個人情報等の概念整理〜保護・利活用、わかりやすさを両立するには?
こんにちは!
久しぶりのエントリーです。
そろそろパブコメ結果の公表もありそうですねー
さて、今日は3年ごと見直し「中間整理」のその他にあった個人情報保護等の概念整理について、現在の法令の定義を振り返り、有識者意見から、見直すべきポイントを眺めてみたいと思います。
ちょっと長めなので、結論だけ見たい方は、最初のサマリーと3.のBefore-Afterあたりをどうぞ/
サマリー(ざっくり言うと)
ざっくり言うと、有識者意見の確認の結果、概念整理での意見は6点あり、情報別に箇条書きにすると、
<背景>
◇現在の個人情報等の概念分類は種類が多く、複雑で整理すべきという声が産業界等からでている
<有識者の意見:利活用のための情報概念>
◆仮名加工情報、匿名加工情報:
産業界の要望でできたものであり、存続して問題ないのではないか
→論点⑥
<有識者の意見:保護のための情報概念>
◆保有個人データ→個人データ:
・令和2年改正で保有個人データと個人データの対象事業者は差がほとんどなくなった
・保有個人データを廃止、個人データの規範別に注記で足りるのでは
→論点①
◆個人情報→個人データ
・本来、個人情報保護法はデータベース化する【個人データ】を中心とした規範
・令和2年の規則改正で追加された「個人データ予定の個人情報」を個人データに含めるべき→論点②
・かつ、現在、散財情報である個人情報に過剰にかかっている取得・利用に関する規範は上述の広げた個人データ対象とし、狭めるべき→論点③
◆個人関連情報→個人データ
・令和2年改正で入った【個人関連情報】は一時しのぎ的な位置づけ
・その全部または一部(個人に回帰する識別符号をもつもの)は、個人データに含めるべき。それが難しい場合、規律の一部を課すべき→論点④
・電気通信事業法の外部送信規律も主に個人関連情報を対象とするものであり、個人情報保護法で引き取り、対応しやすくするべき→論点⑤
と言う感じです。
それでは、本文。
まず、1. 現在の法での定義を振り返った後、上記の論点が、現在のどのあたりの情報の話なのかを図で確認した上で、2. 有識者の資料と意見の原文を見ながら、概念整理の考え方を確認し、3. さいごにBefore-Afterを並べてふりかえりしてみたいと思います。
1. 現行法(概念図と各定義)
手始めに、現在の個人情報保護法での各情報の定義が、どのようになっているか見てみます。
まとめた結果は下図です!
概念図のため、多少正確性に欠ける面はご容赦ください(ペコリ)
概念図の見方
図の説明です。
1)まず、個人情報保護法の内数はグレーの枠内です。
統計情報とか、外部送信規制などは、個人情報保護法の対象外。
2)大別すると目的は、
青系の楕円:利活用目的
緑系の3つ+個人関連情報:保護目的
3)個人情報保護法が規定する主な規範の対象は、緑系の3つ
この3つは完全に包含関係にあり、図の上から、
・個人情報だけど、個人データでないもの
(例:机の上の名刺1枚、留守番電話の音声)
・個人情報で、個人データだけど、保有個人データでないもの
(例:顧客から印刷の委託を受けて預かった宛先一覧csv情報)
・個人情報であり、個人データで、保有個人データでもあるもの
(例:契約情報として、DB化している個人情報)
4)①のグレー枠のその他という位置付けの個人関連情報
・個人関連情報:令和2年改正で(リクナビ事案に端を発し)追加
(例:単体のCookie情報、電話番号、メールアドレスなどで、(自社内で照合するなどして)個人特定ができない情報)
5)青の楕円の2つは、利活用を目的とした加工情報
・仮名加工情報:令和2年改正で追加、社外提供は原則不可
(例:社内での商品開発(分析)のために、個人識別情報を削除したデータ)
・匿名加工情報:提供可能、但し、公表義務あり
(例:位置情報ビッグデータとして社外に販売するために、個人識別情報の削除と共に、軌跡から個人を類推できるデータを削除したデータ)
と、なります。
各情報の定義
各情報についての、法令、通則GL上での定義は、以下をご参照ください。
「保護」を主眼とした情報類型系
○個人に関する情報(法第2条第1項内で説明)
「個人に関する情報」とは、氏名、住所、性別、生年月日、顔画像等個人を識別する情報に限られず、ある個人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表す全ての情報であり、評価情報、公刊物等によって公にされている情報や、映像、音声による情報も含まれ、暗号化等によって秘匿化されているかどうかを問わない。
●個人情報(法第2条第1項)
「個人情報」(※1)とは、生存する「個人に関する情報」(※2)(※3)であって、「当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ(※4)、それにより特定の個人を識別することができるものを含む。)」(法第2条第1項第1号)、又は「個人識別符号(※5)が含まれるもの」(同項第2号)をいう。
●個人データ(法第16条第3項)
「個人データ」とは、個人情報取扱事業者が管理する「個人情報データベース等」を構成する個人情報をいう。
なお、法第16条第1項及び政令第4条第1項に基づき、利用方法からみて個人の権利利益を害するおそれが少ないため、個人情報データベース等から除かれているもの(例:市販の電話帳・住宅地図等)を構成する個人情報は、個人データに該当しない(2-4(個人情報データベース等)参照)。
