経団連 デジタルエコノミー推進委員会
企画部会
1. 総論
個人情報保護法の見直しに関しては、これまで「個人情報保護法のいわゆる3年ごと見直し検討会」(2024年7~12月)や「個人情報保護法のいわゆる3年ごと見直しの検討の充実に向けた視点」 に関するヒアリング(2024年11~12月)等、様々な場で検討が進められてきた。今般、経団連の要望も受け、個人データの利活用を含む、個人情報保護法制の全体的な課題に関する整理が示されたことを歓迎する。この整理によって、ようやく個人情報保護法の見直しに向けた議論のスタートラインに立ったことを評価したい。
その一方、今般公表された「個人情報保護法の制度的課題に対する考え方(案)について」(2025年3月5日)には規律の大まかな方向性は示されているものの、意図が不詳な記載も散見され、具体的な運用方法の大半は今後の下位法令(政令、委員会規則等)やガイドライン、Q&A等の策定・改訂に委ねられている。
個人情報保護委員会には、今般示された考え方が、真に生活者価値の向上や企業価値の創出に資するデータの適正な利活用の促進につながるよう、他方で事業者に過度な負担を課すことのないよう、引き続き経済界との緊密な対話を強く求めたい。こうした対話を通じて、事業者がビジネス上で直面する課題や、データ利活用・促進に向けたポジティブな意見等を丁寧に聴き取り、個人情報保護法および下位法令等の見直しに反映することを強く要望する。
なお、業種・分野の垣根を超えた広範なデータの利活用・連携を推進する観点からは、今般の個人情報保護法の見直しの趣旨や取組み等につき、分野横断で理解増進・普及啓発の徹底が不可欠である。個人情報保護委員会には、政府全体に横串を刺す形で、各分野・業法を監督する関係省庁と緊密に連携するよう要望する。
2. 各論
第1 個人データ等の取扱いにおける本人関与に係る規律の在り方
1 個人の権利利益への影響という観点も考慮した同意規制の在り方
(1) 統計作成等、特定の個人との対応関係が排斥された一般的・汎用的な分析結果の獲得と利用のみを目的とした取扱いを実施する場合の本人の同意の在り方
「統計作成等、特定の個人との対応関係が排斥された一般的・汎用的な分析結果の獲得と利用のみを目的」:
- 「一般的・汎用的」の定義は困難。特定の個人との対応関係が排斥されているにもかかわらず、分析結果の種別を限定することは不要であり、当該記述は削除すべき。
- 現行法上の「統計データへの加工」(Q&A2-5「統計データへの加工自体を利用目的とする必要はない」)との相関関係を明確化すべき。
- 「統計情報等の作成」の具体的な対象範囲や公表事項等は委員会規則等で定めることを想定しているとのこと、企業や関係するステークホルダーがデータ提供や利用の可否を明確に判断できる記載とすべき。
- データを活用する各業界の実情を考慮した上で、「統計情報等の作成」と評価できるものを明確化すべき。例えば医学系研究において、疾患別・治療法別等にデータを取得し、疾患の特徴を明らかにした情報を作成するために分析等を行う場合は、「統計情報等の作成」に該当することを明示すべき。
- 「統計情報等の作成」に該当する限り、自社で保有する個人データを当初設定した利用目的外で利用する場合でも本人同意は不要である旨明確化すべき。
- 特定の個人との対応関係が排斥された統計情報等の作成や利用は、個人の権利利益を侵害するおそれが少ないと考えられるところ。提供先と同様、再提供先が「統計情報等の作成にのみ利用することを担保する」といった条件を満たす場合、提供先からの再提供まで禁止すべきではない。
「統計作成等であると整理できるAI開発等」の範囲が不明瞭であるため、具体的に示すべき。
「特定の個人との対応関係が排斥された統計情報等の作成や利用はこれによって個人の権利利益を侵害するおそれが少ないものであるから」、「行政機関等の取り扱う保有個人情報についても同様に、利用目的以外の目的のための提供に係る「統計の作成」の例外規定の対象を、統計情報等の作成に拡大してはどうか」に関して、例えば行政機関等匿名加工情報も権利利益を侵害するおそれが少ないと考えられるところ。行政機関等匿名加工情報の利活用のハードルが高い現状に鑑み、当該情報の活用促進に向けた制度の在り方を検討すべき。
統計情報等の作成にあたって事業者に対応が求められる一定の事項等の公表や、提供元・提供先間の合意等については、事業者に過度な負担とならず、利活用の推進も妨げない具体的な手法を検討すべき(例:提供先の氏名・名称を都度公表することは、利活用の推進を妨げるおそれがあるため、一定程度包括的な記載も許容されるべき)。また、一定事項の公表によらず、提供元による提供先の監督等によって本人の権利利益の保護を図るアプローチも検討すべき。
