プレスリリース

パーソナルデータの利活用に関する
制度改正大綱(事務局案)に対する意見

全地婦連発第46号
2014年6月16日
内閣府特命担当大臣
山 本 一 太 様
全国地域婦人団体連絡協議会
会長 柿 沼 ト ミ 子
パーソナルデータの利活用に関する制度改正大綱(事務局案)に対する意見

 現在、内閣官房「パーソナルデータに関する検討会」で検討されている標記大綱について、下記の通り意見を申し述べます。大綱策定の最終段階であることは承知しておりますが、当団体の代表委員がこれまでに繰り返し述べてきたことです。パーソナルデータが明確に保護され、その利活用の仕組みが透明性をもって消費者に示され、理解が深まってこそ、データの利活用が進む唯一の方策と考えますので、宜しくご検討をお願いいたします。

  1.  第3 III 2(3)B「個人データの第三者提供におけるオプトアウト規定」について、第三者機関への届出制ではなく、作成される名簿の種類に応じた規制をするべきです。

     第3 III(3)Bは、以下のように、オプトアウト規定を用いた第三者提供を行なう個人情報取扱事業者に第三者機関への届出義務を課し、第三者機関が届け出られた事項を公表するとしています。
    個人データにより識別される本人が、オプトアウト規定を用いて個人データの提供を行っている事業者を容易に確認できる環境を整えるため、個人情報取扱事業者がオプトアウト規定を用いて第三者提供を行う場合には、現行法の要件に加え、第三者機関に対し、法に定める本人通知事項等を届け出ることとするほか、第三者機関は届け出られた事項を公表するなど、必要な措置を講じることとする。この際、現に適切な取扱いを行っている事業者等への影響に留意しつつ、適用対象及び必要かつ最低限の手続等を定めることとする。
     第三者機関への届出及び公表は、いわゆる名簿屋の対策を意図したものと思われますが、実効的な対策ではないと思われますので、以下のとおり、作成される名簿の種類に応じた規制を検討するべきです。
    まず、いわゆる名簿のうち、本人の権利義務の侵害につながり得るのは、
    @ いわゆるカモリストのように、本人に対する押し売り・押し買いに用いられる等、本人の財産の収奪を目的とした(あるいはそのような目的に資する)名簿
    A 「アダルトグッズの購入者リスト」「江沢民国家主席の講演会の参加者リスト」等のように、本人に対する不利益な評価を目的とした(あるいはそのような目的に資する)名簿
    の二種類があります。

     届出及び公表によって担保されるのは、@の類型の名簿に対する迷惑電話の防止や、詐欺幇助事案への対処(無届け事業者に対する警察の介入)であり、Aの類型の名簿のように、作成・販売されること自体がプライバシー侵害となるものに対しては効果がありません。Aの類型の名簿については、オプトアウト方式で流通することについて、届出及び公表義務を課しても、全く解決になりません。何故なら、Aの類型の名簿は、本人への接触を招かないため、本人がこれに気付くことはできず、作成・販売する事業者にアクセスすることが不可能であるからです。
     そこで、Aの類型の名簿については、少なくともオプトアウト方式での第三者提供を全面的に禁止すべきです。そして、Aの類型の名簿に該当するものとしては、例えば以下のものが含まれますが、その該当性については継続的に議論されなければならないと考えます。
    名簿の作成にあたり、本人の関与を許さず、又は関与困難な評価項目が含まれているもの
    本人が公表を望まないことが推認されるもの

  2.  第3 III 2(3)A「利用目的の変更時の手続きの見直し」について、オプトアウト機会の提供により本人同意のない利用目的変更を可能とするという例示は、極めて不適切なものであり、かつ検討会において論議がされているとはいえず、大綱より削除すべきです。手続きの見直しについても、「本人が意図しない目的でデータが利用されることのないよう」にする具体的な歯止めを明示するべきです。

     第3 III 2(3)Aは、以下のように、利用目的変更時の手続きを見直すとし、オプトアウト機会の提供により本人の同意なく変更できるようにする措置を例示しています。
    A パーソナルデータの持つ多角的な価値を、適時かつ柔軟に活用できる環境を整備するため、本人が意図しない目的でデータが利用されることのないよう配慮しつつ、利用目的の変更時の手続を見直すこととする。
    例えば、利用目的を変更する際、新たな利用目的による利活用を望まない場合に本人が申し出ることができる仕組みを設けて本人に知らせることで、利用目的の変更を拒まない者のパーソナルデータに限って変更後の利用目的を適用する等、具体的な措置については、情報の性質等に留意しつつ、引き続き検討することとする。
     この項目に書かれている「利用目的を変更する際、新たな利用目的による利活用を望まない場合に本人が申し出ることができる仕組みを設けて本人に知らせることで、利用目的の変更を拒まない者のパーソナルデータに限って変更後の利用目的を適用する」という例示は、実質的にオプトアウト方式による目的外利用を認めようという趣旨のものであると解されます。しかしながら、以下の理由により、この方策は極めて不適当であるので、この例示は削除するべきです。

