個人情報保護法の改正に向けた「3年ごと見直しに係る検討の中間整理」の要点解説 - Business & Law(ビジネスアンドロー)

© Business & Law LLC.

はじめに

令和6年6月27日、個人情報保護委員会が、「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」 (以下、「中間整理」という)を公表した。
中間整理は、いわゆる「3年ごと見直し」に基づく個人情報保護法改正に向けた現在の委員会の考え方をまとめたものであり、漏えい等報告・本人通知制度の一部変更、こどもの個人情報に対する規律の新設、生体データにかかる規律の新設、課徴金制度の導入議論など、事業者・個人それぞれに与える影響が大きい項目が挙げられている。
その後、中間整理についてのパブリックコメントが実施されるとともに、「3年ごと見直し」にかかる検討会が設置され、令和6年9月4日には、パブリックコメントの結果(「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」に関する意見募集結果」)も公表されている。今後は、改正大綱が公表され、来年にも改正個人情報保護法が成立、公布されるものと予想されている。

見直し検討対象項目

中間整理において委員会が見直しの検討対象とした項目は、概ね図表1のとおりである。
本稿では、事業者の関心が高いと思われる項目を重点的に取り上げ、中間整理において取り纏められている①現行法の規律・背景事情等と、それを踏まえた②中間整理の考え方・検討内容を紹介する。

図表1 中間整理における見直し検討対象項目

1.こどもの個人情報にかかる規律の新設

2.課徴金制度の導入、勧告・命令制度の強化

3.生成AI等における本人同意を要しないデータ利活用のあり方

4.漏えい等に関する委員会報告、本人通知の範囲・内容の合理化

5.生体データにかかる規律の新設

6.不適正利用および不正取得規制について、適用範囲の具体化・類型化、個人に連絡可能な個人関連情報(Cookie ID等)への適用の検討

7.PIA(プライバシー影響評価)、個人データの取扱責任者の設置にかかる取り組みの促進

8.団体による差止請求、被害回復制度の新設

9.刑事罰の範囲拡大、厳罰化

10.オプトアウト規制の強化

11.その他

こどもの個人情報にかかる規律の新設

(1) 現行法の規律・背景事情等

現行法上、こどもの個人情報にかかる独自の規定は基本的にない。そのため、事業者としても、対象者が未成年の場合、同意は誰からどのように取得すべきであるかの基準となるルールがない等、実務上困惑させられる状況が続いている。一方、日本国内でも、近時、こどもの個人情報に関する権利利益を侵害する社会的反響の大きい事例注1が報道されている。
諸外国では、こどもの脆弱性等を踏まえ要保護性が強調され、特別な規律が設けられたり、巨額の制裁金等の権利侵害への厳しい制裁が科されたりする事例がみられる。

(2) 中間整理の考え方・検討内容(中間整理8〜11頁)

・ 対象とするこどもの年齢を、16歳未満とする。

・ 本人同意が要求される場面(目的外利用、要配慮個人情報の取得、個人データや個人関連情報の第三者提供など)においては、法定代理人の同意を取得すべきことを法令上明記する。

・ 本人への通知等が必要となる場面(利用目的の通知や明示、漏えい等に関する本人への通知など)においては、法定代理人へ情報提供すべきことを法令上明記する。

・ 違法行為があった場合など限定的に認められている利用停止等請求権について、要件を緩和し、事後的利用停止を柔軟に可能とする。

・ こどもの個人データについて、安全管理措置義務を強化し、その取扱いについて特別な配慮を行うべき等、事業者等の責務を定める規定を設ける。

以上のとおり、こどもの個人情報の取扱いに関する規律の明確化、厳格化が検討されている。改正された場合、こどもを対象とする事業を行う事業者や、年齢制限を設けず事業を行う事業者においては、改正対応が必須となるものと思われる

