2014年7月 9日 (水)

第316回:パーソナルデータの利活用に関する制度改正大綱(個人情報保護法改正)パブコメ募集(7月24日〆切)

 個人情報保護法改正の話は、知財問題からかなり外れるのだが、重要である割に騒がれていないように思うので、ここでも取り上げることにする。

 この6月24日に決定されたパーソナルデータの利活用に関する制度改正大綱(pdf)は、IT総合戦略本部パーソナルデータに関する検討会で検討されていたもので、その意見募集のリリースにある通り、7月24日〆切でパブコメ募集が行われているものである。(電子政府HPの意見募集ページも参照。)

 この制度改正大綱はざっくりとした書き方の多い薄いペーパーなので、何とも言えないところもあるが、そのポイントとなる部分を抜き出すと、最初に、第10ページからの「Ⅱ 基本的な制度の枠組みとこれを補完する民間の自主的な取組の活用」中の、

1 個人が特定される可能性を低減したデータの取扱い
 現行法は、個人データの第三者提供や目的外利用をする場合、一定の例外事由を除き本人の同意を要することとしている。この個人データの第三者提供や目的外利用に関して、本人の同意に基づく場合に加え、新たに「個人データ」を特定の個人が識別される可能性を低減したデータに加工したものについて、特定の個人が識別される可能性とその取扱いにより個人の権利利益が侵害されるおそれに留意し、特定の個人を識別することを禁止するなど適正な取扱いを定めることによって、本人の同意を得ずに行うことを可能とするなど、情報を円滑に利活用するために必要な措置を講じることとする。
 また、個人が特定される可能性を低減したデータへの加工方法については、データの有用性や多様性に配慮し一律には定めず、事業等の特性に応じた適切な処理を行うことができることとする。さらに、当該加工方法等について、民間団体が自主規制ルールを策定し、第三者機関(後掲IV参照)は当該ルール又は民間団体の認定等を行うことができることとする。加えて、適切な加工方法については、ベストプラクティスの共有等を図ることとする。

という部分、2つ目に、同じく第10ページからの「Ⅲ 基本的な制度の枠組みとこれを補完する民間の自主的な取組の活用」中の、

1 基本的な制度の枠組みに関する規律
(1)保護対象の明確化及びその取扱い

 パーソナルデータの中には、現状では個人情報として保護の対象に含まれるか否かが事業者にとって明らかでないために「利活用の壁」となっているものがあるとの指摘がある。
 このため、個人の権利利益の保護と事業活動の実態に配慮しつつ、指紋認識データ、顔認識データなど個人の身体的特性に関するもの等のうち、保護の対象となるものを明確化し、必要に応じて規律を定めることとする。
 また、保護対象の見直しについては、事業者の組織、活動の実態及び情報通信技術の進展など社会の実態に即した柔軟な判断をなし得るものとなるよう留意するとともに、技術の進展や新たなパーソナルデタの利活用のニーズに即して、機動的に行うことができるよう措置することとする。なお、保護の対象となる「個人情報」等の定義への該当性については、第三者機関が解釈の明確化を図るとともに、個別の事案に関する事前相談等により迅速な対応に努めることとする。

(2)機微情報
 社会的差別の原因となるおそれがある人種、信条、社会的身分及び前科・前歴等に関する情報を機微情報として定め、個人情報にこれらの情報が含まれる場合には原則として取扱いを禁止するなどの慎重な取扱いとすることについて検討することとする。
 ただし、機微情報を含む個人情報の利用実態及び現行法の趣旨に鑑み、本人の同意により取得し、取り扱うことを可能とするとともに、法令に基づく場合や人の生命・身体又は財産の保護のために必要がある場合の例外規定を設けるなど、取扱いに関する規律を定めることとする。

(3)個人情報の取扱いに関する見直し
①情報が集積、突合及び分析等されることにより、本人が認知できないところで特定の個人が識別される場合における、個人情報取扱事業者がとるべき手続等について、必要な措置を講じることとする。
(後略)

という部分、3つ目に、第13ページからの「Ⅳ 第三者機関の体制整備等による実効性ある制度執行の確保」中の、

1 第三者機関の体制整備
(1)設置等

 専門的知見の集中化、分野横断的かつ迅速・適切な法執行の確保により、パーソナルデータの保護と利活用をバランスよく推進するため、独立した第三者機関を設置し、その体制整備を図ることとする。
 番号法に規定されている特定個人情報保護委員会の所掌事務にパーソナルデータの取扱いに関する事務を追加することとし、内閣総理大臣の下に、パーソナルデータの保護及び利活用をバランスよく推進することを目的とする委員会を置くこととする。
 この第三者機関は、番号法に規定されている業務に加えて、パーソナルデータの取扱いに関する監視・監督、事前相談・苦情処理、基本方針の策定・推進、認定個人情報保護団体等の監視・監督、国際協力等の業務を行うこととする。
 委員を増員し、パーソナルデータの保護に配慮しつつ、その利用・流通が促進されるようバランスのとれた人選が実現できる要件を定めるとともに、専門委員を置くことができることとする。また、事務局について必要な体制の構築を図ることとする。

