第4回情報法制シンポジウム 1(個人情報保護法 改正の行方)「2020年改正の概要と課題」

第4回情報法制シンポジウム 1(個人情報保護法 改正の行方)「2020年改正の概要と課題」

第4回情報法制シンポジウム

テーマ1「個人情報保護法 改正の行方」 〜

これは「2020年改正の概要と課題」のノートです。

この記事に問題がある場合 @niwatako へご連絡ください。

2020年改正の概要と課題(板倉 陽一郎)

最小限の概要をお伝えし改正で何が起きたかお伝えしたい。

個人の権利・利益の保護と個人情報の有用性のバランスを測るための法律。

事業者に義務を持ってもらうことで個人の権利・利益を保護する

27年改正でも令和2年改正でもバランスは崩していない、規制強化でも緩和でもない。

利活用制度に比べると義務は増えた。それでもバランスは崩していないという委員会の建前。

今後もおそらくこのバランスは崩れないということになる。事件がない限り、3年毎見直しで改正の議論をするが、有用性と権利利益強化の療法が検討されると思われる。


個人情報保護委員会は現時点では民間事業者しか監督していない。


27年改正前は個人情報保護委員会ではなくて各省庁が、金融庁が金融機関の個人情報保護を行う、などで監督していた。総務省は電気通信事業者の義務を守らせつつ個人情報を守らせていた。それが個人情報保護委員会に一元化された。


公的機関は独立行政法人、地方自治体は監督されていない、ここに手を入れるのは21年?改正。


個人情報保護法令は総論と民間に義務を課している部分に分かれている。


個人情報保護委員会の資料で、政令規則については夏には方向性を出すというのが15日段階の資料で出ている。

ガイドラインは令和3年4月5月に意見募集。

基本的なルールを復習すると取得段階では同意を要求していない。

取得したら目的を本人に通知公表する。

保管するならセキュリティの義務がかかる。

第三者提供は本人の同意が必要。

本人から開示を求められたとき、個人情報保護法では消費者に限らないので本人と呼んでいる、開示訂正利用停止に対応する必要がある。


取得利用については個人情報段階

データベースに入ると個人データになりセキュリティや第三者提供のルールがかかる。

6ヶ月以上保持すると開示訂正削除に応じなければならない


GDPRは保有個人データは管理者が持っているだけということでわかりやすいが日本はそういう概念を持っていない。

個人データと保有個人データの分類が変わるわけではない。

こんなふうに義務としては段階的になっている。

理解しておいたほうがいいのはリクナビ事件と提供元基準。

何をもって個人データの第三者提供と呼ぶのか。

個人データを切り出して第三者提供する場合に切り出した部分が個人情報でなければ第三者提供ではないのではないかという議論があるが、少なくとも政府の理解では提供元で判断する。提供元で個人情報であるものを切り出しても個人情報。


赤で囲ったところ。提供先で個人情報として認識できなくても、提供元で個人情報として扱うことを求めている。


これを理解しておかないと、0橋先で個人データになるということが理解できない。

リクナビの指導・勧告、2回行われている。

提供元で個人データではない、提供先で個人データになる、そういうものを提供することについてどういうふうに書いていたか。


8月の段階で、これはカッコの中、シンプルに書いてあった

リクルートキャリアから顧客企業への個人データの第三者提供が行われない形態

第三者提供でないということをシンプルに確認していた。


これが12月になると怒り出す。

法の趣旨を先達した極めて不適切なサービスを行っていた。


同じことをしているのに、突如怒っている。


ここは勧告の原因となる事実ではないのだけど、怒り出している。

お客さんに何を言うかと言うと、A社がお客さんに、学生さんに紐づく形でCookieを埋め込ませてください、といって埋め込んだ。アンケートの体裁で。


A社はクッキーを自社サイトや他にも埋め込ませ、履歴等から内定辞退スコアをつくってCookieに紐づけてB社に返す。

Cookieを提供しているのでB社には第三者提供の同意が必要だが、A社は個人を特定できないので個人情報ではない。


このときA社は個人情報を第三者提供していないからいいのか?


実際にはリクナビは完全に氏名住所に近いもので突合していたので違法だと言われていたが、そこに至るまではCookieだけでやっていた。


これを8月の時点では、個人情報の第三者提供が行われない形態、としていたが、12月には怒り始めた。今回の改正で提供先で個人情報になるものという今回の改正が理解できる。

3年毎に改正しなくていいけど議論しましょうということになっている。

10年以上サボっていた。

他の国がコミッショナーだと言っている間に


いろいろな反省が会って27年改正で3年毎に見直そうとなった。

令和2年に結論出さないとというなんとなくのスケジュールが会った。

30年の年末から議論を始めている。

法案を出して、だめかなと思った。個人情報保護法は個人情報保護委員会、内閣所管で、内閣委員会で議論する。

4番目の議題だった。

1番目は検察官の定年延長、加えてコロナで全然開かれないし。

それが麻雀で踏み込んで全部吹っ飛んだから個人情報保護法まで順番が回ってきた。


先々週、可決し先週末に交付された。令和二年法律第44号


前回と比べて国会審議が短い。あまり、国会審議からこういう解釈ですということがわからない。


参考人質疑とかもコロナ対策でミニマムにしてしまい、麻雀で揉めて時間がないので非常にコンパクトに審議をしたので、国会で解釈がわかりましたというのがなかなかない。


改正の大綱の内容

ほぼこれが法律の概要に入っている。

この項目を順番に説明していきます。


まず、左、1−1から、リクナビ事件の対応が一つはいっている。


利用停止消去等の個人の請求権について、いままでは違法なことをしたときだけ請求できるということになっていた。普通の事業者はDM送らないでというと対応してくれるが、あれはあれはサービス。法律上、利用停止や消去は違法なときしかできなかったが、個人の権利または正当な利益が害される恐れがある場合にも請求できる。


