Policy(提言・報告書) 科学技術、情報通信、知財政策  令和2年改正個人情報保護法政令・規則案に対する意見

2021年1月25
一般社団法人 日本経済団体連合会
デジタルエコノミー推進委員会企画部会

Society 5.0の実現に向けては、個人データを含むデータの適正な利用が鍵であり、個人の納得・信頼を前提としたうえで事業者が円滑に個人データを利活用できる仕組みが不可欠である。改正法に基づく新たな規律が事業者に過度の負担を課すものであったり、具体的に講ずるべき措置が曖昧なものであったりすれば、個人データの円滑な利活用を妨げ、個人の権利利益の保護を損なうこととなる。

以上のような認識のもと、令和2年改正個人情報保護法政令・規則案に対し、以下のとおり意見を述べる。

Ⅰ.政令案

個人情報の保護に関する法律施行令

第八条

  • 第1項における「保有個人データの安全管理のために講じた措置」について事業者が公表すべき内容、ならびに「安全管理に支障を及ぼすおそれがあるもの」の内容を具体的に示すとともに、アルゴリズムを含む複雑なデータ処理については公表を求めないことを明確にすべきである。

第九条

  • 第一号、第二号に該当する具体的な事例を示すべきである。

Ⅱ.規則案

第六条の二

  • 報告等の対象を各号に記載の「おそれがある事態」とすると、軽微な事案までもが対象となり、報告を受領する執行機関におけるコスト上昇や、通知を受ける本人の混乱を引き起こすことが懸念される。したがって、報告等の対象については、本人への権利利益を侵害する「おそれが高い」場合とすべきである。そのうえで、各号に該当する事例を具体的に示すとともに、例えばクレジットカード番号の一部(下四桁等)のみの漏えい等、他の容易に知り得る情報との照合を行っても個人の権利利益を害するおそれが小さい情報の漏えいは、報告等の対象とすべきでない。
  • 漏えい等の報告等について、サーバー内の個人情報を取り扱わないクラウドサービス提供事業者、ならびに利用者の責任の範囲を今後ガイドライン等で明確にすべきである。

第六条の三

  • 第1項第九号における「その他参考となる事項」の具体的な事例を示すとともに、報告に要する時間を勘案したうえで速報・確報についての妥当な目安・期限を示すべきである。その際、「不正の目的をもって行われたおそれがある個人データの漏えい等」(第六条の二第三号)の場合だけでなく、事実関係の把握等に時間を要することがやむを得ない場合についても、期限の設定を柔軟にすべきである。

第十一条の三

  • 「改正法に関連する政令・規則等の整備に向けた論点について(越境移転に係る情報提供の充実等)」(第157回個人情報保護委員会 資料2)を踏まえ、外国にある第三者に関する情報のうち、各国の個人情報保護制度に係る情報について、情報の質を担保するとともに事業者への過度の負担を避ける観点から、個人情報保護委員会が提供すべきである。
  • 「当該第三者が講ずる個人情報の保護のための措置に関する情報」の内容を具体的に示すべきである。
  • 「外国にある第三者」がサーバー内の個人情報を取り扱わないクラウドサービス提供事業者である場合の該当性を今後ガイドライン等で明確にすべきである。
  • 相当措置を継続的に講じる体制を整備している第三者に対し事業者が個人データを提供する場合の根拠として、法第二十四条第2項および本条に基づく情報提供を経た本人同意の取得と、法第二十四条第3項および規則第十一条の四に基づく措置のいずれを選択することも可能であるということを明確にすべき。

第十一条の四

  • 第1項一号における「適切かつ合理的な方法による定期的な確認」は、事業者への過度の負担にならないものとしたうえで、内容を具体的に示すべきである。
  • 第1項・第3項について、相当措置の内容が妥当なものか事業者や本人が判断できるよう、第十一条の二各号における相当性の基準をより具体的に示すべきである。
  • 第2項・第3項について、「個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合」を明確にするとともに、書面による開示を行う場合に書面の量が膨大となる場合が該当することとすべきである。
  • 第3項各号における提供すべき情報の範囲をより具体的に示すべきである。

第十八条の二

  • 提供先の第三者における本人からの同意取得について、例えばウェブサイトにおいて必要な説明を行い、サービスの約款全般に関する包括的な意思表示をチェックボックスで求めるなど、本人の負担を軽減する方法を認めるべきである。
  • 第1項における「その他適切な方法」は、提供元において本人からの同意を取得する場合を含むべきである。
  • 提供元が提供先の第三者による申告の真正性を確認することには限界があるため、第2項における「適切な方法」は、一般的な注意力をもってすれば足りることとすべきである。

第十八条の五

  • 事業者への過度な負担を避けるため、個人関連情報に係る第三者提供の記録の保存は必要最低限の期間とすべきである。

第十八条の七

  • 仮名加工情報の活用が促進されるよう、作成に係る各号の基準をより具体的に示すべきである。
以上