ITをめぐる法律問題について考える

弁護士水町雅子のIT情報法ブログ

「情報通信技術(IT)の利活用に関する制度整備検討会中間整理」に対する意見

「情報通信技術(IT)の利活用に関する制度整備検討会中間整理」パブコメ中でした。
12月に内閣官房のレクを受けたので、今日、意見を提出しました。

提出した意見は、下記の通りです。
なお、「4.オンライン利用」は素人ですが、一国民としての意見を述べてみました。


1.個人情報委託管理型

 「個人情報委託管理型については、現行個人情報保護法で対応可」と記載されているが、例示されているID、パスワード、お薬手帳、クレジットカードの情報等は極めて重要な情報で、悪用された場合の被害が甚大である。これらを預かる事業者においては、本人に十分な説明を行った上で、本人の任意の同意を取得すべきであるし、目的外利用・第三者提供の制限・安全管理措置等の点においても、重要情報以外の個人情報と同様でよいとは考えられない。
改正個人情報保護法の要配慮個人情報が、人種・信条・社会的身分など不当な差別等が生じうる情報に限定されているのが問題であって、本来は、ID、パスワード、クレジットカード情報など、悪用された場合にプライバシー権侵害ではなく、別の財産権侵害・名誉権侵害・社会的混乱等をもたらす個人情報も、それ以外の個人情報よりも義務を重く課すなどの法改正を行うべきである(個人情報保護法により保護される権利利益はプライバシー権のみに限定されず、個人の権利利益が保護される、個人情報保護法1条)。
また要配慮個人情報にしろ、上記ID、パスワード情報にしろ、義務の加重は取得と第三者提供制限だけでなく、利用目的の変更制限・安全管理措置など、個人情報の取扱いにかかるライフサイクル全体を通して、義務の加重が必要であろう。
さらにいえば、下記、個人情報収集分析型でも述べるが、被害にあった個人への救済を強化し、個人情報保護委員会による紛争解決(苦情あっせんにとどまらないもの)、課徴金の導入、罰則の強化、本人への説明強化なども行うべきである。


2.個人情報収集分析型

 個人情報収集分析型については、個人情報活用のニーズが高いものについて、改正個人情報保護法規制を緩和する趣旨と見受けられる。

(1)分野・要件の限定を求める
意見の1点目としてまず、個人情報活用のニーズが高ければよいというものではなく、個人情報を活用することで、人の生命・身体の安全が確保できるような、公益性の高い分野における活用に限定すべきであると考える。この点、中間整理も同趣旨ではないかとも考えられるが、「国が医療・介護の向上等/交通事故、災害の防止等の分野にかかる事業であること等の一定の要件を審査し」とある部分の「一定の要件」を、この趣旨を明確に反映するよう、厳格に限定すべきである。

(2)十分な個人情報保護、プライバシー権等保護を求める
意見の2点目として、改正個人情報保護法規制を緩和するからには、法規制の緩和を行っても十分な個人情報保護、プライバシー権保護等が図られることが前提である。第三者提供制限は緩和するとしても、その代わりに、本人への説明、安全管理措置、被害回復、罰則・義務強化などの点について、十分な義務を課すべきである。
本人からしてみれば、同意を行っていないにもかかわらず、勝手に個人情報を第三者提供されてしまうのであるから、なぜ個人情報を活用するのか、どのように個人情報を活用し、目的外利用・不当な提供・杜撰な管理・従業者等の不正を防止し、安全を確保するのかといった点について、本人に対し十分な説明を行うべきである。
この点、プライバシーポリシーの作成は義務化されていないし、たとえ義務化されても、現状のプライバシーポリシーは十分な説明というよりは企業の免責事項の列挙の様相を示している。真の意味で、本人が安心できるような説明義務を、代理機関に課すべきである。プライバシー影響評価を義務付けることも十分考えられるが、現状の特定個人情報保護評価は、記載の意味を理解せずにただコピペしているだけであるとも評価されうるものになってしまっているので、この点を速やかに是正し、真の意味で、本人が安心できるような十分な説明を、代理機関に行わせるべきである。
また個人情報の安全管理措置は、事業者の規模・取り扱う個人情報の数等によって緩和も考えられるが、ここでいう代理機関については、仮に取り扱う個人情報が少量であっても、安全管理措置の軽減は行わせるべきではない。
その他、個人情報保護法違反があっても、現状では行政指導、刑事立件、民事訴訟ともほぼ行われない状況にあるが、このような現状を改善すべく、個人情報保護委員会による是正をまず行うべきであるし、罰則の強化、被害回復等を容易化すべきである。個人情報保護委員会は苦情あっせんしか行わないが、それにとどまらずFTCのような紛争解決を行ったり、違反事業者に対して課徴金を導入したり、罰則を強化したりすべきである。

