関する規律の在り方
ア 生体データ
イ 不適正取得、不適正利用
2) 第三者提供規制の在り方(オプトアウト等)
3)こどもの個人情報等に関する規律の在り方
ア 法定代理人の関与
イ 利用停止等請求権の拡張
ウ 安全管理措置義務の強化
エ 責務規定
オ 年齢基準
4)個人の権利救済手段の在り方
⚫︎差止請求制度
⚫︎被害回復制度
2 実効性のある監視・監督の在り方
1)課徴金、勧告・命令等の行政上の監視・監督手段の在り方
ア 課徴金
イ 勧告・命令の在り方:
2)刑事罰の在り方
3)漏えい等報告・本人通知の在り方
ア 漏えい報告・本人通知の在り方
イ 違法な第三者提供
3.データ利活用に向けた取組に対する支援等の在り方
1)本人同意を要しないデータ利活用等の在り方
2)民間における自主的な取組の促進
ア PIA
イ 責任者の設置
4 その他
通常業務でなじみのない言葉もあり、ちょっと取っ付きにくいところもあるのも事実です。
2 論点をマッピングしてみる
そこで、マッピングは、1の検討論点をなじみのある法の構造に近い白地図にマッピングするイメージで進めます。
マッピングする白地図のイメージ
情報の種類 ✖️ 個人情報取り扱いの場面
マトリックスのどのセルに、今回の改正の検討項目の規範が位置付けられるか、マッピングしていきます。
(注:なお、縦軸の情報の種類は、厳密には、個人情報と個人データの区別、加工情報等もありますが、今回の論点に関係するものだけを抜き出していることにご留意ください)
マッピングしてみた結果
白地図マッピングした結果が、下図です!
ぱっと見、
●横線タイプ:情報の種類(こども・生体データ・本人に到達可能な個人関連情報)の定義追加で、複数の場面で追加になる規範 ①〜③
●縦線タイプ:各場面に特化した規範で、個人データ、または個人関連情報の一部にまでにかかるもの ④〜⑩
●枠外:個人情報保護委員会による指導、命令系
の3種類があることがわかりますね!
やってみると、ひとつの論点で、あちこちの規範に影響することに改めて気づくものもありました。また、よく考えると中間整理に書いてないものの範囲はここまで広がる??と思うものもありました。
そこで、次の章では、個別論点ごとに抽出して、通則GLでいうとどのあたりになるのか、具体を見ていきたいと思います。
3 個別論点別に影響範囲を見てみる
個別論点別に、どの情報・場面にマッピングされ、どのあたりの条文/GLに影響があるのか?
説明の構成
図から明確になった3種類のタイプごとに、一般企業にとって重要と思われる論点別に以下の3つの切り口で説明します。
・規範案の範囲(筆者のguess)
→図(個人情報保護委員会の中間整理の項番に対応)
・中間整理(目次レベルを筆者が抜き出し)
・条文の該当箇所guess(筆者の妄想)
→規範検討項目案*ごとに通則GLとの対応
●横線タイプ
情報の種類の定義追加で、複数の場面で追加になる規範
<規範案の範囲>(筆者のguess)
このタイプは、
①こども、②生体データ、③本人到達可能な個人関連情報の3つです。
(このうち、③は、元のPPC中間整理では、不適正利用の後半に潜んでいるのですが、意外と侮れない気がするので独立させました)
①こども
最重要の論点は、なんといってもコレ!
中間整理では、アイウエオの5項目ですが、ア法定代理人は現在の法で同意や通知が必要な箇所全部のため、範囲がめちゃくちゃ広いです。。
<規範案の範囲>(筆者のguess)
(こどもデータの範囲は、②の生体データにも該当する場合が出てくると思われますが、図では省略しています)
<中間整理>(目次レベル箇条書き)
1. 個人の権利利益の実質的な保護の在り方
3)こどもの個人情報等に関する規律の在り方
ア 法定代理人の関与
イ 利用停止等請求権の拡張
ウ 安全管理措置義務の強化
エ 責務規定
オ 年齢基準
<条文の該当箇所guess>(妄想)
エ 責務規定:
▶︎新設 通則GL1 目的及び適用対象 のどこか?
オ 年齢基準:
▶︎新設 通則GL2 定義に項目「こども」の定義を新設?
▶︎QA1−62 の修正
ア 法定代理人の関与:
▶︎新設 全般は、上記エ、オと合わせて記載?
