ITをめぐる法律問題について考える

弁護士水町雅子のIT情報法ブログ

個人情報保護法ガイドラインへの意見

情報法

パブコメ中だった個人情報保護法ガイドラインへ、弁護士有志で意見を出しましたので、ブログにも貼っておきます。ガイドラインは4個のガイドラインから構成されていてすべてのガイドラインに意見を出しましたが、ブログには通則編のみとりあえず貼っておきます。

弁護士20人連名で意見を出しました。20人連名って結構すごいですよね。意見書の最初のページの結構な部分が名前で埋まってしまいます。

あと思ったのですが、実務を踏まえたガイドラインがすごく重要だと思うのですよね。私も内閣官房や委員会にいた時代は、さまざまな実務の方がいらして、いろんな状況をお話になるのですが、役所にいらっしゃる方というのも社会の平均像でなかったりして、そうするとなかなか実務がそこまで見えてこず。それがここ1、2年前よりご縁に恵まれまして、さまざまな方がさまざまな現場の状況を具体的に教えてくださいます。本当に勉強になります。具体的な現場の状況を踏まえ、現場に過度な負担なく個人情報保護を行っていただくこと。そして、現実の社会を見て、個人情報についていったいどのような問題が生起しているのか、大きな問題からまずは改善していく、国際的潮流を掴む、現場との齟齬がないようにする、こういうことを踏まえてガイドラインをブラッシュアップしていくべきだなと思うところです。とはいえ、なかなかきれいごとを言うのは簡単で、「そういうガイドライン作れ」と言われてもなかなか難しい話なのですが、現場と理想の乖離を少しでもなくせるよう、個人情報をめぐるゆゆしき問題を解決できるよう、微力ながら私にできることを今後とも頑張って行きたいなと思っているところです。

最近思うのは、消費者問題で、キャッチセールスとかの問題が一時ひどかったときに、規制法などができて、本当にそういうキャッチが道から消えて、ああいう社会問題を少しでも解決する方向の規制法って良いなと思うところです。個人情報をめぐっては、なんだかとかく誤解も多いし、過剰反応と放置反応の二極化が見られるところですが、現場と理念がもっと無理なく寄り添えるように、今後とも考えていきたいと思っています。

以下、パブコメで出した意見です。


第1 通則編について
(該当箇所)
通則編の9~11ページ
(御意見)
「認証することを目的とした装置やソフトウェアにより…本人を認証することができるようにしたもの」という記載を改めるべきである。
(理由)
法令では「識別するに足りるもの」という規定ぶりなのに,なぜガイドラインではこのような限定を設けているのか。法・政令・規則と整合せず,妥当でない。

(該当箇所)
通則編の18ページ 2−5の下から2行目
(御意見)
「権利能力のない社団(任意団体)又は個人」の記載を改めるべきである。
(理由)
権利能力のない社団に該当しないが,個人でもないものも存在するため(例えば,法律事務所)。

(該当箇所)
通則編の26ページ 3−1−1
(御意見)
利用目的をどのように特定すればよいのか,事業者に具体的ガイドを与えるよう,記載を改めるべきである。
(理由)
ガイドライン案は経済産業省ガイドラインをベースにして作成されているが,利用目的の特定に係る記載は,経済産業省ガイドラインよりも記述が薄くなってしまっている。利用目的の特定をどうすればよいのかは事業者にとっても消費者にとっても大変重要な事柄であり,法律の規律の要でもある。利用目的をどう特定すれば法15条1項に沿ったものとなるのか,事業者に具体的ガイドを与えるよう,記載を改めるべきである。

