この話題はJILISレポートに論文調で書こうと思っていたが、個人情報保護法第2期「3年ごと見直し」がだいぶヤバい感じになっている(最終的には大丈夫だろうとは思っているが)ので、パブコメ期限を月曜に控え、取り急ぎここに走り書きしておく。
どう「ヤバい」のかは、先週の緊急シンポジウムのスライドに書いたが、ここで言いたいのは、そのスライドの「なぜこの混乱が起きたか」のページに書いたように、要するに、令和2年改正で現在の「不適正利用禁止」規定が、立案される過程で、内閣法制局の無理解によって、個情委事務局がやりたかったこととは違うものができてしまったこと、これに端を発するということだ。それが、今回見直しでの個情委事務局の理解を誤らせているのである。
以下では、情報公開請求で開示された令和2年改正時の法制局審査資料*1から、関係箇所を抜粋した根拠を列挙する。
この話題は一昨年のCafe JILISで以下のように述べていた件である。
高木: 実は、令和2年改正の検討段階では、民間部門も利用目的特定義務を厳密にしようとする動きはありました。検討の初期、2019年春の時点で、利用停止請求権の強化と合わせて、保有個人データの利用目的公表義務を厳密化することが考えられていたようです。そして、絶妙なタイミングで立法事実となったのが、同年夏に発覚したリクナビ事件です。
リクナビ事件では、個人情報保護委員会が出した勧告は、リクナビが就活生の個人データを本人同意なく第三者提供していた点の違法を指摘するものでしたが、世論としては、本人同意があればやって良いことなのかが問題視されました。もし利用目的が、「あなたのWeb閲覧履歴から、あなたが内定を得た各求人企業について、あなたがその内定をどのくらい辞退する可能性があるかを算出し、その求人企業に提供します。」と明示されていたら、同意する就活生なんていませんよね。就活生を何かしら騙して「同意」を得た形にする以外に、成り立ちようのない事業だったわけです。厚労省職業安定局も、「本人同意があったとしても直ちに解消する問題ではなく、職業安定法第51条第2項に違反する恐れもある」として、「今後、募集情報等提供事業や職業紹介事業等の本旨に立ち返り、このような事業を行わないようにすること。」と、業界団体に通達する展開になったのでした。
—— そうでした。
高木: このとき、個人情報保護委員会が、第三者提供のところを捉えてしか違法を指摘できなかったところに、日本の個人情報保護法の欠陥が露わになったと言えます。もしこの事案が、求人企業がリクナビに委託する形で整理されたら、日本法では合法ということになってしまいます。
この事件を受けて、同年12月の「制度改正大綱」では、「適正な利用義務の明確化」が盛り込まれ、「適正とは認めがたい方法による、個人情報の利用を行ってはならない旨を明確化することとする。」としていました。リクナビのような個人データ利用が禁止されるのかなと期待されたのでしたが、開けて悔しき玉手箱、最終的に出来上がった改正法は、そうはなりませんでした。
—— ならなかったんですか!
高木: 令和2年改正で新設される「不適正利用の禁止」(改正後19条)は、「違法又は不当な行為を助長し、又は誘発するおそれがある方法」の利用を禁止しているだけです。ガイドライン通則編に記載された該当例は、暴力団員ガーとか、貸金業者ガーとか、違法薬物ガーとか、犯罪的な香りのするものばかりですし、「採用選考」の例もあるにはあるのですが、「性別、国籍等の特定の属性のみにより、正当な理由なく本人に対する違法な差別的取扱いを行うために」となっていて、内定辞退予測は該当しないと判断した様子がうかがえます。
—— 「不当な行為」には当たらないのですか?「不当な行為」とは?
高木: ガイドライン通則編ではこう説明されています。「『違法又は不当な行為』とは、法(個人情報の保護に関する法律)その他の法令に違反する行為、及び直ちに違法とはいえないものの、法(個人情報の保護に関する法律)その他の法令の制度趣旨又は公序良俗に反する等、社会通念上適正とは認められない行為をいう。」と。つまり、元から違法だった行為を、「助長・誘発するおそれがある方法」まで広げて事前抑止するだけなのですね。「制度趣旨に反する行為」も対象ですが、その「制度趣旨」が何なのかが不明なままです。
—— 利用目的特定義務の厳密化の方は、どうなったのですか?
高木: こちらも残念な結果でした。「保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの」(現行27条1項4号)の公表事項に、「保有個人データの処理の方法」が追加されることになっていたのですが、開けて見たれば鳥の糞、追加されたのは「安全管理のために講じた措置」でした。また漏えいの話してる。これは何の意味もありませんね。
それから、ガイドライン通則編に若干の追記があり、注の※1に、「本人から得た情報から、本人に関する行動・関心等の情報を分析する場合」の例が加えられたのですが、「どのような取扱いが行われているかを本人が予測・想定できる程度に利用目的を特定しなければならない」と言っているだけで、何を要件にしているのかが不明です。ここの例示に、本来はリクナビ事案が入る予定だったようですが、なぜかボツになっています。
—— ボツと言いますと?
2020年10月時点の委員会の検討資料では、「履歴書や面接で得た情報のみならず、(本人が分析されることを想定していない)行動履歴等の情報を分析し、人事採用に活用するケース」の例を載せる予定があったようで、そこには、悪い公表の例として、「取得した情報を採否の検討・決定のために利用いたします」と書かれており、良い公表の例として、「履歴書や面接で得た情報に加え、行動履歴等の情報を分析して、当該分析結果を採否の検討・決定のために利用いたします。」と書かれていました。これが、パブコメにかけられたガイドライン改正案の時点で丸ごと消えていました。なぜボツになったのかは不明です*2。パブコメで理由を問えばよかったのですが、残念ながら見落としました。
—— リクナビ事件を踏まえた対策はできなかったということですね。
高木: そういうことになりますね。「制度改正大綱」では「適正な利用義務の明確化」を予定していたのに、できた改正法は「不適正利用の禁止」となり、反転されてしまいました。私の感触では、個人情報保護委員会事務局はやる気あるように見えていたのですが、「不適正利用の禁止」が限定的なものに留まったのは、内閣法制局を通せなかったのではないですかね。
もちろんそれは、法制局を通るような理由づけを立案当局である個人情報保護委員会が示せなかったということでしょう。理由のはっきりしない規定を設けるわけにはいかないから、暴力団員ガーとか、違法薬物ガーとか、「違法又は不当な行為を助長し、又は誘発するおそれがある方法」などという、現行法令を追認するだけの規定に終わってしまう。つまり、「適正な利用義務」とは何かを示すことができなかったのでしょう。
結局これは、「個人情報の保護」(≒ data protection、Datenschutz)がいかなる意味なのかの理解が、法制局にも委員会にも共通認識になっていないからなんだろうと思うのです。
高木浩光さんに訊く、個人データ保護の真髄 ——いま解き明かされる半世紀の経緯と混乱「不適正利用の禁止は適正な利用義務ではない?」2022年3月18日
これらの経緯の証拠を示すのが以下である。
まず、令和2年改正に向けた検討で、中間整理を前に最初に方向性が表に出たのが、個人情報保護委員会事務局幹部が日経新聞に書かせた観測気球記事「イブニングスクープ 個人情報に「利用停止権」検討 保護法改正へ」(4月2日)であった。このスクープ記事は、なぜかその日のうちに修正され、新旧の2バージョンが存在するが、どちらを確認しても、現在の「不適正利用禁止」に相当するような構想は語られていない。
この記事では以下のように書かれていて、プロファイリング関係の規律を導入したい意向だったことが窺える。
個人が企業に自分のデータの利用停止を請求できる権利を導入するよう、政府の個人情報保護委員会が検討していることが2日、わかった。ネットサービスや広告、金融など個人情報を分析してビジネスに生かす動きが加速しているのに対応。個人がデータの使われ方をコントロールできる仕組みを用意し、企業のデータ活用を進めつつ、不適切な乱用を防ぐ。
(略)
現行法では、企業がデータを不正に取得していた場合や、個人から同意を得た利用目的から外れた使い方をしている場合のみ、個人は利用停止を求められる。今回導入を検討する「利用停止権」では、企業側に問題がなくても、個人が自分の意志でデータがどのように利用されるかを指示できるようにする。
実現すれば「自分の情報をダイレクトメールを送るのに使うのはいいが、AI(人工知能)を使って生活パターンや趣味などを推定するようなマーケティングには利用しないでほしい」など、細かい注文が可能になる。データ利用でいったん同意した内容について、後で変更や撤回することもできる。企業は、個人からのこうした請求を受け付ける窓口を整えるなどの対応が必要になるとみられる。
利用者の嗜好を分析・推定するターゲティング広告などは、利用停止権の対象になる可能性が低いとみられる。ターゲティング広告は、ウェブ閲覧履歴などの「クッキー情報」やスマートフォン(スマホ)の位置情報などを利用していることが多く、これらのデータは単体では氏名などを含まず現行法の「個人情報」に該当しないためだ。
利用停止権の導入を検討する背景にあるのは、データ活用が急速に広がることに伴う「乱用リスク」の高まりだ。
18年には米フェイスブックなどによる個人データの扱いを巡る不祥事が相次ぎ発覚。ネット企業などが本人への説明や同意の取り方が不十分なまま個人データを集め、多くの企業間で共有していた実態が明らかになった。野放図なデータの利用に歯止めを掛けるルール整備の機運が広がった。
一方で欧州連合(EU)は18年、企業に個人情報の取り扱いを厳しく規制する一般データ保護規則(GDPR)を施行。日本は19年1月、EUから個人情報の保護水準がEUと同等と認められる「十分性認定」を受け、日欧間で円滑なデータ移転の体制が整った。 日本は米国なども含めた国際的なデータ流通圏作りを提唱している。そのため個人情報保護を強化しながらも、企業のデータ活用や流通を損なわない工夫が必要になる。
「イブニングスクープ 個人情報に「利用停止権」検討 保護法改正へ」2019年4月2日(初版)
この時点ではまだリクナビ事件は発覚していない。リクナビ事件の問題性を踏まえれば、このような規制がまさに必要だということになるわけで、この構想の4か月後に立法事実が発生したわけである。
4月25日に公表された中間整理では、この構想がかなり丸めた形で以下のように記載された。
(4)利用停止等
〇 利用停止等に関しては、相談ダイヤルに寄せられる意見や、タウンミーティングにおける議論でも、消費者からは、自分の個人情報を事業者が削除・利用停止しないことへの強い不満が見られる。一方、プライバシーマークの審査基準の根拠である「JIS Q 15001個人情報保護マネジメントシステム-要求事項」のように、事業者の中には顧客の利用停止等の要求に対応する例も存在することも踏まえ、利用停止等に関して、個人の権利の範囲を広げる方法について検討する必要がある。
〇 平成27年改正法により、個人情報取扱事業者は、利用する必要がなくなった個人データを遅滞なく消去する努力義務が追加された(個人情報保護法第19条)。このような法令上の要請に応えてデータの最小化を行う事業者も多いと考えられるが、必ずしもそのような対応を行っていない事業者も存在することが想定される。今後、企業の実務上の問題を整理する必要がある。
〇 また、消去については、例えば、事業者が本人からの請求に基づき個人情報を(本人の請求に基づき消去した事実を含め)完全に消去してしまうと、当該事業者は、過去に消去請求をした者であるという事実を含め、当該本人に関する情報を一切保有しないことになるが、その後、再び当該本人の個人情報を取得した場合に当該個人情報を利用することの可否等の消費者の利便や実務上の論点もある。
〇 加えて、事業者によっては、安全管理上の理由等から、個人情報データベス等を部門ごとに別々に管理している場合もあり、このような場合に全部門の個人データを容易に名寄せし、利用停止等ができるような体制になっているかという論点もある。
〇 利用停止等については、消費者側からの根強い要望に対して、個人の権利を保護していく観点からどのようにすれば一定の対応が可能か、企業側の実態も踏まえつつ、具体的に検討していく必要がある。
個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理(平成31年4月25日)
日経新聞の記事と比べると、ほとんど何をしたいのか述べていないが、これは、経済界からの反発を避けるために(もしくは既に反発があった結果)丸めて書かれたのだろう。
これに対して、5月17日の有識者ヒアリングの回で、私は以下のようにコメントしていた。
改正の方向性へのコメント
- 4月2日の日経新聞(修正記事含め)から推測する私の理解
- 利用停止請求権の強化
- 利用停止を無条件に請求可能なものとする?
