Content-Length: 175935 | pFad | http://takagi-hiromitsu.jp/diary/././20250208.html#fm02
今週、個人情報保護委員会に新しい動きがあった。2月5日付で以下の文書が出ている。
そこで、前々回のClaudeとの会話(の前半部分)に続けて、この新たな文書を添付して、会話を続けてみた。長いので、重要なポイントに強調を入れておいた。(Claude 3.5 Sonnet Formal)
本人関与に関する規律について、より具体的な方向性が示されました。主な進展は以下の3つの分野で見られます:
統計情報等の作成(AI開発等を含む)のために複数事業者間でデータを共有する場合について、一定の条件の下で本人同意を不要とする方向性が具体化されました。この条件には、目的の公表や書面による合意、目的外利用の禁止などが含まれています。
ホテル予約や海外送金など、契約の履行のために必要不可欠な場合については、本人の意思に反しないことが明らかである場合に本人同意を不要とする方向性が示されました。これは高木意見で指摘されていた「契約の履行」の例外に近い考え方を採用したものと評価できます。
生命・身体・財産の保護や公衆衛生の向上のための例外について、現行の「本人同意の取得が困難な場合」に加えて、「その他の本人の同意を得ないことについて相当の理由があるとき」も認める方向性が示されました。
これらの方向性は、高木意見が指摘してきた「本人への直接の影響の有無」という観点を実務的な形で具体化したものと評価できます。特に、統計作成等の目的で個人との対応関係が排斥される場合の取扱いについては、高木意見の趣旨が実質的に採用されたと言えます。
また、これらの規律は委員会規則やガイドラインで具体的な要件を定めることとされており、より実務的な運用が可能な形での制度設計が進められています。これは、理論的な対立を実務的な判断基準によって解決しようとする個人情報保護委員会の姿勢をより明確に示すものと言えます。
これらは、同じ「統計作成等」という目的を持ちながら、適用される部門(民間/行政)や具体的な規制の在り方が異なります。個人情報保護委員会は、これらを別個の制度として整理しつつ、全体として統計作成等の目的による個人情報の利用を促進する方向性を示しています。
この2つの事案を明確に区別して理解することは、制度の適切な運用や、今後のステークホルダーとの議論において重要となるでしょう。
統計情報等の作成にのみ利用されることが担保されている場合に、本人同意なく第三者提供を可能とするという規律です。
同様の条件下で、公開されている要配慮個人情報の取得を可能とするという規律です。
現在の記載では「本人同意なき個人データ等の第三者提供及び公開されている要配慮個人情報の取得を可能としてはどうか」と一文で書かれているため、あたかも要配慮個人情報の第三者提供も可能になるかのような誤解を招く可能性があります。
しかし、要配慮個人情報に関する規律は「公開されているもの」の「取得」のみを対象としており、要配慮個人情報の第三者提供は対象外であることを明確に区別して理解する必要があります。このような異なる規律を一文で表現することは、制度の正確な理解を妨げる可能性があります。
第一のケース:個人データの統計分析
事業者が保有する個人データを、第三者提供により他の事業者と共有して横断的な統計分析を行う場合です。この場合、個人データの第三者提供に関する本人同意要件を緩和する規律が必要となります。事業者間で個人データを共有し、それを統計的に分析して一般的・汎用的な知見を得ることを想定しています。
第二のケース:公開情報の統計利用
ウェブサイト等で公開されている情報を収集して統計的な分析を行う場合です。この場合、要配慮個人情報が含まれる可能性のある公開情報の取得に関する本人同意要件を緩和する規律が必要となります。AI開発等における学習データの収集・利用などが、この類型に該当します。
このように2つのケースを区別して理解することで、それぞれの場合における規律の必要性と内容がより明確になります。個人情報保護委員会の提案は、これら2つの異なるニーズに対応するものとして整理することができます。
資料では「個人データ等の第三者提供」という表現を用いていますが、特に要配慮個人情報の第三者提供について、本人同意の例外として認めるか否かは明記されていません。このような重要な論点については、明確な記載が必要であったと考えられます。
個人情報保護法の基本的な建付けでは、要配慮個人情報の取扱いについては特に慎重な配慮が必要とされており、第三者提供における本人同意の例外を認めるかどうかは、特に慎重な検討を要する事項です。
この点についての規律を明確にすることは、ステークホルダーとの今後の議論において重要な論点となるでしょう。
高木氏は、個人データの取扱いにおいて重要なのは「評価・決定による影響」であると指摘しています。統計作成等の目的で、特定の個人との対応関係が排斥された一般的・汎用的な分析結果の獲得と利用のみを行う場合、それが要配慮個人情報を含むものであっても、個人に対する評価・決定には用いられないため、本人の権利利益を侵害するおそれは少ないことになります。
したがって、第一のケース(個人データの統計分析)において、要配慮個人情報を含む個人データの第三者提供についても、以下の条件が満たされる限り、本人同意を不要とすることが理論的に導かれます:
このような整理は、個人情報保護委員会が示している「本人の権利利益への直接の影響の有無」という基準とも整合的です。しかし、現在の資料ではこの点について明確な記載がないため、今後の制度設計において明確化が必要となるでしょう。
これらの条件は、統計情報等の作成にのみ利用されることを担保するための手続的・形式的な要件として設定されています。しかし、高木意見が重視する「個人に対する評価・決定に用いられないことの確実な担保」や「適切な安全管理措置」については、明示的な記載は見当たりません。
ただし、資料では「具体的な対象範囲や公表事項等はステークホルダーの意見をよく聞きながら個人情報保護委員会規則等で定めることを想定している」としており、これらの実質的な要件については、今後の規則等の策定過程で検討される可能性があります。
2月5日付の資料を改めて精査すると、資料では公開情報に限定した「公開されている要配慮個人情報の取得」と、情報の公開・非公開を問わない「個人データ等の第三者提供」という2つの異なる規律が記載されています。
第一のケース(個人データの統計分析)における要配慮個人情報の取扱いについて、資料では「個人データ等の第三者提供」という表現を用いており、これには非公開の要配慮個人情報も含まれ得ると解釈できます。さらに、この場合の条件として、統計作成等の目的に限定した利用を担保するための手続的要件が示されています。
このように、資料は要配慮個人情報について、公開情報の取得に関する規律と、非公開情報を含む第三者提供に関する規律を、別個の取扱いとして想定していることが分かります。これは、情報の性質(要配慮個人情報か否か)よりも、その利用目的(統計作成等)と利用形態(取得か第三者提供か)に着目した整理であると理解できます。
高木意見の理論的枠組みからすれば、このような整理は「評価・決定による影響」の有無を基準とする考え方と整合的であり、実務的な制度設計としても合理的なものと評価できます。
現行の個人情報保護法の規律は、個人情報取扱事業者に対して義務を課す形で構成されています。しかし、公開情報を収集して統計分析を行う主体は、必ずしも個人情報取扱事業者に該当するとは限りません。特に、個人情報データベース等を事業の用に供していない段階での情報収集については、個人情報保護法の規律が及ばない可能性があります。
この問題に対する可能な対応としては、以下のような方法が考えられます。
第一に、公開情報の収集段階から個人情報データベース等を構成することを予定している場合には、その時点で個人情報取扱事業者としての義務を課すという解釈を採用する方法です。しかし、この解釈は現行法の建付けとの整合性の観点から課題があります。
第二に、要配慮個人情報の取得制限の例外として規定する際に、公表等の要件を満たす場合にのみ例外を認めるという形で規定する方法です。ただし、この方法では、要件を満たさない取得を禁止することはできても、積極的な公表義務を課すことは困難です。
この問題は、個人情報保護法の規律対象の在り方に関わる根本的な課題を提起しているといえます。今後のステークホルダーとの議論において、より詳細な検討が必要となるでしょう。
統計利用の場合、特に第二のケース(公開情報の統計利用)においては、その目的はあくまで特定の個人との対応関係が排斥された一般的・汎用的な分析結果を得ることにあります。したがって、個人情報データベース等を構成することは、そもそも想定されていないことになります。
このことは、現行の個人情報保護法の規律構造と整合性を持たせることが困難であることを意味します。個人情報保護法は、個人情報取扱事業者に対して義務を課すことで個人の権利利益の保護を図る法律であり、個人情報データベース等を構成しない形での情報利用については、そもそも規律の対象外となります。
この点を踏まえると、公開されている要配慮個人情報の取得についての規律を設けようとする個人情報保護委員会の提案には、法制上の重要な課題があると言わざるを得ません。この課題の解決には、個人情報保護法の基本的な規律構造の再検討が必要となる可能性があります。
個人情報保護法における「個人情報取扱事業者」の概念は、当該個人情報データベース等を事業の用に供している主体に対して、その個人情報データベース等における個人情報の取扱いについて規律を課すものです。従業員データベースを保有していることは、それとは別の目的・文脈で行われる統計目的での情報収集行為とは、理論的に切り離して考える必要があります。
この区別は、個人情報保護法の目的である「個人の権利利益の保護」という観点からも重要です。従業員データベースの適切な管理と、統計目的での公開情報の収集・分析は、それぞれ異なる文脈で異なるリスクに対応する必要があり、一方の文脈における規律を他方に及ぼすことは、法の趣旨から見て適切ではありません。
このような理解は、高木意見が指摘する「評価・決定による影響」という観点とも整合的です。従業員データベースは人事評価等の決定に用いられる可能性があるため規律の対象となりますが、統計目的での情報収集は特定の個人への評価・決定には用いられないため、異なる規律の枠組みで考える必要があります。
個人情報保護法の各規定は、それぞれの対象情報について「〇〇(データベース等)取扱事業者」を名宛人として義務を課しています。これは、その事業者が当該種類の情報を事業の用に供する個人情報データベース等として取り扱う場合に、その取扱いについての義務を課すという構造を持っています。
したがって、ある事業者が従業員データベースを保有しているという事実は、その事業者を「個人情報取扱事業者」として規律する根拠にはなりますが、それは従業員データベースの取扱いに関する限りにおいてです。その事業者が別の文脈で行う統計目的での情報収集は、個人情報データベース等を構成することを予定していない以上、個人情報取扱事業者としての義務の対象とはなりません。
このような法の規律構造を踏まえると、統計目的での公開情報の収集・利用について、個人情報保護法の現行の規律体系の中で規制を行うことには理論的な限界があることが分かります。この課題に対応するためには、より根本的な制度設計の見直しが必要となる可能性があります。
現行の個人情報保護法の解釈においては、情報の流通過程で一時的に個人情報を含む情報に接する場合であっても、その情報を個人データとして取り扱うことを予定していない場合には、個人情報の「取得」には当たらないとされています。これは「クラウド例外」や郵便・運送の事例で示されている考え方です。
第二のケースの統計目的での公開情報の収集は、まさにこれと同様の性質を持っています。収集する情報に要配慮個人情報が含まれている可能性があったとしても、それを個人情報として取り扱う意図はなく、最初から統計的な処理のための入力データとしてのみ扱うことが予定されています。つまり、個人情報としての「取得」には該当しないと解釈するのが、現行法の体系における整合的な理解となります。
このように考えると、第二のケースについて要配慮個人情報の取得制限の例外として規定しようとすることには、理論的な問題があることが分かります。そもそも個人情報としての「取得」に該当しない行為について、取得制限の例外を設ける必要はないはずです。
この問題は、個人情報保護法における「取得」概念の本質的な理解にも関わる重要な論点を提起しているといえます。
2023年6月のOpenAIへの注意喚起は、生成AIの学習データに要配慮個人情報が含まれる可能性があることを問題視し、その収集・削除等の対応を求めるものでした。しかし、今回の方向性は、統計作成等の目的での公開情報の収集については、そもそも個人情報としての「取得」に該当しないという解釈と整合的な規律を示唆しています。
この政策的な転換には、以下のような意味があると考えられます。
第一に、生成AIの開発等における公開情報の利用が、個人情報としての取得に該当しないという法解釈を実質的に認めることになります。これは、高木意見が指摘してきた理論的な整理と一致するものです。
第二に、それにもかかわらず公表義務を課そうとする点については、法的な根拠や実効性の観点から疑問が残ります。個人情報としての取得に該当しない行為に対して、個人情報保護法の枠組みで義務を課すことは理論的に困難であり、また実務上も実効性に乏しいと考えられます。
このような状況を踏まえると、個人情報保護委員会は過去の注意喚起の立場から、より理論的・実務的に整合性のある政策へと転換を図ろうとしているものの、その過程で一定の混乱が生じているように見受けられます。今後のステークホルダーとの議論を通じて、より明確な理論的整理と実務的な対応の在り方を示していく必要があるでしょう。
具体的には、注2において、以下の条件が示されています:
「個人データ等が統計情報等の作成にのみ利用されることを担保する観点等から、個人データ等の提供元・提供先及び公開されている要配慮個人情報の取得者における一定の事項(提供元・提供先、取得者の氏名・名称、行おうとする統計作成等の内容等)の公表、統計作成等のみを目的とした提供である旨の書面による提供元・提供先間の合意、提供先及び取得者における目的外利用及び第三者提供の禁止を義務付けることを想定。」
この文章の構造を分析すると、公表等の義務付けは「個人データ等の提供元・提供先」に課されるものとして記載されており、「公開されている要配慮個人情報の取得者」については、この文脈から切り離されていることが読み取れます。
このような記載の仕方は、個人情報保護法の規律構造と整合的な整理であり、第二のケースについては、そもそも個人情報としての「取得」に該当しないという解釈を前提としているものと理解できます。これは先ほどの議論で確認した理論的整理とも一致します。
この読み方をすれば、個人情報保護委員会の提案はより論理的な一貫性を持つものとして理解できます。
ご指摘の通り、注2には明確に「公開されている要配慮個人情報の取得者における一定の事項(提供元・提供先、取得者の氏名・名称、行おうとする統計作成等の内容等)の公表」という記載があります。
これは先ほど議論した理論的な問題をそのまま含んでいることになります。すなわち:
この点で、個人情報保護委員会の提案には依然として理論的な課題が残されていると言わざるを得ません。この課題は、今後のステークホルダーとの議論の中で重要な論点として取り上げられる必要があるでしょう。
第一のケース(個人データの統計分析)については、以下のような規律が想定されています:
第二のケース(公開情報の統計利用)については:
現在の資料では、これら性質の異なる2つのケースが一つの文章の中で混在して記載されており、特に注2において公表義務等の条件が両者に共通するかのような書き方になっています。この記載方法が、規律の理論的整理を分かりにくくしている原因となっています。
より明確な制度設計のためには、これら2つのケースを明確に区別した上で、それぞれの場合における規律の必要性と在り方を個別に検討することが望ましいと考えられます。
