徒然日記

改正個人情報保護法の課題 【26年7月13日 『逢坂誠二の徒然日記』8592回】

今日は新聞休刊日です。何か寂しいですね。

1)改正個人情報保護法の課題
AIの開発促進に向けて個人情報の利活用を進めることなどを盛り込んだ改正個人情報保護法が、先日成立しました。

私は、AIの開発を促進するための取り組みは必要だと考えています。
しかし、今回の法改正で最も大きな問題は、病院などが保有する病歴などの要配慮個人情報について、AI開発や統計作成等を目的とする場合には、本人の同意がなくても第三者へ提供できる余地を法律上認めたことです。

これまでは、病歴や犯罪歴などの要配慮個人情報を取得する場合や、個人情報を第三者へ提供する場合には、原則として本人の同意が必要でした。しかし改正法では、AI開発や統計作成等で個人の権利利益を侵害するおそれが少ない場合には、その例外を設けました。

これでは、本来最も慎重に保護されるべき機微な情報まで、「AI開発や統計作成等」という広い概念の下で、本人の同意なく利用・提供される可能性があります。少なくとも、氏名や住所など個人を直接特定できる情報については、提供前に削除することを法律上義務付けるべきだったと考えます。

これに対し政府は、「不要な情報については事業者が適切に判断して削除する」「具体的なルールは個人情報保護委員会の規則やガイドラインで定める」と説明しました。また、個人を特定できる情報の削除を法律で義務付けるべきだという指摘に対しては、「個人の権利を侵害するおそれは十分に低く、法案の修正は必要ない」と答弁しました。

一方、次世代医療基盤法という法律があります。これは私もメンバーの一人となって、超党派で作業を行い成立させた法律です。

この法律は、医療機関などが保有する医療情報を、安全に研究へ活用し、新薬の開発、未知の副作用の発見、新しい治療法の開発、効果的な医療政策につなげることを目的としています。
今回の改正個人情報保護法と同様に、医療情報を研究開発に活用するという目的は共通しています。しかし、情報保護の仕組みは大きく異なります。

次世代医療基盤法では、国が認定した事業者だけが医療情報を取り扱うことができ、厳格な安全管理や守秘義務、罰則が課されています。また、利用目的に応じて匿名加工や仮名加工を行い、本人には事前通知がなされ、提供停止を求めることもできます。

一方、今回の改正個人情報保護法では、こうした認定制度は設けられておらず、国会答弁でもあったとおり、情報保護に関する多くのルールが今後策定される規則やガイドラインに委ねられています。

今回の改正個人情報保護法では、個人情報の流れは大きく二つの主体によって構成されています。

一つは、個人情報を利用する側です。
法律では「統計作成等を行う目的で個人情報又は個人関連情報を取り扱う必要がある第三者」と規定されています。ここには、AI開発を行う企業、統計解析を行う企業、大学や研究機関、製薬企業、さらには個人事業主なども含まれ得ます。なお、法律には「AI開発事業者」という定義や、それらの事業者を国が認定する制度は設けられていません。

もう一つは、個人情報を提供する側です。こちらは、個人情報保護法上の「個人情報取扱事業者」であり、病院・診療所、保険会社、銀行、小売業、通信事業者、学校、個人商店や個人事業主など、事業として個人情報を取り扱う幅広い事業者が対象となります。

今回の制度では、個人情報を利用する主体を国が事前に認定する仕組みはなく、個人情報を保有する事業者が、法律や今後策定される規則・ガイドラインに照らして、提供の適否を判断する制度となっています。これが、国が認定した事業者のみが医療情報を取り扱うことのできる次世代医療基盤法との大きな違いです。

さらに、今回の法改正では、個人情報を利用する事業者と個人情報を提供する事業者との間に、情報提供を仲介する事業者が介在することを禁止する規定や、その仲介手数料を規制する規定は見当たりません。そのため、今後、両者を結び付け、個人情報の提供を有料で仲介する事業が生まれる可能性は否定できません。

また、仲介事業者の有無にかかわらず、AI開発や統計作成等を目的とした個人情報の提供が、対価を伴う契約として広がっていく可能性も考えられます。

今回の法改正については、個人情報の流出や不適切な利用への懸念だけでなく、個人情報の流通や利活用を支える新たなビジネスがどのように形成されるのかという点についても、制度の運用状況を含め、十分に検証していく必要があります。

法律は成立しましたが、これで議論が終わったわけではありません。今後策定される規則やガイドラインが、個人情報保護を実効あるものとする内容になっているかどうか、さらに次世代医療基盤法との関係も含めて厳しく検証し、必要があれば制度の見直しも求めてまいります。

さあ今日も、ブレずに曲げずに、確実に前進します。
【26年7月13日 その6895『逢坂誠二の徒然日記』8592回】

#逢坂誠二 #歩く歩く聞く聞く
#函館

  
  

皆様のコメントを受け付けております。

  1. >>最も慎重に保護されるべき機微な情報まで、「AI開発や統計作成等」という広い概念の下で、本人の同意なく利用・提供される可能性があります。

    「可能性があります」どころか、まさにそれが目的なのだろうと疑わざるを得ません。
    AI先進国ではどこでもそんなことが許されているのか?そんなはずはないでしょう。

    個人を特定できるような情報を提供前に削除するなど簡単なことで、AIどころかプログラム1つでできることです。
    その程度のことができない事業者に、そもそも個人情報を取り扱う資格があるのかも疑問です。

    個人情報というものは一度漏れてしまえば取り返しのつかないもので、大した罰則もなければ漏洩、流通、悪用されてしまうことは目に見えていると思います。

    「必要があれば制度の見直しも求めてまいります」ではなく、政権交代して「見直しをリードする」くらいのお志でお願いしますよ。

記事に投稿

メールアドレスが公開されることはありません。 が付いている欄は必須項目です