個人情報保護法改正大綱骨子〜堀部正男情報法研究会シンポジウムより

まだこれから変わる可能性はありますが、個人情報保護法改正大綱の現状の検討状況に関して、個人情報保護委員会の佐脇参事官からご説明がありました。内容は以下の通りです。

報告2 個人情報保護法 いわゆる3年ごと見直し制度改正に向けた検討状況 佐脇紀代志 個人情報保護法委員会参事官

I 個人 データに関する個人の 権利の在り方

1.利用の停止、消去、第三者提供の停止の請求に係る要件の緩和

保有個人データに関する本人の関与を強化する観点から、保有個人データの利用停止等の請求、第三者提供の停止の請求に係る要件を緩和し、個人の権利の範囲を広げる。

Note: これまでは不正な利用があった場合に限られていた。

2.開示のデジタル化の推進

開示請求に係る現行制度の周知徹底、適正運用を進める。また、開示請求で得た保有個人データの利用等における本人の利便性向上の観点から、本人が、電磁的記録の提供を含め、開示方法を指示できるようにする。

Note: これまでは、開示は紙でが前提だった。これをデジタル化する。

3. 開示等の対象となる保有個人データの範囲の拡大

情報化社会の進展によるリスクの変化を踏まえ、本人の開示等の請求対象となる保有個人データについて、保存期間により限定しないこととし、現在除外されている6か月以内に消去する短期保存データを保有個人データに含める。

4.オプトアウト規制の強化

名簿の流通により本人の関与が困難となっている現状を踏まえ、オプトアウト規定により第三者に提供できる個人データの範囲を限定することとする。また、現在、個人情報取扱事業者に義務付けられている個人データの第三者提供時第三者からの受領時の記録を、本人が開示請求できることとするなど、 本人の実効性の関与を高める。

II 事業者の守るべき責務の在り方

1.漏えい等報告及び本人通知の義務化

個人の権利利益の保護及び公平性の観点から、漏えい等の事態を個人情報保護委員会が早期に把握するとともに、本人において必要な措置を講じることができるよう、一定数以上の個人データ漏えい等、一定の類型に該当する場合、速やかに個人情報保護委員会への報告と本人への通知を行うことを個人情報取扱事業者に義務付ける。

注 ガイドラインで対応。認定個人情報団体どまりにはしない。

2.適正な利用義務の明確化

情報化社会の進展によるリスクの変化を踏まえ、個人情報取扱事業者は、不適正な方法により個人情報を利用してはならない旨を明確化する。

Note: 現行法では不正取得は規制されているが、不正な利用目的は明示的には規制されていない。法制度の設計においては、個人の権利利益侵害はしないという前提だったが、とんでもない事例がどんどん出てくるので、わざわざ書くことに。

社会に迷惑がかかっている。手続的に形式は整っていてもダメ。

III 事業者における自主的な取組を促す仕組みの在り方

1.認定個人情報保護団体制度の多様化

個人情報取扱事業者における個人情報を用いた業務実態の多様化や、必要な規律の在り方の変化を踏まえ、認定個人情報保護団体制度について、その対象事業者による個人情報の取扱い全般に関する苦情受付、指導等を行う現行制度に加え、特定の事業活動に限定した活動を行う団体を認定できるよう制度を拡充する。

Note: これまでは、認定個人情報保護団体になると、個人情報に関する受付を全般にしなければならなかった。たとえば、小売業においてオンラインの部分だけ対応するというようなことができなかった。

2.保有個人データに関する公表事項の充実

個人情報取扱事業者による保有個人データの本人に対する説明の充実を通して、本人の適切な理解と関与を可能とし、個人情報取扱事業者の適正な取扱いを促す観点から、個人情報の取扱体制や講じている措置の内容、保有個人データの処理の方法等の本人に説明すべき事項を、法に基づく公表事項(政令事項)として追加する。

Note: これまでの利用目的では書けないようなことを書くべき。政令?

IV データ利活用に関する施策の在り方

1. 「仮名化情報」の創設

イノベーションを促進する観点から、他の情報と照合しなければ特定の個人を識別することができないように加工された個人情報の類型として「仮名化情報」を導入する。仮名化情報については、本人を識別する利用を伴わない、事業者内部における分析に限定するための一定の行為規制や、仮名化情報に係る利用目的の特定・公表を前提に、個人の各種請求(開示・訂正等、利用停止等の請求)への対応義務や、取扱いに関する制限を一部緩和する。

注 引き続き個人情報ではあるが、本人からの請求対応義務から外す。

2. 提供先において個人データとなる場合の規律の明確化

個人に関する情報の活用手法が多様化する中にあって、個人情報の保護と適正かつ効果的な活用のバランスを維持する観点から、提供元では個人データに該当しないものの、提供先において個人データになることが明らかな情報について、個人データの第三者提供を制限する規律を適用する。

3 公益目的による個人情報の取扱に係る例外規定の運用の明確化

利用目的や第三者提供の制限の例外とされる公益目的による個人情報の取扱いについて、ガイドラインやQ &Aにおいて具体的事例を追加するなど、国民全体に利益をもたらすデータ利活用を促進する。

V ペナルティの在り方

現行の法定刑について、法人処罰規定に係る重科の導入を含め、必要に応じた見直しを行う。

見送り

VI 法の域外適用の在り方及び越境移転の在り方

1. 域外適用の範囲の拡大

経済社会活動のグローバル化や越境移転の多様化を踏まえ、日本国内にある者に係る個人情報又は匿名加工情報を取り扱う外国の事業者を、個人情報保護委員会による報告徴収及び命令の対象とする。また、事業者が命令に従わなかった場合には、その旨を委員会が公表できることとする。

2.外国にある第三者への個人データの提供制限の強化

個人情報の越境移転の多様化に伴い、本人の適切な理解と関与を可能とし、個人情報取扱事業者による個人情報の適正な取扱いを促す観点から、移転元となる個人情報取扱事業者に対して、移転先国の名称や個人情報の保護に関する制度の有無を含む移転先事業者における個人情報の取扱いに関する本人への情報提供の充実等を求める。本人の同意を根拠に移転する場合の情報提供のほか、移転先事業者において継続的な適正な取扱いを担保するための体制が整備されていることを条件に本人の同意を得ることなく個人データを移転する場合にあっては、本人の求めがあった場合に情報提供を求める。

VII 官民を通じた個人情報の取扱い

1.行政機関、独立行政法人等に係る法制と民間部門に係る法制との一元化

行政機関、独立行政法人等に係る個人情報保護制度に関し、規定や所管が異なることにより支障が生しているとの指摘を踏まえ、民間、行政機関、独立

行政法人等に係る個人情報の保護に関する規定を集約·一体化し、これらの制度を個人情報保護委員会が一元的に所管する方向で、政府としての具体的な検討において、スケジュール感をもって主体的かつ積極的に取り組む。

注 スケジュール感としたは3年待ったら法律が変わってしまうのでそんなにかけない。

2.地方公共団体の個人情報保護制度

現在条例で定められている地方公共団体が保有する個人情報の取扱いについて、法律による一元化を含めた規律の在り方、地方公共団体の個人情報保護制度に係る国·地方の役割分担の在り方に関する実務的論点について地方公共団体等と議論を進める。

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください