個人情報・データ保護法制の最前線（前編）

1 個人情報保護法の基礎

（1）個人情報保護法とは

個人情報保護法は、個人の権利、利益の保護と個人情報保護の有用性のバランスを図るための法律とされています。
保護法という名前がついていますが、利活用することも含めて検討するということです。ただ、単に保護だけすればよいと書いてあるわけではないのが、個人情報保護法という法律です。事業者の順守すべき義務を定めるということが書かれていますが、これはあくまで個人情報を使う事業者に対する一定の行為規制を課すということで、情報の取り扱いに関する一定の管理義務を課しているだけです。本質的にプライバシーだとか、人の感情に配慮したような何かまで守るようなことを必ずしも書いているわけではないというのが、2の炎上の話とつながってきます。

（2）個人情報保護法の体系

公的分野について、特に情報を活用しようとしたときに、行政機関個人情報保護法や独立行政法人個人情報保護法という別々の法律があります。さらに条例が、自治体ごとに2000ぐらいあるということになっています。
デジタル領域でのビジネスは特定の地域にこだわることなくできる性質を持っていますが、なかなか自治体ごとに条例が違うと対応しにくいということで、ある程度整理、統合していく形の検討も必要とされているところです。

（3）アドバイスの留意点

特定の分野だけではなく、業務委託契約や、守秘義務契約において、個人情報保護法に対する配慮をどう書くか、契約書チェックの際に、留意いただくといいのかなと思います。 金融分野等特定の業界では、ガイドラインや監督指針などがあります。非常に細かく要件が書かれている部分がありますので、一般的な業務委託契約だけで十分書けるわけではないこともあり、ぜひ個人情報保護法を見ていただいて、さらに分野特有の議論に配慮することも考えるとよいと思います。
依頼者によっては、個人情報保護法や業界の細かい決め事に非常に詳しいことがあり、当然こちらの方が詳しいと思ってかかると非常に危ない場面があると思います。この分野は特に注意して対応していただくといいのかなと思っています。

個人情報保護法の全体像

最初に個人情報の定義があります。

個人情報とは何かということが書かれています。また、個人識別符号というものがあれば、個人情報になります。そのほかに要配慮個人情報というものがあります。これは、一定の人種、信条、病歴、こういうものが含まれる個人情報について、特に本人の同意を得て取得、第三者提供するように決定している類型です。
そのほかに、個人情報利活用のための制度として、匿名加工情報があり、個人情報の海外の第三者への提供や適用範囲などグローバル対応に関する条文も入っています。
あとはトレーサビリティです。これは前回の個人情報保護法の改正の際に、ベネッセの事件などで出てきた名簿屋対策で、一定の名簿の管理義務という個人データの記録確認義務を重ねています。
そのほか、利用目的の明示、変更の定めがあります。

（5）個人情報保護法による規律

個人情報保護法は平成27年の個人情報保護法改正前までは主務大臣制となっており、これは各業界ごとに各省庁が個人情報保護法の所管権限を持っていまして、当該分野の事業者に合ったガイドラインを業界ごとに作っていました。ただ、ガイドラインがたくさんあってよく 分からないという問題がありましたので、前回の改正の際に、民間の分野、特にいろいろ検討しなければいけない金融、医療等の限定された分野を除いては、ガイドラインは一本化され、かつ、所管が個人情報保護委員会というものができました。

（6）個人情報の定義関連

「個人情報とは何か」という問題は、新しいビジネスを検討する際にも出てきますし、日常的なビジネスにおいても「これは個人情報を取得していることになるのか」と聞かれることもあるのではないかと思います。
そうしたときに、この定義に立ち返っていただくのが非常に重要だと思っています。前回の平成27年の改正部分になりますが、個人識別符号、一定の保険証等の番号、こういった公的な番号は個人識別符号として個人情報に該当することになります。また、このような情報が含まれる場合や名前があるだけに限らず、最終的には特定の個人を識別できるような情報が個人情報となります。
ただ、個人情報の定義の具体的な外延というのが、なかなか見えないような場合があると思います。
例えば、データベースなどを見ていくと、氏名がなく、住所が県単位ぐらいまでしか書いていなくて、年齢等が並んでいて、好きなものを何択かで選んでいるだけのデータベースであれば、全然誰が誰なのかというのは分からないと思います。もっとも、これをどんどん粒度を細かくしていったとき、住所の1つ手前の番地ぐらいまでいくとどうなのか、こういうのを見ていくと最終的によく分からない部分はどうしても出てきます。個人情報の定義は明確なようでいて、個人情報でないようにかたどるのが結構難しい概念であることを意識しておくとよいと思います。
次に、個人情報の定義の関連で、個人識別符号という概念ですが、公的な番号とか、あとは顔や指紋のような体の一部、生体認証に使われる情報、これが個人識別符号として指定されています。
要するに、この番号があればこの人です、この指紋があればこの人ですと基本的に特定するために使えるものは、持っているだけで当然個人情報になると整理できます。