(該当箇所)
通則編の26ページ 6~8行目
(御意見)
利用目的に第三者提供を含めていなかった場合の帰趨がわかるよう,記載を改めるべきである。
(理由)
三者提供があらかじめ想定されていなかったが,事後的に第三者提供をすることになった場合は,利用目的の変更が必ず必要なのか。49ページの3−4−2−1※5を見ると,必ず必要なように見えるが,そのような解釈は個人情報取扱事業者にとって,遵守が事実上困難ではないか。そうすると第三者提供が想定されていないにもかかわらず,利用目的にすべて「第三者提供を含む」とする例も多くなるおそれもあるのではないか。

(該当箇所)
通則編の27ページ 3−1−2
(御意見)
利用目的を変更できる基準を明記すべきである。
(理由)
改正された条項であるにもかかわらず,ガイドラインでは法改正で何が可能となったかがわからない。法改正前の経済産業省ガイドラインと類似か,はたまたそれよりも厳し目の記載ぶりとなっている。利用目的変更にかかる国会答弁よりも後退した記載ぶりであり,どのような利用目的の変更が可能かの基準や,具体例を明記すべきである。

(該当箇所)
通則編の29ページ 3−1−5(1)
(御意見)
個人データの提供義務がない法令に基づく場合でも提供できるのか明記すべきである。
(理由)
この記述では,わからないため。

(該当箇所)
通則編の31ページ 3−2−1
(御意見)
事例に,①個人情報を本人の知らない間にアプリその他を用いて抜き取る例,②適法に取得されたものではないと疑われるにもかかわらず提供を受けた場合の例を追加すべきである。
(理由)
①上記のような具体的事案も登場しているため。
②第三者提供時の確認・記録義務編のみに記載するのでは,見落とす可能性があるため,読者の利便性のために通則編にも記載すべきである。

(該当箇所)
通則編の32ページ 3−2−1 ※1
(御意見)
「転記等」の意味がわかるよう記載を改めるべきである。
(理由)
※1の記載が何を説明しているのかがわからないため。転記等とは何をどうすることを指しているのか。

(該当箇所)
通則編の42ページ 3−3−4 
(御意見)
事業者が委託先の監督責任を果たす具体的ガイドとなるよう,記載を充実させるべきである。
(理由)
法改正前の経済産業省ガイドラインより記述が薄い。地位を利用した委託先いじめなどの記載が落ちているのはなぜか。また,委託先の選定については,安全管理措置を引用するのでよくても,契約内容など,もっと具体的に記載すべきではないか。さらに事例がすべて漏えい事例になっているが,目的外利用などの不正事例も記載すべきではないか。

(該当箇所)
通則編の52ページ 3−4−3(3)
(御意見)
共同利用について法の予定する正当な運用がなされるよう,具体的ガイドとなるよう,記載を充実させるべきである。
(理由)
共同利用は本人関与がない分,法律の定める要件を厳格に解釈し,恣意的な運用がなされるおそれをできる限り排除する必要がある。パーソナルデータ検討会第4回でも指摘があった点である。共同利用の脱法的利用を防止する観点から,共同利用が認められるべき要件,共同利用が認められる事例について,もっと踏み込んで記載すべきである。共同利用の条項は改正されたにもかかわらず,その点に関する解説もない。

(該当箇所)
通則編の72ページ 3−5−6※5
(御意見)
経済産業省ガイドラインに記載されているID/PWD,コールバックなどの事例が落ちているが,これらは適切ではないという判断から記載を落としたのか,説明願いたい。
(理由)
かつて記載のあったものについての記載がなくなると、事業者に対し誤解を与えかねないため。

(該当箇所)
通則編の87ページ 8−1
(御意見)
基本方針の意義や求められる基本方針の内容について明記すべきである。
(理由)
特定個人情報等についても基本方針の作成をガイドラインで求めていたが,これに基づき,きわめて形式的な基本方針が多数作成されている現状がある。例えば,事業者名,法令等の遵守,窓口を記載したうえで,「しっかりと安全管理措置を講じていきます」とのみ記載されていたり,「組織的,人的,物理的,技術的安全管理措置を講じます」とのみ記載されているようなものである。このような画一的形式的な基本方針を作成しても,作成する手間がかかるのに対し,「個人データの適正な取扱いの確保について組織として取り組む」ことに資するとは考えられない。対外的な信頼を確保するために,本人への説明責任を果たすために,当該事業者が講ずる対応の要点を明らかにすることなどを求めるべきである。