●保有個人データ(法第16条第4項)
「保有個人データ」(※1)とは、個人情報取扱事業者が、本人又はその代理人から請求される開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止の全て(以下「開示等」という。)に応じることができる権限を有する(※2)「個人データ」をいう。
ただし、個人データのうち、次に掲げるものは、「保有個人データ」ではない。
(1)当該個人データの存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの
(2)当該個人データの存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれがあるもの
(3)当該個人データの存否が明らかになることにより、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの
(4)当該個人データの存否が明らかになることにより、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの。
事例省略
⚫︎個人関連情報(法第2条第7項)
個人関連情報とは、生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。
「個人に関する情報」とは、ある個人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表す全ての情報である。「個人に関する情報」のうち、氏名、生年月日その他の記述等により特定の個人を識別することができるものは、個人情報に該当するため、個人関連情報には該当しない。
また、統計情報は、特定の個人との対応関係が排斥されている限りにおいては、「個人に関する情報」に該当するものではないため、個人関連情報にも該当しない。
「利活用」を意図した加工情報の類型系
●仮名加工情報(法第2条第5項)
「仮名加工情報」とは、個人情報を、その区分に応じて次に掲げる措置を講じて他の情報と照合しない限り特定の個人を識別することができないように加工して得られる個人に関する情報をいう。
(1)法第2条第1項第1号に該当する「当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別できるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)」である個人情報の場合
当該個人情報に含まれる記述等の一部を削除すること
(2)法第2条第1項第2号に該当する「個人識別符号が含まれる」個人情報の場合
当該個人情報に含まれる個人識別符号の全部を削除すること(この措置を講じた上で、まだなお法第2条第1項第1号に該当する個人情報であった場合には、同号に該当する個人情報としての加工を行う必要がある。)
●匿名加工情報(法第2条第6項)
「匿名加工情報」とは、個人情報を個人情報の区分に応じて定められた措置を講じて特定の個人を識別することができないように加工して得られる個人に関する情報であって、当該個人情報を復元して特定の個人を再識別することができないようにしたものをいう。
(1)第1項第1号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
(2)第1項第2号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
2. 概念整理6つの論点(有識者意見と中間整理より)
では、本題!
6つの論点と情報定義との対応
●6つの論点
3年ごと見直し「中間整理」に向けた8名の有識者意見の議事録から、個人情報等の概念の整理に関係しそうな意見を拾ってみると、およそ、6つの論点に集約できそうです。
また、その変更目的は、大きく2つといえそうです。
★わかりやすく〜複雑な定義をシンプルに!
★保護対象を調整〜保護と利活用のバランスで現代のニーズにアジャスト!
●情報定義の対応
この論点を、1.現行法の概念のにマッピングしたのが下図です。
ちょっと複雑なので、パーツごとに
参照した有識者の意見と共に見ていきましょう!
★個人情報→個人データに関する論点(論点①②③)
有識者8名の議事録の中で、最も、個人情報等の概念整理について、網羅的に意見を述べておられるのが板倉弁護士、ついで森弁護士です。
板倉弁護士、森弁護士、他6名の発表から、まず、論点①②③をひもといていきたいと思います。
●板倉先生は、まず、現場は情報の類型がたくさんあって、かなり業務が大変になっていると、代弁してくださっています。(アリガトウゴザイマス)
個人の権利利益のより実質的な保護の在り方のうち、個人情報等の適正な取扱いに関する規律の在り方ということで、正面から現在取り上げられているわけではありませんが、そもそもの個人情報保護法の規律の客体をどうするのかというところについてのコメントをさせていただいております。
経済界からは、いろいろな概念が出てきて分からないので何とかしてくれという意見が出たと思います。経済界の要望に応えていろいろ入れてきているのではないのかとは思いますが、現場は非常に、何とか情報、何とかデータ、何とか情報データベース等々というのがたくさんあって、かなり業務が大変なのはそのとおりだと思います。
さて、論点別です。
∟ 論点①【保有個人データ】を廃し、【個人データ】に含めてよいのでは?