（7）要配慮個人情報

要配慮個人情報は、人種、信条、社会的身分、病歴、犯罪の経歴、犯罪被害情報等です。逮捕、捜索等の刑事事件に関する手続とか、非行少年事件に関する情報もあります。 犯罪関連、人種、信条、社会的身分というのが分かりやすいと思いますが、あとは病気関係です。 病歴のほか、身体障害、知的障害、精神障害、検査結果等が含まれます。 病気に関するものと犯罪に関するものは比較的広く入ってきますので、医療・健康や刑事に関連する場合には、要配慮個人情報に該当する可能性が高いのではないかと思います。

（8）匿名加工情報

人々がどういうことが起こったときに、どういうことをしているのかを細かく分析しようと思ったときなどに、例えば3年前に個人情報として集めた場合に、その当該個人情報を持っている人に連絡を取れるかどうか分からなかったりする、ということがあると思います。同意を取れば個人情報は原則として第三者に渡してもよいことになっていますが、そもそも同意を取る相手が見つけられない、もしくは知っていても連絡がつかないことがあったりしますので、できれば同意を取らないで個人情報を利活用できないかという要請から、前回の法改正の中で入ってきた概念が匿名加工情報です。もっとも、匿名加工情報をどう作ればいい かと聞かれて、具体的にどこからどこまで削りましょうかと問われたときに、結構困ることがあると思います。
そういうときには、個人情報保護委員会「平成29年2月27日事務局レポート」が参考になりますし、あとはJIPDECも匿名加工情報の例を出していますので、ぜひこうした具体例と対比して匿名加工情報を見ていただくといいのかなと思っています。
業法に関する分野なので、個人情報保護委員会、それに準ずるような公的団体の出しているペーパーを参考にしていただくのが、判断の根拠としては安全かなと思います。ちなみに、匿名加工情報は医療系で比較的よく使われています。
これは研究開発とか、どういう症状がある人に、どういう投薬などの医療行為をしたら、どのような結果が生じたかという情報を収集する意向があると思っています。これは個人情報そのものでなくても、ある一定の人数との関係で統計的に優位性がある一定の傾向が分かれば、この人たちにとっては十分意味がある業界だと思うので、匿名加工情報が意味を持ってくると思います。
他方で、金融や旅行業界は、できるだけ本人に紐付いた情報の方が、具体的なサービスや商品が提供できるからいいということがありますので、業界のビジネスによって匿名加工情報でも十分いいと思いやすい業界と、個人まで紐付いた情報じゃないと使いにくいという業界があると思っています。
例として、処方せんから匿名加工情報をつくってデータベース化するといったような使われ方もされています。医療については次世代医療基盤法という法令もありますので、関連する場合には見ていただくとよいと思います。