(該当箇所)
通則編の87ページ 8−2
(御意見)
取扱に係る規律の意義や求められる内容についてより具体的に明記すべきである。
(理由)
基本方針同様,特定個人情報等に関しては,きわめて形式的な取扱規程が多数作成されている現状がある。例えば,インターネット上で無料の取扱規程ひな形が公表されており,これをそのままコピー&ペーストしただけのもの(法律的な誤りもコピー&ペーストされてしまったりしている)や,多少アレンジしていても,安全管理措置の具体的内容がほぼ記載されていないものが多数散見される。個人データに関してこのような事態が繰り返されないよう,形式的に規程を整備することよりも,当該事業者における個人データの取扱いにかかる具体的な内容を明記することが重要であることを,ガイドライン上で明記すべきである。より理想的には,規律の一部でもよいので,サンプルや例をガイドライン上で掲示することが望まれる。

(該当箇所)
通則編の94ページ中小規模事業者における手法の例示(1)
(御意見)
具体的手法を明記すべきである。
(理由)
この記述では,具体的に何をすべきなのかがわからないため。

(該当箇所)
通則編の94ページ手法の例示・中小規模事業者における手法の例示(2)1~3行目
(御意見)
「従業者不在時等に盗難等がなされないような措置を講じる」に変更すべきである。
(理由)
個人データが記載された書類等の量が多いものの事務スペースが狭い場合,すべての書類等を施錠できるスペースに保管することは,実務上困難である。特に中小規模事業者は,困難である。必ずしも施錠できるキャビネットや書庫へ保管する必要はないのではないか。例えば,事務スペースに保管しつつ,従業者不在時・退社時には,事務スペースの扉を施錠すること等でも足りるのではないか。

(該当箇所)
通則編の94ページ手法の例示・中小規模事業者における手法の例示(2)4~6行目
(御意見)
「従業者不在時等に盗難等がなされないような措置を講じる」に変更すべきである。
(理由)
事務スペースの狭さ・レイアウトの関係等から,固定できない場合も多い。特定個人情報等とは異なり,個人データの場合,ほぼすべてのPC等で取り扱われる可能性があり,そうすると,限定された機器等ではなく,ほぼすべての機器等をセキュリティワイヤー等で固定することは困難な場合も十分あり得る。

(該当箇所)
通則編の98ページ中小規模事業者における手法の例示(1)1~2行目
(御意見)
削除すべきである。
(理由)
中小規模事業者では,コスト等の関係から,OSのアップグレードを行わない例もみられる。さらに,リリースされた直後のOSは,安定性を欠く場合もあるので,「最新」の状態に常に置くことは適切でないことも十分考えられ,妥当でない。必ずしもOSを最新の状態に保持する必要はないのではないか。

(該当箇所)
通則編の98ページ中小規模事業者における手法の例示(4)1~3行目
(御意見)
必ずしもパスワード設定は必要はないのではないか。
(理由)
ガイドライン86ページに「必ずしも次に掲げる例示の内容のすべてを講じなければならないわけではない」とあるものの,手法の例示でパスワード設定を求めても,個人データの含まれるファイルをメール送付する際に必ずパスワード設定することは,中小規模事業者の業務に著しい支障を生じることも考えられ,妥当ではない。

(該当箇所)

(御意見)
今般示されたガイドライン以外のガイドラインが示されるべき分野を明示すべきである。
(理由)
医療,電気通信,金融のみ,今般示されたガイドライン以外のガイドラインが示されると考えればよいのかが不明であり,事業者にとっては改正法施行にむけて,どのようなスケジュール感でどのような準備をすればよいかがわからないため。