もうあと30分しか提出期間は残っていないが、以下のような意見を提出した。
今日思い立って書いたので、検討の甘い個所や推敲が行き届かないところもあろうかと思うが同時に世に出しておく。
趣旨としては、結局のところ、利用目的が大事でそれに殉じましょうよということを書いた(つもり)。
あと、個人関連情報やら仮名加工情報は「そういう半端な情報でも価値とリスクがあるんだね」ってことを広報できたのだろうし別段明文にしなくても改正前からできたものと思うし、大層なものっていう誤解を招くといけないから廃止でよろしいでしょうということを述べている。匿名加工情報だけは要るけど、(制度として)要るのかなぁという印象。第三者提供のための特別な同意、というガラパゴス規制を消してしまえば解決するのでそれで如何でしょうか、ともおもう。
ところで個人情報保護委員会さん、意見提出にあたって氏名は任意って書いているくせに提出しようと思ったら「名が入力されていません」とか言うのやめてもらえないでしょうか。
意見提出はこちらから。
なお、以下の意見は、中間整理に示されたものに逐次コメントしていったため、そのような順番となっており、かつ、個人情報保護委員会のプロットの中で議論していることになるのであるが、3年ごと見直しなんだから原理原則に戻ろうよと言っておきながらこの体たらくである。
生体データ
いわゆる生体データを極めて要保護性の高いものと理解することについては賛同するものの、利用目的の特定(およびその利用目的の明示)を詳細にさせることよりむしろ、そもそも生体データ等によらず当該利用目的を達成できないことの説明をさせ当該利用目的からの逸脱を許容しないようにさせることが重要と思料する。
生体データを本人認証または識別に利用することを想定した場合であるとしても、事業者がこれをマーケティングのプロファイリング資料に転用することが正当であると考えられるべきではないし、また、当該事業者と本人との関係で取得した生体データは当該事業者が自らの業務仕様に基づいて定義した認証強度を満足させるためのものに過ぎないから原則的に第三者がその用に供することは適当ではない。
したがって利用目的の変更禁止や第三者提供の禁止といった強度の規制を設けても不当に営業上の利益が損なわれるものではないと考える。
不適正利用または適正取得
個人関連情報の歴史的役割は終わったものというべきであり、定義上、個人情報と統合することとして所要の措置を講ずるべきものと考える。なお、一般社団法人日本インタラクティブ広告協会は、個人関連情報が法定される従前より、その公表するプライバシーポリシーガイドライン(https://www.jiaa.org/katudo/gdl/privacy/)において法律上の個人情報であるかにかかわらず利用目的の変更制限を課しており、目的変更に際しては同意を取得すべきことを定めていたことを付言する。
第三者提供
いわゆるオプトアウトの担保を前提とした同意なき第三者提供は、本人が提供先の身元ばかりか当該提供先による利用目的をあらかじめ知ることなく個人データが提供される点で、個人情報保護の大原則中の一つである利用目的制限を大きく逸脱するものであり、本来は廃止されるべき大例外だが、(オプトアウト式第三者提供)制度を維持するのであれば以下のようなセーフガードを設けるべきと思料する。
(i) オプトアウト届出事業者が提供することのできる個人データは、本人から直接取得したもの、または、公表された事実にかかる個人データに限られなければならない
(ii) オプトアウト届出事業者から個人データの提供を受けた事業者は、遅滞なく(ただし当該個人データの利用開始より以前に)本人に対して提供を受けた旨を通知すべきこと
なお、オプトアウト届出事業者に対する本人関与を強化することは、奏功しないものと思われる。
また、オプトアウト届出事業者に対するものを除き、個人データ提供の確認記録義務は、ガイドラインが独自に定める確認記録義務への例外があまりに多く、実際的にトレーサビリティの用をなしていないため廃止すべきである。その他の第三者提供にかかる規制も利用目的等が明示されており、その利用目的等が正当と認められるものであるならば特別の規制を設けるべき理由がなく、同意取得を要求すべきではない。
