「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」を踏まえた法改正の議論の現状と展望

はじめに

　個人情報保護委員会（以下「委員会」という）は、2023年11月頃より、個人情報保護法（以下「法」という）の「いわゆる3年ごと見直し」※1の検討を開始し、関係団体や有識者からのヒアリングを実施して議論・検討を進めてきた結果を踏まえて、本年6月27日に、「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」（以下「本中間整理」という）を公表した。本中間整理は、7月30日午前0時までのパブリック・コメントに付されている※2。

　本中間整理は、これまでの議論・検討を踏まえた委員会の現時点での「考え方」が示されているものであり、今後、パブリック・コメントの意見も踏まえて最終的な方向性のとりまとめを行い、来年の通常国会において改正法案が提出されることが予定されている。生体データ、こどもの個人情報等の規律、漏えい等報告義務の軽減等、実務上、多くの事業者に影響がありうる事項が対象となっており、改正法の具体的内容によっては、プライバシーポリシー等の修正・変更、安全管理措置の変更、漏えい等発生時のマニュアルの変更等の対応が必要となる可能性があるため、事業者としても、自社への影響を含めて、現状の委員会の考え方を正確に把握しておく必要性は高いと思われる。

　そこで本ニュースレターでは、関連する現行法の規律を説明した上で、本中間整理で示されている「考え方」の概要、及びそのポイントについて紹介する（なお、本ニュースレターで紹介している本中間整理の「考え方」については、執筆者が一部要約したものであり、より正確なニュアンスを理解するためには、本中間整理の原文をご参照いただきたい）。

本中間整理における検討項目

　本中間整理は、大きな枠組みとしては、「個人の権利利益のより実質的な保護の在り方」、「実効性のある監視・監督の在り方」、「データ利活用に向けた取組に対する支援等の在り方」、「その他」に分けられており、さらに細かく具体的な検討項目が記載されているが、以下では、それぞれの具体的な検討項目について説明していく。

個人の権利利益のより実質的な保護の在り方

　情報通信技術等の高度化に伴い、大量の個人情報を取り扱うビジネス・サービス等が生まれる一方で、プライバシーを含む個人の権利利益が侵害されるリスクが高まっていることや、破産者等情報のインターネット掲載事案や、犯罪者グループ等に名簿を提供する悪質な「名簿屋」事案等、個人情報が不適正に利用される事案も発生しており、本中間整理では、こうした状況に鑑み、技術的な動向等を十分に踏まえた、実質的な個人の権利利益の保護の在り方が検討されている。

1. 個人情報等の適正な取扱いに関する規律の在り方①－要保護性の高い個人情報の取扱いについて（生体データ）

(1) 現行法の規律

• 現行法においては、容貌や指紋など、本人を認証することができるようにした一定の「生体データ」は、「個人識別符号」に該当し、「個人情報」に該当するとされている（政令1条1号、法2条2号）。
• 一方で、「生体データ」であることに着目した特別の規律は設けられていないため、その他の個人情報と基本的に同様の規律の適用を受ける（但し、生体データが漏えい等をした場合に本人が被る権利利益の侵害の大きさ等を考慮して、必要かつ適切な内容の安全管理措置を講じることが期待されている）。