まずは保有個人データの論点、板倉先生と森先生が意見を述べられています。
●板倉先生意見:6ヶ月制限がなくなり、保有個人データはほとんど個人データと同じになったとされています。
そもそもの話をすると、個人情報と個人データと保有個人データに規律をかけているわけでありますが、保有個人データについては、6か月制限がなくなりましたので、ほとんど個人データと同じです。委託先だけは関係ないというところがありますが、個人情報と個人データの規律の違いは、いまだ残存しているわけであります。
(中略)
⚫︎森先生の意見は、保有個人データという概念は廃止、個人データの各義務規定で、「個人データで○○の権限を有する場合」と書き換える案
保有個人データにつきましては、定義をざっくり言うと、個人情報取扱事業者が、開示、訂正、利用停止等の権限を有する個人データとなっておりますので、三つの権限ということなのですけれども、そうはいっても、開示できても訂正ができないというようなことは起こり得ることでございますので、保有個人データという概念を使わずに、義務規定のほうを、例えば「個人データの開示を行う権限を有する場合には」、「○○の権限を有する場合には」と書くことによって、「個人データで○○の権限を有する場合」と書き換えていくことは可能ではないかと思っております。おめくりください。
下図は、よく引用される個人情報保護委員会の3つの情報によって、適用される規範は違うよ、の図。
令和2年の改正前は、6ヶ月未満のデータは保有個人データにならないとされていましたが、これが撤廃され、保有個人データにならないのは、開示等請求の義務を受けない場合だけなので、もはや個人データと保有個人データをわざわざ名称分ける必要ないのでは?、上図④は個人データの規範としてよいのでは?、という意見です。
この意見には100%賛成。
実務上、社内で保有個人データを持ち出すことは全くないので、この区分けがなくなっても全く支障ありません。(法令に沿った規程を合わせる位)
規範の図で、この変更を示すと、
右下の黄枠がごっそり、個人データの規範となって、保有個人データの区分けを廃止するイメージとなるものの、事業者の義務(やること)は全く変わりません。
∟ 論点②個人情報の一部を個人データに、 論点③個人情報の過剰な規制を緩和
次に、個人情報の一部を個人データにし(論点②)、加えて、過剰規範となっている個人情報の一部の規制を緩和しよう(論点③)というものです。
●板倉先生は2つを織り交ぜて、説明されているので、(やや長くなりますが文脈がわかるよう)説明を引用します。
他方で、この間、漏えい等に関する一部の部分ではありますが「個人データ(当該個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているものを含む。)」と規則を改正していただきました。
「個人データ予定個人情報」と勝手に私は呼んでいますが、個人データになる予定がある個人情報という概念が入りました。こちらの理由は、2段目の1ポツ目です。Webスキミングへの対応のためにこれを入れたということにはなっておりますが、そもそも、個人情報を今、個人情報保護法の民間部分の規律が規律しているのは、個人データになることが予定されているけれども、まだ個人データになっていないので、データベースになっていないので規律しているのだというのが従前からの説明であります。
藤原委員長もお書きになっている、昔はピンク本と言っていましたが、(株) ぎょうせいから出ているコンメンタールで、いずれ個人データになるものであっても、取得段階だと個人データではないので個人情報に規律をかけるのだと。利用目的規制等はそうなっているわけでありますが、既に今の個人情報保護法制では、「個人データ予定個人情報」という概念を承認し、しかも、ガイドラインレベルでありますが、全て安全管理措置をかけるというところまで来ているわけであります。
→ここまで論点②の「個人予定個人情報」→個人データの背景
ここから、それを前提に論点③「個人情報(散財情報)」への規制は過剰の説明
「個人データ予定個人情報」を含む個人データというものが認められるのであれば、現状の個人情報全てに義務をかけているのは、これは過剰ではないかというところがあります。しかも、不適正利用禁止、これ自体は重要な規定だと思いますが、不適正利用禁止の対象は個人情報であって、個人データになることが予定されているものとかは現状では書いていないわけです。
