ITをめぐる法律問題について考える

弁護士水町雅子のIT情報法ブログ

個人情報保護法2020年改正資料、作成中

情報法

f:id:cyberlawissues:20200323100105j:plain

個人情報保護法2020年改正 オプトアウト規制強化

やや遅くなりましたが、個人情報保護法2020年改正資料を、ようやく作成中です。

とりあえず、オプトアウト規制強化のスライドです。

とりあえず上みたいな感じで作ってみました。今後、また形式を変えるかもしれませんが、今のところ、結構よくかけたかな、わかりやすい形式かなと思って、この表形式にしようかなと思っているところです。

 

オプトアウト禁止対象の拡大の法改正。これ、オプトアウトを連続していって個人データを延々と提供している業界って、名簿業界以外にもなくはない気がするんですよね。そういう業界には、甚大な影響ですね。

ただ、私の意見としては、オプトアウトで提供→オプトアウトで提供→オプトアウトで提供っていうのを繰り返すのは、やはり個人情報保護として欠けるので、法改正には賛成です。

オプトアウト連続でこれまで個人データ提供をやっていたところは、共同利用か同意取得に切り替える形ですかね。共同利用が脱法化のスキームにならないように、しかしそれと同時に必要な個人データのやりとりが適法化されるよう、チェックが必要かと思います。

 

先週までは仕事が大量にあって、とても法改正資料作成に手が付けられなかったのと、あとは個人情報保護委員会Webサイトが落ちていて見れなかったので、今週から着手しました。

Webサイト、アクセス過多で落ちているのかと思いきや、委員会Webサイトトップを見ると、なんかネットワーク環境の問題っぽいので、純粋な障害発生だったのでしょうか?よくわかりませんが、まあ、とりあえず、仕事の空き時間に、ぼちぼち法改正資料作成を進めていきたいと思ってます!

マイナンバーメルマガ雑感

マイナンバー

マイナンバーメルマガ、読んでいますが、上手な文章だと思います。

まず、平易な日本語で政策を説明している。当たり前に思えて、とても難しい。これができる行政官は実はめったにいない。

次に、第69号(令和2年3月19日)では、自治体職員向けというか、マイナンバー、そしてオン資を現場で支える自治体職員に対する気持ちが、見受けられました。国保課さん、超重要! 引き続き頑張っていただきたいです。

 

マイナンバーメルマガ

https://www.cao.go.jp/bangouseido/mailmagazine/backnumber/index.html

 

最後に、どうでもいい話ですみませんが、医療保険というと、マイナンバー担当官だったころを思い出します。マイナンバー、医療保険でがっつり使うんで、法律の検討とか事務の検討とか所管官庁ほかの相談対応とかしていたのですが、そもそもの医療保険が超複雑なんですよね。社保、市町村国保国保組合、後期高齢、私学共済、国家公務員共済、地方公務員共済のほかに、農林水産系の共済もありますよね。共済になると、健康保険と年金もあって、他方で社保とかだと健保と年金は分かれていますからね。

今となっては、市町村国保国保組合の違いが判りますし、支払基金国保中央会・国保連の違いも判りますが、当時は、いろいろ調べながらやっていて、当時の担当係長がとても優秀な人で、私と同じく医療保険をそれまでの仕事でやっていないのに、医療保険制度の見取り図・全体図みたいのを自作してくれたんですよ、厚労省の人に聞きながら。本当に優秀な係長ですね。

昔は、医療保険だけじゃなくて、自治体システムだってそんなに知らないでいて、既存住基と住基ネットの違いもわかっていませんでしたが、今となっては、既存住基と住基ネットの違いはもちろん分かりますし、まあベンダーさんや情報政策のご担当者と比べたら話にならないお恥ずかしいレベルですが、一般人としては自治体システムにめっちゃ詳しい方だと自負しています。

人間、なんでもやればできる。なんかでも、そういう調査とか勉強とかは、つらくなくて、楽しかったです。良い思い出もあり悪い悲惨な思いでもあり、まあ、振り返ってみると、マイナンバー担当官だったときは楽しかったなと思います。

 