事業化前のPoC(概念実証)段階で統計情報等の作成が想定されるケースでは、事業の秘匿性の観点から提供元・提供先の公表が困難な場合も存在。企業側として実施すべき措置や公表の内容の簡素化を図る観点から、ガイドライン等で安全管理措置に関する一定の基準や要件を示すべき。
「公開されている要配慮個人情報の取得」について、統計情報等を作成する際、一般の個人情報を取得する場面と取扱いを分ける合理的理由は乏しい。このため、事業者の厳格な情報管理を前提として、取得者における一定の事項(取得者の氏名・名称、行うとする統計作成等の内容、本規律に基づく本人同意なき個人データ等の第三者提供を行う目的である旨等)に関する公表を義務化することなく、公開されている要配慮個人情報の同意のない取得を認めるべき。
法改正に伴い、FAQも適切に改訂すべき(例:個人識別符号は「本人を認証することができるようにしたもの」と定義されている一方、現行のFAQでは「『本人を認証することができるだけの水準がある』という趣旨であり、事業者が実際に認証を目的として取り扱っている場合に限定しているものではありません。」とあり、あたかもFAQで上乗せ規制が課されているかのような記載)。
(2) 取得の状況からみて本人の意思に反しない取り扱いを実施する場合の本人同意の在り方
「個人データの第三者提供が契約の履行のために必要不可欠な場合」では「不可欠」性まで求められているが、GDPRでも不可欠(indispensable)という厳しい要件は定められておらず。事業者側の経済合理性を加味した上で、必要性があり、かつ本人にとっても合理的に予測可能であることをもって満たす、とすべき。
(3) 生命等の保護又は公衆衛生の向上等のために個人情報を取り扱う場合における同意取得困難性要件の在り方
「当該本人の権利利益が不当に侵害されるおそれがない場合等」について、「おそれがない」ことを証明することは実務上不可能であるため、「不当に侵害されるおそれが少ないと考えられる場合」とすべき。
現行のQ&Aでは新薬や治療法等の「研究」のみと定義され、「開発」や「安全性監視を含む市販後研究」の目的での適用が認められず。加えて、ガイドラインにおいて「結果が広く共有・活用されていくこと」との記載の含意が不明確であることから、公衆衛生例外規定を適用する上で著しいハードルとなり、産業利用が一向に進まないのが現状。結果の共有・活用には治療法・診断法・新薬等の承認等に関連する公開情報等が含まれる旨明示すべき。
今後の法改正を踏まえ、当該ガイドラインやQ&Aにおいて、正当な利用目的として「開発」および「安全性監視を含む市販後調査」も含まれる旨明確化するとともに、禁止事項も明示すべき。併せて、「人の生命、身体又は財産の保護」に関する例外規定についても、ガイドラインやQ&Aを見直すべき。
公衆衛生例外規定について、医学研究規制である、①薬機法(GCP省令=Good Clinical Practice:医薬品の臨床試験の実施の基準)、②臨床研究法、③人を対象とする生命科学・医学系研究に関する倫理指針、④次世代医療基盤法、等が規定する医学研究の類型ごとの該否や、企業にも本規定が適用されるための基準(例:企業と医療機関等の間の役割分担に基づく考え方等)を明示すべき。
例外規定は「原則から外れたもの」というイメージを与え、情報提供者や情報管理者による取扱いに委縮効果を惹起しかねないため、「例外」扱いではなく規定に明確に入れ込むべき。
(4) 病院等による学術研究目的での個人情報の取扱いに関する規律の在り方
「研究対象となる診断・治療の方法に関する臨床症例の分析」を病院等と企業が連携して行うケースは実際に存在するため、企業も対象に含めるべき。
2 本人への通知が行われなくても本人の権利利益の保護に欠けるおそれが少ない場合における漏えい等発生時の対応の在り方
経団連が予て要望してきた「リスクベースアプローチ」による見直しに賛成。
これまでの漏えい等事案を丁寧に分析することによって、取得から自社による活用または第三者提供に至る各段階で、個人情報提供者の権利利益が不当に侵害されるおそれが発生するリスクを評価することが重要。
「本人への通知が行われなくても本人の権利利益の保護に欠けるおそれが少ない場合」については、通知義務の緩和のみならず「代替措置による対応」も不要とすべき(そもそも「本人への通知が行われなくても本人の権利利益の保護に欠けるおそれが少ない場合」であれば、何らかの代替措置によって対応したところで本人の権利利益の保護に実益はないはずであり、代替措置による対応を取ることで想定される保護法益が不明)。
仮に代替措置による対応が「公表」となる場合でも、「本人通知」と異なる形で社内のリソースが割かれることに変わりはなく、案件によっては、本人通知よりも公表の方がむしろ負担大となる場合もあることに注意すべき(事業者にとって納得感の乏しい過度な負担となるおそれ)。
漏えい等発生時には、再発防止等、本人の権利利益の保護という観点から必要となる対応を可及的速やかに取ることが極めて重要。「本人への通知が行われなくても本人の権利利益の保護に欠けるおそれが少ない場合」には、限られたリソースを本人通知に割くのではなく、本人の権利利益の保護に資する実効的な対応に割けるようにすべき。
提供された個人データを適切に取り扱う義務を負う契約関係等のある関係者間でのみ漏えいが生じるような場合は、通常、本人の権利利益の侵害は想定されず、保護に欠けるおそれも少ないため、本人通知や報告に関する義務を緩和すべき。
事業者の負担軽減に資する緩和措置であるか否かを判断する観点から、現在例挙されている「サービス利用者の社内識別子(ID)等」以外に、個人データではあっても、「それ単体ではおよそ意味を持たない情報」の具体的な対象範囲を早急に示すべき。
3 心身の発達過程にあり、本人による関与等の規律が必ずしも期待できない子供の個人情報等の取扱い
子供の権利利益の保護は重要。一方で、明らかに16歳未満を対象としていないサービスを含め、すべてのサービスに利用者の年齢確認を求めるのは過剰規制。
【利用者の年齢確認の在り方】
- 16歳未満を対象としていることが明確なサービスにおいて、サービス利用時に法定代理人による16歳未満の本人の利用に関する事前同意が取り付けられているのであれば、追加的な年齢確認は不要とすべき。
- 厳格な年齢確認の義務化は過度な負担となりかねないため、年齢確認方法については、法定代理人または(16歳未満である)本人による申告を基本とすることを軸に慎重かつ丁寧に検討すべき。
制度設計にあたっては、民事上の規律との整合性や実務の実態等も踏まえ、用語の定義や事業者の責任の範囲等を明確化すべき。サービス一般への過度な規制とならないように、「子供を対象とするサービス」と「子供を対象としないサービス」に係る考え方を示し、あくまで前者に対してのみ、追加の権利利益の保護を図るべき。
子供の年齢や法定代理人の確認にあたっては、対面やオンライン等によって実効性のある対応が異なるところ。サービス提供の実態に即した規律とすべく、事業者から十分なヒアリング等を行うなど、慎重かつ丁寧に議論を深めるべき。
子供の発達や権利利益を適切に保護するという趣旨に鑑み、本規律に基づく義務の対象範囲を、子供を消費者として想定した物品役務の提供に関連した個人情報の取扱いに限定すべき(注12で引用されているGDPR第8条第1項でも、”in relation to the offer of information society services directly to a child”と記載)。
国際的な相互運用性の確保という観点から、子供の脆弱性を悪用する不適正利用に対し規制を機械的に導入することなく、現行法制度下での執行強化を含め、実効性のある形で対応すべき。
法定代理人に対する通知については、まずは法定代理人に通知がなされなかったことで子供の権利利益が侵害された事例の有無や実態等を精査した上で、規制の要否を検討すべき。
以下の例も参考に、「本人が16歳未満であることを事業者が知らないことについて正当な理由がある場合」に当たる具体例を分かりやすく例示すべき(注13の例示は、「本人が法定代理人から営業を許可されている」という限定的な事例で、一般的な実務上、有益な例外には当たらず)。
- 原則として16歳未満を対象としていないサービスにおいて、利用規約上「未成年者は法定代理人の同意がある場合のみ利用が可能」などと定めるサービスの場合、本人が16歳未満であったとしても、「法定代理人の同意のもとにサービスを利用しているもの」と事業者が判断。このような場合、原則として「正当な理由」に該当するものと整理
仮に事業者側に法定代理人の確認義務が課されるのであれば、法定代理人やその連絡先に関する真正性を確保できない場合等における責任の所在も明確化すべき。
「欧米で運用されている」という理由だけで、不要なデータを収集することは厳に慎むべき。諸外国が直面している課題を分析した上で、法制度の在り方を検討すべき。
- (例1) 米国:法定代理人を確認するための方法として、クレジットカード、デビットカード、その他オンライン決済システムの情報が認められているが、取引を完了する必要がないにもかかわらず、本来不要な支払情報を事業者が収集することにユーザーの不安が広がった結果、利用率が低下
- (例2) 英国:Children’s Codeの下では、未成年者がアクセスし得るサービスが対象となる可能性があるため、インターネット上で検索してヒットするオンラインサービスがすべて対象となりかねず
対象年齢を16歳未満とするのか、または、米国のCOPPA(児童オンラインプライバシー保護法)も踏まえ13歳未満とするのか、各種ビジネス実態も考慮に入れ、 慎重かつ丁寧に検討すべき。
本人と法定代理人の関係の把握方法に関しては、事業者にとって過度な負担とならないように、法定代理人による本人との関係に関する自己申告とすべき。また、法定代理人からの同意取得方法や法定代理人に対する通知方法についても、事業者の意見やビジネスの実態等を十分勘案した上で、事業者への過度な負担とならない方法を明確に示すべき。
統計作成や契約履行に必要な場合等に同意取得が不要となるのであれば、子供の法定代理人からの同意取得も同様に不要とすべき。
個人関連情報の第三者提供について、そもそも特定の個人を識別できないため年齢を把握できない場合は、法定代理人からの同意取得を不要とすべき。
子供の個人情報等に関する利用停止等請求は、事業者に違法行為があった場合等に限定されるべき。
事業者が対応すべき事項と、保護者や法定代理人が対応すべき事項(例:デジタルリテラシーの習得等)は峻別して議論すべき。
事業者が子供の個人情報等の取扱いを変更したり新たな対応を行ったりする際には、通常、大規模なシステム改修や事業者内の運用変更・構築等に時間を要するところ。改修等の判断のために必要な事項が規則・ガイドライン等で確定した後、改修等の実施期間を確保すべく、施行まで十分な時間的猶予を設けるべき。
第2 個人データ等の取扱いの態様の多様化等に伴うリスクに適切に対応した規律の在り方
1 個人情報取扱事業者等からデータ処理等の委託を受けた事業者に対する規律の在り方
委託元による委託先の管理監督義務や、委託を受けた事業者の義務規定等の在り方については、実態を踏まえ、混乱を招かない規律とすべき。委託先が直接義務を負う場合等も明確化すべき。
2 特定の個人に対する働きかけが可能となる個人関連情報に関する規律の在り方
Cookie IDで特定の個人に連絡できる(電話やメールによる連絡と同程度の働きかけが可能となる)ケースを具体的に明らかにした上で議論すべき。
個人関連情報の不適正利用や不正取得に対して規制を適用する場合、個人情報の不適正利用や不正取得の違法性、不当性と同水準の行為に限定すべき。
現行法では、本人への連絡等を目的として匿名加工情報や仮名加工情報を利用することを禁止。不適正利用および不正取得に対する規制が実際に必要となる具体例を示すべき。
Cookie IDについては、電気通信事業法におけるいわゆる外部送信規律においても規律されているところ、これ以上規則を複雑化し、事業者の負担が増加するような状況は避けるべき。
3 本人が関知しないうちに容易に取得することが可能であり、一意性・不変性が高いため、本人の行動を長期にわたり追跡することに利用できる身体的特徴に係るデータ(顔特徴データ等)に関する規律の在り方
以下の事態を招来しないように、実務上の該当性を判断する際に必要となる、「顔特徴データ」に関する定義や事例について、ガイドライン等で明確かつ具体的に記載すべき。
- ① 文言上「顔特徴データ」に該当するがために、意図せざる結果として当該規律を受けることとなり、本来不要な対応を実施せざるを得なくなるなど、開発等の事業活動に著しい制約
- ② そもそも「顔特徴データ」該当性如何の判断に時間を要するため、開発に後れを取りビジネス機会を逸するなどの悪影響
- ③ 抽象的な定義に対する解釈の余地が発生するため、「該当するかもしれない」「該当した場合に利用停止請求を受け入れなければならないのであれば、開発/サービスが成立しないかもしれない」など、保守的な判断をせざるを得ず、結果として開発やサービス提供を断念するなどの悪影響
顔特徴データを統計作成等に利用する場合には、本人同意なき個人データ等の第三者提供を可能とすべき。
違法行為の有無等を問うことなく柔軟な利用停止が可能となれば、体制整備に要するコスト等、事業者にとって過度な負担となりかねず。一定の例外事由を設ける際には、現行法における他の規定(例:第35条第4項但し書き)との法的な整合性を図りながら慎重かつ丁寧に検討すべき。
顔特徴データ等は必ずしも他の個人情報と紐づいていないため、利用停止請求があってもどのデータが該当するか判断できないケースも想定されるところ。そのような場合、保有個人データに該当しない旨明確化すべき。
※ 以上は「第1 個人データ等の取扱いにおける本人関与に係る規律の在り方」および「第2 個人データ等の取扱いの態様の多様化等に伴うリスクに適切に対応した規律の在り方」に対する意見であり、「第3 個人情報取扱事業者等による規律遵守の実効性を確保するための規律の在り方」については、別途、慎重かつ丁寧な議論が求められる。