見出し画像

PT勉強会#4 「個人情報保護法3年ごと見直しの注目ポイント」イベントレポート

プライバシーテック協会は2024年4月19日(金)、第4回目のプライバシーテック勉強会を開催しました。

本勉強会では、テーマ「 個人情報保護法3年ごと見直しの注目ポイント」とし、3年ごと見直しとは何か、3年ごと見直し議論で事業者が行うべき活動、プライバシーテック(PETs)と3年ごと見直しの関係性をディスカッションしました。

また本イベントの登壇者は、個人情報保護法に詳しい池田・染谷法律事務所 今村 敏弁護士、株式会社日本総合研究所創発戦略センター上席主任研究員 若目田 光生氏、そして一般財団法人日本情報経済社会推進協会(JIPDEC) 常務理事 坂下 哲也氏です。ファシリテーターは本協会アドバイザーの竹之内 隆夫が務めました。

本記事では、この第4回目のプライバシーテック勉強会の様子をサマライズし、お届けします。


個人情報保護法3年ごと見直しとは

個人情報保護法3年ごと見直しとはどのような制度なのか。
イベント前半では、池田・染谷法律事務所 今村 敏弁護士に、個人情報保護法の改正の主な経緯や、今後の法改正のスケジュールを解説いただきました。

今村)
まず、個人情報保護法改正の主な経緯から振り返っていきます。
民間事業者の方に大きく影響を及ぼした改正でいうと、平成27年(2017年)改正令和2年(2020年)改正が有名だと思います。
これらがどのような改正だったのかというと、平成27年改正の時が、いわゆる匿名加工情報がルール化された時で、直近でJR東日本と日立がSuicaのデータを利活用しようとしたら炎上してしまった、いわゆる「Suica事件」が発生したことも改正の議論に大きな影響を与えました。
令和2年改正もまた、直前にいろいろなホットな事案がありました。ここから令和2年改正で主に整備されたのは、匿名加工からさらに議論が進んだ「仮名加工情報」と、Cookieの規制を念頭に置いた「個人関連情報」ですね。
このような形で、ここ2回の改正は、直近に何かが発生してその影響を受けつつ実施されています。

個人情報保護委員会「個人情報保護法の基本」(令和5年9月)

個人情報保護法は、施行後3年ごとに中身を検討して改正するというルール「3年ごと見直し」が規定として入っている少し特殊な法律です。
ちなみに、令和2年改正の時は、平成31年の1月から議論が開始され、最終的には令和2年の6月に法律が成立するスケジュールで行われていました。その後も議論が実施され、ガイドラインの細かな修正が1年半ぐらい行われて、2年後の令和4年に施行されたスケジュールとなっています。

個人情報保護委員会 「個人情報保護法 いわゆる3年ごと見直し規定に基づく検討項目」(令和6年2月21日)

次回の法改正のスケジュールは、春頃 中間報告公表予定となっています。

今回の改正に関してはどのように進んでいるのかまとめてみると、昨年の9月頃ぐらいから議論始めていて、11月頃から関連団体のヒアリングを準備している感じです。
一般的な法律の改正をする時は、各省庁が検討会を開いてオープンな場で有識者の方と議論して進めるパターンが多いですが、個人情報保護法の場合は、個人情報保護委員会が自らヒアリングをして、自分たちで検討事項取りまとめるという形式を取っています。このヒアリング結果を踏まえて、論点についてのペーパー「個人情報保護法 いわゆる3年ごと見直し規定に基づく検討」が出始めている状況ですね。
ヒアリングを受けた事業者からすると、このペーパーを通じて自分たちが伝えたメッセージが本当に伝わったのかどうかが分かるという感じです。

「個人情報保護法 いわゆる3年ごと見直し規定に基づく検討」ペーパーに関しては、個人情報保護委員会 新着情報一覧をご確認ください。


イベント後半からは、プライバシーテック協会アドバイザー 竹之内隆夫がファシリテーターとして「個人情報保護法 いわゆる3年ごと見直しにおいて我々が行うべきこと」をテーマにトークセッションを行いました。 ここからは当日のディスカッションの様子をサマライズし、お届けします。

個人情報保護法3年ごと見直しで注目すべきこと

竹之内)
3年ごと見直しにおいて、どういった点に注目するべきなのか教えていただいても良いでしょうか。

坂下)
3年ごと見直しは、技術の進展を踏まえた上で、法律の施行には1年から2年かかるため、大体3年が妥当だという議論に基づいています。
現在やるべきことは、技術が進展し社会実装が進んだ中で、法律で定めた方がやりやすいものと、法律で定めない方がやりやすいことを把握することです。法律で定めた方が良いものであれば、法定化すべきです。一方、ガイドラインは民間の自主的なルールであり、それで運用できるのであればガイドラインを作成する方が良いでしょう。

