改正個人情報保護法の国会議事録から読み取れる解釈運用の方向性


6月12日に公布された個人情報保護法一部改正法は、5月22日には衆議院内閣委員会において、6月4日には参議院内閣委員会において、審議された。これらの質疑における政府側の答弁には、同法の解釈運用の方向性が示されている部分があるので、これを以下にまとめる。以下は会議録から筆者の観点でまとめ、筆者が見出しをつけたものであり、正確な発言内容については、文末に示す会議録をご覧いただきたい。
なお、個人情報保護委員会は、7月から8月にかけて、改正法の施行に向けた基本的な考え方を提示することを明らかにしている。

個人情報の利用停止・削除・第三者提供停止を求めることができる場合について

改正前の法で利用停止や消去の請求ができるのは、個人情報の不正取得など違反行為があった場合に限定されていたが、今回の改正により、事業者が利用する必要がなくなった場合、保有個人データの重大な漏えいが発生した場合、本人の権利又は正当な利益が害されるおそれがある場合についても、利用停止、消去、第三者提供の停止を請求できることになった。

本人の権利又は正当な利益が害されるおそれがある場合の例として、本人の意思に反してダイレクトメールが繰り返し頻繁に送付されるような場合、情報が漏洩した場合などが考えられる。
例えば料金の支払を免れるという目的、係争となったときに本人に不利な証拠を消去するといった目的などは正当な利益には当たらず、利用停止、消去等の請求の対象にはならない。
具体的な適用ケースについては、今後、消費者や企業の現場の意見を聞き、個人情報保護委員会がガイドラインやQ&Aで示す。

利用停止等の請求に応じない旨の利用規約は無効

個人情報取扱事業者が利用停止等の請求に応じることは個人情報保護法上の義務であり、当事者間の利用規約において利用停止の請求に応じない旨を定めた場合であっても、そのような合意は無効であり、個人情報保護法上の義務に違反した場合は委員会からの勧告、命令等の執行権限の対象となり得る。

違法・不当行為を助長・誘発するような個人情報利用が禁止される場合について

例として、次のものが考えられる。ガイドラインで想定事例を具体的に示していく。

  • 違法行為を営む事業者に個人情報を提供するケース
  • 裁判所による公告等により散在的に公開され、差別を誘発するおそれがある個人情報を集約、データベース化してインターネット上で公開するケース

内定辞退率を採用企業に提供するというリクナビのような行為は、十六条の二で禁止する不当な行為を助長するおそれがあるとして禁止の対象となるかどうかについて、過去の事案について仮定の当てはめは適切ではないが、一般論としては、法令に違反することを認識しているような場合において、違法行為を助長し又は誘発するような個人情報の取扱いを行うことは、不適正な利用に該当する場合がある。

個人データ漏洩について、個人の権利利益を害するおそれが大きいものとして報告対象となるものについて

規則で定める要件として、漏えいした個人データの性質、漏えいの態様、漏えいの規模など、複数の観点から、個人の権利利益を害するおそれが大きい事態を定めることを予定している。具体的には、例えば、要配慮個人情報の漏えい、不正アクセスによる漏えい、経済的損失・財産的被害が生じるおそれがあるデータの漏えい、これらの類型に該当しなくても一定数以上の大規模な漏えいなどを報告の対象とすることを予定している。

仮名加工情報の作成基準について

例えば、氏名等の特定の個人を識別することができる記述等を削除すること等を予定。氏名のほかに、例えば住所や生年月日など、これらの記述を組み合わせることによって個人が識別される場合には、これらも削除する必要がある。
具体的な作成基準については、ガイドラインなどで示す。

仮名加工情報に係る削除情報(注:もとの個人情報から削除された記述等・個人識別符号、加工方法に関する情報)が漏えいした場合、安全管理措置義務の観点から、仮名加工情報に含まれるIDなど、もとの個人情報と仮名加工情報とをつなぐものを振り直すことなどによって、仮名加工情報を新たにつくり直す必要があり、もとの仮名加工情報をそのまま継続して利用することはできない。

仮名加工情報の作成に用いた個人情報のみが漏えいした場合には、その仮名加工情報及び削除情報の安全管理措置義務の履行が確保されている限り、必ずしも直ちにそのまま継続して利用することができないとは限らないというケースもある。

仮名加工情報の第三者提供を禁止する趣旨について

漏えい発生時におけるリスクの低下を図るために個人を識別できないようにしているにもかかわらず、第三者提供について本人に関与させるためには、あえて加工前の個人情報を復元するといったような、リスクが高まる点もある。したがって、仮名加工情報それ自体の第三者提供を禁止している。なお、仮名加工情報を作成した事業者は、一般的に、もとの個人情報自体は保有しているので、これを普通の個人データとして、本人の同意を得て第三者に提供することは可能である。

