もうちょっとだけ続く5/22「個人情報の保護に関する法律等の一部を改正する法律案」の「内閣委員会」質疑のまとめの続きです。これに関する内閣委員会ニュースはこちら。

⑧塩川議員（共産党）

Q：個人情報保護を考えた際、デジタルプラットフォーマー(米国GAFA、中国BAT)の経済社会への影響力が大変大きくなっている、それについてどう認識しているか。

A：GAFA、BATといった事業者は個人情報の利活用をビジネスの中核としていると認識している。個人情報が適正に取り扱われ、個人の権利利益が保護されているかという観点から関心を持っている。

Q：EUのGDPRでは、異議申し立ての権利等、プロファイリング規制や、データの消去権、忘れられる権利等を基本的な権利として確立している。一方改正案は、プロファイリングをどのように規制しているのか。また、忘れられる権利を保障するものなのか。 

A：プロファイリング・忘れられる権利(への対応)については、今回の改正において、利用停止消去の要件の緩和、不適正利用の禁止、第三者提供記録の開示、提供先において個人データとなることが想定される情報の本人同意等といった規律を導入する。これらの規律は、個人情報にかかる個人の権利利益を保護して欲しいという、個人からの要請に相当程度従うものであると考えている。

Q：改正案の第三十条では、「権利利益を害するおそれがある」場合に利用停止を認めている。そのおそれとは何か。また、第十六条の二では、「不当な行為を助長するおそれがある方法で個人情報を利用することを禁止する」とあるが、そのおそれとは何か。

A：不当な行為を助長し、又は誘発するおそれがある場合について、例えば違法な行為を営む業者に個人情報を提供することが想定される。また、利用停止等の請求の対象となる本人の権利、又は正当な利益が害されるおそれがある場合としては、例えば本人の意思に反して事業者がダイレクトメールを繰り返し送付している場合等が考えられる。

Q：内定辞退率を採用企業に提供するという、リクナビのような行為は、学生の就職活動に不利な影響を与えるおそれがある。このような事例は第十六条の二で禁止する「不当な行為を助長するおそれ」として禁止されるのか。

A：法案は遡及適用されるものではないため、過去の事案について仮定のあてはめを行うことは適切ではないと思われるが、一般論として申し上げれば、法令に違反していることを認識しているような場合において、違法行為を助長し、または誘発するような個人情報の取り扱いを行うことは、不適正な利用に該当する場合があるものと考えている。

Q：リクナビ問題で具体的にどうなのか、しっかりと検証することが必要。約9万5千人の内定辞退率が算出され、採用企業に提供されている。た。そのうち約2万6千人は第三者提供の同意を得ていなかったことが問題となった。しかし残りの約7万人は、内定辞退率の第三者提供の同意したと果たして言えるのか？こうしたわかりにくい同意取得が問題ではないのか。プロファイリング等を含めて、個人情報を取得、利用する際は事前に本人の明確な同意をとる仕組みにするべきではないかと考えるが。

A：リクナビ問題においては、個人データを第三者提供にかかる説明は明確ではなかったという問題があった。そのため、本人が同意にかかる判断を行うために必要とされる合理的かつ適正な範囲の内容を明確に示すことを今回(の改正法案では)求めたものである。また、本事案を踏まえて、本法案においては本人関与の無い個人情報の収集方法が広まることを防止するため、出し手側では個人データでなくても、受け手側で個人データとなることが想定される場合は、本人同意を前提とする等の規律を課すこととした。実効性が得られるよう運用に頑張ってまいりたい。

Q：今回の改正で利用停止を拡大したと言うが、そもそも個人情報の定義が狭いのではないか、という問題がある。閲覧履歴等を保存するクッキー等は個人情報の保護対象になっておらず、事業者には説明責任も無く、権利侵害のおそれがあっても利用停止を求められない。閲覧履歴等を分析すれば、病歴や思想信条等、要配慮個人情報であっても、本人の同意なく取得(あるいは)推測し、利活用できる。この点が法律の抜け穴となっている。このような問題について、GDPRのように保護の対象とすべきではないか。

A：現行法でも、事業者は閲覧履歴等のクッキー等を特定の個人を識別できる形で取り扱っている場合は個人情報となり、個人情報保護法上の規律に服することになる。今回の改正では、それに加えて個人関連情報に関する規律を導入し、転居元では個人データに該当しないものの、転居先において個人データになることが想定される情報について、予め本人の同意を取得することを求めることとした。