若目田)
第261回個人情報保護委員会から提供される資料「いわゆる3年ごと見直し(検討の方向性)について」が3ページほどあり、大きく3つの論点があります。

  1. 実効性のある監視監督のあり方

  2. データ利活用に向けた取り組みに対する支援等のあり方

  3. 個人の権利を実現するやり方

これらの論点について、個人情報保護委員会は各経済界に意見を求めています。経団連でも会員から意見を集めたところ、多くの反響がありました。
(補足:第281回個人情報保護委員会にて、経済8団体による「個人情報保護法の3年ごと見直しに対する意見」が提出されました)

経済界全体から、漏えい報告に関する負荷が非常に高いという意見が多数寄せられました。制度の目的に照らしつつ合理的な報告対象に絞り込むなど、現在の報告・通知のあり方を見直すべきだとしています。
そのほかの論点として、同意に基づかない第三者提供のあり方についても多くの意見が寄せられています。同意取得の例外が認められる範囲の見直しや、契約履行や成功な利益を目的とした場合など本人同意によらない方法での第三者提供や利活用のあり方を検討すべきです。

また、ヘルスケア分野等における特別法の検討や、プライバシーテック(PETs)を活用したケースの緩和措置などの検討を開始すべきだと思います。

今村)
現行のルールでは、要配慮個人情報が1件でも漏えいした場合、報告が必要とされています。この点については多くの事業者から相談を受けることが多く、特に事業部の方からは「件数が少なければ問題ないのではないか」という感覚で相談されることがよくあります。しかし、ルール上は1件でも漏えいが発生した場合は報告が必要とされています。この点において、事業者側の感覚と立法府側の感覚にズレがあるかもしれません。

一方で、私が総務省にいた際には、個人情報の漏えい報告を受ける立場にありました。当局側の観点から言うと、漏えい報告制度は事態を把握するための情報収集の最初のステップとして機能しているため、報告の入口は広く取りたいという感覚があります。実際に問題があるかどうかは、報告を受けた後に判断するという考え方です。経済界からの意見を受けて、報告制度について当局と実務側のバランスを見直す議論が今後行われることが期待されます。

本人同意によらない第三者提供のあり方については、これまでも総務省でも議論が続けられてきました。特に「同意疲れ」の問題に対処するため、どうすれば本人の権利を侵害せずにデータの利活用ができるかが議論の焦点となっています。

また、若目田さんのご意見にもあったように、技術の進展によって本人の同意なしにデータを利活用しつつ、権利を侵害しない方法があるかもしれません。この方向性について、具体的な制度設計を進めていく必要があります。

プライバシーテック(PETs)の社会実装に向けて

竹之内)
今の3年ごと見直しのタイミングで、プライバシーテック協会がやっていくべきことについてご意見をいただけますか。

坂下)
過去、他の勉強会で集まった際に出てきた意見は2つでした。1つ目はリスク責任者や広報が加わることによる障害です。どうしても安全性についての根拠が求められるため、新しい技術の導入やイノベーションが進まないんですね。

2つ目は指針の不足によるグレーゾーンの存在です。金融分野の銀行などでは明確なガイドラインがないためグレーゾーンとして扱われ、新しい取り組みも不確実性が高いとされて前進できません。
この現状打破のためには、業界全体で声を上げ、規制当局や立法府に対して明確な要求を発信することが不可欠です。皆さんのような一線で活動する企業からの声を元に具体的な指針とガイドラインの策定やプライバシーテック(PETs)の推進がなされていくことを期待しています。

今村)
まず、現行法との関係が不透明でどうすればよいかという相談が多い現状があります。この問題に対処するためには、法律の立法趣旨を理解し、それに基づいていけるかどうかの判断を行うことが当然ですが、特に情報プライバシー分野においては、世間がその技術や取り組みをどう見るかという視点が非常に重要です。
広告業界などでは、何をされているのかよくわからないという状態が炎上の原因になることが多いです。つまり、透明性の欠如が最も大きな問題となります。この点で、プライバシーテック(PETs)業界の方々が今やるべきことは、技術を使うと何ができるのか、そしてそれが個人や事業者にとってどのように有益であるのかを正しくプレゼンすることです。
例えば、昔は監視カメラを設置するだけで世間が炎上していたのが、今では当たり前になっています。しかし、AIを使って本人特定や追跡ができるとなると、再び炎上する可能性があります。技術の進展に合わせて、世間の理解も進んでいく。
プライバシーテック(PETs)についても、この状況を維持しつつ正しく推進するためには、世間に広く知ってもらうことが大切です。

若目田)
IoT推進コンソーシアムの枠組みでJIPDECが事務局として取りまとめた「カメラ画像利活用ガイドブック(現在はver3.0が経済産業省と総務省にて公開されている)」のアプローチは参考になると思います。
当時、大阪駅ビルにおける顔識別技術を使った人流解析の実証実験がプラ
イバシー侵害に関する懸念の高まりにより実質的に中止となり、各社はIoTとしてのカメラ画像の利活用を躊躇せざるを得ない状況でした。
しかし、地域活性化のための人流の把握や小売店における顧客属性の把握などカメラ画像の利活用は我が国の社会課題の解決に役立つと期待されており、利活用に向けたガイドラインが切望されていました。

