「個人情報保護法の制度的課題に対する考え方について」を公表
―改正項目「個人データ等の取扱いにおける本人関与の在り方」について考え方を公表―
岩田合同法律事務所
弁護士 西 野 雅 人
1 はじめに
個人情報保護委員会は、2025年2月5日、「個人情報保護法の制度的課題に対する考え方(案)について」と題する文書(以下「考え方案」という。)を公表した。この考え方案は、個人情報の保護に関する法律(以下「法」という。)に係るいわゆる3年ごと見直し[1]に関し、同委員会が今後検討すべき制度的な論点として整理した3つの項目[2]のうち、「個人データ等の取扱いにおける本人関与に係る規律の在り方」について、想定される具体的な規律の方向性に関する考え方等を示すものである。
考え方案では、本人の権利利益への直接の影響の有無等を切り口として、3つの具体的な場面における規律に関する考え方が示されており、いずれも個人情報取扱事業者に影響を与え得る事項であることから、以下でその概要を紹介する。
2 個人の権利利益への影響という観点も考慮した同意規制
現行法上、個人情報取扱事業者が個人情報の目的外利用、要配慮個人情報[3]の取得及び個人データの第三者提供(以下「目的外利用等」という。)を行う場合には、原則として本人同意を取得する必要があるが(法18条1項、20条2項、27条1項)、デジタル社会の進展やAIの急速な普及を始めとした技術革新の動向等を踏まえると、本人の権利利益に直接の影響のないデータの利活用については、必ずしも本人関与を要しないとも考えられることから、新たな同意規制の在り方が検討されている。
考え方案では、㋐統計等の作成を目的とする場合、㋑目的外利用等が本人の意思に反しないことが明らかな場合、㋒本人の同意を得ないことに相当の理由がある場合、㋓病院等による研究活動を目的とする場合の4つが挙げられ、各場合の規律に関する考え方が示されている。
㋐は、統計の作成など特定の個人との対応関係が排斥された一般的汎用的な分析結果の獲得、利用であれば、個人の権利利益を侵害するおそれが小さいことを踏まえ、一定の条件[4]の下、本人同意がなくても個人データの第三者提供や公表されている要配慮個人情報の取得を可能とすることを検討することとされている。
㋑は、たとえば、宿泊予約サイトの運営者が宿泊先である別事業者に予約者の氏名等を提供する場合や、海外送金の依頼を受けた金融機関が送金先の金融機関に送金者の情報を提供する場合など、契約履行のために必要不可欠な目的外利用等については、本人の意思に反せず、その権利利益を害しないことが明らかであるとして、本人同意を不要とすることを検討することとされている。
㋒は、現行法上、同意取得の例外要件として、人の生命、身体又は財産の保護のために必要がある場合等であって、「本人の同意を得ることが困難であるとき」が規定されているが(法18条3項2号等)、さらに「本人の同意を得ないことについて相当の理由があるとき」も例外要件とすることを検討することとされている。例として、目的外利用等に当たって氏名等を削除するなど、本人のプライバシー等の侵害を防止するために必要かつ適切な措置が講じられている場合などが挙げられている。
㋓は、現行法上、学術研究機関等による学術研究目的の目的外利用等は、一般的に個人識別がなされない形で行われ、公益にも資することから、原則として本人同意がなくても可能となっているところ(法18条3項5号等)、現行制度上、病院等の医療提供を目的とする機関や団体は「学術研究機関等」に含まれないと解されているが[5]、病院等による診断や治療方法の研究も広く行われているとともに、臨床症例の分析は必要不可欠である実態を踏まえ、病院等もこれに含まれる旨明示することを検討することとされている。
3 漏えい等発生時の本人通知に係る規制
現行法上、個人情報取扱事業者は、個人データの漏えいや滅失等の事態が生じたときには、原則として、個人情報保護委員会に対する報告とともに本人への通知も義務付けられているところ(法26条2項)、たとえば、サービス利用者のID等それ単体ではおよそ意味を持たない情報のみが漏えいしたにとどまる場合には、通知がなされなくとも本人の権利利益の保護に欠けるおそれが小さいことから、代替措置による対応を許容することを検討することとされている。
出典:個人情報保護委員会資料「個人情報保護法の基本(令和5年9月)」12頁
4 本人による関与等が期待できない子供の個人情報等の取扱い
現行法上、子供の個人情報の取扱いに係る明文の規定がないところ、心身がいまだ発達段階にある子供は、その判断能力が不十分であるとともに、不適切な個人情報の取扱いに伴う悪影響を受けやすいことから、16歳未満の者の個人情報の取扱いに際しては、原則として[6]、当該本人の法定代理人からの同意取得や法定代理人への通知を義務付けることを検討することとされている。なお、対象年齢については、EUのGDPRの規定等を踏まえ、16歳未満の者とすることが想定されている。また、16歳未満の者を本人とする保有個人データ[7]については、原則として[8]、個人情報取扱事業者による違法行為の有無等にかかわらず、利用停止等の請求を可能とすることも想定されている[9]。
5 おわりに
個人情報取扱事業者においては、前記2および3の改正項目につき、新たに決定される規制に従ってこれまでの業務フローを改める必要に迫られることが予想される一方、前者についてはデータの柔軟な利活用が可能になるため、新たな商機の獲得につながることも期待され、後者についても、代替措置の許容により、これまで義務付けられていた煩雑な事務が減少することも考えられる。
