個情法3年ごと見直し論点アップデート(1/22今後の進め方・制度的課題の再整理より)
こんにちは!
今日もよいお天気でしたね!
個情法3年ごと見直しについては、そもそも議論や課徴金検討会など複数の動きがあって、ほんとに今年法改正あるの?的不安も…
が! 昨日、第312回個人情報保護委員会が開催され、進め方や改正論点のアップデートがありました。
今日は、公表資料を読み解き、その改正論点、今後の改正法までの時期的なguessをしてみたいと思います。
(8741文字)
1 公表資料の概要
資料
まず、昨日の公表資料は2つです。議事概要・議事録はまだ未公開です。
資料1−1 今後の検討の進め方について(案)
タイトルに「今後の進め方」とあるものの、これまでの経緯と論点の整理(短期・中期)が中心で、このあとどうなるのか?の明確な記載はありません。
文書の構成は以下で、1はこれまでの経緯、2(1)は「視点」の整理で既出、2(2)以降が新しい内容です。
具体的には、
・2(2)が(諸々半年間の検討の結果「中間整理」に)追加すべき論点
・3が、短期的(3年ごと見直し)の論点案アップデート
・4が、中期的に今後に向けてのポイント
1 これまでの経緯等
(1) 令和2年改正法の施行といわゆる3年ごと見直し
(2) 中間整理の公表と意見募集
(3) 意見募集結果を踏まえた「今後の検討の進め方」の公表
(4) 個人情報保護法のいわゆる3年ごと見直しに関する検討会
(5) 主要個別論点についての検討
(6) 「個人情報保護法のいわゆる3年ごと見直しの検討の充実に向けた視点」及び「今後の検討の進め方」
2 事務局ヒアリングを通じて得られた視点等
(1) 事務局ヒアリングの概要と同ヒアリングを通じて得られた視点について
(2) (短期的に)追加的に検討すべき論点について
3 制度的な論点の再整理について
(1) 個人データ等の取扱いにおける本人関与に係る規律の在り方
(2) 個人データ等の取扱いの態様の多様化等に伴うリスクに適切に対応した規律の在り方
(3) 個人情報取扱事業者等による規律遵守の実効性を確保するための規律の在り方
4 今後に向けて考慮していくべき点
うち、2(2)および3については、
資料1-2 個人情報保護法の制度的課題の再整理でスライド化されています。
資料1-2 個人情報保護法の制度的課題の再整理
2枚ものの資料で、
1枚目
下半分のオレンジ色ぽい部分、短期的に検討すべき追加論点より下が、資料資料1−1 2(2) (短期的に)追加的に検討すべき論点についての図示。
上半分は2(2)(1) 事務局ヒアリングの概要と同ヒアリングを通じて得られた視点のキーワードです。
2枚目
下の3分類された在り方が再整理後の課題(改正項目案)で、下線が引かれている部分が、1枚目で示された追加論点、という構成です。
なお、3分類の仕方は、6月の中間整理や10月の今後の進め方の時と異なっており、「視点」をふまえ、再分類したもののようです。
最上部は、個人情報保護法の目的(現行法から変わらず)、その下の事務局ヒアリングを通じて得られた視点は、1枚目の上段と同じです。
6月の中間整理、10月の今後の進め方の提示からの複数の動きをふりかえり、マッピングすると、
・課徴金・差止請求などについて検討会を実施「検討会報告書」をふまえ(A)、
・下図左下の青い箱で、「視点」視座を整理完了し、
今後検討すべき事項を、短期的対応、今後(中期的対応)に分類完了し、
・うち、短期的に制度的対応すべき論点を整理完了し、昨日発表した。
という流れであったように見えます。
次に、各改正論点について見てみます。
現時点では、各論点についての説明がされていないため、各論点ごとに現時点の公表情報(中間整理・検討会・視点)をたどります。
2 改正論点 (一部guess)
まず最初に、「本人関与」に関する、
すなわち、「個人」に対し、同意や通知が必要不要関係の規律です。
「視点」のそもそも議論をふまえ、「中間整理」でふわっとしていた第三者提供時の規律緩和の件が具体化され、「中間整理」で報告義務の緩和が出ていた漏えい時の対応の本人通知の緩和が、入るようです。
個人データ等の取扱いにおける本人関与に係る規律の在り方
各項目について、
中間整理の時の書きぶりへの追加、という形式で、見ていきます。
ア 「同意」が必要な場合の例外措置等
(1) 個人データ等の取扱いにおける本人関与に係る規律の在り方
