1.個人情報保護委員会
個人情報保護法の改正によって個人情報保護委員会(以下、委員会)が設置され、消費者庁から委員会に法所管が移った。そして、2017年5月30日、主務大臣制(注)が廃止され、監督権限は委員会に一元化される。主務大臣制には、事業が複数官庁にまたがる場合の報告等の煩瑣、重畳執行のおそれ等のネガティブな意見が多かったところ、問題の解消が期待されていた。
(1)監督権限と委任
個人情報保護法は、個人情報取扱事業者・匿名加工情報取扱事業者が個人情報・匿名加工情報の不適切な取り扱いに対して、(1)報告徴収・立入検査(法40条)(2)指導・助言(法41条)(3)勧告・命令・緊急命令(法42条)の権限を有する。
このうち、(1)は、現在の主務大臣に相当する事業所管大臣へ委任することができる(法44条)。この権限委任は、(2)(3)の適切な行使に資する、実効的な事実調査のためになされるものであって、(ⅰ)緊急かつ重点的に個人情報の適正な取り扱いを確保する必要がある場合、(ⅱ)専門性を要する場合に認められる(施行令12条)。
(2)ガイドライン
ガイドラインは、行政庁の処分の基準を示すものとして重要な意味を持つ。委員会が公表する「個人情報の保護に関する法律についてのガイドライン」の各編は基本的な個人情報保護法の運用を示しているが、あわせて特定分野についてのガイドラインが設けられる予定である。この特定分野ガイドラインはまだ公表されていないが、金融、信用、サービサー、放送、電気通信事業、医療・介護等の分野について、その案がパブリックコメントに付されるなどしている。
2.認定個人情報保護団体
認定個人情報保護団体とは、業界・事業分野ごとの民間による個人情報の保護の推進を図るため、個人情報取扱事業者の個人情報の適正な取り扱いの確保を目的として、業務の対象となる個人情報取扱事業者・匿名加工情報取扱事業者(以下、対象事業者)についての苦情の処理、情報提供等の業務を行う(匿名加工情報を対象としないことも可能)。
主な改正は、個人情報保護指針(以下、指針)を作成する場合に、(1)作成にあたって消費者の意見を代表する者等の意見を聞くこと (2)作成した指針を委員会へ届け出ることとして手続きが加重されたこと(法53条1項―3項) (3)指針不遵守の対象事業者への勧告等による是正(同条4項)が求められることである。
3.個人情報の利活用と行政・司法
個人情報や匿名加工情報の利活用を実際に進めていくなかで、不適切な取り扱いに対して行政から執行を受ける、また個人情報の本人と争いとなるなど、企業はさまざまなリスクに直面している。
確かに、これまで行政からの執行リスクは、03年の法施行から一度も命令がなされていないことから高いとはいえない。委員会に権限が移行したとしても、改正に関するものでなければ、急に執行リスクが高まるとは考え難い。
一方で、今回の改正では開示、訂正、利用・提供停止の規定が、裁判上行使できる請求権として明確化され(法28―30条)、これまで個人情報の不適切な取り扱いに関して、個人情報保護法と離れて損害賠償等が争われてきたことに比べれば、司法リスクが拡大したことは否定できない。ただし、裁判所に訴えを提起するには、本人から個人情報取扱事業者への事前の請求が手続きとして求められるなど、当事者間での解決が基本となることに変更はない。そのほか、不適切な取り扱いに対して、直罰規定として「個人情報データベース等提供罪」(法83条)が新たに設けられている。
このように、今回の改正は、行政・司法に関して問題解決手法やルートが拡張されたものと評価できる。
企業は改正に過剰に反応することなく、本人と良好な関係を構築し、適切なかたちで個人情報の活用を進めていただきたい。改正法により、保護と利活用のバランスの取れたデータ利活用環境が醸成されることを期待する。
(注)主務大臣制=各省庁がその所管する事業分野ごとに対象となる事業者をそれぞれ監督する制度