これをカメラシステムの利用についての検討によると、ざっくり言えば、プライバシー侵害とか肖像権侵害のような不法行為に該当するようなものは不適正利用禁止に当たるかもしれないよとされています。こういうところまで議論が来ているわけでありまして、そうすると、個人データになる予定が全然ない個人情報について、一般的に行政機関、一種の行政機関として規制をするのだということに、ここが組合せでなってしまっているわけですが、それは、個人情報保護法の民間部門の規律、これは個人情報データベース等を構成する個人データを規律の基本にするのだというところからは、いろいろなものの組合せの結果でありますが、やや過剰になっているのではないかなと思うわけであります。
ここから、GDPRでの規律の客体、”Personal data”の定義の説明の上で、現状の個人情報を2分し、個人データになる予定の個人情報を個人データとし(論点②)する一方、残りの散財的な個人情報(論点③)は、規律の対象外とするという案を示されています。
GDPRはどうなっているかというと、2条1項で、どういう範囲で適用するかという条文がありますが「intended to form part of a filing system」とされています。これは、要するに個人情報データベースのようなものになる予定のものを含むという言い方をしています。単体の個人データにかけるというよりは、これは、自動的なものは単体の個人データでもかけていますけれども、ファイリングシステム予定のものだという概念を入れて画しているわけでありまして、全体として、個人データ(「個人データ予定個人情報」を含む。)というものを規律の対象にすると、すっきりしてよろしいのではと思っています。
これで一部は広がるわけですが、一部は狭まるわけです。利用目的規制等は狭まるし、不適正利用禁止も狭まることになるわけですが、個人データを中心とする規律なのだという趣旨からすれば、私はそれでよいのではないかと思っています。
その上で、中間整理の適正取得・不適正利用については、論点③を踏襲し、個人データ予定の個人情報に絞るという案を示されています。
これを踏まえて、4ページ目に行っていただきますと、それぞれの規律について、適正取得・不適正利用については、今申し上げたとおりですが、単体の個人情報にかけて、それが一般的な不法行為に該当するようなものも全て当たるとは言っていませんが、加味するのだということになると、私は過剰ではないかと思っておりますので、これは、個人データ(「個人データ予定個人情報」を含む。)という範囲に絞ってよいのではと思っています。
ただ、事例を追加しないと、現時点では、今のところガイドラインに書いてある例は幾つか散発的に書いてあるだけですので、それは増やしていただくということは当然していただくとして、そのように考えております。
次に高木先生です。
●高木先生は、個人データの定義に「個人データとして取り扱われることが予定されているものを含む」を加えて、全て個人情報を個人データに差し替えればよいとし、板倉先生と同意見です。
そして、4番目ですが、個人データへの統一です。
これが5年前も述べたことでありますが、日本法は個人情報データベース等を構成することを予定していない個人情報、つまり散在情報についての規律が含まれていると。義務規定の後半は個人データが対象ですが、前半は個人情報が対象となっています。しかし、そもそも個人情報保護法の民間部門の規定は、個人情報データベース等を対象にしたものであったはずです。したがって、決してデータベースに登録することを予定していない人のうわさ話とか、録画される情報などを問題にしていないのだと考えます。
(途中略)
したがって、これを修正して個人データに統一していくこと、すなわち個人データの定義に「個人データとして取り扱われることが予定されているものを含む」を加えて、全て個人情報を個人データに差し替えればよいと思います。
以上、【個人データ】を中心に再編するもの(論点①②③)はこうなるイメージです。
ここまでが実現された場合、実務への影響としてみると、以下のとおりです。
●保有個人データの名称がなくなる(論点①)
実質的にやることの増減はなし。
●個人データとする範囲が広がる(論点②)
「個人データとなる予定の個人情報」*も個人データとする
*2024.4に規則で追加になった情報の範囲と同じ
●個人情報のうち散在情報の規制が緩和される(論点③)
(取得・利用に関するルール、公表・開示等に関するルールは、個人データの規範になる)
次は、みんながもやもやしてる個人関連情報系です!