それから開示請求権について、今まで原則紙だった。産業界は電磁的記録だけにしてくれと言っていた。みなさんもクレジットカードの履歴とか紙じゃなくすればポイントもらえるとかあると思いますけど、ストレートにコストに跳ね返ってくるのでデータでやりたいというのが産業界の希望だった。原則電磁的記録になった。要望が通ったと言えば通ったが、紙でお願いしまうと言われると断れるわけではない。電磁的記録が原則というところまでは来た。

ポータビリティー権まで来たかと言うとそこまでは来ていない。GDPRでは一般的なフォーマットでということがあるが個人情報保護法はそこまではいっていない。競争政策が関わるのでデジタルプラットフォーム全体の政策でやるということで。でもそちらでもそこまで入ってない。


第三者提供の確認記録義務

いままで確認記録義務にかかる記録は、開示請求の対象になるかどうかは保有の仕方によったが、今後は保有の仕方によらず開示請求の対象になる。第三者提供記録の義務からは逃れられない。


保有個人データの六ヶ月制限がなくなる。


1−5は背景が説明必要。オプトアウトでもらってきたものをオプトアウトで出すのが禁止されてきた。

前回オプトアウトを厳しくした。

今回もリクナビ事件や破産者マップが議題になったが前回はベネッセ事件。犯人が名簿屋さん3社に売ってそこから売られた。

いままで名簿屋には目をつぶってきた。


個人情報保護委員会になるまで、消費者団体が名簿屋をなんとかしろと言っても、どこの管轄もうちではないと言っていた。

名簿屋さんが前回改正で厳しくなった。

届け出制にして個人情報保護委員会に届け出ろとした。名簿屋はお互いデータを持ち合っているらしい。お互い名寄せしている。オプトアウトで。それはだめだろということでオプトアウトで持ち合うことをやめた。


漏洩についての委員会への報告・本人通知が義務化される。

ここは一部だけ法的義務で今までは、告示上の義務だった。従わないところもある。ひどいところは法律上の義務で従わなかった来訪。

マイナンバー法も一部法律上の義務でいっしょなのだが、しきい値は委任されていてまだ決まっていない。


違法・不当な行為を助長する等の不適正な方法により個人情報を利用してはならない

この背景には破産者マップの事件がある。

官報のデータを引っこ抜いてgoogle Mapに公表する。想定されているのがそのぐらいのkと。


認定個人情報保護団体、銀行だったら銀行全部をカバーしないといけない。

やめるときに個人情報について文句言うような苦情申立にも認定団体が対応しなくてはいけなかった。

顧客情報だけですよ、ということができるようになる。


仮名加工情報

第三者提供できないが開示利用停止請求への開示義務を緩和


提供元では個人データに該当しないものの、提供先で個人データとなることが想定される情報の第三者提供について、提供先で本人同意が得られていること等の確認義務をつける。


罰金についてMax1億円、普通の罰金もちょっとずつ大きくなっている。

日本の個人情報保護状罰則が課されたのは1件もないが。

 

外国第三者への提供時にもうちょっと情報提供しなさい

「当該外国制度の概要を説明する。」

 

ピックアップ

具体的な行動規範

読んでも全くわからない


個人情報である仮名加工情報:個人情報なので色々義務があるのが基本だが、こういう義務はないということが書かれている。

個人情報で内科名加工情報:基本義務なし


仮名加工情報になったから第三者提供できるというのはどちらでもない。DMにも使えない。

個人情報である、とない、の区別が私は未だにわかりません。

識別できないように加工されているのに個人情報でない仮名であることがあるのか

もうちょっと委員会の話を聞かないといけないと思っている。

個人に関連する情報から個人に関する情報と仮名加工情報と匿名加工情報を抜いたもの。

これを第三者に提供したら個人情報になる場合に同意が必要。

出す先が同意をえていることを、出す側が確認せよ。

外国にある第三者への個人データの提供について

外国における制度をどうやって伝えるのかは悩ましいところ

委員会は、OECBのこれに入っているとかその程度で良いと言っているがその程度でいいことになるのかはわからない。


委託の場合も出てくるので、けっこう大変だなと思う。

Remaining : 0 characters / 0 images
100

Sign up / Continue after login

Related stories

Writer

Share

Popular stories

MacでZoomやGoogle Hangout meetを録音・録画して聖徳太子になろう

8591

【今日からできるビットコインつみたて方法3つ】自動で簡単、手動でお得、プログラムで自動でお得

3394

Pepecash 〜1匹のカエルの数奇な物語〜

1333