「個人情報保護法3年ごと見直し」改正大綱へのパブコメ意見をまとめてみた その1(経済団体編)
個人情報保護法の2020年改正スケジュール
個人情報保護法(個人情報の保護に関する法律)については、2020年通常国会に改正法案が提出される予定と言われています。
改正法案の提出に向けて、2019年12月13日に「個人情報保護法3年ごと見直し 制度改正大綱」が公表され、今年2020年1月14日をもってパブリックコメント期間が終了したところです。
https://www.ppc.go.jp/news/press/2019/20191213/
前回4~5月の「中間整理」段階では54団体(+個人)から意見が寄せられたとのことで、今回も多くの意見提出がなされることが予想されます。
いずれ個人情報保護委員会からも表にとりまとめたものが公表されると思いますが、現時点で公表されている有力そうな意見をまとめてみたいと思います。
初回は経済団体編です。
1. 経団連
事業者がウェブサイトなどで公表しなければならない事項を追加するという改正方針について、公表に適さない項目を理由とともに列挙しているのが参考になりました。(第3章第3節2.(4))
とりわけ、…以下の項目を公表事項とするのは望ましくない。
・分析アルゴリズム、システム構成等技術的な処理方法等(技術の進展により頻繁に変更されるものであり、本人の適切な理解の促進に資するとは考えられない。)
・営業秘密その他、公表することにより事業者の正当な利益を害するおそれがあるもの(特定の技術を用いて処理していること自体が営業秘密に該当することもあり得る。)
・具体的かつ詳細な安全管理措置やデータ処理方法(攻撃者にシステムの概要を知られることでセキュリティ上の脅威となり得る。)
2.新経済連盟
https://jane.or.jp/proposal/theme/9575.html
現行法では個人が利用停止や消去を事業者に請求できる範囲を個人情報保護法の一部の条項に違反する場合に限定していますが、改正により「個人の件利益の侵害がある場合を念頭に」これらの請求ができる範囲を拡大するという方針が改正大綱で示されています。
意見書では、この方針により生じ得る弊害を具体例とともに挙げつつ、慎重な検討を求めています。(意見2)
・保有個人データを消去した後、例えば新規会員登録キャンペーンの特典を同一個人が不当に何度も得ることができてしまい、事業活動に悪影響を及ぼすばかりでなく、本来その特典を得られるはずだった他の個人が得られなくなる。
・アンケートに回答することによって対価を得ているにもかかわらず、後日アンケート回答の消去を請求されることにより、事業者は不当に報酬のみを付与しなければならなくなる。
・保有個人データを消去した後、事業者が当該個人とトラブルになった際に、過去に当該個人から得た同意事項の記録を基にした主張ができなくなる。
・消去や開示の請求は、時として犯罪の証拠隠滅や本人なりすまし等の不正な行為に利用される可能性もあることから、その点にも留意して要件の緩和を慎重に検討すべきである。
また、改正大綱では、cookieなどの端末識別子のように、提供元では特定の個人を識別できず個人情報(個人データ)に該当しない情報を提供する場合に、「提供先において個人データになることが明らかな情報」には個人データの第三者提供を制限するのと同じルールを適用するとの方針が示されています。
意見書では規制対象の明確化を求めるとして、下記の場合が論点として提示されています。(意見16)
・DMP 事業者等が提供元となる場合、提供元ではデータの本人と接触できない場合もあるが、その場合は提供先において本人同意を得る義務が生じるのか
・提供元はデータの本人と接触できず、提供先も取得したデータを結合して広告配信をするまで本人に接触できなかったケースでは広告配信は違法になるのか
・上記のようなケースにおいて、提供元と提供先のどちらが責任を負うのか
・提供先である事業者が複数の DMP 事業者等(提供元)を利用している場合や、提供先である事業者が DMP 事業者等(提供元)においてどのようなデータが収集されているか正確に把握していない場合にはどうなるのか
3.在日米国商工会議所(ACCJ)
https://www.accj.or.jp/uploads/4/9/3/4/49349571/200114_accj_comment_for_web.pdf
個人情報保護法75条の域外適用について、適用範囲を広げる方針が改正大綱で示されていますが、これに対して慎重な検討、他の施策による実現を求める意見が述べられています。(意見20)
…グローバルプライバシー執行ネットワーク(GPEN)や APEC クロスボーダープライバシー執行などの非公式の内部協力ネットワークを通じて関連情報を取得および共有することができるため、外国の事業者を直接の報告徴収及び命令の対象とするという執行措置の拡大には慎重に検討していただきたい。
各国は統一されたプライバシー規制の枠組みを採用し、重複や矛盾は可能な限り避けるべきである。…特に、データローカリゼーションは、セキュリティ、サービスの信頼性、事業の効率性を損なうこととなる。プライバシー規制は、国境にとらわれることなくデータの流通自体に注目して形成されるべき…。
その1は以上です。
IT・ソフトウェア編、広告編、金融・決済編に続く予定です。がんばる。
2020年2月7日追記:「個人情報保護法3年ごと見直し」改正大綱への意見をまとめてみた その2(IT、インターネット編)はこちら
https://note.com/nagailaw/n/n1ae405bb6104
2020/02/14 タイトルを修正しました