10/16個人情報保護法のいわゆる3年ごと見直しの検討の充実に向けた視点(案) を読み解いてみよう!(ざっくり編)
こんばんは!
今夜、個人情報保護委員会のHPで久しぶりに、
個人情報保護法のいわゆる3年ごと見直しについての議題が出ていました!
ん? 検討の充実に向けた視点(案)? 充実って何が充実?
資料は2つ。
資料1-1
個人情報保護法のいわゆる3年ごと見直しの検討の充実に向けた視点(案)
資料1-2
今後の検討の進め方
議事概要はまだ出ていないのですが、
内容が今回の見直しに加え、中期的にじっくり考えるべき論点も含んでいましたので、読みといてみたいと思います!
(長くなりがちなこのnote、今日は、ざっくりまとめ中心ですw)
ざっくりまとめると
ポイントは3つ!
①論点を3分類して並行で検討
今後の検討の進め方の資料を読み解くと、
・今後の3年見直しは、論点ごとに3つに分け並行で検討するようです!
・今回公表の資料はそのうち、Cの考え方、論点案を示したものです
②今回公表の視点は「土台」
・個人情報保護委員会的にこの3つをマッピングすると、今回公表のパートCは、「制度の基本的在り方」として、現行法や3年見直しの土台になる部分。
このあり方、土台を称して、「充実」と称していたんですね!
よって(全てを年内に解決できないため)短期的・中期的に進めるようです
ー短期的(年内):「中間整理」での検討事項の具体的制度設計の在り方や優先順位、緊要性等を決めるための共通の視座に
ー中期的:国・地方の行政機関に関する制度を含めた一体的な見直しへとつなげるための議論の土台に
2 今後の検討における視点
(中略)
⚪︎個人情報保護政策を考える上で注目すべき環境変化、重視すべきリスク・政策目的、実態を踏まえた規制の在り方といった制度の基本的在り方に関わる次元の論点は、もとより、「中間整理」で示した検討事項の基礎を成すものであるが、今般いただいた御意見も踏まえ、改めて、幅広いステークホルダー等の間で再確認することにより、短期的には、「中間整理」で示した検討事項に係る具体的制度設計の在り方や優先順位、緊要性等についての結論を得るための共通の視座を得ることを目指す。併せて、中期的には、施行後間もないことから今般は本格的見直し対象に位置付けてこなかった国・地方の行政機関に関する制度を含めた一体的な見直しへとつなげるための議論の土台としていく。
③土台検討の6視点
〜現行制度の基本的前提に係る再検討にあたっての視点
以下の6つの視点があげられています。
以上、ここまで3枚のスライドがざっくりまとめです!
6つの視点の具体を確認されたい方は、次のパートをどうぞ。
6つの視点の具体
資料1-1個人情報保護法のいわゆる3年ごと見直しの検討の充実に向けた視点(案) の(参考4)現行制度の基本的前提に係る再検討にあたっての視点の例をまとめると、以下のようなイメージです。
1 本人の関与を前提にした規律の実効性
(そもそも大量の規約読まない、理解できず…形式的な同意意味ある?)
①利用目的
以下の当事者間での自律的なガバナンス重視は妥当か?
社会におけるモニタリングも考えられるか?
・事業者による利用目的の特定と通知・公表、その範囲での利用
・本人(個人)が通知・公表で認識し、必要に応じ関与・監視
②本人(個人)の認知限界
・①は本人が認識・理解できることが必要
・急激なデジタル化で、十分に理解できているか?
・本人が認識・理解できる、目的特定、説明とは?
(ダークパターン論点含む)
③こども
補完する仕組みの導入は必要か?
・本人による関与・監視が脆弱
④利用目的の変更
・(現行法の)「関連性を有する合理的に認められた範囲」における許容範囲とは?
⑤実体的ルール(リスクベース等)
・事業者自身による判断*と事後の結果責任重視のアプローチへの転換?
(*PIA等?)
⑥本人に影響の大きいプロファイリング、働きかけ
・本人の権利利益に大きな影響があるものについて、実効的な保護を高めるべきか?
・手段例として、類型的な利用目的規制や本人関与の強化
⑦改善意思のない事業者への対応
・自律的に適正化しようとしない事業者には、本人関与の規律は効果薄
・異なる措置で、不適正な取扱いを抑止・停止すべきか?
⑧本人が、より積極的に自身のデータに関与する仕組み
・データ利用の適正性を超えて、本人がより能動的に自身のデータの取り扱いに関与できる仕組み*の導入をどう考えるか?
(*例:データポータビリティ、ダッシュボードによる開示、停止等)
2 個人の権利利益への影響がない(少ない)利用の規律
(統計利用まで、がちがちに縛る意味ある?)
・本人の関与を通じた利用の適正性担保の仕組みは、その利用の結果本人の権利利益への影響が具体的に見込まれる場合のみでよいのでは?
・例えば、統計的利用など、一般的・汎用的な分析結果の獲得と利用のみを目的とする場合にも必要か?
3 個人データの第三者提供、原則禁止の緩和可能性
(当然でしょ問題ないでしょ系の第三者提供は同意不要でもOK?)
・提供先における利用目的によっては、第三者提供を原則禁止(同意必須)としなくてもよいのでは?
たとえば
ー特定の個人への影響を伴わない一般的・汎用的な分析に限定
ー本人が当然と思うような場合
ー利用目的が継承され、提供前と同等の保護が保障される場合、など
4 義務を負うべき者の在り方(クラウド事業者・委託先など)
(外資クラウド大手ベンダー様を委託先監督なんて、無理ゲー?)
① クラウド・SaaS・AI等の普及による環境変化
・個人データの処理、安全管理措置について、(個人に対し責任を負う事業者ではなく)実質的には第三者に依存するケースが拡大。
②責任を負う者は今のままでよいか?
・データ処理の担い手や、安全管理等の措置を講ずる権能の帰属実態を踏まえこのままでよいか?
(現在は、本人に対し責任を負う個人情報取扱事業者が、従業員や委託先の監督を通じて、安全確保等の義務を果たすこととなっている)
5 守られるべき個人の権利利益の外延
(Cookie等端末識別子も個人情報?、個人の権利利益とは具体的に何?)
①守るべき情報の範囲
・氏名、住所等と同様、スマホ等ネット接続端末やブラウザ等が、実質的には特定個人に対し勧誘その他の一対一の働きかけを行うチャネルに
・端末を識別する端末識別番号や Cookie 情報等についても、従前の住所等と同等に、個人の権利利益の観点から保護すべきか?
②保護すべき個人の権利利益
・法で保護すべき個人の権利利益の外縁や優先順位の整理は必要か?
・その整理に基づいた制度体系の見直しは、個人の権利利益の保護につながるか?
視点例
(A)個人データ処理を通じ、特定の個人を評価・選別し、それに基づいて、特定個人に影響を与える行為を行うことのリスク
(B)個人データの本人到達性の機能を利用し、勧誘その他の特定個人への働きかけを行うことのリスク
(C)自身の秘匿したい領域が他人に知られるリスク
(D)自身の自由な意志に従って自身の個人データを制御できないこと自体に起因するリスク
6 差別・リスク増大する個人データの類型
(蓄積すると機微な位置情報とかも要配慮?)
①要配慮個人情報
・現在の規律は、本人に対する差別的評価が不当に助長されないよう、相対的に保護を強めているが、引き続き妥当か?
②長期に蓄積するとリスクが増大する類型のデータ
・データ自体には本人の差別的評価を助長するような属性はなくても、その性質上容易に取得され、長期にわたり本人の追跡の手掛かりとなるなど、個人の権利利益に対するリスクの増大を助長する効果が見込まれる類型のデータが存在。(GPS位置情報等?)
・他のデータに比し特別な規律を課すべきか?
・その場合、本人の関与を通じた規律、本人の関与に依存しない規律、どちらが有効か?
以上、全貌と雰囲気つかむことを優先し、簡潔にし、(3割妄想加えて)はしょりましたので、かなりの意訳です。
正確さを求める方は、資料1−1の参考4)を直接ご参照ください!
あとがき
いかがでしたでしょうか?
いつもとちょっと違う雰囲気でしたよねー?
今回の論点は、中間整理では、最後、4 その他にお印程度だったもの。
当時は、3年見直しで改正する個別論点優先で、忘れさられてしまいそうだよなーと内心思っていたのが正直なところです。
なので、このタイミングで、こうしたカタチで公表されたことに驚くとともに、ここまで検討して視点案出してくださってありがとう!!という気持ちです♡
現段階の内容は、たぶん、全てを網羅、整理できているわけではなく、識者から見ると、意見・異論もあると思います。
でも、まずは、スタートライン!
個人情報保護法の基本的あり方「土台」の振り返りについても、具体議論のスタート地点に立つ準備が整ったこと、まずは、委員会の新体制のみなさまに感謝と敬意を表したいと思います!
では、また!
今日のAI画
