Footprints

弁護士・伊藤雅浩による仕事・趣味・その他雑多なことを綴るブログ(2005年3月開設)

個人情報・パーソナルデータに関すること(23)パブコメやってます

法律

平成27年改正個人情報保護法に関連する政令・委員会規則がパブリックコメントにかけられている。


個人情報の保護に関する法律施行令の一部を改正する政令(案)」及び「個人情報の保護に関する法律施行規則(案)」に関する意見募集について
http://search.e-gov.go.jp/servlet/Public?CLASSNAME=PCMMSTDETAIL&id=240000022


意見募集が始まったのが今月2日で,締切は今月31日。気づいたら折り返しを過ぎてしまった。


改正個人情報保護法は,昨年9月に成立したが,その中の重要部分が政令個人情報保護法施行令)や,委員会規則(個人情報保護法施行規則)に委任されていたため,改正法の解説等をする際は「詳細は政令,規則を見てからですね」などというしかなかった。


委任事項の例としては,

  • 2条2項「個人識別符号」(政令
  • 2条3項「要配慮個人情報」(政令
  • 2条4項「個人情報データベース等」の除外(政令
  • 2条7項「保有個人データ」の除外(政令
  • 23条2項,3項 要配慮個人情報のオプトアウト(規則)
  • 24条 外国にある第三者提供制限の例外(規則)
  • 25条 第三者提供時の記録(規則)
  • 26条 第三者から受領時の確認(規則)
  • 27条 保有個人データの公表事項(政令
  • 28条,32条 開示請求を受けたときの手続(政令
  • 36条,37条 匿名加工情報の作成基準,安全管理措置,公表等(規則)
  • 44条 立入検査の条件,手続(政令
  • 53条 認定個人情報保護団体の個人情報保護指針(規則)

などがある。


これらの事項についてすべて取り上げる余裕がないので,以下の2点について紹介する。

24条 外国にある第三者提供制限の例外

今回の改正によってはじめて追加された概念。国際化への対応ということで,個人データの国外移転について新たな規制を設けることになった。EUの規制水準に近づける意味でも重要な条項である。


まず法24条(平成27年改正法全面施行版。以下同じ。)は,次のように定める。

(外国にある第三者への提供の制限)
第24条 個人情報取扱事業者は、外国(本邦の域外にある国又は地域をいう。以下同じ。)(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。以下この条において同じ。)にある第三者(個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この条において同じ。)に個人データを提供する場合には、前条第1項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。

わかりにくい条文だが,個人データを外国に提供するに際しては,原則として本人の同意を必要とするものであって,「委員会規則で定める外国」か「委員会規則で定める基準に適合する体制を整備している者」という2つのいずれかの例外に適合しない限り,23条5項1号の「委任」による方法によっても第三者に提供できなくなる。


前者の基準については,対応する規則が見当たらない。国単位で認定できるところは,個人情報保護委員会としては現時点で認められなかったのだろう。後者の「委員会規則で定める基準」は,規則(案)11条に次のように定められている。

個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要な体制の基準)
第十一条 法第二十四条の個人情報保護委員会規則で定める基準は、次の各号のいずれかに該当することとする。
一 個人情報取扱事業者と個人データの提供を受ける者との間で、当該提供を受ける者における当該個人データの取扱いについて、適切かつ合理的な方法により、法第四章第一節の規定の趣旨に沿った措置の実施が確保されていること。
二 個人データの提供を受ける者が、個人情報の取扱いに係る国際的な枠組みに基づく認定を受けていること。

これは・・


2号は,国際的な枠組みに基づく認定を受けているということで,APEC CBPRなどを想定した規定だと思われるが,問題は1号。「適切かつ合理的な方法」によって,法4章1節,つまり,法15条から35条の「個人情報取扱事業者の義務」規定全体について,きちんと守られるような仕組みになっていることを要件としている。


しかし,これは,規則に委任したことによって何か基準が具体化されたといえるだろうか。法24条の当該部分は,「個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置」の具体的な基準を規則にて定めることを委任しているが,その中身は規則(案)では2号で国際的認定に丸投げし,1号は,「適切かつ合理的な方法により,この法律に沿っていること」としており,法律の文言をただなぞっているだけに思える。


結局,2号に該当しない場合,事業者は,委託先に対し,自国の法を順守できる体制があるかどうか自ら判断することを求められる。規則に委任した以上は,もう少し具体的,現実的な基準を設けることができなかったものか。

36条 匿名加工情報の作成基準

今回の改正によってはじめて追加された匿名加工情報。定義は,2条9項にあるが,匿名加工情報を作成するにあたっては委員会規則に定める基準に従わなければならないとされている(36条1項)。どのように加工すればよいのか,というのは注目されていた。

(匿名加工情報の作成等)
第36条 個人情報取扱事業者は、匿名加工情報(略)を作成するときは、特定の個人を識別すること及びその作成に用いる個人情報を復元することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い、当該個人情報を加工しなければならない。
2 以下略


この基準は,規則(案)19条に定められている。

第十九条 法第三十六条第一項の個人情報保護委員会規則で定める基準は、次のとおりとする。
一 個人情報に含まれる特定の個人を識別することができる記述等の全部又は一部を削除すること(当該全部又は一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
二 個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
三 個人情報と当該個人情報に措置を講じて得られる情報とを連結する符号(現に個人情報取扱事業者において取り扱う情報を相互に連結する符号に限る。)を削除すること(当該符号を復元することのできる規則性を有しない方法により当該個人情報と当該個人情報に措置を講じて得られる情報を連結することができない符号に置き換えることを含む。)。
四 特異な記述等を削除すること(当該特異な記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
五 前各号に掲げる措置のほか、個人情報に含まれる記述等と当該個人情報を含む個人情報データベース等を構成する他の個人情報に含まれる記述等との差異その他の当該個人情報データベース等の性質を勘案し、その結果を踏まえて適切な措置を講ずること。

1号から4号は改正法の解説においても基準の例として言われていたもので,5号はバスケット的な規定。Suica事例のように,IDを削除してもデータセットでの照合が可能な場合というのは,1号から4号の基準だけを満たしても,匿名加工情報の定義である「復元することができないように」(法2条9項柱書)とは言えないだろうから,5号の「適切な措置」を講じることによって復元不可能にすることが期待されていると思われる。


といっても,具体的にどのように行うのかは規則を見ても判然としない。そんなとき,偶然ながら今月8日に経済産業省から「匿名加工情報作成マニュアル」が公表された。

http://www.meti.go.jp/press/2016/08/20160808002/20160808002.html


法律,政令,規則と違って拘束力はないが,ユースケースを示しながら,具体的な加工方法が示されており(下図は,マニュアル21頁より引用),実務上の参考になる。

やはり委員会規則で示すルールとしては上記の案のようなレベルが限界か。