見出し画像

個情法3年見直しヒアリング①JIPDEC

Ami〜こちら個人情報担当です

1週間ぶりに、こんばんは!

今日は個人情報保護委員会の「いわゆる3年ごと見直し(ヒアリング)」が初めて行われたもよう。その内容を見てみたいとおもいます。

追記 議事録(12/12)

当日の議事録が公表されましたので、リンク添付します。

🏢ヒアリング事業者: JIPDEC

はえある第1回目のヒアリングは、通称JIPDEC、日本情報経済社会推進協会です。

認定個人情報保護団体としてもたぶん最大、今年何かと話題だったPマークCBPRの認証機関ですね!

発表資料はこちら


今日のところは、まだ議事録が公開されておらず、個人情報保護委員会とどんなやり取りがされたかは伺えないため、JIPDECが3年次見直しに向けてどんな意見を述べたか?をスライドに沿って見ていきたいと思います。

💬JIPDECの意見

意見は、こちらのblogで紹介した個人情報保護委員会公表の3年見直し検討の方向性に沿って、行われたようです。

3つのカテゴリーごとに見ていきましょう!

💪1.個人の権利・利益の実質的な保護のあり方

まず、技術の高度化、デジタル化の進展によるリスクの高まる中、どう保護するか?という、事業者の規制追加になりそうなカテゴリ。

🌟🌟 ①PETsと略されるプライバシー強化技術の安全性基準のガイドラインを、という追加の提案。
この言葉自体を知らなくても、データクリーンルーム、とか、秘密計算とか、いうキーワードを聞いたことがある方はもう少し多いのでは?と思います。

PETsをざっくり雑にまとめると、
統計ではない誰かひとりのデータを利活用したい時、法で規範のある個人データに該当しないようにプライバシーに配慮して取扱うための技術や手法というイメージ。

あくまで主観ですが、営業トークで「安心です!」と言っていても、よく聞くと、
「それ個人識別できるし、安全じゃないですよね??」と思うことも。確かにガイドはあったら目安になるかも?

法令の条文には入らないとしても、ガイドラインやQA、もしくは、データ利活用を行う上でのテクニックのひとつとして、こういうのは個人情報保護委員会も認める手法ですよ、これはなんちゃってなので気をつけてね!的な参考資料的なガイドラインは、あったらいいな、と思います!

🌟🌟②こどもに関する規律の提案
こども関係は、過去の議事録を見ると、最も委員から意見の多かった意見。
現時点では規範追加が最有力な印象ですが、どんな規律になるのか?の具体はなし。

例にAmazonを挙げているとことからすると、米国COPPAのようなイメージを想定されているのでしょうか??

未成年者によるAmazonサービスの利用
Amazonは、お子様による購入のための商品の販売は行っておりません。お子様向けの商品の販売は、成人の方が購入することを前提としております。未成年の方は、親権者又は後見人の適切な関与がある場合に限り、Amazonサービスをご利用になれます。

Amazonプライバシー規約

🌟こどもは何歳まで?
という論点も、実務では議論になりがち。日本の法令では、その趣旨によって年齢の範囲が異なっており、個人情報保護委員会のQAでも一般には12歳から15歳以下とふんわり。規律に入れるなら、範囲を決めてもらった方が事業者としては取り組みやすそうです。

Q1-62
何歳以下の子どもについて、同意をしたことによって生ずる結果を判断できる能力を有していないものとして、法定代理人等から同意を得る必要がありますか。
A1-62
法定代理人等から同意を得る必要がある子どもの具体的な年齢は、対象となる個人情報の項目や事業の性質等によって、個別具体的に判断されるべきですが、一般的には 12 歳から 15 歳までの年齢以下の子どもについて、法定代理人等から同意を得る必要があると考えられます。