課徴金制度の導入、勧告・命令制度の強化

(1) 現行法の規律・背景事情等

GDPRでは違反状況に応じて、最高で2000万ユーロまたは直前の会計年度における全世界総売上高の4%のいずれか高い方など、諸外国では、極めて多額の制裁金、課徴金が課されているが、日本では、委員会からの命令違反の場合等の刑事上の罰則等はあるものの、行政処分として金銭的不利益を課す制度はない。
グローバル・スタンダードから乖離している、不適切事案注2への歯止めには必要であるなどの声があり、違反行為に対する規制の実効性の観点から導入について従前より検討が継続されている。一方、課徴金制度の導入については、個人情報の利活用に対する委縮効果が懸念されるとして、経済界は反発している。
委員会の監視、監督の流れについては、現行法上、原則として「命令」の前には「勧告」がなされることとされている(「勧告前置」:個人情報保護法(以下、「法」という)148条2項)。しかし、この勧告前置の制度により、適切なタイミングで必要な措置がとれない例があるとの指摘がある。

(2) 中間整理の考え方・検討内容(中間整理14〜17頁)

・ 課徴金制度については、関係団体からの強い反対意見、国際動向、個人の権利利益保護と事業者負担とのバランスを踏まえ、導入の必要性を含め検討を要する。導入する場合、対象となる違法行為類型、課徴金の算定方法等の論点整理が必要である。

・ 勧告・命令のあり方については、勧告を前置せずに発出する「緊急命令」の拡充や、違反事業者のみならずこれに関与する第三者への行政上の措置の要否等について検討する。

課徴金制度については、前々回改正時から導入が議論されているものの、経済界の強い反対意見がある。もっとも、積極的な声も次第に強まりをみせており、8.で後述する団体による差止制度などとともに、今後、ステークホルダーと議論の場を設けつつ、2024年末を目処に議論を深めるとされていた。その後、検討会における主要検討項目として挙げられ、現に導入に向けた具体的な議論も進められている注3ため、引き続き、注視が必要である

生成AI等における本人同意を要しないデータ利活用のあり方

(1) 現行法の規律・背景事情等

生成AI等の普及によって大量の個人情報等を取り扱うビジネス・サービスが生まれており、また、公益性の高い分野を中心に機微性の高い情報等の利活用ニーズが高まっている。
他方、現行法において、目的外利用(法18条)、要配慮個人情報の取得(法20条2項)、個人データの第三者提供(法27条)などの場面では、あらかじめ本人の同意を取得することが要求されており、これがデータ利活用にとって支障になっているとの声も上がっている。

(2) 中間整理の考え方・検討内容(中間整理22〜23頁)

・ 社会にとって有益で、公益性が高いと考えられる技術やサービス等への利活用と個人の権利利益の保護とのバランスを考慮し、その規律の整備を検討する必要がある。

・ 具体的には、本人同意を要しないデータ利活用のための例外規定を新たに設けることや、既に制定されているものの事業者が萎縮して適用を躊躇している例外規定等の解釈指針の策定等について、関係省庁やステークホルダーとの議論、検討を進める。

今回の改正に組み込まれるか否かは不透明ではあるものの、生成AI等への利活用の場面において、本人同意を要しない範囲の拡大等の検討が進められることとなっており、注視が必要である。なお、パブリックコメントにおける意見合計2448件のうち1560件(うち生成AIに関するもの1486件)と実に6割以上が本項目への意見であり、注目の高さが窺われる

漏えい等に関する委員会報告、本人通知の範囲・内容の合理化

(1) 現行法の規律・背景事情等

現行法では、一定の場合、委員会への漏えい等報告および本人通知が義務化され(法26条)、令和5年度における漏えい等報告の件数は1万2,120件注4にまで急増し、事業者から漏えい等報告の負担の軽減を求める声が強く上がっている。
上記報告のうち、漏えい等にかかる本人数が1名の事案が実に全体の84%をも占めている。
また、漏えい等の「おそれ」が生じた場合も、報告通知の対象となっているが、「おそれ」の要件が不明確であると事業者から声が上がっている。

(2) 中間整理の考え方・検討事項(中間整理18〜21頁)

・ 認定個人情報保護団体などの第三者により体制・手順について確認を受けていることを前提として注5、委員会への速報を一定の範囲で免除する。また、本人の数が1名である誤交付・誤送付等のようなケースで、本人通知が的確になされており委員会報告の必要性が比較的低いケースでは、確報について一定期間ごとの取りまとめ報告を許容する。

