中間整理に向け:個情法3年見直し(同意によらない提供、PIA、責任者の設置)
こんにちは!
3年ごと見直し中間整理に向けた検討項目は出揃いました。
5/15の第284回個人情報保護委員会は、
以下の3つですが、重要論点なので2回に分けて紹介したいと思います。
●データ利活用に向けた取組に対する支援等の在り方(同意によらない提供)
●民間の自主的取組み(PIA・責任者の設置)
●実効性のある監視・監督の在り方②
今回も、議事概要の議論結果を参考に、スライドに沿って見ていきます
なお、出典の明記がないスライドは全て、表題の以下の資料が出典となります。
個人情報保護法 いわゆる3年ごと見直し規定に基づく検討(データ利活用に向けた取組に対する支援等の在り方) (PDF : 1139KB)
中間整理の検討項目(案)とここまでのまとめ
今回の公表は、2/21に公表された中間整理に向けた検討項目のうち、下の同意によらない提供には赤枠、民間の自主的な取り組みについては黄枠となります。
これまでの議論
下スライドは、関係団体や委員意見の個人情報保護委員会による公式まとめに、今回の範囲に関する部分のうち、同意によらない提供には赤線、民間の自主的な取り組みについては黄線を引いたものです。
赤線部分、事業者からは、個人データの第三者提供について、同意以外の方法(契約の履行、正当な利益)等一定の条件下の検討を求める一方、委員からは、公共性の高い分野での利活用を推進する制度、関係省庁との連携強化の意見があることがわかります。
それでは、今回の公表資料と議事概要を見ていきましょう。
【データ利活用に向けた取組に対する支援等の在り方(同意によらない提供)】
1.個人情報の有用性への配慮に係る保護法の考え方
はじめに、法の目的として、個人情報の有用性に配慮しつつ、個人の権利利益を保護することであることの振り返りがされています。
2.本人同意を要しない個人情報の取扱いに係る現行法の規律(概要)
次に、現在の規範として、利用目的による制限がある一方、
他の権利利益の保護を優先すべき場合には、一定の適用除外があることがまとめられています。
要配慮個人情報の取得については、
あらかじめ本人の同意の義務があるところ、本人の利益のために必要がある場合等、例外的な取り扱いについての定めがあるとしています。
また、第三者提供において、あらかじめ本人の同意を得ることが義務となっているところ、他の法令に基づく場合等一定の適用除外規定があることの振り返りがされています。
3.個人情報等をめぐる状況
次に令和3年法改正で改正された個人情報の保護に関する基本方針を引用し、利活用ニーズの高まりの一方、デジタル技術の進展により、利用の仕方によっては、個人の権利利益に対し大きな侵害につながるリスクが高まっていると指摘しています。
4.データ利活用の推進に係る主な施策
続いて、デジタル庁ののデジタル社会の実現に向けた重点計画を引用し、政府全体としてもプライバシー侵害やデータの不適正利用等の不安・不信感を払拭しつつ、データ活用のメリットの理解を得た上で、透明性と信頼性のあるデータ活用を推進するとしています。
5.令和2年個人情報保護法改正時の附帯決議
さらに、前回の令和2年改正時の附帯決議を引用し、情報通信技術の急速な進展の中、個人の権利利益の保護を図りながら個人情報の利活用を行うよう、個人情報保護 委員会は、民間の実態を常に広く把握し、制度面を含めた検討を随時行い、その結果に基づいて必要な措置を講ずることとされていることが紹介されています。
6.公益性の高い分野における直近の状況
次に、国の各省庁の準公共分野で、機微性の高い個人情報を含む利活用ニーズが高く、政策の企画・立案段階から連携しているとしています。
また、医療関係の意見を踏まえ、Q&Aの追加を行ったことが紹介されています。
7.データ利活用に関する主な提言
データ利活用に関する主な提言として、3つの例をあげています。
①医療などデータの利活用法制等の整備について
②データ利活用・連携による新たな価値創造に向けて― 日本型協創DXのリスタート ―
③日本IT連 政策要望
8.有識者ヒアリング(AI・医療関係)(第279回個人情報保護委員会)
続いて、2024/4/3開催の 第279回個人情報保護委員会でのAI・医療関係の以下の有識者ヒアリングの抜粋を引用しています。
<AI関係>
資料1-1
AIと個人情報保護:欧州の状況を中心に(一橋大学 生貝教授) (PDF : 894KB)
資料1-2
AI利用と個人情報の関係の考察(NTT社会情報研究所 高橋チーフセキュリティサイエンティスト) (PDF : 400KB)
<医療関係>
資料1-3
医療情報の利活用の促進と個人情報保護(東京大学 森田名誉教授) (PDF : 378KB)
資料1-4
