個人データ利用停止権で議論進む…どうなる個人情報保護法の改正
「仮名化情報」の議論も俎上に
欧州連合(EU)の一般データ保護規則(GDPR)施行から約1年が過ぎた。わが国では個人情報保護法の改正に関する中間整理が4月にまとまった。同法は情勢に合わせて3年ごとに見直すことになっており、2020年5月が3年目に当たる。GDPRの執行状況と、1年後に控える個人情報保護法の改正議論のポイントを検証する。
「個人情報保護法の改正のポイントは二つ」と、牛島総合法律事務所の影島広泰弁護士は指摘する。一つは、情報漏えいした際の報告の義務付け。報告先は個人情報保護委員会。18年度には4000件の報告があり「どこまでを報告するかの問題はあるが、実務的には影響はない」(影島氏)という。
もう一つは、個人データの利用停止権。GDPRでは「忘れられる権利」を規定している。本人が同意を撤回した場合や、目的のために取り扱う必要がなくなった場合、違反がなくても個人データの削除を本人が請求できる。
これに対し、わが国の個人情報保護法では、目的外利用や同意を取らずに第三者提供した場合は訂正などを請求できるが、一般論として削除請求権はない。議論が進んでいるのは利用停止権。影島弁護士は「個人のプライバシー保護と、データの取り扱いの効率化という意味でバランスが取れている」と評価する。
保存データから特定の個人の記録だけを削除するのは実務的に困難だが、利用停止ならば「フラグ」(目印)などを立て、利用できないようにしておけばよく、保存データ自体はそのまま残しておいてもよい。
このほか個人情報の利活用を促進する「仮名化情報」についての議論も俎上(そじょう)に載っている。仮名化では、当該データから直接的には個人を特定できないが、元の情報と突き合わせれば特定可能になる。「仮名化しておけば利用停止権などの対象にしないということのようだが、内容ははっきりしていない」(同)という。
現状は、個人データを第三者に提供する際に、そのデータが個人データに該当するか否かの判断は「容易照合性」の問題となる。他の情報と容易に照合でき、特定の個人を識別できるかどうかだ。提供先では誰の情報か分からなくても「提供元において、容易適合性があれば個人データの第三者提供に当たる」のが、個人情報保護委員会の見解だ。
基準を決めて仮名化すれば第三者提供の際に同意取得を不要にしてほしい、という企業の声は多い。影島弁護士は「第三者提供の規制が緩和されるのか、また、緩和されるとしてもどの程度かは明らかではない。結局、匿名加工情報と同じような問題を抱えることになるかもしれない」と指摘する。
日本情報経済社会推進協会(JIPDEC)の担当者も「改正個人情報保護法の施行から2年が過ぎたが、企業が求めるデータ活用の促進はまだ緒に就いたところ」とする。
一方で、GDPRへの対応もそれなりに進展しているが、域外適用については予断が許されない。日本企業は20年に控える個人情報保護法の改正を睨みながら、GDPRの域外適用にも留意しなければならない。「世界的なインパクトを考えれば、日本企業を制裁対象とすることは考えられる」と影島弁護士はクギを刺す。
欧州連合(EU)の一般データ保護規則(GDPR)の施行後9カ月で違反による課徴金は総額70億円以上となった。GDPRと同時期に施行予定だった「eプライバシー規則(案)」の議論も進んでいる。こうした中、日本情報経済社会推進協会(JIPDEC)は企業向けセミナーを開き、同規則案が日本企業の実務に与える影響を説明し、対応の検討を促した。講演した牛島総合法律事務所の影島広泰弁護士に要点を聞いた。
―GDPRとeプライバシー規則案の違いは何ですか。
「GDPRは個人データ、eプライバシー規則案は電子通信データの扱いを規定している。それぞれ重なる部分もあるが、対象は異なる。eプライバシー規則はGDPRの特別法であり、eプライバシー規則に定めがある部分はeプライバシー規則が優先される」
―eプライバシー規則もGDPRと同様に課徴金があります。日本企業はどう向き合えばよいのでしょうか。
