今回の改正案の目玉といってもいいのが、原則として事前の本人同意なくして要配慮個人情報の取得・個人情報の目的外利用・個人データの第三者提供の原則について特例を新設したことです。
具体的には、統計情報等の作成にのみ利用されることが担保されていること等を条件に、本人同意なき個人データ等の第三者提供及び公開されている要配慮個人情報の取得を可能とする。というものです(行政機関等の取り扱う保有個人情報における同様の措置は省略します)。
そのため「統計作成等」という定義を新設しています。
統計作成等とは、統計の作成その他の大量の情報から当該情報を構成する要素に係る情報を抽出して分類、比較その他の解析を行うことにより、当該大量の情報の傾向又は性質に係る情報(個人に関する情報であるものを除く。)を作成する行為のうち、個人の権利利益を害するおそれが少ないものとして個人情報保護委員会規則で定めるものをいう。
要するに大量の個人情報(要配慮個人情報を含む場合も想定)を使って、統計情報のような個人情報に該当しないように加工するための行為に限定して、個人の権利利益を害するおそれが少ないようであれば、同意なく取得・利用・提供を可能とするものです。
これは、過去の改正で新設された匿名加工情報や仮名加工情報と異なり、利用目的は統計作成等に限定されはするものの、大胆な緩和措置(事業者の個人情報の有用性に配慮)とも言えます。しかも、今はやりのAI開発等にも利用可能だというのですから、どのような利活用が行われるのか、注意深く見守っていく必要があります。
統計作成等の特例は、①個人情報に係る(第30条の2)ものと、②個人関連情報の第三者提供に係る(第31条の3)ものとに分けて条文が新設されています。前者は全14項、後者は全10項からなり、一見すると把握が難しい構成ですが、ポイントを箇条書きにして整理してみると理解が早まります。その後で、各項の条文を読んでみることをお薦めします。やはり法律の理解を深めるには条文を避けて通ることはできませんし、優しい解説書の類を信じて実務を行うと思わぬ落とし穴が待っていることがあります。
まず統計作成等の特例として、以下の二つの条文が新設されます。
①第30条の2(個人情報に係る統計作成等の特例)
②第31条の3(個人関連情報の第三者提供に係る統計作成等の特例)
ぱっと見て、意味を理解できる人は、相当に個人情報保護法を理解しているといえます。条文コピペだと訳がわからなくなるので、少し内容をかみ砕いて見てみましょう。
①の登場人物
②の登場人物
①の取得者の情報:統計作成等用要配慮個人情報等
①の受領者の情報:提供統計作成等用個人情報等
②の登場人物が取り扱う情報の定義
提供元では個人情報にあたらなくても、提供先で個人データ(個人情報)に当たることが想定されているので、同意不要で取得できる特例です。
①は入口段階で個人情報の取得・利用・提供を統計作成等に限定して、その利用目的以外での利用を禁止するとともに、提供のみならず委託や共同利用による提供も禁止しています。
②は入口段階では個人情報にあたらないから、統計作成等の目的で同意なき提供を許容します。加えて、提供先からさらに第三者提供や委託・共同利用などの抜け道を塞ぐ規定です。
少し、条文のお話をします。上記の特例に関連して、第30条の2第14項(個人情報スタート)と第31条の3第10項(個人関連情報スタート)は、どちらも「特例を使って同意なしにデータを動かす代わりに、そのプロセスにおける責任と透明性は法文上、緩和に見えますが通常より厳格に管理せよ」という、実務上の運用ルールを設けています。
①プロセス管理:安全管理措置等の適用
第30条の2第14項および第31条の3第10項は、これらの特例情報(加工物や複製物を含む)を、法律上の「個人データ」とみなして以下の規定を準用・適用されます。
第23条~第25条(安全管理・監督)
通常、個人関連情報(第31条の3)は「安全管理措置」の法的義務の対象外ですが、この特例ルートに乗った瞬間に、データベース化された個人データと同等の厳重な管理(組織的・人的・物理的・技術的安全管理措置)と、従業者・委託先への監督義務が課されます。
②透明性の確保:記録作成・保存義務(第29条)の読み替え
ここが実務的に非常に重要な点です。特例により「同意」は不要になりますが、データの移動があったことを後から検証できるようにするため、第29条(提供時の記録作成義務)を読み替えて適用されます。
通常の第29条
第三者提供をした際に「本人の同意を得ていること」などを記録します。
特例における読み替え適用
「同意を得たこと」の代わりに、「本条(第30条の2または第31条の3)の規定(特例)に基づき提供したこと」を記録しなければなりません。
③この規定の意義:トレーサビリティの完結
この読み替え規定は以下の「穴」を埋めています。
万が一、データが統計目的以外に流用された際、第29条の記録と第23条~第25条の管理状況を照らし合わせることで、どこで逸脱が起きたのかを追跡できるようにしています。
結論
第23条~第25条で「現場の扱い」を、第29条で「流通の証跡」を、それぞれ特例の文脈に読み替えて対応することが義務付けられています。しかも公表義務ともリンクします。
これにより、「入口(取得)と出口(提供)だけでなく、その中間の取扱い(プロセス)においても、通常以上の厳格な規律を課す」という、改正案の「表裏一体」の構造が、実務レベルでも完成していると言えます。なお、これらの特例に違反して目的外利用や第三者提供をしたら、課徴金の納付命令の対象となることも新設されています。
さて、統計作成等の特例は課徴金制度とセットで新設された目玉の条文といえます。他方、本人の事前同意が「厳しすぎる」「同意不要でもいいのでは」という声が以前からありました。今回は、そうした産業界等からの意見を反映した同意緩和改正も行われています。
① 生命等の保護のために同意不要の例外
目的外利用・要配慮個人情報の取得・第三者提供の事前同意について、従来からある人の生命等に係る緊急時においての同意不要が、「本人の同意を得ることが困難なとき」に「その他本人の同意を得ないことについて相当の理由があるとき」が追加されました。具体的にはどのようなケースで「相当の理由」が認められるかは、ガイドライン待ちですね。
② 契約履行時における同意不要
これは実務上、長らく要望が多かったところかと思います。本人との契約履行のために第三者提供の原則を貫くと、業務が停滞したり支障をきたしたりすることもあります。改正案の解説資料では、ホテル予約サイトからホテルへの提供、海外送金などにおける送金元金融機関から送金先金融機関への提供が挙げられています。その他、目的外利用や要配慮個人情報の取得にも同様の同意不要が明記されます。
③ 医療機関等における要配慮個人情報の第27条第1項 第三者提供
令和3年改正においては、公的部門の個人情報保護法制が個人情報保護法に統合されたため、学術研究が目的の個人情報の取扱いは適用除外でしたが、学術研究機関等として民間事業者の規制を受ける大きな改正がありました。ただ、学問の自由の確保から適用除外とされていたことを維持するため、学術研究機関等が学術研究目的で取扱う個人情報については、同意不要の例外を新設しました。しかし、民間の医療機関における医療行為により取り扱う要配慮個人情報などは適用除外でしたので、学術研究機関等に「医療の提供を目的とする機関又は団体(病院等)」を明示しました。
具体的なケースは、ガイドライン待ちです。
以上が「適正なデータ利活用の推進」の改正概要です。
