著者フォロー
リスクベースアプローチと利用目的の明確化
小川審議官: 個人情報保護法の目的や基本的な枠組みは大きく変わっていません。
しかし、実質的なルールについては、個人の権利利益を保護するために予見されるリスク、すなわちリスクベースアプローチに基づいて、何がリスクなのかをきちんと確認する必要があるという議論になっています。
例えば、想定外の評価や判断がなされるリスク、平穏な生活が侵害されるリスク、利用目的が不明で不安を感じるリスク、様々な情報が集積されることで本人に関する情報がプロファイリングされ、様々なリスクが生じる可能性、そしてAI等の新たな技術がこれらのリスクを加速する可能性などもが議論されています。
どのようなリスクに対応していくべきなのかという点についても議論を深めています。
日本の個人情報保護法は、ある意味で必要最低限のルールであると言われています。
例えば、取得時に原則として利用目的を特定して通知・公表すれば良いとされています。
令和2年改正で「不適正な利用の禁止」が導入されましたが、法律の条文でどのような利用目的であれば許容され、どのような利用目的が不適切なのかという基準を企業にとって明確に示すものではありません。
企業は利用目的を特定して通知・公表すればいいのですが、自らの利用者の方に通知・公表する以上、企業が不適切な利用目的を特定したり通知したりしないだろうという性善説に基づいた当事者間のガバナンスに委ねられている部分があります。
公表することを通じてこれまでは、社会全体として一定のモニタリングが働く側面もあったと言えるかもしれません。
議論の4つの視点と同意のあり方
小川審議官: 今回の事務局ヒアリングで得られた視点は主に4つあります。
まず、1つ目の「個人情報保護法の保護法益」については、どのようなリスクに対応すべきなのかという議論が行われました。
先ほど申し上げたようなリスクはそれぞれ重要であり、バランス良く対応していくべきだという意見が大半でした。
次に、2つ目の「本人の関与」については、本人の関与の趣旨として①事業者に対するガバナンスを確保するという側面と、②本人に係る情報の取扱いについて本人の意向を尊重するという側面の両方があるとされました。
特に、①の事業者に対するガバナンスについては、本人に直接的な影響がないような取扱いについては、本人の関与を担保する必要が必ずしもないのではないかという議論がありました。
特に、AIに学習させる際に、学習結果が個人情報を含まないパラメーターになるという前提に立ち、「個人の権利利益に直接的な影響が想定されないような利用」であれば、本人の同意は必ずしも必要ないのではないかという指摘が大半でした。
これは今回の議論における大きなポイントの一つとなっています。
3つ目の「ガバナンス」の強化については、事業者内部の取扱いに係るガバナンスに本人が関与することは難しく、関係する事業者などが主体となって全体的なガバナンスを強化すべきだという議論があります。
4つ目の「官民を通じたデータの利活用」については、一般法としての個人情報保護法のみならず、特定分野における特別法も含め、全体として適正な制度となるような形で対応していくべきだという議論もなされています。
なお悪質な事業者に対しては、GDPRや英国のデータ保護法など、多くの国で制裁金制度が導入されていますが、日本では平成27年以降議論されているものの、いまだに導入されていません。
この点について、課徴金制度等に関する検討に係る前提条件や想定される制度について検討会において議論いただきその状況について報告書を2024年12月に公表しています。