「従来のeプライバシー指令は域外適用はなく、日本とは関係なかった。今回は域外適用があり、EU法と向き合うことになる。eプライバシー規則は電子データ自体の取り扱いに適用されるため、すそ野は広い。ユーザーの端末情報の取り扱いやダイレクトマーケティングのメールの扱いなども含まれる。ウェブサイトを使っていない企業はほとんどないので、その意味では影響が大きい」
―eプライバシー規則案の注目点とは。
「一番の肝は『クッキー』の取り扱いが明確になることだ。クッキーとはウェブサイトを提供するサーバー側から、ユーザーの情報機器に送り保存する情報のこと。機器間でこれをやりとりすることで、一人ひとりに違う内容のページを表示させたり、訪問者に対して、前回の続きとして対応したりできる。eプライバシー規則案では『エンドユーザーの端末機器情報の保護』を第8条で規定している」
―具体的には。
「クッキーの扱いは本人の同意が必要な場合と、必要でない場合がある。トラフィック(通信量)を計測するだけであれば同意は不要となりそうだ。サービスのために必要な場合も同様。そのような場合以外は同意が必要となる。クッキーを利用していないウェブサイトはほとんどないから、影響は大きい」
―デジタルマーケティングなどで自動化ツールを用いると、知らないうちに、個人情報を取り扱い、違法な処理をしてしまうことはありませんか。
「企業内で事業部側は法律に詳しくなく、逆に法務担当は技術に疎い状態になっている。その結果、違法が発生する危険がある。とても難しい状況が生じており、クッキーの扱いはツールを使って管理しておかないと危ない」
牛島総合法律事務所の影島広泰弁護士
【記者の目/事業部と法務部の溝埋めよ】
eプライバシー規則をめぐる欧州委員会での議論は難航している。だが、個人データやプライバシーの扱いを厳格化する動きは世界的な潮流であり、わが国の個人情報保護法の改正にも影響を及ぼす。クッキーの規定について「個人情報保護法に盛り込むのは難しいが、ガイドラインとして例示されることはあり得る」(影島弁護士)。企業は事業部と法務部の溝を埋めておくことが必要だ。(編集委員・斉藤実)
「個人情報保護法の改正のポイントは二つ」と、牛島総合法律事務所の影島広泰弁護士は指摘する。一つは、情報漏えいした際の報告の義務付け。報告先は個人情報保護委員会。18年度には4000件の報告があり「どこまでを報告するかの問題はあるが、実務的には影響はない」(影島氏)という。
もう一つは、個人データの利用停止権。GDPRでは「忘れられる権利」を規定している。本人が同意を撤回した場合や、目的のために取り扱う必要がなくなった場合、違反がなくても個人データの削除を本人が請求できる。
これに対し、わが国の個人情報保護法では、目的外利用や同意を取らずに第三者提供した場合は訂正などを請求できるが、一般論として削除請求権はない。議論が進んでいるのは利用停止権。影島弁護士は「個人のプライバシー保護と、データの取り扱いの効率化という意味でバランスが取れている」と評価する。
保存データから特定の個人の記録だけを削除するのは実務的に困難だが、利用停止ならば「フラグ」(目印)などを立て、利用できないようにしておけばよく、保存データ自体はそのまま残しておいてもよい。
このほか個人情報の利活用を促進する「仮名化情報」についての議論も俎上(そじょう)に載っている。仮名化では、当該データから直接的には個人を特定できないが、元の情報と突き合わせれば特定可能になる。「仮名化しておけば利用停止権などの対象にしないということのようだが、内容ははっきりしていない」(同)という。
現状は、個人データを第三者に提供する際に、そのデータが個人データに該当するか否かの判断は「容易照合性」の問題となる。他の情報と容易に照合でき、特定の個人を識別できるかどうかだ。提供先では誰の情報か分からなくても「提供元において、容易適合性があれば個人データの第三者提供に当たる」のが、個人情報保護委員会の見解だ。