    1) 検討会でほぼ議論がないまま大綱に突然挿入されたものであるため
     本項目は第10回検討会(平成26年5月29日)に経済産業省から提出された「利用目的変更時における本人手続の見直し」を元にしていると思われますが、このような案は制度見直し方針以前を含め第10回までに全く議論されていなかったものであり、第10回に突然、経済産業省から提案されたもので、時間が限られておりほとんど議論されていません。明らかに議論が不足しており、第11回で出た反対意見に対する事務局の説明もありません。
    2) 既に目的外利用の潜脱事例が現れているため
     経済産業省所管事業者において、ログインIDを共通化しポイントを統合することをうたって利用者にID連携の登録をさせ、そのときには「現時点ではショッピング履歴などの共有・統合は行われない」「インターネット上の行動履歴などの情報を提供することは現時点で計画していない」などと記者会見等で述べていたにもかかわらず、その1年後に突如プライバシーポリシーを一方的に変更して、オプトアウト方式で履歴情報を第三者提供しようという行動をする者が現れています。大綱で目的外利用をオプトアウトで認めれば、同様の「騙し討ち」事例が増加するのは自明であり、到底、適切に運用されることが担保される立法事実があるとは思われません。むしろ、このような事実から、利用目的の変更を本人の同意なく行なってはならないとすべき立法事実があると言えます。
    3) 経済産業省の従来の取り組みと矛盾しているため
     経済産業省は、自ら、「2013年5月に、「IT融合フォーラムパーソナルデータワーキンググループ報告書」を公表し、パーソナルデータの利活用を進める上で、消費者と事業者の信頼関係の構築が何よりも重要であるとの考え方の下、事業者がパーソナルデータを取得する際に満たすべき、消費者に対する情報提供や説明に係る「分かり易さに関する手法・アプローチ」を示し」た上で、「「分かり易さに関する手法・アプローチ」を広く普及させていくために、これを実践しようとする多くの様々な事業者が参照し利用できるような「評価基準」を策定し、併せて、事業者が基準に合致した取組を行っていることを客観的に評価し消費者に情報提供できるような第三者による評価の仕組み(「事前相談評価」)を整理」するなどの取り組みを進めてきています。これらはいずれも、本人の同意を適切に取得しようという試みであって評価に値しますが、目的外利用をオプトアウト方式で認めるということは、本人の同意を回避しようという試みにほかならず、従来の自らの取り組みを放棄しています。
    4) 大綱案における「制度の国際的な調和」の観点と矛盾するため
     大綱は「制度の国際的な調和」を強調していますが(第2 I 2(4)など)、国際的に、目的外利用をオプトアウト方式で認めるような規律は見られません。鈴木委員も例に上げていたように、Google社が複数存在していたプライバシーポリシーを統合した例は、個人データの目的外利用を事後に行ったケースですが、数ヶ月の期間をおいて、ログインした会員には、プライバシーポリシーが統合される旨を表示し続けていました。そのような措置を前置したとしても、フランスのデータ保護機関であるCNILから15万ユーロの課徴金を課せられた他(これは、法律上課せる最大の課徴金です)、欧州の複数のデータ保護機関の執行を受けるに至っています。また、米国においても、従前のFTCとGoogleの和解内容に反するとして、FTCが提訴される事態に至っています。
     このように、我が国のみで目的外利用をオプトアウト方式で認めたとしても、欧州や米国のデータ保護の水準には至っておらず、事業者がサービスを国際展開する際には妨げになるほか、保有しているデータの種類によっては、欧州のデータ保護機関から域外に直接執行される可能性もあるものであって、「制度の国際的な調和」とは程遠いものとなっています。
    5) 大綱案の「個人が特定される可能性を低減したデータの取扱い」と矛盾するため
     第3 IIIは「個人が特定される可能性を低減したデータの取扱い」の項目を設け、適切な加工を施したデータについて、本人の同意なしに第三者に提供することを認めるという検討がなされています。
     但し、技術WG佐藤主査も正しく指摘するように、本人の同意なしに第三者への提供を認めることは「劇薬」であり、制度自体への信頼性が極めて重要であり、技術面および制度面双方からの手当が慎重に議論されている現状です。
     これに対し、目的外利用をオプトアウト方式で認めた場合、利用目的に第三者提供又はオプトアウトによる第三者への提供を加える事が容易になり、事業者において「個人が特定される可能性を低減したデータ」を用いるインセンティブが生じません。これでは、「個人が特定される可能性を低減したデータ」による適切な第三者提供のための精緻な議論が全く無意味になることが明らかです。