(2) 本中間整理の考え方（要約であり、番号や下線は分かりやすさの観点から筆者にて加筆。以下同じ。）（本中間整理3頁から4頁）

(3) ポイント

• 対象となる生体データの範囲：上記の本中間整理の考え方のうち、「特に要保護性が高いと考えられる生体データについて、実効性ある規律を設けることを検討する必要がある」との説明が、「生体データ」一般が「特に要保護性が高い」ことを前提としているのか、それとも、「生体データ」のうち、特に要保護性の高い情報について限定する趣旨なのかについては必ずしも明らかではないと思われる点には留意が必要である。
• 利用目的の特定（上記(ア)）：令和2年改正法の施行の際に、本人から得た情報から、本人に関する行動・関心等の情報を分析するいわゆるプロファイリングについて利用目的をより具体的に記載すべきこととされたのと同様（個人情報保護法ガイドライン（通則編）（以下「通則GL」という）3-1-1）に、利用目的における記載内容をより具体化すべきという規律が導入される可能性がある。導入された場合には、プライバシーポリシー等の修正・変更が必要となる可能性があり、利用目的の変更が、「変更前の利用目的と関連性を有すると合理的に認められる範囲」（法17条2項）を超える場合には、同意の再取得が必要となる可能性がある。
• 本人による事後的な利用停止の柔軟化等（上記(イ)）: 「本人による事後的な利用停止を他の保有個人データ以上に柔軟に可能とすること」については、利用停止を求めることができる場合を、現行法のように特定の規定の違反行為がある場合よりも広げる等の実質的な話なのか、本人による理由説明のハードルを下げる等の手続面の話なのか等が明確ではないが、例えば、生体データをAIの学習用データとして継続的に利用しているようなケースに影響が生じる可能性があると考えられる。
• その他の規律：その他、必要となる規律の在り方について、事業者における利活用の実態やニーズ、運用の負担、利用目的の違いによる影響等も考慮して検討する必要があるとされているが、現時点においては、生体データの取得について本人の同意を求めることや、生体データの第三者提供について特別の規律を設けることまでは検討されていないようである。

2. 個人情報等の適正な取扱いに関する規律の在り方②－「不適正な利用の禁止」「適正な取得」の規律の明確化

(1) 現行法の規律

• 現行法において、法19条で「不適正な利用の禁止」が規定され、法20条1項では「適正な取得」が規定されており、不適正利用・不適正取得に該当する具体的な事例は、通則GL3-2及び3-3-1においてそれぞれ6事例ずつ記載されている。
• 「個人関連情報」については、法31条で、提供元では個人データに該当しないが、提供先において個人データとなることが想定されている個人関連情報の第三者提供について、本人同意が得られていること等の確認が提供元に義務付けられており、かかる第三者提供のみが規律の対象になっている。

(2) 本中間整理の考え方（本中間整理4頁から6頁）

(3) ポイント

• 不適正な利用・取得の具体化・類型化（上記①）：不適正な利用の禁止、適正な取得の規定に関して、委員会が行政上の措置を講じた事案として、いわゆる破産者マップ事案、法令（電気事業法）により禁止されているにもかかわらず個人データを取得した事案、名簿販売事業者が違法な行為を行う者に転売する転売屋だと認識していたのに意図的に販売先での名簿の用途を詳しく確認せず名簿を販売した事案、などが本中間整理で紹介されている。このため、これらの事案がガイドラインに追記されることが考えられる。
• 本人が自律的な意思により選択することが期待できない場合の不適正な利用・取得の考え方（上記②）：ここでは、「本人にとって個人情報取扱事業者の提供する商品・サービス等が他の事業者により代替困難な場合」等が検討対象となっており、デジタルプラットフォーム事業者、与信事業者、雇用主、（生徒にとっての）学校が個人情報を取得・利用する場面が主として念頭に置かれていると考えられる。どのような取得・利用が具体的に不適正利用・適正取得等の規律で問題となるか、またどのような対応をとることで当該規律により問題とされる可能性を低減しうるかについては現時点では必ずしも明らかではないものの、利用目的の通知等や目的外利用の同意取得に関してより実質的な規律が導入される場合には、対象となる事業者にとっては、これまでの個人情報の取得・利用についての実務を変更する必要が生じる可能性がある。
• 個人に対する連絡が可能な個人関連情報に関する規律（上記③）：現行法では、個人関連情報の規律は一定の第三者提供の場面に限定されているため、第三者提供を行わない限り直接規律が適用されることはなかったところ、規律の対象が取得や利用の場面に拡張されるのであれば、Cookie IDなど個人情報等には該当しない生存する個人に関する情報（個人関連情報）の取得や利用に関する実務を変更する必要が生じる可能性がある。

3. 第三者提供規制の在り方（オプトアウト等）

(1) 現行法の規律

• 現行法において、法27条2項では第三者への提供の本人同意取得が求められないオプトアウト届出制度が規定されている。

(2) 本中間整理の考え方（本中間整理6頁から8頁）

(3) ポイント

• 規律の対象：本中間整理では、オプトアウト届出制度については、犯罪者グループ等に名簿を提供する悪質な名簿屋の存在や個人情報を不正な手段により取得して第三者に対して提供する者についての対応という観点から、上記①から③のような規律の厳格化が検討されているが、このような規律の厳格化は、犯罪や不正に関わらないような通常のビジネスにも適用されうるものである点には留意を要する。