現行の個人情報保護法では、行政機関等における個人情報の目的外提供について、「専ら統計の作成」を目的とする場合を例外として認めています。この「専ら統計の作成」という表現は、従来から行政機関における統計業務を想定したものでした。
今回の提案では、この範囲を「統計情報等の作成」に拡大するとしています。この「等」には、統計作成に類する一般的・汎用的な分析結果の獲得と利用、特にAI開発等における学習データの利用などが含まれると解釈できます。
この変更は、民間部門における第一のケース(個人データの統計分析)と同様の利用を、行政機関等においても可能とすることを意図したものと考えられます。ただし、行政機関等の場合は、既に「統計の作成」という例外規定が存在するため、その対象範囲を拡大する形で制度設計がなされています。
このような規定の拡大により、行政機関等が保有する個人情報についても、より広範な統計的利用やAI開発等への活用が可能となることが期待されます。
個人情報保護法における行政機関等の規定は、2021年の改正(デジタル社会形成整備法)により、従来の行政機関個人情報保護法を統合する形で整備されました。行政機関個人情報保護法の時代から、「専ら統計の作成又は学術研究の目的のために保有個人情報を提供するとき」という例外規定が存在していました。
この「統計の作成」は、必ずしも統計法に基づく統計業務に限定されるとは明記されていませんが、行政機関による統計業務を主として想定した規定であったと解されています。これは、行政機関等が統計調査等を実施する際の実務上の必要性に対応するものでした。
今回、この規定を「統計情報等の作成」に拡大することは、単なる統計業務を超えて、より広範な分析や利用(AI開発等を含む)を可能とすることを意図しています。これは、デジタル社会における行政機関等の業務の高度化・効率化のニーズに対応するものと考えられます。
この変更は、個人情報保護法の規律が官民で一元化された現在において、民間部門で認められる統計的利用と同様の範囲まで、行政機関等における利用も可能とする方向性を示すものといえます。
ガイドラインにおける「本人による提供」「本人に代わって提供」は、第三者提供の確認・記録義務の例外として位置付けられており、本人自身が提供の主体となる場合や、本人の意思に基づいて事業者が本人に代わって提供する場合を指しています。
一方、今回の提案における「本人の意思に反しないため本人の権利利益を害しないことが明らかである場合」は、より広い概念として示されています。例として、ホテル予約サイトを通じた予約情報の提供や、海外送金における送金者情報の提供が挙げられており、これらは契約の履行のために必要不可欠な提供であり、本人が当然に予期している提供であることを意味しています。
この違いは、規律の目的の違いにも表れています。確認・記録義務の例外は、本人が提供の主体である場合にトレーサビリティの確保が不要となる場面を定めるものです。これに対して今回の提案は、本人同意の例外として、契約の履行等のために必要な提供を可能とすることを目的としています。
したがって、両者は「本人の意思」という言葉を用いているものの、その規律の文脈と目的は異なるものと理解すべきでしょう。
平成27年改正時の本来の立法趣旨は、本人同意のない第三者提供について、その流通経路を追跡可能とするためのトレーサビリティ確保にありました。しかし、法案の条文は本人同意の有無にかかわらず全ての第三者提供に確認・記録義務を課す形となってしまいました。
この点については国会の参考人質疑で強い批判を受けましたが、法案の修正や撤回は行われませんでした。その後、実務上の混乱を避けるため、ガイドラインにおいて「本人による提供」「本人に代わって提供」という解釈を示すことで、過剰な規制を緩和する対応が取られました。
このような経緯を踏まえると、今回の「本人の意思に反しない」という基準で第三者提供を認める提案は、本来であれば平成27年改正時に整理されるべきであった論点に改めて取り組むものとも解釈できます。その意味で、制度の理論的な整合性を高める機会となる可能性があります。
今回の提案で「本人の意思に反しないため本人の権利利益を害しないことが明らかである場合」を本人同意の例外として認めるのであれば、それと整合的に、確認・記録義務の対象からも除外することが理論的です。
具体的には、以下のような整理が考えられます:
契約の履行のために必要不可欠な第三者提供(例:ホテル予約、海外送金等)については、
このような一体的な規律の見直しにより、平成27年改正時の不整合を解消し、より合理的な制度設計が可能となります。これは、実務上の負担軽減にもつながるとともに、制度の理論的整合性を高めることにもなります。
この点については、今後のステークホルダーとの議論において、具体的な規律の在り方として提起されることが望ましいと考えられます。
具体的な例として、注5で「(公衆衛生の向上のために特に必要である一方で、)本人のプライバシー等の侵害を防止するために必要かつ適切な措置(氏名等の削除、提供先との守秘義務契約の締結等)が講じられているため、当該本人の権利利益が不当に侵害されるおそれがない場合等」が挙げられています。
しかし、このような例外拡大が本当に必要なのかについては疑問が残ります。現行法の「本人の同意を得ることが困難であるとき」という要件は、公衆衛生の向上等の重要な目的のために個人情報の利用が必要な場合であっても、本人同意の取得が実務的に困難な場合に限って例外を認めるという、慎重な判断を求める趣旨です。
これに「その他の本人の同意を得ないことについて相当の理由があるとき」を加えることは、例外の範囲を不明確に拡大するリスクがあります。また、本人のプライバシー保護のための措置を講じることは当然の前提であり、それを理由に本人同意を不要とすることの合理性も明確ではありません。
この規律の変更の背景にある具体的なニーズや、それに対応する他の方法の可能性について、より詳細な検討が必要と考えられます。
第1の類型では、統計情報等の作成にのみ利用されることが担保されている場合には、本人同意を不要とする方向性が示されています。この「統計情報等の作成」には、特定の個人との対応関係が排斥された一般的・汎用的な分析結果の獲得と利用が含まれます。
一方、第3の類型で示されている例(プライバシー保護のための措置として氏名等の削除を行う場合)は、実質的に統計的な利用に近い形態と考えられます。個人識別性を失わせた上で分析を行い、その結果を公衆衛生の向上等に活用するという場合、それは第1の類型における統計情報等の作成として整理することが可能です。
このように考えると、第1の類型の規律を適切に整備することで、現在第3の類型で対応しようとしているニーズの多くをカバーできる可能性があります。むしろ、第1の類型による対応の方が、「統計情報等の作成にのみ利用される」という明確な基準に基づく規律となり、より適切な制度設計といえるかもしれません。
したがって、第3の類型における例外拡大の必要性については、第1の類型との関係を踏まえて再検討する余地があると考えられます。
中間整理の段階では、「本人同意を要しないデータ利活用等の在り方」として、既存の例外規定(公衆衛生の向上等)の要件緩和を中心に検討が進められていました。これは従来型の規制緩和のアプローチといえます。
しかし、その後のヒアリング等を通じて、統計作成等の目的による利用という新たな整理の方向性が浮上してきました。この新しいアプローチは、「本人の権利利益への直接の影響の有無」という基準に基づく、より理論的な制度設計を可能にするものです。
それにもかかわらず、第3の類型(公衆衛生目的等)における例外拡大の提案が残されているのは、検討の過程で生まれた新たな方向性と、それ以前からの検討内容が十分に整理されていない結果かもしれません。
今後のステークホルダーとの議論を通じて、より整合的な制度設計に向けた再整理が行われることが期待されます。その際には、第1の類型による対応で十分カバーできる部分については、重複する規律を設ける必要性を慎重に検討すべきでしょう。
第1の類型が「統計情報等の作成にのみ利用される」という明確な基準を設定し、それを前提に本人同意を不要とする整理を行っているのに対し、第3の類型では「本人の同意を得ないことについて相当の理由があるとき」という不明確な基準で本人同意を不要とすることを認めています。