（9）第三者提供

第三者提供というのは本人の同意が必要ですが、一定の場合はオプトアウトができるということになっています。ここで本人同意で整理して進めるのか、それとも、もともと手続をしているのでオプトアウトができるのか、もしくは委託等の根拠があるのか、このような点を確認して第三者に渡さないといけません。もしくはグループ会社ですと、共同利用として一定の公表等の手続を取っていると、本人同意不要でグループ内で情報共有というのができます。金融機関のグループ会社等でいくつかやっているところがあります。
また、委託という概念が非常に重要です。誰が誰に自分の委託事業者として情報の取り扱いを頼んでいるのかという整理がちゃんとできるかが重要ですので、同意の範囲と別に、委託関係にあるような情報の渡し方ができるかどうかを、個別事案に応じて考えるのが実務的に重要なポイントになると思います。
この第三者提供の必要な手続が踏めない場合はどうするかというと、匿名加工情報として提供するということを考えることになります。第三者提供の場合は原則として本人同意が必要ですが、公衆衛生や他の権利と衝突する場合の例外があります。ただ、個人情報保護委員会に聞いたにもかかわらずあまりちゃんと回答してくれないということがありました。内閣官房で革新的事業活動評価委員会で適法性審査をして、個人情報保護委員会に意見を出してもらった事案もあるのですが、救急搬送のときに個人の認証情報を渡していいかと問い合わせたところ、明らかに例外に当たりそうなものですが、なかなか簡単に回答してくれないということもありました。実務としては行政庁に聞いて解決しようと思うと結構難しいと思っています。
そのような背景から、個人情報保護法改正の中で公益的目的による例外を広く捉えるべきという議論もあり、世界経済フォーラムなどでも指摘されています。また、法令にもとづく場合として、外国法が入っていませんので、例えば外国当局に出すことについて、当然出せるかというと出せない場合もありうるということになります。
さらに、第三者提供に関する確認・記録義務ということで、第三者提供をする際に一定の記録を作成して保存しなければならないとなっています。
ただし、例外に当たっているところが結構重要です。契約にもとづくような場合には、既存の契約を記録として保存するか、反復継続して提供する場合は包括的な記録で足りるとかいう論点もあります。しかし、それ以上に本人に代わって提供と整理できるようなケースが大事です。こういう一定の確認・記録義務がかからない場合というのがガイドラインに書かれていますので、よく検討しないといけません。
つまり、第三者に提供するからといって、必ず確認・記録義務がかかるわけではありません。確認・記録義務については、個別に同意を取ってサービスの一環として提供している場合は本人に代わって当たることも多く、記録保存義務がないことも十分想定されると思いますので、この部分は特に注意をしていただく必要があると思います。

（10）外国にある第三者への提供

外国にある第三者への提供については、基本的に本人の同意を得ることが必要です。そのほかにも規則で定める基準に対応していることがあって、これはAPEC域内での越境プライバシールール、CBPRといわれるシステムがあります。これに沿っている場合には第三者提供ができますが、これを取っている事業者自体が日本の中ではそれほど多くありません。少し前の段階で一けたぐらいしかいなかったということがあります。なかなかこちらの要件はクリアできない場合が多いと思いますので、そうすると、基本的には本人の同意を得ることをしていかないといけないと思います。他方、外国にある第三者が個人情報保護委 員会が認めた国に所在する場合に提供できるというのは、日本とEUの十分性認定という話に絡んできます。外国にある第三者に対して提供する際、委託による整理が使えないので、同意が必要になるというのは注意していただくといいかと思っています。
日本と欧州間では、欧州が一般データ保護規則と日本との間で十分性認定がされていますので、日本、EUの間では情報の移転がしやすいということになっています。ただ、実務的にはEUの審査が厳しいことを考慮して、EUか ら日本への情報の移転がある場合など、GDPR（EUの個人情報保護法に相当する法律）も満たせるSCCを締結する場合が多いと思います。

（11）特定分野のガイドライン

特定分野のガイドラインとしては、金融、医療、情報通信等のガイドラインがあります。ただ、このほかには基本的につくられていませんので、限定されています。
金融分野のガイドラインでは、要配慮個人情報だけではなく、一部のものをセンシティブ情報として定義して、より厳重に扱ってくださいということにしており、例外的により義務が重くなっているものがあります。
他方で、医療分野ですとガイドラインの中に、院内の分かりやすいところに掲示していることによってそれで特にクレームがない場合は、黙示の同意によって提供していいということも出ていますので、各分野のガイドラインにおいて、それなりに特色があることが書いてあったりします。
通信分野との関連でいうと、位置情報について扱うような場合も注意していただくといいかと思っています。

2 個人情報保護法と倫理・炎上

（1）個人情報に関する情報利活用

個人情報保護法は、個人情報に関する義務が書かれた法律と思いがちですが、電子的に検索できるような体系的に整理されたものや、それに準ずるような体系的に構成されたものを特に個人情報データベース等とした上で、その中から取りだした情報を個人データにしています。個人情報以上に、個人データに関する制限がいろいろ規定されていることに注意が必要です。
実際には個人情報という言葉を使って説明をすることが多いですが、個人情報、個人データに加えて保有個人データというのもあります。保有個人データは一定の開示や消去、訂正といった重い義務がかかる類型です。
現行法ですと6か月以上保有していることが保有個人データの要件になります。法改正で定義が変わってくる等あると思いますので、2020年改正後の内容を確認することが必要になります。

