令和3年3月16日「認定個人情報保護団体シンポジウム開催」(結果概要)

開催概要

3月16日にオンライン形式により「認定個人情報保護団体シンポジウム~認定個人情報保護団体制度と民間自主的取組への期待~」 を開催しました。

認定個人情報保護団体(以下「認定団体」という。)、業界団体、事業者、消費者の皆様など多くの方にご参加(申込者538名、視聴者459名)いただきました。

パネルディスカッションの様子

今回のシンポジウムでは、委員会から、令和2年個人情報保護法改正を機に、企業の特定分野(部門)を対象とする団体を認定できるようにすることや、認定団体に求められる役割や具体的な業務等を示すために認定団体向けのガイドラインを策定することをお伝えし、ご参加の皆様に制度についての理解を深めていただくとともに、新たな事業分野の団体や事業者の皆様に向けて認定団体制度へのご参画を呼びかけました。

対談の様子

有識者を招いた講演(個人情報保護に関わる共同規制の国際動向)、対談(個人情報の保護と活用について事業者が考えるべきこと)、 パネルディスカッション(民間の自主ルールの策定やPIAへの取組み)により示唆に富んだ貴重なお話をいただき、法の履行よりも深化させた 民間の自主的取組と認定団体制度の重要性が増している状況の下、ご参加の皆様に今後の望ましい取組の方向性を検討する上で参考になるような情報をお伝えしました。

当日のプログラム(発言概要)

1. 主催者挨拶個⼈情報保護委員会委員長 丹野美絵子

情報通信技術の飛躍的な発展によりビッグデータの収集・分析が可能となり、新たな産業・サービスが次々に創り出されています。その一方で、個人情報・プライバシーの概念が広く認識され、自分の個人情報がどのように利用されるのかについて、消費者の意識が高まっています。また新型コロナウイルスの感染拡大防止のための、個人情報の利用等、公益目的での利用にも大いに注目が集まっているところです。

こうした中、個人情報保護法は、令和2年に、大規模な法改正を行いました。さらに、現在開会中の通常国会には、「個人情報保護法制」を一元化する法案を提出するなど、まさに時代の要請に応えるべく、当委員会も最大限の努力をしているところです。

個⼈情報保護委員会委員長 丹野美絵子

このような、制度の大きな変革期にあって、認定団体に改めて大きな関心と期待が寄せられています。 個人情報保護法は、もともと、民間団体による自主的な取組を尊重しており、民間団体が法に基づく取組を行っていくことを、政府等が支援をしていく。これを基本的な考え方としています。令和2年度には新たに2団体を認定しました。さらにより多くの民間団体に、認定団体制度について、強い関心を持っていただければと思っています。

本日のシンポジウムが、事業者の皆様が、認定団体への加入をご検討いただく際に、また、民間団体の皆様が、認定団体として活動することをご検討いただく際に、さらに、既に認定されている団体の皆様が、今後の団体の取組方針を検討する際に、その一助となることを、大いに期待しています。

2. 基調講演「認定個人情報保護団体制度と民間自主的取組みへの期待」個人情報保護委員会事務局参事官 片岡秀実

(認定団体を対象としたガイドラインの新設)

個人情報保護に関する近年の急激な環境変化の中、行政と民間の情報の非対称性が顕著となり、民間団体がその専門性や柔軟性を活かして自主ルールを策定して運用していくことなどがより求められ、認定団体制度の重要性が増大しています。こうしたなか、①委員会が横断的に団体の認定・監督を行うなかで、認定団体間の目線を揃えていただけるように一定の方向性等 示す必要があること、 ②今後、改めて裾野の広い分野で新たに認定を受けようとする団体等に向けて、その在り方等を分かりやすく示す必要があること、 ③消費者の皆様にも制度を認識できるように示していく必要があることから、今般の改正法を機に、認定団体を対象としたガイドラインを策定することとしました。

認定団体制度における自主的な取組については、共同活動による円滑かつ徹底した法の遵守と、法の履行よりも深化させた自主ルールの策定・運用、という二つの側面があります。

