6/4「個人情報の保護に関する法律等の一部を改正する法律案」の参議院「内閣委員会」質疑のまとめです。個人的な聞取りを文章に起こしたものですので、正確性については保証できません。ただ努力はしておりますw

⑧山田議員（自民党）

個人の権利が強化される一方で、事業者の活動が過度に委縮していはいけない。また、ある個人の権利が強化される一方で、他の個人の権利は制限される可能性もあるため、バランスを取る必要がある。

Q：メールアドレスの取り扱いについて。本人の氏名と組み合わさったメールアドレスを使用する場合には、個人情報保護法と特定電子メール法との関係で、利用して良いかどうかの判断が難しい。電子メールアドレスの取得状況における適用利用の可否について、例えばこれらの法において、従業員がどのように取得したメールアドレスであれば、事業者が適法に利用できるのか。例えば勤務時間中でなければだめなのか。また受領した名刺の取り扱いについてどうなるか、例えば飲み屋で名刺を貰った場合は？

A：(個人情報保護法について)事業者の従業員が、その会社の従業員としての立場で取得した個人情報については、勤務時間内か否かに関わらず一般的に企業の業務の為に取得したものと認識されるため、個人情報取り扱い事業者の為に取得されたものと解され、適法に使用できる。本人からメールアドレスを取得した場合には、メールによる業務上の連絡に用いる事などは、取得の状況からみて明らかな利用目的と考えられ、特段の手続きなく利用できる。仮にそうでない場合は利用目的を特定し、本人に通知公表することによって、その範囲で個人情報を取り扱うことができる。

（特定電子メール法について※いわゆる迷惑メール対策として制定された法律のようです）特定電子メールの送信の適正化等に関する法律は、原則として事前に同意したもののみに、特定電子メールと呼称される広告宣伝メールを送信することが可能とされている。この事前同意の原則の例外として、自己の電子メールアドレスを、名刺などの書面により通知したもの等については、事前の同意なくメールを送信することが可能。自己の電子メールアドレスを記載した名刺などの書面を提供した場合などを、自己事前同意の例外としている理由は、総務省と消費者庁が作成したガイドラインにおいては、電子メールの送信が行われることについて一定の予測可能性があるため、としている。以上を踏まえ、個別具体的な事案毎に判断する必要はあるが、例えば名刺交換をして相手側から会社名付きの名刺を受け取る場合には、名刺を渡した者が所属する企業等から広告宣伝メールが送られてくることについて、一定の予測可能性があると考えられるため、事前の同意無しにメールを送ることが可能である。

Q：名刺を貰った場合、利用目的に宣伝メール等を送る趣旨の記載が無い場合でも、(名刺記載のメールアドレスに)広告宣伝メールを送って良い(のかどうか)ということについて、ガイドラインに明記してもらいたい。

A：事業者が個人情報を取得する場合、取得の状況からみて利用目的が明らかであると認められる場合であれば、利用目的の通知や公表は必要ない。現在の個人情報保護法ガイドラインでは、参考事例として、従業員が取得した名刺に記載のメールアドレス宛にダイレクトメールを送るような場合には、取得の状況に照らして利用目的として明らかとは言えない場合も想定される、と解説がある。この点については、企業の方から名刺に関してどのような場合に「取得の状況からみて利用目的が明らかなのか」といった問い合わせをよく受ける。近年のビジネスの実態等を踏まえると、会社の従業員として交換した名刺のメルアドに、広告宣伝メールを送付することは、多くの場合利用目的として一般的になっていると認識している。そこで現在ガイドラインの記載について見直しを検討している。

Q：オンライン名刺というものがある。Sansan社のサービスではオンライン上で名刺交換できる。現行法ではオンライン上で名刺を貰った場合はオプトアウト方式なので、広告宣伝メールを送れないことになる。しかし実態からすると書面の交付と同じような実名刺を交換しているのとほぼ同じなのではないか。このあたり、特定電子メール法の施行規則を改正すべきなのではないか。

A：コロナ拡大によるオンライン会議の普及を背景として、オンラインでの名刺交換も普及が見込まれていると認識している。オンライン名刺など、書面以外で電子メールアドレスの通知を受ける場合も、事前同意の例外として扱うかについては、こうしたビジネス環境の変化も踏まえて適切に対応していきたい。

