個人情報保護法 いわゆる３年ごと見直し

毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。当記事で取り上げるのは以下の配信です。

• 配信日：2023年11月16日
• タイトル：個人情報保護法 いわゆる３年ごと見直し
• メインスピーカー：データサイン 代表取締役社長 太田祐一
• MC：ビジネスディベロッパー 宮崎洋史

「いわゆる3年ごとの見直し」の意味とは？

2023年11月15日、第261回個人情報保護法委員会のウェブページに「個人情報保護法 いわゆる3年ごと見直し規定に基づく検討」と題する資料が公表されました。こちらの話題をランチタイムトークでは取り上げました。

個人情報保護法に関連する報道などでしばしば触れる「いわゆる3年ごとの見直し規定」とは何を意味しているのでしょうか？

2022（令和4）年4月1日に全面施行された「個人情報の保護に関する法律等の一部を改正する法律（令和2年法律第44号）」（以下、令和2年改正法）の附則、第10条をみると次のようにあります。

政府は、この法律の施行後三年ごとに、個人情報の保護に関する国際的動向、情報通信技術の進展、それに伴う個人情報を活用した新たな産業の創出及び発展の状況等を勘案し、新個人情報保護法の施行の状況について検討を加え、必要があると認めるときは、その結果に基づいて所要の措置を講ずるものとする。

「つまり、新法を取り巻く状況を考慮しながら、3年おきに法律の施行状況を検討し、必要があれば法改正などをおこなう、ということです」（データサイン 代表取締役社長 太田祐一）

改正法の施行状況と主な指導を開示

令和2年改正法の施行の状況については、冒頭に挙げた会議資料公開前の、2023年9月27日、10月18日の2回に分けて、個人情報保護委員会で議題に上がりました。

9月27日の公開資料には、オプトアウト規定に該当する届出事業者に対する注意喚起、ウェブスキミングによる情報流出などの報告義務化に伴う漏えい事案の報告、不適正利用の禁止違反への勧告や命令、関係捜査機関への告発など、個人情報保護委員会が改正法に基づき実施した内容が挙げられています。

また、10月18日の公開資料には、個人情報取扱事業者等や行政機関等に対して指導等を行った直近の重大事案が挙げられています。具体的には、決済代行業者が不正アクセスを受けて個人データの漏えいの恐れを生じさせた事案や、地方公共団体から住民の個人データの取扱いの委託を受けたITサービス業者から当該個人データの取扱いを受託した委託先従業者が、当該個人データが記録されているUSBメモリを一時紛失した事案のように、安全管理措置や委託先の監督が適切に実施されていないことを理由とするものが多く、不適正な取得や利用を理由とするものは少ないと報告されています。

遅れている同意概念の精緻化

改正法の施行の状況や、同法に基づく指導の状況を踏まえて、個人保護法委員会に出席した委員からは、さまざまな意見が出ました。開示資料の中からいくつかピックアップしてみました。

• 個人情報の取得は、あくまでその目的との関係で必要最小限にとどめるべきではないか。
• 諸外国の議論の動向も考慮しつつ、こどもの権益の保護の在り方を検討すべき。
• 権利救済に実効性を持たせるため、直罰の強化や課徴金制度の導入、緊急命令の活用等を検討すべき。
• 実体的な権益保護のため、同意の概念を精緻に検討すべき。

「取得する個人情報を必要最小限にとどめる、というデータ・ミニマイゼーションの考え方は重要視されつつあります。同意という概念の精緻化も同様ですが、国際的な流れの中でみると日本は遅れています。たとえば、個人の権益を侵害する可能性がある、利用目的が曖昧な情報収集をすることをユーザーにきちんと知らせないまま、同意するよう迫るウェブサイトの手続きは、GDPR（一般データ保護規則）などでは同意を得たとみなされません。委員会の開示資料でも言及されているように、そのような状況を放置していると自分が気づかないうちにさまざまなデータが犯罪者グループ等に流れて悪用される危険性もあります。罰則の強化も含めて、今後の法改正の検討事項になりそうです」（太田）

上記委員会の検討内容は2024年春頃に中間整理という形で公表される予定です。ランチタイムトークでも引き続き、法改正の動向をウォッチしたいと思います。