「個人情報保護法3年ごと見直し」改正大綱へのパブコメ意見をまとめてみた その2（IT、インターネット編）

はじめに（他の記事へのリンク）

前回の記事の続きです。

「個人情報保護法3年ごと見直し」改正大綱への意見をまとめてみた その1（経済団体編）

https://note.com/nagailaw/n/nf1b7ecc4b567

日本インタラクティブ広告協会(JIAA)

「個人情報保護法 いわゆる３年ごと見直し 制度改正大綱」に対する意見を提出

インターネット広告に関する業界団体です。

インターネット広告の基本技術となる端末識別子（cookieなど）については、EUの一般データ保護規則(GDPR)で同種の情報がpersonal dataの定義に含まれていることなどから、日本でも個人情報に含めるという改正がなされるのではという話を聞くことも多かったですが、大綱では、端末識別子を一律に「個人情報」に含めるという改正は行いませんでした。

他方、大綱では、「提供先において個人データになることが明らかな情報について、個人データの第三者提供を制限する規律を適用する」という方針が示されており、DMP(Data Management Platform)を用いたインターネット広告の取扱いがどうなるかが論点となっています。

JIAAの意見書では、DMPをプラットフォームとして提供する事業者の立ち位置に応じて、以下のような指摘を述べた上で、共同利用などの他の枠組みでの解決を可能とすることや、実態に配慮した規律、制度導入が求められています。（該当箇所1の意見）

◆そもそも同意取得が困難なケース

DMP等のプラットフォームが個人特定性のないユーザーデータをパートナーのサイト上に設置したタグを通じて取得している場合

DMP側にはサイト運営者側のサイトの閲覧者との接点がないこと、他方でサイト運営者側で同意を取得しようとしても、手続が煩雑で本人の意思確認として意味がないとして、同意取得に否定的な見解を示しています。

◆DMPが委託によりデータを取り扱うケース

自社で蓄積したデータを活用するために用いる『プライベートDMP』等の場合

DMPから提供先企業への提供について、DMPは、委託によりデータを取り扱うのであるから、提供先企業が実質的に同意を取得すべきとの見解を示しています。

◆委託による取扱いではないが、提供先事業者に対応してほしいケース

DMPを運営する事業者が様々な事業者からユーザーデータを収集し、それにIDを付した上で統合・分析し、さらには外部に提供する『パブリックDMP』

DMP側は委託には該当しないものの、外部提供先の事業者が個人データの取扱権限を持つ者である（よって同意取得の主体となるべき）との見解を示されています。

一般社団法人電子情報技術産業協会（JEITA）

https://home.jeita.or.jp/lip/index.html

タイトル未設定

https://home.jeita.or.jp/press_file/20200115131656_AtId7nrpMW.pdf

IT/エレクトロニクス分野の企業で構成される団体です。

今回の改正では、個人が利用停止や消去を事業者に請求できる範囲を拡大する改正を行う根拠として、プライバシーマークの審査基準に即した対応をしている事業者がいることが挙げられています。

JEITAとしては、プライバシーマークと同水準に至る程度の法改正には異存ない様子ですが、

プライバシーマークのレベルを超える過重な利用停止・削除等の義務を課すものではなく、善良な事業者の適正な業務遂行には影響を及ぼさない改正であることを明確にしていただく

ためにとして、利用停止や消去の請求に事業者が応じなくてもよい場合の追加、ガイドラインでの規範提示を求めています。（意見2）

モバイル・コンテンツ・フォーラム

プレスリリース・意見書 12年度(2020年9月期) « 一般社団法人モバイル・コンテンツ・フォーラム (MCF)

デジタルコンテンツの団体です。

保護と利活用のバランスが重要とされているが、 今回の制度改正大綱では 規制強化が主となっており、利活用に資するものはほとんど見当たらない。

共同規制の枠組みや事業者の自主的取組を支援するための実効的な制度の在り方には言及されておらず、むしろ監督官庁による直接的な規制が強化されている。

欧米の制度設計の潮流を思慮したうえのものではなく、表面的、形式的な対応であり、むしろ根本的な方向性においては乖離が大きくなっているのではないかと危惧される 。

などと、冒頭からかなり刺激的な表現が並んでいます。（総論）

自らも認定個人情報保護団体であるという背景も踏まえてか、法令で硬直的な規制を行うのではなく、さらに認定個人情報保護団体の活動を推進し、

官民で連携する共同規制スキーム

を要望するとして、各論点ごとに意見を展開されています。（個別検討事項各所）

The Software Alliance (BSA)

https://bsa.or.jp/policy/comment_t2/

アメリカのソフトウェア会社で構成される団体の意見書です。

一定数以上の個人データの漏えいの場合に個人情報保護委員会への報告、本人への通知を義務付けるとの改正方針について、

暗号化又は無編集の個人データが不正取得され、これがなりすまし又は金融詐欺のような損害を生じさせる重大なリスクがある場合のみ、また、本人通知についてはそのリスクが高い場合にのみ、規制当局又は本人に対する漏えい等報告を事業者に義務付けることを推奨します。

と、実質的リスクの大小で義務のあるなしを決めるべき、という意見を述べているのが、実質的な比較衡量を重んじるアメリカ法的な感じがします。（提言第２節）

ただ、日本だと、「○名以上の漏えい」などの迷わない、形式的な基準が好まれるように思いますので、やや文化が異なるのかもしれません。

他方、もっぱら規制緩和に偏るのではなく、改正大綱で「民間の自主的な取組を促す」とされているPIA(Privacy Impact Assessment)については、国内事業者からは負担増を心配する声も聞きますが、BSA意見書では、

PIA又はDPIAに関する情報を更に収集し、リスク評価のための事業者の努力を促進するという貴委員会の取組を歓迎します。

と明確に支持表明されているのが興味深いです。（提言第3節）

全体的に、「企業側で自主的にきちんとプライバシー保護に配慮するから、法令、当局による介入は最小限にして」という一貫した姿勢を感じました。

その2は以上です。

その3（金融業界編）でいったん完結にし、パブコメ全体が公表されたら使フォローする予定です。

※　2020/2/14 タイトルを修正しました