Q：(上の答弁について)第三者提供の一部規制ということだが、逆にいえば一部しか規制しないということだ。クッキーが個人情報に該当しないと整理している以上、事業者側は説明責任を負わないし、利用停止に応じる義務もない。これでは保護に繋がらないと言わざるを得ない。そもそも、日本の個人情報保護法のペナルティについては、非常に弱いと指摘されている。GDPRのペナルティと比べ、きわめて不十分ではないのか。

A：GDPRでは法違反の場合制裁金として2000万ユーロ(約24億円)、または世界全体における年間売上総額の4％いずれか高い方を上限として課せられる。一方今回の改正では、昨今の違反事案の増加等の事由を踏まえ、罰則の法定刑を引き上げることとした。例えば法人と個人の資金格差等を勘案して法人に対してより重い罰金刑を課せられるようにしている。法人に対して1億円以下の罰金を科すものとしている。また個人の場合は委員会の命令に対する違反行為があった場合には1年以下の懲役又は100万円以下の罰金となっている。これはGDPRに比べて軽いと言われるが、国内の他の経済事案と同等レベルであり、妥当ではないかと考えている。

Q：日本国内のペナルティとの関係でそれなりの水準という話ではなく、国際的にグローバルな経済活動を行っているデジタルプラットフォーマーを想定したとき、GDPRと比べてあまりにも小さすぎるのではないか？

A：グローバルスタンダートの観点から、OECDプライバシーガイドライン等の共通の考え方を示している。その中で、EUのGDPRについて、委員会で、個人情報保護に基づき個人情報の保護のレベルが日本と同等であるものという具合に作業を行っている所である。昨年1月に欧州委員会においてGDPRの規律に照らして日本の個人情報保護の規律が十分なレベルにあるかどうか、個人データの越境移転に関する十分性認定の決定を行っている、というような努力をしている。今お互いに検討をしあっているところである。共に考えていきたい(※歯切れ悪くてちょっと何言ってるかよくわかりませんでした）。

Q：デジタル市場のルール整備を掲げているが、デジタルプラットフォーマー等によるプロファイリング等を通じたプライバシー侵害のリスクに対して、この程度の個人情報保護制度では十分と言えない。

A：情報通信技術の大変な進歩の中で、GAFAのような巨大プラットフォーマーが活動している中で、日本は個人情報の保護と利活用をきちんと行っていかなければ乗り遅れる。これまで遅れてきた部分を今回取り戻すために改正法を施行するもの。また日本として主張すべきものを主張しながら、グローバルスタンダードを作り上げる一角を担っていきたい。この法改正は大きな一歩である。

⇒経団連や新経済連盟など経済界から、正当な事業活動を阻害することが強く懸念されるなど、国民の権利保護の拡大を抑制する強い要請があったという背景があるのではないか。そもそも経団連がこれに反対する資格はない。リクナビからデータを購入していたのは、経団連の主要な役員企業ではないか。学生への謝罪はおろか、購入していたことを隠し通していた企業もあった。現行法の規制がいかに守られていないかは、購入企業35社に行政指導を行った個人情報保護委員会が一番よく知っている筈。それにも関わらず、経済界の要求を丸呑みする委員会の姿勢があまりに情けない。個人の権利を軽視している大企業にこそ、しっかりとした権利保障を求める規制が必要である。

以上です。共産党はこの法案に反対であり、実際に反対票を投じています。

今回の質疑では、リクナビ問題が中心となりました。リクナビの行為は第十六条の二に抵触するのか？というダイレクトな質問に対して「法は遡及適用できない」として明言を避けたのが印象的でした。この質問は何度か行われましたが、実際に発生した具体的事例として質問されたのは「リクナビ問題」と「官報個人情報晒し問題」の2件でした。前者は前記のように明言は避けられましたが、後者は悪質な行為の具体例としてあげられています。

GAFA等の巨大企業が日本を軽視しているのは指摘の通りだと思います。その理由は最早将来性が無い市場とみなされている事、そして今回指摘があったように法とペナルティが温い事の二つだと思います。まあ個人的にはEUも成長市場だとも思えませんので、罰則は同等レベルにしても何の問題もないのではと考えますが。

それと罰則のとこで他の経済事案と比較して、という話がありました。これはどの辺の罪のことを言っているのでしょうか。知らないので今度調べてみようと思います。

さて、長かった衆議院内閣委員会質疑まとめも、あと1名分で終了です。まあ参議院も一応やるつもりですが・・・テープ起こしの練習になりますね。バイトでもすんべか。