1. トップ
  2. Policy(提言・報告書)
  3. 科学技術、情報通信、知財政策
  4. 「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」への意見

Policy(提言・報告書)  科学技術、情報通信、知財政策 「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」への意見

2019年5月27日
(一社)日本経済団体連合会
情報通信委員会企画部会
(PDF版はこちら

Society 5.0#1を実現するためには、デジタル技術とデータの活用により社会全体のデジタル革新を進めることが必要である。しかしながら、わが国においては企業によるデータ、とりわけ個人データの活用が十分に進んでいないのが実情である。個人情報の有用性に配慮しつつ、個人の権利利益を保護するという個人情報保護法の趣旨を踏まえ、個人の納得・信頼を前提としたうえで企業が個人データを十分に活用する仕組みを構築するためには、法規制と民間の自主的な取り組み、個人データの活用を促すインセンティブをうまくバランスさせたアプローチが求められる。

このような観点から、「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」(以下、「中間整理」)に対し、以下のとおり意見を申し述べる。

第1節 個人情報に関する個人の権利の在り方

[意見①(p17)]

  • 開示の際の電磁的形式による提供の明確化については、中間整理に記載のとおり、利用者の利便性について考慮するとともに、開示請求に応じる事業者の意見も聴取のうえで検討を進めるべきである。

(理由)

  • 行政のあり方をデジタル前提で見直す「デジタル・ガバメント」の実現に向けた取り組みが進められているなか、民間手続における情報通信技術の活用促進も望まれる。
  • ただし、開示の際の電磁的形式による提供についての実効的な仕組みを作るためには、利用者のニーズに加え、開示請求に応じる事業者の管理実態等を十分に踏まえる必要がある。

[意見②(p17~18)]

  • データポータビリティに関しては、消費者ニーズや事業者のメリット・実務負担、産業政策、既に制度を導入した欧州における評価等の幅広い観点から、慎重かつ丁寧に議論すべきである。

(理由)

  • データポータビリティは事業者・消費者の双方に広範な影響を及ぼす可能性があり、わが国にとって最適な仕組みを様々な観点から議論する必要がある。

[意見③(p18~19)]

  • 本人による利用停止等の請求を、事業者が個人情報を適法に取得・利用している場合にまで認めることについては、慎重に検討すべきである。

(理由)

  • 個人情報保護法ガイドライン(通則編)#2を踏まえ、多くの事業者は、本人から求めに応じてダイレクトメールの発送停止を行うなどの対応を講じている。また、プライバシーマークを取得した事業者は、本人からの請求による保有個人データの利用停止等の取り組みを進めている#3。こうした民間の自主的な取り組みが進んでいることから、その推移を見守るべきである。
  • 本人による利用停止等の請求を、事業者が個人情報を適法に取得・利用している場合にまで法令で一律に認めると、個人データの利用に関する事業者の予見可能性を低下させ、個人データの活用を妨げることが懸念される。

第2節 漏えい報告の在り方

[意見④(p23~24)]

  • 漏えい報告を法令上義務付けることは不要である。

(理由)

  • 中間整理に記載のとおり、わが国では、法的な義務ではないにもかかわらず、多くの企業が適切に対応している。
  • 漏えい報告を義務付けることにより、企業の個人データ活用を委縮させる懸念がある。

[意見⑤(p23~24)]

  • 法令で漏えい報告に関する期限を設けることは慎重に検討すべきである。

(理由)

  • 個人データ漏えいの際、事業者は漏えいの実態把握を行い、様々な関係者と十分に調整をしたうえで正確な情報を出す必要がある。また、漏えい事案ごとに、対応に要する時間はさまざまである。

第3節 個人情報保護のための事業者における自主的な取組を促す仕組みの在り方

[意見⑥(p32)]

  • プライバシー影響評価については、中間整理に記載のとおり、政府としては民間の自主的な取り組みを推進することに注力すべきである。

(理由)

