Footprints

弁護士・伊藤雅浩による仕事・趣味・その他雑多なことを綴るブログ(2005年3月開設)

個人情報・パーソナルデータに関すること(19)「平成27年改正個人情報保護法のしくみ」

商事法務から出された「平成27年改正 個人情報保護法のしくみ」を著者のひとり,板倉さんから恵贈いただいた。


平成27年改正個人情報保護法のしくみ

平成27年改正個人情報保護法のしくみ

すっかりレビューが遅くなってしまったけれど,ちゃんと全文通読した。また,もう一人の著者,日置さんからもサインを頂いた。


日置さんは,内閣官房のパーソナルデータ関連制度担当室にて,今回の改正を担当された。ただし,本書は,立法担当者による解説本という位置づけではなく「私の執筆部分は,全くの私見であり,所属する組織の見解ではないことをお断りしておく」*1というディスクレーマがついている。とはいえ,現時点でほかにその手の解説がないので*2,改正法のバイブル的存在である。


パーソナルデータに関する検討会以降の議論をキャッチアップしている人にとっては,本書は,「おさらい」という感覚でさらさらと読める。しかし,平成26年6月の大綱が出た後も,ベネッセ事件が起きて(同年7月),骨子が出て(同年12月),さらに法案が出た本年3月以降もいろいろな議論があったので,これまでの議論を整理するには最適の書である。なお,個人情報保護法全体にわたる入門書,解説書ではないので,本書を理解するには,現行の個人情報保護法に関する基礎知識(例えば,「個人情報」「個人データ」の違い等)を有していることが前提になるだろう。


本書の「おいしい」ところは,全部で19か所ある「コラム」である。例えば,

個人がブログ(あるいはSNS)に自らの情報や他人の情報を書き込んで公開するような行為は,基本的には当該ブログ等運営者による「第三者への提供」に当たらないものと考えられる。個人が書き込んだ内容がそのまま公開されるような場合には,ブログ等運営者はツールを提供しているにすぎず,公開される内容について何らの権限も有しないといえ,ブログ等運営者による「第三者への提供」とはいえないものと考える。

【コラム7】原則同意の例外となる「第三者への提供」とは?(74頁)

不正に漏えいした個人情報についても,不正に漏えいした個人情報であることを知って取得したなど,その求めの対象となる個人情報取扱事業者にこれらの違反行為があれば消去を求めることができるものの,何ら違反がない場合にはできないこととなる。

【コラム9】不正に漏えいした個人情報の消去を請求できるか?(93頁)

匿名加工情報を作成する事業者が,元の個人情報を保有しているならば,加工した情報に含まれる携帯電話番号,メールアドレスやクレジットカード番号が,元の情報と加工した情報との間の共通の識別子になることから,当該事業者においては元の情報を容易に復元することができる。(略)
したがって,匿名加工情報の作成に当たっては,作成の元となる個人情報と匿名加工情報との間で共通の識別子が含まれないようにすることが求められ,また,個人識別符号には当たらないものの社会で広く流通している識別子も削除が求められるのではないか。

【コラム12】携帯電話番号やメールアドレスは流通するのか?(106頁)

法を所管してきた消費者庁は,これについて,提供元基準を採用するとしている。

【コラム13】提供元基準と提供先基準(108頁)

個人情報保護委員会が改正個人情報保護法の委託概念について番号法上の個人番号の委託概念と同様の解釈を採用するかは不明であるが,仮にパラレルであるとすると,「個人データをその内容に含む電子データを取り扱わない旨」がクラウド事業者の利用規約又は約款に定められているか,これを交渉で獲得しない限り,個人情報取扱事業者クラウドサーバの利用は,その形態(SaaS,PaaS,IaaS等)にかかわらず,原則として委託に該当するということを前提とする必要がある。
(略)
クラウド事業者において,サーバの場所(国外であるかどうか)を明らかにしてもらえない場合には,同等性認定を受けている外国への提供であるかどうかすら判定ができないので,当該クラウド事業者のクラウドサーバの利用が不可能であるということもあり得る。

【コラム19】クラウドサーバーの利用は委託に該当するか?(144頁)

など,とても重要,かつ,あまり刊行物に明記されてこなかったことが書かれている点は注目である。特に,最後の委託の話は,番号法の「委託」に関するQ&Aによって,ある程度,解釈が明確になった問題ではあるが,これまで個人情報保護法23条4項1号*3,22条の「委託」とは,クラウド事業者への保管がそれにあたるのかという基本的な問題がクリアになっていなかったことを思うと,大きな前進である。


しかしそれにしても,番号法のQ&Aを前提とすると,世の中にあるSaaS,特にB2Bサービスの場合,ほとんどがマスタとして個人情報を格納することになりそうなので,クラウドサービス全体がほとんど「委託」に当たることになり,改正法24条も相俟って,外国への委託の場合の「同意」が事実上取れないことになるから*4,深刻な問題が生じるのではないかと考えている。ここは,同等性認定を緩くするか*5,別途委員会規則で定める基準適合体制に関する規則を現実的に運用可能なものにしないと大混乱をきたすことになろう。


いずれにせよ,企業が具体的に動き出すとすれば,委員会規則が出始めた以降,具体的には来年4月ころ以降ではないかと思われる。そこから施行まではおそらく1年。「当社はビッグデータビジネスをやっているわけではないから匿名加工情報とかが導入されても関係ない」と他人事でいられるわけではない。ぱっと思いつくところでも,

  • 要保護情報を取得していないか,第三者に提供していないか
  • 必要なくなった個人情報の削除はどう運用しているか,十分な対応といえるか
  • 三者提供(受領)に関する記録,保存運用フローはどうするか
  • 従業員マスタも含めた個人情報の委託に24条が適用されることはないか


といったところなどは棚卸しておかなければならない。


今のところ,改正個人情報保護法周りの書籍でちゃんと読んだのは本書だけだが,別途,下記のQ&A本も関心のあるテーマのところを少しずつ読み進めている。こちらについても気づいたところがあれば適宜まとめておきたい。


*1:はしがき ii頁

*2:そう遠くない時期,委員会規則が出そろうころには,宇賀先生の逐条解説,岡村先生の体系書が改訂されるころであろう。そういえば,園部編の解説の改訂版も出るのだろうか。

*3:改正後は5項

*4:改正24条では,海外事業者に委託する場合,一定の条件を満たす場合でなければ,原則どおり本人同意が必要になる。

*5:同等性認定を緩くしてしまうと,日本がEUから十分性認定が受けられにくくなるというジレンマもあるようだが。