当事務所のHPはこちらです。https://ambitious.gr.jp/

【個人情報保護法6】個人情報保護法の3年ごと見直し1

2024.08.09
この記事は約5分で読めます。

1.はじめに

 これまで、第1回では、個人情報の保護に関する法律(以下「個人情報保護法」といいます)の概要をご説明し、第2回から第5回までの4回にわたっては、令和2年改正個人情報保護法の要点をご説明いたしました。

 この間、個人情報保護委員会では、いわゆる3年ごと見直しが進められており、直近では、令和6年6月26日に「いわゆる3年ごと見直しに係る検討の中間整理」が公表され、同年7月24日にはこれに関する検討会が設置されました。

 今後、具体的な検討が進められていくことになりますが、今回は、中間整理の概要のうち「個人の権利利益のより実質的な保護の在り方」の概要をご説明いたします。


2.個人の権利利益のより実質的な保護の在り方

(1)個人情報等の適切な取扱いに関する規律の在り方

 ア 要保護性の高い個人情報の取扱いについて(生体データ)

 まず、生体データ(身体の特徴のいずれかを電子計算機の用に供するために変換した符号のうち、本人を認証することができるようにしたもの)について、個人情報保護法では、生体データであることに着目した特別の規律は設けられていません。

 しかし、生体データは、長期にわたり特定の個人を追跡することに利用できるという特徴を持ち得るものであり、通常の個人情報と比較して個人の権利利益に与える影響が大きく、保護の必要性が高いと考えられます。

 そこで、個人情報保護法では「できる限り特定」しなければならないとされていますが(個人情報保護法17条1項)、利用目的を特定することを求めることが考えられるとされています。また、本人による事後的な利用停止を他の保有個人データ以上に柔軟に可能にすることが考えられるとされています。

 イ 「不適正な利用の禁止」「適正な取得」の規律の明確化

 次に、「不適正な利用の禁止」「適正な取得」について、個人情報保護法の下では、通則ガイドラインに6事例ずつ記載されているほか、行政上の措置を講じた事案が現れてきました、必ずしもその内容が明らかであるとはいえません。また、個人情報の取扱いを許容することが商品・サービス等の提供の事実上の条件になっており、本人が個人情報の提供に関する選択を行うことが期待できない場合があることが指摘されています。

 そこで、「不適正な利用の禁止」「適正な取得」が適用される範囲等の具体化・類型化を図る必要があるとされています。また、本人が個人情報の提供に関する選択を行うことが期待できない場合に、当然認められるべき利用目的以外の利用目的で個人情報を取得・利用することや、当然認められるべき利用目的の達成に真に必要な範囲を超えて個人情報を取得・利用すること等について、どのようにこれらの規律を適用すべきかを継続的に検討する必要があるとされています。

(2)第三者提供規制の在り方(オプトアウト等) 

 いわゆるオプトアウトについて、個人情報保護法では、一定の場合には、本人の同意を得ることなく第三者に個人データを提供することができるとされています(個人情報保護法27条2項)。

 しかし、個人情報保護委員会が行った実態調査によると、提供しようとする個人データが個人情報保護法に違反して取得されたものでないことの確認方法に関する回答が不明確なものや具体性のないもの、無回答となっているのものが散見されたり、提供先が提供を受けたデータを「違法又は不当な行為を助長し、又は誘発するおそれがある方法」で利用しないことを確認していないとの回答が散見されたり、オプトアウトによる個人データを提供するに当たり提供先に対して本人確認手続等を実施していないとの回答が散見されたとされています。

 そこで、一定の場合には提供先の利用目的や身元等を特に確認する義務を課すことや取得元における取得の経緯や取得元の身元等の確認について高度の注意義務を課すこと、オプトアウト権の実効性を高めるための措置の検討が必要であるとされています。

(3)こどもの個人情報等に関する規律の在り方

 こどもの個人情報等について、個人情報保護法では、開示等に関する規定(個人情報保護法76条2項、個人情報保護法施行令13条1号)を除き、こどもの個人情報の取扱いに関する明文の規定は基本的にはありません。

 しかし、こどもの個人情報の取扱いは、こどもの脆弱性・敏感性及びこれらに基づく要保護性を考慮するとともに、学校などにおける生徒の教育・学習に関するデータの有用性も考慮する必要があるとされています。  

 そこで、①法定代理人の同意を取得することとしたり、②他の保有個人データ以上に柔軟に事後的な利用停止を認めたり、③安全管理措置義務を強化したり、④事業者等が留意すべき責務を定める規定を設けることを検討する必要があるとされています。

(4)個人の権利救済手段の在り方

 個人の権利救済の手段について、個人情報保護法では、法の規定に違反する場合や、本人の権利又は正当な利益が害されるおそれがある場合等に、個人情報取扱事業者に対して、当該本人が識別される保有個人データの利用停止等又は第三者提供の停止を請求することができるとされています。

 しかし、個人情報保護委員会が行ったアンケート調査によると、利用停止等や第三者提供の停止の請求の件数はわずかであるとされています。また、消費者分野においては、消費者個人としては、被害の認識をしていないこと、救済を求めて請求できることを知らないこと、事業者との情報の質及び量並びに交渉力に格差があること、費用・労力の負担等により、自身の被害回復のための行動を採りにくく、「泣き寝入り」となりやすいという事情もあります。 そこで、適格消費者団体を念頭に置いた団体による差止請求制度や被害回復制度の導入の必要性を含めて多角的な検討を行っていく必要があるとされています。

 
3.最後に

 今回は、「いわゆる3年ごと見直しに係る検討の中間整理」のうち「個人の権利利益のより実質的な保護の在り方」の概要をご説明いたしました。次回は、「実効性のある監視・監督の在り方」と「データ利活用に向けた取組に対する支援等の在り方」を中心にご説明いたします。

弁護士 田上 淳一