★個人関連情報→個人データ(論点④⑤)
論点④はそもそも個人関連情報は、個人データに入れるべきという論点。
(3年ごと見直し中にリクナビ事案が発生し、いわばやっつけ仕事だった。条文のつくりも他と違う)
論点⑤は一昨年から昨年にかけて、事業者を悩ませた電気通信事業法の外部送信規制の対象となる利用者の端末情報に関する規範を個人情報保護法でひきとるべきという論点です。
図にすると、こんなイメージです。
では、各論点ごとに有識者の資料と意見を見ていきます。
∟ 論点④ 「個人関連情報」を「個人データ」に含め、「個人関連情報」を廃しては?
この論点については、「中間整理」はじめ、板倉先生、森先生、山本先生の3名の有識者に加え、個人情報保護委員会(中間整理)の4者が意見を述べています。
●板倉先生は、個人関連情報(散財情報以外)を全て個人データとする案
では、個人関連情報はどうするのだという話ですが、これはちょっとざっくり言い過ぎかもしれませんが、個人関連情報も個人情報に含むとしてしまってよいのではないかと思います。その代わり、個人情報を全て、つまり単品のというか、散在情報にかけるのではなくて、「個人データ予定個人情報」を含む個人データが規律範囲なのだということにすれば、さほど問題が起きないのではないかと思います。概念が多過ぎるという経済界の要望にも沿うことになります。
●森先生は、本人到達性のある情報に紐づいた個人関連情報を単体で個人情報(個人データ)とすべきとの意見
1番、個人情報の概念の拡大、それから、本法の個人情報、個人データ等の概念の整理、二つ併せてここで御説明をさせていただきます。
1ポツですが、個人情報の概念を拡大し、端末やブラウザの識別子、スマホの電話番号、メールアドレスなどを単体で個人情報とすべきです。
2ポツですけれども、デジタル対応、グローバルスタンダードの観点から強く要請されると考えます。その他の概念整理との関係では、この改正によって個人関連情報の概念をなくすことができます。
4ポツですが、個人関連情報はどうしても一時しのぎという面があったのではないかと思います。
最後ですけれども、特に広告IDやスマホの電話番号のような一意性、共用性、本人到達性のある情報に紐付いたデータにつきましては、一般の義務ですね。不適正利用の禁止とか安全管理措置とか、そのような義務の対象にすべきことは明白ではないかと思っております。
●山本先生は、個人関連情報のうち、「個人回帰型識別情報」は個人データとして扱うべきという案
それから「3.保護すべき情報の整理と保護の度合い」ということですけれども、やはり、クッキー情報等の識別情報というのは、現状においてはそれ自体、個人情報には該当しないという整理がなされているところでございますが、プロファイリングの問題を考えますと、これは個人に対して実質的な影響を与えるものだろうと考えているところでございます。
私は「山本龍彦」ですが、「山本龍彦」であるかどうかということは分からないとしても、ある別の人とは区別される、この「私」に対して、マイクロターゲティングを行う、その人の意思形成に一定の影響を与える。そのような意味では、クッキー等の識別情報は、やはり個人に対して実質的な影響を与えるものではないかと思うわけです。
もっとも、次の6ページの7行目辺りですけれども、識別情報、クッキー情報等の中にも、個人に戻るものと個人に戻らないものがあります。前者はやはり個人の世界の中の話ですが、後者は集合の世界にとどまるものだと思います。前者、つまり個人の意思決定に働きかけられるようなものについては、正面から個人情報として扱うべきなのではないかと。「個人回帰型識別情報」と便宜上書きましたが、こういうものは個人情報として取り扱うべきではないかと思っております。こうした方法が難しい場合には、少なくとも第三者提供等について透明性規律を設けた上で、本人の関与を認めるべきではないかと考えております。
●PPC3年ごと中間整理は、個人に連絡が可能な個人関連情報について、個人データの規範の一部の義務を課す案
また、今回の個人情報保護委員会の3年ごと見直しの案においても、個人関連情報の概念の見直しとまではいかないものの、その一部(個人に連絡が可能な情報)について、個人の権利利益が侵害される可能性が高いことを理由に、不正取得や、不適正利用等の規範対象とすることが検討されています。
(1)個人情報等の適正な取扱いに関する規律の在り方
イ 「不適正な利用の禁止」「適正な取得」の規律の明確化 【考え方】
(中略)
個人関連情報については、事業者が、電話番号、メールアドレス、Cookie IDなど、個人に対する連絡が可能な情報を有している場合2には、個人関連情報の取扱いによりプライバシーなどの個人の権利利益が侵害される蓋然性が認められ、その侵害の程度・蓋然性は、事業者による利用の方法によっては、個人情報と同様に深刻なものになり得ると考えられる。そのため、このような場合について、不正取得や不適正利用等への対応の在り方を検討する必要がある。
以上、下図のように、個人データに含めるべきとする個人関連情報の範囲や、規律の範囲に多少の差はあるものの、一部の個人関連情報に対し、個人データ並の追加の保護が必要という意見が多くあることがわかります。
∟ 論点⑤ 電通法「外部送信」の「個人関連情報」を中心とした規制は、個人情報保護法に含めすべての事業者を対象とすべきでは?