- 日経「個人の意志でデータがどう利用されるか指示できるようにする。自分の情報の利用をダイレクトメールの送付に限ることなどができ、データ利用でいったん同意した内容を撤回することも可能だ。」
- 事実上のプロファイリングへの対応……ということか
- プロファイリングによる選別(ターゲティング)の拒否が可能に
個人情報保護法3年ごと見直しに向けた意見 2019年5月17日
このコメントの言わんとしていることは、「中間整理ではほとんど書かれていないが本当にやりたいことは日経新聞に書かせた観測気球の内容ですよね?」という意味であった。
第1-1回法制局参事官審査録(開示資料16037頁)は、個情委事務局が内閣法制局を最初に訪れた際の議事メモで、冒頭部分は次のやりとりとなっている。
2019/8/29 第1-1回法制局参事官審査録
日時:8月29日(木)13:00~15:00
先方(〇):早川参事官
当方(●):矢野企画官、小川補佐、堀永補佐、村瀬補佐、田宮補佐、白勢主査、笹目事務官〇:状況伺いの予定であったが、ここまで形になった資料が提出されるとは思っていなかった。個別の論点については、次回審査させていただければと思う。
<大綱スケジュールについて>
●:本年4月に中間報告として3年ごと見直しの論点を示しパブコメを行ったところであるが、10月中あるいは遅くとも11月早々に、大綱として、法改正事項に絞った形での論点と改正の方向性を示しパブコメを行うことを予定している。そのため、それまでに方向性を固められるよう調整を進めていければと考えている。
〇:パブコメについては、年内の早い段階である程度抽象的な内容で行う省庁もあれば、年明けの段階で、長官・次長の了解がとれた内容で行う省庁もある。(警察庁(参事官の親元)は後者。)パブコメをどのような段階で行うかは原省の判断であるが、熟していない段階で長官・次長の感触を伺うのは難しい。11月早々の段階で長官・次長の事実上の了解をとるのは通常の相場観では困難であり、法制局と調整がとれたものを11月の段階でパブコメに出すことができるかは確約できない。
●:大綱のパブコメについては、法改正に係る内容を公にする以上、法制局の関知しないところで行うのはよくないと考えたので、御相談させていただいた次第。パブコメを行うタイミングについては、本日頂いたご指摘も踏まえ、内部で検討させていただく
〇:仮に(法制局未了の下)年内の早い段階で大綱のパブコメを行い、大綱に示した改正事項について措置しなくなった場合、その理由を説明しなければならないのは原省であるので、その点も踏まえて検討してもらえればと思う。
〇:実務的にいうと、年内(12月中)に長官・次長の了解を得ることを目標に、12月に入ったら下3分の1とその参考資料としての説明資料を用意する必要がある。部長との関係次第ではあるが、部長との議論が詰まらないと次長には進まない。部長と3~4往復、長官・次長は1~2往復の想定。部長とは2か月は議論したいと考えているので、スケジュール的に逆算すると10月頭には部長と議論できるレベルで内容を詰めていければと考えている。部長には恥ずかしくない程度に形になっていれば上げていく。
開示資料16037頁
このように、大綱のパブコメは、個情委としては10月や11月というまだ修正のきく時期に行って、寄せられた意見を反映したいと考えていた様子が見えるが、法制局は、法制局の了解の取れたものをパブコメにかけることを促しており、結果として、12月13日から1月14日までという、意見に合わせて修正することなどほぼできない時期(できるのはせいぜい一部をボツにすること程度であろう)でのパブコメ募集が行われた。今回も同様となるのだろう。
続く部分には次の記載がある。
【個人情報保護方針の策定の義務化】
〇:PIAとの実態上の違いが分からないので説明してほしい。PIAの柱として位置付けるのであれば納得できる。
○:PIAについては、番号法の先例によせて法制局幹部は考えるだろう。
(略)
【利用停止等の要件の拡大】
〇:どういった場合に請求できることとするのか。
●:現行法上は、第16条、第17条、第23条、第24条違反の場合にのみ請求することができることとしているが、今回の改正では法律違反に限らず、すべからく請求できることとしたいと考えている。
開示資料16040頁
この日に法制局に提出された「改正事項一覧」と題する文書は、以下の内容であった。(関係する部分のみ抜粋)
改正事項一覧
(前注1)以下は、「個人情報保護法いわゆる3年ごと見直しに係る検討の中間整理」に基づき改正することを検討している法律及び条文ごとの現時点における改正予定内容の概要である。改正内容が具体的に固まっていないものについては、改正の趣旨や方向性のみを示すものとしている。また、改正案として具体的に記載しているものについても、今後検討を加え大幅に修正することもあり得る。なお、関係省庁等との調整は、今後随時行っていくことを予定している。
(前注2)本資料中、単に「法」とある場合は、個人情報の保護に関する法律(平成15年法律第57号)を指す。
■個人情報の保護に関する法律(平成15年法律第57号)
〇定義【§2】
・短期保存データに係る除外規定の廃止【§2VII】
(略)
・「仮名化情報」の創設【新設】
(略)
〇端末識別素子等を取得する際の個人情報取扱事業者に対する義務の創設【新設】
(略)
〇個人情報保護評価制度等の創設【新設】
(略)
〇オプトアウト規制の強化【§23】
(略)
〇外国にある第三者への個人データの提供制限の強化【§24】
(略)
〇公益目的による個人情報の取り扱いに係る例外規定の創設【新設】
(略)
〇第三者提供時の確認記録義務の開示義務化【新設】
(略)
〇個人情報保護方針(プライバシーポリシー)の策定の義務化【§27】
法第27条に定める保有個人データに関する公表事項に、個人情報保護方針等を追加する。個人情報取扱事業者は、当該方針に基づいて個人情報を適正に取り扱わなければならず、当該方針に反する取扱いがあった場合には、個人情報保護委員会は、不正な取扱いとして、必要な指導、勧告その他の措置を講ずるものとする。
〇電磁的手法による開示の明確化【§28】
(略)
〇利用停止等の要件の拡大【§30】
現行法上、法第16条(利用目的による制限)又は法第17条(適正取得)違反に限定されている利用停止等及び法第23条(第三者提供制限)又は法第24条(外国第三者提供制限)違反の場合に限定されている第三者提供の停止の請求の要件を拡大し、法律違反でない場合も利用停止等及び第三者提供の停止を請求できることとする。
〇漏えい報告の法律上の義務化【新設】
(略)
〇認定個人情報保護団体制度の充実【新設】
(略)
〇公的分野の個人情報保護の規律の統合等【§61、情報公開・個人情報保護審査会設置法第2条、行政機関の保有する個人情報の保護に関する法律第10条、第47条、第49条、第50条、第51条、独立行政法人等の保有する個人情報の保護に関する法律第46条】
(略)
〇域外適用の範囲の拡大【§75】
(略)
〇ペナルティの強化
・課徴金制度の導入【新設】
(略)
・法定刑の引上げ【§83~86】
(略)
開示資料1頁
この時点では、関係する事項についてはこれだけしか書かれておらず、既にリクナビ騒動真っ只中の時期であるが、まだ、適正利用義務に関係しそうな案は示されていない。
関係する事項が次に現れるのは、第5-2-1回法制局参事官審査録である。「利用停止等の要件の拡大」が具体的な案に基づいて検討されている。
2019/10/1 第5-2-1回法制局参事官審査録
日時:10月1日(火)10:00~12:40
(略)<利用停止等の要件の拡大について>
○:利用目的の設定・特定については、事前の同意は不要ということでよいか。
●:厳密にいうと、第18条第2項は事前に利用目的を明示し、かつ、その後に本人から取 得するので、事前の本人の意思の関与があるとも評価できる。
〇:取得時・変更時の利用目的のみ本人の意思の介在がないのだな。
〇:真の目的を秘して取得し、取得後に目的変更を行った場合はどうなるのか。
●:偽り不正な取得として、第16条違反として措置する。
〇:現行法において、取得時・変更時の利用目的が通知・公表で足りるとされていることについて、本人の意思を尊重することは重要だが、逐一利用目的に同意を求めるなど、あまり重視しすぎると個人情報の有用性が損なわれるため、通知・公表で足りるとしている。利用目的の通知・公表は、本人の不安感を払拭する意味がある。また、通知・公表は、本人の権利利益の侵害を防ぐ間接的な予防措置であり、無限定な本人の権利利益の侵害を防ぐ効果もある。その上で、不正があった場合は、利用停止などの事後的措置で対応するというのが現行法の整理。
●:取得時の利用目的が通知・公表のみで足りるとされていることについて、平成13年に法制局において、市場メカニズムを通じて社会的にその是非が判断される環境を整えることで個人情報の適正な取扱いが担保されるとも説明がされていた。
〇:利用目的に事前の同意を求めるなど事前の規制を設けるのは事業者の負担が大きいという状況は理解した。事後的措置を設け本人自ら取り得る選択肢を増やすことで個人の関与を強めるということなのだと思う。
〇:資料において、利用停止とオプトアウトとの比較がなされており、どちらも事後的な本人の意思の関与と整理されている。もっとも、オプトアウトは、あらかじめ、通知又は容易に知り得る状態に置くことが必要とされており、必ずしも事後的とは整理できないかもしれない。
〇:利用目的については、直接取得時以外は、事業者が自由に決められる。本人のあずかり知らない利用目的であっても、本人が文句は言えないのが現状。事業者が勝手に決めた目的で、自らの個人情報を利用されることについて、事後的に文句を言えるようにする余地はあるかもしれない。
〇:誰が何の目的で自分の個人情報を使うかということについて、本人の意思の介在を最大限に尊重すべきだが、それは事業者負担の観点で難しいので、オプトアウト同様に事後手続をとるということか。
〇:そもそもなぜ第三者提供には原則同意が必要なのか。他のデータとの結合・照合等の名寄せによって個人の権利利益を侵害するおそれがあるため、というのはわかるが、個人データの流通状況や使用状況が不透明なことについて、第三者に提供するときのみを同意とするのは何故なのか。
●:現行法上、第23条第1項の同意について、第三者提供の範囲や、第三者提供先の利用目的についても本人の同意を取ることが望ましくはあるものの、法律上の要件にはなっていない。そのため、第三者提供を受けた個人情報取扱事業者が、新たな利用目的を通知・公表すれば、提供先の事業者は、新たな利用目的で個人情報を利用することが、理論上可能となっている。
〇:本人の個人情報が事業者の手に渡るときは、何らか利用目的について本人の意思の関与があるのではないか。事業者が本人から直接取得する際は、利用目的が事前に明示される。また、事業者が第三者から取得する場合であっても、本人は第三者提供に同意をしているはず。オプトアウトによる第三者提供については、同意はないが、容易に知りうる状況にはおかれている。本人が利用目的について、全く関知していないような状況で、個人情報が取得されることはあるのか。
●:例えば、表札などから事業者が情報を収集する場合は、本人が事業者の利用目的を感知しているとは言えない。防犯カメラで撮影するような場合も、第18条第2項にはあたらないので、利用目的の明示は受けない。
〇:公開データから勝手に集めるときの例でいえば、政官要覧はどのような扱いか。
●:政令第3条において、個人情報データベース等から除かれているが、個人情報ではある。
〇:繰り返しになるが、第18条第2項があるため、本人から個人情報が最初に出ていくときは、利用目的の明示を受けるはずであり、本人が利用目的をあずかり知らないところで個人情報を集めることはできないことになっているのではないか。
●:第18条第2項において、「書面で取得」という要件があることにより、口頭で取得することもありうる。その場合の利用目的は、通知・公表であり、公表の場合は必ずしも本人が了知しているわけではない。
〇:なぜ「書面で取得」という要件を設けているのか。
●:逐条には、口頭によって取得した情報は、データベース化される可能性が低く、権利利益が侵害される危険性が低いと考えられたためと記載されている。
〇:事前明示のコストと比較考慮し、書面取得の場面に限定したということかもしれない。
〇:直接取得と第三者提供の場合には、少なくとも本人の同意がある。過去情報や公開情報は別として、当初の利用目的について、本人の意思は少なくとも間接的には介在している。
〇:例えばダイレクトメールが来たとして、送り主の会社に、改正法に基づいて取得元の開示請求を行う。取得元をたどっていけば、自分の個人情報の出元にたどりつくはずであり、そこでは利用目的の明示を受けているのが原則。その出元の利用目的を見て、第三者提供の同意の有無を確認すれば、なぜ自分がそのような同意をしたのか追うことは、理論的には可能。口頭による情報の取得、公開情報、オプトアウトなどの例外はあるが、何らか本人の意思が関与する歯止めは現行法上もかかっている。
〇:本人の意思の介在が機能しておらず、現行の本人意思の関与の在り方そのものを否定して、現行法では本人の意思の関与が弱いとしてしまうと、では利用目的に同意を求めればよいのでは、という議論になってしまう。また、同意自体の有効性を持ち出して、消費者が全ての利用目的に目を通し、理解し、同意をするということはできないという仮定で話をしてしまうと、同意によって本人の権利利益の侵害を防いでいる個情法の建付けがくずれてしまう。同意や合意というものは、一方の当事者からは撤回できないはず。
〇:このように説明するのではないか。ある時点では納得したが、事情の変更があって、もう使ってほしくない。やっぱり嫌だということは人間だからある。利用目的の範囲内でも取扱いの態様の変化もあるだろうし、社会情勢の変化もあるだろう。また、結婚して子供ができたらやっぱり嫌だということもある。事後的に拒否することは認められるべきとは思う。一度同意をしたら一生有効とするのは不適切。そうなったら、保守的な消費者は、全部不同意ということになる。それもまずい。個人情報の有用性を損なうこととなる。
〇:同意をした時点では問題ないと考えていたが、技術の進展やネットワークの進展により、権利利益が侵害される形で利用される可能性が高まったため、事後的に同意の撤回を主張できるようにする必要があるといった説明がいいのではないか。例えば、当時は信用のおける事業者であったが、大量の漏えい事案や不適切な取扱いが発生したという事情変更。また、昔は信頼のある企業であったが、業績が悪化して、個人情報のセキュリティが甘くなってしまったなどという事情変更。プロファイリングの技術が進展して、従来は推計できないような情報も特定できるようになってしまったという事情変更。そんな事情変更まで見通して、一生涯有効となる同意をするというのは非現実的な話。そんな同意は怖くてできないから、個人は全部不同意となってしまうかもしれない。
〇:このように論じれば、最初から利用目的に同意させればいいのではないかという見解があったとしても、そこまで事前に見通して本人に同意をさせるのは非現実的だという反論ができる。事業者にとっても、全て事前に同意をとる負担や、個人が全く同意に応じてくれず個人情報が集まらないという事態に比べれば、利用停止を認めた方が、かえって利活用に資する。
(略)
