2014年07月24日

「パーソナルデータの活利用に関する制度改正大綱(検討会案)」への意見

「パーソナルデータの活利用に関する制度改正大綱(検討会案)」への意見

第1 「第2 基本的な考え方」の「T 制度改正の趣旨」について
 制度改正にあたっては,パーソナルデータの利活用による公共的利益を踏まえて,憲法13条における受忍限度の範囲内でのみ,利活用の拡大を行うべきである。以下に詳述する。
 高度情報通信ネットワーク社会推進戦略本部に設置されたパーソナルデータに関する検討会が,平成26年6月19日に公表した,「パーソナルデータの利活用に関する制度改正大綱(検討会案)」(以下「改正大綱」という。)は,制度改正の趣旨における背景として,政府の成長戦略において,個人情報及びプライバシーの保護を図りつつ,パーソナルデータの利活用を実現する環境整備(事業者のパーソナルデータについての「活利用の壁」を取り払う)を行うことが求められているとしている。
 しかし,パーソナルデータの利活用の範囲を拡大すれば,その結果として,憲法13条後段の幸福追求権の一環であるプライバシーを侵害するリスクが当然発生する。そして,幸福追求権は,公共の福祉に反しない限り,立法その他の国政の上で,最大の尊重を必要とするのであるから,プライバシーへのリスクと同等以上の公共的利益がなければ,侵害リスクが発生するようなパーソナルデータ利活用の拡大は,認められないことになり(特に,公共的利益が具体的に示されないような場合には,わずかでもプライバシーリスクを生じるようなパーソナルデータの利活用は,権利侵害を生じるといわざるをえない。),改正大綱でもパーソナルデータが本人の利益のみならず公益(社会全体の利益)のために活利用が可能とするが,ここでの「公益」が具体的にどのようなものか明らかになっていない。
 したがって,制度改正にあたってはパーソナルデータの利活用による公共的利益とプライバシーリスクの比較評価が必須であり,公益を具体的に想定した上で,公益追求権における受忍限度の範囲での利活用の拡大を検討すべきである。
第2 「第2 基本的な考え方」のU以降について(括弧内が対応する大綱の項目)
1 個人の特定性を低減したデータの同意なき目的外利用・第三者提供について(第2のUの1項及び第3のUの1項)
 「個人の特定性を低減したデータ」であっても,特定が不可能になるわけではなく,取扱い方によっては深刻なプライバシー権侵害を生むことを強く認識すべきであり,原則としては本人の同意を必要とすべきである。イノベーションや新ビジネスの創出等の期待はわかるが,あくまで期待に過ぎず,「個人の特定性を低減したデータ」に該当するための要件を厳格に定めるべきである。
 また,単に識別することを禁止するだけでは足りず,識別した場合の厳しい罰則及び識別をしていないかについての第三者機関による調査が不可欠な前提条件である。
2 行政機関・独法等・地方公共団体における個人情報保護法について(第3のUの2)
 以下に詳しく述べるとおり,現在は保有者ごとに3本の法律となっている個人情報保護法を一本化するとともに,地方公共団体についても最低限の規則を法律化すべきである。
地方公共団体ごとに個人情報の定義などの個人情報に関する根幹事項が異なっている現状は,著しく妥当性を欠くものであるから,地方公共団体における個人情報の取扱いにかかる最低限の規制を法律化し,さらなる上乗せ・横出し規制については個人情報保護条例にゆだねることとすべきである。
 上記の地方公共団体にかかる法律と,行政機関個人情報保護法,独立行政法人等個人情報保護法,そして個人情報保護法を1本の法律とすべきである。現状のように,行政機関個人情報保護法と個人情報保護法とで用語や用例が異なると,体系的な法理解が困難となることから,1本の法律とすることが困難である場合であっても,少なくとも用語・用例を統一すべきである。
3 機微情報について(第3のVの1項(2))
 列挙されている情報に加え,思想に関する情報(図書館の貸出履歴や本の購入履歴,支持政党などの政治的思想も含む)や病歴についても,プライバシーの核心的部分であり,慎重な取り扱いをすべきである。
4 個人情報の取扱いの見直し(第3のVの1項(3))
 オプトアウト、共同利用、同意について、現状の問題点(実質的には意味をなしていないオプトアウト,範囲が不明確で安易に利用されている共同利用,形式的な同意)を改めるよう厳格な対応を行うべきであり,原則としては本人の厳格な同意によって初めて,個人情報を利用・提供できる制度にすべきである。
 現在問題となっている名簿業者についても規制をすべきである。
5 基本的な制度と民間主導による自主規制ルールの活用について(第2のUの2項及び第3のVの2項)
 法律で定める原則と,そのもとで詳細を規定する自主規制ルールとの位置づけを明確にして,広く広報していくことが重要である。また,自主規制ルールが乱立よる混乱を防止するとともに,自主規制ルールに違反した事業者に対しては,第三者機関による実効的な制裁を科すべきである。以下,これらについて詳述する。
機動的な対応を可能とするために、法律で定めるべき範囲と政省令・規則・ガイドライン等で対応すべき範囲とを適切に分けること,民間の自主的な取組を活用することには賛成であるが,下位法令への委任関係が複雑になると、法規制の全体像・内容がわかりづらくなることから、事業者や消費者が規制を理解できるよう、法律や下位法令の規定ぶりをわかりやすくするとともに、説明資料・広報資料の充実を求める。
 また,民間の自主規制ルールはあくまで補完である し,自主規制ルールが乱立してしまっては,どの事業者がどのようなルールに従ってパーソナルデータを取り扱っているか消費者が理解できない事態が生じるおそれがある。少なくとも,携帯端末ID等の個人と密接な関係にある情報を含むデータ及び利用履歴・移動履歴のように個人の私生活に関する具体的な情報を含むデータについては,個人情報保護法の保護対象であると法文に明記すべきである。また,自主規制ルールについて逐次第三者機関が適正性をチェックし,自主規制ルールに反した事業者には厳しい制裁を科すなど、実効性のある規律とすべきである。さらに,自主規制のない業界や自主規制の及ばない事業者には,パーソナルデータの活利用が自主規制に従う事業者より制限されるようにしなければならない。
6 実効性ある執行制度の確保にについて(第2のUの3項及び第3のW)
 被害救済を迅速・確実に行えるよう、第三者機関に課徴金に関する権限と審査請求に関する権限,消費者の被害救済に関する権限を付与すべきである。主務大臣との連携は必要な範囲にとどめ,あくまで独立性を有する第三者機関の判断が主務大臣の判断よりも重視されるよう制度設計すべきである。また,第三者機関の人員・予算を充実させるべきである。人員については,新規の組織設立を著しく困難にするスクラップ・アンド・ビルド原則を政府として見直すべきであるし,必要な定員を確保するのみではなく,パーソナルデータ行政を遂行できる能力を十分に備えた実員を確保しなければならない。予算については,スクラップ・アンド・ビルド原則同様,非効率と考えられる主計局査定の手続をスリム化し,必要な施策に必要な予算を迅速に確保できるよう,政府として予算査定のあり方を見直すべきである。定員・予算がほぼ必要ない民間からの非常勤職員、地方公共団体からの研修生に違法に頼ることなく,第三者機関が第三者機関の職責を果たせるようにすべきである。
 開示等については,これまで日本において濫訴が実際に行われて問題になったケースなどはなく,消費者本人の情報であり,事業者がそれを利用しているだけなのであるから,事業者の負担を過度に重くとらえずに(負担したくなければ情報を所持・利用しなければ良い),広く認めるべきである。
7 適用除外について(第3のY)
 自治会や同窓会等の非営利組織であって,所属する者の直接の利益(連絡網)のために情報を共有する場合には除外することは当然であるが,原則として営利団体である事業者については,広く適用除外を認めるべきではない。
posted by まんさく at 15:01| 東京 ☀| 日記 | このブログの読者になる | 更新情報をチェックする