(2)権限・機能等
 第三者機関は、現行の主務大臣が有している個人情報取扱事業者に対する権限・機能(助言、報告徴収、勧告、命令)に加えて、指導、立入検査、公表等を行うことができることとするとともに、現行の主務大臣が有している認定個人情報保護団体に対する権限・機能(認定、認定取消、報告徴収、命令)を有することとする。
 また、第三者機関は、民間主導による個人情報及びプライバシーの保護の枠組みの創設に当たり、自主規制ルールの認定等を行う。さらに、国境を越えた情報流通を行うことを可能とする枠組みの創設に当たり、認証業務を行う民間団体の認定、監督等を行うこととする。
 なお、行政機関及び独立行政法人等が保有するパーソナルデータに関する調査・検討等を踏まえ、総務大臣の権限・機能等と第三者機関の関係について検討する。

と書かれている部分となり、今後ここに書かれていることに沿って個人情報保護法の改正が進められると考えられる。

 ここで、上で抜き出した部分をさらにつづめて書くと、

  • 特定の個人が識別される可能性を低減した個人情報加工データについて本人の同意がなくとも第3者提供や目的外利用も含めたビジネス利用を可能とする。
  • 個人の身体的特性の中でも保護の対象となる情報を明確化し、人種、信条、社会的身分及び前科・前歴等に関する情報を機微情報として定める。
  • 情報が集積、突合及び分析等されることにより、本人が認知できないところで特定の個人が識別される場合における、個人情報取扱事業者がとるべき手続等について、必要な措置を講じる。
  • 個人データの加工方法等は民間団体による自主規制ルールに委ねられ、内閣総理大臣の下に新たに作られる第3者機関がそれを認定する。

ということになるだろう。

 今の個人情報保護法が不十分なのはその通りだろうし、法改正の方針が間違いということもないのだが、このペーパーは非常に薄く、業界団体の「自主規制ルール」で「個人が識別される可能性を低減したデータ」を「本人の同意を得ずに」「第三者提供や目的外利用」も含めビジネス利用可能とする上で、消費者・利用者から見て本当に必要十分なことが書かれているかとなるとかなり心もとない代物である。

 例えば、機微情報は「人種、信条、社会的身分及び前科・前歴等」と「等」が含まれる形で書かれているので、この列挙に限らないことは想定されているのだろうが、センシティブ情報・データが本当にこの列挙だけで良いかとなるとかなり疑問であるし、情報が突き合わされ分析されることで本人が認知できないところで特定の個人が識別される危険性に関する認識もあるものの、その場合については「必要な措置を講じる」と書かれているだけで具体的にどうするかは良く分からないし、第3者機関・委員会についてもかなり強い権限を持っているにもかかわらず、その具体的な構成に関する言及も少ない。(人種や前科ほどではないかも知れないが、個人の居場所・移動に関する情報や趣味嗜好に関する情報はかなりセンシティブなものと言って良いだろうし、インターネットにおける情報の大量収集を通じたプライバシーの侵害についてどう利用者の保護を図って行くかかということこそ今まさに考えるべきことだろうに、このペーパーではそこが非常に危ういように思えるのである。)

 また、諸外国の法制や動向に関して、アメリカの消費者プライバシー権利章典や欧州連合の個人データ保護規則案についてわずかに言及があるものの、これだけでは外国も参考にしたとは到底言えないだろう。別に国内法制の検討で外国の動向を気にしなければならないということもないのだが、参考にするのであればきちんと見るべきだろうし、良く引き合いに出される欧米主要国に限ったとしても、かなり複雑かつ重層的な保護をしているのであって、このペーパーのように情報のビジネス利用ばかりに前のめりというのでは、法改正後も日本での個人情報・プライバシーの保護が外国と比べて劣るとまた言われかねないという危惧もある。(例えば、欧州の情報保護法は欧州委員会の個人情報保護に関するHPに書かれている通り極めて複雑で、かつ各国ごとにも保護法制がある状況なのだが、どこまで理解しているのだろうか。アメリカの法制も例えば情報プライバシー法についてのWikipediaの記事にも書かれている通りそう単純ではない。)

 このパブコメはあまり騒がれていないように思うが、自分の情報が将来的にどう扱われるかここで決まるという点で非常に重要なものであり、情報保護に関心のある方は是非提出を検討してはどうかと思う。(私も出す予定だが、さすがに知財問題からかなり外れるので提出パブコメをここに載せることまではしないつもりでいる。)

(2014年7月11日夜の追記:日経などで記事になっているが、ベネッセの個人情報流出事件を受けて官房長官が今日午前の記者会見で個人情報保護法の改正による対策強化について言及した。具体的に何をどうするつもりなのかは不明だが、上で取り上げた大綱で書かれたことに加えて何かしら法改正が検討されることになるのかも知れない。)

| | コメント (0) | トラックバック (0)

«第315回:知財計画2014の文章の確認