前記4の改正項目については、現行制度上必ずしも明確でなかった子供への対応が新たに明示されることから[10]、必要に応じ、事業内容に応じた対応方針の策定が求められるものと思われる。
個人情報保護委員会では、今後、考え方案を踏まえて議論を続けていくとされていることから、その動向を注視していく必要がある。
以 上
[1] 個人情報の保護に関する法律等の一部を改正する法律(令和2年法律第44号)附則10条において、「政府は、この法律の施行後3年ごとに、個人情報の保護に関する国際的動向、情報通信技術の進展、それに伴う個人情報を活用した新たな産業の創出及び発展の状況等を勘案し、新個人情報保護法の施行の状況について検討を加え、必要があると認めるときは、その結果に基づいて所要の措置を講ずるものとする」とされている。
[2] 個人情報保護委員会は、2024年6月27日、「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」の中で具体的な見直しの論点を公表し、約1か月間にわたって意見募集を実施したところ、そこで寄せられた意見やその後に実施した有識者及び経済団体・消費者団体等へのヒアリング結果を踏まえて、法の制度的論点を3つの項目で再整理している。今般公表された「個人データ等の取扱いにおける本人関与に係る規律の在り方」以外の項目としては、「個人データ等の取扱いの態様の多様化等に伴うリスクに適切に対応した規律の在り方」及び「個人情報取扱事業者等による規律遵守の実効性を確保するための規律の在り方」が挙げられている(第312回個人情報保護委員会資料1-1「『個人情報保護法 いわゆる3年ごと見直しに係る検討』の今後の検討の進め方について(案)」参照)。
[3] 本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう(法2条3項)。
[4] 条件の例として、一定の事項(提供元・提供先、取得者の氏名・名称、行おうとする統計作成等の内容等)の公表、統計作成等のみを目的とした提供である旨の書面による提供元・提供先間の合意、提供先及び取得者における目的外利用及び第三者提供の禁止を義務付けることが挙げられている。
[5] 法16条8項において「学術研究機関等」とは、「大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者をいう。」と定義されているところ、具体的には私立大学、民間研究所、学会党学術研究を主たる目的とする機関又は団体を指しており、病院又は診療所等で患者に対して直接に医療を提供する事業者は、一般的には学術研究機関等に該当しないと解されている(宇賀克也『新・個人情報保護法の逐条解説』(有斐閣、2021)195頁)。
[6] 例外としては、個人情報取扱事業者において、①本人が16歳未満のものであることを知らないことについて正当な理由がある場合、②法定代理人が本人に許可している営業に関して個人情報を取得する場合、③本人に法定代理人がない又はそのように信ずるに足りる相当な理由がある場合が挙げられている。
[7] 個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの以外のものをいう(法16条4項)。
[8] 例外としては、①法定代理人の同意を得て取得されたものである場合、②要配慮個人情報の取得に係る例外要件(法20条2項各号)と同種の要件に該当する場合、③本人が16歳以上であると信じさせるために詐術を用いた場合、④法定代理人が本人に許可している営業に関して取得した場合が挙げられている。
[9] そのほか、個人情報取扱事業者及び法定代理人双方について、新たに責務規定を設けることも検討することとされている。
[10] 実務上は、「個人情報の保護に関する法律についてのガイドライン」に関するQ&A(Q1-62)に「一般的には12歳から15歳までの年齢以下の子どもについて、法定代理人等から同意を得る必要があると考えられます。」と記載されていることから、これを踏まえて対応する例が多かったと思われる。
[/groups_member]
(にしの・まさと)
岩田合同法律事務所所属。2012年中央大学法学部卒業。2014年日本大学法科大学院修了。2017年12月検事任官。大阪地方検察庁、さいたま地方検察庁川越支部、千葉地方検察庁、東京地方検察庁勤務を経て、2023年4月「判事補及び検事の弁護士職務経験に関する法律」に基づき弁護士登録。
岩田合同法律事務所 http://www.iwatagodo.com/
<事務所概要>
1902 年、故岩田宙造弁護士(後に司法大臣、貴族院議員、日本弁護士連合会会長等を歴任)により創立。爾来、一貫して企業法務の分野を歩んできた、我が国において最も歴史ある法律事務所の一つ。設立当初より、政府系銀行、都市銀行、地方銀行、信託銀行、地域金融機関、保険会社、金融商品取引業者、商社、電力会社、重電機メーカー、素材メーカー、印刷、製紙、不動産、建設、食品会社等、我が国の代表的な企業等の法律顧問として、多数の企業法務案件に関与している。
<連絡先>
〒100-6315 東京都千代田区丸の内二丁目4番1号丸の内ビルディング15階 電話 03-3214-6205(代表)
個人情報委、個人情報保護法の制度的課題に対する考え方について(個人データ等の取扱いにおける本人関与に係る規律の在り方)
https://www.ppc.go.jp/files/pdf/seidotekikadainitaisurukangaekatanitsuite_r6.pdf