個人関連情報の第三者提供規制について

(同意の前提となる情報提供については、)例えば、単に個人関連情報を第三者に提供すると説明するだけでは足りない。提供先がどこか、提供先で個人データになるということを明確に説明した上の同意である必要がある。
本人の関与が担保されるよう、ガイドラインで示す。

第三者が個人関連情報を個人データとして取得することが「想定」されるとは

法案にある第三者が個人関連情報を個人データとして取得することが想定されるときとの文言は、大綱における明らかなときを法文で表したものであり、その意味する内容に違いはない。

個人データとなることが想定される場面として考えられる例:

  • 提供先が個人データとして取得することを提供元の事業者が想定している場合、例えば、事前に個人関連情報を受領した後に、他の情報と照合して個人データにするといった旨を告げられている場合
  • 取引状況等の客観的に事情に照らして、個人データとして取得することが一般人の認識を基準として想定できる場合、例えば、プラットフォーマーなどに対し個人関連情報を提供する際、提供先のプラットフォーマーが当該個人関連情報を氏名等でひも付けて利用することを想定しつつ、そのために用いる固有ID等を併せて提供する場合

具体的な事例、判断の仕方については、ガイドラインで明確化する。

個人をターゲティングしたマーケティングについては、プラットフォーマーであるかどうかにかかわらず、個人の情報とひも付けて利用する場合には、個人関連情報を個人データとして取得することが想定される場合に当たることがある。
提供元の調査義務について、取引状況等の客観的状況に照らして、個人データとして提供先が取得をすることが一般人の認識を基準として想定できる場合であり、提供先において個人データとして取得される可能性が高くない場合を含めてまで調査義務を課すものではない。

個人関連情報の第三者提供に関する同意取得方法について

同意の取得方法としてはいろいろな方法が考えられる。例えば、本人から同意をする旨を示した書面、電子メールを受領する方法、確認欄へのチェックなどが考えられる。
例えば、ウエブサイトで同意を取得する場合、単に記載されているということでは足りず、そのサイト上のボタンをクリックするなどのアクションが必要である。
具体的な様々な事例について、ガイドラインなどで示す。

個人関連情報の第三者提供に関する同意取得の確認方法について

(提供先において同意が取得されているかどうかについて)提供元が確認する方法については、委員会規則で定めるが、個人関連情報の提供先から報告を受ける、申告を受ける方法を想定している。
提供元は提供先のその申告内容を一般的な注意力を持って確認すれば足り、特段の事情のない限り、真正性や正確性まで独自に調査をすることは求めない。

クッキー等で取得する情報、位置情報、統計情報は、個人関連情報に該当する場合があるか

個人関連情報とは、生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものとされている。具体例として、氏名と結び付いていないインターネットの閲覧履歴、位置情報、クッキー等なども含まれる。統計情報は、特定の個人との対応がない限りにおいては個人関連情報には該当しない。
(筆者注:クッキー等は情報取得の技術的手段であり、クッキー等の手段により取得した閲覧情報等が個人関連情報に該当する場合があるという趣旨であろうと思われる。)

個人情報利用目的の特定の範囲について

利用目的の特定の程度として、例えば、事業活動に用いるため、あるいはマーケティング活動に用いるためなど、抽象的、一般的に特定するのではなく、特定の事業における商品の発送等のために用いるなど、最終的にどのような目的で個人情報を利用されるのか、一般人にとって想定できる程度に具体的に特定することが求められる。
ケース・バイ・ケースだが、抽象論としては、一般人にとって想定できる程度に具体的に特定することが求められる。
事業者において、利用目的の文言を拡張的に解釈した上で、個人情報の利用の範囲を拡大され、結果として、利用者本人の予測に反する態様での利用を行った場合、法第十六条に規定する利用目的の制限に違反する場合に該当する場合もあり得る。

外国にある第三者への個人データ提供について同意を求める場合に本人に提供すべき情報などについて

外国にある第三者への個人データの提供を認める旨の本人の同意を得ようとするときには、個人情報取扱事業者が当該本人に提供しなければならない情報や提供の方法について、委員会規則で定める内容として、現時点では、第三者の所在する外国の国名、個人情報保護制度などを想定している。
提供の方法として、電磁的な記録の提供や書面の交付による方法、基本的には日本語又は本人が内容を理解できる言語での提供を想定している。


【衆議院内閣委員会令和2年5月22日会議録】
http://www.shugiin.go.jp/internet/itdb_kaigiroku.nsf/html/kaigiroku/000220120200522013.htm

【参議院内閣委員会令和2年6月4日会議録】
https://kokkai.ndl.go.jp/#/detail?minId=120114889X01320200604&current=1

関連情報

IIJ ビジネスリスクマネジメントポータル

世界のプライバシー保護規制対応を支援する最新情報を継続的に発信。
有料会員様にはすべてのニュース、コンテンツ(ガイドラインや対応の手引き、ホワイトペーパー、FAQ、各種テンプレートなど)、セミナー情報、アドバイザリーサービスを提供しています。
BizRisの概要はこちら

関連記事