個人情報保護法とは?初学者が押さえる全体像と学び方【入門・第1回】

本コラムは、これから個人情報保護法に取り組む方。たとえば、これまで個人情報保護法の対応をしてこなかったものの新たに担当を任された法務部の方や、法務部以外で個人情報を取り扱う事業部の方といった初学者に向けたシリーズの第1回です。第1回のテーマは「個人情報保護法って何?」。細かな規制の中身に入る前に、まず全体像と学び方を整理します。

わかりやすい個人情報保護法 コラムシリーズ一覧

個人情報保護法とは?初学者が押さえる全体像と学び方【入門・第1回】

シリーズセミナー「わかりやすい個人情報保護法」アーカイブ一覧

1. 個人情報保護法とは

個人情報保護法は、個人情報のデータとしての有用性に配慮しつつ、個人の権利利益を保護することを目的とした法律です。個人情報を取り扱うすべての事業者に適用される、共通のルールと位置づけられます。

2. なぜ「難しい」と感じるのか 高頻度の改正と専門化

多くの方が個人情報保護法を「取り組みにくい」と感じる一因は、他の法律と比べて改正の頻度が高いことにあります。通信技術の発展やデータ利活用事例の広がりという立法事実に応じて、改正が重ねられているためです。

そのため、法律の条文だけを追っていても、どのような技術が発展し、どのような利活用事例が登場しているのかが見えにくく、ピンとこないことがあります。具体的なサービスや事故事例が背景にあり、それを法律が追いかける形で改正されているのです。法律に着目するのはもちろん、いま世に出ている利活用事例・事故事例のニュースをあわせて追うことで、改正の理解が深まります。

改正サイクルが約3年と非常に早いことも特徴です。かつては、どの専門領域の弁護士も一通りはアドバイスでき、法務部員も基礎的な理解を備えているのが一般的でした。しかし技術の進歩と多様な利活用事例の登場により、法律そのものの理解が難しくなり、いまでは一定の専門領域の弁護士が中心的に扱う領域へと様変わりしています。

これは企業の法務部でも同様で、全員がキャッチアップするのはハードルが高く、個人情報・データを専門に扱うチームを設けるケースが増えています。契約書レビューやコーポレートアクションを担う従来の法務チームとは別に、データ専門チームが分化しつつあるのが実情です。本シリーズは、こうした状況を踏まえ、ゼロから学べる基礎的な内容に絞っています。

関連記事

世界のデータ保護規制 最新アップデート 第1回 米国テキサス州SB2420(アプリストア責任法)…..続きを読む

3. 個人情報の「ライフサイクル」で考える

個人情報保護法を考えるときは、場面(局面)を分けて考える癖をつけることをおすすめします。具体的には、取得→利用→保管→提供→廃棄そして権利行使という各場面です。これを「個人情報のライフサイクル」と呼び、場面ごとにどのような規制・考慮が必要かをイメージします。

「いまは取得の場面だからこの規制」「いまは保管の場面だからこの規律」というように、自分がライフサイクルのどの場面にいるのかを意識することが、理解の助けになります。

4. どこを見ればよいか 法律・ガイドライン・Q&Aの階層

個人情報保護法に関するルールは、法律だけに定められているわけではありません。法律を頂点に、その下に政令・規則があり、さらにその下にガイドライン、そしてQ&A(キューアンドエー)があるという階層構造になっています。

ガイドラインが充実していることで、難解な法律が比較的わかりやすくなっている面があります。とはいえ、ガイドラインを隅々まで読み解くのも一筋縄ではいかない作業です。逆に言えば、どこに何が書いてあるかを把握しておけば、法務部内で発生する多くの事案・課題に対して、当たるべき情報源を見つけられます。

ガイドラインの記載をさらに解釈で悩む点については、Q&Aが補足的に公表されています。Q&Aは随時追加されていくため、新しいものをフォローしておくとよいでしょう。

個人情報保護委員会「法令・ガイドライン等」

5. 学び方のコツ まずはガイドラインとQ&A

「どの教科書がよいか」という質問をよく受けますが、率直に言えば、まずはガイドラインとQ&Aをしっかり押さえることをおすすめします。この2つを押さえておけば、一通りの一次情報は担保でき、おおまかな事案解決の方向性には到達可能です。そのうえで、個人情報保護法を専門とする弁護士に確認するという進め方で十分でしょう。

6. 解釈より「事実認定」が勘所

法律問題では、「事実の認定」と「法律の適用」の2つが重要です。実務上、弁護士間では、後者の個人情報保護法の適用やその解釈で迷うことはそれほど多くなく、むしろ前者の事案の認定(事実認定)で議論になることが多くあります。あるサービスについて、どう事実を認定し、当てはめていくかは、教科書にもガイドラインにもQ&Aにも書かれておらず、ここが悩みどころです。

そのため、相談・質問の際にお願いしたいのは、抽象化した事案ではなく「生の事案」で相談することです。法務部の方々から事案を抽象化したうえで「この解釈で正しいか?」と尋ねられることがありますが、事実認定が変われば解釈も変わります。大事なのは前提事実、すなわち提供するサービスとそれに伴うデータの取り扱い方法の中身です。

7. ガイドラインの拘束力と「望ましい」の読み方

ガイドラインは非常に参考になるものの、それ自体が法的拘束力を持つわけではありません。もっとも、ガイドラインに沿った形で法令の解釈がなされる点には注意が必要です。

ガイドラインの書き分けにも意味があります。「しなければならない」「してはならない」とされる事項は、違反すると法令違反と認定される可能性があります。一方、「望ましい」とされる事項は、可能な限りよい対応が望まれるという位置づけです。

