中間整理に向け:個情法3年見直し(同意によらない提供、PIA、責任者の設置)
こんにちは!
3年ごと見直し中間整理に向けた検討項目は出揃いました。
5/15の第284回個人情報保護委員会は、
以下の3つですが、重要論点なので2回に分けて紹介したいと思います。
●データ利活用に向けた取組に対する支援等の在り方(同意によらない提供)
●民間の自主的取組み(PIA・責任者の設置)
●実効性のある監視・監督の在り方②
今回も、議事概要の議論結果を参考に、スライドに沿って見ていきます
なお、出典の明記がないスライドは全て、表題の以下の資料が出典となります。
個人情報保護法 いわゆる3年ごと見直し規定に基づく検討(データ利活用に向けた取組に対する支援等の在り方) (PDF : 1139KB)
中間整理の検討項目(案)とここまでのまとめ
今回の公表は、2/21に公表された中間整理に向けた検討項目のうち、下の同意によらない提供には赤枠、民間の自主的な取り組みについては黄枠となります。
これまでの議論
下スライドは、関係団体や委員意見の個人情報保護委員会による公式まとめに、今回の範囲に関する部分のうち、同意によらない提供には赤線、民間の自主的な取り組みについては黄線を引いたものです。
赤線部分、事業者からは、個人データの第三者提供について、同意以外の方法(契約の履行、正当な利益)等一定の条件下の検討を求める一方、委員からは、公共性の高い分野での利活用を推進する制度、関係省庁との連携強化の意見があることがわかります。
それでは、今回の公表資料と議事概要を見ていきましょう。
【データ利活用に向けた取組に対する支援等の在り方(同意によらない提供)】
1.個人情報の有用性への配慮に係る保護法の考え方
はじめに、法の目的として、個人情報の有用性に配慮しつつ、個人の権利利益を保護することであることの振り返りがされています。
2.本人同意を要しない個人情報の取扱いに係る現行法の規律(概要)
次に、現在の規範として、利用目的による制限がある一方、
他の権利利益の保護を優先すべき場合には、一定の適用除外があることがまとめられています。
要配慮個人情報の取得については、
あらかじめ本人の同意の義務があるところ、本人の利益のために必要がある場合等、例外的な取り扱いについての定めがあるとしています。
また、第三者提供において、あらかじめ本人の同意を得ることが義務となっているところ、他の法令に基づく場合等一定の適用除外規定があることの振り返りがされています。
3.個人情報等をめぐる状況
次に令和3年法改正で改正された個人情報の保護に関する基本方針を引用し、利活用ニーズの高まりの一方、デジタル技術の進展により、利用の仕方によっては、個人の権利利益に対し大きな侵害につながるリスクが高まっていると指摘しています。
4.データ利活用の推進に係る主な施策
続いて、デジタル庁ののデジタル社会の実現に向けた重点計画を引用し、政府全体としてもプライバシー侵害やデータの不適正利用等の不安・不信感を払拭しつつ、データ活用のメリットの理解を得た上で、透明性と信頼性のあるデータ活用を推進するとしています。
5.令和2年個人情報保護法改正時の附帯決議
さらに、前回の令和2年改正時の附帯決議を引用し、情報通信技術の急速な進展の中、個人の権利利益の保護を図りながら個人情報の利活用を行うよう、個人情報保護 委員会は、民間の実態を常に広く把握し、制度面を含めた検討を随時行い、その結果に基づいて必要な措置を講ずることとされていることが紹介されています。
6.公益性の高い分野における直近の状況
次に、国の各省庁の準公共分野で、機微性の高い個人情報を含む利活用ニーズが高く、政策の企画・立案段階から連携しているとしています。
また、医療関係の意見を踏まえ、Q&Aの追加を行ったことが紹介されています。
7.データ利活用に関する主な提言
データ利活用に関する主な提言として、3つの例をあげています。
①医療などデータの利活用法制等の整備について
②データ利活用・連携による新たな価値創造に向けて― 日本型協創DXのリスタート ―