この論点は、板倉先生からの1件です。
●板倉先生意見は、電通法外部送信は、個人情報保護委員会で引き取るべきとの意見。
これとの関連でよく議論されるのはクッキー及び行動ターゲティング広告ですが、こちらはまたもう一つややこしい問題がありまして、電気通信事業法上、外部送信規律というのを入れて、サードパーティークッキーを主として規律している面があります。ただ、細かいところは除きますが、全ての事業者にかかっているわけではないですし、これと個人データの規律を両方やるというのは、事業者はかなり限界であるように見えます。いろいろなところから相談を受けて対応しましたが、もう分からないと。委託に伴う提供の扱いなども実は結構違ったりして、ちゃんとできているところはあまりないのではと思います。
そうであれば、これは個人情報保護法のほうで引き取って、全事業者を守るということで、個人関連情報の範囲も、個人情報に含むけれども、そのクッキーの規律については、外部送信規律を取り込んでこちらで処理するのだと。まとめて面倒見ますというほうが、事業者にとっても消費者にとっても分かりやすいのではないかなと思っております。
Cookie、ADID等Webやアプリの個人関連情報といえば、電通法の外部送信の規範。個人情報保護法のように、XX情報に対する規制ではなく、行為への規制(外部送信(情報送信指令通信))であることから、個人情報保護法との関連がわかりにくく、電気通信を営む者の識別が難しい、対象事業者の公平性に欠けるとの声もある規範です。
実際、私も対応のために社内説明した際には、個人情報保護法や電気通信事業法の通信の秘密との関係性について、多くの質問を受け、公式の明確な説明がない中、苦労して整理して説明した経験があります。
アプリやWebで利用者情報を取り扱う場面は、電気通信事業者だけではなく全ての事業者。また、利用者情報という観点では、個人情報保護法との関連を明確にする意味でも、個人情報保護法に入れた方が、実務対応は行いやすい印象にて、板倉先生の意見に賛成です。
なお、総務省の個人関連情報の関係では、現在改定作業が進行中のスマートフォン利用者情報取扱指針も、透明性やこども、ダークパターンなど、個人情報保護法とオーバーラップし、多くの事業者が参照すべきGLで、個人情報保護委員会で引き取るまたは、委員会のHPでも掲載するとする案もあるのでは?と思います。
関連記事
★利活用目的の活用情報系(論点⑥)
∟論点 ⑥ データ利活用推進のための【仮名加工情報】【匿名加工情報】は、継続。 わかりやすく、利活用を推進しては?
この論点は、森先生と板倉先生の2名から意見があがっており、いずれも利活用のために創設されたものなので、(整理せず)残すべきという意見です。
●森先生の資料と意見:利活用のためにそのまま残すべき
おめくりいただきまして「その他の概念整理」ということですけれども、事業者団体から要望が出ていますが、仮名加工情報とか匿名加工情報は、利活用のための概念ですので、あったほうがよいのではないかということです。
●佐藤先生:利活用のための類型は減らす必要なし。
また、個人情報等データベースの要件の見直しを検討すべき
それは、データの類型でございます。経済界の方がデータの類型が多過ぎるから減らせとありますけれども、かなりの部分は利活用のための類型ですので、それを減らしてもと思うのですけれども、一方、我々技術屋から見るとやや疑問点もあります。
それはどこなのかといいますと、個人データという、データ類型の基になっているものとして、個人情報データベース等というものがあります。これは法第16条で規定をされているのですけれども、第16条の規定を見ると、電子計算機を用いて特定することができるように体系的に構成したものとなっています。だから、今の技術をもってすると、体系的に構成されていなくても検索はできるのです。例えば、全文検索の技術や画像認識の技術を使えば、特に体系化されてなくても、ほぼ検索に相当することができるわけです。そう考えると、果たしてこの定義でよいのかということになります。
今の技術的に個人データベースの「体系的に構成」要件を問うもの。
この点は、今回の論点として切り出していませんが、諸外国の定義などもふまえ、注視していきたいと思います。
また、有識者からの意見にはありませんでしたが、匿名加工、仮名加工と言う言葉は一般的ではないこと、人・業界によってイメージする加工レベルが異なるのかも?という印象もあります。その他に入っているプライバシー強化技術(PETs)のテーマとも近い話ですが、馴染みのないふわっとワード系、技術的な加工系は、総論だけでは実務が前に進むものではなく、導入の目的に照らして加工技術がデータ保護にどう貢献するのかをシャープに整理し、会話を噛み合わせながら議論していく必要があると感じています。
そうした、想いを含めて、論点 ⑥の後段に、「わかりやすく、利活用を推進しては?」を付記しました。
3. 整理後の概念図と所感
さて、だいぶ大胆に整理してきた気がしますが、
もし、仮にこの論点が全部反映されたら?を図にしてみました。
もし、全部実現したら?