4. こどもの個人情報等に関する規律の在り方

(1) 現行法の規律

• 現行法において、未成年者の保有個人データに関する法32条２項以下の開示等の請求等については、未成年者の法定代理人によってすることができるとされている（法37条3項、政令13条1号）。
• 「本人の同意」を得ることが求められている場面（目的外利用、要配慮個人情報の取得、第三者提供等）について、個人情報の取扱いに関して同意したことによって生ずる結果を未成年者が判断できる能力を有していない場合は、親権者や法定代理人等から同意を得る必要があり（通則GL2-16など）、一般的には、12歳から15歳までの年齢以下のこどもの場合には法定代理人等から同意を得る必要があるとされている（個人情報保護法ガイドラインQ&A1-36・1-62）。

(2) 本中間整理の考え方（本中間整理8頁から11頁）

(3) ポイント

• 本人同意の取得や本人への通知について法定代理人の関与（上記(ア)）：例えば事業者がオンラインサービスを提供する場面においてサービス利用者が16歳未満のこどもであり当該規律の適用対象となるとしたときには、サービスの提供を開始するに当たってどのように法定代理人を関与させるかといった点について、現状のプライバシーポリシーの提示・同意取得のフローの見直しの要否の検討をすることが必要となる可能性がある。
• 利用停止等請求権の拡張（上記(イ)）：上記の考え方を踏まえると、規律の適用対象の事業者においては、利用停止をしやすくする設計が必要となる可能性がある。
• 安全管理措置義務の強化（上記(ウ)）：現行法においても、法23条で求められる安全管理措置の内容としては、「個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱状況（取り扱う個人データの性質及び量を含む。）、個人データを記録した媒体の性質等に起因するリスクに応じて、必要かつ適切な内容」とされており（通則GL3-4-2）、リスクに応じた安全管理措置が求められているものの、具体的な内容が定められているわけではない。仮に、こどもの個人情報に関する安全管理措置の内容が具体的に定められる場合には、従前の安全管理措置を見直す必要が生じる可能性がある。
• 責務規定（上記(エ)）：各事業者の自主的な取組の促進という位置付けであるものの、当該責務規定が設けられた場合には、事業者としては、自社がこどもの最善の利益の観点でどのような現状であるのかを確認するといったことが実務上必要になってくる可能性がある。
• 年齢基準（上記(オ)）：特に上記(ア)の規律との関係で、対象年齢が一義的に定められることは明確性の観点からは望ましいと考えられる。事業者においては、16歳未満のこどもの個人情報を取り扱っている可能性の有無を確認することが必要となるであろう。
• 対象となる個人情報等の範囲：上記の考え方では明示されていないが、こどもの個人情報等について一律に同じ規律を及ぼすのか、当該個人情報等の要保護性に応じて異なる規律を設定するのかについても、議論の動向を注視する必要がある。
• その他の規律：現時点においては、こどもの個人情報の取得について本人の同意を求めることや、こどもの個人データの第三者提供について特別の規律を設けることまでは検討されていないようである。

5. 個人の権利救済手段の在り方（団体訴訟制度の創設）

(1) 現行法の規律

• 現行法上、個人情報の不適切な取扱いに対する救済手段としては、利用停止等請求権や第三者提供の停止請求権等が存在する（法35条）※5。一方で、個人による権利救済手段の利用実績が乏しいとのアンケート結果も出ている※6。
• この点、消費者法分野においては、事業者が不特定かつ多数の消費者に対して消費者契約法等に違反する不当な行為を行っている（又は行うおそれのある）ときに、認定された消費者団体が、消費者に代わって事業者に対して差止請求を行うことができる適格消費者団体による差止請求制度や、認定された特定適格消費者団体が消費者に代わって財産的被害等の集団的な回復を求めることができる被害回復制度が存在するが、個人情報保護法においては同様の団体訴訟制度は存在しない。