（2）リクルート「リクナビDMPフォロー」

リクルートのリクナビDMPフォローという、非常に話題になった事件があります。これは、プライバシーポリシーの表現が分かりにくかったということもありますが、一部については同意なしに第三者提供が行われていたという事件です。
ここでは必要な同意を得るための改訂を反映するような仕組みもできていなかったということもいわれています。
ただ、実際にはその後、1回目の個人情報保護委員会からの勧告についてまとめたものと第2回の個人情報保護委員会からの勧告が出ていて、さらに情報提供を受けていた事業者も行政指導を受けています。26社ぐらいいたということになっています。
大企業でも個人情報保護法を分かっているように見えて分かっていない場合があるという例ではあるとは思いますが、リクルートの場合は提供した情報の内容が何だったのかという点に着眼が必要と思っています。
要するにここで悪用された情報が、本人にとっては、下手をすると一生を左右するかもしれない、と感じるような情報だということがあります。
このような事案に対して、良い悪いということ自体言い難いですが、受け手の側からするとよりショックを受けるのは、本当に自分に本質的に不利益がありそうな情報が出た場合です。加えて非常に重要なのは、同意を取っている場合でも、情報の利用の範囲が分かりにくい、見えにくいということです。必要な範囲での同意を取る等情報利用の法的手続が履行されていないというのは論外ですが、分からないところで自分がコントロールされているような、不意打ちをされているような感覚が生じると非常に強い不快感を与えると思っています。
これは、人によっては非常に強く個別に同意を取れという言い方をすることもあると思いますが、そのような手法を含めて個人の気持ちを害さないようにということだと思います。形式的に書いて同意を取ったからもう全部オーケーと言ってしまうと、炎上対策という意味でも間違いとなることがあると思っています。

（3）JapanTaxi

顔の画像を撮影して利用していたが、十分に告知していなかった事例です。どこまで重大な法令違反か、業務停止までされたかとかいう点よりは、利用者の側の不意打ちだったというのが重要だと思っています。

（4）Suica

Suicaについても匿名加工に関するルールが未整備だったのではないかという指摘もあると思いますが、これが個人情報保護法にそのままずばり違反していたかというと、別に違反しているわけではないのではないかという話も出てきます。
これも、どちらかというと、情報を分からないうちに勝手に悪用されたと思い込まれてしまったという部分があると思っています。

（5）ケンブリッジ・アナリティカ

ケンブリッジ・アナリティカは非常によく知られている米国の事件です。「Facebook」のユーザーについて、コンサルティング会社が不正に個人情報を収集して、最終的には選挙対策に使っていたのではないかという話も出てくるものです。
情報を使える範囲について虚偽の説明をしていたとか、不正に情報を収集させていたということで、結局「Facebook」の方は米国でFTC、米国の当局と50億ドルの民事制裁金の支払いについて合意をすることになっています。
日本の国内ですとあまり大きい数字は出てきませんが、特に海外、欧米に行きますと、GDPR、欧州一般データ保護規則の場合でも、日本円でいうと100億円単位で罰金を受けることもありますので、非常に制裁が大きいといえます。
この事件も、やはり虚偽の説明をして勝手に使っていたということで、結局はちゃんと説明をしていないということが問題であったと思います。

