「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」に関する意見募集について
「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」に関する意見募集について
http://search.e-gov.go.jp/servlet/Public?CLASSNAME=PCMMSTDETAIL&id=240000053&Mode=0
(2019年4月25日から2019年5月27日まで実施)
に対して以下のとおり意見を提出しました。
【意見1】
(該当箇所)
中間整理において出されていない論点を提案します。
(意見)
個人情報の利用目的の特定に際して、利用目的が適切な内容であることを明示的に求めることを提案します。
そのための一案として、個人情報保護法第十五条(利用目的の特定)について、以下のように見直すことを示します。
見直し案:「」部分を追記
第十五条 個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)を「個人の権利利益を侵害しないものとして、」できる限り特定しなければならない。
現行法:
第十五条 個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。
(理由)
現行法においては、利用目的を特定することを求めていますが、その内容については法条文において規定していません。そのため、利用目的の内容が不適切であっても、それを特定さえしていれば、法を遵守したことになり得ます。
たとえば、事業者が電話による広告活動をする場合には、それを利用目的とすることができます。しかし、しつこい勧誘電話は迷惑行為であり、個人の権利利益を侵害していると言えます。そのような利用は規制されるべきだと考えます。
現行法においては、電話をするために必要な電話番号が個人情報に該当するか否かで、保護の対象とするかが決まります。電話番号が個人情報に該当するためには、特定の個人を識別できるかなどが要件になります。しかし、その該当性について、個人情報の有用性に配慮するために、個人情報の該当性の範囲を狭めることを、迷惑行為をしない事業者が求める傾向にあります。本来は、個人情報の該当性を広くした上でも、利用目的の適正性が規制されるならば、適正な利用を目的とする事業者が個人情報の該当性を狭めることを殊更に求めることは軽減されるものと考えます。
また、他の例として、たとえば、現行法では、個人情報を第三者に提供することを利用目的に含めることが容易にできてしまいますが、その提供が個人の権利利益を侵害し得ると考えられるのであれば、当該利用目的そのものについて規制されるべきだと考えます。
したがって、利用目的については、特定する以前にまず、それが個人の権利利益を侵害しないものであることを規定し、仮に、利用目的そのものが不適切である場合には、それについて個人情報保護委員会が指導・助言をできるようにすることを提案します。
【意見2】
(該当箇所)
中間整理において出されていない論点を提案します。
(意見)
利用目的の通知等に際して、事業者の意図していることが本人に明瞭に通知等されることを明示的に求めることを提案します。
そのための一案として、個人情報保護法第十八条(取得に際しての利用目的の通知等)について、以下のように見直すことを示します。
見直し案:「」部分を追記
第十八条 個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。「利用目的を通知又は公表するに当たっては、その内容及び方法が欺瞞的であってはならない。」
現行法
第十八条 個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
(理由)
法第十五条において、利用目的の特定が求められていますが、事業者は特定した利用目的を本人に誤解をあたえない表現や方法で通知又は公表する必要があると考えます。
個人の権利利益を保護するためには、事業者が特定した利用目的の内容を本人があらかじめ誤解なく知る必要があります。
したがって、利用目的については、事業者が特定した利用目的と、本人が認識した利用目的に祖語が生じにくいようにする必要があり、仮に、利用目的の通知等の内容及びその方法が本人が正しく認識する上で不適切である場合には、それについて個人情報保護委員会が指導・助言をできるようにすることを提案します。
【意見3】
(該当箇所)
中間整理において出されていない論点を提案します。
(意見)
個人情報の取得に際して、事業者が通知等した利用目的について、本人から同意を取得すること(いわゆる、オプトイン)を求めることを提案します。
(理由)
法第十八条において、個人情報の取得に際しての利用目的の通知等が求められていますが、事業者は通知等だけではなく、利用目的への同意を取得することを求める必要があると考えます。
オプトインについては、個人情報保護法が施行された2004年当時から、日本工業規格「個人情報保護マネジメントシステム」(JIS Q 15001)の要求事項になっており、近年ではGDPRでも求められていることから、多くの事業者が既に遵守しているため、事業者の事業規模によらず著しく困難な規定ではないものと考えます。
日本における個人情報保護を国際的な水準に合わせるためにも、オプトインを求めることを提案します。
【意見4】
(該当箇所)
中間整理において出されていない論点を提案します。
(意見)
個人情報保護委員会が、個人情報保護法及び番号法に限らず、個人情報の保護に係る法令等全般についての取り組みをできるように、必要であれば関連法令等の改正をすることを提案します。
(理由)
