個人情報保護委員会 個人情報等の適正な取扱いに関係する政策の基本原則に沿った政策立案のためのガイダンス(案) (2025.05.28)
こんにちは、丸山満彦です。
個人情報保護委員会の委員長が2025年5月22日の国会において手塚先生に決まりましたね...早速、個人情報保護委員会の委員長のウェブページが更新されていますね...
私が関係する団体でも手塚先生が代表や理事をされていた団体が複数あるので、代表や理事の退任手続き等でいろいろと影響がありました...
手塚先生は以前も民間(日立製作所)出身で、その後東工大、慶應大学の教授を歴任され、その間にも個人情報保護委員をされていたので、一人産官学連携?ですね...
初代の堀部先生が法律系、(2代目)3代目の嶋田さん、丹野さんが消費者系、前任の藤原先生が法律系であったので、初めての情報技術系の委員長ということですね... Identity や Trust に関係する分野に関心が高い方で、慶應大学では、手塚先生の研究室は村井先生の研究室とも近い関係でしたね...
さて、本題ですが...
第323回の個人情報保護委員会が開催され、個人情報等の適正な取扱いに関係する政策の基本原則に沿った政策立案のためのガイダンス(案)が議論されたようですね...
これからの政策立案、政策の実行の段階での重要な考え方になるのでしょうね...個人情報保護委員会を作るというときの議論で、行政の監督が非常に重要なので、八条委員会(いわゆる審議会)ではなく、三条委員会(いわゆる行政委員会)にしないといけないという話をしました。
これから安全保障の議論が高まってきますから、行政機関における個人情報の取り扱いというのは、非常に重要となってきます。行政機関が信頼されなければ、必要な安全保障の政策も進めづらくなることが想定されます。国民に信頼される行政機関となるためにも、このガイダンスとそれを遵守した行政事務の実施というのが非常に重要となってくるのでしょうね...
● 個人情報保護委員会
・2025.05.28 第323回個人情報保護委員会
・・[PDF] 資料2 個人情報等の適正な取扱いに関係する政策の基本原則に沿った政策立案のためのガイダンス(案)
目次...
はじめに
民間規律と公的規律の考え方の違い
基本原則の解説
1.個人情報等の取扱いの必要性・相当性
2.個人情報等の取扱いに関する適法性
3.個人情報等の利用目的との関連性・利用の適正性
4.個人情報等の取扱いに関する外延の明確性
5.個人情報等の取扱いの安全性
6.個人情報等に係る本人関与の実効性
7.個人情報等の取扱いに関する透明性と信頼性
【参考】基本原則との整合性を踏まえた検討の進め方(例)
民間規律と公的規律の考え方の違い...
| 民間規律(法第4章 個人情報取扱事業者等の義務等)の考え方 | 公的規律(法第5章 行政機関等の義務等)の考え方 |
| 個人情報の取扱いに伴う個人の権利利益の保護の必要性は、個人情報を取り扱う主体が行政機関等か個人情報取扱事業者かで異なるものではないが、その取扱いについて、行政機関等と国民との間においては、行政に対する国民の信頼を一層確保することが求められており、また、法律による行政の下に国民一般の利益との調整が重要であるのに対し、私人間においては、企業活動における営業の自由等との調整が問題となるものであること等から、その取扱いについての具体的な規律内容は異なっている。 | |
| ⑴ 個人データに着目した規律 | ⑴ 保有個人情報に着目した規律 |
| 「個人情報データベース等」による個人データの取扱いの危険性に着目し、それを事業の用に供している個人情報取扱事業者に対し、その適正な取扱いを担保するための義務等を規律している。 | 行政機関等の保有する個人情報は、公的信用を背景に収集されるものや取得プロセスにおける義務性・権力性が高いもの、秘匿性が高いものが多いといった特質があり、散在情報を含む「保有個人情報」をその規律の対象としている。 |
| ⑵ 個人情報取扱事業者による適正な取扱い | ⑵ 行政機関等による適正な取扱い |