しかし、最近、国保の保険料高くないですか。弁護士になりたての頃は、国保組合の保険料安かったのに、最近どんどん値上がりが。負担金が高いのかな? 弁護士国保だと若い人が多そうな気がしますけどね、どうなんでしょうか。

個人情報保護法上、個人データ提供が可能な「委託」「共同利用」の区別等の疑問

情報法 GDPR

※かなり細かな法律的な話を書いています。

 

 

1.委託と共同利用

(1)はじめに

個人情報保護法上、本人同意を得なくても、「委託」の場合は、個人データを他の会社等に提供することができます。

この「委託」とは一体何なのか、「共同利用」とは何が違うのか、数年にわたって、ぼんやり考えてき続けましたが、いまだに解が出ません。

(第三者提供の制限)
第二十三条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで個人データを第三者に提供してはならない
(略)
5 次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、三者に該当しないものとする。
一 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
二 合併その他の事由による事業の承継に伴って個人データが提供される場合
三 特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。

 

(2)委託の解説

個人情報保護法23条5項1号「委託」とは、個人情報保護法制定時の立法担当官の書籍を見ると、次のように記載されています(園部逸夫編・藤原静雄・個人情報保護法制研究会著「個人情報保護法の解説」改訂版、ぎょうせい、平成17年 142ページ)。

「『委託』とは、委任契約、請負契約といった契約の形態・種類を問わず、個人情報取扱事業者が他の者に個人データの取扱いの全部又は一部を行うよう依頼する契約の一切を含むものである。具体的には、個人情報取扱事業者が外部の情報処理会社等に対して個人データの入力、編集、出力等の処理を行うことを依頼すること等が想定される」

 

(3)共同利用の解説

個人情報保護法23条5項3号「共同利用」は、次のように記載されています(同書155ページ)。

個人データが一定のグループ内で取り扱われる場合であって、グループ内の事業者の範囲やその管理責任等を明確にすることにより、グループ内の利用を例外として第三者提供としての規律から除外するものである。

例えば、旅行業においてグループ企業を通じて移動・宿泊・観光・食事といった総合的なサービスを提供するなど、特定の事業者が取得した個人情報を、本人のニーズに対応した商品・サービスの提供や事業活動の適正化等のために、一定の契約関係の下に、特定の事業者との間で相互に利用することが行われている。

 

宇賀克也「個人情報保護法の逐条解説」第5版(有斐閣、2016年)171ページでは、次のような例の記載があります。

金融機関間で延滞情報を交換する場合、旅行業界で顧客情報を共有する場合…病院と訪問看護ステーション

 

(4)それぞれの典型例

「委託」の典型例としては、データ入力・印刷などです。

「共同利用」の典型例としては、グループ企業間、病院と訪問看護ステーション、共同研究(学術研究の範囲外のもの)、キャンペーンの共催などが挙げられるかと思います。

私はこれまでイメージ的には、「委託」は上下の関係、「共同利用」は横の関係的に、説明してきました。

 

2.委託と共同利用に関する謎

(1)委託と共同利用の境界があいまい

しかしです。典型例のキャンペーン共催やグループ企業、共同研究なんかは「委託」と「共同利用」の違いがなんとなくわかりますが、限界事例というか、そういうたぐいのものでは、はっきりいって何が違いなのかがよく見えません。

(2)旅行はなぜ委託ではないのか

「共同利用」、個人情報保護法のそもそもの立法当初は旅行業界が例に挙げられていました。しかし、旅行代理店が鉄道、バス、タクシー、空港送迎の人、ホテルに個人情報を渡すのって、これって「委託」と構成できないのでしょうか。

 

旅行業者が旅行者の依頼を受けホテルを予約する等の行為は、通常、「仲立」にあたるとされています(江頭憲治郎「商行為」200ページで引用されている島十四郎「旅行あっ旋業の法的性格」484ページ)*1

 

法律学小辞典で「委託」を調べてみると、以下のように記載されています。

一定の行為を他人に依頼すること。委託者と受託者の間に信任関係を生じ、一定の法律関係の基礎となる。例えば、法律行為の委託は委任であり、法律行為以外の委託は準委任である。そのほか寄託・請負・運送・信託・問屋・仲立・手形などの制度は、それぞれ特定の行為を他人に委託する関係である。

