個人情報ほご自治会

インターネット初心者が、ネットに溢れる悪意と戦う為の知恵を共有する場所

トップ > コラム > 5/22_衆議院内閣委員会質疑まとめ_⑥

5/22_衆議院内閣委員会質疑まとめ_⑥

コラム

5/22「個人情報の保護に関する法律等の一部を改正する法律案」の「内閣委員会」質疑のまとめの続きです。本件、とっくに衆議院本会議も通過しており参議院委員会での質疑待ちです。ちなみに内閣委員会ニュースはこちら

 

⑥吉田議員(立憲民主党)

Q:法の目的を理解せず、「個人情報だから」という理由で回答を拒絶する事業者があまりに多い現実があり、これは本来の法の趣旨とは明らかに違うものである。本来権利保護を受けるべき情報の主体=本人が情報の内容確認をしようとしても拒絶されることすらある。また法の理解不足が原因で過度に情報を保護しすぎた為に、本来正当にその情報を取得することが認められる問合せ者に不利益があった場合、開示を命じたり、罰則を科すことはあるのか?

A:罰則の適用については、個人情報保護委員会に設置している相談ダイヤルで質問相談に丁寧に対応していく。法違反が認められる事業者には助言や指導、勧告・命令を行っていく。勧告・命令に従わない場合には罰則が適用される。

 

Q:改正の契機について。リクナビ問題で現行法に対する疑念が生じたことも一因である。リクナビ問題が起こった原因として現行法のどこに問題があるのか、またそれに対してどのような法改正で対応しようとしているのか?

A:リクナビ問題は複数問題があった。まず運営者が第二十条で求められる、安全管理措置を適切に講じていなかったこと、まだ第二十三条で求められる、必要な本人同意を得ずに個人情報を第三者提供していたこと。さらに、リクナビは採用企業側(※第三者提供を受けた企業側)では特定の個人を識別できることを知りながら、自らにおいては個人データに当たらない型式で処理をすることで、(二十三条で必要となる)個人データの第三者提供への同意取得を回避するスキームにより情報提供するサービスを行っていた。これは現行法では適法ではあるが、第二十三条の趣旨を潜脱するもの。そこで本改正法案では、出し手側では個人データではなくても、受け手側では個人データとなる場合の規律を明確化しており、リクナビ問題をフォローしている。

 

Q:リクナビ問題は、(個人情報の)利用目的の特定範囲に問題があったと考えている。これについては第十五条第一項、及び第十六条第一項で定めている。しかし形式的には利用目的を特定していても、内部では何にでも使えるということになってしまう懸念がある。この「特定」の範囲についてどう考えるか?

A:個人情報の取り扱うにあたっては、その利用目的を出来る限り特定する必要がある。個別にはケースバイケースであるが、抽象論としては、一般人にとって想定できる程度に具体的に特定することが求められる。

 

Q:利用目的が特定されたとしても、実際の業務執行との関係で、適正に個人情報が扱われるかは常に問題となるが、具体的にどのように保護していくのか?

A:特定については前出の通り。仮の話として、事業者において利用目的の文言を拡張的に解釈したうえで、個人情報の利用範囲を拡大され、結果として利用者本人の予測に反する態様での?利用を行った場合には、法第十六条に規定する「利用目的の制限に違反する場合」に該当する可能性がある。またその場合には、利用者本人において、法第三十条に規定する「利用停止等の請求」を行うことで、事業者による利用を制限することができる。

 

Q:例外規定について。第三者提供は原則本人の同意が必要だが、他の法令で定める場合は例外とされる等の例外規定がある。他の法令との間の個人情報保護の在り方についての考え方、特に人権保護や倫理についてどのように考えているのか?

A:個人情報保護法との関係では、法令に基づく場合には本人の同意なく予め特定した利用目的に必要な範囲を超えて個人情報を取り扱うことや、あるいは個人データを第三者提供することが認められている。人権や倫理的な問題の観点については、他法令の問題として考慮されるものであると考えている。

 

その他、故人に関する個人情報についての質問(主に遺産相続等に関する内容でしたので、ここでは省略しました。ただここのやり取りは面白かったので、興味のある方はご覧ください)、マイナンバー制度及び住基カード、消費税減税やコロナ関連の質問もありましたが省略します。

 

リクナビ問題の答弁に関連して。例えば「実際にはフィクションでは無いと知りながら、フィクションと偽ったデータベースを公開するスキームで第三者提供への同意取得を回避する(あるいはサイトを見ただけで同意したものとみなす不当行為によって)行為」はリクナビ同様二十三条を潜脱している(つもりの)悪質な行為だと考えます。

利用範囲の特定については、事業者側の言い逃れの余地をどれだけ埋めれらるんでしょうか。あるいは、事業者側が本当に想定していない利用のされ方を提供者側にされるという可能性もあるでしょう。そういう場合の責任はどうなるのか。よくわかりません。

また、利用停止の請求に関してもまだまだ不透明ですね。本人が適正にデータ利用されていないことをどうやって知り得るのか。またおかしな事業者もどきに対して、個人が利用停止請求することのリスクをどう考えるのか。例えば停止請求に必要な本人確認と称し、追加で個人情報を取られる可能性が考えられますね。詰めるべき点はまだまだ多いと思います。