| 個人情報取扱事業者自身のガバナンスにより法律に定める義務が適切に履行され、当該個人情報取扱事業者から本人への通知・公表・同意取得等により本人による適切な関与・監視を受けつつ、適正な取扱いの実現を期待するという当事者間での自主的な規律を重視する構造となっている。 | 行政機関等自身のガバナンスにより法律に定める義務の適切な履行が期待される点については個人情報取扱事業者と同様である。他方、上記のような保有個人情報の特質を踏まえると、行政機関等は本人による関与・監視を受けにくいと考えられ、また、仮にその取扱いについて本人同意を必須とすると行政目的を達成する上で支障が生じる場合があることから、その規律は、本人同意に必ずしも依拠することとなっておらず、法律による行政の下、法令に定める所掌事務又は業務の遂行に必要かどうかを重視した構造となっている。 |
| したがって、行政機関等は、個人情報の保有に当たっては、法令の定める所掌事務又は業務を遂行するため必要な場合に限り、かつその利用目的をできる限り特定しなければならない(法第61第第1項)とされている。そして、保有個人情報は、そのようにして特定した利用目的のために利用又は提供することが原則とされ(法第69第第1項)、例外として、一定の場合には利用目的以外の目的のために利用又は提供することができることとされている(同第第2項)。本人同意は、利用目的のために利用又は提供する場合には要件とされておらず、例外として認められる事由の1つとして位置付けられている(同項第1号)。なお、その他の例外要件についても、取扱主体たる行政機関等が、個別具体の事情に基づき、「相当の理由」や「特別の理由」を整理すること等により、本人同意の有無に関わらず利用又は提供が可能である(同項第2号~第4号)。 | |
| 他方で、公的規律においては、行政機関等は、情報の提供が行われた後も、提供先での情報の利用・管理について一定の責任を負うこととなっており(法第70第)、提供元である行政機関等の関与によっても適正な取扱いの確保が図られている。 | |
| 民間規律と公的規律の具体的な違い | |
| (1) 利用目的規律 | |
| 民間規律 | 公的規律 |
| 個人情報を取り扱うに当たって利用目的を特定することとされているのみである | 個人情報の保有やその利用目的の特定が法令の定める所掌事務又は業務を遂行するため必要な範囲に限られている |
| 第 17 第(利用目的の特定) | 第 61 第(個人情報の保有の制限等) |
| 個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。 | 行政機関等は、個人情報を保有するに当たっては、法令(第例を含む。第 66 第第2項第3号及び第4号、第 69 第第2項第2号及び第3号並びに第4節において同じ。)の定める所掌事務又は業務を遂行するため必要な場合に限り、かつ、その利用目的をできる限り特定しなければならない。 |
| 2 (略) | |
| 第 18 第(利用目的による制限) | |
| 個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前第の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。 | 2 行政機関等は、前項の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を保有してはならない。 |
| 2・3 (略) | 3 (略) |
| (2) 提供規律 | |
| 民間規律 | 公的規律 |
| 本人同意を取得した上での第三者提供が原則 | 上記の範囲で特定した利用目的のための利用又は提供が原則 |
| 第 27 第(第三者提供の制限) | 第 69 第(利用及び提供の制限) |
| 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。 一~七 (略) | 行政機関の長等は、法令に基づく場合を除き、利用目的以外の目的のために保有個人情報を自ら利用し、又は提供してはならない。 |
| 2~6 (略) | 2~4 (略) |
原則抜き出し...