2013年12月31日

年末

いよいよ大晦日。
弁護士は,年始年末で裁判所が閉まるので,この時期はゆったりしている場合が多いと思います。(「弁護士先生」は師走でも走らない)
私も,今年は実家に帰らないので,ゆっくり自宅で,たまった仕事をしています…。

今年2013年は,弁護士4年目として,
刑事事件では,無罪・裁判員裁判対象事件で不起訴など,私の努力とは関係なく驚く成果が出たり,
民事事件では,相変わらず,消費者事件,特に投資詐欺事案が多かったですが,それなりに被害回復に尽力でき,弁護団事件も何とかこなし(初の事務局長もやり大慌てですがいい経験でした),医療事件,相続事件,建築紛争など,多岐に渡る事件に取り組めましや。
委員会活動では,2年目の副委員長として,電子情報部会で,パーソナルデータやオンラインゲームの問題など,様々な取り組みを行い,また,本の改訂も行いました。
全体として,昨年以上に充実し,非常にやりがいのある一年でした。もっとも忙しさがかなり増してきているので,来年はスケジュール管理をしっかり行い,仕事をもっと迅速にやっていけたらと思います。

来年もよろしくお願いします。
posted by まんさく at 14:35| 東京 ☀| 日記 | このブログの読者になる | 更新情報をチェックする

2013年10月31日

パーソナルデータに関する検討会

政府が主催する「パーソナルデータに関する検討会」に参考人として出席してきました。
出席しただけで,発言は何もしていません…(いや,事前に発表者と部会で協議はしてますよ…)