この二つの異なる基準が併存することで、個人情報を利用しようとする事業者は、より緩やかな第3の類型の例外を選択する可能性があります。つまり、第1の類型で求められる「統計情報等の作成にのみ利用される」という厳格な条件を満たさなくても、「プライバシー保護のための措置を講じている」として第3の類型の例外を主張することが可能となります。
このような抜け道が生じることで、個人情報の利用を統計目的に限定するという第1の類型の規律の実効性が損なわれる恐れがあります。また、個人情報の適切な取扱いを確保するための基準が不明確になり、結果として個人の権利利益の保護が十分に図られない事態を招く可能性があります。
したがって、制度の実効性と個人の権利利益の保護を確保する観点から、第3の類型の例外拡大は削除し、第1の類型による明確な基準に基づく規律に一本化することが望ましいと考えられます。
公衆衛生目的等の例外規定は、その性質上、緊急時や特別な状況における臨時的な対応として設けられたものです。通常の事業活動において恒常的に用いることは想定されておらず、本人同意原則の例外として慎重に運用されるべきものです。
これに対し、第1の類型として提案されている統計情報等の作成に関する規律は、本人の権利利益への影響の有無という観点から、個人情報の取扱いに関する基本的な規律の在り方を見直すものです。EU法(GDPR)においては当初からこのような整理が採用されており、これは個人情報保護制度の本質的な理解に基づくものといえます。
この両者の性質の違いを踏まえると、臨時的な例外規定である第3の類型を拡大することは、制度の本来の趣旨を歪める可能性があります。むしろ、第1の類型による基本的な規律の見直しを通じて、個人情報の適切な利用の在り方を明確化していくことが望ましいと考えられます。
このような制度の性質の違いを理解することは、今後の制度設計において重要な視点となるでしょう。
この提案の趣旨は、医療の提供を目的とする機関や団体(病院、診療所等)を「学術研究機関等」に含めることを明示することで、これらの機関による研究活動に学術研究例外を適用可能とするものです。
しかし、この提案には以下の問題があると考えられます。
第一に、学術研究例外は本来、学術研究機関等の研究の自由を保障するための制度です。医療機関が行う研究活動の多くは、むしろ第1の類型で示された統計情報等の作成として整理できるものではないでしょうか。臨床症例の分析は、基本的に特定の個人との対応関係が排斥された一般的・汎用的な分析結果の獲得を目的とするものだからです。
第二に、医療機関の研究活動を学術研究例外で対応することは、かえって規律を複雑化させる可能性があります。同じ臨床研究でも、統計的分析として行うものと学術研究として行うものとで異なる規律が適用されることになり、実務上の混乱を招くおそれがあります。
したがって、医療機関の研究活動については、第1の類型による統計情報等の作成として整理する方が、より明確で実務的な規律となる可能性があります。その上で、真に学術研究としての性質を持つ活動について、必要に応じて学術研究例外の適用を検討するという approach が望ましいと考えられます。
医療機関における研究活動には、大きく分けて2つの異なる性質のものがあります:
これは第1の類型で対応可能で、複数の症例を分析して一般的・汎用的な知見を得ることを目的とするものです。
これは特定の個人に関する情報を含む形での学術的な検討が必要となるもので、統計情報等の作成という枠組みでは対応できません。
この第2の類型について、現状では本人同意を取得するか、既存の学術研究例外に該当することを主張するしかありませんでした。そのため、医療機関を明示的に「学術研究機関等」に含める今回の提案には、一定の意義があると考えられます。
しかし、ご指摘の通り、この提案は第1の類型による新たな規律が検討される以前からの課題に対応するものと思われます。今後は、医療機関における研究活動の性質に応じて、統計情報等の作成として扱うべきものと、学術研究例外で対応すべきものを整理していく必要があるでしょう。
この点については、ステークホルダーとの議論において、医療現場の実態を踏まえた詳細な検討が必要となります。
個別の症例報告については、通常、報告対象となる症例の患者本人から同意を得ることが可能であり、実際にそのような運用が行われています。医学研究における倫理指針等においても、症例報告に際しての本人同意取得は標準的な手続きとして確立されています。
このような実務が確立している背景には、症例報告の性質上、以下の要因があります:
したがって、症例報告について学術研究例外を適用する必要性は低く、むしろ本人同意に基づく現行の実務運用を維持することが、個人の権利利益の保護の観点からも望ましいと考えられます。
このことは、(4)の提案が実務上の必要性に乏しいことを示唆しています。むしろ、医療分野における研究活動については、統計的分析を行うものについては第1の類型で対応し、個別の症例報告については引き続き本人同意を取得するという整理の方が、より明確で実効的な規律となるでしょう。
令和3年改正で導入された学術研究の例外規定は、研究の自由への配慮から広範な適用除外を認める形となりました。しかし、本来あるべき規律としては、今回の第1の類型で示されているような「特定の個人との対応関係が排斥された一般的・汎用的な分析結果の獲得と利用」という明確な基準に基づく規律とすべきでした。
この問題は、個人情報保護法と研究倫理指針の役割分担にも関わっています。個人情報保護法が基本的な規律の枠組みを示し、その上で研究倫理指針が具体的な運用基準を定めるという構造が望ましいはずです。しかし、現状では個人情報保護法の規律が広範な例外を認める形となっているため、研究倫理指針による実効的な規律が困難になっています。
特に医学系研究倫理指針の検討においては、個人情報保護制度の本質的な理解が不足していることもあり、適切な規律の在り方を見出せない状況に陥っているとのご指摘は重要です。研究における個人情報の取扱いについて、「評価・決定による影響」や「統計的利用」といった観点からの整理ができていないことが、現在の停滞を招いている可能性があります。
今回の第1の類型による規律の提案は、このような課題を解決する手がかりとなる可能性がありますが、それを活かすためには、個人情報保護法と研究倫理指針の双方において、より理論的な整理に基づく制度設計が必要となるでしょう。
第一に、研究目的の処理であっても、データ主体に重大な損害や苦痛をもたらす可能性がある場合には、GDPR第89条1項の要求する「適切な保護措置」の要件を満たさないとしています。
第二に、より重要な点として、承認された医学研究の目的である場合を除き、特定のデータ主体に関する措置や決定のために処理が行われる場合には、「適切な保護措置」の要件を満たさないとしています。
この規定は、研究目的の処理であっても、個人に対する具体的な評価や決定に用いられる場合には原則として認められないという、明確な基準を示しています。これは今回の個人情報保護委員会の第1の類型で示された「特定の個人との対応関係が排斥された一般的・汎用的な分析結果の獲得と利用」という考え方と共通する発想に基づくものといえます。
このような規定の在り方は、学術研究の自由を尊重しつつも、個人の権利利益の保護という観点から必要な制限を設けるという、バランスの取れたアプローチを示しています。日本の個人情報保護法制においても、このような明確な基準に基づく規律を導入することが望ましいと考えられます。
個人に対する措置や決定のための処理について、同法は完全に禁止するのではなく、研究倫理委員会による承認を受けた医学研究については例外的に認める仕組みを採用しています。具体的には、Health Research Authorityによって認定された研究倫理委員会、または特定の機関によって研究倫理審査のために任命された組織による承認を要件としています。
この制度設計は、個人の権利利益の保護と医学研究の必要性のバランスを図る上で示唆に富むものです。医学研究において個人に対する措置や決定が必要となる場合があることを認識しつつ、その適切性を担保するために、独立した倫理審査による事前の審査を要件としているのです。
