令和2年(2020年)10月14日に開催された第155回個人情報保護委員会においては、「改正法に関連する政令・規則等の整備に向けた論点について(公表事項の充実)」についての審議がなされました。
保有個人データに関する事項の公表等の充実は、「個人情報の保護に関する法律等の一部を改正する法律」(令和2年法律第44号)に関連する改正事項であり、政令・ガイドラインにおいて今後改正が予定されている事項です。
同改正予定項目は、法律自体の改正項目ではありませんが、プライバシーポリシーや利用目的の外部への公表において重要な影響を与えるものです。
_
執筆者:渡邉雅之
*本ニュースレターに関するご相談などがありましたら、下記にご連絡ください。
弁護士法人三宅法律事務所
弁護士渡邉雅之
TEL 03-5288-1021
FAX 03-5288-1025
Email_m-watanabe@miyake.gr.jp
_
保有個人データに関する事項の公表等の充実
_
(保有個人データに関する事項の公表等)
第27条 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
一 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
二 全ての保有個人データの利用目的(第18条第4項第1号から第3号までに該当する場合を除く。)
三 次項の規定による求め又は次条第1項(同条5項において準用する場合を含む。)、第29条第1項若しくは第30条第1項、若しくは第3項若しくは第5項の規定による請求に応じる手続(第33条第2項の規定により手数料の額を定めたときは、その手数料の額を含む。)
四 前3号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの
2・3(略)
〇個人情報の保護に関する法律施行令(※現行)
(保有個人データの適正な取扱いの確保に関し必要な事項)
第8条法第27条第1項第4号の政令で定めるものは、次に掲げるものとする。
一 当該個人情報取扱事業者が行う保有個人データの取扱いに関する苦情の申出先
二 当該個人情報取扱事業者が認定個人情報保護団体の対象事業者である場合にあっては、当該認定個人情報保護団体の名称及び苦情の解決の申出先
_
1 現行法
現行法では、個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならないこととされている(現行方27条1項各号、同法施行令8条各号)。
�@当該個人情報取扱事業者の氏名又は名称(※2020年改正で「住所並びに法人にあっては、その代表者の氏名」が追加される。)
�A全ての保有個人データの利用目的(第18条第4項第1号から第3号までに該当する場合を除く。)
�B次項の規定による求め又は次条第1項(同条第5項において準用する場合を含む。)、第29条第1項若しくは第30条第1項、第3項若しくは第5項の規定による請求に応じる手続(第33条第2項の規定により手数料の額を定めたときは、その手数料の額を含む。)
�C当該個人情報取扱事業者が行う保有個人データの取扱いに関する苦情の申出先
�D当該個人情報取扱事業者が認定個人情報保護団体の対象事業者である場合にあっては、当該認定個人情報保護
�E団体の名称及び苦情の解決の申出先
_
これは、開示請求等により、本人が保有個人データに適切に関与することを可能とし、個人情報の取扱いに関する透明性を確保する観点から定められたものである。
_
2 現行制度の課題
法27条1項の趣旨は、本人関与の実効性確保であるが、現行法上、事業者の保有個人データの取扱いについて、本人がその内容を判断する材料は利用目的のみである。
消費者自らの情報の取扱いに対する関心や、関与への期待が高まる中、また、AI・ビッグデータ時代を迎え、個人情報の活用が一層多岐にわたる中、事業者が個人情報を取り扱う際に、本人の権利利益との関係で説明責任を果たしつつ、本人の予測可能な範囲内で適正な利用がなされるよう、環境を整備していくことが重要である。
制度改正大綱においては、本人の適切な理解と関与を可能としつつ、事業者における個人情報の適切な取扱いを促す観点から、�@個人情報の取扱体制や講じている措置の内容(下記3参照)、�A保有個人データの処理の方法(下記4参照)等の本人に説明すべき事項を、法に基づく公表事項として追加することとしている。
第3章 個別検討事項
第3節 事業者における自主的な取組を促す仕組みの在り方
2.民間の自主的取組の推進
○ 個人情報を保護するための体制整備や適正に取り扱うための取組の内容については、事業者の取り扱う情報の性質等に応じて、自主的に行われることが求められるが、こうした取組を促進する観点から、何らかの枠組みが設けられていることが、事業者及びその経営者の意識を高める上で重要である。
