第4回情報法制シンポジウム 1（個人情報保護法改正の行方）「2020年改正の概要と課題」

niwatako

2020-06-16 20:41:11

第4回情報法制シンポジウム

〜テーマ1「個人情報保護法改正の行方」〜

これは「2020年改正の概要と課題」のノートです。

この記事に問題がある場合 @niwatako へご連絡ください。

2020年改正の概要と課題(板倉陽一郎)

最小限の概要をお伝えし改正で何が起きたかお伝えしたい。

個人の権利・利益の保護と個人情報の有用性のバランスを測るための法律。

事業者に義務を持ってもらうことで個人の権利・利益を保護する

27年改正でも令和2年改正でもバランスは崩していない、規制強化でも緩和でもない。

利活用制度に比べると義務は増えた。それでもバランスは崩していないという委員会の建前。

今後もおそらくこのバランスは崩れないということになる。事件がない限り、3年毎見直しで改正の議論をするが、有用性と権利利益強化の療法が検討されると思われる。

個人情報保護委員会は現時点では民間事業者しか監督していない。

27年改正前は個人情報保護委員会ではなくて各省庁が、金融庁が金融機関の個人情報保護を行う、などで監督していた。総務省は電気通信事業者の義務を守らせつつ個人情報を守らせていた。それが個人情報保護委員会に一元化された。

公的機関は独立行政法人、地方自治体は監督されていない、ここに手を入れるのは21年？改正。

個人情報保護法令は総論と民間に義務を課している部分に分かれている。

個人情報保護委員会の資料で、政令規則については夏には方向性を出すというのが15日段階の資料で出ている。

ガイドラインは令和3年4月5月に意見募集。

基本的なルールを復習すると取得段階では同意を要求していない。

取得したら目的を本人に通知公表する。

保管するならセキュリティの義務がかかる。

第三者提供は本人の同意が必要。

本人から開示を求められたとき、個人情報保護法では消費者に限らないので本人と呼んでいる、開示訂正利用停止に対応する必要がある。

取得利用については個人情報段階

データベースに入ると個人データになりセキュリティや第三者提供のルールがかかる。

6ヶ月以上保持すると開示訂正削除に応じなければならない

GDPRは保有個人データは管理者が持っているだけということでわかりやすいが日本はそういう概念を持っていない。

個人データと保有個人データの分類が変わるわけではない。

こんなふうに義務としては段階的になっている。

理解しておいたほうがいいのはリクナビ事件と提供元基準。

何をもって個人データの第三者提供と呼ぶのか。

個人データを切り出して第三者提供する場合に切り出した部分が個人情報でなければ第三者提供ではないのではないかという議論があるが、少なくとも政府の理解では提供元で判断する。提供元で個人情報であるものを切り出しても個人情報。

赤で囲ったところ。提供先で個人情報として認識できなくても、提供元で個人情報として扱うことを求めている。

これを理解しておかないと、0橋先で個人データになるということが理解できない。

リクナビの指導・勧告、2回行われている。

提供元で個人データではない、提供先で個人データになる、そういうものを提供することについてどういうふうに書いていたか。

8月の段階で、これはカッコの中、シンプルに書いてあった

リクルートキャリアから顧客企業への個人データの第三者提供が行われない形態

第三者提供でないということをシンプルに確認していた。

これが12月になると怒り出す。

法の趣旨を先達した極めて不適切なサービスを行っていた。

同じことをしているのに、突如怒っている。

ここは勧告の原因となる事実ではないのだけど、怒り出している。

お客さんに何を言うかと言うと、A社がお客さんに、学生さんに紐づく形でCookieを埋め込ませてください、といって埋め込んだ。アンケートの体裁で。

A社はクッキーを自社サイトや他にも埋め込ませ、履歴等から内定辞退スコアをつくってCookieに紐づけてB社に返す。

Cookieを提供しているのでB社には第三者提供の同意が必要だが、A社は個人を特定できないので個人情報ではない。

このときA社は個人情報を第三者提供していないからいいのか？

実際にはリクナビは完全に氏名住所に近いもので突合していたので違法だと言われていたが、そこに至るまではCookieだけでやっていた。

これを8月の時点では、個人情報の第三者提供が行われない形態、としていたが、12月には怒り始めた。今回の改正で提供先で個人情報になるものという今回の改正が理解できる。

3年毎に改正しなくていいけど議論しましょうということになっている。

10年以上サボっていた。

他の国がコミッショナーだと言っている間に

いろいろな反省が会って27年改正で3年毎に見直そうとなった。

令和2年に結論出さないとというなんとなくのスケジュールが会った。

30年の年末から議論を始めている。

法案を出して、だめかなと思った。個人情報保護法は個人情報保護委員会、内閣所管で、内閣委員会で議論する。

4番目の議題だった。

1番目は検察官の定年延長、加えてコロナで全然開かれないし。

それが麻雀で踏み込んで全部吹っ飛んだから個人情報保護法まで順番が回ってきた。

先々週、可決し先週末に交付された。令和二年法律第44号

前回と比べて国会審議が短い。あまり、国会審議からこういう解釈ですということがわからない。

参考人質疑とかもコロナ対策でミニマムにしてしまい、麻雀で揉めて時間がないので非常にコンパクトに審議をしたので、国会で解釈がわかりましたというのがなかなかない。

改正の大綱の内容

ほぼこれが法律の概要に入っている。

この項目を順番に説明していきます。

まず、左、１−１から、リクナビ事件の対応が一つはいっている。

利用停止消去等の個人の請求権について、いままでは違法なことをしたときだけ請求できるということになっていた。普通の事業者はDM送らないでというと対応してくれるが、あれはあれはサービス。法律上、利用停止や消去は違法なときしかできなかったが、個人の権利または正当な利益が害される恐れがある場合にも請求できる。

それから開示請求権について、今まで原則紙だった。産業界は電磁的記録だけにしてくれと言っていた。みなさんもクレジットカードの履歴とか紙じゃなくすればポイントもらえるとかあると思いますけど、ストレートにコストに跳ね返ってくるのでデータでやりたいというのが産業界の希望だった。原則電磁的記録になった。要望が通ったと言えば通ったが、紙でお願いしまうと言われると断れるわけではない。電磁的記録が原則というところまでは来た。

ポータビリティー権まで来たかと言うとそこまでは来ていない。GDPRでは一般的なフォーマットでということがあるが個人情報保護法はそこまではいっていない。競争政策が関わるのでデジタルプラットフォーム全体の政策でやるということで。でもそちらでもそこまで入ってない。

第三者提供の確認記録義務

いままで確認記録義務にかかる記録は、開示請求の対象になるかどうかは保有の仕方によったが、今後は保有の仕方によらず開示請求の対象になる。第三者提供記録の義務からは逃れられない。

保有個人データの六ヶ月制限がなくなる。

1−5は背景が説明必要。オプトアウトでもらってきたものをオプトアウトで出すのが禁止されてきた。

前回オプトアウトを厳しくした。

今回もリクナビ事件や破産者マップが議題になったが前回はベネッセ事件。犯人が名簿屋さん3社に売ってそこから売られた。

いままで名簿屋には目をつぶってきた。

個人情報保護委員会になるまで、消費者団体が名簿屋をなんとかしろと言っても、どこの管轄もうちではないと言っていた。

名簿屋さんが前回改正で厳しくなった。

届け出制にして個人情報保護委員会に届け出ろとした。名簿屋はお互いデータを持ち合っているらしい。お互い名寄せしている。オプトアウトで。それはだめだろということでオプトアウトで持ち合うことをやめた。

漏洩についての委員会への報告・本人通知が義務化される。