(2) 本中間整理の考え方（本中間整理11頁から13頁）

　個人情報の取扱いが問題となった事例の中には、個人情報に係る本人が不特定かつ多数と評価し得るものがあり※7、本中間整理では、適格消費者団体を前提とする団体訴訟制度（差止請求制度や被害回復制度）の創設は有効な権利救済手段の選択肢になり得るとされたものの、適格消費者団体の課題（専門性の確保、資金面での援助の必要性を含む。）があることに加え、関係団体から強く反対意見があったことを踏まえ、「その導入の必要性を含めて多角的な検討を行っていく必要」があるとの整理が示された※8。

(3) ポイント

　適格消費者団体による団体訴訟制度が導入されれば、実務上、個人情報取扱事業者に与えるインパクトが大きいが、産業界からの強い反発があったことなどもあり、現時点において、団体訴訟制度の創設の見通しは不透明である。今後、ステークホルダーと議論するための場を設けること、2024年末までを目処に議論を深めていくこととされている。

実効性のある監視・監督の在り方

　破産者等情報のインターネット掲載事案、犯罪者グループ等に名簿を提供する悪質な「名簿屋」事案、転職先へのデータベースのID・パスワードの不正提供事案等、個人情報が不適正に利用される事案や、同一事業者が繰り返し漏えい等を起こしている事案が発生している。こうした悪質・重大な事案に対する厳罰化、迅速な執行等、実効性のある監視・監督の在り方が検討されている。

1. 課徴金、勧告・命令等の行政上の監視・監督手段の在り方

(1) 現行法の規律

• 現行法上、違反行為者に対する経済的な制裁としては刑事罰としての罰金があるが、課徴金制度は存在しない。
• 現行法上、個人情報取扱事業者の義務違反の是正については、一定の場合を除き、命令に勧告を前置することとされている（勧告前置）。このような勧告前置の例外として、緊急命令が存在するが、緊急命令の対象は一部の義務違反に限定されており、かつ、個人の重大な権利利益の侵害が現に発生していること等の要件も加重されている（法148条3項）。かかる状況において、新破産者マップ事案では、勧告、命令、告発という順次の対応に半年を要したなど、現に個人の権利が侵害されている事案において、適切なタイミングで措置を講ずることが難しい事象が発生している。
• また、勧告・命令は、いずれも、法に違反した「当該個人情報取扱事業者」が対象になることから、個人情報取扱事業者が、第三者に委託している場合や、第三者の提供するサービスを利用している場合、当該第三者に対して直接勧告等を行うことはできないという課題が指摘されている。

（参考：個人情報取扱事業者に対する現行法上の監視・監督の流れ）

（第277回個人情報保護委員会資料１の7頁から引用）

(2) 本中間整理の考え方（本中間整理14頁から17頁）

(ア) 課徴金制度

　課徴金制度の導入については、過去の法改正の検討においても議論されており、令和2年改正法の法案審議においては、「違反行為に対する規制の実効性を十分に確保するため、課徴金制度の導入については、我が国他法令における立法事例や国際的な動向も踏まえつつ引き続き検討を行うこと」との附帯決議がなされていた。本中間整理においても、以下のとおり必要性も含めて継続的に検討することとされた。

(イ) 勧告・命令の在り方

　勧告・命令の在り方については、以下が示された。　

(3) ポイント

• 課徴金制度（上記(ア)）：課徴金の導入については産業界からの強い反発があったことなどもあり、現時点において、課徴金制度の創設の見通しは不透明である。今後、ステークホルダーと議論するための場を設けること、2024年末までを目処に議論を深めていくこととされている。
• 勧告・命令の在り方（上記(イ)）：従来の勧告前置の例外を拡大する方向で、一定の場合に中止命令を出すための検討が行われる見通しである。また、違反事業者以外の第三者に対しても、行政上の措置を拡大する方向で検討される見通しである。この場合の「関与する第三者」の具体的な範囲は本中間整理においては明示されていないが、従前の議論では、プロバイダーやデジタルプラットフォーマーが例として挙げられている※9。