③日本IT連 政策要望
8.有識者ヒアリング(AI・医療関係)(第279回個人情報保護委員会)
続いて、2024/4/3開催の 第279回個人情報保護委員会でのAI・医療関係の以下の有識者ヒアリングの抜粋を引用しています。
<AI関係>
資料1-1
AIと個人情報保護:欧州の状況を中心に(一橋大学 生貝教授) (PDF : 894KB)
資料1-2
AI利用と個人情報の関係の考察(NTT社会情報研究所 高橋チーフセキュリティサイエンティスト) (PDF : 400KB)
<医療関係>
資料1-3
医療情報の利活用の促進と個人情報保護(東京大学 森田名誉教授) (PDF : 378KB)
資料1-4
医療・医学系研究における個人情報の保護と利活用(早稲田大学 横野准教授) (PDF : 1438KB)
9.本人同意を要しない個人情報の取扱いに関する外国制度等
最後に、本人同意を要しない個人情報の取り扱いに関する、EU、米国CA州、韓国の法令を紹介しています。
委員の意見(議事概要)
次に、議事概要から意見を見て見ましょう。
清水委員から
「まず、データ利活用については、公益に資する場合に、本 人同意の免除等、特別な取扱いが必要な領域はあると思うが、これまでの基本的な枠組みは維持すべきであり、特別な取扱いを認める範囲は限定的である必要がある。例えば、広く国民に利益をもたらし得る業務の開発や運営の場合は認めるという条文を新設する場合も、許容する範囲は限定的であ るべきだし、ガイドラインの改正で足りる場合も、追加的に許容する範囲を 明示すべき。各論でいうと、AI に関する規制の新設や、学術研究例外・公衆衛生例外の範囲の拡大が考えられる。これらは関係省庁と連携の上、進めるべきであるし、特に AI は海外諸国の規制の動向も進んでいるようなので、 こちらも視野に入れて進めていくべき。これらの課題は、業界団体からの要望もあり急務かもしれないが、一方で、国民の懸念も大きいため、関係省庁と連携し、個人情報保護の観点からしっかりと議論に参加していく必要が ある。
小川委員から「データの利活用と PIA について 1 点ずつ。
まず、教育関連でのデータ利活用だが、こどものデータの取扱いに関する保護と利活用に ついて、エンターテインメント分野では保護する一方で、教育分野では利活用が必要だという意見を業界団体から頂いた。教育分野は、様々な統計デー タとともに一人一人の学習データに基づいた分析を行い、こどもの学習を進めるのもこれからの社会に重要ではないか。ネット社会では、SNS や動画 サイトを中心に、こどもの個人データの保護が社会全体にとって重要である一方で、社会全体にとって有益である教育分野での活用も、関係省庁における取組を踏まえつつ検討する必要がある。
藤原委員長から
「まず、本人同意を要しない公益に資するデータ利活用の 在り方について、昨今のデジタル化の急速な進展・高度化に伴い、生成 AI 等の新たな技術の普及等により、大量の個人情報を取り扱うビジネス・サー ビス等が生まれている。また、健康・医療等の公益性の高い分野を中心に、 機微性の高い情報を含む個人情報等の利活用に係るニーズが高まっている。 こうした状況を踏まえ、個人情報保護法で、本人同意が求められる規定の在り方について、個人の権利利益の保護とデータ利活用とのバランスを考慮し、特に AI や医療関係のヒアリングでの有識者の御意見や、本人同意を要しない個人情報の取扱いに関する外国法制度なども参考にしながら、継続して検討すべきである。また、その際には、本日の委員からの意見も踏まえ ることが重要である。
感想として、委員の間の議論はあまり活発に行われていなそうなのが、ちょっと意外な議事概要です。
一旦の結論としては、藤原委員長のまとめにあるように、産業界等からの要望は多いが、慎重な意見も踏まえ、明確な方向性を出さず「継続議論」となったように見受けられます。
次に、民間の自主的な取組の推進のテーマです。
民間の自主的な取組の推進
【PIAの制度化・普及に向けた支援】