加えて、以下の、同意、通知の全ての箇所に説明追記?(祭りdesu!)
▶︎通則GL2-16 「本人の同意」
○本人の同意に関する条文
法第18条(第1項)個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。(3-1-3 利用目的による制限(法第18条第1項関係))
※(参考)上記のほか、「本人の同意」に関する主な条文
①利用目的に関するもの
法第18条第2項及び第3項第2号から第4号まで(3-1-4(事業の承継)、3-1-5(利用目的による制限の例外)参照)
②要配慮個人情報の取得に関するもの
法第20条第2項(3-3-2(要配慮個人情報の取得)参照)
③個人データの第三者提供に関するもの
法第27条第1項及び第28条第1項(3-6-1(第三者提供の制限の原則)、3-6-4(外国にある第三者への提供の制限)参照)
④個人関連情報の第三者提供に関するもの
法第31条第1項(3-7(個人関連情報の第三者提供の制限等)参照)
○本人に通知に関する条文
法第21条(第1項)個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。(3-3-3 利用目的の通知又は公表(法第21条第1項関係))
※(参考)上記のほか、「本人に通知」に関する主な条文
① 利用目的に関するもの
法第21条第3項及び第4項(3-1-2(利用目的の変更)、3-3-5(利用目的の通知等をしなくてよい場合)参照)
② 漏えい等に関するもの
法第26条第2項(3-5-4(本人への通知)参照)
③ 個人データの第三者提供に関するもの
法第27条第2項及び第3項、並びに第5項第3号及び第6項(3-6-2(オプトアウトによる第三者提供)、3-6-3(第三者に該当しない場合)参照)
④ 外国にある第三者への提供における情報提供に関するもの
法第28条第3項並びに規則第18条第4項及び第5項(3-6-4(外国にある第三者への提供の制限)参照)
⑤ 開示等の請求等に関するもの
法第32条第2項及び第3項、法第33条第3項(同条第5項において準用する場合を含む。)、法第34条第3項並びに法第35条第7項(3-8-1(保有個人データに関する事項の公表等)、3-8-2(保有個人データの開示)、3-8-3(第三者提供記録の開示)、3-8-4(保有個人データの訂正等)、3-8-5(保有個人データの利用停止等)参照)
イ 利用停止等請求権の拡張(事後的な請求を柔軟化)
▶︎通則GL3-8-5 保有個人データの利用停止等(法第35条関係) ?
ウ 安全管理措置義務の強化(こどものデータの分別?)
▶︎通則GL3-4-2 安全管理措置(法第23条関係) ?
ハンイヒロイデスネ…
②生体データ
情報系規律2番手。特に要保護性が高いと考えられる生体データについて、実効性ある規律を設ける方向として、利用目的の具体特定や本人による事後的な利用停止が検討されています。
一方、(要配慮個人情報に含めることとはならなかったため)取得時の同意や第三者提供の上乗せは含まれていません)
また、情報の範囲についての説明はありませんが、検討時の資料に個人識別符号に該当するとの記述があり、今後範囲の明確化がされると思われます。
<規範案の範囲>(筆者のguess)
(生体データの範囲は、①のこどものデータにも該当する場合が出てくると思われますが、図では省略しています)
<中間整理>(目次レベル箇条書き)
1. 個人の権利利益の実質的な保護の在り方
1)個人情報等の適正な取扱いに関する規律の在り方
ア 生体データ
<条文の該当箇所guess(妄想)
・対象となる要保護性の高い生体データの定義
▶︎通則GL2-2 個人識別符号(法第2条第2項関係) ?
・利用目的をより具体的に特定
▶︎通則GL3-1-1 利用目的の特定(法第17条第1項関係) ?
・(同意を必ずしも必須としないかわりに)生体データに関する通知または十分な周知
▶︎通則GL2-14 「本人に通知」? 3-8-1 保有個人データに関する事項の公表等(法第32条関係) ?
▶︎犯罪予防や安全確保のための顔識別機能付きカメラシステムの利用について(令和5年3月) の修正
▶︎カメラに関するQ&A(「『個人情報の保護に関する法律についてのガイドライン』に関するQ&A」より抜粋) の修正
・本人による事後的な利用停止を他の保有個人データ以上に柔軟に可能に (現行法利用停止は、不適正な利用等の場合のみ)
▶︎通則GL3-8-5 保有個人データの利用停止等(法第35条関係) ?