このガイドブックの検討では、総括的な規律を求めるのではなく、事業者が
やりたいとする事例に対し、具体的な議論を行い、マルチステークホルダから構成された有識者が意見を出し、アドバイスを公開するプロセスが取ら
れました。共通的に通用するガイドラインを求める理想もありますが、まずは優先すべき事案から解決していくホワイトリスト型のアプローチが採用
されました。
このアプローチはプライバシーテック(PETs)にも適用でき、最終的には共通のガイドラインが必要かもしれませんが、まずは特定の目的のために特定の技術を使い、その利用について議論し、ホワイトリスト的に公開することが有効だと考えられます。

竹之内)
業界としてのガイドラインやベストプラクティス的なものがあれば、安心してサービスが提供できると思うので、ぜひ一緒に作っていきたいですね。

登壇者3名からの締めくくり

坂下)
3年ごとの見直しは、3年ごとに役所が門戸を開けてくれていると言えます。公明正大に話を聞いてくれるわけです。法律の条文には「国際環境の変動があった場合」と書いてあります。一昨年、米国の外交評議会がレポートで「アメリカのインターネット政策が間違っている」と指摘し、昨年アメリカが国際会議でデータローカライゼーションを認めると言いました。これが国際環境の変動です。

新しいサービスを考える中で、二の足を踏む障害が発生することがあります。これをどうするか、3年ごとに問題をためておいて、門戸が開いたときに大きな声で主張する必要があります。そのためには、みんなで一緒に声を上げることが重要です。このエネルギーを今日のような場でためていただきたいです。何かあったらJIPDECも協力しますので、いつでもご相談ください。

若目田)
プライバシーテック(PETs)を「プライバシー保護技術」という呼び方をすると、何かこれを導入すればプライバシーが保護できるという印象を受けますが、連合学習や秘密計算、合成データなどの技術について、私は個人的に必ずしもプライバシーの領域だけに閉じて考えなくても良いのではないかと思います。企業内で秘密にすべきものを業界やサプライチェーン、国同士で共有し解析・分析することで、新たな価値を見出すことができるでしょう。データそのものを渡さずに価値だけを共有することで、これらの技術が役立つ世界観を期待しています。

これらのテクノロジーは、従来の企業のスタンスでは共有できなかったものを共有可能にし、新たな課題を解決しつつ企業の収益にも繋がるような使い方ができると期待しています。今日は3年ごと見直しについて議論しましたが、必ずしも3年ごと見直しで何らかの改善がされなければ使えないということではありません。今からでもユースケースを想定し、プライバシーテック(PETs)の企業と協力して、これらの技術が課題解決に役立つかどうかを議論していただきたいです。ぜひポジティブに捉えていただけると良いと思います。

今村)
私は今回の3年ごとの見直しでは一個人の弁護士として立っており、皆さんのお話を聞いたとしてもそれを直接個人の力で推し進める立場にはありませんが、ただ、日々の法律相談を受ける中で、各社が共通して悩んでいる部分があると感じています。事業者の方からは「他社はどうしているのか」とよく質問されます。当然、他社のことを具体的に話すことはありませんが、共通する悩みを踏まえた上で、具体的なユースケースに応じて、攻めている会社と守っている会社の対応を参考にしながら、現行法との関係での悩みや今すぐにできることについてアドバイスしています。

今日の話でも触れましたが、改正法の動向に対して今後すべきことについて質問があった際、プライバシーポリシーだけを見るのでは視点が狭すぎるというコメントをしました。もう少し広い視点で、プライバシーのガバナンスを会社としてどう進めていくべきかについてもアドバイスできると思います。引き続き、皆さんとコラボレーションしていきたいと思っています。ありがとうございました。

6月27日(木)プライバシーテック勉強会#5を開催します!📣

プライバシーテック協会は6月27日(木)、リアルイベント「プライバシーガバナンスにおけるプライバシーテック(PETs)活用と課題」を開催します。

本イベントでは、前述のガイドブックの作成に関わった株式会社野村総合研究所(NRI)コンサルティング事業本部 ICTメディアコンサルティング部 グループマネージャーの小林慎太郎氏をお招きし、「プライバシーガバナンスにおけるプライバシーテック(PETs)活用と課題」について講演いただきます。

講演後、小林氏と株式会社電通 Data Technology Centerの星野怜生氏が、事業者視点から前述の議論を掘り下げるトークセッションを行います。トークセッションのファシリテーターはプライバシーテック協会アドバイザーの竹之内隆夫が務めます。
イベントを通して、プライバシーガバナンスの基礎から実務への適用方法、さらにプライバシーテック(PETs)の活用や課題までを掘り下げます。

参加希望の方は、イベントページよりお申し込みください!
※エントリーは6月25日(火)まで

ではでは🖐️

いいなと思ったら応援しよう!