個人情報保護委員会事務局参事官 片岡秀実

今後、法令遵守の徹底だけではなく、より深化させた自主的取組を積極的に行っていただくことを期待しています。

(特定分野型の認定団体制度の新設)

現行の認定団体制度では、団体を認定し、自主ルールに基づく企業単位での個人情報全般の適正な取扱いを促すこととしています。ところが、大企業に限らず、幅広い事業分野を有する企業については、企業側から見た場合、企業全体の業務に対応した認定団体を見つけることが難しい場合が想定されます。また、逆に認定団体側から見ると、その団体の特性に必ずしもふさわしくない部門も含め、対象事業者となる企業全体に関する業務に対応せざるを得ない可能性があります。このため、改正後は、現行制度に加え、企業の特定の事業分野を対象とする団体を認定できるようにしました。新しい事業分野を取り纏めている団体にとって、今般、設けました特定の事業分野を対象とする認定制度の利用は、一つの有力な選択肢ではないかと考えていますので、是非、ご検討下さい。

(PIAや個人データに関する保護責任者の設置の推奨)

PIAや個人データに関する保護責任者の設置については、委員会としては、制度改正大綱(令和元年12月公表)に言及しているとおり、それぞれの有用性・有効性を評価する一方で、現時点において、評価手法等や業務等を規定して義務化することは、民間の自主的な取組を阻害するおそれがあるとし、こうした取組を促すための方策を検討していくこととしています。この点、現在、具体的にどのようなことで皆様にとって役立つようなことができるのか、検討を進めています。

3. 特別講演「個人情報保護に関わる共同規制の国際動向」東洋大学経済学部准教授 生貝直人氏

(共同規制の意義)

デジタル経済のルールについて、政府が詳細な直接規制を行うことは困難です。理由として、技術的・ビジネス的イノベーションが急速であること、規制策定に必要な専門的知識の不足、安心安全やプライバシーなどの画一的定義が困難な領域の拡大、表現の自由への配慮などが挙げられます。一方、民間による純粋な自主規制も困難です。理由として、そもそもルールが作られない可能性、ルール内容の不十分性・不公正性、実効性の不測、安定的な業界団体等の形成維持の困難、消費者や利害関係者の参加不足などが挙げられます。

こうした難しさを克服する方法として、共同規制があります。共同規制は、自主規制の持つ柔軟性等の利点と政府規制が持つ信頼性等の利点を組み合わせ、イノベーション親和的かつ確実なルールの枠組みを作り出すための政策手法です。官民の役割分担のあり方は多様ですが、多くの場合、大枠を政府が法により定め、詳細は民間当事者のルール形成に委ねる形式を採ることになります。

東洋大学経済学部准教授 生貝直人氏

(欧米における共同規制の動向)

欧州では、1995年データ保護指令において、各分野の業界団体等による自主的な行動規範の策定を奨励し、加盟国・欧州委員会による関与を規定(27条)していました。GDPRでは、それをさらに強化し、第5節「行動規範及び認証」において、民間行動規範に対する各国当局・欧州データ保護会議・欧州委員会の関与明確化とモニタリング条項(40-41条)のほか、民間団体による認証(Certification)制度を導入しています。GDPR行動規範の策定プロセス(40条)では、「様々な類型の管理者又は処理者を代表する団体及びその他の組織」は、個人データのいろいろな取扱いなどに関する事項に関して、GDPR の適用を具体化する行動規範を策定でき、その行動規範の遵守を強制的に監視できるものとしています。

所管監督機関は、団体から送付された行動規範が十分な保護措置を提供する場合、その行動規範を承認することとしています。行動規範が複数の加盟国での処理活動に関係する場合、所管監督機関は、その行動規範を欧州データ保護会議に送付し、欧州データ保護会議が適切性を確認した場合、欧州委員会は、その行動規範がEU域内で一般的な有効性を持つことを決定する実施法令を採択することとしています。欧州データ保護会議は、全ての承認された行動規範を登録簿に整理列挙し、公表することとしており、2021年現在、欧州データ保護会議の登録簿には、加盟国内で承認された3つの行動規範が記載されています(スペイン(広告分野、2020)、オランダ(ICT分野、2020)、オーストリア(教育、2019))。各国・EUレベルで、これらに続く様々な行動規範の策定が進展しています。

