改正個人情報保護法政令・規則案へのパブコメで、弁護士有志で意見を出しましたので、意見をブログにも貼っておきます。

１．個人情報の定義について

（該当箇所）政令（案）第１条、規則（案）第２条・第３条・第４条

（意見）要保護性のある情報を包含するように改めるべきである。

（理由）個人識別符号が新設された理由は、個人情報の定義の明確化であると説明されているが、政令（案）第１条に規定された個人識別符号は、個人を識別するものとして当然のものであり、これらを保護対象として明示しても、個人情報の保護に資するものとして十分とはいえない。現状で、個人情報に該当するかどうか事業者の間で混乱が見られたり、個人への到達性が高いものとして要保護性が高いと考えられるものには、メールアドレス、電話番号、端末識別情報などがある。もっとも国会答弁にも表われていたように、これら単体で個人を識別できる場合とできない場合があり、“一律に”個人識別符号として規定することは困難であろう。しかし、これらは他の情報と共にあることで、容易照合性を満たし、個人情報に該当する場合が多いと考えられるので、委員会にて、個人識別符号に該当しなくても、個人情報に該当する例を、わかりやすく示すべきである。
また今後の議論にはなろうかと思うが、個人識別性はないが端末識別性のある情報についても、スマホやPC等の端末経由で個人へのアプローチがなされ、詐欺や情報流出等が発生する場合も多く、要保護性が高い。端末識別性のある情報についても個人情報の範囲に含めるべきであり、法が定める個人情報の定義について、委員会で継続的に検討することが必要である。

２．医療情報について

（該当箇所）政令（案）第２条

（意見）医療情報をめぐる特別法に関する情報について、広く公開すべきである。

（理由）要配慮個人情報には病歴、健康診断その他の検査結果を含むものとされたが、医療情報をめぐる特別法も検討されていると聞く。個人情報をめぐっては、個人情報保護法、行政機関個人情報保護法、独立行政法人等個人情報保護法、個人情報保護条例、番号法と、多数の法令がある中、さらにそれぞれが改正されており、所管庁も分かれている。その上、医療情報に関する特別法についても動きがあるのであれば、個人情報の全体像が一般にわかる形で、平易かつ積極的な情報公開、説明が必要である。

３．オプトアウトについて

（該当箇所）規則（案）第７条第１項第２号

（意見）個人情報取扱事業者が具体的に何をすればよいのかが明らかになるよう、改めるべきである。

（理由）これまでは、本人にしてみればオプトアウトの手段があることがわからないような状態で運用されてきたことも多かったと思われる。今回の改正で、オプトアウトできる旨を本人が適切に認知できるような措置が講じられていると考えられ、この点は大変評価できる。但し、現在の規則案第７条第１項第２号では、個人情報取扱事業者が具体的に何をすればよいのかが読み取りづらい。規則案を改めるか、ガイドラインで明確化すべきである。

４．提供等の記録について

（該当箇所）規則（案）第１２条、第１６条

（意見）個人情報取扱事業者において過負荷なく記録を作成できるよう、改めるべきである。

（理由）規則案では、提供に反復性がある場合には記録を一括作成できるとあるが、それだけでは、記録作成にかかる個人情報取扱事業者の負担が大きいと考える。負荷が高すぎると、この義務が遵守されないおそれも考えられるので、法改正も含め、再検討すべきである。また、規則案だけではどのような記録で足りるかわかりづらい。例えば、個人情報を提供したメール、ＦＡＸの控えの保存でも、規則案第１２条第２項を満たすのか。

５．個人情報保護委員会の体制・監督等について

（該当箇所）規則（案）第１９条等

（意見）委員会体制や委員会による監督を強化すべきである。

（理由）個人情報の適切な取扱いを確保するために、委員会の存在は大変重要である。
委員会では、現在９人の委員長・委員が就任しているが、個人情報保護の専門家は委員長１人なのではないか。他の委員は、消費者に十分な知識と経験を有する者１人、情報処理技術に学識経験のある者１人、行政分野に関する学識経験のある者１人、民間企業実務に十分な知識と経験を有する者３人、六団体推薦者１人、経済・経営に関する学識経験のある者１人と見受けられる。個人情報保護法第５４条第４項に従った委員でなければならないのは承知しているが、個人情報保護委員会であるのに、個人情報保護の学識経験者が１人なのは不適切である。また、事務局にしても、人事異動による国家公務員を大多数とするのではなく、個人情報保護や情報処理技術に知見を有する者を積極的に登用し、専門性を持った個人情報保護委員会として、個人情報の実効的な保護に当たるべきである。
また、個人情報の適切な取扱いのためには、個人情報保護委員会による実効的な監督が不可欠である。特に今般の改正では、匿名加工情報の作成方法を始めとして認定個人情報保護団体による個人情報保護指針に依る部分も多いが、その内容も委員会が精緻に確認しなければ、個人情報の適切な取扱いの確保は困難である。また認定個人情報保護団体が存在していない分野についても、委員会の監督が強く求められる。

６．事業所管大臣への権限委任について

（該当箇所）政令（案）第１２条から第１８条、第２１条

（意見）権限委任を行える場合を限定的にすべきである。また、権限行使の結果を委員会に報告するにとどめるのではなく、事業所管大臣等が法の権限行使をする前に、あらかじめ委員会と協議すべきである。

（理由）時代の趨勢からして、個人情報の取扱いにかかる監督は多様であるべきではなく、第三者機関たる個人情報保護委員会に一元化することこそが国際的な信用面から重要であり、原則とすべきである。委員会が設立された以上、主務大臣による権限行使から委員会による権限行使へと転換された趣旨を踏まえても、権限委任を行える場合は極力限定すべきである。この点に関連して、政令（案）第１２条第２号は、「効果的かつ効率的に個人情報等の適正な取扱いを確保するために事業所管大臣が有する専門的知見を特に活用する必要があるとき」とするが、要件が曖昧・漠然としており、恣意的な運用がなされ、委員会から事業所管大臣への権限委任が容易に行われるおそれがある。専門的知見が必要な場面があったとしても、委員会が事業所管大臣に協力を求めることによって対応するのを原則とすべきであり、権限を委任する場合は、協力を求めることによっては対応できない、緊急事案で、かつ特殊な個人情報等の適正な取扱いの確保が問題になっていると認められるとき等に限定すべきである。委員会活動の充実強化は、事業所管大臣への権限委任によって補強すべきではなく、委員会の人員・予算を必要なレベルに拡大によって実現して行くべきである。
また、政令（案）第１４条第１項では、権限行使の結果を委員会に報告するにとどめているが、委員会の方針にそぐわない権限行使を事業所管大臣が行わないためにも、事業所管大臣が委任された権限行使をする前に、あらかじめどのような権限行使を行うか、委員会と協議すべきである。必要なのはあくまで専門的知見であり、個人情報保護の見地からは、委員会がどのような権限を行使するかに関与すべきである。