（6）個別同意取得の必要性等

これらの事例に共通する問題点としては、不意打ち的な部分があったということです。
また、サービスそのものとして、データ自体の使われ方が本人にとって意図しないものであるか、社会的に当然予定されている、ある程度理解されているようなものだったのかということに照らして、本人からするとそう使われるとはまったく思っていないはずのものに使われて、かつ、不利益が起きそうということになると、これは非常に重大な問題になるということです。
事業者側のサンクションとしては、個人情報保護委員会に行政指導されるより、炎上してしまう方が大きいかもしれず、こういった集団的心理に対して配慮するということが非常に重要と思っています。
ポイントとしては、用途について説明をちゃんと行ってください、明確に同意を取ってくださいということです。この「明確」というのは、できるだけ意図しない使い方はしないでください、本人にまったく分からないで本当に嫌と思われるような用途には使わないようにしてくださいという、ある種当たり前のことをデータという文脈で考えてみてくださいということと思っています。
そのほかに、本人の不意打ちにならないようにするという意味で、本人のコントローラビリティを高めるということです。具体的に、情報を渡すとか消すなど、なるべく本人の指図を受けるようにするという考え方で、情報銀行のコンセプトはこの部分に近いと思っています。なるべく本人の意思を反映して、本人に理 解してもらって、分かりやすい形で情報を渡すことによって炎上を防止しましょうというのが情報銀行のコンセプトです。
私は必ずしも情報銀行に認定されて情報利活用をするべきだとは思っていないですが、個人のコントローラビリティに配慮していくこと自体は、炎上問題を防ぐ上では非常に視点として重要と思います。

3 個人の権利保護・デジタル社会への対応の必要性

（1）世界各国の規制と日本の対応

今回の個人情報保護法の改正の中で、国際的な協調や急激な技術の進展に伴う便益の向上とリスクの拡大、データの規制の多様化といった話が出てきます。その中で、越境データ移転という話がありますが、一言でいうと個人情報等の情報が国をまたいで移転をしていくことです。
また、データローカライゼーションという用語が出てくることがあります。これは、その国でサービスをしている事業者はその国の外に情報を出すなという規制をかけることで、一部の国（ロシア、中国、ベトナム、インドネシア、インドなど）で出てきます。そうすると、例えば、海外でビジネスをするときに、その国で持っていたデータが外に出てこられないことになります。例外が設定される場合もありますが、それでもかなり持ち出しにくくなります。
そうするといろいろ対応しないといけないのですが、日本企業はあまり対応しておらず、準備もほかの国に比べるとそれほどできていないというのが現状です。
中国はデータの閉じ込めや監視をしているという話を最近聞かれた方も多いと思います。国全体でのデータのコントロールについて非常に強い意志を持っているというのが中国です。ただ、個別の情報移転に関する規制の強さでは、どちらかというと、EUが一番厳しい方針でやっているように思われます。米国は比較的自由にしている部分があって、日本はどちらかというとややEU寄り、だけれどもEUと米国の間という位置づけです。
GDPRにはデータの移転の条件があって、その中で十分性認定を得ていることが第三国にデータを移転する要件になっています。そのため、日本の個人情報保護委員会としても、個人情報保護法を改正する際の1つのモチベーションがこの十分性認定を得ることにあり、日本の個人情報保護法の改正と欧州のGDPRの関係は非常に重要です。日本はGDPRほど厳しく改正していないように見えますが、一応ある程度似た内容までは定めていることになっています。GDPRを運用している欧州から見て、日本というのはあまりにだめな国だと思われないよう、頑張ってデータの保護を厳しくしていかないといけないという状況がありますので、この関係でもGDPRを見ていっていただくと参考になると思います。
そういう意味でいいますと、基本的に海外法ではありますが、個人情報や特にデジタルに関係する産業では、やはり諸外国の特に先進的な、もしくは支配的な法令というのは非常に参考にされる側面があるので、これが日本にどう入ってくるんだろうかという見方をするのもすごく重要ですし、企業の方も、特に意識が高い方はそういう見方をされている場合が多いと思います。

（2）Data Free Flow with Trust

日本発信でやりたいと言っているのが、Data Free Flow with Trustで、1 ～ 2年前から話として出てきています。 個人情報や産業データの利用は非常に重要な状況になってきていますので、これを国際的に どう移転できるような枠組みをつくるか、ここについてできれば議論をリードしていきたいというのを日本としては政策の1つにしています。最初に世界的に公の場で出たのは、去年の世界経済フォーラムの年次総会での安倍首相の発言です。Data Free Flow with Trustということで、お互いに信頼し合えるような相手の枠組の中で、情報を移転できるようにしていきましょうということを言っています。この時点では非個人データについて言っていますが、私個人の見解としては、個人データについてもこういう考え方をいずれしていきたい、という話をより明確に言っていくことになるのではないのかなと思っています。 Data Free Flow with Trustができる条件としての「トラスト」が1つのキーワードになっていて、そのトラストの中身を詰めていくのも1つの政策的な動向です。（次号へつづく）