〇:改正案について、例外理由が列挙されているとはいえ、何も要件なく請求を認めるのは法的安定性を害する。極端な話、昨日個人情報を提供した個人が、翌日気が変わりましたということを際限なく認めてしまっていいのか。さすがに事業者の負担となるのではないか。
〇:「本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの取扱いについて、当該本人の権利又は正当な利益が侵害されるおそれがあると認めるにつき正当な理由があるときは、...利用停止等を請求することができる。」というように要件を設けて、現行法のただし書を除外規定として設けるのはどうか。事業者が、請求に理由がないと判断し、請求に応じなかった場合、その適否について、最終的には裁判所が判断することとなる。ただ、請求者が「正当な理由」について立証責任を負うこととなるが。情報公開法において、不開示事由について、似たように規定している。現行法第30条の違反の場合の請求権は残しておいて、それで救えないところを改正案で網をかける。
●:利用停止のニーズとしてダイレクトメールのようなものがある。
〇:ダイレクトメールがくるのが嫌なのか、それともその送付に利用されている個人情報を持っていることが嫌なのか。前者の場合、特定電子メール法のように別法で対処する問題かと思う。後者は個人情報保護法の範疇になりうる。
〇:個情法の目的は、個人の権利利益の保護にあり、個人の権利利益の侵害か、少なくとも 侵害のおそれがあるような場合であると言えることが必要。個人情報を保持している主体と利用目的に着目し、権利利益侵害のおそれがあると本人が考える場合に認めるのはいいのではないか。
〇:例えば、ダイレクトメールが何度も送られてきて、やめてくれと言っても応じてくれない。そんな苦情にもまともにとりあってくれない業者に自分の個人情報を取り扱われると、権利利益の侵害のおそれがあると言えることもあるだろう。
〇:他にも、自分の体形に関するデータをどこからか収集してきて、ダイエットの案内が送られてくるというような、まるで人格で非難されているような場合、そのようなものは苦痛であり、個人の権利利益が侵害されていると言える余地もある。
〇:また、個人情報を漏えいするような事態が発生して、事業者の安全管理体制の信用が失墜しているときに、自分の個人情報が漏れていなくても、個人情報が漏えいするおそれがあるといって利用停止を請求することもできると思う。
〇:先ほど、虐待をしている親の利用停止の事例が話に上ったが、虐待をしている親が自分の個人情報を、虐待防止を行っているようなNPOに利用停止なり消去請求したとしても、虐待をしている自分の情報を消去する利益は「正当な利益」と評価できないので、「困難な場合」「代替措置」といったことを検討するまでもなく、対応しなくてよいと思う。
〇:今もらっているストーリーだと、利用目的の通知・公表や、第三者提供の同意など、本人の事前の意思の関与が機能していない、だからこそ、利用停止など事後の本人の意思の関与を強めるべきだという組み立てになっているが、事前の意思の関与が機能していないのであれば、それなら、利用目的について事前の本人の同意を得れば良いのでは、という議論の流れになってしまう。議論の組み立てとして、別のアプローチが必要。例えば次のようなものが考えられるのではないか。
〇:利用目的の通知・公表や第三者提供の同意など、事前の本人の意思の関与は一定程度個人の権利利益の侵害を未然に防ぐために機能している。しかし、一度個人情報を渡したら未来永劫自分の個人情報が使われ続けるということであれば、合理的な個人は自分の個人情報を一切わたさないと判断するだろう。それでは個人情報の有用性を損ない、事業者にとっても望ましくない。そのため、いったんは通知・公表を受けたり、同意はしたけれども、その後に事情変更が生じ、本人にとって不測の権利利益の侵害のおそれが生じているような場合であって、それについて理由があると認められる場合には、利用停止を請求できるようにする必要がある。
開示資料16089頁
このように、ほとんど法制局参事官のアイデアで進められている様子が見える。
この日までに法制局に提出されたと思われるこの件についての検討案は以下のもの(日付不明)と思われる(別のバージョンの可能性もある)。
利用停止等の要件の拡大について(第30条関係)
I 改正の背景・経緯
(1) 現行法上の課題と改正の経緯
(略)
さらに、現行法上、個人情報取扱事業者は、利用目的をできる限り特定することが義務付けられているが(第15条第1項)、AIやビッグデータ分析などの情報分析技術が発展したことに伴って、当該利用目的の範囲内であっても、当該利用目的において想定されるあらゆる利用方法について、個人が事前に理解することは現実的に困難であり、本人が想定できない手法や態様で、個人情報が利用されるリスクが高まっている。
このように、本人が予測し得ないほど、個人情報の流通が拡大し、また利用態様が複雑となっているにもかかわらず、利用停止等の事後的な権利行使が限定的となっている状況に対処するため、現行法上、法違反の場合に限定されている利用停止等や第三者提供の停止の請求の要件を拡大することとし、本人による事後的な関与を広く認めることで、個人情報の保護を図ることとする。
(略)
II 内容
1 1 法違反でない場合の利用停止等に関する請求権の新設(改正案第1項、第5項)
現行法上、「本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが第十六条の規定に違反して取り扱われているとき…は…利用の停止又は消去…を請求することができる」と定められており、本人が個人情報取扱事業者に利用停止等又は第三者への提供の停止を請求できるのは、法律上の規定に違反している場合に限定されている(第30条第1項、第3項)。 今回の改正において、「本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの利用の停止又は消去…を請求することができる。」と規定する項を新設し、法違反を請求の要件としない条文を追加する(第三者への提供の停止についても同様とする。)。
2 法違反でない場合の請求権に係る例外規定の新設(改正案第2項、第6項)
(略)
開示資料6頁
次に関連する事項が現れるのは、第8回法制局参事官審査録の以下の記載である。
2019/10/09 第8回法制局参事官審査録
日時:10月9日(水)14:00~17:30
(略) <個人情報保護方針>○:プラポリについては、体制整備等を書かせることとしているが、体制整備を求めるのであれば、プラポリに書かせるのではなく、(個情法は行為規制型なのであるから、正面から)直接的に規定すべき。規定の作成を義務付け、その規定を守らなければならないという立法例はあるのか。結局、その規定を守らないことは、ともすれば法違反であるならば、(そのような規定の作成の義務付けに)意味があるのか。個情法の規律を遵守するということに尽きるのではないか。つまり、個情法違反を問えば事足りるのではないか。プラポリとは何かについて整理しなければならない。
○:本件で果たしたい「透明性の確保」については、現行法第15条の解釈で対応できるのではないか。同条の運用の問題であって、それ以上に規制を設ける必要性はあるのか。
○:業務規定を作らせる等の用例はあると思うが、それは特に細かく項目等を規定せず、基本的に事業者に作成を任せている。一方で、個情法は別途、細かく行為規制が規定されており、それに加え、要件を細かく規定しないプラポリをつくらせるのは平仄がとれていないのではないか。
○:(PIAと同様だが)お墨付きを与える制度であればまだわかる。記載すべき項目をしっかり規定して、手を挙げた者を認定等して、それに反していたら認定取消等のスキームであればまだよい。
○:第53条に規定する認定団体の指針は作っておしまいではなく、個情委に届け出、それに従わない場合に対象事業者に対する指導・勧告等が義務付けられている。本件は、事業者が作って公表するだけになっており、かつ、体制整備等書けば書くほど不利な形になっている。では甘く書いておこう、となるのではないか。法違反ではないが、下位法令に位置づけられる自らが書いた指針に違反したら法違反となるような構成を採っている類例はあるのか。
○:正確性・最新性の確保については、法定公表事項はそもそも解釈として最新のものとなっている必要があり、不要ではないか。
開示資料16120頁
この日までに法制局に提出されたと思われるこの件についての検討案は以下のもの(日付不明)と思われる(別のバージョンの可能性もある)。
個人情報保護方針(プライバシー・ポリシー)(第27条関係)
I 改正の背景・趣旨 (略) 特に、本人に対する不当な差別等につながり得る技術として懸念されているプロファイリングは、外形的に認知しづらい性質を有しており、透明性の確保や同意取得の実施が十分でない可能性がある。
したがって、これらの観点から、透明性・本人関与の実効性をより確保するために、法定公表事項について、取り扱うデータの項目やデータ処理方法、情報源、情報提供先といった事項を追加するとともに、個人情報保護に係る基本的な方針(プライバシー・ポリシー)の作成を努力義務とし、個人情報取扱事業者の負担にも鑑み、個人の権利利益を害するおそれが大きい事業者については、当該基本的な方針の作成を義務化することとする。
(略)
さらに、この本人視点の欠如に起因する不適正な利用を防止するために、事業者の体制と本人との関係それぞれについて、具体的にどのような取組を行うのかについてプライバシー・ポリシーに記載することを義務付けることとする。
なお、上記で指摘したプロファイリングについても、法定公表事項に追加するデータの処理方法及び上記適正利用の確保で対応が可能と考えられる。
II 内容
1.法定公表事項の追加
(略)
データ処理方法についても、例えば、プロファイリングといった個人情報をもとに分析・評価することを実施する場合にその旨を記載させることにより、透明性の確保を促進することとなる。
2. 個人情報保護基本方針の公表
(略)
3.利用目的及び基本方針の透明性確保義務
(略)
4.公表事項の正確性等の確保
(略)
5. 適正な利用についての具体的措置の記載義務
(略)
6. 利用目的、基本方針に反する不当な取扱いの禁止
(略)
開示資料487頁
このように、プロファイリングの規律をプラポリに書かせることで済ます案を持って行ったら、法制局参事官に全否定されたようである。
実はちょうどこの日(10月9日)、発売されたばかりの「世界」11月号を一冊持って個情委事務局幹部に面会していた。「世界」で書いたことは、リクナビ事件への個情委の対応が不完全(この時点ではまだ1回目の勧告しか出ていなかった)であることを指摘し、法目的からの法解釈が重要であることを説いていた*3。
次に変化が訪れるのは、第10回法制局参事官審査録の以下の部分である。
<審査スケジュール等について>
〇:明日の午後はいまのところ空いているので、今日(か遅くとも明日の朝)までに投げ込まれた案件については、対応できる。持ち込まれそうな案件はあるか。
●:確定的には申し上げられないが、いくつかの論点について、投げ込めるものがある。また、「プラポリ」論点で記載を求める事項を、前回の法制局参事官指摘も踏まえつつ局内で議論した結果、行為規制として正面から一条設ける方向で検討することとなった。
〇:「適正な利用」で一論点増えることについては承知した。
開示資料16149頁
これが、後に「不適正利用禁止」へと反転することとなる「適正な利用」義務の萌芽である。
次に現れるのは、第13-2回法制局参事官審査録である。この日までに提出されていた様子の説明資料に以下の記載がある。
個人情報の保護に関する法律の一部を改正する法律案(仮称)の概要
令和元年10月
個人情報保護委員会事務局第1 個人情報の利用目的による制限の見直し
(略)
第2 個人データの第三者提供に係る規律の強化
(略)
第3 個人データの保護に係る規律の強化
(略)
2. 適正な利用に必要な体制整備等の義務化【新設】
個人情報取扱事業者に対して、個人情報を適正に利用するために必要な体制の整備その他の措置を講じることを義務付ける。
第4 透明性の確保に関する制度の強化
(以下、略)
開示資料728頁
これを踏まえて、10月24日2以下のやり取りがあった。
<「適正な利用」について>
●:「適正な利用」については、明日ないし来週頭には資料を投げ込める見込み。内容としては、部長頭出し紙に記載した通りの条文を検討しており、一言でいえば、第20条を拡張する概念。
〇:「適正な利用」について、その条文案の類例はあるのか。
〇:基本的に、権利義務に影響する論点は厳しく審査しているつもりであり、(「適正な利用」を含む)その他の論点は、法律事項があることを前提に、内容が詰まれば、後からついてくるだろう、という感じになると考えている。
開示資料16176頁
ここで「第20条」とあるのは、この当時では安全管理措置義務を指している。
そして、「適正な利用」に関する義務の案が検討された様子が、第14-3回法制局参事官審査録にある。
それまでに提出されていたと思われる説明資料が以下である。
適正な利用に必要な体制整備等の義務化(第○条関係)
I 改正の背景・経緯
1 改正の背景
昨今の急速なデータ分析技術の向上(アルゴリズムの複雑化・ブラックボックス化)等を背景に、個人情報を取り扱う事業者自身が十分に予期できるか否かに関わらず、潜在的に個人の権利利益の侵害につながる(本人が予見し得ない形で不利益を被る)ことが懸念される個人情報の利用の形態がみられるようになり、消費者(個人)側の懸念が高まりつつある。そのような中で、特に、現行法の規定に照らして明らかに違法とまでは断定できないものの、本法の法目的である個人の権利利益の保護の観点から、看過できないような方法で個人情報が利用されているとして、社会的な批判を浴びるような事例が、一部において、みられるようになった。
以下で示すような事例は、いずれも、現行法の一部の規定に違反する個人情報の取扱いが疑われ、その点に関しては、個人情報保護委員会の執行の対象となったものの、個人の権利利益の保護の観点から、社会通念上、適正とみなされるような個人情報の利用のであるとは必ずしも言えず、そうした利用そのものに対してや、そうした利用を予防するための仕組みが事業者内部において構築されていない点に対しては、現行法を根拠として個人情報保護委員会の執行の対象とすることは困難であった。
(1)破産者マップ事案
(略)
〓〓〓〓〓〓〓〓〓〓*4
〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓
(略)
この点についても、直接の執行の根拠となる規定が現行法には存在しないため、個人情報保護委員会は執行を行うことができず、本人の権利利益の保護の観点からは、十分な対応ができたとはいえない。
2 改正の方向性
上記の事例のいずれについても、自らの個人情報の利用(提供を含む。以下同じ。)の結果として本人の権利利益が害されるおそれのある、社会通念上許容しがたい個人情報の利用である。この点について、問題となった個人情報取扱事業者のいずれにおいても、個人の権利利益が侵害されるリスクが全くと言っていいほど検討されていない(個人の権利利益を適正に保護するための、事前の評価・確認の体制や、事後的な対応が円滑になされるための仕組みが構築されていない)ことが、ヒアリング等の結果、明らかになった。