・ 漏えい等の「おそれ」要件について、事業者の協力も得ながら明確化を行う。

・ 従前、報告・本人通知義務等の対象とされていなかった違法な第三者提供についても、その対象とする。

本人の権利利益の侵害の程度が小さいケースで、漏えい等についての速報の免除や確報の取りまとめ報告等、行政報告の負担が緩和される方向で検討が進められている。他方、違法な第三者提供については報告・本人通知義務等の適用対象の拡大も示唆されているため注視が必要である

生体データにかかる規律の新設

(1) 現行法の規律・背景事情等

現行法上、顔識別機能付カメラ映像等、身体の特徴から本人が識別できる生体データは、個人識別符号として個人情報に該当するが(法2条1項2号、同2項1号、施行令1条1号)、生体データ固有・特別の規律はない。
諸外国では、長期にわたり特定の個人を追跡できることから、通常の個人情報と比較して要保護性が高いとして、特別な規律が設けられる例があり、執行事例も確認されている。

(2) 中間整理の考え方・検討内容(中間整理3〜4頁)

・ 生体データを取り扱う場合には、どのようなサービスやプロジェクトに利用するのか等、利用目的のさらなる特定を求める。

・ 本人関与を充実させるため、生体データの取扱いに関する一定の事項を本人へ通知または十分な周知を行うとともに、本人による事後的な利用停止を柔軟に可能にする。

改正された場合、顔識別機能付カメラ映像などの生体データを利用したシステムを開発・利用する事業者等においては、改正対応が必須となるものと思われる

不適正利用および不正取得規制について適用範囲の具体化・類型化、個人に連絡可能な個人関連情報(Cookie ID等)への適用

(1) 現行法の規律・背景事情等

事業者からは、不適正利用規制の適用対象が不明確であるとの声が出ているが、他方、不適正利用等に該当するとして行政上の措置が講じられた事案注6も徐々に蓄積してきている。
現行日本法では、Cookie ID等、個人情報に該当しない個人関連情報については、一定の場合の第三者提供のみが規律の対象となっているが(法31条)、国内外の裁判例、執行事例において、プライバシー等の権利侵害が認められたり、その取扱いが問題視されたりする事例注7がある。

(2) 中間整理の考え方・検討内容(中間整理4〜6頁)

・ 違反事例も踏まえ、適用範囲等の具体化・類型化を図る。

・ 事業者と本人との関係によっては、本人が自らの個人情報の提供等について自律的に選択することが期待できない場合(例:デジタルプラットフォーム事業者や与信事業者、雇用主への提供等)があり、その場合に、不正取得や不適正利用等の規律をどのように適用するか検討する。

・ 電話番号、メールアドレス、Cookie IDなど個人に対し連絡可能な個人関連情報については、不正取得や不適正利用規制の適用を検討する。

不適正利用や不正取得規制について、その適用範囲の明確化のみならず、一定の場合におけるその積極的適用や適用範囲の拡大が示唆されており、注視が必要である

PIA(プライバシー影響評価)、個人データの取扱責任者の設置にかかる取り組みの促進

(1) 現行法の規律・背景事情等

GDPR等においては、①個人情報等の収集を伴う事業の開始等の場面で、プライバシー等の個人の権利利益の侵害リスクの低減等のために事前に影響を評価する取り組みであるPIA(Privacy Impact Assessment:プライバシー影響評価)の実施や、②DPO(Data Protection Officer:個人データの取扱いに関する責任者)の設置が義務付けられるケースがある。
現行日本法においては、PIAの実施は法令上の義務とはされておらず、また個人データの取扱責任者の設置は通則ガイドライン注8上の組織的安全管理措置として挙げられているものの、その要件や規律は法定されていない。

(2) 中間整理の考え方・検討内容(中間整理23〜25頁)

・ PIAや取扱責任者は、データガバナンス体制の構築において主要な要素となり、これらの取り組みを促進することが望ましいが、その義務化については、各主体における負担等に鑑み、慎重に検討を進める。

・ PIAについては、自主的な取り組みという枠組みを維持しつつ、その取り組みを一層促進させるための方策について検討する。

・ 個人データの取扱責任者については、資格要件の要否や設置を求める対象事業者の範囲等も踏まえ、現行のガイドラインの「組織体制の整備」を超えた措置の必要性について検討する。