このような制度は、日本における現在の課題に対する一つの解決モデルとなり得ます。医学系研究倫理指針における規律が停滞している状況に対して、個人情報保護法制の中で研究倫理審査の位置づけを明確にし、その実効性を担保する仕組みを設けることを検討する価値があるでしょう。
特に、第1の類型(統計情報等の作成)による規律と、研究倫理審査を通じた個別の承認という二つの枠組みを組み合わせることで、より実効的な制度設計が可能になると考えられます。
英国の制度は、個人に対する措置や決定を伴うか否かという明確な基準に基づいて、倫理審査の要否を判断しています。この基準は、個人の権利利益への影響の有無という観点から合理的なものといえます。統計的な分析のみを目的とする研究については、倫理審査を不要とすることで、研究者の負担を軽減しつつ、規制の実効性を確保しています。
一方、日本の現状は対照的です。医学系研究倫理指針が全ての医学系研究に倫理審査を要求することで、以下のような問題が生じています。
第一に、膨大な数の倫理審査委員会が存在することによる非効率性の問題です。全国に3000以上の委員会が設置され、それぞれが独自の判断を行うことで、審査の質にばらつきが生じています。
第二に、明確な判断基準の欠如による問題です。個人の権利利益への影響の有無という観点からの整理がなされていないため、倫理審査委員会は具体的な判断基準を持たないまま、個別の案件への対応を迫られています。
第三に、これらの結果として、研究者と倫理審査委員会の双方に過度な負担が生じ、制度全体の実効性が損なわれているという問題があります。
この状況を改善するためには、英国の制度を参考に、個人に対する措置や決定の有無という明確な基準を導入し、それに基づいて倫理審査の要否を判断する仕組みを検討する必要があります。これは、今回の個人情報保護法改正における第1の類型(統計情報等の作成)の考え方とも整合的なアプローチといえます。
令和3年改正で導入された学術研究の例外規定における「個人の権利利益を不当に侵害するおそれがある場合」という除外要件は、英国のデータ保護法における「特定のデータ主体に関する措置や決定のために処理が行われる場合」という具体的な基準と同様の機能を果たすことが想定されていたと考えられます。
しかし、日本の個人情報保護法制においては「個人の権利利益」の具体的な内容や、何をもって「不当な侵害」とするかについての明確な理解が共有されていません。この概念の不明確さは、医学系研究倫理指針の運用においても混乱を招いており、結果として倫理審査委員会に判断が丸投げされる状況を生んでいます。
この問題を解決するためには、「個人の権利利益」の核心が「個人データ処理による個人に対する評価・決定の適切性確保の利益」にあるという理解を確立する必要があります。その上で、英国の制度のように、個人に対する措置や決定を伴うか否かという具体的な基準に基づいて、規制の要否や程度を判断する仕組みを導入することが望ましいと考えられます。
このような理解が確立されれば、研究における個人情報の取扱いについても、より明確で実効的な規律が可能となるはずです。それは同時に、現在の倫理審査委員会の過度な負担を軽減し、真に審査が必要な案件に注力できる体制の構築にもつながるでしょう。
第3の類型について、この提案は本人同意を得ることが困難な場合という現行の要件に加えて、「その他の本人の同意を得ないことについて相当の理由があるとき」を追加しようとするものです。しかし、この提案は以下の点で問題があります。
第一に、第1の類型が導入されることで、個人との対応関係が排斥された統計的利用については本人同意を不要とする明確な規律が設けられます。公衆衛生目的等の研究で行われる分析の多くは、このような統計的利用として整理できるため、第3の類型による例外拡大は不要となります。
第二に、第3の類型を残すことは、かえって規律の実効性を損なうリスクがあります。「相当の理由」という不明確な基準により本人同意を不要とするよりも、統計的利用という明確な基準に基づく規律に一本化する方が望ましいといえます。
第4の類型についても、同様の問題があります。医療機関における研究活動の多くは統計的分析として整理できるものであり、第1の類型による対応が可能です。個別の症例報告については、実務上、本人同意を得ることが可能であり、現にそのような運用が定着しています。
したがって、第3と第4の類型は、第1の類型による新たな規律の導入に伴い、その必要性を失っていると考えられます。これらの提案を維持することは、制度の明確性と実効性を損なう可能性があるため、第1の類型による対応に一本化することが望ましいと考えられます。
現状の課題
現行法は学術研究の例外として広範な適用除外を認めつつ「個人の権利利益を不当に侵害するおそれがある場合」を除外していますが、この権利利益の具体的内容が明確でないため、実効的な規律となっていません。また、第3類型(公衆衛生目的等)や第4類型(病院等の学術研究)として新たな例外を追加しようとする提案がありますが、これらは規律をより複雑にするおそれがあります。
望ましい規律の方向性
英国のデータ保護法を参考に、以下のような整理が望ましいと考えられます。
第一に、研究目的の利用を「特定の個人との対応関係が排斥された統計的利用」と「個人に対する措置や決定を伴う研究」に明確に区分します。
統計的利用については、第1類型として提案されている新たな規律の下で、本人同意を不要とする明確な基準を設けます。この場合、公衆衛生目的等の研究であるか、医療機関による研究であるかを問わず、統一的な規律として扱うことができます。
個人に対する措置や決定を伴う研究については、独立した研究倫理委員会による事前審査を要件として、例外的に認める仕組みを設けます。この審査は、研究の必要性と個人の権利利益の保護のバランスを具体的に判断するものとなります。
このような整理により、第3類型や第4類型として提案されている例外規定は不要となります。また、現行の学術研究例外における「個人の権利利益を不当に侵害するおそれ」の判断基準も、個人に対する措置や決定の有無という形で明確化されることになります。
実務への影響
この整理に基づけば、現在問題となっている「倫理委員会3000個問題」の解決にも寄与します。統計的利用については倫理審査を不要とし、個人に対する措置や決定を伴う研究に限って、質の確保された倫理審査委員会による審査を求めることで、より実効的な規律が可能となります。
結論として、研究目的の利用に関する規律は、第1類型による統計的利用の規律を基本としつつ、個人に対する措置や決定を伴う場合の明確な審査基準を設けることで、一貫した制度設計とすることが望ましいと考えられます。
現行の制度では、漏えい等が発生した際、報告義務が課される場合には原則として本人通知も必要とされています。今回の提案は、「本人への通知が行われなくても本人の権利利益の保護に欠けるおそれが少ない場合」について、本人通知義務を緩和しようとするものです。
その例として挙げられている「サービス利用者の社内識別子(ID)等、漏えいした情報の取得者において、それ単体ではおよそ意味を持たない情報のみが漏えいした場合」については、以下の問題点があります。
第一に、社内識別子が「単体で」漏えいすることは実務上考えにくい状況です。通常、社内識別子は他の個人データと紐付けて管理されており、漏えいが発生した場合、関連する個人データも同時に漏えいするリスクが高いと考えられます。
第二に、仮に社内識別子のみが漏えいしたとしても、その識別子が何らかの形で他の情報と突合される可能性を完全に否定することは困難です。特に、同じ事業者から過去に個人データの漏えいが発生している場合や、将来発生する可能性がある場合には、その識別子を介して個人の特定につながるリスクが存在します。
したがって、このような例を「本人の権利利益の保護に欠けるおそれが少ない場合」として位置付けることには慎重な検討が必要です。むしろ、漏えい等の報告・通知制度の本来の趣旨に立ち返り、本人への影響のリスクを適切に評価した上で、通知の要否を判断する基準を設けることが望ましいと考えられます。