③本人到達可能な個人関連情報に不適正規範を適用
電話番号、メールアドレス、Cookie ID など、個人に対する連絡が可能な情報を有している場合は、それが個人データではなく個人関連情報であっても、不適正取得・不適正利用の規範対象化を検討するという論点。
その適用範囲の具体化・類型化(後述④)とセットです。
<規範案の範囲>(筆者のguess)
これらは、(容易照合性やメアドの一部で氏名がわかる場合)個人データとなり、事業者によっては、「パーソナルデータ」として個人データ相当での取り扱いをしている場合もあります。
一方、一部の事業者では、大量のこれらの情報を集めて不適正な取得・利用している場合があり、委員会は、現状違法とみなせず、指導ができない状況を打開しようとしている気配です。
これまで、個人関連情報は、第三者提供する時だけ気にすればよい存在でしたが、本人到達可能な情報かどうかを仕分けして考えないといけないかも?なことは実務上悩ましいポイント。(これを機に社内ルールにおいては、これらの情報を個人データ扱いする企業も増えそうな気がします…)
<中間整理>(目次レベル箇条書き)
1. 個人の権利利益の実質的な保護の在り方
1)個人情報等の適正な取扱いに関する規律の在り方
イ 不適正取得、不適正利用
<条文の該当箇所guess>(妄想)
・個人関連情報の定義を何らか2色に分類?
▶︎通則GL2-8 個人関連情報(法第2条第7項関係)
・不適正取得の範囲に追記
▶︎通則GL3-3-1 適正取得(法第20条第1項関係)
・不適正利用の範囲に追記
▶︎通則GL3-2 不適正利用の禁止(法第19条関係)
・利用停止?(中間整理に記載ありませんが、不適正利用とセットで権利が発生しそうな気がします…)
▶︎通則GL3-8-5 保有個人データの利用停止等(法第35条関係) ?
●縦線タイプ
次は、各場面に特化した規範の追加、または緩和のタイプです。
このタイプは、場面別に分けると7つ。
うち、規範の緩和が2つ、強化・明確化(継続検討含む)が5つです。
<規範案の範囲>(筆者のguess)
④不適正取得・不適正利用の類型明確化
不適正取得、不適正利用の不適正とはがよくわからないという声に対し、これまでの事案もふまえ、適用される範囲の具体化・類型化を行うという論点。法改正というより、GLレベルの追記が想定されているようです。
前述③のように個人関連情報の一部にも範囲を広げることとセットで検討がされています。
<規範案の範囲>(筆者のguess)
<中間整理>(目次レベル箇条書き)
1. 個人の権利利益の実質的な保護の在り方
1)個人情報等の適正な取扱いに関する規律の在り方
イ 不適正取得、不適正利用
参考
令和2年改正個人情報保護法について (令和4年3月) での不適正利用の説明
<条文の該当箇所guess>(妄想)
・不適正取得の適用される範囲の具体化・類型化
▶︎通則GL3-3-1 適正取得(法第20条第1項関係)
・不適正利用の適用される範囲の具体化・類型化
▶︎通則GL3-2 不適正利用の禁止(法第19条関係)
⑤違法な第三者提供を漏えい報告対象に追加
現行法で「個人情報漏えい」の場合、漏えい報告が必要ですが、違法な第三者提供の場合は漏えい報告義務の対象にならないため、これを報告対象にしようという論点です。
<規範案の範囲>(筆者のguess)
<中間整理>(目次レベル箇条書き)
2 実効性のある監視・監督の在り方
3)漏えい等報告・本人通知の在り方
イ 違法な第三者提供
<条文の該当箇所guess>(妄想)
・第三者提供の違反は漏えい報告対象を明確化?
▶︎通則GL3-6-1 第三者提供の制限の原則(法第27条第1項関係)
・漏えいの範囲の見直し?