1.PIAに係る現行法の規律
まず、現在の個人情報保護法において、PIAは別添の構ずべき安全管理措置のうち、組織的安全管理措置の取り扱い状況に関連するとし、
具体的な取組もしては、昨年公表された「データマッピング・ツールキット」が紹介されています。
加えて、R3法改正時に追記された基本方針に、PIAの有効性が記載されていると紹介しています。
また、2021年に公表された『PIAの取組の促進について―PIAの意義と実施⼿順に沿った留意点―(概要)』を引用し、紹介しています。
2. PIAに関する外国制度等
次に、PIAに関する外国の制度として、EUのGDPR、データ保護影響評価(DPIA)及び取扱いが2016/679規則の適用上「高いリスクをもたらすことが予想される」か否かの判断に関するガイドライン (PDF : 1152KB) の紹介の上で、
その他の国の制度について、義務付けされている国、ガイドライン上の国に分けて紹介されています。
(うーん、個人的には、最近の法令ではPIAが当たり前に入ってくる傾向にあること、より身近なアジア圏内、その中でPIAを義務化している中国やベトナムを例として検討すべきではないかな?だと思いました。
アメリカの連邦法案も現在審議中のAPRAではなく、廃案となったADPPAがあげられているなど、個人情報保護委員会の外国制度の把握がタイムリーになされていない雰囲気*をここでも感じます。。。)
* c.f.関連note
3. 国内の主な他法令の規律
次に、影響評価を行うことと法令で定められている4つが紹介され、
そのうちの特定個人情報保護評価(マイナンバー利用)については、
次のページで、特定個人情報保護評価の概要 平成30年5月 (令和6年5月最終改訂) 個人情報保護委員会事務局 の資料を引用し、その実施手続きが紹介されています。
民間の自主的な取組の推進
【個人データの取扱いに関する責任者の制度化・普及に向けた支援】
1.個人データの取扱いに関する責任者に係る現行法の規律
2.個人データの取り扱いに関する責任者に関する外国制度等
3. 国内の主な他法令の規律
データガバナンス(民間の自主的取組)
最後の紹介として、個人情報保護委員会では、「データガバナンス」として、民間の自主的取組関連のコンテンツをまとめていることが紹介されています。
(今回の話とは関係ありませんが、
事業者目線では、ここに経産省/総務省プライバシーガバナンスを入れるべきではないかと思います。利用者の目線では、省庁ではなく、データ・プライバシー全般のガバナンスがまとまってるとありがたいのですよね…)
検討に当たっての論点
そして、PIA・責任者には、現在、義務の規範はないところ、検討に当たっての論点が示されています。
議事概要を見ると、「法規範とすべきか?」を中心に議論されていることがわかります。
委員の意見(議事概要より)
制度の国際的な協調の考慮が望ましいとする意見
浅井委員
「PIA・DPO について、EU の GDPR では、一定の要件の下で規律化されており、日本においても大企業の多くで自主的取組として、データ 保護責任者の選任及び PIA の運用が進んでいると理解した。この背景には、 海外市場が事業運営に不可欠であるグローバル企業にとって、GDPR のルー ルやその他の海外法令に対応する必要性が現実的に大きいことがあると考 えられる。したがって、今回の PIA・個人データの取扱いに関する責任者の制度化の検討においては、国際的な協調を考慮することも望ましいと考え る」旨の発言があった。
(リスクベースアプローチの有用性を強調した上で)
PIAは現状通りガイドラインでとし、自発的な導入を推奨していくとする意見
清水委員
後半の PIA・個人データの取扱いに関する責任者については、浅井委員の 御指摘にあるように、実務に根付いている部分もあると思うが、事業者それぞれで事情は違うと思っており、これらに係る規定は現状どおりガイドラ イン等で取り扱うこととした上で、ベストプラクティスの紹介等、自発的な 導入を推奨していく必要があるのではないか。