○ したがって、個人情報取扱事業者による保有個人データの本人に対する説明の充実を通じて、本人の適切な理解と関与を可能としつつ、個人情報取扱事業者の適正な取扱いを促す観点から、個人情報の取扱体制や講じている措置の内容、保有個人データの処理の方法等の本人に説明すべき事項を、法に基づく公表事項(政令事項)として追加することとする。
_
3 取扱体制や講じている措置の公表について
(1)基本的な考え方
個人情報保護委員会が把握した漏えい事案が増加傾向(注)にあるなど、本人の権利利益が侵害されるおそれが高まっている中で、事業者による個人情報の取扱体制や講じている措置の内容についても、本人にとって重大な関心事項である。
(注)平成29年度3,338件、平成30年度4,380件、令和元年度4,520件
しかしながら、事業者の保有個人データの取扱いについて、本人がその内容を判断する材料は利用目的のみであり、現行法上、その取扱体制や講じている措置について把握することは困難である。
たとえ利用目的が適正なものだとしても、体制整備や措置が不十分な場合は、本人が開示や利用停止等の請求を行う必要がある場合も考えられる(例:過去に漏えい事案等を発生させた事業者において、安全管理措置が不十分であると判断した本人が、利用停止等を請求する場合)。
したがって、事業者の取扱体制や講じている措置を本人が把握できることが重要である。
(2)政令の方向性
本人にとっては、自身の権利利益侵害の防止のために、どのような体制整備や措置が講じられているかを把握できればよく、その観点から、個人データの漏えい防止等のために、法20条の規定により講じた安全管理措置(基本方針の策定、個人データの取扱いに係る規律の整備、組織的・人的・物理的・技術的安全管理措置)についての情報が公表されれば、権利利益との関係においても、本人の適切な関与が可能となると考えられる。
したがって、個人情報保護委員会としては、どのような安全管理措置が講じられているかについて、本人が把握できるようにする観点から、法定公表事項(政令事項)として、法第20条の規定により安全管理のために講じた措置を公表させる方向である。
(3)留意事項
取り扱われる個人情報の内容、個人情報の取扱いの態様等によって、事業者に求められる措置は様々であるため、法20条の安全管理措置規定は、措置の具体的な内容を一律に規定していない。同様に、その公表についても、内容を一律に規定することは望ましくないと考えられる。
他方、セキュリティ対策の具体的な技術手法のように、その内容の公表により、安全管理に支障を及ぼす場合等も考えられるため、政令の規定上、公表を求める事項から、公表することにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを明示的に除外することが検討されている。
なお、事業者に対する予測可能性確保等の観点から、ガイドラインにおいて、法第20条の安全管理措置規定のように、公表事項及び支障を及ぼすおそれがあるものの例示を行うことが考えられる(例示においては、中小規模事業者にも配慮した内容を盛り込むことも考えられる)。
(4)公表の具体例
上記(3)の留意事項で記載した「安全管理のために講じた措置の例」および「支障を及ぼすあるものの例」としては以下のものが考えられる。
〇 安全管理のために講じた措置の例
内部規律の整備(取得、利用、提供、廃棄といった段階ごとに、取扱方法や担当者及びその任務等について規定を策定し、定期的に見直しを実施している旨等)
組織体制の整備(責任者を設置している旨及びその役職・任務等、漏えい等を把握した場合の報告連絡体制等)
定期点検・監査(定期的な自己点検、他部署監査、外部主体監査の実施等)
従業者の教育(定期的に研修を実施している旨、秘密保持に関する事項を就業規則等に盛り込み周知している旨等)
不正アクセス等の防止(外部からの不正アクセスから保護する仕組みを導入している旨等)
外的環境の把握(外国で個人データを取り扱っている場合の外国の個人情報保護制度等)
〇支障を及ぼすおそれがあるものの例
個人データが記録された機器等の廃棄方法、盗難防止のための管理方法
個人データ管理区域の入退室管理方法
アクセス制御の範囲、アクセス者の認証手法等
不正アクセス防止措置の内容等
_
(5)外部環境の把握について
上記(4)の「安全管理のために講じた措置の例」の一つとして「外部環境の把握」がある。
個人情報を取り巻くリスクは技術的、社会的環境に応じて変化するものであり、個人情報取扱事業者は、自らのおかれた環境を認識しリスクを把握した上で、安全管理措置や本人の予見可能性向上のための措置等を適切に講じることが求められる。