個人情報保護委員会 Q&A

🌟権利行使は手段を増やすより、権利行使の環境整備が優先との意見。

ふむふむ、権利行使と言っても、日本人でピンと来る人は少ないですし、開示請求や消去請求、保管国などの問い合わせをする人も少ないのが現状かもしれません。

にわとり🐓、たまご🥚
請求が少ないから、事業者も専用窓口を作っているところは少ないし、事業者のコストにもなるため目立たせる動機が働かないから、一般消費者に知られない…

実態として、多くの人は日常生活で、権利行使の必要性を感じてない側面も。
権利行使の権利は必要であるものの、手段を増やす手前の段階なのかもですね

👀2.実効性のある監視・監督のあり方

次のカテゴリは、違反や漏えい等があった場合のおはなし

①執行は単なる文書だけ、から、他国を参考に罰金等も視野にというニュアンス。
グローバル企業の場合、展開している全ての国の対応が必要になるわけですが、
どこの国の法律を優先しようか?と思った時に、違反したらヤバい国が優先されるのは当然の摂理。そう言う意味では、実感としても、日本の個人情報保護法の優先度は低そうだなぁ、と越境移転対応でクラウドベンダと会話して思いました。

一方、日本のドメスティックな企業は罰金が高くなれば真面目にやるようになるのか?は、議論してみたいテーマです。

②は意図を理解できず…
特殊詐欺等への個人情報視点での対策としては、ピンとこない印象。
議事録待ちですね。

③未報告・虚偽報告の厳罰化
これは!!確かに、「真面目に報告してる企業が馬鹿みたいじゃ?」という声は確かにある。
本来、報告を行うことが安全管理や個人保護の目的ではないものの、未報告で改善も行わない状態でいる事業者こそ、指導すべきというのは、一理ありますね。そうした事業者をどう見つけるのか?は、議論がありそうです。

🛠️3.データ利活用に向けた取組に対する支援等のあり方

①公共性の高い分野の政府内連携体制
ぜひやっていただいたいテーマですね!
防災分野のこちらなどは比較的よく連携されていた印象ですが、こどもの教育分野は以下の記事のように課題が多かった印象です。

デジタル庁と個人情報保護委員会で、タッグを組み、横断で取り組んでいただけると安心?

国民にとっては、何庁だろうが関係なく、個人情報・個人の権益を守るよう、霞ヶ関方面の人、よろしく!だけなのですよね🌟

②事業者に向けた越境移転ツールの発信
これは、CBPRの認証機関(AA)であるJIPDECならではの悩み(日本で認証取得事業者が思うように増えない)ことをふまえての要望かもしれません。

事業者からすると、

 取得のための労力<取得で得られる嬉しいこと

が成り立たないと、認証取得の意欲は起きないもの…

発信というより、ベネフィットを感じる制度にする方を優先してもらいたい気もします。

また、越境移転の制度は、学べば学ぶほど、日本の個人情報保護法の規範だけでは理解しにくいことが多いなと感じます。
経産省のこの調査はSCCやCBPR、TIA等さまざまな用語、制度、ツールが乱立して、国を超えるデータ流通の複雑さをつかむにはナイスですが、気が遠くなる面も…

時間はかかっても、EUの十分性認定のようなしくみを、DFFTで法域間の双方向で規制緩和される動きになるといいなぁと思います。

経済産業省

③民間の自主的取組みとしてPIA推し、特にPIAを求めるべきケースを明示すべき、との意見

先日、個人情報保護委員会のHPで、

 民間の自主的取組み
   ↓
 データガバナンス

にタイトル改称したページにあるテーマの話。

PIAは、取り扱う前に、プライバシー観点で、ちゃんと確認しましょう、という話。

個人情報保護委員会の元のお題は、「動機付けの仕組みや支援」。
言われなくても、がんばってる企業の応援策を提案してほしかったなぁ(笑)

以上、こうして、言葉にしてみると、
改めて勉強になりますね!

たとえ、相手が無言の壁でも、壁打ち大事🌟

では、また!

おまけ 今日のDall-E 3

意見を言う🐩 メモする🐩


3年見直し 関連記事

いいなと思ったら応援しよう!