医療・医学系研究における個人情報の保護と利活用(早稲田大学 横野准教授) (PDF : 1438KB)
9.本人同意を要しない個人情報の取扱いに関する外国制度等
最後に、本人同意を要しない個人情報の取り扱いに関する、EU、米国CA州、韓国の法令を紹介しています。
委員の意見(議事概要)
次に、議事概要から意見を見て見ましょう。
感想として、委員の間の議論はあまり活発に行われていなそうなのが、ちょっと意外な議事概要です。
一旦の結論としては、藤原委員長のまとめにあるように、産業界等からの要望は多いが、慎重な意見も踏まえ、明確な方向性を出さず「継続議論」となったように見受けられます。
次に、民間の自主的な取組の推進のテーマです。
民間の自主的な取組の推進
【PIAの制度化・普及に向けた支援】
1.PIAに係る現行法の規律
まず、現在の個人情報保護法において、PIAは別添の構ずべき安全管理措置のうち、組織的安全管理措置の取り扱い状況に関連するとし、
具体的な取組もしては、昨年公表された「データマッピング・ツールキット」が紹介されています。
加えて、R3法改正時に追記された基本方針に、PIAの有効性が記載されていると紹介しています。
また、2021年に公表された『PIAの取組の促進について―PIAの意義と実施⼿順に沿った留意点―(概要)』を引用し、紹介しています。
2. PIAに関する外国制度等
次に、PIAに関する外国の制度として、EUのGDPR、データ保護影響評価(DPIA)及び取扱いが2016/679規則の適用上「高いリスクをもたらすことが予想される」か否かの判断に関するガイドライン (PDF : 1152KB) の紹介の上で、
その他の国の制度について、義務付けされている国、ガイドライン上の国に分けて紹介されています。
(うーん、個人的には、最近の法令ではPIAが当たり前に入ってくる傾向にあること、より身近なアジア圏内、その中でPIAを義務化している中国やベトナムを例として検討すべきではないかな?だと思いました。
アメリカの連邦法案も現在審議中のAPRAではなく、廃案となったADPPAがあげられているなど、個人情報保護委員会の外国制度の把握がタイムリーになされていない雰囲気*をここでも感じます。。。)
* c.f.関連note
3. 国内の主な他法令の規律
次に、影響評価を行うことと法令で定められている4つが紹介され、
そのうちの特定個人情報保護評価(マイナンバー利用)については、
次のページで、特定個人情報保護評価の概要 平成30年5月 (令和6年5月最終改訂) 個人情報保護委員会事務局 の資料を引用し、その実施手続きが紹介されています。
民間の自主的な取組の推進
【個人データの取扱いに関する責任者の制度化・普及に向けた支援】
1.個人データの取扱いに関する責任者に係る現行法の規律
2.個人データの取り扱いに関する責任者に関する外国制度等
3. 国内の主な他法令の規律
データガバナンス(民間の自主的取組)
最後の紹介として、個人情報保護委員会では、「データガバナンス」として、民間の自主的取組関連のコンテンツをまとめていることが紹介されています。
(今回の話とは関係ありませんが、
事業者目線では、ここに経産省/総務省プライバシーガバナンスを入れるべきではないかと思います。利用者の目線では、省庁ではなく、データ・プライバシー全般のガバナンスがまとまってるとありがたいのですよね…)
検討に当たっての論点
そして、PIA・責任者には、現在、義務の規範はないところ、検討に当たっての論点が示されています。
議事概要を見ると、「法規範とすべきか?」を中心に議論されていることがわかります。
委員の意見(議事概要より)
制度の国際的な協調の考慮が望ましいとする意見
(リスクベースアプローチの有用性を強調した上で)
PIAは現状通りガイドラインでとし、自発的な導入を推奨していくとする意見
(法の規範ではなく)ツールキットやグッドプラクティスの共有や、PIAの実施にインセンティブを設けるべきとする意見
PIAは現状の民間の自主的な取り組みを維持、責任者は何らかの法的な措置を現実性踏まえて検討すべきという意見
所感
まとめると、現時点では、以下の印象です。
【データ利活用】
●本人同意によらない提供の在り方:意見まとまらず、検討継続?
【民間の自主的取組】
●PIAの制度化:自主的な取り組みを維持しつつ、各論参考情報推進?
●責任者の設置制度化:現在の安全管理措置(組織的安全管理)とは別の規定追加もありうる?
関東も梅雨いり間近。
春とされていた中間とりまとめは、初夏に延期となっているようです。
中間取りまとめでは、白黒はっきりしない論点が多くなりそうな予感ですが、さてさて? 楽しみに待ちたいと思います!
それでは、また!
今日のDall-E3