▶︎3-5-1-2 個人データの漏えい等の報告等(法第26条関係)「漏えい」の考え方
参考)現行法での「漏えい」の定義、「提供」の定義
3-5-1-2 「漏えい」の考え方
個人データの「漏えい」とは、個人データが外部に流出することをいう。
【個人データの漏えいに該当する事例】
事例1)個人データが記載された書類を第三者に誤送付した場合
事例2)個人データを含むメールを第三者に誤送信した場合
事例3)システムの設定ミス等によりインターネット上で個人データの閲覧が可能な状態となっていた場合
事例4)個人データが記載又は記録された書類・媒体等が盗難された場合
事例5)不正アクセス等により第三者に個人データを含む情報が窃取された場合
事例6)個人情報取扱事業者のウェブサイトの入力ページが第三者に改ざんされ、ユーザーが当該ページに入力した個人情報が、当該第三者に送信された場合であり、かつ、当該個人情報取扱事業者が、当該ページに入力される個人情報を個人情報データベース等へ入力することを予定していたとき
なお、個人データを第三者に閲覧されないうちに全てを回収した場合は、漏えいに該当しない。また、個人情報取扱事業者が自らの意図に基づき個人データを第三者に提供する場合(※)は、漏えいに該当しない。
(※)個人情報取扱事業者は、個人データの第三者への提供に当たり、原則としてあらかじめ本人の同意を取得する必要がある。
「提供」とは、個人データ、保有個人データ、個人関連情報、仮名加工情報又は匿名加工情報(以下この項において「個人データ等」という。)を、自己以外の者が利用可能な状態に置くことをいう。個人データ等が、物理的に提供されていない場合であっても、ネットワーク等を利用することにより、個人データ等を利用できる状態にあれば(利用する権限が与えられていれば)、「提供」に当たる。
・漏えい報告の報告対象事態に違法な第三者提供を行なった場合を追記?
▶︎通則GL3-5-3-1 個人情報保護委員会への報告(法第26条第1項関係)報告対象となる事態
⑥1件の場合の漏えい報告の緩和
本人の数が1名の場合で、一定の適切な対処がなされている事業者は、
速報不要、確報を一定期間の取りまとめ報告を許容とする論点。
一方、「おそれ」の場合の緩和は継続検討です。
<規範案の範囲>(筆者のguess)
<中間整理>(目次レベル箇条書き)
2 実効性のある監視・監督の在り方
3)漏えい等報告・本人通知の在り方
ア 漏えい報告・本人通知の在り方
<条文の該当箇所guess>(妄想)
・個人情報保護委員会への報告基準の変更
▶︎通則GL3-5-3 個人情報保護委員会への報告(法第26条第1項関係)3-5-3-3 速報(規則第8条第1項関係) 3-5-3-4 確報(規則第8条第2項関係)
▶︎漏えい等の対応とお役立ち資料 の修正
・漏えいの「おそれ」 の場合の報告緩和の明記(継続検討)
▶︎通則GL3-5-3 個人情報保護委員会への報告(法第26条第1項関係)3-5-3-1 報告対象となる事態
⑦第三者提供で同意を不要とする例外規定の追加
経済界、政界等からもっとも要求の多い第三者提供緩和のテーマ。
一部メディアの記事では生成AIへの利用が全て同意不要とも取れる書きぶりも見られますが、「中間整理」では、
本人の権利利益が適切に保護されることを担保する前提で、本人同意を要しないとする例外規定を設ける方向で検討となっており、
その前提が何か、はこれから議論と思われます。
<規範案の範囲>(筆者のguess)
また、その例外の範囲(同意を緩和する用途)もこれからですが、
確度が高いのは、
・社会にとって有益であり、公益性が高いと考えられる技術やサービス
・医療機関等における研究活動等に係る利活用のニーズ
二番手が、
・契約の履行に伴う個人情報等の提供
・不正防止目的などでの利活用
と読み取れます。
ということで、この規範は、第三者提供の場面で同意が必要とされる情報の範囲全部と思われます。(個人関連情報の第三者提供で相手先で個人データとなる場合にも適用されるのかは、未議論)
<中間整理>(目次レベル箇条書き)
3.データ利活用に向けた取組に対する支援等の在り方
1)本人同意を要しないデータ利活用等の在り方
<条文の該当箇所guess>(妄想)
・本人の権利利益が適切に保護されることを担保する前提で、本人同意を要しない第三者提供を可能とする例外規定を設ける
▶︎通則GL3-6-1 第三者提供の制限の原則(法第27条第1項関係)
・個人関連情報の第三者提供の例外規定? (未議論)
▶︎3-7 個人関連情報の第三者提供の制限等(法第31条関係)
⑧責任者の設置義務化?