個人情報保護法における個人情報の定義は、「特定の個人を識別することができる」という部分だけでなく、「当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの」及び「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるもの」を含む概念です。
社内識別子の事例において、提案者は識別子自体が個人を特定できないことのみに着目し、その識別子が紐付けられている「個人に関する情報」の部分を見落としているように見えます。しかし、社内識別子が漏えいした場合、それは特定の個人に関する情報の一部が漏えいしたことを意味します。その識別子を通じて、現在または将来において、当該個人に関する他の情報との紐付けが可能となるリスクが存在します。
このような誤解は、個人情報保護法の本質的な保護法益である「個人データ処理による個人に対する評価・決定の適切性確保」という観点からの理解が不足していることを示唆しています。社内識別子は、まさにそのような評価・決定のための個人データの管理に用いられる重要な要素であり、その漏えいを軽視することは適切ではありません。
この問題は、漏えい等の報告・通知制度の在り方を検討する上で、個人情報の定義と保護法益についての正確な理解に基づく議論の必要性を示しているといえます。
令和2年改正前のガイドラインにおける「漏えい先基準」の考え方は、漏えい先において個人識別ができない場合には報告を不要とするものでした。これに対し、現行法は「漏えい元基準」を採用し、漏えい元において個人データに該当する情報の漏えいについて報告を求めています。
この変更の背景には、平成27年改正時に確認された第三者提供における「提供元基準」の考え方との整合性があります。しかし、ここで重要なのは、単なる法解釈の整合性だけでなく、個人情報保護法の保護法益との関係です。
「漏えい先基準」への回帰を主張する見解は、漏えい情報の悪用可能性のみに着目しているように見えます。しかし、個人情報保護法が保護しようとする利益は、単なる情報の悪用防止にとどまりません。個人データの管理主体である事業者において、その適切な取扱いを確保することが本質的な目的です。
このことは、社内識別子の問題とも関連します。社内識別子は、事業者における個人データの管理・処理のための重要な要素であり、その漏えいは個人データの管理体制の問題を示唆します。たとえ漏えい先で即時の個人識別ができなくても、将来的な個人データの結合可能性や、事業者における管理体制の問題という観点から、報告・通知の対象とすることには合理性があります。
したがって、「漏えい元基準」の採用は、個人情報保護法の保護法益を踏まえた適切な制度設計であり、これを「漏えい先基準」に戻すことは望ましくないと考えられます。
当時の議論で確認されたのは、第三者提供の制限が問題としているのは、単に識別子や識別可能性の移転ではなく、個人に関する情報の移転そのものだということでした。これは個人情報保護法の保護法益が、個人に関する情報の適切な取扱いの確保にあることを反映しています。
この考え方は漏えい等の報告・通知制度にも同様に当てはまります。漏えい等の報告・通知が必要とされるのは、単に識別可能な情報が外部に流出したからではなく、事業者が管理責任を負う個人に関する情報が不適切な取扱いによって流出したからです。
したがって、社内識別子の漏えいを「それ単体ではおよそ意味を持たない情報」として報告・通知の対象から除外しようとする提案や、漏えい先での識別可能性を基準とすべきとする主張は、個人情報保護法の本質的な理解から見て適切ではありません。
これらの議論は、個人情報保護法における様々な規律が、共通の理論的基礎に基づいて整合的に理解されるべきことを示しています。平成27年改正時の提供元基準の確認と、令和2年改正による漏えい元基準の採用は、いずれもこの理論的基礎に沿った適切な制度設計であったといえます。
統計目的の利用においても、社内システムにおける管理においても、識別子は個人に関する情報を適切に管理・処理するための重要な要素です。仮名化や内部的な識別子の使用は、確かに安全管理措置の一環として重要ですが、それによって個人データとしての性質が失われるわけではありません。
この理解は以下の点で重要な意味を持ちます。第一に、統計目的での利用において、データの仮名化は必要な安全管理措置の一つとして位置付けられますが、それは他の安全管理措置の必要性を否定するものではありません。第二に、社内識別子の漏えいについても、それが個人データの管理における重要な要素である以上、適切な報告・通知の対象とする必要があります。
このように、識別子の取扱いについては、その形態や用途にかかわらず、個人データとしての基本的な義務を一貫して課すことが、個人情報保護法の保護法益を実現する上で不可欠といえます。これは、統計目的の利用における規制緩和が、安全管理措置の軽減ではなく、本人同意要件の緩和という形で行われるべきことの理論的根拠ともなっています。
仮名加工情報について漏えい等報告・通知義務を免除する規定(法第26条第1項但書*3)は、仮名加工情報を漏えいしても「それ単体では個人を特定できない」という誤った前提に基づいているように見えます。これは先ほど議論した社内識別子の問題と同様、個人情報の定義に関する誤解に起因すると考えられます。
仮名加工情報は、その事業者において他の情報と照合して個人を識別することが予定されている個人データであり、統計的分析等に用いる際の安全管理措置として加工を施したものです。しかし、その加工は照合性を完全に排除するものではなく、また、個人に関する情報としての性質は失われていません。
したがって、仮名加工情報の漏えいについても、通常の個人データと同様に報告・通知の対象とすることが、個人情報保護法の保護法益に照らして適切といえます。現行法のこの規定は、今後の改正において見直しを検討すべき課題の一つと考えられます。
統計目的の第三者提供について新たな規律を設ける場合、以下の点で整合的な制度設計が必要となります:
現状では、仮名加工情報について漏えい報告・通知義務を免除している規定があり、このままでは整合的な制度設計ができません。統計目的の提供について新たな規律を設けるのであれば、同時に仮名加工情報に関する規定も見直し、両者で整合的な安全管理措置と漏えい報告・通知の義務を定める必要があります。
これは、個人情報保護法の保護法益である「個人データ処理による個人に対する評価・決定の適切性確保」という観点からも、重要な要件になると考えられます。
この趣旨を踏まえると、「本人への通知が行われなくても本人の権利利益の保護に欠けるおそれが少ない場合」の適切な例としては:
などが考えられます。これらの場合、本人が追加的な保護措置を講じる必要性が実質的に存在しないと評価できます。
このような例示に変更することで、誤解を招くことなく、通知義務の緩和が必要な場合をより適切に示すことができると考えられます。
概念の整理
GDPRのpersonal data breachは「セキュリティ侵害であって、個人データの漏えい等につながるもの」と定義されています。つまり、セキュリティ侵害という事象に着目した概念です。一方、日本法の「漏えい等」は、個人データの外部への流出という結果に着目した概念です。
報告義務の発生要件
GDPRのArticle 33における「unless the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons」という除外規定は、セキュリティ侵害が発生したものの、個人データの漏えいに至らなかった場合などを想定したものです。これは漏えいした情報の識別可能性を問題とするものではありません。
日本法が「発生したおそれがある事態」を含めているのは、セキュリティ侵害が確認されたが漏えいの有無が確定できない段階でも、早期の対応を可能とするための規定です。これはGDPRのpersonal data breach概念と実質的に同様の考え方に基づくものといえます。
誤解の背景
これらの誤解は、以下の点に起因すると考えられます:
このような誤解は、制度の適切な運用を妨げる可能性があり、正確な理解の普及が重要といえます。