 

請負、準委任以外であっても、「委託」に当たりそうです。なぜ、旅行会社が個人情報保護法立法当時「委託」ではなく「共同利用」とされたのか。立法当時の資料を紐解いてみる必要があるかもしれません。

 

(3)グループ会社間の共同利用の謎

そして共同利用の典型例のグループ企業間も、ゆっくり考えるとよくわかりません。「委託」もしていないのに、グループ会社間なら幅広に個人データの共有がなぜできるのか。

総合的なサービス提供をするからっていう声も返ってきそうですけど、例えば、水町ホールディングス傘下に、コンサル会社と修理会社とホテルと飲食店があったとして、業態全然違うのに、それぞれが利用目的の範囲内なら、これ、共同利用できちゃうわけですよね。

まあ「当該共同利用は、社会通念上、共同して利用する者の範囲や利用目的等が当該個人データの本人が通常予期し得ると客観的に認められる範囲内である必要がある」(ガイドライン通則編52ページ)から、いくら水町ホールディングス傘下とはいえ、予期できないよね、といって、共同利用不可という解釈を取った方が正当ではありますが、世の中の実態を見ると、たぶん、資本関連があれば共同利用可と考えている方も少なくないのでは?とも思うのです。

 

(4)まとまりのないまとめ

というように、委託と共同利用は考えても考えが尽きず、すっきりした自分なりの考えがまとまりません。おそらく、この解をきっちりと持っている人って、現在、世界中どこにもいないのではないかとすら思います。そんなことないかな??

GDPRのJoint ControllerとProcessorの差異が、意外と委託と共同利用の差異の解を導けそうにも思いましたが、まだあまり深くJoint ControllerとProcessorについて調べたりもしていません。旅行代理店とか空港会社に会社が手配をお願いして個人データを渡しても、これはProcessorではなくJoint Controllerだという話を聞きました。感覚的にはとても理解できます。これって、Processorや委託としての管理責任を問われたとしても、現実問題、管理できないですからね。

なかなか解が出ませんが、引き続き考えていきたいと思います。

 

3.共同利用者の範囲の変更

最後に、共同利用者の範囲の変更ができないという点についても、ブログを追記しました。

  1. cyberlawissues.hatenablog.com

*1:但し、航空会社の代理店である旅行業者が航空券を発行するのは代理商、企画旅行契約は取次。代理商は委任又は準委任(江頭「商行為」239ページ)。取次とは自己の名をもって(自分が権利・義務の帰属主体となって)他人のために(他人の計算、すなわち経済的損益を他人に帰属させて)法律行為をなすことを引き受ける行為で、証券会社や商品の委託販売などが例。

次世代医療基盤法も改正されている

情報法 医療

個人情報保護法改正法案の中に、次世代医療基盤法等の改正法案も一緒に載っています。

次世代医療基盤法の改正点としては、以下です。

  • 漏えい報告義務
    ←ある意味当たり前の報告であって、義務化されてもされなくてもやるべき種類のこと
  • 通知事項の拡充
  • 罰則強化

 

大臣認定第1号も出ていますので、そろそろ動き出すかなっていう時期ですが、通知事項の拡充については、これは改正法の施行前にやっても良いとなっています。改正法に基づく通知・大臣届出をしておけば、施行後の通知・大臣届出とみなすとされています(附則7条)。ちなみに施行時期は、個人情報保護法改正と同様に、基本的に2022年頃と予想されます。

 

しかしですね、改正法に基づく通知・大臣届出をしたい認定事業者さんがいたとしても、30条1項8号で主務省令で定める事項が通知事項となっていますから、これって主務省令が出ないと、対応できないですよね…。主務省令はいつごろ出るのかな?

