当事務所のHPはこちらです。https://ambitious.gr.jp/

【個人情報保護法7】個人情報保護法の3年ごと見直し2

この記事は約5分で読めます。

1.はじめに

 これまで、第1回では、個人情報の保護に関する法律(以下「個人情報保護法」といいます)の概要をご説明し、第2回から第5回までの4回にわたっては、令和2年改正個人情報保護法の要点をご説明いたしました。そして、第6回では、いわゆる3年ごと見直しの一部をご説明いたしました。

 今回は、前回に引き続き、「いわゆる3年ごと見直しに係る検討の中間整理」のうち「実効性のある監視・監督の在り方」の概要をご説明いたします。


2.実効性のある監視・監督の在り方

(1)課徴金、勧告・命令等の行政上の監視・監督手段の在り方

 ア 課徴金制度

 まず、「課徴金制度」について、私的独占の禁止及び公正取引の確保に関する法律(いわゆる「独占禁止法」)をはじめとしていくつかの法律で導入されていますが、個人情報保護法では導入されていません。

 しかし、個人情報保護委員会が行政上の対応を行ったにもかかわらず適切な措置が講じられなかった事案が多数見られています。また、諸外国では、個人情報の不適切な取扱いについて、金銭的不利益を課す行政上の措置を持つ制度が複数あり、EUでは、1000万ユーロ又は直前の会計年度における全世界総売上高の2%のうちいずれか高い方を科すという厳しい制裁があります。下記のニュース記事は、EUにおいて、当時の日本円で約970億円もの罰金が科されたことを報道するものです。

 我が国では、関係団体からのヒアリングで強い反対意見が示されているようですが、他の法令における導入事例や国際的動向、個人の権利利益保護と事業者負担のバランスを踏まえ、検討する必要があるとされています。

【出典:https://www.nikkei.com/article/DGXZQOGN30F340Q1A730C2000000/

 イ 勧告・命令の在り方

 次に、「勧告・命令の在り方」について、個人情報保護法では、まず勧告を行い、その後に命令を行うという手順を踏むことになっています。なお、緊急命令(勧告を経ずに直ちに命令を行う手続です)もありますが、対象が一部の個人情報保護法違反に限定されており、個人の重大な権利利益の侵害が現に発生していることという要件も加重されていることから、実例が見当たらないのが実情です。

 しかし、個人の権利利益の侵害が差し迫っている場合に、直ちに適切な対応をとることができるかは懸念もあります。現に、新破産者マップ事案(注)では、勧告・命令、告発という手続を経るために、半年を要したとされています。

 また、勧告・命令は、個人情報に違反した当該個人情報取扱事業者等に対して行うものとされており、個人情報の取扱いを第三者に委託している場合や、第三者の提供するサービスを利用している場合は、勧告・命令を行うことが困難となる場合があります。

 しかし、第三者に委託することや、第三者のサービスを利用することで勧告・命令を行うことができなくなってしまうと、勧告・命令が機能不全に陥ってしまいます。

 勧告・命令の在り方は、これらのような事案への対応の必要性のほか、手続保障にも配慮しながら課題を検討すべきであるとされています。

(注)「新破産者マップ事案」とは、官報に掲載されている破産者情報と地図情報に紐づけたサイト(Googleマップで飲食店を探すような形になります)が公開されたことで、過去に破産をしたことを容易に知ることができ、プライバシーや名誉が侵害されたという事案です。

(2)刑事罰の在り方 

 刑事罰の在り方について、個人情報保護法では、個人情報保護委員会による命令への違反や個人情報保護委員会に対する虚偽報告等の法定刑を引き上げたほか、個人情報データベース等不正提供罪の法人に対する両罰規定の法定刑を引き上げました。

 しかし、昨今、内部的な不正行為に起因する悪質な事例が増加しているとされており、様々な類型の悪質な事例が散見され、個人情報データベース等不正提供等罪で有罪となる事件も相次いでいます。例えば、直近でも、元従業員が元勤務先の名刺情報管理システムのログイン情報を不正に転職先に提供した事案や、学習塾の講師が児童の個人情報をSNSのグループチャットに投稿したという事例もありました。下記のニュース記事は、個人情報データベース等不正提供等罪による初めての逮捕事例を報道するものです。

 そこで、法の規定が様々な類型を過不足なく対象としているかを検証するとともに、法定刑の適切性を見直すこととされています。

【出典:https://www.nikkei.com/article/DGXZQOUE1421N0U3A910C2000000/

(3)漏えい等報告・本人通知の在り方

 漏えい等報告・本人通知の在り方について、個人情報保護法では、一定の場合に個人情報保護委員会への報告と本人への通知を義務付けています。

 しかし、関係団体からは、個人情報保護委員会への報告や本人への通知の負担が大きく、制度の趣旨・目的に照らしつつ、リスクベースアプローチによる合理的な範囲に報告対象を絞り込む等、現在の在り方を見直すべきではないかとの声も上がっているとのことです。具体的には、漏えいした個人データに係る本人の数が1名である誤交付・誤送付が大半を占めているとのことであり、適切に本人への通知がなされていれば、個人情報保護委員会に速報を提出する必要性は比較的小さいのではないかとされています。下記のニュース記事は、多数の個人情報漏えい事象が発生していることを報道するものです。

 そこで、個人情報保護委員会がこれまでに受けた漏えい等報告の内容を検証したうえで、制度の趣旨を損なわないようにしつつ、個人の権利利益侵害が発生するリスク等に応じて、個人情報保護委員会への報告や本人への通知の範囲や内容の合理化を検討すべきとされています。

【出典:https://www.nikkei.com/article/DGXZQOUA110P40R10C24A6000000/

 
3.最後に

 今回は、「いわゆる3年ごと見直しに係る検討の中間整理」のうち「実効性のある監視・監督の在り方」の概要をご説明いたしました。次回は、「データ利活用に向けた取組に対する支援等の在り方」と「その他」を中心にご説明いたします。

弁護士 田上 淳一