Q：外国にある第三者への適用制限について。改正法の第二十四条にあたる部分が新設されている。外国にある第三者に個人データを提供する場合に、本人から同意を得る際、本人への参考となるべき情報の提供義務が課されたということだが、不明確。これの基準、具体例、提供の方法について(教えて欲しい)。また外国の個人情報保護法の条文を伝えるだけで足りるのかどうか。被害を受けた人の母国語が英語やフランス語だった場合、英語やフランス語で伝えないとならないのか。企業実務上問題が大きいが？

A：外国にある第三者への個人データの提供を認める旨の本人の同意を得ようとするときには、個人情報取り扱い事業者が当該本人に提供しなければならない情報や提供の方法については、委員会規則で定めることとしている。現時点では、例えば提供すべき情報としては第三者の所在する外国の国名、個人情報保護制度等を想定している。提供の方法については、電子的な記録の提供や書面の交付による方法、基本的には日本語または本人が内容を理解できる言語と考えている。

Q：外国における個人情報保護制度を情報提供する件については、事業者が独自に外国における個人情報保護に関する制度等の情報を調査して提供しなければいけない。これは企業にとって重たい。できれば委員会が調査してWebで公表し、それを各事業者が提供するという風な便宜をはかる必要があるのではないか。

A：今回の改正は、越境移転を行う事業者において、移転先の環境を認識してもらうという趣旨もあるため、企業自らの取り組みを行って欲しい。委員会としても参考となる情報を提供する。

Q：第三者提供の制限について。今回の改正の発端であるリクナビ問題を受けて、第二十六条の二「個人情報の第三者提供の制限」が新設された。これに定義される個人情報の関連情報の内容が不明確。大綱と今回の法案で文言が違っている。大綱では「提供先において個人データになることが明らかな場合に法規制をする」となっていたが、今回は「個人データとなることが想定される」と広く解釈されうる形に変わった。この趣旨は何か？

A：「第三者が個人関連情報を個人データとして取得することが想定されるとき」との文言は、大綱における「明らかなとき」を法文で表したものであり、その意味する内容に違いは無い。規制対象を広げる趣旨はない。

Q：この個人関連情報の具体例として「クッキー」「位置情報」は該当するのか、あるいは単純な統計情報は該当するのか。

A：「個人関連情報」とは、法案上は「生存する個人に関する情報であって、「個人情報」「仮名加工情報」「匿名加工情報」いずれにも該当しないものとされている。具体例として、氏名と結びついていないインターネットの閲覧履歴、位置情報、クッキー等も含まれる。また、統計情報は特定の個人との対応が無い限りにおいては個人関連情報には該当しない。

Q：「想定される」がわかりにくい。

A：「個人データとなることが想定される」場面としては、提供先が個人データとして取得することを提供元の事業者が想定している場合が考えられる。例えば事前に個人関連情報を受領した後に、他の情報と照合して個人データにする、といった旨を告げられている場合。次に、取引状況等の客観的事情に照らして、個人データとして取得することが一般人の認識を基準として想定できる場合が考えられる。例えば、プラットフォーマー等に対し個人関連情報を提供する際、提供先のプラットフォーマーが当該個人関連情報を氏名等で紐付けて利用することを想定しつつ、その為に用いる固有ID等を合わせて提供する場合が考えられる。具体的な事例や判断の仕方については、ガイドライン等でわかりやすく明確化する。

Q：プラットフォーマーがターゲティングマーケットをしている場合は、これにあたるのか？

A：プラットフォーマーであるかないかに関わらず、個人情報と紐付けて利用する場合には該当する。

Q：提供元への調査義務を課すか否か、について。改正法第二十六条の二では、提供先において個人データなるかどうかの調査義務を提供元に課すものなのかどうか。

A：「取引状況等の客観的状況に照らして、個人データとして提供先が取得することが一般人の認識を基準として想定できる場合」についての質問と解する。ここはあくまで一般人の認識を基準として想定できる場合、と考えている。提供先において個人データとして取得される可能性が高くない場合を含めてまで調査義務を課すものではない。

Q：同意の問題について。個人関連情報を第三者に提供する場合、提供元において本人の同意を取得しなければならないとされている。この同意の取得基準や具体例とは。そして第三者提供を受ける場合があることが提供先に記されていれば足りるのかどうか。

A：同意の取得方法としては、例えば本人から同意する旨を記した書面、電子メールを受領する方法、確認欄へのチェック等が考えられる。ウェブサイトで同意を取得する場合に、単に記載されているということでは足りないと考えている。サイト上のボタンをクリックする等のアクションが必要と考えている。ガイドラインで示していく。