  • 事業者が、消費者の信頼を獲得するために情報漏えい等のリスクを自ら評価し、事前に対策を講じることを対外的に明らかにすることは、事業者の個人に対するアカウンタビリティを明確化する重要な取り組みである。
  • しかし、法令で一律に義務付ければ、実効性のある取り組みとならないおそれがあることから、まずは民間の自主的な取り組みを促す方向で対応すべきである。

第4節 データ利活用に関する施策の在り方

[意見⑦(p40)]

  • 匿名加工情報の活用を推進するため、実務の実態を踏まえつつ、匿名加工情報を使った具体的なデータ利活用モデルやベストプラクティス等を積極的に発信すべきである。
  • 匿名加工情報の意義について、個人や事業者に対して積極的に周知すべきである。

(理由)

  • 事業者が匿名加工情報の有効な利活用モデルを把握できていないこと、多くの個人や事業者が匿名加工情報の意義を十分に理解していないことが、匿名加工情報が十分に活用されない原因と考えられる。

[意見⑧(p40)]

  • 「仮名化」情報については、中間整理に記載のとおり、具体的なニーズの有無等を踏まえたうえで、広く活用される仕組み等について十分に検討すべきである。

(理由)

  • 事業者にとっては、「仮名化」情報が創設されることでデータ活用に向けた選択肢が増える一方、個人に関する「情報」の区分がさらに増えることで管理コストの増大を招く可能性もある。

[意見⑨(p40)]

  • 実務の実態や個人データを活用したイノベーションのあり方を踏まえ、必要に応じ、ガイドラインの充実や見直しを行うべきである#4

(理由)

  • 現行のガイドラインの記述では事業者が判断に迷うことも多い。
  • 事業者の実務を踏まえてガイドラインを柔軟に見直せば、イノベーションを阻害するおそれはない。

[意見⑩(p41)]

  • ターゲティング広告の規範は民間の自主性に委ねるべきである。

(理由)

  • 「(ターゲティング広告の)自主ルールについては、…今後、可能な限り民間の自主性を活かしつつ、認定個人情報保護団体制度等を活用するなど自主ルールを執行可能な形としていくことも含め検討する必要がある」とあるが、自主ルールの策定・運用に政府が関与すべきではない。

[意見⑪(p41~42)]

  • 現行法の規定に加えて識別子に関する新たな規律を設けることについては、中間整理に記載のとおり、慎重に検討すべきである。

(理由)

  • クッキー等の識別子単体で特定の個人を識別することはできない。
  • 識別子を他の情報と容易に照合でき、それによって特定の個人を識別できるようになれば、その段階で事業者は個人情報保護法に基づく適切な取り扱いを実施している。

第5節 ペナルティの在り方

[意見⑫(p46~47)]

  • 課徴金の導入や罰則の引上げについては極めて慎重に検討すべきである。

(理由)

  • 中間整理に記載のとおり、個人情報の不適切な取り扱いがあった場合、個人情報保護委員会の指導等により違法状態は是正されているのが実態であり、勧告・命令や罰則の適用事例は存在しないことから、課徴金の導入や罰則の引上げ等のペナルティ強化を行う必要性は希薄である。
  • ペナルティの強化により、企業の個人データ活用を委縮させる懸念がある。

第6節 法の域外適用の在り方及び国際的制度調和への取組と越境移転の在り方

[意見⑬(p52~53)]

  • 中間整理に記載のとおり、国際的な制度調和への取り組みを進めるため、個人情報保護委員会の国際交渉体制の強化に期待する。
  • そのなかで、日本の事業者がEUから移転した個人データを米国の事業者に再移転する場合、再移転先の事業者が米国・EU間のプライバシーシールドに基づく認証を受けていれば、「補完的ルール」を不適用とするよう、EUへ働きかけるべきである。

(理由)

