当事務所のHPはこちらです。https://ambitious.gr.jp/

【個人情報保護法8】個人情報保護法の3年ごと見直し3

この記事は約4分で読めます。

1.はじめに

 これまで、第1回では、個人情報の保護に関する法律(以下「個人情報保護法」といいます)の概要をご説明し、第2回から第5回までの4回に亘っては、令和2年改正個人情報保護法の要点をご説明いたしました。そして、第6回と第7回では、いわゆる3年ごと見直しの一部をご説明いたしました。

 今回は、前回に引き続き、「いわゆる3年ごと見直しに係る検討の中間整理」のうち「データ利活用に向けた取組に対する支援等の在り方」と「その他」の概要をご説明いたします。


2.データ利活用に向けた取組に対する支援等の在り方

(1)本人同意を要しないデータ利活用等の在り方

 個人情報保護法は、プライバシーの保護を含めた個人の権利利益を保護することを目的としていますが、他方でデジタル技術の活用による個人情報等の多様な利用にも配慮しています。そのため、個人情報の保護はもちろんですが、適正かつ効果的な活用のバランスを考慮した取組が必要となります。

 特に、昨今のデジタル化の急速な進展・高度化に伴い、生成AI等の新たな技術の普及等により、大量の個人情報を取り扱うビジネス・サービスが生まれています。また、健康・医療等の公共性の高い分野を中心に、機微性の高い情報を含む個人情報等の利活用に係るニーズが高まったり、不正防止目的等での利活用についてもニーズが寄せられています。

 しかし、個人情報保護法では、本人の同意を得ないで、特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱うことができないのが原則となっています。人の生命、身体、財産の保護や公衆衛生の向上等の場合に限り、例外規定(以下「公衆衛生例外規定」といいます)により、特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱うことができるようになります。また、個人データを第三者に提供する場合も、同様に一定の例外規定により、個人データの第三者への提供ができるようになります。

 そのため、例えば、生成AI等の既存の社会にとって有益であり、公共性が高いと考えられる技術やサービスについては、個人情報保護法の例外規定では対応が困難と考えられており、新たに例外規定を設けるための検討が必要であるとされています。

 また、医療機関等による研究活動等に係る利活用についても、公共性の程度や本人の権利利益保護とのバランスを踏まえて、例外規定に係る規律の在り方を検討する必要があるとされています。医療や研究開発の現場における公衆衛生例外規定の適用のように、例外規定はあるものの、適用の有無の判断に躊躇する例があるとの指摘がなされており、ガイドラインの記載等の検討が必要であるとされています。

(2)民間における自主的な取組の促進

 ア PIA(Privacy Impact Assessment)

 まず、「PIA(Privacy Impact Assessment)」とは、個人情報等の収集を伴う事業の開始や変更の際に、プライバシー等の個人の権利利益の侵害リスクを低減・回避するために、事前に影響を評価するリスク管理手法を意味するものです。

 PIAについて、個人情報保護法に関するガイドライン(通則編)では、組織的安全管理措置として義務付けられる「個人データの取扱状況を確認する手段の整備」の例として「個人データの取扱状況を確認すること」が挙げられており、個人情報保護委員会は、その手法として、データマッピング・ツールキット(取り扱うデータを整理して、可視化するためのものです)を公表しています。データマッピング・ツールキットの具体的なイメージは、下記の表をご参照ください。

 PIAは、民間における自主的な取組という現状の枠組みを維持しつつ、その取組を一層促進させるための方策について、出発点となるデータマッピングを活用していくことを含め、検討を進める必要があるとされています。

 イ 個人データの取扱いに関する責任者

 次に、「個人データの取扱いに関する責任者」について、個人情報保護法に関するガイドライン(通則編)では、組織的安全管理措置として義務付けられる「組織体制の整備」の例として「個人データの取扱に関する責任者の設置及び責任の明確化」が挙げられています。

 そして、個人データの取扱いに関する責任者については、現行の個人情報保護法に関するガイドライン(通則編)等で定める「組織体制の整備」を超えた措置の必要性について検討を進めるべきであるとされています。具体的には、責任者の資格要件の要否、設置を求める対象事業者の範囲等も踏まえ、現実的な方向性を検討する必要があるとされています。

 
3.その他

 これまでに取り上げた各事項の他に、プロファイリング(本人に関する行動・関心等の情報を分析する処理)、個人情報等に関する概念の整理、プライバシー強化技術の位置づけの整理、金融機関の海外送金時における送金者への情報提供義務の在り方、ゲノムデータに関する規律の在り方、委員会から行政機関等への各種事例等の情報提供の充実等の論点についても、引き続き検討するとされています。

4.最後に

 今回は、「いわゆる3年ごと見直しに係る検討の中間整理」のうち「データ利活用に向けた取組に対する支援等の在り方」と「その他」の概要をご説明いたしました。これで、現時点での個人情報保護法について、一通りご説明申し上げたことになります。

 これまで、足掛け2年半を超える期間に亘っての断続的な連載になりましたが、ご覧いただきありがとうございました。 次回以降は、個人情報保護法とは異なるテーマになる予定ですが、引き続きご覧いただけますと幸いです。

弁護士 田上 淳一