Q：同意の取得に関する調査義務について。提供先は同意を取得したと主張している場合、口頭だけの確認で良いのか、何らかの調査をしなくて良いのかどうか。例えば、提供先の同意取得が虚偽だった場合、提供元が責任を負う可能性はあるのか？

A：提供元が確認をする方法については委員会規則で定めることとしている。個人関連情報の提供先から報告申告を受ける方法を想定している。この場合提供元は、提供先の申告内容を、一般的な注意力を持って確認すれば足りると考えている。特段の事情の無い限り、真正性や正確性まで独自に調査することは求めない。

Q：利用停止について。第三十条で利用等の請求権が緩和されたが、どのような場合に利用停止できるのか明確でない。事業者の活動に支障をきたす可能性がある。代理人や故人による利用停止の請求権はあるのか。

A：現行法の規定により、開示等の請求等は本人又は代理人によって行うことができることとなっている。個人情報取り扱い事業者は代理人であることの確認方法を定めることができる。例えば委任状によって確認することが想定される。団体の会員等について請求が行われた場合には、個々の代理権を確認することになる。

Q：電子メールファイルが利用停止の対象となるかどうか。

A：メーラーで送受信を行っているメールアドレスの保有者対して、その保有者にメールを送信した者、あるいは保有者からメールを受信した者が利用停止を請求できるか、という趣旨の質問と解する。法律上、利用停止を請求できる保有個人データの定義に該当するのは、特定の個人情報を検索することができるように体系的に構成していること、請求等に応じる権限を有するものである。メールソフトは一般的に、メールファイルについて送信元や送信先といった特定の個人を検索できるよう体系的に構想されたものではないこと、事業者がメールの内容の訂正追加に応じることはできないこと、といった点から、個々の電子メールファイルは保有個人データに当たらないことが多いのではないかと考えている。したがってメールの送信元や送信先にあたる本人が利用停止請求等できない場合が多いのではないかと考えている。

Q：(具体的に)電子メールのアドレス帳は、データ削除(請求)の対象になるのかどうか。

A：ソフトに保管されているメールアドレス帳については、メールアドレスと氏名を組み合わせた情報を入力している場合がある。そういった場合には特定の個人を検索できるよう体系的に構成されたものであるので、保有個人データの該当になり請求の対象になることがある。

Q：ネット中傷の問題に絡めて。保有データのログを管理していないと、発信者情報開示請求を行っても「消されていました」となりかねない。個人情報保護法は個人の権利を守ると同時に、被害者の権利を守るためにも「ログ情報」は極めて重要な論点である。実際にコンテンツプロバイダに対して発信者情報開示制度をやろうとすると、開示決定まで1～2か月かかる。さらに消去の仮処分申請には最低でも90日必要。アクセスプロバイダに対しての開示は6カ月から1年かかる。逆にいうと、加害者側が中傷を書いた場合でも、ネットサービスを止めたい・自分の個人情報を消したいと申し出たとき、個人情報保護法上では必要でないものは直ちに消さなければならない。このようにして加害者情報が消されてしまうと、被害者が泣き寝入りせざるを得なくなる可能性がある。

刑事訴訟法の第百九十七条三項だと、保全要請は最大90日まで可能と定められている。また、総務省のガイドラインでは接続認証ログに関しては一般的に6カ月程度の保存は認められるとなっている。このあたり、どういう風に考えていくのか。

A：個人情報保護法の観点から整理する。コンテンツプロバイダの保有する、掲示板等への書き込み等に関するログ情報については、個人が特定できないケースが多いこと、内容の訂正追加削除ができないこと、から消去等の請求対象となる保有個人データに該当しないケースが多いと考えられる。一方で、インターネットサービスプロバイダが保有する住所氏名IPアドレス等は一般的には保有個人データに該当する場合もある。ただし、インターネットサービスプロバイダがこうした情報を保有し続けることが、本人の権利または正当な利益を害される場合に該当するケースが一般的には想定できない為、消去等の請求対象とならないことが多いと考えられる。

プロバイダ責任制現法の発信者情報開示について、制度趣旨が損なわれないように配慮運用していく。

Q：利用停止等の請求の拒否について。第三十条の5項で、請求に理由がある場合には利用停止が拒めないのかどうか。利用請求に支障がある場合(?良く聞き取れず）はどうか。また、係争になった場合に不利益を被る場合はどうか。