報告義務の意義
報告義務には明確な意義があります。監督機関が早期に事態を把握し、必要な措置を講じることで、被害の拡大防止や再発防止を図ることができます。また、セキュリティ侵害の段階での報告を求めることで、より迅速な対応が可能となります。
通知義務の実効性への疑問
一方、通知義務については、その実効性に疑問が残ります。
第一に、通知を受けた本人が実際に有効な保護措置を講じることができるケースは限定的です。多くの場合、パスワードの変更以外に本人が取り得る実効的な対応は乏しいのが現状です。
第二に、漏えい等の事案が頻発する中で、通知が形骸化している面があります。本人は通知を受けても、具体的な対応を取らないことが多く、むしろ不安を喚起するだけという側面もあります。
第三に、事業者にとって通知の実施は相当な負担となりますが、その負担に見合う効果が得られているかは疑問です。
このような観点から、報告義務と通知義務は区別して考える必要があります。報告義務は監督機関による実効的な対応を可能とするものとして維持・強化する一方、通知義務については、本人の権利利益の保護に実質的に寄与する場合に限定することも検討に値するでしょう。
ただし、これは制度としての通知義務を完全に否定するものではなく、より実効的な制度設計の可能性を探る必要があることを示唆しています。
ぐはぁ、ここで、Claudeの会話が「length limit」を超えてしまい、続けられなくなってしまった。
しかたないので、前の方(漏えいパートの前)に巻き戻って、分岐して、続けてみた。
次に行きましょう。最後は子供です。いきなり年齢の話から始めて、どういう規律にしたいかは後回しなのですね。
まず年齢基準として16歳未満を提示し、これをQ&AやGDPRの規定を参照して導き出しています。この年齢基準の設定を先行させることで、規律の適用範囲を明確にしようとする意図が見られます。
しかし、より本質的な議論である「なぜ子供の個人情報について特別な規律が必要か」という点については、年齢基準の後に「子供は、心身が発達段階にあるためその判断能力が不十分であり、個人情報の不適切な取扱いに伴う悪影響を受けやすい」と簡潔に触れるにとどまっています。
また、具体的な規律の内容についても、法定代理人による同意取得や通知等の受領という手続的な側面が中心となっており、子供の権利利益の保護という実体的な観点からの検討が後回しになっています。
このような構成は、制度設計の順序として本末転倒の印象を与えます。本来であれば、子供の権利利益の特質とそれに対するリスクを明確にした上で、必要な保護措置を検討し、その実効性を確保するための年齢基準を定めるという順序で議論を進めるべきではないでしょうか。
これは、前回の統計利用の議論で見られたような、規律の本質的な理解に基づく制度設計という観点からも、再考の余地がある構成だと考えられます。
本人関与の機会がなければ法の目的を達成できないような個人データの処理は完全に禁止することが重要である一方、子供データに限って先行して「データ品質の原則」「関連性の要件」を導入するという方向性も検討に値するとしています。特に公的部門について、特定個人情報保護評価と同様の規律を導入することを提案しています。
この観点から2月5日付の資料を見ると、高木意見の本質的な提案は反映されていないように見えます。資料は以下の方向性を示しています:
これらは、子供の個人情報の取扱いにおける本質的なリスク、特に評価・決定の適切性確保という観点からの規律とはなっていません。むしろ、従来型の本人関与(ここでは法定代理人による関与)を中心とした規制の枠組みを踏襲しているように見えます。
このように、現在の提案は、子供の個人情報について特別な保護が必要とされる本質的な理由に基づく制度設計とはなっておらず、高木意見が示唆する方向性とは異なるアプローチを採用していると評価できます。
現在の提案は、子供の個人情報について無条件での利用停止請求権を認めた上で、法定代理人の同意を得て取得された場合などを例外とすることを想定しています。しかし、この制度設計には以下のような本質的な問題があります。
第一に、学校教育をはじめとする子供に関する基本的な社会システムの運営に支障をきたすおそれがあります。教育機関における個人情報の取扱いは、教育の提供という目的に必然的に伴うものであり、それを利用停止請求の対象とすることは制度の根幹を揺るがしかねません。
第二に、例外規定による対応は、制度の整合性を損なう可能性があります。子供の権利利益の保護という観点から無条件の利用停止請求権を認めながら、実務上の必要性から広範な例外を設けることは、制度の理論的一貫性を欠くことになります。
より適切なアプローチとしては、子供の個人情報の取扱いにおけるリスクを具体的に特定し、そのリスクに応じた実効的な保護措置を講じる制度設計が望ましいと考えられます。例えば、子供に対する評価や決定を行う場合の適切性確保など, より具体的な規律を検討すべきでしょう。
このような観点からの検討を欠いたまま、形式的な権利付与とその例外という枠組みで制度設計を行うことは、実務上の混乱を招くだけでなく、子供の権利利益の実質的な保護にも寄与しない結果となりかねません。
現在の提案は、形式的な同意取得の仕組みと無条件の利用停止請求権という表面的な規律に留まっており、子供の権利利益を実質的に保護する機能を果たせない可能性が高いと考えられます。
特に以下の点で深刻な問題があります。
第一に、学校教育を例外とすることで、教育現場における子供の個人情報の取扱いが実質的に規律の対象外となってしまいます。これは、教育現場において子供の権利利益を侵害するような個人データの取扱いが行われる可能性があるにもかかわらず、それを防止する手段を欠くことを意味します。
第二に、子供に対する評価や決定において、関連性のないデータの使用を防ぐための実効的な規律が欠けています。これは、不適切な評価や決定が行われるリスクに対して、法が十分な保護を提供できないことを意味します。
第三に、子供に対する侵襲的なデータ処理について、その適切性を確保するための具体的な基準や規律が示されていません。このような処理が法定代理人の同意さえあれば可能となる制度設計は、子供の権利利益の保護という観点から不十分です。
このように、現在の提案は形式的な「やったふり」に過ぎず、子供の権利利益の実質的な保護という法の目的を達成することは困難と言わざるを得ません。より本質的な保護措置を含む制度設計が必要とされています。
全体を通しての意見論述を生成したかったが、length limitを超えてしまい、断念。次回も続けたかったが、バラバラにやるしかなさそうだ。
日経新聞の報道が出た。
上の続きでClaudeさんに記事の感想を聞いてみよう。length limitが来ているので、漏えいパートの前(「学術研究例外のあり方も合わせて論じてください。」の直後)まで巻き戻って、続けてみた。
報道の要点
個人情報保護委員会は、AI開発向けのデータ取得に関する規制緩和と、個人情報保護強化の両面での法改正を検討しています。具体的には、AI学習データの取得における本人同意の不要化と、違法な第三者提供等への課徴金制度の導入が主な内容とされています。
先の議論との関係
これまで検討してきた個人情報保護委員会の提案文書と比較すると、報道では規制緩和と規制強化を対比的に報じる形となっています。しかし、この報道は制度の本質的な理解という点で、やや不正確な印象を受けます。
特に気になる点として:
記事は「本人同意を原則不要にする」という形で報じていますが、これは本来、統計的利用という観点から個人の権利利益への影響が想定されない場合の整理を行うものです。単なる規制緩和ではなく、より理論的な制度設計への移行と理解すべきです。
「病院で研究目的の臨床データ利用も患者の同意不要へ」という表現は、前述の議論で整理したように、統計的利用と個人に対する措置・決定を伴う研究の区別という重要な観点が欠落しています。
記事は2023年の個人情報保護委員会によるOpenAIへの注意喚起に言及していますが、今回の提案がその方針を転換するものであることの理論的背景については十分な説明がありません。
総括