【個人情報Q&A】個人情報保護法改正法の施行時期

情報法

個人情報保護法が改正されるそうですが、いつから新しい個人情報保護法に基づいて個人情報を取り扱わなければならないのでしょうか

 

基本的には、2022年頃になります。

附則1条柱書で「公布の日から2年以内の政令で定める日」から施行されるとされているからです。「公布」日がいつになるか今の時点ではわかりませんが、大体、2020年中(5-6月ごろ??)ではないかと予測されます。そうすると、そこから2年以内なので、2022年頃と考えられるわけです。但し、正確には「政令」が出てみないことにはわかりません。おそらく、改正法に基づくガイドライン改訂等がなされてから1年後ぐらいに、施行日は設定されるのではないかと予想されます。

但し、罰則関係は施行が早くて、2020年頃ではないかと考えられます。附則1条2号で、「公布の日から6月」となっているためです。「公布」日がいつになるか今の時点でわからないのですが、上記の通りですから、仮に2020年5月が公布日だとすると、そこから6カ月たった日ということになります。

次世代医療基盤法に基づき拒否ができる人はだれか

医療 情報法

次世代医療基盤法(医療ビッグデータ法)で、医療情報が大臣認定事業者に提供されないよう、拒否できると聞きました。患者本人以外にだれが拒否できるのでしょうか。

 

本人又はその遺族は、次世代医療基盤法上、拒否することが法的権利として認められています(次世代医療基盤法30条1項)。

拒否すれば、医療情報が病院等から大臣認定事業者に提供され匿名加工されて、医療研究等に役立つ利用をされる、ということは起こりません。また拒否することで、患者側が何か不利になるようなことはけしてあってはならず、自由に拒否するかしないか自分で判断することができます。

 

患者本人以外に拒否できるのは、遺族です。

遺族とは、死亡した本人の配偶者(婚姻の届出をしていないが、事実上婚姻関係と同様の事情にあった者を含む。)、子、父母、孫、祖父母及び兄弟姉妹をいいます(施行令6条)。

個人情報保護委員会サイトがまだ落ちている&個人情報保護法改正法案雑感

雑記

個人情報保護委員会のサイトがまだ落ちていますね。

ガイドラインを見ようと思っても、Sorryのページになっちゃって見られないので、古いバージョンのをローカル保存してあるので、それを見ています。こういう事態に備えて、ガイドラインってローカル保存しておいた方がよいですね。

改正法案を見たいっていうアクセスが多発しているんでしょうね、きっと。

担当省庁のページだけじゃなくて、eGovかなんかにも、改正法案と、確定版ガイドラインを掲載しておけば、こういう事態にも良いのかなと思います。サーバ違いますからね。

委員会Webサイトの環境って政府共通PFでしたっけ?政府共通PFだと拡張ってそんなにかんたんじゃなかったような気も?

 

個人情報保護法改正案、サイトが見れないで、よく確認できないでいるんですが、日弁連で紙の資料もらってたから、こういうとき、サイトが落ちていても紙をもらっていると便利です。

海外への個人データ提供が、法改正によってどれだけハレーションがあるのかなって思ってたんですけど、これ、全て委員会規則という法律の下位規範に丸投げしているんで、改正法案だけじゃ、どれだけのハレーションかは不明ですね。委員会規則は、いつ公表されるんでしょうかね。今年中ぐらいでしょうか。

 

あと、「私の個人情報を消して!使わないで!もうやめて!」という消費者側からの請求対応がどれぐらい義務化されるかっていう観点も、民間企業実務に多大な影響を与えると思いましたが、「個人データの取扱いにより当該本人の権利又は正当な利益が害されるおそれがある場合」には、利用停止等、第三者提供停止が請求できるっていう改正法案(30条5項)なので、「害されるおそれ」をどの程度で判断するかによって、全然民間実務に与える影響は違うかな、と。ここらへんの判断はガイドラインとFAQ待ちですよね。

そうすると、民間実務へのインパクトは、改正法が成立しても依然わからず、規則・ガイドラインが出てみないとわからないっていうことになりそうです。

ただまあ、「私の個人情報を消して!」という消費者側からの請求対応としては、当初、私が想像していたよりは、あまり消費者の権利が拡充されていないなって思うので、消費者からしたらがっかり、企業からしたらあまり今までと変わりないってなりそうかもしれないですね。