PIAや個人データの取扱責任者の法令義務化には慎重な態度であるものの、法令やガイドライン等で一定の規範が示される可能性もあり、引き続き注視が必要である

団体による差止請求、被害回復制度の新設

(1) 現行法の規律・背景事情等

消費者法分野においては、被害者の「泣き寝入り」防止のための適格消費者団体(差止請求を行うのに必要な適格性を有するとして、内閣総理大臣が認定した消費者団体)による差止請求の制度があるが、個人情報保護法には、同様の規定は設けられていない。

(2) 中間整理の考え方・検討内容(中間整理11〜13頁)

・ 適格消費者団体を念頭に置いた、団体による差止請求制度や被害回復制度の枠組みは有効な選択肢になり得る。

・ しかし、差止請求制度については、専門性の確保等さまざまな課題が指摘されており、継続的な検討が必要とされるうえ、被害回復制度については、差止請求制度以上に課題があり、さらに慎重な検討が必要である。

団体による差止請求、被害回復制度の新設については、その課題が指摘されており、課徴金制度などとともに、今後、ステークホルダーと議論の場を設けること、2024年末を目処に議論を深めることとされていた。その後、検討会における主要検討項目としても挙げられ、具体的な議論が進められている注9

刑事罰の範囲拡大、厳罰化

(1) 現行法の規律・背景事情等

昨今、内部の従業者による不正行為の事案や、個人データの不正な取扱いにより、個人の権利利益が侵害されるおそれが生じた事案等、個人データの取扱いに関し、悪質な事例注10が増加している傾向があると指摘されている。

(2) 中間整理の考え方・検討内容(中間整理17、18頁)

・ 現行法の直罰規定注11が、昨今の悪質事案を過不足なく対象としているか、およびその処罰範囲や法定刑の適切性について検討する必要がある。

・ 不正アクセスや従業員の持出しなど個人情報の詐取等の不正取得が多数発生している状況を踏まえ、こういった行為を直罰規定の対象に含めるべきかについても検討を要する。

昨今の悪質事案等を踏まえ、個人情報保護法違反にかかる刑事罰の範囲の拡大、厳罰化がなされる見込みである

オプトアウト規制の強化

(1) 現行法の規律・背景事情等

委員会が、オプトアウト注12届出事業者に対し実態調査を実施したところ、取得や提供に際する不適切対応が認められたほか、犯罪者グループ等に名簿を提供するような問題ある「名簿屋」事案が発生しており、取締り等の強化が求められている。

(2) 中間整理の考え方・検討内容(中間整理6〜8頁)

・ 犯罪グループへの名簿の提供等を防止するため、オプトアウト届出事業者について、提供先の利用目的や身元等を特に確認する義務を課す。

・ 不正に名簿等を持ち出した者がオプトアウト届出事業者に個人情報を販売することを防止するため、オプトアウト届出事業者には、取得元における取得の経緯や取得元の身元等の確認について、より高度の注意義務を課す。

・ 本人によるオプトアウト権行使の実効性を高めるための措置について、継続して検討する。

オプトアウト規制がさらに強化される見込みであり、特に、オプトアウト届出事業者にとっては、法改正対応が必須となる

その他

プロファイリング、個人情報等の概念の整理、プライバシー強化技術(PETs)の位置付け整理、金融機関の海外送金時における送金者への情報提供義務のあり方、ゲノムデータに関する規律のあり方等が、項目のみ挙げられている。

おわりに

以上のとおり、中間整理においては、漏えい等報告・本人通知制度の一部変更、こどもの個人情報に対する規律の新設等、事業者にとっても影響の大きい多岐にわたる改正が示唆されており、現在進められている検討状況も、引き続き注視する必要がある。各事業者は、改正等の動向を見据え事業環境を整備する必要があるが、本稿がその一助になれば幸いである。

 