米国では、関連業界団体等の自主規制ルールの策定・運用が活発に行われてきましたが、FTCは深刻な消費者被害等への罰則を規定しており、実質的には共同規制の形を採っているといえます。米国では、自主ルールの形成を経営戦略の一つとして位置付ける考え方が浸透しています。

(認定個人情報保護団体制度への期待)

新しい仕組みは、常に「制度」、「技術」、「ビジネスモデル」の3つで形作られます。「技術」と「ビジネスモデル」については、現代のデジタル経済の中で、民間から常にイノベーションが生み出され続けています。一方、それを支える制度は、全て政府に任せることが望ましいのでしょうか。そうではなく、「制度」もイノベーションの当事者が自主的に作っていくことが、持続的なイノベーションの実現に資するのではないでしょうか。認定個人情報保護団体制度には、そのような役割が期待されます。

4 特別対談「個人情報の保護と利用について事業者が考えるべきこと」松尾綜合法律事務所 弁護士菊間千乃氏

  • ――  聞き手:個人情報保護委員会事務局参事官 片岡秀実

(個人情報の保護について)

――個人情報の保護に関して、どのような相談が寄せられていますか。

私自身、企業法務を幅広く担当しており、特に個人情報保護を専門にしているわけではありませんが、個人顧客を相手とする事業者にとって顧客情報はビジネスの要ですので、個人情報に関するご相談は数多く寄せられています。 種類としても、通知と同意、安全管理、第三者提供と委託や共同利用との区別、外国第三者提供など、多種多様です。以前では、安全管理措置が相談事の中心でしたが、最近は、データの利活用をしていくためにどのようなことが求められるのかといった相談が増えていて、フェーズが変わってきたと感じています。

松尾綜合法律事務所 弁護士 菊間千乃氏

――情報通信技術の高度化が、個人情報の保護にどのような変化をもたらしているでしょうか。

インターネットやスマホ、電子マネーの普及やAIの進展に伴って、サービスの提供者により、精密かつ膨大な個人に関する情報が収集されるようになっています。これに伴い、個人情報保護法の外縁部分にあるものも含めた、より幅広い、個人に関するあらゆるデータに対する配慮が求められるようになっています。事業者としては法令上、問題がないと、自らの判断により採った取扱い方法が、プライバシーの侵害であるなどと激しく批判され、炎上、トラブルに発展してしまうようなケースが増えています。もっとも、こうした炎上事例を見て、データの利活用をあきらめるようなことは、ビジネスとして適切な対応ではないと思います。炎上した理由は、透明性や本人関与の面で不十分であったことなどですので、きちんと対応して、個人に関する情報の活用に取り組んでほしいと思います。

――データの利活用を適切に行っていく上で、人がどう感じるかがポイントになるということでしょうか。

そのとおりだと思います。適法にビジネスを推進したとしても、個人が気持ち悪いと感じてしまえば、それで非難が集中し、ビジネスが止まる危険性すら存在します。「人の感じ方」も環境の変化や時代とともに変化するのだろうと思います。その一方で、「人の感じ方」が不信感の高まりという一方向に進んでいくということばかりでもないと思います。例えば、監視カメラやドライブレコーダーなどについて、社会全体として一定の理解が得られるようになってきているのは、犯罪や事故など有事の際に役に立っているからであって、個人や社会へのメリットが明らかであれば、人々から許容されるようになるという一つの例なのだろうと思います。

――経営者層においても十分に意識を持っていただくことが必要と思いますが如何でしょうか。

総務部署や法務・コンプライアンス部署などの担当部署の皆様も、まさに経営者層にそのことを理解してほしいとお考えでしょう。事業者にとってプライバシーに関わる問題に取り組むことは、コストではなく、商品やサービスの品質向上のためであり、ひいては自社全体の信用向上にもつながりますので、こうした理解に立って、取り組んでいただくことが求められると思います。