加工情報系は変わらず、ですが、他はずいぶん、スッキリ!
Before ーAfterを並べてみると、
情報の概念分類が減り、個人データの範囲が広がって、
全ての規律は「シン個人データ」を対象とするイメージに!
こうしてみると、結構変わりますね!!
個人的には、Afterの案の方が、わかりやすさの面、規範対象の調整双方の面で好きです!個人的好みもありますが、実務的に具体的な理由は3つです。
理由1 読みやすい、伝えやすい
規範の主となる情報の分類が減り、条文がスッキリすることで読みやすくなるだけでなく、法令の条文に保守的に合わせたくなる社内規定等もスッキリさせることができ、社内ルールで守るべきことを、一般社員にわかりやすくシャープに伝えやすくなる
理由2 理解しやすい
他の法との違いを意識、説明する必要性が減る
・電通法外部送信と個人情報保護法の違い(個情法に含めるので不要に)
・GDPR等海外の個人情報保護法制との違い(対象情報の定義がほぼ同じに)
理由3 保護と利用のバランスがとりやすい
規範の対象について、現在の利活用の課題、保護の課題を解消し、保護と利活用のバランスがとりやすくなる
さいごに 〜 建設的で納得感のある議論にむけて
さてさて、
みなさんはどう思われましたでしょうか?
意味を持たなくなった分類を整理することは、さほど意見が分れずに決まりそうと思います(期待もこめて)。一方、保護・利活用両面で規範が厳しくなる・緩める事項については、意見は割れそうな印象です。
個人関連情報が一部であっても、個人データに含まれることは、業種によっては、影響が大きく、抵抗感を覚える方も少なくないでしょう。
反面、個人にとってのリスクベースで考えると、法の形式的に個人データに該当しない場合であっても、もはやメアド、電話番号、広告識別子などは、個人特定ができる材料が世の中に揃っているため、(中間整理にも入っているように)なんらかの手当は必要な気もします。
また、個人情報のうち散財情報(個人データベース化しない情報)への規制をゆるめることで、(顔識別しない)防犯カメラ画像やスクレイピングなどデータ利活用は進めやすくなります。一方、それでも抵抗がある消費者は一定数存在すると思います。
このように、個人情報等の概念整理は、誰にとっても満点&薔薇色の案を作成するのはとても難しいテーマ。。。
3年ごと見直し(法改正案決め)はあと4ヶ月。。
議論を開始したとしても、大胆な外科手術が必要な法改正には至らず、反映するとしても次の3年ごとの見直しになりそうと感じます。そうだとしても、今から、それぞれの立場で守りやすいルール、保護と利活用のバランスのとれたルールになるよう、建設的な議論を始められたらといいなと思います。
そのために、微力でも、関心のある方々の意見をすこしでも喚起できたらよいな〜、と思って書いてみました^^
間違った理解をしている箇所があったら、ごめんなさい。矢が飛んでくるかもしれませんが… それでも、そんなプロセスにより、さらに理解やあるべき絵姿の具体が見えてくる思うので、ご意見歓迎です! でも、矢を飛ばすときは優しくお願いしますm(_ _)m
それでは、また!
今日のDall-E
ちょっとかたいので、もう少し笑ってリラックス!とお願いしたら…😆
fancyすぎるww