Policy(提言・報告書) 科学技術、情報通信、知財政策  個人情報保護法の見直しへの意見

2014年3月18日
一般社団法人 日本経済団体連合会

世界の企業は、ヒト、モノ、カネに並ぶ第4の経営資源として「情報」に着目し、膨大な情報(いわゆるビッグデータ)の収集、蓄積、分析、革新的利活用策の開発競争を繰り広げている。

なかでも利用価値が高いとして最近注目されているのがパーソナルデータ#1である。適切な情報の保護・管理体制のもと、広く製造業、サービス業など業種横断的な利活用を進めることで、消費者や顧客目線に立った新事業の創出や、社会的課題の解決#2に向けたイノベーションの起爆剤となるものと期待される。

しかしながら、わが国においてはパーソナルデータの取り扱いに関するルールが不透明であることから、企業はその活用を躊躇する一方で、消費者が不安を感じる事態も生じている。そこで、経団連では、昨年1月の提言「情報通信技術の利活用による経済再生を目指して」のなかで、個人情報を取り扱う上でのルールの見直しや明確化を求めた#3

こうしたなか昨年6月に閣議決定された日本再興戦略のなかで、世界最高水準のデータ利活用環境の整備が明記され、パーソナルデータの利活用推進に向けた政府の検討が開始された。その後、IT総合戦略本部は「パーソナルデータの利活用に関する制度見直し方針」(以下「制度見直し方針」)を策定し、現在、2015年の通常国会への法案提出を目指した作業が進められている。本年6月には法改正の内容が大綱として取りまとめられる予定である。

今後の法改正等を通じ、パーソナルデータを安心かつ有効に利活用できる社会が実現し、成長戦略の推進に寄与できるよう、以下の通り提言する。

I.制度見直しへの基本的視点

1.透明性、予見可能性の向上

パーソナルデータの利活用が進まない最大の理由は、企業が遵守すべきルールの不明確さにある。このため企業活動は萎縮し、新しいビジネスに踏み込めないケースも多い。制度のグレーゾーンを解消し、透明性、予見可能性を具備した簡明なルールを構築していくことが最重要課題である。これは、消費者の制度に対する信頼性向上にもつながるものと期待される。

2.保護と利活用の適切なバランスの確保

今般の制度見直しの主たる目的は、パーソナルデータの利活用により民間の力を最大限引き出し、成長戦略に貢献することである。同時に、情報の取り扱いにおいて、消費者に不安感を与えるようなことがあってはならない。事業者に対する規制法としての個人情報保護法の位置づけを堅持しつつ、パーソナルデータの利活用と保護の適切なバランスを確保していくことが極めて重要である。

とりわけ、健康・医療、防災・減災関連など公共性が高く、社会的便益が大きい分野については情報の取り扱いに十分な配慮をしつつ、他分野に比して利活用促進に、より軸足を置くことが適切である。特別立法の必要性を含め、高度な利活用の促進策を検討する必要がある。

3.社会的コストの最小化

制度の見直しにあたっては、常に費用対効果を視野に入れながら、社会全体のコスト低減を目指す必要がある。特に、事業者は法の遵守のために既に多大なコストを払っており、追加負担が生じないよう十分な配慮が求められる。

  1. (1)今回の制度見直しは、加工により個人が特定される可能性を低減したデータの利用・流通を事業者が行う際に、当該データの取り扱いに係るルールや事業者が負うべき義務を法的に明確化することを大きな柱としている。この目的の実現にあたっては、適切な個人情報の管理体制を整えている事業者の事務負担やコスト増を招かないよう可能な限りの配慮が求められる。  また、事業者がこのようなパーソナルデータの利用・流通を行わない場合には、従来以上の規制等が課されるべきではない。

  2. (2)現在の主務大臣制度#4のもとで、事案等が生じた企業に対し、複数の省庁より報告、説明を求められるケースが実際に生じている。今回の見直しを契機に重複行政を排除すべきである。

  3. (3)各省庁別のガイドラインや、各自治体の独自の条例やガイドラインが、企業の遵守コストを高めており、可能な限りの統一化が求められる。

  4. (4)企業が扱うパーソナルデータのなかで、特に個人情報としての機微性が低いデータ#5については、より簡素な取り扱いができるようにすべきである。

4.技術革新の変化に対応できる柔軟な制度

パーソナルデータの利活用は揺籃期にある。技術革新の速さや社会の急速な変化を踏まえれば、変化に対応し適切なタイミングで見直しを図ることが可能な柔軟な制度が望ましい。特に、法改正には時間がかかることから、ガイドラインの機動的な見直しによる対応や、マルチステークホルダーによるルール策定プロセス#6のあり方の検討を進める必要がある。

5.国際的な制度の調和化に向けた主体的取り組み

情報が国境を越えて容易に移動する今日においては、パーソナルデータの利活用を進める上で、関連諸制度の国際的調和化が重要となる。いうまでもなく法制度は、国や地域の文化的背景に根ざすものであり、わが国にとって最適なルールをまず構築する必要がある。その上で、海外において域外国に影響を及ぼすような過剰な規制が行われることのないよう、国際的な議論の喚起、制度の調和化にわが国が主体的に取り組む必要がある。

II.法改正に向けた具体的課題

1.定義の明確化

まず、「保護されるべきパーソナルデータの範囲」について明確に定義すべきである。その際、諸外国における定義との乖離は避けるべきである。また、ビジネスコンタクト情報等については、保護が過剰とならないように特段の配慮が必要である。

「個人が特定される可能性を低減したデータ」については、明確な定義づけを行うべきである。当該データを第三者提供における同意取得原則の例外とするための具体的な手続きについては、可能な限り簡素でわかりやすいものとすべきである。

なお、現行個人情報保護法における容易照合の要件は、その不明確さゆえに個人情報の範囲が際限なく拡大する可能性を孕むものである。容易照合の判断基準を含め検討が必要である。

2.第三者機関についての考え方

  1. (1) 目的および権限
    「制度見直し方針」では、パーソナルデータの利活用を図るため、独立した執行機関(第三者機関)を設立することとしている。第三者機関については、パーソナルデータの利活用促進を通じた成長戦略への寄与をも主たる目的として法律上明記し、個人情報の保護一辺倒ではなく、利活用の促進面での成果も適切に評価される組織とすべきである。
    第三者機関の機能・権限は、個人情報保護法全体のルールの明確化とのバランスに配慮すべきである。ルールが不明確なまま立入検査権などの強力な権限を持てば、事業活動は萎縮し、制度見直しの目的は果たせない。また、調査・執行権限を付与する場合には、事前の権限行使要件を明記するとともに、第三者機関の判断については司法が直接チェックする制度設計とすべきである。
    加えて、第三者機関の所管事務の一つとして、日本の行政機関を代表したプライバシーコミッショナー会議への出席など、諸外国との対話を行うことを明記すべきである。

  2. (2) 主務大臣制との二重行政の排除
    本来、事業者を監督するための行政機関は一元化されるべきものである。今回の法改正において、主務大臣制度を残したまま、第三者機関を設置しようとしていることに対し産業界のなかに懸念する意見が強い。主務大臣制度を残さざるを得ないのであれば、主務大臣制度と第三者機関の二重行政にならないように、明確な役割分担が不可欠である。現行の主務大臣に加えて第三者機関が監督を行うなど屋上屋を架すことがあってはならない。企業に対する行政の窓口は一元化し、万が一にも複数の行政機関から企業に対し重複した報告・説明の聴取が求められたり、法令等の異なった解釈が出されたりすることのないようにすべきである。

  3. (3) 執行等のあり方
    第三者機関には、立入検査権など、現在の主務大臣にはない強力な権限が検討の俎上にあがっている。こうした現行法にない新たな権限の行使は、加工により個人が特定される可能性を低減したデータの利用・流通(「本人同意なしの第三者提供」等)を事業者が行う場合に限定されるべきである。この点は、罰則等についても同様である。
    事業者が、このような形でのパーソナルデータの利活用は行わず、従前と同様の個人情報の管理業務等のみを行う場合については、規制等を強化すべきではない。また、行政の監督権限強化の前提として、上記1.に関し、事業者が判断に困らないだけの十分明確な定義づけを行う必要がある。
    その他、他法令#7に基づき第三者からの照会を受けた場合の個人情報の提供に関し、第三者機関は、他法令の所管官庁と連携し、個人情報保護法と他法令の要請を適切に調整する必要がある。

3.プライバシー影響評価#8について

プライバシー影響評価は、個人情報の漏えいなどのリスクを低減、回避するために事業者が自主的に取り組む手法として考えられている。他方、その手法は十分確立しておらず、事業者に大きな事務負担を課す恐れがあり、現時点での法的な義務付けは時期尚早である。先ずは政府、地方公共団体における今後の活用の成果をしっかりと評価、検証することが求められる。

4.ルールの国際的な調和化の促進

  1. (1) 国際的なルール作りへの参画
    グローバル市場においては、事業者の競争上のイコールフッティングの確保が特に重要である。制度の国際的な調和の実現に向け、「政府は、日本の個人情報保護制度の国際社会への発信、理解の醸成等を通じて国際的なルール作りに積極的に参加し、日本企業がグローバルに事業展開しやすい環境を整備する」旨を法律に明記すべきである。

  2. (2) 越境データ移転の円滑化の確保
    国境を越えた情報の移転に対し規制を強化する動きが一部の地域にあるが、グローバルに事業展開する企業は従業員情報や顧客に関する情報を、海外子会社や支店等との間で共有する必要がある。先ずはAPECのプライバシーフレームワーク#9の周知及び参加等#10が求められる。
    また、パーソナルデータの保護水準が十分でない他国への情報移転については、過度な制限を課すべきではない。例えば、業務委託に関する考え方を参考にするなど、必要かつ適切な監督を前提に自社の子会社や支店等で、自社と同等の安全管理措置がとられているようなグループ企業等との間のデータの移転は制限されるべきではない。

5.取得した個人情報の本人による開示、訂正、利用停止等の請求の履行

事業者の法的義務を検討する場合には、消費者の不安感の払拭に配慮しつつ付与されるべき権利の範囲を明確化するとともに、濫用的な開示訂正等の申し立てがなされないよう留意し、特に不合理な申し立てを排除するための要件設定等についても併せて検討する必要がある。また、事業者が現実的に対応可能な仕組みとするよう実際の企業実務を踏まえた慎重な検討が求められる。#11

6.グレーゾーン解消のための新たな仕組みの構築

希望する事業者に対し、自らが行おうとするパーソナルデータの利活用方法の適法性を含め、法令・ガイドライン等の解釈の事前確認を可能とするような、使い勝手の良いグレーゾーンの解消制度を、個人情報保護法制のなかに構築すべきである。制度設計にあたっては、可能な限り短い標準回答期間、公開に関する柔軟性#12等が求められる。

III.その他の課題

法改正には時間を要することから、法改正を待たずにできる制度の見直しは着実に実施すべきである。

1.ガイドラインの見直し等

容易照合性の判断、目的外利用・利用目的変更、共同利用を行う際に必要な手続き等の明確化・簡素化を実現すべく、ガイドラインを機動的に見直し、技術革新に柔軟かつ機動的に対応可能な仕組みとすべきである。

また、現在各省庁のガイドライン(27分野計40)に加え、地方自治体毎の条例やガイドラインの存在が事業者の負担となっている。政府は、まず各省庁のガイドラインを早急に共通化し、分野固有のルールが必要な場合は、法以上の義務を実質的に企業に課すことがない範囲で、共通化ルールに付加する体系に再構築すべきである。併せて、各地方自治体との粘り強い対話を行いながら、国と地方の条例やガイドラインの整合性を可能な限り担保する努力が求められる。

更に、マルチステークホルダープロセスなどを通じ、業種・業態に応じた公正かつ実効性のある自主的なルールが機動的に整備される体制が確立されることが望ましい。

2.広報啓発活動の強化

パーソナルデータの利活用により民間の力を最大限引き出すためには、本制度に対する消費者の理解の醸成が極めて重要である。企業はプライバシーポリシーの公表やわかりやすい利用規約の策定などに努める必要がある。

政府においては、諸外国におけるベストプラクティスの事例収集及び国民への紹介に取り組み、データ利活用の社会的意義を含め個人情報保護制度全般に関する広報啓発活動が求められる。

併せて、情報通信に関連する他法令等#13についても、国民に対するわかりやすい説明に努めるべきである。

以上

  1. 「個人情報」が、氏名、生年月日その他の記述により特定の生存する個人を識別できる情報を指す(個人情報保護法第2条)のに対し、「パーソナルデータ」は、個人に関する情報で、個人の行動・状況等に関する情報を含む概念として捉えられている。
  2. 健康長寿社会の実現、環境・エネルギー制約の緩和、防災・減災など。
  3. http://www.keidanren.or.jp/policy/2013/009.html参照
  4. 各事業者を所管する大臣が、主務大臣として当該事業における個人情報の適切な取扱いについて行政責任と権限を有する制度。
  5. 例えば、名刺などのビジネスコンタクト情報。
  6. 国、企業、消費者等の多様なステークホルダーが参画するオープンなルール策定プロセス。
  7. 国税徴収法、弁護士法等
  8. 個人情報の漏洩、その他のプライバシー侵害につながるような事態発生の危険性、影響に関する評価のための仕組み。わが国では共通番号制度の導入に伴い、国の行政機関や地方自治体に対し、特定個人情報保護評価という形で義務付けられることとなっている。
  9. APEC域内で、個人情報が国境を越えてもAPECプライバシー原則に基づき保護されるための仕組み。
  10. 他国とのセーフハーバー協定の可能性についても模索する必要がある。
  11. 例えば、当該事業者が現に管理整備するデータベースに記録された、氏名およびこれに紐付けられた情報のみを対象とし、加工済みのデータベースを遡ってあらゆる情報について変更・削除するといった困難な対応を要しない等の方向で検討すべきである。
  12. 具体的なビジネスプランは非公表とし、政府から出された適法性に関する見解のみ公表すること等。
  13. 「特定電子メールの送信の適正化等に関する法律」、「電気通信事業法」など