  3.  以上の理由により、この例示は削除するべきです。加えて、手続きの見直しについても、「本人が意図しない目的でデータが利用されることのないよう配慮しつつ」との要件が示されてはいるものの、これを担保する具体的な方策が明らかではありません。
     したがって、例えば、変更の度合いに着目して、「第三者提供しない利用目的を第三者提供する利用目的に変更することは認めない」とするなど、「本人が意図しない目的でデータが利用され」ないことを担保する具体的な歯止めを大綱中に明示するべきです。

  4.  第3 III2「民間主導による自主規制ルール策定・遵守の枠組みの創設」について、消費者・利用者の観点を適切に反映する措置を講ずるべきです。

     第3 III2は、以下のように、自主規制ルールの枠組みを創設するとしています。
     パーソナルデータの利活用の促進と個人情報及びプライバシーの保護を両立させるため、マルチステークホルダープロセスの考え方を活かした民間主導による自主規制ルールの枠組みを創設することとする。
     自主規制ルールを策定する民間団体は、法令等の規定のほか、法令等に規定されていないものの、情報通信技術の進展等に応じて、個人情報及びプライバシーの保護のために機動的な対処を要する課題に関して、個人情報及びプライバシーの保護のために機動的な対処を要する課題に関して、情報の性質や市場構造等の業界・分野ごとの特性及び利害関係者の意見を踏まえてルールを策定し、第三者機関の認定を受けることができることとする。
     認定を受けたルールにおいて、その運用を担うこととされている自主規制団体は、対象事業者に対し必要な措置を行うとともに、第三者機関の監督に服することとする。なお、各府省大臣の関与については、第三者機関と各府省大臣との関係の整理を踏まえ検討する。
     しかし、非常に多数かつ極めて専門的な領域の民間団体による自主規制ルールが策定されることは容易に予想され、それらすべての策定に適切なマルチステークホルダープロセスを導入することが、現状可能だとは決していえません。
     例えば、現時点において、政府のガイドライン(個人情報保護法10条)は27分野40本(平姓26年1月31日現在)、認定個人情報団体は39団体(同)存在し、認定個人情報保護団体は個人情報保護指針の作成公表にかかる努力義務を負っています(個人情報保護法43条1項)。そうすると、合計で最大80本ほどのガイドライン、個人情報保護指針が存在していることになりますが、当団体の認識では、これらのうち、消費者・利用者の立場を代表するものが関わることが出来たのはごく一部に留っています。そもそも、作成作業・改正作業が行われていることを知ることすら容易ではありません。
     マルチステークホルダープロセスへの参加自体について、自らの利害に直接関係することから業務として取り組む事業者や専門家と異なり、我が国における消費者団体はボランタリーな活動に支えられています。消費者団体のカバーしている範囲は膨大です。あらゆるパーソナルデータについて「情報の性質や市場構造等の業界・分野ごとの特性」に精通していることを要求するのは非現実的であり、情報格差を埋めることはできません。
     米国でマルチステークホルダープロセスが有効に機能するのは、EPIC(電子プライバシー情報センター)やEFF(電子フロンティア財団)といった非営利組織(プライバシー・アドボケイトと呼ばれる)において、政府や民間団体に比肩するほどの専門性と、団体としての継続性が担保されているからです。これらのようなプライバシー・アドボケイトの存在を無視して、仕組みだけを導入するのは欺瞞的に過ぎます。

     したがって、民間主導でマルチステークホルダープロセスを経由した自主規制ルールの策定を求めるのであれば、消費者・利用者の観点を適切に反映すべく、以下のような措置を講ずることが必須です。

    1) 消費者の財産的被害の集団的な回復のための民事の裁判手続の特例に関する法律附則4条に相当するような、第三者機関において、消費者・利用者の利益を代表する委員又は委員の母体となる団体への支援機能を創設することが必須です。この場合の支援は「資金の確保、情報の提供」に限りません。
    2) 消費者・利用者において「情報の性質や市場構造等の業界・分野ごとの特性」を理解するためには、制度のみならず技術の理解が必須であり、自主規制ルール策定には、プライバシー保護に詳しい技術の専門家を必ず参加させるべきです。
    3) 個別の自主規制ルールの策定過程で消費者・利用者の立場を反映するような措置が行われたとしても、それらのルールが、消費者にとって統一感のないルールになることは、混乱のもとであり、避けるべきです。そのため、自主規制ルール間の不整合(特に用語の統一、重畳的に適用される場合の整理等)について第三者機関の適切なイニシアチブの元、これを解消するための検討が不断になされるべきです。
    4) 消費者庁から第三者機関に個人情報保護法の所管が変更されることから、「第三者機関の認定」の中で、第三者機関は、消費者庁又は消費者委員会の意見を求めることができるようにすべきです。

     自主規制ルール策定段階で消費者・利用者の声を適切に反映していない場合、形式的に自主規制ルールに従って事業を行っても、後の段階で消費者・利用者からの異論が生まれ、事業の継続性が危ぶまれることもあり得ます。自主規制ルールを実効的なものにするためにも、適切な措置の導入を求めます。