(3)オプトアウトを求める
意見の3点目として、交通事故、災害の防止等の分野については、本人のオプトアウトを認めない趣旨と考えられるが、オプトアウトをこれまで通り認めるべきと考える。オプトアウトを認めない理由として、「たまたま映像にうつりこんだ個人の個人情報等を活用するので、本人にとっては自身の個人情報が提供されていると気づかないのでオプトアウトを認める必要はない」との説明を受けたが、オプトアウトは個人情報保護委員会に届け出られることで透明性を高めるべく、法改正がなされている。個人情報保護委員会による公表などをきっかけにして、本人が自身の個人情報の第三者提供に気づいた時は、オプトアウトを認めるべきである。


3.規制緩和に関して

上記のように、個人情報保護、プライバシー権等保護を図るためには義務強化が不可欠であると考えるが、事業者に対する義務を強化することで、産業発展に悪影響が出ることを懸念するのであれば、個人情報を重要個人情報とその他の個人情報に分類化し、重要個人情報以外の個人情報などについて、現行法の義務を緩和することも検討できるのではないか。
たとえば、個人情報保護法18条2項の義務が、実際問題として意味を持っているのか、私としては懐疑的であるので、これを緩和したり、開示等にかかる手数料を、重要個人情報とそれ以外とで分け、重要個人情報以外の個人情報の開示手数料等は、本人に相応の負担をしてもらうなどのことも考えられるのではないか。
個人情報保護法の問題は、いわゆる名刺情報のような個人情報から、パスワードといった重要個人情報まで、同じ規制が及ぶということにあると考える。名刺情報等については、国民の懸念としては、詐欺商法の勧誘電話などがかかってくるのではないか、不要なDMなどがくるのではないかといった、アプローチへの不安が多いように思われる。これについては、現行法の事業者の義務が功を奏するというよりも、逆に、個人に、メール、電話、郵便、訪問などでアプローチするときは、どこからそのあて先情報・名刺情報等を入手したのかを明示する義務などを課すことが、効果的ではないか。もっとも、ブラックリスト・●●の顧客リストなどの、実態情報と結びついた情報については、アプローチへの不安だけではなく、プライバシー権侵害への不安もあると思われるため、慎重な検討が必要であるが、言いたいこととしては、改正個人情報保護法の議論が丁寧に行われたとは評価できない中、さらに法改正を行うのであれば、これまでの積み残し課題等を含め、国民の個人情報をめぐる懸念が十分解消できるような方策、産業発展を阻害しない法規制を丁寧に議論・検討していくべきと考える。

また産業界に対する過重な負担という点では、健全な事業者と悪質な事業者を分けずに、すべてをいっしょくたにした規制強化が問題であると考える。したがって、上記で提案した、悪質事業者が行った悪質行為に対する本人の被害回復の容易化、罰則などが、健全な事業者の事業運営に悪影響を与えるとは考えにくい。


4.オンライン利用

自治体窓口での手続がオンライン化できれば、国民利便性が向上すると考える。行政機関に限らず、地方公共団体も含め、マイナポータルを活用して、広くオンライン化を進展すべき。地方公共団体は、電子自治体化に意欲のあるところをモデルケースとして、各地で広く展開できるよう、国が先進事例を示したり、マイナポータルの機能を提供するなどして、後押ししていくべきではないか。

 また、住民票の写しなどのコンビニ交付にとどまらず、これらの証明書等が電子化でき、ダウンロードできれば、利便性が向上すると考える。

 さらに現状では、年金事務所やハローワーク窓口にいかず、オンライン手続が利用できるのかどうかが、国民にわかりやすく示されていないし、周知が図られていないと考える。