トピックス

2020.01.10
NEWS

個人情報保護法の改正の方向性(3年ごと見直しの制度改正大綱) ~第7回「ペナルティの強化・課徴金制度の導入見送り」~

 令和元年(2019年)12月13日、個人情報保護委員会は、「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱」(以下「制度改正大綱」という。)を公表し、パブリックコメントとして意見募集を開始した(意見締切:2020年1月14日)[1]。本稿では、制度改正大綱のうち、民間事業者に影響を与える内容を中心に分かりやすく解説する。第7回は「ペナルティの強化・課徴金制度の導入見送り」について解説する。

個人情報保護法改正の方向性(第7回:ペナルティの強化・課徴金制度の導入見送り)

(制度改正大綱)
個人情報保護法 いわゆる3年ごと見直し 制度改正大綱
(全体取りまとめ版)
Q&A個人情報保護法改正の方向性(制度改正大綱を読み解く)
(ニュースレター形式)
個人情報保護法の改正の方向性(3年ごと見直しの制度改正大綱) ~第1回「端末識別子等の取扱い」~
 個人情報保護法改正の方向性(第2回:仮名化情報)
個人情報保護法改正の方向性(第3回:開示請求・利用停止請求等)
個人情報保護法の改正の方向性(3年ごと見直しの制度改正大綱) ~第4回「漏えい等報告及び本人通知の義務化」~
個人情報保護法改正の方向性(第5回:適正な利用義務の明確化)
個人情報保護法改正の方向性(第6回:オプトアウト制度の強化)
個人情報保護法改正の方向性(第7回:ペナルティの強化・課徴金制度の導入見送り)
個人情報保護法改正の方向性(第8回:公益目的による個人情報の取扱いに係る例外規定の運用の明確化)
個人情報保護法改正の方向性(第9回:域外適用と越境データ移転に関する改正の方向性)
(その他)
個人情報保護法ニュースNo.1:リクナビ事件と個人情報保護法の改正
個人情報保護法ニュースNo.2:個人情報保護法改正の方向性(第1回:端末識別子等の取扱い)
 (関連ニュースレター)
Q&A『デジタル・プラットフォーム事業者と個人情報等を提供する消費者との取引における優越的地位の濫用に関する独占禁止法上の考え方』
 
執筆者:渡邉雅之
* 本ニュースレターに関するご相談などがありましたら、下記にご連絡ください。
弁護士法人三宅法律事務所
弁護士渡邉雅之
TEL 03-5288-1021
FAX 03-5288-1025
Email m-watanabe@miyake.gr.jp
 
第1.ペナルティの在り方(制度改正大綱第3章第5節「ペナルティの在り方」、第8節「継続的な検討課題(課徴金制度)」)(27頁、34頁)
 
【改正の方向性】
  • 現行の法定刑について、法人処罰規定に係る重科の導入を含め、必要に応じた見直しを行う。
  • 課徴金制度は検討課題とされ、導入はなされない方向。
 
【制度改正大綱の内容】
第5節 ペナルティの在り方
〇 個人情報保護法では、個人情報取扱事業者に科される罰則について最大でも1年以下の懲役又は50万円以下の罰金とされていることから、違反行為に対する実効性が不十分であるとして、ペナルティの強化が必要との議論がある。
〇 平成27年改正法の施行後の国際的状況を見ると、ペナルティの強化が大きな潮流となっているのは否定できない。しかし、国際比較の観点では、各国ごとに国全体の法体系やペナルティに対する考え方に違いがあり、我が国の実態、法体系に照らして望ましい在り方を検討してきた。
〇 現状においては、個人情報の取扱いに係る違反行為について、委員会が捕捉した案件に関しては、指導等により違法状態が是正されているのが実態である。これは、企業にとって、消費者からの信頼を失うことのコストが大きいことなどが背景として考えられる。実際、ヒアリングにおいても、経済界からは、事業者は個人情報保護法を遵守しており、ペナルティの引上げに慎重であるべきとの意見が多くあった。
〇 しかし、委員会が漏えい等報告を受けた事案や報告徴収・立入検査を行った事案の数は増加傾向にある。勧告・命令や罰則については、中間整理公表時点での適用事例は存在しなかったが、本年8月、委員会は初めての勧告を行った。これは、安全管理措置を適切に講じず、個人データを第三者に提供する際に必要な同意を得ていなかった事案に対して、その重大性に鑑み、適正に個人の権利利益を保護するよう、組織体制の見直しや意識改革をはじめ、必要な措置を講じることを勧告したものである。こうした重大な違反事例事案の発生を踏まえて、個人の権利利益の保護の必要性はより高まっている。
〇 個人情報保護法は、罰則を違反行為に対する最終的な実効性確保の手段とし、法人に対してもいわゆる両罰規定を設けているところ(法第87条)、罰金刑の効果は、刑罰を科せられる者の資力によって大きく異なる。個人情報取扱事業者の中には、十分な資力を持つ者も含まれるところ、法人に対して、現行法のように行為者と同額の罰金を科したとしても、罰則として十分な抑止効果は期待できない。
〇 このため、現行の法定刑について、法人処罰規定に係る重科の導入を含め、必要に応じた見直しを行うこととする。
 