こどもの個人情報
こどもの個人情報を取得等するに際しての追加的措置を何とするかは様々ありうるものと思料するが、その追求すべきところはこどもの将来に禍根を残させないことであろうと信じる。自らの行為あるいは罪であるとしても無答責であるこどもが、蓄積されてしまった自らの個人データにより将来苦しむことが無いように、事前的な保護措置として現行法上同意を要する局面であるかにかかわらず親権者による(撤回可能な)同意を必須とすることや必要性の低いデータ取得の制限を設けること、厳に必要とすべき期間を超えてデータ保持をしてはならないこととすることなど、情報の一般法となるべき個人情報保護法制のなかで所要の措置が講じられることを期待する。
権利救済
大規模漏えいの場合ばかりが個人情報にかかる個人の権利利益の重大な危機ではないものと思われるが、一方で、解釈上現行法でも不適正な取得と考えられるところの権限なき第三者から個人情報を取得し又は取得した個人情報の利用が違法であると定め、個人情報保護委員会が勧告及び命令を速やかに発することができるようにするなどの措置を講じることは有益ではないかと思料する。これにより漏えい等の委員会報告がさらに意味を増し、事業者にとっても消費者被害の抑制にも資することが期待できる。
消費者団体訴訟制度における差止請求を可能とする件に関しては、積極的に反対するものではないが、個人情報保護委員会の勧告・命令権のより積極的な行使または積極的に行使しうる条文上の手当て(例:一見して法違反が行われること又は行われていることが明らかな場合等に命令を発出できるようにする)を先んじて行うべきものではないかと考える。
刑事罰
個人情報保護法制への敵対または違法行為に対する抑止のためには、刑事罰の新設や上限刑の引き上げをもってするよりは、民事上の手続きによらず市場から不当に得た利益を引きはがす目的のために課徴金をもってするのがよいのではないかと思料する。
漏えい等報告(違法な第三者提供にかかる報告義務の有無を含む)
漏えい等の条文上の意味内容を明らかにすべきこととして一部には立法的に解決すべき問題を含むものと考える。すなわち、個人情報取扱事業者の管理すべき個人データの安全管理が危殆に瀕しその結果漏えい等が生じるから報告を行うべきなのであって、その意味においては「おそれ」を含まなければならない。他方で、当該個人情報取扱事業者が権限上も実際上も管理を行う立場にないデータ(ただし同一の内容を含むデータを保有している)の漏えい等が生じたようなときには、事実問題として管理外にある個人データが漏えい等しているとしても報告の対象とはならないよう整理されることを期待する。
現行法上の解釈として違法に第三者提供が行われた結果として、客観的には(ないし本人からの主観的にも)漏えいであるにもかかわらず、行為者の主観的な要素により義務の有無が決定されることは合理的とは言えないため、解決されるべきものと考える。
利活用に向けた支援等
社会的なニーズが高まったから例外的に目的外利用等を許容する、といった論は、個人情報保護法の精神から最も遠いところにあるものと言わざるを得ず、とても賛同できない。「公益性が高いと考えられる」、とするのもある種の価値判断に過ぎず、恣意的な運用を生むものであり、同様である。
GDPRがなぜ副次的な利用目的のためのデータ処理を容認することを内包した”legitimate” interestsを定め、かつ、なぜ公的主体がこれを原則として援用できないこととしているか再考されるべきである。
その他
– 行政機関等にあっても民間と同一の規律の下で個人情報が取り扱われることは、デジタル化を推進するうえで不可欠なファクターであり、行政機関等ばかりがその保有する個人情報の質量に照らしてあまりにも緩やかな規律にとどまっていることは不当というほかなく、真の意味における公民一元化を実現することを強く望む。
– 個人関連情報にとどまらず、仮名加工情報もすでに歴史的役割は終えており、廃止して個人情報(個人データ)の規律のなかでシンプルに運用されることを望む。
コメント