1.個人情報等の取扱いの必要性・相当性
- 個人情報等の取扱いに関係する政策の企画立案・実施に当たっては、政策目的を明確にした上で、政策目的の実現のために個人情報等の取扱いが必要か否かを検討した上で取り組むことが重要である。
- その上で、個人情報等の取扱いが必要となる場合は、政策目的に照らし、個人情報等の取扱いが必要最小限の範囲内で相当であるか否かを検討した上で取り組むことが重要である。特に、要配慮個人情報等の機微性の高い情報の取扱いが必要となる場合は、より慎重に取り組むことが重要である。
2.個人情報等の取扱いに関する適法性
- 上記1の政策目的を実現するため、個人情報等の取扱いに関し、各主体を広く対象とし、共通する必要最小限のルールを定める一般法たる個人情報保護法による規律で対応可能であるか否か、十分であるか否かを検討した上で取り組むことが重要である。
- その上で、個人情報等の取扱いに関し、政策分野に特有の事情(取り扱う個人情報等の性質及び利用方法等。以下同じ。)に照らして、個人情報保護法上の規律に抵触し当該規律による対応で不可能である場合又は当該規律による対応で可能であるものの不十分である場合には、新規立法含め他の法令等による根拠(適法性)に基づき取り組むことが重要である。
- なお、既存の法令等を根拠とする場合については、当該法令等の制定当時における経緯等の背景、目的及び規定等を踏まえ、個人情報等の取扱いが当該法令等の想定している範囲内であるか否かを検討した上で取り組むことが重要である。
- いずれにしても、基本法たる個人情報保護法に照らし、政策の企画立案・実施に当たり、取り扱われる個人情報等に係る本人のプライバシーを含む権利利益の保護が確保されることが重要である。
3.個人情報等の利用目的との関連性・利用の適正性
- 個人情報等の利用目的は、個人情報等の取扱いに関する規律の要となるものであり、できる限り特定することが必要である。
- 個人情報等の取扱いに関係する政策の企画立案・実施に当たっては、政策目的の実現のために取扱いが必要となる個人情報等について、利用目的が政策目的と関連するものであるか否かを検討した上で取り組むことが重要である。
- また、取り扱われる個人情報等について、違法又は不当な行為の助長又は誘発のおそれがある方法により利用されないよう、政策を企画立案・実施することが必要である。
4.個人情報等の取扱いに関する外延の明確性
- 一般法たる個人情報保護法による規律の適用範囲を確定し、個人情報等の取扱いが本人の権利利益に与えるリスクに応じた必要かつ適切な安全管理措置を講ずるためには、取り扱われる個人情報等、個人情報等を取り扱う主体や場所等に関する外延を特定し、同法に規定する用語及びその定義に則り、これを明確化することが重要である。
- また、以上に当たっては、政策分野に特有の事情に照らして、新規立法含め他の法令等による規律の適用が必要であるか否かを検討しつつ取り組むことが重要である。
5.個人情報等の取扱いの安全性
- 上記4を踏まえ、個人情報等が漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、各主体の事業、事務又は業務の規模及び性質、個人情報等の取扱状況(取り扱う個人情報等の性質及び量を含む。)、個人情報等を記録した媒体の性質等に起因するリスクに応じて、必要かつ適切な安全管理措置を検討した上で取り組むことが重要である。
- また、以上に当たっては、政策分野に特有の事情に照らして、漏えい等の報告等に関する事業所管大臣等に対する個人情報保護委員会から権限の委任や、新規立法含め他の法令等に基づく措置が必要であるか否かを検討しつつ取り組むことが重要である。
6.個人情報等に係る本人関与の実効性
- 上記取組の実効性を高めつつ、個人情報等のデータに関するリテラシーを向上するため、個人情報等に係る本人が自らの意思に基づいてコントロールするという意識を涵養するという観点から、個人に寄り添った取組が重要である。
- また、以上に当たっては、政策分野に特有の事情に照らして、新規立法含め他の法令等による対応が必要であるか否かを検討しつつ取り組むことが重要である。
7.個人情報等の取扱いに関する透明性と信頼性
- 個人情報等の取扱いに当たっては、事後における対処療法的な対応ではなく、プライバシーを含む個人の権利利益の保護を事業等の設計段階で組み込み、事後の改修等費用の増嵩や信用毀損等の事態を事前に予防する観点から、全体を通じて計画的にプライバシー保護の取組を実施する「プライバシー・バイ・デザイン(Privacy by Design)」の考え方が重要である。
- 個人情報等の取扱いの透明性と信頼性を確保する観点から、個人情報等に係る本人の権利利益に対するリスク、本人や社会等にとって期待される利益等を明確にし、本人を含むマルチステークホルダーに対する説明責任を果たすため、プライバシー・バイ・デザインの考え方を踏まえたデータガバナンスの体制を構築することが重要である。
- また、以上に当たっては、政策分野に特有の事情に照らして、認定個人情報保護団体制度の活用や、新規立法含め他の法令等による体制が必要であるか否かを検討した上で取り組むことが重要である。
« デジタル庁 DS-920 行政の進化と革新のための生成AIの調達・利活用に係るガイドライン (2025.05.27) | Main | IPA セキュリティ要件適合評価及びラベリング制度(JC-STAR)適合製品の公開 (2025.05.21) »
Comments