こうした実態に鑑み、本法の法目的や基本理念から大きく逸脱するような、社会通念に照らして適正とは言えない個人情報の利用を防止するとともに、個人の権利利益の保護をより確実なものとするために、個人データを適正に利用するために必要な体制整備その他の措置を講じることを、個人情報取扱事業者に義務付けることとする。
II 内容
個人データの利用によって、本人の生命、身体、財産その他の権利利益が害されるおそれがあるときは、当該個人データを利用又は提供してはならないことを、個人情報取扱事業者に義務付ける。ここで、「本人の生命、身体、財産その他の権利利益」とは、第18条第4項第1号及び第28条第2項第1号と同様に、本人に関する法律上の保護に値する利益一般をいい、例示されたものに限定する趣旨ではない。具体的には、I改正の背景・経緯で取り上げたような事例に鑑み、(本人が予測し得ない形で発生し、かつ、不特定多数の者によって引き起こされ得る)本人に対する差別や、(違法な行為を営む者からの接触による)本人の平穏な生活を送る権利の侵害などが想定される。ここで、「害されるおそれ」としているのは、第18条第4項第1号及び第28条第2項第1号に規定される「害するおそれ」と同様に、利用によって具体的な支障の発生は将来生ずるものであることによる。この場合、「おそれ」とは、物理的、確率的な可能性ではなく、社会通念による蓋然性の有無の判断による。
ただし、他の法令に違反することとなる場合(捜査関係事項照会への対応への結果として、本人の逮捕が予見される場合等)や、本人との間で契約を締結している場合(与信審査の結果として、本人が融資を受けられないと判断される場合等)など、個人情報取扱事業者がこうした個人データの利用を行うことに正当な理由がある場合については、本義務の適用除外とする。
また、個人情報取扱事業者が、上記の義務を適正かつ効果的に順守するための必要な措置として、個人データを利用するに当たり、本人の権利利益への影響を事前に評価・確認する仕組みを構築することや、個人データの利用開始後に本人の権利利益の侵害又はそのおそれが判明した場合に、本人の権利利益の保護を確保するための事後的な対応を実施すること等を、個人情報取扱事業者に義務付ける。その際、個人情報取扱事業者にとって参考となるべき指針を、個人情報保護委員会が定め、少なくとも下記の措置を講じることを、当該指針において規定する予定である。なお、第20条(安全管理措置)と同様に、取り扱う個人情報の内容や量、事業者の規模などに応じて、個人情報取扱事業者が講ずべき措置の具体的な内容や程度は異なる。
〇 本法の考え方の周知・啓発
・ 本人の権利利益の保護という本法の法目的をはじめとする本法の考え方について、個人情報の取扱いに関係している役員及び従業員にその職務に応じた周知・啓発を行うこと。〇 法令順守の方針等の明確化
・ 本人の権利利益の侵害又はそのおそれの防止のため、本法を含む法令遵守の方針や法令順守のためにとるべき手順等を明確化すること。〇 本人の権利利益に与える影響に関する評価
・ 個人情報を利用しようとする場合、本人の権利利益に与え得る影響を評価・確認すること。仮に本人の権利利益を害するおそれがある場合には、それが正当な理由によるものか否かについての確認も含む。〇 評価等に関する情報の共有
・ 上述の評価・確認に関する情報を、当該個人情報の取扱いに関係する各組織部門が、本人の権利利益の侵害を防止する上で必要に応じて共有し確認できるようにすること。〇 個人情報の取扱いを管理するための担当者等を定めること
・ 個人情報を適正に利用するため、個人情報の取扱いを管理する担当者又は担当部門をあらかじめ定めること。〇 本人の権利利益に与える影響に関する評価に関する情報を事後的に確認するために必要な措置を採ること
・ 上述の評価・確認に関する情報を、個人情報を利用しようしている期間、事後的に確認するために、例えば、資料の保管等必要な措置を採ること。〇 個人データの利用後に本人の権利利益の侵害が明らかになった場合における迅速かつ適切な対応 ・ 特定の個人データの利用に際して、本人の権利利益の侵害又はそのおそれがある事案が発生した場合、その事案に対処するため、事実関係の把握やそ の利用の停止、再発防止に向けた措置を講じること。
個人データの「適正な利用」とは、適法な利用を行う(第4章の義務を守る)ことだけでなく、本法の法目的や社会通念に照らして不正とは考えられない利用を行うことも含む概念である。本条の規定は、そうした利用を実施するために、合理的かつ必要な範囲で、必要な措置を講じることを義務付けるものである。
開示資料1425頁
このように、この初期案では、「個人データ」が対象となっている。背景の冒頭も、「昨今の急速なデータ分析技術の向上(アルゴリズムの複雑化・ブラックボックス化)等を背景に」と説明されている。なお、この背景は、リクナビ事案には当てはまるが、破産者マップには当てはまらない(分析は行われていない)ことに注意。
これについて検討された様子が以下である。
2019/10/25 第14-3回法制局参事官審査録
日時:10月25日(金)16:15~18:30(略)
<適正な利用に必要な体制整備等の義務化>
○:個人情報保護法の法目的がそもそも「適正かつ効果的な活用が~~個人の権利利益を保護するもの」としているのだから適正な利用に必要な措置をとるものという位置付けにはなっているだろう。
○:適正な利用、適正な取扱いは法目的を守る、守らないの話になるのではないか。社会通念上不適切なものに対しては、どこかしらの条文を根拠にして指導などできるのではないか。
●:現行法では実態として難しく、法目的にあるような内容(権利利益の保護)を確実に、事業者へ対しても守らせるようにしたい。
(略)
○:適正な取扱いのための行為規制であれば、行為規制とすべきではないか。それであれば、利用制限を行うのではないか。不正利用の禁止など。
●:「不正利用の禁止」という表現についても検討は行ったが、何をもって不正であるとするのかが難しいと考えている。
○:何をもって不正であるかと言えば、例えば、差別を助長するような利用などではないか。個情法との関係ではどのようになるのか。個情法上問題なくても民事上でどのような扱いになるのか。
●:現行法上、そうした規制はなく、執行の根拠となっていない。
○:第15条で利用目的を特定するが、その際、「迷惑行為を行います。」と設定することは駄目なのか。駄目ではないだろう。
●:仮名化の論点でも議論したように、利用目的は最終的な目的を特定するものであり、途中経過の小目的を特定するものではない。例えば、説明資料に例示した破産者マップで言えば、官報掲載の内容をデータベース化し周知することを目的としている。利用目的で規制をかけるのではなく、利用目的を達成する手段を規制するべきなのではないかと考えている。
○:第20条の安全管理措置は、ある種、直罰規定がある(第83条データベース不正提供罪)。データベース提供罪(第83条)につながるのは直罰だが、「過失による情報漏えいを禁止する。」とは規定できないので、「情報漏えいしないための措置を講じなければならない。」としている。
○:同様に、適正に利用させるのであれば、不適正な利用を防止するための措置としなければならないのではないか。適正な利用の義務を課したところで、不適正な利用に対する違反は問われない。不適正な利用を禁じたいのであれば、不適正な利用を禁ずる、そして不適正な利用を禁ずるための措置を講じさせるべきなのではないか。
○:第16条第1項や第2項に利用制限を規定するか。必要な範囲を超えて、当該個人情報を取り扱ってはならない。ただし、不適正な利用を行ってはならない。
●:潜在的に個人の権利利益を侵害するおそれのある行為、などはどうか。
○:潜在的はどのようなものか判断できず、規範の明確性を欠く。
○:要配慮の記載ぶりを真似るのはどうか。不当な差別、偏見その他の不利益が生じないようにその取扱に配慮する、不利益が生じないように取り組むものとする、など。
○:利用目的の範囲であればなにをやっても良い訳ではない、という(この論点の)趣旨は理解。
○:予防のための措置だが、そのためにやるべきことは何か。本人の不利益に絶対につながらないものとまでは保障することはできない。「ベスト・エフォートで取り組むものとする。」「努めなければならない。」というような感じか。
○:「本人の権利利益を侵害しないように、当該本人の個人情報を取り扱うよう努めなければならない。」などか。規定できた場合、努力規定ではあるが、指導・助言はできる。
○:安全管理措置として求める取組も色々あるが、それらは程度問題ではないか。全事業者に対して行わせるべきことは基本的には決まっている。組織的に個人情報データベースを分離しアクセスできる者を限定するなどを求めてはいるが、小規模事業者などはお金もなく十分には行えていない。第20条違反にはなっているが、取り扱う個人情報に応じて行 ってもらう。
○:第35条の苦情の処理に関する体制整備も全事業者が行えるものではないから、努力義務となっている。説明資料中に「事業者の可能な範囲で」と記載があるが、ベスト・エフォート止まりであれば努力義務とするべき。
○:条文案についても、体制整備を頭出しするのがよいとも限らない。「本人に不利益を与えないように取り扱わなければならない。」と努力義務規定を置いた上で、その努力義務を果たすために、不利益を与える取扱いを防止するための措置を義務付ける。
●:第35条に倣って、体制整備措置義務を設けることは考えられないか。
○:結局、「迅速な処理に努めなければならない」等の行為規制が(第1項として)必要にならないか。その上で、第2項のように、そのための仕組みの整備や研修等を受けさせてもバチはあたらないと思う。名誉毀損はサイレント民事の世界。その他はアクシデントでばらまかれないようにするもの。
○:差別目的だった場合、人権擁護的には指導できたとしても、個情法上、指導はできない。破産者マップやリクナビの事案は、どのように対応したのか。
●第三者提供を行う際の同意が得られていない、同意の判断に係る情報の内容が不十分であること等を根拠として指導している。
○しかし、「絶対に禁止」とまでは規定できないだろう。「本人の権利利益を絶対に侵害してはならない。」としてもどのようにすれば本人の権利利益を侵害しないのかが分からない。本人によっても、捉え方が変わる。
○:センシティブ情報を扱う他の法律に、参考となるような表現はないか。
○:差別的な取扱を禁止するような用例であれば見つかる。
●:「差別的取扱の禁止」は、行いたいことと少し異なってしまう。
○:議法だが、探偵業法第6条に「人の生活の平穏を害する等個人の権利利益を侵害することがないようにしなければならない。」とある。「権利利益を侵害してはならない」という ような用例はあるということだな。
○:「侵害することがないように努めること。」等になるのか。
○:リクナビ事案で言えば、本人の同意があっても駄目なのか。差別的な利用を禁止することはあってもいいだろうが、本人の同意を得ているのであれば、本人も「誠実に御社を志望しています」などのアピールに使えると考えていれば、別に問題ないのではないか。
○:例えば信用情報は結果によっては融資を受けられないというような、利益を損なうようなことがあるかもしれないが、それは権利利益の侵害とまでは言えないのではないか。
●:リクナビ事案の本質的な問題は、同意に係る情報の内容が不十分であったために、本人が予見できない中で、本人の権利利益が侵害されるおそれが生じた点だと考えている。
○:それでも権利利益の侵害とまでは言えないのではないか。
○:破産者マップの件も不適正だという心情は理解できるが、できる範囲で差別的な扱いを助長しないようにしてください、ということではないか。倫理的な問題はあるかと思うが、法律的には難しいのではないか。
○:安全管理措置義務は過失を罰することができないので、措置を講じるようにとしている。わざと漏えいさせることに対してはデータベース等提供罪がある。
○:探偵業法第6条は「自らが侵害することがないように」としている。「差別を助長してはいけない」という用例はあまりない。他人が差別しないようにということまでは自分では制御できない。
○:「差別を助長するおそれがある」場合は、事前に指導を行ってもよいだろう。
○:「差別を助長させてはいけない。」とは言い切れない(提供先でのあらゆる利用の様態を完全に予見することを求めることになる)ので、努力義務にするべき。指導・助言止まりだが、それが無視されてしまった場合には公表すれば良いのではないか。
○:どのようなことを行えば、努力義務を果たしたことになるのだろうか。自分が差別をしないであればまだよいが、自分ではない者に対して助長させないとは、どのようなことだろうか。
○:本丸は、「何をしてはいけない。」ではなく、「防止策として何をしろ。」ということの方が良いのだろうか。しかし、「してはいけない。」ということが分かっているのであれば、その行為をやめろというべきなのではないか。その上で、第2項に努力義務として予防措置義務を設けるべきではないか。
○:破産者マップの件は事例として使える。しかし、リクナビの件は立法事実としては微妙。
●:闇金業者(反社会的勢力)から融資を受けるために、担保として名簿を渡すというようなケースもあった。
○:名簿を渡す側のレピュテーションリスクであるし、名簿に掲載されている者からすると、平穏な生活を脅かされかねない(権利利益が害されるおそれ)、と捉えることができそうだな。
○:やはり(全ての個人情報取扱事業者に対して)一律に体制整備を行わせることができないのであれば、努力義務ではないか。「差別を助長するような行為をしてはいけない。」とするよりは、潜在性次第で「害するそれがないように努める。」「害しないように努める。」として、害してしまった場合には努力義務違反とする。違反しないように体制整備を行い、害するようなことが発生した場合にはすぐに利用をやめる。しかし、それでも指導止まりになってしまう。
○:害することを知りながら利用している場合には違反を取れる。権利利益を害するようなことが発生していなければ何もできないが、発生した場合には指導できる。
○:破産者マップの場合には、法令順守のコンプライアンス違反ではあるが、体制整備などは、一個人で行っているような場合にはどうせできない。どうせ体制整備を行わないのであれば、努力義務ではないか。努力義務であれば指導はできる。
○:できる範囲で行えばよいものであれば、努力義務。しかし、行為規制のない体制整備もいかがなものか。
○:第20条(安全管理措置)は行為規制を伴わない予防措置義務だというが、これは、自ら進んで情報漏えいを行うようなことは普通考えられないからではないか。データを持ち出される(直罰の第83条に該当するケース)ということはあっても、事業者自らの故意的な情報漏えいがあるとは通常考えられないので、事業者には、情報漏えいしないように予防措置を講じることを義務付けることとしている。
○:リクナビの件は立法事実として適さない。「適正な利用」を規定するのであれば、努力義務だろう。
○:本論点(「適正な利用」に係る規定の創設)は、「プライバシー・ポリシー」の論点から派生したものと聞いたが、PIA・DPOについても、別途規定するのか。
●:然り。
○:かつて(前回審査時)のプライバシー・ポリシーの論点では、どのようなことを予定していたのだったか。
●:個人情報取扱事業者自身で記載した内容に反して権利利益を害する利用を行ってはならない、との規定を設けることを、かつて検討していた。