ちなみに,「パーソナルデータ」ってのは,いわゆる「ビッグデータ」で,「個人情報」(氏名,住所,電話番号など)だけでなく,行動履歴(どの駅で降りた,どこで何を買った)やインターネットにおける検索履歴・閲覧履歴,はたまた病歴・性別など,個人に関するあらゆる情報のことです。
今,このビッグデータをいろいろな分野(多くは広告・宣伝・営業,医療や災害対策の研究など)で活用できないかというのが,世界的に話題になっているのです。(なお,実際は余り役に立たないのではないかという懐疑的な意見もあります。それでも,これだけの情報を持ってしまったり手に入れられる企業としては使わないわけにはいかないという事情も見え隠れします。)

感想としては,こういう会議って,事前に既に事務レベルで協議していて,形式的なものかなと思ったのですが,意外と議論が白熱していて,非常に参考になりました。(大臣も近くで生で見れたし…)
やはり,企業側も消費者側も学者関係も,今のパーソナルデータの取り扱いの難しさ(不明瞭・曖昧で,何が良くて何が駄目なのかわからない現状)の打開を目指していることには違いはないようです。そのために,第三者委員会が必要なのも一致。
もっとも,恐らく企業側はFTC三要件のような基準でEUとは交渉で何とかするというのを目指し,消費者側(学者側?)はEUのような厳格な基準・規制を目指しているのかな,と方向性の違いも見えてきました。


会議で意見を控えていたのですが(参考人なので),いくつか,ここで提言。

一つには,経済同友会の伊藤清彦常務理事の資料では(パーソナルデータの流出が起きた場合に)「結果責任を問う」という記載がありましたが,質疑では,結果責任といっても絶対ではなく,銀行にトラックが突っ込んで金庫のお金を持ちだしたケースを例に取り,一定のセキュリティ技術要件を充足していた場合には,責任を免れる,盗んだ側への責任を追求すべきという趣旨の発言があったと記憶していますが(議事録で確認必要),情報流出が起きた場合のサンクション(制裁)についてです。
確かに,何でも無過失の結果責任では,リスクが大きく,ビジネスとして育っていきません。
しかし,銀行の例ですが,例え,銀行強盗にあっても,銀行は通常は預金者に払い戻しをしますし,貸し金庫などでは保険などの適用もあり,銀行から賠償されるケースが多いと思います。まして,パーソナルデータを保持していたのが企業が利用するための場合であれば,勝手に盗られたといっても,やはり,企業の都合でパーソナルデータを収集し管理しているのであって,情報流出の対策などは消費者側では如何ともし難いのですから,企業側に責任を負わせるべきだと思います。
民事賠償における法律上の立て付けとしてはPL法(製造物責任法)のように,原則無過失責任で,開発危険の抗弁のように,当時最高峰のセキュリティ体制であって流出は想定できなかったということを企業側が立証できた場合にのみ免責を認めるべきです。このように立証責任を転換しないと,企業がきちんとセキュリティ体制をとっていなかったということを消費者側で立証することは困難を極め,現状のようにパーソナルデータが流出しても企業側が無視をしたり謝罪のみであったり低額な金銭で解決するような事態は,少しは良くなるのではないでしょうか。このような情報流出対策の無過失責任の保険の加入を義務付けるのも良い方法だと思います。
また,第三者委員会等でセキュリティ技術要件を明示することは,おおまかな基準は作れても日々進化していくセキュリティ技術の中で,厳格な技術要件の提示は不可能だと思います。


もう一つはパーソナルデータの取り扱いの規制について,どのような情報(どこまでの情報)を規制するのかという議論に陥りやすいと思いますが,規制の有無や程度については,情報そのものというより「どのような主体が,どのような目的で,どのように取り扱うのか」によって,大きく異なると考えます。
例えば,個人商店で,売上の傾向や客層を調べ,仕入れに反映させるために,お客さんについて,購入した商品名や日時の履歴,おおよその年齢,性別などを会員カード(住所・氏名記載)の番号と紐付けて,データとして収集し,そのお店限りで上記目的で利用しているとしても,これが規制されるべきとは考えません。また,同様の店でキャンペーンとして,投票済証明書を見せれば,ポイントや割引をするを付けるというのも規制されるべきとは考えません。
しかし,大規模な会社が多くのグループ企業・加盟企業と共同して,購入した商品名や日時の履歴,おおよその年齢,性別などを会員カード(住所・氏名記載)の番号と紐付けて,データとして収集し,目的が不明瞭のまま,グループ企業・加盟企業すべてでそのデータを利用しているとすれば,これには一定の規制が必要考えます。


http://www.kantei.go.jp/jp/singi/it2/pd/index.html
http://itpro.nikkeibp.co.jp/article/NEWS/20131029/514706/?r_security
posted by まんさく at 11:38| 東京 ☀| 日記 | このブログの読者になる | 更新情報をチェックする