2. 刑事罰の在り方

(1) 現行法の規律

• 現行法は、間接罰（委員会の命令に違反したことを罰則の対象とする）を基本としつつ、例外的に、一部の個人情報の不適切な取扱いについては、直接罰則が適用される（代表例として個人情報データベース等不正提供等罪※10）。

(2) 本中間整理の考え方（本中間整理17頁及び18頁）

　個人情報が不正に取り扱われた悪質な事例※11が増加傾向にあり、現行法の直罰規定がこうした事例を捕捉するのに十分でない可能性が指摘されていることを受けて、本中間整理では、以下の考えが示された。

(3) ポイント

• 不正取得を直罰規定の対象とする可能性：基本的には悪質な事案が対象となると考えられるが、不正取得の行為類型を直罰規定の対象に含めるかどうかについて検討が行われる見通しであり、罪刑法定主義の観点から、直接罰則（刑事罰）の対象となる不正取得の行為類型が具体的に規定される可能性がある点には留意を要する。

3. 漏えい等報告・本人通知の在り方

(1) 現行法の規律

• 現行法は、個人情報の漏えい等が発生した場合、法26条1項に基づき、規則7条各号に該当する事態（以下「漏えい等報告対象事態」という。）について、委員会に対する速報及び確報の提出、並びに本人への通知を定めている。このような漏えい等報告及び本人通知は、令和2年改正法により義務化され、これに伴い漏えい等報告の件数は増加の傾向にある。
• なお、個人データが違法に第三者に提供された場合は、「漏えい等」には該当しないため、委員会に対する報告及び本人通知を行う義務は存在しない。

(2) 本中間整理の考え方（本中間整理18頁から21頁）

(ア) 漏えい等報告

　漏えい等報告に関しては、以下の考えが示された。

(イ) 違法な第三者提供

　違法な第三者提供に関しては、以下の考えが示された。

(3) ポイント

• 漏えい等報告義務の軽減：漏えい等報告及び本人通知に関する規律は、事業者の帰責性を問わないことから、仮に当該事業者の帰責性なく漏えい等が発生した場合であっても、あるいは漏えい等の対象となった個人データに係る本人の数が極めて少数（例えば1名）の場合であっても、漏えい等報告対象事態に該当するのであれば速やかな報告等が求められることとなり、事業者からは負担軽減を要望する声が上がっていた。本中間整理では、そのような実務の要請に応えて、漏えい等報告義務を軽減する可能性を示唆するものであるといえる。但し、本人通知の義務の軽減については言及されていない。

データ利活用に向けた取組に対する支援等の在り方

　健康・医療、教育、防災、こども等の準公共分野を中心に、機微性の高い情報を含む個人情報等の利活用に係るニーズが強い。こうした中、政策の企画・立案段階から関係府省庁等とも連携した取組を進める等、個人の権利利益の保護を担保した上で、適正な個人情報等の利活用を促す方策が検討されている。

1. 本人同意を要しないデータ利活用等の在り方

(1) 現行法の規律

• 令和2年改正法の附帯決議により、個人情報の利活用について、民間の実態を常に広く把握し、制度面を含めた検討を随時行い、その結果に基づいて必要な措置を講ずることが求められている。
• 現行法の規律では、特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱う場合（法18条）、要配慮個人情報を取得する場合（法20条）、個人データを第三者に提供する場合（法27条）については、原則としてあらかじめ本人同意を取得することを求めている。各規律については、それぞれ例外規定が設けられているが、これらは、他の権利利益の保護を優先すべき場合や、本人の利益のために必要がある場合等を類型化したものとされている。

(2) 本中間整理の考え方（本中間整理22頁及び23頁）

　本人同意を要しないデータの利活用等の在り方に関しては、以下の考えが示された。

(3) ポイント

• 本中間整理における考え方では、特に2つの場面について言及がある。1つ目は、生成AIなど社会にとって有益であり、公益性が高いと考えられる技術やサービスにおける例外規定を設けるための検討、そして2つ目は、医療機関等における研究活動等の場面での例外規定に係る規律の在り方の検討である。1つ目の点に関して、第284回個人情報保護委員会では、AIに関する委員の意見として、海外の国々の法制も参考にAIに関する規制の新設、あるいは関係省庁ともよく協議した上で学術研究例外、公衆衛生例外の範囲の拡大が考えられる旨の発言があったところである※12。
• 例外規定が新設される場合にはその規定内容や要件の明確化、例外規定の拡大を検討する場合にはその解釈及び適用関係の明確化についてなど、関係省庁も含めた具体的な議論の方向性や内容について、今後の動向が注視される。