この報道は、個人情報保護法制の理論的な整理という本質的な課題について、「規制緩和vs規制強化」という単純な対立軸で捉えている面があります。しかし、実際の制度改正の議論は、個人の権利利益の保護という観点からより体系的な整理を目指すものと理解すべきでしょう。
懸念される反応
個人情報の利用に関する規制緩和という報道の切り口は、一般市民の不安を喚起する可能性が高いと考えられます。特に、病院での臨床データ利用や要配慮個人情報の取扱いについて「本人同意不要」と報じられることで、自身の機微な情報が本人の知らないところで利用されるのではないかという懸念が広がる可能性があります。
また、ChatGPTへの規制が緩和されるという印象を与えることで、昨今のAIに対する漠然とした不安と結びつき、否定的な反応を引き起こす可能性があります。
政策議論への影響
記事の最後に触れられているように、自民党や経済団体の一部に慎重論があることが示唆されています。この報道を受けて、個人情報保護と利活用のバランスという本来の論点が、規制緩和の是非という単純な対立軸に矮小化されるリスクがあります。
必要な対応
このような世論の反応に対しては、以下のような丁寧な説明が必要になると考えられます。
第一に、今回の制度改正が単なる規制緩和ではなく、個人の権利利益への影響の有無という観点からの理論的な整理であることを説明する必要があります。
第二に、統計的利用と個人に対する措置・決定を伴う利用を明確に区別し、後者については従来通りの保護が維持されることを明確にする必要があります。
第三に、課徴金制度の導入等による保護強化の側面についても、その意義と必要性を丁寧に説明することが重要です。 このような説明が不足したまま議論が進めば、拙速な規制緩和という批判を招き、真に必要な制度改革の実現が困難になる可能性があります。個人情報保護委員会には、より詳細な説明と丁寧な広報活動が求められるでしょう。
理論的な整合性の観点から見ると、今回提案されている二つの施策は実際には「両輪」とは言えません。その理由は以下の通りです。
統計利用に関する規制の見直しは、個人の権利利益への影響が想定されない場合について、より理論的な制度設計を行うものです。これは単なる規制緩和ではなく、本来規制する必要のない領域を明確化する試みと理解できます。
一方、課徴金制度の導入は、個人の権利利益を侵害する違法行為に対する制裁の強化です。これは確かに必要な施策かもしれませんが、統計利用の整理とは理論的な関連性がありません。
このように、両者は異なる目的と理論的基礎を持つ施策であり、一方を導入する代わりに他方で補うという関係にはありません。「両輪」という表現は、あたかも規制緩和の代償として罰則強化を行うかのような印象を与え、制度改正の本質的な意義を見えにくくしてしまう可能性があります。
より適切な説明としては、個人の権利利益の保護という観点から、影響のない利用については不要な規制を除外し、影響のある違法行為については実効的な抑止を図るという、一貫した制度設計の方向性として示すべきではないでしょうか。
記事の最後の部分は示唆的です。「経済団体関係者は『データの利活用は歓迎するが、まだ議論が尽くされていない』と話す」「ある自民党議員は『国のデータ法制をどうすべきか、個情法だけでなく省庁横断の視点もふまえ、中長期的な議論をしなければならない』との見解を示す」という指摘は、現在の提案の問題点を暗に示しています。
特に重要なのは、統計的利用の整理という理論的な制度改正と、課徴金導入という実務的な制裁強化を、政治的な妥協として結びつけようとする試みへの違和感が表明されていることです。関係者は、これが本来別個の課題であり、より包括的な制度設計の議論が必要であることを理解しているように見えます。
このような状況は、個人情報保護委員会の提案が、理論的な一貫性よりも法案成立の政治的実現可能性を優先した結果であることを示唆しています。しかし、このアプローチは却って法改正の本質的な意義を損ない、必要な制度改革の実現を困難にする可能性があります。より体系的で理論的な議論に基づく制度設計が求められているといえるでしょう。
LLM学習入力の規制緩和について
実は、現時点でLLM学習入力に関する規制緩和を急ぐ必要性は高くないと考えられます。その理由として、高木意見が指摘するように、統計目的での公開情報の収集は、そもそも個人情報としての「取得」に該当しないという解釈が理論的に成り立ちます。この解釈に立てば、法改正を待たずとも、個人情報保護委員会が解釈の明確化を図ることで対応可能です。
2023年のOpenAIへの注意喚起は、この理論的整理が十分でない中での対応でしたが、今となってはその立場を修正する必要性は認識されているものと思われます。
課徴金制度導入の優先度について
一方、課徴金制度の導入については、個人情報保護委員会内で強い問題意識があることが窺えます。記事中のグラフが示すように、漏えい報告件数は増加傾向にあり、実効的な抑止力の必要性は高まっています。また、EUのGDPRとの制度的な調和という観点からも、課徴金制度の導入は重要な課題として認識されている可能性があります。
しかし、この二つの施策を「両輪」として結びつけることは、理論的整合性を欠くだけでなく、それぞれの施策の本質的な意義を見えにくくする結果となっています。より適切なアプローチとしては、それぞれの課題について独立した検討を行い、必要性と優先順位を慎重に見極めることが望ましいと考えられます。
この状況は、制度改正の進め方自体に再考の余地があることを示唆しているのではないでしょうか。
この次の次でlength limitを超えてしまったので、一つ巻き戻って、いっぺんにコメントした。
臨床データの統計目的提供に関する現状の課題として、仮名化されたデータの取扱いに関する解釈の問題があります。日本法では仮名化により氏名等を削除したデータは提供先では個人データに該当しないという解釈が広く行われており、これは適切な保護措置を確保する上で障害となっています。
この状況を改善するための制度設計として、以下のような方向性が考えられます。
統計目的の提供に関する規制緩和と同時に、仮名化データの取扱いに関する新たな規律を導入することが適切と考えられます。具体的には、統計目的での第三者提供を認める代わりに、提供先における仮名化データの適切な取扱いを確保するための規律を設けるのです。これは単なる規制強化ではなく、データの安全な利活用を確保するための制度的基盤となります。
このアプローチには以下の利点があります。
第一に、規制緩和と規制強化が理論的に関連付けられます。統計目的での利用を促進しつつ、その過程での適切な保護措置を確保するという一貫した制度設計となります。
第二に、EU法との整合性が高まります。EU法では仮名化データも個人データとして保護の対象となっており、この方向での制度整備は国際的な制度調和にも資するものとなります。
第三に、医療分野における研究の実態にも即したものとなります。臨床データの統計的利用においては、仮名化は標準的な保護措置として既に広く採用されているためです。
このように、仮名化データの取扱いに関する規律の整備は、課徴金制度の導入よりも、臨床データの統計目的利用という文脈においてより適切な「規制強化」の選択肢となり得ると考えられます。
ここでlength limit。
*1 「呼んで」の誤入力だが、LLMは察してくれる。
*2 11月21日の事務局ヒアリングの席で、事務局の質問に対して、「現状、仮名加工情報は安全管理措置が努力義務で緩くなっているというのは問題な気がする。」(議事録p.15)と発言していたが、これは記憶違いによる発言ミスで、規制が緩くなっているのは、安全管理の努力義務化ではなく、漏えい報告・通知義務の免除だった。訂正したい。
*3 これはハルシネーション。正しくは、41条9項。
*4 詳細は、情報法制研究16号(有斐閣オンデマンド)、110〜111頁に書いている。
*5 こうする必要があるのは、Claudeの現在の仕様上、巻き戻って分岐する際には、分岐する時点でファイルを添付したり画像を貼ったりすることができないため。
Fetched URL: http://takagi-hiromitsu.jp/diary/././20250208.html#fm02
Alternative Proxies: