一般社団法人 日本経済団体連合会
世界の企業は、膨大な情報(いわゆるビッグデータ)の収集、蓄積、分析、革新的利活用策の開発競争を繰り広げており、データ利活用の巧拙が競争力そのものに直結する状況になっている。
パーソナルデータ#1をめぐっては、適切な情報の保護・管理体制のもと、広く製造業、サービス業など業種横断的な利活用を進めることで、消費者や顧客目線に立った新事業の創出や、社会的課題の解決に向けた有効な方策になることが期待されながら、その取扱いルールの不透明さ、いわゆるグレーゾーンが存在することから、事業者の躊躇と消費者の不安が生じており、利活用に向けた取組みが遅れている。
もとより、情報通信技術の急速な発展と国民生活への浸透は、グローバル化ともあいまって、個人情報保護法が制定された当時には想定していなかった事態を生じさせている。こうしたなか、日本再興戦略において、世界最高水準のデータ利活用環境整備を行うことが示され、いまあらためて、パーソナルデータの適正な取扱いに関する国民的なコンセンサスの形成に加えて、情報通信技術を活用した経済社会の活力向上に向けて制度面での環境整備を行うことが不可欠となっている。
今通常国会に個人情報保護法の改正案が上程され、パーソナルデータの利活用に関する制度改正が行われる見通しであることから、この施策が成長戦略の重要な柱として、民間活力を最大限に引き出し、社会課題の解決や新産業・新事業の創出につながるよう、以下の通り産業界の考え方を提言する。
1.個人情報の定義の拡充について
今般、個人情報の定義については、政令で定める文字、番号、記号その他の符号が含まれる場合、個人情報として新たに位置付けられることが示された#2。その際例示された符号は、情報の利用形態や用途によっては特定の個人を識別できない場合も存在する#3ことから、画一的な保護対象とすべきではない。新たに個人情報として位置付ける対象は、各識別子が特定の個人を一意に識別できるものに限定すべきである。併せて、今後、政省令や第三者機関規則でさらに考え方を整理して明示するとともに、自主規制(認定個人情報保護団体による個人情報保護指針等)の活用も重視すべきである。
2.匿名加工情報に関する規定の整備への意見
(1) 第三者機関規則について
匿名加工情報の作成基準等を、第三者機関規則で定めるにあたっては、用語の定義や加工手続、安全管理措置の内容等を含め、実務上の負担も考慮して適正な要件となるよう検討を行うべきである。また、諸外国で想定されている規則や基準を詳細に調査し、これらとかけ離れたものとならないよう配慮すべきである。
(2) 事前届出義務の導入について
匿名加工情報を第三者に提供するために必要となる届出義務等の導入は、悪質事業者に対しては実効性が無いことに加え、国内外の事業者間での競争条件に不均衡が生じることに留意すべきである。事故発生等に備えるためであれば、提供先及び加工方法等の記録を企業内で保存管理し、第三者機関への報告・説明や立入検査への準備体制を整えることで対応できる。
したがって、届出を義務付けるとしても、届出事項は事業者名のみとし、その手続はできる限り簡素なものとすべきである。例えば、事前に必要な事項を明確化したうえで、ウエブ経由での電子申請を原則可能とすることや、当該事業者のウエブ上のURLの届出を可能とすることなども考えられる。
3.グローバル化に対応するための規定への意見
(1) 海外の第三者への個人データの提供制限のあり方について
多くの企業において、従業員や顧客データを「容易に同一と見なしうる」企業間で共有することはサービスを提供する上で必須である。例えば、海外旅行中である日本人や現地で勤務する従業員(日本人、外国人問わず)に関する情報を参照できないことになれば、業務上の支障となる。これらの事務は、現地の事業所、提携先、合同出資先、協力企業群を通じて行われるため、一律に「他国への情報移転」として同一の規律を課すことはサービスの提供停止にもつながりかねない大きな影響が生じる。また、海外にも事業を展開している多くの企業では、各国に存するグループ企業や事業所を含めたグローバルな人事施策に基づく人事管理が必要で、現地の従業員情報の参照は業務上必須となる。このようなケースも、「他国への情報移転」とするのは適切ではない。
クラウドサービスやアウトソーシングサービスを含め、国境を越えたデータ利用においても現実に即した適切な対応とすべきである。
こうした観点から、以下の点を具体的施策として反映すべきである。
本人同意のとり方について
プライバシーポリシーの公表または規約等の一項目として示し、包括的な同意取得を認めるべきである。例えば、国外のいずれの地域にも移転する可能性がある、という同意取得等を認めるべきである。移転相手の継続的保護措置の確認について
