総務省では2012年(平成24年)11月より「パーソナルデータの利用・流通に関する研究会」を開催した。同研究会の報告書では、パーソナルデータ(個人に関する情報)の適正な利用・流通の促進に向けて、パーソナルデータの利活用のルールを明確化するため、パーソナルデータの利活用の枠組及びその実現のための方向性が以下のとおり提示された。なお、詳細は同研究会報告書35を参照されたい。
A パーソナルデータの利活用の基本理念及び原則の明確化と具体的なルールの設定・運用
パーソナルデータの利活用の枠組については、パーソナルデータの利活用の基本理念及び原則を明確化し、その上で、具体的なルール(準則)を設定・運用していくこととする。
B パーソナルデータの利活用の基本理念及び原則
まず、パーソナルデータの保護の目的を明らかにするという観点から、パーソナルデータの利活用の基本理念として、以下の事項を明確にすべきである。
①個人情報を含むパーソナルデータの保護は、主としてプライバシー保護のために行うものである。
②プライバシーの保護は、絶対的な価値ではなく、表現の自由、営業の自由などの他の価値との関係で相対的に判断されるべきものである。
その上で、上記のパーソナルデータの利活用の基本理念を具体化するものとして、次の7項目をパーソナルデータ利活用の原則として提示する。
・透明性の確保
・本人の関与の機会の確保
・取得の際の経緯(コンテキスト)の尊重
・必要最小限の取得
・適正な手段による取得
・適切な安全管理措置
・プライバシー・バイ・デザイン
保護されるパーソナルデータの範囲については、実質的個人識別性(プライバシーの保護というパーソナルデータの利活用の基本理念を踏まえて実質的に判断される個人識別性)をメルクマールとして判断する。
パーソナルデータの取扱いについては、パーソナルデータのプライバシー性の高低による分類や、取得の際の経緯(コンテキスト)に沿った取扱いである場合と沿わない取扱いである場合の区分に応じて、適正に行うべきである。
一方、パーソナルデータの本人は、原則として、当該パーソナルデータの取扱いについて同意した場合であっても当該同意を撤回すること(明示的な同意をしていない場合に、オプトアウトの意思表示36をすることを含む。)ができることとすべきである。
また、パーソナルデータを利用する者には、透明性の確保の観点から、どのようなパーソナルデータをどのように利用しているか等について適切な形で開示することが求められる。
パーソナルデータの利活用のルール策定に当たっては、「マルチステークホルダープロセス」(国、企業、消費者、有識者等多種多様な関係者が参画するオープンなプロセス)を、取り扱うパーソナルデータの性質や市場構造等の分野ごとの特性を踏まえ、積極的に活用することとすべきである。
パーソナルデータ利活用のルールが遵守される仕組として、まず、企業が自主的に定めたプライバシーポリシーやマルチステークホルダープロセスを活用して策定されたルールなどパーソナルデータの利活用に関するルールの遵守を契約約款に規定することが考えられる。
また、パーソナルデータの利活用のルールの遵守確保についても、マルチステークホルダープロセスを活用し、パーソナルデータに関し専門的な知見を有する有識者などからなる機関を設置し、パーソナルデータの利活用のルールに関する判断の提示や、消費者と企業間の紛争解決を行うことが考えられる。
パーソナルデータの利活用の促進のためには、プライバシーを保護するために利用可能な技術(プライバシー強化技術:Privacy Enhancing Technologies(PETs))を最大限に有効活用することが適切である。
国際的なパーソナルデータの自由な流通の確保の実現に向けて、国際会議等の場において、我が国のパーソナルデータの保護についての取組を紹介するとともに、国際的なルールメーキングの議論に積極的に貢献していくべきである。
また、パーソナルデータの国際的な調和のとれた保護を実現するため、以下の事項について、その実効性等について検討していく必要がある。
・国際的なパーソナルデータ保護の執行協力
・我が国のパーソナルデータ保護のルールの国際的な適用の可能性
・パーソナルデータの保護が十分になされていない国等へ我が国からパーソナルデータを移転する場合に、十分なセーフガードを求めること。
パーソナルデータの適正な利活用の促進のための体制の整備及び国際的な調和の取れた制度の構築の必要性を踏まえれば、パーソナルデータの利活用に関わる様々な問題について、専門的な知見を有する人材が、パーソナルデータの利活用の基本理念及び原則を実質的に判断して、分野横断的に迅速かつ適切に処理していくことを可能とし、かつ、諸外国の制度とも整合のとれた制度とするため、我が国の実用や法制度を踏まえた、我が国における「プライバシー・コミッショナー制度」について検討を行うことが必要である。
また、企業等が自主的に宣言したポリシー・ルール等への遵守を確保するための制度を整備すべきである。
さらに、マルチステークホルダープロセスに参加する企業にインセンティブを与えるとともに、同プロセスに参加しない企業についてもパーソナルデータの利活用の原則の遵守を確保するための仕組を、上記(ア)のプライバシー・コミッショナー制度と整合する形で整備していくことについて、検討を行うことが必要である。
その他、現行の個人情報保護法については、小規模事業者の扱い、共同利用の在り方、民間事業者・行政機関・独立行政法人等・各地方公共団体で規律が異なること、プライバシー保護を実質的に確保するための認証制度の在り方など様々な課題が指摘されている。これらの課題についても、パーソナルデータの利活用の基本理念であるプライバシーの保護の観点から、上記(ア)・(イ)とあわせて、必要な制度整備について検討を行うことが必要である。
35 http://www.soumu.go.jp/menu_news/s-news/01ryutsu02_02000071.html
36 オプトアウトの意思表示とは、本人の同意なく第三者に個人情報が提供される場合において、第三者への提供をやめるよう、本人(その個人情報によって識別される特定の個人)が意思表示を行うこと。