  • EUから米国に直接個人データ流通させる場合には、「プライバシーシールド」の枠組みがある一方で、EUから日本を経由して米国にデータを流通させる場合、日本の事業者に、個人情報保護法に加えてEUからの要請に基づく「補完的ルール」に適合するための契約の締結等の負担を課すことは、日本企業のデータの越境流通への支障となる可能性がある。

[意見⑭(p53~54)]

  • 海外事業者による規律に従った適切な個人情報の取り扱いを確保するために、外国執行当局との協力を着実に実施すべきである。

(理由)

  • 国内外事業者に対し、公平・公正な個人情報保護法の適用・執行を実現する必要がある。

[意見⑮(p54)]

  • 政府は、データの自由な越境流通に向けて国際的に調和のとれた制度構築を主導すべきである。
  • その一方で、国家機密や安全保障、営業秘密など越境移転が望ましくないデータについては、WTOのGATSの規律を前提として、必要な例外が認められるべきである。
  • 中間整理に記載のとおり、外国政府による過度なデータローカライゼーション規制に対しては、政府が緩和・撤廃を粘り強く働きかけるべきである。

(理由)

  • Society 5.0を実現するためには国境を越えて情報が自由に流通する環境の確保が大前提であるが、データローカライゼーションはデータの自由な越境流通を妨げる脅威となる。

[意見⑯(p54)]

  • 個人データの円滑な海外移転に向けて、外国にある第三者への個人データの提供が認められる適法性要件の追加を検討すべきである。

(理由)

  • 外国にある第三者へ個人データを提供する場合(個人情報保護法第24条)、①第三者が法第24条に基づき指定される国に所在する場合、②第三者が「個人情報保護委員会規則で定める基準に適合する体制」を整備している場合、③個人情報保護法第23条1項で認められる場合、のいずれかに該当すれば、事前の本人同意は不要となる。
  • しかしながら、①については、現状「EU」のみであり、②については、基準に適合する体制を整備しているかどうかの確認が困難なケースが存在し、③については、法令に基づく場合等に限定され、結果的に事前の本人同意が必要となり、越境移転が困難なケースがある。

第7節 その他の論点

[意見⑰(p56)]

  • 国の行政機関、独立行政法人、地方公共団体、民間事業者の個人情報についての取り扱いを統一化するとともに、個人情報保護委員会が民間部門だけでなく、公的部門における個人情報の取り扱いも所管すべきである。

(理由)

  • 国の行政機関や国立大学法人等が個人情報保護法に定める義務・罰則等の適用対象ではなく、わが国における個人情報の規律が統一されていない。
  • 地方公共団体が独自に制定する個人情報保護条例において、個人情報の定義や制度内容に差異が存在するほか、行政機関個人情報保護法等にはない規制を設ける場合があり、官-官・官-民の円滑な情報流通を妨げている。

その他の意見

[意見⑱]

  • 改正法の公布から施行までに十分な期間を設けるべきである。

(理由)

  • 法改正の内容によっては、事業者にはシステム対応を含む相当の準備が必要となる。
以上

  1. デジタル革新と多様な人々の想像・創造力の融合によって、社会課題を解決し、価値を創造する社会。
  2. 「個人情報の保護に関する法律についてのガイドライン(通則編)」3-5-4 保有個人データの利用停止等(法第30条関係)
  3. プライバシーマークの審査基準の根拠である「JIS Q 15001個人情報保護マネジメントシステム-要求事項」においては、本人の保有個人データの利用停止等の請求を受けた場合には、原則として応じる義務があるとされている。
  4. 企業からは、「匿名加工情報(個人情報保護法第2条第9項)」「利用目的の変更(個人情報保護法第15条第2項、法第18条第3項)」「第三者提供の制限の原則(個人情報保護法第23条第1項)」「保有個人データの開示(個人情報保護法第28条)」についてのガイドラインの明確化を求める声がある。
    個人情報保護委員会での経団連のヒアリング(2019年3月27日)資料p9を参照のこと。
    https://www.ppc.go.jp/files/pdf/shiryou1.pdf

「科学技術、情報通信、知財政策」はこちら