○:それでは事業者に丸投げになっている。プライバシー・ポリシーも業務管理規程のようなものかと思った。業務管理規程を承認するような制度を創設しようとしているのかと思っていた。その前提として、ある程度の体制整備をさせるのかと思っていた。
○:例えば、貸金業法では、業務規程を作成しなければならない(自らの作成した業務規程に沿って業務を行わなければならない)としている。業法で業務改善命令型ではあるが、是正命令のように、個別に行為規制を並べて命令の対象とするタイプではない。
○:方針を作らせておいて、そのまま個情委として何も行わないということはないのではないか。何でも良いので作成しておけば良いというものではないのではないか。
○:行為規制ではなく、内部管理規程であれば、類例があって(良い)となる。(個情法の体系として)行為規制を細かく規定しておきながら、その一方で、内部管理規程をざっくり作成させるという案は認められないのではないか。第三者提供に必要なポリシーを作成するように、などと変更するのか。
○:「個人情報の取扱いが1万件以上となる場合はプラポリを作成し、認定を受けた企業だけは取り扱ってよい。」といった規定であれば、前回案の、プライバシー・ポリシー(基本方針)を作成させて終わりということにはならないだろう。
○:「適正な利用」の用例として持ち出された景表法の「表示に係る事項の適正な管理」ではどの程度のことを求めているのか。中小企業も義務の対象に含まれるのか。
●:然り。(適宜指針の内容を説明。)
○:当然に行うべきことを求めているのだから、中小企業も含まれるということか。
○:景表法をよく見ると、「表示に係る事項の適正な管理」の違反は勧告・公表止まりとなっていて、罰則まではない。景表法には、措置命令や課徴金の対象となるコアな行為規制が別途存在し、そのコアな行為規制を遵守するために、予防措置を講じるための規定として存在する。補助的な義務の違反であるから、「適正な管理」は勧告・公表止まり、ということなのだろう。
○:行為規制を守るための体制構築(あるいは措置)は当然の前提であり、それを義務として課す例はおよそないのではないか。仮に「第4章第1節の義務を守るために必要な体制整備をしなければならない」と明確化してガイドラインに誘導することができるとしても、ガイドラインでいろいろと規定できるが、ガイドライン(指針)なら勧告・公表止まり。そこまでして独自の条文を付け足したいのか。具体的に行わせることは、プラポリを作り、DPOを設置する、ということであれば分かる。
●:今回の説明資料に記載した具体的な取組のうち、主眼としているのは、法令順守体制の整備というよりは、個人の権利利益の侵害を抑止するための体制の構築の方。努力義務で良いのかについては、内部で検討したい。
○:「必要なことは行ってください。」「事業内容に応じて全事業者が行ってください。」「中小企業であっても、センシティブ情報を扱うのであれば行ってください。」「人がいないので対応できないではだめ。」ということを規定するのか。
○:第1項が努力義務だというのにか。第2項は努力義務でも良いが、全員にやらせるべきことはやらせる。
●:禁止行為を記載するのではなく、「適正に利用しなければならい」では規範の明確性に欠けるか。
○:どのようにすればよいのかが分からない。
○:「権利利益の侵害を行わないように」であればまだどのようなことをすれば良いのかがわかる。
○:自分(の利用)だけではなく、(インターネット上に公表された情報を)見た人も含めてとなると、第三者提供に対しても規定するのかとなる。提供先において、権利利益の侵害のおそれがないようにしなければならない、とした場合、不特定多数の相手に対しては無理ではないか。自分だけではなく、相手にも守らせる必要があるとなると、第三者提供は実質できなくなってしまう。一律義務とするのであれば、提供先を限定させるぐらいしないと無理だろう。
○:努力規定であっても、個人情報を悪用しようとしている人がいればやめるように指導を行うことはできる。現行法にも規定されていないのにはそれなりの理由があるのではないか。
○:結果として権利利益の侵害があって、どういう事案についてどのようにすればよいのか不明確ではないか。実務として事業者も対応できないのではないか。第三者提供を行う際に、権利利益の侵害を行うとは思っていなかった、確認したが嘘をついているとは思わなかった、とできる範囲での確認をさせることはできても、提供先で悪用されることを防ぐことはできないだろう。自分は権利利益の侵害を行わないようにしましょうであれば規定できるだろうが。
○:これらの事情もあって、現行法には規定されていないのではないか。
○:法目的に「個人の権利利益の保護」とあるので、「自分が権利利益を侵害してはならない」「権利利益を侵害しないように配慮しなければならない/努力しなければならない」というようなことは規定できるだろう。開示請求対応義務の例外事由の規定ぶりに倣えば、「本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがあるときは当該取扱を行ってはならない。」のようになるかと思う。おそれがあるときは取り扱っては駄目。
○:「内部的な取扱で~~のおそれがあるときは取り扱ってはならない。」とした場合、例えば、警察からの情報提供依頼は、個人の権利利益の侵害に当たるのだろうか。侵害のおそれはあるが、正当性があるから問題ないとなるのだろうか。例外規定がなくても良いのか、という問題にもなる。
○:条文を日本語として書けるとしても、本当に規定するのであれば例外規定がなければ駄目だと思う。書けたとしてもせいぜい、訓示規定ではないかとも思う。
○:しかし、おそれがある場合でも努力規定になってしまう。おそれがあるのであらば、取り扱わないでくれ、という感情にもなってしまうが。
○:(「利用停止等」の論点では)法違反のとき以外にも利用停止等の請求ができると広げようとしており、利用停止等の条文ですら、請求があった場合には必ず利用停止せよとはしていない。
○:「保有個人データの取扱いによって、当該本人の権利又は正当な利益を害するおそれがある場合」には、利用停止の請求対象になる。請求があれば事業者は、絶対ではないが、それを受任しなければならない。
○:「適正な利用」論点については、請求を待たずして、「本人の権利利益が害されないように利用停止等又は第三者提供の停止を行うように努める」、ないし、「権利利益が害されるおそれがあるときは、利用停止しなければならない」と規定することになるのか。
○:利用停止は請求への対応なので、努力義務ではなく、その場合は、ただし書きが必要になる。
○:「相当な理由があると認められるとき」と裏表で規定できないだろうか。
○:(これまで「利用」との表現に着目してきたが)「利用」と「第三者への提供」をやめるとすべきではないだろうか。第三者提供を行った先で差別がなされる場合もあるので、利用停止とそのような者へ提供をしないように努める。加えて、前項の目標を達するために必要な措置を努力義務とする。という案もあるかもしれない。
○:リクナビ事案について、リクルートが情報を取り扱っている限りでは、差別は生じない。第26条(第三者から個人データの提供を受けた際の確認記録義務)の確認記録の開示請求を行った上で、(当該提供先事業者に対して)利用停止等の請求ができるといえばできてしまう。
〇:また、規律の対象は「個人データ」ではなく、「保有個人データ」とすべきなのかもしれない。努力義務とするのであれば、「個人データ」としても良い(利用停止等の権限を有しない委託先などが義務を履行できなくて良いと整理できる)かもしれないが。
○:条見出しであるが、「権利利益の侵害の禁止」などではないか。
●:不正な取得を禁じている第17条の見出しが「適正な取得」となっているように、「適正な~~」とすることはできないのか。
○:利用や第三者提供の禁止、という趣旨に鑑みると、「利用停止等」となるのではないか。
●:利用停止等以外にも第2項で体制の整備などの要件もあるが。
○:苦情の処理(第35条)も「体制の整備」との語は条見出しで出てこない。
○:とりあえず第30条の2として、条見出しは利用停止等(第30条)と共通見出しで同じで良いのではないか。
開示資料16192頁
「個人の権利利益」が何なのか不明なまま(「世界」での指摘も、法目的からの法解釈が重要とは書いたものの、現在のように法目的が何かを明確には言えていなかった)なので、「適正に利用しなければならい」では規範の明確性に欠け、「どのようにすればよいのかが分からない」という法制局参事官の指摘は、ごもっともである。
なお、この時点では、法制局参事官も個人データ対象で考えており、むしろ、「保有個人データ」とすべきなのかもしれないと述べている。
次に関係するのは、第17回である。
2019/10/31第17回法制局参事官審査録
日時:10月31日(木)10:15~12:30(略)
<個人情報保護計画(新設)>
(略)
○:届出を課す趣旨は何か。
●:個情委に届出した計画の遵守状況等に鑑み、場合によっては執行の対象とするためである。
○:計画を作って届出・公表させることにどこまで意味があるのか。届出については、部長も、「事業者に負担をかけさせてまで、届出のみで済ませるのは制度として完結しておらず、その効果が疑問。」と言っていた。
○:計画はやはり異なる。計画というものは、タイムスパンがあるものであることから、例えば、年に1回定期的に報告させるケースもあるが、本件はそのような性質のものではない。
○:行為規制を課すならば、もっと直接的に規定を設ければよい。内部統制・体制整備を求める場合にはその内容を直接義務付けているはずである(「○○責任者を設置しなければならない」等)。用例集では、商工会及び商工会議所による小規模事業者の支援に関する法律(以下「商工会法」という。)第7条第5項に定める「経営指導員」の記載があるが、これは外部向けサービスの提供のために設けられるものであって、事業者内での取組みを求める本件とは性質が異なる。体制の整備を求めるにしても現行個人情報保護法第20条の安全管理措置の一環とするか、またはそれとは別途規定した場合は個情委がチェックする形とするかではないのか。
○:新旧対照表の第B条第2項第1号の「方針」は基本的には社内的ルールでやるようなもの。第3号は番号法を参照しているようだが、評価させたいならば番号法のように個情委としてきちんとチェックするするスキームとしなければ、評価させる意味が見いだせない。
○:前回は1個人情報保護責任者、2影響評価、3個人情報保護方針、と3本立てであったが、なぜ「計画」として一本化したのか。
●:対象事業者要件が同じ3つを義務付けるにあたり、柱になる制度例として計画に着目した。一括して計画としてまとめて記載させ実行させ、個情委として関与し、公表もさせる、ということとした。
〇:(繰り返しになるが、)当該計画にゴールがなければ、それは計画ではない。また、関与について、届出では足りない。
●:個情委が細かくやり方を規定するのではなく、各事業者において、個人情報を保護するための方針やPIA実施基準等を検討させることで、このような各種取組みを推進させていきたいと考えている。
○:そうであれば、それは法律事項ではなく、ガイドラインで示したり、モデル事業でもやったらどうか。
○:番号法においても、法令において特定個人情報保護評価事項等を細かく示した上で、承認するというスキームを採用している(同法第27条、第28条)。つまり、事業者に対して事前予防の観点から漏えい等の事態が発生するリスクを分析し、そのようなリスクを軽減するための適切な措置を講ずることを宣言させ、これを個情委が承認し、公表することとなっている。本件では、そのような細かい規定も個情委の関与もない。そうであれば現行法第20条の安全管理措置の一環と位置付けて、当該保護措置をとらなかったことについて第20条違反を問いうるのではないか。
○:第20条の安全管理措置の特則という形で、保護評価実施義務を課すのであれば、第20条と両立しうるかもしれない。ただし、その場合でも評価させたまま放置するのではなく、個情委として何らか関与する必要がある。
○:自己評価といっても、その評価が虚偽のものである等不適切な場合も想定され、そのような不十分な評価を排除するスキームがない中、これを消費者が信じてしまい結果不利益を被る事態も発生しうる。番号法においては、行政機関等でさえ評価や個情委による承認という担保があるにもかかわらず、本件はそうはなっておらず、有象無象の民間事業者を対象とする個人情報取扱事業者において、適切に自己評価ができるわけがない。別途「虚偽の評価をしてはならない」等と規定するのにも違和感がある。「自らが自己評価をして公表することを義務付けている」という類例があればぜひ紹介してほしい。
○:つまるところ、個情委の覚悟が問われているのではないか。真面目な個人情報取扱事業者から任意で策定した計画をチェックしてほしいと相談された際に、個情委がそれに応じることで課題やノウハウが蓄積される。これまでに、そのような事例を積み重ねてきて、それを法制化するというのであればまだしも、そういったわけではない。
○:必要性があるならば、計画という形で間接的にやらせるのではなく、その事項を義務づければよい。「自己評価をしておけ」というものであれば、それは安全管理措置に含まれるのではないか。
○:女性活躍推進法は、女性が職業生活において活躍することが望ましいという動機付けを目的としており、計画に基づいて行うものは努力義務。これに対し、本件では個人の権利利益という、保護法益があり、そうであれば何をさせるのかを個別に義務付ければよい。
(略)
○:イメージをそのまま法制化しているようだが、決してそうではなく、類例を参照しつつ法制度として成り立ちうるのかという観点から検討してほしい。
○:義務付けるのであれば義務付ける内容も明確に規定する必要があり、その内容を義務の対象者に考えさせるというものでは制度として成り立たない。類例があれば議論を続けるが、管理者/責任者の典型例をベースに再考してはどうか。安全管理措置は、技術の進歩もあり概括的な条文にならざるを得ないが、自身の義務履行のために自身で計画を立てさせるというような例はないのではないか。
○:考えられるパターンとして、PIAについては、1番号法のように評価項目等細かく規定、2第20条の安全管理措置の一環としてガイドラインで明示、DPOであれば、(道交法のような)管理者制度を採用する、というものが考えられる。他方で、現案のような行為規範を守るために計画を策定させる、という制度は厳しいのではないか。また、1について個情委による承認制度を採用しないのであれば、番号法とは異なる制度とする理由を論証する必要がある。その場合、負担が重い等の理由はダメ。
○:計画とするならば、タイムスパンやゴールがあるものであり、その中身を実行させるなら、それをそのまま正面から規定すべき。ガバナンスについても、何をやるのか/どのような管理をするのかまで規定する必要があり、丸投げするようでは法律事項ではない。いずれにしても、認定個人情報保護団体のような緩い制度を創設するならまだしも、個人情報取扱事業者に対して義務を課すならば、その義務の内容を明確化すべきであるし、それに対して個情委はどう対応するのかというところまで、検討してほしい。
開示資料16200頁
この日の審査を踏まえ、個情委事務局は以下のメモを残している。(「10月30日」とあるが31日の誤記と思われる。)
個人情報の保護に関する法律等の一部を改正する法律案
令和元年10月30日審査における指摘事項とその対応について
個人情報保護委員会事務局(略)
<新個人情報保護法第A条>
○ 個人情報保護評価の実施や管理責任者の選任を事業者に求めるのであれば、指針や計画の策定を通じてではなく、直接に義務付けるべきではないか。また、事業者による不適正な利用を制限するのであれば、体制整備義務ではなく、禁止規範を課すべきではないか。
→ 御指摘を踏まえ、修正。開示資料15918頁
これによって、当初のふわっとした構想が許されなくなり、厳格な禁止規定を設ける方向へと転向した。しかし、何を禁止すべきなのかは不明なままであった。
次に出てくるのは、第21回法制局参事官審査録である。ここから雲行きが怪しくなってくる。
2019/11/13 第21回法制局参事官審査録
<適正な利用に必要な体制整備等の義務化等>
日時:11月13日(水)17:35~18:55
(略)○:景表法が下敷きになっているということで良いか。
●:然り。
○:景表法は不当表示の規制が中核にあって、それを守るためにどのような措置を採るべきかという構成になっている。どのような表示の管理を行えばよいかということを法律で細かく記載するのは難しいので、ふんわりとした記載となっている。ふんわりとした記載なので、それに対しては勧告・公表止まりとなっている。不当表示という中核的規制に対しては、課徴金まで科される構成となっている。
○:個情法では、第4章第1節に規定されている内容が、「適正な利用を行うために必要な措置」としての行為規制ではないか。「適正な取扱いの確保を図る」ために列挙された第4章第1節の行為規制に不足があるのであれば、行為規制を新たに追加するべきなのではないか。行為規制を促すための義務も設けるのであれば、促すための義務として表現すべきなのではないか。
○:そういった意味で、いただいた案1と案2では、案1の方が良いが、案1は、景表法とはパラレルな構造になりにくく、中途半端になっている。案1の第2項の規定ぶりだと、第1項の行為規制の順守のための体制整備義務には見えず、第4章第1節の義務を守らせるための体制整備義務のように見える。
○:「第4章第1節の義務の履行を確保するために体制を整備しなければならない」とする形であれば、体制整備義務を規定することも、あり得るかもしれない。しかし、指針を作成して具体的な体制を記載したからといって、それが行為規制になるわけではない。
○:案1と案2はパラレルで規定したいのか。
●:そのような趣旨ではない。
○:第30条の2として規定するのが良いかは別として、第2項中の「本人の権利利益が害されることのないよう~必要な措置」との表現では、第4章第1節の内容そのものを言っていることになるのではないか。第4章第1節全体を対象とした義務とするのか。体制整備についてまで義務として課す場合、堀永補佐が検討しているDPO設置義務との関係はどのように整理されるのか。
○:DPO設置義務は大規模な事業者に限定して課されるものであるが、第30条の2第2項で規定する体制整備要件は、全事業者に課すため、重複していないともいえる。しかし、体制の整備を全事業者に対して義務付ける規定を設ける一方で、一定の基準以上で管理者の設置義務を規定する、といった類例はあるのか。
○:DPO設置義務の用例として持ち出された風営法や道路運送法は、お店や事業所ごとに責任者を置かせるものであるが、そうではなく、電気通信事業法のように全社的な責任者を置かせる類例に従う必要がある。
○:電気通信事業法においては、全社的な管理者に規程を定めさせ、規程に問題があれば当局が指示して直させる規定となっている。また、これに倣えば、事業者に規程を策定させて終わりではなく、当局がチェックをする必要があるだろう。事業所単位ではなく、全社的な責任者として定めるのであれば、そのように構成する必要がある。
○:第30条の2第2項以降の体制整備義務とDPO設置義務との関係を、どのように整理するのか。一つのタマとして、どのように描くのか検討する必要があるのではないか。
○:道路運送法の運行管理者のようにするに規定するにしても、当局への届出は必要だろう。第30条の2の指針に「管理者」を定めることではだめなのか。指針に記載するのではなく、(DPOを)法定化する必要があるのか。
○:措置義務は、景表法やパワハラ防止法などにおいてみられるが、それらはいずれも勧告・公表止まりではないか。個情法も同様とした場合、勧告止まりとなるが、(勧告前置の命令として構成されている)個情法の法体系として、おかしくなるのではないか。
○:(第2項以降の)体制整備を義務化するとした場合、中小企業へも一律に義務付けるのか。
●:然り。
○:第30条の2第1項(不適正な利用の禁止)と第2項(体制整備)以降は切り離すべきではないか。
〇:第1項については、第4章第1節の行為規制には違反しないが、一般的には不適正な事案があるから、新たに行為規制を追加するという整理になるのか。
○:第1項の「利用」の中には、第三者への提供も含まれるのか。
●:含まれるが、ここでは、第30条との並びを考慮し、「利用又は提供」とした。前回の審査において、利用停止等(第30条)との並びについて指摘されたことから、そのようにした。
○:この条文を入れるとしても、どのみち(利用停止等を規定した)第30条よりも前だろう。一連の行為規制の前に置く必要があるのではないか。第16条の直後に、第16条の2として置くべきではないか。
○:「利用」に含まれない「取扱い」として何があるのか。
●:取得、保管、廃棄が考えられる。
〇:「保管」は「利用」に含まれるのではないのか。
●:含まれる。
○:権利利益を害するおそれのある個人データの保管や、公序良俗に反する個人データの保管とは、どのようなものなのかわからない。もし、漏えい等の可能性が高いようなことであれば、それは第20条の安全管理措置違反になるのではないか。廃棄も同様だろう。取得についても、第17条で「適正な取得」が規定されている。これらのことから、「取扱い」ではなく「利用」で良いだろう。
○:第三者提供も「利用」に含まれるのであれば、「利用又は提供」ではなく、「利用」だけで良いだろう。
●:案1(権利利益の侵害のおそれ)とした場合、「権利利益が害されるおそれがあるとき」では広く読めすぎるのではないかと懸念しているが、問題はないか。妥協案として、案2(公序良俗違反のおそれ)もあり得るのではないかとも考えている。
○:「権利利益が害されるおそれ」については、社会通念に照らして判断されるのではないか。第28条の例外事由の解釈も、同様の整理なのではないか。
○:案1は「利用により、~おそれ」、案2は「おそれのある利用の方法」という表現の違いがある。案2のように、「方法」に着目する方が良いだろう。利用目的が良くても利用の方法が悪ければ、不適正となる。利用目的が悪い場合には、その利用目的は本人に通知又は公表しているので自然と淘汰されるべきものとして考えられているのだろう。従って、利用の「方法」に着目した規制を追加する、という形が自然だろう。
○:その上で、両者の違いは、案2の公序良俗に着目する一方で、案1の権利利益に着目した規制を行うということになる。どちらの場合でも、ただし書きは必要だろう。
○:案1は、「利用により~おそれ」との表現では、個別の保有個人データに着目しているように見えてしまう。このデータを使用した場合、本人の権利利益を害するおそれがあるので駄目、と規定しているようにも見える。これだと、病歴なども扱ってはいけない、となりかねない。したがって、やはり、「利用」ではなく、「方法」に着目する必要があるだろう。規定ぶりとして、「権利利益を害するおそれのある方法により」となるのではないか。公序良俗違反については、どのような用例があるのか。
●:まず、直接に公序良俗違反行為を禁じた用例はみられない。その上で、特許法などで、公序良俗に反する内容の申請を許容しない例や、金融の業法などで、公序良俗を害するおそれのあるものは適格要件を満たさないとしている例、公序良俗に反する運送を拒絶禁止の例外とする例などが、みられる。
〇:これらの用例を見ると、猥褻といった方向に近いのだろう。これは、今回の論点で、個情委がやりたいこととは異なるのではないか。
○:法目的で「権利利益の保護」と謳っている以上、権利利益に着目するのが良いだろうな。対象を「本人」とするのか、「個人」とするのかという点もあるが。「本人or個人の権利利益を害されるおそれがある方法により個人情報を利用してはならない」となるのではないか。「生命、身体、財産その他の権利利益」とするか、利用停止等の新5項のように「権利又は正当な利益」とすべきかについては、検討してもらいたいが。
〇:また、第16条との並びで、「保有個人データ」ではなく「個人情報」とすべきだろう。
○:(第2項以降の)「適正な利用」を確保するための体制整備義務には、強いこだわりがあるのか。強いこだわりというほどではないのであれば、体制整備義務は、第4章第1節の義務の履行を確保するための役割を持つ責任者としてのDPOの設置義務に一本化した方が良いかと思う。
●:それは、第2項が、第4章第1節の義務の履行のための体制整備義務だと解した場合の議論に限定されるか。第1項の規定を担保するための体制整備義務として第2項を位置付けても、同様の議論になるのか。
○:第2項は、「適正な取扱い」を確保するための体制整備義務であるから、結局第4章第1節の義務の履行のための体制整備義務となるのではないのか。
〇:この体制整備義務は、中小企業にも課す予定なのか。
●:景表法の例にも照らし、中小企業であっても、(大企業とは)程度の差こそはあれ、対応できると考えている。
○:景表法の場合でも、全事業者に対して措置義務を課しているが、中小事業者に対して求める措置も、指針で定めている。
○:個情法で行おうとしていることは、勧告・命令だけではなく、罰則までだと思うが、指針に定めたことを履行していないものに対して罰則まで科す例があるのか。景表法並びで勧告止まりでも良いとするのか。個情法なら勧告前置の命令・罰則もできるのである、という説明ができるなら話は別だが。
○:指針で色々と書かせるのであれば、管理者の設置も指針に明記すれば良いのではないか。
〇:また、DPOの設置基準に裾切り要件を設けることについて、平成27年改正で5000人要件を撤廃した経緯がある手前、裾切り要件を復活させることも、どうかと思う。自分のところで止めるつもりはない(部長には一度上げることは可能だ)が。
○:逆に、DPOの設置義務を法定するのであれば、全社的な責任者を規定した電気事業通信法に倣う必要があるのではないか。中小企業は対応できないかもしれないが、管理者を中心とした体制整備が必要だと説明するのではないか。
○:DPOを中心とする体制が必要と言っている一方で、対象事業者にならなくなった途端に、第2項のフワッとした体制整備義務が課されるのは変。せいぜい、中小企業(DPO設置義務の対象とならない事業者)は、DPO設置の「努力義務」を置く程度なのではないか。
〇:逆に、第2項のフワッとした体制整備義務が基本としてあった上に、一定の事業者に対してDPO設置義務を課すというのも重畳感がある。
○:ちなみに、PIAの法定化は、どうするのか。
●:PIAについては、法定化するのではなく、ガイドラインで対応する方向で検討が進められている。番号法のように、細かな様式などを規定した制度を、個情法においても構築するのは、難しいと考えている。
(略)
○:事業者へ対してのPIA義務は措置しないという方針で良いのか。
●:然り。
○:プライバシーポリシーも体制整備要件に含めるということか。
●:プライバシーポリシーについては、それに載せるべき事項を第27条ないし政令第8条の公表事項として直接規定できないかと考えている。本日投げ込んだ資料を参照されたい。
○:投げ込んでいただいた資料の法律の内容(住所や代表者の氏名)は承知した。しかし、何でもかんでも公表事項とすれば良いというわけではない。政令に書いて、それを義務とすることは認められない。
○:事業者によっては、何らかの措置を講じているかもしれないが、前提として、講じる「義務」があるものについて、「公表」させるのではないか。例えば、「データの処理方法」について公表させるなら、データの処理方法に関する個別具体の記録を残させるような義務を設置すべきだし、第三者提供の確認記録義務についても、今回の改正で開示の請求対象にしようとしている中で、第三者提供先や提供元の氏名等をいきなり公表させることはできるのか。制度的に裏付けられているものか、当然にやっているものないしすぐ出せるもの(氏名等)でないと、公表事項として列挙できないのではないか。(その観点から、第35条第2項の苦情の処理の体制整備が努力義務である一方で、苦情の申し出先が公表事項として規定されていることは、どう説明されるのだろうか。)公表事項に追加されたとしても、「なし」というものになってしまわないか。
○:プライバシーポリシーを作らせたいなら、作れという規範を設ける必要がある。先日も議論したが、内部を統制する種類のものであれば、「指針」というよりは「規程」とすべきではないか。規程(内部ルール)に違反した従業員がいれば、責任を取ってもらわなければならないような内容を定めるのではないか。措置義務で推奨する程度ではなく、きちんと正面から取り組ませるのであれば、「規程」とすべきなのではないか。
○:適正な利用の体制整備について、ふんわりと法律で定めて、「管理者を決めなさい」と義務付けるのはおかしいのではないか。個別実態に即して様々であるので、目安をガイドライン等で示して、あとは事業者が柔軟に対応すべき、という規範になるのであって、(ふんわりとした体制整備義務を設ける中で)管理者だけを特出しして設けることを義務付けるのはおかしいのではないか。また、体制整備義務について、指導のみでもよいのであれば別だが、命令・罰則まで行うのは難しいのではないか。
○:案1の第1項だけ切り離すのであれば、部長一読の1便に乗せることはできるのではないかと思う。
開示資料16217頁
「「保有個人データ」ではなく「個人情報」とすべき」という指摘が出てきた。「処理の方法」を公表事項とすることにも否定的となっている。
この時までに提出(投げ込み)されていたと思われる案は、以下のものと思われる。
案1
(不適正な利用等の禁止)
第30条の2 個人情報取扱事業者は、保有個人データの利用又は提供によって、本人の生命、身体、財産その他の権利利益が害されるおそれがあるときは、当該保有個人データを利用し、又は提供してはならない。ただし、他の法令に違反することとなる場合その他正当な理由がある場合は、この限りでない。2 個人情報取扱事業者は、本人の権利利益が害されることのないよう、個人情報を適正に利用又は提供するために必要な体制の整備その他の必要な措置を講じなければならない。
3 個人情報保護委員会は、前項の規定に基づき個人情報取扱事業者が講ずべき措置に関して、その適切かつ有効な実施を図るために必要な指針(以下この条において単に「指針」という。)を定めるものとする。
4 個人情報保護委員会は、指針を定めたときは、遅滞なく、これを公表するものとする。
5 前項の規定は、指針の変更について準用する。
案2
(公序良俗に反する利用方法の禁止)
第16条の2 個人情報取扱事業者は、公の秩序又は善良な風俗を害するおそれのある方法により個人情報を取り扱ってはならない。開示資料1429頁
「権利利益」一般、「公序良俗」に広げたため、もはや元の趣旨が何だったか、わからなくなってしまっている。
この日の審査を踏まえ、個情委事務局は以下のメモを残している。
個人情報の保護に関する法律等の一部を改正する法律案
令和元年11月13日審査における指摘事項とその対応について
個人情報保護委員会事務局(略)
<新個人情報保護法第30条の2等>
○ 不適正な利用等の禁止については、利用全般に係る規制であり、第16条(利用目的による制限)の次に第16条の2として規定すべきではないか。また、適正な情報管理に必要な体制整備について、他の法令では、管理責任者の選任等が求められているのではないか。
→ 御指摘を踏まえ、修正。(略)
開示資料15928頁
これによって、元々「個人データ」を対象に構想していた「適正な利用」が、「個人情報」を対象とした不適正利用禁止規定に変容してしまった。
こうして元の趣旨の前提であった「個人データ」の錨を失った「不適正利用禁止」は、文言だけで一人歩きし、漂流していくことになる。
こうして、部長(内閣法制局2部長)向けの「説明資料」(11月18日付)が作成された。
個人情報の保護に関する法律の一部を改正する法律案(仮称)
説明資料 令和元年11月18日
個人情報保護委員会事務局(略)
不適正な方法による個人情報の利用の禁止(新設)
I 改正の背景・趣旨
1 個人の権利利益が害されるおそれのある方法による個人情報の利用の実態
昨今の急速なデータ分析技術の向上(アルゴリズムの複雑化・ブラックボックス化)等を背景に、個人情報を取り扱う事業者自身が十分に予期できるか否かに関わらず、潜在的に個人の権利利益の侵害につながる(本人が予見し得ない形で不利益を被る)ことが懸念される個人情報の利用の形態がみられるようになり、消費者(個人)側の懸念が高まりつつある。そのような中で、特に、現行法の規定に照らして明らかに違法とまでは断定できないものの、本法の法目的である個人の権利利益の保護の観点から、看過できないような方法で個人情報が利用されているとして、社会的な批判を浴びるような事例が、一部において、みられるようになった。
(略)
II 本人の権利利益が害されるおそれのある方法による個人情報の利用の禁止の新設(新法第16条の2関係)
本人の生命、身体、財産その他の権利利益が害されるおそれのある方法により、個人情報を利用してはならないことを、個人情報取扱事業者に義務付ける。ここで、「本人の生命、身体、財産その他の権利利益」とは、法第18条第4項第1号及び第 28条第2項第1号と同様に、本人に関する法律上の保護に値する利益一般をいい、例示されたものに限定する趣旨ではない。具体的には、上記Iで取り上げたような事例に鑑み、(本人が予測し得ない形で発生し、かつ、不特定多数の者によって引 き起こされ得る)本人に対する差別や、(違法な行為を営む者からの接触による)本人の平穏な生活を送る権利の侵害などが想定される。ここで、「害されるおそれ」としているのは、法第!8条第4項第1号及び第28条第2項第1号に規定される「害するおそれ」と同様に、利用によって具体的な支障の発生は将来生ずるものであることによる。この場合、「おそれ」とは、物理的、確率的な可能性ではなく、社会通念による蓋然性の有無の判断による。
ただし、他の法令に違反することとなる場合(捜索差押への対応への結果として、本人の逮捕が予見される場合等)や、本人との間で契約を締結している場合(与信審査の結果として、本人が融資を受けられないと判断される場合等)など、個人情 報取扱事業者がこうした個人情報の利用を行うことに正当な理由がある場合については、本義務の適用除外とする。
開示資料1999頁
この時点では、内容は10月25日と変わっていない。
条文案は以下のものであった。
(不適正な利用の禁止)
第16条の2 個人情報取扱事業者は、本人の生命、身体、財産その他の権利利益が害されるおそれのある方法により個人情報を利用してはならない。ただし、他の法令に違反することとなる場合その他正当な理由がある場合はこの限りでない。開示資料1940頁
この時点では、まだ、当初の構想を維持していたとも言い得る。「おそれのある方法により」の「方法」は、元々はアルゴリズムなどプロファイリングのことを想定していた(公表事項で「処理の方法」を書かせることを想定ていた)ものだった。
これに対しての法制局の検討では、次のように法制局参事官からコメントがあったと記録されている。
2019/11/19 第25回法制局参事官審査録
日時:11月19日(火)20:00~22:20(略)
<適正利用及び利用停止等の要件の拡大について>
○:適正利用と利用停止等については、同一の指摘。「本人の権利利益が害されるおそれ」というのは、明確性・予見可能性に欠けている。許しがたい立法事実があることについては部長に理解をしていただいたが、その対応としての規定が大鉈すぎるとのこと。
○:最初、部長は両規定について、裁判官に決定権を委ねる裁判規範との認識だったため、委員会が執行する行政規範でもあると説明したところ、そうであれば違反となる基準を明確にすべきであると指摘された。裁判規範であれば、一定程度裁量のある規定となっても許される。行政規範は裁判規範に比べ裁量性が少ない。
○:第30条は裁判上の請求権ではあるが、委員会も執行する規定であるという理解でよいか。
●:第42条の勧告・命令の対象として第30条違反が含まれているので、委員会が執行する規定でもある。
○:その点については、部長に再度詳細に入れておく必要がある。平成27年改正で、裁判上の請求権であることが明確化された経緯を含め加筆してほしい。
●:行政規範と裁判規範で裁量性に違いがあるというのは、どのような論理構成なのか。行政規範は官民の関係を規律するもので、裁判規範は民民の関係を規律するものであるという前提に立てば、抽象的な行政規範を立てると事業者に萎縮的な効果があり、公権力による過度な規制になるということか。
〇:おそらくそういうことだと思う。
●:新30条5項は、民民の関係において、裁判上の請求権を明確にするものであり、裁判規範であるところ、「おそれがあるとき」などの解釈の幅がある規定ぶりでも良いのではないか。著作権法や特許法も同じような用例で、民事上の請求権を認めている。
〇:新30条5項が裁判規範だとしても、6項は勧告・命令の対象であり、行政規範でもある。「おそれがあるとき」という抽象的な要件で事業者は請求を受け、それを6項の規定に基づいて処理しないと、行政の勧告・命令の対象となる。その意味で、6項が行政規範としてある限り、事業者の萎縮効果がある。
●:事前の一般的抽象的な規範が、事業者に対して萎縮効果があるということなのかと思うが、新30条6項は、事前の一律の規範ではなく、個々の保有個人データの取扱いに対し、具体的な侵害のおそれがあったときに、その請求に応じなければ、委員会も権限を行使しうるという点で、新16条の2よりはゆるやかな規制だと思うが。
〇:新16条の2であっても、新30条6項であっても、要件が抽象的で事業者に萎縮効果があるという点では変わらない。
○:「正当な利益」については主観的であるとの指摘を受けた。ある個人にとっては気にしないようなことを、別の個人にとっては問題となるケースがあり、不明確である。
●:そもそも個人情報の取扱いというのは、精神的なものでもあり、個別具体的に判断せざるを得ない。
〇:また、この書きぶりで、DMの事例について対応できるのかは疑問を抱いていたようであった。それであれば、DMを送ってはいけないという行為規制の条項を新設して、その条項違反について30条1項に足すべきではないか。
○:いずれにしても、裁判規範でなく、行政規範なのであれば、違反となるものについての基準を明確に規定するべきであり、禁止する行為を具体的に列挙すべきとのことであった。部長の感覚としては、第16条の2の適正利用において禁止する行為を具体的に列挙し、同条違反について、第30条1項に追加する形だと思う。部長は適正な利用も利用停止等も趣旨は理解されているが、事業者が何を守ればよいのか分からない、個情委が執行を行う上で、禁止する行為の基準を設けるであれば、禁止する行為を具体的に正面から記載すべきだろう、記載できないのであれば、規範の明確性に欠けるものであり、執行できないものと考えている。
●:適正利用と利用停止では、想定している立法事実が異なり、適正利用の方が限られた事例であると思うが、その点はいかがか。
○:適正利用の立法事実と利用停止の立法事実の双方をとらえられる形で禁止する行為を具体的に列挙すればよいという話にしかならない。
●:不正競争防止法では、利益侵害のおそれがある場合に差止請求を認めている規定がある。そのような用例を引きつつ、裁判規範として新30条5項を残すことは可能か。
○:禁止する行為を具体的に列挙せずに、請求を認めている例があるのであれば、再度それで部長に当たることは可能だが、難しいとは思う。著作権法や不競法は民事上の裁判規範であり、個情法は行政規範という違いもある。
開示資料16237頁
その後、11月28日付で「説明資料」が更新され、条文案は以下のものに変更されている。
(不適正な利用の禁止)
第16条の2 個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれのある方法により個人情報を利用してはならない。開示資料3094頁
この条文は成案とほぼ同じで、この後で変更されたのは、「おそれの」が「おそれが」に修正された点だけである。
「説明資料」では以下のように説明されていた。なぜこのように変更されたかを示す記録は見つからない。
個人情報の保護に関する法律の一部を改正する法律案(仮称)
説明資料 令和元年11月28日
個人情報保護委員会事務局(略)
不適正な方法による個人情報の利用の禁止(新設)
I 改正の背景・趣旨
1 個人の権利利益が害されるおそれのある方法による個人情報の利用の実態
(略)
2 改正の必要性
上記の事例における個人情報の利用(提供を含む。以下同じ。)の態様は、いずれも、違法な行為や不当な行為を助長し、又は誘発するおそれがあるものであるといえる。
すなわち、事例,砲弔い討蓮官報に掲載された破産者の個人情報を、本来の目的から逸脱した目的でデータベース化し、それを不特定多数の者が閲覧することのできる形で公表することは、当該個人情報に係る本人に対する差別等の違法又は不当な行為が誘発されるおそれを著しく高めるものと考えられる。
事例△砲弔い討蓮違法な行為を営むことが疑われる者(違反業者)に個人情報を提供することは、本人に対する突然の連絡や接触により、平穏な生活を送る権利を侵害する等の違法又は不当な行為が助長されるおそれを著しく高めるものと考えられる。
こうした違法又は不当な行為が実際に行われた場合は、当然に、当該個人情報に係る本人の権利利益が侵害されることとなる。
したがって、こうした社会通念上、適正とは認め難い方法による、個人情報の利用を、個人情報取扱事業者に禁止する必要があるものと考えられる。
II 違法又は不当な行為を助長し、又は誘発するおそれのある方法による個人情報の利用の禁止の新設(新法第16条の2関係)
違法又は不当な行為を助長し、又は誘発するおそれがある方法により、個人情報を利用してはならないことを、個人情報取扱事業者に義務付ける。
ここで、「違法」とは、法令に違反することをいう一方で、「不当」とは、行為ないし状態が、実質的に妥当を欠くこと又は適当でないことをいい、違法であることを必要としない(「違法」に対する観念として用いられる場合には、単にその行為が道徳上非難されるべきというにとどまる場合等、法令の規定に違反しているとはいえないものの、その制度の目的からみて適当でないということを意味する。「不当」への該当性は、個々の場合について、社会通念に照らして、具体的に判定される。)(角田他「法令用語辞典第10次改訂版」)。
また、「助長」とは、ある傾向を更に著しくすることをいい、「誘発」とは、ある事柄が原因となり、それに誘い出されて他の事柄が起こることをいう(新村「広辞苑(第六版)」等)。よって、「違法又は不当な行為を助長する方法による個人情報の利用」とは、個人情報の利用が、直接に、既に存在する特定の違法又は不当な行為をさらに著しくすることを意味する一方で、「違法又は不当な行為を誘発する方法による個人情報の利用」とは、個人情報の利用が原因となって、違法又は不当な行為が新たに引き起こされることを意味する。
「違法又は不当な行為」の具体例としては、上記Iで取り上げたような、)椰佑予測し得ない形で発生し、かつ、不特定多数の者によって引き起こされ得る本人に対する差別(民事上違法と評価され得る行為と考えられる。)や、違法な行為を営む者等からの突然の接触による本人の平穏な生活を送る権利の侵害(複数の判例において認められている、いわゆる人格権や平穏安全な生活を営む権利等の侵害に当たると評価され得る不法行為と考えられる。)等が想定される。
なお、法第2条第7項に規定する「保有個人データ」の定義から除外される「その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの」として、同項の規定に基づく施行令第4条第2号において、「当該個人データの存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれがあるもの。」と規定されている。同号に該当する個人データの例としては、)塾話津の反社会的勢力による不当要求の被害等を防止するために事業者が保有している、当該反社会的勢力に該当する人物を本人とする個人データや、不審者や悪質なクレーマー等による不当要求の被害等を防止するために事業者が保有している、当該行為を行った者を本人とする個人データ等が想定されている。
この点、「おそれ」としているのは、利用によって具体的な支障の発生は将来生ずるものであることによるものであり、「おそれ」とは、物理的・確率的な可能性ではなく、社会通念による蓋然性の有無の判断によるものである。
III 不適正な方法による個人情報の利用の場合の利用停止等の請求(新法第30条第1項関係)
(略)
この点、新法第16条の2に規定する「違法又は不当な行為を助長し、又は誘発するおそれがある方法によ」る個人情報の利用については、個人の権利利益の侵害を発生させるおそれがあるために禁止されるものであることから、同条の規定に違反している場合についても、利用停止等を認めることとし、個人の権利利益の保護を図ることとするものである。
開示資料2732頁
この説明からすると、施行令4条(現在の5条)「保有個人データから除外されるもの」(開示等請求権からの除外)を列挙した2号「当該個人データの存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれがあるもの。」を参考にしたようである。
これは全く関係のない(趣旨に関連がない)ところからの借用のようだ。元の趣旨からは完全に離れてしまった。
これを検討した、第32-1回法制局参事官審査録では、以下のように記録されている。
2019/11/29 第32回-1法制局参事官審査録
日時:11月29日(金)19:30~22:30(略)
<適正利用及び利用停止等の要件の拡大について>
○:第16条の2の適正利用については、直罰の規定ではないので、ぎりぎり良いということとなった。まだ要件は広いが、まあしょうがないとのこと。