(個人データの利活用について)

――菊間先生が理事をされている全国万引犯罪防止機構(以下、「万防機構」)において、個人情報保護と防犯カメラ画像の利活用について、どのようなことが課題となっているのでしょうか。

防犯カメラにより取得できる情報は、顔画像だけではなく、顔認証データなどの高度化する画像処理技術と組み合わせて利用されるようになっています。万防機構としては、こうした技術を、一層高いレベルの防犯目的のために活かしていきたいと考えています。

もっとも、顔認証データは、個人識別符号に該当しますので、これを利用する場合は法令遵守が求められます。さらにその上で、防犯目的では、特に、勝手に犯人として登録されているのではないかという不安を消費者に持たせないという点が重要だと思います。このため、顔認証システムにおける誤判定のリスクの程度などといったデータの信頼性や安全性の検証ですとか、開示の請求にどのように対応していくのかという対応方針の検討など、このシステムを利用する側のきめ細かな運用面での配慮が必要になると思います。

(PIAなどのリスク対応策)

――カメラ画像の分野に限らず、こうした個人情報保護に関する 問題が発生しやすい分野では、どのような対策が有効でしょうか。

事業者としては、それぞれのリスク・レベルに応じた対策が求められますが、特に、大量の個人データを扱う事業者であれば、PIAが有用な手段として期待できるのではないかと思います。対処療法的に対応を考えるのではなく、予めプライバシーを保護する仕組みを組み込むべきだと考えられます。万防機構でも、PIAの手法を定着させられるようにできないか、考えていきたいと思っています。

また、事業者として、組織体制の整備も重要です。問題を素早く把握して、リスク管理の責任者やさらには経営層に報告して、指示を仰ぐようなことができる体制を整えておくことが必要です。社外の、プライバシー問題に詳しい有識者とのネットワークをつくっておくことも必要だと思います。場当たり的な対応にならないよう、一度社内でのプライバシーリスクを洗い出し、有事対応についてシミュレーションしておくことが有効だと思います。

(認定団体に期待される役割)

――万防機構は、新たに認定団体となっていただきました。

個人情報の保護については、業界内の一部の事業者が競争して利得を勝ち取るといったことではなく、業界の構成員が一体となって取り組んでその業界全体の信頼性を確保していくことが求められていると考えています。万防機構では、こうした考え方に立って活動してきましたが、国の認定した団体になることで、消費者サポートと事業者サポートの両面で、より信頼性の高い、より広く重要な役割を果たせるようになるのではないかと考えています。今、日本で問題になっている高齢者の万引きへの対策といったところでも認定団体として役割を果たすことはできるのではないかと考えています。

――菊間先生からの具体的な事案やカメラ画像の利活用についてのお話を通じて、個人情報保護法はもちろんのこと個人に関するあらゆる情報に対する配慮も求められることがよく分かりましたし、そのリスク対応策として、体制整備の重要性、PIAの有用性と、認定団体の役割などのお話をいただき、それぞれがつながって理解できたと思いました。有り難うございました。

5. パネルディスカッション
「認定個人情報保護団体における自主的取組み-自主ルールとPIAへの取組みを中心に」

パネリスト
  • 坂下哲也氏 (日本情報経済社会推進協会 常務理事)
  • 有地正太氏 (遺伝情報取扱協会 委員)
  • 美馬正司氏 (日立コンサルティング ディレクター)
―― モデレーター:個人情報保護委員会事務局企画官 矢田晴之

――本セッションでは、民間団体による自主ルールの整備運用や PIA(個人情報保護評価)の実施について、お話をお伺いします。まずは、自己紹介をお願いします。

坂下氏日本情報経済社会推進協会(JIPDEC)は、対象事業者1万2000社以上を抱えている認定団体で、会員は、特定の業種に関わらず、要件であるPマークまたはCBPR認証を受けた事業者を対象としています。業務として、苦情相談のほか、匿名加工情報などの個人情報の取り扱いの相談、CBPRの認証などを行っています。