2020年改正においては、このような変化の一つである外国における制度等の外的環境に起因するリスクに着目し、個人情報取扱事業者が、外国にある第三者への個人データの提供時に、当該外国における制度等、当該第三者における個人情報の取扱いに関する本人への情報提供の充実等を求めている(改正24条)。
このような改正の前提となる状況の変化については、日本に所在する事業者が個人データを第三者に越境移転する場合と同様に、事業者自らが、取得した個人データを外国で取り扱う場合においても直面するものであり、それに応じた安全管理措置を適切に講じる必要がある。
以上の理解の下、今般の法改正の前提にある外国における個人データの取扱いに関わる外的環境のリスクとしての高まりを重視し、事業者が、外国において個人データを取り扱う場合、当該外国の制度等を把握した上で安全管理措置を講ずべき旨を、ガイドラインで明確化することとされている。その際、安全管理措置の公表の一環として、事業者が把握した外国制度等の公表を求めていくことも考えられる
_
4 取扱体制や講じている措置の公表について
(1)基本的な考え方
技術の進展等に伴い、個人情報の取扱いが多様化・複雑化している中、消費者本人にとっては、これまでの利用目的のみでは、どのように自身の個人情報が取り扱われているかを合理的に想定できなくなっている場合も考えられる。
例えば、いわゆる「プロファイリング」といった、本人から得た情報をもとに、その情報と異なる本人に関する情報を予測等して活用する場合、本人が当初想定していないような形で本人に影響を与え得る。
このような場合、本人が個人データの処理方法を把握できれば、そういった懸念も解消され得るが、その公表については、営業秘密の流出等を懸念する意見も制度改正大綱のパブリックコメントとして個人情報保護委員会に寄せられている。
また、分析アルゴリズムなどの処理方法を公表することが、必ずしも個人データの取扱いに対する理解の促進や不安軽減に資するとは限らない。
しかし、消費者本人にとっては、利用目的からは想定できないような取扱いが行われる場合に、そういった取扱いが行われていることを本人が認識できるようにすることが重要である。
したがって、個人情報保護委員会においては、個人データの処理方法公表の義務化ではなく、利用目的の特定を通じて本人がどう取り扱われているか認識できるようにすることが検討されている。
(2)ガイドライン改正の方向性
利用目的の特定(法15条1項)の趣旨は、個人情報を取り扱う者が、個人情報がどのような事業の用に供され、どのような目的で利用されるかについて明確な認識を持ち、できるだけ具体的に明確にすることにより、個人情報が取り扱われる範囲を確定するとともに、本人の予測を可能とすることにある。
_ その特定の程度については、事業内容等に照らして、個人情報が具体的にどのように取り扱われることとなるか、本人からみて一般的かつ合理的に想定できる程度に明確であることが望ましく、本人が合理的に予測・想定できないような場合は、法の趣旨に沿って利用目的を特定しているとは言えないものと考えられる。
したがって、本人が合理的に予測等できないような個人データの処理が行われる場合、ガイドラインにおいて、どのような取扱いが行われているかを本人が予測できる程度に利用目的を特定することを求めることが検討されている。
(3)具体例
例えば、いわゆる「プロファイリング」といった、本人から得た情報から、本人に関する行動、関心等の情報を分析する場合、本人がそういった分析が行われていることを把握していなければ、本人にとって想定しえない形で取り扱われる可能性があり、これは合理的に想定された目的の範囲を超えているとも考えられ、この場合、利用目的を合理的に想定できる程度に特定したことにはならない。
このような場合には、どのように自身の情報が取り扱われているかを本人が予測できる程度に利用目的を具体的なものとすることを求める。
【本人から得た情報から、行動、関心等の情報を分析する場合の利用目的の例】
1.閲覧履歴や購買履歴等の情報を分析することによって、本人の趣向等に応じた広告を配信するケース
〇取得した閲覧履歴や購買履歴等の情報を分析して、趣向に応じた新商品・サービスに関する広告のために利用いたします。
_広告配信のために利用いたします。
2.履歴書や面接で得た情報のみならず、(本人が分析されることを想定していない)行動履歴等の情報を分析し、人事採用に活用するケース
〇履歴書や面接で得た情報に加え、行動履歴等の情報を分析して、当該分析結果を採否の検討・決定のために利用いたします。
_取得した情報を採否の検討・決定のために利用いたします。
3.行動履歴等の情報を分析の上、結果をスコア化した上で、当該スコア(自体を提供することを本人に通知等することなく)を第三者へ提供するケース
〇取得した行動履歴等の情報を分析し、結果をスコア化した上で、当該スコアを第三者へ提供いたします。
_取得した情報を第三者へ提供いたします。