個人情報保護法改正についての鈴木教授のつぶやき

鈴木 正朝 @suzukimasatomo

昨今の議論の論点をまとめておこうと思います。 第１に、特定個人の識別情報（PII）に加えて、「保護すべきパーソナルデータ」は何かを見極めること。要するに現行法に追加する部分が何かを明らかにすることでしょうか。事務局案はそれに「準個人情報」という用語を与えてみたということでしょう。

鈴木 正朝 @suzukimasatomo

では、それを見極めるためにはどうするか。 （１）技術検討WGの報告書の成果をいただいて、「識別特定情報」と「識別非特定情報」に分類し、後者に着目して法的保護が必要な「識別非特定情報」とは何かを考えてみてはどうでしょうか。

鈴木 正朝 @suzukimasatomo

＊なぜ記名式Suica（識別特定情報）が問題になったのか。いや特定性はないという反論はあり得るところですが、米国やEUでは無記名式Suica（識別非特定情報）でも問題になり得るわけです。いやその理解事態が間違いか。いずれにせよ広くビジネスをするならこの問題意識は重要でしょう。

鈴木 正朝 @suzukimasatomo

（２）特定の個人を識別できる情報ではないが、プライバシーの権利（または本人の人格的権利利益）を侵害する情報について検討してみること。 クッキーやその他の識別子（識別非特定情報）を用いてプライバシーが侵害されるケースがないかを考えてみるといいと思います。さて位置情報はどうする？

鈴木 正朝 @suzukimasatomo

（３）本人に利用目的等を示し事前同意を得てから利用すべき情報とはどのようなものか。（位置情報はここ？）それから利用目的等を公表しオプトアウト手続を用意すれば同意なく取得し提供できる情報とはどのようなものか。と法的効果から考えてみる。

鈴木 正朝 @suzukimasatomo

（４）具体的に「行動ターゲティング広告」において用いる識別子等のパーソナルデータの取得及び提供等の法的ルールについて検討すること。また「プロファイリング」とは何か、どのような内容を最低限の禁じ手とすべきかを検討すること。

鈴木 正朝 @suzukimasatomo

（５）散在情報と処理情報（マニュアル処理情報とコンピュータ処理情報）の違いを再確認して、注力すべき範囲がどこにあるか検討すること。コンピュータ処理情報に集中していくべきでは？

鈴木 正朝 @suzukimasatomo

第二に、「特定個人の識別情報」に追加するだけではなく、現行法の主たる保護対象から外すべき情報はないかも検討しておくべきではないでしょうか。 （１）「散在情報」を改正個人情報保護法の保護対象とすべきか。 （２）「マニュアル処理情報」を法的保護対象とすべきか。

鈴木 正朝 @suzukimasatomo

第三に「機微情報」を導入すべきか。 それをどう定義すべきか。 第四に「低減データ」を導入すべきか。日本版FTC３条件を採用できるか。提供先の管理コストも念頭において検討すべきでしょうか。 第五に本人保護を図りつつ利活用を促進する新たな法的しくみを追加できないかも重要です。

鈴木 正朝 @suzukimasatomo

「対象情報該当」→「即禁止」という感覚はあるのかなぁと。その効果が本人同意を求められる規制なのか、オプトアウトに止まる規制なのかもあまり確認せずに禁止されるから過剰規制と筋肉反射的に反発する向きはあるのだろうなと。

鈴木 正朝 @suzukimasatomo

対象情報該当性は、個別義務規定の要件の一つですから、個々の義務規定の他の要件とその効果とセットで議論しながら、再度対象情報の吟味に戻るというあたりを一往復してみないと、意味のある反論、有意義な議論はできないかもしれません。全体構成、骨格をわかりやすく示す必要がありそうですね。

鈴木 正朝 @suzukimasatomo

本人同意で十分に仕事ができるという現場の声、広告識別子の利用に際して同意は無理だがオプトアウト手続に応じるだけなら十分に対応できるという現場の声もある。実は現場の仕事に精通していないところで、管理部門が企業を代表して過剰にのりしろをとったポジショントークをしているところはないか。

鈴木 正朝 @suzukimasatomo

対象情報該当性は、個別義務規定の要件の一つですから、個々の義務規定の他の要件とその効果とセットで議論しながら、再度対象情報の吟味に戻るというあたりを一往復してみないと、意味のある反論、有意義な議論はできないかもしれません。全体構成、骨格をわかりやすく示す必要がありそうですね。