個情法の規制はこれまで逐条的な規制が大部分だったかと思うが、今後はリスクベースアプローチに シフトしていく必要があると考える。例えば、AI やこどもに関する規制は 複雑で、一律に規制することは難しい。このような局面では、事業者側にリスクを判定させ、対応策を講じさせることが有用であるわけで、PIA はリスク評価の一つの手段として有用であるし、個人データの取扱いに関する責任者は評価やリスクへの対応策として有用であると考えている」旨の発言 があった。
(法の規範ではなく)ツールキットやグッドプラクティスの共有や、PIAの実施にインセンティブを設けるべきとする意見
小川委員
次に、PIA について、資料の 17 ページにあるように、PIA の効果として、 『消費者をはじめとする利害関係者からの信頼性の獲得』、『事業のトータ ルコストの削減』、『従業者の教育を含む事業者のガバナンスの向上』が挙げ られている。企業の提供するサービスやシステムについて、事前に PIA を実施して公表することで、顧客の個人情報が保護されるサービス、システムで あることを示すのは、顧客の不安解消に重要である。ただ、PIA の実施には コストがかかるため、実際に、全体でコストが削減されるのかという疑問が あるとも思う。PIA の効果は、企業の提供するサービスによってケースバイ ケースの評価になる。さらに、システムの開発や運用は委託されることが多いので、PIA も委託先に任せてしまう可能性がある。多重下請け構造が多く 見られる日本では、PIA が下請け任せにならないようにする必要がある。
このような状況で、当委員会が進めているデータマッピング・ツールキットなどの普及や、グッドプラクティス、ベストプラクティスを業界や認定個人情報保護団体で共有することが重要ではないか。加えて、事業者の提供するサービスがネット社会の進展を阻害しないように、消費者の信頼や安心を得るために、PIA の実施にインセンティブを持たせる仕組みも必要だと考える」 旨の発言があった。
PIAは現状の民間の自主的な取り組みを維持、責任者は何らかの法的な措置を現実性踏まえて検討すべきという意見
藤原委員長
続いて、PIA・個人データの取扱いに関する責任者の制度化・普及に向け た支援についてである。
これらの制度は、データガバナンス体制の構築において主要な要素となるものであり、その取組が促進されることが望ましい が、これらの義務化については、各主体における対応可能性や負担面などを 踏まえ、慎重に検討を進めるべきである。
まず、PIA については、現状の民間における自主的な取組という枠組みを維持しつつ、その取組を一層促進 させるための方策について、PIA の出発点となり得るデータマッピングを活用していくことを含め、検討を進めるべきである。その際は、本日の委員からの意見も踏まえることが重要である。
また、個人データの取扱いに関する責任者に関しては、現行のガイドライン等で定める『組織体制の整備』を超えた措置の必要性について検討を進めるべきである。資格要件の要否、設置 を求める対象事業者の範囲等により、その効果が変わってくると考えられ るところ、各企業の現状も踏まえ、現実的な方向性を検討すべきである。その際は、本日の委員からの意見も踏まえることが重要である。 特に御意見等ないようなので、今私から申し上げた内容も踏まえて事務 局において御検討いただきたい」旨の発言があった。
所感
まとめると、現時点では、以下の印象です。
【データ利活用】
●本人同意によらない提供の在り方:意見まとまらず、検討継続?
【民間の自主的取組】
●PIAの制度化:自主的な取り組みを維持しつつ、各論参考情報推進?
●責任者の設置制度化:現在の安全管理措置(組織的安全管理)とは別の規定追加もありうる?
関東も梅雨いり間近。
春とされていた中間とりまとめは、初夏に延期となっているようです。
中間取りまとめでは、白黒はっきりしない論点が多くなりそうな予感ですが、さてさて? 楽しみに待ちたいと思います!
それでは、また!
今日のDall-E3
