Keidanren (Policy & Action)

一般社団法人 日本経済団体連合会
ENGLISH
Keidanren USA (Japan Business Federation)
  1. トップ
  2. Policy(提言・報告書)
  3. 科学技術、情報通信、知財政策
  4. 個人情報保護法 いわゆる3年ごと見直し制度改正大綱に対する意見

Policy(提言・報告書) 科学技術、情報通信、知財政策 個人情報保護法 いわゆる3年ごと見直し制度改正大綱に対する意見

2020年1月14日
一般社団法人 日本経済団体連合会
デジタルエコノミー推進委員会企画部会
(PDF版はこちら

第1章 総論

  • わが国が官民挙げて取組みを進めているSociety 5.0の実現に向けては、個人データを含めたデータの適正な利用が鍵であり、個人の納得・信頼を前提としたうえで事業者が個人データを利用できる仕組みが不可欠である。
  • そのため、事業者は現在でも、個人情報の保護・適正利用に向けた様々な取組みを行っており、今後とも、こうした活動を継続していく予定である#1
  • 政府が検討を進めている個人情報保護法の3年ごと見直しにおいては、個人情報の有用性に配慮しつつ個人の権利利益を保護するという個人情報保護法の趣旨を実現するため、法規制と事業者の自主的な取組みをバランスさせたアプローチが求められる。
  • このような認識のもと、個人情報保護委員会が公表した「個人情報保護法 いわゆる3年ごと見直し制度改正大綱」(以下、「大綱」)に記載されている「個別検討事項」等に対し、以下のとおり意見を述べる。

第2章 検討の経緯

  • 大綱に記載のとおり、周知及び準備が必要な事項については、事業者等が適切に対応できるよう、改正法の施行までに十分な準備期間を設けるべきである。

第3章 個別検討事項
第1節 個人データに関する個人の権利のあり方

3.利用の停止、消去、第三者提供の停止の請求に係る要件の緩和

  • 本人による利用停止等の請求を、事業者が個人情報を適法に取得・利用している場合にまで認めると、正当な事業活動を阻害することが強く懸念される。
  • 仮に、本人による利用停止等の請求の範囲を拡大するのであれば、大綱に記載されているとおり、本人による利用停止等の請求を「個人の権利利益の侵害がある場合」に限定するとともに、事業者の予見可能性を高めるため、「個人の権利利益の侵害がある場合」を明確にすべきである。
  • また、他法令の要請、法的請求に対する防御、公益上の理由など、保有個人データを保持する正当な理由がある場合の例外措置を設けるべきである。

4.開示請求の充実

  • 大綱に記載のとおり、本人の選択による電磁的記録による提供を認める場合には、電磁的記録の提供を含めて事業者自らが提供可能な開示方法を選択肢として提示したうえで、開示請求者が当該選択肢から選択する運用とすべきである。
  • また、本人が指示した方法による開示が困難な場合の開示方法を「書面交付」に限定せず、「書面交付を含む合理的な方法」等とすべきである#2

5.開示等の対象となる保有個人データの範囲の拡大

  • 大綱においては、「保有個人データについて、保存期間により限定しない」との方向性が示されているが、短期間で消去される個人データを保有個人データから除外するという現行の規律は、不要な保有個人データを早期に消去する誘因を事業者に与えることにより、個人情報漏洩リスクの低下、延いては個人の権利利益の保護に貢献している。したがって、保有個人データの範囲の拡大については、政令で定める期間の短縮を含めて慎重に検討すべきである。

第2節 事業者の守るべき責務の在り方

1.漏えい等報告及び本人通知の義務化

  • 漏えい等報告および本人通知を義務化するのであれば、大綱に記載のとおり、対象となる事案を本人への権利利益を侵害するリスクが高い、一定の類型に該当する場合に限定するとともに、漏えい等報告について明確な時間的制限を設けるべきではない。
  • 対象のデータが匿名化されているケースや、高度な暗号化が施されているケースなど、個人の権利利益を侵害しないと考えられる場合は、義務化の対象外とすることを明確にすべきである。また、漏えい等報告を受けて個人情報保護委員会が事案の概要等を公表する場合には、その内容について実務を踏まえた慎重な検討を求める。
  • 「本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときについては、例外規定を置く」ことについて、企業実務を踏まえた適切な内容であり賛成する。

2.適正な利用義務の明確化

  • 事業者の適正な個人データ利用を委縮させることがないよう、「適正とは認めがたい方法による、個人情報の利用」の内容について限定的かつ明確に示すべきである。併せて、事業者が個人データの利用について、予め適切な判断を行うことができるよう、該当する事例を示すべきである。

第3節 事業者における自主的な取組を促す仕組みの在り方

2.民間の自主的取組の推進
(4)保有個人データに関する公表事項の充実

  • 保有個人データに関する公表事項を政令事項で追加することは、必ずしも「民間の自主的な取組の推進」にはつながらないため、謙抑的な姿勢が求められる。
  • とりわけ、本人の適切な理解と関与を可能としつつ、事業者の適正な取扱いを促す観点から、以下の項目を公表事項とするのは望ましくない。
    • 分析アルゴリズム、システム構成等技術的な処理方法等(技術の進展により頻繁に変更されるものであり、本人の適切な理解の促進に資するとは考えられない。)
    • 営業秘密その他、公表することにより事業者の正当な利益を害するおそれがあるもの(特定の技術を用いて処理していること自体が営業秘密に該当することもあり得る。)
    • 具体的かつ詳細な安全管理措置やデータ処理方法(攻撃者にシステムの概要を知られることでセキュリティ上の脅威となり得る。)

第4節 データ利活用に関する施策の在り方

3.公益目的による個人情報の取扱いに係る例外規定の運用の明確化

  • 例外規定の解釈基準が明確ではないために事業者が個人データを十分に活用できていないケースがあることから、防災・減災や医療、社会的課題の解決に資する先端技術の活用など、データ利用により国民全体に広く利益をもたらすことができる分野について、公益目的による個人情報の取扱いに係る例外規定の具体的事例の追加を期待する。

4.端末識別子等の取扱い
(3)提供先において個人データとなる情報の取扱い

  • 端末識別子等の適正な利用を委縮させ、デジタル分野のイノベーションを阻害することがないよう、現行法の規定に加えて端末識別子等に関する新たな規律を設けることについては、慎重に検討すべきである。
  • 仮に、「提供元では個人データに該当しないものの、提供先において個人データとなることが明らかな情報」について新たな規律を適用する場合でも、通常、提供元は提供先が保有するデータを完全に把握することはできないことから、新たな規律が提供元に対し提供先で個人データになるかどうかの確認義務を課すものではないことを明確にすべきである。
  • そのうえで、当該規律は、「提供元と提供先が示し合わせて、提供元の保有する個人情報でないユーザーデータが、提供先で個人データとなることが明確なスキームを運用している」等の極めて限定的なケースにおいてのみ課されるということを明確にすべきである。

第5節 ペナルティの在り方

  • 罰則の強化は、企業の個人データ活用を委縮させる恐れがあることから、慎重に対応すべきである。
  • 仮に、罰則(個人・法人)を引き上げる場合でも、その引き上げ幅については極めて慎重に検討すべきである。
  • 個人情報保護委員会の報告徴収・立入検査(個人情報保護法(以下、法)第40条)、勧告(法第42条)、命令(法第42条2項・3項)を経てもなお違法行為が是正されない場合に罰則が課せられる間接罰を維持すべきである。

第6節 法の域外適用の在り方及び国際的制度調和への取組と越境移転の在り方

3.外国にある第三者への個人データの提供制限の強化

  • 移転先国における個人情報の保護に関する制度等を移転元事業者が把握する能力や負担を考慮すると、移転元事業者による本人への情報提供の義務化は避けるべきである。
  • 仮に、情報提供を義務とするのであれば、大綱に「個人情報の取扱いについて本人の予見可能性を高めることが趣旨であることから、その範囲で必要最低限のものとし、網羅的なものである必要はない」とあるとおり、本人に提供することが求められる移転先事業者における個人情報の取扱いに関する情報等は、事業者の能力や負担に配慮した現実的な範囲で設定できることを明確にすべきである。
  • また、事業者が個人情報保護委員会のウェブサイトへのリンクを掲載するなどの方法により適切な対応ができるよう、各国の個人情報保護制度(データローカライゼーション、ガバメントアクセス、APECのCBPR導入国等を含む)についての最新情報を個人情報保護委員会が公表すべきである。

第7節 官民を通じた個人情報の取扱い

2.行政機関、独立行政法人等に係る法制と民間部門に係る法制との一元化

  • 個人情報保護法に加え、行政機関個人情報保護法と独立行政法人等個人情報保護法を個人情報保護委員会の所管としたうえで、法律の一元化を進めるべきである。
  • 「民間、行政機関、独立行政法人等に係る個人情報の保護に関する規定を集約・一体化し、これらの制度を委員会が一元的に所管する方向で、政府としての具体的な検討について、スケジュール感をもって主体的かつ積極的に取り組む」との大綱の方向性に同意するとともに、議論の進捗を強く期待する。

3.地方公共団体の個人情報保護制度

  • 地方公共団体が保有する個人情報の取扱いについても法律による一元化がなされるよう、個人情報保護委員会と地方公共団体との議論が進捗することを強く望む。

第8節 継続的な検討課題

  • 個人情報保護法に課徴金を導入すると、緒に就いたばかりの企業の個人データ活用を委縮させる懸念が強いことから、課徴金の導入については極めて慎重に判断すべきである。

その他意見

  • 法改正に加え、政省令やガイドライン等で具体的な要件等を明確化する際に、事業者の実務の実態を十分に踏まえるべきである。
以上
  1. 経団連としても「個人データ適正利用経営宣言」を公表し(2019年10月15日)、経済界として、個人データの適正利用に向けた取組みを進めることを宣言した。
    http://www.keidanren.or.jp/policy/2019/083_sengen.html (個人データ適正利用経営宣言)
  2. 例えば、映像に関する開示請求があった場合には書面開示は適さない可能性があり、事業者が指定した場所での視聴が適切であることも考えられる。

「科学技術、情報通信、知財政策」はこちら

Policy(提言・報告書)

バックナンバー