第8節 継続的な検討課題
(課徴金制度)
〇 課徴金制度の導入については、ペナルティ強化の一環としてこれを求める意見がある一方で、中間整理の意見募集等では、経済界等から反対の意見が寄せられた。
〇 課徴金制度は、違反行為を行った事業者に経済的不利益を課すことにより、違反行為を事前に抑止することを目的とする制度である。現行法は、最終的な実効性確保の手段として刑事罰のみを予定しているところ、課徴金制度は、刑事罰の限界を補完し、規制の実効性確保に資するものである。
〇 特に域外適用を受ける外国事業者の違反行為に対しては、国内事業者と同様に法執行を行う必要があるところ、課徴金制度は、外国事業者に対する有効な法執行手段となり得る。
〇 また、諸外国の個人情報保護法制において、違反行為に対して、高額の制裁金を課すことによって規制の実効性を確保している例がある。
〇 他方、国内他法令における課徴金制度は、不当利得を基準として課徴金を算定している例が多く、我が国の法体系特有の制約があることから、法制的な課題もある。
〇 課徴金制度の導入については、我が国の法体系、執行の実績と効果、国内外事業者の実態、国際的な動向を踏まえつつ、引き続き検討を行っていくものとする。
 
【解説】
1.ペナルティの強化
 国際比較の観点では、GDPRなどの諸外国のプライバシー法制においては巨額の制裁金規制が設けられているが、各国ごとに国全体の法体系やペナルティに対する考え方に違いがあり、個人情報保護委員会は、我が国の実態、法体系に照らして望ましい在り方を検討してきた。
現状においては、個人情報の取扱いに係る違反行為について、委員会が捕捉した案件に関しては、指導等により違法状態が是正されているのが実態である。
しかしながら、個人情報保護委員会が漏えい等報告を受けた事案や報告徴収・立入検査を行った事案の数は増加傾向にある。勧告・命令や罰則については、中間整理公表時点での適用事例は存在しなかったが、本年8月、委員会は初めての勧告を行った(リクナビ問題)。
個人情報保護法は、罰則を違反行為に対する最終的な実効性確保の手段とし、法人に対してもいわゆる両罰規定を設けているところ(法第87条)、罰金刑の効果は、刑罰を科せられる者の資力によって大きく異なる。個人情報取扱事業者の中には、十分な資力を持つ者も含まれるところ、法人に対して、現行法のように行為者と同額の罰金を科したとしても、罰則として十分な抑止効果は期待できない。
そこで、制度改正大綱では、現行の法定刑について、法人処罰規定に係る重科の導入を含め、必要に応じた見直しを行うこととされている。
2.課徴金制度の導入について
課徴金制度の導入については、ペナルティ強化の一環としてこれを求める意見がある一方で、中間整理の意見募集等では、経済界等から反対の意見が寄せられた。
課徴金制度は、違反行為を行った事業者に経済的不利益を課すことにより、違反行為を事前に抑止することを目的とする制度である。現行法は、最終的な実効性確保の手段として刑事罰のみを予定しているところ、課徴金制度は、刑事罰の限界を補完し、規制の実効性確保に資するものである。
特に域外適用を受ける外国事業者の違反行為に対しては、国内事業者と同様に法執行を行う必要があるところ、課徴金制度は、外国事業者に対する有効な法執行手段となり得る。
 また、諸外国の個人情報保護法制において、違反行為に対して、高額の制裁金を課すことによって規制の実効性を確保している例がある(GDPRの制裁金参照)。
 他方、国内他法令における課徴金制度は、不当利得を基準として課徴金を算定している例が多く、我が国の法体系特有の制約があることから、法制的な課題もある。
そこで、制度改正大綱では、課徴金制度の導入については、我が国の法体系、執行の実績と効果、国内外事業者の実態、国際的な動向を踏まえつつ、引き続き検討を行っていくものとされた。
 
〇GDPRの義務違反に対する制裁金
制裁金の上限額の基準 義務違反の類型
事業体の全世界年間売上高の2%、または、1,000 万ユーロのいずれか高い方(GDPR83条4項)
〇16 歳未満の子どもに対する直接的な情報社会サービスの提供に関する個人データの処理には、子に対する保護責任を持つ者による同意または許可が必要という条件に従わなかった場合(8条)
〇適切な技術的・組織的な対策を実施しなかった、またはそのような措置を実施しない処理者を利用した場合(25条、28条)
〇EU 代理人を選任する義務を怠った場合(27条)
〇処理活動の記録を保持しない場合(30条)
〇監督機関に協力しない場合(31条)
〇リスクに対する適切なセキュリティレベルを保証する適切な技術的・組織的な対策を実施しなかった場合(32条)
〇セキュリティ違反を監督機関に通知する義務を怠った場合(33条)
〇データ主体に通知しなかった場合(34条)
〇データ保護影響評価を行なわなかった場合(35条)
〇データ保護影響評価によってリスクが示されていたにも関わらず、処理の前に監督機関に相談しなかった場合(36条)
〇データ保護オフィサー(DPO)を選任しなかった場合、または、その職や役務を尊重しなかった場合(37~39条)
〇認証機関の義務違反(42条、43条)
〇監視団体の義務違反(41条4項)
事業体の全世界年間売上高の4%、または、2,000 万ユーロのいずれか高い方(GDPR83条5項、6項)
〇個人データの処理に関する原則を遵守しなかった場合(5条)
〇適法に個人データを処理しなかった場合(6条)
〇同意の条件を遵守しなかった場合(7条)
〇特別な種類の個人データの処理の条件を遵守しなかった場合(9条)
〇データ主体の権利およびその行使の手順を尊重しなかった場合(12-22条)
〇個人データの越境データ移転の条件に従わなかった場合(44-49条)
〇第9章に基づく加盟国の国内法の義務の不遵守
〇監督機関の命令(58条)に従わなかった場合
 

[1]https://search.e-gov.go.jp/servlet/Public?CLASSNAME=PCMMSTDETAIL&id=240000058&Mode=0