第三者機関の規則に定める基準に適合する体制を整備することで、海外の第三者へのデータ移転が可能となることが示されたが、この規則の内容を定める際には、提携先や委託先との間での保護措置の内容を定めた契約の締結や、グループ企業間でのプライバシーポリシーの共有により、移転相手の継続的保護措置の確認を行ったものとすべきである。第三者機関が産業界の意見を踏まえてガイドライン等を作成・提示し、それぞれの企業が自主的に適合を宣言するような形式とすることが望ましい。
(2) 国際的なルール作りへの参画
グローバル市場においては、事業者の競争上のイコールフッティングの確保が重要である。制度の機動的な見直しや国際的な調和の実現に向け、政府においては、第三者機関を中心に、日本の個人情報保護制度の国際発信、理解の醸成を通じて国際的なルール作りに積極的に参加し、日本で活動する企業がグローバルに事業展開しやすい環境を諸外国の取組みなども踏まえながら、整備する必要がある。その際、CBPRシステム#4などの国際的な認証メカニズムや標準については、基準を満たす判断の一部として取り入れるなどの措置を早い段階で明示すべきである。
4.第三者機関の新設及びその権限に関する意見
(1) 第三者機関のあり方について
今回の法改正の主たる目的のひとつは、パーソナルデータの利活用により民間の力を最大限引き出し、成長戦略に貢献することである。そうした観点から、第三者機関の役割は、利活用の促進面での成果も適切に評価される組織と位置付けるべきである。
個人情報に該当する具体例や、パーソナルデータの適正な取扱い等については、今後、さまざまな取組みを通じて、国民的なコンセンサスの形成が図られるべきであり、第三者機関が柔軟かつ機動的に制度を構築していくことが求められる。
その際には、技術革新の速さや個人の意識が時代とともに変化していくことを踏まえ、制度改正等に厳格な手続を要する法律の規定のみで行っていくことには限界があり、適時、適切に見直しを図っていくことを可能とするため、政省令や第三者機関規則等で運用することが望ましい。今後、政省令や第三者機関規則、ガイドライン等に定める具体的な内容を検討するにあたっては、第三者機関のなかに、産業界を含めたさまざまな関係者が参加する検討の場を設けることが重要である。
併せて、事業者それぞれのパーソナルデータの利活用方法についての適法性を含め、法令・ガイドライン等の解釈の事前確認を可能とする、任意かつ使い勝手の良いグレーゾーンの解消制度を構築すべきである。制度設計にあたっては、可能な限り短い標準回答期間の設定や、相談内容や結果に関する公表を行う場合には企業秘密等への配慮等が求められる。
(2) 重畳的な執行回避の重要性
第三者機関の権限(報告徴収、立入検査)について、事業所管大臣等への委任を認めることが示されたが、委任できる場合と範囲を明確に限定すべきである。また、企業に対する行政の窓口は一元化し、万が一にも複数の行政機関から企業に対し重複した報告・説明の聴取が求められたり、法令等の異なった解釈が出されることがあってはならない。
今後ますます増えると見込まれる分野横断的な案件において、分野ごとの判断が異なれば、民間事業者の萎縮を招き、データ利活用促進を妨げることが懸念される。
(3) 権限行使要件の明確化等
第三者機関の権限行使要件の明確化、ならびに第三者機関の判断に異議申し立てを可能とする制度とすべきである。
(4) 委員構成とその要件
新たな法制度において、第三者機関の担う役割は大きなものとなる。保護と利活用の両面に配慮した人員構成とすることが重要であり、委員の定員#5の拡充についても検討すべきである。その際には、データ利活用に十分な知識と経験を有することを委員の要件とすべきである。
(5) 認定個人情報保護団体との連携
認定個人情報保護団体との連携を重視し、特に民間の多くのケースで見られる業種業態をまたがったデータの利用において、分野特有の実務基準、経験の蓄積が行われるよう、認定団体の数や構成を再検討すべきである。第三者機関が行う判断については、本質的で高度な部分に焦点をあてられるようにして、十分な機能の補完が行われるようにすべきである。
5.新たに設けられた保護強化策についての意見
(1) 第三者提供に係る確認及び記録作成義務付けについて