○:第30条の利用停止については、必要性については理解していただいた。しかし、要件がまだ広く、何でも該当してしまうのではないかという懸念を持っている。私から「現行法で第17条の適正な取得違反について利用停止等を認めているところ、それなりに広い要件ではないか」と反論したが、部長から「第17条については詐欺であったり欺罔であったりと明確だろう」と言われてしまった。
○:また、GDPRにおいても、個人データが収集された目的との関係で必要のないものとなっている場合等の限定がかかっているではないか、との指摘があった。やはり規定の不明確さについて懸念があるので、2つほど、「本人の権利又は正当な利益が害されるおそれがあるとき(場合)」の例示を条文に加えてほしいとのこと。第16条3項のように「生命、身体、財産その他の権利利益」というイメージかと伺ったところ、それでは広すぎると言われた。権利利益の例示ではなく、権利利益が侵害されるおそれがある場合の例示が必要。
○:規定ぶりとしては、「本人は、個人情報取扱事業者に対し、Aの場合、Bの場合、その他当該本人が識別される保有個人データの取扱いにより当該本人の権利又は正当な利益が害されるおそれがある場合は、当該保有個人データの利用停止等又は第三者への提供の停止を請求することができる。」という形ではないか。問題は例示としてどのような場合を規定するかである。ダイレクトメールの事案については、部長はあまり納得していなかった。30条でそもそもダイレクトメールが止まるのだろうかという問題意識。
●:第20条の安全管理措置違反のようなものとして、漏えいのおそれがある場合や、第19条の消去努力義務違反のようなものとして、個人データが不要となった後も保有し続けている場合等を規定するのはどうか。後者はGDPRにおいても規定がある。
○:その方向で条文を検討してほしい。説明資料にも追記すること。
○:また、第30条については、民事訴訟と行政訴訟で判断が分かれる可能性があることについて部長から少しコメントがあった。同一の規定に関する訴訟であるのに判断が分かれることについて、少し気にしているようである。次回の資料には記載する必要はないが、平成27年改正時の整理等を確認できればしておいてほしい。
開示資料16253頁
このようにして、利用停止についても、大元の趣旨(プロファイリングの拒否)からは違うものとなった。*5
概ねこの「説明資料」に基づいて「大綱」(12月13日)が公表され、1月14日までの期限でパブコメにかけられた。
次にコメントが出たのは、1月23日の法制局参事官審査録(もはや第何回なのか書かれていない)である。
2020/1/23 法制局参事官審査録(部長デブリ)
日時:1月23日(木)20:30~22:50(略)
<不適正な利用の禁止・利用停止等>
○:第16条の2について、不当な行為とはどのような行為なのかを個情委は判断できるのか。どこからが個情委が対応すべき不当な行為として線を引くのか、と指摘されている。
○:個情法の政令で言い回しはある、と説明したが、政令作成当時、不当な行為とはどのようなものをイメージしていたのか。
●:説明資料(P.28)の「)塾話津の反社会的勢力による不当要求の被害・・・・不審者や悪質なクレーマー等による不当要求の被害等を防止するため・・・」としているようなものを念頭にしている。
○:不当要件はどのようなものか。
○:暴対法違反は不当になるだろうが、クレーマーについてはどのように対応するつもりなのか。
○:暴力団員が法律に違反していないが、圧力をかけてきた場合、それは暴力団員であるということをもって平穏な生活を害されるおそれがあると考えられ不当と言えるだろう。
○:悪質なクレーマーの場合、業務妨害となるような場合、それは法律の違反であったり、民事上の裁判をおこすべきものではないのか。
○:そもそも「第30条第5項について、安定的に運用できるのか。個情委は権利利益の侵害の該当性判断をすることができるのか。裁判所が判断するといっても、個情委が勧告・命令を行うのであれば個情委が判断する必要があるだろう。」との指摘があった。
○:第30条第5項は権利利益の侵害なので、不法行為の範囲内ではあるが、第16条の2は「不当な行為」とあるので、第30条第5項以上に曖昧。違法とまではいえないが、「不当な行為」とは何を指すのか。
○:また、プロファイリングについて公表事項とし、それについて、個人が気持ち悪さを感じたとしたら、それは権利利益の侵害があるとして、利用停止の対象となるのか。部長は、もともと線引きが曖昧な利用停止が、プロファイリングの問題の曖昧さと組み合わさることで、さらに曖昧になり客観的な判断が困難になることを危惧しているようである。
○:権利利益の侵害に該当するものについて、ガイドラインにどのように記載するか等について、説明資料に追記してほしい。
○;部長が、「長官が第30条について、疑義を覚え始めている。」といっていた。
開示資料16358頁
これを受けて、1月27日付の「説明資料」が以下のように加筆されている。(下線部が変更点)
II 違法又は不当な行為を助長し、又は誘発するおそれのある方法による個人情報の利用の禁止の新設(新法第16条の2関係)
違法又は不当な行為を助長し、又は誘発するおそれがある方法により、個人情報を利用してはならないことを、個人情報取扱事業者に義務付ける。
ここで、「違法」とは、(略)
また、「助長」とは、(略)
「違法又は不当な行為を助長し、又は誘発するおそれがある方法により、個人情報を利用してはならない」との規定に違反するものと考えられる例として、以下のような事例をガイドラインにおいて示すことを予定している。
裁判所による公告等により散在的に公開されている個人情報を、それが公開されている目的とは乖離した目的をもって集約し、当該個人情報に係る本人に対する差別(民事上違法と評価され得る行為と考えられる。)が、不特定多数の者によって、当該本人の予測し得ない形で誘発されるおそれがあることが十分に予見できるにもかかわらず、当該集約した情報について特定の個人情報を検索することができるように体系的に構成したものをインターネット上で公開すること。
違法な行為を営むことが疑われる者(違反業者)からの突然の接触によって、本人の平穏な生活を送る権利の侵害(複数の判例において認められている、いわゆる人格権や平穏安全な生活を営む権利等の侵害に当たると評価され得る不法行為と考えられる。)等当該違反業者による違法な行為を助長するおそれが想定されるにもかかわらず、当該違反業者に当該本人の個人情報を提供すること。
暴力団員により行われる暴力的要求行為等不当な行為(暴力団員による不当な行為の防止等に関する法律(平成3年法律第77号)第14条第1項に規定する不当要求をいい、同法第9条の規定により禁止される暴力的要求行為(「違法な行為」)に限定されない。)や総会屋による不当な要求を助長し、又は誘発するおそれが十分に予見できるにもかかわらず、事業者間で共有している暴カ団員等に該当する人物を本人とする個人情報や、不当要求による事業者及び使用人等の被害を防止するために必要な業務を行う各事業者の責任者の名簿等を、みだりに開示し、又は暴力団等に対しその存在を明らかにすること。
なお、法第2条第7項に規定する「保有個人データ」の定義から除外される「その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの」として、同項の規定に基づく施行令第4条第2号において、「当該個人データの存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれがあるもの。」と規定されている。同号に該当する個人データの例としては、)塾話津の反社会的勢力による不当要求の被害等を防止するために事業者が保有している、当該反社会的勢力に該当する人物を本人とする個人データや、不審者や悪質なクレーマー等による不当要求の被害等を防止するために事業者が保有している、当該行為を行った者を本人とする個人データ等が想定されている。
この点、「おそれ」としているのは、利用によって具体的な支障の発生は将来生ずるものであることによるものであり、「おそれ」とは、物理的・確率的な可能性ではなく、社会通念による蓋然性の有無の判断によるものである。
III 不適正な方法による個人情報の利用の場合の利用停止等の請求(新法第30条第1項関係)
(略)
開示資料9728頁
これに対し、同日の法制局参事官審査録で、以下のように指摘されている。
2020/1/27 法制局参事官審査録69(部長投げ込み準備)
日時:1月27日(月)21:20~23:30(略)
<不適正な方法による個人情報の利用の禁止>
○:不当要件のガイドライン規定例として暴対法を引用しているが、参照条文として説明資料中にも引用してほしい。
〇:個情法施行令の制定時にも暴対法の不当要求の規定を引いて整理されていたのか。
●:暴力団や総会屋による不当要求が想定されていたが、暴対法の規定までは引かれていなかった。前回の御指摘(「不当な行為」は暴対法の不当要求ぐらい限定的に該当性が判断されると説明するのではないか)を踏まえて追記したもの。
〇:説明資料中「第14条『第1項』に規定する」としてほしい。
開示資料16366頁
もはや元の趣旨からは掛け離れた暴対法の話がなされている。
これが最後のコメントだったようである。
以上のように、元々は、プロファイリング規制を入れようとして、利用停止請求権で拒否できるように構想されたものの、中間整理では正面からそのようには書けず、ステルスに検討を進めてみたものの、プライバシーポリシーやら体制整備やらで「ふわっと」した形でなんとなくの自主規制っぽいものを作ろうとしたが、法制局がそれを許さなかった。法制局は、それを許さない代わりに、禁止規定を設けることを促し、その結果、要件が曖昧な「不適正利用禁止」の規定が作られ、作られるとその要件が曖昧だと指摘されて、要件が「開示等請求権からの除外」からの借用という、元の趣旨とは関係ないものに変更され、暴力団や総会屋に注目されることになってしまった。
実に愚かな展開だ。法制局も何を実現するべきなのかわかっておらず、それは仕方がないとしても、個情委事務局はそれを押し返すだけの力量がなく、法制局の指示に流されてしまった。
それもやむを得ない面はある。当時はまだ誰も、保護されるべき「個人の権利利益」の中核的利益が「データによる個人に対する決定の適切性確保」(とその予防的規制)にあり、「適切性」の最大の要件がOECD第2原則の「関連性」の原則にあることを把握できていなかった。プロファイリングを規制する必要があるといっても、良いプロファイリングと悪いプロファイリングの区別方法が誰にもわかっていなかったのだから、仕方がない。
このようにして、意に反して副産物的に作られてしまった「不適正利用禁止」が、今、再び、その範囲の拡大をすべく検討されているのである。
*1 個人情報保護委員会に対して文書名「「個人情報の保護に関する法律等の一部を改正する法律案」(令和2年)の作成にあたり内閣法制局へ提出した資料及び内閣法制局における審議の議事録(用例集及び参照条文を除く)」で開示請求して開示された電子ファイルのファイル名「01 内閣法制局へ提出した資料」(頁番号1〜16036)及び「02 内閣法制局における審議の議事録」(頁番号16037〜16389)、以下「開示資料」という。
*2 この記事の後、耳にしたところでは、これが削除されたのは、そもそもそれ自体が違法だからという話だった。職業安定法違反ということだろうか?
*3 リクナビ事件への個情委の1回目の勧告は、旧スキーム(リクナビ側で氏名を使わず、cookie中のIDとアンケートURL中のIDを用いて採用企業側で氏名と突合していた)を不問に付し、新スキームについても安全管理措置の問題としていた。「世界」で主張したことは、法目的の観点からすれば当然に旧スキームも対象であることがわかるはずであり、また、昭和63年法立案時の部内資料(行政管理庁の警察庁・環境庁との覚書)からすれば、「容易に照合することができ」は、「個人情報と他の情報がオンラインで結ばれている場合」も含まれるものとして解釈することが確認されており、旧スキームでも当然に、リクナビ側で個人データに該当するのだということである。今日では、リクナビ事案の旧スキームは、令和2年改正で新設された「個人関連情報」でカバーされるようになったと考えられているが、個人関連情報の規定は、リクナビ事案が元で立案されたわけではなく、それより前から予定されていたものである。元となった立法事実は、DMPが資生堂に提供しているデータが資生堂側で氏名等と突合されていた事案を読売新聞2019年3月20日朝刊が「端末の識別情報 規制なし 閲覧履歴 知らずに拡散 顧客情報と紐付け 企業が利用」と報じていた(その前の2019年2月15日付情報通信政策研究2巻2号の若江ほか論文も同旨)が発端であった。個人関連情報に相当する規定の立案は、リクナビ事件が発覚する前の中間報告の時点で既に「提供元では必ずしも個人情報でない場合であっても、提供先で照合可能な情報が保有され……」として組み込まれていた。それゆえに、旧スキームについて個人データ提供に該当するとは判断し難かったのであろう。しかし、開示資料によると、2019年10月17日の審査録で、個人関連情報の素案となった「端末識別素子等を取得する際の個人情報取扱事業者に対する義務の創設」の検討において、法制局参事官は、「照合できるということは、個人を識別できるということであり、そうであれば個人情報に該当するのではないか。提供先において名寄せができるのであれば、識別性は失われていないのでは。提供元が提供先に問い合わせれば特定の個人を識別できるのであれば、容易照合性があるのではないか。」(16146頁)と述べており、「行政管理庁の警察庁・環境庁との覚書」と同様の解釈を示している。これに対し個情委担当者は、「現行法の解釈の話になるが、他の事業者に問い合わせる必要がある場合まで容易照合性があるものとは解されないと考えられる。」と答えているが、これは、「他の事業者に問い合わせる」の意味が、経常的な処理として行われる場合と個別的な問い合わせを要する場合とを区別できておらず、この件では前者に当たるのに後者の意味で否定してしまっている。法制局参事官は「容易照合性は可変的な概念であるのだから、解釈変更をすれば良い話ではないかと思うが。政令を改正して個人識別符号に含むこととするか、解釈変更で提供元における容易照合性を否定しないこととすればよいのではないかと思う。」と言い返している。後者の方向性は「世界」での指摘と一致している。結局は個人関連情報を新設することになったが、それでも、個人関連情報の規定を新設する趣旨は、「法23条の規定の趣旨を潜脱するスキームが横行しつつある」(大綱24頁)ことから容易照合性の解釈を「法文上明確化するもの」(開示資料647頁)というものであった。
*4 2番目の事案が記載されていたようだが、不開示になっている。リクナビ事案のことと推察されるところ、他のところではリクナビ事案が記載されたまま開示されていることから、何らかの我々の知らない未公表の事案が存在していて、不開示になっているのかもしれないとも考えられるが、別のバージョン(開示資料899頁)(もっと長く書かれているバージョン)では、「(1)破産者マップ事案」「(2)リクナビ事案」となっていて、リクナビ事案の説明文の後半だけ不開示になっているので、やはりこれはリクナビ事案のことと思われる。
*5 もっとも、どのようなプロファイリングが拒否に値するかが当時は誰にもわかっていなかった(要配慮個人情報を生成することだけではない点、自動決定だけではない点に注意)ので、やむを得ない結果であろう。