A：利用停止等の請求が認められるのは、本人の権利または正当な利益が前提となる。例えば料金の支払いを免れるという目的や、係争となったとき本人に不利な証拠を消去する目的の場合は正当な利益にあたらず請求の対象とならないと考えられる。また、第三十条第六項の但し書きの規定は、一定の代替措置を取ることを条件に、利用停止請求に応じないことを例外的に許容している。これについてはガイドラインやQ&Aで解説していく。

Q：個人情報と民間の規約がぶつかった場合について。例えば民間の規約で規定していた保存期間に対して、保護法上では即時消すにあたるような場合、どう考えれば良いのか。

A：事業者が利用停止の請求に応じることは、個人情報保護法上の義務である。民－民の当事者間の利用規約において利用停止の請求に応じない旨を定めた場合であっても、そのような合意は無効である。個人情報保護法上の義務に違反した場合は、委員会からの勧告命令等の執行権限の対象となりうる。

Q：利用停止等の請求を受ける対象の範囲について。法人や、商売を行っている事業者が対象と最初は思っていたが、町内会や個人的手芸サークル、宗教法人、あるいは政治団体等も利用停止請求の対象になるのかどうか。具体的に答弁して欲しい。

A：個人情報保護法上の個人情報取り扱い事業者とは、個人情報データベース等を事業の用に供している者のうち、国の機関等を除外したもの。ここでいう事業とは、一定の目的を持って反復継続して遂行される行為であり、社会通念上事業と認められるものを指し営利非営利の別は問わない。指摘のようなサークルも含めて対象となる。この点は前回の改正以降(※5000人要件撤廃されてます)、全国で説明会を行い、自治会における明文の作り方といったパンフレットもつくり、周知広報に努めている。

Q：開示について。第二十八条の「保有個人データの開示方法」について、具体的にどんなデータが対象になるのか明らかになっていない。具体的ケースは？

A：「委員会規則で定めること」は現時点では書面の交付、電磁的記録、といった規定を想定している。一般的なメールや電子媒体等、具体的にはガイドラインで示していく。

Q：開示請求に応じる場合の手数料の徴収について。電子メール等の実費がかからない方法による開示を行う場合でも、事業者は手数料の徴収が可能なのかどうか。

A：現行法上も、個人情報取り扱い事業者は実費を勘案して合理的であると認められる範囲内において手数料の額を定めなければならないとなっている。実費という概念は、郵送料だけではなく、対象情報の検索、内容の確認、通知などの事務、等の費用についても勘案することができる。電子メールで開示を行う場合であっても、合理的であると認められる範囲内において、手数料を徴収することが可能である。

Q：GDPRでは手数料の徴収を禁止している。データの売買が行われる可能性を考慮すると、法の趣旨から真逆のことを誘発する可能性もある。（※例えばデータベースサイトを乱発して、いちいち手数料を取るビジネスモデルですね）

A：慣行であること、実際に企業の負担であったり、どれくらいの(額の)請求が来るかということもあるので、実態を見ながら考えていきたい。

Q：不適切な利用の禁止、第十六条の二について。「不当な行為を助長し、または誘発するおそれのある場合」が抽象的で幅広く取られる可能性がある。(データ利活用の)委縮に繋がらないようガイドラインに記載すべきだが、具体的にどんな基準、どんなものがこれにあたるのか。

A：「不当な行為を助長し、又は誘発するおそれのある方法による個人情報利用」の具体的な例として想定されるものは、例えば、暴力団員や総会屋に該当する人物の情報や、不当な要求による被害を防止するための業務を行う責任者担当者の名簿等をみだりに開示したりその存在を明らかにすることが想定される。

以上です。かなりの量になりましたが、色々新しい内容が出てきました。個人的に気になったところは太字にしています。手数料の件は今後問題になってくる可能性はあるように思います。※なお法律上、手数料を請求できるのは「開示」と「利用目的の通知」の場合で(第三十条)、「利用停止」と「消去」については手数料の徴収は認められていません。

最後の第十六条の二の具体手は何度も質疑されていますが、新しい具体例が二つ出てきました。一つ目は、いわゆる反社の個人情報ですね。これも対象とされています。「悪い奴らなんだから、例えば注意喚起のために晒して良い」とはなりませんので、例えば告発するようなサイトを運営すると個人情報保護法に違反し罰則の適用対象となる可能性があると言えます。この辺は、捜査等の妨害、一般人に危険が及ぶ事などを考慮してのことと思います。二つ目は、警察官や検察官とかの名簿なんかが対象ですかね。こちらも捜査に悪影響が生じる可能性等を考慮してのものでしょう。