→この連載を「まとめて読む」

[注]
  1. 大手学習塾の元塾講師が当該学習塾の児童の個人情報をSNSのグループチャットに投稿した事例等。[]
  2. 以下のような事案が挙げられる。
    ・人材サービス事業者等が、新卒向け就職情報サービスにおいて、内定辞退率を提供するサービスを本人の同意を得ずに同サービス利用企業へ提供する等した事案。
    ・官報公告されている破産者の個人情報が地図データと紐づけられる形で公開されたいわゆる新破産者マップ事案。
    ・海外プラットフォーム事業者のサービスの利用者が、ソーシャルプラグインであるボタンが設置されたウェブサイトを閲覧した場合、当該ボタンを押さなくとも、ユーザーID、アクセス履歴等の情報が同社に送信される等した事案。
    ・名簿販売業者が、その販売先が、法違反者にも転売を行う者であると認識しながら、意図的に用途を確認せず名簿を販売した事案。
    ・コールセンター業務で用いるシステムの保守運用を委託された事業者の従業員が、委託元の顧客等の個人情報等を、長期にわたり繰り返し不正に持ち出した事案。
    ・利用者への告知なくタクシー車内に設置したカメラを用いて利用者の顔画像を撮影し、性別を判定のうえ、表示する広告の内容を変えていた事案。[]
  3. 個人情報保護委員会事務局「現行制度と検討の方向性について(課徴金制度)」(令和6年9月26日)[]
  4. 個人情報保護委員会「令和5年度個人情報保護委員会年次報告」参照。[]
  5. 現行のプライバシーマーク制度のようなものが想定されていると考えられる。[]
  6. 以下のような事案が挙げられる。
    ・上述の新破産者マップ事案および名簿販売業者の事案。
    ・小売電気事業者が、電気事業法に抵触し、いわゆる新電力事業者の顧客にかかる情報を取得した事案。[]
  7. インターネット上の掲示板における携帯電話番号の投稿につきプライバシー侵害が認められた裁判例。[]
  8. 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」(平成28年11月(令和5年12月一部改正))[]
  9. 個人情報保護委員会事務局「現行制度と検討の方向性について (団体による差止請求制度及び被害回復制度)」(令和6年9月26日)[]
  10. 以下のような事例が挙げられる。
    ・転職者が前職企業が管理する名刺情報管理システムのログイン認証情報を不正に転職先の従業員に提供し、第三者が利用可能な状態に置いた事例。
    ・注1にも挙げた大手学習塾の事例。[]
  11. 直接罰則が適用される規定。通常は、勧告前置であり、かつ命令違反の場合にのみ罰則が課せられる間接罰規定。[]
  12. 法27条2項に基づき、本人の求めに応じ個人データの第三者提供を停止することとしている場合に、所定事項を、あらかじめ本人に通知または本人が容易に知り得る状態に置くとともに、委員会に届け出たときは、本人の同意なく個人データを第三者提供できる制度。[]

今枝 史絵

弁護士法人御堂筋法律事務所 弁護士

00年京都大学法学部卒業、01年弁護士登録(大阪弁護士会)、御堂筋法律事務所入所。10年同パートナー。

御堂筋法律事務所プロフィールページはこちらから

岡本 直己

弁護士法人御堂筋法律事務所 弁護士

00年東京大学法学部卒業、05年弁護士登録(大阪弁護士会)、御堂筋法律事務所入所。12年ワシントン大学ロースクール卒業(LL.M.アジア法)。16年東京弁護士会へ登録換え。17年同パートナー。

御堂筋法律事務所プロフィールページはこちらから

髙木 佑衣

弁護士法人御堂筋法律事務所 弁護士

13年慶應義塾大学法科大学院修了。14年弁護士登録(東京弁護士会)。15年御堂筋法律事務所東京事務所入所。23年同パートナー。

御堂筋法律事務所プロフィールページはこちらから

田中 瑞紀

弁護士法人御堂筋法律事務所 弁護士

15年一橋大学法学部卒業。16年弁護士登録(東京弁護士会)。17年御堂筋法律事務所東京事務所入所。

御堂筋法律事務所プロフィールページはこちらから

堀部 道寛

弁護士法人御堂筋法律事務所 弁護士

15年京都大学法科大学院修了。16年弁護士登録(大阪弁護士会)。17年御堂筋法律事務所入所。

御堂筋法律事務所プロフィールページはこちらから

吉良 一真

弁護士法人御堂筋法律事務所 弁護士

17年東京大学法科大学院修了。18年弁護士登録(東京弁護士会)。19年御堂筋法律事務所東京事務所入所。

御堂筋法律事務所プロフィールページはこちらから