ア 個人の権利利益への影響という観点も考慮した同意規制の在り方
① 統計作成等、特定の個人との対応関係が排斥された一般的・汎用的な分析結果の獲得と利用のみを目的とした取扱いを実施する場合の本人の同意の在り方
② 取得の状況からみて本人の意思に反しない取扱いを実施する場合の本人の同意の在り方
③ 生命等の保護又は公衆衛生の向上等のために個人情報を取り扱う場合における同意取得困難性要件の在り方
④ 病院等による学術研究目的での個人情報の取扱いに関する規律の在り方
「視点」をふまえて、具体化が進んだ部分で、「中間整理」では、この1)本人同意を要しないデータ利活用等の在り方部分に該当。
検討の結果、「本人の権利利益への直接の影響の有無等」を切り口に、その侵害が想定されないと整理できる①〜③の場合、同意不要とするいう案です。
このうち、特に、①②については、「視点」の事務局ヒアリングの質疑において、(そのリスクの性質の違いをふまえ)1号例外、2号例外などとする案が出ていました。
③については、現在ある例外の具体化ではないかと想像されます。
イ 漏えい報告対象事態時の本人通知の一部緩和
(1) 個人データ等の取扱いにおける本人関与に係る規律の在り方
イ 本人への通知が行われなくても本人の権利利益の保護に欠けるおそれが少ない場合における漏えい等発生時の対応の在り方
中間整理では、この部分で、
板倉先生や中間整理パブコメで、漏えい報告より本人通知の方が事業者は大変で、本人に通知しても「それが何か?」になる(形式的に個人データになるだけで本人に委託もかゆくもない)レベルの情報漏えい時は、合わせて過剰規制を緩和すべきとの声が出ていた部分。
具体例はこれからですが、権利利益の保護に影響のない範囲でということからすると、漏洩した単体項目では、本人識別性や本人へのコンタクトができない情報を対象とする可能性が高いのではないかと思われます。
ウ こどもの個人情報
ウ 心身の発達過程にあり、本人による関与等の規律が必ずしも期待できない子供の個人情報等の取扱い
「中間整理」の案から、表だった大きな変更はなさそうにみえる「こども」。
一方、パブコメで子供の情報だけ分別できないと声が大きかった安全管理措置の追加がはずれるか、また、他関係省庁での検討状況や、石井先生等からも短期的に対応が必要と声があった「視点」関係での追加規律がどこまで入るか、声は多い論点なだけに具体の結論が気になる論点です。
個人データ等の取扱いの態様の多様化等に伴うリスクに適切に対応した規律の在り方
2つめのカテゴリは、取り扱いの態様の多様化に伴いリスクが大きくなってきたことから規律化するというもの。
4項目のうち、最初の委託先への規律は、「視点」で、クローズアップされ、新たに入った項目ですが、それ以外は、「中間整理」からの論点です。
ア 委託先(受託者)への規律
(2) 個人データ等の取扱いの態様の多様化等に伴うリスクに適切に対応した規律の在り方
ア 個人情報取扱事業者等からデータ処理等の委託を受けた事業者に対する規律の在り方
この論点は、10/16個人情報保護法のいわゆる3年ごと見直しの検討の充実に向けた視点(案)4 義務を負うべき者の在り方(クラウド事業者・委託先など)で、初めてでてきた論点です。
その後、事務局ヒアリングにおいて、多くの有識者から委託先の監督困難な場合がある、また、GDPR上プロセッサーとDPAに明記がある事業者でも、日本において「クラウド事業者が個人情報を取り扱わない」とする主張をする事業者が複数いる矛盾について、整理が必要との声があがっていました。
結果、12/18 「個人情報保護法のいわゆる3年ごと見直しの検討の充実に向けた視点」に関するヒアリングの概要においても、現状、実行的な規律が及んでいない可能性を指摘したうえで、適正な取り扱いの規律を負うべき者とそれぞれの義務の内容等について、今後の議論が示唆されていました。
具体規律については、これからですが、何らか、(クラウド事業者を含む)委託先の事業者(受託者)に、何らかの直接的な義務規律が入る可能性がでてきたように見えます。
イ 個人に働きかけ可能な個人関連情報
イ 特定の個人に対する働きかけが可能となる個人関連情報に関する規律の在り方
こちらは、「中間整理」の「不適正な利用の禁止」「適正な取得」の項の3つ目にはいっていた(個人データと容易照合性がない場合の)電話番号、メールアドレス、Cookie ID等個人に対する連絡・働きかけができる個人関連情報についても、不適正取得・利用を行った場合、規律の対象とするというもの。