民間の自主的取組みでは、PIAと(いわゆるDPO等)責任者の設置があがっています。いずれも現行法では、参考情報レベル。安全管理措置の別添講ずべき安全管理措置「組織体制の整備」の参考情報、努力義務レベルです。
現時点で、参考情報から格上げ(義務化)継続検討するのは責任者の設置の論点のみで、その対象事業者の範囲や資格要件と合わせて議論される見込みです。
<規範案の範囲>(筆者のguess)
<中間整理>(目次レベル箇条書き)
2)民間における自主的な取組の促進
ア PIA
イ 責任者の設置
<条文の該当箇所guess>(妄想)
・責任者の設置 (「組織体制の整備」を超えた措置の必要性の検討)
-義務とする対象事業者の範囲
-(責任者の)資格要件の要否
▶︎通則GL10-3 組織的安全管理措置 (1)組織体制の整備
→新設の場合、通則GL3-4 個人データの管理(法第22条~第25条関係)に項を追加?
参考)データガバナンス(民間の自主的取組) 個人データの取扱いに関する責任者・責任部署の設置に関する事例集
・PIAの推進 (法令化はないものの、一層の推進?)
▶︎通則GL10-3 組織的安全管理措置 (3)個人データの取扱状況を確認する手段の整備
参考)データガバナンス(民間の自主的取組) データマッピング
⑨オプトアウト届出制度による第三者提供の規範厳格化
相次ぐ特殊詐欺や持ち出し事案のデータが、名簿屋に販売されていることを受け、オプトアウト届出事業者向けのルール厳格化。
多くの企業には直接の関係はない論点です。
<規範案の範囲>(筆者のguess)
一方、個人の請求権にもマッピングされているように、1個人としては、関心を持つべき論点を含みます。
現在、自分の個人データが名簿屋で販売されている可能性があっても、法で開示や利用停止請求の権利の定めはあるとはいえ、請求を行うのは容易ではありません。届出されているオプトアウト事業者は個人情報保護委員会のHPに掲載がありますが、たくさんありすぎて、ひとつづつ聞くというのは考えにくかったのです。。実効性のある請求がしやすくなる規範とはどんなものになるのか、期待です!
<中間整理>(目次レベル箇条書き)
1. 個人の権利利益の実質的な保護の在り方
2) 第三者提供規制の在り方(オプトアウト等)
<条文の該当箇所guess>(妄想)
・提供先の利用目的や身元の確認義務?
▶︎通則GL3-6-2 オプトアウトによる第三者提供(法第27条第2項~第4項関係)
・取得元における取得の経緯や取得元の身元等の確認の厳格化
▶︎通則GL3-6-2 オプトアウトによる第三者提供(法第27条第2項~第4項関係)
▶︎通則GL3-6-6 第三者提供を受ける際の確認等(法第30条関係)
・本人のオプトアウト権行使の実効性を高めるための措置
▶︎通則GL3-8-5 保有個人データの利用停止等(法第35条関係) ?
⑩差止請求等団体訴訟制度の新設?
継続検討となったテーマです。
差止請求も被害者回復制度もどちらもやるとすると新設かつ、受け皿となる「適格消費者団体」ありきのため、今回は難しいのでは?との声もあるようです。
<規範案の範囲>(筆者のguess)
<中間整理>(目次レベル箇条書き)
4)個人の権利救済手段の在り方
⚫︎差止請求制度
⚫︎被害回復制度
<条文の該当箇所guess>(妄想)
・差止請求制度 (継続検討)
▶︎通則GL なし
・被害回復制度 (継続検討)
▶︎通則GL なし
●枠外:個人情報保護委員会による執行・罰金系
最後は、何らかの法違反があった場合の論点です。
企業からすると取扱の結果、執行を受ける側であり、執行可能性が増えるという意味では避けたいと思う企業が多いようです。
一方、GAFAM等グローバルに個人情報を取り扱う事業者の存在や社会システム全体を考えて、個人の権利利益へのリスクを減らすためにどのような制度が効果的かという観点で議論すべきテーマです。
従って、企業の取り扱いの場面の外、欄外に配置しています。
<規範案の範囲>(筆者のguess)
2 実効性のある監視・監督の在り方
1)課徴金、勧告・命令等の行政上の監視・監督手段の在り方
ア 課徴金
イ 勧告・命令の在り方
2)刑事罰の在り方
<条文の該当箇所guess>(妄想)
・課徴金 (継続検討)
▶︎通則GL なし
・勧告前置なしでの命令、第三者命令(継続検討)
▶︎通則GL4 「勧告」、「命令」、「緊急命令」等についての考え方
・刑事罰 (継続検討)
▶︎法第八章 罰則
さいごに
いかがでしたでしょうか?