基準を決めて仮名化すれば第三者提供の際に同意取得を不要にしてほしい、という企業の声は多い。影島弁護士は「第三者提供の規制が緩和されるのか、また、緩和されるとしてもどの程度かは明らかではない。結局、匿名加工情報と同じような問題を抱えることになるかもしれない」と指摘する。
日本情報経済社会推進協会(JIPDEC)の担当者も「改正個人情報保護法の施行から2年が過ぎたが、企業が求めるデータ活用の促進はまだ緒に就いたところ」とする。
一方で、GDPRへの対応もそれなりに進展しているが、域外適用については予断が許されない。日本企業は20年に控える個人情報保護法の改正を睨みながら、GDPRの域外適用にも留意しなければならない。「世界的なインパクトを考えれば、日本企業を制裁対象とすることは考えられる」と影島弁護士はクギを刺す。
インタビュー/牛島総合法律事務所弁護士・影島広泰氏
欧州連合(EU)の一般データ保護規則(GDPR)の施行後9カ月で違反による課徴金は総額70億円以上となった。GDPRと同時期に施行予定だった「eプライバシー規則(案)」の議論も進んでいる。こうした中、日本情報経済社会推進協会(JIPDEC)は企業向けセミナーを開き、同規則案が日本企業の実務に与える影響を説明し、対応の検討を促した。講演した牛島総合法律事務所の影島広泰弁護士に要点を聞いた。
―GDPRとeプライバシー規則案の違いは何ですか。
「GDPRは個人データ、eプライバシー規則案は電子通信データの扱いを規定している。それぞれ重なる部分もあるが、対象は異なる。eプライバシー規則はGDPRの特別法であり、eプライバシー規則に定めがある部分はeプライバシー規則が優先される」
―eプライバシー規則もGDPRと同様に課徴金があります。日本企業はどう向き合えばよいのでしょうか。
「従来のeプライバシー指令は域外適用はなく、日本とは関係なかった。今回は域外適用があり、EU法と向き合うことになる。eプライバシー規則は電子データ自体の取り扱いに適用されるため、すそ野は広い。ユーザーの端末情報の取り扱いやダイレクトマーケティングのメールの扱いなども含まれる。ウェブサイトを使っていない企業はほとんどないので、その意味では影響が大きい」
―eプライバシー規則案の注目点とは。
「一番の肝は『クッキー』の取り扱いが明確になることだ。クッキーとはウェブサイトを提供するサーバー側から、ユーザーの情報機器に送り保存する情報のこと。機器間でこれをやりとりすることで、一人ひとりに違う内容のページを表示させたり、訪問者に対して、前回の続きとして対応したりできる。eプライバシー規則案では『エンドユーザーの端末機器情報の保護』を第8条で規定している」
―具体的には。
「クッキーの扱いは本人の同意が必要な場合と、必要でない場合がある。トラフィック(通信量)を計測するだけであれば同意は不要となりそうだ。サービスのために必要な場合も同様。そのような場合以外は同意が必要となる。クッキーを利用していないウェブサイトはほとんどないから、影響は大きい」
―デジタルマーケティングなどで自動化ツールを用いると、知らないうちに、個人情報を取り扱い、違法な処理をしてしまうことはありませんか。
「企業内で事業部側は法律に詳しくなく、逆に法務担当は技術に疎い状態になっている。その結果、違法が発生する危険がある。とても難しい状況が生じており、クッキーの扱いはツールを使って管理しておかないと危ない」
【記者の目/事業部と法務部の溝埋めよ】
eプライバシー規則をめぐる欧州委員会での議論は難航している。だが、個人データやプライバシーの扱いを厳格化する動きは世界的な潮流であり、わが国の個人情報保護法の改正にも影響を及ぼす。クッキーの規定について「個人情報保護法に盛り込むのは難しいが、ガイドラインとして例示されることはあり得る」(影島弁護士)。企業は事業部と法務部の溝を埋めておくことが必要だ。(編集委員・斉藤実)
日刊工業新聞2019年7月31日、8月1日
関連記事
