【参考資料３】パーソナルデータの利活用に関する制度改正大綱（事務局案）に関する意見２０１４年６月９日慶應義塾大学総合政策学部教授新保史生意見１第三者機関の執行範囲について大綱の該当部分 ○ 第２／Ⅰ 制度改正の趣旨／２課題／（３）確実な制度執行を行うために ○ 第２／Ⅱ 制度改正内容の基本的な枠組み／３第三者機関の体制整備等による実効性のある制度執行の確保意見の内容個人情報保護制度は、民間部門の個人情報取扱事業者のみならず、行政機関、独立行政法人等及び地方公共団体も含め、官民双方における個人情報の適正な取扱いと保護のために、適切かつ確実な法の執行が必要である。当該目的を達成するために整備される公的機関（第三者機関）の執行権限は、官民双方を対象にすることを明記されたい。意見の趣旨・２０１３年に改正されたＯＥＣＤガイドラインその他の国際的な基準において、第三者機関の執行権限は官民双方を対象にしなければならないと明示されている。・オープンデータの活用推進のためには、公的部門におけるパーソナルデータの取扱いについての課題の検討も不可欠。・民間部門との不均衡が生じないよう公平な執行体制を整備することが必要。意見２行政機関等が保有するパーソナルデータの取扱いについて大綱の該当部分 ○ 第３／Ⅱ パーソナルデータの利活用を促進するための枠組みの導入等／２行政機関及び独立行政法人等が保有するパーソナルデータの取扱い意見の内容行政機関、独立行政法人等及び地方公共団体等が保有するパーソナルデータの取扱いについても、民間部門同様にいわゆる準個人情報や個人特定可能性低減データの取扱いに係る課題について検討が必要であることについて言及されたい。意見の趣旨・「電子行政オープンデータ推進のためのロードマップ」（平成２５年６月１４日高度情報通信ネットワーク社会推進戦略本部決定）において、オープンデータ推進の重要性が提唱され、行政機関、独立行政法人等及び地方公共団体等が保有する公共データのビジネスや新サービスへの活用が期待され公共データの活用促進を目指している。・オープンデータの活用推進のためには、民間部門同様に個人が特定される可能性を低減したデータの取扱いについての検討を含め、本検討会における検討事項が公的部門においても同様に当てはまることについて言及する必要がある。 -1- 例えば、２０１３年の参議院議員通常選挙で、総務省自治行政局が作成した広報サイト（http://2013senkyo.jp）において、行動ターゲティング目的の履歴収集用タグが埋め込まれていたため、当該サイト閲覧者のサイト閲覧履歴が民間事業者に転送されていた事例がある。このような閲覧履歴の取得や提供（あるいは第三者に取得させる行為）について、これが本検討会において議論された、いわゆる準個人情報に該当するのであれば、民間事業者における取扱い同様に、行政機関等における適正な取扱いについても検討が必要である。意見３保護すべき個人情報について大綱の該当部分 ○ 第３／Ⅲ 基本的な制度の枠組みとこれを補完する民間の自主的な取組の活用／１基本的な制度の枠組みに関する規律／(1) 保護対象の明確化及びその取扱い意見の内容本検討会において議論された、いわゆる「準個人情報」という新たな定義は、その対象となる情報が、他の情報と容易に照合することによって個人情報になり得る情報であって、「個人情報」とは別の定義を設けて明確に区別することが容易ではない情報である。そのため、個人情報に該当しない情報として、法規制の対象外とするための情報として指定し分類することが適切ではないことはもとより、準個人情報という新たな定義は設けるべきではない。個人情報に準ずる情報の取扱いについては、個人情報の定義同様に保護対象を一律に明規するのではなく、その種類や取扱態様（容易照合性、識別・特定性）に応じて個人の権利利益保護への影響を見極め、「プライバシー保護の観点（合理的なプライバシー保護への期待）」から適切な取扱いを求めるために保護が必要な情報を適宜・柔軟に判断することができる仕組みを整えることが必要である。