有地氏遺伝情報取扱協会(AGI)は、個人の遺伝情報を取り扱う事業者の業界団体で、個人の方からお預かりした遺伝情報の解析を行う事業者の集まりです。業務として、事業者の健全な育成と発展に向けて、自主基準の策定、認定事業、官庁調整などを行っています。

パネルディスカッションの様子

美馬氏日立コンサルティングでは、プライバシー関連のコンサルティングを実施しており、PIA等のリスクアセスメントも行っています。日立内でのプライバシー保護の取り組みにも関わっています。

(自主ルールの策定・運用と認定団体制度への期待)

――自主ルールの策定・運用と認定団体制度への期待について、どのようにお考えでしょうか。

坂下氏  個人情報保護法は全ての事業者にかかる法律ですが、業種業態などにより個人情報等の利用方法が異なりますので、官民共同規制の枠組みとして認定団体制度が作られたと理解しています。 個人情報保護指針は、消費者や利用者から信頼を得るためのルールブックですので、対象事業者へもセミナー等を通じて継続的な啓発をしています。事業者から寄せられる匿名加工情報、海外への移転、通知と同意など様々な相談に対して、有識者会議を設置するなどして対応しています。今後、成人年齢の引き下げによる個人情報の取り扱いへの影響などの情報提供を行うことを予定しています。

坂下常務理事

日本情報経済社会推進協会 坂下常務理事

有地氏ゲノム情報を取り扱う事業者が国内で増え始めた2008年に、業界としての自主ルールが作られました。

当協会の自主ルールは、個人情報保護法、個人情報保護員会が定める各種ガイドライン、経産省が定める個人遺伝情報を取り扱う事業者向けガイドラインをベースとして、業界特有の課題に対して、ルールを形式化し、アップデートし続けています。ゲノム情報は、変更ができない、疾患のリスクや体質などがわかる個人情報ですので、消費者から適切な取り扱いが求められています。

当協会は、現状認定団体ではありませんが、今後、特定分野型認定団体として活動し、業界における遺伝情報の適正な取扱いのために、この制度を十分に活かしていくことができないかと考えています。

認定団体として長年に渡り積極的な活動をされてきているJIPDEC様に、認定団体として実りある活動をしていくためのアドバイスをいただけませんか。

遺伝情報取扱協会 有地委員

坂下氏最近、ITの世界で「トラスト」という言葉がよく使われるようになっています。 これは①プロセス、②特性、③制度を構成要素としています。 認定団体は、この中の「特性」を担保している制度で、ある特性を持った社会集団に属することによる信頼を醸成するものではないかと考えています。 新たに認定団体が出来ることは喜ばしいことで、対象事業者が所属することで信頼が醸成されるサポートを是非、進めていただきたいと思います。

――お話を伺っていて、一般法である個人情報保護法の規律に加えて、民間団体がその専門性や柔軟性を活かして個人データの取扱いに関する自主ルールを策定して運用していくことや、積極的に構成員等に対して指導等を行っていくことが、これまでに増して求められ、認定団体制度の重要性が増してきているということを、改めて強く認識しました。

(PIAの実施普及に向けて)

――PIAの意義、有効活用できた例、認定団体が関与していくことの意義などについて、お考えをお伺いできればと思います。

美馬デイレクター

日立コンサルティング 美馬デイレクター

美馬氏デジタル化により、本人が気づかないうちにパーソナルデータの生成、流通、 解析、さらに推定されたパーソナルデータ等の生成が行われることで、不確定要素が拡がっています。PIAはこのような不確定要素に対するリスクアセスメントとして実施するものです。デジタル化は、不確定要素を増やしますが、新たなビジネスにつながるものですので、リスクをコントロールしつつ、新しいビジネスを創出していくという意味からPIAが必要になっています。