「あ、このあたりねー、ふむふむ」が少しでも増えたらうれしいです。
そして、ココ考え方違うんじゃない?があれば、ぜひ、X @informationlaw1にコメントくださいませ!
「やってみた」感想
自分自身の感想としては、通則GLとの対応を見返すことで、心の準備ができ、週明けからの社内説明予行演習ができてよかった感(笑)
そして、
●情報の定義追加で、より読み解きや説明が難しくなる悩みが増した
●情報✖️場面で考えると、論理的に追加となる規範も見えてきた
気がします。
後者は現段階では当然の結果としても、
前者〜●情報の定義追加で、より読み解きが難しくなることは結構根深い問題と感じます。
情報の定義追加で複雑化問題
こども、生体データ、本人到達可能な個人関連情報等情報の定義が追加になると、結構複数の箇所に手が入り、XX情報の場合は…的な場合分けまたは対象情報の範囲ごとに規範説明が追記されると思われ、各規範の条文が読みにくくなる可能性が高いです。(前回R2改正で、個人関連情報、仮名加工情報が追加され、2024/4に個人データとして取得が予定されている個人情報が追加され、贅肉付いて、骨格が読み取りにくくなりました…さらに…><)
今回の図では、全ての定義を縦軸にいれていません(途中で挫折しました)が、実際の条文には、個人情報、個人識別符号、保有個人情報、各種加工情報等の使い分けもあるのですよね…
個人情報等の概念の整理 は待ったなし?
この点は、複数の有識者からも関連意見があがったためか、「中間整理」の最後、4.その他 今後の検討項目に、個人情報等に関する概念の整理が入っていましたので、7月以降の議論に注目したいと思います。
その際の論点としては、森弁護士の有識者ヒアリング資料が参考になります。
中間整理との対応でいえば③本人到達可能な個人関連情報、森先生の主張では個人関連情報全部、を個人情報にしてしまう案です。
また、高木先生の有識者ヒアリング資料では、個人データへの統一という意見もあがっており、今後の検討で、どこまで範囲を広げて個人情報等に関する概念の整理を行うのか、注目されます。
1.4. 個人データへの統一
第4は、個人情報データベース等を構成することを予定していない個人情報(散在情報)に対する過剰な規制である。要配慮個人情報の取得制限については、前節で述べたとおり、法目的の観点から、個人データとして取得する場合に限り適用されるものとし、適用から除く例外を削減するべき(法20条2項7号、施行令9条1号を廃止)であるが、要配慮個人情報に限らず、一般個人情報についても、21条の利用目的の通知、20条1項の適正取得、19条の不適正利用禁止、18条の目的外利用禁止、17条の利用目的特定の各義務が、個人情報データベース等を構成することを予定していない個人情報に対してまで課されることは過剰規制である。
法のスコープと直結する個人情報等の概念は、法目的の明確化と並んで、非常に重要なテーマ。
今回の時間軸で検討するのが適切なのかは、正直わかりません。いつまでには一旦横に置き、一度現在の個人情報の概念のリセットボタンを押し、ゼロから定義するとしたらどうあるべきか?をゴールベース、バックキャストで議論する検討会を立ち上げてもよいくらいのテーマではないかな?と思います。
以上、締めで、図解の話から、ちょっとそれてしまいました
でも、細部の規範から、全体の構造を俯瞰することで、改めて本質に気づくことがあったなら、それも自己学習の成果かな?^^
では、また!
今日のChatGPT
★3年ごと見直し「中間整理」関連の他の記事★
これまでの3年ごと見直し全部いりマガジンです。
うち、まとめ的なnoteは↓
・7/29までパブコメ中の「中間整理」に何が書いてあるかサクッと見るには
・これまでどんな議論が行われたか、ひととおり目を通す
・有識者はどんな意見をしたのか?各論点ごとの意見の違いも見たい
・そもそもみんながHappyになる法ってどんなイメージなんだろう
・前回の3年見直しの法改正、施行まではどんな風に進んだのか
余談)
細部ー俯瞰、具体ー抽象といえば、年末のnote個人情報部門の特徴と今年良かった書籍10冊で紹介した細谷氏の
新刊も読みたいと思ってたのを思い出しました。
7月こそ!!