ただし、実務的には、多くの企業の業態・規模感からすると、「望ましい」「努めなければならない」とされる事項も、事実上はすべて満たしていくのが望ましい態度です。「望ましいと書いてあるからレベルを落とす」という判断は、極めて慎重に行う必要があります。

8. 安全管理措置・分野別ガイドラインの留意点

安全管理措置については、特殊な考慮が必要です。ガイドラインには実装例が示されていますが、各社のデータの持ち方やシステム体制によっては、その例がそのまま当てはまるとは限りません。ここはむしろ柔軟に、自社に合うものは取り入れ、合わないものは対応しないという判断もあり得ます。会社の裁量に委ねられる部分が大きい領域です。

さらに、通則編などの一般的なガイドラインだけでなく、事業に適用される分野別ガイドライン(金融分野、医療分野、情報通信関連分野など)の有無とその内容も把握しておく必要があります。分野別ガイドラインは、一般的なガイドラインの上乗せ規制になっているため、個人一般なガイドラインと、業種ごと・監督官庁ごとの分野別ガイドラインの両者を見ておく必要があります。

9. 個人情報保護法だけでは足りない 広がるプライバシー保護

最後に、個人情報保護とプライバシーの関係です。個人情報を扱う場面では、個人情報保護法さえ守ればよいわけではありません。個人情報保護法の守備範囲と、プライバシー保護の守備範囲は、重なりつつも、完全一致せず、差分があります。個人情報保護法はいわば最低限の規範であり、そこから消費者目線に立って、どのようにプライバシー保護を任意に積み上げるかは、各社で考慮すべき範囲となります。

そして、データの利活用が高度に進展している現代社会では、このプライバシー保護の範囲が拡大し、求められるレベルも高くなっています。データの利活用の高度化によりプライバシーが侵害されるリスクが高まっていることに呼応して、消費者の目線に立った、より広範できめ細やかな配慮が求められるわけです。

プライバシー保護のための法令面での拡大の例が電気通信事業法です。日本では、個人情報保護法でカバーしきれないCookieデータ・IPアドレス・Webの閲覧履歴・アプリの広告識別子などが「個人関連情報」に該当し、一定の保護が与えれていますが、さらに電気通信事業法の「利用者情報」という概念も関わってきます。海外では、IPアドレスやCookie IDが個人情報(パーソナルデータ)の概念に含まれて一つの個人情報保護法の法律でカバーされるのに対し、日本では個人情報保護法と電気通信事業法にまたがるため、一つのアクションを複数の法律の観点から検討する必要が生じ、難解さが増しています。

その典型例が、電気通信事業法の利用者情報の外部送信規律です。具体的には、WebサイトのCookieバナーに見られるように、Cookieの収集・利用や、広告・解析ベンダーへの外部送信に対する規律が、電気通信事業法の改正で設けられました。

加えて、プラットフォーマーによる自主規制も無視できません。多くのオンラインビジネスはWebやアプリが中心であり、AppleやGoogleのアプリ開発者向けガイドラインは、個人情報保護法はもちろん、GDPRよりも高いレベルで設定されている側面があります。規制の仕組みとしては、アプリを公開する事業者(パブリッシャーと言います。)に、アプリ開発者向けガイドラインでもってアプリのユーザのデータを保護するためのアプリ設計を求め、ひいてはユーザを保護するというものです。これらのプラットフォーム以外でアプリを公開することは現実的でないため、アプリサービスにおける事実上の強制ルールとして遵守が必要になります。

では、各企業はどのようにより高いプライバシー保護のレベルを設定すれば良いのでしょうか。これは、取り扱うデータの量、データの質・機微性、そしてトラッキングや解析といったデータ利活用の態様によって、求められるプライバシー保護の態様やレベルが決められます。

しかしながら、ここに一義的な正解はありません。だからこそ、サービスが一般消費者・ユーザにどのような影響を与えるかを評価し、それに見合った保護施策をとるプライバシー・インパクト・アセスメント(PIA)のプロセスが重要です。どこまでのレベルで、どのような施策であれば一般消費者の納得感が得られるかは、過去のデータビジネスにおける炎上事例の教訓や経験も要するため、必要に応じて専門の弁護士に相談するのがよいでしょう。

10. まとめ

第1回の要点を整理します。

  • 個人情報保護法は、個人情報の有用性と個人の権利利益の保護を目的とする、全事業者共通のルール
  • 改正頻度が高く専門化が進む領域。利活用事例・事故事例のニュースもあわせて追うと理解が深まる
  • 取得・利用・保管・提供・廃棄・権利行使というライフサイクルで場面を分けて考える
  • ルールは法律→政令・規則→ガイドライン→Q&Aの階層。まずはガイドラインとQ&Aを押さえる
  • 解釈より事実認定が勘所。相談は「生の事案」で
  • ガイドラインで「望ましい」とされる事項も、実務上はすべて満たす姿勢が安全
  • 個人情報保護法は最低限の規範。電気通信事業法・プラットフォーマーによる自主規制・PIAまで含めたプライバシーへの配慮が求められる

個人情報保護法対応ならTMI

TMIプライバシー&セキュリティコンサルティングとTMI総合法律事務所では、国内外データ保護法対応が可能です。

また、法的サービスの領域は、プライバシーポリシーの作成、個人情報管理規程の作成、SCC及びDPAの作成などTMI総合法律事務所がサービス提供しております。

また、GDPRはじめ、世界各国の個人情報保護法対応の法的側面と技術的側面図をワンストップで提供しておりますので、世界各国の個人情報保護法対応を計画している企業の法務担当者・情報完了担当者の方は、お気軽にお問い合わせください。

関連記事

日本企業も対応が必要な中国個人情報保護法をわかりやすく解説…..続きを読む

TMIP&S コラム記事一覧

記事や動画の一覧は、こちらからご覧ください…..一覧を見る