個人情報データベース等の提供を受けた際、その取得経緯の確認ならびに提供年月日を記載した確認事項の記録作成、保存義務については、個人情報保護法第23条第1項各号(国や地方公共団体の事務遂行に協力する場合等)および第4項各号(業務委託や共同利用等)において、個人情報を提供する場合には、適用対象外とすることを求める。加えて、この対象は、現行法における個人情報データベース等とすることを明確化するとともに、業務上、行われている日常的なデータのやりとりをすべて記録するといった過度な負担とならない適正なものとすべきである。
(2) オプトアウトに関する届出義務の導入
第三者機関規則で届出事項等を定める際には、実務上の負担を考慮し、必要最小限に留めるべきである。
(3) 改正法施行以前に取得したデータの取扱いについて
改正法施行以前に取得したデータについても、改正法のもとで利活用ができるような経過措置を要望する。
6.官民間のデータ流通促進に向けた環境整備について
「個人情報保護法」と、「行政機関の保有する個人情報の保護に関する法律」、「独立行政法人等の保有する個人情報の保護に関する法律」では、個人情報の定義やデータの取扱いが異なっている#6が、保有機関によって異なる取扱いが求められることは、高度医療など国益に資する研究等の阻害要因となり得る。官民間のデータ流通は今後拡大することが見込まれるため、地方公共団体等を含む行政機関が保有するパーソナルデータについても、機微性の高いパーソナルデータと、それ以外のパーソナルデータに分類し、後者については民間の基準や手続との整合を図りつつ、円滑なデータ流通を図る環境整備を行うべきである。そのためにも、個人情報の保護と利活用に関する行政組織・体制が、重畳的な執行体制とならないように、十分に議論が行われるべきである。
7.おわりに
ビッグデータ時代において、政府には、個人の権利利益保護とデータ利活用の両立を目指すとともに、企業がグローバルに事業展開できる環境整備を期待する。また、情報通信技術の急速な進展によって、既存の制度が想定していない事態が生じる可能性に備え、技術進歩に後れをとらない制度の見直しが欠かせない。今後、政省令や第三者機関規則、ガイドライン等に定める具体的な内容は、新たに設置される第三者機関において、民間の自主規制ルールの活用を図りつつ、データ利活用が促進されるルールづくりに向けた引き続きの検討を求めるものである。
- 「個人情報」が、氏名、生年月日その他の記述により特定の生存する個人を識別できる情報を指す(個人情報保護法第2条)のに対し、「パーソナルデータ」は、個人に関する情報で、個人の行動・状況等に関する情報を含む概念として捉えられている。
- 「個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行される書類に付される符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は付されるもの」(2014年12月19日 内閣官房「パーソナルデータに関する検討会」提出資料)
- 経済産業省「『個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン』等に関するQ&A」のNo.3には、「電話番号だけでは、基本的には個人情報に該当しません。ただし、その他の情報と容易に照合でき、それによって特定の個人を識別することができれば、その情報と併せて全体として個人情報に該当することはありますので、ケースバイケースでの判断が必要です。」と記されている。
例示に含まれた「携帯電話番号」は、民間での契約に基づき提供、利用されるものであり、多くは継続的に利用されるものであるが、原則として本人の意思により随時変更可能であり、使用終了後の一定期間経過後には、別の個人に再割当される仕組みであることも併せると、直ちに個人情報に分類される識別子に含むべきではない。 - Cross Border Privacy Rules System:APEC域内における企業等の越境個人情報保護に関する取組に対して、APECプライバシー原則への適合性を認証するもの。認証を受けた企業等は、自社の個人情報の取扱いがAPECプライバシー原則に適合していることを示すことができるようになり、APEC域内での事業活動を円滑に行えるようになる。
- 番号法第40条で委員長及び委員6人で組織されることが定められており、2015年1月現在は委員長及び委員4人が就任している。今般の制度改正により、個人情報保護法の所管及び分野別主務大臣による監督権限が第三者機関に一元化される見通しであることから、さらに定員拡充を求めるものである。
- 行政機関等個人情報保護法は、民間を対象とする個人情報保護法に比べ厳格。
- 個人情報の定義(個人識別性の程度)を民間より厳しく規定。
- 利用目的は法令の定める所掌事務遂行上必要な場合に限定(利用目的はできる限り特定して保有)。