意見の趣旨・純個人情報（純粋な個人情報）だけでなく、準個人情報（個人情報に準ずる個人に関する情報）を保護しなければならない理由について、純個人情報と準個人情報の両者の保護の必要性について、プライバシー保護の観点からの議論が十分になされているとは言えず、プライバシー保護のあり方に関する理解や考えが醸成されていない状況で、一律の定義の明確化など拙速な判断は避けるべきである。個人情報に準ずる情報であって、識別非特定情報（個人を特定することができなくても識別できる情報）をはじめとして、個人のプライバシー保護の観点から、適切な取り扱いを求めることが必要な情報が存在し、ビッグデータの取り扱いとともに、その量が増大している事実は誰もが認識しているところである。したがって、個人情報に準ずる情報については、プライバシー保護の観点から適切な取り扱いを求める必要があることについて異論は無いと考えられる。しかし、プライバシー保護の必要性やそのあり方、プライバシー・バイ・デザインといった考え方が定着していない現状において、いわゆる準個人情報については、適正な取扱いと保護の埒外に置くべきであるといった意見もあり、個人情報に準ずる情報の適切な保護を目指すための検討については、技術検討 WG における検討結果等を踏まえ、第三者機関による検討を行う体制をまずは整備すべきである。 -2- ・第三者機関による判断（合理的なプライバシー保護への期待について、まずは、合理性を判断することができる仕組みを整備すべき）個人情報保護法は、個人情報への該当性を外形（記述的概念）で判断し、その外形から定型的に事業者に義務を課しているにすぎない。一方、プライバシーの権利は、非公知の私的事項であって非公開の情報を、本人の実体的利益として保護することを目指すものである。したがって、プライバシー保護の対象となる情報を一律に定義し記述することはできない。何をプライバシーとして保護すべきかは、本人の主観によっても左右されるため、非公知の情報だからといって、すべての情報がプライバシーとして保護されるわけではない。事業者に求められているのは、その取扱いが本人が許容し得る適切な取扱いであって、個人の合理的なプライバシーへの期待に応えることである。合理的なプライバシー保護への期待など、抽象的な議論で判断ができないからこそ、グレーゾーンが生じているとの批判は真摯に受け止める必要がある。しかし、個人情報への該当性や合理的なプライバシー保護への期待などについては、ケースバイケースで諸外国のプライバシーコミッショナーなどは判断をしてきている。まずは合理的なプライバシー保護のために必要な判断基準や考え方を「判断」する体制を整備することが先決であろう。なお、判断の基準としては一定の基準が現時点で存在するわけではない。実質的な権利侵害のリスク判断を基準として導入する試論として、第１０回検討会に提出された（参考資料５）企業意見の紹介（椋田委員提出資料）「パーソナルデータ利活用についての提言（日本ヒューレット・パッカード株式会社 2014 年 5 月 29 日）において示されているリスク分析に基づく判断基準なども傾聴に値すると言えよう。意見４機微情報について大綱の該当部分 ○ 第３／Ⅲ 基本的な制度の枠組みとこれを補完する民間の自主的な取組の活用／１基本的な制度の枠組みに関する規律／（2）機微情報意見の内容機微情報に該当する個人情報について、大綱案において示された情報のみを機微情報として確定するのではなく、我が国の実情及び諸外国の基準等に応じて、その範囲を検討する余地があることについて言及されたい。意見の趣旨・諸外国の法令等で機微情報とされている情報と、我が国において機微情報と考えられる情報は必ずしも一致していない。・ＥＵ個人データ保護指令に基づく十分性の基準に適合するための条件の一つが、機微情報の取扱制限となっている。そのため、ＥＵなど諸外国の法令が定める機微情報を、我が国の法律においても列挙し明示しさえすれば当該基準を満たすことにはなるが、そうなると我が国の実状に適合しない機微情報の取扱制限を法定する意味がない。 -3- 意見５保存期間について大綱の該当部分 ○ 第３／Ⅲ 基本的な制度の枠組みとこれを補完する民間の自主的な取組の活用／１基本的な制度の枠組みに関する規律／（3）個人情報の取扱いに関する見直し／④ 保存期間について意見の内容保有個人データの保存期間の法定は再考すべき。