2. 民間における自主的な取組の促進

(1) 現行法の規律

• 現行法上、PIA（Privacy Impact Assessment（プライバシー影響評価））は法律上の義務ではない。もっとも、通則GL10-3において、組織的安全管理措置として義務付けられる「個人データの取扱状況を確認する手段の整備」の例として、「個人データの取扱状況を把握可能とすること」が挙げられており、その手法として、委員会によりデータマッピング・ツールキットが公表されている※13。
• 現行法上、個人データの取扱いに関する責任者の設置は法律上の義務ではないが、通則GL10-3において、組織的安全管理措置として義務付けられる「組織体制の整備」の例として、「個人データの取扱いに関する責任者の設置及び責任の明確化」が挙げられている。

(2) 本中間整理の考え方（本中間整理23頁から25頁）

　民間における自主的な取組の促進に関しては、以下の考えが示された。

(3) ポイント

• PIAの実施や個人データの取扱いに関する責任者の設置は、現行法で義務付けられているものではない一方で、GDPR等の諸外国の関係法令では、一定の場合においてその実施又は設置が義務付けられていることがある。本中間整理では、GDPRでの規律に言及した上で、日本においてもかかる取組が促進されることが望ましいとしつつ、各主体における対応可能性や負担面などを踏まえた慎重な検討が求められるとしており、現状では法律上の義務規定として導入される可能性は高くないように見受けられる。
• 事業者においては、データマッピングを積極的に実施して取扱状況を可視化することや、個人データの取扱いに関する責任者の設置を通じて、各事業者に合ったより実効性のあるデータガバナンス体制の構築・運用を進めることが望ましいといえよう。

その他

　上記のほか、プロファイリング（本人に関する行動・関心等の情報を分析する処理）、個人情報等に関する概念の整理、プライバシー強化技術（「PETs」：Privacy Enhancing Technologies）の位置付けの整理、金融機関の海外送金時における送金者への情報提供義務の在り方、ゲノムデータに関する規律の在り方、委員会から行政機関等への各種事例等の情報提供の充実などの論点についても、ステークホルダーの意見やパブリック・コメント等の結果を踏まえ、引き続き検討することとされた。

　また、委員会が関係の深いステークホルダーと透明性のある形で継続的に議論する場を設け、個人情報保護政策の方向性や、本人同意を要しない公益に資するデータ利活用に関係するガイドライン等の見直しの在り方などについて、検討を進めることも考えられている。

今後に向けて

　本ニュースレターでは、本中間整理で示されている「考え方」の概要及びそのポイントについて、関連する現行法の規律とともに紹介したが、特に、生体データについての規律やこどもの個人情報等の取扱いの規律、漏えい等報告義務の軽減等については、多くの事業者にとって実務的な影響が大きいと考えられる。また、課徴金や、適格消費者団体による団体訴訟制度（差止請求制度や被害回復制度）も、仮に導入された場合には個人だけでなく事業者にとってもインパクトが大きい。一方で、2024年5月21日に自由民主党政務調査会デジタル社会推進本部が公表した「デジタル・ニッポン2024」において、規制の見直し・運用に当たって政府は多くのステークホルダーの意見を聞き透明性を高めることが必要であることや、課徴金の導入や団体訴訟制度について慎重に議論すべきことが指摘されている。そして、このことに関して、本中間整理でも、パブリック・コメント終了後もステークホルダーと継続的な議論を行うプロセスを踏まえて各検討項目の方向性を見直すことも想定される旨を述べている。

　このため、今後の個人情報保護法の見直しについての議論の状況は引き続き注視する必要があり、弊事務所でも、ニュースレター等を通じて最新の動向についてタイムリーにご紹介していく予定である。