パブコメでは、Cookieなどを対象にすべきではないとの声もあがっていましたが、詳細は、これからの資料待ちですね。
ウ 顔特徴データ等(旧生体データ)
ウ 本人が関知しないうちに容易に取得することが可能であり、一意性・不変性が高いため、本人の行動を長期にわたり追跡することに利用できる身体的特徴に係るデータ(顔特徴データ等)に関する規律の在り方
こちらも、「中間整理」で「生体データ」として入っていたものの、その射程・呼称について再検討を求める声が大きかったもの。
生体データという用語は廃し、本人の行動を長期にわたり追跡することに利用できる身体的特徴に係るデータ(顔特徴データ等)となったようです。
規律内容については追加の記載がないので、変更ないかは、今後待ちですね。
エ 名簿屋等への規律強化
エ 悪質な名簿屋への個人データの提供を防止するためのオプトアウト届出事業者に対する規律の在り方
こちらも「中間整理」に入っていたもの。
内容の変更については特にコメントがありません。
個人情報取扱事業者等による規律遵守の実効性を確保するための規律の在り方
最後のカテゴリ、「守り」に関する規律。
こちらは、「検討会」報告書をふまえて、規律要否を決定するとともに、中間整理をふまえ、意見が割れている部分の結論が気になるところです。一方、「視点」の影響はあまり受けていない論点です。
ア 勧告・命令等の実効性確保
ア 勧告・命令等の実効性確保
・ 速やかに是正を図る必要がある事案に対する勧告・命令の在り方
・ 個人の権利利益のより実効的な保護のための勧告・命令の内容の在り方
・ 命令に従わない個人情報取扱事業者等の個人情報等の取扱いに関係する第三者への要請の導入の要否
箇条書きされている3点を見ると、「中間整理」であげられた内容とほぼ変更ないように見えますが、第三者への要請については、導入の要否となっていることから、これから今回改正に入れるかどうかを決定とも読めます。
イ 刑事罰
イ 悪質事案に対応するための刑事罰の在り方
「中間整理」後、追加の情報なく、今後待ちです。
ウ 課徴金制度
ウ 経済的誘因のある違反行為に対する実効的な抑止手段(課徴金制度)の導入の要否
消費者団体・有識者と経済団体で考え方の隔たりが大きく、「中間整理」後、消費者団体・有識者と経済団体で考え方の隔たりが大きく、「中間整理」後、10月から12月に7回の「検討会」で議論されたテーマ。
「中間整理」時点の整理は、こちらですが、
12月に出た「検討会報告書」でかなり具体化され、課徴金納付命令の対象となり得る違反行為を以下の4つの条件を満たした場合に限定する案でした。
①対象行為を重要な規律への違反に限定し、当該違反等の対価を得るか漏えい等が発生した場合
②主観的要素(相当の注意)
③個人の権利利益が侵害
④大規模な事案
「検討会報告書」個人情報保護法のいわゆる3年ごと見直しに関する検討会報告書(令和6年12月25日)
一方、昨日1/21の資料ではまだ、導入の要否との記載にとどまっており、規律の中に含めるのかもまだ流動的?とも読め、今後に注目です。
エ 差止請求・被害回復制度
エ 違反行為による被害の未然防止・拡大防止のための団体による差止請求制度、個人情報の漏えい等により生じた被害の回復のための団体による被害回復制度の導入の要否
こちらも、「課徴金」とともに、消費者団体・有識者と経済団体で考え方の隔たりが大きく、「中間整理」後、10月から12月に7回の「検討会」で議論されたテーマ。12月に出た「検討会報告書」でかなり具体化されてでてきましたが、昨日の資料ではまだ、導入の要否との記載にとどまっており、規律の中に含めるのかもまだ流動的?とも読め、今後に注目です。
「中間整理」時点の整理はこちらです。
「検討会」では、報告書で2つの制度について、制度的な検討がなされ、
個人情報保護法のいわゆる3年ごと見直しに関する検討会報告書(令和6年12月25日)
「適格消費者団体」や認定個人情報保護団体と個人情報保護委員会との連携、執行の複線化が欠かせないとの議論がなされました。
他の規律に比べ、具体化された内容でしたが、「課徴金」同様、昨日1/21の資料ではまだ、導入の要否との記載にとどまっており、規律の中に含めるのかもまだ流動的?とも読め、今後に注目です。
最後の項目!
オ 漏えい報告対象の範囲とやり方の見直し
オ 漏えい等発生時の体制・手順について確認が得られている場合や違法な第三者提供が行われた場合における漏えい等報告等の在り方
「中間整理」の際の整理は以下の通り。
漏えい報告が必要となる同じ場面関連の規律では、対象前述(1)イ 本人への通知が行われなくても本人の権利利益の保護に欠けるおそれが少ない場合における漏えい等発生時の対応の在り方が追加として、本人通知不要な場合の規律緩和が今回明記されました。
一方、「中間整理」時点からあった1件の場合の漏洩報告緩和(要事前体制確認)や違法な第三者提供を報告対象にする件については、変更がないように見えますが、具体は、今後待ちとなります。
ここまでが、規律の内容(一部guess)でした。
3 次はいつ何が?(guess)
さて、気になる次はいつ何が?については、昨日、明示されていません。
その点、今回の3年ごと見直しが始まる前に、前回の3年ごとの見直しの経緯を確認したところ、法改正前の論点提示以降は、以下のようなかたちで進んでいました。
現時点の動きと照らすと、前回でいう②の中間整理は完了、制度的課題の再整理が昨日完了、③制度改正大綱の骨子案待ち、という状況で、前回から2ヶ月押しというスピード感です。
②中間整理
4/25 中間整理案
5/17 有識者ヒアリング
7/9 中間整理パブコメ結果
③制度改正大綱
11/29 制度改正大綱 骨子案
12/13 制度改正大綱(案) →パブコメ
2020/2/12 制度改正大綱 パブコメ結果
④法案 閣議決定、国会審議、法案成立、公布
2/26 法案
3/10 個人情報の保護に関する法律等の一部を改正する法律案」の閣議決定について
⑤2020/6/12 法の公布
ここから推定すると、
この後、最低3回の委員会を開催の上、改正法案が桜が咲く頃までに公表、6月の国会会期で成立を目指してくるのではないか?という気がします。
ステップを箇条書きすると、
①(未決ぽい)課徴金・差止請求等の規律化要否決定
②各項目ごとの規律の方向性(各項目数行程度、全体で数ページ)
c.f. 前回の改正大綱骨子
③改正法に向けた改正大綱(全体で40ページくらい)
c.f. 前回の改正大綱(④③のパブコメ実施)
⑤改正法案
⑥閣議決定
⑦国会審議
⑧改正法制定(〜6末)
なお、直近待たれる②改正大綱骨子の記載レベルはこの程度、
その後、パブコメ対象となると思われる③改正大綱の文書はこのレベルです。(例は②骨子に対応する箇所)
風の噂もふまえると、②の数行レベルは、事務局でおそらく準備はできており、①待ちおよび関係団体等への根回し中ではないかと思われ、そこでもめない限り、今国会での改正法成立はまだ間に合いそうな感じがします。
施行までのスケジュール(guess)
したがって、現時点では、年初の2025の予想と大きなスケジュールは変更ないのではないか?と考えています。
あとがき
いかがでしたでしょうか?
そもそも議論が進んだ中で加わった論点、明確化された論点がある一方、中間整理からの継続論点について、具体がどう変わったかはまだ不透明な点が多い状況です。
でも「再整理」として、項目が出揃ったことで、これから春に改正法がでる(たぶん)までの動き、目が離せなくなってきましたね!
加えて、個人情報保護委員会におかれては、関係省庁との連携や関係団体との対話も継続するようで、文脈の把握は難易度が高そうです。
これからも、迷子にならないように、追いかけていきたいと思います。
では、また!
今日のAI絵