PIAは、リスクを抽出し、これに対する対策、管理ができれば良いという話にはなりますが、その実装方法は様々で、決まった方法はありません。

すべてにおいて丁寧なPIAを行うことは非効率で、高リスクの案件をうまく抽出するなど、メリハリをつけることが肝要です。

私自身、国際規格(ISO29134)の作成や、JISX9251の発行に委員としても関わっていましたが、考え方やフレームワークが整理されており、参考になると思います。実際、ある企業でISO29134にそってPIAを試行したところ、14件ほどのリスクが明らかになり、対応を進めたという点で効果がありました。PIAを行う上で重要になるのは、個人情報保護法を守るだけではない、ということでして、業界等に応じて検討されているソフトロー等もPIAを進める上で重要な参考資料になります。そういう意味で、認定団体が、それぞれの分野において、プライバシー上、配慮すべき内容を検討しPIAを進める上での視点等を整理していくことは、非常に有用であると思います。

坂下氏当協会は、本年1月に発効されました、PIAに関するJIS規格JISX9251の作成委員会の事務局を務めるなど、PIAの普及に積極的に取り組んでいます。PIAは、プライバシーリスクを洗い出して、サービス提供の事前に対策を打つ手法として有効であり、例えば内定辞退率の提供など社会を賑わせたような事案を減少させる効果があると考えています。当協会では、自治体の特定個人情報保護評価の支援を実施していますが、最近は、民間企業からのIoTデバイスやカメラなどの利用に関するPIAの相談が増えています。今後も、PIAの事業者への啓発や支援を積極的に進めていきたいと考えています。

有地氏当協会では、現在のところ、PIAに関する具体的な議論にまではまだ至っていません。遺伝情報は、科学技術進歩により、そこから抽出される情報もどんどんリッチなものになり、プライバシー保護への一層きめ細かな配慮が求められていくことが見込まれます。こうしたなか、個人的な見解として、IT事業に主軸を置く事業者と、いわゆるゲノム解析に特化した解析事業者の間で、体制整備やシステム構築に差があり、その目線を揃えていくために、業界として取り組むべき課題であろうと思います。

矢田企画官

個人情報保護委員会 事務局企画官 矢田 晴之

――有り難うございました。ここまで、3人のパネリストの皆さんから、自主ルールの策定・運用を通じた、個人情報保護に係る民間自主的取組の状況や、PIAの推進に取り組みに向けた状況などについて、お話をいただきました。それぞれ、個人情報保護法の規律を基盤としながらも、これに加えて、事業分野の特性に応じた自主的な取組を積極的に行っておられる姿が印象に残りました。当委員会としても、このような取組に対して大変心強く思うと共に、引き続き、認定団体制度をうまく活用しながら、個人情報の保護や適正な利活用の水準を、全体として高めていきたいと思います。

(質疑応答)

――これから、視聴者の方々から寄せられた質問に回答いただきます。「JIPDECにおける苦情処理について、どのような内容のものが多いでしょうか」との質問をいただいています。

坂下氏苦情の内容は、本当に多種多様です。実は、寄せられる苦情の7~8割ほどは個人情報と関係ないもので、先ずはそれを仕分けた上で相談に応じるというが実情です。企業倒産や漏えい事案の発生時に、自分の個人情報は大丈夫なのかという相談が増加する傾向があります。

――「新しいビジネス分野における新たな団体の組成に至るプロセスを知りたいので、遺伝情報取扱協会の場合について教えて下さい」との質問をいただいています。

有地氏遺伝情報の分析という新しいサービスが、本当に消費者に受容されるのか、過剰な規制が課されることにならないかといった危機感から、個社での対応では限界があるとのコンセンサスが形成され、自主ルールが策定され、団体が組成されました。

――「PIAのコンサルをされているなかで、現在、どのような業種・事業分野からの相談が多く、今後、どのような事業分野からの相談が増えてきそうでしょうか」との質問をいただいています。

美馬氏特定の業種というよりも、例えば、DXにより純粋に製造業だけをやっていた企業がサービス業に転化していくなかで、パーソナルデータをどのように扱うのかという問題に直面し、相談を寄せてくるといった傾向がみられています。新しい事業分野でAIやIoTを用いる場合などにおいてPIAを活用してほしいと思います。