個人情報の保護に係る法令は、個人情報保護法だけではなく様々な分野の法令があります。しかし、個人情報保護委員会は、個人情報保護法及び番号法以外の法令について直接的な取り組みをすることができません。しかし、民間における事業等は、個人情報保護法に基づいて推進されるわけではなく、情報の取扱いにおけるコンプライアンスの一環として個人情報の保護に努めることになります。そのため、個人情報保護委員会には、個人情報の保護に関係する事業活動を全体的に指導・助言等していただけることを期待します。
たとえば、迷惑メール防止法(特定電子メールの送信の適正化等に関する法律)は、いわゆる広告を目的とした電子メールの送信の適正化を規定しており、これは個人情報保護法においては、電子メールアドレスの利用や利用停止の制約と密接に関連するとともに、オプトインや送信者とその連絡先を明記するなど、個人情報保護法にはないことも規定されています。迷惑メール防止法が施行された直後は、これらが遵守されていた時期もありましたが、個人情報保護法の啓発が進む半面、迷惑メール防止法の認知がむしろ下がっているようにすら感じられます。
同様の法令としては、特商法(特定商取引に関する法律)もあり、両法律の周知が推進された時期には、オプトインしていない電子メールの件名に「広告メール」の表記がされるなど事業者による遵守も進んだように思いますが、昨今は、個人情報保護法による利用目的の通知又は公表で足りるとの誤解から、広告メールについてオプトインが法的義務であるとの認識が低くなっていると思われます。特商法については、電子メールに限らないものであり、広告全般についてオプトインが求められていますが、郵送や電話連絡についても同様な状況が見受けられます。
これらのことは、個人情報保護委員会による個人情報の説明がされるほどに、事業者に誤解を与えてしまう危険性があります。法規制の基本的な知識として、個人情報保護委員会は、個人情報保護法だけに責任を持っており、事業者はその活動においては、個人情報保護法以外のすべての法令を遵守することは当然のことではあります。しかし、委員会から「個人情報の利用目的をあらかじめ通知又は公表しなければならない」とだけ示されたときに、他の法令において「事前の同意を得なければならない」という規制があることを見落としがちです。
この誤解を軽減するためには、個人情報保護委員会がオプトイン規制を求めている法令があることの説明も加えるのがよいと思いますが、設置法上、他の法令に言及する活動がしにくいのであれば、そのために必要な関連法令等の改正をすることを提案します。
【意見5】
(該当箇所)
3.利用停止等に関する状況(12ページ)
(意見)
利用停止等のうち、削除の義務を現行法より厳格化する場合には、削除の具体的な要件についてガイドラインに定める際に、改めて実務に沿った内容として見直すことを提案します。また、削除が厳格化されたことを消費者に周知する際には、利用停止が本人の希望である場合に削除を依頼することは、利用停止に遅延が生じたり、安全上必要な連絡を受けることができなくなったりすることなども併せて周知するようお願いします。
(理由)
利用停止については、中間報告にあるとおり徹底することが必要であり、事業者は責任を持って行なうべきであると考えています。
一方で、削除については、個人情報の管理にITシステムを使用している場合に、以下のような観点での具体的な要件を実務に沿って定められることが重要であると考えています。
1.バックアップデータの削除における要件について
ITシステムにおいては、システム全体のデータのバックアップを取っている場合などもあり、その中に含まれる個人情報を個別に削除することは、実務上困難です。また、クラウドサービスを利用している場合には、クラウドサービスを利用する事業者がその削除を指示することは不可能な場合もあります。これらが削除の代替措置として認められるようなガイドラインの作成など、実務に沿った要件を定めてもらうようにお願いします。
2.利用停止を徹底するために必要なデータの削除について
利用停止を徹底するために、データが必要な場合もあります。
たとえば、電子メールの利用停止において、メール送信を迅速に停止するためには、事業者内のメールアドレスの利用停止や削除の手続きをするとともに、最終的なメール送信システムに、送信禁止アドレスのリストを登録する場合があります。事業者が個人情報を取得する機会は、一度だけとは限らないため、保有している個人情報を削除しても、その後新たに取得するとまた利用が再開されます。もしも、本人の希望が利用停止であるならば、削除よりも、送信禁止アドレスのリストに登録される方が、利用停止が徹底されることになります。
一部の消費者には、削除の依頼が利用停止の依頼よりも強固な手続きであるとの誤解があるように思われます。それぞれの依頼に違いがあることを消費者に周知することは事業者の責任でもありますが、これらの義務を厳格化する場合には、削除の場合には利用停止が継続しないことや、場合によってはリコールの連絡が行われなくなることなど、その違いについての周知も併せて推進していただくことを提案します。
【意見6】
(該当箇所)
4.オプトアウト規定と名簿屋対策の状況(14ページ)
(意見)
個人情報を第三者に提供する同意を取得した際の確認記録に関係する義務は、取得の際の利用目的に応じた適当な義務として緩和する見直しを提案します。
(理由)
前回の改正で、オプトアウト規定が厳格化されるなど、いわゆる名簿屋を想定して規定した内容については、名簿屋以外の事業者にとっては、過度に厳しいものになっています。名簿屋を特定することは難しいと思われますが、たとえば、個人情報の利用目的の内容により、名簿屋のような利用をしない事業者については、名簿屋と比較して緩和した記録義務となるように見直すことを提案します。
最近のコメント