意・見の趣旨個人情報データベース等を構成する個人情報（個人データ）は、取得の段階で６ヶ月以内に消去することと定めていない場合、自動的に「保有個人データ」となる。そのため、個人情報取扱事業者が取り扱う個人情報の大部分が、保存期間を定めずに取得する個人情報にあたると想定される。・保存期間の設定は、個人情報の取扱態様や事業の特性に応じて判断されるべきものであって、一律の保存期間の法定について、本人の権利利益保護に資する理由や事業者の負担等について十分な議論が尽くされたとは言い難い。意見６第三者機関の権限・機能等について（執行範囲）大綱の該当部分 ○ 第３／Ⅳ 第三者機関の体制整備等による実効性のある制度執行の確保／１第三者機関の体制整備／(1)設置等及び(2) 権限・機能等意見の内容特定個人情報保護委員会を改組した第三者機関を設置するにあたって、大綱案では、「第三者機関は、番号法に規定されている業務に加えて、」と記述されているが、番号法に基づく特定個人情報保護委員会の権限及び執行範囲を縮小することなく、新たな個人情報保護制度の執行に必要な体制を整備する趣旨であることを確認したい。意・見の趣旨特定個人情報保護委員会は、番号法に基づく特定個人情報の取扱いに係る事務を掌るため、その執行権限は、行政機関、独立行政法人等、地方公共団体、地方独立行政法人及び個人情報取扱事業者その他の事業者を対象としている。 -4- 意見７第三者機関の権限・機能等について（法執行の基準）大綱の該当部分 ○ 第３／Ⅳ 第三者機関の体制整備等による実効性のある制度執行の確保／１第三者機関の体制整備／(2) 権限・機能等意見の内容個人情報保護法第３６条第１項に基づいて、個人情報取扱事業者が行う事業を所管する大臣等（主務大臣）が、個人情報の適正な取扱いの確保に関する活動を支援するために定める指針（ガイドライン）については、事業分野の特性に応じて第三者機関が当該指針を定めるとともに、各ガイドラインにおいて法を執行する際の基準として定められてきた事項を第三者機関の権限・機能に加えることについて、今後検討することを明示されたい。意・見の趣旨「個人情報保護に関するガイドラインの共通化について（平成２０年７月２５日の個人情報保護関係省庁連絡会議申合せ）」の別紙「ガイドラインの共通化の考え方について」V．各府省における策定・見直しの検討及び施行において、『内閣府による標準的なガイドライン策定後１年内を目途に、事業分野の特性に応じて、ガイドラインを見直すこととし』とあるが、標準的なガイドラインへの共通化に向けた取り組みは未だ達成されておらず、第三者機関の設置によって、ようやく共通化が実現することになる。・ガイドラインにおいて定められている法を執行する際の基準が異なるため、統一的な執行が求められてきた。例えば、事故又は違反への主務大臣の関与の基準、暗号化した個人データが漏えいした場合の主務大臣の対応の差、個人データの漏えい等（漏えい、滅失又はき損）発生した場合の報告及び本人への情報提供の必要性の有無など、主務大臣によって異なる対応がなされてきたことから、第三者機関による統一的な対応が待たれる。個人データの漏えい等について、USB メモリ１本を紛失しただけでも主務大臣に報告をする律儀な事業者がいる一方で、大規模な個人データの漏えいを発生させても、主務大臣への適切な報告や影響を受ける可能性のある本人への情報提供に消極的な事業者がいることも事実。今回の検討会では、安全管理措置のあり方については検討対象にはならなかったが、いわゆる「セキュリティ侵害通知」を、今後、法定することも検討すべきではないか。個人情報の取扱いに関する苦情は、本人からの申し出によって第三者機関が認知することが可能である。一方、個人データの漏えいは、事故が発生し被害が顕在化してから第三者機関がその事実を知りうることも多いため、被害拡大防止の観点からは、事業者による第三者機関への通知とともに本人への情報提供など適切な措置を講じることを今後検討する必要がある。 -5-